L'attacco hacker di WannaCry ha colpito una quantità impressionante di Paesi nel mondo - si parla di 99 nazioni infestate dal cyber virus, che rappresentano circa la metà degli Stati presenti sul pianeta. Il numero di PC attaccati è salito vertiginosamente nei giorni scorsi e pensare ai temi legati alla sicurezza delle auto connesse ad internet è un aspetto molto attuale a cui dover dare delle risposte. 

Le auto come PC

Secondo le ultime stime realizzate dall'Osservatorio IoT del Politecnico di Milano, sono 14,1 milioni gli oggetti connessi alla rete cellulare in Italia, di cui 7,5 milioni di automobili. Questi numeri dovrebbero far comprendere quali rischi e quali conseguenze potrebbe avere un attacco hacker di massa ad un settore strategico come quello dei trasporti.

Pensare che un numero indefinito di auto o camion possano essere presi in ostaggio di un gruppo di malviventi informatici proprio come fatto da WannaCry con i PC è uno scenario con conseguenze molto gravi. Per comprendere quali siano i rischi che corrono le auto connesse alla rete e quali siano i passi da fare per difendere la propria auto da un attacco hacker, abbiamo fatto una chiacchierata con i ragazzi di Argus Cyber Security.

Jeep (suo malgrado) ha fatto scuola

Argus è una società fondata nel 2013 per rispondere ad un continuo bisogno di protezione dal cybercrime, nel settore auto e non solo. La sede di Argus è a Tel Aviv (Israele) ma gli uffici sono in tutto il mondo e del resto sono internazionali anche i suoi finanziatori. da Magna International ad Allianz Digital Corporate Ventures.

Jesse Sultanick, marketing manager di Argus, è convinto del fatto che i problemi possibili non riguardino solo le auto di ultima generazione o quelle che verranno ma anche quelle nate alla fine degli anni '90:

"Qualsiasi auto abbia una "porta di ingresso" al sistema di controllo dell'auto può essere hackerata. Basti pensare che in USA è obbligatorio che le auto vendute dopo il 1996 siano dotate di una connessione per i servizi di diagnostica. Queste porte possono essere utilizzate per connettere dispositivi di controllo delle abitudini di guida, così da ricavare dati utili ad ottenere tariffe assicurative migliori. Per questo anche le auto prodotte nei tardi anni '90 sono soggette a rischi"

Ha fatto scuola il caso che portò Jeep a richiamare 1,4 milioni di Cherokee sul mercato americano in seguito all'episodio di hackeraggio compiuto da Chris Valasek e Charlie Miller davanti ai colleghi attoniti di Wired, che dimostrò cosa fosse possibile fare una volta connessi al veicolo da remoto. Come se non bastasse la rete trasformerebbe i ladri di auto da semplici scassinatori di portiere a trafugatori di porte USB, armati di un portatile anziché di un piede di porco o simili, come mostra il video qui sotto.

Nel 2020 il 99% delle auto saranno connesse

Ovviamente questo problema non sussiste se l'auto non ha "porte" di accesso, che possono essere connessioni Bluetooth, wi-fi o alla rete cellulare. Certo è che se in futuro le automobili avranno tutte una connessione ad internet (e la avranno) il problema diventerebbe molto complesso ed anche costoso da risolvere o gestire in caso di attacco hacker - secondo Automotive World nel 2020 il 99% delle automobili di nuova immatricolazione saranno connesse ad internet in qualche modo.

Il fatto che le automobili connesse possano essere attaccate, rese inutilizzabili, rubate o quant'altro, non dovrà comunque fermarne lo sviluppo visto che i vantaggi apportati da un'automobile connessa alla rete in termini di servizi offerti e sicurezza è molto elevato. Questo vantaggio aumenta se si considera che un domani le automobili potrebbero portarci da A a B senza che nessuno tocchi il volante, trasformando di fatto un veicolo privato in un ufficio mobile o il proprio salotto viaggiante, in cui lavorare, ascoltare musica e guardare un film e molto altro.

Non deve valerne la pena

Per questo la strategia ideale identificata da Argus Cyber Security è quella che viene utilizzata in molti altri ambiti appetibili da eventuali malintenzionati: rendere il costo del furto, in termini di tempo e fatica, così alto da far desistere chi lo vuole compiere. Oltretutto, come dimostrano le scelte recenti compiute da alcuni costruttori e come ha dimostrato essere efficace in altri ambiti come quello dei PC e smartphone, l'apertura dei sistemi di infotainment a soggetti terzi per lo sviluppo di app innalza il livello di rischio per l'installazione di malware o virus sul sistema di bordo.

Non solo. Già ora è possibile leggere gli sms in entrata sul proprio smartphone, perciò nel momento in cui si potranno leggere in sicurezza le mail in arrivo (mentre l'auto ci porta a destinazione autonomamente) potrebbe anche accadere di incappare in qualche messaggio di posta indesiderato portatore di virus come nel caso di WannaCry. In questa ottica lo sviluppo di sistemi che si potrebbero dire "multi-strato" è fondamentale.

Un lungo percorso ad ostacoli

Per ottenere il pieno controllo del veicolo l'hacker dovrà lavorare duramente per superare tutti gli ostacoli di cui il sistema dispone, bloccando in caso di necessità il resto dei punti cruciali sensibili qualora uno di quelli previsti sia in pericolo. Potrebbe accadere quindi che nel tentativo di aprire l'auto da remoto si attivi una procedura d'emergenza che blocca l'accensione del motore (oltre ad inviare un segnale d'allarme al proprietario), rendendo impossibile spostare l'auto. Queste strategie trovano poi un valido alleato nel continuo aggiornamento dei sistemi informatici (anche Over-the-Air, come su cellulari e PC) da parte dell'utente, così da correggere continuamente bug e falle nei sistemi di sicurezza.

Progettare con la sicurezza in mente

Chiaramente questi problemi di sicurezza applicati al mondo delle automobili sono recenti e ancora in larga parte inesplorati ed è per questo che aziende come Argus affiancano i costruttori in tutte le fasi di sviluppo dell'auto.

"In futuro, i veicoli dovranno essere progettati con la sicurezza digitale bene a mente così da rendere il processo di attuazione di un attacco informatico così lungo e difficile da rendere costi e tempi insostenibili per i ladri. Noi supportiamo le aziende dall'inizio della progettazione e fino ad eventuali problemi successivi alla messa in commercio"

Alcune procedure di sicurezza dovranno prevedere l'analisi di dati sensibili per la privacy del conducente, motivo per cui le leggi dovranno preoccuparsi di creare un ambiente in cui i software ed i programmatori possano muoversi per garantire sicurezza e privacy e garantire un uso dei sistemi all'altezza delle aspettative, richiedendo così un intervento diretto e tempestivo della politica e delle istituzioni.

L'auto connessa alla rete è la sfida più grande che attenderà al varco i costruttori negli anni a venire ed è la variabile che (probabilmente) più modificherà il mondo come lo conosciamo. Per questo lavorare per garantire la sicurezza sulle auto del futuro è fondamentale oltre che una sfida molto impegnativa e pressoché sconosciuta. Qual è la vostra idea a riguardo?