211service.com
Karamba schrijft software om te voorkomen dat uw connected car wordt gehackt
Matthew Hollister
Nu auto's steeds meer verbonden en autonoom worden, is cyberbeveiliging een constante zorg voor autofabrikanten. Ze vrezen de kans dat hackers, terroristen, afpersers en dieven de connected auto binnendringen (zie Your Future Self-Driving Car Will Be Way More Hackable) - om nog maar te zwijgen van de willekeurige 12-jarige met kattenkwaad in gedachten.
Bezorgdheid over cyberbeveiliging in auto's kwam tot een hoogtepunt toen een paar witte-hat hackers hebben ingebroken in een Jeep Cherokee in 2015, wat leidde tot de terugroeping van 1,4 miljoen voertuigen door Chrysler Fiat om een softwarefout in het Uconnect-infotainmentsysteem te verhelpen (zie Autofabrikanten versnellen beveiligingsinspanningen na hackstunts).
Auto's vormen een fundamenteel ander soort beveiligingsuitdaging dan laptops, servers of mobiele telefoons, waarbij corruptie of diefstal van gegevens het doel van de hacker is. Een cyberaanval op een rijdend voertuig kan een dodelijk veiligheidsrisico vormen, en conventionele anti-hackingsoftware kan te traag of ineffectief zijn om een incident af te wenden.
Omgaan met consumentenveiligheid, en niet alleen met gegevensbeveiliging, vereist verschillende beveiligingsmethoden om onze auto's te beschermen, in tegenstelling tot technologieën die servers en bedrijfsnetwerken beschermen, zegt David Barzilai, uitvoerend voorzitter en medeoprichter van Karamba Security, een tweejarige startup gevestigd in Hod HaSharon, Israël, met een kantoor in de grootstedelijke Detroit.
Het gebruik van machine learning en kunstmatige intelligentie om malware te identificeren nadat hackers de auto hebben geïnfiltreerd, is te laat, zegt hij. De aanpak moet zijn om een aanval te voorkomen wanneer hackers proberen te hacken.
Het gebied van cyberbeveiliging in auto's is klein, maar breidt zich snel uit naarmate nieuwe bedreigingen worden ontdekt voor opkomende technologieën zoals draadloze communicatie tussen voertuigen. Harman International, maker van het Uconnect-systeem in de gehackte Jeep, nam begin 2016 TowerSec over, een Israëlisch cyberbeveiligingsbedrijf. Argus Cyber Security, een andere Israëlische concurrent, ontdekte en demonstreerde onlangs een manier om met een dongle in de elektronica van een auto te dringen, een onschuldige -uitziend stuk hardware dat lijkt op een flashstation dat software bedient via de USB-poort van een auto of een andere poort. Tesla en Fiat Chrysler bieden beide financiële bug bounty-beloningen voor hobbyisten en amateurhackers die kwetsbaarheden in software vinden en rapporteren.
Gezien de vaardigheid, motivatie en creativiteit van hackers, is het onduidelijk of één benadering hun toegang tot de elektronische architectuur van een voertuig volledig kan blokkeren. Kwetsbaarheden worden onbedoeld in systemen ingebouwd, zegt Sam Abuelsamid, senior analist bij Navigant, een marktonderzoeksbureau in Boulder, Colorado.
Een premium auto kan zijn uitgerust met honderd of meer elektronische regeleenheden, of ECU's (in feite kleine computers), die met elkaar zijn verbonden als onderdeel van de elektronische architectuur van het voertuig. Slechts een handvol, zoals het infotainmentsysteem en de keyless entry op afstand, is draadloos verbonden met de buitenwereld en biedt openingen voor aanvallers. Karamba richt zich op het blokkeren van inbraak op deze punten, als een kritieke laag van een groter beveiligingsontwerp.
Karamba's anti-hacking software is ingebed in een ECU wanneer deze wordt vervaardigd, dus het is opgenomen in de fabrieksinstellingen van het apparaat en kan niet worden gewijzigd. Zijn rol is om valse code te blokkeren op het punt van inbraak, de ECU te verzegelen en toegang te weigeren tot elke code die niet expliciet voldoet aan de fabrieksinstellingen.
Het gebruik van softwarebewakingsprogramma's om malware te vinden en te vernietigen, is volgens Barzilai te traag en vereist constante updates door ontwikkelaars; die een wapenwedloop met hackers kunnen bevorderen, die beveiligingsprogramma's proberen te slim af te zijn naarmate ze geavanceerder worden. Dergelijke programma's kunnen ook valse positieven genereren, zegt hij, die gevaarlijk zijn in auto's omdat ze een veilige werking kunnen belemmeren.
Glen De Vos, Chief Technical Officer van Delphi Automotive, fabrikant van auto-onderdelen, zegt dat beveiligingslagen die verder gaan dan wat Karamba voorstelt, noodzakelijk zullen worden naarmate auto's meer geconnecteerde eigenschappen ontwikkelen, waaronder autonoom rijden, en daarom meer gegevens draadloos verzenden naar zowel de cloud als naar elkaar.
Je moet aan de auto denken zoals je denkt aan een Xbox of PlayStation of een mobiele telefoon, zegt De Vos. Je hebt software en data die resident zijn op het device, maar ook in de cloud. Steeds vaker moeten we verder denken dan het plaatwerk naar de hele onderneming. Wat Karamba doet, is een belangrijk onderdeel, maar het is niet het hele ding.
De vier oprichters van Karamba zijn allemaal veteranen van de hightech elektronica- en software-industrie van Israël, en twee van hen dienden in de 8200 van de Israel Defense Forces, een gerenommeerde inlichtingeneenheid die gespecialiseerd is in cyberoorlogsvoering en die een lange lijst van startup-oprichters onder zijn alumni .
Het bedrijf werd opgericht nadat Ami Dotan, nu de chief executive officer en voormalig vice-president van R&D voor een vooraanstaande Israëlische defensieaannemer, in een informeel gesprek vernam dat een autoleverancier onlangs een contract voor een infotainmentsysteem voor voertuigen had verloren vanwege onvoldoende bescherming tegen cyberaanvallen. Verbaasd dat auto's niet al beter beschermd waren, nam Dotan contact op met Barzilai om een startup voor te stellen.
Omdat automotive cybersecurity een relatief nieuw vakgebied is, denkt Karamba dat er ruimte is om haar software onderdeel te maken van de elektronische architectuur voor voertuigen die in ontwikkeling zijn of nog moeten worden ontworpen. In mei heeft het bedrijf bekend gemaakt $ 12 miljoen aan Series B-financiering, wat het totale geïnvesteerde bedrag op $ 17 miljoen brengt. Onder de investeerders bevindt zich Fontinalis Partners, mede opgericht door Bill Ford Jr., de uitvoerend voorzitter van Ford Motor. Karamba zegt dat het het afgelopen jaar 16 afspraken heeft gemaakt met leveranciers en autofabrikanten, maar tot nu toe heeft het nog geen contract aangekondigd.