PC PÅ HJUL: Ford Sync (samarbeid med Microsoft), BMW ConnectedDrive (bildet, samarbeid med Google), Jaguars samarbeid med Blackberry-produsenten RIM og GMs OnStar (eget datterselskap) er blant eksemplene på at bilbransjen satser tungt på at bilen også skal være et rullende mobilt internett. (Bilde: BMW)

Hackernes nye domene?

  • Motor

It-sikkerhetsforskere har det siste året gitt de engstelige blant oss en ny type fryktfantasier.

Denne gangen er det ikke phishing-angrep mot nettbanken, virus eller trojanere – men et område vi lenge har trodd var hackerfri sone: Bilen.

Først ble det avslørt sårbarheter rundt den såkalte OBD II-porten, som de fleste i dag lett kan finne i sin egen bil.

Så fulgte en serie nye skremmeskudd fra forskerne ( se boksene nederst i saken), denne gang rundt de trådløse systemene for både lås/startmekanismen, dekktrykkmålere, stereoanlegg, mobilbasert ulykkesvarsling og navigasjon.

Les også: Her starter datainnbruddet

Nye tider

Teknologi- og markedsanalytiker Morten Gunnerud i Kongsberg Automotive sier det slik:

– Den moderne hobbymekanikeren bruker ikke skiftenøkkel, men laptop, sier han til Teknisk Ukeblad.

Selv har han kjøpt en billig kinesisk bluetooth-adapter til den nevnte OBD II-porten på bilen hjemme. En iPad-app i tillegg, og Gunnerud kan selv sanntidslese diagnostikkinformasjon om bilens tekniske tilstand.

– Så kan man tenke seg mer avanserte tjenester etter biltype. De fleste diagnostikkdata er standardiserte, og sånn sett kan du nok gjøre en del ugagn via OBD II-porten. Men så er det dette med fysisk tilgang da, sier han.

Les også: Hackere rammer industrien

Mye jobb for lite

Trådløst er langt verre å få til, mener Gunnerud.

– Moderne biler har på sett og vis flere lokale «internetter» – fire-fem stykker, gjerne. Underholdningssystemene har for eksempel ikke alle tilganger, og med bare bluetooth er det begrenset hva du kan få til, sier han.

Enn så lenge står altså ikke den kriminelle gevinsten i forhold til det betydelige arbeidet som må til for å knekke virvaret av forskjellige proprietære systemer.

Eller som en av de etter hvert beryktede it-forskerne, informatikkprofessor Stefan Savage ved University of California, uttalte i vår:

– Det krevde ti forskere og to år å få dette til. Det er ikke noe hvem som helst kan få til i garasjen.

Les også: Mer målrettede angrep

Amerikanerne bekymret

Like fullt har USA og Department of Energy tatt problemet på alvor, forteller Morten Gunnerud.

– Én ting er muligheten for biltyverier og sabotasje, men du har også aspektet med lading av el- og hybridbiler over smarte strømnett, såkalt smartgrid. Når USA nå tar tak i it-sikkerheten i bilene, er det først og fremst ut fra spørsmålet «kan man hacke elnettet gjennom bilen?» sier han.

Les også: Nettangrep med kundestøtte

I komfortsonen

Hva så med forbrukerne? Det mange verdsetter med bilkjøring, er jo følelsen av å ha full kontroll over en maskin – innbilt eller ei.

Vi koker innvendig når en medtrafikant i en sprek tysk bil (det siste ifølge Dine Penger-redaktør Tom Staavi) gjør en unødvendig risikomanøver. Selv når ingen blir skadd, og føreren selv antakelig har bedre oversikt enn oss selv.

Det verste er nemlig ikke «nær døden»-opplevelsen, men den bristende illusjonen om at vi alltid selv har hånden på rattet når liv og død avgjøres i trafikken.

INNSIKT:

Når illusjonen brister

Vi liker ikke å bli påminnet om at en tilfeldig tulling kan ødelegge alt, uansett hvor årvåken man selv måtte være.

Da blir det ditto uggent når en gjeng forskere insisterer på at joda – hvis bare tilstrekkelig (vrang)vilje, utstyr og kompetanse er på plass, kan en ondskapsfull it-nerd med en bluetoothdevice sitte bak deg i bilkøen og ta kontroll over bremser, motor og displayet inne i bilen din.

Sannsynlig? Nei. Nøktern grunn til engstelse? Nei. Men noe som pirker i illusjonen om kontroll?

Les også: – Mot et totalt overvåkningssamfunn

Ingen kundepanikk

Kanskje – men ikke ennå, ifølge dem som først merker slike ting: Bilforhandlerne.

– Kundene er veldig opptatt av sikkerhet, men vi prater ikke så mye om it-biten, nei. Vi har i hvert fall ikke fokusert på det opp mot våre selgere, sier Christian Holter, markedssjef for Audi hos Møller Bil i Asker og Bærum.

Norske bilkjøpere viser få tegn til å føle seg fremmedgjort overfor stadig mer høyteknologiske biler, altså.

– Har dere opplevd kunder som aktivt spør etter low-tech-biler?

– Nei. Den endringen vi ser som vi kan spore til mer elektronikk i bilene, går heller motsatt: Siden biltyven i dag er enda mer avhengig enn før av en nøkkel for å få start på bilen, selger vi langt færre alarmer enn før, sier Holter.

Les også: Det finnes ingen nullutslippsbiler

Ender i pluss

Morten Gunnerud byr på en parallell: Folk dropper ikke å ha internett hjemme selv om de vet at hacking eksisterer.

– Som forbruker går totalen i pluss, selv om det alltid vil finnes teoretiske svakheter. Vi får jo også nye muligheter, som når jeg i dag er i stand til både å fjernlåse og tracke bilen via mobilen om den skulle bli stjålet, sier han.

Les også: Miljø-pimping av bilen er ikke lønnsomt





Skremmeskudd 1:

OBD II-porten

OBD II-porten
STANDARD: OBD II-porten er lett identifisérbar og tilgjengelig på de fleste bilmodeller av noenlunde ny dato.
Gjennom OBD II-porten, en standard diagnosekontakt i nyere biler, klarte et sammensatt forskerteam fra University of Washington og University of California å skru av bremsene, endre speedometervisningen, blåse varmluft i vifta, skru radioen på full guffe og låse dørene på bilen. Blant annet.

Funnene ble presentert på en sikkerhetskonferanse i Oakland i California i mai i fjor.

Ved å koble en laptop til selvdiagnosesystemet (On-Board Diagnostics, derav OBD-navnet) og fjernstyre det hele trådløst, kunne forskerne forhindre testsjåføren fra å bremse bilen.

(Computerworld)

Skremmeskudd 2:

Dekktrykkmåleren

Dekktrykkmåler
TRÅDLØST: En såkalt "exciter", brukt til å aktivisere trådløse automatiske dekktrykkmålere. Såkalte Tyre Pressure Monitoring Systems (TPMS) er i dag utbredt.
Forskerne fra Washington og San Diego (se også skremmeskudd 1 og 4) kunne i fjor høst for første gang vise fram metoder for å trenge gjennom bilens sikkerhetssystemer også trådløst.

Dette lot seg gjøre ved hjelp av standard maskinvare til noen få tusenlapper.

Dekktrykkvarslere har vært standard i USA siden 2007, og må nødvendigvis gjerne bli et trådløst system. Uten fysisk tilgang til bilen, greide forskerne å sende falske signaler til en bil som kjørte i over 110 km/t.

Føreren ble bombardert med feilmeldinger på dashbordet om at han hadde mistet alt trykket i det ene dekket.

Etter å ha fått systemet overlesset med de falske feilmeldingene, kollapset bilens hovedcomputer til et punkt der selv ikke selvopprettingssystemene virket.

(Technology Review)

Skremmeskudd 3:

Trådløs låsdirking

KEYLESS GO: Nøkkelfri start kan også bety nøkkelfritt tyveri, demonstrerte sveitsiske forskere.
Forskere fra Swiss Federal Institute of Technology i Zürich og Lausanne offentliggjorde i januar resultatet etter å ha gått løs på radiosignalene som sendes mellom bil og fjernkontroll. Altså bilnøkkeltypen der føreren bare trenger å være nær bilen for å låse den opp og starte.

Ti systemer fra åtte ulike produsenter ble testet. Forskerne klarte ikke bare å låse opp, men også starte opp – og kjøre videre – med samtlige av dem. Dette uten fysisk kontakt med verken bileieren eller fjernkontrollen.

To antenner, én mottaker og én sender, ble brukt til å plukke opp, dekryptere og videreforsterke signalene som i utgangspunktet kom fra fjernkontrollen i "eierens" lomme.

Bilene kunne startes med startknappen på vanlig måte, uten brysom inngripen fra verken startsperrer eller alarmer.

(Jalopnik.com)

Skremmeskudd 4:

Full kontroll via bluetooth

Teamet fra University of Washington og University of California (se skremmeskudd 1 og 2) slo til igjen i mars, da de la fram de samlede resultatene fra to års forskning.

Bilnavigasjon Sony Ford
Teamet fra University of Washington og University of California (se skremmeskudd 1 og 2) slo til igjen i mars, da de la fram de samlede resultatene fra to års forskning. HJEMMEELEKTRONIKK I BILEN: Både navigasjonssystemet og stereoanlegget viste seg sårbart for de angripende forskerne, som aldri røpet hvilke bilmerker de jobbet på. Bildet er kun et eksempel.

Igjen uten fysisk tilgang til bilen, hadde de via bluetooth greid å koble seg til stereoanlegget, omgå sikkerhetssystemene, sende nye instrukser til bilens operativsystem og oppnå full kontroll.

Én metode var en trojansk hest i form av en kamuflert mp3-fil.

Også via mobilen kom forskerne trådløst inn, takket være bilens mobilbaserte SOS-system, som selv ringer etter hjelp ved ulykker.

Tredjepartsprogramvaren Carshark gjorde forskerne i stand til å fjernkontrollere bremser, motor, navigasjon og lås.

To multifunksjonssystemer som var blant forskernes inngangsveier, er så langt ikke tilgjengelig i Norge: GMs OnStar og Fords Microsoft-utviklede Sync.

(Technology Review)