A volte gli esperti della sicurezza del settore automobilistico si specializzano in un marchio o modello d’automobile. Ad esempio, per ben due anni Charlie Miller e Chris Valasek hanno effettuato ricerche sulla Jeep Cherokee dell’azienda Fiat Chrysler. La loro era una scelta logica, avevano una Jeep.
A year later… Jeep hacked… again… https://t.co/c9ThBvk7Ry #defcon pic.twitter.com/bwiA0BpsMl
— Kaspersky (@kaspersky) August 10, 2016
Altri ricercatori hanno avuto un approccio globale. Ad esempio, nel 2015, Flavio Garcia e il suo team dell’Università di Birmingham hanno fatto andare su tutte le furie l’intera industria automobilistica quando hanno rivelato come aprire automobili dotate di sistemi d’accesso senza chiavi (e davvero senza bisogno di chiavi). Si tratta di automobili create da Audi, Citroën, Fiat, Honda, Skoda, e Volvo, tra gli altri marchi.
Recentemente, i ricercatori e gli esperti della società di ingegneria tedesca Kasper & Oswald hanno scoperto due nuove vulnerabilità.
Questa volta ad essere sotto tiro è stata la Volkswagen: le sue automobili possono essere aperte senza chiavi. Le proporzioni della minaccia sono enormi: i ricercatori affermano che sono a rischio quasi 100 milioni di automobili, molte delle quali sono modelli VW prodotti a partire dal 1995. Solo le nuove auto, a partire dalla Golf VII, sono prive di questa vulnerabilità.
L’attacco è incredibilmente facile e richiede una semplice attrezzatura: un portatile e una tecnologia di software-defined radio (o, ancora meno costosa, una scheda Arduino da 40 dollari con un ricevitore radio).
Come rubare 100 milioni di Volkswagen
Analizzando un componente segreto delle automobili, i ricercatori hanno scoperto che la Volkswagen utilizzava una singola chiave crittografica in tutte le sue auto, ad iniziare da quelle prodotte a partire dal 1995 fino ad arrivare alla produzione della Golf VII. Sebbene siano in uso poche chiavi, non è difficile individuarle (ci vorrebbero letteralmente pochi secondi).
Conoscere la chiave è solo metà dell’opera. Successivamente, con l’aiuto della scheda Arduino dotata di un ricevitore radio, gli hacker possono “spiare” e ottenere una chiave unica dell’automobile, che viene trasmessa quando il proprietario apre o chiude l’automobile. Utilizzando le due chiavi crittografiche, i criminali possono fare una copia del telecomandino per aprire l’auto.
I ricercatori affermano che i criminali “hanno bisogno di spiare solo una volta” e devono stare ad una distanza di circa 100 metri dal veicolo (abbastanza lontani per non esser visti o per non destare sospetti).
#Progressive #Snapshot Exposes Drivers to Car Hacking: https://t.co/c8I8lc1zu0
— Kaspersky (@kaspersky) January 27, 2015
I ricercatori non hanno rivelato quali siano i componenti di queste preziose chiavi. La loro ricerca non aveva come obiettivo aiutare aspiranti ladri di automobili. Hanno solo detto che i componenti variano da modello a modello. La Volkswagen è consapevole della minacce ma può fare ben poco per sistemare la vulnerabilità.
C’è però una buona notizia: questo metodo permette ai criminali di aprire l’automobile ma non di guidarla; gli immobilizer proteggono l’auto e non la fanno muovere in caso non sia presente fisicamente la chiave. Ma c’è un’altra cattiva notizia: anche gli immobilizer sono vulnerabili. I criminali che utilizzano entrambi i metodi, potranno rubare la VW che vogliono (eccezion fatta, ovviamente, per le nuove Volkswagen, a partire dalla Golf VII, in cui si utilizzano chiavi uniche per ogni automobile invece che chiavi condivise).
Il parere dell’esperto
Sergey Zorin, esperto di sicurezza di Kaspersky Lab, spiega così la situazione:
Questa storia è la prova di come si possa compromettere davvero qualsiasi cosa se l’hacker ha abbastanza tempo e abbastanza professionisti nel suo team. È possibile che, investendo una certa somma di denaro, questo studio possa essere effettuato anche per altre case automobilistiche. Ad ogni modo, la ricerca dimostra che le case automobilistiche stanno pensando alla sicurezza delle informazioni dei propri prodotti e che, fortunatamente, non è facile aggirare la sicurezza delle automobili moderne. Non diremmo, quindi, che queste case automobilistiche (o altre) si stiano comportando male nei confronti della sicurezza.
Ciononostante, ci sono alcune questioni nel settore automobilistico che potrebbe causare guai.
Il primo problema riguarda il fatto che le case automobilistiche devono pianificare ogni cosa, incluso la sicurezza, con cinque o sette anni d’anticipo, tipico ciclo di sviluppo di un nuovo modello automobilistico (ovviamente la sicurezza e le tecniche degli attacchi informatici si sviluppano molto più velocemente rispetto a questo intervallo di tempo).
Shock at the wheel: your Jeep can be hacked while driving down the road https://t.co/40h8StaLFG pic.twitter.com/bOvjzQb9K4
— Kaspersky (@kaspersky) July 23, 2015
Un altro problema è dovuto al fatto che,, a causa delle limitazioni tecnologiche,, non è sempre possibile eseguire le correzioni al sistema di sicurezza in maniera abbastanza rapida e ampia per eliminare completamente ogni rischio. Entrambi i problemi possono essere risolti applicando meccanismi di aggiornamento nelle prossime generazioni di elettronica automobilistica. Tutto ciò renderebbe possibile aggiornare vulnerabilità inaspettate non appena queste vengano scoperte. Prevediamo che le automobili di nuova generazione, che saranno prodotte tra cinque anni, saranno dotate di queste tecnologie.
Il terzo problema di sicurezza che le case automobilistiche stanno già affrontando riguarda la connettività nelle automobili. Il concetto delle automobili connesse a Internet implica che moduli multipli all’interno delle automobili posseggano un canale di scambio dei dati con domini esterni. Alcune vulnerabilità sono già state scoperte in questi canali di scambio dei dati. In quanto azienda di sicurezza, abbiamo studiato questo settore per molti anni e adesso vediamo emergere nuove vulnerabilità. Lo sviluppo delle tecnologie di comunicazione di fiducia per le automobili è qualcosa su cui le aziende di sicurezza e le aziende automobilistiche dovrebbero focalizzarsi di più nei prossimi anni.