Stai guidando a 110 Km/h, e tutto a un tratto la radio cambia stazione e il volume si alza al massimo. Cerchi di abbassarlo pensando a qualche difetto, e si accende l'aria condizionata senza che tu abbia toccato nulla. Senza togliere gli occhi dalla strada cerchi di capire che succede, e pensi che sia il caso di rallentare. Ma scopri che acceleratore e freni non rispondono. Non hai più il controllo dell'auto, e sei sostanzialmente su un proiettile mortale.
Sembra quasi che uno spirito maligno abbia preso il controllo del veicolo, o che qualcuno ti abbia fatto il malocchio. Ma non è un poltergeist o una qualche altra presenza maligna. Certo, la scienza può sembrare magia a chi non la capisce, ma qui il segreto è stato svelato da Andy Greenberg su Wired, che ha avuto il fegato di fare da cavia per un esperimento terrorizzante.
C'era lui infatti alla guida di quella Jeep Cherokee che è stata hackerata via internet da Charlie Miller e Chris Valasek, due hacker dediti da tempo alla sicurezza automobilistica. Sempre con la collaborazione di Greenberg, nel 2013 Valasek e Miller avevano dimostrato un attacco fatto tramite un notebook collegato fisicamente all'auto, quindi un pericolo relativamente trascurabile. A onor di cronaca, va ricordato che i due hanno proposto anche le contromisure.
Quest'anno però i due hacker erano a chilometri di distanza, e per quel che conta avrebbero potuto essere anche dall'altra parte del mondo. Difficile immaginare come ci si potrebbe sentire al posto di Greenberg, anche perché lui sapeva quello che sarebbe successo ed era almeno in parte preparato.
Il lettore avrà capito che l'auto in questione, una Jeep Cherokee, è dotata di un collegamento a Internet integrato. Un modo di rendere l'auto più appetibile al compratore grazie a tante funzioni aggiuntive; ma il protocollo usato ha almeno una falla rilevante, che i due hacker sveleranno in un'imminente conferenza. Noto l'indirizzo IP del veicolo, si può fare praticamente ogni cosa, compreso appunto sabotare i freni o girare il volante. "Dal punto di vista di un hacker, è una vulnerabilità molto bella", ha commentato Miller. Basta una scansione fatta con uno smartphone per trovare una lunga lista di veicoli potenzialmente vulnerabili.
Miller e Valasek riescono a sfruttare questo accesso per accedere alla centralina che controlla l'intrattenimento di bordo – un sistema che in teoria dovrebbe essere isolato dai sistemi di guida e parametraggio del veicolo. Dopodiché iniettano un firmware modificato che riesce e sfruttare il bus CAN per mandare comandi pericolosi. E naturalmente è possibile tracciare la posizione GPS del veicolo.
Si potrebbe pensare che il problema è di Chrysler, che ha avuto la sciagurata idea di collegare l'auto alla Rete. I due hacker hanno lavorato effettivamente solo sul sistema Uconnect di Chrysler, ma la realtà è che lo stanno facendo tutti i produttori del mondo; oggi per i modelli più lussuosi e costosi, domani anche per le utilitarie più economiche. Difficilmente gli altri produttori di auto hanno sistemi particolarmente più solidi.
Miller e Valasek comunque riveleranno le proprie scoperte solo in parte, mantenendo segrete le procedure di riscrittura del firmware. Chi volesse replicare il proprio lavoro dovrebbe affrontare i loro stessi ostacoli, che hanno richiesto mesi di impegno. Un tempo che, si spera, servir al settore automobilistico per migliorare la sicurezza. Chrysler, se non altro, ha già trovato il modo di aggiornare il proprio sistema – proprio grazie all'aiuto dei due ricercatori. L'aggiornamento va installato tramite un pendrive da collegare all'auto, e il proprietario deve essere a conoscenza del problema. "Ciò significa", scrive Miller, "che molti, se non la maggior parte, delle Jeep vulnerabili resterà probabilmente nello stesso stato".
Nel frattempo, vale la pena sottolineare che negli Stati Uniti c'è una proposta di legge che vuole imporre rigidi standard di sicurezza informatica per i mezzi di trasporto. A proporla un senatore che ha preso consapevolezza del problema proprio grazie alle dimostrazioni di Miller e Valasek risalenti al 2013.
Se tale legge sarà approvata ne guadagneremo tutti, ma non basta. Il fatto è che le auto sono ogni giorno più simili a un computer, o forse il paragone più adatto sarebbe uno smartphone. Collegati a Internet, i moderni veicoli entrano a far parte di ciò che chiamiamo Internet of Things, diventano parte del nostro essere "sempre connessi", e in questo non c'è nulla di male in linea di principio.
Allo stesso tempo però l'approccio alla sicurezza deve essere molto più rigido. Non possiamo permettere che su strada circolino mezzi che si possano attaccare in questo modo.
"Quando mi sono accorto di poterlo fare ovunque, via Internet, mi sono spaventato", confessa Valasek. "Ero terrorizzato. Mi sono detto, accidenti, quello è un veicolo sull'autostrada. L'hacking delle auto è diventato reale, in quel momento". Era lo scorso giugno, quando Valasek, a Pittsburg, riuscì ad attivare i tergicristalli della Jeep che stava guidando Miller a St. Louis; sono circa 3.200 km di distanza.
Da allora i due hanno scansionato la rete alla ricerca di veicoli vulnerabili, e ne hanno già individuati quasi mezzo milione, solo negli Stati Uniti. Usando un sistema più potente e articolato, spiega Miller, si potrebbe individuare l'auto di una specifica persona, o anche agganciarsi alle centraline delle auto e creare una vera e propria botnet su ruote.
A questo bisogna tornare alla dimostrazione del 2013, quando i produttori di auto (e molti lettori di Tom's Hardware) liquidarono l'esperimento di Miller e Vasalek come un'inezia. C'era un computer collegato con un cavo al sistema dell'auto, quindi nessun pericolo reale. "E adesso che mi dite?", commenta ora Vaselek.
 |  |
|---|
Toyota, BMW, Fiat, Citroen e tutti gli altri devono cominciare a collaborare con ricercatori come Miller e Vaselek, così come fanno Microsoft o Google. Devono prendere le loro scoperte e farne tesoro, non averne paura. E non sarebbe male se cominciassero a pagarli in contanti quando trovano un bug.
Perché la situazione nei prossimi anni può solo peggiorare, ed è imperativo che legislatori e produttori di auto comincino a prendere la sicurezza informatica molto sul serio. Perché la prossima auto che comprerete forse non sarà connessa, ma con quella dopo probabilmente non avrete scelta. I grandi produttori d'auto dicono tutti di essere al lavoro sul tema; speriamo che sia vero, e che trovino una soluzione.
Aggiornamento: Fiat Chrysler Automotive (FCA) ha contattato Tom's Hardware per sottolineare e ribadire che le auto vulnerabili non sono vendute in territorio EMEA (Europa, Medio Oriente e Asia) ma solo negli Stati Uniti. I clienti statunitensi possono scaricare una patch che correge il problema dal sito Jeep, già dallo scorso 16 luglio.