Il rapporto Usa"Auto a rischio hacker", ecco le dieci cose da sapere
Il bubbone è scoppiato ieri, quando un rapporto diffuso dal senatore del Massachusetts, Edward Markey, ha puntato il dito contro le difese adottate dalle Case automobilistiche per le tecnologie di bordo, reputate "insufficienti per garantire la sicurezza e la privacy degli automobilisti". In soldoni, le auto connesse (secondo IHS, 152 milioni entro il 2020) sarebbero "a rischio hacker". Ma quanto è realmente appetibile un'auto collegata alla Rete per i pirati informatici? Sul
numero di febbraio di Quattroruote, potete trovare una lunga intervista con Chris Valasek, hacker professionista e uno dei massimi esperti di cybersecurity automotive. Nel frattempo, ecco il punto della situazione.
1- I primi hacking. Nel 2013, Valasek (a sinistra nella foto) e un collega, Charlie Miller, hanno dimostrato come fosse possibile controllare sterzo, freni e spie di una Prius e di un'Escape collegando un laptop alla porta per la diagnostica. I due, già finanziati dalla Darpa (l'agenzia del Dipartimento della Difesa degli Stati Uniti che si occupa di nuove tecnologie), hanno studiato l'hacking “fisico” sulla scia delle scoperte fatte nel 2010 dai ricercatori delle Università della California e di Washington, i primi a verificare la possibilità di cyberattacchi ai danni delle auto.
2- I sistemi "critici". Secondo Valasek e altri esperti, gli attacchi sfruttano l'accessibilità remota della vettura: oltre alla connessione a Internet o alla rete cellulare, i canali potenzialmente utilizzabili dagli hacker includono wi-fi, Bluetooth, radio wireless, funzioni keyless, smartphone, app di bordo e i sistemi di monitoraggio della pressione.
3- Il caso Tesla. L'anno scorso, durante una conferenza sulla cybersecurity tenutasi a Pechino, alcuni studenti dell'università di Zhejiang sono riusciti ad aprire portiere, finestrini e tettuccio panoramico di una Tesla Model S, arrivando ad accendere i fari e a suonare il clacson a distanza. Il caso è stato giudicato estremamente specifico e condotto in un ambiente “controllato”, ma da allora la Casa di Elon Musk ha intensificato l'attività di monitoraggio e studio delle difese digitali delle proprie vetture. Sempre l'anno scorso, Musk ha assunto Kristin Paget, hacker professionista già in forza ad Apple.
4- Ford e l'esperto di privacy digitale. Lo scorso agosto, La Casa dell'Ovale blu si è messa alla ricerca di un esperto legale in materia di privacy su Internet e software di geolocalizzazione: la posizione serviva per imbastire il supporto giuridico al futuro dell'auto connessa e a fornire consulenza sulla cyber security, la guida autonoma. Obiettivo: "Anticipare e influenzare gli sviluppi normativi per creare un contesto legale che rispetti la privacy dei clienti, promuova l'innovazione e nuove soluzioni tecnologiche".
5- GM e la cybersecurity. Il 2 settembre, GM ha nominato il suo primo responsabile della cybersecurity, Jeffrey Massimilla (nella foto sopra): la nuova figura interna dovrà garantire le difese delle vetture connesse, soprattutto in vista delle nuove tecnologie V2V (vehicle-to-vehicle) e V2I (vehicle-to-infrastructure).
6- Le Case si accordano sulle contromisure. Come riporta
Automotive News, lo scorso novembre due associazioni di Costruttori, l'Alliance of automobile Manufacturers e la Global Automakers, hanno adottato una serie di regole e principi sui temi della sicurezza e della privacy dei dati: tra gli aderenti BMW, Fiat Chrysler, Ford, General Motors, Hyundai-Kia, Mazda, Mercedes-Benz, Toyota, Volvo e Volkswagen.
7- BMW corregge la "falla". A fine gennaio, l'Adac (l'Automobile club tedesco) ha reso pubblica una "falla" scoperta per caso lo scorso luglio nel sistema infotainment ConnectedDrive di BMW: secondo gli esperti, i potenziali malitenzionati avrebbero potuto "aprire le portiere di 2,2 milioni di auto" del Gruppo di Monaco (Mini e Rolls-Royce comprese) inviando segnali malevoli alla Sim card tramite uno smartphone. I sistemi interessati erano quelli installati tra marzo 2010 e dicembre 2014. Quando la notizia è uscita sui media, BMW si era già attivata con un aggiornamento over the air, rimediando automaticamente al problema e senza dover ricorrere a richiami o a corse in officina: il "fix", infatti, si scarica automaticamente, non appena le vetture si connettono ai server BMW. La Casa bavarese ha inoltre spiegato di non essere a conoscenza di veri casi di violazione e che l'accesso alle "funzioni rilevanti per la guida" è sempre stato categoricamente "escluso".
8- Il rapporto del senatore. A partire dal 2013, gli uffici del senatore Markey hanno inviato diverse richieste di informazioni a 20 diversi Costruttori, ponendo domande sulle tecnologie riguardanti la connettività delle vetture. Tra le Case interpellate figurano FCA, Ford, GM, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen e Volvo. Lo studio ha concluso che le contromisure adottate per evitare intrusioni digitali sono "molto diverse e per la maggior parte inconsistenti, casuali e insufficienti ad assicurare la sicurezza e la privacy". Il rapporto chiede inoltre alla Nhtsa e alla Federal Trade Commission di stabilire nuove "regole e standard di sicurezza". A proposito del trattamento dei dati personali, Markey sottolinea come questi vengano "spesso raccolti e girati a terze parti senza il consenso dell'utente".
9- Gli ostacoli per gli hacker. Finora, gli attacchi informatici diretti alle auto sono stati più che altro dei test condotti da esperti e da tecnici specializzati. Secondo gli addetti ai lavori, ci vorranno ancora almeno "due o tre anni" perché le minacce digitali alle auto diventino un vero problema: testare e provare gli attacchi, infatti, costa e richiede una conoscenza elevata, accompagnata da strumentazioni ad hoc.
10- I veri rischi. Oltre alla "barriera" tecnico-economica, gli attacchi informatici aumentano man mano che si diffondono gli stessi dispositivi cui sono diretti e le auto connesse, almeno per ora, sono lungi dall'essere ovunque come i PC o gli smartphone. Secondo Valasek, oggi il problema non riguarda le intrusioni in grado di compromettere la guida, bensì i potenziali furti. Tutte le considerazioni dell'hacker, lo ricordiamo, sono sul numero di febbraio di Quattroruote.