Alfonso Maruccia

Automotive, attacco DoS al bus CAN

I ricercatori svelano l'esistenza di una minaccia potenzialmente impossibile da fronteggiare, un attacco contro le auto di pi¨ recente costruzione che non sfrutta vulnerabilitÓ particolari per mettere a rischio parti vitali del veicolo

Roma - I ricercatori di sicurezza hanno ancora una volta preso di mira il bus CAN (Controller Area Network), standard di interconnessione pensato per facilitare la comunicazione dei singoli microcontroller su un veicolo non dotato di un computer centralizzato. Una tecnologia implementata nelle auto di recente costruzione, e che a quanto pare non offre (ancora?) protezioni contro un problema strutturale difficile ma non impossibile da sfruttare per fare danni.

L'abuso del bus CAN da parte dei ricercatori alla ricerca di falle di sicurezza non è certo una novità assoluta, ma l'attacco ideato dagli analisti è stato progettato per abusare del modo in cui la tecnologia funziona normalmente piuttosto che di una vulnerabilità nel software dei chip di controllo.

In pratica, il nuovo attacco sfrutta il meccanismo di reazione standard del bus CAN ai "frame" di comunicazione che rappresentano messaggi di errori provenienti da un dispositivo connesso alla rete: quando recepisce troppi errori, il bus disconnette il dispositivo responsabile considerandolo come malfunzionante ed evitando di mettere a repentaglio gli altri sistemi dell'automobile.
Il messaggio di errore inviato dai ricercatori è ovviamente fasullo, ma la reiterazione dell'invio funziona come un vero e proprio attacco DoS contro il sistema CAN che può, almeno in teoria, portare alla disabilitazione dei sistemi di sicurezza vitali come airbag, freni ABS, servosterzo e altri apparati a controllo digitale implementati sul veicolo.

Secondo i ricercatori l'attacco DoS a base di frame corrotti è molto difficile da individuare o da distinguere rispetto a una comunicazione di errore legittima, anche se la pericolosità del problema è calmierata dal fatto che un malintenzionato dovrebbe avere un accesso fisico diretto al veicolo da compromettere per collegare un dongle contenente il software malevolo.

Alfonso Maruccia
Notizie collegate
  • AttualitàTesla, gli hacker frenano la Model SUn gruppo di ricercatori cinesi identifica una vulnerabilitÓ nel browser della dashbord che permette di prendere controllo del veicolo. Non si tratta di un autentico attacco remoto, ma Tesla si cautela con un fix OTA
3 Commenti alla Notizia Automotive, attacco DoS al bus CAN
Ordina
  • ...non leggi gli articoli.
    non+autenticato
  • si vuole controllare l'auto da remoto ... bisogna essere dei gran cerebrolesi a concepire una cosa simile!
    non+autenticato
  • Sicuro? Ti faccio un esempio: la popolazione, stufa di andar di male in peggio, comincia a ribellarsi. Con le auto ti puoi muovere, anche per svariati Km, puoi portare oggetti (denaro, cibo, carburante, armi, medicine, vestiti, ...) brutta cosa. Se invece ogni auto ti dice dove si trova ogni cittadino, magari con tanto di telecamera interna "per il controllo contro i colpi di sonno" (presente su molti modelli di fascia media/medio alta) che è in grado oltre alle pupille di fare una bella identificazione facciale di tutti i bipedi all'intero e dell'eventuale carico, magari col microfono del vivavoce sempre attivo è molto meglio. Puoi fermare tutto il paese in un colpo, puoi far schiantare selettivamente bipedi scomodi, puoi anche un domani dire che guidavano ubriachi o che eran terroristi che volutamente han sabotato l'autopilota per schiantarsi sulla folla...

    Il cerebroleso sarebbe chi la vuole, ma qui sorge un problema: i fascisti non son mai "fascisti" e basta, han un prefisso oggi opportunamente fatto passar di moda: "clerico-" e la parte clericale insegna che è meglio sorridere sempre ed esser buoni (di facciata, ovviamente) così l'auto connessa permette di viaggiare comodi come se si fosse in bus, incorpora una macchinetta del caffè, un vibromassaggio nei sedili e tanti altri accessori e dopo un po' tutte le auto in vendita son solo di questo genere.

    Lo stesso vale altrove: han cominciato a proporre i netbook, fallendo, han proposto i tablet, fallendo, han proposto gli smartphone con successo. Bene, pian piano trasformano i desktop in "smartphone" dando qualche contentino di bassa importanza al popolo bove ed ecco che anche il computer da strumento libero e potente di conoscenza, organizzazione ecc è trasformato in un ottimo strumento di controllo (pensa solo ad un mondo senza contanti, con solo pagamenti elettronici, solo su piattaforme proprietarie in mano a 4 gatti, com'è già in larga parte oggi). E posso andare avanti a lungo.
    non+autenticato