Segurança digital de veículos - Ten Sistemas e Redes

Segurança digital de veículos

COMPARTILHE

A invasão de sistemas automotivos se tornou um foco importante na comunidade de segurança nos últimos anos, à medida que mais veículos são conectados à internet celular. Mas, embora seja conveniente controlar o seu carro a partir do seu telefone, esta facilidade também torna o sistema mais vulnerável a ataques – o que pode ter consequências no mundo real.

O objetivo não é amedrontar ninguém, nem reativar o mercado de veículos Lada (só os mais velhos entenderão o que quero dizer com isto), mas do jeito que as coisas estão indo, temos cada vez menos motivos para dirigir nossos carros despreocupadamente.

Recentemente, um bug descoberto por dois pesquisadores os permitiu obter acesso aos sistemas de backend de um popular sistema de gerenciamento de veículos conectado à Internet.  Este bug poderia ter dado a um hacker malicioso tudo o que precisava para rastrear a localização do veículo, roubar informações do usuário e até mesmo desligar o motor.

Os pesquisadores Vangelis Stykas e George Lavdanis detalharam a existência de um bug em um servidor mal configurado administrado pela Calamp, uma empresa de telemática que fornece segurança e rastreamento de veículos, o que lhes deu “acesso direto à maior parte de seu banco de dados de produção”.

Um usuário pode nem perceber que usa os sistemas do Calamp. Muitos aplicativos, incluindo o aplicativo de rastreamento de veículos Viper SmartStart, que permite que seus usuários localizem, iniciem e controlem seus carros a partir de seus telefones, se conectam ao mundo externo através de um gateway da Calamp para seus servidores baseados em nuvem.

Os pesquisadores descobriram que o aplicativo móvel Viper, embora seguro, estava se conectando a dois servidores diferentes – um usado pelo Viper e outro pela Calamp.  Usando as mesmas credenciais do aplicativo, os pesquisadores também puderam fazer o login e obter acesso completo ao servidor do Calamp.

“Você pode facilmente explorá-lo e ter acesso total ao banco de dados”, disse Stykas em um email. “Poderíamos fazer muitas coisas – praticamente qualquer cenário em que pudéssemos pensar seria desastroso, como roubar carros em massa ou desligar o veículo por meio de um botão de pânico ao ir em alta velocidade”, disse ele.

Ao consultar o banco de dados, Stykas disse que seria possível encontrar um carro observando as coordenadas de latitude e longitude, redefinir a senha, destrancar a porta do lado do motorista, acionar o motor e partir.

banco de dados back-end do Calamp

Stykas apresentou várias capturas de tela do servidor, que incluía relatórios de histórico de veículos, históricos de alarme e gráficos de pagamento.

Os pesquisadores disseram que poderiam rastrear o histórico de localização de todos os veículos no banco de dados, mesmo que o usuário logado tivesse permissões limitadas, somente de leitura. Eles também podiam ver nomes de usuários e senhas mascaradas, mas não tinham como exportar os dados.

O bug foi corrigido depois que os pesquisadores entraram em contato com a empresa.

Um porta-voz da Calamp disse que a falha foi corrigida e que a empresa continua revisando o código atrás de novas vulnerabilidades.

“A Calamp leva a questão da segurança de TI e dados a sério. Assim que recebemos o relatório de bug, nossa equipe investigou e desenvolveu imediatamente um patch para resolvê-lo. Acreditamos que esse assunto tenha sido resolvido sem problemas”, disse o porta-voz.

Stykas disse que não tinha certeza sobre quantas empresas ou veículos foram afetados pelo bug do servidor. A Calamp diz em seu site que gerencia ativamente mais de 7 milhões de dispositivos.

Este não é o primeiro exemplo de hacking de carros do qual se ouve falar.

Em 2016, hackers assumiram controle total dos freios em um Jeep Cherokee, o que causou polêmica, depois de testar o hack em uma rodovia. Essa pesquisa em grande parte abriu as comportas para um novo foco em hack de carros. No ano passado, uma falha inatingível na maioria dos carros modernos colocou os motoristas em risco de uma vulnerabilidade que poderia desativar os recursos de segurança, como desligar o airbag.

Os sistemas de informação e entretenimento têm sido os dos principais alvos dos hackers.  Como se pode notar, o alvo pode estar do seu lado ou distante, porém alcançável através da rede de celular.

No filme “2001 – Uma Odisseia no Espaço” debatia-se a fragilidade do homem em relação a máquina, que algum dia poderia se tornar tão inteligente e tão ubíqua, ao controlar tantas dimensões da vida humana, que poderia se insurgir e submeter o homem, e assim lançar as bases de uma nova civilização.  Como se pode ver, as previsões do filme não se confirmaram, mas não estavam tão erradas assim.  O único erro de avaliação é que se vier a existir um culpado este será o próprio homem.

Fonte de informação extraída do site https://www.zdnet.com/article/flaw-connected-alarm-system-exposed-vehicles-remote-hacking/

COMPARTILHE

Destaques

Vulnerabilidade do Smart Install

6 de abril de 2018

Invasores estão explorando um problema de “uso indevido de protocolo” no Smart Install Client da Cisco para invadir a infraestrutura de ambientes críticos, de acordo com pesquisadores do grupo Talos Intelligence da Cisco. Os pesquisadores dizem que os atacantes estão ligados a hackers e apontam para o alerta recente do US CERT, detalhando suspeitas de […]

Paradigmas dos novos ambientes virtualizados

8 de março de 2018

A introdução da virtualização em ambientes computacionais distribuídos e heterogêneos  permitiu abstrair sobre onde uma aplicação está rodando. A ideia era estabelecer os recursos de CPU, memória, discos e rede necessários para o perfeito funcionamento da aplicação e garantir que o sistema de virtualização alocasse os recursos necessários para cada uma delas. A promessa era […]

Bug na VPN de Firewalls da Cisco

31 de janeiro de 2018

Um pesquisador anunciou ter descoberto um bug na implementação de VPN em certos produtos da Cisco capaz de comprometer a segurança de todo o sistema. A Cisco Systems alertou seus clientes do software Adaptive Security Appliance (ASA) sobre um bug na VPN de firewalls, enquanto o pesquisador responsável pela descoberta divulgou que revelará como explorar […]

Mais Lidos

Refrigeração de CPD para Pequenas e Médias Empresas

30 de outubro de 2017

É melhor pensar bem na hora de definir o sistema de refrigeração e seu controle nos CPDs de Pequenas e Médias Empresas, afinal, o barato pode sair bem caro. Saiba o porquê neste artigo.

Ransomware e os sequestros de informações de Hospitais

10 de abril de 2017

Segurança de dados na internet é um assunto que não sai de pauta. Conheça a ameaça Ransomware e como se proteger dela!

Até a sua comida está mais inteligente. A Internet das Coisas (IoT) no seu dia a dia

14 de abril de 2017

Nosso diretor comercial, David Wajnsztok mostra como a Internet das Coisas (IoT) já se tornou uma realidade e o que ainda está por vir.

Desafios e tendências em Data Center para 2017

15 de março de 2017

Com o crescimento da tecnologia cloud, a modernização dos recursos e serviços computacionais no ambiente de Data Center tornou-se essencial. Saiba mais sobre os desafios e tendências do setor.

Internet das Coisas: aplicações e mitos

29 de março de 2017

A Internet das Coisas é um caminho sem volta. Você está preparado? O que sua empresa está fazendo a respeito? Veja neste artigo as aplicações e mitos da IoT.