Gevaar ! Gevaar ! Hoe slimmer onze geconnecteerde wagen, hoe groter de kans dat hackers er ongepaste dingen mee doen. Sturen ze uw vierwieler straks door het rode licht ? Of moeten we enkel vrezen dat criminelen het K3-album van uw dochter op repeat zetten?

Fiat/Chrysler roept in de VS 1,4 miljoen wagens terug. De motor van die wagens kan via de internetverbinding van de mediaconsole uitgeschakeld worden tijdens het rijden. Een beangstigende gedachte, maar er zijn vooralsnog geen gevallen bekend waar hackers een voertuig laten crashen.

“Eigenlijk moet je auto’s beschouwen als mobiele toestellen. We zien vandaag dezelfde kwetsbaarheden als op andere toestellen, met het grote verschil dat je telefoon en je pc constant updates krijgen. Je wagen niet”, zegt business development director voor automotive Martin Hunt van BT. Hebben we dan niets geleerd ? Jawel, maar de wagen die vandaag van de band rolt werd zeven jaar geleden al ontworpen en dus 8 tot 9 jaar geleden bedacht. “Toen speelde connectiviteit niet zo’n grote rol, en was er ook minder aandacht voor de kwetsbaarheid ervan.”

Als de gemiddelde bestuurder wel eens vloekt op de Bluetooth-verbinding in de wagen, zien hackers vandaag een zee van mogelijkheden. De dataverbinding van de wagen zelf, maar ook Bluetooth tussen de wagen en je gsm, tot zelfs infrarood en NFC kan je vandaag in bepaalde modellen vinden. “Het hoeft zelfs niet draadloos, ga naar je garage en het eerste wat gebeurt is dat je wagen wordt aangesloten op een laptop via de OBD-poort (On-board diagnostics). Is die persoon bekwaam ? Is die laptop veilig ?”

DESIGN

“Een van de problemen is het design”, gaat Hunt verder. “Je geraakt via een mobiele verbinding binnen in het entertainmentsysteem, zo kan je naar de camera’s rond de wagen of de remsystemen. Die dingen zijn doorgaans niet gescheiden en dus kan je als hacker snel van het ene onderdeel naar het andere springen.”

Weinig geruststellende woorden, maar moeten we vrezen voor zulke hacks ? “We moeten niet onnodig paniek zaaien. Het beeld dat een tiener met een iPhone je wagen hackt klopt niet. De succesvolle pogingen die we vandaag zien komen van professionals die er ruim een jaar over doen om zo diep in een bepaald type wagen te geraken. Een uitzondering zijn de softwaresleutels die je bij sommige wagens op je telefoon kan ontvangen wanneer je je sleutels verliest. Die kunnen wel gemakkelijk misbruikt worden.

Naar de toekomst toe verwacht Hunt een kat-en-muisspel waarbij hackers gaten zullen vinden en autobouwers die vervolgens zullen dichten. “Maar je merkt dat de autosector is wakker geschud. Mensen praten er over, en omdat wagens mensen vervoeren, spreek je ook over de risico’s. We evolueren naar situaties als ‘heeft je wagen een update gehad voor vertrek ?’. Al zal dat een stuk vlotter gaan zodra die updates automatisch en van op afstand kunnen binnenkomen.”

DRIE METHODES

BT is een telecombedrijf, maar is vandaag wel actief in automotive. Het bedrijf test en hackt wagens op vraag van autobouwers, zodat zij alsnog maatregelen kunnen nemen voor een model op de markt komt. De tests duren 4 weken tot 2 maanden, en afhankelijk van de vraag gebeuren ze volgens drie methodes. De testers krijgen geen info en moeten proberen zo veel mogelijk te achterhalen. De testers krijgen alle info, inclusief de broncode, en stellen de wagen technisch op de proef, en een manier waarbij ze een deel, maar niet alle, informatie krijgen.

“Afhankelijk van de informatie die je al hebt, of nog moet opzoeken, ga je meer of minder tijd nodig hebben. Maar veel van wat we vandaag zien, duikt ook op in de de it-sector, dus gebruiken we dezelfde praktijken.”

“Hoe meer ‘verbonden’, hoe kwetsbaarder. Op dat vlak worden de komende twee tot drie jaar erg interessant. “Zeker met de opkomst van car-2-car communicatie, wanneer je wagen een rood licht opmerkt en dat meteen doorgeeft aan de auto’s achter je.” Het aantal mogelijkheden om een auto te hacken zal dus toenemen. Maar de mentaliteit om dit te voorkomen is er wel. “Het zal verergeren vooraleer het weer verbetert”, besluit Hunt.

KWAAD OPZET

Moet u vandaag vrezen voor hackers die de controle overnemen ? Neen. Vooralsnog is er één geval bekend waarbij iemand met kwaad opzet wagens van op afstand hackte (zie kader). De overige gevallen zijn vooral onderzoeksprojecten en tests van ethische hackers.

Ook de terugroepactie bij Fiat/Chrysler werd in gang gezet door securityspecialisten die de problemen hadden ontdekt en gemeld aan het bedrijf. Ook bij het Model S van Tesla is aangetoond dat je het aanraakscherm kan overnemen en de wagen zelfs al rijdend tot stilstand kan dwingen.

Maar een belangrijk detail daarbij is dat je fysiek toegang moet hebben tot de interne systemen. Dat kan op termijn veranderen, maar de sector is zich bewust van de risico’s als hij niet meegaat in het securityverhaal. De zelfrijdende wagen wordt waarschijnlijk nog steeds een te hacken wagen, maar voorlopig ziet het er naar uit dat de grootste zwakke plek in een voertuig de man of vrouw achter het stuur blijft.

Pieterjan Van Leemputten

“Het beeld dat een tiener met een iPhone je wagen kan hacken klopt niet”