Af Henrik Malmgreen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Under CES i Las Vegas i januar måned annoncerede Chevrolet, at de i løbet af næste år er klar med førerløse biler uden hverken rat eller pedaler. Vi har allerede set biler af mere traditionel konstruktion, der helt eller delvis er i stand til at navigere rundt i trafikken på egen hånd, men qua traditionel montering af rat og pedaler, har føreren fortsat mulighed for at gribe ind, hvis autonomien svigter. Uden disse betjenings-aggregater er såvel fører som passagerer så at sige helt på herrens mark og ganske overladt til de digitale systemer.
Da jeg for nylig besøgte den lokale vaskehal med min egen bil, faldt jeg i snak med en Tesla-ejer om netop dette emne. Tesla er som bekendt allerede delvis autonom, og ejeren kiggede helt trygt ind i den totalt førerløse fremtid. Han mente ikke, at risikoen vil blive større end i dag, hvor ulykkerne jo typisk er førerens skyld, enten fordi der køres for stærkt, for hasarderet eller fordi træthed og måske endda spiritus er involveret. Det er måske en sandhed med modifikationer, da det i det digitale univers er nemt at transformere en enkeltstående begivenhed til en masseevent.
5 følsomme områder
En moderne, autonom bil er meget mere end bare en kørende computer. Den er et kørende sikkerheds- og informationssystem, og selv om det naturligvis kan medføre ubodelig skade, hvis computerne hjemme i virksomheden eksempelvis angribes af ransomware, er skrækscenariet trods alt ganske mere vidtrækkende, hvis hackere overtager kontrollen og fjernstyrer din bil uden, at du kan gøre noget som helst.
Kaspersky er en af de producenter af sikkerhedssoftware, der allerede er på vej ind på markedet for sikkerhedsløsninger til selvkørende biler, og ifølge Sergei Zorin, der er chef for Kaspersky Transportation System Security, er der især 5 områder, hvor optimal sikkerhed er vigtig. Det første er naturligvis selve ECU’en – Engine Control Unit – og dernæst er det selve bilens netværk, gatewayen mod omverdenen, adgang til eksterne netværk og ikke mindst cloud-baserede tjenester.
Myldretid som panikscenarie
Hackere har for længe siden demonstreret, hvor nemt det er at overtage kontrollen af en bil, og i en ikke så fjern fremtid, hvor flere og flere biler bliver stadig mere intelligente og kobles op på alskens netværk, skal der ikke megen fantasi til at forestille sig, hvad der vil ske, hvis hackerne eksempelvis erobrer magten over myldretidstrafikken på en eller flere af indfaldsvejene til vore større byer. Det er naturligvis et skrækscenarie, bilproducenterne er bevidste om.
Det samme er en række af it-verdenens aktører, blandt andre T-Systems, der er et datterselskab under Deutsche Telekom. Således har T-Systems udviklet en række sikkerhedsløsninger til computerstyrede biler og er i gang med at implementere dem hos flere store bilproducenter. Alt om DATA har naturligvis haft kontakt til T-Systems, der imidlertid – som man udtrykker det – af sikkerhedshensyn ikke har ønsket at offentliggøre detaljer om hverken samarbejdspartnere, kunder eller teknologi.
Kaspersky går all in
Sikkerhed i den autonome bilverden bliver big business. Det har man også set hos Kaspersky, der har indgået et strategisk partnerskab med det tyske selskab AVL Software and Functions. Målet er i samarbejde at udvikle en sikker gateway, der skal drives af KasperskyOS og gøre det sikkert at udveksle data mellem de enkelte komponenter i den førerløse bil, informations- og sikkerhedssystemet i bilen samt en ekstern it-infrastruktur.
Du kender sikkert ikke AVL Software and Functions, men ikke desto mindre er der tale om verdens største uafhængige virksomhed til udvikling, simulering og test af teknologi til transport- og automobilsektoren. Samarbejdet skal blandt andet gøre det muligt for de enkelte bilproducenter at udvikle og implementere en Secure Communication Unit – SCU eller Car Gateway – i de nye bilmodeller. Målet er ganske enkelt, at software til biler skal være Secure by Design.
Bilsikkerhed skal nytænkes
Via pressemateriale udsendt af T-Systems kan vi dog løfte en bid af sløret for hemmelig-hederne. Der er tale om en avanceret sikkerhedslås kaldet ESLOCKS. Den monteres som en gateway i bilens interne kommunikationsnetværk, der forbinder alle de digitale komponenter. Her tjekkes for unormale anmodninger og signaler, og fornemmer ESLOCKS, at der er ugler i mosen, orienteres føreren om den mulige fare.
Informationerne deles derefter med de øvrige systemer i bilen, og ved hjælp af machine learning, der genkender de sikre anmodninger, blokeres afsenderen.
Nogle bilproducenter tror, at de kun behøver at sikre de indvendige computersystemer i bilen, men de skal i virkeligheden være ligeså bekymrede for de back-end systemer, som udvikles af forskellige underleverandører.
Nøglen til at opnå fuld tryghed i bilerne er nemlig at indbygge sikkerheden i alle komponenter og al software helt fra grunden. Allerede i dag har hver tredje bil internetadgang som standard, og antallet er støt stigende. Dermed stiger også mulighederne for, at kriminelle kan hacke din bil foruroligende hurtigt.
250 millioner forbundne biler
Markedet for nyproducerede biler med dataforbindelse – enten gennem indbyggede kommunikationsmoduler eller via en forbindelse til en mobil enhed – vil ifølge analyseinstituttet Gartner på verdensplan nå godt 60 millioner i 2020.
Det kendte analysebureau forudser samtidig, at der i 2020 kommer til at køre 250 millioner forbundne biler på vejene verden over, eftersom det bliver muligt at installere IoT-applikationer i eksisterende biler. Det er ganske enkelt det rene drømmescenarie for en ambitiøs hacker.
Indtil nu er internetforbindelsen i de forbundne biler primært blevet benyttet til navigationssystemer, underholdning og vedligeholdelse, men med den stadig mere intense brug af Internet of Things og såvel cloudbaserede som andre trådløse tjenester åbnes der stadig flere døre på klem for hackerne, lige som risikoscenariet generelt øges.
Hvis hackerne logger sig på bilens netværk, er tyveri nemlig ikke længere det eneste problem, idet de forbundne biler kommunikerer med trafiklys, bomme ved jernbaneoverskæringer og broer. Dermed er vejen til kaos banet.
Åbne døre på vid gab
I en højteknologisk verden åbner der sig rigtig mange døre for hackerne. En af dem, man måske ikke lige tænker over umiddelbart, er ladeprocessen. I fremtiden vil vi ikke blot se flere og flere selvkørende biler, vi vil også se flere og flere biler, der drives af elektricitet. Fordelen ved den analoge benzin er, at den ikke kan hackes.
Men det kan strøm, og ganske som din smartphone kan hackes via elnettet uden, at du aner det, når du sætter den i stikkontakten i lufthavnen, kan din bil hackes, når den lades. En anden nem genvej til din bil er de såkaldte OBD-II dongler, der benyttes til at opsamle diverse data fra bilens motorstyringsenhed (ECU), hvilket gør det muligt for dig, at monitorere din bils driftsstatus.
Men et israelsk sikkerhedsfirma, Argus Cyber Security, har for nylig vist, hvor nemt det er at overtage kontrollen med bilen, blot ved at være inden for Bluetooth rækkevidde. I dette tilfælde var det en OBD-II dongle fra Bosch, der var åben som en ladeport.
Rullende gidsler på landevejen
Udover de klassiske motiver for at stjæle en bil er der med carhacking opstået en ny form for kriminalitet, der kobler cybersikkerhed og fysisk sikkerhed uløseligt sammen. For selvom carhacking umiddelbart kan ses som en cyberhandling, når det handler om computere og kodning, kommer mennesker reelt i fare, hvis hackere overtager styringen af bilen.
Enkelte eksempler på, at man har holdt føreren af en bil som gidsel, er set. Ved at låse føreren inde i bilen og overtage kontrollen over alle systemer kan hackeren således nemt opkræve en løsesum.
Det er princippet det samme, som når en virksomhed angribes af ransomware. Betales pengene ikke, kan kidnapperen gennem sit tastatur hjemme bag computeren gøre stor skade.
Siden 2015, hvor en journalist fra Wired frivilligt satte sig bag rattet af en hacket bil og oplevede, hvor slemt det kan gå, har der været fokus på, hvorledes man kan øge sikkerheden i de selvkørende biler. T-Systems og deres sikkerhedsløsninger er blot en af flere it-leverandører, som i de kommende år vil træde ind på denne del af sikkerhedsmarkedet.