Artikel top billede

(Foto: Computerworld)

Nu truer alverdens hackere også din bil

Det er galt nok, at du skal holde din pc beskyttet mod virus og cyberangreb. Nu skal du også sikre din bil. Især hvis den kan gå på nettet.

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det er besværligt at tumle med firewalls, antivirusprogrammer og sikkerhedsindstillinger, men det er nødvendigt for at beskytte din computer mod alskens angreb fra cyberspace. Nu er turen også kommet til din bil.

”Der er desværre mange huller og indgange i en bils elektroniske systemer, som hackere kan udnytte,” forklarer Leif Jensen fra Kaspersky Lab, der udvikler og sælger sikkerhedsprodukter, antivirusprogrammer og spam-filtre af enhver art og er et af verdens hurtigst voksende cybersikkerhedsfirmaer. ”Biler i dag rummer adskillige computere, der styrer alt fra bilens servosystemer og automatiske assistenter til navigation og infotainment. Computerne styres selv af forskellige operativsystemer, og desværre har de alle fejl og sikkerhedshuller, så producenterne må hele tiden udsende opdateringer. Dygtige hackere kan udnytte disse sikkerhedshuller, og det er relativt nemt med simpelt udstyr at hacke centrallåsens kode og åbne dørene uden om alarm og lås. Men det er reelt også muligt at modificere vitale motordata eller i værste fald overtage kontrollen med køretøjet, bedst som du suser af sted.”

Leif Jensen leder Kaspersky Labs nordiske afdeling. Han er lige kommet hjem fra Italien efter et besøg hos Ferrari, som Kaspersky har et tæt samarbejde med. ”Det er meget vigtigt for en producent af racerbiler og sportsvogne at være på forkant med it-udviklingen og kende til sikkerhedssystemer, der for eksempel kan forebygge, at radioforbindelsen mellem kørere, team og pit måske pludselig en dag bliver afbrudt af hackere, ligesom du sikkert kan forestille dig mange andre grimme ting. Samtidig udvikler disse producenter selv mange nye automotive features og teknologier, så også på den led giver det god mening at samarbejde med en motorsportsproducent som Ferrari,” siger Leif Jensen.

Du er blevet hacket. Betal med Bitcoins

Det er ikke altid selve køretøjet, hackerne er ude efter. Kaspersky har foretaget forsøg, der viser, at det er relativt nemt at hacke sig ind i biler via de populære infotainment-anlæg, der har forbindelse til internettet. ”Og forbindelsen til nettet åbner samtidig adgang til dine private data, adresser og andre personlige oplysninger, som du måske har indtastet eller har på din mobil, som også står i Bluetooth-forbindelse med infotainment-anlægget eller via en fjernbetjenings-app,” uddyber Leif Jensen.

”Er bilen så tilmed en tjenestebil for en betydningsfuld person, der gemmer fortrolige oplysninger, adresser og kontaktdata på deres computer eller mobiltelefon, kan hackere på samme måde let finde ud af, hvor disse personer er på vej hen eller har været, og hvor længe deres bil har holdt parkeret. Det er endog muligt at aflytte og optage samtaler i bilen. Den slags informationer er meget efterspurgte og let omsættelige på det mere lyssky marked, og pengene kan være store.”

Bilhackere Blot med en bærbar og en wi-fi-forbindelse kan bilhackere bemægtige sig kontrol over andre bilers bremser, styretøj og motor.

En dag vil du givetvis også kunne komme ud for, at en hacker låser din bil eller blokerer din tænding og afkræver dig penge eller Bitcoins for at ophæve spærringen efter samme recept, som hackere kan låse din harddisk og forlange løsepenge. ”Det er ganske vist ikke sket endnu, så vidt jeg ved,” beroliger Kaspersky-direktøren, men tilføjer, at ikke mindst nye biler med automatiske hjælpesystemer som adaptiv fartpilot, parkeringsassistent og antikollisionssystemer mv. er meget udsatte for hackerangreb. En dygtig hacker vil kunne indkredse de mindste åbninger i disse systemer og tage kontrol over stort set alle bilens elektronisk styrede funktioner.

Og det samme gælder naturligvis også alle andre slags køretøjer med automatsystemer som eksempelvis de kolonner af mere eller mindre selvkørende trucks, der er begyndt at blive sluppet løs på Europas veje. For nylig har kolonner af mere eller mindre autonome lastbiler som forsøg kørt ned gennem Europa for at demonstrere, at sådanne konvojer kan spare transportfirmaerne udgifter til både mandetimer og brændstof (se Alt om Data nr. 12/16). Men samtidig synes firmaerne at overse, at hackere i værste fald kan trænge ind i vognenes computersystemer og tappe dem for alle forretningsdata eller ligefrem afgive nye ordrer og måske ødelægge transporten eller sende bilerne et helt andet sted hen. Der har været eksempler på netpirater, der har hacket sig ind i shippingfirmaers computere og afsløret bestemmelsesstedet for en række værdifulde lastvognstransporter, hvorpå de har kidnappet transportvognene undervejs.

Og den dag den 100 % selvkørende bil er en realitet, kan et hackerangreb få rent ud katastrofale følger. Forestil dig en autonom bil, der pludselig bliver hacket og overtaget af personer udefra, der vil kidnappe passagererne eller anvende bilen som terrorvåben eller slet og ret lade det forulykke som ren magtdemonstration.

Desværre tager verdens bilproducenter efter Leif Jensens vurdering endnu ikke tilstrækkelig højde for datasikkerheden. ”I dag har diverse automatiske funktioner nok gjort vore biler mere trafiksikre, men samme systemer har også gjort dem mindre datasikre og pålidelige,” anfører han. Hacking er blevet en organiseret industri med mange penge. Du kan eksempelvis købe færdige ransomware-kits og få rådgivning og hjælp til at bruge dem fra leverandøren, der også gerne hjælper dig med din ”forretning”. Du skal faktisk blot oplyse dit bankkontonummer. ”Kaspersky samarbejder både med Interpol og Europol, lige som vi her i Danmark samarbejder med rigspolitiets afdeling for cyberkriminalitet (NC3),” fortæller Leif Jensen, ”men hackere gemmer sig over alt i verden og dækker sig bag alle mulige identiteter. Derfor bør det være et fælles mål for alle os producenter af it-sikkerhed at finde og tilstoppe ethvert sikkerhedshul, før hackere finder det og udnytter det til cyberkriminalitet. Og vi bør have som mål at udvikle og tilbyde beskyttelsessystemer, der kan indbygges i hel- og halvautomatiske biler, busser og trucks fra starten,” fastslår Leif Jensen. 

Datasikkerhed til biler kræver ny tankegang

Desværre er det endnu ikke rigtigt nogen udbredt konkurrenceparameter at have styr på datasikkerheden. ”Bilprocenterne kappes først og fremmest om at komme først med nye smarte features og faciliteter, som gør det muligt at opnå den ene raffinerede funktion efter den anden,” konstaterer Leif Jensen. ”Men i deres iver efter at introducere nye systemer (og helst før konkurrenterne) går det desværre uvægerligt ud over datasikkerheden.” Det er jo som oftest bilproducenterne selv, der specificerer deres software, som måske købes fra underleverandører. ”En sofistikeret bilproducent som Ferrari køber eksempelvis deres gps- og lydsystemer færdige ude i byen, og internettet er jo frit, så her sidder der heller ingen instans og kontrollerer datasikkerheden,” erkender Leif Jensen.

Kaspersky rådgiver til daglig både bilproducenter og underleverandører, og Leif Jensen forudser, at hvis fremtiden for automotiv cybersikkerhed kommer til at forløbe, som i pc- og mobilverdenen, kan du godt som bilejer belave dig på at blive kastebold i et fortsat kapløb mellem hackere og sikkerhedsudviklere, hvor hackerne vil ligge lige i hælene på sikkerhedsproducenterne. Derfor er det vigtigt, at sikkerhedsproducenterne rådgiver og oplyser automobilbranchen om, hvordan bilelektronikken bedst beskyttes. Men indtil videre er bilsystemer så indbyrdes forskellige, at det ikke er muligt at fremstille en fælles beskyttelse, der virker lige godt for alle.

Det amerikanske Sprint-netværk, som amerikanske biler kobler sig på nettet over, er nu modificeret til at blokere for dataudsendelser via TCP (Transmission Control Protocol), og det betyder, at flere af de nævnte hackerangreb ikke længere lader sig udføre. Og flere bilproducenter som bl.a. Tesla og General Motors har iværksat programmer, der belønner forbrugere for at indberette bugs og sårbarheder i deres bilcomputersystemer. Disse tiltag er endnu i startfasen, men bestemt skridt i den rigtige retning. Kaspersky vil også gerne række en hånd ud mod fremtiden og har med Kaspersky Academy Talent Lab lanceret en international konkurrence for unge forskere og opfindere mellem 18 og 30 år, der er interesseret I at arbejde inden for cybersikkerhed. “Der bliver uddannet alt for få nye kapaciteter I branchen, og det håber vi bl.a. på denne måde at kunne råde lidt bod på,” slutter Leif Jensen.

Kidnappet i farten

Sidste år demonstrerede de to it-kyndige amerikanere Charlie Miller og Chris Valasek for eksemplets skyld, at det var muligt at trænge ind i systemerne i en Jeep Cherokee, mens den kørte. Og ikke bare var hackerne i stand til at lege med klimaanlægget, radioen og vinduesviskerne, de kunne faktisk ligefrem afbryde alle interne forbindelser i bilen alene ved brug af en laptop og en wi-fi-forbindelse. Rent faktisk var hackerne også i stand til at dreje rattet, accellerere og bremse om end kun ved meget lav hastighed. De assistent- og OBD-systemer, som hackerne benyttede som indgang til bilen, fungerer nemlig kun ved hastigheder op til 10 km/t. Herover vil instrukser fra disse systemer nemlig forårsage konflikt i hovedcomputeren, og ordrerne vil ikke blive adlydt.

Hacket på farten De to amerikanere Charlie Miller og Chris Valasek demonstrerer, hvordan de kan hacke sig ind i systemerne på en Jeep Cherokee, og endnu mere skræmmende hvordan de kunne styre rattet og bremse!

Men nu er det også lykkedes de to hackere at omgå denne begrænsning. Det gælder blot om at forfalske den besked, der sendes fra speedometret, så hovedcomputeren tror, at bilen står stille, selv hvis den fræser ud ad landevejen. Sagen er nemlig, at systemerne ikke kræver autentifikation og godkendelse af styreordrerne. I stedet nummererer elektronikken alle ordrer til bilens systemer, og computeren reagerer på de data, der bærer det nyeste nummer og tilbageviser alle andre. Så hvis hackerne blot udsendte deres instrukser til bilen, før speedometret nåede det, troede hovedcomputeren på de falske oplysninger og ignorerede de rigtige. Derved kunne hackerne kontrollere bilens styretøj og elektroniske parkeringsbremse (håndbremse) og beordre autopiloten til at accellerere bilen op i fart.

Heldigvis har føreren stadig mulighed for at træde hårdt på bilens bremsepedal og bringe køretøjet til standsning. Men hvis opfindsomme hackere bortleder bilistens opmærksomhed ved for eksempel pludselig at tænde for høj musik på musikanlægget eller starte vinduesviskerne, kan det gå rigtig galt.

Leif Jensen Leif Jensen er direktør for it-sikkerhedsfirmaet Kasperskys danske afdeling med domicil i Greve.

Global ekspert i datasikkerhed

Kaspersky Lab er en russisk virksomhed, der arbejder med computersikkerhed og udvikler og sælger antivirus- og anti-spyware programmer samt spam-filtre og andre produkter for sikring af computere mod ondsindet indtrængen af uønskede programmer. Kaspersky er blandt de absolut førende i branchen med mere end 400 millioner brugere verden over og er desuden Microsoft Gold Partner i sikkerhedsløsninger til Windows. Virksomheden har et stort forskerteam, der opsøger og analyserer malware og virus, og har hovedsæde i Moskva og lokale kontorer i mere end 35 andre lande heriblandt Danmark.