Ormai è chiaro a tutti gli esperti di ingegneria informatica: le nuove automobili hitech e iper-connesse sono “l’anello debole della catena” nella Internet delle cose, ovvero nel mondo degli oggetti messi in Rete e che dialogano tra di loro. Non il motore, ma il software è l’elemento più delicato che si trovi sotto il cofano, come ha scritto di recente il New York Times.
Il professore di computer science Shwetak N. Patel della University of Washington, a Seattle, usa un’immagine molto semplice per illustrare le caratteristiche delle connected cars: “Se si guarda a tutto il codice che usano, sono praticamente diventate degli smartphone, forse anche di più”. Basti considerare che le nuove auto connesse di fascia alta sono le macchine più sofisticate che esistano, con 100 milioni di linee di codice o più per farle funzionare. In tutto Facebook ci sono circa 60 milioni di linee di codice, nel Large Hadron Collider del Cern ce ne sono 50 milioni. “Le auto oggi hanno raggiunto livelli di complessità biologica”, afferma Chris Gerdes, professore di ingegneria meccanica della Stanford University.
Questo porta con sé grandi vantaggi (sistemi che avvisano prima di una collisione, freni d’emergenza) ma anche grandi rischi. Non solo, come ormai noto, la Volkswagen ha potuto manipolare un software a proprio vantaggio per passare i test sulle emissioni inquinanti; il Prof. Patel ha lavorato con esperti di sicurezza che hanno dimostrato che è possibile manomettere i sistemi di un’auto hitech in svariati modi, per esempio disattivandone i freni con un file Mp3 infetto inserito nel lettore Cd della macchina.
E’ già successo negli Stati Uniti che problemi al software abbiano causato il ritiro di modelli messi sul mercato, con rischi per gli utenti e danno economico e di immagine per i produttori. “Le auto sono dei computer complicatissimi e tutti questi moduli sono ben poco trasparenti”, osserva Eben Moglen, professore di legge della Columbia University. “Ci sono molti modi per barare e truccare i sistemi”.
Il problema è innanzitutto regolatorio: la National Highway Traffic Safety Administration americana ha ammesso di non avere gli strumenti per passare al vaglio, e quindi vigilare, sulle milioni di linee di codice che oggi controllano le automobili. Per questo alcuni esperti hanno proposto che i produttori d’auto “aprano” il codice che usano, ovvero lo rendano di dominio pubblico, perché possa essere esaminato.
C’è poi il problema degli attacchi hacker: come ogni sistema in Rete, anche quello delle auto è vulnerabile. Lo ha dimostrato Andy Greenberg, reporter della rivista Wired, che ha “organizzato” nel 2014 un attacco hacker mentre guidava la sua Jeep Cherokee: i pirati informatici sono riusciti a entrare nei sistemi della macchina e a prenderne “possesso”, azionando l’aria condizionata, la musica, i tergicristalli. Pochi giorni dopo la Fiat Chrysler, che produce le Jeep, ha richiamato 1,4 milioni di veicoli per riparare le falle software messe a nudo.
I produttori d’auto rassicurano: a parte queste dimostrazioni, nessuna macchina è stata mai veramente attaccata dagli hacker. E le case automobilistiche sono consapevoli dei pericoli e sicuramente stanno cercando di provvedere. Ma devono farlo in tempi veloci, sottolinea Stefan Savage, professore di sicurezza informatica della University of California, a San Diego, secondo cui la prospettiva di un attaco ai sistemi informatici sta mandando le aziende dell’automotive “nel panico”.
Una risposta è per molti dell’industria delle auto mettere a fattor comune le informazioni critiche sulla sicurezza. La General Motors ha anche nominato l’anno scorso un chief product cybersecurity officer, la prima casa automobilistica a creare questo ruolo. Tesla ha assunto un security chief da Google, che prima si occupava di sicurezza per il web browser Chrome, e ad agosto ha cominciato a offrire una ricompensa a chiunque trovi falle di sicurezza nei suoi sistemi.
Intanto il Congresso degli Stati Uniti sta cercando di fare pressione sui produttori d’auto perché si occupino di questi rischi. A luglio, il Senatore Edward J. Markey, Democratico del Massachusetts, e Richard Blumenthal, Democratico del Connecticut, hanno presentato una nuova proposta di legge che obbliga tutte le auto vendute negli Usa ad attenersi a severi standard di protezione contro gli attacchi informatici.
Resta il fatto che la sfida è enorme. Per il regolatori controllare milioni di linee di codice è un’impresa titanica, dice la stessa National Highway Traffic Safety Administration americana. Tanto più che le case automobilistiche a volte usano diverse versioni del codice nei modelli che escono lo stesso anno. E si tratta di software sempre allo stato dell’arte, che richiede all’interno degli enti regolatori competenze altissime che oggi non ci sono, e che costano.
A chi invoca la pubblicazione del codice, le case automobilistiche ribattono decise che si tratta di una pessima risposta alla minaccia informatica: il security chief di Fiat Chrysler Scott G. Kunselman, per esempio, dopo l’incidente della Jeep ha ribadito che rendere noti i codici equivarrebbe a dare agli hacker le intere chiavi del sistema. Anche la Volkswagen si è sempre opposta alla pubblicazione dei codici, sia per motivi di protezione della proprietà intellettuale, sia perché, sostiene, non è far conoscere il software che lo rende sicuro: “O è vulnerabile o non lo è”.
