Effettuare un penetration testing in campo automotive è tanto importante quanto complicato, a causa della scarsa disponibilità e dell’elevato costo dei componenti e delle architetture dei veicoli. Per ovviare a questa limitazione, Sababa Security ha sviluppato l’Automotive Testbed, un’apparecchiatura che riproduce l’architettura standard di un veicolo, racchiusa in un supporto portatile. Il Testbed comprende un’architettura a più centraline ECU/TCU, un secure gateway, un CAN bus, interruttori e attuatori che riproducono i comandi di guida standard e gli indicatori dell’abitacolo, come lo sterzo, l’accelerazione, la frenata, i fari e così via, con una porta OBD-II per interagire con il sistema.
L’obiettivo del progetto presentato in occasione all’ottava edizione della CSET Conference, conferenza dedicata alla sicurezza informatica delle infrastrutture critiche di Energia e Trasporto, è fornire alle case automobilistiche e ai fornitori uno strumento leggero e alla mano, utilizzabile sia come strumento di formazione per i pentester su quanto richiesto dalle nuove normative UNECE R155 e R156, sia per testare nuovi protocolli di comunicazione V2V (Vehicle-to-Vehicle) e V2I (Vehicle-to-Infrastructure), con la possibilità di realizzare versioni personalizzate con apparecchiature proprietarie dei clienti.
Come sottolineato in una nota ufficiale da Alessio Aceti, CEO di Sababa Security: «L’automotive è un settore particolarmente interessante con un mercato che prevede un aumento del 134% dei veicoli connessi a livello globale, da 330 milioni nel 2018 a 775 milioni nel 2023. I moderni veicoli sono sistemi computerizzati dotati di infinite funzionalità volte ad assistere il conducente, garantire la sicurezza ed offrire intrattenimento. Il continuo aumento delle interfacce utente e delle connessioni cloud sta notevolmente ampliando la superficie di attacco dei veicoli, rendendoli bersagli sempre più interessanti per gli hacker. Per dare un’idea della dimensione del problema, basta pensare che entro il 2025, ogni auto connessa produrrà 25 GB di dati all’ora e fino a 500 GB se completamente autonoma. Sababa ha voluto cogliere questa sfida studiando un roster di prodotti per assistere gli OEM, i fornitori e gli operatori dell’aftermarket a conformarsi alle normative in campo automotive, garantendo la realizzazione di veicoli sicuri dal punto di vista informatico, la gestione dei dati, la distribuzione degli aggiornamenti e la mitigazione tempestiva delle minacce».
Inoltre, il portfolio di Sababa Security dedicato all’automotive comprende un pacchetto completo di prodotti e servizi studiato, testato e dedicato esclusivamente al settore dell’auto.
– Automotive Assessment & Compliance: assiste gli OEM, i loro fornitori e altre aziende del settore ad essere conformi sia alle normative specifiche sulla cybersecurity in campo automotive, come ISO/SAE 21434, UNECE R155-156, IEC 62443, sia a quelle più generiche, come il NIST CSF e il National Cybersecurity Framework.
– Automotive Security Consulting: assiste gli OEM per garantire, nell’ambito della normativa UNECE R155, la sicurezza dei siti di produzione dei veicoli.
- Automotive Training: un insieme di programmi di formazione finalizzati allo sviluppo di competenze specifiche in materia di automotive cybersecurity tra i professionisti interni dell’azienda cliente.
- Automotive Analysis of Compromise:fornisce ai produttori di veicoli un’analisi approfondita per valutare se le misure di sicurezza informatica implementate sono efficaci nel resistere alle emergenti minacce informatiche e alle vulnerabilità rilevate.
- Automotive Penetration Testing: l’introduzione di nuovi standard di conformità – come l’UNECE R155-156 – obbliga i produttori del mercato automotive e gli sviluppatori di sistemi a condurre attività di penetration test dei sistemi stessi nonché degli interi veicoli. Gli esperti di Sababa verificano nel concreto se un veicolo, i suoi componenti e le relative infrastrutture sono sicuri dal punto di vista informatico, conformemente alla normativa vigente.