Sikkerhet i biler

Slik tar hackerne over bilen din

Så du elsker all den nye teknologien i bilen din? Det gjør hackerne også.

Hacking av bilens datasystem kan skje fra en annen datamaskin på et helt annet sted enn der bilen befinner seg.
Hacking av bilens datasystem kan skje fra en annen datamaskin på et helt annet sted enn der bilen befinner seg. (Illustrasjon: Colourbox.com)

Så du elsker all den nye teknologien i bilen din? Det gjør hackerne også.

Det er slutt på de tider da tyvene knuste bilruten, koblet ledninger så det gnistret under rattstammen og stakk av gårde med bilen din. Dagens kjeltringer blir ikke engang skitten på nevene når de tar kontroll over bilen din.

I Detroit kunne nyhetskanalen 7 Action News nylig fortelle om et lekket politidokument, der lovens lange arm sendte ut intern informasjon om en litt spesiell bølge av biltyverier: De to siste årene har biltyver brukt elektronisk manipulering for å stikke av med minst 100 biler, alle kostbare modeller fra Chrysler og Jeep. Flere av bilene har blitt stjålet fra Chrysler-fabrikkens egen parkeringsplass i Sterling Heights utenfor Detroit. Et av ofrene var på jobb inne i fabrikken da mobilen hans varslet om at bilen flyttet på seg.

Også kjeltringer må omskolere seg. Men i fremtiden kan elektroniske biltyverier bare bli en liten del av problemet.

Mange veier inn

Dagens biler er i veldig stor grad avhengig av data som hentes inn via apper, mobilsignaler, radioen eller navigasjonssystemet. Bluetooth kan være en digital døråpner, til og med trådløs overvåkning av dekktrykket har vært nevnt som et mulig aksesspunkt. I tillegg skjer viktig oppdatering av software i økende grad over nett. Og lukker du ikke døren skikkelig etter deg, så kan det komme gjester som du ikke vil ha besøk av.

Hacking av biler er ikke noe som kan skje en gang i fremtiden. Det er allerede seks år siden sikkerhetsekspertene Charlie Miller og Chris Valasek gjennomførte det kanskje mest kjente hackerangrepet. For å vise hva som er mulig, satt de i en sofa langt unna og tok full kontroll over av en Jeep Cherokee med en Wired-journalist bak rattet.

På motorveien mistet bilen motorkraft, vindusviskerne sveipet for fullt, og stereoanlegget spilte hiphop på full guffe. Så havnet bilen i grøften, rett nok i kontrollerte former. Stuntet førte til at Chrysler Fiat måtte tilbakekalle 1,4 millioner biler.

Sommeren 2015 ble denne bilen hacket så den kjørte av veien. Chrysler tilbakekalte 1,4 millioner biler for å sikre sin programvare bedre.
Sommeren 2015 ble denne bilen hacket så den kjørte av veien. Chrysler tilbakekalte 1,4 millioner biler for å sikre sin programvare bedre. Foto: Wired/YouTube

Alt kan hackes

– I teorien kan alt som er koblet mot nett hackes, sier Knut Evensen.

Han er teknologisjef i Q-Free, et Trondheim-basert selskap som bl.a. jobber med intelligente veiløsninger.

– Men det er forskjellige nivåer her, fra 15-åringen i kjellerstuen til nasjoner som legger inn store ressurser for å knekke ting, sier 61-åringen.

– Selv om du har et perfekt sikkerhetssystem i dag, kan du ikke hvile på laurbærene. Sikkerheten må vedlikeholdes kontinuerlig, sier Evensen, som også er rådgiver for bl.a. Statens vegvesen.

– Problemet er at bilene er på veien i 20 år før de blir presset til hermetikkbokser. Hvis bilene som har infotainment-systemer ikke blir oppdatert, er de åpne for hacking. Det er svært sannsynlig at bilen i løpet av sin levetid kan eller vil bli hacket. Det er et sikkerhetsproblem.

At noen tar kontroll over et kjøretøys retning og fart, er alle i industrien bekymret over

Ami Dotan, gründer, Karamba Security

Mulighetene er mange. Hackere kan enkelt få aksess til bilen din ved å stjele vesken uten å knuse ruten. Kanskje vil de «bare» avlytte samtalene dine, eller bedrive økonomisk utpressing - du må bla opp et par tusenlapper hvis du vil at bilen din skal kunne brukes. Kanskje tar de over styring og bremser og setter opp farten til 150-200 km/t i tettbygd strøk? Hva med å styrte bilen ned i en avgrunn? Eller bråbremse på motorveien og skape massekollisjoner? Eller hvorfor ikke hacke en hel flåte av biler, la disse kollektivt stoppe eller krasje, og skape fullstendig kaos i verdens millionbyer?

Skulle du være en statsleder eller militær størrelse, og bilen din har blitt hacket og sender kontinuerlig ut info om hvor bilen er, er det neppe vanskelig for en fiende å utslette både deg og bilen din med en drone eller andre fjernstyrte våpen.

Når biler en gang blir selvkjørende, kan man se for seg at hackere tar over styringen, eller kutter vitale funksjoner – med katastrofale følger. Hva med å kidnappe både bil og passasjerer, med omtrent null risiko for å bli tatt? Hva med å fjern-kidnappe hele vogntog fulle av verdifulle varer? Eller la uskyldige sjåfører utføre terrorangrep med biler eller lastebiler? Det er bare fantasien som setter grenser.

– At noen tar kontroll over et kjøretøys retning og fart, er alle i industrien bekymret over. Og alle er klar over at dette kan skje, sier Ami Dotan, gründer og leder for cybersikkerhetselskapet Karamba Security, til New York Times.

Les også

Hacket Nissan Leaf

Hacking har ingen landegrenser, og skjer ikke bare i utlandet. I 2016 holdt den australske sikkerhetseksperten Troy Hunt et kurs i datasikkerhet på Fornebu. Kurset må ha vært inspirerende, for en av deltakerne gikk tilbake på hotellrommet og prøvde å hacke sin egen Nissan Leaf. Nordmannen fant at sikkerheten var så dårlig at han i løpet av minutter på PCen kunne kommunisere med sin egen Leaf. Inngangsporten var bilens chassisnummer, som kan sees i frontruten på de fleste biler, eller ligger åpent tilgjengelig på vegvesen.no.

Også kursholderen lot seg inspirere. Troy Hunt bad en Leaf-kjørende kollega i England om å sette seg i bilen. I løpet av sekunder fikk Hunt tilgang til bilen, og satte på setevarme og viftene i bilen. Litt setevarme har aldri skadet noen, men det sier jo litt om hva som er mulig. Nissan stengte til slutt ned appen, og i dag er det ingen grunn til å tro at Nissans apper har dårlig sikkerhet.

Teknisk Ukeblad har tidligere skrevet om Stian Thoresen, som i fjor kjøpte seg en ny Hyundai Kona. Han syntes at Hyundai-appen var så dårlig at han laget sin egen, som opererte via Hyundais egne servere. Da Thoresen la ut appen i Googles appbutikk, gikk det ikke lang tid før Hyundai kontaktet Thoresen. Ikke for å invitere til et samarbeid, men med trusler om søksmål.

Snille og slemme

Sikkerhetsekspert Knut Evensen deler hackerne opp i ulike grupper. I såkalte black hat-miljøer finnes dyktige amatører, som oppnår status ved å bryte seg inn. På andre siden av skalaen er white hat-hackere, som også omtales etiske hackere. Dette er sikkerhetseksperter, gjerne i et universitetsmiljø, som utfordrer og forbedrer sikkerheten til ulike organisasjoner eller bedrifter.

I tillegg kommer de som virkelig har ressurser - ulike stater.

– Hvis et land ønsker å avlytte enkelte mennesker, kan de hacke ulike bilmodeller som det er naturlig å tro at vedkommende bruker. Da kan de gå inn på bilens infotainmentsystem og avlytte samtaler. Det blir som å avlytte en mobiltelefon.

 – Jo nyere bil du har, jo mer full kontroll kan hackeren få, sier teknologisjef Knut Evensen i Q-Free.
– Jo nyere bil du har, jo mer full kontroll kan hackeren få, sier teknologisjef Knut Evensen i Q-Free. Foto: Privat

– Vet man at akkurat dette har skjedd?

– Det får man jo aldri vite. De vil være flinke nok til å ikke legge igjen spor. Teknisk sett er det ikke noe problem å gjøre dette, hvis man legger inn nok ressurser.

– Hva frykter du mest ved hacking av biler?

– Det samfunnsmessige aspektet, svarer Evensen.

– Hvis en ondsinnet makt ønsker å angripe eller ta over en annen makt, så kan man lamme et lands transportstruktur. Dette er sårbart, og vil være effektivt. Vi er veldig avhengig av at biler går, at varer blir levert og at nødetatene kommer seg frem, sier han.

– Klarer du å stoppe et visst antall biler i lyskryssene i Oslo, så stopper Oslo. Et par hundre biler som blokker tunnelene i Oslo, da skjer det ikke noe på noen dager.

Stadig mer sårbare

– Hvilke muligheter har en dyktig hacker?

– Jo nyere bil du har, jo mer full kontroll kan hackeren få. Om 10-15 år vil dagens biler være mye mer sårbare, sier Evensen.

Årsaken, sier han, er at bilprodusentenes elektronikkmoduler (ECU) er så presset på pris at det ikke legges inn «unødig» kapasitet for senere oppgraderinger.

– Det er derfor uvanlig å ha kapasitet til å håndtere nye kryptoalgoritmer og lengre nøkkelsett for fremtidig bruk. Spesielt når bilene er ute av garantitiden, og dermed ikke lenger er produsentens ansvar, sier Evensen.

Sikkerhetseksperten mener de fleste nye høyklassebiler i teorien kan fjernstyres fra andre siden av verden. Du kan ta over alt av elektroniske funksjoner.

– Men jeg må presisere at dette ikke er enkelt. Det krever masse ressurser.

Han er ikke imponert over bilprodusentenes evne - eller vilje – til å beskytte produktene mot cyberangrep.

– Forståelsen for cybersikkerhet er ikke høy. Først i det siste har bilprodusentene blitt med på løpet. Det er en kulturproblematikk, der de er hemmelighetsfulle og i utgangspunktet ikke ønsker å samarbeide. Det er mye security by obscurity, der en viktig del av sikkerheten er å ikke fortelle hva de holder på med. Det er helt feil måte å tenke på. Samarbeid og åpenhet er veien å gå, mener Knut Evensen.

Belønner hackere

Bilprodusenter som BMW, GM, Tesla og Toyota oppfordrer hackere til å finne sikkerhetshull. For eksempel betaler Tesla deg inntil 15.000 dollar for å varsle om sikkerhetshull.

– Det er helt rett måte å tenke på. Andre vil ikke innrømme at det finnes sikkerhetsproblemer, sier teknologisjef Knut Evensen i Q-Free.

Kanskje finner han trøst i at FN nå er på ballen. UNECE, et FN-organ som skal samordne det globale regelverket for produksjon av motorkjøretøyer, innførte i februar verdens første internasjonale regelsett for cybersikkerhet i nye kjøretøy. I EU skal reguleringene iverksettes i EU innen 2024.

Artikkelen ble først publisert i Teknisk ukeblads månedsmagasin, 4/2021.

Les også

Kommentarer (4)

Kommentarer (4)

Eksklusivt for digitale abonnenter

På forsiden nå