Hacker dimostrano che via Internet si può prendere il controllo di un’automobile

    0

    C’erano una volta i meccanici, gli elettrauto, i carburatoristi, quando l’automobile era un oggetto sul quale, con un minimo di conoscenze, chiunque poteva mettere le mani. Oggi c’è l’esperto di autonica e l’automobile si è trasformata in un computer con le ruote. La tecnologia si evolve e non ci si può fare nulla. Però…

    Però succede che il 24 luglio scorso la FCA dirama un imponente richiamo sul mercato americano di quasi un milione e mezzo di veicoli del gruppo per un importante “software update” correlato ai rischi di attacco hacker. Dunque?

    Il 21 luglio la rivista americana Wired pubblica un inquietante reportage del giornalista Andy Greenberg che si era messo volontariamente a disposizione di due esperti informatici per testare sul campo i risultati di tre anni di ricerche nel cosiddetto “car-hacking” (termine di difficile resa in italiano ma che potremmo tradurre con “intrusione informatica in un autoveicolo”).

    Il titolo dell’articolo è eloquente: “Hackers Remotely Kill a Jeep on the Highway – With Me in It”. Infatti, i due “pirati informatici” avevano preso il controllo da remoto (cioè via Internet dal divano di casa) di una Cherokee di serie del 2014 che il giornalista guidava a 70 miglia orarie lungo un’autostrada di St. Louis, manipolandone il climatizzatore, la radio e il display del computer di bordo, azionandone i tergicristalli, e, infine, spegnendone il motore costringendo così Greenberg ad accostare rischiando il tamponamento. Poco dopo, in un parcheggio, gli hacker avevano dato prova di azioni ancora più potenzialmente pericolose, come la disattivazione dei freni o il controllo dello sterzo.

    I due “sabotatori”, che hanno sfruttato una falla di sicurezza nel sistema software di “infotainment” del veicolo (usato per collegarsi a Internet), sono in realtà due super esperti informatici: Charlie Miller, consulente per la sicurezza di Twitter ed ex hacker per la National Security Agency, e Chris Valasek, ricercatore per la sicurezza automobilistica. Da qualche anno studiano il modo per prendere il controllo non autorizzato e a distanza di un veicolo, a scopo dimostrativo. C’erano già riusciti, ma soltanto collegandosi con un cavo ai sistemi di bordo, e le case automobilistiche non li avevano presi sul serio. Da lì la decisione di concentrarsi sul controllo da remoto che, ne erano certi, avrebbe fatto più notizia.

    Be’, l’attacco fa notizia, eccome, al punto che la FCA, comunque tenuta al corrente dell’evoluzione dei test (il 16 luglio, infatti, rilascia una sibillina e alquanto generica nota di “software update”), si vede obbligata a commentare la notizia su un suo blog ufficiale. La stampa naturalmente si scatena lanciandosi nell’analisi dei retroscena dell’articolo, in particolare un post su Fortune svela molti dettagli.

    Alla fine, è il 24 luglio, FCA è costretta a diramare il già citato richiamo riguardante 1,4 milioni di veicoli (non solo Jeep Cherokee, ma anche Dodge Viper, pickup Ram, Dodge Durango e Challenger) costruiti tra il 2013 e il 2015 e dotati del sistema di “infotainment” incriminato.

    Si tratta forse del primo caso di richiamo su vasta scala nella storia dell’automobile indotto da problemi di sicurezza informatica per evitare che veicoli vulnerabili cadano in mano di pirati informatici senza scrupoli. La protezione dei sistemi digitali, da cui le auto moderne ormai totalmente dipendono, è la nuova frontiera.

    Tutto ciò non deve sorprendere (ma preoccupare, quello sì). In fondo sono anni che gli aeroplani sono totalmente comandati via computer e non tramite sistemi fisici. Perché non dovrebbe succedere anche con le auto?

    Purtroppo l’industria automobilistica si sta modernizzando a tappe forzate, e, si sa, la fretta non è mai buona consigliera. Gli errori sono in agguato. Uno di questi è di trascurare, nei fatti se non nelle parole, la sicurezza dei sistemi digitali da cui le auto moderne ormai totalmente dipendono.

    Siamo da tempo nell’era delle “centraline” (chi non ha mai pensato a una “rimappatura” usando un kit?) e del car tuning digitale. I carburatori sono praticamente scomparsi sostituiti dall’iniezione elettronica (ricordate i vari badge “IE”)? L’elettrauto si è trasformato in un esperto di autonica che si destreggia tra computer, schede elettroniche e aggiornamenti software. Ma, in fondo, anche l’ABS computerizzato (per la cronaca il primo fu realizzato alla fine degli anni ’60 per un aereo, il Concorde…) risale a quasi mezzo secolo fa (ne fu dotata l’americana Imperial del 1971).

    Oggi l’automobile è più simile a uno smartphone o a un tablet (questo il paragone usato proprio da FCA in quel comunicato di “software update” citato sopra). In effetti, negli anni 80, le Electronic Control Unit (ECU, insomma, le centraline) si trasformano in veri e propri computer e col tempo si sono impadronite di sempre più sottosistemi fino al controllo totale di ogni funzione.

    Questo significa che anche l’automobile, come i computer (pc, tablet o smartphone che siano) sono a rischio scurezza informatica. Già mi immagino cosa potrebbe fare un commando cyberterroristico avendo a disposizione un esercito di automobili impazzite. Scenari da Netcrash

    (Il presente testo, in una versione più sintetica e più “auto”-centrica, è stato pubblicato, nella forma di editoriale dal titolo “Se il richiamo è digitale”, sulla rivista Auto d’Epoca di Settembre 2015)