Negli ultimi anni sono state scoperte diverse minacce informatiche che hanno coinvolto le autovetture autonome e semi-autonome, esponendo i conducenti e i passeggeri a gravi pericoli. La reazione delle case costruttrici è stata quella di richiamare e aggiornare i firmware di milioni di vetture, in un periodo che si aggirava da alcuni mesi o alcuni anni. La protezione delle automobili da incidenti informatici “è una questione di sicurezza pubblica”⁶ e pertanto, non può essere sottovalutata.

Anche se esiste la tecnologia per risolvere molti di questi problemi di sicurezza, come avviene già nel mondo dei sistemi informatici tradizionali (IT), non è ancora possibile condividere queste tecnologie in ambito automotive. Nei sistemi tradizionali IT, in caso di vulnerabilità è sufficiente installare un rapido aggiornamento o modificare la configurazione del sistema per mitigare la minaccia. Con i sistemi ridondanti o di disaster recovery (per i casi più gravi) è anche possibile recuperare i dati in modo da ripristinare la configurazione predefinita del sistema⁷.

Nel mondo delle auto le cose non funzionano così, poiché i processi di certificazione richiedono anni di verifica per soddisfare gli standard di sicurezza imposti dalla Federal Motor Vehicle Safety Standards (FMVSS). Per questo motivo, gli aggiornamenti sulla sicurezza non posso essere rilasciati con cadenza settimanale o giornaliera, come avviene nel mondo IT, e neppure una casa automobilistica può decidere che le sue autovetture si comportino diversamente rispetto alle altre.

Le soluzioni informatiche per la protezione delle auto non si fermano alla catena di montaggio, ma occorre un ampio coordinamento tra tutti i livelli della catena di produzione, poiché gli hacker tentano di sfruttare le vulnerabilità insite nei livelli più deboli. In particolare, occorre applicare dei principi di sicurezza per proteggere tutte le comunicazioni, identificare i sensori e i dispositivi durante le comunicazioni, gestire in modo sicuro tutte le comunicazioni via etere (On-The-Air) ed essere capaci di mitigare le minacce.

Per aumentare il livello di affidabilità della tecnologia, occorre un graduale cambiamento e un notevole sforzo per affrontare diverse tematiche quali: la salvaguardia dei conducenti, la riduzione dei tempi di certificazione su qualsiasi tecnologia introdotta e il mantenimento degli standard di sicurezza nel caso una compagnia automobilistica fallisca.

Con i recenti incidenti automobilistici⁸, che hanno riguardato veicoli funzionanti in modalità autopilot, sono stati registrati dei tamponamenti sia sulla stessa corsia di marcia del veicolo, che su quella opposta. In entrambi i casi, la dinamica sembra chiara e la responsabilità è della vettura che ha eseguito una manovra non corretta. La questione legale che si è aperta riguarda appunto la responsabilità civile e penale dei danni causati dal veicolo che, in questo caso, può essere attribuita al conducente (che stava passivamente a bordo del mezzo), alla casa automobilistica o al fornitore della tecnologia a guida autonoma. L’Autorità per la sicurezza stradale degli Stati Uniti non sembra particolarmente favorevole a una totale deresponsabilizzazione del conducente e allo stesso modo le case automobilistiche declinano ogni responsabilità al conducente o utilizzatore della tecnologia.

Per ovviare a queste criticità, è importante lasciare il fattore umano⁹ almeno per un tempo di transizione tra la guida non automatizza a quella automatizzata. Nel momento in cui arriva una segnalazione, da parte di un’auto a guida autonoma, di un problema o di una criticità che non sappia risolvere, ecco che rientra in gioco il fattore umano, con un pilota dotato di volante e pedaliera che prenderà il controllo dell’auto, risolvendo il problema. Una soluzione attuabile, che potrebbe rendere meno traumatico il passaggio dalla guida con pilota ad una completamente autonoma.

Analizzando gli attacchi informatici degli ultimi anni, le autovetture sono soggette a tre tipi di minacce che riguardano: il furto del veicolo, il controllo dell’auto e la privacy del conducente.

Le vulnerabilità individuate nei sistemi di accesso senza chiave, hanno favorito il moltiplicarsi di furti d’auto. Queste tecnologie forniscono al conducente la comodità di entrate, bloccare le portiere ed accendere il motore del veicolo senza prendere le chiavi dalla tasca o dalla borsa. Semplicemente toccando il sensore posto nella maniglia della portiera dell’auto, il veicolo invia un segnale radio digitale che viene captato dalla chiave. Dopo la verifica del codice di sicurezza, la chiave fornisce il segnale radio digitale che autorizza il veicolo all’apertura della portiera. Lo stesso vale per l’accensione del motore.

Quando il proprietario del veicolo si trova in casa (con le chiavi dell’auto), i malintenzionati con l’utilizzo di due dispositivi deviatori che svolgono una funzione di cattura del segnale digitale e ritrasmissione, si posizionano uno in prossimità del veicolo e l’altro in prossimità dell’abitazione (quanto più vicino alla chiave elettronica). Sfiorando la maniglia della portiera, l’autovettura invia un segnale che viene catturato e ritrasmesso all’altro congegno che, a sua volta, lo dirotterà alla chiave elettronica. Il segnale di risposta della chiave seguirà il percorso inverso ed inoltrato al veicolo che provvederà all’apertura della portiera¹⁰ (figura 1.1).

Sono state proposte diverse soluzioni al problema, alcune basate sulla stima della distanza della chiave dal veicolo, attraverso una misura del tempo di risposta o di potenza del segnale, altre basate su mezzi di autenticazione forte che prevedono l’uso dello smartphone del proprietario¹¹. Il consiglio più semplice, dato dalle autorità di pubblica sicurezza agli automobilisti, è stato quello di riporre la chiave elettronica in una cassaforte, in modo che il metallo funga da schermo per i segnali dei dispositivi deviatori¹².

Alcuni sistemi di autenticazione forte sono già disponibili negli smartphone e potrebbero essere integrati con il veicolo (ad esempio il Near Field Communication¹³). Potrebbe essere possibile firmare i dati durante la trasmissione o il codice per garantire che il firmware non venga manomesso. Inoltre, implementando dei meccanismi di aggiornamento over-the-air (OTA), molte case automobilistiche avrebbero la capacità di risolvere rapidamente questi problemi di sicurezza, attraverso degli aggiornamenti messi a disposizione negli AppStore per i sistemi operativi Android e Apple.

I problemi di sicurezza informatica nel settore automobilistico vengono spesso sottovalutati perché spesso gli hacker utilizzano una qualche forma di accesso locale per sfruttare una vulnerabilità del veicolo. Assicurarsi che un passeggero non inserisca congegni nel cruscotto dell’auto, può essere un’avvertenza scontata quando è presente il proprietario del veicolo. Ma con la diffusione del fenomeno del car sharing¹⁴, ride sharing¹⁵ e l’utilizzo di veicoli autonomi come taxi e bus, molti utenti hanno la possibilità di accedere allo stesso veicolo e comportarsi in modo imprevedibile mettendo a rischio l’affidabilità del veicolo. Questo fenomeno ha cambiato il modello di minaccia, che prevede un attaccante locale e non può essere risolto con un semplice aggiornamento da remoto¹⁶.

Le apparecchiature a bordo del veicolo come ad esempio: sensori di parcheggio, airbag, sistemi di sicurezza attiva, sistema antibloccaggio ruote, etc. (figura 1.2), comunicano tra loro attraverso una rete definita Controller Area Network (CAN).

Questo protocollo è stato ufficialmente rilasciato nell’anno 1986 ed è stato accettato nel 1993 dall’International Organization for Standardization (ISO) come standard ISO 11898 per i veicoli stradali. Da allora, il protocollo CAN è stato utilizzato per tutti i veicoli e pubblicizzato come “l’unico protocollo accettabile utilizzato per le comunica...