Holograma de um automóvel futurista em uma oficina.

Automotive Penetration Testing

Os especialistas em segurança examinam, de forma orientada, hardware, software e redes de TI com relação ao veículo interligado

Ataque cibernético mediante solicitação do cliente

Quem desejar saber o quão bem protegido o seu sistema conectado está contra ataques cibernéticos, deve-se colocar no lugar do agressor. Isso se aplica especialmente para o automóvel conectado e suas diversas interfaces. Por isso, os especialistas em segurança da T-Systems realizam, mediante solicitação do cliente, ataques com testes de intrusão a componentes do Connected Car.

Identificar e verificar falhas técnicas

Computação gráfica de um carro visto de cima

Ao realizar um ataque a um carro conectado, o objetivo de um hacker é tão versátil quando seus métodos. Comprometer o sistema, roubar informações confiáveis ou prejudicar a disponibilidade de serviços são apenas alguns exemplos. Ao se colocar no papel dos agressores e assumindo a sua forma de pensar, os especialistas em segurança cibernética conseguem identificar falhas técnicas, verificar o sistema e, por fim, determinar contramedidas direcionadas. 

Hardware, software, infraestrutura

Com os testes de intrusão, os especialistas da T-Systems verificam os componentes de hardware, as interfaces, as aplicações e redes referentes ao veículo interligado.

 Dispositivos de controle

Testes minuciosos com base em hardware e software como o ataque de glitching, ataques a interfaces de depuração, bem como ataques de canal lateral, manipulação de PCB e desvio de bloqueio JTAP, ataques a funções individuais de um ECU, por exemplo, atualizações de software OTA, ativação de recurso ou diagnóstico, Feature Activation ou Diagnose, Privilege Escalation, Hardening, Service Detection, liberação segura de serviços pagos aplicativos/serviços In-Car (p. ex., serviços de navegação)

Aplicações móveis

Análise das falhas gerais, verificação da conexão com a unidade principal, dispositivos de controle, backend e serviços de terceiros, testes de aplicações de veículos particulares com funções de conforto como o abridor de portas e sistema de ar condicionado (iOS e Android)
 

Interface e infraestrutura

Análise das conexões de rádio da unidade principal e dos dispositivos de controle, ataques ao CAN-Bus (cenários man in the middle) e outras tecnologias de comunicação de integração (SOME/IP, BroadR-Reach), dispositivos de controle de rede de bordo (fuzzing da comunicação UDS), interfaces de mídia (UBS, Ethernet, WLAN), funções de multimídia (p. ex., ataques por meio de arquivos mp3 manipulados), outras conexões como rádio móvel, NFC, Bluetooth, V2X, cartão SD

Backend e aplicações da web

Testes automatizados, ataques manuais a procedimentos de autenticação e detecção de novas falhas de software em sistemas de TI, análise de código-fonte (C, C++, Autosar, Java, iOS, Android), conceitos criptográficos e implementação em falhas
 

Procedimento de teste automático e manual

Placa do chip de cima

Os pentesters da T-Systems dirigem sempre acompanhados. Praticamente todos os testes de vulnerabilidade automatizados detectam as falhas para os ataques já conhecidos aos sistemas de TI. No entanto, caso sejam identificadas lacunas de segurança desconhecidas até o momento, principalmente lacunas automotivas específicas, tornam-se necessários os testes de intrusão. Esses testes flexíveis e sistemáticos, com métodos e ferramentas de ataque realistas, devem detectar as falhas antes que possam ser utilizadas.

Estamos prontos para o seu projeto!

A T-Systems conta com os especialistas certos para te ajudar a responder às suas perguntas sobre planejamento, implementação e operação de soluções de segurança para veículos conectados.

Os procedimentos no Pentest

O procedimento é orientado pelos modelos de procedimento estabelecidos para a implementação de testes de intrusão.

Preparação

  • Definir objetivos, abrangência e procedimentos
  • Definir o ambiente e as condições de teste
  • Considerar os aspectos jurídicos e organizacionais
  • Determinar os riscos e as medidas de emergência necessárias

Coleta de informações

  • Definir e pesquisar as informações necessárias
  • Determinar a visão geral sobre os sistemas e aplicações
  • Definir possíveis pontos de ataque e falhas de segurança conhecidas

Avaliação e análise de risco

  • Analisar e avaliar informações coletadas
  • Definir os objetos de teste e objetivos de ataque
  • Selecionar métodos de teste relevantes
  • Elaborar casos de teste

Tentativas de intrusão ativas

  • Implementar tentativas de intrusão ativas em sistemas selecionados
  • Verificar falhas potenciais
  • Selecionar e realizar outros módulos de teste

Conclusão

  • Avaliar resultados
  • Apresentar riscos e definir medidas
  • Recomendar decisões para aplicação
  • Elaborar documentação conclusiva

Automotive Pentesting com a T-Systems

Pode-se observar bem de perto textos de dados em uma tela transparente.

O teste de infraestrutura crítica faz parte de uma estratégia de segurança abrangente de TI. Como prestadora de serviços de ICT, a T-Systems dispõe de conhecimento especializado e da independência necessária para analisar o estado de segurança dos seus sistemas e aplicações de forma crítica. Junto com você, nós definimos, antecipadamente, o ambiente concreto e o tipo de testes com base nos seus objetivos de negócio e nos requisitos de segurança. Como resultado dos testes de intrusão, a T-Systems elabora um relatório conclusivo detalhado, que lista e prioriza todas as lacunas de segurança identificadas e que contém recomendações para resoluções.

Resumo das vantagens

Teste de intrusão automotiva em uma única fonte:

Econômico

  • Evite falhas antes que ocorram
  • Procedimento eficiente de redução de custos graças a recomendações concretas 

Confiável

  • Especialistas de todas as áreas tecnológicas disponíveis
  • Perspectiva independente e neutra como prestador de serviço de ICT externo 

Seguro

  • Verificação dos padrões e normas
  • Verificações intensivas adaptadas individualmente com testes de intrusão

Progressista

  • Resultados de teste como base e orientação para medidas de segurança futuras
  • Preparado para ameaças atuais e novas
Do you visit t-systems.com outside of Brazil? Visit the local website for more information and offers for your country.