Cybersikkerhet

Frykter terrorangrep mot hele bilflåter, med fare for store tap av liv

Oppkoblede biler kan være en fare for samfunnet. Volvo, Renault og Hyundai gjør nå store grep for å sikre seg mot cyberangrep.

Fjernangrep mot oppkoblete biler er en betydelig trussel, mener flere.
Fjernangrep mot oppkoblete biler er en betydelig trussel, mener flere. (Foto: Colourbox)

Oppkoblede biler kan være en fare for samfunnet. Volvo, Renault og Hyundai gjør nå store grep for å sikre seg mot cyberangrep.

Har du en app til bilen din, som kan låse opp dørene, sette på varmeapparatet – kanskje til og med hente den parkerte bilen til deg? Bilene våre blir stadig smartere, og teknologi gjør livene våre mer behagelige. Men appen kan være en rød løper for kriminelle. Jo mer oppkoblet teknologi bilene våre er, jo mer utsatt er de for cyberangrep.

Investerer i Israel 

Denne uka meldte Volvo, Renault og Hyundai og flere andre at de har investert 30 millioner dollar i Upstream Security, et israelsk selskap som har spesialisert seg på sikring mot cyberangrep mot biler.

– Å sikre våre kunders oppkoblete kjøretøy har høyeste prioritet i Volvo, sier investeringsdirektør David Hanngren i Volvo Group i en pressemelding.

I sin årsrapport for 2018 skriver Daimler Chrysler følgende: «Due in particular to the changed risk situation relating to cybercrime and hacker attacks, the possible impact of information-technology risks has increased compared with the previous year from 'Medium' to 'High'.»

Tok over kjørende Jeep 

I 2015 viste de «snille» hackerne Charlie Miller og Chris Valasek hvordan de kunne sitte hjemme i sofaen og ta kontroll over en Jeep Grand Cherokee som kjørte ute på motorveien, med en Wired-journalist bak rattet. Blant annet koblet Miller og Valasek ut bilens bremser, slo av motoren og overtok styringen.

Stuntet førte til at Chrysler Fiat måtte tilbakekalle 1,4 millioner biler.

I 2014 tok "snille" hackere kontroll over en Jeep Grand Cherokee som kjørte ute på motorveien.
I 2014 tok «snille» hackere kontroll over en Jeep Grand Cherokee som kjørte ute på motorveien. Foto: Fiat Chrysler

Da Consumer Reports i fjor testet Tesla Model 3, ville de ikke anbefale bilen på grunn av bremseeffekten. Tesla gjorde kjapt en trådløs oppdatering av bilens software, og bremsene ble betydelig bedre. Faktisk ble målt bremselengde kuttet med nesten sju meter, med det resultat at Consumer Reports likevel anbefalte bilen.

Men hvis bremsekraften kan økes med en programvareoppdatering, så kan vel også bremseeffekten endres eller kuttes over nettet?

Les også

Milliardkostnader 

Ifølge en rapport fra Upstream Security (som kan lastes ned her) kan ett enkelt cyberangrep koste en bilprodusent opp mot ti milliarder kroner.

Ifølge israelerne vil autonome kjøretøy være spesielt sårbare. Disse bilenes LIDAR- og radarsystemer, som er helt essensielt for at bilene skal være trygge i trafikken, kan mates med falske signaler eller kobles helt ut.

Man kan jo se for seg kaoset og ulykkene som ville skjedd hvis tusenvis eller millioner av biler fra f.eks. utvalgte bilprodusenter, leiebilselskaper eller transportselskaper plutselig skulle få motorstopp og miste både styring og bremser på autobahn i Tyskland, eller på en åttefelts highway i Los Angeles. Et annet scenario kan være at hackere tar over styringen av autonome biler, og nokså enkelt vil kunne kidnappe kjøretøy med verdifull last, eller bortføre, skade eller drepe passasjerene.

Frykter terrorangrep og høye dødstall 

Den amerikanske forbrukerorganisasjonen Consumer Watchdog publiserte nylig rapporten «Kill switch – why connected cars can be killing machines and how to turn them off». I rapporten konkluderes det med at «en hacker med moderate ressurser kan igangsette et massivt angrep mot vår infrastruktur, med potensielt tusenvis av dødsfall». 

I «Kill switch»-rapporten pekes det på at de fleste større bilprodusenter har sikkerhetskritiske systemer (ikke minst bremser, styring, gass) som er koblet mot internett – og at disse ikke er godt sikret mot hacking. Siden millioner av biler bruker identisk software knyttet opp mot internett, kan angrepene gjøres mot hele flåter av biler.

«Et sannsynlig scenario, et flåteangrep i rushtrafikken i større amerikanske byer, vil kunne resultere i rundt 3000 drepte – det samme antall omkomne som i 11. september-angrepene», er en av flere konklusjoner.

Les også

Rød løper inn bakdøren 

Antall halvåpne bakdører er utallige. En variant er såkalte nærangrep, der fjernstyrt sentrallås eller nøkkelløs adkomst kan gi tilgang. En annen inngangsport er fjernangrep, via bilens nettoppkobling. Jo mer oppkoblet en bil er, jo flere muligheter har hackerne til å bryte seg inn og manipulere. Har du en app på bilen din, som kan låse opp dører, sette på varmeapparatet – kanskje til og med hente den parkerte bilen til deg? Appen kan være en rød løper for kriminelle.

- Hacking var noe bilprodusentene ikke så for seg, sier forskningsleder Maria Moe ved SINTEF.
– Hacking var noe bilprodusentene ikke så for seg, sier forskningsleder Maria Moe ved SINTEF. Foto: Chris Guldberg, Sintef

Consumer Watchdog peker på at bruken av smarttelefoner i bilen er en teknologi som i liten grad er utviklet med tanke på å sikre komponenter som styring og bremser, og derfor er en oppskrift på katastrofe.

Mange nye biler har mulighet til å sette opp sitt eget wifi-nett, og det pekes på at virus kan spre seg fra bil til bil – selv i fart. Kan bilens programvare oppdateres OTA – over the air – så sparer bilprodusentene enormt med tid og penger på å ikke kalle inn millioner av biler til nærmeste merkeverksted. Men det ligger også en potensiell trussel her. Data strømmer inn og ut av bilen i et ellevilt tempo, enten via et fastmontert SIM-kort, skybaserte tjenester eller gjennom mobilen din.

Det kan være mange grunner til at hackere vil bryte seg inn i elektronikken på bilen din, men ingen av dem er for å være hyggelig.

– Kan ta over flåter av biler 

Marie Moe er forskningsleder ved SINTEF i Trondheim, og begynte å jobbe med digital sikkerhet i kjøretøy for ti år siden.

– Bilprodusentene har hatt en bratt læringskurve. Hacking av biler var en utfordring de  ikke så for seg, sier Moe.

Hun understreker at Miller og Valasek på ingen måte de første som hacket seg inn i biler.

– Flere år tidligere hacket akademiske forskere seg inn i GM sine biler, men de fikk ikke lov til å publisere før GM hadde fikset problemet – og det tok fem år. I fem år kjørte biler fra GM rundt og var åpen for hacking, sier SINTEF-forskeren.

Hun sier at Jeep-affæren var en solid øyeåpner for bilbransjen, og at stuntet heldigvis har hatt effekt.

– Nå involverer bilprodusentene seg, og det er jo positivt. I august var jeg på hackingkonferansen DEFCON i Las Vegas. De hadde et stort messeområde kalt Car Hacking Village, som bilprodusentene sponset. Der konkurrerte folk om å hacke seg inn i biler. Premien var en Tesla, sier Moe og humrer.

– Hva vil en dyktig, ondsinnet hacker kunne utføre?

– Det vil være mulig å ta over en helt flåte av biler, og fjernstyre disse som om det var et dataspill. Da kan man forårsake ulykker og tap av menneskeliv. «Worst case»-scenario er jo et koordinert terrorangrep, men det kan også være ting relatert til personvern. Noen kan være interessert i å tracke enkeltpersoner, enten det nå er kjendiser eller ekskjærester.

Les også

14-åring skapte trikkekaos 

– Så langt har det nok hacking av biler skjedd for å bryte seg inn i dem. Å komme seg inn i biler med nøkkelfri tilgang er velkjent kunnskap for kriminelle, sier Moe.

Men samferdsel handler ikke bare om bil. Hun nevner en episode i 2008, der en polsk 14-åring hacket seg inn på trikkesystemet i byen Lodz. Med en ombygget TV-fjernkontroll klarte han å ta over styringen på flere trikker, med fullt kaos, fire avsporinger og flere skadde som resultat.

– Problemet er at du kan hacke deg inn i bilen via uskyldige ting, som en DAB-radio eller bilens underholdningssystem. Bilen er jo en skikkelig komplisert datamaskin, der kritiske systemer dessverre ikke er fraskilt fra resten, sier hun.

– Og faren vil øke når de selvkjørende bilene kommer?

– Ja. Da blir det enda viktigere å stole på at ingen hacker seg inn. Når bilene blir helt automatisert og man ikke har mulighet til å ta over styringen, er det ingenting man kan gjøre for å stoppe det, sier Moe.

Ønsker kryptering

Hun er medlem av «I am the cavalry», en verdensomspennende gruppe av sikkerhetsforskere som er spesielt opptatt av bilhacking. De har laget en fempunkts liste over tiltak som de håper at bilprodusentene vil følge.  

– Nå jobbes det med at alle biler i Europa skal ha sin egen krypteringsnøkkel for å sikre kommunikasjonen, basert på et såkalt Public Key Infrastructure. Det kan hjelpe mot hacking, ikke minst i fremtidens selvkjørende biler. Det er veldig viktig å forhindre at man kan hacke seg inn i disse, og forårsake kollisjoner og annet, sier hun.

Moe også har en annen utfordring på lur:  

– I tillegg vil det bli et problem for forsikringsselskapene. Det kan bli vanskelig å bevise om det var bilen sin feil eller din feil, sier forskningsleder Marie Moe ved SINTEF.

Les også

Kommentarer (13)

Kommentarer (13)

Eksklusivt for digitale abonnenter

På forsiden nå