UPDATE 7 Novembre 2016 – Le slide presentate sul tema a e-privacy XX a Roma (link in fondo al post)
Questo post riassume il contenuto presentatoche avrei dovuto presentare* nell’ambito del DFA Open Day 2016 sugli aspetti critici delle auto connesse in permanenza a Internet, e più in generale dei rischi per la sicurezza che derivano da sistemi mal progettati in ambito automotive.
La migrazione delle tecnologie dell’informazione verso il “cloud” sembra inarrestabile, nonostante i rischi sicurezza e protezione dei dati personali e la negazione della rivoluzione del “Personal Computing” di qualche decennio fa, con il (ri)trasferimento della maggior parte della potenza di calcolo dagli individui alle grandi corporation di Internet. La comodità dei servizi sempre connessi, senza dimenticare la potenza del marketing, fa premio ormai su tutte le altre considerazioni.
Quando però si passa dai nostri account di posta elettronica al cosiddetto “Internet delle cose”, l’analisi dei rischi inerenti alla connessione permanente dovrebbe essere molto più approfondita. I punti critici sono molti, sia dal punto di vista della sicurezza fisica (“safety”) che della sicurezza delle informazioni e della privacy.
Cybersecurity
A bordo delle automobili moderne esistono non una ma ormai una pluralità di reti dati connesse tra loro e con l’esterno: CANbus è un bus specializzato per le applicazioni automotive, che connette tra loro tutti gli elementi critici di un’auto, a partire da motore e trasmissione. Questa rete era tradizionalmente accessibile solo in modalità cablata, attraverso la porta standard OBD (obbligatoria dall’inizio degli anni 2000). La tendenza attuale a collegare questa rete dedicata alle applicazioni rivolte all’utente, come il sistema di configurazione e di intrattenimento aumenta a dismisure la superficie di attacco esposta, tanto più se sono presenti interfacce USB, WiFi, Bluetooth o GSM/GPRS/UMTS/LTE: non è più necessario l’accesso fisico al veicolo per comprometterne la sicurezza come hanno dimostrato i casi Jeep Cherokee, Mitsubishi Outlander Hybrid e Nissan Leaf.
Privacy
Le automobili sono uno dei “generatori” di dati personali più prolifici, ma credo che pochi di noi abbiano mai espresso un consenso al loro trattamento a qualsiasi titolo… Eppure gli attori interessati sono moltissimi, a partire dalle case produttrici, che si pongono direttamente in concorrenza con le grandi Internet company: l’allora leader del gruppo Volkswagen Winterkorn dichiarò nel 2014 (prima della caduta…) che VW “[…] intende connettersi con i sistemi di Google, ma vuole comunque rimanere in controllo delle nostre auto.” Le case sono pienamente consapevoli del valore economico delle informazioni generate che sono di interesse – tra gli altri – delle assicurazioni (per la determinazione dei premi) e dei loro periti, delle compagnie di leasing, dei governi e del fisco, delle forze di polizia, degli ospedali, dei datori di lavoro, dei gestori delle flotte, delle officine di manutenzione… Un solo esempio: i dati grezzi come posizione dei pedali, giri motore, accelerazioni ed altri, se generati in grande quantità possono permettere di profilare lo stile di guida dell’utente e addirittura di individuarlo, come una sorta di impronta biometrica.
Slide in italiano
La presentazione completa in italiano (pdf): ConnectedCars
La presentazione e-privacy XX (pdf): ConnectedCars-Roma
*Purtroppo ho dovuto dare forfait all’ultimo momento per motivi di salute (niente di grave, un paio di giorni di downtime) 🙁
