Auto a prova di cyber criminali
Anche le auto sono sempre più connesse e quindi esposte ad attacchi informatici. In un articolo di Changes, abbiamo raccontato come ci fosse grande preoccupazione tra le autorità
I veicoli saranno sempre più dotati di soluzioni tecnologiche per proteggersi dagli attacchi cyber che l’intelligenza artificiale può moltiplicare. Saremo spettatori, inconsapevoli e, si spera, non coinvolti, di una competizione che vede da una parte gli attacchi ai sistemi informatici e dall’altra la nascita di software sempre più sensibili nel rilevarli e difenderci.
L’intelligenza artificiale, oggetto di studio da molti decenni, ha recentemente avuto un impulso formidabile dalla disponibilità di una serie di strumenti estremamente potenti, primo dei quali ChatGPT. Questi strumenti hanno un enorme potenziale in termini di possibili applicazioni, molti prevedono che andranno a sostituire le persone in molte attività lavorative, aumentando l’efficienza di tali attività. In questo articolo andremo però a vedere quali rischi l’intelligenza artificiale (IA) potrà creare, in particolare in termini di sicurezza informatica.
Quando a novembre OpenAI ha lanciato il suo rivoluzionario modello linguistico di intelligenza artificiale ChatGPT, milioni di utenti sono rimasti affascinati dalle sue capacità. Per molti, tuttavia, la curiosità ha lasciato rapidamente il posto a una seria preoccupazione per il potenziale dello strumento essere utilizzata per migliorare i programmi dei criminali informatici. In particolare, ChatGPT apre agli hacker nuove strade per violare i software avanzati di sicurezza informatica.
Ma non solo. L’intelligenza artificiale consentirà agli hacker di tutto il mondo di avere una conoscenza quasi fluente dell’inglese, come anche di tutte le altre lingue, compreso l’italiano, per rendere molto più credibili le loro campagne di phishing. Sarà addirittura possibile invitare l’ignaro utente ad aprire una chat con un operatore. La capacità di ChatGPT di conversare con gli utenti senza errori ortografici, grammaticali e di tempo dei verbi farà sembrare che dall’altra parte della finestra di chat ci sia una persona reale. Dal punto di vista degli hacker, ChatGPT rappresenta una risorsa utilissima.
Su Changes si è parlato delle minacce informatiche possibili verso i veicoli, e delle contromisure che le case automobilistiche, sulla spinta anche di nuovi regolamenti, stanno adottando per rendere sicure le vetture rispetto a questi attacchi. In effetti i cybercriminali si sono organizzati per sfruttare eventuali debolezze presenti sui veicoli. Ad esempio per rubare una vettura:
Questi furti possono avvenire in poche decine di secondi e il veicolo non viene danneggiato, anche minimamente. I nuovi modelli di veicolo saranno sempre più connessi e dotati di centraline intelligenti, basati sempre di più sul software, piuttosto che per le dotazioni hardware, ne abbiamo parlato su Changes in questo articolo. I vantaggi per guidatori e passeggeri dei veicoli sono moltissimi, ma questo apre anche nuove possibilità di attacchi informatici.
I modelli di vettura più recenti possono connettersi con server remoti, tramite la rete cellulare, e attraverso questi scaricare nuovi programmi o aggiornare quelli esistenti (aggiornamenti OTA, Over The Air). In linea teorica questi programmi potrebbero quindi contenere delle funzionalità atte a carpire dati personali del guidatore o dei passeggeri.
Su vettura lo scenario è molto differente rispetto a quello che succede sui nostri smartphone o PC. Il software presente su vettura può essere, per il momento almeno, proveniente solo da un server remoto della casa automobilistica, o autorizzato da questa. I programmi scaricati sono quindi autenticati, si controlla da chi provengono, e si verifica la loro integrità, cioè che non sono stati modificati. Non è quindi possibile scaricare e lanciare un programma che cerchi di acquisire dati personali.
Questo tipo di attacco è possibile in generale, ma trova una facile applicazione sull’auto. Abbiamo una vettura elettrica, raggiungiamo una colonnina di ricarica. Troviamo un QR code per scaricare sul telefono l’applicazione necessaria per far partire la ricarica. La scarichiamo e forniamo tutti dati necessari: nome, indirizzo, codice carta di credito, ecc. Finiamo il tutto ma il programma dà errore e ci chiede di rifare il processo da zero. Ripetiamo il tutto e funziona. Ricarichiamo la vettura e siamo tranquilli. Ma cosa è successo?
Il QR code che abbiamo usato rimanda ad un sito che simula il sito reale, rubandoci quindi tutti i dati personali, e poi, indicando un errore generico, ci porta sul sito corretto, dove l’utente può concludere con successo la transazione e quindi ricaricare il veicolo.
Quindi facciamo attenzione quando si utilizza un QR code in un luogo pubblico: al criminale è sufficiente coprire il QR code originale con un adesivo che riporta il QR code fasullo. L’utente non riscontra nulla di (particolarmente) anormale e sarà poi difficile collegare l’uso criminale dei dati carpiti al QR code fasullo applicato alla colonnina.
Abbiamo detto che non è possibile scaricare un programma sulle centraline del veicolo che non sia stato verificato dalla casa automobilistica, che sia quindi privo di virus o codice anomalo. Questo però non ci dispensa dall’adottare misure di cautela. In particolare:
L’intelligenza artificiale potrà anche essere utilizzata dai criminali per individuare eventuali debolezze (vulnerabilità) presenti sul veicolo e sfruttarle opportunamente. Ad esempio come portare un programma esistente sul veicolo a modificarsi, attraverso una serie di comandi legittimi. Un esempio tipico è il “buffer overflow”. Una centralina è programmata per ricevere periodicamente una informazione, ad esempio una temperatura. L’informazione è contenuta in pochi byte (caratteri).
Se il messaggio è molto più lungo e il programma non controlla questa lunghezza, il dato andrà a finire nella memoria della centralina, modificando una parte della sua memoria, che potrebbe poi essere eseguita come codice. La centralina diventa “compromessa” e può essere utilizzata dall’attaccante per compromettere altre centraline e realizzare l’obiettivo del criminale che può essere, ad esempio:
Nell’ultimo caso l’obiettivo del criminale sarà di ricattare la casa automobilistica, minacciando guasti su molti dei suoi veicoli circolanti.
Ma, per fortuna, è possibile adottare opportune contromisure per impedire o risolvere questi attacchi. Le vetture vengono dotate di sistemi per il rilievo di “intrusioni” cioè di tentativi di penetrare i sistemi dall’esterno, con successo o meno. Ogni condizione anomala, come un messaggio di lunghezza non corretta o contenente informazioni non plausibili (ad esempio temperatura acqua 1000 gradi) , viene registrata, memorizzata ed inviata ad un centro remoto SOC (Security Operating Center).
In questo centro operativo programmi di intelligenza artificiale elaborano questi dati, le condizioni anomale emerse, e possono quindi stabilire se si tratta di una situazione causata o meno da un tentativo di attacco. In caso positivo, tentativo di attacco, si possono quindi adottare le necessarie contromisure, per impedire che l’attacco abbia successo o che, in presenza di un attacco riuscito, questo possa portare a delle conseguenze importanti.
Avremmo quindi una sorta di “guerra” tra intelligenze artificiali: da una parte per attaccare i sistemi del veicolo senza creare troppe anomalie che portino ad identificare l’attacco, dall’altra parte a diventare sempre più sensibili nel rilevamento degli attacchi stessi.
Ma allora quale scenario ci aspetta?