Protegendo o carro elétrico e definido por software

“Putin é um idiota. Glória à Ucrânia.”

Isso é o que os carregadores de veículos elétricos hackeados leram, entre outras coisas, em estações de carregamento desativadas perto de Moscou recentemente. E por mais que traga um sorriso aos rostos de muitos ao redor do mundo, ele destaca um ponto feito por vários pesquisadores e desenvolvedores que se reuniram na semana passada no escara 2022 (uma conferência que se concentra em desenvolvimentos técnicos profundos em segurança cibernética automotiva a cada ano): os hacks automotivos estão em ascensão. De fato, por Relatório da Upstream Automotive, a frequência de ataques cibernéticos aumentou 225% de 2018 a 2021, com 85% conduzidos remotamente e 54.1% dos hacks de 2021 sendo invasores “Black Hat” (também conhecidos como maliciosos).

No meio de ouvir vários relatórios do mundo real nesta conferência, algumas coisas ficaram evidentes: há boas e más notícias com base no foco sempre necessário nesta área crítica.

The Bad News

Em seus termos mais simples, a má notícia é que os avanços tecnológicos estão apenas aumentando a probabilidade de eventos do primeiro dia. “Os veículos elétricos estão criando mais tecnologia, o que significa que há mais ameaças e superfícies de ameaças”, afirmou Jay Johnson, pesquisador principal do Sandia National Laboratories. “Já existem 46,500 carregadores disponíveis a partir de 2021 e até 2030 a demanda do mercado sugere que haverá aproximadamente 600,000.” Johnson passou a delinear as quatro principais interfaces de interesse e um subconjunto preliminar de vulnerabilidades identificadas junto com recomendações, mas a mensagem era clara: é preciso haver um “chamado às armas” contínuo. Essa, ele sugere, é a única maneira de evitar coisas como os ataques de negação de serviço (DoS) em Moscou. “Os pesquisadores continuam a identificar novas vulnerabilidades”, afirma Johnson, “e realmente precisamos de uma abordagem abrangente de compartilhamento de informações sobre anomalias, vulnerabilidades e estratégias de resposta para evitar ataques coordenados e generalizados à infraestrutura”.

Os carros elétricos e suas estações de carregamento associadas não são as únicas novas tecnologias e ameaças. O “veículo definido por software” é uma plataforma arquitetônica semi-nova (*sem dúvida empregada há mais de 15 anos pela General MotorsGM
e OnStar) que alguns fabricantes se dirigem para combater o bilhões de dólares sendo desperdiçados na renovação contínua de cada veículo. A estrutura básica envolve hospedar grande parte do cérebro do veículo fora de bordo, o que permite reutilização e flexibilidade dentro do software, mas também apresenta novas ameaças. De acordo com o mesmo relatório da Upstream, 40% dos ataques nos últimos anos foram direcionados a servidores back-end. “Não vamos nos enganar”, adverte Juan Webb, diretor administrativo da Kugler Maag Cie, “há muitos lugares em toda a cadeia automotiva onde os ataques podem acontecer, desde a fabricação até as concessionárias e servidores externos. Onde quer que exista o elo mais fraco que seja o mais barato para penetrar com as maiores implicações financeiras, é aí que os hackers atacarão.”

Nela, parte do que foi discutido na escar foram as más-notícias-boas-notícias (dependendo da sua perspectiva) do Regulamento UNECE entrando em vigor esta semana para todos os novos tipos de veículos: os fabricantes devem apresentar um robusto Sistema de Gerenciamento de Segurança Cibernética (CSMS) e Sistema de Gerenciamento de Atualização de Software (SUMS) para que os veículos sejam certificados para venda na Europa, Japão e, eventualmente, na Coréia. “A preparação para essas certificações não é um esforço pequeno”, afirma Thomas Liedtke, especialista em segurança cibernética também da Kugler Maag Cie.

A Boa Nova

Em primeiro lugar, a melhor notícia é que as empresas ouviram o grito de guerra e começaram minimamente a incutir o rigor necessário para combater os inimigos do Black Hat mencionados. “Em 2020-2022, vimos um aumento de corporações que desejam realizar uma Análise de Ameaças e Avaliação de Riscos ou TARAR
A”, afirma Liedtke. “Como parte dessas análises, a recomendação foi focar nos tipos de ataques controlados remotamente, pois eles levam a valores de risco mais altos.”

E toda essa análise e rigor inicialmente parece estar surtindo efeito. De acordo com um relatório fornecido por Samantha (“Sam”) Isabelle Beaumont da IOActive, apenas 12% das vulnerabilidades encontradas em seus testes de penetração de 2022 foram consideradas “Impacto crítico” versus 25% em 2016, e apenas 1% foram “Probabilidade crítica” versus 7% em 2016. “Estamos vendo as estratégias atuais de remediação de riscos começando a dar frutos”, afirma Beaumont. “A indústria está ficando melhor em construir melhor.”

Isso significa que a indústria acabou? Certamente não. “Tudo isso é um processo contínuo de fortalecimento dos projetos contra ataques cibernéticos em evolução”, sugere Johnson.

Enquanto isso, vou comemorar a última boa notícia que recebi: os hackers russos estão ocupados invadindo ativos russos em vez de meu feed de mídia social.