Artikel top billede

(Foto: Computerworld)

Din bil er rent guf for hackere og cyberkriminelle

I takt med at biler kobles online, og nogle ovenikøbet tenderer mod at blive selvkørende, stiger risikoen for, at hackere overtager kontrollen. Hvad gør bilindustrien, og hvorfor ikke?.

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Mange moderne biler er opkoblede fra fabrikkens side for at sikre dig løbende opdateringer af motorens styresystemer og andet over nettet. Men det giver ikke kun fordele. Det medfører også en stor risiko. Mange eksperter som bl.a. Sergey Kravchenko fra Kaspersky, der er en af verdens førende sikkerhedsfirmaer, er ude med alvorlige advarsler. For uanset hvordan din bil er forbundet dvs. koblet online, er den i fare.

Det første, du kommer i tanke om, er sikkert, at hvis bilen er online, kan cyberkriminelle måske gå ind og manipulere med den. Det er også en helt rigtig tanke, da kriminelle kræfter nemlig let kan opsamle informationer om bilens og motorens tilstand (altså netop de data, som bilen sender online til fabrikken). Samtidig kan de snuppe de opdateringer, fabrikken sender tilbage. På samme måde er det også muligt at lave en kopi af bilens stamoplysninger og ad den vej skabe en kopi af nøglen.

Alle sådanne data er nemlig rene lækkerier, der kan sælges som varmt brød på det dybe internet, pointerer Sergey Kravchenko og peger på, at det ikke her kun er eksklusive biler, som er interessante, men også til eksempel biler, der kører som taxier, og derfor kan bruges som ”reservedelslager”. Det er noget, som branchen allerede har set flere eksempler på.

Hvad kan du selv gøre for din bil?

Som bilist og forbruger skal du betragte din bil på samme måde, som du betragter din computer eller en mobiltelefon. Og hvis du tænker på, hvor forholdsvis let du kan beskytte dit lille hjemmenetværk mod hackere ved hjælp af firewall, løbende opdateringer og andre relativt nemme forholdsregler, vil det formentlig også nok kunne lade sig gøre for de store bilfabrikker at sikre en bil til flere hundredetusinde kroner mod cyberkriminelle.

Men indtil det bliver en fast del af bilproducenternes procedure, er der heldigvis også en del ting, du selv kan gøre. Ikke mindst hvis din bil kan gå online via din mobiltelefon (uanset hvordan forbindelsen mellem selve bilen og telefonen er udformet).

• Pas på med hvilke apps og programmer du installerer. Undgå at hente programmer, der har root-access (og dermed virkeligt kan infiltrere dine styresystemer).

• Sørg for at have de højeste sikkerhedsindstillinger på din mobiltelefons antivirusprogram og sørg for at holde dit antivirusprogram behørigt opdateret.

Bluetooth og e-call er åbne døre

Ifølge Sergey Kravchenko kan virus og malware blive sendt ind i din bil på mange måder. I dag omfatter adskillige bilmodeller infotainmentsystemer, der måske står i forbindelse med din smartphone via en ”uskyldig” Bluetooth-forbindelse eller endnu værre med mobilopkobling. Begge forbindelser er relativt lette at hacke sig adgang ind i, og sætter derfor din bil i højrisikozonen. Desuden kan det være, at den såkaldte e-call-funktion med tiden bliver et lovkrav for samtlige biler.

Har du e-call i bilen, kan den selv ringe op til alarmcentralen ved ulykker, og det er selvfølgelig godt nok, men samtidig vil bilfabrikkerne i samme tur være fristet til at koble flere andre ”smarte” og ofte tredjepartstjenester på samme linje.
I 2017 testede Kaspersky 13 applikationer til biler, og kun én kunne modstå cyberangreb. Kaspersky har siden udviklet og tilbyder som produkt til bilindustrien en samlet sikkerhedspakke, som kan integreres i bilernes software fra fødslen, men interessen for at installere denne løsning er moderat for at sige det pænt.

Bilfabrikkerne har jo gerne deres egne sikkerhedsafdelinger, som implementerer sikkerhedsløsninger, men de glemmer som oftest bare, at moderne biler – og sikkert også deres egne – er sammensat af komponenter fra en lang række underleverandører, så det er ikke let at sikre alle led og trin i en ny bils opbygning.

Sergey Kravchenko fra Kapersky understreger derfor alvoren i, at bilfabrikkerne ifølge ham ikke indtænker tilstrækkelig sikkerhed i deres biler. Det betyder i realiteten, at bilfabrikkerne udvikler sårbare biler.

• Undgå uautoriserede motoropdateringer og uautoriseret chiptuning.

• Undgå at tillade uautoriserede chiptunere og værksteder at downloade programmer til din bils styresystemer inkl. motorstyring. Det kan bryde fabrikkens eventuelle installerede værn mod hacking.

• Undgå at søge værksteder, der ikke har adgang til den autoriserede software med ovennævnte indbygget sikkerhed. Det kan gøre det sværere for de ”rigtige” uautoriserede værksteder og være med til at formindske konkurrencen, fordi bilejerne så har færre valgmuligheder.

Fra forbundne biler til autonome køretøjer

Er spørgsmålet om cybersikkerhed påtrængende for almindelige nye opkoblede biler, er problemet simpelt hen vitalt, når det gælder fremtidens selvkørende for slet ikke at tale om autonome transportmidler. Blandt andet har David Barzilai, der er formand for det store israelske sikkerhedsfirma Karamba Security, flere gange understreget vigtigheden af, at producenterne og udviklerne bag selvkørende og førerløse biler ikke kun tænker på den autonome teknologi, men nok så væsentligt fokuserer på at gøre autonom teknologi hacker-sikker.

Køberne til fremtidens selvkørende og førerløse biler skal kunne stole på, at ingen uvedkommende pludselig kan bemægtige sig fuld kontrol over dit sagesløse køretøj med dig som ulykkelig marionet. I USA er situationen den, at myndighederne generelt lader industrien selv sørge for at afstikke de relevante sikkerhedskrav og overbevise publikum. Og dermed er ræven sat til at vogte gæs, for alle firmaer har en lille tendens til at se på succes og indtjening før købernes sikkerhed (med mindre der er lovgivning på området).

Her er Europa, ifølge Barzilai, en kende foran USA i bestræbelserne på at fremme sikkerheden i selvkørende biler. Europa har et mere striks syn på sagen og en lovgivning, der forudsætter, at både teknologi og sikkerhed er optimal, før selvkørende køretøjer, bliver hverdag. Men når det kommer til cybersikkerhed, er billedet et lidt andet.

Her advarer Barzilai om kreative og vedholdende hackere, der ligger på lur for hvert nyt system, bilproducenterne putter i deres køretøjer og foreslå her, at invitere ”frivillige” hackere til at hacke så mange selvkørende biler som muligt, mens de er under testkørsel. På den måde kan producenterne opnå, at alle digitale sikkerhedshuller er lappet og elimineret, før køretøjet sendes ud i masseproduktion og markedssalg.

Karamba Security har for at demonstrere denne pointe – og nok også for at kunne udvikle relevante sikkerhedsprodukter selv – lagt software, der simulerer forskellige bilers kontrolsystemer (såkaldte ”honeypots”) frit tilgængelige på nettet som en invitation til alverdens hackere, der bare kan kode løs. Indtil nu har disse honeypots oplevet 300.000 angreb på en måned.

Her fandt sikkerhedsvirksomheden 11 forskellige typer af angreb på de elektriske systemer i biler, blandt andet mod netværksprotokollerne Telnet, SSH og HTTP og Telnet, hvor sidstnævnte i den grad lignede den type angreb, som en white hat-hacker lavede mod en VW Golf i april sidste år.
Karamba oplyser, at selv om en række af angrebene formentlig er udført af de samme hackere, har virksomheden identificeret mindst 3500 forskellige gerningsmænd spredt ud over hele verden.

Det underbygger jo unægteligt, at de cyberkriminelle for alvor har fået øjnene op for de nye generationer af biler og Engine Control Units, altså elektroniske kontrolsystemer, som styrer bilens kontrolenheder. Og firmaet har samtidig kunnet afsløre defekter og brister i bilernes software, hvilket de har meddelt producenterne, så de kan garantere langt bedre sikkerhed på dette vigtige område og imødegå eventuel frygt og skepsis hos køberne.