A Zero Day Initiative (ZDI) sediará um novo Automotive Pwn2Own na Automotive World Conference em Tóquio, de 24 a 26 de janeiro de 2024.
Algo novo era inevitável. Se não for tocado, qualquer coisa acabará ficando obsoleta; e prevenir é sempre mais fácil do que remediar. O setor automotivo também é provavelmente inevitável. A Trend Micro possui a ZDI e opera as competições Pwn2Own. Também adquiriu a VicOne, especialista em segurança cibernética automotiva, em 2018, permitindo à Trend expandir suas próprias ofertas de segurança cibernética automotiva.
Existem outras razões que fazem Automotivo Pwn2Own uma escolha atraente. Semana de Segurança conversou com Dustin Childs, chefe de conscientização sobre ameaças da ZDI.
Childs traça a inspiração até o Pwn2Own 2019 em Vancouver. Tesla trouxe um Modelo 3 para o hotel e permitiu que os concorrentes tentassem hackeá-lo. “Um carro não é mais apenas um carro”, disse Childs; “é um sistema de sistemas.” Uma parte importante disto é o sistema de infoentretenimento, que traz o mundo exterior – nomeadamente a Internet – para o coração do veículo.
“Você não pensaria que pode acertar a transmissão no mesmo lugar que usa para procurar gasolina barata – mas você pode.” Assim, o interesse da ZDI cresceu. “Queremos compreender toda a superfície de ataque do veículo moderno. Eles estão se tornando cada vez mais autônomos e cada vez mais difundidos, com novos recursos conectados sendo continuamente adicionados pelos fabricantes.”
Vários sistemas de software amplamente utilizados por consumidores e empresas são o tema perfeito para Pwn2Own. Childs admitiu que gostaria de fazer um Pwn2Own em equipamentos de saúde, mas a logística não funciona. “Para o setor automotivo, posso colocar uma unidade principal Alpine em um concurso e garantir que pesquisadores de todo o mundo tenham acesso a uma unidade principal Alpine – ou unidades principais da Sony, ou um carregador Charge Point EV. Não posso colocar robôs médicos nas mãos de pesquisadores de segurança para que eles levem meses para analisar e realmente fazer alguma coisa. Até que eu consiga descobrir uma maneira de enviar robôs cirúrgicos para o Senegal, o Vietnã e a França, isso terá que esperar.”
Enviar um carro completo aos concorrentes é obviamente demais. “Mas se você for um hacker testado e disser e nós acreditarmos que você tem algumas coisas boas para atacar um carregador de EV, nós obteremos e enviaremos um carregador de EV para você. Confiamos que você eventualmente o enviará de volta, mesmo que não confiemos no carregador quando você fizer isso.” Com base neste argumento, talvez pudéssemos ver um Connected Home Pwn2Own antes de vermos um Healthcare Pwn2Own.
O Pwn2Own automotivo é caro. Os custos são em grande parte financiados pela Trend Micro. “Nós abordamos alguns fornecedores para serem co-patrocinadores e investirmos um pouco de dinheiro”, disse ele. “A Tesla é co-patrocinadora deste evento. Abordamos alguns outros para serem co-patrocinadores, mas eles recusaram. Charge Point está fornecendo parte do hardware gratuitamente para nós, o que é muito bom. Mas é basicamente todo o nosso dinheiro. Então, sim, é caro, mas nós gostamos.”
Ele cita duas vantagens específicas decorrentes do programa Pwn2Own: sua eficácia como forma de atividade de recompensa por bugs; e sua influência na proteção da pesquisa independente. No primeiro, “Quando você olha para fornecedores independentes [bug bounty] programas em geral, estamos comprando e relatando mais bugs do que qualquer outra pessoa no setor. E responsabilizamos o fornecedor. Recompensas de bugs específicas do fornecedor não significam que o fornecedor esteja corrigindo os bugs. As plataformas de recompensas de bugs também são muito cautelosas com a quantidade de bugs que realmente compram. Eles são muito importantes em quanto dinheiro seus clientes gastaram, mas não tanto em quantos bugs compraram.”
Para proteger a atividade dos pesquisadores de chapéu branco, Childs comenta sobre a redução da resistência dos fornecedores. “A ZDI está em operação desde 2005”, disse ele. Nos primeiros dias, ele recebia ameaças legais ao relatar bugs. “Hoje em dia, ainda ocorre, mas com muito menos frequência, provavelmente duas ou três vezes por ano. E neste ponto, isso nos faz rir, porque já fazemos isso há muito tempo. Conhecemos as leis melhor do que eles e ajudamos a influenciar algumas delas.”
As Big Tech estabelecidas – os Googles, Microsofts e Apples do mundo – entendem o valor dos pesquisadores que lhes relatam bugs. “A comunidade automotiva ainda precisa aprender isso e esta é a ponte que realmente esperamos construir”, disse Childs. “Obviamente, queremos ver alguns hacks muito legais. Achamos que provavelmente teremos mais de 10, mas menos de 20 exploits no show. Veremos se isso se concretizará. Mas o que realmente pretendemos fazer é mostrar à comunidade automóvel que existem pessoas por aí que são capazes de analisar os seus problemas, encontrar problemas e ajudar a resolvê-los, em vez de os explorar para seu próprio ganho pessoal.”
Para a Automotive Pwn2Own, ele resume: “Há muita pesquisa de segurança em veículos, mas a maior parte dela é feita a portas fechadas e não é realmente comentada. Queremos trazer essa pesquisa à luz e realmente conectar a comunidade de pesquisa em segurança com a comunidade automotiva. Neste momento, a comunidade automóvel não está a tirar partido do que consideramos ser um grande recurso, que é a comunidade independente de investigadores de segurança em todo o mundo. Deixe os pesquisadores encontrarem os bugs e reportá-los, e então os fabricantes poderão corrigi-los antes que sejam explorados. É isso que tentamos fazer e o Pwn2Own é uma maneira de fazermos essas conexões.”
Os argumentos, claro, aplicam-se a todas as competições Pwn2Own – mas aqui, talvez pela primeira vez, estão focados no carro conectado.