Panda Security evidenza che, se immaginassimo un mondo in cui nelle autostrade le automobili fossero tutte smart car, avremmo la certezza di una guida decisamente più sicura. Queste auto sono in grado di comunicare tra loro per evitare scontri e possono percorrere strade alternative in caso di incidenti rilevati. Inoltre, non passano mai con il semaforo rosso e in futuro i vigili potranno evitare di alzare il braccio per fermare le macchine, in quanto questa attività potrà essere svolta da remoto. L’Internet of Things ha l’obiettivo di salvaguardare vite umane nel settore automobilistico.
The National Highway Traffic Safety Administration (NHTSA) degli Stati Uniti stima che la tecnologia alla base di queste automobili potrà prevenire oltre mezzo milione di incidenti e oltre un milione di vittime ogni anno, solo negli Stati Uniti. General Motors ha già annunciato che la tecnologia vehicle to vehicle sarà introdotta sui modelli Cadillac nel 2017.
Tuttavia, la capacità di queste macchine di comunicare tra loro rappresenta un problema per gli esperti di sicurezza, in quanto potrebbero diventare bersagli di cyber attacchi, se qualcuno fosse in grado di intercettare le comunicazioni e riuscisse a localizzare le vetture. Ciò è già stato dimostrato dall’esperto di security Jonathan Petit durante la conferenza Black Hat Europe.
Il mese scorso Petit ha mostrato come una semplice penna laser sia in grado di confondere una smart car, facendole credere di avere un ostacolo sulla strada, quando in realtà nulla era presente. Oggi l’esperto ha illustrato come queste automobili possano essere facilmente rintracciate.
Le connected car utilizzano una gamma Wi-Fi per riuscire a comunicare da centinaia di metri di distanza. Questo è utile per evitare incidenti, in quanto possiedono una mappa completa di tutte le vetture in prossimità. Le connected car, a differenzia delle smart car, che elaborano l’ambiente utilizzando il sensore LIDAR (Light Detection and Ranging) posto sul tetto, non vedono ciò che è intorno a loro, ma lo rilevano.
Le informazioni inviate da un’auto a un’altra sono crittografate e sono relative alla loro posizione e velocità. Non vengono inviati dati legati alla targa, ma ogni messaggio possiede una firma digitale per evitare false comunicazioni o incomprensioni che potrebbero provocare incidenti.
Petit ha sfruttato la firma digitale per effettuare i propri test presso l’University of Twente nei Paesi Bassi. Ha posizionato due stazioni di “sniffing” (attività di intercettazione passiva dei dati che transitano in un network), in punti diversi del campus, dedicate alla raccolta di informazioni dalla rete. Ha parcheggiato anche un veicolo dotato di sistema V2X (vehicle-to-everything), in grado di recuperare i dati provenienti da veicolo a veicolo e da veicolo a infrastruttura.
Dopo due settimane, l’auto ha trasmesso oltre due milioni e mezzo di messaggi e le stazioni di sniffing ne hanno rilevati circa quarantamila, solo il 3% del totale. Con questi dati e con le firme digitali, Petit è stato in grado di identificare i veicoli, stimare dove fossero all’interno del campus con una precisione pari al 78% e risalire al luogo esatto con il 40% di successo.
Petit e il team di investigatori dell’University of Twente credono che i governi o i cyber criminali potrebbero utilizzare questo sistema su larga scala per monitorare tutte le automobili di una città. “I ladri potrebbero attendere che le auto della polizia siano impegnate in una determinata zona, per commettere un furto,” spiega Petit.
Con questa tecnica è semplice anche compromettere la sicurezza di connected e smart car, la quale consente di risalire a luogo, velocità e direzione delle vetture. Considerato che le stazioni hanno un costo di 511 euro, Petit reputa che per il momento l’unico metodo per effettuare questi attacchi sia con Raspberry Pi e radio Wi-Fi.
Per altri esperti, una possibile alternativa di difesa potrebbe essere quella di utilizzare pseudonimi diversi che cambino ogni cinque minuti per firmare i messaggi, nella speranza che i cyber criminali non siano in grado di identificare l’automobile e rintracciarla. Petit ha spiegato però che questo metodo implicherebbe solo un costo aggiuntivo del 50% per i cyber criminali, per la necessità di un numero maggiore di stazioni.
Al momento però non c’è motivo di preoccuparsi. Petit sta collaborando con Ford, General Motors e altre case automobilistiche per sviluppare strategie di protezione delle connected car. In pochi anni saremo in grado di beneficiare dei vantaggi di queste auto, con la garanzia di una completa sicurezza.