Pesquisadores conseguem hackear carro da Tesla por meio de ataque remoto

Especialistas de empresa chinesa mostraram como conseguiram acessar o Tesla Model S enquanto estava estacionado e em movimento.

A Tesla Motors é considerada uma das fabricantes de carros com maior consciência de cibersegurança no mundo. Entre outras coisas, a companhia possui um programa de recompensa para a descoberta de bugs. Mas isso não significa que o software em seus veículos esteja livre de falhas.

Pesquisadores da empresa chinesa de tecnologia Tencent descobriram uma série de vulnerabilidades que, quando combinadas, permitiram que os especialistas assumissem remotamente um carro Tesla Model S e controlassem seu teto solar, tela central, travas das portas e até mesmo o sistema de freios. O ataque permitiu aos pesquisadores acessarem a rede da área de controle do carro (CAN Bus), que permite aos computadores especializados dos veículos se comunicarem uns com os outros.

“Pelo que sabemos, esse é o primeiro caso de ataque remoto que compromete o CAN Bus para atingir os controles remotos em carros da Tesla. Verificamos o vetor de ataque em diferentes variedades do Tesla Model S. É razoável presumir que outros modelos da Tesla também são afetados”, afirmam os pesquisadores do Keen Security Lab da Tencent.

O post dos pesquisadores é acompanhado de um vídeo de demonstração em que os pesquisadores mostram o que podem alcançar por meio do ataque, que funciona quando o veículo está estacionado ou sendo dirigido.

Primeiro, enquanto o carro estava estacionado, os pesquisadores usaram um laptop para abrir remotamente seu teto solar, ativar seus faróis, mudar a posição do banco do motorista, assumir o painel e a tela central e destravar o veículo.

Em uma segunda demonstração, eles acionaram o limpador de para-brisa enquanto o carro estava em movimento em baixa velocidade em um estacionamento apenas para demonstração. Eles também mostraram como podem abrir o porta-malas e dobrar o espelho lateral quando o motorista está tentando mudar de faixa. Essas operações podem distrair o motorista em determinadas situações, causando um risco de segurança.

Caso um ataque desse tipo fosse realizado em um carro dirigido em alta velocidade em uma rodovia poderia resultar em uma colisão séria.

Fonte: PC World

Brasil precisa de regulação estratégica para segurança cibernética

Autor: Luis Osvaldo Grossmann

Parte do diálogo entre Brasil e União Europeia, um seminário realizado em Brasília nesta semana discute políticas de TICs. E o primeiro recado desta ultima terça-feira, 20/9, é que o Brasil ainda tem caminhos a trilhar para melhorar a política de segurança cibernética.

O especialista mundial no tema, professor e pesquisador Paulo Veríssimo, da Universidade de Luxemburgo, lembrou que a realidade atual é de infraestrutura imensa interligada, com grande quantidade de dados correlacionáveis, pressão para estar sempre online e aumento constante das vulnerabilidades nos softwares.

Nessa era ‘pós-Snowden’, convive-se com uma tendência generalizada a coleta de dados, que convive com o enfraquecimento dos sistemas computacionais, ataques patrocinados por Estados, com a escalada no desenvolvimento de armas cibernéticas e crescimento do crime organizado e terrorismo.

“No Brasil, o setor cibernético é um dos pilares da estratégia de defesa nacional. Mas acho que essa é a altura para o Brasil fazer uma regulação estratégica sobre segurança cibernética. O ciberespaço é dinâmico e assimétrico e não há porque o Brasil, mesmo começando mais tarde, não tenha um desempenho soberbo nesse tema”, afirmou Veríssimo.

Ao participar da ICT Week, promovida pelo governo brasileiro em parceria com a União Europeia, o especialista trouxe um grande apanhado da evolução da segurança e defesa cibernética na Europa, como uma espécie de consultoria sobre caminhos que o Brasil pode adotar aproveitando essa experiência.

Mas se a trilha institucional pode servir de modelo, Paulo Veríssimo também alertou para um tema atualíssimo na segurança online: a pressão para a criação de ‘backdoors’ em sistemas e equipamentos de forma a facilitar as investigações legalmente constituídas.

“A grande questão que precisa ser seriamente pensada é que dada a sofisticação tecnológica com que garantimos a robustez dos sistemas, ao retirar parte dessa robustez criamos uma ameaça importante. Medidas que podem ser corretas social e politicamente, mas que precisam avaliar os impactos”, afirmou.

Criação de novas brechas de segurança é um problema sério por uma questão básica: o próprio aumento das ameaças tem relação direta com outro ponto apontado pelo especialista: “a sofisticação dos ataques tende a aumentar ao mesmo tempo que a expertise necessária reduz”. Ou seja, não é mais necessário que os atacantes sejam especialistas em tecnologia, dada a própria proliferação de ferramentas.

Outra questão do momento é que a vida sempre online deixa rastros e na prática já não se pode mais garantir que os dados são efetivamente anonimizados. “Desde 2000 as descobertas nesse sentido são assustadoras. São vários casos de dados que foram ‘desanonimizados’ a partir do cruzamento de poucos elementos acessíveis nas próprias redes sociais. Não há mais dados anônimos”, concluiu.

Fonte: Convergencia Digital

Secretaria de Segurança do Rio lança aplicativo piloto para serviço 190

A Secretaria de Estado de Segurança do Rio de Janeiro em parceria com a Startup Nearbee lançou o aplicativo Emergência RJ, que oferece atendimento instantâneo em serviços emergenciais como denúncias de atividades suspeitas, ocorrências ou pedidos de socorro. O projeto piloto amplia o atendimento ao serviço 190, beneficiando de imediato 12 milhões de moradores da Região Metropolitana do Rio.

Tendência internacional que une tecnologia e agilidade, o aplicativo permite, com poucos cliques, fazer a denúncia, de forma confiável e gratuita, sem precisar dizer uma única palavra. O lançamento durante os Jogos Paralímpicos Rio 2016, reforça acessibilidade para quem tem limitações para fazer ligações telefônicas, como pessoas com audição e fala comprometidas.

Emergência RJ funciona como aplicativo oficial de segurança do Estado e disponibiliza uma equipe capacitada dentro do Centro Integrado de Comando e Controle (CICC), na Cidade Nova. Essa equipe é responsável por receber os chamados digitais de forma bilíngue (português/inglês) e efetivar as denúncias, envolvendo o serviço 190 (polícia militar).

“A tecnologia vem nos permitindo aprimorar o atendimento ao público, oferecendo novos canais e ferramentas de contato. Por meio do aplicativo, criamos um novo vínculo com a população, que tem hoje nos celulares um importante recurso, seja ele para auxílio, informação, trabalho ou diversão”, destacou Edval Novaes, subsecretário de Comando e Controle, da Secretaria de Estado de Segurança.

O aplicativo permite o recebimento de informações precisas como localização – por meio do GPS do celular – envio de fotos da ocorrência e áudio automático dos 15 segundos seguintes à criação do chamado. O Emergência RJ já está disponível para download na Apple Store e Google Play, para baixar basta acessar uma das lojas via Smartphone. Após o download, o usuário deve preencher os dados cadastrais e validar uma conta de email ou facebook, permitindo a identificação instantânea em um chamado. A navegação foi desenvolvida para o usuário seguir de forma intuitiva todos os indicadores, facilitando o uso.

“A expectativa do Nearbeeé viabilizar uma conexão eficiente entre os cidadãos, o Estado e a Polícia, alinhados ao novo contexto tecnológico em que vivemos”, destaca Felipe Fontes, CEO Nearbee. O Centro Integrado de Comando e Controle (CICC) concentra os principais serviços de emergência do Rio de Janeiro, que atuam de forma integrada. A Central 190 recebe em média cerca de 7 mil ligações diárias, incluindo toda região metropolitana, e conta com profissionais bilíngues, já que os números de emergência internacional norte-americano (911) e europeu (112) também são redirecionados para o 190.

O objetivo da Startup Nearbee é proporcionar uma solução de segurança mais eficaz, rápida e inteligente. Além de desenvolver o Emergência RJ, lançou recentemente o aplicativo Nearbee e Alfabee, que possibilita a conexão entre pessoas próximas, autoridades locais, serviços de proteção, amigos e familiares, podendo ser alertados em situações emergenciais. Funciona ainda como uma plataforma social para compartilhamento de micro informações locais.

O conceito da Startup surgiu em 2014 na cidade de Campinas – SP, mas teve seu lançamento oficial em abril de 2016. Nesse tempo, venceu premiações como o Desafio Cisco de Inovação Urbana Porto Maravilha, Concurso Rio Apps Cidade Olímpica, Connected Smart Cities como melhor solução para cidades inteligentes do Brasil e Prêmio WSA Mobile Brasil 2016, da ONU.

Fonte: Convergencia Digital

Ao STF, Polícia Federal não diz se WhatsApp tem como ‘grampear’ conversas

 

Autor: Luis Osvaldo Grossmann

A Polícia Federal reforçou junto ao Supremo Tribunal Federal, a defesa de que o WhatsApp deve ser punido por desrespeitar decisões judiciais que determinaram ‘grampos’ em conversas de suspeitos de tráfico de drogas. Ao se manifestar na ADPF 430, porém, a PF sequer menciona a eventual capacidade técnica do aplicativo em atender as determinações.

“Foi diante do quadro de desrespeito ao ordenamento jurídico brasileiro e a soberania nacional que foi proferida decisão que determinou a suspensão temporária do aplicativo WhatsApp”, diz documento firmado pelo diretor-geral da PF, Leandro Coimbra.

A Arguição de Descumprimento de Preceito Fundamental 403 foi movida em maio pelo Partido Popular Socialista após a Justiça de Sergipe determinar o bloqueio do app. E acabou sendo o instrumento pelo qual o STF derrubou uma segunda ordem de bloqueio, desta vez pela Justiça do Rio de Janeiro.

Os processos são muito parecidos e envolvem pedidos para que conversas de suspeitos de tráfico de drogas fossem ‘espelhadas’, de forma que a polícia pudesse ter acesso à troca de mensagens em tempo real das pessoas indicadas nas ações.

Pelo menos no caso de Sergipe, o juiz Marcel Montalvão, da comarca de Lagarto, sustentou a decisão de bloquear o aplicativo citando o Informativo Técnico da Polícia Federal n. 31/2016-SRCC/DICOR/DPF. No documento, a polícia diz que o pedido não envolve o resgate de conversas armazenadas, mas sim o acesso em tempo real da troca de mensagens e indica que essa quebra da criptografia é possível.

“Como a implantação da criptografia fim a fim foi incremental e considerando a implementação de clientes de terceiros encontrados na internet, há fortes indícios de que a criptografia fim a fim seja opcional e teoricamente poderia ser desabilitada mediante parâmetros configuráveis nos equipamentos servidores da empresa. Recursos adicionais como Whatsapp Web e o serviço de notificações teoricamente pode ser utilizados para permitir a duplicação das mensagens e posterior interceptação mediante ordem judicial.”

O documento ou sua argumentação, no entanto, não fazem parte das informações agora prestadas ao STF, cujo posicionamento de mérito será determinante para futuras ações no mesmo sentido envolvendo o Whatsapp.

Fonte:  Convergência Digital

Usuários privilegiados desafiam políticas de segurança corporativa

Estudo da Forcepoint indica que só 50% das organizações acredita ter a capacidade para controlar atividades de usuários privilegiados.

seguranca digital

Embora ataques e vazamentos de informações privilegiadas continuem se multiplicando, um estudo da Forcepoint descobriu que 58% dos gerentes de TI e de segurança da informação acreditam que suas organizações estão concedendo acesso desnecessário a funcionários que vai além de suas funções ou responsabilidades.

A pesquisa “Insegurança de Usuários Privilegiados”, realizada pela fornecedora de segurança em parceria com o Instituto Ponemon, compara uma série de dados coletados entre 2011 a 2014 aos dados atuais. Segundo o levantamento, mais de 40% dos 600 entrevistados concordam que insiders maliciosos usariam a engenharia social para obter acesso privilegiado – um aumento de 20% comparado a 2011.

Aproximadamente 70% de ambos os grupos pesquisados acham que é “muito provável” ou “provável” que os usuários privilegiados acreditem que têm o direito de acessar todas as informações que podem visualizar. O mesmo percentual também crê que usuários privilegiados acessam dados confidenciais apenas por uma questão de curiosidade.

 Além disso, apenas 43% das organizações comerciais e 51% de organizações federais disseram que atualmente possuem a capacidade efetiva de controlar as atividades de usuários privilegiados. A maioria revelou que somente 10% ou menos do seu orçamento é dedicado a combater esse desafio.

Enquanto o orçamento e o elemento humano são fatores importantes na hora de enfrentar as ameaças internas, deficiências tecnológicas também desempenham um papel importante. A pesquisa constatou que um número significativo dos entrevistados utiliza suas atuais ferramentas de cibersegurança para combater ameaças internas, ao invés de tecnologias mais específicas.

Por exemplo, o estudo indica que 48% das organizações comerciais e 52% das federais usam SIEM (Security Information and Event Management) para determinar se uma ação representa uma ameaça interna.

Além disso, mais de 60% apontam que estas ferramentas apresentam muitos falsos positivos. Como resultado, a maioria desses públicos (63% das organizações comerciais e 75% das organizações federais) não possui a informação contextual necessária para evitar ameaças internas.

Fonte: COMPUTERWORLD

Hackers encontram 47 novas vulnerabilidades em 23 dispositivos IoT

Durante a DEF CON, diversos participantes se empenharam em encontrar falhas de proteção em aparelhos inteligentes.

iot

Portas, termostatos, geladeiras, cadeira de rodas. A cada dia surgem novos dispositivos inteligentes conectados à Internet das Coisas. Além de possibilidades, essas novidades abrem brechas que podem ser exploradas por cibercriminosos.

Durante a conferência de segurança DEF CON, em agosto, diversos hackers se empenharam em encontrar falhas de proteção nesses aparelhos. Os resultados foram, de certa forma, bastante preocupantes.

Por meio de uma competição, os participantes encontraram 47 novas vulnerabilidades em 23 dispositivos de IoT fabricados por 21 empresas. O tipo de brechas é amplo.

Por exemplo, trancas e fechaduras de empresas como Quicklock, iBlulock, Plantraco, Ceomate, Elecycle, Vians, Lagute, Okidokeys e Danalock estão suscetíveis a falhas onde é possível facilmente descobrir códigos e abrir portas.

Esse é o segundo ano que o DEF CON sedia um concurso para descobrir vulnerabilidades em dispositivos de IoT. Na edição anterior foram encontradas 113 falhas críticas nesse tipo de aparelhos. A ideia é ajudar a indústria a desenvolver melhores mecanismos de proteção.

 Fonte: COMPUTERWORLD

Microsoft libera update gigante de correções de segurança

No total, novo pacote da empresa de Redmond traz 14 boletins de segurança, sendo que metade deles é classificada como crítico.

windows logo janelas

A Microsoft acaba de liberar um dos seus maiores updates de segurança de 2016, corrigindo 50 vulnerabilidades nos seus produtos e outras 26 no Flash Player, que vem junto com o navegador Edge.

As correções estão divididas em 14 boletins de segurança, incluindo um dedicado ao Flash, sendo que metade deles são classificados como críticos. Eles solucionam vulnerabilidades no Windows, Internet Explorer, Microsoft Edge, Microsoft Exchange, Microsoft Office e nos serviços web e apps do Microsoft Office.

Para os desktops, os administradores devem priorizar as soluções para o Internet Explorer, que são cobertas pelo boletim MS16-104. Veja a seguir os apps e boletins correspondentes de outros programas que também devem ser priorizados: Microsoft Edge (MS16-105), Microsoft Office (MS16-107), Microsoft Graphics Component (MS16-106), OLE Automation for VBScript Scripting Engine (MS16-116) e Adobe Flash Player (MS16-117).

Isso porque essas vulnerabilidades podem ser exploradas para se conseguir execução remota de código ao enganar os usuários, fazendo com que visitem sites comprometidos ou abrir arquivos especialmente criados para isso. Esses são dois dos vetores de infecção mais comuns usados em ataques de malware.

Clique aqui para conferir todos os boletins de segurança liberados pela Microsoft nesta semana.

Fonte: COMPUTERWORLD