Zubie é uma pequena caixa que se conecta à porta ODBII (Diagnósticos On-Board) encontrada na maioria dos carros modernos. Ele permite que os usuários descubram quão bem estão dirigindo e oferece dicas para ampliar sua milhagem com uma condução sensata e econômica. E até recentemente, Zubie continha um grave lapso na segurança que poderia deixar os usuários vulneráveis a ter seu carro remotamente sequestrado.
O buraco - descoberto por ex-alunos da Unidade 8200, a elite da equipe de segurança cibernética da Força de Defesa de Israel - poderia potencialmente ver os atacantes remotamente interferindo na frenagem, na direção e no motor.
O Zubie se conecta a um servidor remoto por meio de uma conexão GPRS, que é usada para enviar dados coletados para um servidor central, bem como para receber atualizações de segurança.
Os pesquisadores descobriram que o dispositivo estava cometendo um dos principais pecados de segurança da rede e não se comunicando com o servidor doméstico por uma conexão criptografada. Como resultado, eles conseguiram falsificar o servidor central do Zubie e enviar alguns malwares especialmente criados para o dispositivo.
Mais detalhes sobre o ataque estão abaixo, e você ficará satisfeito em saber que o problema já foi corrigido. No entanto, levanta uma questão interessante. Quão seguros são nossos carros?
Separando Fato Da Ficção
Para muitos, dirigir não é um luxo. É uma necessidade
E é uma necessidade perigosa nisso. A maioria das pessoas está muito familiarizada com os riscos associados a ficar atrás do volante. Acidentes de carro são os maiores matadores do mundo, com 1, 24 milhão de vidas perdidas na estrada somente no ano de 2010.
Mas as mortes nas estradas estão diminuindo, e isso se deve em grande parte à maior penetração de tecnologias sofisticadas de segurança no trânsito. Há muitos deles para listar de forma abrangente, mas talvez o exemplo mais predominante seja o OnStar, disponível nos EUA, no Canadá e na China.
A tecnologia - disponível exclusivamente em carros da GM, assim como outros veículos de empresas que optaram por licenciar a tecnologia - monitora a saúde do seu carro. Ele pode fornecer instruções passo a passo, e pode prestar assistência automaticamente se você se encontrar em acidentes.
Quase seis milhões de pessoas se inscrevem no OnStar. Inúmeros outros usam um sistema de telemática, que permite que as seguradoras acompanhem o desempenho dos carros e personalizem os pacotes de seguros para recompensar os motoristas sensatos. Recentemente, tudo parece ser inteligente - exceto nossos carros. Este dispositivo ODB2 livre e aplicativo mudam isso. Leia mais, que está disponível gratuitamente para residentes de Washington, Oregon, Califórnia e Illinois. Enquanto isso, muitos carros pós 1998 podem ser interrogados e monitorados através da porta diagnóstica ODBII graças ao Android Como monitorar o desempenho do seu carro com o Android Como monitorar o desempenho do seu carro com o Android Monitoring Muitas informações sobre seu carro são incrivelmente fáceis e baratas com o Android dispositivo - aprenda sobre isso aqui! Leia mais e aplicativos de smartphones iOS.
Como essas tecnologias atingiram a onipresença, também tem consciência de que elas podem ser invadidas. Em nenhum outro lugar isso é mais evidente do que em nossa psique cultural.
O thriller de 2008 Untraceable destacou com destaque que um carro equipado com o sistema OnStar foi 'bloqueado' pelo antagonista do filme, a fim de atrair alguém para uma armadilha. Enquanto em 2009, a empresa de TI holandesa InfoSupport lançou uma série de comerciais mostrando um hacker fictício chamado Max Cornellise remotamente invadindo sistemas de automóveis, incluindo um Porsche 911, usando apenas seu laptop.
Portanto, com tanta incerteza em torno da questão, é importante saber o que pode ser feito e quais ameaças permanecem no domínio da ficção científica.
Uma breve história do carro Hacking?
Fora de Hollywood, os pesquisadores de segurança realizaram algumas coisas assustadoras com carros.
Em 2013, Charlie Miller e Chris Valasek demonstraram um ataque no qual eles comprometeram um Ford Escape e um Toyota Prius e conseguiram assumir o controle das instalações de frenagem e direção. No entanto, este ataque teve uma grande desvantagem, pois dependia de um laptop sendo conectado ao veículo. Isso deixou os pesquisadores de segurança curiosos e imaginando se era possível realizar a mesma coisa, mas sem estar fisicamente preso ao carro.
Essa pergunta foi conclusivamente respondida um ano depois, quando Miller e Valasek conduziram um estudo ainda mais detalhado sobre a segurança de 24 modelos diferentes de carros. Desta vez, eles estavam se concentrando na capacidade de um invasor realizar um ataque remoto. Sua extensa pesquisa produziu um relatório de 93 páginas, que foi publicado no Scribd para coincidir com sua palestra de acompanhamento na conferência de segurança Blackhat em Las Vegas.
Ele sugeriu que nossos carros não são tão seguros quanto se pensava, com muitos sem as proteções de segurança cibernética mais rudimentares. O relatório contundente destacou o Cadillac Escalade, o Jeep Cherokee e o Infiniti Q50 como sendo mais vulneráveis a um ataque remoto.
Quando olhamos especificamente para o Infinity Q10, vemos alguns grandes lapsos de segurança.
O que torna o Infiniti tão atraente como um carro também é o que o torna tão vulnerável. Como muitos carros de gama alta produzidos nos últimos anos, ele vem com uma série de recursos tecnológicos projetados para tornar a experiência de condução mais agradável. Estes vão desde desbloqueio sem chave, a monitorização da pressão dos pneus sem fios, a uma aplicação de smartphone de 'assistente pessoal' que faz interface com o automóvel.
De acordo com Miller e Vlasek, alguns desses recursos tecnológicos não são isolados, mas estão diretamente conectados em rede com os sistemas responsáveis pelo controle e frenagem do motor. Isso deixa em aberto a possibilidade de um atacante ter acesso à rede interna do carro e, em seguida, explorar uma vulnerabilidade localizada em um dos sistemas essenciais, a fim de travar ou interferir no veículo.
Coisas como desbloqueio sem chave e “assistentes pessoais” estão sendo rapidamente considerados essenciais para os motoristas, mas, como Charlie Miller destacou tão enfaticamente, “é um pouco assustador que todos possam conversar entre si”.
Mas ainda estamos muito no mundo do teórico. Miller e Vlasek demonstraram um potencial caminho para um ataque, mas não um ataque real. Há algum exemplo de alguém que tenha realmente conseguido interferir nos sistemas de computador de um carro?
Bem, não há falta de ataques que visam recursos de desbloqueio sem chave. Um deles foi demonstrado no início deste ano na Blackhat Security Conference, em Las Vegas, pelo pesquisador de segurança australiano Silvio Cesare.
Usando apenas US $ 1.000 em ferramentas prontas para uso, ele conseguiu falsificar o sinal de um chaveiro, permitindo que ele desbloqueie remotamente um carro. O ataque depende de alguém estar fisicamente presente perto do carro, potencialmente por algumas horas, enquanto um computador e uma antena de rádio transmite tentativas de forçar o receptor embutido no sistema de destravamento sem chave de um carro.
Uma vez que o carro foi aberto, o atacante poderia, então, tentar roubá-lo, ou ajudar-se a qualquer item abandonado deixado pelo motorista. Há muito potencial para dano aqui.
Existem quaisquer defesas?
Depende.
Já existe alguma forma de proteção contra a vulnerabilidade de acesso remoto descoberta por Charlie Miller e Chris Valasek. Nos meses desde sua palestra no Blackhat, eles conseguiram construir um dispositivo que funciona como um sistema de detecção de intrusão (IDS). Isso não impede um ataque, mas indica ao motorista quando um ataque pode estar em andamento. Isso custa cerca de US $ 150 em peças e requer um pouco de know-how em eletrônica para construir.
A vulnerabilidade do Zubie é um pouco mais complicada. Embora o buraco já tenha sido corrigido, a fraqueza não estava dentro do carro, mas sim dentro do dispositivo de terceiros que estava conectado a ele. Enquanto os carros têm suas próprias inseguranças arquitetônicas, parece que adicionar extras adicionais apenas aumenta as possibilidades de um ataque.
Talvez a única maneira de ser realmente seguro seja dirigir um carro velho. Um que não tem os sinos e os apitos sofisticados dos carros modernos e sofisticados e que resiste ao impulso de colocar as coisas na sua porta ODBII. Há segurança na simplicidade.
É seguro dirigir meu carro?
A segurança é um processo evolutivo.
Conforme as pessoas obtêm um entendimento maior das ameaças que cercam um sistema, o sistema evolui para protegê-las. Mas o mundo dos carros ainda não teve o seu ShellShock pior que Heartbleed? Conheça o ShellShock: uma nova ameaça à segurança do OS X e do Linux é pior do que o Heartbleed? Conheça o ShellShock: uma nova ameaça à segurança para OS X e Linux Leia mais ou HeartBleed Heartbleed - O que você pode fazer para permanecer seguro? Heartbleed - o que você pode fazer para ficar seguro? Consulte Mais informação . Imagino que, quando experimenta sua primeira ameaça crítica - é o primeiro dia zero, se você quiser - os fabricantes de automóveis responderão de maneira apropriada e tomarão medidas para tornar a segurança do veículo um pouco mais rigorosa.
Mas o que você acha? Isso é um pouco otimista? Você está preocupado com hackers que assumem o seu carro? Eu quero ouvir sobre isso. Deixe-me um comentário abaixo.
Créditos das fotos: BangkokHappiness (Shutterstock), Dmitri Maruta (ShutterStock), Teddy Leung / Shutterstock.com