Montadoras investem em segurança de software

Os fabricantes podem chamá-los de carros autônomos, mas hackers afirmam que são computadores que viajam a mais de 160 quilômetros por hora

Começou há cerca de sete anos. Os principais cientistas nucleares do Irã foram assassinados em uma série de ataques parecidos: agressores em motocicletas emparelhavam com seus carros e grudavam uma bomba magnética no veículo, que era detonada depois que fugiam do local.

Sete anos depois, especialistas em segurança advertem, os assassinos não precisam mais de motocicletas ou bombas magnéticas. Tudo o que necessitam é um laptop e um código para fazer carros sem condutores caírem de pontes, colidirem com caminhões sem motoristas ou pararem inesperadamente no meio de uma rua de tráfego rápido.

Os fabricantes de automóveis podem chamá-los de carros autônomos. Mas os hackers afirmam que são computadores que viajam a mais de 160 quilômetros por hora.

“Não são mais veículos. São bancos de dados sobre rodas. Qualquer parte do carro que fala com o mundo exterior é uma via potencial para quem quer atacar alguém”, diz Marc Rogers, principal pesquisador da empresa de segurança cibernética CloudFlare.

Esses temores começaram a chamar atenção dois anos atrás quando dois hackers éticos ou “chapéus brancos” – pesquisadores que procuram vulnerabilidades nos computadores para encontrar problemas e consertá-los, ao invés de cometer um crime ou causar problemas – conseguiram acesso a um Jeep Cherokee a partir de seu computador. Eles deixaram o boneco de teste (que nesse caso era um nervoso repórter) sem poder sobre o veículo e desativaram a transmissão no meio de uma rodovia.

Os hackers, Chris Valasek e Charlie Miller (agora respectivamente pesquisadores de segurança do Uber e da Didi, concorrente do Uber na China), descobriram uma rota eletrônica a partir do sistema de entretenimento do Jeep para seu painel de instrumentos. Dali, conseguiram controlar a direção, os freios e a transmissão do veículo – tudo que precisavam para paralisar o motorista.

“Invadir um carro gera grandes manchetes, mas lembrem-se: ninguém teve seu veículo virtualmente manipulado por uma pessoa malvada”, escreveu Miller no Twitter recentemente. “Isso foi feito apenas por pesquisadores.”

Ainda assim, a pesquisa de Miller e Valasek cobrou um alto preço da fabricante do Jeep, a Fiat Chrysler, que foi forçada a fazer um recall de 1,4 milhão de seus automóveis como resultado da experiência.

Não é de se admirar que Mary Barra, executiva-chefe da General Motors, tenha dito no ano passado que a segurança cibernética é prioridade da empresa. Agora as habilidades dos pesquisadores e dos chamados hackers do chapéu branco estão em alta demanda entre as montadoras e companhias de tecnologia que tocam projetos de carros autônomos.

O Uber, a Tesla, a Apple e a chinesa Didi têm retirado ativamente hackers éticos, como Miller e Valasek, umas das outras e também de empresas tradicionais de segurança cibernética e do mundo acadêmico.

No ano passado, a Tesla conquistou Aaron Sigel, gerente de segurança do sistema operacional iOS, da Apple. O Uber roubou Chris Gates, que era o chapéu branco do Facebook. A Didi recrutou Miller do Uber, onde ele havia ido trabalhar depois de invadir o Jeep. E as empresas de seguranças têm visto dezenas de engenheiros trocarem seus corredores por projetos de carros autônomos.

Miller contou que trocou o Uber pela Didi, em parte, porque seu novo empregador chinês lhe deu mais liberdade para discutir seu trabalho.

“As montadoras parecem estar levando a ameaça de um ataque cibernético mais seriamente, mas ainda gostaria de ver mais transparência da parte delas”, escreveu Miller no Twitter.

Como várias empresas grandes de tecnologia, a Tesla e a Fiat Chrysler começaram a pagar prêmios para hackers que descobrem falhas em seus sistemas. A GM tem feito algo parecido, embora os críticos digam que seu programa é limitado se comparado com os oferecidos pelas firmas de tecnologia, e até agora nenhum prêmio foi pago.

Um ano depois que o sistema do Jeep foi invadido por Miller e Valasek, eles demonstraram todas as outras maneiras como poderiam mexer com um motorista de um Jeep, entre elas sequestrar o controle de cruzeiro do veículo, virar a direção em 180 graus ou puxar freio de mão no meio de uma via movimentada – tudo a partir de um computador na parte de trás do carro. (Essas façanhas acabaram com o Jeep de teste em uma vala e uma ligação para a empresa local de reboque.)

Claro, eles tinham que estar dentro do Jeep para fazer tudo isso acontecer. Mas foi uma prova de que era possível.

A invasão do Jeep foi precedida por uma feita em 2011 por pesquisadores de segurança das universidades de Washington e da Califórnia, em San Diego, os primeiros a invadir remotamente um sedã e no final controlar seus freios por meio do Bluetooth. Os pesquisadores alertaram as fabricantes de automóveis que quanto mais conectados os carros se tornam, mas provável que sejam invadidos.

Pesquisadores de segurança também encontraram um caminho para invadir o automóvel repleto de softwares da Tesla, o Model S. Em 2015, Rogers, com Kevin Mahaffey, diretor de tecnologia da empresa de segurança cibernética Lookout, descobriu uma maneira de controlar várias funções do Tesla por meio de um laptop fisicamente conectado.

Um ano depois, uma equipe de pesquisadores chineses da Tencent levou a pesquisa um pouco além, invadindo um Tesla Model S em movimento e controlando seus freios a quase 20 quilômetros de distância. Ao contrário da Chrysler, a Tesla conseguiu enviar uma correção remota para resolver os furos de segurança que possibilitaram a invasão.

Em todos os casos, as invasões de carros foram trabalho de pesquisadores bem intencionados de segurança e de hackers éticos.

Mas as motivações para invadir o sistema de veículos são ilimitadas. Quando descobriu sobre as investigações de Rogers e Mahaffey sobre o Tesla Model S, um desenvolvedor de aplicativos chinês perguntou a Rogers se ele estaria interessado em compartilhar, ou possivelmente vender, sua descoberta. (O desenvolvedor estava procurando uma porta de entrada para instalar secretamente seu aplicativo no painel do Tesla.)

Os criminosos ainda não demonstraram ter encontrado uma back door dos veículos conectados, embora há anos venham ativamente desenvolvendo, negociando e implantando ferramentas que podem interceptar comunicações importantes dos carros.

Mas, à medida que mais veículos sem condutores e semiautônomos chegarem às estradas, vão se tornar um alvo muito valioso. Especialistas em segurança alertam que os carros sem motoristas apresentam uma “superfície de ataque” muito mais complexa, intrigante e vulnerável para os hackers. Cada novo recurso do automóvel “conectado” gera um complexidade maior, e com ela inevitavelmente vem a vulnerabilidade.

Vinte anos atrás, os carros tinham, em média, um milhão de linhas de código. Já o Chevrolet Volt 2010 da General Motors possuía cerca de dez milhões de linhas de código – mais do que um avião de combate F-35.

Hoje, um carro tem mais de 100 milhões de linhas de código. As montadoras preveem que não vai demorar para chegar aos 200 milhões. Quando paramos para pensar que, em média, há de 15 a 50 defeitos para cada mil linhas de código de software, as fraquezas que potencialmente podem ser exploradas se somam com rapidez.

A única diferença entre um código de computador e o de um carro sem condutor é que, “ao contrário da segurança do banco de dados de uma empresa – onde a maior ameaça é a perda de informação – em segurança automotiva, o dano é a perda da vida”, afirma David Barzilai, um dos fundadores da Karamba Security, startup israelense que trabalha com segurança de veículos.

Para garantir de verdade a segurança dos carros autônomos, dizem os especialistas, os fabricantes terão que abordar as inevitáveis vulnerabilidades que aparecem em novos sensores e computadores dos veículos, aquelas da base dos automóveis em si e, talvez o maior desafio de todos, diminuir o fosso cultural entre as montadoras e as empresas de software.

“O gênio saiu da garrafa, e resolver esse problema exigirá uma mudança cultural importante”, diz Mahaffey, da empresa de segurança cibernética Lookout. “E um fabricante que realmente valorizar a segurança cibernética vai tratar das vulnerabilidades da mesma maneira com que faria com um recall de air-bag. Não vimos essa mudança no setor ainda.”

Haverá ganhadores e perdedores, afirma Mahaffey: “As montadoras que se transformarem em empresas de software vão vencer. As outras ficarão para trás”.