Hackarna attackerar bilen

– Chevrolet Volt blir den första bilen med egen IP-adress. Det innebär att man ställer dörrarna vidöppna för hackerattacker.
Den ”legala hackaren” Adriel Desautels, vd för säkerhetsföretaget NetraGard, skräder inte orden. Han ser bilarna som nästa stora mål för hackare, speciellt med tanke på hur mycket pengar som snabbt går att tjäna.

– Hur många skulle inte betala ett par hundralappar för att få sin bil att fungera igen? Idag är det alldeles för enkelt för en hackare att smyga in virus som kopplar bort bromsarna, stänga ner motorn eller påverka vilka funktioner som helst i bilen. Om användaren skall vänta på att biltillverkaren skall få ordning på problemet kan han tvingas vara utan sin bil i veckor eller månader.

En bra hackare brukar ganska snabbt kunna ta sig in i ett system om det finns en ingång av något slag och dessutom en koppling till systemet. Det kan till exempel gälla den RFID-överföring av däckstryck till styrsystemet, som numera ofta finns på moderna bilar. Den vägen har hackare kunnat ”bryta sig in” i bilar på upp till något hundratal meters avstånd. Men det är klart – man kan också bryta sig in via de trådlösa nycklarna som finns överallt.

Ofta finns också en koppling mellan underhållningssystem och styrsystem, även om det inte var tanken. Det innebär att man via ett osäkert system (t ex Windows) kan komma in i de styrsystem som antogs vara säkra. Chevrolet Volt ger förstås osäkerheten en helt ny dimension, men redan idag går det att göra förbluffande mycket för den som har bra kunnande och få skrupler. Och ett grundläggande problem är att alldeles för många tittar på vad som är bekvämt, men glömmer säkerhetsproblemet.

– Det är bekvämt att koppla allt till Internet. Det gäller allt från infrastruktur till fordon, säger Adriel Desautels. Idag går det att komma åt nästan allt från Internet och det är fruktansvärt riskabelt. Ett stort problem är att man i praktiken inför direktkoppling också på system där man säger att det finns ett luftgap.

”Luftgap” innebär att det inte finns någon som helst fysisk möjlighet att gå från ett system till ett annat. Det skall finnas i kritsiska system, men alltför ofta finns någon ”praktisk” koppling som ingen riktigt tänkt på som säkerhetsrisk. Det gäller ibland till och med i superkänsliga system som kärnkraftverk och annan infrastruktur.

Att det här är verklighet demonstrerades i praktiken för en tid sedan, när en datororm kallad Stuxnet förstörde en mängd utrustning i ett antal nukleära anläggningar i Iran. Ormen var programmerad på ett sådant sätt att den bara var riktad mot Iran och bara mot anläggningar som upparbetade klyvbart material som skulle kunna användas i vapensammanhang. Stuxnet är också skriven på ett sätt som gör den omöjlig att analysera. Officiellt är det ingen som vet varifrån den kommer, även om många sneglar åt Israel.

Riktade hackerattacker från länder eller organisationer har sedan länge tagit steget från böckernas värld till verkligheten. Ändå utvecklas fortfarande massor av teknik där uppenbarligen ingen frågat sig ”vad skulle hända om?”. Vad skulle till exempel hända om massor av bilar vid ett visst förutbestämt tillfälle gick in i ett okontrollerat läge?

– Det räcker att först bromsa bägge hjulen på ena sidan och sedan bägge på andra för att få en bil att gå in i en kraftig sladd, säger Adriel Desautels. Och det går att åstadkomma via styrningen till ABS-systemet. Det behövs inte särskilt många sladdande bilar för att skapa kaos på motorvägarna.

Mer om det här och andra säkerhetsfrågor blir det i kommande rapporter från den mycket intressanta konferens som jag var på i början av veckan. Just nu är jag lite för ”jetlaggad” för att skapa några större alster. Fast i ärlighetens namn var det också ganska skönt att byta snön i Stockholm mot solen i Kalifornien ett par dagar.

Comments are closed.