Le auto moderne sono un concentrato di tecnologia, al loro interno sono presenti numerosi componenti dotati di capacità computazionale e che dialogano tra loro attraverso una sorta di LAN interna. In questo contesto è chiaro che una qualunque di queste componenti potrebbe essere soggetta ad un attacco informatico, soprattutto se esposta su Internet oppure accessibile mediante tecnologia wireless.
Un hacker potrebbe prendere il controllo della centralina del motore, dell’impianto frenante, del Sistema di condizionamento oppure del Sistema per la gestione delle portiere. Non serve guardare un film in TV, è sufficiente che leggiate il libretto di istruzioni del vostro veicolo per capire di cosa stiamo parlando. Come ogni componente software, anche le applicazioni che sono eseguite dalle nostre auto sono talvolta vulnerabili, in molti casi progettate senza neppure considerare i requisiti di sicurezza informatica, ed oggi ciò è davvero inaudito. Questi software hanno un ciclo di vita e dovrebbero essere progettati con rigorosi requisiti in termini di sicurezza, senza parlare della necessità di considerare come gli stessi vadano aggiornati nel tempo in un contesto tecnologico in cui la minaccia informatica evolve velocemente.
Oggi vi parlo di un caso di cronaca: recentemente il produttore di auto BMW ha scoperto una falla di sicurezza in uno dei sistemi più pubblicizzati dalla casa, il BMW ConnectedDrive, un accentratore di funzioni che agevola il guidatore nell’accesso ad una moltitudine di contenuti ed applicazioni. Bene, un hacker potrebbe sfruttare la falla per aprire le porte delle BMW: è stato stimato che circa 2.2 milioni di veicoli tra BMW, Mini and Rolls-Royce, sono affetti dalla vulnerabilità confermata anche dal colosso dell’automobile.
Ma come è possibile scoprire queste falle?
Ascoltando un meccanico che aveva letto la notizia in rete, mi sono reso conto di quanto anche gli addetti ai lavori conoscano poco questi gioielli tecnologici. Il meccanico sosteneva che la stessa BMW, o qualcuno dei suo progettisti, avesse divulgato la falla. In realtà scoprire simili vulnerabilità è cosa molto semplice per un esperto che effettua il reverse engineering del codice dei componenti che sono presenti nel veicolo. In pratica partendo dall’applicazione se ne ricava il codice sorgente e lo si studia in particolari condizioni per individuare le falle. “Sono stati in grado di decodificare alcuni dei software che utilizziamo per la telematica dei veicoli”, ha spiegato Dave Buchko, un portavoce di BMW. “Successivamente è bastato che imitassero il comportamento di server legittimi della BMW per ingannare i sistemi a bordo dei veicoli”
Il sistema della BMW in pratica consente, tra le altre cose, al guidatore di autenticarsi al proprio veicolo utilizzando un dispositivo mobile e di accedere una ampia gamma di servizi e funzioni, tra cui il controllo in tempo reale del traffico, la gestione dell’impianto di condizionamento e, ovviamente, la gestione dell’apertura delle porte.
Nel caso specifico la falla è relativa alla trasmissione in chiaro delle informazioni tra il conducente e il veicolo. Nei test effettuati dall’Agenzia “ADAC” che ha scoperto la falla, gli esperti sono riusciti a simulare l’esistenza di una falsa rete telefonica a cui i sistema delle auto BMW cercano di collegarsi e da cui ricevono comandi. Una volta forzata l’auto a connettersi alla rete, gli esperti sono riusciti ad impartire l’ordine di aprire le portiere.
Fortunatamente non ci sono notizie di attacchi informatici che hanno sfruttato la falla e BMW ha prontamente sviluppato un aggiornamento software che risolve il problema che verrà automaticamente distribuito alla flotta dei suoi veicoli. L’aggiornamento prevede l’implementazione di canale di comunicazione protetto tra la componente mobile del guidatore ed il veicolo. L’introduzione della cifratura dei dati fa sì che solo il legittimo proprietario possa impartire ordini al veicolo.
Il caso proposto è un interessante esempio di come si possa inficiare la sicurezza di un veicolo e di come vada gestita prontamente la scoperta di una vulnerabilità. L’operato di BMW è ineccepibile e sono certo che la stessa casa stia investendo notevolmente per lo sviluppo di sistemi sicuri a prova di hacker.
Purtroppo in giro troppe auto sono affette da vulnerabilità di vario tipo ed i conducenti ne sono completamente all’oscuro. Abbiamo discusso molte volte di car hacking and delle possibili conseguenze di un attacco informatico, per coloro volessero approfondire la tematica questi due articoli in cui approfondisco la tematica.
Gli esperti di sicurezza hanno molto criticato l’approccio dell’industria automobilistica alla sicurezza informatica, i rischi sono concreti ed una volta che la sicurezza di un veicolo è stata violata, gli hacker possono avere libero accesso ai sistemi dell’auto che gestiscono praticamente ogni funzionalità.
Urge un cambio di mentalità, in gioco vi è la vita delle persone.
Facebook Comments