O Jackware chega às telas em Velozes e Furiosos: Fate of the Furious

Ter o controle de carros ocupa um lugar central no recente filme Rápidos e Furiosos 8 (The Fate of the Furious), o oitavo episódio da saga, protagonizado por Vin Diesel e Dwayne Johnson. Tendo inventado o termo "jackware" para o código malicioso usado para controlar veículos, fiquei bastante animado quando vi que um amigo do Twitter me avisou sobre a representação desse fenômeno nesse filme, o que fez com que eu fosse ao cinema para conferir toda a trama.

Felizmente, para aqueles que não gostam de ir ao cinema, é possível assistir cenas do "jackware" no trailer oficial:

Tudo começou com um Jeep

Se você estiver acompanhando a evolução do hacking de carros, então deve saber que o caso do Jeep publicado em Wired, em 2015, foi um evento bastante marcante. E quando prestamos atenção ao trailer do filme podemos notar que, mais ou menos aos 45 segundos, o primeiro veículo a ir de encontro a uma janela de vidro é um Jeep, e parece ser o mesmo modelo hackeado no Wired.

Algum tempo depois do ataque ao Jeep, tive a ideia de criar o termo "jackware", que descreve o uso de malware para controlar um veículo, seja para extorquir ao proprietário, ou para levar o carro a um destino diferente do planejado pelo condutor. Pense nele como um ransomware para carros e que costuma extorquir os seus ocupantes por meio de malware.

Claramente, as pessoas que estavam produzindo o The Fate of the Furious já tinham começado a imaginar o que poderia ser uma implantação massiva do jackware, e sua versão já faz parte da cultura popular. O que retratam é um caos veicular desencadeada após o abuso de funcionalidades de direção autônoma dos carros modernos - dessa forma, os cibercriminosos conseguiram criar um exército mortal de drones sobre quatro rodas.

E isso poderia realmente acontecer?

Essa é uma pergunta bastante pertinente, especialmente quando vemos a cena na qual alguém em uma grande garagem de escritório está prestes a entrar em seu carro (um que pode parecer muito com o seu), e de repente acelera e se afasta. Não só isso, mas também bate contra a parede da garagem e vai direta para a rua, vários andares abaixo. E, em seguida, aparece a cena na qual alguém que está dirigindo em Nova York e encontra o seu carro sendo controlado remotamente, forçando-o a participar de um assalto coordenado a uma limousine blindada.

Felizmente, apesar de existirem elementos reais no hacking de carros presente nesse filme, eu diria que as cenas mostram além da tecnologia e logística atual. Vamos começar com o fato de que poucos veículos atualmente em uso têm as capacidades de condução autônoma para participar dessa espécie de máfia motorizada em alta velocidade organizada pelos capangas de Cipher, o vilão de Velozes e Furiosos 8, interpretado por Charlize Theron ("a definição de terrorismo de alta tecnologia").

Eu não ouvi falar de casos em que os cibercriminosos tenham controlado remotamente a função de direção de um veículo rodoviário para fins maliciosos. Na verdade, minha designação do termo “jackware” tinha a intenção de alertar o público sobre o que pode estar por vir. Em outras palavras: se o setor automotivo não trabalhar em conjunto com o departamento de cibersegurança, poderemos nos deparar com o jackware no mundo real.

Claro que, como o artigo do Wired demonstrou, em julho de 2015, o hacking de veículos que possui um variado conjunto de funcionalidades digitais não é uma invenção, e temos assistido a vários momentos onde percebemos que isso é totalmente factível. Além disso, muitos pesquisadores da ESET escreveram sobre o tema aqui, no WeLiveSecurity. Por exemplo:

• Jackware: cuando los autos conectados conocen al ransomware
• Connected car hacking: Who’s to blame?
• Car hacking: Defcon style
• Cybersecurity and manufacturers: what the costly Chrysler Jeep hack reveals
• The great car hacking debate
• Car hacking at speed – where vulnerabilities turn from critical to fatal
• 7 things you need to know about car hacking

Os dois pesquisadores por trás do ataque ao Jeep, em 2015, foram Charlie Miller e Chris Valasekon, que passaram a trabalhar na segurança de transporte autônomo para o Uber, mas antes disso publicaram dois documentos bastante úteis sobre esse assunto:

• Remote Exploitation of an Unaltered Passenger Vehicle
• A Survey of Remote Automotive Attack Surfaces

Considero que essas sejam leituras obrigatórias para qualquer pessoa seriamente interessada nessa questão. Por exemplo, você pode ver que existem várias barreiras para o tipo de hacking mostrado em Velozes e Furiosos 8. Quando uma funcionalidade como o estacionamento automático permite que a direção seja controlada remotamente ou autonomamente, haverá um controle de compensação para restringir a velocidade na qual isso pode acontecer. Assim, para causar sérios danos, você não só tem que assumir o controle do código da função de direcionamento, como também precisa desativar o código que limita a velocidade do veículo em várias condições autónomas.

A leitura desses relatórios também permite analisar novos desenvolvimentos nesse campo, como a lista crescente de funcionalidades potencialmente frágeis que está sendo proposta ou mesmo implantada. A notícia do Jeep realmente pôs fim a um projeto anunciado pelo britânico Jaguar Land Rover, baseado no Reino Unido, que havia dito que criaria um aplicativo móvel para que os motoristas pudessem controlar seus veículos em situações complexas, como estacionamentos, mesmo estando fora dos veículos.

Minha primeira reação a isso, vindo de alguém que passou por essa experiência, foi: “Que legal!”. No entanto, veio rapidamente a pergunta que assombra especialistas em segurança, especialmente aqueles que lidam com aplicativos móveis infectados com malware: "O que poderia dar errado?"

Em um desenvolvimento de tecnologia ligeiramente diferente, em março deste ano, a Cadillac tornou-se a primeira montadora em comunicações veículo a veículo (V2V) em um veículo de produção, que me leva de volta ao filme. Poderíamos hipotetizar futuros abusos dessa tecnologia para organizar esse tipo de crime a toda velocidade que o Cipher desencadeia.

Você pode aprender mais sobre V2V no Departamento de Transporte dos Estados Unidos, que está promovendo essa tecnologia. Para explorar como as coisas podem dar errado com V2V, confira este fascinante paper: Worm Epidemics in Vehicular Networks.

O zero days e a magia do filme

Quando Cipher, o personagem de Charlize Theron, pede a um de seus tripulantes que "encontre todos os zero day" como um prelúdio para controlar remotamente centenas de veículos, nos damos conta de que vem algum grave, se não inteiramente plausível. Eu seria desonesto se dissesse que não gostei de assistir Velozes e Furiosos 8, apesar de sua parcela constante de improbabilidade (desculpe, mas zero days não funcionam assim, os torpedos também não, os carros não podem ser hackeados dessa forma, e os veículos também não podem ir tão rápido como fazem rotineiramente nesses filmes).

No entanto, quando foi que a falta de realismo deteve um filme? Certamente não é um contratempo para The Fate of the Furiou, que levou apenas três semanas para atingir a marca de 1 bilhão de dólares em lucros globais em bilheteria.

Para ser claro, eu não apoio o uso de violência como uma estratégia de resolução de problemas ou o uso de meios criminosos para alcançar resultados socialmente benéficos. Eu certamente não estou apoiando o automobilismo não autorizado ou dirigindo sem cinto de segurança. O que eu apoio é a diversidade e o respeito mútuo como chaves para a solução de problemas, algo que esses filmes abraçam calorosamente.

No que diz respeito à pirataria de carros, encorajo qualquer pessoa que esteja inclinada a fazer isso para jogar com as regras, e existem regras, como este relatório de vulnerabilidade do HackerOne, que opera um programa de recompensas para a General Motors. Também existem programas semelhantes da ​​Tesla e a Fiat Chrysler no Bugcrowd.