Hoe hackers netwerkauto’s kunnen besturen

Autohackers Charlie Miller en Chris Valasek lieten de industrie jaren geleden schrikken met stunts in de VS. Ze demonstreerden hoe ze op afstand een jeep overnamen via radio – airconditioning en ruitenwissers speelden gek, toen kroop de auto alleen over het asfalt, omdat het gaspedaal niet meer werkte.

Het is de horrorvisie van veel mensen die anderen ingrijpen en in het ergste geval de controle over het remmen of sturen in steeds meer geautomatiseerde auto’s overnemen. Is dat zelfs denkbaar?

“Netwerken is de toegangspoort”, zegt politiecommissaris Alexander Rimkus. De 23-jarige, werkzaam in het Nordhorn-gebied, heeft een bachelorscriptie ingediend over de beveiligingslacunes en hun potentieel voor manipulatie. Als je schade wilt aanrichten, moet je een beveiligingslek in een systeem vinden.

De daadwerkelijke autohacks vergden veel inspanning, kennis en waren duur, legt Stefan Römmele, hoofd Strategie en Advance Development for Security bij autoleverancier Continental uit. Maar Rimkus benadrukt dat er criminele structuren zijn die de componenten kunnen leveren – “cybercrime as a service” is het sleutelwoord. In het Duits: “Internetcriminaliteit als dienst”.

tonen

Ook interessant: de gevaren door cybercriminaliteit nemen toe – groot aantal niet-gemelde gevallen

De verdediging tegen dergelijke aanvallen is een gestaag groeiende industrie

Volgens Rimkus is chantage de “klassieke zwendel” van cybercriminelen. Kwetsbaarheden in softwaresystemen van complete wagenparken bieden aanzienlijk chantagepotentieel, resulteert in zijn onderzoek. De afhankelijkheid van voertuigen betekent immers een “grote hefboom”.

Maar terroristische aanvallen op voertuigen of doelen zoals verkeerscentrales zijn te verwachten. Er zijn nog geen complete oplossingen voor beveiliging. Maar het is denkbaar dat een TÜV-sticker in de toekomst de online veiligheid van autonoom rijdende auto’s certificeert.

De verdediging tegen dergelijke aanvallen is een gestaag groeiende industrie. “Toen ik de afgelopen jaren terugblikte, is het bewustzijn van cybersecurity aanzienlijk toegenomen, vooral op het gebied van auto’s”, zegt Peter Schiefer, verantwoordelijk voor de automotive-divisie van de in München gevestigde halfgeleiderfabrikant Infineon. Het bedrijf levert veiligheidstechnologie voor de toenemende elektronica in de auto.

Continentale expert Römmele maakt duidelijk welk potentieel dit heeft. Het aantal volledig genetwerkte auto’s zal sterk groeien, tegen 2025 zou elke nieuwe auto wereldwijd toegang tot internet moeten hebben. Volledig genetwerkt – dit betekent dat auto’s met elkaar en met infrastructuur zoals verkeerslichten kunnen communiceren.

“Elke nieuwe auto die vandaag in Europa is geregistreerd, heeft een verbinding met het noodoproepsysteem E-Call en dus een verbinding met het netwerk”, zegt Schiefer. Volgens zijn schatting zijn er in vijf jaar al meer dan 100 miljoen genetwerkte auto’s onderweg.

“Elk apparaat moet veilig zijn”

Potentiële poorten voor cybercriminelen zijn alle interfaces in de auto, worden via de gegevens uitgewisseld met de controle-eenheden, zegt Römmele. Voorbeelden zijn de diagnose-interface of de regeleenheden voor het immobilisatiesysteem.

In toekomstige auto’s zal de architectuur naar een zeer klein aantal krachtige ECU’s gaan. Maar het is duidelijk: “Elk apparaat moet veilig zijn.” En voor de hele levensduur van de auto.

Tegen het horrorscenario van een verlamde hele vloot zegt Römmele: “We ondernemen actie” dat dit scenario nooit voorkomt. Voor de autogigant Volkswagen is dit een eindeloze race: Rolf Zöller, hoofd van elektrische en elektronische ontwikkeling bij het kernmerk VW, spreekt van “absoluut passende tegenmaatregelen op het hoogste technische niveau”. VW neemt het onderwerp “uiterst serieus”.

Hij geeft echter toe dat het risico al toeneemt vanwege het aanvalsoppervlak, dat wil zeggen het grote aantal toekomstige volledig genetwerkte auto’s. Al in 2016 had Volkswagen samen met experts uit Israël een cyberbeveiligingsbedrijf opgericht.

“Het vermogen van de aanvallers over vijf jaar zal aanzienlijk verschillen van vandaag”

Fabrikanten en leveranciers moeten ook rekening houden met de levensduur van hun voertuigen en de geïnstalleerde technologie. “Het vermogen van de aanvallers over vijf jaar zal aanzienlijk verschillen van vandaag”, zegt Thomas Rosteck, hoofd beveiliging bij Infineon.

“Daarom had ik moeten nadenken over hoe ik erop kan reageren, hoe ik de veiligheid in het veld kan aanpassen.” De ingebouwde beveiligingstechnologie voor auto’s moet ook bestand zijn tegen de aanslagen in de toekomst.

Vooral in de cloudtechnologie werden steeds meer kwetsbaarheden gevonden, schat het IT-beveiligingsbedrijf Trend Micro. De experts gaan ervan uit dat aanvallers nieuwe technologieën gebruiken, zoals kunstmatige intelligentie. Continentale expert Römmele benadrukt dat het beveiligingsniveau van communicatie met de cloud even hoog is als dat van online bankieren. Alle functies in de auto zouden continu worden gecontroleerd.

Bovendien vertrouwt hij snel op draadloze beveiligingsupdates – hoe dan ook, de levensduur van de softwaresleutels wordt zo kort gekozen dat ze niet op tijd konden worden verbroken. En elk voertuig heeft zijn eigen digitale sleutel.

Als een geautomatiseerd voertuig van buitenaf wordt misbruikt, zou het systeem dit detecteren, alarm slaan en mogelijk bepaalde functies deactiveren, benadrukt hij. Römmele spreekt van een “gigantische taak”. Een aanval zoals de Jeep 2015 is tegenwoordig echter niet meer mogelijk met behulp van moderne beveiligingsmechanismen.

Nieuwsbrief & Messenger

Altijd op de hoogte van alle onderwerpen van het digitale leven met de LEAD-nieuwsbrief en de LEAD Tech-nieuwsbrief. Professioneel of privé. In uw inbox of via messenger.

Abonneer u nu op onze nieuwsbrief
Abonneer je nu via messenger

Vanuit het oogpunt van politiecommissaris Rimkus zijn de beveiligingsautoriteiten echter ook gewild: ze zouden hun eigen bereidheid moeten verdedigen om preventiemethoden in te zetten en te ontwikkelen – en allereerst leren om digitale manipulatie te herkennen.

Toch moet niet worden aangenomen dat elke autonoom rijdende auto automatisch een enkel beveiligingsrisico is, stelt hij gerust.

Ook interessant: enquête: de helft van de Duitsers kent de waarde van hun eigen gegevens niet

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *