Cerca nel blog

2017/07/22

Comprereste un’auto che si aggiorna da sola via Internet come un telefonino?

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/07/27 21:40.

Daimler ha annunciato qualche giorno fa che spenderà 220 milioni di euro per aggiornare il software di gestione delle Mercedes diesel europee, allo scopo di migliorare le prestazioni del sistema di controllo dei gas di scarico. L’aggiornamento, a quanto pare, dovrà essere effettuato in officina, e così mi è venuto spontaneo un commento:



Non l’avessi mai fatto: se date un’occhiata alla conversazione che ne è scaturita, noterete le reazioni angosciate di molti commentatori all’idea che un’auto aggiorni il proprio software automaticamente, senza passare da un intervento in officina, scaricandolo via Internet (OTA, over the air) come fa uno smartphone o un computer.

Sono emerse le paure e le dicerie più strane, per cui credo che valga la pena di cogliere l’occasione per sentire le vostre opinioni e sensazioni sul tema proposto dal titolo e per smontare alcuni miti a quanto pare piuttosto diffusi. Mentre alcuni vedono l’aggiornabilità del software di un’auto come un enorme vantaggio (l’auto invecchia di meno e può migliorare le proprie prestazioni anche dopo l’acquisto), altri la percepiscono come un pericolo. È un sentimento di diffidenza che, se diffuso, può seriamente compromettere il successo di una casa automobilistica, per cui non va sottovalutato: poco importa che abbia basi razionali o no.

Qui sotto faccio occasionalmente riferimento all’unica auto aggiornabile OTA che conosco (Tesla), ma i concetti generali valgono per qualunque marca.


Aggiornamenti a sorpresa? No. C’è chi teme di accendere l’auto la mattina e subire l’“effetto Windows”, ossia di dover aspettare che gli aggiornamenti s’installino, o che addirittura la procedura di aggiornamento parta da sola durante la guida, creando scompiglio o rendendo ingovernabile l’auto. Assolutamente no: bisognerebbe essere pazzi per implementare un sistema del genere. Più semplicemente, si può fare in modo che l’aggiornamento venga scaricato e installato in un momento scelto dall’utente, per esempio di notte, quando l’auto è ferma in garage. Inoltre l’aggiornamento può essere proposto e non imposto.

E se l’aggiornamento si pianta? Non è che l’auto diventi un ammasso di ferraglia immobile. Si può fare in modo che il software venga scaricato e verificato prima di tentare l’installazione (checksum): cose che si fanno da tempo in informatica. Si può implementare un rollback: se l’aggiornamento non si installa correttamente, l’auto torna alla versione precedente.

E se l’aggiornamento mi peggiora le prestazioni? Non è una fantasia: stando ai reclami, è già successo con le Jeep Renegade Fiat nel 2017, a quanto pare per evitare un Dieselgate, come mi segnala mambo nei commenti. Questa, però, non è questione tecnica, ma una questione legale e di politica aziendale. I consumatori e gli enti che li tutelano dovranno attrezzarsi ed essere vigili, in modo che chi bara in questo modo venga punito.

Incubo hacker. C’è chi teme che aggiornare un’auto via Internet, o peggio ancora avere un’auto costantemente connessa a Internet, esponga al rischio di un attacco informatico. E se si scarica un aggiornamento falso, creato da criminali? Dipende com’è fatta la procedura di scaricamento e aggiornamento. Chiunque abbia un briciolo di buon senso la implementa in modo che sia l’auto a interrogare il server degli aggiornamenti della casa produttrice, e lo faccia in modo cifrato e autenticato; firma digitalmente gli aggiornamenti con una chiave di autenticazione robusta (code signing) e fa in modo che l’auto accetti solo aggiornamenti firmati con quella chiave. Si fa in modo, insomma, che un criminale informatico non possa semplicemente inviare un file a un’auto e sperare che l’auto lo installi.

Farlo in officina è più sicuro (no). Molti preferiscono un intervento in officina, ma in realtà questo non fa che spostare il punto di attacco senza offrire alcuna garanzia aggiuntiva. Il tecnico in officina non fa altro che scaricare l’aggiornamento e poi installarlo. Di certo non controlla il codice (ammesso che sappia e possa farlo). Se lo scarica su un PC infetto, magari quello sul quale gioca a GTA craccato nei momenti liberi, rischia di infettare le auto dei clienti. Il concetto di officina come punto centrale di attacco (watering hole) è già stato dimostrato.

Ma non è mai stato fatto prima. In realtà Apple e Microsoft gestiscono da anni lo scaricamento sicuro degli aggiornamenti. Se ci riescono loro, può riuscirci anche una casa automobilistica.

Ma non è tecnicamente possibile essere così affidabili. Lo è: la NASA e l’ESA, per esempio, aggiornano periodicamente il software delle proprie sonde interplanetarie. I loro sistemi di controllo sono progettati per sopravvivere alle condizioni più impegnative, nelle quali è impossibile andare a premere Reset o reinstallare da zero e ci sono in ballo miliardi.

Ma l’aggiornamento OTA potrebbe trasformare l’auto in un killer. Si pensa, per esempio, a un baco del software o a un sabotaggio intenzionale, che in certe condizioni manda in tilt i freni o causa accelerazioni incontrollate. In effetti potrebbe succedere. Ma fare un aggiornamento in officina comporta lo stesso rischio. Anche non aggiornare ha lo stesso problema: chi vi dice che il software corrente non abbia lo stesso baco/sabotaggio dormiente?

Ma ci sarebbe il movente del ricatto. Sì, un attacco informatico che riuscisse a compromettere gli aggiornamenti di un’intera flotta sarebbe disastroso per la reputazione aziendale. Ma perché prendersi tutta questa briga, trovando qualcuno talmente bravo da superare tutti gli ostacoli informatici di sicurezza, quando è molto più facile un ricatto basato, che so, sul rapimento dei figli di un dirigente? Una cosa tipo “Musk, smetti di fare auto o tuo figlio fa una brutta fine”? I criminali non sono scemi: preferiscono la maniera più semplice che richieda lo sforzo minimo.

E se restassimo con l’auto che non si aggiorna? Purtroppo questo non risolverebbe il problema, perché anche le auto che non hanno la funzione di aggiornamento possono avere difetti nel software di bordo che consentono di attaccarle (come è successo con le Jeep Cherokee e con altre marche). Cosa peggiore, non essendo aggiornabili non è possibile, o è onerosissimo, correggere la vulnerabilità (come nel caso di GM, che ci ha messo cinque anni). Un’auto aggiornabile OTA può risolvere la vulnerabilità in pochi giorni (è successo nel 2016 per una falla di Tesla).


In sintesi: realizzare un sistema di aggiornamento OTA per auto sicuro si può (e si deve, visto che comunque è software che gestisce una tonnellata o due in movimento ad alta velocità con persone a bordo). Se fatto bene, ha lo stesso livello di rischio (o un livello minore) di un aggiornamento fatto in officina o di un non aggiornamento. Quello che dobbiamo chiedere alle case automobilistiche è di usare i criteri di affidabilità della NASA e non quelli del massimo risparmio.


2017/07/27 21:40. A proposito della sicurezza informatica di Tesla, visto che qualcuno mi scambia per un fanboy, segnalo questi commenti di Charlie Miller di oggi (se non sapete chi è, Googlatelo).

Next up: the main event (for me), the keen team talking about their @TeslaMotors hack from last September. I've been waiting for details.

tesla will connect to previous SSIDs and reload last page visited, attacker can intercept this traffic and attack browser.

They used an old webkit bug from 2012 for exploitation and a bug from 2011 for info leak.

They get a restricted shell and then exploit a kernel bug from 2013. it's funny how everyone says tesla takes security so seriously.

the gateway runs powerPC. they flash new firmware onto it (this is like we did against jeep). There was no code signing (like jeep)

(tesla added code signing on flashing the gateway after this vuln was reported)

it's unknown whether fiat chrysler added code signing for the jeep

some ecus don't respond while driving. they block the speed messages with the gateway

wow, the ecus use a fixed key for security access. ford, toyota, and fiat chrysler didn't make that silly mistake. nice job

i remember when everyone applauded tesla for their security at defcon during marc rogers talk in 2015.

i think tesla does a lot of security stuff right and should be commended, but let's not go overboard on congratulating them

keen team talking about new exploit chain from 2017 including model X. bypasses new code signing. no details on the 2017 vulns for now.


Fonte aggiuntiva: Ars Technica.

Nessun commento: