Indipendentemente dal fatto che sia possibile o no, tutto dipende dal tipo di auto che possediamo. Io, per esempio, sono proprietario di una Honda Accord del 1998 e sono sicuro che compromettere i suoi sistemi in modalità remota deve essere pressoché impossibile. Non ho dubbi che esistano vari metodi per hackerare una Honda One (è così che chiamo la mia auto), ma per farlo un hacker avrebbe bisogno di accedervi fisicamente. A quel punto, una Ford del XX secolo sarebbe vulnerabile quanto la mia Honda.
Tuttavia, non c’è dubbio che la maggior parte di voi avranno una macchina molto più moderna, dotata delle tecnologie più avanzate come la navigazione e il sensore che capta i movimenti. Quasi tutte (per non dire tutte) queste funzionalità vengono controllate da un sistema operativo centralizzato o da sistemi di controllo simili a quelli industriali – e siamo solo agli albori dell’informatizzazione delle automobili!
Un paio di anni fa, Vicente Diaz, senior security researcher di Kaspersky Lab, ha presentato uno studio sugli effetti potenziali che possono scaturire dall’implementazione di computer e tecnologia mobile nelle auto. A quei tempi, stavano uscendo le prime auto con tutta una serie di unità di controllo elettronico (electronic control unit – ECU). Un’unità di controllo elettronico è essenzialmente un computer che controlla una parte, un processo o una serie di componenti dell’auto.
Diaz espresse la sua preoccupazione circa l’incorporazione di componenti elettronici diversi tra loro, sviluppati da fabbricanti diversi e pensati per un’eterogeneità di veicoli e necessità, nonché rispetto alla mancanza di uno standard di produzione vero e proprio. Ogni fabbrica automobilistica darà la preferenza al suo sistema operativo, ognuno dei quali potrà contenere qualsiasi genere di vulnerabilità. Ma la questione è, in che modo le vulnerabilità presenti nelle unità ECU potrebbero influire sui sistemi che gestiscono e sugli altri computer e sensori con cui interagiscono?
In secondo luogo, in che modo si possono sfruttare queste vulnerabilità? Come sottolineavo in precedenza, un tempo questi exploit richiedevano un accesso fisico. Ora le cose sono cambiate. Le fabbriche automobilistiche stanno cercando di dotare i propri veicoli di accesso a Internet e farli interagire con i dispositivi mobili. Per questo motivo, aumentano le possibilità di attacchi mirati e multi-piattaforma in remoto, così come di infezioni impreviste.
Con un’auto con connessione a Internet è molto più facile essere spiati o sorvegliati o che la nostra localizzazione venga tracciata – ma non molto di più che con uno smartphone. Diaz sottolinea che il furto d’auto potrebbero avere a che vedere con i sistemi informatici di cui queste auto dispongono, dato che un criminale potrebbe compromettere le unità ECU e ordinar loro di aprire l’auto e avviare il motore.
Tuttavia la vera domanda è: è possibile hackerare e assumere il completo controllo di un’auto? Alcuni ricercatori dell’Università del Wisconsin e di San Diego hanno pubblicato diversi studi e stanno esattamente cercando di rispondere a questa domanda. Il loro obiettivo è osservare cosa possono fare se i sistemi dell’auto venissero hackerati (piuttosto che spiegare in che modo fosse possibile comprometterli). Durante l’esperimento sono riusciti a individuare una serie di componenti che pare sia possibile manipolare in modalità remota e così come un modo per cancellare tutte le tracce dell’operazione. Questo è stato circa 3 anni fa.
Molti dei componenti che i ricercatori avevano individuato (e che erano in grado di controllare in modalità remota le unità ECU) non potevano essere controllati manualmente. Prima di tutto, mi focalizzerò su quei componenti che NON possono essere controllati manualmente.
In questa categoria menzioniamo: attivare il tergicristalli, aprire il bagagliaio, azionare il freno a mano, attivare il clacson, spegnere tutte le luci ausiliarie, disattivare i finestrini e la chiusura degli sportelli, far fuoriuscire continuamente il liquido dei tergicristalli, controllare le impostazioni del clacson e le luci. Rispetto al motore: aumentare i giri, far sgranocchiare il dispositivo di avviamento (ricordate quel rumore che fa la vostra macchina quando cercate di far partire il motore quando è già in moto?) e, eventualità piuttosto allarmante, azionare o bloccare i freni. Altre funzioni (si tratta di seccature, ma decisamente meno allarmanti delle precedenti), possono essere: aumentare il volume dell’autoradio, cambiare le impostazioni della radio e del display centrale dell’auto, e manipolare le spie. Infine, falsificare il tachimetro e avviare o spegnere il motore. Ricordate che queste sono le funzioni che non è possibile controllare manualmente.
Ora veniamo a quei componenti che possono essere controllati manualmente (anche se non sono molto sicuro che sia così facile): attivare la chiusura degli sportelli (aprire e chiudere gli sportelli), disabilitare le luci, disattivare i tergicristalli, avviare l’albero motore, manomettere lo sterzo, i cilindri e i freni. Il motivo per cui esiste una sovrapposizione tra alcune delle funzioni che non si possono controllare e quelle che si possono controllare è che alcuni di questi componenti vengono regolati da diversi computer all’intero dell’auto. In altre parole, senza entrare troppo nei dettagli tecnici, la chiusura di alcuni componenti è controllata da due dispositivi: il computer centrale (il display che gestisce le informazioni dell’auto) e il body control module, l’unità di controllo del corpo macchina (il computer che regola determinate funzionalità come, per esempio, le luci).
Come potete osservare, sono molte le funzionalità che l’hacker potrebbe eventualmente controllare. I ricercatori hanno realizzato questi esperimenti in laboratorio su due gamme di autovetture; avevano accesso diretto diretto ai veicoli e l’obiettivo del loro esperimento, ricordiamo nuovamente, non era compromettere l’auto, ma osservare cosa potevano fare dopo la sua manomissione.
Cosa possiamo fare per proteggerci? Purtroppo non sono molte le misure protettive che si possono adottare a questo proposito. La cosa migliore è rimanere aggiornati su qualsiasi novità riguardante le unità ECU della vostra auto e sui componenti che vengono ritirati dal mercato, nonché realizzate regolari controlli e revisioni. Il dato confortante è che il costo dello sviluppo di un exploit per automobili è altissimo. Le vulnerabilità e gli exploit non cadono dal cielo; la loro creazione e sviluppo coinvolge varie fasi, diverse prove e test di sistema e un’intensa sperimentazione.