[English post below]

Hace unas semanas, estaríamos de vuelta del viaje a Alemania para asistir a la 18ª edición del ESCAR Europe. Seguramente muy emocionados compartiendo todo lo aprendido en el congreso, abriendo nuevas oportunidades de negocio surgidas de los cafés de networking y fardando con los amigos de aprovechar la ocasión para visitar ciudades, museos de automoción, circuitos...

En esta ocasión y con mucho criterio, el congreso se ha realizado en modalidad online. Pero esto no significa que haya sido monótono y distante, sino una experiencia alternativa y positiva. Los organizadores han hecho uso de las aplicaciones y plataformas que mejor se adaptan a las necesidades de un congreso, junto a una retransmisión en directo coordinada desde una realización estilo televisión, de tal forma que las ponencias se sucedían de forma ordenada siendo previamente presentadas y comentadas por lo organizadores del evento, sin dejar al margen la interacción con los espectadores.

Las ponencias se dividían en múltiples salas: La sala principal del evento (Talque app) y las salas correspondientes a los patrocinadores (Cisco Webex, MS Teams, Zoom Video...). El problema que se plantea en este formato online y que sería óptimo mejorar de cara a posteriores ediciones, es que no hay tiempo para realizar el cambio de sala. Sería óptimo facilitar un breve intervalo de tiempo que permita cambiar de la aplicación principal del evento a las plataformas secundarias empleadas por los patrocinadores, ya que no hay margen para hacer el cambio de sala entre el final de una ponencia y el comienzo de otra, perdiendo siempre el tiempo de preguntas de la ponencia actual o la introducción de la siguiente.

Si algo caracteriza a ESCAR respecto otras conferencias, es su enfoque sobre ciberseguridad en el sector de la automoción, añadiendo este año pinceladas sobre ciberseguridad en infraestructura ferroviaria. Repasando la temática de este año [1], de nuevo ha sido muy amplia y de gran calidad, actualizada y contando con la participación de profesionales reconocidos en el sector. Se ha podido asistir a ponencias de todo tipo de especialidades técnicas relacionadas con la ciberseguridad en automoción, ya sea normativa aplicable, análisis de riesgos, hardware hacking, monitorización de ECUs y seguridad ante computación cuántica entre otros. En futuros posts comentaremos estas temáticas en profundidad.

Para aquellos que estén acostumbrados a asistir a conferencias técnicas de ciberseguridad, notarán una diferencia muy grande en que gran parte del espacio temporal es ocupado por ponencias de las empresas patrocinadoras, en las cuales explican las novedades introducidas por sus productos y su aproximación a las nuevas necesidades del mercado, generalmente a alto nivel sin entrar en el detalle técnico que nos gustaría conocer.

El oscurantismo característico de la industria de la automoción se hace notar de nuevo en esta edición. A falta de pocas semanas para que entre en aplicación el Reglamento de Naciones Unidas (WP.29) ECE/TRANS/WP.29/2020/79 [2] que afectará a 54 países miembro, no se ha presentado ninguna ponencia de OEMs que expliquen su visión de cómo se está abordando la nueva normativa, problemas de inconsistencia que puedan haber detectado, nuevas tecnologías y procesos introducidos o algún tipo de comentario que indique qué se está haciendo al respecto.

El hecho de que rara vez se publique un CVE asociado a un vehículo no nos sorprende, pero ver en una gráfica el total de CVEs de las principales marcas de la industria nos debería de abrir los ojos.

En la imagen superior, mostrada en la ponencia Global Automotive Cybersecurity [3], se resume el panorama de vulnerabilidades descubiertas en productos del sector. Como se puede apreciar, el número de CVEs publicados es diminuto en comparación con el mundo IT, de hecho muchas marcas reconocidas no tienen ningún CVE publicado. Este listado es encabezado por Tesla, seguido por BMW y Mercedes-Benz. En mi opinión, que una marca tenga CVEs no es malo, es bueno. Cualquier sistema que disponga de la complejidad tecnológica de un coche es altamente probable que presente vulnerabilidades con el avance de la tecnología, por lo que aceptar públicamente los errores y demostrar su corrección es la mejor forma de exponer que se está tomando la ciberseguridad en serio y se está haciendo un buen trabajo al respecto.

Para complementar las ponencias, se han propuesto tres talleres de una duración de tres horas, de los cuales, he tenido la oportunidad de asistir al taller Automotive Cybersecurity Testing. Éste han sido tres horas de puro marketing del proceso, haciendo una acertada aproximación teórica pero solo incluyendo pinceladas a nivel técnico. No es una sorpresa, ya que la presencia de metodologías de testing de ciberseguridad de vehículos es prácticamente inexistente. De ahí la importancia de participar en el desarrollo del proyecto Open Mobility Security Project [4] y que este sea adoptado como herramienta de referencia.

De cara a la siguiente edición, me gustaría que aumentasen los contenidos a nivel técnico sobre las tecnologías E/E que componen los vehículos y algo menos de procesos a alto nivel, ya que estos pueden llegar a ser repetitivos, pero siempre manteniendo un amplio espectro temático que satisfaga a todos los asistentes.

Para todos aquellos que no hayáis podido asistir y os gustaría poder acceder a los contenidos, en la página web de ESCAR [5], en su área de descargas, con un simple registro tendréis acceso a todos los papers y presentaciones de las pasadas ediciones, en su versión europea y norteamericana. Además, una vez finalizado el congreso, las ponencias pueden ser vistas en diferido en la misma plataforma de streaming empleada, algo muy útil en caso de no poder asistir a dos ponencias solapadas en el tiempo o mismamente si se desea hacer un repaso.

Espero que el próximo año sea posible la celebración presencial del 19th ESCAR Europe y de nuevo podamos compartir allí nuestro conocimiento y experiencia con profesionales provenientes de todo el mundo.

Referencias

[1] https://www.flu-project.com/2020/12/18th-escar-europe.html

[2] http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf

[3] Global Automotive Cybersecurity. Upstream Security. ESCAR Europe 2020.

[4] https://www.flu-project.com/2020/03/open-mobility-security-project-omsp-is-released.html

[5] https://www.escar.info/downloads.html

18th ESCAR Europe. Review.

A few weeks ago, we would be back from the trip to Germany to attend 18th ESCAR Europe. For sure sharing excited everything learned in the congress, opening new job opportunities from networking coffees and showing off to our friends the occasion to visit cities, automotive museums, circuits...

On this occasion and with great judgment, the congress was online. But this doesn't mean that it was monotonous and distant, but a positive and alternative experience. Organizers have made use of the best apps and platforms to develop a congress, with a live broadcast coordinated as a tv show in such a way presentations were made in order and previously commented, without leaving behind the interaction of viewers.

Presentations were divided in multiple rooms: The main room (Talque app) and partner's rooms (Cisco Webex, MS Teams, Zoom Video...). The problem with this distribution in an online event and which will be great to improve for next editions, is that there is no spare time to change between room apps. It would be optimum to set some time for it without losing the questions time or the start of the next presentation.

If something is characteristic to ESCAR it is its focus over automotive cybersecurity, adding this year some railway cybersecurity. Making a review of this year's topics [1], as always it was large and with a lot of quality, up to date and having renamed professionals. It has been possible to attend presentations with all kinds of automotive cybersecurity specialties as regulation compliance, risk analysis, hardware hacking, ECU monitoring and security against quantum computing between much more. We will speak in depth about some topics in later posts.

Those who are used to assist to general cybersecurity focused conferences will notice much difference in the format, because partner's presentations take up most of the time, where they explain their new products and their approximation to market necessities, usually without the deep technical detail that we would like.

The obscurantism characteristic from the automotive industry it is noticed again in this year's edition. In the absence of a few weeks to enter into application United Nations (WP.29) ECE/TRANS/WP.29/2020/79 [2], that will affect to 54 signing parties, there wasn't any OEM's presentation explaining it's vision about how it will affect the market, inconsistency problems in the regulations, new technologies in development or some kind of comment about what they are doing about it.

It's not a surprise that rarely an automotive related CVE is published, but looking to a graphic that contains the total of CVEs of main brands should make us open our eyes.

In the picture above, showed in Global Automotive Cybersecurity presentation [3], it is summarized almost every vulnerability discovered in this industry. As you can see, the number of published automotive CVEs is tiny compared against IT's CVEs, in fact many brands have none. This list is headed by Tesla, followed by BMW and Mercedes-Benz. In my opinion, having CVEs is not a bad thing, its fine. Any system as technologically complex as a car will have vulnerabilities over technology development very probably, so publicly acknowledging errors and demonstrating its correction is the best way to show that cybersecurity is seriously taken into account.

Three simultaneous workshops complemented presentations, each one with a duration of three hours. I had the opportunity to assist to Automotive Cybersecurity Testing Workshop. Those three hours have been purely marketing about testing process making a correct theoretical approach but without much technical knowledge. It wasn't a surprise, because vehicle testing frameworks are almost inexistent. There is the importance to involve into the development of the Open Mobility Security Project [4] and that this framework will be adopted as a reference tool.

Facing the next edition, I would like to see more technical content over E/E vehicle components and less high level content about related processes that could be repetitive, but always keeping a large topic content that satisfies all attendees.

For all of you that couldn't assist and would like to view the full contents, with a simple registry in ESCAR's download page [5], you can download all present and past papers and presentations from the European and North American editions. Once the congress has ended, you can review all presentation recordings as well. It is very useful if you couldn't assist or if some presentations were overlapped at the same time.

I hope that 19th ESCAR Europe can take place physically and that there we could share again our knowledge and experience with professionals coming from around the world.