Queira o Sr. Perito tratar das implicações de segurança da informação dos veículos conectados/autônomos

INTRODUÇÃO

A partir da revolução industrial, o ser humano começou a automatizar tarefas outrora executadas manualmente. Desde então, essas atividades se espalharam entre os mais diversos segmentos, desde um controle remoto até uma planilha de cálculos informatizada. Isto posto, estamos em uma sociedade cada vez mais digital, rompendo a barreira dos 5 bilhões de dispositivos conectados à internet e com previsão de atingir os 25 bilhões em 2020 (GARTNER, 2015a).

De acordo com estimativas da Forbes (2015), até o ano de 2020, mais de 150 milhões de veículos possuirão algum módulo com conectividade à internet; no que convencionou-se chamar de “veículos conectados”. Indo além, o Hype Cycle de 2015, apontou os veículos autônomos como tecnologia promissora para os anos vindouros (GARTNER, 2015b).

Entretanto, questões que colocam em risco os três pilares da Segurança da Informação (Confidencialidade, Integridade e Disponibilidade), ainda devem ser muito aprofundadas, pois as medidas utilizadas pelos fabricantes atualmente não são capazes de mitigar os riscos existentes (ABNT, 2013). Como exemplo, recentemente pesquisadores demonstraram ser possível obter acesso remoto a veículos da marca Jeep e controlar diversos mecanismos (WIRED, 2015). 

COMPARAÇÃO

Primeiramente, é importante diferenciar o veículo conectado do autônomo.

Como já pode ser visto em países europeus e nos Estados Unidos, um veículo conectado oferece ao motorista diversas assistências, especialmente as possibilitadas pela conexão com a internet, dentre as quais: informações sobre acidentes nas imediações, vias interditadas e alertas de segurança. No entanto, o motorista ainda se faz necessário. Logo, é coerente dizer que um veículo conectado é o precursor do veículo autônomo.

O veículo autônomo, ainda em fase de testes por empresas como o Google, é um automóvel que não necessita de motorista para se locomover e chegar ao destino planejado, utilizando-se de inteligência artificial e sensores como laser e radar, bem como tecnologias de navegação por GPS, controle de velocidade de cruzeiro e ABS.
Isto posto, os conceitos demonstrados a seguir aplicam-se a ambos os tipos de veículos.

REDES AUTOMOTIVAS

Devido a grande quantidade de unidades de controle eletrônicas (ECU, do inglês, Electronic Control Unit) incorporadas num veículo, a troca de informações entre elas através de conexões dedicadas se apresenta inviável, tanto do ponto de vista de espaço físico quanto em custo. Para suplantar esse problema, a maior parte das ECUs é conectada a um barramento que transmite as mensagens a todos os seus nós. Um veículo, portanto, possui várias subredes interligadas (BLOMMENDAAL, 2015).

CAN

Segundo Davis et al. (2007), o Controller Area Network (CAN), pensado inicialmente em 1983 por Robert Bosch, é um barramento serial de comunicação projetado para prover comunicações simples, eficientes e robustas para redes automotivas. Apareceu pela primeira vez nos automóveis da série S da Mercedes, em 1991. Possibilita conexões de até 500 Kbit/s.

LIN

O Local Interconnect Network (LIN) é um barramento de custo reduzido, voltado à tarefas não complexas como a operação dos vidros, retrovisores elétricos e iluminação (BLOMMENDAAL, 2015).

FlexRay

O FlexRay surge como uma evolução do CAN e LIN, motivada pela crescente demanda de operações que exigem maior largura de banda, podendo alcançar a taxa de transferência de até 10 Mbit/s. As aplicações mais indicadas para seu uso são: ABS, gerenciamento do motor, freio, suspensão e transmissão (FUJITSU, 2006).

MOST

A tecnologia MOST (Media Oriented Systems Transport) foi projetada para suportar grandes volumes de dados, conforme a necessidade dos serviços de streaming de áudio e vídeo preconiza (BLOMMENDAAL, 2015).

Os veículos mais modernos podem receber informações advindas de fontes externas, como: dispositivos de armazenamento removíveis e serviços online providos através das redes 3G/4G. Outra possibilidade é a de atualizações OTA (Over-the-Air), onde os fabricantes disponibilizam incrementos de software para corrigir defeitos, diminuindo a necessidade do proprietário levar seu veículo a uma concessionária. Juntamente com o entretenimento e comodidade possibilitados por essas tecnologias, a rede interna do veículo fica potencialmente exposta à exploração. Ainda que os protocolos implementem alguns mecanismos de segurança, estes podem se mostrar ineficazes frente às ameaças mais atuais.

CLASSIFICAÇÃO DE ATAQUES

Objetivos

Modificações indevidas

O proprietário ou empresa especializada podem recorrer à adulteração da ECU, com a finalidade de reduzir os valores armazenados no hodômetro, visando o beneficio próprio ao revender o veículo, por exemplo.

Sabotagem

Quaisquer atos no sentido de prejudicar o correto funcionamento do veículo, podendo colocar em risco as vidas de seus ocupantes. Engloba desde operações de baixo risco, como impedir o fechamento dos vidros ou travar os limpadores de pára brisa até eventos extremamente severos, como desabilitar a ativação dos freios.

Roubo

Quando um atacante explora uma vulnerabilidade no protocolo de comunicação sem fio para desativar o alarme e destravar as portas do veículo.

Quebra de privacidade

As questões envolvendo privacidade tornam-se bastante sensíveis quando pensamos na utilização dos veículos autônomos, ao considerarmos que hábitos individuais e até mesmo a localização de veículos de carga estarão sujeitos a rastreamento, à medida em que coordenadas podem ser trocadas entre os automóveis e servidores situados em qualquer parte do mundo.

Nesse sentido, surgem três pontos a se analisar: (1) onde o módulo responsável pela inteligência artificial está localizado (embutido ou externo ao veículo), (2) de que forma as informações externas, como as referentes às vias pelas quais o veículo trafega serão obtidas e (3) quais dados do veículo serão transmitidos (GLANCY, 2012).

Um atacante pode obter a lista de contatos e histórico de chamadas do proprietário do veículo, bem como premeditar uma ação criminosa a partir do monitoramento das coordenadas de GPS.

Vulnerabilidades na comunicação

Verificou-se em Wolf, Weimerskirch e Paar (2004) que o CAN não consegue assegurar as principais propriedades de Segurança da Informação:

a) Confidencialidade: arquiteturalmente, as mensagens enviadas ao CAN são transmitidas a todos os nós. Isso facilita a captura do tráfego e a visualização do conteúdo, por indivíduos mal intencionados.

b) Autenticidade: o cabeçalho de uma mensagem do CAN não contempla a autenticação de seu remetente. Com isso, qualquer nó pode enviar quaisquer tipos de mensagens, mesmo sem permissão para tal.

c) Disponibilidade: o baixo poder computacional associado à regras de controle brandas do CAN tornam relativamente simples a um atacante causar uma interrupção por negação de serviço.

d) Integridade: o CRC, do inglês Cyclic Redundancy Check, ou verificação de redundância cíclica presente no CAN é insuficiente para impedir que um atacante envie uma mensagem maliciosa, à medida em que é simples forjar um CRC válido.

e) Não repúdio: atualmente, não há métodos para comprovar o recebimento/envio de uma mensagem por parte de um ECU.

Ataques internos

Apesar de alguns mecanismos de segurança estarem implementados nas redes automotivas, apenas recentemente esse tópico vem recebendo mais atenção, à medida em que cresce a conectividade.

Ataques locais

Através da porta OBD (do inglês, On Board Diagnostics), é possível ler e enviar pacotes. Essa interface é utilizada no diagnóstico (gerado a partir da análise dos diversos sensores veiculares) de problemas apresentados pelos veículos e tornou-se obrigatória nos automóveis comercializados nos EUA a partir de 1996 e na Europa em 2001 (para os movidos à gasolina).

Já existem conectores do tipo OBD sendo comercializados ao público, inclusive contando com interfaces Bluetooth, facilitando sua integração com aplicativos de dispositivos móveis. Com a utilização dessa porta ou através de acesso direto ao módulo desejado, é possível realizar explorações.

Conforme visto em Koscher et al. (2010), algumas ECUs podem ter seu conjunto de instruções alterado, causando o comprometimento de todo o sistema. Já Nilsson e Larson (2008) apresentam o conceito de vírus automotivo, onde uma ação só é disparada quando um evento específico ocorre (ultrapassar uma velocidade definida, por exemplo).

Pode-se alegar que para a execução desses ataques se faz necessário o acesso físico às estruturas do veículo. Entretanto, como os veículos modernos apresentam conectividade sem fio, essa restrição deixa de existir, conforme será visto a seguir.

Ataques remotos

Em Koscher et al. (2010) foram reproduzidas explorações sem contar com acesso físico à rede interna do veículo. Esses ataques podem ser divididos em 3 categorias, de acordo com a forma de acesso: indireta, sem fio a curta distância e sem fio a longa distância.

Acesso indireto

Baseia-se no comprometimento de dispositivo e/ou mídia que posteriormente serão utilizados no veículo.

a) Reprodutor de mídia: uma vulnerabilidade na decodificação das mídias com formato WMA permite que durante a reprodução sejam emitidas mensagens arbitrárias diretamente aos barramentos. Isso se torna um risco, à medida em que arquivos maliciosos são disseminados através de redes peer-to-peer;

b) USB: similar ao caso acima, um dispositivo do usuário (como um smartphone ou pendrive) pode conter arquivos maliciosos. Outra possibilidade é a de exploração via Bluetooth através da conexão de um smartphone infectado, por exemplo.

Curta distância

Pode ser do tipo direto, se o alvo for um módulo de comunicação do veículo ou indireto, quando mediante um dispositivo já pareado (como um smartphone).

a) Pareamento de dispositivos móveis: juntamente com o conforto proporcionado pela ativação do Bluetooth a fim de conectar o smartphone ao veículo e então utilizar o sistema de som do mesmo para fazer ligações sem intervenção manual, abrem-se brechas para que atacantes possam ter acesso aos dados das unidades de controle ou mesmo ao conteúdo das chamadas telefônicas (CHECKOWAY, 2011);

b) Comunicação entre veículos: futuramente, ocorrerá a comunicação entre os veículos e infraestrutura das vias. Isso possibilitará a notificação prévia acerca de acidentes, uma frenagem brusca ou quando da aproximação de outro veículo em um cruzamento, por exemplo. Por outro lado, também abre margem à escuta indevida das comunicações e o envio de informações falsas, podendo desencadear uma reação inapropriada;

c) Destravamento sem fio: embora exista uma encriptação quando do procedimento de destravamento sem fio das portas e alarmes, essa criptografia pode ser quebrada. Isso foi demonstrado por Courtois, Bard e Wagner (2008) e Eisenbarth et al. (2008) através da utilização de técnicas algébricas aplicadas à cifra KeeLoq, utilizada nos veículos das marcas General Motors, Honda, Toyota, Volvo, entre outras.

Longa distância

a) Telefonia: em Checkoway et al. (2011), após a descoberta de vulnerabilidades no módulo telefônico (que permite ao veículo a chamada automática em caso de acidente), foi possível executar um código malicioso baixado através da rede 3G, comprometendo o veículo;

b) Navegação web: caso o veículo possua um navegador web, devem ser considerados os mesmos tipos de ataque comuns nos dispositivos pessoais. Dentre os quais: cross-site request forgery, buffer overflow, etc;

c) Loja de aplicativos: podem ser desenvolvidos aplicativos travestidos de idôneos mas contendo código malicioso, ludibriando os usuários.

PROTEÇÃO

Paralelo aos exemplos de ataques que vem sendo demonstrados, estão sendo desenvolvidas medidas de proteção para contrapô-los. Serão apontadas as restrições que devem ser consideradas no contexto automotivo e, na sequência, as técnicas em estudo para reforçar a segurança de suas redes.

Restrições

Para a proteção dos veículos conectados/autônomos, é necessária adaptação dos tradicionais métodos de segurança computacional, dadas as limitações impostas. Wolf, Weimerskirch e Paar (2004) apresentam as seguintes restrições:

a) Hardware: as centrais eletrônicas dos veículos conectados possuem poder de processamento e capacidade de memória bastante reduzidas. Isto posto, não são capazes de realizar operações criptográficas avançadas, tendo que trabalhar com algoritmos que oferecem baixo nível de proteção;

b) Tempo real: complexos cálculos matemáticos devem ser executados em frações de segundo a fim de possibilitar a tomada de decisão dos veículos conectados/autônomos, sem comprometer a segurança dos passageiros. Logo, mecanismos de segurança não devem, sob qualquer hipótese, afetar a performance do software embarcado;

c) Autonomia: no contexto dos veículos conectados, que necessitam de motorista, os mecanismos de proteção só devem solicitar interação com o usuário em casos extremos, para que sua atenção não seja desviada;

d) Condições físicas: as ECUs devem ser capazes de suportar elevadas temperaturas, líquidos, detritos e impactos, devido ao ambiente ao qual estão submetidos;

e) Ciclo de vida: o aparato tecnológico de um veículo conectado/autônomo deve ser projetado de forma a facilitar seu processo de atualização, prevenindo a obsolescência dos mecanismos de segurança, uma vez que o ciclo de vida de um veículo é muito maior que o de um computador tradicional;

f) Compatibilidade: deve estar assegurada a interoperabilidade com outros dispositivos e veículos, bem como a compatibilidade com as tecnologias em uso atualmente.

Proteções às comunicações externas

A maior parte das vulnerabilidades deixaria de existir caso fossem seguidas as boas práticas de desenvolvimento e as recomendações referentes à segurança nos protocolos de comunicação. Entretanto, à medida em que aumenta o número de fornecedores de ECUs, torna-se praticamente impossível garantir que todos respeitem fielmente as especificações. Dessa forma, é imprescindível a integração de medidas adicionais, à fim de garantir a segurança nas comunicações.

Existem projetos europeus, como o PRESERVE (2011) e o EVITA (HENNIGER et al., 2009) frutos da parceria entre fabricantes e instituições acadêmicas voltadas à pesquisa científica, visando o desenvolvimento de uma arquitetura segura para a comunicação interna e interveicular.

Proteções internas

Criptografia

A adoção de criptografia permite que sejam realizadas operações como a autenticação da ECU (comprovando que a mensagem partiu de um emissor confiável), verificação de integridade e encriptação do conteúdo, prevenindo a leitura por nós que não possuam as chaves requeridas (VAN HERREWEGE; SINGELEE; VERBAUWHEDE, 2011). Entretanto, essas operações demandam alto processamento.

Para suplantar essa questão, sugere-se a criação de um módulo dedicado à criptografia, removendo a carga desse processo das demais ECUs.

Detecção de anomalias

O objetivo destas medidas é verificar a legitimidade dos dados trafegados entre as ECUs. Foi proposta a criação de uma ferramenta que insere uma marca nos pacotes utilizados pelas ECUs, à medida em que são executados e transmitidos, sendo possível identificar a origem dos comandos maliciosos (SCHWEPPE; ROUDIER, 2012).

Outras vertentes de pesquisa optaram pela abordagem com detecção de intrusão, similar aos IDSs (Intrusion Detection System) da computação tradicional.

Integridade do software da ECU

É extremamente importante assegurar que o software contido nas ECUs não sofra alteração por parte de indivíduos maliciosos. Uma das formas de se alcançar isso é de maneira similar ao que é feito na área de boot dos computadores. Adicionalmente, pode ser adotado o isolamento das áreas, deixando os módulos de comunicação externa em máquinas virtuais separadas às do software crítico.

Dessa forma, mesmo que o atacante consiga explorar uma vulnerabilidade no protocolo de rede sem fio, não conseguirá comprometer a ECU como um todo (ARBAUGH et al., 1997).

CONSIDERAÇÕES FINAIS

Foram apresentados os riscos aos quais os usuários de veículos conectados/autônomos estão sujeitos, bem como as medidas de proteção reconhecidas como indispensáveis para mitigá-los.

Considerando os ataques já demonstrados, foi possível perceber a necessidade de maior atenção por parte dos fabricantes, visando proteger não apenas as informações contidas nos veículos, mas também o maior ativo do ser humano: a vida.

A utilização dos veículos autônomos adiciona um novo modal às opções de transporte vigentes e tem potencial para revolucionar o mercado automobilístico.

Quando essa tecnologia estiver sólida e madura o suficiente, certamente despontarão diversas aplicações.


REFERÊNCIAS

ABNT. NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro. ABNT, 2013.

ARBAUGH, William et al. A secure and reliable bootstrap architecture. In: Security and Privacy, 1997. Proceedings., 1997 IEEE Symposium on. IEEE. p. 65-71, 1997. 

BLOMMENDAAL, Chris. Information Security Risks for Car Manufacturers based on the in-Vehicle Network. 2015.

CHECKOWAY, Stephen et al. Comprehensive Experimental Analyses of Automotive Attack Surfaces. In: USENIX Security Symposium. 2011. 

COURTOIS, Nicolas T.; BARD, Gregory V.; WAGNER, David. Algebraic and slide attacks on KeeLoq. In: Fast Software Encryption. Springer Berlin Heidelberg. p. 97-115, 2008. 

DAVIS, Robert I. et al. Controller Area Network (CAN) schedulability analysis: Refuted, revisited and revised. Real-Time Systems, v. 35, n. 3, p. 239-272, 2007. 

EISENBARTH, Thomas et al. On the power of power analysis in the real world: A complete break of the KeeLoq code hopping scheme. In: Advances in Cryptology–CRYPTO 2008. Springer Berlin Heidelberg, p. 203-220, 2008. 

Forbes. 2015. Disponível em: <http://www.forbes.com/sites/niallmccarthy/2015/01/27/connected-cars-by-the-numbers-infographic/&gt;.

FUJITSU. 2006. Next Generation Car Network – Flexray. Disponível em: <http://www.fujitsu.com/downloads/CN/fmc/lsi/FlexRay-EN.pdf>.

GARTNER. 2015a. Disponível em: <www.gartner.com/newsroom/id/2970017>.

GARTNER. 2015b. Disponível em: <www.gartner.com/newsroom/id/3114217>.

GLANCY, Dorothy J. Privacy in autonomous vehicles. Santa Clara L. Rev., v. 52, p. 1171, 2012. 

HAYAT, Zia; REEVE, Jeff (2006) Information Security Implications of Autonomous Systems. In: 25º IEEE MILCOM Conference, Washington DC, USA, 23 – 25 Outubro 2006. 

HENNIGER, O. et al. Securing vehicular on-board it systems: The evita project. In: VDI/VW Automotive Security Conference. 2009. 

KOSCHER, Karl et al. Experimental security analysis of a modern automobile. In: Security and Privacy (SP), 2010 IEEE Symposium on. IEEE, 2010. p. 447-462, 2010. 

NILSSON, Dennis K.; LARSON, Ulf E. Simulated attacks on CAN buses: vehicle virus. In: IASTED International conference on communication systems and networks (AsiaCSN). p. 66-72, 2008. 

PRESERVE. 2011. Disponível em: <https://www.preserve-project.eu/about>.

SCHWEPPE, Hendrik; ROUDIER, Yves. Security and privacy for in-vehicle networks. In: Vehicular Communications, Sensing, and Computing (VCSC), 2012 IEEE 1st International Workshop on. IEEE, 2012. p. 12-17, 2012.

VAN HERREWEGE, Anthony; SINGELEE, Dave; VERBAUWHEDE, Ingrid. CANAuth-a simple, backward compatible broadcast authentication protocol for CAN bus. In: ECRYPT Workshop on Lightweight Cryptography 2011. 2011. 

WIRED. 2015. Disponível em: <http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway&gt;

WOLF, Marko; WEIMERSKIRCH, André; PAAR, Christof. Security in automotive bus systems. In: Workshop on Embedded Security in Cars, Bochum, Germany, 2004. 

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s