La seconda puntata dedicata alla cybersecurity, con un focus sugli ambiti automotive e domestico.
BIT by BIT, il podcast dell’Istituto di Informatica e Telematica del CNR, torna con una seconda puntata, intitolata “Più connessi, più sicuri” e dedicata alla cybersecurity. Come ospiti troviamo Ilaria Matteucci e Andrea Saracino, ricercatori dell’unità di ricerca Trust, Security and Privacy dell’IIT-CNR. Parleremo della ricerca sulla cybersecurity nell’ambito automotive e in quello della domotica e insieme a loro scopriremo come la sicurezza informatica sia ormai un tema centrale anche per gli ambienti in cui ci sentiamo apparentemente al sicuro, come l’automobile e le nostre abitazioni: luoghi in cui ci preoccupiamo più della sicurezza fisica che di un attacco hacker o di una violazione della nostra privacy, ma che invece, proprio perché ormai sono costantemente connessi alla rete, presentano molti punti di vulnerabilità a cui fare attenzione.
Potete ascoltare la puntata sulle principali piattaforme di podcast, in particolare su Spotify e Apple Podcast, o direttamente cliccando sul player qui sotto. Di seguito trovate la versione trascritta della puntata.
[Chiara] Immaginate di essere al volante della vostra auto. Siete da soli in macchina, state percorrendo l’autostrada e c’è poco traffico. A un certo punto, però, succede qualcosa di strano. Senza che voi tocchiate nessun comando, l’aria condizionata si attiva e dalle bocchette inizia a uscire aria gelida. Dopo qualche secondo, la radio si accende da sola e spara una canzone a tutto volume. Poi tocca ai tergicristalli, che iniziano a oscillare avanti e indietro.
Mentre, è ovvio, vi fate prendere dal panico, sullo schermo del cruscotto compare la foto di due hacker che vi salutano, la macchina inizia ad accelerare senza controllo e vi rendete conto che anche il pedale del freno non funziona più.
[Viola] Ecco: questa scena da incubo voi l’avete solo immaginata, ma a qualcuno è successo davvero. Il protagonista di questa storia si chiama Andy GREENBERG ed è un giornalista della rivista americana di tecnologia WIRED. Nel 2015 Greenberg si siede al volante di una Jeep Cherokee e si presta come cavia per un esperimento condotto da Charlie Miller e Chris Valasek.
Miller a Valaseck sono ricercatori, il cui lavoro consiste nell’individuare falle nei sistemi elettronici, compresi quelli montati sulle nostre auto.
Nel giorno dell’esperimento con il giornalista, i due ricercatori si improvvisano hacker e riescono a prendere il pieno controllo dell’auto e a far passare un brutto quarto d’ora a Greenberg.
L’esperimento è un successo. Nel reportage per Wired c’è anche un video che mostra l’auto che si ferma su una corsia dell’autostrada mentre il giornalista prega i ricercatori di smettere. Ma lo deve fare urlando, perché la musica dello stereo è altissima e non può abbassarla.
[Chiara] Dopo questo esperimento così ben pubblicizzato la FCA, che produce le Jeep Cherokee, ha dovuto ritirare un milione e mezzo di auto dal mercato, pagare multe negli Stati Uniti per 105 milioni di dollari ed ha ovviamente licenziato i responsabili della cybersecurity dell’azienda. La falla di sicurezza è stata corretta nei modelli successivi, ma la figuraccia è rimasta. E soprattutto, grazie a Miller, Valasek e Greenberg tutto il mondo si è immediatamente reso conto di quanto la sicurezza informatica sia diventata fondamentale anche là dove un computer non c’è (o sembra non esserci).
[Viola] L’argomento di questa puntata quindi è di attualità, e a guidarci lungo questa strada (in tutta sicurezza) sarà Ilaria Matteucci, ricercatrice dell’unità di ricerca “Trust, security and privacy” dell’Istituto di Informatica e Telematica.
[Ilaria] In italiano usiamo un termine unico, “sicurezza”, per indicare la sicurezza sia per gli aspetti che riguardano il mondo digitale sia per quelli che riguardano la sicurezza personale. In inglese invece abbiamo due termini diversi.
Il termine “safety” che indica più la salvaguardia della persona. Quindi se la pensiamo ad esempio nelle nostre auto, con il termine safety indichiamo tutto quello che è la protezione personale dei passeggeri, ad esempio l’airbag o le cinture di sicurezza o la frenata assistita.
Invece con il termine Security in inglese ci si riferisce proprio a quello che ormai in italiano invece è chiamata Cyber Security, quindi la sicurezza in ambito informatico e digitale. Le nostre auto, dal momento che possono collegarsi a Internet, sono anche loro soggette ad attacchi di tipo informatico.
[Chiara] Viola, oggi parliamo di sicurezza, o meglio, come abbiamo appena imparato, di security. Perché il tema è questo: mentre la tecnologia evolve, con il compito, come sempre, di migliorare la nostra vita e rendere più semplici le nostre attività quotidiane, crescono anche i rischi. E una parte consistente della ricerca informatica si occupa proprio di cybersecurity, cioè di metterci al sicuro nei nostri ambienti connessi a Internet, come ad esempio in auto.
[Viola] Esatto Chiara. L’abbiamo visto nella storia con cui abbiamo aperto questa puntata: le centraline elettriche intelligenti delle automobili somigliano sempre di più a dei computer, e questo le rende vulnerabili agli attacchi degli hacker.
Una centralina ha un sistema operativo, un programma da eseguire e trasmette le informazioni all’interno dell’automobile tra le varie parti. Se l’auto è recente poi ci sono anche sensori e sistemi che compiono operazioni indipendenti dal nostro controllo, come la frenata automatica, il limitatore di velocità ecc.
[Chiara] Però nelle auto di nuova generazione, oltre ad essere collegate tra loro, alcune componenti sono collegate anche alla rete internet. Per esempio il cosiddetto sistema di “infotainment”, cioè quello che connette il nostro cellulare all’auto e trasforma lo schermo della plancia in un vero e proprio tablet. Qui, dal punto di vista della sicurezza informatica, si nasconde una vulnerabilità, perché si crea un punto di accesso al sistema dall’esterno.
A cercare una soluzione a questi problemi non sono solo le case automobilistiche ma anche i ricercatori come Ilaria.
[Ilaria] Mi occupo della Cyber Security nel dominio delle auto da circa 6 anni. Questo è un dominio di ricerca abbastanza nuovo, perché il primo attacco risale al 2015, e di solito non pensiamo alle nostre auto come possibili soggetti attaccabili dagli hacker. Invece, purtroppo, da quando le nostre auto sono connesse a Internet dobbiamo cominciare a pensare anche a problematiche relative alla Cyber Security nelle nostre auto. Per questo la nostra attività di ricerca si svolge su due linee parallele: da una parte una linea più offensiva, dove cerchiamo di capire quali sono le vulnerabilità delle nostre auto e ci travestiamo da hacker per capire quanto possono essere grandi queste vulnerabilità e queste problematiche. Dall’altra invece una linea più difensiva in cui elaboriamo delle soluzioni di sicurezza per rendere le nostre auto più sicure dal punto di vista appunto digitale.
[Viola] Ilaria e il suo gruppo di ricerca da qualche anno vestono i panni degli hacker e provano a violare i sistemi delle automobili per trovare dei punti deboli.
Ad esempio:
• hanno geolocalizzato un’auto lungo tutto il suo percorso,
• hanno scattato delle foto della strada usando le telecamere che assistono il guidatore nel parcheggio,
• hanno attivato il microfono all’interno dell’auto per ascoltare le conversazioni
• e hanno fatto impazzire le spie e anche l’indicatore di velocità.
Se vi state chiedendo come hanno fatto, la risposta è semplice. Potremmo dire che è tutta colpa del CAN bus, il protocollo che mette in comunicazione le varie componenti dell’auto tra loro e verso l’esterno. è lì che si nasconde la falla, come ci spiega Ilaria.
[Ilaria] Nel 1982 è stato introdotto il protocollo CAN, che metteva in comunicazione fra loro le varie centraline dell’auto così da poter regolare tutti gli aspetti più meccanici dell’auto, quindi il motore, il servosterzo, i freni.
Il protocollo CAN è un protocollo molto, molto semplice, però completamente privo di qualsiasi meccanismo di sicurezza a bordo. Quindi questo ha portato che nel momento in cui le nostre auto sono state dotate sempre più di elettronica, fino a essere anche connesse a Internet, la nostra auto si è trovata priva di qualsiasi meccanismo di sicurezza a bordo, proprio perché l’auto non è stata progettata per essere “secure by design”, quindi sicura dalla sua nascita, dal suo disegno. E purtroppo mettere però la sicurezza a bordo successivamente ha un costo molto elevato.
[Chiara] Quindi maggiore è la tecnologia all’interno di un’auto, più alti sono i rischi in termini di cybersicurezza. Il primo nome che ci viene in mente quando pensiamo a un’auto super-tecnologica è sicuramente quello di Tesla.
Ma Tesla è un’azienda automobilistica un po’ sui generis, perché sappiamo sappiamo che Elon Musk, il suo proprietario, viene dal mondo dell’informatica e non da quello della meccanica.
E infatti già nel 2015, durante il più importante ritrovo per hacker che si tiene ogni anno di Las Vegas, l’azienda ha deciso di mettere in palio 10.000 dollari per chiunque riuscisse ad hackerare i sistemi della Model S, il suo modello di punta.
Per la cronaca nessuno è riuscito nell’impresa fino in fondo, ma comunque sono state trovate un buon numero di piccole vulnerabilità da correggere.
[Viola] Ma questo tipo di collaborazione non è molto frequente nel panorama dell’Industria automobilistica. Ilaria ci ha raccontato che in generale è raro che chi produce automobili incoraggi smanettoni, ricercatori a hackerare i prodotti, ma lei il suo gruppo di ricerca sono comunque riusciti a ottenere un risultato molto importante in questo senso.
[Ilaria] Nel 2019 di laboratorio abbiamo acquistato un’auto, una Kia Ceed, e abbiamo cominciato così a fare i nostri test.
Quindi abbiamo testato le vulnerabilità di quest’auto per cercare di capire qual erano le problematiche di sicurezza. E alla fine siamo riusciti a trovare una vulnerabilità, e non essendo criminali informatici il nostro primo passo è stato quello di fare quello che ha chiamato “responsible disclosure”, quindi di contattare la casa automobilistica per rivelare la nostra la nostra scoperta.
E dopo varie meeting e telefonate e contatti, Kia ci ha appunto un nuovo sistema di infotainment su cui testare se la vulnerabilità era stata, come si dice in gergo, patchata, quindi risolta.
Quindi è stato un lavoro congiunto, dove noi dalla nostra parte abbiamo verificato che il problema fosse risolto, e loro da parte loro hanno scoperto una vulnerabilità e hanno reso le loro auto più più sicure.
[Chiara] Abbiamo parlato di automobili, ma c’è un altro luogo privato e familiare in cui gli attacchi informatici possono colpirci, il più privato e familiare di tutti: la nostra casa. Anche qui, riprendendo la definizione che ci ha dato Ilaria Matteucci all’inizio della puntata, siamo più abituati a pensare alla nostra “safety” che non alla “security”, e quindi ci preoccupiamo della possibilità di effrazioni, furti o incendi, e non delle minacce cyber. Eppure, con le nostre case connesse, piene di dispositivi per la domotica, telecamere e assistenti vocali, le cose stanno cambiando rapidamente.
[Viola] E allora raccontiamo una storia recente per capire di cosa stiamo parlando. Una delle aziende di sicurezza più famose in Europa, la svedese Verisure, è stata messa sotto inchiesta per un fatto piuttosto sgradevole. Alcuni dipendenti hanno dichiarato che in una chat aziendale dei colleghi avevano iniziato a scambiarsi foto di clienti molto poco vestiti, ovviamente ignari di tutto. Queste foto erano state scattate dalle telecamere di sicurezza all’interno delle case sorvegliate da Verisure. Gli scatti avvenivano quando gli allarmi entravano in funzione per sbaglio, spesso durante la notte. Il vero problema è che queste immagini venivano conservate nel cloud dell’azienda, a cui avevano accesso alcuni dipendenti che avevano iniziato a diffonderle senza autorizzazione.
[Chiara] Ma questa è l’ultima di una serie di storie, diciamo sgradevoli, che hanno a che vedere con i rischi legati alla cyber sicurezza nelle nostre case. La maggior parte di questi episodi per fortuna fino a oggi è accaduta solo all’interno di laboratori di ricerca.
Nel 2018 alcuni ricercatori dell’Università di Berkeley hanno individuato delle vulnerabilità in tutti i principali assistenti digitali, sia Google che Amazon e Apple, che potevano permettere a un hacker di inserire dei comandi nei dispositivi e usarli per aprire porte, rubare denaro o effettuare acquisti online.
In altri casi dei ricercatori sono riusciti ad hackerare un termostato connesso alla rete e far impazzire la temperatura di una stanza oppure hanno spaventato a morte una coppia di genitori azionando a distanza gli speaker dei baby monitor che si trovavano nelle stanze dei loro bambini.
[Viola] Di sicurezza informatica nelle nostre case si occupa Andrea Saracino, anche lui come Ilaria ricercatore nel gruppo Trust, Security and Privacy Istituto di Informatica e Telematica del CNR.
[Andrea] Mi occupo di Cyber Security in ambienti immobili e distribuiti e di intelligenza artificiale, in particolare di come l’intelligenza artificiale e la Cyber Security possano beneficiare l’una dell’altra. Sono il coordinatore del progetto europeo Horizon 2020 SIFIS-Home, che è un progetto che punta a proporre un architettura software distribuita e integrata per la gestione sicura e affidabile delle smart home di nuova generazione.
[Viola] La domanda di soluzioni per la casa intelligente è in grande crescita: secondo il Politecnico di Milano, nel 2021 la vendita di oggetti connessi per le nostre case è cresciuta del +21%. Si va dalle lampadine controllabili dal cellulare o con i comandi vocali, alle TV connesse alla rete per permetterci di vedere i film in streaming e giocare. Poi ci sono gli elettrodomestici che si comandano da distanza o le porte dotate di smart lock, la serratura intelligente che si apre e chiude in automatico.
Pensa Chiara che Amazon ha dichiarato che nel 2021 in Italia ci sono state ben 5 miliardi di interazioni tra gli utenti e Alexa, l’assistente vocale che ormai si trova in moltissime case.
[Chiara] Viola, più o meno tutti, dai più smanettoni ai più tecnoscettici, possediamo almeno un oggetto di questo tipo e dobbiamo imparare a farne un uso consapevole perché, come ci spiega Andrea, la smart home è un ambiente dove la sicurezza informatica può avere un impatto diretto sulla sicurezza fisica.
[Andrea] All’interno della Smart Home ci sono due problematiche di sicurezza fondamentali: l’availability, ossia la disponibilità, e la privacy. L’availability è la disponibilità di una risorsa o un servizio, a svolgere un compito quando richiesto e la loro capacità di inviare messaggi e notifiche quando necessario. Quando si ha un problema di avere availability un dispositivo potrebbe non rispondere ai comandi, non rilevare un allarme, o peggio essere controllato da qualche malintenzionato da remoto. Non è difficile capire perché questo è un problema all’interno della Smart Home: se un malintenzionato, che in grado di accendere il forno a massima potenza alle 3 di notte riesce a fare un attacco, potrebbe tranquillamente mandare a fuoco la casa.