agosto 17, 2015

[Segurança] Defcon, carros e coisas

Se eu fosse resumir a Defcon de 2015 em um tópico principal, eu diria que este foi o ano das pesquisas de vulnerabilidades em carros e na "Internet das Coisas" (IoT).

Assim como acontece em todos os anos, os mais diversos assuntos são abordados na Defcon, muitos dos quais são novas idéias, linhas de pesquisa inovadoras ou vulnerabilidades reais que podem virar grandes problemas nos meses ou anos seguintes - e isso é o que mais me atrai para o evento. Mas, apesar da grande variedade de palestras e temas, todo ano é possível identificar alguns tópicos mais "quentes". No ano passado, certamente foi a questão do vigilantismo da NSA. Em 2012 foi o ano de se falar em hacktivismo e começarem as preocupações com sistemas SCADA.

Neste ano, me chamou a atenção a quantidade de ativisades relacionados a Hacking a sistemas embarcados e coisas e carros, ou  hacking automotivo  ("car hacking") e a dispositivos genéricos conectados a Internet ou em rede (a "Internet das coisas").

O mais legal foi que, além de palestras sobre este assunto, também tivemos duas Villages dedicadas, aonde o pessoal podia realizar palestras, oficinas e fuçar em equipamentos reais: a Car Hacking Village e a IoT Village.


Na Car Hacking Village, haviam dois carros disponíveis para serem hackeados pelos participantes, além de uma pequena área de palestras sobre o assunto e de um carro da Tesla em exposição. Havia uma mesa da Tesla Motors, mas o carro deles não estava disponível para o pessoal hackear - o que é perdoável frente ao fato de que a Tesla possui um programa de gratificação aos pesquisadores de segurança ("bug bounty") que paga até US$ 10.000 para bugs encontrados em seus carros.



Além de duas palestras sobre vulnerabilidades em carros, também teve uma palestra na Defcon sobre um pessoal que hackeou um skate elétrico e outra plaestra de dois pesquisadores que hackearam uma mira eletrônica de rifle. Uma das palestras sobre Car Hacking foi do Charlie Miller, que tomou total controle de um Jeep, conseguindo até mesmo controlar a direção, aceleração e frenagem de um carro em movimento.

Conversando com alguns amigos, nós estamos vendo que essa nova onda de embarcar sistemas conectados a Internet em qualquer coisa está trazendo graves problemas de segurança, e que mesmo hoje em dia muita coisa tem sido criada sem nenhuma ou quase nenhuma preocupação séria em segurança. O mundo dos sistemas embarcados está vivendo a mesma realidade que a Internet viveu na década de 90: pipocam dezenas de aplicações absurdamente vulneráveis, que podem ser exploradas por causa de vulnerabilidades muito básicas.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.