Conferência Black Hat: Hackeando carros a distância

LAS VEGAS – A última vez que escutamos uma conferência de Charlie Miller e Chris Valasek foi na Cumbre de Analista de Segurança da Kaspersky Lab. Na ocasião, discutimos os meios

LAS VEGAS – A última vez que escutamos uma conferência de Charlie Miller e Chris Valasek foi na Cumbre de Analista de Segurança da Kaspersky Lab. Na ocasião, discutimos os meios para proteger os automóveis contra uma série de ataques que tinham estavam se desenvolvendo. Ontem, a dupla de especialistas apresentaram os resultados de uma pesquisa nova sobre as vulnerabilidade dos carros inteligentes na Conferência de Segurança “Black Hat”, em Las Vegas, Nevada.

Primeiro, Miller, do Twitter, e Valasek, da IOActive, insistiram na necessidade de criação de um sistema de detecção de intrusão capaz de bloquear todos os ataques, que inclui a desativação de sistemas de frenagem, fazendo com que o carro iniciar o estacionamento automático e gire o volante à distância.

Talvez mais interessante da palestra dos especialistas seja o fato de que os ataques estão evoluindo. Um ano atrás, quando começaram as pesquisas, todos os ataques para serem possíveis tinham que ser locais. Em outras palavras, Miller e Valasek sentavam no banco de trás com seus computadores conectados a um carro enquanto repórteres assustados tentavam conduzir o veículo que não podia controlar, em vão.

Agora os ataques, segundo Miller e Valasek, podem ser realizados à distância. Os ataques aproveitam uma vulnerabilidade presente nos protocolos de comunicação sem fio, como Bluetooth e, em seguida, usam esse acesso para passar mensagens através dos sistemas de computador de bordo e, finalmente, manipular o comportamento do carro.

“As pessoas que sabem como criar um exploit para web são muito mais do que as que sabem criar um exploit TPMS. Muita gente pode criar um aplicativo malicioso, se esses malwares chegam a infectar o sistema de freios ou direção, aí sim estamos em sérios problemas”.

Um dos pontos centrais da palestra foi uma discussão sobre as diferentes posturas de segurança de cada empresa de automóveis. Nós vamos ter muito mais para conversar depois que os pesquisadores liberarem o documento de 95 páginas, com detalhes da provas que fizeram com os carros da Audi, Honda, Infiniti, Jeep, Dodge e outros.

Sobre o assunto, Miller explicou que hackear um carro, que pode parecer novo e inovador, na verdade, não muito diferente do que hackear um computador tradicional. No entanto, corrigir uma vulnerabilidade em um carro inteligente não é tão fácil quanto corrigir um navegador da web

O processo de corrigir um automóvel é muito mais complexo e caro, não só porque  a criação do patch em si custa dinheiro, mas também porque o fabricante tem entrar em contato com seus clientes, que por sua vez devem levar seus veículos para uma concessionária para uma atualização de software.

“Vai ser muito difícil quando aparecer o primeiro exploit e todo mundo tenha que corrigir uma vulnerabilidade do seu”, disse Valasek.

A lista de recursos potencialmente hackeáveis entre os carros mais novos é longa. Entre as mais importantes estão a possibilidade de afetar o sistema de estacionamento automático, controle de, sistemas de pré-colisão e controle de pista, controle de cruzeiro, freios, aceleração ou direção assistida. Além disso, também poderia estar comprometida as funções do sistema anti-roubo, sistema de monitoramento da pressão dos pneus ou a abertura da fechadura. No entanto, estas últimas características são mais complicadas de efetuar, já que necesita de um alto grau de proximidade do hacker com o auto para a comunicação.

A possibilidade de contar com Bluetooth e Wi-Fi no automóvel ampliam a superfície de ataque de um carro de forma dramática. Assim mesmo, a medida que vão sendo desenvolvidos aplicativos para o carro e outros recursos de conectividade Web, a situação promete piorar.

“As pessoas que sabem como criar um exploit para web são muito mais do que as que sabem criar um exploit TPMS. Muita gente pode criar um aplicativo malicioso, se esses malwares chegam a infectar o sistema de freios ou direção, aí sim estamos em sérios problemas”.

Fique ligado no nosso blog e no Threatpost para saber mais sobre a Conferência Black Hat.

 

Tradução: Juliana Costa Santos Dias

Dicas