Hacker Automobilístico: invasores podem controlar o seu carro

  • Motor
  • Tabata Pitol

Texto por Rodrigo Mora – Foto por Vitor Pickersgill

Houve um tempo em que pelos pubianos eram mais festejados. Namorava-se com a sogra no sofá ao lado. As geladeiras eram brancas e os telefones, pretos. Telefones fixos, note bem. Celulares eram uma fantasia da ficção científica, e imaginar o que smartphones fariam no século 21 faria surtar qualquer humano dos anos 1960.

Quanto aos automóveis, as portas eram abertas por um pequeno pedaço de metal. Havia, ao lado do volante, uma fenda chamada ignição onde se enfiava esse pedaço de metal para ligar o carro. E os rádios (quando havia um instalado) tinham apenas dois botões: o do volume e o da estação. 

Hoje, os pelos pubianos tomaram outros rumos, as geladeiras até avisam quando a bebida gelou e os telefones viraram uma espécie de apêndice humano – sair na rua sem eles nos deixa mais vulneráveis do que sair pelado. 

Aquele pedaço de metal que abria os automóveis virou um pedaço de plástico para ser carregado no bolso, e a tal fenda desapareceu, dando lugar a um botão “liga/desliga”. Os rádios praticamente desapareceram, abrindo espaço para as centrais multimídia que – vejam só que gracinha é a tecnologia – se uniram aos smartphones. 

A partir daí, o ato de invadir um carro se tornou algo muito mais sofisticado e perigoso do que simplesmente arrombar a porta. Sim, o que um hacker fazia com seu computador agora ele pode fazer com seu carro.

DEU BRECHA…

Como e por que os hackers invadem os carros não se resume a uma única resposta. Segundo Fábio Assolini, analista sênior de segurança da Kaspersky Lab, produtora de softwares de segurança para internet, “as invasões ocorrem porque os fabricantes apenas adicionavam recursos inteligentes aos veículos, para torná-los competitivos no mercado, não se preocupando com a segurança requerida para que esses sistemas funcionassem de forma a não serem atacados”. 

Para João Paulo Lins, diretor de pesquisa em segurança automobilística da Tempest, “a brecha existe nas falhas do desenvolvimento de sistemas”.

Há a preocupação com questões ligadas à experiência e com o requisito funcional dos recursos, o que deixa lacunas para que alguém use as diversas ferramentas de outras maneiras.

Um belo exemplo da vulnerabilidade dos sistemas foi dado no ano passado pelos hackers Charlie Miller e Chris Valasek. Enquanto um jornalista da revista de tecnologia norte-americana Wired dirigia um Jeep Cherokee 2014, ambos invadiram o sistema nervoso do SUV e atormentaram a vida de Andy Greenberg. 

Sem qualquer comando do motorista, os bancos começaram a esfriar, o rádio mudou de estação e o limpador do para-brisa disparou freneticamente. Embora Greenberg – que ia ao encontro de ambos para uma reportagem justamente sobre hackeamento automotivo – soubesse quem estava por trás da assombração, as coisas ficaram sérias quando o acelerador foi desabilitado e, já no acostamento e em baixa velocidade, os freios também sumiram. Depois da travessura, a FCA (dona da marca Jeep) convocou 1,4 milhão de carros para tapar a brecha que permitiu a invasão. 

CONECTANDO EM 3, 2, 1

Parte da dificuldade em detectar e se defender de um ataque reside na abrangência dos canais suscetíveis. “Nem sempre é necessária uma conexão wi-fi ou bluetooth para concretizar o ataque. Qualquer canal de comunicação do veículo pode ser explorado para um ataque, basta para isso existir uma vulnerabilidade”, analisa Assolini.

“O mais suscetível em geral é aquele que pode atingir o maior número de pessoas e de forma mais rápida, o famoso ataque de massa. Wi-fi e 3G tendem a ser os preferidos, já que o bluetooth depende de fatores como proximidade, por exemplo”, acrescenta Lins.

Ou seja, um simples alarme com comando de fechamento e abertura pode ser uma porta de entrada – no sentido duplo da coisa. 

BARBA, CABELO E BIGODE

Miller e Chris Valasek fizeram o serviço completo, manipulando não só elementos periféricos daquele Jeep Cherokee, como o limpador de para-brisa, mas também funções essenciais de um veículo, como acelerar e frear. 

Talvez tenha sido a última invasão dessa amplitude. De acordo com Ricardo Takahira, engenheiro e consultor da AEA (Associação Brasileira de Engenharia Automotiva), “depois dessa demonstração, as montadoras fizeram alterações no sistema de segurança, principalmente criando firewall entre o Powertrain e o Infotainment (Multimídia). Nenhum sistema que invada a parte de entretenimento (navegação, conforto, conectividade) deve afetar o sistema de direção (motor, câmbio, direção)”. Por firewall, barreira de fogo, em inglês, entenda um conjunto de dispositivos de segurança.

Para Lins, contudo, hackers não têm limite. “Tudo o que um hacker precisa é de um desafio, de uma motivação para mostrar que a coisa está e que pode ser usada de uma maneira diferente. Diante dessa motivação, não vejo limites”, conclui.

O experimento de Miller e Valasek – apenas um em meio a vários realizados inclusive por pesquisadores de universidades – mantém vivo um dos principais questionamentos do hackeamento automotivo: por que invadir? 

“São várias as motivações que levam alguém a buscar falhas em sistemas e equipamentos. Elas variam do ativismo digital a explorações que tentam tirar vantagens financeiras”, avalia Lins. (Veja quadro acima.) 

PRÓXIMOS CAPÍTULOS 

Usuários de automóveis pouco podem fazer para se defender. Recomenda-se evitar a instalação de dispositivos sem o aval do fabricante e que os recalls para atualização de softwares sejam imediatamente atendidos. 

“Hoje a responsabilidade é do fabricante, que pode aprender muito com a indústria bancária e de antivírus da área de informática. Engenheiros de computação e tecnologia da informação deverão ser contratados em massa para esse novo desafio”, prevê Takahira. 

Tanto a NHTSA (National Highway Traffic Safety Administration, a agência de segurança viária dos Estados Unidos) quanto o FBI têm alertado os fabricantes de veículos sobre o assunto, que tende a piorar com os veículos autônomos cada vez mais próximos das ruas. 

Por questões de segurança, a Volvo não divulga sua estratégia para proteger veículos de hackeamento. Afirma não ter registrado casos de violação dos seus sistemas, mas reconhece que “deve-se considerar mesmo a hipótese de que os veículos autônomos possam abrir brechas para ataques de hackers, pois o carro 100% autônomo se comunicará com a infraestrutura viária”. 

Já a General Motors afirma ter nomeado um executivo exclusivamente para tratar do tema, que conta com “experts de outros segmentos, como o aeroespacial, para minimizar os riscos de ataques”, diz.

Na BMW, os veículos não têm seus principais módulos conectados a redes que podem ser acessadas remotamente. “Caso ocorra algum ataque, as consequências serão mínimas”, garante Henrique Miranda, gerente de produtos de marketing da marca. 

Segundo o executivo, a tendência é que os ataques rareiem à medida que as tecnologias de defesa se desenvolvem. Mas a guerra não tem fim: “Enquanto houver um sistema, haverá hackers tentando quebrá-lo”.