Black Hat USA 2025: “evilDoggie”, il dispositivo argentino che testa la sicurezza delle auto moderne

Giovedì, durante il secondo giorno di Black Hat , una delle più grandi conferenze mondiali sulla sicurezza informatica, due hacker argentini hanno presentato "evilDoggie", un dispositivo per testare la sicurezza dei sistemi informatici utilizzati nelle auto. Octavio Gianatempo e Gastón Aznarez di Faraday Security hanno dimostrato come identificare le falle di sicurezza in alcune marche di automobili utilizzando questo strumento.

Il nome dello strumento è un gioco di parole con il protocollo " CAN " (abbreviazione di Controller Area Network), uno standard di comunicazione interna utilizzato dalle auto moderne per consentire a vari computer interni (come quelli che controllano il motore o i freni) di comunicare tra loro.

Durante la presentazione nell'"Arsenal" della conferenza, uno spazio in cui vengono esposti programmi e vari componenti hardware, i ricercatori hanno dimostrato come utilizzare lo strumento, che include persino un interruttore per passare dalla versione di monitoraggio (Doggie) a quella "maligna", utilizzata per attaccare questo protocollo. Hanno anche tenuto un workshop per consentire ai partecipanti di imparare a usarlo.

La ricerca rientra nell'ambito del "Car hacking", uno degli argomenti più popolari delle conferenze sulla sicurezza informatica. "Il car hacking si concentra sulle conoscenze esistenti in materia di sicurezza informatica, ma le applica alle reti utilizzate dalle auto. Negli ultimi anni, i veicoli sono diventati 'più intelligenti' e coesistono con i sistemi elettronici. Parafrasando Elon Musk, sono 'computer su ruote'", ha spiegato Faraday Security a questa testata.

"Tutte queste reti sono proprietarie; non sono progettate pensando alla trasparenza. È qui che entra in gioco il ruolo degli esperti di sicurezza: capire come funzionano queste tecnologie e quali rischi comportano ", hanno aggiunto.

La ricerca dell'azienda è iniziata con un'esplorazione della sicurezza automobilistica . "Quando abbiamo iniziato la nostra ricerca, ci siamo resi conto che avremmo avuto bisogno di uno strumento per comunicare con i computer dell'auto. Ma abbiamo scoperto che non esisteva un'opzione aperta e valida in Argentina. Gastón ha avuto l'idea di sviluppare questo strumento con un design modulare per firmware e hardware, in modo che chiunque potesse costruirne uno con qualsiasi componente avesse a disposizione, e persino svilupparne altre versioni", ha detto a Clarín Octavio Gianatiempo, ricercatore dell'azienda.

Gastón Aznarez spiega come il progetto si sia spostato verso la sicurezza offensiva , una branca della sicurezza informatica dedicata ad attaccare i sistemi per individuare vulnerabilità e, infine, risolverle. "Il primo strumento era Doggie, ma l'idea è cresciuta e abbiamo aggiunto funzionalità offensive, dando così origine a evilDoggie, focalizzato sulla ricerca con la possibilità di effettuare attacchi avanzati alle comunicazioni CAN sia a livello di protocollo che fisico, interferendo con il circuito a livello elettrico", spiega.

"Le funzionalità Doggie e gli attacchi evilDoggie possono essere utilizzati per interrompere la comunicazione tra le centraline elettroniche di un'auto e creare condizioni inaspettate. Oggi, le auto hanno più computer e quasi tutte le loro funzioni sono controllate da questi tramite comunicazioni CAN. Sebbene le auto moderne stiano integrando misure di sicurezza in questa comunicazione, ci sono casi noti in cui questo tipo di attacco può avere un impatto reale ", ha aggiunto l'hacker.

"evilDoggie" non è il primo dispositivo in grado di testare la sicurezza di un'auto. Infatti, il "Flipper Zero ", noto come il "coltellino svizzero dell'hacking", è apparso in diversi video virali che mostrano come aprire la portiera di un'auto senza chiave. Questo perché il dispositivo funziona con protocolli wireless, diversi da quelli presi di mira da evilDoggie.

"La comunicazione tra le parti dell'auto, ad esempio tra il motore e le ruote, avviene tramite cavi. Pertanto, per utilizzare evilDoggie, è necessario prima avere accesso all'auto: l'obiettivo è verificare, una volta a bordo, quanto sia sicuro questo protocollo e come possa essere migliorato ", afferma Faraday.

Ciò che offre questo sviluppo argentino è una versione open source (l'intero processo di costruzione e programmazione è accessibile per la consultazione) e il basso livello a cui opera, ovvero interagendo direttamente con l'hardware o i protocolli di comunicazione dell'auto. Invece di utilizzare programmi o interfacce pre-progettati, evilDoggie consente l'accesso a livelli più vicini ai chip integrati nelle auto moderne, come questo protocollo CAN.

"La sicurezza informatica non si limita ai computer e ai server, ma riguarda anche la tecnologia che utilizziamo ogni giorno: le automobili non fanno eccezione ", ha spiegato l'azienda.

Clarín chiese informazioni sui modelli di auto attaccati durante i test, ma Faraday si rifiutò di fornire dettagli.

La mostra all'Arsenale suscitò l'interesse di più di un visitatore, che volle acquistare lo strumento.

Sempre all'Arsenal, Federico Pacheco e Diego Staino, ricercatori dell'azienda argentina BASE4, hanno presentato uno strumento nell'ambito del cosiddetto "Cyber deception", ovvero trappole virtuali che gli analisti lasciano nelle reti per ingannare gli hacker che vogliono entrare in un sistema ed estrarne informazioni.

Le strategie di inganno sono comuni nell'analisi delle minacce. Si tratta di un'area piuttosto esplorata nella sicurezza offensiva. All'edizione 2024 di Ekoparty, la ricercatrice locale Sheila Berta ha dimostrato come uno specifico tipo di sistema, chiamato " honeypot ", sia stato utilizzato su sistemi pubblici.

"Il problema con le tradizionali trappole in stile honeypot è che gli aggressori più sofisticati a volte riescono a rilevarle perché sembrano troppo pulite o vuote , o perché non mostrano attività. BUDA è uno strumento che rende queste trappole molto più credibili", ha dichiarato Pacheco a questa testata. BUDA sta per Behavioral User-driven Deceptive Activities Framework.

"Per fare ciò, genera 'profili utente' fittizi basati sul normale comportamento della rete e dei sistemi stessi. Questi profili eseguono poi azioni che un normale dipendente farebbe, come accedere a un sistema , aprire documenti, inviare e-mail o navigare sul web", continua lo specialista.

Durante il discorso all'Arsenal, i ricercatori hanno sottolineato l'importanza di creare una "narrazione" coerente per gli inganni, in modo che gli aggressori non si rendano conto di avere a che fare con un honeypot .

"Lo strumento consente di orchestrare i profili in modo che agiscano in modo autonomo, seguendo schemi comportamentali tipici. Simulando questi comportamenti, la trappola diventa molto più realistica e gli aggressori hanno più motivi per credere di avere a che fare con un sistema con utenti legittimi, il che comporta più perdite di tempo e rende più difficile distinguere ciò che è reale da ciò che è falso ", ha aggiunto Diego Staino.

"Inoltre, poiché gli utenti fittizi possono agire su sistemi e risorse reali o falsi, lo strumento consente di simulare un comportamento simile a quello di un aggressore o di un malintenzionato, consentendo così di testare le misure difensive di rete e di sistema", conclude lo specialista.

Il lavoro è stato presentato questa settimana in un white paper, prima dell'esame accademico, alla Conferenza argentina sull'informatica nella ricerca operativa.

Un altro aspetto importante del Black Hat sono le sessioni di formazione, che iniziano diversi giorni prima dei talk e delle conferenze. Non sono aperte al pubblico, ma costituiscono piuttosto corsi intensivi per vari specialisti e operatori del settore.

Uno di questi è stato insegnato da Sebastián García e Verónica Valeros, ricercatori argentini presso la Czech Technical University di Praga (CTU): "un programma di formazione avanzata per imparare a rilevare il traffico malware (virus) e a distinguerlo dal traffico legittimo in situazioni critiche", hanno spiegato.

"Sono state due giornate molto pratiche e intense, con attacchi reali. Molte esercitazioni si sono concentrate sull'apprendimento di malware nascosti, botnet, spyware, su come lavorare con grandi volumi di dati e su come utilizzare l'intelligenza artificiale per migliorare il rilevamento delle minacce", hanno aggiunto.

Black Hat è una delle conferenze sulla sicurezza informatica più influenti al mondo. È stata fondata nel 1997 da Jeff Moss, noto nel mondo dell'hacking come "The Dark Tangent". Sebbene la conferenza principale si tenga negli Stati Uniti, ha anche edizioni in Asia e in Europa.

Durante l'apertura dell'edizione 2025, Moss ha tenuto un discorso politico e Mikko Hypponen, un rinomato hacker finlandese , ha annunciato il suo ritiro dall'industria dell'hacking. Il secondo giorno, l'ex giornalista del New York Times Nicole Perlroth ha invitato a riflettere sulle sfide poste dall'intelligenza artificiale nel panorama delle minacce.

" Stiamo uscendo da una luna di miele con l'IA. Stiamo raggiungendo livelli di efficienza incredibili. E credo che, per quanto riguarda la questione se l'IA favorirà la difesa o l'attacco, le prime indicazioni suggeriscano che l'attacco avrà un vantaggio. Ma possiamo ancora cambiare le cose. Abbiamo una finestra temporale ristretta, ma si sta chiudendo molto rapidamente, e una volta che l'IA sarà integrata nella nostra infrastruttura, nel nostro processo decisionale e nella nostra difesa, il costo del fallimento non farà che moltiplicarsi . La sicurezza fin dalla progettazione non è mai stata così urgente ", ha affermato Perlroth.

La convention riunisce esperti da tutto il mondo per discutere di vulnerabilità, minacce globali, tecniche di difesa e scoperte rivoluzionarie in materia di sicurezza informatica. A differenza del DEF CON, fondato nel 1993 e caratterizzato da uno spirito più informale, il Black Hat si rivolge al mondo aziendale.

La conferenza funge da vetrina per il mondo della sicurezza informatica, ma anche da laboratorio per l'attuale panorama delle minacce.