Menu

Connected Cars: c'è da fidarsi? Ancora problemi di sicurezza...

BMW richiama 2,2 milioni di veicoli Rolls-Royce, Mini e BMW per applicare una Patch al suo software ConnectedDrive.

Paolo Arcagni*, Systems Engineer Manager Italy&Malta di F5 Networks

I ricercatori tedeschi hanno scoperto una falla di sicurezza nel software ConnectedDrive: attraverso lo spoofing di un segnale mobile, diventava possibile intercettare tutte le comunicazioni e ottenera l'accesso al sistema informatico dell’automobile. In tal modo, ad esempio, un Hacker avrebbe potuto aprire le portiere da remoto, prendere interamente il controllo del sistema dell’auto, dalla radio, all’aria condizionata fino a tutti i servizi online.

BMW ha quindi richiamato 2,2 milioni di veicoli Rolls-Royce, Mini e BMW per applicare una Patch al suo software ConnectedDrive nel quale è stato abilitato l'uso del protocollo Hypertext Transfer Protocol Secure (HTTPS), che aggiunge un livello di sicurezza all'HTTP standard così da crittografare le comunicazioni.

In tal modo, viene risolto uno dei problemi che stanno emergendo nell'uso di Internet applicato ai veicoli, e più in generale alle cose, ma il vero segnale di allarme arriva dalla constatazione che la questione sicurezza diventa uno dei punti sui quali occorre porre molta attenzione prima di avviare su larga scala l'impiego dei nuovi sistemi di "Connected Car".

Ci sono infatti due fenomenti tra loro in contrapposizione, ma da considerare con estrema cautela. Da un lato, la domanda dei consumatori per soluzioni e servizi basati sull'interconnessione tra le auto e il Web cresce costantemente a ritmi elevati, pressando gli sviluppatori nel rilascio di nuovo software dalle caratteristiche sempre più innovative. Dall'altro il problema della sicurezza che rischia di essere posta in secondo piano con conseguenze che potrebbero esser persino disastrose per gli utenti e le stesse compagnie automobilistiche.

Sicurezza dei Veicoli anche sul piano delle comunicazioni

Per questo motivo, oggi più che mai, la sicurezza deve essere una delle considerazioni principali e non può essere un ripensamento, come nel caso del software ConnectedDrive di BMW.

Quando si installa Java sul proprio computer, si è accolti da una schermata di caricamento di Oracle in cui si dice che 3 miliardi di dispositivi oggi eseguono Java, tra questi telefoni cellulari, parchimetri, bancomat e altro ancora. Lasciando da parte il fatto che già oggi Java è responsabile di una percentuale elevata di Patch di sicurezza, il trend futuro sarà ancora più ampio con dispositivi connessi sempre più insicuri.

Alle automobili è riservata molta attenzione da parte dei media, in particolare per quanto riguarda le novità nella progettazione, ma i problemi di sicurezza nei veicoli connessi non vengono sottolineati: Un’auto non dovrebbe essere collegata a nulla che possa essere vulnerabile!

Per le Auto, a rischio non solo i dati, ma anche i freni, i sistemi di accensione, i servizi

Nel 2010, Yoshi Kohno dell'Università di Washington ha dimostrato che un’automobile può essere compromessa da codici dannosi attraverso il lettore CD o il segnale radio ricevuto dalla macchina. Il suo team di lavoro è stato in grado di prendere completamente il controllo di tutti i sistemi di bordo della vettura e in tal modo ha potuto monitorare la sua posizione, ascoltare le conversazioni nell’abitacolo e, addirittura, attivare i freni.

Nel caso delle Connected Car, il problema principale sono proprio i computer di bordo che, eseguendo il software, anche con i propositi migliori del mondo, restano vulnerabili.

L’autoradio, ad esempio, non è più una radio a transistor; è un computer che utilizza un pezzo di codice per decodificare il segnale radio e riprodurre la musica: tutto questo è vulnerabile!

Portando qualcuno a sintonizzarsi su una specifica stazione è possibile impossessarsi della sua auto; più o meno allo stesso modo in cui uno spyware spinge a visitare un sito apposito per poter infettare il computer.
Abbiamo già assistito di recente alla caduta della rete della PlayStation Sony e di Microsoft Xbox Live a causa di un vasto attacco DDOS (Direct Denial of Service).

Oggi è necessario che le case automobilistiche agiscano insieme per evitare di essere le prossime vittime.

Il ricatto dietro l'angolo...

Immaginiamo una situazione di questo tipo: un gruppo di hacker decide di infettare tutte le auto di un determinato produttore in paese specifico, in Italia, a Milano ad esempio, e utilizza un malware che si attiva da solo quando la macchina arriva in un certo luogo o supera una certa velocità. Gli hacker possono ad esempio stabilire che tutti i veicoli di quella marca un giorno a Milano si fermino!

Nessuno capirebbe il perché, il traffico si blocca, gli autobus non possono muoversi e la città va nel panico. A quel punto il nuovo gruppo di hacker rivendica l’accaduto e dichiara che, a meno che la casa automobilistica gli dia un sacco di soldi, non intende riattivare le vetture. Certo, è una situazione estrema, ma dovrà per forza verificarsi qualcosa di questo tipo prima che i produttori prendano in seria considerazione il messaggio?

Quale potrebbe essere l'impatto sull’economia, la politica e tutte conseguenze che un evento di questa portata avere per il mondo dell’auto?

Le case automobilistiche hanno a che fare con la vita delle persone ogni giorno, effettuano già test validi e hanno modelli affidabili per verificare la sicurezza fisica delle proprie vetture. Più che in altri settori, questo comparto dovrebbe essere ben conscio che le cose non si possono lasciare al caso.

In sintesi, il messaggio per le case automobilistiche è chiaro: per favore mettetevi d’accordo e proteggete tutti i vostri software e lo sviluppo - mettete un piede sul pedale, rallentate e costruite la sicurezza fin dall’inizio, o potrete essere la prossima vittima!

 

Arcagni-Paolo* Paolo Arcagni, dal 2006 in F5 Networks, si occupa di architetture di Application Delivery Networking, sicurezza e ottimizzaione delle applicazioni datacenter. Oggi è Presales Manager.
Laureato in Fisica all'Università degli Studi di Milano, inizia la sua carriera professionale in RCS Editori nel gruppo di gestione TLC e Sicurezza. Dopo un'esperienza in Vodafone come business developer entra in Lucent Technologies Italia nell'area prevendita su architetture Broadband.

Ultima modifica ilDomenica, 26 Aprile 2015 15:46

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto