06 Luglio 2022
La corsa verso l'auto elettrica e i servizi di ricarica sta procedendo ad una velocità tale da attirare centinaia di "giocatori", incluse molte startup. L'obiettivo sembra essere quello di prendere ad ogni costo una fetta di questa torta, destinata a lievitare enormemente, non preoccupandosi di fare le cose per bene, ed è uno dei motivi che stanno dietro al recente hacking subito da Carge.
Le startup si buttano sul mercato con una logica MVP (Minimal Viable Product): sviluppo rapido, lancio in commercio il prima possibile, test della risposta degli utenti e, se questa è buona, procedono in corso d'opera con lo sviluppo integrando in un secondo momento gli altri aspetti, sicurezza inclusa. Funziona ovunque così, lo sappiamo, ma in una società sempre più basata sul software, la sicurezza non può essere messa in secondo piano o sviluppata in un secondo momento.
Ormai lo sanno anche i sassi, il futuro sarà dominato dal software. Ci sono Paesi e aziende (l'Est Europa è terreno fertile) dove i cacciatori di teste fanno letteralmente la guerra per trovare esperti e sviluppatori, ma sono ancora poche le società nel settore della ricarica che hanno capito che la sicurezza informatica è la prima gamba su cui costruire l'infrastruttura.
Una di quelle che ha dimostrato di saperci fare è Juice Technology AG, produttore di hardware che in realtà può essere considerato tranquillamente una software house proprio come Tesla. Gli svizzeri, addirittura, hanno organizzato un panel non per parlare di prodotto, ma di sicurezza, lanciando un appello a tutte le altre aziende.
Provate a pensarci: la ricarica delle auto elettriche si basa, sia in pubblico, sia in privato, sul creare dei punti di accesso che "collegano" Internet con la rete elettrica. L'auto stessa è una prima porta d'ingresso. La colonnina o la wallbox rappresentano poi un ulteriore e potenziale punto debole, sfruttabile dai malintenzionati per fare danni anche nel mondo reale.
Un consiglio per la lettura
Forse il concetto può essere difficile da comprendere: come può un hacker che lavora con linee di codice "intangibili" creare dei problemi a qualcosa di fisico? Gli esempi sono tantissimi.
I pericoli fisici di un'infrastruttura di ricarica poco sicura sono di ogni genere. Si parte dal banale furto di dati degli utenti, procedendo con il furto di denaro quando ci si inserisce nel sistema di pagamento della ricarica che sfrutta servizi di terze parti. Qui è possibile, ad esempio, manipolare una fattura: la si intercetta, si sostituiscono i numeri (rendendola più economica o più costosa) e solo dopo la si re-instrada nel suo percorso tradizionale con l'invio al processore dei pagamenti. Sempre sul tema dei furti, uno studio recente ha dimostrato come possa essere facile rubare l'energia per la ricarica tramite stazioni non sicure.
Altro esempio di attacco è il "denial of service", in grado di far fallire la ricarica. Potrebbe sembrare un danno trascurabile, una noia per l'utente, ma diventa la chiave per un'iniziativa di tipo ransomware ai network di ricarica.
Sempre in tema di ricatti, attaccanti molto esperti ed organizzati potrebbero essere in grado di mettere fuori uso la rete elettrica di un edificio, un condominio/azienda o un quartiere sfruttando continui cicli di attivazione/disattivazione della ricarica, effettuando l'operazione in maniera sincronizzata. Si tratta di uno scenario poco realistico oggi, le auto elettriche non sono molte, ma in futuro non è così fantascientifico vista la necessità dell'infrastruttura di ricarica di essere connessa in rete, sia per questioni di fatturazione, sia per la gestione del carico entro i limiti di potenza dell'impianto quando bisogna distribuire l'energia su più auto in ricarica contemporanea.
Fin qui si è parlato di disservizi, ricatti o furti. Ma cosa succederebbe se, tramite attacco informatico, il malintenzionato potesse danneggiare la batteria dell'auto stessa cambiando i parametri della ricarica? Il rischio è quello di disattivare i sistemi di controllo delle celle, sofisticati e delicati. Con un incremento di potenza si ottiene facilmente un incremento di temperatura se i sistemi di controllo della stessa vengono compromessi... fino al possibile incendio delle batterie.
Software First e Security by Design sono le parole chiave note a chi si occupa di programmazione: semplificando, significa che qualsiasi prodotto connesso che dovrà nascere nei prossimi anni, dovrà avere una genesi che parte dal suo software e la sicurezza dovrà essere sviluppata già dalle prime fasi, correndo in parallelo dalla nascita fino al debutto in commercio.
La soluzione di Juice Technology rappresenta un'eccellenza e ha recentemente ottenuto la certificazione ISO/IEC 27001 per la sicurezza delle informazioni e la protezione dei dati.
Perché è importante? Per la raccolta dei dati della Tesla Model 3 mi avvalgo di un sistema "fatto in casa", con un Raspberry dove vengono registrate le informazioni accessibili solo in rete locale (ve ne parlerò prossimamente). Proprio perché non mi fido di nessuno. Di recente ho provato anche j+ pilot (Android - iOS), l'applicazione di Juice, che richiede i dati dell'account Tesla al primo accesso. L'ho fatto solo perché non sono memorizzati da nessuna parte e viene generato un token che garantisce il collegamento, con il vantaggio di fornire (pur solo per gli istanti necessari a garantire l'accesso) queste informazioni sensibili ad un'azienda che ha provato la sua attenzione in materia di sicurezza
La strategia dell'azienda è quella di ricorrere a chipset proprietari sviluppati in casa, crittografia come standard per qualsiasi aspetto e una nutrita schiera di test, effettuati sia dal team interno, sia da ingegneri software indipendenti, tanto che esiste un "bug bounty program" che permette a chiunque di ottenere una ricompensa in denaro a fronte della segnalazioni di vulnerabilità e rischi per la sicurezza. Inoltre, anche i partner aziendali con cui collaborare sono scelti in base al loro approccio alla sicurezza, scartando quelli che non fanno di questo aspetto una priorità. Inoltre la sicurezza sfora anche nella facilità di utilizzo, per questo Juice è stata fra le prime a consentire di attivare la ricarica con la carta di credito, senza app o dispositivi da portarsi dietro.
Il problema fondamentale, ed è questo l'appello lanciato dall'azienda, è che tutti gli attori in ballo dovranno essere sensibilizzati sul tema. La sicurezza deve essere l'aspetto primario anche per i proprietari di edifici in cui vengono installati punti di ricarica o per le società che gestiscono l'infrastruttura, perché altrimenti si creerebbero dei punti deboli, delle porte di accesso da parte dei criminali che solo un approccio olistico può eliminare.
Commenti
Vedi il punto è semplice. Quando fanno un bando ti scrivono "security by design", ficoooo. Ok a livello di sicurezza sono apposto!!1!!
Peccato non funzioni così, presupponendo che siano stati eseguiti test di sicurezza seri (e credimi non sempre è così), il software va comunque mantenuto, cosa che veramente ormai fanno in pochi. Sai quanti OS hanno ancora librerie ssh buggate perché nessuno si azzarda ad aggiornare il sistema in quanto la società che ha sviluppato il software non ti da supporto (perché magari il contratto non lo prevede, sai risparmiare sulla sicurezza per avere lo stipendio gonfio è un modus operandi assai diffuso). Quindi spesso il problema non è neanche la prima release in produzione, ma è il dopo che nessuno considera mai o quasi.
no no, distributore impazzito, dava benzina a tutti. Io saltavo sul tubo, ma avevo costruito un aggeggio che mi semplificava molto la vita :)
saltare sul tubo
Sicuro, ormai TLS è un must anche per la comunicazione più banale
Articolo interessante, chissà se anche in ottica sicurezza nazionale questi temi sono stati presi in considerazione. Perché le minacce ormai sono molto più liquide rispetto ad una singola nazione considerata nemica dell'occidente, come insegnano i cyberattacchi ad aziende ed istituzioni pubbliche degli ultimi anni
Infatti la logica è proprio questa, ci si focalizza inizialmente sui fondamentali poi si migliora su dettagli e funzionalità avanzate.
Ma se nelle sue funzioni fondamentali il prodotto/servizio/app non prevede delle minime logiche di security c'è un problema di fondo...e allora hai voglia a trovare i clienti.
Ad esempio di più passare da una semplice comunicazione iniziale via internet ad un canale privato, ma anche nella versione base un minimo di crittografia deve esserci (TLS)
Solitamente, come dice l'articolo, le startup non hanno soldi per fare un prodotto super definito e dettagliato e ottimizzato, ma ad una startup solitamente non serve subito un prodotto simile. Fino a che non trovano un product market fit possono avere la migliore applicazione del mondo ma non partirà mai se è una bellissima e potentissima applicazione inutile. Quindi ci sta che inizialmente protegga anche solo da certi aspetti, se poi trovano user interessati possono puntare a proseguire su quella strada e poi ripetere all'infinito.
Che poi la logica MVP dovrebbe rinunciare a certe funzionalità o dettagli non essenziali, non alle logiche e misure di cybersecurity...quelle sono sempre un must
Come tutto l'IoT la sicurezza è fondamentale avendo molteplici punti di attacco (e i danni potrebbero essere di un certo livello...).
In ambito automotive infatti a breve entrerà in vigore una legge europea specifica (UNECE)
*predisposizione xD
Sorry, bro. T'ha scammato.
Non dire così
Era super fake, nessuno ti fa subito un Sysop quando entri in un BBS.
E cosa più importante le aziende di armamenti americane non usavano un BBS per tenere le informazioni.
Ma questo è il futuro non si può andare in giro a vita con penna e biro ne con la benzina. I criminali son sempre esistiti e sempre esisteranno, non li puoi cancellare gli hacker
è successo molti ma molti anni fa, la gente si faceva 90km a/r con bidoni bottiglie etc etc. Quando ancora gli impianti di videosorveglianza non erano così diffusi, parliamo di anni 90
Lo penso da molti anni ora mai, stiamo costruendo grattacieli su sabbie mobili. I sistemi stanno diventando talmente complessi che è impossibile gestirli a "basso livello" ma questo "basso livello" presenta rischi di sicurezza enormi. Poi, a parte un discorso prettamente tecnico, tutto questo correre verso l'informatizzazione, essendo informatico, per me ovviamente ha senso, ma siamo pronti? Stanno prendendo in considerazione l'analfabetizzazione informatica? Facendo anche il tecnico IT e restando sulla procedura informatica sotto gli occhi di tutti, in azienda ho visto parecchia gente che non riusciva a scaricare il greenpass in formato elettronico, tutti in giro che le fotocopie. Come possiamo pensare a questa rivoluzione digitale tanto sbandierata? Per me è un po come l'elettrico, stanno spingendo tanto ma, a mio modo di vedere, non hanno fatto bene i conti e prima o poi ne pagheremo il prezzo.
Se avete soldi da parte investiteli in cybersecurity, se dovete scegliere un percorso formativo puntate alla cybersecurity, se possedete cose a cui tenete (asset, informazioni, beni fisici) preoccupatevi della loro esposizione al mondo tecnologico e fate sempre una valutazione sui rischi.
C'è ancora tantissima ignoranza, stiamo costruendo un nuovo mondo senza adeguate fondamenta da ormai un decennio e presto tutti i nodi verranno al pettine.
Non saprei, a me piace pensare che non lo fosse
adnkronos.com/benzina-gratis-assalto-a-distributore-40-denunciati_OioCVQZwscU4xxVGjsmj
Ma era fake? Ai tempi avevo indagato e c'erano opinioni contrastanti
Hackerino è il numero uno
Io preferisco POV
PWM
:D
Sempre mitico...
Sarebbe molto molto pericoloso
Immagina una pompa di benzina che 'sovraccarica' il serbatoio con il carburante in eccesso. Sarebbero tutti in fila a farci benzina :D .
Io preferisco PVM
"logica MPV", MVP caso mai...
Stacca stacca (il cavo di ricarica)! https://uploads.disquscdn.c...