Continuiamo questo mese il nostro viaggio all’interno delle vulnerabilità presenti nel mondo dell’IoT comodamente seduti a bordo di una smart car.
Il mercato delle automobili connesse è in netto e costante aumento. Secondo il sito statista.com, infatti, nel 2013 23 milioni di veicoli circolanti nel mondo erano già connessi ad internet, con una prospettiva al 2020 di 152 milioni. Inoltre si prevede che nel 2025 il 100% delle automobili in circolazione siano in qualche modo connesse.
Sicuramente il mondo dell’automotive è uno dei settori che sta attirando di più i ricercatori in ambito cyber security, i quali evidenziano in maniera molto netta i limiti di sicurezza delle automobili connesse attualmente in commercio, e in generale la superficialità con la quale molte case automobilistiche si stanno muovendo in questo campo.
Prova evidente delle vulnerabilità che si aggirano nel mondo automotive è che in quasi tutte le ultime edizioni delle hacking conference più importanti al mondo si è parlato di car hacking. DefCon 23 nel 2015 BlackHat 2016, Grrcon 2016.
Ricordiamo due casi significativi nel settore automotive che hanno tristemente evidenziato a tutti i pericoli che si corrono anche in questo settore in ambito cyber.
Nel corso del 2015 i ricercatori Charlie Miller e Chris Valasek hanno effettuato una presentazione durante DefCon 23, dimostrando come fosse possibile prendere il comando da remoto di alcune funzioni di una vettura, nello specifico Jeep Grand Cherokee, senza dover modificare nessun sistema a bordo vettura, ma semplicemente sfruttando una vulnerabilità nella connettività dell’impianto di intrattenimento della vettura. Miller e Valasek sono riusciti a manovrare sterzo, freni e trasmissione della vettura, oltre ad altre funzioni non vitali, seguendo un precedente hack alla Tesla Model S. Nel 2013 sempre Miller e Valasek avevano già dimostrato come fosse possibile hackerare a prendere il comando di diverse funzioni di due veicoli, una Toyota Prius e una Ford Escape.
Ad inizio 2016 il ricercatore Troy Hunt ha dimostrato, con tanto di video, di riuscire a controllare alcune funzioni, vitali e non, di una Nissan Leaf, sfruttando un’app per cellulare chiamata NissanConnect EV, riuscendo a manovrare il volante, regolare l’aria condizionata, il riscaldamento dei sedili e l’impianto di areazione interna. Hack molto simile a quello effettuato nel 2015 da Miller e Valasek sulla Jeep Grand Cherokee, ma scoprendo una vulnerabilità molto più critica, attraverso la quale si poteva facilmente accedere ad ogni macchina connessa con il sistema Nissan, indipendentemente dalla sua posizione. Infatti nel video si vede Hunt hackerare dall’Australia una vettura (di un suo amico) che si trovava nel Regno Unito. Il problema di security evidenziato da Hunt è che l’applicazione usava come credenziali di accesso il numero di telaio del veicolo. In altre parole, un compito abbastanza semplice per un hacker.
Dall’ultimo anno le case automobilistiche che erano rimaste indietro hanno cominciato a considerare la sicurezza informatica, portandola dall’essere di nessuna priorità a costituire una priorità di livello elevato, sicuramente tra le prime tre. La corsa a rendere le automobili sempre più simili agli smartphone deve fare i conti con la necessità di alzare il livello di sicurezza. Un’automobile sempre più connessa significa un veicolo sempre più vulnerabile.
Come per altre innovazioni tecnologiche e migliorie in ambito safety & security, il mondo delle corse può e deve essere un positivo esempio per le case automobilistiche di tutto il mondo nel migliorare la sicurezza dei conducenti delle auto del domani. Sarebbe auspicabile un giorno che tutte le case automobilistiche innalzassero i loro livelli di sicurezza in ambito cyber come sta accadendo in Formula 1, dove la protezione dei dati e dei sistemi delle auto di gara e dei reparti corse non è mai stata così importante, soprattutto durante i weekend di gara, quando il traffico di malware ha un notevole incremento, come per esempio Ferrari fa da diversi anni con Kaspersky per lo sviluppo delle sue tecnologie di sicurezza, prendendo seriamente in considerazione le minacce di tipo informatico.
Ad oggi gli esempi di attacchi diretti ad un veicolo connesso per fortuna sono ancora pochi, ciò non significa che non siano possibili o di interesse per i cyber criminali, ma semplicemente che per ora vi sono probabilmente obiettivi più redditizi. Un giorno, magari non troppo lontano, soprattutto quando aumenterà la diffusione delle automobili connesse, potremmo assistere a veri e propri car hacking per scopi criminali.
Quello su cui dobbiamo quindi fare molta attenzione è di non cadere nell’errore di pensare che non esista il pericolo o che questo settore sia sicuro, perché nel momento in cui diventerà uno dei principali obiettivi dei cyber criminali, lo scenario diventerà molto preoccupante.
Su larga scala possiamo pensare ad attacchi ransomware che criptano e quindi bloccano le centraline ed i sistemi di base dell’auto, impedendoci anche di accenderla, e che ci venga chiesto un riscatto per poterla avviare.
Immaginiamo un attacco terroristico realizzato bloccando o comandando tutte le automobili in una determinata area mandando in tilt la viabilità e creando enormi disagi, incidenti e caos mettendo in ginocchio per esempio ad una grande città, colpendo centinaia di persone. Oppure ancora un attacco verso una specifica azienda che produce automobili, per interessi economici diretti o di mercato, ad esempio da parte di un competitor o come strumento di speculazione in borsa. Infine si può immaginare anche un attacco diretto ad una specifica persona attraverso la propria automobile.
A differenza di attacchi a computer e ad altri apparecchi connessi che possono portare ad un blocco o una compromissione delle loro funzioni, un attacco ad un veicolo è una minaccia reale alla salute e alla vita delle persone.
Facebook Comments