INVESTIGACIÓN EN (JNIC2021 LIVE) - Manuel A. Serrano - Eduardo Fernández-Medina Cristina Alcaraz - Noemí de Castro - Guillermo Calvo - UCLM
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
EDITORES:
Manuel A. Serrano - Eduardo Fernández-Medina
Cristina Alcaraz - Noemí de Castro - Guillermo Calvo
Actas de las VI Jornadas Nacionales
(JNIC2021 LIVE)
INVESTIGACIÓN EN
Investigación en Ciberseguridad
Actas de las VI Jornadas Nacionales
( JNIC2021 LIVE)
Online 9-10 de junio de 2021
Universidad de Castilla-La ManchaInvestigación en Ciberseguridad
Actas de las VI Jornadas Nacionales
( JNIC2021 LIVE)
Online 9-10 de junio de 2021
Universidad de Castilla-La Mancha
Editores:
Manuel A. Serrano,
Eduardo Fernández-Medina,
Cristina Alcaraz
Noemí de Castro
Guillermo Calvo
Cuenca, 2021© de los textos e ilustraciones: sus autores
© de la edición: Universidad de Castilla-La Mancha
Edita: Ediciones de la Universidad de Castilla-La Mancha.
Colección JORNADAS Y CONGRESOS n.º 34
© de los textos: sus autores.
© de la edición: Universidad de Castilla-La Mancha.
© de los textos e ilustraciones: sus autores
© de la edición: Universidad de Castilla-La Mancha
Edita: Ediciones Esta
de la Universidad
editorial esdemiembro
Castilla-Lade
Mancha
la UNE, lo que garantiza la difusión y
comercialización de sus publicaciones a nivel nacional e internacional
Colección JORNADAS
Edita: Ediciones de YlaCONGRESOS
Universidad de n.º Castilla-La
34 Mancha.
Colección JORNADAS Y CONGRESOS n.º 34
I.S.B.N.: 978-84-9044-463-4
Esta editorial es miembro de la UNE, lo que garantiza la difusión y comercialización de sus publi-
caciones a nivel nacional e internacional.
D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00
Esta editorial es miembro de la UNE, lo que garantiza la difusión y
I.S.B.N.: 978-84-9044-463-4
comercialización de sus publicaciones a nivel
nacional e internacional
D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00
I.S.B.N.:
Esta obra 978-84-9044-463-4
se encuentra bajo una licencia internacional Creative Commons CC BY 4.0.
D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta
Esta obra se encuentra bajo una licencia internacional Creative Commons CC BY 4.0.
obra no incluida en la licencia Creative Commons CC BY 4.0 solo puede ser realizada con la
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra no incluida
autorización
en expresa
la licencia Creative de los CC
Commons titulares, salvopuede
BY 4.0 solo excepción prevista
ser realizada con la por la ley. Puede
autorización Vd.
expresa de losacceder
titulares, al
texto completo de la licencia en este enlace:
salvo excepción prevista por la ley. Puede Vd. acceder al texto completo de la licencia en este enlace: https://
https://creativecommons.org/licenses/by/4.0/deed.es
creativecommons.org/licenses/by/4.0/deed.es
Esta obra se encuentra bajo una licencia internacional Creative Commons CC BY 4.0.
Hecho en España (U.E.) – Made in Spain (E.U.)
Hecho en España
Cualquier forma de(U.E.) – Made indistribución,
reproducción, Spain (E.U.)comunicación pública o transformación de esta
obra no incluida en la licencia Creative Commons CC BY 4.0 solo puede ser realizada con la
autorización expresa de los titulares, salvo excepción prevista por la ley. Puede Vd. acceder al
texto completo de la licencia en este enlace:
https://creativecommons.org/licenses/by/4.0/deed.es
Hecho en España (U.E.) – Made in Spain (E.U.)Bienvenida del Comité Organizador
Tras la parada provocada por la pandemia en 2020, las VI Jornadas Nacionales de Investiga-
ción en Ciberseguridad ( JNIC) vuelven el 9 y 10 de Junio del 2021 con energías renovadas, y por
primera vez en su historia, en un formato 100% online. Esta edición de las JNIC es organizada
por los grupos GSyA y Alarcos de la Universidad de Castilla-La Mancha en Ciudad Real, y
con la activa colaboración del comité ejecutivo, de los presidentes de los distintos comités de
programa y del Instituto Nacional de Ciberseguridad (INCIBE). Continúa de este modo la
senda de consolidación de unas jornadas que se celebraron por primera vez en León en 2015 y
le siguieron Granada, Madrid, San Sebastián y Cáceres, consecutivamente hasta 2019, y que,
en condiciones normales se habrían celebrado en Ciudad Real en 2020.
Estas jornadas se han convertido en un foro de encuentro de los actores más relevantes en
el ámbito de la ciberseguridad en España. En ellas, no sólo se presentan algunos de los trabajos
científicos punteros en las diversas áreas de ciberseguridad, sino que se presta especial atención
a la formación e innovación educativa en materia de ciberseguridad, y también a la conexión
con la industria, a través de propuestas de transferencia de tecnología. Tanto es así que, este año
se presentan en el Programa de Transferencia algunas modificaciones sobre su funcionamiento
y desarrollo que han sido diseñadas con la intención de mejorarlo y hacerlo más valioso para
toda la comunidad investigadora en ciberseguridad.
Además de lo anterior, en las JNIC estarán presentes excepcionales ponentes (Soledad
Antelada, del Lawrence Berkeley National Laboratory, Ramsés Gallego, de Micro Focus y
Mónica Mateos, del Mando Conjunto de Ciberdefensa) mediante tres charlas invitadas y se
desarrollarán dos mesas redondas. Éstas contarán con la participación de las organizaciones
más relevantes en el panorama industrial, social y de emprendimiento en relación con la ciber-
seguridad, analizando y debatiendo el papel que está tomando la ciberseguridad en distintos
ámbitos relevantes.
En esta edición de JNIC se han establecido tres modalidades de contribuciones de inves-
tigación, los clásicos artículos largos de investigación original, los artículos cortos con investi-
gación en un estado más preliminar, y resúmenes extendidos de publicaciones muy relevantes
y de alto impacto en materia de ciberseguridad publicados entre los años 2019 y 2021. En el
caso de contribuciones de formación e innovación educativa, y también de transferencias se
han considerado solamente artículos largos. Se han recibido para su valoración un total de 86
7Bienvenida del Comité Organizador
contribuciones organizadas en 26, 27 y 33 artículos largos, cortos y resúmenes ya publicados,
de los que los respectivos comités de programa han aceptado 21, 19 y 27, respectivamente. En
total se ha contado con una ratio de aceptación del 77%. Estas cifras indican una participación
en las jornadas que continúa creciendo, y una madurez del sector español de la ciberseguridad
que ya cuenta con un volumen importante de publicaciones de alto impacto.
El formato online de esta edición de las jornadas nos ha motivado a organizar las jornadas
de modo más compacto, distinguiendo por primera vez entre actividades plenarias (charlas
invitadas, mesas redondas, sesión de formación e innovación educativa, sesión de transfe-
rencia de tecnología, junto a inauguración y clausura) y sesiones paralelas de presentación de
artículos científicos. En concreto, se han organizado 10 sesiones de presentación de artículos
científicos en dos líneas paralelas, sobre las siguientes temáticas: detección de intrusos y gestión
de anomalías (I y II), ciberataques e inteligencia de amenazas, análisis forense y cibercrimen,
ciberseguridad industrial, inteligencia artificial y ciberseguridad, gobierno y riesgo, tecnologías
emergentes y entrenamiento, criptografía, y finalmente privacidad.
En esta edición de las jornadas se han organizado dos números especiales de revistas con
elevado factor de impacto para que los artículos científicos mejor valorados por el comité de
programa científico puedan enviar versiones extendidas de dichos artículos. Adicionalmente, se
han otorgado premios al mejor artículo en cada una de las categorías. En el marco de las JNIC
también hemos contado con la participación de la Red de Excelencia Nacional de Investigación
en Ciberseguridad (RENIC), impulsando la ciberseguridad a través de la entrega de los premios
al Mejor Trabajo Fin de Máster en Ciberseguridad y a la Mejor Tesis Doctoral en Ciberseguridad. Tam-
bién se ha querido acercar a los jóvenes talentos en ciberseguridad a las JNIC, a través de un CTF
(Capture The Flag) organizado por la Universidad de Extremadura y patrocinado por Viewnext.
Desde el equipo que hemos organizado las JNIC2021 queremos agradecer a todas aquellas
personas y entidades que han hecho posible su celebración, comenzando por los autores de
los distintos trabajos enviados y los asistentes a las jornadas, los tres ponentes invitados, las
personas y organizaciones que han participado en las dos mesas redondas, los integrantes de
los distintos comités de programa por sus interesantes comentarios en los procesos de revisión
y por su colaboración durante las fases de discusión y debate interno, los presidentes de las
sesiones, la Universidad de Extremadura por organizar el CTF y la empresa Viewnext por
patrocinarlo, los técnicos del área TIC de la UCLM por el apoyo con la plataforma de comu-
nicación, los voluntarios de la UCLM y al resto de organizaciones y entidades patrocinadoras,
entre las que se encuentra la Escuela Superior de Informática, el Departamento de Tecnologías
y Sistemas de Información y el Instituto de Tecnologías y Sistemas de Información, todos ellos
de la Universidad de Castilla-La Mancha, la red RENIC, las cátedras (Telefónica e Indra)
y aulas (Avanttic y Alpinia) de la Escuela Superior de Informática, la empresa Cojali, y muy
especialmente por su apoyo y contribución al propio INCIBE.
Manuel A. Serrano, Eduardo Fernández-Medina
Presidentes del Comité Organizador
Cristina Alcaraz
Presidenta del Comité de Programa Científico
Noemí de Castro
Presidenta del Comité de Programa de Formación e Innovación Educativa
Guillermo Calvo Flores
Presidente del Comité de Transferencia Tecnológica
8Índice General
Comité Ejecutivo.............................................................................................. 11
Comité Organizador........................................................................................ 12
Comité de Programa Científico....................................................................... 13
Comité de Programa de Formación e Innovación Educativa........................... 15
Comité de Transferencia Tecnológica............................................................... 17
Comunicaciones
Sesión de Investigación A1: Detección de intrusiones y gestión de anomalías I 21
Sesión de Investigación A2: Detección de intrusiones y gestión de anomalías II 55
Sesión de Investigación A3: Ciberataques e inteligencia de amenazas............. 91
Sesión de Investigación A4: Análisis forense y cibercrimen............................. 107
Sesión de Investigación A5: Ciberseguridad industrial y aplicaciones.............. 133
Sesión de Investigación B1: Inteligencia Artificial en ciberseguridad............... 157
Sesión de Investigación B2: Gobierno y gestión de riesgos.............................. 187
Sesión de Investigación B3: Tecnologías emergentes y entrenamiento en
ciberseguridad................................................................................................... 215
Sesión de Investigación B4: Criptografía.......................................................... 235
Sesión de Investigación B5: Privacidad............................................................. 263
Sesión de Transferencia Tecnológica................................................................ 291
Sesión de Formación e Innovación Educativa.................................................. 301
Premios RENIC.............................................................................................. 343
Patrocinadores................................................................................................. 349
9Comité Ejecutivo
Juan Díez González INCIBE
Luis Javier García Villalba Universidad de Complutense de Madrid
Eduardo Fernández-Medina Patón Universidad de Castilla-La Mancha
Guillermo Suárez-Tangil IMDEA Networks Institute
Andrés Caro Lindo Universidad de Extremadura
Pedro García Teodoro Universidad de Granada. Representante
de red RENIC
Noemí de Castro García Universidad de León
Rafael María Estepa Alonso Universidad de Sevilla
Pedro Peris López Universidad Carlos III de Madrid
11Comité Organizador
Presidentes del Comité Organizador
Eduardo Fernández-Medina Patón Universidad de Castilla-la Mancha
Manuel Ángel Serrano Martín Universidad de Castilla-la Mancha
Finanzas
David García Rosado Universidad de Castilla-la Mancha
Luis Enrique Sánchez Crespo Universidad de Castilla-la Mancha
Actas
Antonio Santos-Olmo Parra Universidad de Castilla-la Mancha
Difusión
Julio Moreno García-Nieto Universidad de Castilla-la Mancha
José Antonio Cruz Lemus Universidad de Castilla-la Mancha
María A Moraga de la Rubia Universidad de Castilla-la Mancha
Webmaster
Aurelio José Horneros Cano Universidad de Castilla-la Mancha
Logística y Organización
Ignacio García-Rodriguez de Guzmán Universidad de Castilla-la Mancha
Ismael Caballero Muñoz-Reja Universidad de Castilla-la Mancha
Gregoria Romero Grande Universidad de Castilla-la Mancha
Natalia Sanchez Pinilla Universidad de Castilla-la Mancha
12Comité de Programa Científico
Presidenta
Cristina Alcaraz Tello Universidad de Málaga
Miembros
Aitana Alonso Nogueira INCIBE
Marcos Arjona Fernández ElevenPaths
Ana Ayerbe Fernández-Cuesta Tecnalia
Marta Beltrán Pardo Universidad Rey Juan Carlos
Carlos Blanco Bueno Universidad de Cantabria
Jorge Blasco Alís Royal Holloway, University of London
Pino Caballero-Gil Universidad de La Laguna
Andrés Caro Lindo Universidad de Extremadura
Jordi Castellà Roca Universitat Rovira i Virgili
José M. de Fuentes García-Romero
de Tejada Universidad Carlos III de Madrid
Jesús Esteban Díaz Verdejo Universidad de Granada
Josep Lluis Ferrer Gomila Universitat de les Illes Balears
Dario Fiore IMDEA Software Institute
David García Rosado Universidad de Castilla-La Mancha
Pedro García Teodoro Universidad de Granada
Luis Javier García Villalba Universidad Complutense de Madrid
Iñaki Garitano Garitano Mondragon Unibertsitatea
Félix Gómez Mármol Universidad de Murcia
Lorena González Manzano Universidad Carlos III de Madrid
María Isabel González Vasco Universidad Rey Juan Carlos I
Julio César Hernández Castro University of Kent
Luis Hernández Encinas CSIC
Jorge López Hernández-Ardieta Banco Santander
Javier López Muñoz Universidad de Málaga
Rafael Martínez Gasca Universidad de Sevilla
Gregorio Martínez Pérez Universidad de Murcia
13David Megías Jiménez Universitat Oberta de Cataluña
Luis Panizo Alonso Universidad de León
Fernando Pérez González Universidad de Vigo
Aljosa Pasic ATOS
Ricardo J. Rodríguez Universidad de Zaragoza
Fernando Román Muñoz Universidad Complutense de Madrid
Luis Enrique Sánchez Crespo Universidad de Castilla-La Mancha
José Soler Technical University of Denmark-DTU
Miguel Soriano Ibáñez Universidad Politécnica de Cataluña
Victor A. Villagrá González Universidad Politécnica de Madrid
Urko Zurutuza Ortega Mondragon Unibertsitatea
Lilian Adkinson Orellana Gradiant
Juan Hernández Serrano Universitat Politécnica de Cataluña
14Comité de Programa de Formación e Innovación Educativa
Presidenta
Noemí De Castro García Universidad de León
Miembros
Adriana Suárez Corona Universidad de León
Raquel Poy Castro Universidad de León
José Carlos Sancho Núñez Universidad de Extremadura
Isaac Agudo Ruiz Universidad de Málaga
Ana Isabel González-Tablas Ferreres Universidad Carlos III de Madrid
Xavier Larriva Universidad Politécnica de Madrid
Ana Lucila Sandoval Orozco Universidad Complutense de Madrid
Lorena González Manzano Universidad Carlos III de Madrid
María Isabel González Vasco Universidad Rey Juan Carlos
David García Rosado Universidad de Castilla - La Mancha
Sara García Bécares INCIBE
15Comité de Transferencia Tecnológica
Presidente
Guillermo Calvo Flores INCIBE
Miembros
José Luis González Sánchez COMPUTAEX
Marcos Arjona Fernández ElevenPaths
Victor Villagrá González Universidad Politécnica de Madrid
Luis Enrique Sánchez Crespo Universidad de Castilla – La Mancha
17Sesión de Investigación A5: Ciberseguridad industrial y aplicaciones
http://doi.org/10.18239/jornadas_2021.34.36
Retos de ciberseguridad en automoción.
Cifrando el bus CAN
Estibaliz Amparan Calonge Alejandra Ruiz
TECNALIA, Basque Research and Technology TECNALIA, Basque Research and Technology
Alliance (BRTA) Alliance (BRTA)
Derio Derio
estibaliz.amparan@tecnalia.com alejandra.ruiz@tecnalia.com
Resumen- Se pretende profundizar en las necesidades de del exterior. Pero el incremento de posibles puntos de
ciberseguridad en las comunicaciones intra-vehiculares. La conexión y pruebas realizadas con éxito de ataques en el
tecnología de los vehículos conectados es tendencia, y más vehículo ha provocado que se empiece a diseñar una
recientemente con la entrada de la tecnología 5G para arquitectura no solo tolerante a los fallos que se originen por
comunicar los vehículos. Se viene innovando en la protección de su propia naturaleza sino también a las provocadas por
las nuevas redes de comunicación entre vehículos, no obstante,
este no son el único punto vulnerable de los vehículos. La
atacantes. La ¡Error! No se encuentra el origen de la
principal red de comunicación interna de los sistemas críticos referencia. muestra los protocolos actualmente existentes de
del vehículo, la conocida como Controller Area Network (CAN) comunicación internas de un vehículo cada uno encargado de
se ha visto vulnerada en distintos ataques- Este documento la transmisión de ciertos datos como por ejemplo el protocolo
recoge las vulnerabilidades del bus CAN y la aplicación de MOST, que es el encargado de la transmisión de los datos
técnicas de cifrado para obtener autenticidad e integridad de los multimedia.
datos.
Index Terms- ciberseguridad, CAN bus, automoción, cifrado,
integridad, autenticidad
Tipo de contribución: Investigación en desarrollo
I. Introducción
En esta última década se está produciendo una nueva
revolución llamada la revolución digital en automoción. Esta
revolución consiste en la comunicación entre el vehículo y
otros sistemas externos a él (vehículos, infraestructuras,
dispositivos móviles), abriendo las puertas al cambio de
información. La información que se comparte con los demás Figura 1: Comunicaciones internas del vehículo. [1]
vehículos permite conocer la situación del tráfico de nuestra
ruta ayudándonos a evitar atascos e incluso a prevenir
II. Retos de la seguridad en los vehículos
accidentes. Además, con los smartphones se puede conocer y
controlar el estado de nuestro vehículo y actuar de forma
remota, por ejemplo, iniciando el motor del coche, ajustando El tema de la seguridad es uno de los problemas más
la climatización del vehículo y abriéndolos. Incluso se puede importantes de los sistemas ciber físicos como lo son por
manejar el software reproduciendo música o utilizando el ejemplo los aviones, los trenes y los vehículos. Asegurarse de
navegador GPS. Por desgracia, estos avances tecnológicos que van a funcionar correctamente es crucial, de no ser así
generan una alta superficie de ataque que tiene como objetivo puede provocar grandes daños físicos en la integridad de las
el control del vehículo. Estos puntos de comunicación, hacen personas. Desgraciadamente la seguridad ante posibles
que un usuario externo sea capaz de llegar a obtener el control ataques dentro de los automóviles es desconocida tanto por
del vehículo. los usuarios como por los fabricantes, donde en muchas
ocasiones no se toman las medidas pertinentes.
En los años 60 se comenzó a sustituir partes mecánicas del
vehículo por otras electrónicas con el objetivo de mejorar la Uno de los retos más importantes del mundo de la
fiabilidad. En los años 80 se produjo uno de los cambios más automoción es aplicar la seguridad en los vehículos donde
importantes a destacar, que fue el desarrollo del protocolo hasta ahora no se le había dado importancia ya que la
CAN bus. Un protocolo de comunicación para el intercambio comunicación de los vehículos con el exterior era mínima. De
de información entre unidades de control electrónicas. Hasta forma local un atacante puede acceder a la red de
hoy, no se había contemplado la seguridad en el medio de comunicaciones del vehículo a través del puerto estándar de
comunicación CAN, por encontrarse prácticamente aislado diagnóstico OBD II (On Board Diagnostics) y manipularlo.
Además, también se pueden realizar ataques a través de USB,
153Sesión de Investigación A5: Ciberseguridad industrial y aplicaciones
CD y DVD, pero como requieren un acceso físico este se para hacerlo y poder bloquearlo hacen falta cambios al
vuelve más inaccesible. standard.
Inevitablemente los vehículos se están volviendo más Investigadores de la universidad de California en San
accesibles de forma remota. La superficie de ataque se Diego, demostraron en 2015 que eran capaces de explotar las
extiende de forma exponencial en el momento en el que se vulnerabilidades del puerto OBD a través de un dispositivo
añaden nuevos puntos de comunicaciones como, WiFi, comúnmente usado por empresas de seguros y seguimiento de
bluetooth o redes de telefonía móvil como 4G o 5G. Además, flotas. A través de la llave electrónica conectada al Puerto
los sistemas de automatización actuales almacenan y procesan ODB y usando remotamente un SMS, explotaron la
datos del perfil de los usuarios, hábitos y comportamientos, vulnerabilidad y transmitieron mensajes CAN para poder
como, por ejemplo, datos personales de navegación o datos de controlar el vehículo, por ejemplo, frenándolo. Entre las
info-entretenimiento. compañías que usaban estos dispositivos está la española
Coordina, no obstante, informaron que la vulnerabilidad solo
se daba en dispositivos antiguos y que estaban
I. Ejemplos de ataques actualizándolos. [6]
Es bien conocido el ataque que realizaron y publicaron
Charlie Miller y Chris Valasek quienes fueron capaces de De una manera similar en [7], presentan cómo utilizando
conducir remotamente un Jeep in 2015, tomando control del herramientas disponibles para el mantenimiento de vehículos
vehículo, conducir por una autovía, dirigir al vehículo hacia pesados como camiones o autobuses se puede tomar control
una salida y finalmente frenarlo. Aprovecharon la de las comunicaciones CAN. En este caso, se aprovecha del
vulnerabilidad del Sistema Uconnect, un Sistema que permite protocolo J1939 [8], habitual en este tipo de vehículos para la
al vehículo conectarse a Internet permitiendo controlar el integración de comunicaciones de distintos sistemas
sistema de entretenimiento del vehículo, el sistema de desarrollados por distintos proveedores, para inducir a
navegación, hacer llamadas o incluso convertir el vehículo en comportamientos no deseados de los sistemas de control.
un hot spot de WiFi. A través de este Sistema los atacantes
enviaron comandos al Jepp a través de su sistema de En 2018 Keen Security Labs reveló tras su estudio de
entretenimiento hasta su ordenador central, girar la dirección, vulnerabilidades sobre vehículos BMW que eran susceptibles
frenar o mandar distintas órdenes al sistema de tracción, todo de ser atacados y el autor tomar control remoto de los buses
ello remotamente. Como consecuencia, 1.4 millones de CAN [9].
coches fueron llamados a revisión. [2]
III. Bus CAN
En [3] se presentan un resumen de una serie de ataques
potenciales en entornos cooperativos como en los que se
El Can-Bus [10] es un protocolo de comunicación en serie
encajan los vehículos autónomos. Petit y Shladover
desarrollado por Bosch para el intercambio de información
analizaron posibles vulnerabilidades sobre infraestructura en
entre unidades de control electrónicas del automóvil. Gracias
la vía, sensórica, mapas internos del vehículo,
a este protocolo de comunicación se produce una gran
comunicaciones internas del vehículo (CAN principalmente)
reducción en el número de sensores y en el cableado que
y comunicaciones con otros entes en entornos cooperativos.
componen la instalación eléctrica. El bus CAN transmite
información de diferentes funciones como el control del
Hasta ahora los expertos en seguridad se centraban en
motor, ABS, la dirección entre otros.
aquellas vulnerabilidades que pueden dar acceso remoto a los
sistemas del vehículo, no obstante, este paradigma está
Una de las desventajas más destacables es la seguridad
cambiando con la creciente tendencia a la compartición de
donde hasta ahora no ha sido necesaria ya que se encontraba
coches o vehículos autónomos, escenarios donde distintos
aislada con el exterior, excepto por una conexión física que se
usuarios tienen acceso al mismo vehículo y hay que poner
emplea para el diagnóstico del vehículo. Por desgracia, la
especial atención en el modelo de ataque al atacante local.
integridad, confidencialidad y disponibilidad de la
Uno de los últimos informes publicados [4] menciona que
información se ve amenazada como resultado de la
sobre los ataques al puerto OBD ya suman el 10.5% de los
interconectividad. Por lo tanto, se deben tomar contramedidas
ataques. A pesar de que es necesaria un acceso físico al
de seguridad para prevenir posibles ataques o para minimizar
puerto, una vez acceden pueden inyectar mensajes maliciosos
los riesgos de dichos ataques. Ninguna contramedida por si
al bus CAN, manipulando el comportamiento del vehículo.
sola tiene éxito para evitar todos los ataques, por lo que
Además, el 27.62% de los ataques analizados en el informe
normalmente se aboga por realizar un “defensa profunda” que
tenían como objetivo el control no autorizado sobre los
no es nada menos que intentar asegurar el sistema a través de
sistemas del vehículo.
una serie de capas, utilizando diferentes estrategias.
En [5] proponen un ataque al CAN bus. Hasta el momento
La criptografía es una técnica que realiza una conversión
los posibles ataques selectivos DoS a dispositivos específicos
de los datos en un formato secreto donde se pueden cumplir
conectados al bus podían ser detectados, especialmente
requisitos de autenticidad, confidencialidad, integridad y no-
aquellos que usaban inyección de frames. El trabajo de
repudiación. En este trabajo se quiere estudiar esta técnica
TrendLabs se diferencia a ataques estudiados previamente en
para mejorar la seguridad del CAN bus pero hay que tener
que reúsa frames ya existentes en el bus a los que modifica un
ciertas limitaciones en cuenta del Bus CAN a la hora de
único bit (de 1 a 0) de una posición específica induciendo un
aplicar los algoritmos de criptografía.
error. Este ataque es paradigmático, ya que no es detectable y
154Sesión de Investigación A5: Ciberseguridad industrial y aplicaciones
• La estructura de mensaje: Esta es la primera y más escondidas la información que circula por el nodo, es
importante cuestión a tener en cuenta. Debemos saber decir, no hay confidencialidad entre de la red de
cómo está definido un mensaje CAN para saber si es comunicación.
posible o no encriptar este mensaje, es decir, saber cómo
está estructurada su trama [11]. En la ¡Error! No se • No hay mecanismos de autenticidad, ya que no hay
encuentra el origen de la referencia. se muestra como ningún modo de identificar el origen del mensaje. El
es la trama del protocolo CAN de forma simplificada. campo de identificación no da información de quien ha
Aunque hay dos formatos de mensaje de dos longitudes enviado el mensaje, por lo tanto, los atacantes pueden
diferentes ambos se dividen en los siguientes 3 campos enviar mensajes falsos con un alto nivel de prioridad
más destacables: a) El campo identificador, este es un comprometiendo el bus o causar problemas enviando
valor numérico que controla su prioridad del mensaje en errores de trama falsos.
el bus, por lo que no hay una dirección explicita en el
mensaje. b) El campo de control especifica el tamaño • Un nodo malicioso puede comprometer al bus
del campo de datos, y por último, c) el Campo de datos enviando mensajes constantemente de una alta
donde se almacena la información que se quiere prioridad provocando que otros nodos no puedan
transmitir. mandar mensajes, es decir, que un atacante puede
implementar una denegación de servicio.
• Actualmente no hay ninguna forma de que un nodo
demuestre que no ha recibido o enviado un mensaje en
particular (no repudio).
Figura 2: Trama simplificada del protocolo CAN
• Las limitaciones que se producen por las estrictas
limitaciones del tiempo real. Los plazos de respuesta
Este protocolo de comunicación está orientado al deben de respetarse siempre de forma estricta y una
mensaje y no al destinatario, es decir, que todos los sola repuesta fuera del intervalo de tiempo
nodos son transmisores y receptores. Todos reciben el especificado puede tener consecuencias fatales para el
mensaje, lo filtran y solo emplean dicho dato los nodos sistema.
que lo necesitan. Los receptores sabrán si necesitan
dicha información a través del campo identificador. Si • La criticidad de la información que se envía a través
se da el caso en que dos o más emisores quieren de este bus normalmente es muy alta y puede ser
introducir un mensaje en el bus al mismo tiempo lo
información de funciones críticas de seguridad
harán a través del número de prioridad donde el que
funcional (functional safety), es decir, cuando un
tenga mayor prioridad, mandará su mensaje primero.
sistema tiene funciones que se dedican a asegurar la
integridad de un proceso que contiene riesgos
• Tamaño del mensaje: Una de las limitaciones a la hora de potenciales que podrían desencadenar en un accidente
asegurar el CAN bus es el ancho de banda. El campo de con implicaciones graves para los seres humanos y su
datos del protocolo envía 8 bytes de información en entorno.
cada trama dificultando la aplicación de algoritmos.
• Por último, la limitación en la cantidad de información
• Tiempo de cómputo: Debido a las limitaciones de la que puede enviarse en cada mensaje. Un mensaje
potencia computacional de una ECU (Engine Control puede contener entre 1 y 8 bytes de datos. Cualquier
nit) la ejecución de instrucciones complejas necesita un dato extra que se vaya a necesitar añadir en el mensaje
mayor tiempo. Además, el software en automoción tiene debe estar incluido en él.
restricciones de tiempo real, en particular a las
aplicaciones que deben ejecutarse en un instante Teniendo en cuenta todas estas desventajas del protocolo
determinado para garantizar la seguridad del vehículo y CAN, se va a estudiar cuales de ellas pueden ser solventadas
sus pasajeros. Por lo tanto, cualquier algoritmo de y cuáles no.
criptografía no puede afectar de forma significativa al
rendimiento de las funciones críticas. I. Seguridad criptográfica en CAN
Con el objetivo de cubrir las nuevas necesidades de
• Ciclo de vida del vehículo: El ciclo de vida de un vehículo seguridad, se ha optado por analizar la criptografía con el
es mucho más largo, alrededor de 20 años, que un objetivo de conseguir la integridad y autentificación de los
ordenador. Por lo tanto, el aseguramiento de sistema datos que circulan por el CAN. Se da más importancia a estas
debe ser suficientemente efectivo a lo largo del tiempo. dos características que a la confidencialidad, ya que
normalmente la información que circula no es información
Algunas de las características que se exaltan como sensible del usuario.
ventajas del bus CAN hacen que, por otro lado, desde el
punto de vista de la seguridad, sean un gran reto. Teniendo en cuenta los retos que se han mostrado en el
apartado anterior la trama del mensaje no puede ser cifrada
• Por la propia naturaleza de transmisión tipo broadcast, por completo, ya que por la propia naturaleza del mensaje
todos los nodos reciben los mensajes y son capaces de CAN es necesario que el campo identificador esté visible para
leerlo, porque esto significa que es posible escuchar a los demás nodos. Ya que como se ha mencionado
155Sesión de Investigación A5: Ciberseguridad industrial y aplicaciones
anteriormente es necesario saber la prioridad de los mensajes computacional. Otro paso que se va a estudiar del que no se
que se quieren enviar en un momento determinado para ha hecho referencia en este artículo es el intercambio y
enviarlos de forma secuencial por su orden de prioridad. De la actualización de las claves de autentificación. Estudiar cada
misma forma cuando el mensaje ha sido enviado todos los cuanto tiempo la clave debe ser actualizada y saber cómo
nodos receptores deben ser capaces de leer el campo evitar la carga del bus debido a este intercambio.
identificador, y de esta forma el receptor será capaz de saber
si debe o no procesar la información. Por lo tanto, se concluye REFERENCIAS
que el campo que puede ir cifrado es el campo de datos.
Todos los demás campos realizan una función que necesitan
[1] In-Vehicle Networking Solutions [Online]
estar en claro.
https://www.renesas.com/us/en/application/automotive/in
La autentificación del mensaje es el objetivo principal. De -vehicle-networking-application
esta forma el receptor sabrá que el mensaje recibido es [2] E. Stenberg, “Securing the Connected Car” Mender.io, pp.
9,https://elinux.org/images/0/01/Securing_the_Connected
legítimo Para ello se ha propuesto usar código de
_Car.pdf
autentificación de mensaje, a menudo llamado por su sigla
[3] J. Petit and S. E. Shladover, “Potential Cyberattacks on
MAC. Teniendo en cuenta las altas restricciones del tiempo
Automated Vehicles, ”IEEE Transactions on Intelligent
real, hay que emplear un algoritmo MAC que sea rápido
usando un tamaño pequeño de clave. También hay que tener Transportation Systems, vol. 16, no. 2, pp. 546–556,
en cuenta que esa MAC va a ser incluida dentro del campo de 2015.
[4] ENISA: “Cyber Security and Resilience of smart cars.
datos del mensaje CAN por lo que es necesario que ocupe
Good practices and recommendations” December 2016;
poco espacio. Según Hiroshi y Ryo [12] un algoritmo que
link: https://www.enisa.europa.eu/publications/cyber-
satisface estas necesidades es el Código de Autenticación de
security-and-resilience-of-smart-cars
Mensajes Hash con clave (HMAC). En criptografía, un
[5] Upstream Security Global Automotive cybersecurity
código HMAC implica una función hash en combinación con
report 2019 https://documents.trendmicro.com/assets/A-
una clave criptográfica secreta. Puede usarse cualquier
Vulnerability-in-Modern-Automotive-Standards-and-
función hash criptográfica como MD5 oSHA-1, puede usarse
How-We-Exploited-It.pdf
en el cálculo de un HMAC. La fuerza del HMAC depende de
[6] Hackers Cut a Corvette's Brakes Via a Common Car
la función hash, del tamaño de su salida hash, y del tamaño y
Gadget [Online]
cualidad de la clave. La MAC será almacenada dentro del
https://www.wired.com/2015/08/hackers-cut-corvettes-
campo de datos junto con la información que será enviada.
brakes-via-common-car-gadget/
[7] Burakova, Yelizaveta et al. “Truck Hacking: An
Experimental Analysis of the SAE J1939 Standard.”
WOOT(2016).
https://keenlab.tencent.com/en/Experimental_Security_A
ssessment_of_BMW_Cars_by_KeenLab.pdf
Figura 3: Campo de datos con MAC encriptado. [8] SAE J1939 Standards Collection,
https://www.sae.org/publications/collections/content/j193
Si se aplica la criptografía como se ha definido 9_dl/
anteriormente, se consigue obtener integridad y autenticidad [9] Keen Security Lab, “Experimental Security Assessment of
de la información. Pero para conseguir la seguridad completa BMW Cars: A Summary Report” 2018,
falta asegurar la disponibilidad, es decir, que la información o https://keenlab.tencent.com/en/whitepapers/Experimental
el servicio debe estar disponible cuando sea necesario. ¿Cómo _Security_Assessment_of_BMW_Cars_by_KeenLab.pdf
se puede evitar un ataque de denegación de servicio en este [10] ISO 11898 Road vehicles - Controller area network
protocolo? A través de la criptografía no se consigue evitar, (CAN)[Online] https://www.iso.org/standard/63648.html
ya que un atacante solo necesita inyectar continuamente un [11] S.Corrigan, “Introduction to the Controller Area Network
mensaje con una alta prioridad para bloquear los demás (CAN)”, Texas Instruments Report May 2016
mensajes. [12] U. Hiroshi, “Security Authentication System for In-
Vehicle Network”, SEI Technical Review October 2015
IV. Próximos pasos y Conclusiones
La exposición de los vehículos a nuevas redes de
comunicación exterior requiere que se aseguren las
comunicaciones internas de cada vehículo. Por desgracia,
implementar la criptografía genera un coste adicional en el
procesamiento de los datos y en el retardo en los plazos de
respuesta provocando una gran limitación en la seguridad que
se podría añadir al bus
Uno de los siguientes pasos es recopilar el estado del arte
de todas las metodologías que se han ido desarrollando con el
objetivo de obtener la autenticidad en el CAN y
posteriormente aplicar los algoritmos criptográficos más
interesantes, y comparar su rendimiento en tiempo y coste
156También puede leer
