Craig Smith è un ricercatore di sicurezza che ha sviluppato un attacco informatico rivolto alle automobili e che passa attraverso i computer delle officine. Il malware è rivolto a qualsiasi tipo di auto e, infettando i PC delle officine, da vita ad una reazione a catena con le auto che verranno collegate successivamente.
Il progetto di Smith non costituisce in realtà una vera e propria minaccia, in quanto il malware è stato progettato solo per dimostrare la fattibilità di realizzazione di simili attacchi. La possibile progettazione di simili malware serve infatti a mettere in guardia sul fatto che un qualunque malintenzionato potrebbe portare la propria auto in officina e usarla per diffondere software pericolosi con una certa facilità.
Come ha spiegato lo stesso Smith “Questi strumenti hanno il codice per leggere e scrivere il firmware e se compromessi da un’auto pericolosa possono modificare il firmware di altre auto […] Sarebbe la cosa peggiore che possa succedere!”
L’attacco sviluppato dal ricercatore ha evidenziato un’altra debolezza del settore della sicurezza informatica, quella cioè legata al mondo delle automobili; un malintenzionato con le giuste competenze informatiche potrebbe essere in grado di arrecare danni anche gravi alle automobili e alla sicurezza dei loro proprietari.
Le credenziali di Craig Smith sono di tutto rispetto, il ricercatore fa infatti parte del gruppo Open Garages, comunità dedicata alla sicurezza e all’hacking in campo automobilistico ed è inoltre membro del gruppo I Am The Cavalry, dedito al miglioramento della sicurezza in ambito automobilistico e medicale.
Smith difende l’idea che i produttori auto “aprano” i loro software, rendendoli open source, al fine di renderli più sicuri e affidabili; le case automobilistiche non sono tuttavia dello stesso avviso e preferiscono un approccio più chiuso, volto a ostacolare l’analisi del software da parte di esterni.
La spinosa questione è ben lontana dalla sua conclusione; se i produttori di auto rivendicano il controllo totale sul software, il governo statunitense si è pronunciato in senso contrario: il firmware delle auto fa parte delle eccezioni al DMCA, ovvero il Digital Millenium Copyright Act e dal prossimo ottobre chi fa ricerca in ambito di sicurezza informatica potrà agire con una maggiore tutela legale. Chi la spunterà?