Sembra che General Motors abbia cominciato a prendere seriamente la sicurezza informatica, una questione che fino a oggi i produttori di automobili sembrano aver gestito un po' superficialmente, ricordandosene solo quando questo o quell'hacker ne ha dimostrato i rischi. L'azienda raccoglie i marchi Opel/Vauxhall, Cadillac, Chevrolet, GMC, Holden e Buick.
GM ha però cambiato approccio e ha annunciato un programma di bug hunting, simile a quello proposto da Google, Facebook e altre società del settore hi-tech. In parole semplici, i ricercatori di sicurezza sono ufficialmente invitati a cercare problemi nel software e a comunicarli a General Motors, che poi si attiverà per correggerli. Nel mondo delle auto finora solo Tesla aveva fatto la stessa cosa.
Con una differenza rilevante: per ora GM non offre premi in denaro, limitandosi alla promessa di non procedere legalmente contro gli hacker che scovano i problemi. Sì, perché finora molte aziende, non solo del settore auto, in alcuni casi hanno trattato i ricercatori alla stregua di criminali.
Ecco l'esempio tipico: un ricercatore (chiamiamolo Tizio) trova un bug e lo comunica all'azienda (diciamo Caio), dandole tempo per correggerlo prima di renderlo pubblico. Non arriva nessuna risposta, ma quando Tizio pubblica la propria scoperta, a stretto giro di posta Caio lo denuncia per crimini informatici.
Lo ha fatto di recente Volkswagen, che ha bloccato per circa due anni la pubblicazione di una ricerca che avrebbe esposto un bug sul sistema di accesso keyless.
La proposta di GM sembra poca cosa a confronto con quanto fa Google, che paga in contanti, ma si tratta comunque di un bel cambiamento. Un primo passo che speriamo possa aiutare a rendere le automobili più sicure dal punto di vista informatico. C'è però un'altra condizione.
L'impegno a non procedere per vie legali, infatti, è valido solo se il ricercatore si impegna a non diffondere pubblicamente le sue scoperte. GM quindi potrebbe metterci moltissimo tempo a correggere il problema, oppure non farlo mai. Per il momento l'accordo le permette di scoprire bug di cui non è a conoscenza, ma la correzione in tempi rapidi non è garantita.
In futuro infatti GM ha in programma di pagare i ricercatori, e forse un giorno saranno pronti a garantire la correzione entro 90 giorni o anche meno; l'obiettivo immediato invece è stabilire un contatto con il mondo della cybersicurezza. È sicuramente un primo passo importante: molti di noi ricordano la Jeep hackerata via Internet a 110 Km/h, e anche la modernissima Tesla ha avuto qualche esperienza simile.