Allarme sicurezza colonnine ricarica Bev: per cyber attacchi

Secondo il report trimestrale Motus-e, in Italia, a fine marzo 2023, abbiamo 41.173 punti di ricarica per auto elettriche, 22.107 colonnine e 15.262 location. Ogni oggetto connesso, ogni endpoint dell’ecosistema IoT è per i cybercriminali una porta di ingresso nel sistema: ci sono quindi rischi di sicurezza per le colonnine.

Avere il controllo di una colonnina di ricarica significa poter violare l’account dell’utente e da lì entrare nell’app con cui gestisce la ricarica vettura. Avere accesso all’app significa essere nel suo smartphone e poter accedere a tutti i suoi dati. Non è per nulla remota l’ipotesi che l’utente possa ritrovarsi vittima di un ransomware e vedersi chiedere un riscatto per rientrare nella disponibilità del dispositivo e del suo contenuto.

Sicurezza digitale colonnine

A rischiare, però, non è solo l’utente singolo. Può essere hackerata con un ingresso dalla colonnina l’auto stessa. Con possibilità di attacchi all’intera flotta di un produttore di veicoli elettrici e danni di portata ingente. Ovviamente non va dimenticato il rischio a carico della società energetica che garantisce l’erogazione, che può ritrovarsi con interi punti di rifornimento bloccati da un ransomware e da una richiesta di riscatto potenzialmente milionaria.

Gli eventi criminosi che un attaccante può generare da una colonnina sono diversi: furto di potenza di ricarica, che si traduce in utilizzo gratuito non autorizzato del servizio; manipolazione dei sistemi di pagamento; interruzione del funzionamento della stazione di ricarica; violazione del sistema digitale dei veicoli, con possibile danneggiamento di alcune componenti cruciali (tra tutti, le batterie).

Vulnerabilità dell’infrastruttura

Un attacco a una colonnina può trasformarsi in uno strumento per colpire più vittime. L’utente singolo, la società di gestione del servizio, il produttore dell’auto stessa, fino al sistema nella sua complessità. Poiché la colonnina rappresenta un punto di accesso all’intera rete elettrica.

Il pagamento della ricarica è un tipo di transazione che avviene all’interno di un sistema integrato per l’incasso degli importi. I pagamenti vengono gestiti solitamente da un protocollo specifico (Open Charge Point Protocol), che regola le comunicazioni tra il sistema integrato e il punto di ricarica. Da questo parte la richiesta al sistema per identificare l’utente; il sistema accetta e comunica con il punto di ricarica che è così pronto per erogare il servizio. In questo schema non sono pochi i punti critici, a partire dalle tessere NFC, i cui dati potrebbero non essere soggetti a cifratura. Si tratta di un’ipotesi remota, poiché è sempre più diffuso l’utilizzo della crittografia DES per questo tipo di oggetti, tuttavia, resta un’ipotesi da tenere in considerazione.

Colonnine e pagamenti

Molto meno remoto è il rischio legato al protocollo OCPP (Open Charge Point Protocol) delle colonnine di ricarica. Si tratta di un protocollo aperto, esposto ad attacchi di tipo Man-in-the-Middle (MitM), durante i quali l’attaccante si pone al centro della comunicazione tra due entità; in questo caso la colonnina di ricarica e il sistema integrato per intercettare il flusso di dati. Il pericolo al quale vanno incontro i dati dell’utente, che tramite la tessera NFC inserisce nella colonnina le coordinate del proprio conto bancario.

Un altro rischio riguarda l’eventuale presenza sulle colonnine di porte USB. Diventa possibile collegarvi una memoria estraibile nella quale copiare i dati di configurazione e di accesso, che permettono di accedere a ID e password per il server OCCP e, possibilmente, anche ai dati delle tessere NFC degli utenti, che possono essere replicati in procedure di clonazione. I dati di configurazione e di accesso, inoltre, consentirebbero all’attaccante di disattivare la colonnina, creando un evidente danno alla società che eroga il servizio.

Consigli per proteggere le auto elettriche da attacchi cyber

Quasi sempre una vulnerabilità dei sistemi è frutto di errori umani, che possono essere evitati o almeno mitigati utilizzando la pura e semplice logica, il buon senso. Ecco alcuni suggerimenti per proteggersi dagli attacchi informatici:

Caricare da fonti sicure: privilegiare punti di ricarica domestici o sul luogo di lavoro. Se possibile, è opportuno utilizzarli poiché si tratta di endpoint meno esposti agli attacchi rispetto alle colonnine gestite da grandi player, soggetti molto più appetibili per i cybercriminali.
Dialogo con i fornitori: la supply chain è, in ogni ambito, uno dei terreni privilegiati per le operazioni di attacco. Ecco perché è importante che sia le società fornitrici del servizio di ricarica sia i produttori di veicoli elettrici dialoghino costantemente con i propri fornitori, informandoli su ogni aspetto legato ai rischi informatici e condividendo eventuali strategie e soluzioni per proteggersi in modo adeguato.
Fare la scelta più sicura: chi attacca cerca una vulnerabilità e sceglierà il soggetto che gliene offre di più. Nella scelta della società energetica presso la quale effettuare la ricarica, è importante documentarsi e optare per quella che offre i migliori standard di protezione.

Le misure di protezione nel dettaglio

Oltre al buon senso, c’è il dettaglio pratico. Anche in questo caso, le misure si articolano su tre strade:

Lo shielding: si tratta di fornire uno “scudo di protezione” alla colonnina. Nello specifico alle API, il punto nevralgico che permette la comunicazione tra le applicazioni. Lo “scudo” deve essere in grado di identificare il traffico generato da eventuali bot o da script malevoli, anche se vengono utilizzate credenziali corrette o API valide. Questa misura è prioritaria, poiché queste tecniche di attacco sono le più diffuse ed efficaci nel creare danni.
I penetration test: le società che producono e gestiscono le colonnine devono verificare che ogni punto di ingresso nella piattaforma siano state sottoposte a penetration test. Un dettaglio importante: i test non devono puntare solo a individuare vulnerabilità da risolvere, ma hanno il compito anche di verificare quanto la piattaforma è sensibile a eventuali infiltrazioni di bot e script malevoli.
Gli accessi da mobile: questo terreno è critico perché le app sono esposte più di altri oggetti digitali alla possibilità che un cybercriminale le scarichi e le studi, estraendone le informazioni che gli servono per costruire uno script malevolo efficace. Per questo l’attenzione dei fornitori del servizio di ricarica deve essere massima su uno strumento sempre più privilegiato dagli utenti.

Considerazioni finali

Non solo chi fornisce e gestisce il servizio di ricarica è tenuto ad adottare le opportune misure di sicurezza. Anche gli utenti possono fare qualcosa di utile, cominciando dall’aggiornamento delle app e dei software dei punti di ricarica privati quando necessario. E’ opportuno conservare in punti protetti informazioni sensibili quali i dati di accesso al servizio. Magari in dispositivi di storage diversi e da aprire solo quando non si è connessi alla rete.

La protezione dell’ecosistema per la sicurezza delle colonnine, appunto, un’esigenza di sistema e non solo delle singole aziende che forniscono energia o costruiscono i veicoli. In quanto oggetti connessi, le colonnine (e le auto) sono potenziali punti di ingresso in un mondo che apre innumerevoli strade ai cybercriminali. Portandoli a colpire chiunque, e non solo chi sia direttamente coinvolto da un business sempre più cruciale per il nostro futuro.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Annunci"
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analitici".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal GDPR cookie consenso per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro.
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
CookieLawInfoConsent	1 year	Registra lo stato del pulsante predefinito della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie principale.
PHPSESSID	session	Questo cookie è nativo per le applicazioni PHP. Il cookie viene utilizzato per memorizzare e identificare l'ID di sessione univoco di un utente allo scopo di gestire la sessione dell'utente sul sito web. Il cookie è un cookie di sessione e viene eliminato alla chiusura di tutte le finestre del browser.
viewed_cookie_policy	11 months	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_ga_8PG28V3C03	2 years	Questo cookie è installato da Google Analytics.
_gat_gtag_UA_57175867_17	1 minute	Impostato da Google per distinguere gli utenti.
_gid	1 day	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.
CONSENT	2 years	YouTube imposta questo cookie tramite i video di YouTube incorporati e registra dati statistici anonimi.
iutk	5 months 27 days	Questo cookie viene utilizzato dal sistema analitico Issuu per raccogliere informazioni sull'attività dei visitatori sui prodotti Issuu.
uid	2 months	Questo è un cookie UserID di Google che traccia gli utenti in vari segmenti del sito web.

Cookie	Durata	Descrizione
test_cookie	15 minutes	Il test_cookie è impostato da doubleclick.net e viene utilizzato per determinare se il browser dell'utente supporta i cookie.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente ottiene la nuova o la vecchia interfaccia del lettore.
YSC	session	Il cookie YSC è impostato da Youtube e viene utilizzato per tracciare le visualizzazioni dei video incorporati sulle pagine di Youtube.
yt-remote-connected-devices	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt-remote-device-id	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.

Biglietti aerei gratuiti, le autorità Usa indagano sulla liceità

Business travel in Germania: intervista a Christoph Carnier, presidente dell’associazione Vdr

Carburanti sostenibili, il punto della situazione per Saf e diesel rinnovabile

smart nelle flotte auto aziendali, con #1 e #3

Attenzione al noleggio veicoli in Italia: potrebbe fare molto di più, per tutti

Flotte aziendali: con la raccolta e l’analisi dei dati si ottimizzano i costi

Congressi ed eventi a Praga sempre più in crescita

Classifica Icca 2023: l’Italia è per la prima volta sul podio

Guida Michelin: gli hotel italiani premiati con le Chiavi Michelin

Allarme sicurezza colonnine ricarica Bev: porta d’ingresso per cyber attacchi