Na sua garagem há uma máquina com mais linhas de código do que um moderno jatinho. Os carros e caminhões dos dias atuais linkados à internet podem informar-se sobre o tempo, pagar o combustível, encontrar um lugar para estacionar, descobrir o caminho mais rápido para sair de engarrafamentos e sintonizar estações de rádio do mundo inteiro. Logo, eles começarão a falar entre si e a nos avisar a respeito de vendas especiais quando passamos em frente às nossas lojas favoritas; um dia, até dirigirão de maneira autônoma.
É possível que os consumidores amem estas características, mas os hackers talvez as amem muito mais. E isto está tirando o sono de muita gente do setor automobilístico, preocupada em manter-se um passo à frente de indivíduos que poderiam causar o caos nos sistemas de transporte privado do mundo todo.
Aparentemente, os hackers estão ansiosos pela oportunidade de comandar estes veículos. Em 2019, a companhia de cibersegurança automotiva, Karamba Security, postou uma unidade falsificada de controle eletrônico de veículo. Em menos de três dias, foram feitas 25 mil tentativas de invasão, e uma foi bem-sucedida.
O roubo mais famoso de um veículo ocorreu em 2015, quando pesquisadores de segurança com um laptop, conseguiram fazer um jipe Cherokee a 16 quilômetros de distância perder potência, mudar a sua estação de rádio, ligar o limpador de para-brisa e ligar o ar condicionado. A controladora da Jeep, a FCA, teve de recolher 1,4 milhão de veículos para consertar esta vulnerabilidade.
Hoje, os efeitos de uma invasão poderiam variar de ligeiramente irritantes a catastróficos. Um hacker poderia roubar os dados pessoais do motorista ou ouvir conversas telefônicas. Um código maligno inserido em uma das unidades de controle eletrônico de um veículo poderia fazê-lo acelerar repentinamente, interromper o fornecimento de combustível ou perder os freios.
Uma frota de carros poderia ser controlada para dirigir de maneira errática, e até causar um grave acidente. Um veículo elétrico haqueado poderia interromper a energia enquanto o carro estivesse recarregando. E até mesmo alterar uma placa de trânsito de maneira imperceptível poderia enganar um carro de modo a confundir uma placa de Pare com uma de limite de velocidade.
No ano passado, a Consumer Watchdog, uma ONG de Santa Monica, na Califórnia, enviou a mensagem “Hacked!” para a tela de um Tesla.
O problema vai além de simples invasões. A Karamba Security trabalha com uma companhia de transportes rodoviários da América do Sul cuja frota foi haqueada de forma a esconder-se do seu sistema de rastreamento, permitindo que os ladrões roubassem a carga sem serem notados. Uma rápida busca na internet revelará dezenas de invasões bem-sucedidas, mas até agora benignas, contra várias entre as principais marcas automotivas mundiais.
“Conseguir controlar a direção e a velocidade de um veículo: é isto que todos no setor automotivo mais temem”, disse Ami Dotan, diretora executiva da empresa. “E todos estão conscientes de que poderá acontecer”.
O desafio será até maior do que proteger as linhas aéreas globais. Segundo um relatório da McKinsey & Co, sobre ciber-segurança automotiva, os veículos modernos utilizam cerca de 150 unidades de controle eletrônicos e cerca de 100 milhões de linhas de código. Até 2030, com o advento de dispositivos de direção autônomos e da chamada comunicação de veículo para veículo, o número de linhas de código poderá triplicar.
As complexidades se tornarão evidentes se compararmos isto a um moderno jatinho com apenas 15 milhões de linhas de código ou a um sistema operacional de PC para o mercado popular com cerca de 40 milhões de linhas de código.
Os fabricantes de veículos sabem que uma invasão bem-sucedida que causasse mortes ou destruição constituiria um golpe terrível. “O incentivo para impedir um ataque perverso de grandes dimensões é enorme”, afirmou Gundbert Scherf, um parceiro da McKinsey e autor do relatório.
E para os motoristas que acreditam que os seus veículos são os mais recentes casulos protetor privado, até um ataque benigno como uma mensagem inesperada no painel do carro pode facilmente causar um grave problema de relações públicas.
As empresas de segurança cibernética precisam proteger um veículo de muitos modos. Entre as ameaças, estão cartões SIM com códigos falsos, atualizações de software falsas, códigos enviados de um smartphone para o veículo, e sensores e câmeras de veículos enganados com informações erradas.
Além disso, um código malicioso pode ser introduzido por meio de dispositivos físicos, como dongles, e usado para rastreamento do veículo.
As frotas de caminhões são ainda as mais ameaçadas, disse Moshe Shlisl, diretor executivo da GuardKnox Cyber Technologies. Uma frota inteira poderia ser desligada ou comprometida com a finalidade do pagamento de um resgate, ele disse.
“A nossa preocupação é a invasão de uma frota”, afirma Ronen Smoly, diretor da Argus Cyber Security, uma divisão da fornecedora automotiva Continental. “A maior parte dos hackers sérios vem de grupos bem financiados que trabalham por longos períodos de tempo”.
“É apenas uma questão de tempo para que aconteça uma grande invasão. O veículo mais seguro é o Ford T, porque não está conectado a nada”, diz Shlisel.
As atualizações over-the-air podem consertar as partes vulneráveis do software nos carros modernos, mas a indústria pretende proteger os sistemas eletrônicos antes que a ameaça se concretize - inclusive os sistemas mais expostos ao mundo exterior, como áudio, navegação e sistemas telefônicos. Para proteger estes e outros sistemas mais sensíveis, estão sendo tomadas medidas de segurança a cada passo da cadeia de produção, do software ao projeto do hardware.
As principais fornecedoras de software e hardware das indústrias automotivas de todo o mundo estão instalando firewalls para garantir que elementos como os sistemas de infoentretenimento sejam impedidos de passar o código para outros sistemas que regulam a velocidade, a direção e outras funções críticas.
Estão sendo projetadas unidades de controle eletrônico do veículo capazes de enviar um alerta caso um sistema que comumente não se comunica com outro tente fazê-lo repentinamente. E que também podem ser desligados, frustrando assim uma tentativa de injetar um novo código.
“Trata-se de vidas humanas, por isso a segurança cibernética é a nossa principal prioridade”, disse Kevin Tierney, vice-presidente da General Motors para cibersegurança global. A companhia, que tem 90 engenheiros trabalhando em tempo integral em cibersegurança, pratica o que chama de “defesa em profundidade”, removendo softwares desnecessários e criando normas que permitem que os sistemas do veículo se comuniquem entre si somente quando necessário.
No entanto, alguns hackers encontrarão maneiras para atacar. Até o momento, a segurança cibernética dos veículos tem sido um esforço fragmentado, sem padrões ou regulamentações internacionais. Mas isto está prestes a mudar.
Este ano, entrou em vigor uma regulamentação da ONU sobre segurança cibernética de veículos que obriga os fabricantes a realizar várias avaliações dos riscos e a informar as tentativas de ataque para que cibersegurança fique melhor preparada. A regulamentação entrará em vigor para todos os veículos vendidos na Europa a partir de julho de 2024, e no Japão e na Coreia do Sul já em 2022.
Embora os Estados Unidos não estejam entre os 54 signatários, os veículos vendidos nos EUA provavelmente não serão construídos de forma a atender a padrões de segurança cibernética diferentes daqueles dos carros vendidos em outro lugar, e vice-versa. / TRADUÇÃO DE ANNA CAPOVILLA
The New York Times Licensing Group - Todos os direitos reservados. É proibido todo tipo de reprodução sem autorização por escrito do The New York Times