Cerca nel blog

2022/12/01

Podcast RSI - Story: La perenne insicurezza delle auto connesse

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: audio dell’abitacolo di un’auto nel quale la radio è ad altissimo volume, seguito dalle imprecazioni censurate del conducente e dal rumore di un impatto. Immagine tratta da Wired.]

I rumori che avete sentito sono le reazioni leggermente scomposte di un conducente di un’auto presa di mira da un attacco informatico. Siamo nel 2015, e due hacker, Charlie Miller e Chris Valasek, via Internet alzano al massimo il volume dell’autoradio, spaventando il conducente e disabilitando la manopola del volume, e quasi lo accecano attivandogli il lavavetri. Poi gli tolgono potenza al motore e infine disattivano i freni, facendo finire l’auto, lentamente ma inesorabilmente, fuori strada in un fossato.

Il conducente se la cava con un grosso spavento, ma Charlie e Chris non finiscono in carcere, perché l’attacco è stato autorizzato a scopo dimostrativo dalla vittima, che è un giornalista della rivista Wired.

Se qualcuno vi parla di hackeraggi a distanza di automobili, quasi sicuramente la prima marca che vi viene in mente è quella che per molti è la più informatizzata in assoluto: Tesla. Con i suoi aggiornamenti software ricevuti via Internet, i suoi computer di assistenza alla guida, la sua app che permette di comandarla a distanza e quel tablet che troneggia sul suo cruscotto, sembra il bersaglio perfetto per un attacco informatico. E in effetti qualche falla memorabile in passato l’ha dimostrata.

Ma sarebbe un errore crogiolarsi nell’idea che le altre marche di auto meno computerizzate siano immuni ad attacchi. Infatti l’attacco che ho appena descritto ha riguardato una marca estremamente convenzionale: le Jeep delle annate 2013-2014 di FCA o Fiat Chrysler, che confluirà poi in Stellantis. Tranquilli: la falla informatica è stata poi risolta.

Ma questa è la storia di come tutto il settore automobilistico ha sottovalutato, e continua a sottovalutare, il problema della sicurezza informatica dei suoi prodotti, e di cosa possiamo fare per ridurre concretamente questo problema.

Benvenuti alla puntata del 2 dicembre 2022 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Gli attacchi informatici, o perlomeno elettronici, alle automobili risalgono a ben prima dell’avvento di Internet. Quando arrivarono i primi telecomandi a infrarossi per sbloccare e bloccare le portiere, nessuno pensò alla sicurezza, e così mi capitò di essere amichevolmente beffato da un amico [ciao Andrea :-)] che mi aprì da remoto la mia Renault Supercinque usando semplicemente il telecomando del suo televisore, che era dotato di quella che all’epoca, alla fine degli anni Ottanta, era una funzione d’avanguardia: l’apprendimento dei codici.

Il telecomando a infrarossi dell’auto infatti trasmetteva sempre la stessa sequenza di impulsi, e quindi il telecomando del televisore registrò quella sequenza mentre aprivo l’auto e la ripeté dopo che l’avevo richiusa. Ogni auto aveva una sequenza differente, ma bastava appostarsi e captare il segnale di quell’auto per poterla poi aprire con tutta calma e per esempio rubare qualunque oggetto lasciato a bordo. All’epoca risolsi il problema in maniera brutale, coprendo il ricevitore dentro l’auto in modo che non potesse più ricevere segnali e usando la chiave meccanica.

Negli anni successivi la sicurezza di questi primi sistemi elettronici migliorò parecchio, introducendo per esempio i cosiddetti rolling code, ossia delle sequenze di impulsi radio (non più infrarossi) differenti ogni volta ma calcolate secondo un algoritmo segreto oppure usando chiavi crittografiche altrettanto segrete.

Il crollo dei costi dei componenti elettronici e lo sviluppo dell’informatica, però, portarono poi a superare in molti casi anche questi rolling code in maniera anche piuttosto ingegnosa. Nei cosiddetti relay attack, i ladri usano due ripetitori portatili di segnali radio: ne piazzano uno appena fuori dalla porta d’ingresso dell’abitazione della vittima, ossia vicino al punto in cui molte persone lasciano in casa le chiavi, le smart card o i telecomandi dell’auto. I ladri fanno in modo che il ripetitore riceva il debole segnale radio emesso dalle chiavi e lo ritrasmetta a un secondo ripetitore, tenuto da un complice e piazzato vicino all’auto da rubare. In questo modo, l’automobile crede che la sua chiave sia vicina e quindi si apre e in alcuni casi può anche essere avviata. Attacchi di questo genere avvengono ancora oggi e hanno colpito molte marche, in particolare Mercedes e Tesla, come ho raccontato in una puntata del Disinformatico che risale a ormai cinque anni fa.

La soluzione per Tesla è stata un aggiornamento software, diffuso via Internet, che consentiva di disabilitare la funzione che sbloccava le portiere semplicemente avvicinando la chiave; per le altre marche, invece, il rimedio è stato applicato con un intervento in officina oppure, più banalmente, insegnando ai conducenti l’abitudine di custodire le chiavi dell’auto lontano dalla porta d’ingresso e in un contenitore metallico per bloccare la ricezione dei loro segnali radio.

Ma i progressi dell’elettronica di bordo delle auto non si sono fermati, e si è continuato a pensare troppo poco alla sicurezza, e così nel 2010 un gruppo di ricercatori del dipartimento d'informatica della University of Washington e della University of California San Diego ha lanciato un allarme, pubblicando una ricerca ("Experimental Security Analysis of a Modern Automobile") nella quale ha spiegato che si poteva prendere il controllo di qualunque automobile moderna dotata di sistemi elettronici per la gestione del veicolo usando la cosiddetta porta diagnostica OBD-II, un connettore presente per legge in tutte le auto.

Una porta OBD-II.

Applicando a questa porta un piccolo dispositivo elettronico, comandabile anche a distanza, era possibile (spiegano i ricercatori) "ignorare completamente i comandi del conducente" e "disabilitare i freni, far frenare selettivamente a comando le singole ruote, fermare il motore, e così via". I ricercatori hanno dimostrato questa vulnerabilità prendendo il controllo di un’auto fino a spegnerne il motore con il loro software, chiamato CarShark. L’unico rimedio era assicurarsi che nessuno potesse accedere all’abitacolo dell’auto, dove si trova questa porta diagnostica, e questo ha reso abbastanza impraticabile questo tipo di attacco. Ma la scarsa attenzione alla sicurezza da parte delle case automobilistiche è stata messa bene in luce.

---

Per arrivare alla spettacolare dimostrazione fatta nel 2015 da Miller e Valasek bisogna attendere l’avvento delle auto connesse e informatizzate, che sono una gran comodità. Ma la loro connessione a Internet significa che non è più necessario agire in prossimità dell’auto: basta poterla raggiungere appunto attraverso Internet, da qualunque punto del mondo.

L’errore tecnico commesso da Fiat Chrysler e sfruttato dai due informatici consiste nell’aver collegato al sistema di guida del veicolo il ricco sistema di intrattenimento di bordo, denominato Uconnect, che a sua volta si collega a Internet. Non c’è nessun firewall, nessuna crittografia o altra sicurezza: se qualcuno conosce l’indirizzo IP dell’auto, ne può prendere il pieno controllo. L’azienda, avvisata responsabilmente dai due informatici, è costretta a introdurre un costoso programma di aggiornamento di sicurezza di ogni singola vettura [circa 1,4 milioni di esemplari].

Ma il problema della progettazione imprudente non tocca solo Fiat Chrysler: nel 2016 il ricercatore di sicurezza Troy Hunt scopre una falla nel servizio di gestione via Internet delle auto elettriche Nissan Leaf, che si possono comandare tramite app. Monitorando il traffico di dati dell’app sulla propria rete Wi-Fi, Troy Hunt si accorge che la comunicazione fra l’app e l’auto non è protetta: non ha alcuna password o autenticazione. Per prendere il controllo dell’auto è sufficiente conoscerne il numero di serie, il cosiddetto VIN, che è stampigliato in bella vista nell’angolo inferiore del parabrezza. Nissan reagisce semplicemente rimuovendo l’app da Internet. Per fortuna quest’app ha funzioni abbastanza limitate, ma può essere usata per esempio per scaricare completamente la batteria dell’auto accendendo al massimo il riscaldamento dell’abitacolo, che è elettrico.

Nello stesso 2016 tocca a Mitsubishi, le cui Outlander ibride hanno un telecomando che usa una connessione diretta Wi-Fi invece di Internet. Gli esperti della società di sicurezza PenTestPartners scoprono che la password di protezione di questa connessione è troppo corta e quindi la decifrano, riuscendo anche a disabilitare l’antifurto del veicolo. Cosa anche peggiore, i nomi delle mini-reti Wi-Fi di tutte queste auto seguono uno schema standard, per cui è possibile usare i servizi di scansione di Internet per localizzare tutti i veicoli. Gli esperti avvisano l’azienda, che però non risolve il problema finché non viene reso pubblico dai media.

[CLIP: Spot Onstar con Batman]

Il 2016 è un annus horribilis per la sicurezza informatica su quattro ruote. Il ricercatore di sicurezza Samy Kamkar presenta OwnStar, un apparecchietto da meno di 100 dollari che gli consente di tracciare, aprire e spegnere da remoto qualunque automobile della General Motors dotata del sistema di gestione OnStar. L’azienda è costretta a correggere di corsa il proprio software.

Negli anni successivi vengono scoperte delle falle informatiche anche nelle Tesla, grazie a gare di hacking come Pwn2Own, dove l’azienda mette in palio un esemplare della propria auto elettrica per chi riesce a prenderne il controllo da remoto, ossia via Wi-Fi o Bluetooth, e poi comunica la tecnica privatamente a Tesla, che così può correggere la vulnerabilità con un aggiornamento software trasmesso a tutta la flotta via Internet.

Arriviamo così al presente. Anni di dimostrazioni, ricerche e imbarazzi mediatici molto forti rendono chiaro che gli errori di sicurezza informatica che vengono commessi da moltissime case automobilistiche sono straordinariamente banali, ovvi per qualunque informatico competente e dettati dalla foga di dotare le auto di nuovi gadget risparmiando però sui costi. Non sono casi in cui qualcuno ha usato una versione difettosa di crittografia ellittica o un generatore di numeri casuali inadeguato: alla crittografia proprio non ci hanno pensato.

Dopo tutte queste figuracce, potreste pensare che la lezione sia stata imparata, ma come avete già intuito dal tono della mia voce pensereste male. Siamo nel 2022, e ancora oggi ci sono case automobilistiche che affidano la sicurezza dei propri veicoli a un codice che tutti possono leggere semplicemente avvicinandosi all’auto.

---

L’informatico Sam Curry, insieme ad alcuni colleghi, ha infatti annunciato pochi giorni fa di aver scoperto un modo per sbloccare da remoto, avviare e localizzare qualunque Honda, Nissan, Infiniti e Acura statunitense dotata di sistemi di gestione via Internet. Per compiere l’attacco è sufficiente conoscere, ancora una volta, il numero di serie dell’auto o VIN che si legge attraverso il parabrezza.

La falla, spiega Curry, sta nei servizi telematici usati da queste case automobilistiche per la gestione remota dei veicoli. Tutte, infatti, si appoggiano a SiriusXM, che molti conoscono come una popolare emittente radio satellitare ma è in realtà anche fornitrice di servizi di connettività per Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru e Toyota (fonte: PR NewsWire).

Screenshot dal comunicato stampa di Sirius XM Holdings del 17/9/2015.

Curry e colleghi hanno scoperto il sito che gestisce l’attivazione dei servizi remoti per le singole auto: è Telematics.net. Non hanno avuto bisogno di arcani saperi digitali: hanno semplicemente usato una ricerca mirata in Google. Con quest’informazione hanno fatto un semplice monitoraggio passivo del traffico di dati fra l’app della Nissan, che si chiama NissanConnect, e l’auto, e si sono accorti ben presto che era sufficiente passare all’app il VIN di un’automobile per ottenere in risposta il nome del suo proprietario, il suo numero di telefono, il suo indirizzo di casa e i dettagli della vettura. Non c’era crittografia o altra protezione.

Proseguendo nella ricerca, Curry e colleghi hanno appurato inoltre che con lo stesso sistema potevano anche eseguire comandi sulle auto di cui conoscevano il numero di serie. Per fortuna hanno agito responsabilmente e invece di compiere sabotaggi in massa hanno avvisato SiriusXM, che ha corretto prontamente la falla.

---

Prima che a questo punto vi venga l’impulso irrefrenabile di buttar via la vostra auto piena di elettronica e cercarne una puramente meccanica che non abbia tutte queste falle, è importante ricordare tre cose. La prima è che ormai non esistono automobili recenti che non dipendano dall’elettronica, per cui rassegnatevi. La seconda è che ognuna di queste vulnerabilità, alla fine, è stata corretta. La terza è che ci sono tanti bravi informatici che si impegnano a snidare questi difetti per proteggerci.

Certo, sarebbe meglio se le case automobilistiche evitassero in partenza questi scivoloni, applicando i princìpi di base della sicurezza informatica. Ma finché la sicurezza verrà vista come un costo, invece che come un investimento, queste storie di ordinaria trascuratezza continueranno a ripetersi. Per cui preparatevi ad aggiornare il software non solo del computer, dello smartphone e del tablet, ma anche del computer su quattro ruote che vi porta in giro. E non lasciate le chiavi vicino alla porta di casa.

Nessun commento: