Le auto nelle mani degli hackers? Risponde l’esperto di sicurezza informatica

(getty images)
(getty images)

La notizia della Jeep Cherokee “hackerata” ha suscitato un vero e proprio polverone. E comprensibilmente, date le gravi ripercussioni del fenomeno sul fronte della sicurezza. Nel caso in questione, la FCA ha assicurato di aver prontamente risolto il “bug” e smentito nel modo più assoluto la presenza di rischi per gli automobilisti. Ma c’è chi continua a puntare il dito sulla fragilità dei sistemi di infotainment che sempre più spesso accompagnano i nostri spostamenti.

Gli Stati Uniti sono sicuramente il paese più esposto da questo punto di vista. Qui circolano circa 250 milioni di mezzi, molti dei quali dotati di un sistema di infotainment che può essere ‘bucato’ dall’esterno. Ecco perché martedì scorso due Senatori Democratici, Richard Blumenthal e Ed Markey, hanno presentato un disegno di legge per richiedere standard di sicurezza federali da applicare ai dispositivi informatici presenti sia nelle autovetture che nei camion.

In questo modo la National Highway Traffic Safety Administration e la Federal Trade Commission potranno adottare gli standard previsti da quello che è stato chiamato Security and Privacy in Your Car Act, oppure, più semplicemente, SPY Act. L’idea è anche quella di istitutire un sistema di rating che informi i consumatori del livello di protezione che ogni auto è in grado di garantire.

Ma il fenomeno non riguarda solo i mezzi a quattro ruote. Basti ricordare che appena qualche settimana fa un esperto di cybersicurezza, Chris Roberts, ha detto all’Fbi di avere ripetutamente hackerato i computer di aerei passeggeri di avere preso il controllo del motore di un velivolo. Arrestato al suo arrivo a Syracuse dopo che in alcuni tweet parlava di un possibile hackeraggio del volo sul quale viaggiava.

E lo scorso aprile un rapporto degli investigatori del Government Accountability Office, un’agenzia del governo federale americano, spiegava che centinaia di aerei di linea in tutto il mondo – specialmente quelli di ultima generazione – sono a rischio hacker, perché i loro computer possono essere violati o messi fuori uso attraverso la rete wi-fi riservata ai passeggeri. Insomma, i precedenti non lasciano ben sperare…

Noi di Tuttomotoriweb abbiamo chiesto al dottor Vincenzo Iovino, PhD, Ricercatore in crittografia e sicurezza dell’informazione presso l’Universita del Lussemburgo, di aiutarci a far luce su un fenomeno così complesso e controverso per chi non conosce bene la materia, ma anche estremamente interessante per chi ha il “pallino” dei motori. Ecco cosa ci ha risposto nel corso di un’intervista eclusiva.

 

 

1. Esistono rischi concreti per gli automobilisti italiani? Quali sono e come difendersi?
Alcune delle automobili moderne sono equipaggiate con delle unità elettroniche (in gergo tecnico ECU) che controllano differenti caratteristiche dell’autovettura.Queste ECU sono responsabili del controllo di moduli sensibili quali la frenata o semplicemente l’illuminazione interna. Queste ECU hanno bisogno di comunicare l’una con l’altra per lo scambio di dati utili ad offrire al conducente informazioni ausiliari o persino per prendere decisioni pertinenti la guida.

Altre ECU hanno bisogno di comunicare con l’esterno e queste pongono il maggiore rischio alla sicurezza dei passeggeri.Come attacchi recenti hanno dimostrato, è possibile inviare segnali a queste ECU per iniettare nel sistema un codice malevolo capace di mettere a repentaglio unità critiche come lo sterzo o il freno. Tuttavia la maggior parte di attacchi diretti a sistemi critici necessitano di compromettere fisicamente l’autovettura. In un certo senso questi attacchi non devono destare più preoccupazione di quella che, lasciando la nostra auto in un parcheggio pubblico, qualcheduno ne saboti il motore. In ogni caso, la presenza sempre più massiccia di queste ECU pone sempre maggiori rischi, non solo alla sicurezza fisica, che non debbono essere sottovalutati.

2. Che tipo di accortezze è possibile adottare contro questi hacker prima di compiere un viaggio all’estero?

Prima di tutto le stesse che per le auto della vecchia generazione, ossia manutenzione regolare presso un centro di assistenza fidato, e ricordarsi di non abbandonare il veicolo in aree di sosta isolate o non ben sorvegliate.

Se la propria vettura è dotata di sistemi elettronici dell’ultima generazione per cui sono conosciuti attacchi sensibili, sarebbe opportuno non connetterla a internet, nel caso che il veicolo offra questa opzione.

Disabilitare anche servizi quali il Bluetooth può essere altresì una saggia precauzione. Per esempio, dei ricercatori sono stati in grado di sabotare completamente a distanza (quindi senza accesso fisico al veicolo) il sistema bluetooth di un veicolo per ottenere accesso al suo microfono interno, avendo così la possibilità di ascoltare le conversazioni in atto nell’abitacolo.

 

3. Esiste un sistema di infotainment che sia in assoluto a prova di hacking?

Questo e’ difficile da dire. Sempre nuovi attacchi sono scoperti ma d’altra parte le case produttrici sono  attente a rilasciare aggiornamenti o modelli più sicuri per le vetture nel proprio catalogo.

Se può essere utile riporto che un articolo recente co-autorato da Miller e Valasek, due dei maggiori hacker del campo, riportava tra le vetture piu’ ‘hackerabili’ la Jeep Cherokee, la Cadillac Escalade e la Infiniti Q50, e tra le meno hackerabili la Dodge Viper, la Audi A8 e la Honda Accord.

 

4. Per quale motivo si creano queste “falle” che consentono agli hacker di colpire i loro bersagli? A che punto è la ricerca in Italia da questo punto di vista?

Come spiegato sopra queste ECU si trovano in componenti diversi, come la cintura di sicurezza o l’airbag, etc., e quindi hanno bisogno di comunicare wireless.

Le automobili di una volta forse non offrivano un elevato comfort o erano così tanto accessoriate, ma in compenso erano meno soggette a questo genere di attacchi.

 

5. I viaggi in aereo possono ancora essere considerati più sicuri? Negli ultimi tempi si è parlato di possibili “dirottamenti” a distanza da parte degli hacker…

Non penso sia il caso di creare allarmismi. Certamente gli attacchi ai sistemi automotivi riguardano anche gli aerei ma in misura molto minore. Ho letto la notizia che  un ricercatore in sicurezza, Chris Robert, sia stato capace di inserirsi nella rete wifi e di sabotarlo ma non si conoscono informazioni a riguardo, e infatti si sospetta che sia stato  uno scherzo messo in atto dallo stesso autore con un tweet che ha subito scatenato l’ira delle compagnie aeree.

In ogni caso  la divulgazione da parte di ricercatori benevoli di falle di sicurezza non rappresenta un grosso pericolo ai passeggeri. Infatti questo fa solo sì che i problemi siano documentati e risolti dai produttori e dai governi.

L’insidia maggiore viene invece dalle minacce nascoste e non documentate di cui si possono avvantaggiare i terroristi e gli imbecilli.