211service.com
Je toekomstige zelfrijdende auto zal veel beter te hacken zijn
In de afgelopen jaren hebben onderzoekers huiveringwekkende hacks gedemonstreerd die het mogelijk maken om de remmen, motor of andere onderdelen van iemands auto op afstand over te nemen, waardoor de auto-industrie gedwongen wordt beveiliging serieuzer te nemen.
Maar een onderzoeker die pionierswerk verrichtte om autobedrijven ertoe aan te zetten hun beveiligingsfouten aan te pakken, zegt dat de haast van de industrie om technologie voor auto's zonder bestuurder te ontwikkelen nieuwe veiligheidsproblemen zal veroorzaken.
We zijn nog ver verwijderd van het beveiligen van de niet-autonome voertuigen, laat staan de autonome, zei Stefan Savage , een professor in computerwetenschappen aan de Universiteit van Californië, San Diego, aan de Raadsel veiligheidsconferentie dinsdag in San Francisco. De extra computers, sensoren en verbeterde internetconnectiviteit die nodig zijn om een auto zelf te laten rijden, vergroten de mogelijke zwakke punten, zei hij. Het aanvalsoppervlak voor deze dingen is nog erger, zei Savage.
Grote autobedrijven racen met nieuwere parvenu's zoals Google en Tesla om functies voor autonoom rijden uit te rollen en volledig zelfrijdende voertuigen te ontwikkelen. Toyota schat dat volledig autonome auto's binnen vijf jaar beschikbaar zullen zijn, en deze maand kondigde de Amerikaanse regering aan dat ze de weg wilde effenen voor het testen en gebruiken van dergelijke voertuigen op de nationale wegen.
Dat baart Savage zorgen vanwege wat hij en zijn collega's hebben geleerd tijdens het tonen dat het mogelijk is om conventionele voertuigen op verschillende manieren te besturen, bijvoorbeeld door in te bellen op de ingebouwde mobiele verbinding van een auto of door een bestuurder een muziek-cd te geven die is geprogrammeerd met een doodslied waardoor de auto verbinding maakt met de computer van een aanvaller.
Zoals moderne auto's zijn ontworpen, kan een aanvaller zodra hij het internetnetwerk binnenkomt en de ongeveer 30 verschillende computers binnenin met elkaar verbindt, zowat elk onderdeel overnemen, van de remmen tot de radio, zei Savage.
Het is niet mogelijk om de belangrijke onderdelen zoals de remmen te isoleren, omdat alles moet worden aangesloten om veel functies mogelijk te maken die mensen van auto's verwachten, evenals om reparaties en software-upgrades mogelijk te maken, zei hij. Het idee dat je het missiekritieke van het niet-missiekritieke kunt scheiden, blijkt verkeerd te zijn, zei hij.
Om ervoor te zorgen dat een voertuig zijn omgeving kan begrijpen en zelfs een deel van de tijd zelf kan rijden, moeten er meer computers, sensoren en andere componenten worden toegevoegd aan de wirwar die al in onze auto's zit. Dat zal de mogelijke toegangspunten voor aanvallers vergroten en de dingen die ze kunnen doen, bijvoorbeeld, zelfrijdende auto's vertrouwen op laserscanners en andere sensoren, die kunnen worden gemaakt om valse gegevens te verzenden. Het zal ook een probleem vergroten dat al bestaat: autofabrikanten weten niet precies welke software zich in de voertuigen bevindt die ze verkopen, zei Savage.
Dat komt omdat auto's worden gebouwd met componenten die tegen de laagst mogelijke kosten zijn ingekocht bij externe leveranciers. Die leveranciers bewaken zorgvuldig de details van de software in zaken als het remaansturingssysteem of centrale vergrendelingscomponenten.
Als je een autobedrijf binnenloopt en zegt: 'Heb je de broncode van je voertuig bekeken?' Ze zullen nee zeggen, omdat ze het niet bezitten. Er is niemand in de wereld die alle code in een voertuig bezit, zei Savage. Dat is een groot probleem.
Autofabrikanten hebben de afgelopen jaren hun houding ten aanzien van veiligheid aanzienlijk verbeterd. Nadat het team van Savage bijvoorbeeld in 2010 liet zien hoe je een Chevy Impala op afstand kon overnemen, repareerde GM de gebreken, bouwde een nieuw beveiligingsteam en nam een nieuwe directeur aan die zich toelegde op autobeveiliging. Autobedrijven werken ook aan het maken van auto's die op afstand software-updates kunnen ontvangen.
Sommige van de jongere bedrijven die nu aan autonome auto's werken, zoals Tesla en Google, kunnen mogelijk ook een aantal beveiligingsproblemen omzeilen die zijn ingebakken in de manier waarop meer gevestigde bedrijven auto's maken. Tesla heeft het voordeel dat ze helemaal opnieuw zijn begonnen, zei Savage. Ze mochten hun architectuur in de 21e eeuw ontwerpen in plaats van in de 20e eeuw.
Zelfs Google en Tesla zullen echter sterk afhankelijk zijn van externe leveranciers om hun voertuigen te assembleren, wat betekent dat ze mogelijk niet alle code in hun zelfrijdende auto's kunnen zien.
En Tadayoshi Kohno , een professor aan de Universiteit van Washington, zei dat zelfs als bedrijven beveiliging zeer serieus nemen, de levensduur van producten zoals auto's leidt tot wat hij het zombieprobleem noemt. Een auto kan tientallen jaren op de weg zijn, maar het bedrijf dat hem heeft gemaakt en de leveranciers van de componenten zullen waarschijnlijk niet de hele levensduur software-updates blijven leveren. Hetzelfde probleem treft huishoudelijke apparaten die nu met internet zijn verbonden. Wat gaan we doen met deze zombies gedurende de resterende 20 jaar dat ze in dienst zijn? zei Kohno. Ik denk dat het een heel groot probleem gaat worden.