• Paolo Benanti

I fantasmi della Tesla: attacchi hacker alla guida autonoma

In un recente paper alcuni ricercatori della Ben-Gurion University of the Negev e un certo "Green" che si definisce "ricercatore indipendente Tesla" hanno voluto dimostrare il limite di veicoli a guida autonoma in un ambiente privo di sistemi in grado di validare le letture della realtà che fa il sistema del veicolo. Per fare questo hanno lavorato con dei "fantasmi" per quella che potremmo definire una vera "storia da brividi". Ma guardiamone i dettagli

Ben Nassi, Dudi Nassi, Raz Ben Netanel, Yisroel Mirsky e Yuval Elovici sono ricercatori della Ben-Gurion University of the Negev e, insieme a un certo Green (senza altri iniziali o nomi), che si qualifica come ricercatore indipendente Tesla, hanno recentemente pubblicato un paper che deve farci riflettere. Gli studiosi indagano una nuova sfida percettiva che fa sì che i sistemi avanzati di assistenza alla guida o ADAS, il nome con cui si indicano tutti i sistemi in commercio e in sviluppo per la guida assistita o interamente autonoma, e tutti tutti i sistemi di guida semi o completamente autonomi considerino gli oggetti senza profondità (fantasmi o ghost nel testo inglese) come reali.


Grazie al loro paper è evidente come gli eventuali perpetratori di un attacco possano sfruttare questa imprecisione percettiva per effettuare dei phantom attacks (attacchi fantasma) e modificare il comportamento del veicolo senza la necessità di avvicinarsi fisicamente alla scena dell'attacco. Basta, come dimostrano i loro studi, proiettare uno di questi ghost tramite un drone dotato di un proiettore portatile o facendo comparire il ghost su un cartellone digitale hackerato che sia connesso a Internet e si trovi vicino alle strade.


Così leggiamo nel loro studio. L'assenza di sistemi di comunicazione veicolare diffusi, cioè il fatto che i veicoli navighino oggi in un ambiente del tutto passivo, privo di sensori o elementi che comunichino attivamente col veicolo, impedisce ai sistemi avanzati di assistenza alla guida (ADAS) e ai sistemi di guida semi / completamente autonomi di convalidare la loro percezione virtuale sull'ambiente fisico che circonda l'auto con una terza parte. DI fatto una macchina che legge un cartello con un limite di velocità non ha dal cartello alcuna validazione elettronica o digitale della sua lettura essendo questo un dispositivo inerte e del tutto privo di componentistica elettronica in grado di comunicare con il veicolo. Questa caratteristica è stata sfruttata in vari tipi di attacchi suggeriti dai ricercatori in varia letteratura scientifica.


Tuttavia, poiché l'applicazione di questi attacchi ha un costo elevato (esposizione dell'identità dell'attaccante), il bilanciamento costi-benefici rispetto al saldo dell'applicazione di queste tecniche è stata mantenuta alta e attacchi di questo tipo non sono ancora stati riscontrati in casi reali rimanendo solo casi teorici.



In questo nuovo studio, si indaga una nuova sfida percettiva che fa sì che gli ADAS e i sistemi di guida semi / completamente autonomi considerino gli oggetti senza profondità (ghosts) come reali. I ricercatori mostrano come gli eventuali perpetratori dell'attacco possano sfruttare questo limite percettivo dei sistemi di guida (non distinguono un elemento a due dimensioni da uno tridimensionale) per applicare quelli che possiamo definire phantom attacks in grado di rendere molto facile e conveniente l'attacco mutando la situazione di sicurezza fin qui garantita dal saldo costo benefici. Questi attacchi possono essere eseguiti senza la necessità di avvicinarsi fisicamente alla scena dell'attacco, proiettando un ghost tramite un drone dotato di un proiettore portatile o presentando un ghost su un cartellone digitale hackerato che sia connesso a Internet e si trovi vicino alle strade.


Il pregio dello studio dei ricercatori israeliani è quello di mostrare che l'industria automobilistica non ha preso in considerazione questo tipo di attacco facendo contemporaneamente vedere l'efficacia di queste tecniche sulle più avanzate tecnologie ADAS e di guida assistita (autopilot) di oggi: il Mobileye 630 PRO e la Tesla Model X, HW 2.5.



Gli esperimenti documentati nel paper dimostrano che, quando sono messi di fronte a vari ghosts, gli ADAS o l'autopilot di un'auto considera queste proiezioni in 2D - i fantasmi appunto - come oggetti reali, facendo sì che questi sistemi inneschino i freni, si dirigano nella corsia opposta del traffico ed emettono notifiche su falsi segnali stradali.



Chiaramente dietro a ogni paper c'è sempre anche altro e così gli studiosi, con un fine dichiarato di aiutare a mitigare questo attacco, presentano un modello di software per ADAS e autopilot che analizza il contesto, la superficie e la luce riflessa di un oggetto rilevato, in grado di rilevare i fantasmi con un AUC di 0,99. Per i non addetti ai lavori ricordiamo che l'AUC o Area Under the Curve è una metrica importante nell'apprendimento automatico per la classificazione di un modello. Viene spesso utilizzato come misura delle prestazioni di un modello di machine learning: è una misura compresa tra 0 e 1 delle prestazioni di un modello che classifica le previsioni degli ordini da un modello. Per una spiegazione dettagliata dell'AUC, consultate questo link.


Infine, sempre nello stesso studio, i ricercatori israeliani spiegano perché l'impiego di sistemi di comunicazione veicolare potrebbe ridurre le opportunità di eventuali attaccanti di applicare attacchi fantasma ma tuttavia gli autori si dicono convinti che questi ssitemi non elimineranno del tutto tali possibilità. Sono molto interessanti i dettagli dello studio che vale la pena di esaminare nel dettaglio.


La sfida percettiva

​Considerereste reale la proiezione della persona e del segnale stradale? Tesla considera il personaggio proiettato come una persona reale. Mobileye 630 PRO considera il cartello stradale proiettato come un vero cartello stradale.



Phantoms

Un fantasma è un oggetto senza profondità destinato a far sì che gli ADAS e i sistemi di pilota automatico percepiscano l'oggetto e lo considerino reale. L'oggetto può essere un ostacolo (ad es. Persona, auto, camion, moto), corsia o segnale stradale.


Ad esempio, l'immagine seguente mostra un fantasma proiettato di un'auto che è stata rilevata dalla Tesla (HW 2.5) che la considerava una vera auto.



I fantasmi possono anche essere incorporati negli annunci pubblicitari proiettati su cartelloni digitali situati vicino alle strade. Cerca di individuare il fantasma presentato per 125 millisecondi in questo annuncio.



I fantasmi possono anche essere proiettati tramite un proiettore portatile montato su un drone. Provate a notare il fantasma proiettato per 125 millisecondi dal drone.



I fantasmi possono anche causare la frenata improvvisa di una Tesla Model X (HW 2.5). Si noti come l'auto riduce la sua velocità da 18 MPH a 14 MPH a seguito di un fantasma che viene rilevato come persona (i ricercatori hanno utilizzato la foto di Elon Musk!).



​I fantasmi possono anche far deviare il pilota automatico di Tesla Model X (HW 2.5) sulla corsia del traffico opposto. Si noti come l'auto attraversa la linea gialla a seguito della proiezione di corsie fantasma.



Infine riportiamo delle FAQs che i ricercatori hanno pubblicato a corredo del loro studio che permettono di comprendere meglio alcune questioni chiavi per la sicurezza e l'implementazione di sistemi di guida assistita e guida autonomi efficaci.

I phantom sono bug?

No. I fantasmi non sono sicuramente bug.

Non sono il risultato di una scarsa implementazione del codice in termini di sicurezza.



Non sono uno sfruttamento classico (es. Buffer overflow, iniezioni SQL) che possono essere

facilmente corretti aggiungendo un'istruzione "if".


Riflettono un difetto fondamentale dei modelli che rilevano oggetti che non sono stati addestrati a distinguere tra oggetti reali e falsi.


​Perché gli attacchi fantasma sono così pericolosi?

Attacchi precedenti:

  1. È necessario che gli attaccanti si avvicinino alla scena dell'attacco per manipolare un oggetto usando un artefatto fisico (ad es. Adesivi, graffiti) o per impostare l'equipaggiamento richiesto, atti che possono esporre le identità degli attaccanti.

  2. Richiedono aggressori qualificati (esperti di spoofing radiofonico o tecniche di apprendimento automatico contraddittorio).

  3. Necessaria conoscenza completa del modello attaccato.

  4. Lasciare prove forensi sulla scena dell'attacco.

  5. Richiede una preparazione complessa / estesa (ad esempio, una lunga fase di pre-elaborazione per trovare un'istanza di evasione che sarebbe classificata erroneamente da un modello).

Attacchi fantasma:

  1. Può essere applicato a distanza (utilizzando un drone dotato di un proiettore portatile o hackerando cartelloni digitali che si affacciano su Internet e si trovano vicino alle strade), eliminando così la necessità di avvicinarsi fisicamente alla scena dell'attacco, modificando l'esposizione rispetto al bilanciamento dell'applicazione .

  2. Non richiede alcuna competenza speciale.

  3. Non fare affidamento su un approccio white-box.

  4. Non lasciare alcuna prova sulla scena dell'attacco.

  5. Non richiede alcuna preparazione complessa.

  6. Può essere applicato con attrezzature economiche (poche centinaia di dollari).



Perché Tesla considera i fantasmi dei veri ostacoli?

Riteniamo che questo sia probabilmente il risultato di una politica "meglio prevenire che curare" che considera una proiezione visiva un oggetto reale anche se l'oggetto non viene rilevato da altri sensori (ad es. Radar e sensori a ultrasuoni).


I fantasmi possono essere classificati esclusivamente sulla base di una macchina fotografica?

Sì. Esaminando il contesto, la luce riflessa e la superficie di un oggetto rilevato, siamo stati in grado di addestrare un modello che rileva accuratamente i fantasmi (0,99 AUC).



Lo spiegamento di sistemi di comunicazione veicolare eliminerà gli attacchi fantasma?

No. Il dispiegamento di sistemi di comunicazione veicolare potrebbe limitare le opportunità che gli aggressori hanno di applicare attacchi fantasma, ma non li eliminerà.


Avete divulgato le vostre scoperte a Mobileye e Tesla?

Sì. Abbiamo tenuto aggiornato Tesla e Mobileye tramite una serie di mail inviate dall'inizio di maggio al 19 ottobre.



Questo paper ci sembra molto interessante per diverse ragioni. Ci limitiamo qui a segnalare il fatto che l'innovazione di un comparto come quello automobilistico non può essere portato avanti solo dal mercato ma serve anche un'autorità che regoli e adegui le infrastrutture per garantire un bilanciamento e un'equità nel complesso sistema che si genera tra utenti, veicoli e infrastrutture.

384 visualizzazioni1 commento