Marco Calamari

Cassandra Crossing/ La sicurezza secondo Marchionne

di M. Calamari - La campagna di aggiornamento per le vetture FCA vulnerabili avviene a mezzo chiavetta USB, spedita per posta. Aprendo il campo ad una nuova vastissima superficie d'attacco

Cassandra Crossing/ La sicurezza secondo MarchionneRoma - Anche stavolta l'AD di FCA viene citato non per sua personale responsabilità, ma perché il caso Jeep, già recentemente oggetto dell'attenzione di Cassandra, è il più recente e l'unico "attenzionato" dai media italiani.
Ed anche stavolta non è un problema solo di FCA (vedi i casi di General Motors e Tesla), ma del complesso di un'industria, quella dell'automotive, in cui la sicurezza degli utenti è gestita sì abbastanza correttamente (anche se non necessariamente bene) per gli aspetti meccanici ed elettronici, ma è invece ancora profondamente incompresa, trascurata e spesso ignorata nei processi produttivi sotto quelli informatici e telematici.

"Cosa è successo stavolta?", sospireranno i 24 incerti lettori.
Beh, in fondo niente di particolare, visto che FCA ha fatto, per il richiamo delle auto coinvolte, esattamente quello che aveva annunciato: invece di eseguire il costosissimo richiamo di un milione di vetture, ha iniziato ad inviare una chiavetta USB in una lettera contenente le istruzioni per applicare il fix, spendendo ovviamente meno ed agevolando i suoi clenti, che non dovranno prendere appuntamenti e recarsi in officina.

Chiavetta USB

Lettera allegata
L'iniziativa sembra degna di lode: per semplicità ed economicità lo è certamente.
Ma parlando invece di sicurezza, la possiamo definire un buon caso di studio, un "buon cattivo esempio". E spieghiamo perché.

In un caso analogo, General Motors ha reso la patch software disponibile sul proprio sito: scaricarla e copiarla su una chiavetta da almeno 4GB veniva lasciato all'utente.

FCA in questo caso ha invece inviato per posta normale, agli indirizzi registrati dei proprietari dei veicoli, una chiavetta del tipo punzonato già col software caricato. La busta, ahimè, è facilmente riconoscibile, e la chiavetta punzonata è stata fotografata ed ampiamente diffusa dai media.
Questo apre quello che si chiama una "superficie di attacco" integralmente nuova, perché di tipo non informatico ma "postale": cosa impedisce di intercettare la lettera dalla cassetta di posta del vicino, cancellare la patch contenuta, sostituirvi un software malevolo e rimetterla a posto?
Cosa impedisce di sottrarne un centinaio dal camion di un corriere od un numero ancora maggiore dall'ufficio postale di spedizione e ripetere l'operazione?
Cosa impedisce di falsificare una intera campagna di richiamo?

Assolutamente nulla: la busta di FCA non è anonima, come sono invece quelle di una nuova carta di credito, quindi è ben individuabile e se necessario imitabile. Anche la chiavetta lo è.
Niente impedisce di utilizzare il sistema anche per futuri attacchi, non di massa ma mirati ad una particolare persona.

Per non aprire quindi un nuovo "vettore di attacco", è necessario chiudere la nuova "superficie di attacco" postale con una contromisura informatica che la neutralizzi completamente.
Ogni auto potrebbe, per esempio, essere dotata di una chiave crittografica privata diversa, e la patch potrebbe essere crittografata per tutte le chiavi esistenti in modo da essere non falsificabile e non alterabile.

Se qualcuno dei 24 lettori avesse il dubbio se si può crittografare un file per un milione di chiavi, sì, si può: basta pensare a come funziona ad esempio, la cifratura di pgp, che usa contemporaneamente sia chiavi simmetriche che asimmetriche proprio per poter cifrare per più destinatari in maniera efficiente.
Cassandra può avere una sua opinione in merito, ma non conoscendo nulla dello specifico evento e della soluzione distribuita si limita a dire che se la patch è stata distribuita in questo modo (o con uno equivalente) la nuova superficie di attacco "postale" è stata chiusa, e nessun nuovo "vettore di attacco" è stato creato.

In caso contrario, distribuendo la patch per posta, si è offerta una nuova opportunità di creare nuovi ed economici vettori di attacco, facilitando moltissimo la vita ai cracker che volessero sfruttare gli exploit di bug nel software delle autovetture di FCA.
Solo come esempi teorici, si potrebbe pensare di ottenere una copia "virtuale" delle chiavi dell'auto, o a modifiche da romanzo di spie che permettano di comandare un colpo di sterzo o l'acceleratore a tavoletta quando il GPS e la telecamera di bordo comunicano che una certa auto è su un alto viadotto o si avvicina ad un incrocio a "T".

Confidiamo che in tempi stretti tutto il settore automotive inizi a gestire correttamente e competentemente questo tipo di problemi.
Sennò meglio la bicicletta, ma di quelle vecchie, senza aggeggi informatici.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L'archivio di Cassandra/ Scuola formazione e pensiero
Notizie collegate
  • SicurezzaCassandra Crossing/ L'informatica secondo Marchionnedi M. Calamari - Nel 2004, l'auto dotata di porta USB era la frontiera tecnologica per FIAT, che meditava di impiegarla come supporto all'intrattenimento. Ora serve per distribuire patch
  • SicurezzaAutomotive, per Corvette l'attacco è assicuratoPer dimostrare l'ennesimo caso di automotive vulnerabile i ricercatori scelgono il noto brand di auto sportive Chevrolet, che Ŕ possibile attaccare tramite dongle assicurativi usando un semplice smartphone. Il fix Ŕ giÓ disponibile
  • SicurezzaIoT? Rischio garantitoL'FBI lancia l'allerta pubblica sui rischi di cyber-crimine connessi all'uso dei gadget e sensori interconnessi, un problema di complessitÓ crescente che si risolve con le patch, il check-up da parte dei clienti e l'isolamento da Internet
21 Commenti alla Notizia Cassandra Crossing/ La sicurezza secondo Marchionne
Ordina
  • "Anche stavolta l'AD di FCA viene citato non per sua personale responsabilità"


    Non è colpa sua, nooooooooooooooo, è "solo" l'amministratore delegato, quindi il responsabile ultimo di tutto ciò che avviene in un'azienda. Che vuoi che sia.

    Naturalmente non poteva mancare la proverbiale leccata di culo a marchionne, del resto siamo pur sempre su un organo d'informazione italiota. La stampa americana ormai lo prende per il culo a cadenza quotidiana per i suoi disperati tentativi di fondersi con UN QUALUNQUE altro produttore d'auto (Ford, GM, Peugeot, l'hanno mandato tutti affanculo), invece i media italiani gli leccano il culo di riflesso naturale, e non solo quelli controllati direttamente dagli elkann (la stampa, il corriere). Dev'essere un fatto genetico.

    Ahi serva Italia, di dolore ostello, nave sanza nocchiere in gran tempesta, non donna di province, ma bordello!
    non+autenticato
  • - Scritto da: ........... ....
    > "Anche stavolta l'AD di FCA viene citato non per
    > sua personale responsabilità"
    >
    > Non è colpa sua, nooooooooooooooo, è "solo"
    > l'amministratore delegato, quindi il responsabile
    > ultimo di tutto ciò che avviene in un'azienda.
    > Che vuoi che sia.
    >
    > Naturalmente non poteva mancare la proverbiale
    > leccata di culo a marchionne, del resto siamo pur
    > sempre su un organo d'informazione italiota. La
    > stampa americana ormai lo prende per il culo a
    > cadenza quotidiana per i suoi disperati
    > tentativi di fondersi con UN QUALUNQUE altro
    > produttore d'auto (Ford, GM, Peugeot, l'hanno
    > mandato tutti affanculo), invece i media italiani
    > gli leccano il culo di riflesso naturale, e non
    > solo quelli controllati direttamente dagli elkann
    > (la stampa, il corriere). Dev'essere un fatto
    > genetico.
    >
    > Ahi serva Italia, di dolore ostello, nave sanza
    > nocchiere in gran tempesta, non donna di
    > province, ma bordello!

    Ma se oltre le letture dell'Alighieri tu rileggessi
    il pezzo incriminato, non potresti cogliere una
    leggera sfumatura di ironia nella frase,
    tra l'altro identica a quella del pezzo precedente?
    non+autenticato
  • - Scritto da: Nome e cognome
    > - Scritto da: ........... ....
    > > "Anche stavolta l'AD di FCA viene citato non
    > per
    > > sua personale responsabilità"
    > >
    > > Non è colpa sua, nooooooooooooooo, è "solo"
    > > l'amministratore delegato, quindi il
    > responsabile
    > > ultimo di tutto ciò che avviene in
    > un'azienda.
    > > Che vuoi che sia.
    > >
    > > Naturalmente non poteva mancare la
    > proverbiale
    > > leccata di culo a marchionne, del resto
    > siamo
    > pur
    > > sempre su un organo d'informazione italiota.
    > La
    > > stampa americana ormai lo prende per il culo
    > a
    > > cadenza quotidiana per i suoi disperati
    > > tentativi di fondersi con UN QUALUNQUE altro
    > > produttore d'auto (Ford, GM, Peugeot, l'hanno
    > > mandato tutti affanculo), invece i media
    > italiani
    > > gli leccano il culo di riflesso naturale, e
    > non
    > > solo quelli controllati direttamente dagli
    > elkann
    > > (la stampa, il corriere). Dev'essere un fatto
    > > genetico.
    > >
    > > Ahi serva Italia, di dolore ostello, nave
    > sanza
    > > nocchiere in gran tempesta, non donna di
    > > province, ma bordello!
    >
    > Ma se oltre le letture dell'Alighieri tu
    > rileggessi
    > il pezzo incriminato, non potresti cogliere una
    > leggera sfumatura di ironia nella frase,
    > tra l'altro identica a quella del pezzo
    > precedente?


    Sfortunatamente non la colgo. Può darsi che io abbia scarso senso dell'ironia, non lo escludo. Quand'anche fosse così, sarebbe comunque triste che per attaccare marchionne ormai un giornalista si senta costretto ad usare una sottile ironia, evidentemente per timore di essere troppo esplicito.
    non+autenticato
  • La FCA ha fatto quello che fanno tutti gli altri, cioè non separare la gestione delle parti critiche dell'auto dall'infotainment (wifi incluso) mentre le due cose invece andrebbero fisicamente separate.
    Tutte le automobili di una certa generazione sono potenzialmente vulnerabili sia da wifi che da qualunque altra porta di comunicazione.
    Tutto ciò per vari motivi economici e di cultura di sicurezza informatica di cui sarebbe lungo parlare.

    Quindi il metodo, più o meno sicuro e/o reso noto (hush hush!), scelto per patchare il sistema è un problema secondario; aspettiamoci piuttosto, da qualunque brand di auto, patch continue nel tempo.
    Il vero problema è quando smetteranno di distribuire le patch.
  • - Scritto da: James Kirk
    > La FCA ha fatto quello che fanno tutti gli altri,
    > cioè non separare la gestione delle parti
    > critiche dell'auto dall'infotainment (wifi
    > incluso) mentre le due cose invece andrebbero
    > fisicamente separate.
    >
    > Tutte le automobili di una certa generazione sono
    > potenzialmente vulnerabili sia da wifi che da
    > qualunque altra porta di
    > comunicazione.
    > Tutto ciò per vari motivi economici e di cultura
    > di sicurezza informatica di cui sarebbe lungo
    > parlare.
    >
    > Quindi il metodo, più o meno sicuro e/o reso noto
    > (hush hush!), scelto per patchare il sistema è un
    > problema secondario; aspettiamoci piuttosto, da
    > qualunque brand di auto, patch continue nel
    > tempo.
    >
    > Il vero problema è quando smetteranno di
    > distribuire le
    > patch.

    Secondo me la state facendo più grande di quello che realmente è.
    La gestione del wifi dell'automobile viene gestita dalla centralina servizi, che per ovvi motivi di sicurezza è indipendente e separata dalla centralina che gestisce il motore e le funzioni meccaniche dell'auto.
    Logico che ciascuna delle due centraline ha un firmware, una eeprom con un software aggiornabile sopra per dirla più semplice. L'aggiornamento parte solo con software proprietario, e viene creato con sistema di telecaricamento dai server della casa madre. Che creano il fingerprint tramite il VIN del veicolo, unico per ogni macchina.

    E' un sistema ampiamente collaudato, non credete che i tecnici e gli ingegneri meccanici ed elettronici siano più stupidi e meno avveduti di quelli informatici. Semmai è il contrario, visto che non si è mai verificato prima d'ora che una centralina patchata venga cracckata per chissà quale scopo oltre a quello, ovvio, di creare un software in grado di far partire la macchina in caso di furto (ed aggirare l'immobilizer)
    non+autenticato
  • - Scritto da: Osvaldo

    > La gestione del wifi dell'automobile viene
    > gestita dalla centralina servizi, che per ovvi
    > motivi di sicurezza è indipendente e separata
    > dalla centralina che gestisce il motore e le
    > funzioni meccaniche
    > dell'auto.


    Ah davvero? Mi sa che ti sei perso qualche puntata precedente. Se fosse tutto disconnesso, questa cosa non sarebbe stata possibile:

    "...Alla fine gli hacker hanno disabilitato il controllo dell'autista sull'acceleratore facendo inesorabilmente rallentare la jeep, lo hanno spaventato disabilitando anche il freno e spingendolo a svoltare fuori strada per cercare di fermare il veicolo..."
    http://punto-informatico.it/4259566/PI/News/sicure...


    > non credete
    > che i tecnici e gli ingegneri meccanici ed
    > elettronici siano più stupidi e meno avveduti di
    > quelli informatici.

    Non direi che c'è una "sfida" tra ingegneri informatici ed elettronici, semmai tra ingegneri che lavorano in FCA e tutti gli altri. I migliori ingegneri italiani nell'automotive vanno tutti a lavorare nelle case automobilistiche tedesche, dove prendono praticamente il triplo di stipendio, lavorano meno, e in più non devono abbassarsi a scene disgustose tipo fare la claque a marchionne quando va in visita agli impianti, come qualche mese fa quando c'erano pure elkann e renzi. Roba da africa nera.
    non+autenticato
  • - Scritto da: Osvaldo
    >
    > E' un sistema ampiamente collaudato, non credete
    > che i tecnici e gli ingegneri meccanici ed
    > elettronici siano più stupidi e meno avveduti di
    > quelli informatici. Semmai è il contrario, visto
    > che non si è mai verificato prima d'ora che una
    > centralina patchata venga cracckata per chissà
    > quale scopo oltre a quello, ovvio, di creare un
    > software in grado di far partire la macchina in
    > caso di furto (ed aggirare l'immobilizer)

    Ehm, guarda che il problema è proprio che le centraline FCA si sono dimostrate vulnerabili ad attacchi portati avanti tramite il sistema di infotainment. Un malintenzionato potrebbe causare a piacimento incidenti mortali. Non è proprio roba da poco, eh!
    Izio01
    4466
  • - Scritto da: Osvaldo

    > Secondo me la state facendo più grande di quello
    > che realmente
    > è.
    > La gestione del wifi dell'automobile viene
    > gestita dalla centralina servizi, che per ovvi
    > motivi di sicurezza è indipendente e separata
    > dalla centralina

    E invece per ovvi motivi di tecnocontrollo è connessa.
    non+autenticato
  • - Scritto da: hhhh
    > - Scritto da: Osvaldo
    >
    > > Secondo me la state facendo più grande di
    > quello
    > > che realmente
    > > è.
    > > La gestione del wifi dell'automobile viene
    > > gestita dalla centralina servizi, che per
    > ovvi
    > > motivi di sicurezza è indipendente e separata
    > > dalla centralina
    >
    > E invece per ovvi motivi di tecnocontrollo è
    > connessa.

    Una rondine non fa primavera, evidentemente in FCA hanno preso una cantonata nel realizzare un progetto del genere.
    Nel 99,9% del resto delle auto mondiali, non è cambiando il firmware dell'autoradio di serie connesso al computer di bordo che si possono creare danni. Al massimo... personalizzi il display o danneggi l'autoradio e bon...
    non+autenticato
  • - Scritto da: Osvaldo

    > Una rondine non fa primavera

    vallo a dire alle milioni di rondini che devono patchare
    E, preso atto che la patch non può staccare i fili e quindi garantire l'AIR GAP, saranno nuovamente vulnerabili appena gli hacker si sbatteranno per capire come entrare.
    25 anni di storia dell'informatica non hanno insegnato NIENTE a questi signori.
    Ma è anche ovvio, visto che 'qualcuno' li avrà intimati di non implementare l'air gap...
    non+autenticato
  • - Scritto da: Osvaldo
    > - Scritto da: James Kirk
    > > La FCA ha fatto quello che fanno tutti gli

    ...

    > La gestione del wifi dell'automobile viene
    > gestita dalla centralina servizi, che per ovvi
    > motivi di sicurezza è indipendente e separata
    > dalla centralina che gestisce il motore e le
    > funzioni meccaniche
    > dell'auto.
    > Logico che ciascuna delle due centraline ha un
    > firmware, una eeprom con un software aggiornabile
    > sopra per dirla più semplice. L'aggiornamento
    > parte solo con software proprietario, e viene
    > creato con sistema di telecaricamento dai server
    > della casa madre. Che creano il fingerprint
    > tramite il VIN del veicolo, unico per ogni
    > macchina.
    >
    > E' un sistema ampiamente collaudato, non credete
    > che i tecnici e gli ingegneri meccanici ed
    > elettronici siano più stupidi e meno avveduti di
    > quelli informatici. Semmai è il contrario, visto
    > che non si è mai verificato prima d'ora che una
    > centralina patchata venga cracckata per chissà
    > quale scopo oltre a quello, ovvio, di creare un
    > software in grado di far partire la macchina in
    > caso di furto (ed aggirare l'immobilizer)

    Tutti i veicoli evoluti Crysler e Fiat hanno un unica rete locale che connette tutti i componenti intelligenti e la sensoristica, inclusa la centralina di infotainement. Lo stesso per la Uconnect di GM.

    Una volta bucato un componente, sei sul bus e puoi attaccare qualsiasi altro componente.

    In Mercedes invece se ne sono accorti da tempo, e sui nuovi modelli ci sono 5 sottoreti separate, di cui una dedicata all'infotainement, connesse con l'equivalente di un firewall.
    Difesa in profondita' ... mai sentito questo termine in FCA? Non c'e' da inventare niente basta copiare ....
    non+autenticato
  • La firma digitale del software contenuto sulla chiavetta è a doppia cifratura, la chiave pubblica è il VIN del veicolo (ogni veicolo al mondo ne ha uno - è il famoso numero che vediamo sul libretto di circolazione o sotto al parabrezza).

    Quando si aggiorna una centralina in officina, il software viene telecaricato dai server della casa madre. Ma ogni pacchetto inviato è cifrato dal VIN del veicolo, per assurdo se copiassimo il firmware questo sarebbe inutilizzabile su qualsiasi altra auto, anche se di identico modello.

    Spero di essere stato chiaro.
    non+autenticato
  • bisogna che investano di più sulla sicurezza dei sistemi di bordo, ma sul serio
  • - Scritto da: Psicologo
    > bisogna che investano di più sulla sicurezza dei
    > sistemi di bordo, ma sul
    > serio

    e pensare che la soluzione era non investire proprio...
    non+autenticato
  • Ma non credo che FCA sia stata così stupida da non implementare nel software di bordo un meccanismo di firma digitale degli aggiornamenti software. Capisco bene che hanno già fallato una volta, ma voglio sperare che queste Jeep non siano così un colabrodo!
  • - Scritto da: djechelon
    > Ma non credo che FCA sia stata così stupida da
    > non implementare nel software di bordo un
    > meccanismo di firma digitale degli aggiornamenti
    > software.

    Tu non credi?

    > Capisco bene che hanno già fallato una
    > volta,

    E quindi la cosa piu' probabile quale sara?

    > ma voglio sperare che queste Jeep non
    > siano così un
    > colabrodo!

    E chi visse sperando...
  • Sì, allora che succede se FCA avesse richiamato le auto in officina e un signorotto con un tesserino a tre lettere dicesse al meccanico "Guarda, quando arriva il sig. XYZ fagli l'upgrade con quest'altra chiavetta", magari ricompensando il suo silenzio con una lauta mancia, uno sparaflash o una fine degna di un testimone di mafia?

    Al complottismo non c'è limite, io rimarrei coi piedi per terra.
    La sicurezza non è mai assoluta
  • - Scritto da: djechelon
    > Ma non credo che FCA sia stata così stupida da
    > non implementare nel software di bordo un
    > meccanismo di firma digitale degli aggiornamenti
    > software. Capisco bene che hanno già fallato una
    > volta, ma voglio sperare che queste Jeep non
    > siano così un
    > colabrodo!

    La firma digitale c'è per ogni aggiornamento della centralina motore e servizi, ed è ottenuta in base al VIN della macchina.
    Non esistono firmware uguali, o che vanno bene per gli stessi modelli di macchina, a meno di non cracckare il sistema di controllo a doppia cifratura (cosa non facile - mai accaduta fino ad ora)
    non+autenticato
  • Scusa ma non mi sembra che abbia senso: la firma di solito la mette chi genera il software, per garantire che l'origine sia corretta e non sia stato manomesso. Il VIN quindi non c'entrerebbe niente, la centralina dovrebbe verificare con una chiave pubblica che può essere uguale per tutte le auto (sarebbe il senso dei meccanismi a chiave pubblica). Non mi è chiaro neanche cosa intendi per "doppia cifratura", puoi chiarire? Grazie