La tua macchina è più probabile che venga hackerata dal tuo meccanico piuttosto che da un terrorista

La tua macchina è più probabile che venga hackerata dal tuo meccanico piuttosto che da un terrorista Lego Mechanic potrebbe sembrare dolce e innocente, ma cosa nasconde davvero quel sorriso? Flickr / Jeff Eaton, CC BY-NC-SA

Quando si tratta di hacking automobilistico, dovresti essere più preoccupato per i trafficanti evasivi che per gli hacker unici con intenzioni criminali.

Hollywood vorrebbe farci credere che le nostre macchine sono estremamente vulnerabili agli hacker. Un hacker accede in remoto al computer di bordo di un'auto esposta in uno showroom, facendo sì che l'auto esploda attraverso il vetro sulla strada - appena in tempo per bloccare un inseguimento in auto.

Scena di hacking automobilistico nel blockbuster di Hollywood The Fate of the Furious.

E i ricercatori hanno avuto un certo successo nella replica di uno scenario simile. In 2015, i titoli sono stati fatti in tutto il mondo quando i ricercatori della sicurezza sono stati in grado di hackerare una Jeep Cherokee. Hanno controllato a distanza tutto, dai tergicristalli e dall'aria condizionata alla capacità di accelerare della vettura. Alla fine hanno schiantato la macchina su un argine vicino, terminando in sicurezza il loro esperimento.

Se credessi a tutto ciò che è stato scritto da allora, penseresti che tutti stiamo guidando in incidenti in attesa di accadere. All'istante, qualsiasi criminale potrebbe hackerare il tuo veicolo, prendere il controllo e uccidere tutti dentro.

Anche se questa minaccia può esistere, non è mai accaduta nel mondo reale - ed è stata notevolmente sovrastimolata.

Le macchine sono ora controllate dai computer

Gli odierni veicoli a motore sono un complicato sistema di sottosistemi elettrici interconnessi, in cui i collegamenti meccanici tradizionali sono stati sostituiti con controparti elettriche.


Ricevi le ultime novità da InnerSelf


Prendi l'acceleratore, per esempio. Questo semplice dispositivo era controllato da un cavo fisico collegato a una valvola sul motore. Oggi è controllato dal sistema drive-by-wire.

Sotto un sistema drive-by-wire, la posizione della valvola a farfalla è controllata da un computer. Questo computer riceve segnali dall'acceleratore e istruisce corrispondentemente un piccolo motore collegato alla valvola a farfalla. Molti dei vantaggi tecnici non vengono notati da un consumatore tipico, ma questo sistema consente a un motore di funzionare in modo più fluido.

Un guasto del sistema drive-by-wire è stato sospettato di essere la causa di un'accelerazione involontaria nei veicoli 2002 Toyota. L'errore ha provocato almeno un incidente mortale, in 2017, che è stato risolto fuori dal tribunale. Un analisi commissionato dall'Amministrazione per la sicurezza del traffico stradale nazionale statunitense non poteva escludere errori software, ma ha riscontrato difetti meccanici significativi nei pedali.

Questi erano in fin dei conti errori di qualità, non macchine compromesse. Ma introduce uno scenario interessante. Cosa succede se qualcuno potrebbe programmare il tuo acceleratore a tua insaputa?

Hack il computer e puoi controllare la macchina

La spina dorsale del moderno veicolo interconnesso di oggi è un protocollo chiamato Controller Area Network (CAN bus). La rete è costruita sul principio di un'unità di controllo principale, con più dispositivi slave.

I dispositivi slave nella nostra auto potrebbero essere qualsiasi cosa, dall'interruttore all'interno della tua porta, alla luce del tetto e persino al volante. Questi dispositivi consentono ingressi dall'unità master. Ad esempio, l'unità master potrebbe ricevere un segnale da un interruttore della porta e in base a ciò inviare un segnale alla luce del padiglione per accenderlo.

Il problema è che se si dispone dell'accesso fisico alla rete è possibile inviare e ricevere segnali a qualsiasi dispositivo collegato ad esso.

Mentre è necessario un accesso fisico per violare la rete, questo è facilmente accessibile tramite una porta diagnostica integrata nascosta alla vista sotto il volante. Dispositivi come Bluetooth, cellulare e Wi-Fi, che vengono aggiunti alle automobili, possono anche fornire accesso, ma non così facilmente come semplicemente collegando.

Il Bluetooth, ad esempio, ha una portata limitata e per accedere a un'auto tramite Wi-Fi o cellulare è ancora necessario l'indirizzo IP del veicolo e l'accesso alla password Wi-Fi. La jeep hack di cui sopra è stata abilitata da password predefinite deboli scelte dal produttore.

Entra nella meccanica malevola

Gli hack di auto a distanza non sono particolarmente facili, ma ciò non significa che sia OK essere attirati in un falso senso di sicurezza.

Il ruolo di Attacco di Maiden è un termine coniato dall'analista della sicurezza Joanna Rutkowska. È un attacco semplice a causa della prevalenza di dispositivi rimasti insicuri nelle camere d'albergo di tutto il mondo.

La premessa di base dell'attacco è la seguente:

  1. l'obiettivo è in vacanza o in viaggio con uno o più dispositivi
  2. questi dispositivi sono lasciati incustoditi nella stanza d'albergo del bersaglio
  3. l'obiettivo presuppone che i dispositivi siano sicuri poiché sono l'unico con la chiave della stanza, ma poi arriva la cameriera
  4. mentre l'obiettivo è lontano, la cameriera fa qualcosa al dispositivo, come installare malware o addirittura aprire fisicamente il dispositivo
  5. l'obiettivo non ha idea e viene violato.

Se consideriamo questo attacco nel contesto del protocollo CAN bus, diventa rapidamente evidente che il protocollo è al suo punto più debole quando viene concesso l'accesso fisico. Tale accesso è concesso a parti fidate ogni volta che i nostri veicoli vengono riparati, quando è fuori dalla nostra vista. Il meccanico è la più probabile "cameriera".

Come parte di una buona routine di manutenzione, il meccanico inserirà un dispositivo nella porta ODB (On Board Diagnostic) per garantire che non vi siano codici di errore o diagnostici per il veicolo che devono essere risolti.

Ma cosa succederebbe se un meccanico avesse bisogno di qualche affare in più? Forse volevano che tornassi per un servizio più spesso. Potrebbero programmare il sensore elettronico del freno per attivarsi in anticipo manipolando a algoritmo di controllo? Sì, e questo comporterebbe una vita più bassa per le pastiglie dei freni.

Forse potrebbero modificare uno dei tanti computer all'interno del tuo veicolo in modo da registrare più chilometri di quelli che vengono effettivamente fatti? O se volevano nascondere il fatto che avevano preso la tua Ferrari per un giro, potevano programmare il computer riavvolgere il contachilometri. Molto più semplice del metodo manuale, che è finito così male nel film di 1986 Ferris Bueller's Day Off.

Tutti questi sono hacker fattibili - e il tuo meccanico potrebbe farlo ora.

Il caso per la verifica e la trasparenza

Questo non è un nuovo problema. Non è diverso da un rivenditore di auto usate che utilizza un trapano per eseguire il tachimetro indietro per mostrare un chilometraggio inferiore. Le nuove tecnologie significano che gli stessi trucchi potrebbero essere implementati in modi diversi.

Sfortunatamente, c'è poco da fare per impedire a un cattivo meccanico di fare cose del genere.

I ricercatori di sicurezza sono attualmente concentrati sul miglioramento della sicurezza dietro il protocollo del bus CAN. La probabile ragione per cui non sono stati segnalati incidenti rilevanti fino ad oggi è che il bus CAN si basa sulla sua oscura implementazione per motivi di sicurezza.

Verifica e trasparenza potrebbero essere una soluzione. Un sistema, proposto dai ricercatori a Blackhat, comporta un registro di controllo che potrebbe aiutare la gente comune a valutare i rischi di eventuali modifiche non autorizzate al proprio veicolo e migliorare la robustezza del sistema.

Fino ad allora, dovremo continuare a utilizzare una meccanica affidabile.The Conversation

Circa l'autore

Richard Matthews, professore incaricato dell'imprenditorialità, centro di commercializzazione e innovazione | Candidato del dottorato di ricerca in immagini forensi e cyber | Consigliere, Università di Adelaide

Questo articolo è ripubblicato da The Conversation sotto una licenza Creative Commons. Leggi il articolo originale.

{amazonWS: searchindex = Libri; parole chiave = privacy personale; maxresults = 3}

enafarZH-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

segui InnerSelf su

facebook-icontwitter-iconrss-icon

Ricevi l'ultimo tramite e-mail

{Emailcloak = off}