Di segnali in passato ce ne sono stati tanti: dalle auto che si potevano bloccare manomettendo via internet l'antifurto all'aggiornamento di inizio anno di BMW per scongiurare l'apertura delle portiere con uno smartphone, però non eravamo ancora arrivati a questo punto.
Adesso ci siamo: l'elettronica rende possibile prendere il controllo completo di un'auto e se i produttori non imparano che devono usare degli esperti per render sicuri i loro prodotti, avremo di che preoccuparci. Andrey Nikishin e Denis Legezo di Kaspersky hanno pubblicato le loro opinioni su quanto accaduto e sul panorama, piuttosto desolante, della sicurezza informatica in auto.
Partiamo rivedendo brevemente cosa è successo esattamente. Quattro giorni fa è spuntata la notizia che una Jeep non modificata in alcun modo, quindi esattamente come quelle che escono dai concessionari, è stata hackerata da due ricercatori di sicurezza mentre al volante si trovava un giornalista, Andy Greenberg, che si stava prestando all'esperimento.
I due ricercatori erano a molti chilometri di distanza e hanno preso il controllo del mezzo tramite Internet. Prima hanno giocherellato un po' con condizionatore d'aria e tergicristalli, poi sono passati alle componenti vitali dell'auto: acceleratore, freni e volante.
L'unica cosa di cui i due hanno avuto bisogno è stato l'indirizzo IP dell'auto, che è connessa a Internet tramite il suo sistema Uconnect, basato su connessione 3G di Verizon. Per saperne di più, cliccate qui.
La vulnerabilità colpisce molti veicoli e, fa notare Nikishin, già identificare esattamente l'auto del giornalista in mezzo alle 417 mila hackerabili non è stato un gioco da ragazzi.
FCA ha già rilasciato un aggiornamento, ma... paradossalmente non può installarlo da remoto come invece hanno fatto gli hacker con il firmware modificato. Chi verrà a conoscenza del problema, dovrà recarsi in autofficina o fare l'aggiornamento "a mano".
Un problema di architettura ed età.
Denis Legezo, parte del GREAT di Kaspersky, fa notare che i produttori di auto stanno dotando di misure di sicurezza la parte informatizzata delle automobili, ma l'approccio non è quello giusto.
Un sistema sicuro si basa sulla progettazione di tutto l'insieme e non solo da una serie di pezze software da applicare qui e là. Questa grande verità ci porta dritti al primo problema: la maggior parte delle componenti elettroniche delle automobili sono state progettate negli anni '80 e '90, un periodo dove la sicurezza informatica era una cosa "diversamente sentita".
Cercare di proteggere componenti pensati così tanto tempo fa implica una serie di compromessi che, prima o poi, porterà a una falla.
Inoltre, nello sviluppare i nuovi sistemi i produttori sembra che stiano dimenticando un po' troppo spesso alcuni concetti base. Il primo di questi è quello dell'isolamento.
Due sistemi si dicono isolati quando non possono interferire l'uno con l'altro. Attenzione: "non possono interferire" è diverso da "non possono comunicare". In particolare, il sistema di intrattenimento e comfort dell'auto che controlla l'autoradio, gli schermi non indispensabili, il climatizzatore, il vivavoce e così via non dovrebbe essere in grado di influenzare il comportamento della parte che invece si occupa dell'elettronica di guida, anche se può riceverne dei dati.
Esattamente come succede sugli aerei (o almeno dovrebbe, dato che qualche dubbio è stato sollevato di recente), così dovrebbe accadere sulle automobili.
L'altro concetto base sottovalutato è quello del controllo delle trasmissioni. Le trasmissioni DEVONO sempre essere aderenti ai protocolli di sicurezza. Per esempio, il sistema che si occupa di inviare alla centrale di controllo i dati di funzionamento meccanico dell'auto non deve essere in grado di inviare alcun segnale di controllo. Da nessuna parte e per nessun motivo.
Ogni trasmissione deve essere autenticata e crittografata. Stiamo parlando dell'ABC della sicurezza, ma considerato quello che è successo alla Jeep, diverse di queste regole base sono state ignorate.
Questo approccio di isolamento e controllo delle comunicazioni è ormai "naturale" in tutti i nuovi processi elettronici e informatici, ma ovviamente fa fatica ad affermarsi in ambiti "vetusti" che non hanno mai avuto grandi problemi di hacking.
In conclusione
La cosa più semplice che viene da pensare è "ma a che serve tutta questa elettronica, era meglio prima. La connettività porta solo problemi", ma è un approccio, ovviamente, sbagliato. Non poco condivisibile, ma sbagliato. Il progresso ha sempre portato nuove sfide e c'è sempre stata gente che ha remato contro perché spaventata dai nuovi problemi.
Le nuove auto sono molto più sicure di quelle vecchie anche grazie all'elettronica e i servizi connessi miglioreranno la vita di tutti, rendendo più sicure le strade e rispondendo molto più in fretta alle emergenze.
L'approccio delle case automobilistiche all'informatizzazione e connessione dei loro prodotti, però, deve cambiare. La sicurezza deve esser curata da professionisti del settore a cui devono esser dati gli strumenti per lavorare. Questo vuol dire aggiornare i sistemi di produzione, riprogettare e componenti e buttare le basi per un futuro molto più sicuro.
Nel 2015 è impensabile creare auto superconnesse con tecnologie di 30 anni fa...