Como já escrevemos, a segurança deve estar em primeiro lugar. Deve ser levado em consideração no nível do projeto, e não adicionado posteriormente.
A Wired publicou recentemente outro artigo inovador (eles são realmente bons nisso), que fez com que os motoristas de automóveis, entusiastas de tecnologia e especialistas em segurança cibernética se voltassem na direção já conhecida de hackear carros. Acabamos de nos acostumar com o fato de que os computadores são hackeados remotamente. Agora, os carros também.
Sem contato direto
Os principais assuntos do artigo são familiares: Charlie Miller e Chris Valasek. Esses cavalheiros extraordinários ganharam renome na pesquisa de hackeamento de automóveis.
Durante anos, eles estudaram os sistemas de bordo dos carros, descobriram as vulnerabilidades neles e demonstraram a possibilidade de exploração maliciosa. Eles já haviam mostrado como “pwn” o carro e parar seus freios usando o acesso direto ao sistema de bordo (ou seja, ter um laptop conectado ao painel). Embora perigoso, isso era impraticável – o que os fabricantes de automóveis rapidamente apontaram. No entanto, isso já indicava a possibilidade muito real de hackear carros.
Agora eles mostraram como “matar um jepe” (estritamente à distância), o que é uma notícia grande e triste.
Andy Greenberg, da Wired, descreveu a provação pela qual passou de boa vontade, de maneira bastante ilustre:
“… Embora eu não tenha tocado no painel, as aberturas do Jeep Cherokee começaram a soprar ar frio na configuração máxima, esfriando o suor nas minhas costas através do sistema de controle de temperatura do assento. Em seguida, o rádio mudou para a estação de hip hop local e começou a tocar Skee-lo no volume máximo. Girei o botão de controle para a esquerda e apertei o botão liga / desliga, sem sucesso. Em seguida, os limpadores de pára-brisa foram ligados e o fluido de limpador turvou o vidro.
Enquanto eu tentava lidar com tudo isso, uma foto dos dois hackers realizando essas acrobacias apareceu na tela digital do carro: Charlie Miller e Chris Valasek, vestindo seus trajes de corrida de marca registrada.
Ele prossegue afirmando que o Sr. Miller e o Sr. Valasek desenvolveram um exploit de dia zero que pode ter como alvo Jeep Cherokees e “dar aos atacantes controle sem fio, via Internet, para qualquer um dos milhares de veículos”. Ele também descreveu o código como “o pesadelo de um fabricante de automóveis”, pois permite que os hackers enviem comandos através do sistema de entretenimento do Jeep “para as funções do painel, direção, freios e transmissão, tudo a partir de um laptop que pode estar em todo o país.”
Quem deixou os cachorros entrarem
Espere, espere, o quê? As funções do painel são “casadas” com o sistema de entretenimento, sem isolamento entre elas? Parabéns pela excelente abordagem de segurança para o fabricante.
Quanto a ser “o pesadelo de uma montadora”, é mais provável que seja o pesadelo do motorista, o tipo que Greenberg experimentou quando sua transmissão foi desligada remotamente na rodovia. Não foi uma experiência com risco de vida, mas definitivamente não foi nada divertido.
A questão premente, novamente, é como era possível que o sistema de infoentretenimento “secundário” e não crítico parecesse estar tão intimamente integrado com as funções “primárias” do painel absolutamente essenciais para a vida. Esses sistemas não estão apenas isolados uns dos outros – é realmente possível fazer qualquer coisa com o carro – e tudo o que os invasores precisam, de acordo com o artigo da Wired, é saber o endereço IP do carro.
“Tudo isso só é possível porque a Chrysler, como praticamente todas as montadoras, está fazendo o possível para transformar o automóvel moderno em um smartphone”, escreveu Greenberg. E depois do que ele experimentou, essa acrimônia é compreensível.
Um problema reconhecido
As montadoras reconhecem que há um problema e, aparentemente, os legisladores também. Andy Greenberg, da Wired, escreveu que Miller e Valasek conseguiram “assustar” a indústria e “inspirar” a legislação: um novo projeto de lei que exige que os carros atendam a certos padrões de proteção contra ataques digitais e privacidade está em andamento nos EUA e, com sorte, em outras nações seguirá o exemplo.
Toda a indústria automotiva está alerta. A US Alliance of Automobile Manufacturers anunciou a criação de um Centro de Análise e Compartilhamento de Informações para lidar com ameaças e vulnerabilidades cibernéticas na eletrônica de bordo e nas redes de veículos.
Cabe aos fabricantes mudar a abordagem para projetar equipamentos modernos de alta tecnologia. Como já escrevemos, a segurança deve estar em primeiro lugar. Deve ser levado em consideração no nível do projeto, não adicionado posteriormente (se adicionado). É a única maneira de diminuir o nível de risco – tanto para sistemas automotivos quanto para outras infraestruturas civis críticas – que é alto o suficiente sem uma exposição desnecessária a ameaças cibernéticas, como no caso de um Jeep hackeado remotamente.
