Nova falha grave de software afeta os carros modernos
A tecnologia tem invadido o nosso dia-a-dia e está cada vez mais enraizada, muitas vezes sem que dêmos por isso. Os nossos carros são um exemplo claro de um cenário desses, onde cada vez mais estamos dependentes dessa tecnologia.
Uma descoberta recente mostrou que existe uma falha grave num protocolo usado em quase todos os carros modernos e que pode colocar em causa a segurança dos ocupantes. Em caso de ataque vários sistemas de segurança e de controlo são desligados sem qualquer alerta.
A CAN (Controlled Area Network) é uma rede usada nos carros modernos e que tem como missão controlar as comunicações entre os diferentes sistemas, garantindo que estes interagem e que fornecem toda a informação.
Um grupo de investigadores descobriu agora uma falha no desenho da CAN e que permite a qualquer atacante realizar um denial of service, levando a que estes sistemas deixem de comunicar e se desliguem, tal como é esperado.
A forma de realizar este ataque é dar ordens à CAN, propositadamente falhadas, levando a que surjam mensagens de erro no sistema. Como o seu desenho tem definido se deverá desligar caso surja um grande volume destas mensagens, o ataque passa a ser bem sucedido.
O problema maior, para além da própria falha e do possível ataque, está na impossibilidade de atualização de todo o parque automóvel moderno. É quase impossível que as marcas recolham as suas viaturas e que as atualizem. A piorar isso, da própria CAN precisará de ser redesenhado e esta falha mitigada.
Os investigadores acreditam que será necessário esperar várias dezenas de anos para que os todos veículos atingidos sejam retirados do mercado e assim esta falha seja resolvida, não de forma ativa.
Esta é apenas mais uma falha que foi descoberta e que afeta sistemas onde pensamos que não podemos ser atacados. Cada vez mais, e em parte por causa do IoT, tomamos consciência que os sistemas que usamos estão vulneráveis e que nós, os utilizadores, estamos expostos a problemas e a falhas de segurança.
Este artigo tem mais de um ano
Mas como é feito o ataque?
Chegam ali com um PC e magia?
Embora o acesso ao sistema seja via porta OBD e esta tem sido pouco usada além da sua serventia local, começa a aparecer cada vez mais dispositivos wireless ligados a esta porta. Não será nada de especial certamente mas com a chegada do IoT aos veículos, iremos ver um acesso remoto aos mesmos e fica levantada esta questão de segurança.
Ela existe e, quem sabe, um dia poderá ser utilizada para certos cenários.
Portanto a falha visa carros que ainda não existem! Acredito que exista algum interesse no caso, mas trata-se de mais um não problema de segurança. Quando todos os carros tiverem ligados com um sistema sem fios á porta ODB eventualmente o problema está resolvido.
Não sei a origem da notícia, mas as empresas de segurança gostam de alarmar sem nexo.
Alarmar só se desconhecerem o que têm em mãos, isso é parvo. Quando se tem a informação, o combate ao problema é muito mais sagaz. Assim, o problema existe e há quem use a porta OBD para ligar dispositivos que podem retirar informações dos sistemas do veículo. Mais, com a chegada do IoT (que já há muitos veículos dentro deste conceito), este sistema é já um auxiliar importante. Portanto, há um problema de segurança grave que precisa de ser levado em conta quando for usado este protocolo.
Isso do alarmar sem nexo é a fraqueza dos problemas que aparecem e depois ouves dizer assim “aa isso já estava referenciado há algum tempo” 😉 fraqueza que até em termos de segurança das pessoas tens visto e ouvido cada vez com mais frequência. 😉
Estive a ler parte do documento. O ataque pressupõe acesso físico ao carro… é isso muda tudo!
Os carros são aparentemente roubados com facilidade, uma tentativa de sabotar o carro seria muito mais simples – por exemplo instalar uma bomba nalgum sistema importante… ou explodir o carro todo.
Como é indicado no mesmo documento, a solução para anular hack é bastante simples.
Ao contrário do que diz o artigo, as marcas recolhem os veículos sempre que necessário e uma eventual actualização do software seria simples e de baixo custo.
Os dispositivos conectados têm um desafio relativamente à segurança, mas até agora é como o pesadelo que é o Android, segundo muitos um buraco de segurança… o amigo do primo do meu vizinho viu todas as suas fotos da praia roubadas :).
Quer dizer… Todas as marcas a recolherem todos os carros vendidos depois de determinado ano… Um pesadelo que ninguém quer enfrentar.
Sim é verdade, o CAN tem esta está particularidade, no entanto não é possível fazer este ataque sem acesso físico ao carro e consequentemente quando este está em movimento. Nos novos carros conectados existem muitas subredes e as vitais continua a ser preciso acesso físico. É se é preciso acesso físico para ele não andar bastava o corte-de-cabelo fio, cabo ou tubo para ter o mesmo efeito.
Esta notícia mostra que o CAN não é imune a este tipo de ataque, mas é sensacionalista relativamente à fragilidade de segurança do parque automóvel.
Não tem nada de sensacionalismo, não diz que os hackers vão controlar o mundo pela falha agora descoberta, diz apenas que a falha existe e que pode ser explicada, diz que o acesso a ela tem de ser feito fisicamente mas que havendo esse acesso, o veículo pode entrar em colapso.
Para já essa falha tem estes contornos, mas em questões de segurança tudo começa por uma falha, por vezes determinados cenários do muito mais tarde se manifestam.
É o que fiz a notícia com exemplo do “ataque” feio pelos investidores.
Onde é que no artigo diz que o ataque necessidata de acesso físico?
Há coisas que são óbvias e UE qualquer um percebe. Como atacas um sistema que no tem comunicação se fios sem teres acesso físico?
Podes atacar pelo ICE (in car entertainment), que se encontra ligado ao ligado ao CAN BUS. Os ICE, aos dias de hoje já tem Bluetooth e Wi-Fi.
Mas não estão em todos os carros modernos. Por outro lado esses sistemas não podem (e não devem) comunicar entre si.
O problema é que esses sistemas comunicam. Inicialmente, era um BUS segregado, quando havia o VAN (vehicle area network) e CAN. Aos dias de hoje, o VAN desapareceu e ficou um unico BUS para todas as funções, neste caso o CAN.
É demais conhecidas as falhas do CAN. No ano passado, foi feito um ataque via bluetooth (ou Wifi, já não me lembro bem), onde os atacantes conseguiram tomar conta dos travões do carro.
Então lá está, existe mesmo uma falha de segurança no CAN
Victor, não estou a criticar o artigo. Estou a alertar para que não façamos sensacionalismo com o caso. O artigo é interessante. Como conhecedor do CAN(desenvolvi protocolos, durante alguns anos sobre ele) , achei interessante
O CAN tem este comportamento, assim como qualquer outra rede poderá ter caso seja introduzido “ruído” no cabo. Não entendo muito bem o que querem dizer com “levando a que estes sistemas deixem de comunicar e se desliguem, tal como é esperado.” uma vez que, mesmo que o sistema não se desligue, vai ficar mais lento e atrasar o tempo de resposta do carro, o que em termos de segurança automóvel seria desastroso.
Pois, o problema está mesmo nesse ponto, a forma com o can reage a este “ruído”. Dada a importância que tem, não deveria haver sistemas a desligar-se. Não falamos de uma normal rede de dados. Este tem um propósito diferente e não deverá ser a causa dos sistemas de segurança dos utilizadores se desligarem.
Se virem o video apresentado pelo o mesmo grupo, ja feito ha um par de anos atras, iram ver o “como” eles fazem. E sim em certos modelos eles conseguem invadir sem acesso fisico ao carro, explorando uma falhar que existe no radio e escalão a partir dai.
Tem sensacionalismo tem… logo no título:
“Nova falha grave de software afeta todos os carros modernos”
Mas não afeta os carros? Não está presente em todos os carros modernos? Acho que não estamos a dizer mentira nenhuma no título
Não é mentira mas a verdade pode ser dita de várias maneiras e a forma como titula e sensopnalista e essa é a percepção de vários leitores devia aceitar e…. obrigado pelo excelente notícia obrigado
Obrigado nós.
É por isso que continuo com meu Hyundai Excel (Pony) 1994 carburado. Ele não me dá problemas, leva-me até o inferno se necessário for, mesmo no verão, pois tem um ar condicionado excelente, kkkkkkkkkkkkkkkkkkk
O pneus derretiam 🙂
Dependendo de alguns modelos as redes CAN mesmo quando cheias de ruído (informação que não deveria estar) não tem obrigatoriamente de “apagar” a viatura alguns calculadores podem trabalhar em modo degradado. Além que muita informação é feita através de redes privadas LIN e outra tanta vai por múltiplexada(redundâncias de informação) agora que essas linhas não são perfeitas…não, mas dai a ter um impacto no parque automóvel duvido primeiro porque a grande maioria só com acesso físico e os que já tem comunicao externa wireless através da HFM (os novos de a 3anos para cá) necessita de entupir as restantes redes, por exemplo já tive um carro a circular sem comunicao na ese CAN e continuou a circular claro que depois de parar não voltou arrancar
Exterminador do futuro 3 – a rebelião das máquinas se tornando realidade
Podiam especificar em concreto a que estudo é que se referem?
A forma como apresentam esta notícia não me parece fazer muito sentido, um pouco como outras pessoas já comentaram.
Não percebo como isto pode ser considerado uma “nova falha grave”, se é algo que de iníco se sabe que genéricamente poderia acontecer.
O protocolo CAN não foi feito para funcionar quando um dos nós da rede falha de forma não especificada. Isto acontece atualmente com imensa frequência, quando algum módulo dos veículo avaria e causa interferência na linha CAN a que está ligado. Basta uma simples falha num módulo, ou numa das resistências de terminação, para que nenhum nó nessa rede consiga comunicar.
Para se conseguir alguma robustez neste aspecto, os fabricantes implementam várias redes CAN, separadas fisicamente, de forma a garantir que uma falha num elemento dessa rede não afete todo o veículo.
A conclusão que apresentam, onde dizem que não vai ser possível atualizar o parque automóvel atual, não faz muito sentido. A grande maioria dos automóveis atuais, que utilizem CAN, apenas são hipoteticamente vulneráveis a um “ataque” desta natureza se forem atacados fisicamente na linha CAN, seja diretamente ou pela porta de diagnóstico. Isto é um ataque da mesma forma que tirar fusíveis, ou cortar um tubo de travões é um ataque.
Acho que toda a gente pode ficar descansada neste aspeto.
Acreditando que existe esta possibilidade e que a notícia se baseia num estudo verdadeiro, e na hipótese de algum dos nós com ligação à internet possa ser controlado remotamente, o facto de este poder entupir a rede CAN é o menor dos problemas. Aqui estamos a falar de controlo remoto de módulos e de funções no veículo, que por si é muito mais perigoso e intrusivo do que colocar uma rede em baixo. O problema estará de facto no controlo remoto do módulo, e numa falha deste, e não no protocolo de rede onde este comunica. A existir alguma atualização, e risco de acesso, será nestes módulos com ligação ao exterior.
Partir do momento em que um simples comando geral mensagens de erro e isso bloqueia sistemas é uma falha e grave.
Quando à possível solução, achas viável recolher todos os carros de todas as marcas próprias fazer esse dito update? Não me parece.
Não é grave de forma alguma, pois as redes CAN são redes privadas, compostas por nós com software controlado e especifico, que usam a rede unicamente para comunicar informação completamente estruturada. Não existe aqui a possibilidade de inserir comandos destrutivos, exceto no caso de avaria de um nó.
O protocolo não tem como objetivo sobreviver à falha de um nó, pois genericamente o funcionamento a 100% de todos os nós é crítico para o bom funcionamento do veículo.
Volto a dizer que não percebo onde está a falha, nem sei o que querem dizer com update neste caso. Os veículos atuais, sem sistemas de entretenimento com ligação à internet, não são possíveis de ser atacados de forma alguma sem ser de forma física. O update aqui só se for um alarme!
Seria interessante, e peço mais uma vez, para dizerem qual o estudo em concreto para poder opinar de forma mais fundamentada.
A existir um problema hipotético futuro, e reforço o hipotético, é com os sistemas de entretenimento pela sua possível ligação à internet. Se estes forem hipotéticamente vulneráveis, obviamente que passa a ser possível o acesso à escrita e à leitura na CAN desse módulo, podendo afetar essa rede.
Mas isso não é de forma alguma problema ou falha do protocolo CAN, mas sim desse sistema de entretenimento que é vulnerável. Volto a repetir, não é suposto o sistema funcionar com um módulo avariado ou afetado de alguma forma!
Quer dizer, os investigadores avaliaram o can, reportaram uma falha grave e não há problema nenhum. Estás a esconder o sol com a peneira.
Tens o estudo no artigo e até um vídeo para veres como a falha pode ser explorada. Vá, vai lá ler e ver.
Após ver o artigo, e para as pessoas perceberem, resumidamente o que esta investigadora fez, foi inventar um método de inviabilizar a comunicação de frames CAN-BUS de uma forma “elegante” e supostamente dificilmente detetável. Nada mais do que isso. E como seria de esperar fez isso de dentro da rede.
O termo que usou nem sequer foi falha, mas sim fraqueza do protocolo.
Também é preciso perceber que o impacto prático desta investigação, nos veículos atuais, e eventualmente futuros que implementam redes CAN é pura e simplesmente nulo.
Com o requisito de ter acesso fisico ao veículo, não faz qualquer sentido achar que esta é uma das 100 primeiras coisas que alguém mal intencionado possa fazer a um veículo.
O video a mostrar o “ataque” é mais um exemplo teórico. Com o acesso fisico à rede, bastava colocar um curto entre os dois pinos da CAN para que o resultado fosse exatamente o mesmo.
Neste caso tiveram que usar um veículo em que as CAN estão acessíveis diretamente na porta de diagnóstico. Em muitos automóveis atualmente isto não acontece. Existe uma rede CAN separada apenas para a porta de diagnóstico, não estando esta diretamente ligada às redes privadas do veículo. Numa configuração deste género nem sequer seria possível este ataque pela porta OBDII.
Esta investigação, a meu ver, e como justifiquei, não mostra falha prática nenhuma que possa ser explorada em condições normais na utilização de um veículo. Por essa razão não é algo que necessite atenção ou que faça sentido falarmos em atualizações aos veículos atuais.
Resumindo, atacou e conseguiu inviabilizar um sistema. Por acaso era só o de sensores da marcha atrás, mas podia ser airbags ou outro qualquer
O sistema foi comprometido por dentro. Que valor e alarmistica isso pode ter?
Independentemente de se usar o método A ou B para invibilizar a rede, o protocolo CAN nunca foi feito para ser um sistema seguro, pois não é suposto existir nenhum elemento na rede para lá do que o fabricante do automóvel preconizou. É uma rede completamente privada, e por essa razão não necessita de segurança.
O problema é que a maioria dos leitores não percebe na totalidade o que significa neste caso uma rede CAN que foi inviabilizada, comprometida, ou “atacada” como gostam de dizer.
Esta notícia tem o mesmo valor que dizer que os aviões não são seguros pois foi possível deitar um avião a baixo a partir do cockpit. E de certeza que há muitas formas de o conseguir fazer.
Em primeiro lugar não é suposto estar ninguém no cockpit de um avião que não os pilotos. O mesmo aqui, não é suposto estar nada ligado à rede CAN que não os módulos eletronicos que o fabricante lá colocou.
Mas a partir do momento que se está dentro do cockpit é obvio de perceber que a partir daí tudo pode acontecer Neste caso usou-se um certo botão mais escondido, mas podia-se usar outros mais óbvios. É só isso que diz o artigo.
Tens sistemas que te protegem e são desligados. Isso é uma falha, ou não concordas?
Independente da forma como acedes, seja presencial ou remota, se comprometes o sistema tens uma falha.
Não se trata de ruído na linha, mas sim nos mecanismos intrinsicos do CAN para tratamento de erros. Cada dispositivo pode detectar erros na linha e enviar ‘comandos’ para anular esses erros da linha. Por ventura o envio excessivo de frames com erro consecutivas levem a um estado chamado de Bus off ou outro similar.
Infelizmente não é possível. Se fosse assim tão simples, já estaria a ser tratado
A questão é simples o artigo é alarmista e pelos vistos não é reconhecido por quem deve.
por ter sido alarmista obriguei-me a pesquisar para me proteger e ….. e encontrei o link que postei https://securityintelligence.com/news/controller-area-network-can-vulnerability-puts-vehicles-at-risk/
Na verdade, o risco existe (alias risco zero não existe), o conselho (onde está?) é não deve por o carro nas mãos de que não tem credibilidade, os proprietários a serem prudentes no uso do porto OBD, simples, mas nada de mais, existe um problema que será corregido, naturalmente como o serão os que ainda não são conhecidos.
A opinião de um jornalista (ou mais) é só mesmo isso, prefiro as de que quem conhece o amago das coisas.
Não deixem de comprar carros,, não corram aos concessionários, não peçam explicações absurdas…. Nada de grave que justifique o alarmismo / sensacionalismo, que me faz lembrar uma certa imprensa (que não é o caso da pplware).
cmpts
MP
Trabalhei numa fábrica de cablagens e nos sistemas seja qual for o ataque .o software resolve tudo.
nenhum software resolve DoS.
Ainda hoje é possível fazer ataques de DoS pela internet e a internet já tem bastantes anos.
DOS (denial of service) é uma simples negação de serviço. ou seja, o atacante não acede ao sistema, mas impede o sistema de fazer o que quer que seja.
Claro que do que eu sei de CAN (pouco) é um protocolo de acesso fisico, ou seja, o atacante teria que estar dentro do carro, pelo que se ele já está dentro do carro, é um bocado inutil atacar o carro…
Isto foi uma tese de mestrado… Esta pplware ai que rir.
No CAN Bus todos os componentes falam uns com os outros através de um barramento em série composto por dois canais. A porta de diagnóstico em alguns véiculos “fala” directamente com os vários devices de controlo existentes nesta rede CAN Bus. Como tal e como alguns o referem nos comentários a rede CAN Bus é uma rede privada onde não é suposto “entrar” mais nenhum dispositivo, e como tal o DoS também é só possível se existir um acesso físico ao automóvel. Em certas marcas existem gateways cuja função é permitir que as outras rede existentes nos automóveis falem umas com as outras. Num teste que fiz com um controlador CAN ligado à porta OBD, detectei que este estava com avaria de hardware. Como percebi que avariou? Bem, passados 30s nenhuma luz do painel de instrumentos apagou tal como é costume quando se liga a ignição. Como se vê, o controlador CAN que tinha ligado à porta OBD gerava infinitamente erros no barramento que “fazia com que o carro pensasse” que havia avarias nos vários dispositivos do automóvel.