Se lo scienziato “hacker” aiuta i ladri di auto

Scienza e auto di lusso hanno molti punti di contatto: ci sono designer che lavorano all’aerodinamica e ingegneri che mettono a punto motori sempre più potenti. E non mancano neanche gli informatici che, invece, studiano come aggirare le chiavi elettroniche di Porsche, Audi, Bentley e Lamborghini. Dimostrare le falle di sicurezza di un sistema è il primo passo per costringere le aziende a migliorarlo. Così la pensava Flavio Garcia, informatico presso la University of Birmingham, almeno fino a quando i giudici inglesi non gli hanno imposto di ritirare il suo ultimo articolo sul tema.

La presentazione dello studio contestato si sarebbe dovuta tenere alla conferenza Usenix Security Symposium del 14 agosto a Washington DC, ma il tribunale inglese ha ingiunto di ritirare la ricerca. Come spiega il Guardian, Garcia e i suoi colleghi Baris Ege e Roel Verdult della Stichting Katholieke Universiteit sono stati contestati da Volkswagen, l’azienda proprietaria dei quattro marchi di lusso.

Al centro delle critiche c’è uno studio sulle falle tecniche di Megamos Crypto, la chiave elettronica utilizzata per avviare le auto di lusso. Garcia e i suoi colleghi erano riusciti a violare il sistema, risalendo all’algoritmo originale  che decifra il codice di sicurezza a 32 bit riconosciuto dalla centralina delle macchine.

Gli scienziati sono riusciti a aggirare l’algoritmo di sicurezza studiando il software utilizzato per programmare le chiavi, già disponibile su Internet a partire dal 2009. A ciò si aggiugne il fatto che, tramite l’analisi di chip splicing al microscopio, sarebbe possibile intuire il funzionamento dell’algoritmo dalla disposizione dei transistor applicati sullo stesso. Tuttavia, nonostante l’alto contenuto tecnico della ricerca, i giudici inglesi hanno deciso di bloccare la diffusione dello studio. 

La reazione del team di Garcia non si è fatta attendere. Pur accettando di non presentare lo studio alla conferenza Usenix, i tre ricercatori non hanno potuto fare a meno di esprimere il proprio dissenso. “Il pubblico ha il diritto di conoscere le falle nei sistemi di sicurezza su cui fanno affidamento”, hanno detto gli scienziati, “altrimenti, la debolezza di questi dispositivi sarà conosciuta solo dall’industria e dai criminali”.

Sempre secondo il Guardian, Volkswagen avrebbe cercato, senza successo, di proporre a Garcia la pubblicazione di una versione edulcorata dello studio senza i codici di sicurezza. Il rifiuto da parte dei tre ricercatori di scendere a compromessi fa pensare che, in un modo o nell’altro, i difetti di Megamos Crypto saranno nuovamente sbandierati in pubblico. Compreso il fatto che non esistono codici indecifrabili (vedi Galileo: I limiti della crittografia quantistica), è oltremodo importante che l’affidabilità dei sistemi di sicurezza sia sempre essere messa alla prova. In gioco potrebbe esserci ben più di un’auto di lusso.

Credits immagine: Rkyan Tir/Flickr