Il post seguente è stato tradotto per gentile concessione di Naked Security
I kit per bypassare la sicurezza dell’on-board diagnostics (OBD), completi di moduli di riprogrammazione e chiavi vergini, permettono, a quanto si dice, a ladri dotati di scarsa intelligenza, di rubare auto di fascia alta, come le BMW, nel giro di pochi secondi o minuti.
Secondo The Register, gli strumenti per il bypass da 30$ vengono spediti dalla Cina ed Europa dell’Est in forma di kit a criminali inesperti.
Sembra non si tratti solo di BMW, intendiamoci.
Un post sul sito di appassionati dell’auto Pistonheads, suggerisce che dispositivi simili a quelli utilizzati per rubare BMW siano disponibili anche per Opel, Renault, Mercedes, Volkswagen, Toyota e Porsche Cayenne.
La polizia del Regno Unito trova anche auto di lusso fregate da criminali che pare utilizzino i kit, con i proprietari derubati ancora in possesso delle chiavi.
Sta diventando così frequente, infatti, che la polizia del Warwickshire ha rilasciato una dichiarazione , avvertendo i proprietari di BMW di prendere ulteriori precauzioni, visto che, da gennaio, sono state rubate 154 auto di fascia alta.
In agosto, secondo una recente indagine di BBC Watchdog relativa ai furti, la polizia metropolitana di Londra ha lasciato volantini sotto i parabrezza, mettendo in guardia i proprietari di BMW che le loro auto, molto probabilmente, avrebbero potuto essere bersaglio privilegiato.
Lo strumento era originariamente progettato per le officine e i dipendenti addetti al recupero auto per poter entrare nelle diverse auto in caso i proprietari avessero perso le chiavi. I kit, da allora, sono stati presi in consegna da hacker criminali che hanno esaminato i punti deboli della sicurezza della rete OBD.
Per utilizzare lo strumento, i ladri d’auto prima di tutto hanno bisogno d’intercettare la trasmissione tra una key fob valida e un’auto, prima di poter riprogrammare la chiave vergine; che, successivamente, possono utilizzare per avviare, o aprire la macchina tramite la rete OBD.
La BBC ha girato la telecamera verso il cielo mentre i suoi giornalisti stavano utilizzando la chiave nell’indagine di Watchdog ma ho trovato video online che mostrano come sia facile utilizzare quello strumento; o, almeno, un dispositivo che corrisponda alla sua descrizione.
Se il video che ho trovato è una rappresentazione accurata, anche lo scemo del villaggio, con un investimento di 30$ e qualche minuto, potrebbe essere al volante di un sogno.
(Approposito, Naked Security ha scelto di non integrare il video, perché potrebbe incoraggiare l’attività criminale e non abbiamo alcun desiderio di promuovere la vendita di tali strumenti a persone non autorizzate)
BMW, la scorsa settimana, ha emesso un comunicato nel quale afferma di essere a conoscenza del nuovo metodo di furto e stare valutando come limitare il problema.
Un modo, a quanto pare, è quello di non possedere una BMW costruita prima del settembre 2011:
"Dopo lunga ricerca siamo certi che nessuno dei nostri ultimi modelli - la nuova Serie 1 Hatch, Serie 3, Serie 5, Serie 6 e Serie 7 - né qualsiasi altra BMW costruita dopo settembre 2011, possano essere rubati con questo metodo. Tuttavia, da produttore responsabile, stiamo cercando modi per mitigare questo nuovo tipo di attacco. "
I clienti preoccupati per il furto di determinati modelli possono chiamare il loro rivenditore BMW.
BMW offre misure tecniche extra che, afferma, possano impedire il furto con gli hacking kit, anche se, afferma, che non ci sia "nessun auto a prova di ladro"
Ma quali sono le falle di sicurezza in OBD?
Come sottolineato da Rob Vandenbrink in una presentazione ( PDF) consegnata in una conferenza di sicurezza del SANS Technology Institute nel mese di luglio, OBD sembra essere "un (tipo) d'Ethernet più lenta e stupida"
Per i dettagli su queste vulnerabilità, date un'occhiata al suo paper.
In sintesi, Vandenbrink dice:
"Purtroppo, la rete dell'On Board Diagnostic (OBD) nelle nostre auto è completamente aperta, completamente documentata e lo sarà sempre più: documentata e con accesso wireless non autenticato."
Ma aspettate, c'è di più. Oltre a permettere che la vostra macchina venga rubata, alcuni ricercatori dell'Università del Michigan e di Washington hanno dimostrato che le carenze del sistema OBD consentono questi altri trucchetti automobilistici WiFi:
- blocco e sblocco delle porte
- suonare il clacson
- attacco wireless attraverso i sensori di pressione degli pneumatici
- trojan distribuito tramite CD musicale
Questa roba non è nuova. La parte del trojan CD risale al 2011.
Ciò che è nuovo è quanto l'erudita conoscenza degli hacker dei limiti di OBD sia stata mercificata e commercializzata in questi kit facili da usare e a basso costo.
Dovreste scuotere il produttore della vostra auto per ottenere difese migliori?
Purtroppo, se lo faceste, probabilmente non sarebbe d'aiuto; tra la necessità della meccanica di avere un certo tipo di strumento per salire in auto e le leggi sulla concorrenza che richiedono standard aperti.
Ecco quello che il post dei Pistonheads ha da dire in proposito:
"La ragione per cui questa forma di furto è attualmente così diffusa ... - è che le regole europee sulla concorrenza richiedono che i dispositivi di riprogrammazione di sicurezza e diagnostica siano disponibili ai garage non in franchising. Da come l'abbiamo capita, ciò significa, in realtà, che le case automobilistiche non possono limitare l'accesso o l'utilizzo delle porte OBD. "
"Purtroppo ciò significa anche che, in una certa misura, le mani delle case automobilistiche sono legate..."
Cosa fare: contattare il proprio concessionario per vedere se possiedano tecniche di mitigazione che, come promesso da BMW, possano aiutare.
La polizia del Warwickshire offre anche questi suggerimenti per la sicurezza, anche se è improbabile che possano essere deterrente per un hacker ODB determinato che sia riuscito ad accedere al vostro veicolo:
- Provate la maniglia della porta dopo aver usato la chiave per bloccare la vostra auto, per verificare nuovamente che sia realmente bloccata.
- Date una buona occhiata in giro quando lasciate il veicolo per vedere se sia possibile individuare qualcuno in attesa nelle vicinanze, o in un veicolo nelle vicinanze; soprattutto se controllando trovate la porta ancora aperta.
- Riferite qualsiasi cosa riteniate sospetta alla polizia: vogliono beccare questi tizi.
In definitiva, vale la pena ricordare - come ammette BMW - che non c'è "nessun auto a prova di ladro" .
Segui @LisaVaas
Hat-tip: The Register
Fonte: Your BMW can be stolen by any idiot with a $30 hacking kit
Gli autori di malware di Android hanno colto l’occasione d’infettare gli ignari utenti di smartphone con il lancio dell’ultima novità dell’immensamente popolare serie di giochi “Angry Birds”.
Una confessione di World of Warcraft, insieme a una miriade di altre parti di prove digitali, hanno permesso alla Vancouver Island Major Crime Unit e alla Royal Canadian Mounted Police di risolvere l’omicidio di Kim Proctor, una liceale canadese, i resti bruciati della quale sono stati trovati sotto un ponte.