Black Hat USA 2025: “evilDoggie”, o dispositivo argentino que testa a segurança dos carros modernos
Dois hackers argentinos apresentaram o "evilDoggie", um dispositivo para testar a segurança de sistemas de computadores usados em carros, na quinta-feira, no segundo dia do Black Hat , uma das maiores conferências de segurança cibernética do mundo. Octavio Gianatempo e Gastón Aznarez, da Faraday Security, demonstraram como identificar falhas de segurança em algumas marcas de carros usando essa ferramenta.
O nome da ferramenta é um trocadilho com o protocolo " CAN " (abreviação de Controller Area Network), que é um padrão de comunicação interna usado por carros modernos para permitir que vários computadores internos (como os que controlam o motor ou os freios) se comuniquem entre si.
Durante a apresentação no "Arsenal" da conferência, um espaço onde programas e diversos hardwares são exibidos, os pesquisadores demonstraram como usar a ferramenta, que inclui até mesmo um switch para alternar entre a versão de monitoramento (Doggie) e a versão "malvada", usada para atacar esse protocolo. Eles também realizaram um workshop para que os participantes pudessem aprender a usá-la.
A pesquisa se enquadra no escopo de "hacking automotivo", uma das áreas mais populares em conferências sobre segurança cibernética. "O hacking automotivo se concentra no conhecimento existente sobre segurança cibernética, mas o aplica às redes usadas por carros. Nos últimos anos, os veículos se tornaram 'mais inteligentes' e coexistem com sistemas eletrônicos. Parafraseando Elon Musk, eles são 'computadores sobre rodas'", explicou a Faraday Security a este veículo.
"Todas essas redes são proprietárias; elas não foram projetadas com foco na transparência. É aí que entra o papel dos especialistas em segurança: entender como essas tecnologias funcionam e quais riscos elas representam ", acrescentaram.
A mudança "bom/mau" para entrar no modo de ataque. Foto: Juan Brodersen
A pesquisa da empresa começou como uma exploração da segurança automotiva . "Quando iniciamos nossa pesquisa, percebemos que precisaríamos de uma ferramenta para se comunicar com os computadores do carro. Mas descobrimos que não havia uma boa opção aberta disponível na Argentina. Gastón teve a ideia de desenvolver essa ferramenta com um design modular para seu firmware e hardware, para que qualquer pessoa pudesse construir a sua própria com os componentes que tivesse à mão e até mesmo desenvolver outras versões", disse Octavio Gianatiempo, pesquisador da empresa, ao Clarín .
Gastón Aznarez explica como o projeto migrou para a segurança ofensiva , um ramo da segurança cibernética dedicado a atacar sistemas para encontrar vulnerabilidades e, eventualmente, corrigi-las. "Essa primeira ferramenta foi o Doggie, mas a ideia cresceu e adicionamos capacidades ofensivas, dando origem ao evilDoggie, focado em pesquisas com a possibilidade de realizar ataques avançados às comunicações CAN, tanto no nível do protocolo quanto no físico, interferindo no circuito em nível elétrico", explica.
"Recursos Doggie e ataques evilDoggie podem ser usados para interromper a comunicação entre as ECUs [unidades de controle eletrônico] de um carro e criar condições inesperadas. Hoje, os carros têm vários computadores, e quase todas as suas funções são controladas por eles via comunicação CAN. Embora os carros modernos estejam incorporando medidas de segurança a essa comunicação, há casos conhecidos em que esse tipo de ataque pode ter um impacto real ", acrescentou o hacker.
O “evilDoggie” não é o primeiro dispositivo capaz de testar a segurança de um carro. Aliás, o “Flipper Zero ”, conhecido como o “Canivete Suíço do hacking”, já apareceu em vários vídeos virais mostrando como abrir a porta de um carro sem chave. Isso ocorre porque o dispositivo opera com protocolos sem fio, que são diferentes daqueles visados pelo evilDoggie.
"A comunicação entre as partes do carro, por exemplo, entre o motor e as rodas, é feita por cabos. Portanto, para usar o evilDoggie, você precisa primeiro ter acesso ao carro: o objetivo é ver, uma vez dentro do carro, quão seguro esse protocolo é e como ele pode ser aprimorado ", diz Faraday.
Octavio Gianatiempo e Gastón Aznarez, pesquisadores da Faraday Security, da Black Hat. Foto: Juan Brodersen
O que este desenvolvimento argentino oferece é uma versão de código aberto (todo o processo de construção e programação está disponível para consulta) e o baixo nível em que opera, ou seja, interagindo diretamente com o hardware do carro ou com os protocolos de comunicação. Em vez de usar programas ou interfaces pré-projetados, o evilDoggie permite acesso a camadas mais próximas dos chips embarcados em carros modernos, como este protocolo CAN.
“A segurança cibernética não se limita a computadores e servidores, mas também à tecnologia que usamos todos os dias: os carros não são exceção ”, explicou a empresa.
O Clarín perguntou sobre os modelos de carros que foram atacados durante os testes, mas Faraday se recusou a fornecer detalhes.
A exposição no Arsenal despertou o interesse de mais de um visitante que queria comprar a ferramenta.
Diego Staino e Federico Pacheco, da BASE4, na apresentação da BUDA. Foto: Juan Brodersen
Também no Arsenal, Federico Pacheco e Diego Staino, pesquisadores da empresa argentina BASE4, apresentaram uma ferramenta dentro da área do que é conhecido como "Cyber deception", que são armadilhas virtuais que os analistas deixam nas redes para enganar hackers que querem entrar em um sistema e extrair informações dele.
Estratégias de dissimulação são comuns na análise de ameaças. É uma área bastante explorada em segurança ofensiva. Na edição de 2024 da Ekoparty, a pesquisadora local Sheila Berta demonstrou como um tipo específico de sistema chamado " honeypot " foi usado em sistemas públicos.
"O problema com as armadilhas tradicionais do tipo honeypot é que invasores mais sofisticados às vezes podem detectá-las porque parecem muito limpas ou vazias , ou porque não têm atividade. BUDA é uma ferramenta que torna essas armadilhas muito mais confiáveis", disse Pacheco a este canal. BUDA significa Estrutura de Atividades Enganosas Comportamentais Orientadas pelo Usuário.
"Para isso, ele gera 'perfis de usuário' fictícios com base no comportamento normal da rede e dos próprios sistemas. Esses perfis então realizam ações que um funcionário normal faria, como acessar um sistema , abrir documentos, enviar e-mails ou navegar na web", continua o especialista.
Durante a palestra no Arsenal, os pesquisadores enfatizaram a importância de criar uma “narrativa” coerente para enganos, para que os invasores não percebam que estão lidando com um honeypot .
“A ferramenta permite que perfis sejam orquestrados para que atuem de forma autônoma, seguindo padrões típicos de comportamento. Ao simular esses comportamentos, a armadilha se torna muito mais realista, e os invasores têm mais motivos para acreditar que estão lidando com um sistema com usuários legítimos, o que desperdiça mais tempo e dificulta a distinção entre o real e o falso ”, acrescentou Diego Staino.
"Além disso, como usuários fictícios podem atuar em sistemas e ativos reais ou falsos, a ferramenta permite que o comportamento simulado se assemelhe ao de um invasor ou agente malicioso, permitindo assim que medidas de defesa da rede e do sistema sejam testadas", conclui o especialista.
O trabalho foi apresentado esta semana em um white paper, antes do escrutínio acadêmico, na Conferência Argentina sobre Informática em Pesquisa Operacional.
Sebastián García e Verónica Valeros, pesquisadores argentinos de segurança cibernética da Universidade Técnica Tcheca de Praga (CTU)
Outra área importante do Black Hat são os treinamentos, que começam vários dias antes das palestras e conferências. Eles não são abertos ao público em geral, mas funcionam como aulas intensivas para diversos especialistas e profissionais da indústria.
Um deles foi ministrado por Sebastián García e Verónica Valeros, pesquisadores argentinos da Universidade Técnica Tcheca de Praga (CTU), "um programa de treinamento avançado para aprender a detectar tráfego de malware (vírus) e diferenciá-lo do tráfego legítimo em situações críticas", explicaram.
Foram dois dias muito práticos e intensos, com ataques reais. Muitos exercícios focaram em aprender sobre malware oculto, botnets, spyware, como trabalhar com grandes volumes de dados e como usar inteligência artificial para aprimorar a detecção de ameaças, acrescentaram.
Nicole Perlroth na Black Hat USA 2025. Foto: Black Hat
A Black Hat é uma das conferências de segurança cibernética mais influentes do mundo. Foi fundada em 1997 por Jeff Moss, conhecido no mundo do hacking como "The Dark Tangent". Embora a conferência principal seja realizada nos Estados Unidos, ela também conta com edições na Ásia e na Europa.
Na abertura da edição de 2025, Moss fez um discurso político, e Mikko Hypponen, renomado hacker finlandês , anunciou sua aposentadoria da indústria de hackers. No segundo dia, a ex-jornalista do New York Times Nicole Perlroth pediu reflexão sobre os desafios impostos pela inteligência artificial no cenário de ameaças.
" Estamos saindo de uma lua de mel com a IA. Estamos alcançando níveis incríveis de eficiência. E acredito que, nessa questão de se a IA favorecerá a defesa ou o ataque, os primeiros indícios sugerem que o ataque terá vantagem. Mas ainda podemos mudar isso. Temos uma janela estreita, mas ela está se fechando muito rápido, e assim que a IA for incorporada à nossa infraestrutura, à nossa tomada de decisões e à nossa defesa, o custo do fracasso só se multiplicará . Segurança desde o início nunca foi tão urgente ", disse Perlroth.
A convenção reúne especialistas do mundo todo para discutir vulnerabilidades, ameaças globais, técnicas de defesa e descobertas inovadoras em segurança cibernética. Diferentemente da DEF CON, fundada em 1993 e com um espírito mais informal, a Black Hat é voltada para o mundo corporativo.
A conferência serve como uma vitrine para o mundo da segurança cibernética, mas também como um laboratório para o cenário atual de ameaças.
Clarin
