Gli hacker possono davvero prendere il controllo della tua auto?
Zubie è una piccola scatola che si collega alla porta di diagnostica integrata (ODBII) presente nella maggior parte delle auto moderne. Permette agli utenti di scoprire quanto stanno guidando e offre suggerimenti per estendere il loro chilometraggio con una guida ragionevole ed economica. E fino a poco tempo fa, Zubie conteneva un grave errore di sicurezza che poteva lasciare gli utenti vulnerabili alla possibilità di dirottare a distanza la propria auto.
Il buco - scoperto dagli ex-alunni dell'Unità 8200, l'élite team di sicurezza informatica della forza di difesa israeliana - potrebbe potenzialmente vedere gli attaccanti a distanza interferire con la frenata, lo sterzo e il motore.
Zubie si connette a un server remoto tramite una connessione GPRS, che viene utilizzata per inviare dati raccolti a un server centrale, nonché per ricevere aggiornamenti di sicurezza.
I ricercatori hanno scoperto che il dispositivo stava commettendo uno dei peccati capitali della sicurezza della rete e non comunicava al server principale tramite una connessione crittografata. Di conseguenza, sono stati in grado di falsificare il server centrale di Zubie e inviare al dispositivo malware appositamente predisposti.
Ulteriori dettagli sull'attacco sono riportati di seguito e sarai felice di sapere che il problema è stato risolto. Fa, tuttavia, sollevare una domanda interessante. Quanto sono sicure le nostre auto?
Separazione dei fatti dalla finzione
Per molti, guidare non è un lusso. È una necessità
Ed è una necessità pericolosa a questo. La maggior parte delle persone conosce fin troppo bene i rischi associati al mettersi al volante. Gli incidenti automobilistici sono uno dei più grandi assassini del mondo, con 1,24 milioni di vite perse sulla strada solo nel 2010.
Ma i decessi per le strade sono in calo, e questo è in gran parte dovuto alla maggiore penetrazione di sofisticate tecnologie di sicurezza stradale. Ce ne sono troppe per elencare in modo completo, ma forse l'esempio più diffuso è OnStar, disponibile negli Stati Uniti, in Canada e in Cina.
La tecnologia - disponibile esclusivamente in auto GM, così come altri veicoli da aziende che hanno scelto di concedere in licenza la tecnologia - monitora la salute della tua auto. Può fornire indicazioni turn-by-turn e può fornire automaticamente assistenza in caso di incidente.
Quasi sei milioni di persone si iscrivono a OnStar. Innumerevoli altri usano un sistema telematico, che consente agli assicuratori di monitorare la guida delle auto e adattare i pacchetti assicurativi per premiare i conducenti sensibili. Justin Dennis ha recentemente recensito qualcosa di simile chiamato Metronome di Metromile Traccia il tuo chilometraggio, costi di carburante e altro ancora con un dispositivo OBD2 gratuito Traccia il tuo chilometraggio, costi di carburante e altro ancora con un dispositivo OBD2 gratuito Al giorno d'oggi, tutto sembra essere intelligente - tranne le nostre auto. Questo dispositivo ODB2 gratuito e l'app cambiano. Per saperne di più, che è liberamente disponibile per i residenti di Washington, Oregon, California e Illinois. Nel frattempo, molte macchine post 1998 possono essere interrogate e monitorate tramite la porta diagnostica ODBII grazie ad Android Come monitorare le prestazioni della tua auto con Android Come monitorare le prestazioni della tua auto con il monitoraggio Android tonnellate di informazioni sulla tua auto sono incredibilmente facili ed economiche con il tuo Android dispositivo - impara qui! Ulteriori informazioni e app per smartphone iOS.
Poiché queste tecnologie hanno raggiunto l'ubiquità, anche la consapevolezza che queste possono essere compromesse. Da nessun'altra parte è più evidente che nella nostra psiche culturale.
Il thriller del 2008 Untraceable ha messo in evidenza in primo piano un'auto equipaggiata da OnStar "affievolita" dall'antagonista del film per attirare qualcuno in una trappola. Mentre nel 2009, l'azienda IT olandese InfoSupport ha lanciato una serie di spot pubblicitari che mostrano un hacker immaginario chiamato Max Cornellise incidere in remoto nei sistemi automobilistici, tra cui una Porsche 911, usando solo il suo laptop.
Quindi, con tanta incertezza che circonda il problema, è importante sapere cosa si può fare e quali minacce rimangono nel dominio della fantascienza.
Una breve storia di hacking automobilistico?
Al di fuori di Hollywood, i ricercatori di sicurezza hanno realizzato cose piuttosto spaventose con le auto.
Nel 2013, Charlie Miller e Chris Valasek hanno dimostrato un attacco in cui hanno compromesso una Ford Escape e una Toyota Prius e sono riusciti a prendere il controllo delle frenate e delle manovre. Tuttavia, questo attacco aveva uno svantaggio principale, in quanto era subordinato alla presenza di un laptop collegato al veicolo. Questi ricercatori della sicurezza di sinistra incuriosirono e si chiedevano se fosse possibile realizzare la stessa cosa, ma senza essere fisicamente legati alla macchina.
Quella domanda fu risolta in modo definitivo un anno dopo, quando Miller e Valasek condussero uno studio ancora più dettagliato sulla sicurezza di 24 diversi modelli di automobili. Questa volta, si stavano concentrando sulla capacità di un attaccante di condurre un attacco remoto. La loro ampia ricerca ha prodotto un rapporto di 93 pagine, che è stato pubblicato su Scribd in concomitanza con il loro discorso di follow-up alla conferenza sulla sicurezza di Blackhat a Las Vegas.
Ha suggerito che le nostre auto non sono sicure come si pensava una volta, con molte carenti protezioni per la sicurezza informatica più rudimentali. Il rapporto dannoso ha evidenziato Cadillac Escalade, Jeep Cherokee e Infiniti Q50 come i più vulnerabili a un attacco remoto.
Quando guardiamo in particolare a Infinity Q10, vediamo alcuni importanti errori di sicurezza.
Ciò che rende l'Infiniti così avvincente come una macchina è anche ciò che lo rende così vulnerabile. Come molte auto di alta gamma prodotte negli ultimi anni, è dotato di una serie di caratteristiche tecnologiche progettate per rendere più piacevole l'esperienza di guida. Si va dallo sblocco senza chiave al monitoraggio della pressione dei pneumatici wireless fino ad un'app per smartphone "assistente personale" che si interfaccia con l'auto.
Secondo Miller e Vlasek, alcune di queste caratteristiche tecnologiche non sono isolate, ma piuttosto sono collegate in rete con i sistemi responsabili del controllo del motore e della frenata. Ciò lascia aperta la possibilità a un utente malintenzionato di accedere alla rete interna dell'auto e quindi di sfruttare una vulnerabilità che si trova in uno dei sistemi essenziali al fine di bloccarsi o interferire con il veicolo.
Cose come lo sblocco senza chiave e gli "assistenti personali" sono rapidamente considerati essenziali per i conducenti, ma come ha sottolineato in modo particolare Charlie Miller, “è un po 'spaventoso che tutti possano parlare tra loro.”
Ma siamo ancora molto nel mondo della teoria. Miller e Vlasek hanno dimostrato una potenziale strada per un attacco, ma non un vero e proprio attacco. Ci sono esempi di chiunque sia effettivamente riuscito a interferire con i sistemi informatici di un'auto?
Bene, non mancano attacchi che mirano a funzioni di sblocco senza chiave. Uno è stato persino dimostrato all'inizio di quest'anno alla Blackhat Security Conference di Las Vegas dal ricercatore della sicurezza australiano Silvio Cesare.
Usando solo $ 1000 di strumenti standard, è stato in grado di falsificare il segnale da un portachiavi, permettendogli di sbloccare a distanza un'automobile. L'attacco si basa sul fatto che qualcuno sia fisicamente presente vicino all'automobile, potenzialmente per alcune ore, mentre un computer e un'antenna radio trasmettono tentativi di forza bruta del ricevitore incorporato nel sistema di sblocco senza chiave di un'auto.
Una volta che l'auto è stata aperta, l'utente malintenzionato potrebbe quindi tentare di rubarlo o aiutarsi da solo in caso di oggetti non presidiati lasciati dal conducente. C'è un sacco di potenziale per danni qui.
Ci sono delle difese?
Dipende.
Esiste già una qualche forma di protezione contro la vulnerabilità di accesso remoto scoperta da Charlie Miller e Chris Valasek. Nei mesi successivi al loro discorso sui Blackhat, sono stati in grado di costruire un dispositivo che funziona come un sistema di rilevamento delle intrusioni (IDS). Questo non ferma un attacco, ma indica al guidatore quando potrebbe essere in corso un attacco. Questo costa circa $ 150 in parti e richiede un po 'di know-how per l'elettronica da costruire.
La vulnerabilità di Zubie è un po 'più complicata. Sebbene il buco sia stato successivamente riparato, la debolezza non risiedeva nell'auto, ma piuttosto nel dispositivo di terze parti ad esso collegato. Mentre le automobili hanno le loro insicurezze architetturali, sembra che l'aggiunta di ulteriori extra aumenta solo le potenziali vie per un attacco.
Forse l'unico modo di essere veramente sicuro è guidare una vecchia macchina. Uno che non ha i sofisticati campanelli e fischietti delle auto moderne e di alta gamma, e per resistere all'impulso di spingere le cose nella porta ODBII. C'è sicurezza nella semplicità.
È sicuro guidare la mia auto?
La sicurezza è un processo evolutivo.
Man mano che le persone acquisiscono una comprensione più ampia delle minacce che circondano un sistema, il sistema si evolve per proteggersi da esse. Ma il mondo dell'auto non ha avuto il suo ShellShock Peggio di Heartbleed? Conoscere ShellShock: una nuova minaccia per la sicurezza per OS X e Linux Peggio di Heartbleed? Scopri ShellShock: una nuova minaccia per la sicurezza per OS X e Linux Leggi di più o HeartBleed Heartbleed: cosa puoi fare per restare al sicuro? Heartbleed: cosa puoi fare per restare al sicuro? Leggi di più . Immagino che quando sperimenta la sua prima minaccia critica - è il primo giorno zero, se volete - le case automobilistiche risponderanno in modo appropriato e prenderanno provvedimenti per rendere la sicurezza dei veicoli un po 'più rigorosa.
Ma cosa ne pensi? È un po 'ottimista? Sei preoccupato che gli hacker prendano il controllo della tua auto? Voglio sentirlo. Lasciami un commento qui sotto.
Crediti fotografici: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com
Scopri di più su: OBD-II.