Com os pés para fora da janela, Charlie Miller está estendido sobre os assentos dianteiros de seu Jeep Fiat Chrysler, que se guia aparentemente sem ajuda. Mas o veículo freia subitamente quando Chris Valasek, o parceiro de pesquisa de Miller, usando um laptop do outro lado do estacionamento, aperta os freios.
Miller e Valasek são hackers de carros, e seu trabalho conduziu ao recall de 1,4 milhão de veículos da Fiat Chrysler no ano passado, depois que um artigo em uma revista detalhou de que maneira eles haviam conseguido acesso remoto ao rádio de um Jeep a fim de desabilitar sua transmissão com o carro em movimento.
Eles estão de volta ao trabalho, demonstrando que assim que obtêm acesso físico a um veículo podem fazê-lo acelerar, frear ou ignorar um alerta de frenagem de emergência.
As montadoras de automóveis ainda não os levam a sério, dizem os dois. Rindo no palco da conferência de segurança cibernética Black Hat, em Las Vegas, este mês, eles disseram: "Todas elas dizem que não há como afetar seus carros".
À medida que mais e mais carros oferecem conexão com a internet, seus fabricantes começam a enfrentar problemas com os quais o setor de software vem lutando há décadas. A conexão pode ser via sistemas de entretenimento ou mecanismos de autocondução do tipo anunciado nesta semana por Ford, Volvo e Uber.
Mas quanto mais conectados são os veículos, mais vulneráveis é provável que se tornem.
Katie Moussouris, fundadora da Luta Security, que ajuda empresas e governos a trabalhar com hackers "de chapéu branco" [ou seja, que não agem com fins escusos, ao contrário dos "black hats", que o fazem], diz que o desafio é grande. "Como podemos proteger os carros conectados quando ainda não conseguimos oferecer segurança perfeita para tecnologias que já existem há 35 anos?"
Muitas montadoras de automóveis tiveram começos promissores nos últimos dois anos. Algumas estão criando programas para encorajar o tipo de pesquisa feito por Miller e Valasek, que foram contratados pelo laboratório de carros autoguiados do Uber. Outros grupos estão recrutando especialistas em segurança mais convencionais, enquanto uma organização de compartilhamento setorial de informação foi criada para criar diretrizes de segurança cibernética.
Mas o processo ainda está no começo, para as montadoras. Ainda existe relutância em permitir que os pesquisadores de segurança cibernética tenham acesso a carros. As cadeias de suprimentos são complexas, e muitas vezes a montadora não é proprietária do software em uso em seus veículos. Os prazos longos de desenvolvimento, enquanto isso, significam que quando um carro chega à concessionária, sua segurança já está desatualizada.
Na Def Con, uma conferência irmã da Black Hat, mas que oferece mais atividades práticas, hackers interferiam com os veículos uns dos outros em uma vila dos hackers de automóveis.
O setor de segurança cibernética tem um longo histórico de desmantelar software e aparelhos, em busca de falhas. Google e Microsoft estão entre as empresas que oferecem recompensas financeiras aos "caçadores de bugs".
É uma tradição com a qual a indústria automobilística ainda não se sente confortável. General Motors e Fiat Chrysler criaram programas iniciais de encorajamento a esse tipo de pesquisa, neste ano. Mas os carros usados pelos hackers da Def Con exibem fita adesiva sobre seus logotipos a fim de evitar processos judiciais.
Craig Smith, diretor de pesquisa da Rapid7, uma companhia de segurança cibernética, comanda a vila dos hackers de carros na Def Con. Ele se interessou por manipular seu carro por um motivo bastante inocente: queria que seu sistema de navegação exibisse vídeos de música, a fim de aliviar o tédio de seu longo percurso de casa para o trabalho.
"Cinco anos atrás, quando você mostrava falhas de segurança às montadoras de automóveis, o resultado básico era receber uma carta ameaçando processo judicial", ele diz. "Agora, as coisas melhoraram muito".
Smith é autor do manual "Car Hacker Handbook" e opera a Open Garages, uma comunidade de "laboratórios de pesquisa de veículos" na qual os entusiastas podem compartilhar informações e aprender de que maneira funcionam os carros conectados.
Existem diferenças pronunciadas de abordagem entre as diversas montadoras, ele diz. Algumas relutam em fornecer um endereço de e-mail para que pessoas possam reportar falhas, e as montadoras alemãs relutam especialmente em manter programas públicos que exponham suas vulnerabilidades, diz Smith. Mas algumas empresas compreendem que a segurança não pode ser abordada da mesma maneira que o controle de qualidade, e requer uma batalha constante contra adversários ativos que estão à caça de falhas.
"Não se pode eliminar os bugs por meio de um site de perguntas e respostas", disse Smith. "Nem o Google descobriu como fazê-lo".
VULNERABILIDADE
As cadeias de suprimento complexas dificultam os programas de combate a vulnerabilidades. As montadoras se preocupam com o aspecto legal de oferecer dinheiro a pessoas que tentarão invadir o software de outra empresa, ainda que seus veículos dependam desses programas.
Um estudo de três anos de duração conduzido pela IOActive, outra empresa de segurança cibernética, constatou que mais de metade dos componentes de automóveis portam falhas que podem permitir que hackers influenciem funções essenciais, como os freios e a direção, com consequências potencialmente "desastrosas".
"Todo sistema ou componente que testamos mostrou pelo menos uma vulnerabilidade", disse Corey Thuen, que comandou a pesquisa.
"De fato, em todos os setores de nossos clientes, não houve caso em que não encontrássemos vulnerabilidade. Essa pesquisa demonstra que as questões são sistêmicas e afetam virtualmente todo o setor", ele acrescentou.
Os carros autoguiados têm o potencial de ampliar os riscos de segurança. Haverá uma superfície maior para ataque, com mais portões de entrada para a rede de um carro. No entanto, enganar veículos completamente automatizados será um desafio maior, porque eles contarão com muito sensores, em lugar de apenas um que informa se o motorista aplicou o freio.
Mesmo quando as montadoras são informadas sobre vulnerabilidades, por pesquisadores ou pelo seu próprio pessoal, reparos podem demorar muito tempo para ser desenvolvidos, diz Beau Woods, diretor assistente da iniciativa cibernética internacional do Atlantic Council, um instituto de pesquisa sobre assuntos internacionais.
Normalmente projetar um carro demora entre cinco e nove anos, e o veículo resultante é usado por entre sete e 11 anos, em média, ele diz. "São 20 anos de exposição, depois que você descobre como consertar alguma coisa. Isso é uma loucura".
Quando a Fiat Chrysler ordenou seu grande recall no ano passado, as pessoas foram solicitadas a levar seus carros a concessionárias para uma atualização. Os proprietários que não o fizeram receberam pelo correio um pen drive USB para que realizassem a atualização por conta própria. Mas não há garantia de que a atualização tenha sido instalada, nesse último caso.
Muitos especialistas em segurança favorecem atualizações que as montadoras podem realizar remotamente. "Se as atualizações forem realizadas de modo remoto, o processo demoraria seis dias —o que é ordens de magnitude melhor que seis anos", disse Woods, que é parte da I Am the Cavalry, uma organização de base que tem por foco questões de segurança na computação.
Essas soluções remotas provavelmente serão cruciais não só para as montadoras de automóveis mas para fornecedores de lâmpadas, refrigeradores e uma série de outros aparelhos conectados que ninguém sabe ainda como manter seguros, disse Moussouris.
"As atualizações remotas são o maior avanço no software da 'Internet das Coisas'", ela afirmou.
A primeira reunião da organização de compartilhamento de informações de segurança cibernética pelas montadoras de automóveis aconteceu em uma sala "muito, muito silenciosa", disse Jon Allen, diretor executivo do Centro de Compartilhamento e Análise de Informações Automotivas, ou Auto-ISAC.
"Esse não é um setor em que os participantes conversem uns com os outros", ele disse.
As duas associações setoriais de montadoras de automóveis —Auto Alliance e Association of Global Automakers— se uniram para formar um grupo com o modelo da ISAC, usado em outros setores, como o financeiro, dois anos e meio atrás.
O processo pode ter começado mais tarde do que em outros setores, mas ao contrário do que aconteceu em alguns casos, não foi necessário um grande ataque para convencer os fabricantes a agir, diz Allen.
Agora, Allen diz que eles merecem um "10 pelo esforço". Apenas duas semanas atrás, muitas montadoras de automóveis e seus fornecedores se reuniram para tratar de diferentes problemas de segurança cibernética em carros.
"Assistimos a um falso ataque a um carro, consideramos diversos cenários, um deles relacionado à segurança, outro que abordava a segurança e discutia o que aconteceria caso a cadeia de suprimentos viesse a ser explorada", ele disse.
Como responder a um incidente também está no topo da lista de prioridades do Departamento do Transporte dos Estados Unidos, depois que o serviço de auditoria do governo publicou um relatório em março recomendando que o departamento defina pelo que é responsável caso um veículo seja atacado por hackers que comprometam sistemas críticos para a segurança.
O Auto-ISAC espera desenvolver seu primeiro conjunto de recomendações para sete áreas chave, entre as quais governança, gestão de riscos e projeto seguro.
Allen concorda em que é importante que as montadoras possam atualizar veículos remotamente, mas admite que isso é um desafio no caso de carros mais velhos.
"As atualizações remotas não serão tão difíceis nos veículos do futuro. O desafio para os fabricantes são os veículos conectados criados 10 anos atrás, e suas vulnerabilidades", ele disse. "Não estamos falando de iPhones que a pessoa joga fora depois de um par de anos".
Tradução de PAULO MIGLIACCI