(Nota: no soy un experto en vehículos sin conductor ni un experto en ciberseguridad, pero he hablado sobre este problema con algunos de ellos en CMU y en otros lugares).
Existen diferentes tipos de amenazas, algunas más “pirateables” que otras.
Creo que debería ser bastante posible hacer que un vehículo autónomo sea seguro de ser “tomado” o incluso deshabilitado por un exploit que ingresa a través de Internet o la red de un teléfono celular. Simplemente configura las cosas para que, bajo ninguna circunstancia , el sistema del automóvil (cualquiera de ellos, incluidos los accesorios involucrados en la conducción y la navegación del automóvil) tome algo de la red y lo mezcle con el código de conducción crítico o lo use como instrucciones a seguir sin crítica.
Sin duda, algunos fabricantes se equivocarán, dejando vulnerabilidades en el código que pueden ser explotadas. Pero si se sigue cuidadosamente el principio de tratar cualquier información descargada como potencialmente hostil, ese es probablemente un principio de diseño lo suficientemente simple como para que pueda implementarse correctamente (por personas realmente buenas en ciberseguridad).
- Gano más dinero del que gasto, ¿qué debo hacer con el resto (tengo 25 años)?
- Estoy desesperadamente preocupado por mi hámster. Ya no saldrá por la noche a menos que sea por comida y agua. ¿Qué tengo que hacer?
- Siempre me quemo y luego me detengo con todo el pensamiento exitoso y los buenos hábitos recién formados debido a la fatiga. ¿Cómo puedo cambiar eso?
- ¿Por qué mi hijo nunca apesta incluso cuando no se baña durante una semana?
- ¿Por qué admiro tanto a Tywin Lannister?
Algunos fabricantes cederán a la tentación de, por ejemplo, descargar actualizaciones de software y parches de la red. “Solo este pequeño agujero en el cortafuegos … ¿qué podría salir mal?” Es posible permitir actualizaciones de software firmadas criptográficamente, verificadas por hardware en el automóvil. Pero la seguridad de eso dependerá de la fuerza de la criptografía y de no tener un atacante interno en la compañía de automóviles que pueda robar las claves criptográficas o deslizar algo en la tubería de actualizaciones. Por lo tanto, es mucho más difícil (tal vez imposible en la práctica) implementarlo de manera segura.
Si alguien, tal vez un concesionario de automóviles, tiene acceso físico real al vehículo, entonces puede reemplazar el programa de control autorizado con lo que quiera, y el conductor podría no saber la diferencia hasta que se ordene el automóvil a través de alguna señal de Internet para pasar por un acantilado o en una multitud.
Hacer eso requiere un ataque más sofisticado. Debe usar la mayor parte del software existente para que el automóvil parezca el mismo, y evitar cualquier comprobación de firma de hardware y comprobación de cordura en el hardware del automóvil, mientras coloca las puertas traseras necesarias. Entonces, alguien que trabaja en su sótano, sin acceso a las listas de códigos y otra información privilegiada de la compañía de automóviles, probablemente no podría hacer eso. Pero un gobierno hostil u organización terrorista con muchos recursos podría hacer esto.
(O, por supuesto, con acceso físico, los malos podrían hacerlo a la antigua usanza e instalar una bomba).
Los futuros automóviles sin conductor obtendrán una gran ventaja al comunicarse entre sí y con recursos externos que proporcionan, por ejemplo, actualizaciones sobre las condiciones del tráfico y la construcción, y señalan a los automóviles cercanos sobre sus intenciones. Puede seguir al automóvil mucho más de cerca si está indicando claramente si tiene la intención de acelerar o detenerse repentinamente.
Obviamente, queremos asegurarnos de que si esta información externa desaparece repentinamente (debido a un atasco o alguna información de que el sistema externo ha sido comprometido), el automóvil procederá de manera segura, aunque no de manera óptima. Y eso incluye no solo evitar una colisión, sino no detenerse en un lugar inseguro donde los secuestradores lo están esperando. Si las cosas se diseñan con mucho cuidado, probablemente sea posible lograrlo con gran confianza.
Más difícil es la posibilidad de que la información externa pueda ser falsificada. Quizás su GPS podría recibir información de que todas las rutas razonables están bloqueadas por la construcción, por lo que el automóvil debe elegir un desvío que lo lleve a un lugar inseguro. O el auto que está adelante puede indicar que está a punto de acelerar cuando, de hecho, va a frenar muy fuerte.
Una vez más, este tipo de amenaza puede minimizarse creyendo solo información firmada criptográficamente. Y, nuevamente, la seguridad depende de la calidad de la criptografía, la competencia de las personas que implementan y certifican esto, y de no tener un ataque interno a ninguno de los proveedores de información críticos para la seguridad.
Hay muchas otras cosas de las que preocuparse, pero me detendré allí. Hay muchas formas en que los automóviles (con o sin conductores humanos) pueden ser peligrosos. Para la mayoría de nosotros, tener nuestros autos secuestrados por hackers está muy por debajo de la lista, muy por debajo de borrachos e idiotas que envían mensajes de texto mientras conducen. Pero piratear automóviles no puede ser tan fácil que los ciberataques se vuelvan frecuentes. Y necesitamos un nivel de seguridad mucho más alto para las personas con enemigos poderosos y bien financiados, como los líderes del gobierno.