Sicurezza informatica

Connected Car: in aumento i vettori di cyberattack

Il nuovo studio pubblicato da Trend Micro analizza le minacce alla sicurezza informatica ai veicoli connessi e suggerisce alcune tecniche sul come difendersi

Pubblicato il 01 Mar 2021

shutterstock_1095302834

Man mano che l’uso di auto connesse diventa più comune, le tecnologie che alimentano o supportano questi veicoli continuano ad evolversi. Ciò fornisce una serie di vantaggi, ma proprio come qualsiasi altra tecnologia, il complesso ecosistema costituito da Cloud, Internet of Things e 5G che si verrà a costituire, amplierà contemporaneamente la superficie di attacco, costituita da milioni di endpoint e utenti finali. Parallelamente allo sviluppo del settore Smart & Connected Cars, criminali informatici, hacktivisti, terroristi, Stati Nazionali, addetti ai lavori e persino operatori senza scrupoli guadagneranno molteplici opportunità di monetizzare e sabotare i sistemi informatici.

L’ultimo studio firmato Trend MicroCyber Security Risks of Connected Cars” descrive alcune situazioni spiacevoli in cui i conducenti potrebbero ritrovarsi e le minacce alla sicurezza e all’incolumità delle persone all’interno del veicolo. I ricercatori hanno valutato 29 scenari di attacco, secondo il modello di minaccia DREAD (che valuta quanto è grave il danno, quanto è facile l’attacco da lanciare e replicare, quanto è facile trovare una debolezza sfruttabile e quanti utenti potrebbero essere interessati) e hanno classificato come “medio” il  rischio complessivo di attacchi informatici. Tuttavia, ogni volta che applicazioni SaaS vengono incorporate nell’architettura elettrica/elettronica (E/E) dei veicoli e i criminali informatici creano nuove strategie di monetizzazione, l’evoluzione negli attacchi genera minacce di rischio più elevate. Inoltre, questi attacchi potrebbero essere sferrati da remoto contro i veicoli delle vittime, ma anche dall’interno di questi ultimi.

“Gli aggressori che cercheranno di sfruttare le tecnologie a bordo delle moderne auto connesse beneficiano di ampie possibilità. Fortunatamente, al giorno d’oggi le opportunità di attacco sono limitate e i criminali non hanno ancora trovato modi affidabili per monetizzare. Grazie alle recenti normative delle Nazioni Unite, che impongono a tutte le auto connesse di includere la sicurezza informatica e a un nuovo standard ISO, questo è sicuramente il momento migliore per identificare e affrontare al meglio il rischio informatico delle auto, mentre andiamo verso un futuro di veicoli connessi e autonomi” dichiara Federico Maggi di Trend Micro Research.

Security Risks Faced by Smart Cars and Intelligent Transport Systems

Security Risks Faced by Smart Cars and Intelligent Transport Systems

Guarda questo video su YouTube

Per la sicurezza delle auto connesse serve una visione integrata dei veicoli, della rete e del back-end

Oltre ai tentativi di accesso fisico alle auto connesse per rubare servizi di guida, beni all’interno di un’auto o l’auto stessa, gli aggressori potrebbero anche prendere di mira i dati raccolti, generati, archiviati e condivisi dalle auto, in particolare le informazioni di identificazione personale (PII) che potrebbero vendere alle parti interessate. È anche possibile che gli aggressori carpiscano la rete e le risorse del processore di queste auto, così come l’energia immagazzinata all’interno delle auto.

Gli attacchi DDoS ai sistemi di trasporto intelligenti (ITS) potrebbero sovraccaricare le comunicazioni delle auto connesse e causare malfunzionamenti. In questa categoria di attacchi rientrano: cartelli stradali compromessi per mostrare messaggi di attivismo politico, macchine per il pagamento dei pedaggi messe fuori uso da ransomware, monitor delle stazioni non funzionanti e sistemi di controllo del traffico esposti direttamente su Internet, tra cui segnali stradali, sensori ambientali e telecamere a circuito chiuso.

I sistemi delle auto connesse che sono esposti e vulnerabili sono facilmente individuabili e questo li rende a rischio ancora maggiore di subire attacchi. Oltre il 17% di tutti i vettori di attacco esaminati è ad alto rischio secondo il modello DREAD e richiede una conoscenza limitata della tecnologia dei veicoli per essere sfruttato. Per questa ragione, gli attacchi potrebbero essere realizzati anche da persone poco qualificate.

Per mitigare i rischi delineati nello studio, la sicurezza delle auto connesse deve essere progettata con una visione integrata di tutte le aree critiche. Trend Micro suggerisce alcune linee guida per la protezione delle connected car: implementare processi di avviso, contenimento e mitigazione efficaci, presupponendo di subire una compromissione; proteggere la supply chain dei dati end-to-end attraverso la rete E/E dell’auto, l’infrastruttura di rete, i server back-end e il VSOC (Vehicle Security Operations Center); rafforzare ulteriormente le difese e prevenire la ripetizione degli incidenti in base agli eventi subiti; le tecnologie di sicurezza pertinenti includono firewall, crittografia, controllo dei dispositivi, sicurezza delle app, scanner di vulnerabilità, code signing, IDS per CAN, AV e molto altro.

Immagine fornita da Shutterstock.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 5