O senador democrata Ed Markey (D-MA) publicou um relatório depois de questionar 20 montadoras sobre a segurança das redes internas de seus carros - ea quantidade de dados pessoais que armazenam. Os resultados não são grandes.
Em suma, como já suspeitado por muito tempo, os computadores em carros de hoje podem ser sequestrado sem fio, alimentando pacotes especialmente criados de dados em suas redes. Há muitas vezes sem necessidade de contato físico; nenhuma saída de provas em torno de mentir depois de sujar as mãos.
Isso significa que o software rodando em seu dashboard pode ser forçado a abrir portas, ou tornar-se infectado com malware, e os registros sobre onde você tem sido e quão rápido você estava indo pode ser obtido. A falta de criptografia em vários modelos meios cheirou pacotes são imediatamente legível.
Sistemas-chave para iniciar os motores, o sistema eletrônico de ligação coisas vitais como o volante e freios, e outras coisas no ônibus CAN, tendem a ser isolado e seguro, estamos disse.
A capacidade de meliantes para acessar sistemas internos sem fio, causar o mal, e invadir sua privacidade, é irritante, no entanto.
"Os motoristas têm vindo a contar com essas novas tecnologias, mas, infelizmente, os fabricantes de automóveis não têm feito sua parte para nos proteger de ciber-ataques ou invasões de privacidade," disse Markey , membro do Comitê de Comércio, Ciência e Transporte do Senado.
"Mesmo quando estamos mais conectados do que nunca em nossos carros e caminhões, os nossos sistemas de tecnologia e segurança de dados permanecem em grande parte sem proteção. Precisamos trabalhar com os especialistas da indústria e de segurança cibernética em estabelecer regras claras da estrada para garantir a segurança e privacidade dos pilotos americanos do século 21 ".
Dos 17 fabricantes de automóveis que responderam [PDF] para as cartas de Markey (Tesla, Aston Martin, Lamborghini e não fez) tudo fez uso extensivo da computação em suas 2.014 modelos, com alguns transportando 50 unidades de controle eletrônico (ECU) rodando em uma série de redes internas.
BMW, Chrysler, Ford, General Motors, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen (com Audi), e Volvo responderam ao estudo. De acordo com seis páginas dossier do senador:
- Mais de 90 por cento de veículos fabricados em 2014 contava com uma rede wireless de algum tipo - como Bluetooth para conectar smartphones no painel de instrumentos ou um padrão proprietário de técnicos para tirar diagnósticos.
- Apenas seis montadoras têm qualquer tipo de software de segurança em execução em seus carros - como firewalls para bloquear conexões de dispositivos não confiáveis, ou criptografia para proteger os dados em trânsito ao redor do veículo.
- Apenas cinco pontos de acesso sem fio protegidos com senhas, criptografia ou de proximidade sensores que (em teoria) só permitem hardware detectado dentro do carro para se juntar a uma determinada rede.
- E apenas modelos feitos por duas empresas pode alertar os fabricantes, em tempo real, se um ataque software malicioso é tentada - os outros esperam até que um técnico controlos na próxima manutenção.
Não havia muito detalhe sobre a segurança de over-the-air atualizações para o firmware, nem o uso de criptografia para proteger os dados pessoais sejam telefonou para casa a partir de veículos a HQ de um fabricante de automóveis.
Sem surpresa, os especialistas em segurança consultados pelo senador observou que todos os carros, exceto por motores construídos por um fabricante, pode ser cortado usando técnicas previamente publicados. Firewalls verificar onde os dados estão vindo, mas não o conteúdo dos pacotes, permitindo que cargas nocivas para deslizar através despercebido - eo software watchdog ECU foi básicas ao extremo.
Markey observou que a Aliança de Fabricantes de Automóveis e da Associação de Montadoras globais havia adotado um código voluntário para lidar com questões de segurança do computador em carros (uns meros dois anos depois em rede carros foram encontrados para ser vulnerável ao ataque).
Do lado da privacidade, todos os modelos 2014 posto para fora por fabricantes de automóveis que responderam à pesquisa recolher algum tipo de informação de seus clientes, com 25 por cento de armazená-la no carro e metade de transmiti-lo de volta para servidores corporativos, onde é mantidos por até dez anos, em um caso.
Todos estes sistemas de coleta de dados são obrigatórios, e um fabricante disse que sentiu os consumidores não devem ser contadas registros mesmo estava sendo mantido, afirma o relatório da Markey. A permissão para ingerir-se estes dados potencialmente confidenciais geralmente é mencionado no contrato de compra ou manual do proprietário, e dois fabricantes afirmam ter sistemas para permitir que os clientes para excluir algumas das informações, se desejarem.
Embora o relatório é uma boa recolha de onde estamos no caminho da segurança do computador, ele não perder um defesa da segurança - um sistema de detecção de intrusão básica (IDS) que dispara quando as pessoas invadir redes de um veículo.
Hacker de carro extraordinaire Charlie Miller demonstrou seu aparelho IDS na conferência Black Hat, em agosto, apelidada de Can-no hackalator 3000, o que poderia ser remendada com peças de reposição e monitorado o comportamento interno das redes dentro de um carro.
"IDS é uma porcaria em computadores, mas acontece que eles trabalham para carros, porque os carros são simples", disse Miller no momento.
Em resposta a uma pergunta do El Reg na segunda-feira, Miller afirmou seu dispositivo IDS "parar de técnicas de ataque todos conhecidos", e com base na sua apresentação seria fácil de instalar. Dado o senador Markey citou o trabalho de hacking antes de Miller, em seu relatório, é surpreendente mecanismo de defesa deste último foi esquecido. ®
Nenhum comentário:
Postar um comentário