Il futuro dell’auto autonoma e interconnessa. Con tutti i suoi cyberisks

20 Novembre 2017

di Nicola Penna ♦ Sul veicolo autonomo del futuro il passeggero più importante, il guidatore, siederà fuori, sul cloud. Stiamo parlando dei dati che reggeranno il funzionamento di quello che già ora si delinea come un sistema integrato di gestione del traffico ( ITS ) basato sull’ IoT, per la guida sulle “smart roads”. E che non è al riparo dai cyberattacks: una ricerca di Trend Micro

L’ episodio è avvenuto recentemente in un paese montano in provincia di Como. Un turista è rimasto incastrato con la sua nuova Volvo bianca fiammante, il prototipo della smart car, in una mulattiera di un paese di montagna. Ci sono volute ore per rimuovere la macchina. L’automobilista è finito lì, perché contro ogni realistica considerazione della situazione, ha seguito ciecamente (è il caso di dirlo) le indicazioni del navigatore satellitare. Con ogni evidenza i dati trasmessi erano perlomeno poco aggiornati. Ma questo episodio innesca due ragionamenti. Il primo è una riflessione sull’ importanza che uno degli elementi base dello smart drive ha acquisito ormai nelle abitudini di guida, con la misura assurda del grado di confidenza nel navigatore satellitare che, così come per altri sistemi installati a bordo delle auto, è riuscito a guadagnare credito assoluto in poco tempo. Il secondo riguarda l’affidabilità e la gestione sicura dei dati che presto diventeranno decisivi per la guida sulle smart road.

Google_self_driving_car_at_the_Googleplex — Uno dei primi prototipi dell’ auto senza pilota di google

La conquista dei dati che guideranno le auto del futuro

Sappiamo che non solo Google, ma ora anche le case automobilistiche che finora si sono misurate con la motorizzazione e gli assetti di guida tradizionali, si stanno movendo velocemente verso scenari che pongono, letteralmente, al centro della strada, i veicoli a guida autonoma (AV). E uno degli elementi decisivi per abilitare questi prodotti è la garanzia della loro assoluta affidabilità nella gestione della circolazione. Affidabilità che poggerà totalmente (e quindi senza intervento del guidatore), sulla raccolta, gestione e trasmissione dei dati che governeranno la guida di milioni di veicoli on the road. Con tutto quello che ne consegue, a partire dalla attendibilità della raccolta di base fino protezione e salvaguardia dei dati (e della nostra) dal momento in poi in cui giriamo la chiavetta dell’ avviamento della nostra Smart Car ora, e poi dell’AV.

Mappe: Germania vs Google con Audi, BMW e Daimler

Nell’ ambito generale di nuovo orientamento alla produzione di veicoli autonomi, a muoversi per prime in Europa sono state le case automobilistiche tedesche. Per quello che riguarda i dati, già due anni fa Here, ex filiale di Nokia, è stata acquistata dai fabbricanti tedeschi Audi, BMW e Daimler, che intendono trasformarla in una sorta di centrale digitale al servizio dell ‘industria automobilistica nazionale, utilizzando le capacità di mappatura in tempo reale di cui dispone l’azienda per appropriarsi un elemento decisivo per inverare la previsione di una loro autovettura senza guidatore su strada entro il 2020. Per far ciò, i dati provenienti dai computer di bordo delle autovetture devono essere riversati in un poderoso cloud così da consentire ai computer dei veicoli di tenere traccia di ogni centimetro di strada, di ogni ostacolo, dai blocchi di traffico fino alle lastre di ghiaccio. Tutto questo sarà continuamente alimentato nella nube, in tempo reale, da milioni di auto on the road. E diventerà determinante la cyber security.

La concorrenza per raggiungere questo obiettivo è intensa. Gli esperti ritengono che solo due o tre importanti società di mappatura arriveranno a dominare il mercato. In una recente relazione, la società di ricerca di mercato Ovum ha messo il servizi di Here davanti ai suoi rivali Tomtom e Apple Maps. Ma su tutti i tre incombe Google, la cui controllata, Waymo, vuole utilizzare le risorse straordinarie di dati della società madre per dominare il mercato.

La Volkswagen vuole “reinventare l’automobile”

E a proposito di Germania, tra tutte le case automobilistiche, quella in pole position per il futuro sembra essere la Volkswagen, che ha svelato la sua ambiziosa intenzione di “reinventare l’automobile”, con l’obbiettivo di diventare leader di mercato nell’ ambito e-mobility per il 2025, realizzando la convergenza tra auto elettica auto e auto a guida autonoma. Per questo è stato annunciato un investimento di 34 miliardi. La fabbrica di Zwickau del colosso di Wolfsburg, nella quale al momento 7.700 lavoratori sono impegnati sulle linee di montaggio di della Golf e della Passat, sarà riconventita interamente alla produzione elettrica.

Di là delle Alpi: Psa

Anche in Francia, parlando di Smart car e Smart drive è notizia recente che il gruppo Psa si sta movendo sulla mobilità connessa. Ha scelto Huawei per la creazione di una nuova piattaforma battezzata Connected Vehicle Modular Platform (CVMP), attivando una partnership la cui finalità è garantire una gestione sicura delle interazioni digitali tra la vettura e il cloud, assicurando l’integrità, l’autenticità e la riservatezza dei dati. Nello specifico la nuova piattaforma permetterà di sfruttare servizi futuri come la diagnosi della vettura a distanza e comandi in remoto come il controllo della carica della batteria, il preriscaldamento e l’aggiornamento over the air dei software del veicolo. Oltre alla gestione del car pooling e della flotta aziendale, la piattaforma modulare offrirà in futuro servizi personalizzati nella vettura come l’assistente personale. L’approdo all’ IoT, con la manutenzione predittiva con il controllo a distanza anche di singoli elementi funzionali della vettura, viene operato anche da produttori di singoli elementi dell’ auto motive. A questo riguardo Industria Italiana già si è occupata degli pneumatici e di Pirelli .

Casistiche di cyberattacks ai sistemi di traffico (courtesy Trend Micro)

Gli scenari futuri e il nuovo ecosistema della circolazione stradale

Ora, in un futuro che è già alle porte, bisogna pensare alle singole autovetture, sempre più smart, inserite in un nuovo ecosistema complessivo che regola la circolazione sulle strade. Parliamo di quello che viene definito Intelligent Transportation Systems (ITS), che raccoglie le applicazioni di tecnologie avanzate ed emergenti nel trasporto applicate alla regolamentazione della circolazione sulle strad , quelle che consentono di salvare vite, tempo, denaro e salvaguardare l’ambiente. Dai veicoli autonomi alle Smart Roads, ITS rende realistico immaginare in futuro sistemi di traffico completamente integrati e collegati. Si va a definire un nuovo ecosistema che, sostituendo quello odierno (dove già sono presenti in maniera dispartaa alcuni elementi dell’ ITS) accoglie e inserisce nel quadro generale della circolazione su strada le nuove auto tecnologicamente evolute. E, come vedremo, la sua gestione pone problemi notevoli di sicurezza, visto che si basa sulla trasmissione di dati importanti esposti a cyberattacks.

Intelligent Transportation System

L’ Intelligent Transportation System che muove ai giorni nostri i primi passi verso il traguardo del sistema integrato è costituito da un complesso ecosistema di tecnologie avanzate ed emergenti. Per semplicità gli oggetti e i sistemi al suo interno possono essere racchiusi in sei categorie principali:

I veicoli – connessi e autonomi.

I sistemi di monitoraggio delle strade – telecamere e sensori che inviano dati in tempo reale ai centri di controllo, con l’obiettivo di ottimizzare gli alti volumi di traffico. Un esempio possono essere le telecamere nelle corsie degli autobus.

I sistemi per il controllo dei flussi di traffico – i sistemi di monitoraggio delle condizioni del traffico e delle strade in tempo reale, per ottimizzare i flussi. Ad esempio ai passaggi a livello, o in caso di veicoli di emergenza.

I sistemi e le app per il pagamento – che regolano i pedaggi stradali e le aree di sosta.

Le app e i sistemi di gestione – che controllano tutti gli aspetti dell’ITS dal centro di controllo.

Le app e i sistemi di comunicazione – che permettono e facilitano lo scambio di informazioni tra le diverse parti dell’ITS.

La minaccia degli hackers

Dato che le connected cars e i veicoli autonomi sono diventati sempre più di attualità, anche i governi di tutto il mondo stanno focalizzando la loro attenzione sulla salvaguardia di questi sistemi, che sono anche i protagonisti dell’ultima ricerca Trend Micro, leader globale nelle soluzioni di sicurezza informatica, una ricerca dal titolo “Cyberattacks contro sistemi intelligenti di trasporto: le minacce future da valutare per l’ ITS”.

Trend Micro Incorporated, fondata trent’anni fa negli Stati Uniti, ora con sede a Tokio, è un società attiva nel settore dei software e delle soluzioni di protezione, volte a controllare il potenziale delle tecnologie emergenti e i nuovi modi di condividere le informazioni. Ha un fatturato di 1,1 miliardi di dollari USA, 5217 dipendenti ed è quotata alla Borsa giapponese. I suoi prodotti riguardano soluzioni di protezione dei contenuti multilivello a tutela di dispositivi mobili, endpoint, gateway, server e cloud per salvaguarare dai minacciati da attacchi mirati.

La vulnerabilità dell’ ITS

Tutte le tecnologie abilitate a Internet sono aperte alla minaccia di cyberattacks, che nel caso dei potenziali obbiettivi nell’ambito dell’ ITS potrebbero andare da interruzioni nelle transazioni commerciali (ad esempio i pedaggi) con conseguenti perdite economiche, fino all’ esposizione degli automobilisti a rischi significativi di sicurezza, pensiamo alla alterazione dei messaggi sui pannelli a messaggistica variabile, già comuni sulle nostre autostrade. Secondo lo studio questo scenario da incubo in parte è già reale.

La dimostrata possibilità che l’ ITS venga attaccato è la premessa principale del documento di ricerca elaborato da Trend Micro. In esso si esaminano in dettaglio le minacce che l’infrastruttura di traffico integrata ITS potrebbe dover fronteggiare, dagli attacchi che rendono non più disponibile i flussi di dati e informazioni alla totale disruption delle funzioni e dei servizi. Il documento offre anche le raccomandazioni, sia a breve che a lungo termine, su ciò che è necessario fare per garantire un ITS contro quelle minacce.

Una casistica già ampia per alcune singole funzioni già in essere

I primi attacchi cyber a questi sistemi sono già stati registrati e il rischio in questo ambito è potenzialmente molto alto. Si possono creare incidenti, ingorghi stradali e causare perdite economiche sia alle aziende che ai governi. I motivi per sferrare un attacco possono essere molteplici: creare caos o distruzione, arricchirsi, rubare dati sensibili etc. Gli attacchi ransomware, il furto dati e gli attacchi DDoS sono fenomeni già reali. Per citare alcuni esempi riportati nella ricerca, alcuni cartelli elettronici stradali sono stati compromessi e i loro messaggi cambiati con frasi di scherno o sovversive, migliaia di telecamere di videosorveglianza sono state infettate con ransomware e un lavaggio auto connesso a Internet è stato alterato, per attaccare i veicoli e i loro occupanti.

Il livello di rischio e le contromisure possibili

I sistemi ITS possono essere attaccati fisicamente, attraverso le reti o in modalità wireless. Per raccogliere dati sugli attacchi cyber a questi sistemi, Trend Micro ha assegnato dei vettori d’attacco alle principali categorie che costituiscono un sistema ITS e ha applicato il modello DREAD ( Damage potential, Reproducibility, Exploitability, Affected Users, Discoverability) per calcolare i rischi. Il risultato è stato che il 54% di tutte le minacce è stato categorizzato come “ad alto rischio”, mentre il 40% “a rischio medio”. Gli attacchi attraverso le reti, con un 71%, rappresentano la maggioranza degli attacchi “ad alto rischio”.

Proteggere l’intero ecosistema ITS dagli attacchi cyber è difficile, ma ci sono alcune contromisure e best practice che si possono seguire, per rendere questi sistemi più resilienti. Alcune strategie comprendono:

• Network segmentation
• Firewalls/UTM gateways
• Anti-malware
• Anti-phishing
• Breach detection system
• IPS/IDS
• Encryption
• Patch management
• Vulnerability scanning
• Shodan scanning

Agire preventivamente per salvaguardare il futuro sistema traffico

I sistemi ITS, oggi, sono ancora in una “fase di sviluppo iniziale”, quello nel quale si prevedono soluzioni, si mettono alla prova modelli, vengono definiti parametri, tolleranze, identificate minacce, create leggi. Se le previsioni sono vere possiamo aspettarci un trasporto di massa rivoluzione nei prossimi trent’anni. L’adozione di veicoli a guida autonoma (AV) alimenterà grandi investimenti nell’infrastruttura ITS: saranno necessarie strade intelligenti per le operazioni AV quotidiane. Citando le conclusioni dello studio Trend Micro «Nell’attuale mondo connesso di dispositivi intelligenti e volumi sempre crescenti di dirompenti e distruttivi attacchi informatici, la sicurezza informatica ITS è obbligatoria e dovrebbe essere considerata un pilastro fondamentale nella costruzione di architetture e strutture ITS. Identificando e affrontando i rischi di cibersicurezza che gli ITS dovranno fronteggiare nelle prime fasi di sviluppo,sarà determinante per influenzare sia dal punto di vista normativo che legislativo che tecnologico il loro corretto sviluppo.»

Cookie	Durata	Descrizione
cf_ob_info	30 secondi	[Cloudflare] Utilizzato dal servizio Always Online di Cloudflare. Il cookie cf_ob_info fornisce informazioni su: il codice di stato HTTP restituito dal server web di origine, l'ID Ray della richiesta originale fallita e il centro dati che serve il traffico.
cf_use_ob	30 secondi	[Cloudflare] Utilizzato dal servizio Always Online di Cloudflare. Il cookie cf_use_ob informa Cloudflare di recuperare la risorsa richiesta dalla cache Always Online sulla porta designata.
cookielawinfo-checkbox-necessary	1 anno	Questo cookie registra il consenso per i cookie nella categoria "Tecnici".
cookielawinfo-checkbox-non-necessary	1 anno	Questo cookie registra il consenso per i cookie nella categoria "Profilazione".
CookieLawInfoConsent	1 anno	Questo cookie registra il consenso dato sulla barra dei cookie (viewed_cookie_policy) e i valori di cookielawinfo-checkbox-necessary e cookielawinfo-checkbox-non-necessary. In conformità con le regolamentazioni del CCPA.
PHPSESSID	sessione	Il cookie PHPSESSID è un cookie nativo di PHP e consente ai siti Web di memorizzare dati sullo stato della sessione.
pum-*	1 giorno	Questo cookie è utilizzato per gestire il popup che appare su questo sito web e serve soprattutto a definire se un popup è stato aperto, chiuso e se non deve più essere visualizzato. L’* è l’ID del popup.
viewed_cookie_policy	1 anno	Questo cookie registra il consenso dato sulla barra dei cookie.
wordpress_test_cookie	sessione	Prova se il cookie può essere impostato. WordPress imposta anche il cookie wordpress_test_cookie per controllare se i cookie sono abilitati sul browser per fornire un'esperienza utente appropriata agli utenti. Questo cookie viene utilizzato sul front-end, anche se non sei loggato.

Cookie	Durata	Descrizione
_ga	2 anni	[Google Analytics] Usato per distinguere gli utenti.
_ga_*	400 giorni	[Google Analytics] Utilizzato per accelerare il tasso di richiesta. L'* è l'ID della proprietà di GA4.
1P_JAR	30 giorni	[Google, Youtube] Usato per personalizzare gli ads sulle ricerche di Google.
audiensClientId*	sessione	[Audiens] Profilazione dell'utente al fine di erogare contenuti pubblicitari basati sugli interessi. L'* è l'id del client.
CONSENT	1 anno	[Google, Youtube] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
DV	7 minuti	[Google, Youtube] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
GPS	30 minuti	[Youtube] Questo cookie serve per memorizzare informazioni quali la configurazione di pagina preferita e le preferenze di riproduzione dell'utente.
NID	6 mesi	[Google, Youtube] Questo cookie contiene un ID unico utilizzato per ricordare le tue preferenze e altre informazioni.
OGPC	24 ore	[Google] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
OTZ	1 mese	[Google, Youtube] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
PREF	2 anni	[Youtube] Questo cookie serve per memorizzare informazioni quali la configurazione di pagina preferita e le preferenze di riproduzione dell'utente.
VISITOR_INFO1_LIVE	6 mesi	[Youtube] Questo cookie contiene un ID univoco che viene usato per memorizzare le tue preferenze e altre informazioni. Viene usato anche per rilevare e risolvere problemi con il servizio.
YSC	sessione	[Youtube] Questo cookie viene usato da YouTube per memorizzare l'input e associare le azioni dell'utente.