Connected Cars: se la sicurezza è relegata al sedile posteriore

A cura di Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks

I ricercatori tedeschi hanno recentemente scoperto una falla di sicurezza nel software ConnectedDrive di BMW che, attraverso lo spoofing di un segnale mobile, permetteva di intercettare tutte le comunicazioni e otteneva l'accesso al sistema informatico dell’automobile.

A seguito di questa scoperta, BMW ha annunciato di aver richiamato per effettuare una patch le nuove auto, operazione che ha riguardato ben 2,2 milioni di veicoli Rolls-Royce, Mini e BMW.

Se il difetto non fosse stato sistemato gli hacker sarebbero stati in grado di aprire le portiere da remoto e prendere interamente il controllo del sistema dell’auto, dalla radio, all’aria condizionata fino a tutti i servizi online.
Per applicare le patch a questo difetto di sicurezza, BMW ha abilitato il protocollo sicuro Hypertext Transfer Protocol (HTTPS), che aggiunge un livello di sicurezza all'HTTP standard per crittografare le comunicazioni. 

Sebbene questa operazione risolva uno dei problemi e significhi che la comunicazione è ora crittografata, è importante notare come la questione sicurezza non sia del tutto chiusa visto che i dati possono ancora essere intercettati. Si potrebbe obiettare che si tratta delle basi della sicurezza delle informazioni e il fatto che gli ingegneri di BMW abbiano perso qualche passaggio fondamentale non è una cosa di per sé così sorprendente.

Con una domanda da parte dei consumatori che raggiunge livelli sempre più elevati e sviluppatori di software pressati per rilasciare nuove versioni dalle caratteristiche sempre più innovative, la sicurezza rischia di essere relegata al sedile posteriore dell’auto. Ricordarsi di crittografare tutto e tenere ben presente che nessuna rete può dirsi sicura sembrano pensieri lontani.

Tutto questo è particolarmente preoccupante se si pensa che dovremo gestire un numero sempre maggiore di dispositivi connessi. Per questo motivo, oggi più che mai, la sicurezza deve essere una delle considerazioni principali e non può essere un ripensamento, come nel caso del software ConnectedDrive di BMW. Se si installa Java sul computer, si è accolti da una schermata di caricamento di Oracle in cui si dice che 3 miliardi di dispositivi oggi eseguono Java, tra questi telefoni cellulari, parchimetri, bancomat e altro ancora. Lasciando da parte il fatto che già oggi Java è responsabile di una percentuale elevata di patch di sicurezza, il trend futuro sarà ancora più ampio con dispositivi connessi sempre più insicuri.

Alle automobili è riservata molta attenzione da parte dei media, in particolare per quanto riguarda le novità nella progettazione, ma i problemi di sicurezza nei veicoli connessi non vengono sottolineati: Un’auto non dovrebbe essere collegata a nulla che possa essere vulnerabile.

Nel 2010, Yoshi Kohno dell'Università di Washington ha dimostrato che un’automobile può essere compromessa da codici dannosi attraverso il lettore CD o il segnale radio ricevuto dalla macchina. Il suo team di lavoro è stato in grado di prendere completamente il controllo di tutti i sistemi di bordo della vettura e in questo modo ha potuto monitorare la sua posizione, ascoltare le conversazioni nell’abitacolo e, addirittura, attivare i freni.

Nel caso delle connected cars, il problema principale sono proprio i computer di bordo che, eseguendo il software, anche con i propositi migliori del mondo, restano vulnerabili.

L’autoradio, ad esempio, non è più una radio a transistor; è un computer che utilizza un pezzo di codice per decodificare il segnale radio e riprodurre la musica: tutto questo è vulnerabile!.
Portando qualcuno a sintonizzarsi su una specifica stazione è possibile impossessarsi della sua auto; più o meno allo stesso modo in cui uno spyware spinge a visitare un sito apposito per poter infettare il computer.

Abbiamo già assistito di recente alla caduta della rete della PlayStation Sony e di Microsoft Xbox Live a causa di un vasto attacco DDOS (Direct Denial of Service). Oggi è necessario che le case automobilistiche agiscano insieme per evitare di essere le prossime vittime.

Immaginate una situazione di questo tipo: un gruppo di hacker decide di infettare tutte le auto di un determinato produttore in paese specifico, in Italia, a Milano ad esempio, e utilizza un malware che si attiva da solo quando la macchina arriva in un certo luogo o supera una certa velocità. Gli hacker possono ad esempio stabilire che tutti i veicoli di quella marca un giorno a Milano si fermino!

Nessuno capirebbe il perché, il traffico si blocca, gli autobus non possono muoversi e la città va nel panico. A quel punto il nuovo gruppo di hacker rivendica l’accaduto e dichiara che, a meno che la casa automobilistica gli dia un sacco di soldi, non intende riattivare le vetture. Certo, è una situazione estrema, ma dovrà per forza verificarsi qualcosa di questo tipo prima che i produttori prendano in seria considerazione il messaggio? Riuscite a immaginate l'impatto sull’economia, la politica e tutte conseguenze che un evento di questa portata avere per il mondo dell’auto?

Le case automobilistiche hanno a che fare con la vita delle persone ogni giorno, effettuano già test validi e hanno modelli affidabili per verificare la sicurezza fisica delle proprie vetture.

Più che in altri settori, questo comparto dovrebbe essere ben conscio che le cose non si possono lasciare al caso.

Verrebbe da pensare che, se sono in grado di creare le luci che brillano dietro gli angoli, auto che si guidano da sole e che forniscono strumenti salvavita in caso di incidente, sicuramente dovrebbero riuscire anche a proteggere i computer di bordo delle proprie vetture?

In sintesi, il messaggio per le case automobilistiche è chiaro: per favore mettetevi d’accordo e proteggete tutti i vostri software e lo sviluppo - mettete un piede sul pedale, rallentate e costruite la sicurezza fin dall’inizio, o potrete essere la prossima vittima.

 Fonte: comunicato stampa