Vídeo: Fraudes nos Seguros de Veículos (Novembro 2024)
Um grupo de pesquisadores de segurança determinados a tornar o mundo físico um lugar mais seguro exigia que os fabricantes de automóveis construíssem carros projetados para suportar ataques cibernéticos.
O grupo, com o apelido de "Eu sou a cavalaria", divulgou uma carta aberta aos "CEOs do setor automotivo" pela Reuters, publicou uma cópia em seu site e lançou uma petição change.org, pedindo aos executivos da indústria automobilística que implementem seus cinco Programa de segurança cibernética automotiva Star. Os pilares do programa incluem segurança por design, colaboração de terceiros, captura de evidências, atualizações de segurança e segmentação e isolamento.
"O mundo outrora distinto dos automóveis e da cibersegurança colidiu", dizia a carta. "Agora é a hora da indústria automotiva e da comunidade de segurança se conectarem e colaborarem".
Os computadores gerenciam motores, freios, navegação, ar condicionado, limpadores de pára-brisa, sistemas de entretenimento e outros componentes críticos e não críticos em carros modernos. Não há dúvida de que eles precisam ser bloqueados para impedir adulterações ou acesso não autorizado. Qualquer pessoa que tenha visto o vídeo no ano passado dos pesquisadores Charlie Miller e Chris Valasek gargalhando maníaca ao fundo, enquanto toma o controle do carro conduzido pelo escritor da Forbes, Andy Greenberg, concorda que, se um adversário estiver motivado o suficiente, essa pessoa poderá causar graves, físicos, danos aos motoristas e, potencialmente, aos passageiros. Miller e Valasek estavam na Black Hat este ano, demonstrando mais invasões de carros, e o DEF CON deste ano tem várias sessões sobre hackers de eletrônicos de consumo, dispositivos médicos, sistemas de controle de tráfego e Internet das Coisas.
Os veículos são "computadores sobre rodas", Josh Corman, CTO da Sonatype e co-fundador do grupo. A carta aberta do grupo foi criada para tornar esses computadores mais seguros.
O Programa Cinco Estrelas
Segurança por design, significa simplesmente que as montadoras devem projetar e criar recursos de automação com a segurança em mente. As montadoras também devem impulsionar um programa seguro de desenvolvimento de software em suas empresas para incentivar melhores práticas de codificação e design.
A colaboração de terceiros solicita às montadoras que estabeleçam um programa formal de divulgação de vulnerabilidades, que indique claramente quais são suas políticas e com quem entrar em contato. As montadoras precisam estar dispostas a trabalhar com pesquisadores para identificar falhas. Não há como as montadoras conseguirem encontrar e corrigir bugs por conta própria - é por isso que uma colaboração saudável com os pesquisadores é essencial. Há menos chance de as coisas serem perdidas.
"A Tesla já ganha uma estrela", disse Corman, observando que a montadora eletro-eletrônica recentemente estabeleceu essa política.
A captura de evidências quer adicionar uma "caixa preta" aos carros, assim como o que já existe nos aviões. Quando os aviões caem, os investigadores podem analisar a caixa preta e entender o que estava acontecendo no avião, incluindo conversas, velocidade do avião, status de vários sistemas e uma infinidade de outras informações técnicas. Quando algo dá errado em um carro, na maioria dos casos, nenhuma informação está disponível. É difícil aprender com acidentes e trabalhar para melhorar o produto quando não há feedback, observou Corman.
As atualizações de segurança significam que os problemas encontrados são corrigidos nos carros individuais em tempo hábil. Depois de comprar um carro, não gostaria que me dissessem seis meses que precisava comprar as versões mais recentes para aproveitar as correções. Um mecanismo de atualização de segurança garante que as vulnerabilidades sejam corrigidas com eficiência.
A segmentação e o isolamento pedem às montadoras que mantenham sistemas críticos - como freios e direção - separados do resto das redes do carro, como o sistema de entretenimento. "Com a segmentação e o isolamento, queremos garantir que você contenha falhas, para que um hack no sistema de entretenimento nunca desative os freios", disse Corman. Ele observou que já existem diferenças significativas entre os diferentes fabricantes de automóveis. Alguns são melhores em segmentar do que outros, mas ainda há muito a fazer.
Não podemos esperar
O grupo tem como objetivo reunir pesquisadores de segurança e representantes de áreas não relacionadas à segurança, como automação residencial e eletrônicos, dispositivos médicos, transporte e infraestrutura crítica, para melhorar a segurança. O objetivo é começar a trabalhar juntos para implementar salvaguardas de segurança porque "não podemos esperar que coisas ruins aconteçam", disse Corman. A hora de começar é agora, para que em alguns anos esses esforços realmente mostrem resultados, disse ele. "Sabemos que isso vai demorar um pouco", disse ele.
"Não estamos fazendo isso pelos pesquisadores de segurança", disse Corman. "Estamos fazendo isso pelos nossos vizinhos, por quem dirige um carro".