Quem desejar saber o quão bem protegido o seu sistema conectado está contra ataques cibernéticos, deve-se colocar no lugar do agressor. Isso se aplica especialmente para o automóvel conectado e suas diversas interfaces. Por isso, os especialistas em segurança da T-Systems realizam, mediante solicitação do cliente, ataques com testes de intrusão a componentes do Connected Car.
Ao realizar um ataque a um carro conectado, o objetivo de um hacker é tão versátil quando seus métodos. Comprometer o sistema, roubar informações confiáveis ou prejudicar a disponibilidade de serviços são apenas alguns exemplos. Ao se colocar no papel dos agressores e assumindo a sua forma de pensar, os especialistas em segurança cibernética conseguem identificar falhas técnicas, verificar o sistema e, por fim, determinar contramedidas direcionadas.
Com os testes de intrusão, os especialistas da T-Systems verificam os componentes de hardware, as interfaces, as aplicações e redes referentes ao veículo interligado.
Testes minuciosos com base em hardware e software como o ataque de glitching, ataques a interfaces de depuração, bem como ataques de canal lateral, manipulação de PCB e desvio de bloqueio JTAP, ataques a funções individuais de um ECU, por exemplo, atualizações de software OTA, ativação de recurso ou diagnóstico, Feature Activation ou Diagnose, Privilege Escalation, Hardening, Service Detection, liberação segura de serviços pagos aplicativos/serviços In-Car (p. ex., serviços de navegação)
Análise das falhas gerais, verificação da conexão com a unidade principal, dispositivos de controle, backend e serviços de terceiros, testes de aplicações de veículos particulares com funções de conforto como o abridor de portas e sistema de ar condicionado (iOS e Android)
Análise das conexões de rádio da unidade principal e dos dispositivos de controle, ataques ao CAN-Bus (cenários man in the middle) e outras tecnologias de comunicação de integração (SOME/IP, BroadR-Reach), dispositivos de controle de rede de bordo (fuzzing da comunicação UDS), interfaces de mídia (UBS, Ethernet, WLAN), funções de multimídia (p. ex., ataques por meio de arquivos mp3 manipulados), outras conexões como rádio móvel, NFC, Bluetooth, V2X, cartão SD
Testes automatizados, ataques manuais a procedimentos de autenticação e detecção de novas falhas de software em sistemas de TI, análise de código-fonte (C, C++, Autosar, Java, iOS, Android), conceitos criptográficos e implementação em falhas
Os pentesters da T-Systems dirigem sempre acompanhados. Praticamente todos os testes de vulnerabilidade automatizados detectam as falhas para os ataques já conhecidos aos sistemas de TI. No entanto, caso sejam identificadas lacunas de segurança desconhecidas até o momento, principalmente lacunas automotivas específicas, tornam-se necessários os testes de intrusão. Esses testes flexíveis e sistemáticos, com métodos e ferramentas de ataque realistas, devem detectar as falhas antes que possam ser utilizadas.
O procedimento é orientado pelos modelos de procedimento estabelecidos para a implementação de testes de intrusão.
O teste de infraestrutura crítica faz parte de uma estratégia de segurança abrangente de TI. Como prestadora de serviços de ICT, a T-Systems dispõe de conhecimento especializado e da independência necessária para analisar o estado de segurança dos seus sistemas e aplicações de forma crítica. Junto com você, nós definimos, antecipadamente, o ambiente concreto e o tipo de testes com base nos seus objetivos de negócio e nos requisitos de segurança. Como resultado dos testes de intrusão, a T-Systems elabora um relatório conclusivo detalhado, que lista e prioriza todas as lacunas de segurança identificadas e que contém recomendações para resoluções.
Teste de intrusão automotiva em uma única fonte:
Econômico
Confiável
Seguro
Progressista
