Porta do sistema de diagnóstico integrado em um Jeep Grand CherokeeAgentes do FBI
detiveram nove membros de uma quadrilha de motoqueiros que caçavam carros Jeep Wrangler usando técnicas de hackers de alta tecnologia (
sequestro de vídeo ). Aparentemente, os métodos de hacking foram usados aproximadamente dos mesmos que os mexicanos recentemente presos que
invadiram e roubaram mais de 100 carros Jeep Grand Cherokee (
vídeo ).
Nos carros modernos, quase metade do custo é eletrônica e software. Consequentemente, os métodos de seqüestro para esses "computadores sobre rodas" são aplicados tecnologicamente.
Segundo as autoridades, a gangue de motoqueiros Dirty 30, uma unidade da maior gangue de motociclistas Hooligans, estava envolvida no roubo. Cada um dos nove membros do grupo tinha sua própria especialização estreita e todos os roubos ocorreram de acordo com o mesmo esquema.
O esquema é o seguinte. Primeiro, os ladrões de carros reconheceram o identificador de um veículo específico - número de identificação do veículo (VIN). O código foi passado para um membro de uma gangue que estava fazendo as chaves. Ele teve acesso a um banco de dados proprietário com códigos de substituição de chave perdidos para o Jeep Wrangler. De acordo com o VIN especificado, o especialista baixou dois códigos do banco de dados. Usando o primeiro código, ele fez uma chave de ignição física com um chip para o Jeep Wrangler e, juntamente com o segundo código, passou para os membros da gangue que executaram o seqüestro diretamente.
No primeiro estágio do seqüestro, os atacantes invadiram o bairro e desligaram os alarmes externos de luz e som. Então, usando a chave feita, eles abriram a porta da cabine, entraram em um jipe e inseriram a chave da ignição. Era necessário agir muito rapidamente: um dos hackers conectou um laptop à porta do Onboard Diagnostics System na cabine - e, usando o segundo código do banco de dados, ele ativou a chave de substituição recebida, sincronizando-a com o carro.
Por alguns minutos, os atacantes criaram uma chave válida, desligaram o alarme e foram embora de carro. Logo, o carro foi entregue a outro membro da gangue - o transportador - que rapidamente levou o carro para o México, onde foi desmontado.
As autoridades disseram que começaram a investigar motociclistas quando detiveram três membros de gangues no início de 2015. Segundo a investigação, desde 2014, uma gangue de alta tecnologia conseguiu roubar mais de 150 jipes com um valor total de mais de US $ 4,5 milhões.
Apenas duas semanas atrás, os conhecidos hackers de carros Charlie Miller e Chris Valasek
publicaram abertamente seus documentos antigos - um guia praticamente passo a passo sobre o crack do Jeep Cherokee, além de ferramentas e documentação sobre como invadir outros carros com o ônibus CAN. Esses dois especialistas vêm fazendo relatórios sobre segurança automóvel há vários anos. Em 2013, depois de demonstrar o controle dos carros Toyota Prius e Ford Escape 2010 a partir de um laptop e gamepad da Nintendo, eles apresentaram um relatório detalhado descrevendo a técnica de hacking e publicaram um código de programa para a exploração de um computador de carro (ECU) usando transmissão de pacotes através do barramento Controller Area Network (CAN) . Os resultados desse experimento são descritos no artigo fundamental
Aventuras em redes automotivas e unidades de controle . Em 2015, Miller e Valasek demonstraram o hack do Jeep Cherokee há dois anos com controle remoto de algumas funções do carro. Após essa apresentação, a montadora teve que recuperar quase 1,5 milhão de carros em todo o mundo para substituir o firmware.
Um dos principais guias de crackers de Miller e Valasek é o guia
Hacking Cars for the Poor . Explica como fazer a ECU funcionar fora do carro e usar as ferramentas descritas no trabalho anterior para estudar as mensagens do barramento CAN e realizar um ataque.
Obviamente, não são todos os especialistas em estaleiros que são responsabilizados pelo fato de carros serem roubados por centenas. Os fabricantes de automóveis são os culpados, desatentos à segurança de seus "computadores sobre rodas". Eles estão acostumados a prestar atenção, em primeiro lugar, à segurança do motorista e dos passageiros enquanto dirigem, comodidade e funcionalidade - mas eles não entendem que agora novos requisitos estão sendo apresentados à segurança dos sistemas de computadores.
Miller e Valasek explicaram claramente que não têm a oportunidade de testar cada modelo individualmente, mas para
todos os computadores automotivos modernos existem certos vetores de ataque padrão que podem ser usados. Os hackers nem mencionaram medidas de segurança triviais, como armazenamento confiável de um banco de dados com códigos de chave de backup.
Bem, as autoridades recomendam que os proprietários do Jeep Wrangler mudem o sistema de trava do capô para que não abra do lado de fora do carro. Os hackers não poderão desligar o alarme antes do roubo.