Segurança do CAN Bus: A Batalha Cibernética Invisível em Veículos Conectados

A crescente integração da conectividade digital em veículos modernos elevou a importância da cibersegurança, particularmente no sistema de barramento Controller Area Network (CAN).

Originalmente projetado para comunicação eficiente entre Unidades de Controle Eletrônico (ECUs), o barramento CAN carece de medidas de segurança integradas, tornando-se um alvo principal para ameaças cibernéticas.

Este artigo explora as vulnerabilidades do barramento CAN, incluindo a falta de autenticação e criptografia, suscetibilidade a ataques de negação de serviço e replay, e os crescentes riscos impostos pela conectividade sem fio.

Para enfrentar esses desafios, apresentamos uma abordagem em múltiplas camadas para a segurança do barramento CAN, incorporando Sistemas de Detecção e Prevenção de Intrusões (IDPS), autenticação e criptografia de mensagens, gateways seguros, segmentação de rede e mecanismos de Inicialização Segura.

Uma contribuição chave deste estudo é a análise de redes neurais profundas para detecção de anomalias, que permite a identificação em tempo real de atividades maliciosas.

Além disso, examinamos a eficácia da autenticação criptográfica e técnicas de criptografia leve na proteção das comunicações dentro do veículo.

As descobertas destacam a necessidade crítica de uma estratégia proativa de cibersegurança, enfatizando soluções de segurança impulsionadas por IA, criptografia pós-quântica e proteção baseada em blockchain para combater vetores de ataque em evolução.

Ao implementar essas defesas, a indústria automotiva pode melhorar a segurança dos veículos, proteger a integridade dos dados e fortalecer a confiança do consumidor em um cenário cada vez mais conectado.

Introdução: As Ameaças Invisíveis em Veículos Conectados

À medida que os veículos evoluem para máquinas digitais sofisticadas, a importância da cibersegurança na indústria automotiva nunca foi tão grande.

O barramento Controller Area Network (CAN), originalmente desenvolvido para simplificar a comunicação dentro do veículo entre Unidades de Controle Eletrônico (ECUs), tornou-se um alvo principal para ameaças cibernéticas.

Embora sua eficiência na gestão das funções do veículo seja inegável, sua falta de protocolos de segurança integrados deixa os veículos modernos vulneráveis a um novo tipo de ciberataques.

Cibercriminosos estão explorando cada vez mais as fraquezas nas redes CAN, ameaçando a segurança dos veículos, a integridade dos dados e a confiança do consumidor.

Com a rápida adoção de veículos conectados e autônomos, entender as vulnerabilidades do barramento CAN e implementar mecanismos de proteção de ponta não é mais opcional, é uma necessidade.

Por que a Segurança do CAN Bus é Crítica

A segurança do barramento CAN é crucial, pois os veículos modernos dependem desse protocolo para gerenciar tudo, desde controle do motor e sistemas de frenagem até recursos de infotainment e assistência ao motorista.

Um barramento CAN comprometido pode levar a consequências catastróficas, incluindo aceleração não intencional, falha de frenagem e sequestro remoto de veículos.

O infame hack do Jeep Cherokee em 2015 demonstrou como atacantes poderiam manipular remotamente as funções de um veículo, levando a indústria a priorizar a segurança do CAN.

Um estudo de Miller e Valasek (2015) demonstrou que ataques ao barramento CAN poderiam causar falhas na direção e na frenagem, provando que este não é apenas um risco teórico, mas uma ameaça real.

Com o aumento da comunicação Veículo-para-Tudo (V2X), atualizações Over-the-Air (OTA) e gerenciamento de frotas conectado à nuvem, a superfície de ataque dos veículos está se expandindo.

Pesquisas de Petit e Shladover (2014) mostram que vetores de ataque sem fio aumentam significativamente o potencial de exploração remota do barramento CAN, tornando as suposições de segurança tradicionais obsoletas.

Vulnerabilidades do Barramento CAN: Uma Análise Profunda

Apesar de sua eficiência, o protocolo CAN não foi projetado com a cibersegurança em mente. Algumas das principais vulnerabilidades incluem:

1. Falta de Autenticação e Criptografia

Ao contrário dos protocolos de comunicação modernos, as mensagens do barramento CAN carecem de mecanismos de autenticação, o que significa que qualquer ECU na rede pode enviar e receber mensagens sem verificação.

Atacantes que exploram acesso físico ou remoto não autorizado podem injetar comandos maliciosos, potencialmente substituindo funções críticas de segurança.

Estudos de Woo e Kim (2015) indicam que a adição de códigos de autenticação de mensagens (MACs) poderia prevenir ataques de spoofing, mas a implementação continua sendo um desafio devido a restrições de largura de banda.

2. Modelo de Comunicação por Difusão

Como todas as ECUs compartilham o mesmo barramento e recebem todas as mensagens transmitidas, um único nó comprometido pode manipular o comportamento do veículo.

Pesquisas de Checkoway et al. (2011) descobriram que comprometer um sistema de infotainment pode permitir movimento lateral pela rede CAN, afetando sistemas críticos do veículo.

3. Ataques de Negação de Serviço (DoS)

Um ataque comum ao barramento CAN envolve inundar a rede com mensagens de alta prioridade, sobrecarregando o sistema e bloqueando sinais legítimos.

Um estudo de Choi et al. (2018) demonstrou que ataques DoS poderiam causar falhas nos airbags, falhas de frenagem e anomalias no painel.

4. Ataques de Replay

Atacantes podem capturar mensagens CAN válidas e reenviá-las mais tarde, dificultando a distinção entre comandos legítimos e fraudulentos pelos veículos.

Groll e Rieke (2019) propõem timestamps criptográficos para mitigar ataques de replay, embora a implementação no mundo real enfrente desafios de sobrecarga computacional.

5. Explorações Remotas e Superfícies de Ataque Sem Fio

A integração de Wi-Fi, Bluetooth e comunicação celular expande os vetores de ataque além do acesso físico.

Pesquisas de Koscher et al. (2010) confirmaram que a conectividade sem fio poderia ser explorada para injetar comandos no barramento CAN remotamente, demonstrando a necessidade de segurança aprimorada nos gateways.

Protegendo o Barramento CAN: Presente e Futuro

Para combater essas vulnerabilidades, líderes da indústria estão implementando uma abordagem em múltiplas camadas que combina estratégias de segurança de hardware e software.

1. Sistemas de Detecção e Prevenção de Intrusões (IDPS)

A detecção baseada em assinatura é uma técnica fundamental utilizada em Sistemas de Detecção e Prevenção de Intrusões (IDPS) para identificar ameaças cibernéticas conhecidas nas redes CAN automotivas.

Esse método depende de um banco de dados de assinaturas de ataque predefinidas, padrões únicos associados a atividades maliciosas, como injeções de comandos não autorizados, ataques de replay ou mensagens de ECU falsificadas.

Quando o tráfego do barramento CAN é monitorado, o sistema compara cada mensagem com essas assinaturas armazenadas para detectar e sinalizar atividades suspeitas em tempo real.

A detecção de anomalias através de Redes Neurais Profundas (DNN) é um método avançado especificamente projetado para abordar vulnerabilidades dentro da Rede de Área de Controle (CAN).

Como o barramento CAN carece de recursos de segurança nativos, como autenticação e criptografia, ele se torna altamente suscetível a ameaças cibernéticas, incluindo ataques de ransomware.

Para abordar isso, pesquisas recentes de Zhou et al. (2019) propuseram um sistema inovador que utiliza redes neurais profundas para detecção em tempo real de anomalias nas mensagens do barramento CAN.

Esse método envolve tratar a detecção de anomalias como um problema de modelagem de domínio cruzado, onde sequências de pacotes de dados do barramento CAN são processadas simultaneamente.

Especificamente, os pacotes de dados são organizados em três grupos—âncora (dados conhecidos como bons), positivo (dados operacionais normais) e negativo (dados anômalos)—e alimentados em uma arquitetura de Rede Neural Profunda empregando uma estratégia de treinamento de pesos compartilhados.

Essa abordagem utiliza uma função de perda tripla embutida, originalmente usada em reconhecimento facial, para otimizar distâncias entre esses grupos.

A DNN visa minimizar a distância entre pontos de dados âncora e positivos (comportamentos normais), enquanto maximiza simultaneamente a distância entre pontos de dados âncora e negativos (comportamentos anômalos).

A rede neural profunda extrai vetores de características distintas das mensagens do barramento CAN, que encapsulam padrões comportamentais críticos, como frequências de mensagens, sequências de IDs de mensagens e conteúdo de payload.

Quando implantado em cenários em tempo real, esse sistema monitora continuamente as mensagens CAN recebidas, identificando rapidamente desvios do comportamento base aprendido.

Ao detectar atividade anômala indicativa de ransomware ou manipulação maliciosa, o IDPS aciona alertas imediatos e respostas protetivas automatizadas, como isolamento de rede ou suspensão de ECU.

Complementando a detecção baseada em anomalias, a segmentação de rede fortalece ainda mais a segurança do barramento CAN, dividindo a infraestrutura de comunicação interna do veículo em segmentos isolados.

Essa abordagem separa sistemas críticos de segurança, como direção, frenagem e airbags, de sistemas não críticos, como infotainment e telemática. Unidades de Controle Eletrônico (ECUs) de gateway impõem políticas de comunicação rigorosas, restringindo movimentos laterais e impedindo que ransomware se espalhe pelas redes do veículo.

2. Autenticação e Criptografia de Mensagens

A autenticação de mensagens garante que as mensagens se originem de fontes legítimas e permaneçam inalteradas durante a transmissão. Técnicas como Códigos de Autenticação de Mensagens Baseados em Hash (HMAC) fornecem uma solução confiável e eficiente.

Zhang et al. (2021) demonstraram a eficácia de combinar HMAC com o Algoritmo de Criptografia Tiny (TEA), que oferece forte segurança contra modificações não autorizadas de mensagens e ataques de replay, enquanto impõe uma sobrecarga de desempenho mínima.

Além disso, métodos de autenticação baseados em hardware, como Funções Físicas Não Clonáveis (PUFs), utilizam características únicas de fabricação das ECUs para gerar identificadores criptográficos seguros, reduzindo significativamente os riscos de acesso não autorizado.

A criptografia complementa a autenticação protegendo a confidencialidade da mensagem, garantindo que apenas ECUs autorizadas possam interpretar os dados transmitidos.

Métodos de criptografia simétrica são preferidos para uso automotivo devido às suas demandas computacionais mínimas, permitindo criptografia rápida e eficiente de mensagens adequada para comunicação em tempo real.

Protocolos como Protocolos de Criptografia e Autenticação Leves (LEAP) são especificamente projetados para ambientes automotivos, equilibrando segurança robusta com requisitos de desempenho.

O LEAP aproveita algoritmos de cifra de fluxo leves e aprimorados em segurança para fornecer autenticação e criptografia simultâneas, garantindo comunicações CAN seguras sem introduzir latência significativa ou restrições de recursos.

3. Gateways Seguros e Segmentação de Rede

A segmentação de rede emergiu como uma estratégia crucial de cibersegurança para proteger barramentos Controller Area Network (CAN) automotivos contra ameaças cibernéticas.

Essa abordagem envolve dividir logicamente a rede interna do veículo em múltiplos segmentos isolados, cada um com protocolos de segurança distintos.

Ao restringir a comunicação entre esses segmentos, a segmentação minimiza efetivamente o potencial para que atacantes se movam lateralmente pela rede, limitando significativamente a propagação de ameaças.

Mesmo que um segmento seja comprometido, a segmentação garante que sistemas críticos—como frenagem, direção ou controle de segurança—permaneçam seguros e operacionalmente inalterados.

Implementações avançadas de segmentação de rede utilizam Unidades de Controle Eletrônico (ECUs) de gateway que impõem regras de comunicação rigorosas e monitoram o tráfego da rede em tempo real.

Esses gateways atuam como pontos de verificação de segurança dedicados, analisando continuamente os fluxos de mensagens em busca de atividades anormais ou não autorizadas.

Se um comportamento malicioso for detectado, o segmento afetado é imediatamente isolado, garantindo que funcionalidades críticas permaneçam protegidas.

Esse método não apenas previne a escalada de ameaças cibernéticas, mas também facilita uma resposta e recuperação rápidas, mantendo a segurança e a integridade operacional dos sistemas automotivos.

4. Inicialização Segura e Verificação de Integridade de Firmware

Garantir a integridade e autenticidade do firmware é fundamental para proteger a Rede de Área de Controle (CAN) contra potenciais ameaças cibernéticas.

Dois mecanismos críticos empregados para alcançar isso são a Inicialização Segura e a Verificação de Integridade de Firmware. Esses processos trabalham em conjunto para prevenir a execução de código não autorizado e manter a confiabilidade dos sistemas dentro do veículo.

Inicialização Segura: Estabelecendo uma Cadeia de Confiança

A Inicialização Segura é um protocolo de segurança que garante que o sistema embarcado de um veículo inicie usando apenas software que é verificado e confiável.

Estabelece uma Cadeia de Confiança (CoT), começando a partir de uma Raiz de Confiança (RoT) imutável embutida no hardware, que verifica cada camada subsequente de software antes da execução.

Esse processo impede o carregamento de código malicioso ou adulterado durante a sequência de inicialização. 

A implementação da Inicialização Segura envolve:

2. Raiz de Confiança (RoT): Um componente imutável, frequentemente armazenado em Memória Somente de Leitura (ROM), contendo o código inicial e chaves criptográficas necessárias para o primeiro passo de verificação. 

3. Verificação do Bootloader: A RoT verifica a assinatura digital do bootloader usando criptografia assimétrica (por exemplo, RSA ou ECC). Se a assinatura for válida, o bootloader é executado; caso contrário, o processo de inicialização é interrompido. 

4. Verificação do Sistema Operacional e Aplicações: O bootloader, agora confiável, verifica o sistema operacional e as aplicações de maneira semelhante, garantindo que cada componente seja autenticado antes da execução. 

Esse processo de verificação em camadas garante que apenas software autenticado seja carregado, protegendo a rede CAN contra potenciais ameaças cibernéticas.

Verificação de Integridade de Firmware: Garantindo Confiança Contínua

Além do processo de inicialização inicial, a Verificação de Integridade de Firmware monitora continuamente a integridade do firmware durante a execução. Isso envolve:

• Hashing Criptográfico: Gerar um hash do código do firmware e compará-lo a um valor conhecido como bom. Qualquer discrepância indica potencial adulteração. 

• Assinaturas Digitais: Utilizar assinaturas digitais para verificar que as atualizações de firmware se originam de fontes confiáveis e não foram alteradas durante a transmissão. 

Essas medidas garantem que quaisquer modificações não autorizadas no firmware sejam detectadas prontamente, mantendo a segurança da rede CAN. 

Implementação em Sistemas Automotivos

Implementar a Inicialização Segura e a Verificação de Integridade de Firmware em veículos envolve integrar esses mecanismos nas Unidades de Controle Eletrônico (ECUs) que gerenciam várias funções dentro do veículo. Essa integração requer:

• Suporte de Hardware: As ECUs devem estar equipadas com módulos de segurança de hardware capazes de realizar operações criptográficas necessárias para a Inicialização Segura e verificações de integridade. 

• Arquitetura de Software: O software deve ser projetado para suportar sequências de inicialização seguras e verificação de integridade em tempo de execução sem comprometer o desempenho. 

Um estudo sobre o processador de rede de veículos S32G274A demonstrou a integração prática de mecanismos de inicialização segura pós-quântica, destacando a viabilidade e a importância dessas medidas de segurança em sistemas automotivos modernos. 

Conclusão: O Caminho à Frente para a Cibersegurança Automotiva

A rápida evolução dos veículos conectados trouxe conveniência sem precedentes, mas também expôs vulnerabilidades críticas na arquitetura do barramento CAN.

À medida que as ameaças cibernéticas continuam a crescer em sofisticação, proteger as redes automotivas não é mais opcional, é imperativo.

A pesquisa e os ataques do mundo real destacados neste artigo demonstram a necessidade urgente de uma estratégia de defesa proativa e em múltiplas camadas.

Ao integrar detecção de anomalias impulsionada por IA, autenticação criptográfica, gateways seguros e conformidade regulatória, os fabricantes de automóveis podem fortalecer a segurança do barramento CAN contra ameaças cibernéticas emergentes.

À medida que a tecnologia avança, a indústria também deve investir em soluções voltadas para o futuro, como criptografia pós-quântica, segurança baseada em blockchain e redes autorrecuperáveis para se manter à frente dos vetores de ataque em evolução.

O futuro da cibersegurança automotiva depende de um esforço colaborativo entre fabricantes, formuladores de políticas e especialistas em cibersegurança.

Somente através da inovação contínua e vigilância podemos garantir que os veículos do amanhã permaneçam seguros, resilientes e confiáveis.

Nesta batalha cibernética de alto risco, proteger o barramento CAN não é apenas sobre proteger dados, é sobre salvaguardar vidas nas estradas.

Referências

2. Miller, C., & Valasek, C. (2015). “Exploração Remota de um Veículo de Passageiros Não Alterado.”

3. Petit, J., & Shladover, S. E. (2014). “Potenciais Ciberataques em Veículos Automatizados.”

4. Koscher, K., Czeskis, A., Roesner, F., et al. (2010). “Análise de Segurança Experimental de um Automóvel Moderno.”

5. Woo, S., & Kim, J. (2015). “Um Código de Autenticação de Mensagem Prático para a Segurança do Barramento CAN.”

6. Choi, W., Woo, S., & Kim, Y. (2018). “Ataques de Negação de Serviço em Redes CAN.”

7. Dorri, A., Kanhere, S. S., Jurdak, R., & Gauravaram, P. (2017). “Blockchain para Segurança e Privacidade em IoT.”

8. Thiruloga, S., Kukkala, V. K., & Pasricha, S. (2021). “Detecção de Anomalias Baseada em IA em Redes Automotivas.”

9. Zhou, Aiguo & Li, Zhenyu & Shen, Yong. (2019). Detecção de Anomalias de Mensagens do Barramento CAN Usando uma Rede Neural Profunda para Veículos Autônomos.

10. Zhang, et al. (2021). “Método de Autenticação Combinando HMAC-SHA256 com Algoritmo de Criptografia Tiny para Segurança do Barramento CAN.” SAE International.

11. Siddiqui, et al. (2017). “Comunicação Segura sobre o Barramento CAN: Uma Estrutura de Autenticação Mútua Baseada em PUF.” ResearchGate.

Fontes de Imagem

• Fonte da Imagem 1: Emad Aliwa, Omer Rana, Charith Perera e Peter Burnap. 2021. Ciberataques e Contramedidas para Redes Dentro do Veículo. ACM Comput. Surv. 54, 1, Artigo 21 (Janeiro de 2022), 37 páginas. https://doi.org/10.1145/3431233

• Fonte da Imagem 2: Zhou, & Li, & Shen,. (2019). Detecção de Anomalias de Mensagens do Barramento CAN Usando uma Rede Neural Profunda para Veículos Autônomos. Ciências Aplicadas. 9. 3174. 10.3390/app9153174.

• Fonte da Imagem 3: Artigo de pesquisa da embeddedcomputing ” Inicialização Segura: Uma Característica de Segurança Integral para Armazenamento de Código, Sistemas Operacionais e Armazenamento de Dados” Link: https://embeddedcomputing.com/technology/storage/secure-boot-an-integral-security-feature-for-code-storage-operating-systems-and-data-storage

Esta história foi publicada originalmente em 21 de maio de 2024.