PplWare Mobile

Nova falha grave de software afeta os carros modernos

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Me and me says:

    Mas como é feito o ataque?
    Chegam ali com um PC e magia?

    • Vítor M. says:

      Embora o acesso ao sistema seja via porta OBD e esta tem sido pouco usada além da sua serventia local, começa a aparecer cada vez mais dispositivos wireless ligados a esta porta. Não será nada de especial certamente mas com a chegada do IoT aos veículos, iremos ver um acesso remoto aos mesmos e fica levantada esta questão de segurança.

      Ela existe e, quem sabe, um dia poderá ser utilizada para certos cenários.

      • Alex says:

        Portanto a falha visa carros que ainda não existem! Acredito que exista algum interesse no caso, mas trata-se de mais um não problema de segurança. Quando todos os carros tiverem ligados com um sistema sem fios á porta ODB eventualmente o problema está resolvido.
        Não sei a origem da notícia, mas as empresas de segurança gostam de alarmar sem nexo.

        • Vítor M. says:

          Alarmar só se desconhecerem o que têm em mãos, isso é parvo. Quando se tem a informação, o combate ao problema é muito mais sagaz. Assim, o problema existe e há quem use a porta OBD para ligar dispositivos que podem retirar informações dos sistemas do veículo. Mais, com a chegada do IoT (que já há muitos veículos dentro deste conceito), este sistema é já um auxiliar importante. Portanto, há um problema de segurança grave que precisa de ser levado em conta quando for usado este protocolo.

          Isso do alarmar sem nexo é a fraqueza dos problemas que aparecem e depois ouves dizer assim “aa isso já estava referenciado há algum tempo” 😉 fraqueza que até em termos de segurança das pessoas tens visto e ouvido cada vez com mais frequência. 😉

          • Alex says:

            Estive a ler parte do documento. O ataque pressupõe acesso físico ao carro… é isso muda tudo!
            Os carros são aparentemente roubados com facilidade, uma tentativa de sabotar o carro seria muito mais simples – por exemplo instalar uma bomba nalgum sistema importante… ou explodir o carro todo.
            Como é indicado no mesmo documento, a solução para anular hack é bastante simples.
            Ao contrário do que diz o artigo, as marcas recolhem os veículos sempre que necessário e uma eventual actualização do software seria simples e de baixo custo.
            Os dispositivos conectados têm um desafio relativamente à segurança, mas até agora é como o pesadelo que é o Android, segundo muitos um buraco de segurança… o amigo do primo do meu vizinho viu todas as suas fotos da praia roubadas :).

          • Quer dizer… Todas as marcas a recolherem todos os carros vendidos depois de determinado ano… Um pesadelo que ninguém quer enfrentar.

  2. Sérgio J says:

    Sim é verdade, o CAN tem esta está particularidade, no entanto não é possível fazer este ataque sem acesso físico ao carro e consequentemente quando este está em movimento. Nos novos carros conectados existem muitas subredes e as vitais continua a ser preciso acesso físico. É se é preciso acesso físico para ele não andar bastava o corte-de-cabelo fio, cabo ou tubo para ter o mesmo efeito.

    Esta notícia mostra que o CAN não é imune a este tipo de ataque, mas é sensacionalista relativamente à fragilidade de segurança do parque automóvel.

    • Vítor M. says:

      Não tem nada de sensacionalismo, não diz que os hackers vão controlar o mundo pela falha agora descoberta, diz apenas que a falha existe e que pode ser explicada, diz que o acesso a ela tem de ser feito fisicamente mas que havendo esse acesso, o veículo pode entrar em colapso.

      Para já essa falha tem estes contornos, mas em questões de segurança tudo começa por uma falha, por vezes determinados cenários do muito mais tarde se manifestam.

      É o que fiz a notícia com exemplo do “ataque” feio pelos investidores.

      • HLR says:

        Onde é que no artigo diz que o ataque necessidata de acesso físico?

        • Há coisas que são óbvias e UE qualquer um percebe. Como atacas um sistema que no tem comunicação se fios sem teres acesso físico?

          • Miguel S. says:

            Podes atacar pelo ICE (in car entertainment), que se encontra ligado ao ligado ao CAN BUS. Os ICE, aos dias de hoje já tem Bluetooth e Wi-Fi.

          • Mas não estão em todos os carros modernos. Por outro lado esses sistemas não podem (e não devem) comunicar entre si.

          • Miguel S. says:

            O problema é que esses sistemas comunicam. Inicialmente, era um BUS segregado, quando havia o VAN (vehicle area network) e CAN. Aos dias de hoje, o VAN desapareceu e ficou um unico BUS para todas as funções, neste caso o CAN.
            É demais conhecidas as falhas do CAN. No ano passado, foi feito um ataque via bluetooth (ou Wifi, já não me lembro bem), onde os atacantes conseguiram tomar conta dos travões do carro.

          • Então lá está, existe mesmo uma falha de segurança no CAN

      • Sérgio J says:

        Victor, não estou a criticar o artigo. Estou a alertar para que não façamos sensacionalismo com o caso. O artigo é interessante. Como conhecedor do CAN(desenvolvi protocolos, durante alguns anos sobre ele) , achei interessante

      • Filipe says:

        O CAN tem este comportamento, assim como qualquer outra rede poderá ter caso seja introduzido “ruído” no cabo. Não entendo muito bem o que querem dizer com “levando a que estes sistemas deixem de comunicar e se desliguem, tal como é esperado.” uma vez que, mesmo que o sistema não se desligue, vai ficar mais lento e atrasar o tempo de resposta do carro, o que em termos de segurança automóvel seria desastroso.

        • Pois, o problema está mesmo nesse ponto, a forma com o can reage a este “ruído”. Dada a importância que tem, não deveria haver sistemas a desligar-se. Não falamos de uma normal rede de dados. Este tem um propósito diferente e não deverá ser a causa dos sistemas de segurança dos utilizadores se desligarem.

  3. LooLer says:

    Se virem o video apresentado pelo o mesmo grupo, ja feito ha um par de anos atras, iram ver o “como” eles fazem. E sim em certos modelos eles conseguem invadir sem acesso fisico ao carro, explorando uma falhar que existe no radio e escalão a partir dai.

  4. Mais um says:

    Tem sensacionalismo tem… logo no título:
    “Nova falha grave de software afeta todos os carros modernos”

  5. Arménio Gomes Pinto says:

    É por isso que continuo com meu Hyundai Excel (Pony) 1994 carburado. Ele não me dá problemas, leva-me até o inferno se necessário for, mesmo no verão, pois tem um ar condicionado excelente, kkkkkkkkkkkkkkkkkkk

  6. Bruno says:

    Dependendo de alguns modelos as redes CAN mesmo quando cheias de ruído (informação que não deveria estar) não tem obrigatoriamente de “apagar” a viatura alguns calculadores podem trabalhar em modo degradado. Além que muita informação é feita através de redes privadas LIN e outra tanta vai por múltiplexada(redundâncias de informação) agora que essas linhas não são perfeitas…não, mas dai a ter um impacto no parque automóvel duvido primeiro porque a grande maioria só com acesso físico e os que já tem comunicao externa wireless através da HFM (os novos de a 3anos para cá) necessita de entupir as restantes redes, por exemplo já tive um carro a circular sem comunicao na ese CAN e continuou a circular claro que depois de parar não voltou arrancar

  7. Felipe says:

    Exterminador do futuro 3 – a rebelião das máquinas se tornando realidade

  8. S. Ferreira says:

    Podiam especificar em concreto a que estudo é que se referem?
    A forma como apresentam esta notícia não me parece fazer muito sentido, um pouco como outras pessoas já comentaram.
    Não percebo como isto pode ser considerado uma “nova falha grave”, se é algo que de iníco se sabe que genéricamente poderia acontecer.
    O protocolo CAN não foi feito para funcionar quando um dos nós da rede falha de forma não especificada. Isto acontece atualmente com imensa frequência, quando algum módulo dos veículo avaria e causa interferência na linha CAN a que está ligado. Basta uma simples falha num módulo, ou numa das resistências de terminação, para que nenhum nó nessa rede consiga comunicar.
    Para se conseguir alguma robustez neste aspecto, os fabricantes implementam várias redes CAN, separadas fisicamente, de forma a garantir que uma falha num elemento dessa rede não afete todo o veículo.
    A conclusão que apresentam, onde dizem que não vai ser possível atualizar o parque automóvel atual, não faz muito sentido. A grande maioria dos automóveis atuais, que utilizem CAN, apenas são hipoteticamente vulneráveis a um “ataque” desta natureza se forem atacados fisicamente na linha CAN, seja diretamente ou pela porta de diagnóstico. Isto é um ataque da mesma forma que tirar fusíveis, ou cortar um tubo de travões é um ataque.
    Acho que toda a gente pode ficar descansada neste aspeto.

    Acreditando que existe esta possibilidade e que a notícia se baseia num estudo verdadeiro, e na hipótese de algum dos nós com ligação à internet possa ser controlado remotamente, o facto de este poder entupir a rede CAN é o menor dos problemas. Aqui estamos a falar de controlo remoto de módulos e de funções no veículo, que por si é muito mais perigoso e intrusivo do que colocar uma rede em baixo. O problema estará de facto no controlo remoto do módulo, e numa falha deste, e não no protocolo de rede onde este comunica. A existir alguma atualização, e risco de acesso, será nestes módulos com ligação ao exterior.

    • Partir do momento em que um simples comando geral mensagens de erro e isso bloqueia sistemas é uma falha e grave.

      Quando à possível solução, achas viável recolher todos os carros de todas as marcas próprias fazer esse dito update? Não me parece.

      • S. Ferreira says:

        Não é grave de forma alguma, pois as redes CAN são redes privadas, compostas por nós com software controlado e especifico, que usam a rede unicamente para comunicar informação completamente estruturada. Não existe aqui a possibilidade de inserir comandos destrutivos, exceto no caso de avaria de um nó.
        O protocolo não tem como objetivo sobreviver à falha de um nó, pois genericamente o funcionamento a 100% de todos os nós é crítico para o bom funcionamento do veículo.

        Volto a dizer que não percebo onde está a falha, nem sei o que querem dizer com update neste caso. Os veículos atuais, sem sistemas de entretenimento com ligação à internet, não são possíveis de ser atacados de forma alguma sem ser de forma física. O update aqui só se for um alarme!
        Seria interessante, e peço mais uma vez, para dizerem qual o estudo em concreto para poder opinar de forma mais fundamentada.
        A existir um problema hipotético futuro, e reforço o hipotético, é com os sistemas de entretenimento pela sua possível ligação à internet. Se estes forem hipotéticamente vulneráveis, obviamente que passa a ser possível o acesso à escrita e à leitura na CAN desse módulo, podendo afetar essa rede.
        Mas isso não é de forma alguma problema ou falha do protocolo CAN, mas sim desse sistema de entretenimento que é vulnerável. Volto a repetir, não é suposto o sistema funcionar com um módulo avariado ou afetado de alguma forma!

        • Quer dizer, os investigadores avaliaram o can, reportaram uma falha grave e não há problema nenhum. Estás a esconder o sol com a peneira.

          Tens o estudo no artigo e até um vídeo para veres como a falha pode ser explorada. Vá, vai lá ler e ver.

          • S. Ferreira says:

            Após ver o artigo, e para as pessoas perceberem, resumidamente o que esta investigadora fez, foi inventar um método de inviabilizar a comunicação de frames CAN-BUS de uma forma “elegante” e supostamente dificilmente detetável. Nada mais do que isso. E como seria de esperar fez isso de dentro da rede.
            O termo que usou nem sequer foi falha, mas sim fraqueza do protocolo.

            Também é preciso perceber que o impacto prático desta investigação, nos veículos atuais, e eventualmente futuros que implementam redes CAN é pura e simplesmente nulo.
            Com o requisito de ter acesso fisico ao veículo, não faz qualquer sentido achar que esta é uma das 100 primeiras coisas que alguém mal intencionado possa fazer a um veículo.

            O video a mostrar o “ataque” é mais um exemplo teórico. Com o acesso fisico à rede, bastava colocar um curto entre os dois pinos da CAN para que o resultado fosse exatamente o mesmo.
            Neste caso tiveram que usar um veículo em que as CAN estão acessíveis diretamente na porta de diagnóstico. Em muitos automóveis atualmente isto não acontece. Existe uma rede CAN separada apenas para a porta de diagnóstico, não estando esta diretamente ligada às redes privadas do veículo. Numa configuração deste género nem sequer seria possível este ataque pela porta OBDII.

            Esta investigação, a meu ver, e como justifiquei, não mostra falha prática nenhuma que possa ser explorada em condições normais na utilização de um veículo. Por essa razão não é algo que necessite atenção ou que faça sentido falarmos em atualizações aos veículos atuais.

          • Resumindo, atacou e conseguiu inviabilizar um sistema. Por acaso era só o de sensores da marcha atrás, mas podia ser airbags ou outro qualquer

          • S. Ferreira says:

            O sistema foi comprometido por dentro. Que valor e alarmistica isso pode ter?
            Independentemente de se usar o método A ou B para invibilizar a rede, o protocolo CAN nunca foi feito para ser um sistema seguro, pois não é suposto existir nenhum elemento na rede para lá do que o fabricante do automóvel preconizou. É uma rede completamente privada, e por essa razão não necessita de segurança.

            O problema é que a maioria dos leitores não percebe na totalidade o que significa neste caso uma rede CAN que foi inviabilizada, comprometida, ou “atacada” como gostam de dizer.

            Esta notícia tem o mesmo valor que dizer que os aviões não são seguros pois foi possível deitar um avião a baixo a partir do cockpit. E de certeza que há muitas formas de o conseguir fazer.
            Em primeiro lugar não é suposto estar ninguém no cockpit de um avião que não os pilotos. O mesmo aqui, não é suposto estar nada ligado à rede CAN que não os módulos eletronicos que o fabricante lá colocou.
            Mas a partir do momento que se está dentro do cockpit é obvio de perceber que a partir daí tudo pode acontecer Neste caso usou-se um certo botão mais escondido, mas podia-se usar outros mais óbvios. É só isso que diz o artigo.

          • Tens sistemas que te protegem e são desligados. Isso é uma falha, ou não concordas?

            Independente da forma como acedes, seja presencial ou remota, se comprometes o sistema tens uma falha.

    • Sérgio J says:

      Não se trata de ruído na linha, mas sim nos mecanismos intrinsicos do CAN para tratamento de erros. Cada dispositivo pode detectar erros na linha e enviar ‘comandos’ para anular esses erros da linha. Por ventura o envio excessivo de frames com erro consecutivas levem a um estado chamado de Bus off ou outro similar.

  9. Infelizmente não é possível. Se fosse assim tão simples, já estaria a ser tratado

  10. Manuel P says:

    A questão é simples o artigo é alarmista e pelos vistos não é reconhecido por quem deve.
    por ter sido alarmista obriguei-me a pesquisar para me proteger e ….. e encontrei o link que postei https://securityintelligence.com/news/controller-area-network-can-vulnerability-puts-vehicles-at-risk/
    Na verdade, o risco existe (alias risco zero não existe), o conselho (onde está?) é não deve por o carro nas mãos de que não tem credibilidade, os proprietários a serem prudentes no uso do porto OBD, simples, mas nada de mais, existe um problema que será corregido, naturalmente como o serão os que ainda não são conhecidos.
    A opinião de um jornalista (ou mais) é só mesmo isso, prefiro as de que quem conhece o amago das coisas.
    Não deixem de comprar carros,, não corram aos concessionários, não peçam explicações absurdas…. Nada de grave que justifique o alarmismo / sensacionalismo, que me faz lembrar uma certa imprensa (que não é o caso da pplware).

    cmpts
    MP

  11. a6565@gmail.com says:

    Trabalhei numa fábrica de cablagens e nos sistemas seja qual for o ataque .o software resolve tudo.

    • batato says:

      nenhum software resolve DoS.
      Ainda hoje é possível fazer ataques de DoS pela internet e a internet já tem bastantes anos.
      DOS (denial of service) é uma simples negação de serviço. ou seja, o atacante não acede ao sistema, mas impede o sistema de fazer o que quer que seja.

      Claro que do que eu sei de CAN (pouco) é um protocolo de acesso fisico, ou seja, o atacante teria que estar dentro do carro, pelo que se ele já está dentro do carro, é um bocado inutil atacar o carro…

  12. Jose Santos says:

    Isto foi uma tese de mestrado… Esta pplware ai que rir.

  13. Luís Ribeiro says:

    No CAN Bus todos os componentes falam uns com os outros através de um barramento em série composto por dois canais. A porta de diagnóstico em alguns véiculos “fala” directamente com os vários devices de controlo existentes nesta rede CAN Bus. Como tal e como alguns o referem nos comentários a rede CAN Bus é uma rede privada onde não é suposto “entrar” mais nenhum dispositivo, e como tal o DoS também é só possível se existir um acesso físico ao automóvel. Em certas marcas existem gateways cuja função é permitir que as outras rede existentes nos automóveis falem umas com as outras. Num teste que fiz com um controlador CAN ligado à porta OBD, detectei que este estava com avaria de hardware. Como percebi que avariou? Bem, passados 30s nenhuma luz do painel de instrumentos apagou tal como é costume quando se liga a ignição. Como se vê, o controlador CAN que tinha ligado à porta OBD gerava infinitamente erros no barramento que “fazia com que o carro pensasse” que havia avarias nos vários dispositivos do automóvel.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.