Due hacker, due portatili e una connessione internet: tanto è bastato per prendere il controllo di un’automobile e controllarne a distanza acceleratore, freni, chiusure delle porte, tergicristalli, radio, climatizzatore e sterzo. Sembra quasi che uno spirito maligno abbia preso il controllo del veicolo o che qualcuno abbia fatto il malocchio!
Per i non addetti ai lavori, la scienza può sembrare magia ma, in questo caso, il segreto è stato svelato sulla rivista ‘Wired’ da Andy Greenberg, il quale ha avuto talmente ‘fegato’ da partecipare a un esperimento a dir poco terrorizzante. Greenberg era alla guida della sua Jeep Cherokee, la quale è stata hackerata via internet da Charlie Miller e Chris Valasek, due hacker dediti da tempo alla sicurezza automobilistica. Grazie alla collaborazione di Greenberg, nel 2013, Valasek e Miller avevano già dimostrato come era possibile sferrare un attacco informatico a una automobile, collegandovi fisicamente un semplice notebook. Tuttavia, questo attacco può essere tranquillamente considerato un pericolo ‘trascurabile’ se messo a confronto con quello recente e condotto da remoto. Infatti, mentre il giornalista guidava tranquillamente la sua auto per le strade di St. Louis, Valasek e Miller hanno hackerato il veicolo da Pittsburgh (località distante solo 15 Km.), approfittando di una falla presente nel sistema ‘UConnect’ di Fiat Chrysler. I due hacker sono riusciti a sovrascrive il firmware di alcune centraline e a prendere il pieno controllo di climatizzatore, impianto multimediale e persino di sterzo, motore, freni e sistema di trasmissione! L’auto utilizzata per l’esperimento è dotata di un collegamento integrato alla Rete, che la rende particolarmente appetibile al compratore. Tuttavia, il protocollo di comunicazione utilizzato dal sistema del veicolo ha dimostrato di avere una vulnerabilità importante: se si conosce l’indirizzo IP dell’auto, è possibile fare praticamente qualsiasi cosa, compreso, appunto, sabotarne i freni o girarne il volante.
Nello specifico, il problema è costituito dalla centralina che controlla l’intrattenimento a bordo: un sistema che, in teoria, dovrebbe essere isolato da quelli di guida e di parametraggio. Miller e Valasek hanno dimostrato che, utilizzando questa falla, un aggressore può sostituire il firmware del sistema con uno modificato, capace di inviare comandi pericolosi e tracciare la posizione GPS del veicolo. Purtroppo, non è solo la Fiat Chrysler a soffrire di questa pericolosa vulnerabilità: una semplice ricerca in rete permette, infatti, di trovare una lunga lista di veicoli potenzialmente hackerabili, anche se, in realtà, le auto vulnerabili a questo tipo di attacco informatico non sono vendute in territorio Emea (Europa, Medio Oriente e Asia) ma solo negli Stati Uniti. Per quanto riguarda, invece, la Chrysler, la sua casa automobilistica ha già provveduto a rilasciare un aggiornamento software (installabile tramite chiavetta Usb) per risolvere il problema. Questa realtà ha dimostrato anche come le auto sono, ogni giorno, sempre più simili a un computer, o a uno smartphone: i moderni veicoli possono collegarsi a Internet, entrando a far parte di quello che molti chiamano ‘Internet of Things (Internet delle cose).
Su strada, però, la sicurezza in guida è importante e, con simili sistemi, essa si lega a doppio filo alla sicurezza informatica: è inammissibile che circolino veicoli che possono essere attaccati in questo modo da qualsiasi parte del mondo (anche se Valasek e Miller si trovavano solo a Pittsburgh, per quel che conta, essi avrebbero potuto essere ovunque). Per la nota software house Kaspersky, specializzata in sicurezza informatica, “i produttori di auto devono pensare alla sicurezza delle stesse nell’identico modo in cui si pensa alla sicurezza delle reti, ricorrendo alla crittografia e utilizzando l’autenticazione per la trasmissione e la ricezione delle informazioni”. Occorre, allora, che case automobilistiche come Volkswagen, Mercedes, BMW e Citroen (per esempio) comincino acollaborare con ricercatori come Miller e Valasek, così come già fanno Microsoft o Google, per evitare che, in un prossimo futuro, la situazione peggiori irrimediabilmente e incidenti automobilistici, oggi provocati dall’imprudenza e dalla distrazione di chi guida, vengano, un domani, provocati anche intenzionalmente da terzi, lontani mille miglia.
I-Forensics Team
