Alfonso Maruccia

Come ti cracko l'automobile

Un gruppo di ricercatori sperimenta con i circuiti elettronici a bordo delle automobili. E scopre che violare il sistema automotive si può: e i danni possono essere anche gravi

Roma - Internet, si sa, può essere un posto molto pericoloso con malware, cyber-criminali e truffe in attesa dietro l'angolo di un qualsiasi sito web. Ma il pericolo digitale della navigazione si trasforma in un vero e proprio rischio per la vita se l'utente è alla guida di un auto ripiena di circuiti integrati e sistemi informatici aggiornabili.

Solleva la delicata questione un team composto da esperti della University of Washington e della University of California, San Diego autore dello studio Experimental Security Analysis of a Modern Automobile. Nel loro lavoro, i ricercatori hanno messo mani, portatile e cavi di collegamento sulla porta di diagnostica standard On-Board Diagnostics (OBD-II) obbligatoria per tutti i veicoli in circolazione negli States.

Lo studio si è concentrato su due modelli di automobili scelti come "rappresentativi dei sistemi di controllo basati sui network computerizzati che hanno proliferato in molte delle auto di oggi". I ricercatori hanno scoperto che è possibile "hackerare" l'auto da remoto istruendo il computer di bordo per fargli compiere ogni genere di follia, dalla frenata forzata allo spegnimento del motore, sino alla disabilitazione completa dei freni.
Lo studio indica come sull'auto bersaglio sia stato installato un software apposito che ha permesso ai ricercatori di prendere il controllo del mezzo da remoto, attraverso quella stessa rete cellulare che le aziende produttrici impiegano per impacchettare ogni genere di caratteristiche aggiuntive "interconnesse" alle proprie vetture - diagnostica remota, recupero di un mezzo rubato, aggiornamenti e via elencando.

C'è chi vorrebbe sfruttare questa proliferazione di sistemi digitali a bordo per mettere in piedi un modello di "auto come piattaforma", dando il via allo sviluppo di software di terze parti installabile via OBD-II come se si trattasse di un iPad o un gadget tecnologico qualsiasi. Ma come dimostra la ricerca della due università statunitensi il succitato modello è affetto da una insicurezza di fondo che ne mette pesantemente in discussione le finalità, perché se di un iPad pienamente operativo se ne può fare ampiamente a meno lo stesso non vale per il perfetto funzionamento e la piena disponibilità dei sistemi digitali di cui è dotata la propria automobile.

La nuova ricerca serve appunto a sollevare la questione prima che sia troppo tardi: pur considerando la non secondaria necessità di ottenere l'accesso "locale" al computer di bordo per portare a segno l'attacco, il lavoro delle università USA dimostra come le manie da "cloud computing" che hanno preso il sopravvento anche sulle più avvedute società di software in attività ben poco si adattino all'automotive interconnesso che in molti vorrebbero far entrare in produzione.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSalta la cifratura, auto a rischioScienziati scoprono una falla nel celebre sistema di protezione KeeLoq. Bastano pochi secondi per aprire lo sportello e mettere in moto l'automobile. Molti i veicoli che potrebbero risentirne
101 Commenti alla Notizia Come ti cracko l'automobile
Ordina
  • Leggo:

    ""Lo studio indica come sull'auto bersaglio sia stato installato un software apposito che ha permesso ai ricercatori di prendere il controllo del mezzo da remoto""

    ma senza questo SW, funziona ugualmente?
    Per installarlo, devo essere da locale/remoto?
  • - Scritto da: pippo75
    > Leggo:
    >
    > ""Lo studio indica come sull'auto bersaglio sia
    > stato installato un software apposito che ha
    > permesso ai ricercatori di prendere il controllo
    > del mezzo da
    > remoto""
    >
    > ma senza questo SW, funziona ugualmente?
    > Per installarlo, devo essere da locale/remoto?

    Domandalo ad un Hacker Occhiolino
    Sai i ladri lavorano in locale di solito, ma in questo caso... diciamo "forse" ANCHE da remoto.
  • - Scritto da: pippo75
    > Leggo:
    >
    > ""Lo studio indica come sull'auto bersaglio sia
    > stato installato un software apposito che ha
    > permesso ai ricercatori di prendere il controllo
    > del mezzo da
    > remoto""
    >
    > ma senza questo SW, funziona ugualmente?

    No

    > Per installarlo, devo essere da locale/remoto?

    Si.
    In pratica hanno scoperto l'acqua calda (con tutto il rispetto per quei ricercatori, qualcuno doveva pur evidenziare il problema prima o poi).
    Che si potesse far casino su un canbus è ampiamente prevedibile nel momento in cui hai un sistema programmabile connesso al canbus stesso.
    La domanda di fondo è, a quando il primo "attacco" su un tale sistema? Considerato che i sistemi di infotainment cominciano ad essere "always connected", non manca molto, a mio parere.
  • - Scritto da: HappyCactus
    > - Scritto da: pippo75
    > > Leggo:
    > >
    > > ""Lo studio indica come sull'auto bersaglio sia
    > > stato installato un software apposito che ha
    > > permesso ai ricercatori di prendere il controllo
    > > del mezzo da
    > > remoto""
    > >
    > > ma senza questo SW, funziona ugualmente?
    >
    > No
    >
    > > Per installarlo, devo essere da locale/remoto?
    >
    > Si.
    > In pratica hanno scoperto l'acqua calda (con
    > tutto il rispetto per quei ricercatori, qualcuno
    > doveva pur evidenziare il problema prima o poi).
    >
    > Che si potesse far casino su un canbus è
    > ampiamente prevedibile nel momento in cui hai un
    > sistema programmabile connesso al canbus
    > stesso.
    vero.. pero' era molto meno prevedibile che le specifiche di sicurezza della comunicazione tra ECU e i vari sottosistemi (previste su carta) non fossero per niente rispettate nella implementazione pratica.. (vedansi il pdf)
    non+autenticato
  • - Scritto da: bubba
    > > Che si potesse far casino su un canbus è
    > > ampiamente prevedibile nel momento in cui hai un
    > > sistema programmabile connesso al canbus
    > > stesso.
    > vero.. pero' era molto meno prevedibile che le
    > specifiche di sicurezza della comunicazione tra
    > ECU e i vari sottosistemi (previste su carta) non
    > fossero per niente rispettate nella
    > implementazione pratica.. (vedansi il
    > pdf)

    "Ni", nel senso che non si sta parlando di comportamento in condizioni normali, ma sovvertendo il firmware dell'ECU.
  • Ad esempio la Boeing si e' ritrovata a riprogettare da zero l'intera avionica del 787 perche' originariamente prevedeva la condivisione della stessa rete fisica sia per i sistemi di controllo dell'aereo che per fornire connettivita' ai passeggeri.
    non+autenticato
  • - Scritto da: The Bishop
    > Ad esempio la Boeing si e' ritrovata a
    > riprogettare da zero l'intera avionica del 787
    > perche' originariamente prevedeva la condivisione
    > della stessa rete fisica sia per i sistemi di
    > controllo dell'aereo che per fornire
    > connettivita' ai
    > passeggeri.

    Uh che bello, un flight simulator con realtà aumentataA bocca aperta
    -----------------------------------------------------------
    Modificato dall' autore il 18 maggio 2010 13.53
    -----------------------------------------------------------
    ruppolo
    33147
  • Hacker: colui che compie hacks. "Hackerare" è un termine senza senso, se proprio volessimo italianizzarlo, dovremmo dire "hackare".
    non+autenticato
  • Ovvero il problema è tra sedile e volante.
    Non è un discorso tecnico, ma:
    - così impari a comprare auto con tutta 'sta elettronica a bordo
    - così impari a lasciare accesso alla tua auto a pigs&dogs.

    Non sai cos'hai comprato, non ne capisci? Caz*z*i tuoi, facevi meglio a prendere il bus (non quello dati!)
    Funz
    12988
  • - Scritto da: Funz
    > Ovvero il problema è tra sedile e volante.
    > Non è un discorso tecnico, ma:
    > - così impari a comprare auto con tutta 'sta
    > elettronica a
    > bordo
    > - così impari a lasciare accesso alla tua auto a
    > pigs&dogs.
    >
    > Non sai cos'hai comprato, non ne capisci? Caz*z*i
    > tuoi, facevi meglio a prendere il bus (non quello
    > dati!)

    Giusto, perché affidarsi a qualcuno che ti mette ai ripari da questi inconvenienti? Meglio scornarsi!
    ruppolo
    33147
  • - Scritto da: Funz
    > Ovvero il problema è tra sedile e volante.
    > Non è un discorso tecnico, ma:
    > - così impari a comprare auto con tutta 'sta
    > elettronica a
    > bordo
    > - così impari a lasciare accesso alla tua auto a
    > pigs&dogs.
    >
    > Non sai cos'hai comprato, non ne capisci? Caz*z*i
    > tuoi, facevi meglio a prendere il bus (non quello
    > dati!)

    Forse non ti è chiaro il concetto dietro alla sigla OBD, e tutto quello che ne consegue.
    Dovresti rifletterci su, il problema non è sempre addossabile all'utente, anzi. E' come pretendere che un utente studi architettura e scienza delle strutture prima di acquistare casa. Anzi, anche diritto prima di firmare un contratto e glottologia prima di contrattare con l'acquirente...
  • - Scritto da: HappyCactus
    > - Scritto da: Funz
    > > Ovvero il problema è tra sedile e volante.
    > > Non è un discorso tecnico, ma:
    > > - così impari a comprare auto con tutta 'sta
    > > elettronica a
    > > bordo
    > > - così impari a lasciare accesso alla tua auto a
    > > pigs&dogs.
    > >
    > > Non sai cos'hai comprato, non ne capisci?
    > Caz*z*i
    > > tuoi, facevi meglio a prendere il bus (non
    > quello
    > > dati!)
    >
    > Forse non ti è chiaro il concetto dietro alla
    > sigla OBD, e tutto quello che ne
    > consegue.

    Non me ne fo**e un accidente dell'OBD e tutto quello che ne consegue.

    > Dovresti rifletterci su, il problema non è sempre
    > addossabile all'utente, anzi. E' come pretendere
    > che un utente studi architettura e scienza delle
    > strutture prima di acquistare casa. Anzi, anche
    > diritto prima di firmare un contratto e
    > glottologia prima di contrattare con
    > l'acquirente...

    L'utente si becca quello che gli propina il mercato, se il mercato propina solo auto infarcite di elettronica l'utente si becca solo quelle.
    Ma non fiata e non fa nulla, non sa nulla. Direi che la colpa se non è interamente sua, lo è in gran parte.
    Funz
    12988
  • - Scritto da: Funz
    > > Forse non ti è chiaro il concetto dietro alla
    > > sigla OBD, e tutto quello che ne
    > > consegue.
    > Non me ne fo**e un accidente dell'OBD e tutto
    > quello che ne
    > consegue.

    Da ciò si può comprendere il taglio del commento.
    Adieu.
  • - Scritto da: Funz
    > Ovvero il problema è tra sedile e volante.

    il che vale anche per te

    > Non è un discorso tecnico, ma:
    > - così impari a comprare auto con tutta 'sta
    > elettronica a bordo

    solitamente non compro un'auto in base a quanta elettronica ha a bordo, ma quando vai oltre una certa fascia l'elettronica c'è, e non puoi decidere di non metterla...

    > - così impari a lasciare accesso alla tua auto a
    > pigs&dogs.

    certo, ma non sono "io" guidatore a dare accesso agli altri: è chi la produce che non ha preso le dovute cautele

    > Non sai cos'hai comprato, non ne capisci? Caz*z*i
    > tuoi, facevi meglio a prendere il bus (non quello
    > dati!)

    Tu invece non sai di cosa stai parlando...
  • - Scritto da: sadness with you
    > solitamente non compro un'auto in base a quanta
    > elettronica ha a bordo, ma quando vai oltre una
    > certa fascia l'elettronica c'è, e non puoi
    > decidere di non
    > metterla...

    Cala di fascia e compra auto più semplici

    > > - così impari a lasciare accesso alla tua auto a
    > > pigs&dogs.
    >
    > certo, ma non sono "io" guidatore a dare accesso
    > agli altri: è chi la produce che non ha preso le
    > dovute
    > cautele

    e tu avresti dovuto saperlo, quando l'hai lasciata al meccanico, all'elettrauto, al posteggiatore...

    > > Non sai cos'hai comprato, non ne capisci?
    > Caz*z*i
    > > tuoi, facevi meglio a prendere il bus (non
    > quello
    > > dati!)
    >
    > Tu invece non sai di cosa stai parlando...

    altrochè se capisco, capisco questo: l'utente compra senza la minima cognizione di causa, e subisce i danni dell'insicurezza del sistema.
    Il cog*lione è lui, prima ancora di andare a vedere le colpe di chi ha fatto il sistema.
    Funz
    12988
  • va bene avere la macchina connessa per l'infotainment, ma che siano connessi anche apparati di controllo della sicurezza... questo è fare la cose col c..o.
    non si guarda più al rapporto rischi/benefici di una tecnologia?
    sembra semplicemente che se una cosa è tecnicamente possibile bisogna farla per forza, e il più velocemente possibile... non è così! è consentito fermarsi a riflettere o la nostra civiltà tecnologica è talmente malata che il "progresso" si sta trasformando in una caduta libera che non è più possibile fermare/rallentare?
    non+autenticato
  • - Scritto da: folli
    > va bene avere la macchina connessa per
    > l'infotainment, ma che siano connessi anche
    > apparati di controllo della sicurezza... questo è
    > fare la cose col
    > c..o.
    > non si guarda più al rapporto rischi/benefici di
    > una
    > tecnologia?

    Il problema è che ad oggi si è concentrato il problema della sicurezza informatica al solo settore desktop e server, senza pensare che ogni dispositivo programmabile è potenzialmente manomittibile, e da questo ai sistemi di comunicazione.
    Passi per i sistemi più semplici (microcontrollori e sonde connesse al canbus, anche se per i primi avrei qualche dubbio in merito), tuttavia più il sistema è flessibile e più è potenzialmente pericoloso.
    Del resto le normative di sicurezza spesso non sono complete, il "rischio guasto" è solo raramente preso in considerazione dal punto di vista software...
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)