Ataques a carros inteligentes são “questão de tempo”, diz especialista

Em Watch Dogs, da Ubisoft, manipular carros autônomos é uma das táticas mais comuns para chamar atenção, bloquear passagens e escapar das autoridades e oponentes. Estamos falando de um game, onde o custo em vidas e patrimônio não é levado em conta; na vida real, impedir intrusões a veículos cada vez mais tecnológicos e conectados é um desafio que vem mantendo acordado muitos fabricantes de automóveis e, para alguns especialistas, está até mesmo aumentando o tempo necessário de desenvolvimento enquanto montadoras e desenvolvedores tentam garantir um nível alto de segurança.

• 2020 teve aumento de quase 40% em ataques por e-mail
• Ataques contra empresas aumentam em 10 vezes após falha no Microsoft Exchange
• Como a Volkswagen está transformando seus carros na extensão do seu smartphone

Entretanto, a mesma máxima do mundo da segurança digital, de que não existe sistema 100% seguro, também pode valer aqui, e para Moshe Shlisel, diretor executivo da GuardKnow Cyber Technologies, um ataque em grande escala contra carros conectados é apenas uma questão de tempo. Na visão dele, os únicos modelos seguros são aqueles não conectados a absolutamente nada.

Ele é um dos entrevistados em uma reportagem do jornal americano The New York Times, que pinta um panorama do estado da segurança digital nos veículos. A ideia geral é de que, na medida em que eles se tornam cada vez mais avançados, maiores são as portas de entrada para atacantes e, na mesma medida em que competem entre si para chegarem primeiro e com mais inovação ao mercado, as montadoras também estão em um combate para garantir a proteção de seus carros e evitar resultados, sem dúvida nenhuma, catastróficos.

Não vai ser muito fácil. Em um teste feito em 2019, a Karamba Security, voltada especificamente para cibersegurança em veículos autônomos, publicou os sistemas de controle de um carro na internet, para acompanhar o fluxo de ataques. Em menos de três dias, foram 25 mil tentativas — a boa notícia, mas nem tanto assim, é que apenas uma delas foi bem-sucedida.

Explorações desse tipo também levaram a um recall, em 2015, de 1,4 milhão de carros da Jeep depois que especialistas em segurança, remotamente, foram capazes de mudar a estação de rádio, aumentar a temperatura do ar-condicionado e ligar o limpador de para-brisas de um veículo. Em 2020, uma exploração remota aos sistemas de um carro da Tesla permitiu que analistas da Consumer Watchdog, organização voltada para a defesa do consumidor do ponto de vista da proteção digital, exibissem uma mensagem no display. Em um país não identificado da América do Sul, segundo a Karamba, o rastreamento de uma frota de caminhões foi desligado para que eles não aparecessem no mapa, com bandidos de olho no roubo das cargas.

São exemplos que pintam um panorama bem real. A maior preocupação, claro, é quanto a ataques que possam permitir aos atacantes assumirem controle de um veículo, principalmente em um panorama de direção autônoma no qual os veículos se comunicarão entre si. As palavras “morte” e “destruição” são usadas pelo jornal americano, a partir de seus entrevistados, para demonstrar os efeitos disso.

Entre as medidas que estão sendo tomadas pela indústria automotiva em prol da proteção está o isolamento de sistemas, de forma a impedir que plataformas conectadas como GPS ou o sistema de entretenimento se comuniquem com o controle do carro, por exemplo. Quando isso for necessário, alertas são posicionados para que indiquem quando uma plataforma está enviando comandos irregulares ou não comuns a outra, em sistemas que também podem promover o desligamento geral do veículo e sua retirada para um local seguro.

Controles sobre a forma como os carros se comuniquem entre si, mas que garantam atualizações caso um veículo não atualizado esteja na rede, também estão sendo desenvolvidos. Enquanto isso, regulamentações federais devem entrar em vigor nos mercados da Europa, Japão e Coreia do sul entre 2022 e 2024, criando salvaguardas, requisitos mínimos e indicando testes que precisam ser realizados antes que a tecnologia embarcada em um veículo possa ser colocada à disposição do público.

Estão em pauta, por exemplo, testes de penetração, análises de risco e relatórios periódicos sobre tentativas de intrusão. As normas são das Nações Unidas e estão sendo aplicadas individualmente por cada países, em acordo com as montadoras; o governo dos EUA também trabalha em uma legislação própria, que ainda não tem data para ser aplicada.

Fonte: The New York Times