Os fornecedores de equipamento original ( OEM ) e os seus fornecedores que estão a ponderar como investir os seus orçamentos podem estar inclinados a abrandar o investimento no combate às ameaças cibernéticas. Até à data, os ataques que encontraram permaneceram relativamente pouco sofisticados e não especialmente prejudiciais.
A análise das conversas nas trocas clandestinas de mensagens criminosas, no entanto, revela que existem peças para ataques generalizados e em múltiplas camadas nos próximos anos. E dado que os ciclos habituais de desenvolvimento da indústria automóvel são longos, esperar que apareçam ataques cibernéticos mais sofisticados a carros conectados não é uma opção prática.
O que os OEMs e fornecedores automotivos do mundo deveriam fazer agora para se preparar para a transição inevitável dos hacks manuais e de modificação de carros de hoje para a personificação de usuários, roubos de contas e outros possíveis ataques de amanhã?
Como a conectividade está mudando o crime automobilístico
À medida que os nossos veículos se tornam mais ligados ao mundo exterior, a superfície de ataque disponível para os cibercriminosos aumenta rapidamente e as novas funcionalidades “inteligentes” da actual geração de veículos em todo o mundo abrem a porta a novas ameaças.
Nossos novos “smartphones sobre rodas” – sempre conectados à Internet, utilizando muitos aplicativos e serviços, coletando enormes quantidades de dados de vários sensores, recebendo atualizações de software sem fio, etc. nossos computadores e dispositivos portáteis já o são hoje.
As empresas automotivas precisam pensar agora sobre essas potenciais ameaças futuras. Um carro que um OEM está planejando hoje provavelmente chegará ao mercado dentro de três a cinco anos. Ele precisará já estar protegido contra o cenário de ameaças cibernéticas que poderá existir até então. Se o carro chegar ao mercado sem as capacidades de cibersegurança necessárias, a tarefa de protegê-lo tornar-se-á significativamente mais difícil.
A probabilidade de ataques substancialmente mais frequentes, tortuosos e prejudiciais é prenunciada pelos ataques complexos a carros conectados que vimos concebidos por investigadores da indústria. Felizmente, os ataques até agora limitaram-se em grande parte a estes exercícios teóricos na indústria automóvel. Modificar carros – por exemplo, desbloquear recursos de um veículo ou manipular a quilometragem – é o máximo que a implementação no mundo real conseguiu.
A conectividade limita algumas das opções típicas disponíveis para criminosos especializados em crimes automobilísticos. A rastreabilidade dos veículos contemporâneos torna a revenda de carros roubados significativamente mais desafiadora e, mesmo que um criminoso consiga desligar um veículo, a perda de recursos associada torna o carro menos valioso para potenciais compradores.
Ainda assim, à medida que a conectividade entre e para além dos veículos se torna mais difundida e complicada, o mesmo acontece com a ameaça. Como poderão evoluir os ataques aos carros conectados do futuro?
Frentes emergentes para ataques de próxima geração
Como os recursos on-line dos carros conectados são gerenciados por meio de contas de usuários, os invasores podem buscar acesso a essas contas para obter controle sobre o veículo. A aquisição destas contas de utilizadores de automóveis surge como a frente emergente de ataque a potenciais cibercriminosos automóveis e até mesmo a organizações criminosas, criando possibilidades maduras para a representação de utilizadores e a compra e venda de contas.
Roubar contas on-line e vendê-las a colaboradores desonestos que podem agir com base nesse conhecimento cria uma série de possíveis ataques futuros para os cibercriminosos automotivos de amanhã:
- Venda de contas de usuário de carro
- Personificar usuários por meio de phishing, keyloggers ou outro malware
- Desbloqueio remoto, partida e controle de carros conectados
- Abrir carros e saquear objetos de valor ou cometer outros crimes pontuais
- Roubar carros e vender peças
- Localizar carros para identificar os endereços residenciais dos proprietários e identificar quando os proprietários não estão em casa
O triângulo do crime toma forma
O cibercrime nos automóveis conectados ainda está na sua infância, mas as organizações criminosas em alguns países estão a começar a reconhecer a oportunidade de explorar a conectividade dos veículos. O levantamento dos fóruns de mensagens clandestinos de hoje revela rapidamente que as peças poderão rapidamente se encaixar para ataques cibernéticos automotivos mais sofisticados nos próximos anos. As discussões em fóruns sobre crimes clandestinos sobre dados que poderiam ser vazados e ferramentas de software necessárias/disponíveis para permitir ataques já estão se intensificando.
Uma postagem de um fórum de auto-modders publicamente pesquisável sobre o sistema multi-deslocamento (MDS) de um veículo para ajustar o desempenho do motor é um símbolo da atividade e das possibilidades atuais.
Outro, em que um usuário de um fórum criminoso clandestino oferece um despejo de dados do fabricante de automóveis, aponta para as possíveis ameaças que provavelmente estão chegando à indústria.
Embora ainda pareçam estar limitados ao acesso regular a dados roubados, compromissos e acessos à rede estão à venda no subsolo. O triângulo do crime (conforme definido pelos analistas criminais) para ataques cibernéticos automotivos sofisticados está se solidificando:
- Alvo — Os carros conectados que os criminosos graves tentarão explorar nos próximos anos estão a tornar-se cada vez mais predominantes no mercado global.
- Desejo – As organizações criminosas encontrarão amplo incentivo de mercado para monetizar contas de carros roubados.
- Oportunidade — Os hackers estão mergulhados em métodos criativos para sequestrar contas de pessoas por meio de phishing, roubo de informações, keylogging, etc.
Penetrando e explorando carros conectados
As formas de obter acesso aos dados dos utilizadores de automóveis conectados são inúmeras: introdução de aplicações maliciosas de infoentretenimento no veículo (IVI), exploração de aplicações IVI e ligações de rede inseguras, aproveitamento de navegadores inseguros para roubar dados privados, e muito mais.
Além disso, existe o risco de exploração de informações de identificação pessoal (PII) e dados telemétricos de veículos (sobre as condições de um carro, por exemplo) armazenados em cockpits inteligentes, para informar e-mails de phishing extremamente personalizados e convincentes.
Aqui está um método pelo qual isso pode acontecer:
- Um invasor identifica vulnerabilidades que podem ser exploradas em um navegador.
- O invasor cria uma página profissional e atraente para oferecer promoções difíceis de resistir a usuários desavisados (cupons de fast-food, descontos em manutenção de veículos para o modelo e ano específico do usuário, informações privilegiadas sobre estoque, etc.)
- O usuário é atraído a visitar a página maliciosa, que contorna os mecanismos de segurança do navegador
- O invasor instala backdoors no sistema IVI do veículo, sem o conhecimento ou permissão do usuário, para obter diversas formas de dados confidenciais (histórico de condução, conversas gravadas por microfones instalados pelo fabricante, vídeos gravados por câmeras embutidas, listas de contatos, mensagens de texto, etc.)
Os possíveis crimes possibilitados por tal processo são amplos. Ao criar um esquema fraudulento para roubar a identidade do usuário, por exemplo, o invasor seria capaz de abrir contas em nome do usuário ou até mesmo enganar uma equipe de serviço OEM para que aprovasse solicitações de verificação – momento em que o invasor poderia abrir remotamente as portas do veículo e permitir que um colaborador roube o carro.
Além disso, os invasores poderiam usar os backdoors que instalaram para se infiltrar no gateway central do veículo através do sistema IVI, enviando mensagens maliciosas para unidades de controle eletrônico (ECUs). Um condutor pode não só perder o controlo do sistema IVI do automóvel e da sua geolocalização e dados de áudio e vídeo, mas também a capacidade de controlar a velocidade, a direção e outras funções críticas de segurança do veículo, bem como a gama de dados vitais armazenados no seus clusters digitais.
Posicionando-se hoje para o cenário de ameaças de amanhã
Até agora pode ter havido relutância entre os OEMs em investir na prevenção de ataques cibernéticos, que ainda não se materializaram no mundo real. Mas um relatório da Gartner Research de 2023, “Automotive Insight: Vehicle Cybersecurity Ecosystem Creates Partnership Opportunities”, está entre as pesquisas do setor que documentam uma mudança nas prioridades.
Impulsionados por fatores como o risco significativo de danos financeiros e de marca causados por ataques cibernéticos por meio de funções de veículos atualizáveis controladas por software, bem como por pressões regulatórias internacionais emergentes, como o regulamento 155 (R155) das Nações Unidas (ONU) e a ISO/SAE 21434 , os OEMs começaram a enfatizar a segurança cibernética.
E hoje, eles estão avaliando ativamente e, em alguns casos, até implementando alguns recursos poderosos:
- Segurança para privacidade e identidade IVI
- Detecção de vulnerabilidades de aplicativos IVI
- Monitoramento do desempenho do aplicativo IVI
- Proteção de aplicativos complementares para carros
- Detecção de URLs maliciosos
- Vigilância de dados pessoais 24 horas por dia, 7 dias por semana
Investir em segurança cibernética na fase de concepção, em vez de após as violações, acabará por revelar-se menos dispendioso e mais eficaz em termos de evitar ou mitigar crimes graves que envolvam roubo de dinheiro, veículos e identidade a partir de dados pessoais comprometidos pelos criminosos empresariais mais experientes e ambiciosos do mundo.
FONTE: HELPNET SECURITY