È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.
Le puntate del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.
Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di
questa puntata, sono qui sotto.
—
[CLIP: audio dell’abitacolo di un’auto nel quale la radio è ad altissimo
volume, seguito dalle imprecazioni censurate del conducente e dal rumore di un
impatto. Immagine tratta da
Wired.]
I rumori che avete sentito sono le reazioni leggermente scomposte di un
conducente di un’auto presa di mira da un attacco informatico. Siamo nel 2015,
e due hacker, Charlie Miller e Chris Valasek, via Internet alzano al massimo
il volume dell’autoradio, spaventando il conducente e disabilitando la
manopola del volume, e quasi lo accecano attivandogli il lavavetri. Poi gli
tolgono potenza al motore e infine disattivano i freni, facendo finire l’auto,
lentamente ma inesorabilmente, fuori strada in un fossato.
Il conducente se la cava con un grosso spavento, ma Charlie e Chris non
finiscono in carcere, perché l’attacco
è stato autorizzato a scopo dimostrativo dalla vittima, che è un giornalista
della rivista Wired.
Se qualcuno vi parla di hackeraggi a distanza di automobili, quasi sicuramente
la prima marca che vi viene in mente è quella che per molti è la più
informatizzata in assoluto: Tesla. Con i suoi aggiornamenti software ricevuti
via Internet, i suoi computer di assistenza alla guida, la sua app che
permette di comandarla a distanza e quel tablet che troneggia sul suo
cruscotto, sembra il bersaglio perfetto per un attacco informatico. E in
effetti qualche falla memorabile in passato l’ha dimostrata.
Ma sarebbe un errore crogiolarsi nell’idea che le altre marche di auto meno
computerizzate siano immuni ad attacchi. Infatti l’attacco che ho appena
descritto ha riguardato una marca estremamente convenzionale: le Jeep delle
annate 2013-2014 di FCA o Fiat Chrysler, che confluirà poi in Stellantis.
Tranquilli: la falla informatica è stata poi risolta.
Ma questa è la storia di come tutto il settore automobilistico ha
sottovalutato, e continua a sottovalutare, il problema della sicurezza
informatica dei suoi prodotti, e di cosa possiamo fare per ridurre
concretamente questo problema.
Benvenuti alla puntata del 2 dicembre 2022 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Gli attacchi informatici, o perlomeno elettronici, alle automobili risalgono a
ben prima dell’avvento di Internet. Quando arrivarono i primi telecomandi a
infrarossi per sbloccare e bloccare le portiere, nessuno pensò alla sicurezza,
e così mi capitò di essere amichevolmente beffato da un amico
[ciao Andrea :-)] che mi aprì da remoto la mia
Renault Supercinque
usando semplicemente il telecomando del suo televisore, che era dotato di
quella che all’epoca, alla fine degli anni Ottanta, era una funzione
d’avanguardia: l’apprendimento dei codici.
Il telecomando a infrarossi dell’auto infatti trasmetteva sempre la stessa
sequenza di impulsi, e quindi il telecomando del televisore registrò quella
sequenza mentre aprivo l’auto e la ripeté dopo che l’avevo richiusa. Ogni auto
aveva una sequenza differente, ma bastava appostarsi e captare il segnale di
quell’auto per poterla poi aprire con tutta calma e per esempio rubare
qualunque oggetto lasciato a bordo. All’epoca risolsi il problema in maniera
brutale, coprendo il ricevitore dentro l’auto in modo che non potesse più
ricevere segnali e usando la chiave meccanica.
Negli anni successivi la sicurezza di questi primi sistemi elettronici
migliorò parecchio, introducendo per esempio i cosiddetti rolling code,
ossia delle sequenze di impulsi radio (non più infrarossi) differenti ogni
volta ma calcolate secondo un algoritmo segreto oppure usando chiavi
crittografiche altrettanto segrete.
Il crollo dei costi dei componenti elettronici e lo sviluppo dell’informatica,
però, portarono poi a superare in molti casi anche questi
rolling code in maniera anche piuttosto ingegnosa. Nei cosiddetti
relay attack, i ladri usano due ripetitori portatili di segnali radio:
ne piazzano uno appena fuori dalla porta d’ingresso dell’abitazione della
vittima, ossia vicino al punto in cui molte persone lasciano in casa le
chiavi, le smart card o i telecomandi dell’auto. I ladri fanno in modo che il
ripetitore riceva il debole segnale radio emesso dalle chiavi e lo ritrasmetta
a un secondo ripetitore, tenuto da un complice e piazzato vicino all’auto da
rubare. In questo modo, l’automobile crede che la sua chiave sia vicina e
quindi si apre e in alcuni casi può anche essere avviata. Attacchi di questo
genere avvengono ancora oggi e hanno colpito molte marche, in particolare
Mercedes e Tesla, come ho raccontato in una
puntata del Disinformatico
che risale a ormai cinque anni fa.
La soluzione per Tesla è stata un aggiornamento software, diffuso via
Internet, che consentiva di disabilitare la funzione che sbloccava le portiere
semplicemente avvicinando la chiave; per le altre marche, invece, il rimedio è
stato applicato con un intervento in officina oppure, più banalmente,
insegnando ai conducenti l’abitudine di custodire le chiavi dell’auto lontano
dalla porta d’ingresso e in un contenitore metallico per bloccare la ricezione
dei loro segnali radio.
Ma i progressi dell’elettronica di bordo delle auto non si sono fermati, e si
è continuato a pensare troppo poco alla sicurezza, e così nel 2010 un gruppo
di ricercatori del dipartimento d’informatica della University of Washington e
della University of California San Diego ha
lanciato un allarme, pubblicando una ricerca (“Experimental Security Analysis of a Modern Automobile”) nella quale ha spiegato che si poteva prendere il controllo di qualunque
automobile moderna dotata di sistemi elettronici per la gestione del veicolo
usando la cosiddetta porta diagnostica OBD-II, un connettore presente
per legge in tutte le auto.
Applicando a questa porta un piccolo dispositivo elettronico, comandabile
anche a distanza, era possibile (spiegano i ricercatori)
“ignorare completamente i comandi del conducente”
e
“disabilitare i freni, far frenare selettivamente a comando le singole
ruote, fermare il motore, e così via”. I ricercatori hanno dimostrato questa vulnerabilità prendendo il controllo
di un’auto fino a spegnerne il motore con il loro software, chiamato
CarShark. L’unico rimedio era assicurarsi che nessuno potesse accedere all’abitacolo
dell’auto, dove si trova questa porta diagnostica, e questo ha reso abbastanza
impraticabile questo tipo di attacco. Ma la scarsa attenzione alla sicurezza
da parte delle case automobilistiche è stata messa bene in luce.
—
Per arrivare alla spettacolare dimostrazione fatta nel 2015 da Miller e
Valasek bisogna attendere l’avvento delle auto connesse e informatizzate, che
sono una gran comodità. Ma la loro connessione a Internet significa che non è
più necessario agire in prossimità dell’auto: basta poterla raggiungere
appunto attraverso Internet, da qualunque punto del mondo.
L’errore tecnico commesso da Fiat Chrysler e sfruttato dai due informatici
consiste nell’aver collegato al sistema di guida del veicolo il ricco sistema
di intrattenimento di bordo, denominato Uconnect, che a sua volta si
collega a Internet. Non c’è nessun firewall, nessuna crittografia o
altra sicurezza: se qualcuno conosce l’indirizzo IP dell’auto, ne può prendere
il pieno controllo. L’azienda, avvisata responsabilmente dai due informatici,
è costretta a introdurre un costoso programma di aggiornamento di sicurezza di
ogni singola vettura
[circa
1,4 milioni di esemplari].
Ma il problema della progettazione imprudente non tocca solo Fiat Chrysler:
nel 2016 il ricercatore di sicurezza Troy Hunt
scopre
una falla nel servizio di gestione via Internet delle auto elettriche Nissan
Leaf, che si possono comandare tramite app. Monitorando il traffico di dati
dell’app sulla propria rete Wi-Fi, Troy Hunt si accorge che la comunicazione
fra l’app e l’auto non è protetta: non ha alcuna password o autenticazione.
Per prendere il controllo dell’auto è sufficiente conoscerne il numero di
serie, il cosiddetto VIN, che è stampigliato in bella vista nell’angolo
inferiore del parabrezza. Nissan reagisce semplicemente rimuovendo l’app da
Internet. Per fortuna quest’app ha funzioni abbastanza limitate, ma può essere
usata per esempio per scaricare completamente la batteria dell’auto accendendo
al massimo il riscaldamento dell’abitacolo, che è elettrico.
Nello stesso 2016 tocca a
Mitsubishi, le cui Outlander ibride hanno un telecomando che usa una connessione
diretta Wi-Fi invece di Internet. Gli esperti della società di sicurezza
PenTestPartners scoprono che la password di protezione di questa connessione è
troppo corta e quindi la decifrano, riuscendo anche a disabilitare l’antifurto
del veicolo. Cosa anche peggiore, i nomi delle mini-reti Wi-Fi di tutte queste
auto seguono uno schema standard, per cui è possibile usare i servizi di
scansione di Internet per localizzare tutti i veicoli. Gli esperti avvisano
l’azienda, che però non risolve il problema finché non viene reso pubblico dai
media.
[CLIP:
Spot Onstar con Batman]
Il 2016 è un annus horribilis per la sicurezza informatica su quattro
ruote. Il ricercatore di sicurezza Samy Kamkar presenta
OwnStar, un apparecchietto da meno di 100 dollari che gli consente di tracciare,
aprire e spegnere da remoto qualunque automobile della General Motors dotata
del sistema di gestione OnStar. L’azienda è costretta a
correggere
di corsa il proprio software.
Negli anni successivi vengono
scoperte
delle falle informatiche anche nelle Tesla, grazie a gare di hacking come
Pwn2Own, dove l’azienda mette in palio un esemplare della propria auto
elettrica per chi riesce a prenderne il controllo da remoto, ossia via Wi-Fi o
Bluetooth, e poi comunica la tecnica privatamente a Tesla, che così può
correggere la vulnerabilità con un aggiornamento software trasmesso a tutta la
flotta via Internet.
Arriviamo così al presente. Anni di dimostrazioni, ricerche e imbarazzi
mediatici molto forti rendono chiaro che gli errori di sicurezza informatica
che vengono commessi da moltissime case automobilistiche sono
straordinariamente banali, ovvi per qualunque informatico competente e dettati
dalla foga di dotare le auto di nuovi gadget risparmiando però sui costi. Non
sono casi in cui qualcuno ha usato una versione difettosa di crittografia
ellittica o un generatore di numeri casuali inadeguato: alla crittografia
proprio non ci hanno pensato.
Dopo tutte queste figuracce, potreste pensare che la lezione sia stata
imparata, ma come avete già intuito dal tono della mia voce pensereste male.
Siamo nel 2022, e ancora oggi ci sono case automobilistiche che affidano la
sicurezza dei propri veicoli a un codice che tutti possono leggere
semplicemente avvicinandosi all’auto.
—
L’informatico Sam Curry, insieme ad alcuni colleghi, ha infatti
annunciato
pochi giorni fa di aver scoperto un modo per sbloccare da remoto, avviare e
localizzare qualunque Honda, Nissan, Infiniti e Acura statunitense dotata di
sistemi di gestione via Internet. Per compiere l’attacco è sufficiente
conoscere, ancora una volta, il numero di serie dell’auto o VIN che si legge
attraverso il parabrezza.
La falla, spiega Curry, sta nei servizi telematici usati da queste case
automobilistiche per la gestione remota dei veicoli. Tutte, infatti, si
appoggiano a SiriusXM, che molti
conoscono come una popolare emittente radio satellitare ma è in realtà anche
fornitrice di servizi di connettività per Acura, BMW, Honda, Hyundai,
Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru e Toyota (fonte:
PR NewsWire).
Curry e colleghi hanno scoperto il sito che gestisce l’attivazione dei servizi
remoti per le singole auto: è Telematics.net. Non hanno avuto bisogno di
arcani saperi digitali: hanno semplicemente
usato una ricerca mirata in Google. Con quest’informazione hanno fatto un semplice monitoraggio passivo del
traffico di dati fra l’app della Nissan, che si chiama NissanConnect, e
l’auto, e si sono accorti ben presto che era sufficiente passare all’app il
VIN di un’automobile per ottenere in risposta il nome del suo proprietario, il
suo numero di telefono, il suo indirizzo di casa e i dettagli della vettura.
Non c’era crittografia o altra protezione.
Proseguendo nella ricerca, Curry e colleghi hanno appurato inoltre che con lo
stesso sistema potevano anche eseguire comandi
sulle auto di cui conoscevano il numero di serie. Per fortuna hanno agito
responsabilmente e invece di compiere sabotaggi in massa hanno avvisato SiriusXM, che ha corretto prontamente la falla.
—
Prima che a questo punto vi venga l’impulso irrefrenabile di buttar via la
vostra auto piena di elettronica e cercarne una puramente meccanica che non
abbia tutte queste falle, è importante ricordare tre cose. La prima è che
ormai non esistono automobili recenti che non dipendano dall’elettronica, per
cui rassegnatevi. La seconda è che ognuna di queste vulnerabilità, alla fine,
è stata corretta. La terza è che ci sono tanti bravi informatici che si
impegnano a snidare questi difetti per proteggerci.
Certo, sarebbe meglio se le case automobilistiche evitassero in partenza
questi scivoloni, applicando i princìpi di base della sicurezza informatica.
Ma finché la sicurezza verrà vista come un costo, invece che come un
investimento, queste storie di ordinaria trascuratezza continueranno a
ripetersi. Per cui preparatevi ad aggiornare il software non solo del
computer, dello smartphone e del tablet, ma anche del computer su quattro
ruote che vi porta in giro. E non lasciate le chiavi vicino alla porta di
casa.