Sicurezza delle auto connesse. Il punto con Gianpiero Costantino

0
Sicurezza delle auto connesse. Il punto con Gianpiero Costantino

Quali sono i possibili rischi legati allo scenario dei veicoli connessi?
Gli attacchi possono avere un impatto sia dal punto di vista della sicurezza, informatica e fisica, che sulla privacy dei dati. Nel primo caso, una vulnerabilità scoperta, ad esempio sul sistema di infotainment, può essere utilizzata per comprometterne il software e quindi renderlo del tutto inutilizzabile o in parte. Uno scenario ancora più pericoloso è quello relativo alla sicurezza fisica delle persone che si trovano all’interno dell’auto e, in alcuni casi, anche all’esterno. Un’auto connessa e attaccata da remoto potrebbe subire malfunzionamenti con la conseguenza di generare incidenti piuttosto gravi. Pensiamo, per esempio, alla manomissione dei freni. Infine, il rischio legato alla privacy dei dati circolanti anche sul sistema di infotainment potrebbe dar vita ad un processo di estrapolazione e analisi non autorizzata di informazioni sensibili dell’utente.

I principali vettori d’attacco?
Da quando le auto sono connesse a Internet, la superficie di attacco si è estesa, includendo anche gli attacchi da remoto. In questo caso, si parla di attacchi che sfruttano una connessione ad Internet attraverso tecnologie di connettività come 3G/4G/5G o WiFi. Gli attacchi da remoto si sono aggiunti a quelli già esistenti che avvenivano attraverso una connessione locale, per esempio direttamente alla rete interna del veicolo oppure attraverso la porta di diagnostica OBDII disponibile in ogni veicolo.

Quali sono gli obiettivi?
Gli obiettivi sono vari, come le conseguenze del resto. Si va da attacchi poco pericolosi, come alterare il sistema di infotainment cambiando la stazione radio o manomettere il sistema di funzionamento del quadro strumenti, ad attacchi molto gravi che possono avere impatto sulla sicurezza delle persone, come disattivare i freni, far sterzare improvvisamente l’auto o modificare la velocità del veicolo.

Al momento nell’industria automobilistica ci sono standard di sicurezza condivisi?
Al momento non esiste ancora uno standard, ma è in fase di definizione. Nelle auto vendute attualmente, ogni produttore segue delle linee guide interne di sicurezza informatica che possono variare anche sulla base dell’esperienza di attacchi subiti.

Qual è la situazione sul piano delle soluzioni di cybersecurity impiegate in questo settore?
Di anno in anno le soluzioni impiegate aumentano. Tuttavia non esiste, o quantomeno non è pubblica, una programmazione definitiva in cui sono definite contromisure in questo ambito. Quello che si può dire è che l’attacco del 2015 di Miller e Valasek nella Jeep Cherokee ha segnato l’”anno zero” degli attacchi sulle automobili e, da allora, sono state adottate soluzioni di sicurezza informatica, come ad esempio il partizionamento delle reti interne del veicolo o l’introduzione di Security Gateway per “filtrare” comunicazioni non autorizzate.

Veniamo alla tua attività di ricerca in questo ambito. Ci spieghi cos’è Candy Cream?
L’ispirazione ci è venuta in seguito all’attacco sulla Jeep Cherokee. Con la mia collega Ilaria Matteucci e con il supporto di due tirocinanti, ci siamo chiesti quanto ci saremmo potuti avvicinare a quell’attacco. Diciamo che abbiamo fatto un bel lavoro, anche se abbiamo evitato di far cadere l’auto nel fosso! Candy Cream è stato sviluppato su un sistema di infotainment aftermarket in cui, attraverso una prima fase di vulnerability assessment, è stata riscontrata una vulnerabilità importante che ci ha permesso di accedere da remoto. Successivamente, si è cercato di raggiungere la rete interna dell’auto, con un risultato davvero interessate: abbiamo trovato il modo di “interagire” in maniera non autorizzata sia con l’apertura/chiusura centralizzata dell’auto che con il suo quadro strumenti. Su youtube (https://youtu.be/Hs73o8RxnNE) è disponibile il video che mostra Candy Cream in azione.

Quali dovrebbero essere i requisiti minimi per lo sviluppo di software sicuro nel settore automotive?
Questa domanda andrebbe rivolta a chi è direttamente coinvolto nello sviluppo. Quello che però posso dire è che, attualmente, un requisito fondamentale come la sicurezza-by design non è considerato un must. Tale mancanza potrebbe rendere la scoperta di nuove vulnerabilità più semplice. Inoltre, sarebbe importante poter eseguire dei test interni dei dispostivi prima di metterli sul mercato, a partire dalla possibilità di effettuare fasi di “vulnerability assessment” per scoprire eventuali vulnerabilità, come ad esempio le 0-day. Tuttavia, questi due importanti requisiti sono in conflitto con il tempo necessario per mettere in produzione il dispositivo e con il suo costo finale.

Pensi che con la guida autonoma lo scenario si complicherà ulteriormente?
Non abbiamo ancora avuto la possibilità di lavorare su un veicolo di questa tipologia, ma penso di sì. Infatti, basta “proiettare” le attuali soluzioni di guida assistita per immaginare uno scenario più delicato dal punto di vista della sicurezza. Quindi, se non si comincia già da oggi a sviluppare del software e hardware sicuri, potremmo trovarci davanti uno scenario non piacevole.

Quanto sarà importante lavorare lato user sulla consapevolezza e la cultura dei rischi?
Penso che questo aspetto sia fondamentale come lo è attualmente per tutti i dispositivi connessi, come ad esempio i PC e gli smartphone. L’utente dovrebbe conoscere quali sono i pericoli e attraverso quali canali e metodologie potrebbero arrivare. Oggi, nel dominio PC si cerca di far crescere la consapevolezza verso gli utilizzatori. Nel dominio automotive, invece, c’è ancora molta strada da fare. Basta pensare che oggi quando si parla di sicurezza nei veicoli, le gente pensa (anche giustamente) alla sicurezza intesa come sicurezza fisica, senza associarla a quella informatica. Per quanto riguarda gli aggiornamenti firmware, come ad esempio quegli Over-the air, si sta lavorando per renderli più sicuri. Tuttavia, l’utente dovrebbe capire che l’aggiornamento firmware su un’auto non serve soltanto per fornire nuove funzionalità o aggiornare le mappe del navigatore, ma potrebbe integrare aggiornamenti di sicurezza importanti.