”Och än slank den ner i diket”
av Leif Bergström Forum 2015-08, sida 26-27, 24.09.2015
SMART DRAG. Taxitjänsten Uber har nyligen anställt bilhackarna Charlie Miller och Chris Valasek på sin tekniska avdelning. Knappast en slump, då bolaget satsar på självkörande fordon inför framtiden. Där det finns en dator finns det någon som kan hacka den.
“Och än slank den ner i diket”
Det finns fler än ett sät att krascha en bil. Dags för biltillverkare att ta datasäkerhet på blodigt allvar då nya sårbarheter dyker upp.
LEIF BERGSTRÖM NEW YORK
X Vi har trepunktsbälten, krockkuddar och allehanda digitala varningssystem för att skydda oss på vägarna.
Men vad hjälper det om en hackare miltals bort kan ta över bilens alla system, inklusive gas, broms och styrning? Säkerhetsexperter i USA har denna sommar demonstrerat att snart sagt alla nya bilar kan vara sårbara för attacker på avstånd.
Alla bilar använder i dag datorer för att kontrollera viktiga system och diagnostisera eventuella mekaniska svagheter. De flesta bilar tillverkade under de senaste åren har
FORUM FÖR EKONOMI OCH TEKNIK NP 3201 också trådlösa kommunikationssystem som låter konsumenten öppna dörrar, starta motorn från mobilen under kalla vinterdagar och hjälp att finna bästa vägen hem - eller bort.
Kanin. Men om bilen kan ta emot sådan hjälpsam information, kan en skicklig nörd också sända ovälkommen -— och direkt farlig —- data till den. Charlie Miller och Chris Valasek demonstrerade att de kunde ta kontroll över en Jeep Cherokee som kördes av tidskriften Wireds reporter Andy Greenberg, som agerade frivillig försökskanin.
Så länge experimentet bara kylde föraren närluftkonditioneringen blåste för fullt, eller radion till synes på egen hand valde en lokal hip-hopstation eller vindrutetorkarna startade, var allt litet kusligt men relativt sett ganska harmlöst. Men när Miller och Valasek via en portabel dator i Millers hus någon dryg mil bort började mixtra med växelsys temet och tvingade bilen att dramatiskt tappa farten slutade det lustiga och Greenberg hamnade i diket till en avfartsramp från en motorväg utanför St. Louis.
Varningar. De två demonstrerade senare hur de kunde söka efter andra sårbara bilar landet över. Säkerhetsexperterna började bilhackandet med ett forskningsanslag från amerikanska försvarsdepartementets forskningsorganisation Darpa och hade två år tidigare tagit kommandot över en bil Greenberg körde. Men då måste de ännu sitta i baksätet med en dator direkt inkopplad till den port mekaniker använder för att diagnostisera möjliga fel. Sannolikheten för att enillasinnad hackare skulle befinna sig i den bil som utsattes för attack ansågs obefintlig, och biltillverkare avvisade alla varningar.
Men det tog Miller och Valasek bara några månader att först identifiera de bilar de an såg mest sårbara och sedan bevisa att man via trådlös kontakt med bilens kommunikationssystem kan skriva om den fasta programvaran och ta kontroll över bilens andra datasystem. De sköt in sig på Jeep Cherokee, men hävdar att de på samma sätt kunnat ta kontroll över Fiat Chryslers alla nya bilar som använder företagets kommunikationssystem Uconnect.
De höll Fiat Chrysler informerat om sitt arbete och företaget kunde erbjuda en säkerhetskorrigering innan publiceringen av resultatet.
Prästens lilla kråka. Bara veckor senare med delade en annan hackare, Samy Kamkar, att han med en hemmagjord samling elektronik (tillen kostnad av bara 100 dollar) fäst på en bil kunde låsa upp dörrarna, starta motorn, tuta på General Motors bilar med Onstar. Bilarnas färdväg kan också följas. Han tillade senare att BMW:s Remote, Mercedes-Benz Mbrace och tjuvalarmet Vipers Smartstart var lika sårbara.
Kevin Mahaffey vid datasäkerhetsföretaget Lookout och Marc Rogers varnade samtidigt elbilspionjären Tesla att dess Model S hade sju svagheter i mjukvaran som hackare kunde använda för att släcka motorn.
Flera experter har hävdat att Tesla efter denna varning visade hur långt de ligger före traditionella tillverkare, när de via internet sände ut en korrigerad programvara till alla berörda bilar — utan att ägarna behövde vidta åtgärder.
Automatiska uppdateringar är vanliga i dator- och mobilvärlden. Men Fiat Chrysler sände istället ut sitt nya program på en minnespinne som ägaren antingen själv måste ladda ned eller köra till handlaren.
Några av de första varningarna om bilars sårbarhet i den digitala eran hade kommit från forskare vid University of California i San Diego.
Stefan Savage, professor i datasäkerhet, visade under sommaren att det franska föreaget Mobile Devices dongel, som tillåter försäkringsbolag och speditionsfirmor att följa förares körvanor, kan användas för en attack. Savage och hans team kunde i låg hastighet slå till bromsarna på en Chevrolet Corvette. Mobile Devices produkt ansluts direkt ill OBD2-porten, precis som bilmekanikern gör för att kontrollera bilens hälsotillstånd. Savage varnar att bilägare måste vara försikiga med att koppla in extra tillbehör - eller ladda ned mjukvara från okända källor.
Onda uppsåt. Det finns hittills få exempel på riminell - eller terrormotiverad - hackning
URSPÅRAT. Om bilen plötsligt börjar bromsa på motorvägen på order av en hackare kan följderna bl ödesdigra.
av bilar. I några fall har tjuvar manipulerat dörrlåsen och stulit bilens innehåll. En anställd vid en bilhandlare använde en anordning som handlaren nyttjat för att omöjliggöra bruk av bilen för kunder som hamnat på efterkälken med avbetalningar till att sabotera något hundratal bilar.
Biltillverkare har börjat få upp ögonen för riskerna. Flera har nyligen anställt säkerhetsexperter.
Hackare och akademiska experter hävdar dock att det går långsamt, precis som det tog tid för datortillverkarna att ta säkerhetsriskerna på allvar. Experter manar nu biltillverkarna att anamma säkerhetsprotokoll som utgör standard i datavärlden.
Pryltsunami. Också Washington har nu fått upp ögonen för problemet. De demokratiska senatorerna Ed Markey och Richard Blumenthal presenterade under sommaren ett lagförslag som skulle ställa nya digitala säkerhetskrav på alla nya bilar som säljs i USA.
Alla experter understryker att riskerna inte bara gäller bilar, utan mängder av trådlöst kontrollerbara datastyrda produkter, från värme - och luftkonditioneringssystem, till garagedörrar och lås. Samt alla nya prylar som kan dyka upp de närmaste åren ioch med ”the internet of things”. våras tvingade FBI säkerhetsexperten Chris Roberts att stiga av ett av United Airlines flygplan. Detta sedan han hävdat att han upprepade gånger kopplat sin bärbara dator till en anslutning under sätet och kunnat följa planets känsliga färddata. Roberts hade, liksom Miller och Valasek, offentliggjort sitt agerande för att varna flygbolagen att skärpa sina säkerhetsåtgärder.
Andra experter hävdar att det sannolikt bara är en tidsfråga innan någon lyckas, eller åtminstone försöker, att ta kontroll över ett flygplan från säkert avstånd.
— Ett videoklipp över hackingexperimentet kan skådas här: http://bit.ly/IFMq9oA
FORUM FÖR EKONOMI OCH TEKNIK NR B 2015