Jeep hackerata: il commento di Sergey Lozhkin (Kaspersky Lab)

Roberto Imbastaro

“Ieri c’è stata una tempesta mediatica nel settore Infosecurity. Per la prima volta nella storia, i ricercatori hanno segnalato una vulnerabilità al controllo da remoto di un’auto connessa. E’ stato riportato che la prova di attacco a distanza è stata eseguita al computer di bordo di una Jeep Cherokee. Charlie Miller e Chris Valasek hanno rilevato la vulnerabilità del sistema di intrattenimento. Attraverso questa vulnerabilità hanno ottenuto non solo l’accesso alle impostazioni non critiche ma hanno anche preso il controllo della macchina. In primo luogo, l’automobilista non poteva controllare il sistema di aria condizionata, la radio e i tergicristalli del parabrezza. Poi la macchina stessa è passata sotto il controllo dei ricercatori invece che del proprietario.

 

Presumibilmente, la vulnerabilità è stata trovata nel sistema di bordo Uconnect, che operava con l’operatore di rete mobile Sprint per comunicare con il mondo esterno di Fiat Chrysler Automobiles (FCA). Se i rapporti sono corretti, l’attacco dimostra che è sufficiente conoscere l’IP esterno di un bersaglio, per riscrivere il codice nel computer di bordo della vettura e ottenere il controllo del veicolo.

 

Le vulnerabilità possono essere trovate ovunque ci sia un sistema operativo e applicazioni installate. Per proteggere una macchina, i produttori devono pensare alla sicurezza delle auto nello stesso modo in cui si pensa alla sicurezza delle reti o computer aziendali.

 

In Kaspersky Lab, riteniamo che per evitare tali incidenti, i produttori devono progettare l’architettura smart delle auto avendo in mente due principi di base: l’isolamento e il controllo delle comunicazioni. Isolamento significa che due sistemi separati non possono influenzarsi a vicenda (per esempio, il sistema di intrattenimento non dovrebbe influenzare il sistema di controllo come invece è avvenuto nella Jeep Cherokee). Controllare le comunicazioni significa che dovrebbe essere attuata la crittografia e l’autenticazione per la trasmissione e ricezione delle informazioni da / per l’auto. Secondo i risultati dell’esperimento a cui abbiamo assistito, gli algoritmi di autenticazione erano deboli / vulnerabili, o la crittografia non è stata attuata correttamente.

 

La patch per questo problema è stata rilasciata la scorsa settimana. Se si guida una macchina FCA, si prega di contattare il proprio rivenditore e chiedere di installare tutti gli aggiornamenti"