Os hackers podem realmente assumir o controle do seu carro?

Propaganda

Zubie é uma pequena caixa que se conecta ao Diagnóstico a bordo (ODBII) porta encontrada na maioria dos carros modernos. Ele permite que os usuários descubram o quão bem eles estão dirigindo e oferece dicas para estender sua milhagem com direção econômica e sensata. E até recentemente, Zubie continha um lapso grave em segurança que poderia deixar os usuários vulneráveis ​​a seqüestros remotos de seus carros.

O buraco - descoberto pelos ex-alunos da Unidade 8200, a equipe de elite de segurança cibernética da Força de Defesa Israelense - poderia ver invasores interferindo remotamente na frenagem, direção e no motor.

O Zubie se conecta a um servidor remoto por uma conexão GPRS, usada para enviar dados coletados para um servidor central e também para receber atualizações de segurança.

Os pesquisadores descobriram que o dispositivo estava cometendo um dos principais pecados da segurança da rede e não se comunicando com o servidor doméstico por uma conexão criptografada. Como resultado, eles conseguiram falsificar o servidor central do Zubie e enviar alguns malwares especialmente criados para o dispositivo.

Mais detalhes sobre o ataque estão abaixo e você ficará satisfeito ao saber que o problema foi corrigido. No entanto, levanta uma questão interessante. Quão seguros são nossos carros?

Separando fatos da ficção

Para muitos, dirigir não é um luxo. É uma necessidade

E é uma necessidade perigosa nisso. A maioria das pessoas conhece os riscos associados ao volante. Os acidentes de carro são um dos maiores assassinos do mundo, com 1,24 milhão de vidas perdidas na estrada apenas no ano de 2010.

Mas as mortes nas estradas estão diminuindo, e isso se deve em grande parte à maior penetração de sofisticadas tecnologias de segurança nas estradas. Existem muitos deles para listar de maneira abrangente, mas talvez o exemplo mais prevalente seja OnStar, disponível nos EUA, Canadá e China.

A tecnologia - disponível exclusivamente em carros GM, bem como em outros veículos por empresas que optaram por licenciar a tecnologia - monitora a saúde do seu carro. Ele pode fornecer instruções passo a passo e pode prestar assistência automaticamente caso você se encontre em um acidente.

Quase seis milhões de pessoas assinam o OnStar. Inúmeros outros usam um sistema telemático, que permite às seguradoras rastrear quão bem os carros são conduzidos e personalizar pacotes de seguros para recompensar motoristas sensíveis. Justin Dennis recentemente revisou algo semelhante chamado Metronome por Metromile Monitore sua milhagem, custos de combustível e muito mais com um dispositivo OBD2 gratuitoHoje em dia, tudo parece ser inteligente - exceto nossos carros. Este dispositivo e aplicativo ODB2 gratuito mudam isso. consulte Mais informação , disponível gratuitamente para residentes de Washington, Oregon, Califórnia e Illinois. Enquanto isso, muitos carros após 1998 podem ser interrogados e monitorados através do Porta de diagnóstico ODBII graças ao Android Como monitorar o desempenho do seu carro com AndroidO monitoramento de toneladas de informações sobre o seu carro é incrivelmente fácil e barato com o seu dispositivo Android - saiba mais aqui! consulte Mais informação e aplicativos para smartphones iOS.

À medida que essas tecnologias atingem a onipresença, também existe a consciência de que elas podem ser invadidas. Em nenhum outro lugar isso é mais evidente do que em nossa psique cultural.

o Suspense em 2008 destacou um carro equipado com o OnStar sendo 'empedrado' pelo antagonista do filme para atrair alguém para uma armadilha. Em 2009, a empresa holandesa de TI InfoSupport lançou uma série de comerciais mostrando um hacker fictício chamado Max Cornellise remotamente invadiu sistemas de automóveis, incluindo um Porsche 911, usando apenas seu computador portátil.

Portanto, com tanta incerteza em torno do problema, é importante saber o que pode ser feito e quais ameaças permanecem no domínio da ficção científica.

Uma Breve História do Carro Hacking?

Fora de Hollywood, os pesquisadores de segurança conseguiram coisas assustadoras com os carros.

Em 2013, Charlie Miller e Chris Valasek demonstrou um ataque onde eles comprometeram Ford Escape e Toyota Prius e conseguiu assumir o controle de as instalações de travagem e direcção. No entanto, esse ataque teve uma grande desvantagem, pois dependia de um laptop ser conectado ao veículo. Isso deixou os pesquisadores de segurança curiosos e imaginando se era possível realizar a mesma coisa, mas sem estar fisicamente preso ao carro.

Essa pergunta foi respondida conclusivamente um ano depois, quando Miller e Valasek conduziram um estudo ainda mais detalhado sobre a segurança de 24 modelos diferentes de carros. Desta vez, eles estavam concentrados na capacidade de um invasor realizar um ataque remoto. Sua extensa pesquisa produziu um relatório de 93 páginas, que foi publicado no Scribd coincidir com a conversa de acompanhamento na conferência de segurança Blackhat em Las Vegas.

Ele sugeriu que nossos carros não são tão seguros quanto se pensava, com muitos carecendo das proteções de segurança cibernética mais rudimentares. O relatório condenou o Cadillac Escalade, o Jeep Cherokee e o Infiniti Q50 como os mais vulneráveis ​​a ataques remotos.

Quando olhamos para o Infinity Q10 especificamente, vemos alguns grandes lapsos de segurança.

O que torna o Infiniti tão atraente quanto um carro também é o que o torna tão vulnerável. Como muitos carros de gama alta produzidos nos últimos anos, ele vem com uma variedade de recursos tecnológicos projetados para tornar a experiência de dirigir mais agradável. Eles abrangem desde o desbloqueio sem chave, até o monitoramento sem fio da pressão dos pneus, até um aplicativo para smartphone de 'assistente pessoal' que faz interface com o carro.

De acordo com Miller e Vlasek, alguns desses recursos tecnológicos não são isolados, mas são conectados diretamente à rede com os sistemas responsáveis ​​pelo controle e pela frenagem do motor. Isso deixa em aberto a possibilidade de um invasor obter acesso à rede interna do carro e, em seguida, explorar uma vulnerabilidade localizada em um dos sistemas essenciais para travar ou interferir com o veículo.

Coisas como desbloqueio sem chave e "assistentes pessoais" estão sendo rapidamente considerados essenciais para motoristas, mas como Charlie Miller apontou de maneira tão destacada, "é um pouco assustador que todos possam conversar de outros."

Mas ainda estamos muito no mundo do teórico. Miller e Vlasek demonstraram uma avenida potencial para um ataque, mas não um ataque real. Existem exemplos de alguém que realmente conseguiu interferir nos sistemas de computadores de um carro?

Bem, não faltam ataques direcionados a recursos de desbloqueio sem chave. Um deles foi demonstrado no início deste ano na Conferência de Segurança Blackhat em Las Vegas pelo pesquisador de segurança australiano Silvio Cesare.

Usando apenas US $ 1000 em ferramentas disponíveis no mercado, ele conseguiu falsificar o sinal de um chaveiro, o que lhe permitiu destrancar remotamente um carro. O ataque depende de alguém estar fisicamente presente perto do carro, potencialmente por algumas horas, como um o computador e uma antena de rádio transmitem tentativas de força bruta do receptor incorporado ao desbloqueio sem chave do carro sistema.

Depois que o carro é aberto, o atacante pode tentar roubá-lo ou ajudar a qualquer item não assistido deixado para trás pelo motorista. Há muito potencial para danos aqui.

Existem defesas?

Depende.

Já existe alguma forma de proteção contra a vulnerabilidade de acesso remoto descoberta por Charlie Miller e Chris Valasek. Nos meses desde a conversa com os Blackhat, eles foi capaz de construir um dispositivo atua como um sistema de detecção de intrusão (IDS). Isso não interrompe um ataque, mas indica ao motorista quando um ataque pode estar em andamento. Isso custa cerca de US $ 150 em peças e requer um pouco de conhecimento em eletrônica para construir.

A vulnerabilidade do Zubie é um pouco mais complicada. Embora o buraco já tenha sido consertado, a fraqueza não estava no carro, mas no dispositivo de terceiros que estava conectado a ele. Embora os carros tenham suas próprias inseguranças arquitetônicas, parece que a adição de extras adicionais apenas aumenta as possibilidades de ataque.

Talvez a única maneira de ser verdadeiramente seguro é dirigir um carro velho. Um que não possui os sinos e assobios altamente sofisticados dos carros modernos e sofisticados, e para resistir ao desejo de enfiar coisas na sua porta ODBII. Há segurança na simplicidade.

É seguro dirigir meu carro?

A segurança é um processo evolutivo.

À medida que as pessoas obtêm uma compreensão maior das ameaças que envolvem um sistema, o sistema evolui para se proteger contra elas. Mas o mundo dos carros ainda não teve Trauma pós guerra Pior do que Heartbleed? Conheça o ShellShock: uma nova ameaça de segurança para OS X e Linux consulte Mais informação ou Coração Heartbleed - O que você pode fazer para se manter seguro? consulte Mais informação . Eu imagino que quando houver a sua primeira ameaça crítica - é o primeiro dia zero, se você quiser - fabricantes de automóveis responderão adequadamente e tomarão medidas para tornar a segurança do veículo um pouco mais rigoroso.

Mas o que você acha? Isso é um pouco otimista? Você está preocupado com hackers assumindo o controle do seu carro? Eu quero ouvir sobre isso. Deixe-me um comentário abaixo.

Créditos fotográficos: Felicidade (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com