Siamo sicuri di volere l'auto ultraconnessa? Hacking a Jeep Cherokee

[loric]

Ormai un po' tutte le auto, specie con servo elettrico, sono facili da controllare da questo punto di vista, tuttavia in merito all'episodio si diceva che fosse facile controllarlo solo in retromarcia, il che mi fa pensare ad legame con le funzionalità messe a disposizione dal sistema di parcheggio assistito )

Confermo, è così.

[Guest EC2277]

il rimedio a quel problema era pronto ancora prima che uscisse l'articolo, visto che i due tipi hanno sempre condiviso le loro ricerche e i loro risultati con FCA.

[…]

Rettifico: tali ricerche sono sempre sovvenzionate dalle Case stesse, che hanno tutto l'interesse a porre rimedio ad una magagna, prima che questa crei problemi alla clientela.

[loric]

Rettifico: tali ricerche sono sempre sovvenzionate dalle Case stesse, che hanno tutto l'interesse a porre rimedio ad una magagna, prima che questa crei problemi alla clientela.

Gli acheri in questione non sono stati sovvenzionati da FCA/Chrysler. Hanno comunque agito responsabilmente, informando FCA/Chrysler della vulnerabilità, prima di pubblicarne i dettagli.

[crabble]

Qualsiasi dispositivo informatico esposto su Internet è a rischio di attacco. Dal PC al router di casa ai c.d. "smart appliances". Non vedo perché dovrebbe essere diverso con le auto.

Il mio server domestico è giornalmente interessato da tentativi di accesso non autorizzati da parte di macchine compromesse. Ho messo su un sistema che, in automatico, inserisce gli host usati per gli attacchi in blacklist per i servizi esposti su Internet, nonché in blocco attraverso il firewall. Ogni tanto mi diverto a controllare cosa c'è dietro gli IP che attaccano il mio serverino. Mi sono ritrovato un paio di volte tentativi di accesso provenienti da centraline di controllo di impianti fotovoltaici. Questo significa che qualcuno, da qualche parte, ha compromesso quei dispositivi. Sto aspettando il primo caso di tentativo d'accesso da parte di una lavatrice "smart"

Non è detto, ci sono casi di intrusione in auto non connesse ad internet ma che sfruttano un NON bug tra le chiavi e l'auto.

http://www.nytimes.com/2015/04/16/style/keeping-your-car-safe-from-electronic-thieves.html?_r=0

Tornando al topic, io non credo che la sprovvedutezza dei costruttori si sostanzi nella mancata implementazione di sistemi di difesa (firewall, IDS, etc.), ma nell'esporre in rete i sistemi delle auto. E' pericoloso. E non pericoloso nel senso informatico, non stiamo parlando di una smart TV che, nella peggiore delle ipotesi, può essere usata come zombie per attacchi contro bersagli terzi o per spiare tizio quando si guarda i pornazzi. Un'automobile, se qualcuno smanetta coi suoi sistemi elettronici, può facilmente causare incidenti con esiti anche gravissimi. Ripeto: il vantaggio di poter accendere da casa con l'iPhone il climatizzatore dell'auto nelle giornate di canicola, così da poter salire in un'auto già fresca, scompare di fronte ai rischi di cui stiamo parlando, rischi che, come dimostrano gli esempi sopra riportati, sono tutt'altro che teorici.

E`un discorso un pò senza senso. Messa così allora non dovremo usare la tecnologia neanche sugli aerei, treni, camion, ecc..

L'unica vero motivo è che sono sistemi nuovi, usciti da pochi anni, verranno perfezionati ma ci sarà sempre qualcuno che troverà il modo di sfruttare qualche bug, non per questo non devono esserci!

Una volta mettevano la chiusura con la mega-iper-serratura: 1 mese dopo i mariuoli o gli albanesi avevano trovato il modo di aprirla. Sarà sempre così, cambia solo il metodo: una volta si usava abilità tecniche fisiche, adesso informatiche di networking. Il risultato è lo stesso.

[loric]

Non è detto, ci sono casi di intrusione in auto non connesse ad internet ma che sfruttano un NON bug tra le chiavi e l'auto.

http://www.nytimes.com/2015/04/16/style/keeping-your-car-safe-from-electronic-thieves.html?_r=0

Il trucchetto dell'amplificatore di segnale è noto da tempo e, per quanto dimostri che chi ha inventato il sistema keyless non era particolarmente brillante, è comunque totalmente irrilevante rispetto al mio discorso. Io parlo di manomissioni da remoto che possono compromettere la sicurezza dell'auto. E per sicurezza non intendo "aprire lo sportello" (quello un ladro lo può fare anche con una "analogica" pietra, spaccando il finestrino), bensì sicurezza di guida. E la si può compromettere stando comodamente sdraiati sul sofà di casa propria, a 1000 Km di distanza dalla vittima.

E`un discorso un pò senza senso. Messa così allora non dovremo usare la tecnologia neanche sugli aerei, treni, camion, ecc..

Non hai capito.

[Ario_]

Io ripeto la domanda.

Che si connetta l'autoradio lo capisco. Stai offrendo una funzionalità al cliente.

Che si connetta il park assist, che senso ha? Si prevede che in futuro il cliente scenda dall'auto e le chieda di parcheggiarsi mentre prende un caffé? Anche messa così la cosa è:

a. comunque rischiosa perché i radar posteriori non vedono tutto

b. comunque inutile: metti piuttosto un comando in plancia o sul telecomandino delle chiavi.

Ancora meno comprensibile è la connettività dell'ESP.

[TonyH]

Non è che certe funzionalità sono connesse....é che semplicemente non viaggiano su circuito separato da quelle connesse.

Forse la cosa migliore, è far si che le funzionalità connesse siano fisicamente separate da tutto il resto...

[Guest EC2277]

Tutto ciò si scontra con tre problemi fondamentali: peso, costo ed ingombro. L'elettronica di bordo è diventata troppo complessa per continuare a realizzare tante connessioni specifiche e quindi si è stati costretti a passare ad una rete di collegamento condivisa.

È un po' come le strade: se ci sono pochi paesi da collegare, è possibile realizzare tante strade specifiche per ogni coppia di paesi. Ma se si tratta di collegare tante città, allora è necessario realizzare un'autostrada con tanti svincoli ed è proprio questa "autostrada elettronica" ad essere il punto debole. La soluzione sarebbe quella di tornare a realizzare memorie ROM, ma poi non si potrebbero aggiornare i software delle varie centraline…

[TonyH]

Il grosso dell'impianto serve per tutte le funzioni offline....

Quelle online sono poche, e alla fine uno smartphone da qualche etto fa tutto.

[Bosco]

Jeep hackerata: gli esperti svelano perché la sicurezza IT in auto è disastrosa - Tom's Hardware

In parole spicce modo di progettare l'hw "datato"