É mais fácil para o seu carro ser hackeado do que você imagina: Como se proteger

Views: 399
0 0
Read Time:8 Minute, 28 Second

Carros modernos são computadores sobre rodas, o que significa que hackers hostis podem violar o software do seu carro e fazer o que quiserem com muito mais facilidade do que você imagina.

Moshe Shlisel sabe exatamente como alguém pode hackear seu carro. Felizmente, ele é um dos mocinhos. Sua empresa é especializada em segurança cibernética. Sua equipe procura vulnerabilidades nos carros para identificar os riscos e, em seguida, ajudar a se proteger contra eles.

Em sua experiência, quase todos os carros modernos na estrada hoje são extremamente vulneráveis a serem hackeados. E está acontecendo no mundo real, embora receba atenção mínima e a sociedade seja em grande parte ingênua sobre quantos hacks de carros e outros hacks industriais ocorreram, disse Shlisel.

Em 2019, por exemplo, os EUA Os veículos blindados Stryker do Exército foram hackeados, comprometendo alguns de seus sistemas, de acordo com relatórios no The Drive e ArmyTimes.

Em junho do ano passado, a Forbes informou que quase todos os fabricantes de automóveis foram hackeados e houve um aumento geral nos ataques ao longo dos anos. A Forbes citou o mais recente relatório de Segurança Global da Upstream, escrevendo: “Houve um aumento de 99% nos incidentes de segurança cibernética (150) em 2019, com um aumento anual de 94% desde 2016. As seguradoras estão apenas despertando para a gravidade da ameaça, e algumas estão se perguntando se a segurança cibernética automática é uma questão de defesa nacional.”

“Quanto mais sofisticado for o sistema, mais conectado estiver seu veículo, mais exposto você estará”, disse Shlisel, CEO e cofundador da GuardKnox Cyber Technologies Ltd. em Israel, com subsidiárias em Detroit e Alemanha. “Levamos qualquer modelo (carro) que você pensa e os hackeamos por vários lugares. Posso controlar sua direção, posso desligar e (ligar) seu motor, controlar seus freios, suas portas, seus limpadores, abrir e fechar seu porta-malas.”

Esses são apenas uma fração dos riscos de segurança do veículo. Especialistas em segurança cibernética dizem que hackers profissionais podem obter controle dos sistemas de um veículo ou acessar os dados pessoais de um motorista na maioria dos carros modernos com bastante facilidade, mesmo que estejam sentados do outro lado do mundo. Tudo o que eles precisam fazer é encontrar o endereço IP (Internet Protocol) exclusivo para o seu carro.

Apresenta às montadoras uma tarefa interminável de acompanhar o avanço da tecnologia para ficar um passo à frente dos bandidos. E há medidas sendo tomadas.

“É um jogo de gato e rato, você tem que estar em cima da bola o tempo todo para ficar à frente, caso contrário, se não seguir em frente, será hackeado”, disse Michael Dick, CEO da C2A Security, com sede em Israel e trabalha com montadoras em soluções de segurança cibernética.

Contratando hackers

Nos últimos 15 anos, os fabricantes de automóveis adicionaram cada vez mais software aos veículos.

Hoje, existem 100 milhões de linhas de codificação em um veículo, mais do que em um jato, laptop ou celular, disse Dick.

Parte desse software é escrito por montadoras e outras por fornecedores, o que complica ainda mais o processo de proteção contra forças malévolas, disse ele.

“Se você perguntar a um fabricante que tipo de software está em um veículo, ele não seria capaz de lhe dizer. Em parte, isso se deve a uma cadeia de suprimentos complicada no setor automotivo”, disse Dick.

A C2A Security descobriu que há ataques constantes a sistemas automotivos, como infoentretenimento e conectividade, talvez até sistemas críticos para a segurança que não são publicados, pois normalmente são realizados em um único carro e permanecem entre o hacker e o fabricante do carro.

Dick espera que em algum momento possa haver ataques de ransomware em carros. É aí que um motorista tentará ligar o veículo e receberá uma mensagem dizendo: ” ‘Para ligar seu veículo, você precisará pagar 500 bitcoins’. Não há como contornar isso. Você terá que rebocá-lo e obter todo o novo software para iniciá-lo”, disse ele.

Já se tornou popular roubar cartão de crédito ou informações pessoais, que estão disponíveis no sistema de infoentretenimento do veículo, disse Dick.

“Esses são dois exemplos low-end”, disse Dick. “Eu sei com certeza que isso aconteceu … em laboratórios de segurança cibernética, eles conseguiram hackear carros e depois publicam e dizem ao fabricante de automóveis que estão fazendo isso para mostrar o quão bons eles são. Isso aconteceu várias vezes ao longo do ano.”

No final do ano passado, hackers éticos colocaram software em um drone e o sobrevoaram um Tesla e abriram as portas para o carro, informou a Forbes.

“Teoricamente, você poderia roubar um carro”, disse Dick.

“Quando esses hacks são publicados, isso significa que eles disseram à Tesla e à Tesla que consertaram”, disse Dick. “Mas eles foram capazes de fazer isso.”

Também foi demonstrado, disse ele, que um hacker poderia teoricamente assumir o controle de um veículo ou de muitos veículos de uma só vez, representando uma ameaça à vida e à infraestrutura.

“Imagine que você tem esse ataque em que pega a rodovia mais movimentada às 9h e software malicioso foi colocado em milhares de veículos e todo mundo perde os freios ou vira à esquerda”, disse Dick. “Você teria milhares potencialmente mortos e isso comprometeria o sistema rodoviário.”

Hackers alertam Detroit’s 3

Um dos hackers de veículos mais conhecidos veio em 2015, quando os hackers éticos Charlie Miller e Chris Valasek realizaram um experimento semicontrolado e conseguiram assumir remotamente os controles de um Jeep Cherokee, ativando limpadores de pára-brisa, explodindo o rádio e desligando o motor no meio de uma rodovia, conseguindo-o em uma vala,

Os dois chamaram a atenção da General Motors. Em 2017, a subsidiária autônoma da GM em São Francisco, Cruise, contratou Miller e Valasek.

Um ano depois, a GM lançou o Bug Bounty. A GM trouxe 10 hackers “chapéu branco” escolhidos a dedo — linguagem tecnológica para um hacker ético ou especialista em segurança — para Detroit. A GM pagou a eles uma recompensa ou pagamento em dinheiro por cada “bug” que descobriram em qualquer um dos sistemas de computador dos veículos GM.

A GM encerrou seu programa privado Bug Bounty em 2019, mas tem um programa ativo de recompensa de bugs por meio de seu HackerOne Vulnerability Disclosure Program. HackerOne é um fórum para pesquisadores éticos de segurança cibernética relatarem às empresas vários pontos fracos de segurança.

A Fiat Chrysler, agora chamada Stellantis, tem um programa semelhante em vigor desde 2016. De acordo com Bugcrowd, um relatório fornecido à Detroit Free Press por uma porta-voz da Stellantis, a montadora concedeu 542 hackers benevolentes por encontrar vulnerabilidades ao longo dos anos. Paga a eles de US$ 150 a US$ 7.500 por cada vulnerabilidade descoberta. Nos últimos três meses, o pagamento médio por vulnerabilidade foi de US$422,98, disse Bugcrowd.

No início deste ano, hackers éticos alertaram a Ford Motor Co. de que seu sistema interno cheio de informações proprietárias confidenciais não estava seguro contra forças hostis. Ford disse que acreditava que frustrava uma violação de segurança.

‘Deve permanecer vigilante’

Em 2016, a GM iniciou seu Programa de Divulgação de Vulnerabilidades no HackerOne.

Desde então, os pesquisadores relataram à GM mais de 2.000 áreas vulneráveis, que a GM corrigiu e “mais de 500 hackers foram agradecidos por seu apoio, por isso valorizamos esse relacionamento”, disse Al Adams, diretor de produtos da GM.

Adams lidera uma equipe de segurança cibernética de produtos de cerca de 90 engenheiros e hackers internos em todo o mundo. A GM também contratou de oito a 10 empresas de segurança cibernética terceirizadas para encontrar pontos fracos nos carros da GM.

A GM pratica uma estratégia de “defesa em profundidade”, disse Adams.

“É uma estratégia de segurança na qual projetamos controles de segurança que se sobrepõem”, disse Adams. “Portanto, uma vulnerabilidade que existe, que expõe um controle de segurança, tem um backup para proteger contra isso. São camadas que se sobrepõem e se protegem.”

A Plataforma de Inteligência de Veículos (VIP) da GM, lançada em 2019 nos sedans Cadillac CT5, CT4 e Corvette Stingray, é um exemplo da evolução da segurança cibernética da GM, disse ele.

O software em VIP é autenticado. Isso significa que se um hacker tentasse colocar outro software no sistema do carro para dizer, assumir a direção ou bloquear a ignição, o VIP bloquearia o software estrangeiro porque o sistema saberia que não é autêntico ou autorizado. Além disso, a VIP aprimorou a capacidade de atualização aérea para proteger ainda mais o software do carro. Adams disse até 2023 que a VIP estará na maioria dos modelos da GM.

“Se você considerar os controles de segurança que temos em vigor agora e as melhorias no VIP, estamos em uma boa posição contra o ataque conhecido hoje”, disse Adams. “Mas devemos permanecer vigilantes e garantir que no futuro monitoremos a evolução do ataque e tenhamos uma evolução de nossos controles em paralelo.”

Dirija um carro dos anos 60

Dick disse: “Se você quer estar seguro, tem que dirigir em um carro dos anos 1960.”

Isso é um pouco extremo, mas Adams e Shlisel oferecem algumas outras dicas aos proprietários de carros para se protegerem contra um hack cibernético além do que as montadoras estão fazendo com a segurança cibernética.

—Os consumidores devem exigir que os reguladores façam as montadoras passarem pelo mesmo tipo de escrutínio pela segurança cibernética que deveriam para classificações de segurança, disse Shlisel.

—Não conecte dispositivos via Bluetooth ao seu carro, a menos que os provedores de dispositivos possam garantir que o dispositivo esteja protegido, disse Shlisel.

— Mantenha seu celular atualizado com os controles de segurança mais recentes disponíveis, disse Adams.

— Crie e use senhas fortes para sua conta OnStar ou WiFi no veículo, disse Adams.

— Não insira dispositivos não confiáveis na porta USB. Se você encontrar uma unidade USB no chão, não conecte isso para descobrir o que está nele, disse Adams.

“Há muita conversa sobre segurança cibernética nos dias de hoje porque há uma percepção de que a situação atual não é boa, é uma situação perigosa”, disse Dick. “Existem lidar, radares e câmeras e quanto mais sistemas o carro tem, mais vulnerável é o carro e está progredindo aos trancos e barrancos.”

FONTE: THE DAY

POSTS RELACIONADOS