Hackers achter het stuur
Met de komst van draadloze internetverbindingen, slimmere boordcomputers en de eerste zelfrijdende systemen, staat de auto van de toekomst hetzelfde risico te wachten dat eerder al de computer en de smartphone te beurt viel: wat digitaal en online is, kan ook worden misbruikt door de schaduwindustrie van computercriminelen. Hoe hackbaar is de ‘connected car’?
De vraag of u überhaupt een automobiel kunt hacken werd zes jaar geleden al positief beantwoord. Op editie 2011 van Defcon, de jaarlijkse beurs in Las Vegas waar hackers en internetbeveiligingsexperts elkaar een hand geven, kregen ze dat voor de eerste keer voor elkaar. Onderzoekers van de universiteiten van Washington en California lieten toen live zien hoe ze de beveiliging van een Subaru Outback wisten te kraken. Gewoon via de Bluetooth-verbinding van de wagen. En dat zette meteen alle aanwezigen aan het denken. Doe zoiets namelijk op een conventie van computerinbrekers en u krijgt een welgemeend applaus. Doe het op straat, met een rijdende auto, en er vallen potentieel doden. “Geef dit soort macht aan iemand die echt kwade bedoelingen heeft en die doet alle auto’s op een snelweg in één klap stilvallen”, zei David Perry, een Amerikaanse beveiligingsexpert die de demo bijwoonde.
Daar sta je dan met je connected car. Of, erger nog, de zelfrijdende bolides die stilaan op de markt beginnen te druppelen. Als iemand met kwade bedoelingen op de juiste knopjes drukt, kan uw ritje naar het werk of uw plezierrit naar uw Franse buitenverblijf wel eens uw laatste zijn. “Dat is op dit moment natuurlijk nog een absoluut doemscenario”, zegt Joan Van Loon, enterprise leader automotive bij IBM België. “Maar je mag de belangrijkste wetmatigheid bij internetbeveiliging niet vergeten: hoe meer een toestel geconnecteerd is, hoe groter ook het risico dat erop kan worden ingebroken. Die groei in de connectiviteit is in ieder geval ontegensprekelijk: de auto van vandaag is meer en meer een datacenter op wielen aan het worden. Maar dat betekent ook dat de gegevensstroom die erin omgaat, en de verbinding die hij maakt met de buitenwereld, dezelfde noden hebben qua authenticatie en beveiliging als de gegevensstromen van computers en smartphones.”
Hypothetische dreiging
Maar laat ons voorlopig nog wat gas terugnemen. Het tijdperk van de connected car is nog maar een zevental jaar geleden ingezet, en de slimmere systemen zitten voorlopig alleen maar in auto’s met een catalogusprijs ten noorden van 70.000 euro. Het is bovendien wellicht nog vijf tot tien jaar langer wachten voordat zelfrijdende wagens gemeengoed zijn. En dichter bij het specifieke risico: er is alleen nog maar aangetoond dat het hacken van een auto puur in principe kan. Alle autohacks die tot nu toe gebeurden, waaronder de live overname van de Jeep Grand Cherokee van een redacteur van het Amerikaanse technologieblad Wired door een stel hackers, werden uitgevoerd als een soort ‘proof of concept’-hack, door white hat-hackers die voor de machten van het ‘goede’ werken. En die hebben vaak maanden tot een jaar aan die ene inbraak gewerkt, door het dashboardsysteem uit elkaar te halen en te bestuderen.
“Het is op dit moment niet mogelijk om een auto te hacken zonder zo’n uitgebreide studie van het systeem”, zegt Sergey Lozhkin, senior security researcher bij het Russische computerbeveiligingsbedrijf Kaspersky. “Een auto hacken op enkele minuten tijd, of zelfs uren of dagen: dat behoort nu gewoon niet tot de mogelijkheden.”
Grote verschillen
De computer op wielen die de auto in toenemende mate aan het worden is, heeft namelijk één belangrijk verschil met pc’s en, al in iets mindere mate, smartphones: er zijn weinig opties om een brede waaier aan modellen tegelijkertijd te viseren met een aanval. De eerste fase van een inbraak op andere computersystemen is een klassiek virus, waarmee computerbooswichten aan de deur morrelen. Die virussen konden snel groeien omdat honderden miljoenen gebruikers hetzelfde systeem gebruiken: verschillende Windowsversies op de pc, en een eveneens versnipperde waaier van Androidversies op de smartphone. Autoconstructeurs, daarentegen, hebben allemaal verschillende softwaresystemen in hun wagens draaien, en die verschillen ook vaak per merk en model. Bovendien, zegt Van Loon, zijn de constructeurs al redelijk goed mee op gebied van de beveiliging van hun systemen. “Ze hebben duidelijk lessen getrokken uit de computerindustrie, die decennia geleden als eerste slachtoffer heeft geleerd dat computerinbraken een reëel risico vormen.”
Wel is er wat lager hangend fruit dat autohackers nu al kunnen viseren. De toename van companion apps, bijvoorbeeld, die vaak de mogelijkheid inhouden om de auto vanop een smartphone te ontsluiten. Dat zou in de al wat nabijere toekomst kunnen leiden tot meer auto-inbraken. “De kwetsbaarheid zit daar in de app waarmee je de auto opent”, zegt Lozhkin. “De authenticatie is al gebeurd, dus de app is gekoppeld aan de wagen. Als een hacker in de app kan, kan hij ook in de auto.”
Vergeet ook niet dat een auto met een complexer boordsysteem, net als een pc of een smartphone, gegevens over zijn eigenaar bijhoudt. “Het einddoel van de inbraak hoeft niet eens zo ver te gaan als een overname van de stuurcontrole”, zegt Van Loon. “Het kan ook gewoon gaan om je persoonlijke gegevens, om die vervolgens op andere manieren te misbruiken.”
Tè geconnecteerd
En laat ons ook vooral niet de snelle groei van de connected car vergeten. Toen de eerste proof of concept-autohackings werden voltrokken op Defcon 2011, bestond de zelfrijdende auto alleen nog maar in r&d-labo’s van Google, Tesla en andere partijen. Vandaag zijn de eerste producten op de markt. “Dat aller-ergst denkbare scenario, waarin er veel zelfrijdende auto’s op de markt zijn en die dus ook kunnen worden gemanipuleerd, is er gewoon een waarmee je rekening moet durven houden”, zegt Lozhkin. “Naarmate auto’s meer en meer online geconnecteerd worden, en ook de zelfrijdende wagen zijn opmars blijft maken, zullen er ook meer en meer mensen op zijn minst proberen om erop in te breken. Dat is gewoon de natuur van de hele hacking scene. De grote moeite die ze zich nu nog moeten getroosten om op het systeem van één automodel in te breken zal in de toekomst kleiner worden: exploits die worden ontdekt en de hacks die erop worden geprogrammeerd zullen toenemen in aantal, en zullen worden gedeeld op het Dark Web waardoor ze ter beschikking van meer en meer computercriminelen komen: dat is gewoon hoe die wereld werkt. Een kleine opsteker is dat autoconstructeurs nu al de software in hun wagens inderdaad goed proberen te beveiligen. Maar ze kunnen die moeite wat mij betreft nog twee keer beter doen. Gewoon al omwille van het enorme risico dat eraan vasthangt: een auto, daar zit je in. Als iemand ook maar de vergezochte mogelijkheid heeft om de controle over te nemen terwijl je aan het rijden bent, wordt dat een bijzonder gevaarlijke situatie.”
Ronald Meeus
Fout opgemerkt of meer nieuws? Meld het hier