É mais fácil seu carro ser hackeado do que você pensa
20 de setembro de 2021
Os especialistas em segurança cibernética dizem que os hackers profissionais podem obter o controle dos sistemas de um veículo ou acessar os dados pessoais do motorista na maioria dos carros modernos com bastante facilidade, mesmo que estejam do outro lado do mundo.
Por JAMIE L. LAREAU
Carros modernos são computadores sobre rodas, o que significa que hackers podem violar o software do seu carro e fazer o que quiserem com muito mais facilidade do que você imagina.
Moshe Shlisel sabe exatamente como alguém pode hackear seu carro. Felizmente, ele é um dos mocinhos. Sua empresa é especializada em segurança cibernética. Sua equipe procura vulnerabilidades em carros para identificar os riscos e, em seguida, ajudar a protegê-los.
Em sua experiência, quase todos os carros modernos nas estradas hoje são extremamente vulneráveis a serem hackeados. E está acontecendo no mundo real, embora receba o mínimo de atenção e a sociedade seja bastante ingênua sobre quantos hack de carros e outros hack industriais ocorreram, disse Shlisel.
Em 2019, por exemplo, os veículos blindados Stryker do Exército dos EUA foram hackeados, comprometendo alguns de seus sistemas, de acordo com reportagens do The Drive e do Army Times.
Em junho do ano passado, a Forbes relatou que quase todos os fabricantes de automóveis foram hackeados e houve um aumento geral nos ataques ao longo dos anos.
A Forbes citou a redação do último relatório de Segurança Global da Upstream: “Houve um aumento de 99% nos incidentes de segurança cibernética (150) em 2019, com um aumento de 94% ano a ano desde 2016. As seguradoras estão apenas despertando para a seriedade da ameaça, e alguns estão se perguntando se a segurança cibernética automotiva é uma questão de defesa nacional. ”
“Quanto mais sofisticado for o sistema, quanto mais conectado estiver o veículo, mais exposto você estará”, disse Shlisel, CEO e cofundador da GuardKnox Cyber Technologies Ltd. em Israel com subsidiárias em Detroit e Alemanha.
“Pegamos qualquer modelo (carro) em que você pensou e os hackeamos em vários lugares. Posso controlar sua direção, posso desligar e (ligar) seu motor, controlar seus freios, suas portas, seus limpadores, abrir e fechar seu porta-malas. ”
Esses são apenas uma fração dos riscos para a segurança do veículo. Os especialistas em segurança cibernética dizem que os hackers profissionais podem obter o controle dos sistemas de um veículo ou acessar os dados pessoais do motorista na maioria dos carros modernos com bastante facilidade, mesmo que estejam do outro lado do mundo. Tudo o que eles precisam fazer é encontrar o endereço de protocolo da Internet (IP) exclusivo do seu carro.
Ele apresenta aos fabricantes de automóveis uma tarefa sem fim de acompanhar o avanço da tecnologia para ficar um passo à frente dos bandidos. E há passos sendo dados.
“É um jogo de gato e rato, você tem que estar na bola o tempo todo para ficar à frente, caso contrário, se você não seguir em frente, será hackeado”, disse Michael Dick, CEO da C2A Security, que é baseada em Israel e trabalha com montadoras em soluções de segurança cibernética.
Contratação de hackers
Nos últimos 15 anos, os fabricantes de automóveis adicionaram cada vez mais softwares aos veículos.
Hoje, existem 100 milhões de linhas de codificação em um veículo, mais do que em um jato, um laptop ou um telefone celular, disse Dick.
Alguns desses softwares são escritos por montadoras e outros por fornecedores, o que complica ainda mais o processo de proteção contra forças malévolas, disse ele.
“Se você perguntar a um fabricante que tipo de software está em um veículo, eles não serão capazes de lhe dizer. Em parte, isso se deve a uma complicada cadeia de suprimentos automotiva”, disse Dick.
A C2A Security descobriu que há ataques constantes a sistemas automotivos, como infotainment e conectividade, talvez até sistemas críticos de segurança que não são publicados, uma vez que são normalmente executados em um único carro e permanecem entre o hacker e o fabricante do carro.
Dick espera que em algum ponto possa haver ataques de ransomware em carros. É aí que o motorista tentará dar partida no veículo e receberá uma mensagem que diz: “‘Para ligar o veículo, você precisará pagar 500 bitcoins’. Não há como contornar isso. Você terá que rebocá-lo e obter todos os novos softwares para iniciá-lo”, disse ele.
“Já se tornou popular roubar informações pessoais ou de cartão de crédito, que estão disponíveis no sistema de infoentretenimento do veículo”, disse Dick.
“Esses são dois exemplos simples”, disse Dick. “Eu sei com certeza que aconteceu … em laboratórios de segurança cibernética, eles conseguiram hackear carros e então publicaram e disseram ao fabricante de automóveis que estão fazendo isso para mostrar o quão bons eles são. Isso aconteceu várias vezes ao longo do ano. ”
No final do ano passado, hackers éticos colocaram software em um drone e voaram sobre um Tesla e abriram as portas do carro, informou a Forbes.
“Teoricamente, você poderia roubar um carro”, disse Dick.
“Quando esses hacks são publicados, significa que eles disseram a Tesla e a Tesla os consertou”, disse Dick. “Mas eles foram capazes de fazer isso.”
Também foi demonstrado, disse ele, que um hacker poderia teoricamente assumir o controle de um veículo ou de muitos veículos ao mesmo tempo, representando uma ameaça a vidas e infraestrutura.
“Imagine que você tenha esse ataque em que você pega a rodovia mais movimentada às 9h e um software malicioso foi colocado em milhares de veículos e todo mundo perde o freio ou vira à esquerda”, disse Dick. “Você teria milhares de mortos e isso comprometeria o sistema rodoviário.”
Hackers alertam Detroit’s 3
Um dos hackeamentos de veículos mais conhecidos ocorreu em 2015, quando os hackers éticos Charlie Miller e Chris Valasek realizaram um experimento semicontrolado e conseguiram assumir remotamente os controles de um Jeep Cherokee, ativando limpadores de para-brisa, explodindo o rádio e desligando o motor no meio de uma rodovia, acabando por pousar em uma vala, de acordo com um relatório da Wired.
Os dois chamaram a atenção da General Motors. Em 2017, a subsidiária autônoma da GM em San Francisco, Cruise, contratou Miller e Valasek.
Um ano depois, a GM lançou o Bug Bounty. A GM trouxe 10 hackers de “chapéu branco” escolhidos a dedo – jargão tecnológico para um hacker ético ou especialista em segurança – para Detroit. A GM pagou a eles uma recompensa ou pagamento em dinheiro por cada “bug” que descobriram em qualquer um dos sistemas de computador dos veículos da GM.
A GM encerrou seu programa privado de recompensa por bug em 2019, mas tem um programa de recompensa por bug ativo por meio do HackerOne Vulnerability Disclosure Program. HackerOne é um fórum para pesquisadores de segurança cibernética ética relatar às empresas vários pontos fracos de segurança.
A Fiat Chrysler, agora chamada de Stellantis, tem um programa semelhante em vigor desde 2016. De acordo com Bugcrowd, um relatório fornecido à Free Press por uma porta-voz da Stellantis, a montadora premiou 542 hackers benevolentes por encontrar vulnerabilidades ao longo dos anos. Ele paga a eles US $ 150 a US $ 7.500 para cada vulnerabilidade descoberta. Nos últimos três meses, o pagamento médio por vulnerabilidade foi de $ 422,98, disse Bugcrowd.
No início deste ano, hackers éticos alertaram a Ford Motor Co. que seu sistema interno cheio de informações confidenciais proprietárias não era seguro contra forças hostis. A Ford disse acreditar que havia impedido uma violação de segurança.
‘Deve permanecer vigilante’
Em 2016, a GM iniciou seu Programa de Divulgação de Vulnerabilidades no HackerOne.
Desde então, os pesquisadores relataram à GM mais de 2.000 áreas vulneráveis, que a GM corrigiu e, “mais de 500 hackers foram agradecidos por seu apoio, então valorizamos esse relacionamento”, disse Al Adams, diretor de produtos da GM.
Adams lidera uma equipe de segurança cibernética de produtos com cerca de 90 engenheiros e hackers internos em todo o mundo. A GM também contratou de oito a dez empresas terceirizadas de segurança cibernética para encontrar pontos fracos nos carros da GM.
A GM pratica uma estratégia de “defesa em profundidade”, disse Adams.
“É uma estratégia de segurança na qual projetamos controles de segurança que se sobrepõem”, disse Adams. “Então, uma vulnerabilidade que existe, que expõe um controle de segurança, tem um backup para se proteger contra isso. São camadas que se sobrepõem e se protegem. ”
A Vehicle Intelligence Platform (VIP) da GM, lançada em 2019 no Cadillac CT5, sedans CT4 e Corvette Stingray, é um exemplo da evolução da segurança cibernética da GM, disse ele.
O software no VIP é autenticado. Isso significa que se um hacker tentasse colocar outro software no sistema do carro para dizer, assumir a direção ou travar a ignição, o VIP bloquearia o software estrangeiro porque o sistema saberia que não é autêntico ou autorizado. Além disso, o VIP aprimorou a capacidade de atualização pelo ar para proteger ainda mais o software do carro. Adams disse que em 2023, o VIP estará na maioria dos modelos da GM.
“Se você considerar os controles de segurança que temos em vigor agora e as melhorias no VIP, estamos em uma boa posição contra o conhecido ataque de hoje”, disse Adams. “Mas devemos permanecer vigilantes e garantir que no futuro monitoremos a evolução do ataque e tenhamos uma evolução de nossos controles em paralelo.”
Dirija um carro dos anos 60
Dick disse: “Se você quer estar seguro, precisa dirigir um carro dos anos 60”.
Isso é um pouco extremo, mas Adams e Shlisel oferecem algumas outras dicas para os proprietários de carros se protegerem contra um hack cibernético, além do que as montadoras estão fazendo com a segurança cibernética.
— Os consumidores devem exigir que os reguladores façam as montadoras passarem pelo mesmo tipo de escrutínio para a segurança cibernética que devem para as classificações de segurança, disse Shlisel.
— Não conecte dispositivos através de Bluetooth ao seu carro, a menos que os fornecedores do dispositivo possam garantir que o dispositivo está protegido, disse Shlisel.
— Mantenha seu celular atualizado com os controles de segurança mais recentes disponíveis, disse Adams.
— Crie e use senhas fortes para sua conta OnStar ou WiFi no veículo, disse Adams.
— Não insira dispositivos não confiáveis na porta USB. Se você encontrar uma unidade USB no chão, não a conecte para descobrir o que está nela, disse Adams.
“Fala-se muito sobre segurança cibernética hoje em dia porque se percebe que a situação atual não é boa, é uma situação perigosa”, disse Dick. “Existem lidar, radar e câmeras e quanto mais sistemas o carro tem, mais vulnerável ele fica e está progredindo aos trancos e barrancos.”
Jamie L. LaReau -Automotive ReporterJamie LaReau is an award-winning reporter who joined the Detroit Free Press in June 2018 covering General Motors and the auto industry. Previously, she spent 13 years writing for Automotive News. Most recently, the Society for Professional Journalists awarded Jamie first place in 2019 for her coverage of the GM strike. She has been nominated for a Pulitzer and for the 2020 Richard Milliman Journalist of the Year by the Michigan Press Association. Jamie has been a journalist for 30 years. She has worked at Reuters in New York covering transportation companies. She covered the financial markets for Bridge Wire Service in Chicago and general assignment reporting at various television and radio news outlets across the Midwest, including bureau chief for WHOI-TV in Peoria, Illinois. A native Detroiter, Jamie graduated from Michigan State University in 1991 with a BA in Communications. As an avid animal lover, Jamie has two dogs and two cats, and she is a runner, a voracious reader of true crime and enjoys cooking.
Fonte: nny360
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
