Security Notes

E’ vero che gli hacker hanno compromesso le BMW?

BMW_2

Le auto moderne sono un concentrato di tecnologia, al loro interno sono presenti numerosi componenti dotati di capacità computazionale e che dialogano tra loro attraverso una sorta di LAN interna. In questo contesto è chiaro che una qualunque di queste componenti potrebbe essere soggetta ad un attacco informatico, soprattutto se esposta su Internet oppure accessibile mediante tecnologia wireless.

Un hacker potrebbe prendere il controllo della centralina del motore, dell’impianto frenante, del Sistema di condizionamento oppure del Sistema per la gestione delle portiere. Non serve guardare un film in TV, è sufficiente che leggiate il libretto di istruzioni del vostro veicolo per capire di cosa stiamo parlando. Come ogni componente software, anche le applicazioni che sono eseguite dalle nostre auto sono talvolta vulnerabili, in molti casi progettate senza neppure considerare i requisiti di sicurezza informatica, ed oggi ciò è davvero inaudito. Questi software hanno un ciclo di vita e dovrebbero essere progettati con rigorosi requisiti in termini di sicurezza, senza parlare della necessità di considerare come gli stessi vadano aggiornati nel tempo in un contesto tecnologico in cui la minaccia informatica evolve velocemente.

Oggi vi parlo di un caso di cronaca: recentemente il produttore di auto ha scoperto una falla di sicurezza in uno dei sistemi più pubblicizzati dalla casa, il , un accentratore di funzioni che agevola il guidatore nell’accesso ad una moltitudine di contenuti ed applicazioni. Bene, un hacker potrebbe sfruttare la falla per aprire le porte delle : è stato stimato che circa 2.2 milioni di veicoli tra , Mini and Rolls-Royce, sono affetti dalla vulnerabilità confermata anche dal colosso dell’automobile.

Ma come è possibile scoprire queste falle?

Ascoltando un meccanico che aveva letto la notizia in rete, mi sono reso conto di quanto anche gli addetti ai lavori conoscano poco questi gioielli tecnologici. Il meccanico sosteneva che la stessa BMW, o qualcuno dei suo progettisti, avesse divulgato la falla. In realtà scoprire simili vulnerabilità è cosa molto semplice per un esperto che effettua il reverse engineering del codice dei componenti che sono presenti nel veicolo. In pratica partendo dall’applicazione se ne ricava il codice sorgente e lo si studia in particolari condizioni per individuare le falle. “Sono stati in grado di decodificare alcuni dei software che utilizziamo per la telematica dei veicoli”, ha spiegato Dave Buchko, un portavoce di BMW. “Successivamente è bastato che imitassero il comportamento di server legittimi della BMW per ingannare i sistemi a bordo dei veicoli”

Il sistema della BMW in pratica consente, tra le altre cose, al guidatore di autenticarsi al proprio veicolo utilizzando un dispositivo mobile e di accedere una ampia gamma di servizi e funzioni, tra cui il controllo in tempo reale del traffico, la gestione dell’impianto di condizionamento e, ovviamente, la gestione dell’apertura delle porte.

Nel caso specifico la falla è relativa alla trasmissione in chiaro delle informazioni tra il conducente e il veicolo. Nei test effettuati dall’Agenzia “ADAC” che ha scoperto la falla, gli esperti sono riusciti a simulare l’esistenza di una falsa rete telefonica a cui i sistema delle auto BMW cercano di collegarsi e da cui ricevono comandi. Una volta forzata l’auto a connettersi alla rete, gli esperti sono riusciti ad impartire l’ordine di aprire le portiere.

Fortunatamente non ci sono notizie di attacchi informatici che hanno sfruttato la falla e BMW ha prontamente sviluppato un aggiornamento software che risolve il problema che verrà automaticamente distribuito alla flotta dei suoi veicoli. L’aggiornamento prevede l’implementazione di canale di comunicazione protetto tra la componente mobile del guidatore ed il veicolo. L’introduzione della cifratura dei dati fa sì che solo il legittimo proprietario possa impartire ordini al veicolo.

 

 

BMW

Il caso proposto è un interessante esempio di come si possa inficiare la sicurezza di un veicolo e di come vada gestita prontamente la scoperta di una vulnerabilità. L’operato di BMW è ineccepibile e sono certo che la stessa casa stia investendo notevolmente per lo sviluppo di sistemi sicuri a prova di hacker.

Purtroppo in giro troppe auto sono affette da vulnerabilità di vario tipo ed i conducenti ne sono completamente all’oscuro. Abbiamo discusso molte volte di car hacking and delle possibili conseguenze di un attacco informatico, per coloro volessero approfondire la tematica questi  due articoli in cui approfondisco la tematica.
Gli esperti di sicurezza hanno molto criticato l’approccio dell’industria automobilistica alla sicurezza informatica, i rischi sono concreti ed una volta che la sicurezza di un veicolo è stata violata, gli hacker possono avere libero accesso ai sistemi dell’auto che gestiscono praticamente ogni funzionalità.

Urge un cambio di mentalità, in gioco vi è la vita delle persone.

 

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

1 Commento

Commenti e reazioni su:

Loading Facebook Comments ...

1 Commento

  1. Pingback: E’ vero che gli hacker hanno compromesso le BMW? | Geek News

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This