¿Qué pasaría si pudiéramos controlar un coche que está en la otra punta del mundo desde un ordenador en nuestra casa? Es justo lo que ha conseguido hacer Troy Hunt, un investigador de seguridad informática y hacker, usando un navegador web, una conexión a Internet y un Nissan LEAF normal y corriente.
Actualmente sólo se pueden controlar algunas funciones del aire acondicionado, calefacción y ventilación del coche, además de acceder a información como el estado de carga y su historial de conducción. Pero eso es más preocupante e importante de lo que podrías imaginar.
No sólo tenemos el clásico problema de privacidad de tener a disposición de cualquiera tus trayectos y destinos frecuentes, sino que si cualquiera podría, por ejemplo, hackear el aire acondicionado para que agote la batería del LEAF y así dejar a su conductor varado en alguna parte.
Lo de que se sepan los trayectos y destinos, a mi si que me parece algo preocupante. Lo otro, es una molestia. Aún así se deberían revisar los temas de seguridad.
#11:
#10 La palabra Hacker se usa para muchas cosas y más cuando hay periodistas de por medio. Una de las aceptaciones en seguridad informática de este término concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet.
La realidad es que, lo que ha hecho este hombre es entrar remotamente en un coche, que no es el suyo, gracias a que se ha puesto a explotar una vulnerabilidad de la herramienta de Nisan. La herramienta tiene un control de usuarios de cero. Que para acceder a cualquier coche Nisan solo necesite su numero de bastidor, el cual debe ser publico, y con ello pueda hacer todo lo que este señor ha demostrado que se hace y obtener los datos que se obtienen, es una vulnerabilidad de seguridad y un error de la aplicación y de Nisan.
Llamarlo Hackeo puede sonar algo extremo, ya que la aplicación no tiene seguridad de ningún tipo. Pero como bien dice #6 no es algo accesible a cualquiera, por lo que no me parece sensacionalista usar el termino Hacker
#6:
#4 Yo más bien pensaba en el secuestro expres, en acosadores, ladrones de coches.... esas cosas ya sabes
#5:
Todo aparato con conexión a redes externas es susceptible de ser hackeado. Si quieres un coche sin brechas de ese tipo no compres uno con conexiones a internet o servicios similares
#1:
De forjar una url a hackear un coche hay un abismo
#10 La palabra Hacker se usa para muchas cosas y más cuando hay periodistas de por medio. Una de las aceptaciones en seguridad informática de este término concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet.
La realidad es que, lo que ha hecho este hombre es entrar remotamente en un coche, que no es el suyo, gracias a que se ha puesto a explotar una vulnerabilidad de la herramienta de Nisan. La herramienta tiene un control de usuarios de cero. Que para acceder a cualquier coche Nisan solo necesite su numero de bastidor, el cual debe ser publico, y con ello pueda hacer todo lo que este señor ha demostrado que se hace y obtener los datos que se obtienen, es una vulnerabilidad de seguridad y un error de la aplicación y de Nisan.
Llamarlo Hackeo puede sonar algo extremo, ya que la aplicación no tiene seguridad de ningún tipo. Pero como bien dice #6 no es algo accesible a cualquiera, por lo que no me parece sensacionalista usar el termino Hacker
Todo aparato con conexión a redes externas es susceptible de ser hackeado. Si quieres un coche sin brechas de ese tipo no compres uno con conexiones a internet o servicios similares
#27 o como hago ahora que no tengo conexión de datos en el movil, las operadoras no regalan sus conexiones para casa ni para movil ¿Me van a obligar a pagar una mas para el coche? Si es así me parece un abuso supino
#42 en ese caso agradezco que Nissan haga evidente el problema de seguridad que supone controlar las funciones de un coche por internet. De haberlo protegido mas solo habría retrasado un debate importante, los vehículos son peligrosos, provocan muchas muertes ¿Es necesario exponer su seguridad a internet? ¿Que riesgos tiene? ¿Son evitables? ¿Merece la pena?
#5 No, el problema es que los de Nissan permiten hacer todo mediante una simple petición HTTP GET sin ningún tipo de autenticación.
Lo suyo sería que usara un certificado o similar instalado en el vehículo para autenticar y cifrar las conexiones. Ahí ya no sería tan sencillo acceder a esos datos.
#33 haciendo evidente lo peligroso que es dotar de control por internet a un vehículo. Si quieres seguridad la única opción es aislar todo lo posible los sistemas informáticos. Conectar a internet funciones de los coches es ponerles una diana para hackers, añadir medidas de seguridad solo sirve para retrasar lo evidente. Me parece genial que nissan sea tan descuidada al generar debate sobre el tema. Espero q sirva para abandonar la locura del internet de las cosas o mundo conectado donde un hacker, un bug o un gobierno puede apagar con un botón tus medios de pago, tus vehículos, electrodomésticos, inutilizar tu historial medico o el hospital entero
#43 Discrepo. Dependerá de que servicios se exponen y de como se garantice su seguridad. Controlar la temperatura del coche a distancia es una buena idea, enciendes la calefacción antes de salir y tienes coche calentito y cristales sin hielo. Si eso lo aseguras con autenticacion de dos factores y cifrado me parece más que asumible.
#44 los sistemas que comprometen tu seguridad son por ejemplo los frenos y la dirección. Si el coche tiene frenada automática o aparca solo y conectas la centralita que lo controla a internet para que encienda la calefacción estas exponiendo elementos vitales a un ataque o un fallo. Como bien dices y estoy de acuerdo lo mejor es no exponer funciones que comprometan la seguridad a internet
#19 si la ruta sirve para causar algun problema como el caso del leaf que puede gastarte toda la batería es un hack te pongas como te pongas.
Si tengo una url a un servidor que provoca un "halt" o un "init 6" es un hack aunque el conocimiento tecnico para realizarlo sea para tontos. Lo uno no quita lo otro. Un hack no es un hack por la dificultad de encontrarlo o realizarlo si no porque es un agujero en sí
#22 Los de Nissan crean una ruta que lo que hace es encender el aire acondicionado, la dan abierta y sin seguridad y ahora resulta que si la usas eres un estupendo hacker, va a ser que no.
#23 o me das el motivo o te guardas el comentario, aporta si eso...
#29 No, no eres un estupendo hacker, puedes ser un completo gilipollas pero has encontrado un agujero de seguridad. Si una persona blinda todas las entradas de su casa con puertas de seguridad y tu encuentras una ventana abierta que el dueño ha puesto sólo para que entre el gato y entras a robar sigues siendo un ladrón aunque seas un inútil abriendo cerraduras
Y no te voy a argumentar más, estoy en la oficina y han visto este cometnario varios de mis compañeros, muchos expertos en seguridad y coinciden conmigo, si tu no lo aceptas pues vale, pero al diccionario me remito
Un poquito sensacionalista sí que es, porque no es lo mismo decir que "El Nissan LEAF se puede hackear y controlar con un navegador" cuando sabes que "El control se limita al sistema de climatización".
Actualmente sólo se pueden controlar algunas funciones del aire acondicionado, calefacción y ventilación del coche, además de acceder a información como el estado de carga y su historial de conducción. Pero eso es más preocupante e importante de lo que podrías imaginar.
No sólo tenemos el clásico problema de privacidad de tener a disposición de cualquiera tus trayectos y destinos frecuentes, sino que si cualquiera podría, por ejemplo, hackear el aire acondicionado para que agote la batería del LEAF y así dejar a su conductor varado en alguna parte.
Lo de que se sepan los trayectos y destinos, a mi si que me parece algo preocupante. Lo otro, es una molestia. Aún así se deberían revisar los temas de seguridad.
#3 esto... si, me he leído el articulo e insisto, eso no es hackear, eso es simplemente darle el uso normal a las funciones del coche.
El problema de seguridad está claro, pero no hace falta hackear nada para activar las funciones disponibles, así que no puede hablarse de hackeo, simplemente de ineptitud de Nissan.
#9 Cuando se habla de hackear mucha gente entiende que eso incluye rebasar alguna medida de seguridad minima.
Por ejemplo estas en un hotel buscando un baño, cruzas una puerta abierta y accedes a un espacio reservado para empleados.
Aunque ese espacio no este pensado para clientes, la puerta estaba abierta de par en par, seria logico llamar a eso hackeo ?, si no hay ninguna medida de seguridad que te impida cruzar esa puerta ?
#36 Bueno, para mi hackeo sería que has buscado esa puerta(soy totalmente lego en la materia, quede claro).
Es decir, algo que no está pensado para ti, y que no se te entrega a ti, tu lo encuentras y lo utilizas.
Si la puerta tenía un símbolo, ya deberías saber que no podrías entrar. Estaba abierta, si, pero no era para ti. Con esto es lo mismo (más o menos).
#37 Para mi tu definicion si seria demasiado laxa, suele ser la definicion que usan los periodistas, que viene a ser, llamemos hackeo a casi cualquier delito o cosa impropia que se haga con ordenadores.
Por ejemplo si tu hermana te prohibe usar su ordenador y tu lo usas igualmente no es un hackeo, es simplemente un uso sin permiso.
Pero si el ordenador tiene contraseña y tienes que pensar alguna forma de saltarte esa proteccion (engañando al ordenador o engañando a tu hermana para que te descubra la contraseña), en ese caso si se podria considerar hackeo.
hack 1 (hăk)
v. hacked, hack·ing, hacks
v.tr.
1. To cut or chop with repeated and irregular blows: hacked down the saplings.
2. To break up the surface of (soil).
3.
a. Informal To alter (a computer program): hacked her text editor to read HTML.
b. To gain access to (a computer file or network) illegally or without authorization: hacked the firm's personnel database.
4. Slang To cut or mutilate as if by hacking: hacked millions off the budget.
5. Slang To cope with successfully; manage: couldn't hack a second job.
#19 Usar una ruta es de primero de escuela de hackers, pero lo es.
Se trata de un hackeo al no ser URLs públicas.
Si la aplicación permitiera generar todas esas peticiones sin autorización, no habría hackeo. Pero la aplicación requiere una autorización para poder lanzar esas peticiones con un número de bastidor que previamente ha autorizado la aplicación. El hecho de que la autorización se compruebe en el cliente y no en el servidor es un fallo de seguridad gordísimo.
#31 El asunto este no es extraordinariamente crítico pero da muy mala imagen en cuestión de seguridad. Ya que estas usando https cifra también todos los datos que requieras y pide un dato adicional que no sea público como el VIN ( una clave exclusiva para el vehiculo ).
Ni privacidad ni leches. Lo chungo sería que en un viaje Sevilla- Santander, pongo por caso, el hacker te metiera Melendi todo el camino. Para hacer un recto voluntario en Despeñaperros, como mínimo.
Vale que es una cagada, pero el que ha descubierto la vulnerabilidad podria haber esperado un poco. El mismo dice que NISSAN le respondio enseguida y que se comporto de manera ejemplar.
Cambiar estas cosas no es algo sencillo. No es como actualizar el PC de tu casa.
Comentarios
#4 Yo más bien pensaba en el secuestro expres, en acosadores, ladrones de coches.... esas cosas ya sabes
#6 Que algo se pueda hackear no quiere decir que sea accesible para cualquier mindundi de la calaña que citas precisamente.
#8 Los que saben venden los servicios a quien los necesitan.
#10 La palabra Hacker se usa para muchas cosas y más cuando hay periodistas de por medio. Una de las aceptaciones en seguridad informática de este término concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet.
La realidad es que, lo que ha hecho este hombre es entrar remotamente en un coche, que no es el suyo, gracias a que se ha puesto a explotar una vulnerabilidad de la herramienta de Nisan. La herramienta tiene un control de usuarios de cero. Que para acceder a cualquier coche Nisan solo necesite su numero de bastidor, el cual debe ser publico, y con ello pueda hacer todo lo que este señor ha demostrado que se hace y obtener los datos que se obtienen, es una vulnerabilidad de seguridad y un error de la aplicación y de Nisan.
Llamarlo Hackeo puede sonar algo extremo, ya que la aplicación no tiene seguridad de ningún tipo. Pero como bien dice #6 no es algo accesible a cualquiera, por lo que no me parece sensacionalista usar el termino Hacker
De forjar una url a hackear un coche hay un abismo
Todo aparato con conexión a redes externas es susceptible de ser hackeado. Si quieres un coche sin brechas de ese tipo no compres uno con conexiones a internet o servicios similares
#5 Amen.
#5 en unos años tu mercado será la segunda mano o instalar un inhibidor de frecuencias ilegal
#27 o como hago ahora que no tengo conexión de datos en el movil, las operadoras no regalan sus conexiones para casa ni para movil ¿Me van a obligar a pagar una mas para el coche? Si es así me parece un abuso supino
#41 lo pagará el fabricante como ya hacen Tesla o Nissan en algunos modelos.
#42 en ese caso agradezco que Nissan haga evidente el problema de seguridad que supone controlar las funciones de un coche por internet. De haberlo protegido mas solo habría retrasado un debate importante, los vehículos son peligrosos, provocan muchas muertes ¿Es necesario exponer su seguridad a internet? ¿Que riesgos tiene? ¿Son evitables? ¿Merece la pena?
#5 No, el problema es que los de Nissan permiten hacer todo mediante una simple petición HTTP GET sin ningún tipo de autenticación.
Lo suyo sería que usara un certificado o similar instalado en el vehículo para autenticar y cifrar las conexiones. Ahí ya no sería tan sencillo acceder a esos datos.
#33 haciendo evidente lo peligroso que es dotar de control por internet a un vehículo. Si quieres seguridad la única opción es aislar todo lo posible los sistemas informáticos. Conectar a internet funciones de los coches es ponerles una diana para hackers, añadir medidas de seguridad solo sirve para retrasar lo evidente. Me parece genial que nissan sea tan descuidada al generar debate sobre el tema. Espero q sirva para abandonar la locura del internet de las cosas o mundo conectado donde un hacker, un bug o un gobierno puede apagar con un botón tus medios de pago, tus vehículos, electrodomésticos, inutilizar tu historial medico o el hospital entero
#43 Discrepo. Dependerá de que servicios se exponen y de como se garantice su seguridad. Controlar la temperatura del coche a distancia es una buena idea, enciendes la calefacción antes de salir y tienes coche calentito y cristales sin hielo. Si eso lo aseguras con autenticacion de dos factores y cifrado me parece más que asumible.
#44 los sistemas que comprometen tu seguridad son por ejemplo los frenos y la dirección. Si el coche tiene frenada automática o aparca solo y conectas la centralita que lo controla a internet para que encienda la calefacción estas exponiendo elementos vitales a un ataque o un fallo. Como bien dices y estoy de acuerdo lo mejor es no exponer funciones que comprometan la seguridad a internet
#19 si la ruta sirve para causar algun problema como el caso del leaf que puede gastarte toda la batería es un hack te pongas como te pongas.
Si tengo una url a un servidor que provoca un "halt" o un "init 6" es un hack aunque el conocimiento tecnico para realizarlo sea para tontos. Lo uno no quita lo otro. Un hack no es un hack por la dificultad de encontrarlo o realizarlo si no porque es un agujero en sí
#22 Los de Nissan crean una ruta que lo que hace es encender el aire acondicionado, la dan abierta y sin seguridad y ahora resulta que si la usas eres un estupendo hacker, va a ser que no.
#23 o me das el motivo o te guardas el comentario, aporta si eso...
#29 No, no eres un estupendo hacker, puedes ser un completo gilipollas pero has encontrado un agujero de seguridad. Si una persona blinda todas las entradas de su casa con puertas de seguridad y tu encuentras una ventana abierta que el dueño ha puesto sólo para que entre el gato y entras a robar sigues siendo un ladrón aunque seas un inútil abriendo cerraduras
Y no te voy a argumentar más, estoy en la oficina y han visto este cometnario varios de mis compañeros, muchos expertos en seguridad y coinciden conmigo, si tu no lo aceptas pues vale, pero al diccionario me remito
#9 más o menos, pero es que en este caso están accediendo a algo que SI está pensado para ello
Ejemplo: acceder a rutanissan/encenderaire?bastidor=_bastidor para encender el aire del coche con bastidor _bastidor.
Si tu vas y usas esa ruta no estás hackeando nada, simplemente la estás usando.
#10 Creo que te hace falta un poco más de conocimiento antes de hacer comentarios de este tipo.
Un saludo
Un poquito sensacionalista sí que es, porque no es lo mismo decir que "El Nissan LEAF se puede hackear y controlar con un navegador" cuando sabes que "El control se limita al sistema de climatización".
Llamar hackeo a usar una url para usar las funciones que permite la API de Nissan quizás es exagerar un poco mucho...
No, eso no es un hackeo, es que los de Nissan son estúpidos al no crear rutas cifradas.
#2 Del articulo
Actualmente sólo se pueden controlar algunas funciones del aire acondicionado, calefacción y ventilación del coche, además de acceder a información como el estado de carga y su historial de conducción. Pero eso es más preocupante e importante de lo que podrías imaginar.
No sólo tenemos el clásico problema de privacidad de tener a disposición de cualquiera tus trayectos y destinos frecuentes, sino que si cualquiera podría, por ejemplo, hackear el aire acondicionado para que agote la batería del LEAF y así dejar a su conductor varado en alguna parte.
Lo de que se sepan los trayectos y destinos, a mi si que me parece algo preocupante. Lo otro, es una molestia. Aún así se deberían revisar los temas de seguridad.
#3 Tienes miedo a que te pille la parienta de putillas o que? Mantente beta...
#4 Piensa el ladrón que son todos de su condición.
#3 esto... si, me he leído el articulo e insisto, eso no es hackear, eso es simplemente darle el uso normal a las funciones del coche.
El problema de seguridad está claro, pero no hace falta hackear nada para activar las funciones disponibles, así que no puede hablarse de hackeo, simplemente de ineptitud de Nissan.
#7 No tengo conocimientos en el tema, pero acceder a algo que no está pensado para ello no es hackear?
#9 Cuando se habla de hackear mucha gente entiende que eso incluye rebasar alguna medida de seguridad minima.
Por ejemplo estas en un hotel buscando un baño, cruzas una puerta abierta y accedes a un espacio reservado para empleados.
Aunque ese espacio no este pensado para clientes, la puerta estaba abierta de par en par, seria logico llamar a eso hackeo ?, si no hay ninguna medida de seguridad que te impida cruzar esa puerta ?
#36 Bueno, para mi hackeo sería que has buscado esa puerta(soy totalmente lego en la materia, quede claro).
Es decir, algo que no está pensado para ti, y que no se te entrega a ti, tu lo encuentras y lo utilizas.
Si la puerta tenía un símbolo, ya deberías saber que no podrías entrar. Estaba abierta, si, pero no era para ti. Con esto es lo mismo (más o menos).
Quizás mi idea de hackear algo es demasiado laxa
#37 Para mi tu definicion si seria demasiado laxa, suele ser la definicion que usan los periodistas, que viene a ser, llamemos hackeo a casi cualquier delito o cosa impropia que se haga con ordenadores.
Por ejemplo si tu hermana te prohibe usar su ordenador y tu lo usas igualmente no es un hackeo, es simplemente un uso sin permiso.
Pero si el ordenador tiene contraseña y tienes que pensar alguna forma de saltarte esa proteccion (engañando al ordenador o engañando a tu hermana para que te descubra la contraseña), en ese caso si se podria considerar hackeo.
#2 No, no es exagerar
hack 1 (hăk)
v. hacked, hack·ing, hacks
v.tr.
1. To cut or chop with repeated and irregular blows: hacked down the saplings.
2. To break up the surface of (soil).
3.
a. Informal To alter (a computer program): hacked her text editor to read HTML.
b. To gain access to (a computer file or network) illegally or without authorization: hacked the firm's personnel database.
4. Slang To cut or mutilate as if by hacking: hacked millions off the budget.
5. Slang To cope with successfully; manage: couldn't hack a second job.
http://www.thefreedictionary.com/hack
#13 no tío, lecciones de diccionario no
Al menos comprende lo que ennegreces, "obtener acceso ilegalmente o sin autorización", bien, pero no es el caso.
Ahí está la ruta, usarla no es ilegal y no necesitas autorización, así que no, usar una ruta no es hackear...
Por cierto, que ya lo han chapado: http://es.gizmodo.com/nissan-suspende-el-servicio-que-permitia-hackear-y-cont-1761245435
#15 Comentando sin acritud, a ti no te lo parece pero a mi sí y soy ingeniero informático.
Han hecho bien en desactivarlo
#18 pues ya somos dos. El día que usar una ruta signifique hackear yo me bajo del burro el primero...
#19 Usar una ruta es de primero de escuela de hackers, pero lo es.
Se trata de un hackeo al no ser URLs públicas.
Si la aplicación permitiera generar todas esas peticiones sin autorización, no habría hackeo. Pero la aplicación requiere una autorización para poder lanzar esas peticiones con un número de bastidor que previamente ha autorizado la aplicación. El hecho de que la autorización se compruebe en el cliente y no en el servidor es un fallo de seguridad gordísimo.
#47 en fin, aceptaré que decir 1+1=2 son, a fin de cuentas, matemáticas.
Curiosamente hace nada he terminado un curso de seguridad informática y viendo esto es que es para correr a gorrazos a los de Nissan.
#21 un coche es prácticamente el número de bastidor. El problema de seguridad es básicamente que el número de bastidor sea conocido.
Como tu DNI y los datos de la tarjeta.
#31 El asunto este no es extraordinariamente crítico pero da muy mala imagen en cuestión de seguridad. Ya que estas usando https cifra también todos los datos que requieras y pide un dato adicional que no sea público como el VIN ( una clave exclusiva para el vehiculo ).
Yo jamás me compraría un coche que se llama Nissan LEFA. A saber qué hacen en los test de fábrica.
#24 Mitsubishi Pajero 2.0
Por el titular parece que puedas secuestrar el coche y estrellarlo.
Agente le juro que yo lo dejé bien aparcado y el solito se ha puesto en doble fila.
Como se dice ahora: "Problemas del primer mundo".
Ni privacidad ni leches. Lo chungo sería que en un viaje Sevilla- Santander, pongo por caso, el hacker te metiera Melendi todo el camino. Para hacer un recto voluntario en Despeñaperros, como mínimo.
Esto con un Corsa no te pasa
Vale que es una cagada, pero el que ha descubierto la vulnerabilidad podria haber esperado un poco. El mismo dice que NISSAN le respondio enseguida y que se comporto de manera ejemplar.
Cambiar estas cosas no es algo sencillo. No es como actualizar el PC de tu casa.
¿Qué pasaría si está en circulación? Ya se sabe 💀