La General Motors, al pari di quanto realizzato da brand quali Microsoft o Google, ha messo in piedi un programma di “bug bounty” per la scoperta delle peggiori falle di sicurezza all’interno dei propri sistemi. Si tratta di un passo necessario, per molti versi abbozzato, ma segno evidente dei tempi che cambiano: una delle principali case automobilistiche al mondo si trova infatti a fare duramente i conti con l’informatica e le proprie pieghe, trovandosi così a dover realizzare un programma di sicurezza che sia in grado di garantire la bontà dei sistemi utilizzati sopra le vetture in circolazione.
Con l’aumentare dell’intelligenza di bordo sui veicoli immessi sul mercato, aumenta giocoforza la caratura del problema: un piccolo bug su vetture che tendono ad accollarsi l’onere della sicurezza su strada, dei parcheggi, del monitoraggio della carreggiata e molto altro ancora (fino all’orizzonte della guida autonoma), può tramutarsi in qualcosa di potenzialmente deleterio. I rischi derivanti sono estremamente alti poiché un’auto controllata da un algoritmo vulnerabile è un potenziale pericolo tanto per il guidatore, quanto per chiunque incroci per strada. E il pericolo può essere abnorme anche per la stessa casa produttrice, poiché un software non sicuro può imporre gravose operazioni di richiamo e aggiornamento, nonché gravi danni a livello di brand.
General Motors, nel portare avanti il proprio progetto, rende evidente la necessità di confrontarsi con il mondo esterno allentando i timori dei ricercatori circa la possibile persecuzione giudiziaria in caso di scoperta di nuovi bug; dall’altra tale approccio viene maturato con estrema circospezione, senza accantonare del tutto i mille timori che il lavoro sulla sicurezza dei sistemi informatici lascia trapelare.
Il programma prevede un attore terzo che funga da garante per le operazioni in corso, tutelando tanto il ricercatore che scopre i bug, quanto la casa produttrice. Da una parte c’è infatti il bisogno delle necessarie tutele legali, nonché eventualmente un interesse diretto per il lavoro compiuto; dall’altra c’è la necessità delle dovute tutele circa la segretezza sui bug eventualmente emersi, così che si abbia tutto il tempo per intervenire nel modo più sicuro e meno impattante possibile.
Il lavoro è stato così affidato alla HackerOne, entità che si pone da mediatrice tra la General Motors e gli hacker. Questi ultimi non partecipano in modo totalmente volontario, ma sono assoldati su invito (previa sottoscrizione delle regole ed a seguito della proposta circa il lavoro compiuto) per far sì il progetto possa rimanere totalmente e strettamente sotto controllo. Da parte della General Motors si tratta di un bagno di umiltà: non solo c’è piena consapevolezza sull’inesperienza in certi ambiti d’azione, ma v’è anche la piena ammissione di quanto limitato sia il programma messo in atto. Il gruppo ammette, insomma, di non poter ancora operare con programmi aperti e procedure trasparenti, poiché la fragilità intrinseca dei sistemi di bordo rischia di essere eccessiva. Se il lavoro non fosse mediato dalla HackerOne e chiunque potesse procedere, insomma, i software delle auto GM rischierebbero di essere esposti, invece che tutelati; colpiti, invece che corretti; indeboliti, invece che rafforzati.
General Motors e HackerOne
Un programma mal impostato sarebbe insomma deleterio, trasformando i software delle auto General Motors in obiettivi. Il primo passo è invece all’insegna di un primo impatto con la comunità hacker, un incontro protetto e controllato: una sorta di assaggio, per capire quali rapporti possano essere intessuti in futuro. Otto regole sono state annunciate a Detroit dal Chief Cybersecurity Jeff Massimilla:
- l’hacker non deve causare danni a GM, ai suoi clienti o a altri;
- bisogna fornire una documentazione dettagliata della vulnerabilità, ivi compreso il percorso di ricerca compiuto;
- non va compromessa la privacy o la sicurezza degli utenti durante tali operazioni;
- non vanno violate le normative;
- non va violata qualsivoglia altra legge e non vanno distrutti dati o veicoli che non siano a propria disposizione;
- i dettagli sulle vulnerabilità possono essere divulgati soltanto dopo la completa risoluzione da parte di General Motors;
- non è possibile partecipare se si è residenti in Cuba, Iran, Corea del Nord, Sudan, Siria o Crimea;
- non è possibile partecipare se si è parte della Treasury’s Specially Designated Nationals List.
Regole per molti versi scontate, per molti altri restrittive. Estremamente restrittive. Il lavoro degli hacker è fortemente legato ai vincoli imposti e la stessa GM fa ammenda di quanto necessariamente posto in essere per dar vita al progetto. Quel che si lascia intendere è che in futuro il programma sarà più aperto e libero, con la possibilità di giungere anche ad obiettivi più ambiziosi. Altre case produttrici lavorano invece con programmi “bug bounty” interni, condotti da esperti assoldati direttamente: scelte di campo importanti, per un mercato che ancora deve fare realmente i conti con tutte le difficoltà che la sicurezza informatica è in grado di mettere sul piatto.