Si se desea saber cómo de preparados están los propios sistemas conectados para repeler los ciberataques, hay que meterse en la piel de los potenciales atacantes, especialmente en el caso de los vehículos conectados y sus numerosas interfaces. Por ello, los expertos en seguridad de T-Systems, a petición del cliente, llevan a cabo ataques contra los componentes del vehículo conectado mediante pruebas de intrusión.
Los objetivos de un hacker al perpetrar un ataque contra un vehículo conectado son tan diversos como sus métodos. Comprometer los sistemas, robar información confidencial o mermar la disponibilidad de los servicios son solo algunos ejemplos de ello. Poniéndose en la piel de los agresores y de su forma de pensar y de llevar a cabo los ataques, los especialistas en ciberseguridad pueden identificar con mayor seguridad los puntos débiles de la tecnología, comprobarlos e inferir medidas correctoras específicas.
Gracias a las pruebas de intrusión, los expertos de T-Systems comprueban los componentes de hardware, las interfaces, las aplicaciones y las redes del vehículo conectado.
Pruebas exhaustivas basadas en el hardware y el software como ataques glitching, ataques a las interfaces de depuración y ataques de canal lateral, manipulación del circuito impreso, elusión de bloqueos JTAG, ataques contra funciones individuales de una ECU como actualizaciones de software OTA, activación o diagnóstico de funciones, escalación de privilegios, protección, detección de servicios, activación segura de servicios de pago y aplicaciones/servicios integrados en el vehículo (p. ej., servicios de navegación)
Búsqueda de puntos débiles generales, comprobación de la conexión con la unidad central, equipos de control, back-end y servicios de terceros, así como pruebas de aplicaciones para turismos con funciones de comodidad, como la apertura de puertas y el control del aire acondicionado (iOS y Android)
Análisis de las conexiones por radio entre la unidad central y los equipos de control, ataques contra el bus CAN (escenarios de ataques de intermediario) y otras tecnologías de comunicación a bordo (SOME/IP, BroadR-Reach), equipos de control de la red de a bordo (fuzzing de la comunicación UDS), interfaces de medios (USB, ethernet, wifi...), funciones multimedia (p. ej., ataques a través de archivos mp3 manipulados) y otras conexiones como telefonía móvil, NFC, Bluetooth, V2X y tarjeta SD
Pruebas automáticas y ataques manuales contra los procesos de autentificación y detección de nuevos puntos débiles en el software de los sistemas informáticos, análisis del código fuente (C, C++, Autosar, Java, iOS y Android), conceptos criptográficos e implementación en puntos débiles
Las pruebas de intrusión de T-Systems siempre transcurren por dos vías. Los análisis de vulnerabilidad automatizados en su práctica totalidad detectan los puntos débiles de los ataques conocidos contra los sistemas informáticos. No obstante, si identifican lagunas de seguridad desconocidas hasta el momento y, sobre todo, específicas para el automóvil, hacen falta pruebas de intrusión manuales. Estas pruebas flexibles y sistemáticas con métodos y herramientas de ataque realistas pretenden detectar los puntos débiles antes de que puedan ser aprovechados.
El procedimiento se basa en modelos de procedimiento establecidos para la ejecución de pruebas de intrusión.
Las pruebas de las infraestructuras críticas forman parte de la estrategia integral de seguridad informática. Como proveedor de servicios TIC, T-Systems posee los conocimientos y la independencia necesarios para analizar de manera crítica el nivel de seguridad de tus sistemas y aplicaciones. Previamente, determinamos junto contigo el alcance concreto y el tipo de pruebas en función de tus objetivos empresariales y tus necesidades de seguridad. Como resultado de las pruebas de intrusión, T-Systems elabora un informe final detallado en el que se enumeran y priorizan las lagunas de seguridad identificadas y se realizan recomendaciones concretas para su erradicación.
Pruebas de intrusión para automóviles de la mano de un solo proveedor:
Reducción de costes
Fiabilidad
Seguridad
Innovación