211service.com
Is uw auto veilig voor hackers?
Deze week zullen onderzoekers Cadeau een onderzoek dat aantoont wat er zou kunnen gebeuren als een vastberaden hacker achter de computersystemen aanging die in auto's waren ingebouwd. De onderzoekers ontdekten dat een aanvaller onder andere de remmen van het voertuig kon uitschakelen, de motor kon stoppen of de deursloten kon overnemen. Het enige dat de aanvaller nodig heeft, is toegang tot de federaal verplichte diagnostische poort aan boord, die zich tegenwoordig in bijna alle auto's onder het dashboard bevindt.

Hoogste versnelling: Onderzoekers gebruikten software genaamd Carshark om toegang te krijgen tot de computersystemen van een auto. Hierdoor konden ze het dashboarddisplay en de motor van de auto bedienen - en ze waren bang dat hackers in de toekomst hetzelfde zouden kunnen doen.
De onderzoekers wijzen op een recent rapport waaruit blijkt dat een typische luxe sedan nu ongeveer 100 megabyte aan code bevat die 50 tot 70 computers in de auto bestuurt, waarvan de meeste communiceren via een gedeeld intern netwerk.
In veel auto-architecturen zijn alle computers met elkaar verbonden, zodat als je één onderdeel hebt overgenomen, er een aanzienlijk risico is dat je de rest van de computers overneemt. Als je eenmaal binnen bent, ben je binnen, zegt Stefan Savage , een universitair hoofddocent bij de afdeling computerwetenschappen en techniek aan de Universiteit van Californië, San Diego, die een van de hoofdonderzoekers van het project is.
De onderzoekers zeggen dat hun werk nog geen reden tot ongerustheid moet zijn, vooral omdat de exploits toegang tot de binnenkant van een voertuig vereisen. Maar sommige van deze systemen zijn op afstand toegankelijk en de trend is om nog meer draadloze connectiviteit toe te voegen, bijvoorbeeld draadloze automatische crashresponssystemen. De onderzoekers zeggen dat andere systemen, zoals satellietradio's en op afstand bediende deuropeners, ook toegangspunten kunnen worden.
Autosystemen hebben verrassende onderlinge verbindingen, zegt Savage. Om veiligheidsredenen zijn auto's geprogrammeerd om de deuren te ontgrendelen nadat de airbags zijn geactiveerd om mogelijk gewonde passagiers te helpen het voertuig te verlaten. Hiermee blijkt een verbinding tot stand te komen tussen het deurvergrendelingssysteem en het crashdetectiesysteem waar een aanvaller theoretisch misbruik van zou kunnen maken.
De onderzoekers onderzochten de computersystemen in een auto zonder speciale kennis van de fabrikant. Ze begonnen met het verwijderen van de hardware en het uitvoeren van standaard beveiligingstestaanvallen zoals fuzzing, waarbij software met willekeurige invoer wordt getest om te zien of het mogelijk is om storingen of vreemd gedrag te veroorzaken. Ze gebruikten de informatie die ze hadden verzameld om aanvallen uit te voeren die systemen op het interne netwerk van de auto konden overnemen en controleren. Ze testten hun aanvallen op een immobiele auto voordat ze tests op de weg uitvoerden om er zeker van te zijn dat hun aanvallen praktisch waren in de echte wereld.
Totdat we de live-tests op de weg deden, denk ik niet dat we echt konden zeggen dat iemand dit zou kunnen doen met een auto op de weg, zegt Tadayoshi Kohno , een assistent-professor in computerwetenschappen en techniek aan de Universiteit van Washington, en ook een hoofdonderzoeker van het project. Hoewel sommige aanvallen op dat moment moesten worden aangepast, functioneerden ze nog steeds.
Het wordt een uitdaging om veiligere systemen voor auto's te ontwerpen, zegt Savage, omdat veel van de technieken die gewoonlijk worden gebruikt om apparaten te beschermen, niet goed worden overgedragen. Het is bijvoorbeeld gebruikelijk dat beveiligingssystemen computerprocessen afsluiten wanneer ze abnormaal gedrag detecteren. In het geval van een elektronisch remsysteem kan het uitschakelen ervan echter net zo gevaarlijk zijn als het laten doorgaan van een beschadigd programma.
Savage en Kohno zeggen dat ze van plan zijn om te werken aan het ontwerpen van nieuwe technieken voor het beveiligen van auto-computersystemen via een nieuw gevormde Centrum voor Automotive Embedded Systems Security . Ze hopen samen te werken met fabrikanten en anderen die belang hebben bij het ontwerpen van computersystemen voor auto's om ervoor te zorgen dat hun oplossingen praktisch en gemakkelijk te implementeren zijn.
Opvallend aan het werk van de onderzoekers is dat ze veel beveiligingssystemen vonden die niet volledig waren geïmplementeerd, zoals authenticatiecontroles die wel aanwezig waren maar niet in gebruik waren, zegt HD Moore , Chief Security Officer bij Boston Company Rapid7 en hoofdarchitect van Metasploit , een open-source framework voor het testen van systemen voor beveiligingslekken. Moore heeft ook autosoftware getest en vergelijkbare problemen gevonden. Dit geeft een idee van hoe onvolwassen de industrie is, zegt hij, waarbij hij opmerkt dat de problemen waarschijnlijk zullen verergeren naarmate meer software het bereik van het interne netwerk van de auto vergroot.
Kevin Fu, een assistent-professor computerwetenschappen aan de Universiteit van Massachusetts Amherst, is het daarmee eens. Het is waarschijnlijk tijd voor een uitgebreide controle door zowel de industrie als de regelgevers over hoe de beveiliging van autosystemen met steeds complexere softwarecontroles en communicatiepaden kan worden gegarandeerd, zegt hij.