Os carros conectados estão seguros?

Estudo destaca importância dos fabricantes em revisarem o design dos sistemas cibernéticos no comando dos automóveis do futuro

Compartilhar:

Pesquisadores e engenheiros já encontraram várias formas de invadir carros conectados à Internet. Testes recentes de hack (como o famoso caso do hack do Chrysler Jeep) reportaram vulnerabilidades específicas em modelos / marcas de carros que, após reportadas, foram rapidamente resolvidas. A Trend Micro procurou então desvendar quais as respostas da indústria de segurança quando se encontra um hack que não só é bem-sucedido como também pode afetar drasticamente o desempenho e a função do automóvel.

 

Atualmente, não há tecnologia capaz de proteger o carro moderno e, para resolver completamente isso, seriam necessárias mudanças amplas e abrangentes nos padrões e na forma como as redes e dispositivos no veículo são feitos. De forma realista, levaria uma geração inteira de veículos para que essa vulnerabilidade fosse solucionada, não apenas uma recuperação ou uma atualização de OTA (over-the-air).

 

A equipe de Pesquisa de Ameaças Futuras (FTR) da Trend Micro, juntamente com os esforços de pesquisa colaborativa do Politecnico di Milano e o Linklayer Labs, levantaram uma série de questões para verificar quais mudanças poderiam melhorar esse cenário.

 

Quais as características dos recentes testes de ataques hacker em carros conectados?

Estes ataques desabilitam um dispositivo (por exemplo, airbag, sensores de estacionamento, sistemas de segurança ativos) conectado à rede do dispositivo do carro, tornando o ataque imperceptível aos mecanismos de segurança de última geração.

 

Quais as principais conclusões desta pesquisa?

Ganhar acesso ao veículo de outra pessoa tornou-se uma situação comum, com muitos casos legítimos de uso. Está na hora dos órgãos de padronização, dos tomadores de decisão e dos fabricantes de automóveis levarem essa mudança em consideração e revisarem o design dos sistemas cibernéticos e físicos no comando dos futuros automóveis, para que possam protegê-los.

 

 O ataque “Jeep hack” foi o ataque mais avançado até agora?

O “Jeep hack” foi realmente muito avançado e eficaz. No entanto, a tecnologia atualmente disponível de segurança cibernética no carro (por exemplo, um IDS/IPS não-original) pode detectar esse ataque, pois requer um recurso de frame-injection. Além disso, os fabricantes de automóveis poderiam simplesmente atualizar o software executado em um dispositivo do carro para corrigir as vulnerabilidades exploradas por esse ataque.

 

Acesso Remoto vs. Local: As vulnerabilidades dos carros modernos

 

Muitos conceitos e vulnerabilidades do car hack não são levados em conta porque exigem acesso local ao carro. Primeiramente, um ataque pode ser ativado através de qualquer vulnerabilidade explorável remotamente que permita ao invasor reprograme o firmware de uma ECU. Em segundo lugar, os ataques locais também devem ser levados a sério.

 

Tradicionalmente, o cenário no qual um atacante pode acessar um carro dessa forma não é apenas raro, mas também muito arriscado. As tendências atuais de transporte, como compartilhar carros, carona e alugar carros, fazem com que muitas pessoas possam ter acesso local ao mesmo carro. Como tal, uma mudança de paradigma em termos de segurança cibernética do veículo deve acontecer.

 

Mitigação

A mitigação deste problema específico de segurança não será fácil, pois a vulnerabilidade está no próprio design e não pode ser corrigida imediatamente. Qualquer solução digna exigiria uma mudança drástica na regulamentação e política e levaria toda uma geração de veículos a adotá-las.

 

Conteúdos Relacionados

Security Report | Destaques

Prefeitura de Guajará-Mirim sofre invasão cibernética

Em nota, o executivo municipal confirmou que dados foram sequestrados pelo ataque, mas não comprovou a ação de um ransomware,...
Security Report | Destaques

Líderes de Cyber analisam novas ameaças à Segurança no Security Leaders Nacional

O Fórum Econômico Mundial alertou o mundo para as ameaças que a insegurança cibernética pode representar para a continuidade de...
Security Report | Destaques

Programa de SI busca elevar maturidade cibernética nos órgãos do governo federal

Devido às novas responsabilidades que o Brasil assumiu com a Segurança Cibernética, a Secretaria de Governo Digital estabeleceu um programa...
Security Report | Destaques

Ameaça ou copiloto: Qual o papel da IA no futuro da Cibersegurança?

Tanto empresas de consultoria quanto a indústria de Segurança da Informação têm buscado entender como alcançar o equilíbrio entre usos...