Después de 16 años de declive, el robo de automóviles en Alemania subió en 2009, según cifras publicadas recientemente por la Asociación Alemana de Aseguradoras. Karsten Nohl of Security Research Labs in Berlin, Germany, has identified vulnerabilities in the engine immobilisers used to protect modern cars from theft. Karsten Nohl de Security Research Labs en Berlín, Alemania, ha identificado las vulnerabilidades en los inmovilizadores del motor, usados para proteger contra el robo de los automóviles modernos.
Un dispositivo instalado en el llavero que difunde a un coche moderno una señal de radio cifrada para el coche. Si la señal es reconocida por el receptor del coche, responde enviando una señal codificada a la unidad de control del motor (ECU), que permite al coche arrancar. Si el conductor intenta utilizar el llavero del coche incorrecto, ECU bloquea el motor.
Durante más de una década, los inmovilizadores han desempeñado un papel crucial en la reducción de robo de autos, dice Nohl. Pero las claves de cifrado propietarias que se utilizan para transmitir datos entre el llavero receptor, y el motor están tan mal implementadas en algunos cochesque son fácilmente saltadas, dijo Nohl en la conferencia Embedded Security in Cars, en Bremen , Alemania, el mes pasado.
El año pasado se tardó sólo seis horas para descubrir el algoritmo utilizado para crear la clave de cifrado en un inmovilizador utilizado ampliamente, el Hitag 2, fabricado por la firma holandesa NXP Semiconductors, lo que facilita «desinmovilizar» un coche con ese algoritmo. Y en 2005 Juels Ari de los laboratorios RSA en Cambridge, Massachusetts, y los investigadores de la Johns Hopkins University en Baltimore, Maryland, tardaron menos de una hora en romper un sistema de cifrado vendido por la empresa de tecnología estadounidense Texas Instruments.
Juels dice que estas faltas de seguridad eran posibles porque los algoritmos que las empresas utilizan para codificar las claves de cifrado compartidos entre el inmovilizador y el receptor, y el receptor y el motor no coinciden con la seguridad ofrecida por las versiones publicadas abiertamente como el estándar de cifrado avanzado (AES) adoptadas por el gobierno de EE.UU. para cifrar la información clasificada. Además, en ambos casos la clave de cifrado era demasiado corta, dice Nohl. La mayoría de los coches siguen utilizando una clave de 40 o 48 bits, pero el AES es de 128 bits – que sería demasiado largo de roer para los ladrones de coches que se moleste en tratar – es ahora considerado por los profesionales de la seguridad como una norma mínima. Se utiliza sólo por unos pocos fabricantes de automóviles.
«A nuestro entender la relación de causalidad directa entre la falta de adopción de sistemas de AES y el aumento de robo de autos no se puede justificar», dice Thomas Rudolph de NXP. Y un portavoz de Texas Instruments afirma que en algunos casos, sus sistemas criptográficos han demostrado ser más fuerte que AES.
Sin embargo, tanto NXP y Texas Instruments dicen que han eliminado gradualmente de sus sistemas de cifrado los de clave más cortas, y ambos ofrecen ahora AES de 128 bits.
Convencer a los fabricantes de automóviles para adoptar los nuevos sistemas sigue siendo un reto, dice Juels. Cree que todavía la piratería es un problema menor en comparación con otras formas más directas de robar coches. «La reacción que obtuve fue que sería más barato utilizar un camión.»
Fuente: NewScientist
___________________
Enlaces relacionados:
– Actualidad informática: Criptografía
– Apuntes Informática Aplicada a la Gestión Pública. GAP. UMU. Seguridad en Informática
– Enlaces de interés en informática. Universidad de Murcia. Rafael Barzanallana