Protezione dell'auto elettrica e definita da software

“Putin è una testa di cazzo. Gloria all'Ucraina."

Questo è ciò che hanno letto recentemente, tra le altre cose, i caricatori per veicoli elettrici hackerati nelle stazioni di ricarica per disabili vicino a Mosca. E per quanto porti un sorriso sui volti di molti in tutto il mondo, mette in evidenza un punto sollevato da diversi ricercatori e sviluppatori che si sono riuniti la scorsa settimana a scarto 2022 (una conferenza che si concentra ogni anno sui profondi sviluppi tecnici nella sicurezza informatica automobilistica): gli hack automobilistici sono in aumento. Infatti, per Il rapporto di Upstream Automotive, la frequenza degli attacchi informatici è aumentata di un enorme 225% dal 2018 al 2021, con l'85% condotto in remoto e il 54.1% degli hack del 2021 costituiti da attaccanti "Black Hat" (ovvero dannosi).

Durante l'ascolto di vari rapporti del mondo reale a questa conferenza, alcune cose sono diventate evidenti: ci sono sia buone notizie che cattive notizie basate sull'attenzione sempre richiesta in quest'area critica.

The Bad News

Nei suoi termini più semplici, la cattiva notizia è che i progressi tecnologici stanno solo rendendo più probabile la probabilità di eventi del primo giorno. "I veicoli elettrici stanno creando più tecnologia, il che significa che ci sono più minacce e superfici di minaccia", ha affermato Jay Johnson, Principal Research dei Sandia National Laboratories. "Ci sono già 46,500 caricabatterie disponibili nel 2021 e entro il 2030 la domanda del mercato suggerisce che ce ne saranno circa 600,000". Johnson ha continuato a delineare le quattro principali interfacce di interesse e un sottoinsieme preliminare di vulnerabilità identificate insieme a raccomandazioni, ma il messaggio era chiaro: è necessaria una "chiamata alle armi" in corso. Questo, suggerisce, è l'unico modo per evitare cose come gli attacchi Denial of Service (DoS) a Mosca. "I ricercatori continuano a identificare nuove vulnerabilità", afferma Johnson, "e abbiamo davvero bisogno di un approccio completo per condividere informazioni su anomalie, vulnerabilità e strategie di risposta per evitare attacchi coordinati e diffusi alle infrastrutture".

Le auto elettriche e le relative stazioni di ricarica non sono le uniche nuove tecnologie e minacce. Il "veicolo definito dal software" è una piattaforma architettonica semi-nuova (*probabilmente impiegata più di 15 anni fa da General MotorsGM
e OnStar) che alcuni produttori sono diretti a combattere il miliardi di dollari sprecati sulla riqualificazione continua di ogni veicolo. La struttura di base prevede l'hosting fuori bordo della maggior parte dei cervelli del veicolo, il che consente il riutilizzo e la flessibilità all'interno del software ma presenta anche nuove minacce. Secondo lo stesso rapporto Upstream, il 40% degli attacchi negli ultimi anni ha preso di mira i server back-end. “Non inganniamoci”, avverte Juan Webb, amministratore delegato di Kugler Maag Cie, “ci sono molti luoghi nella catena automobilistica in cui possono verificarsi attacchi che vanno dalla produzione, alle concessionarie, ai server fuoribordo. Ovunque esista l'anello più debole che è il più economico da penetrare con le maggiori implicazioni finanziarie, è lì che gli hacker attaccheranno".

Lì, parte di ciò che è stato discusso a escar era la cattiva-notizia-buona-notizia (a seconda della tua prospettiva) del Regolamento UNECE entrerà in vigore questa settimana per tutti i nuovi tipi di veicoli: i produttori devono mostrare un solido sistema di gestione della sicurezza informatica (CSMS) e un sistema di gestione degli aggiornamenti software (SUMS) affinché i veicoli siano certificati per la vendita in Europa, Giappone ed eventualmente in Corea. "Prepararsi per queste certificazioni non è un piccolo sforzo", afferma Thomas Liedtke, specialista di sicurezza informatica anche lui di Kugler Maag Cie.

Les Bonnes Nouvelles

Innanzitutto, la migliore notizia è che le aziende hanno sentito il grido di battaglia e hanno iniziato a instillare il rigore necessario per combattere i suddetti nemici di Black Hat. “Nel 2020-2022 abbiamo assistito a un aumento delle aziende che desiderano condurre un'analisi delle minacce e una valutazione dei rischi o TARAR
A”, afferma Liedtke. "Come parte di queste analisi, la raccomandazione è stata quella di concentrarsi sui tipi di attacco controllati a distanza poiché questi portano a valori di rischio più elevati".

E tutta questa analisi e rigore inizialmente sembra avere effetto. Secondo un rapporto fornito da Samantha ("Sam") Isabelle Beaumont di IOActive, solo il 12% delle vulnerabilità rilevate nei test di penetrazione del 2022 è stato ritenuto "impatto critico" rispetto al 25% nel 2016 e solo l'1% era "probabilità critica" rispetto a 7% nel 2016. "Stiamo assistendo alle attuali strategie di correzione del rischio che iniziano a dare i loro frutti", afferma Beaumont. "Il settore sta migliorando nel costruire meglio".

Vuol dire che l'industria è finita? Certamente no. "Tutto questo è un processo continuo di rafforzamento dei progetti contro attacchi informatici in evoluzione", suggerisce Johnson.

Nel frattempo, celebrerò l'ultima buona notizia che ho raccolto: gli hacker russi sono impegnati ad hackerare le risorse russe piuttosto che il mio feed sui social media.