Gli Stati Uniti intendono bloccare i software cinesi per le auto elettriche di importazione (e anche gli hardware): ma in concreto quali sono i rischi di queste tecnologie per la sicurezza nazionale?
Torniamo a parlare della stretta dell’amministrazione statunitense nei confronti di hardware e software prodotti in Cina e presenti sulle auto di importazione. Una misura dettata in primis da questioni di sicurezza nazionale, e in secondo luogo per difendere la propria economia.
I software cinesi per le auto elettriche cavalli di Troia per attacchi negli USA?
Concentriamoci però sul primo aspetto. Il timore, in un’epoca di tensioni globali tali che basta una scintilla per generare un incendio di proporzioni epiche, è che i veicoli – auto e camion – prodotti da Pechino e importati negli USA possano celare tecnologie pericolose. Nel senso che potrebbero diventare dei cavalli di Troia per sabotaggi informatici.
Secondo il Dipartimento del Commercio americano i sistemi cinesi potrebbero raccogliere i dati sensibili dei cittadini USA. E non solo, arrivare anche a manipolare da remoto le auto che circolano nelle proprie strade. Il consigliere per la Sicurezza Nazionale Jake Sullivan ha citato di recente l’esempio del gruppo hacker cinese Volt Typhoon. Si tratta di una entità capace di sferrare attacchi zero-day (che sfruttano vulnerabilità non note ai produttori e possono essere anche devastanti), oltre ad infiltrarsi in reti critiche. Volt Typhoon potrebbe immettere dei file malevoli che richiedono misure precauzionali come patch urgenti. E nel recente passato ha già colpito negli USA, stando all’intelligence statunitense che cita un attacco dello scorso febbraio rivolto non solo ai sistemi di comunicazione, ma anche quelli energetici, idrici e di trasporto.
L’ipotesi quindi è che un gruppo come Volt Typhoon o chi per loro possa inserire dei codici pericolosi nei software ed hardware importati. E che in caso di tensioni giunte all’apice tra Washington e Pechino, questi codici si attiverebbero per attaccare reti critiche. Uno scenario da serie tv distopica, ma ritenuto concreto dall’amministrazione USA.
Quali sono i rischi concreti
Per ora però i casi di veicoli hackerati non hanno riguardo rischi di sicurezza nazionale o di spionaggio. A dirlo, come riporta France24, il vicepresidente dell’azienda statunitense di sicurezza informatica CyberArk, Jean-Christophe Vitu. “Per il momento, abbiamo essenzialmente casi di hacking per aggirare i sistemi di sicurezza dei veicoli al fine di rubarli”.
Ma secondo invece il direttore della sicurezza informatica di Stormshield, sempre riportato da France24, ovvero Sébastien Viou, “ci sono stati casi di veicoli connessi controllati da remoto”. A spiegare meglio il rischio Matthieu Dierick dell’agenzia di sicurezza americana F5: “Ogni veicolo connesso presenta, ad esempio, un modem o una scheda SIM che non è stata realizzata dall’azienda che ha costruito il veicolo e che gli consente di connettersi a una rete e di trasmettere dati ai server”.
Il che consentirebbe eventualmente ad un hacker di intercettare dati sensibili, ma non solo. Riuscire ad esempio anche a prendere il controllo dell’interfaccia del veicolo. O monitorare il percorso di una vettura, magari con a bordo una personalità di alto profilo. E Viou, sentito da France24, ha aggiunto un altro elemento inquietante. “Un’auto connessa può essere sabotata per costringerla a fermarsi”, o controllare altre funzioni autonome.
Dierick ha poi spiegato come funzionerebbe il modus operandi di un hacker automobilistico. Anzitutto, bisogna conoscere i dati del veicolo se si punta ad uno specifico, e quindi marca e tipologia di software. Se l’hacker proviene dallo stesso Paese in cui è stato prodotto il programma, allora la cosa diventa più semplice. Senza dimenticare l’aspetto dietrologico, ovvero che lo stesso produttore del software possa avere inserito codici malevoli attivabili da remoto.
Gli USA dovrebbero produrre dei propri hardware e software, ma il rischio zero non esiste
Gli Stati Uniti però dovrebbero avere una propria filiera informatica, se vogliamo chiamarla così. Ovvero una produzione propria di hardware e software per auto intelligenti o comunque di nuova concezione. Un po’ come previsto dal Chips and Science Act del 2022, che riguardava lo sviluppo di tecnologie all’avanguardia made in USA. Ma secondo Viou “il rischio di vulnerabilità a un attacco remoto esiste, qualunque sia l’origine del software”. E non si può essere certi che in catene di fornitura lunghe e complesse una componente di una vettura non arrivi comunque, per vie traverse, dalla Cina.
In caso di approvazione da parte del Congresso degli USA, il bando ai prodotti software d’importazione cinese e russa scatterebbe dal 2027 (dal 2030 per l’hardware).
