Innovatie

Baby you can hack my car: hoe zit het met de beveiliging van connected cars?

0

Stel je het scenario voor waarbij een terrorist een volledig verkeersinfarct met dodelijke ongevallen in een grote stad creëert, door de besturing van bepaalde auto’s over te nemen. Dit lijkt misschien iets waarvan je denkt: leuk scenario voor een film. Niets is minder waar. Het kost weinig moeite en geld om een dergelijk verkeersinfarct te veroorzaken. Car hacking wordt een steeds serieuzer probleem. In hoeverre zijn autofabrikanten, dan wel leveranciers van onderdelen van auto’s, zich bewust van dit beveiligingsrisico?

Actueel: de Nissan Leaf

Vorige maand lazen we in diverse media dat de Nissan Leaf eenvoudig te hacken is. Met behulp van de app van Nissan kon iedereen die het identificatienummer van de auto wist, met de auto communiceren. Dit nummer is van buiten leesbaar in het dashboard. In het geval van de Nissan Leaf kon de auto overigens niet op afstand worden bestuurd. Wel kon vanaf afstand de airconditioning worden aangezet en kon worden uitgelezen waar de auto allemaal had gereden.

Car hacking is niet nieuw: we tunen al jaren onze auto’s

Car hacking is niet nieuw. Al zo’n 15 jaar geleden verschenen de eerste artikelen in het nieuws over car hacking. De eerste ‘hacks’ leken tamelijk onschuldig en voor menig automobilist een groot plezier. Het bleek heel eenvoudig om het motormanagementsysteem van een auto te hacken en zo een gewone auto om te toveren tot een waar racemonster. Dit illegaal tunen van auto’s werd snel populair. Zo populair dat autofabrikanten het als optie aan gingen bieden.

Auto’s worden aangestuurd door software

Wat deze eerste car hacks vooral duidelijk maken, is dat auto’s steeds afhankelijker zijn geworden van elektronica en software en daardoor kwetsbaar zijn. Feitelijk stuurt tegenwoordig software de hele auto aan. Een gemiddelde auto bevat miljoenen regels aan geprogrammeerde code.

Iedereen kan op eBay, voor een paar euro, een zogenaamde ODB2 dongle bestellen. Hiermee kun je via je laptop of telefoon de verschillende onderdelen van een auto besturen. Wil je echt kwaad, dan is een aanval op deze manier nog best lastig. Je hebt fysieke toegang tot de auto nodig en je moet een dongle plaatsen zodat je informatie kunt uitlezen of onderdelen kunt besturen. ‘Gelukkig’ hebben autofabrikanten hier iets op gevonden: internet en mobiele apps!

Van tunen naar car hacking 2.0

Tegenwoordig zijn veel auto’s met internet verbonden en/of zijn te bedienen met een (mobiele) app. Volvo heeft bijvoorbeeld een mobiele app ‘On Call’. Een slimme toepassing waarmee de gelukkige Volvo-bezitter op afstand de auto kan besturen. Je kunt bijvoorbeeld een timer instellen om de auto voor te verwarmen. Ook kun je de auto op afstand vergrendelen. Volgens Volvo wordt ons dagelijks leven met On Call makkelijker en leuker.

Dat klopt, maar zonder goede beveiliging kan er een hoop misgaan. Hackers kunnen misbruik maken van de functionaliteit van de app of van de communicatie tussen de app en de auto. Car hacking 2.0 zullen we maar zeggen.

Car hacking 2.0: enkele voorbeelden

In de afgelopen jaren zijn er diverse onderzoekers geweest die zaken die (soms zijdelings) aan auto’s zijn gekoppeld “succesvol” hebben gehackt. Autosleutels, navigatie- en audiosystemen worden op afstand gekraakt. Uiteindelijk wordt car hacking in 2010 pas echt serieus genomen door de ‘bandendruk hack‘. Enkele hackers demonstreren dat ze bandendruksensoren voor de gek kunnen houden en zo de auto kunnen laten stoppen.

In een ander scenario laten ze zien dat ze op deze manier de auto makkelijk en onopvallend kunnen volgen. Het wireless bandendruksysteem is niet versleuteld, controleert niet op afzender en is bovendien verbonden met het communicatiesysteem van de auto.

Chryslergate 2015

In juli 2011 zegt toenmalig Chrysler persvoorlichter Vince Muniga: ‘a data breach of an individual automobile is highly unlikely.’ Maar vorig jaar had datzelfde Chrysler de twijfelachtige eer het slachtoffer te zijn van de ‘mooiste’ car hack tot nu toe. Hackers Charlie Miller en Chris Valasek hebben – na een jaar hun eigen garages kapot gereden te hebben – uiteindelijk datgene voor elkaar gekregen waar iedereen toch wel bang voor was: volledige controle op afstand van in dit geval een Jeep Cherokee. Gevolg? Een terugroepactie van Chrysler die zijn weerga niet kende en eindelijk het besef dat slechte beveiliging niet echt handig is. Sterker nog, het is levensgevaarlijk.

Safety first?

Security by obscurity lijkt tot dusver het credo van de auto-industrie. Maar gaat niet op bij high profile targets zoals auto’s. Er is altijd wel iemand die probeert binnen te komen en misbruik wil maken van de ‘kansen’ die worden geboden. De auto-industrie moet beveiliging serieus nemen, voordat er echte ongelukken gebeuren. Met het aannemen van duizenden programmeurs lijkt BMW het goede voorbeeld te geven. De komende jaren wil het bedrijf zich meer richten op de ontwikkeling en beveiliging van zelfrijdende auto’s.

De auto-industrie moet beveiliging serieus nemen, voordat er echte ongelukken gebeuren.

Wordt het rijden met connected cars 100% veilig? Dat nooit. Maar, autofabrikanten kunnen er wel voor zorgen dat ze in de basis de veiligheid van de inzittenden kunnen garanderen. Autofabrikanten en hun leveranciers zouden vanaf het begin van de ontwikkeling moeten samenwerken met hackers. Gebruik bewezen en geteste standaarden. Laat hackers continu de beveiliging van de auto testen, al verhoogt dit de kostprijs van een auto.

Car hacking: een onderschat beveiligingsrisico

Car hacking is een serieus probleem. Als autobezitter ben je overgeleverd aan de software van de autofabrikant. Wanneer een kwaadwillende de app of de communicatie tussen de app en de auto hackt, is de auto weg voordat iemand er erg in heeft. En dit is dan nog het minst erge wat er kan gebeuren. Een gewetenloze terrorist laat je in het ergste geval op volle snelheid een file inrijden. ‘Baby you can drive my car’ krijgt zo een hele andere betekenis.