Home Onderwerpen Zoek Over ons Doneer Contact

Slimme Auto’s Hacken

Hoe veilig zijn onze (semi)autonome voertuigen?

dr. Albert Benschop
Universiteit van Amsterdam
First edition: 16 November 2016 — Last edition: 24 March, 2017

Kwaadaardige opties
  Scala van bedreigingen
  Vandalen | Criminelen | Activisten
  Spionnen | Terroristen | Militairen
Normering van productie
  Behoefte aan regels
  Vragen aan autofabrikanten
  Standaarden
  Autohacken is een misdrijf
Nomadische gedachten
  Leven met onzekerheden
  Kwetsbare digitale boezem
  Wat mogelijk is, gebeurt niet altijd
  Het internet der dingen en doelwitten

Informatiebronnen
Verwante teksten
rode_knop Cyberoorlog — Internet als slagveld
Index Doemsdag in Cyberspace — Een hypothetische constructie
Index Verhitte cyberoorlog in 2016 — Digitaal wapengekletter tussen Rusland en de VS
Index Kwetsbare slimme woningen — Hoe veilig is mijn thuisnetwerk?
Index Cyberstad — Droom of nachtmerrie?
rode_knop Toezicht op internet — Grootschalig afluisteren en de surveillancestaat
Index CyberTerrorisme — Dodelijk geweld vanaf het toetsenbord
Index Jihad in Nederland — Kroniek van een aangekondigde politieke moord
Index CyberJihad Internationaal
rode_knop Encryptie — Privacy beschermen

“Het zou gemakkelijk zijn om te zeggen dat de moderne auto een computer op wielen is, maar het lijkt veeleer op 30 of meer computers op wielen” [Bruce Emaus, van SAE International’s embedded software standards committee, in: NYT, 4.2.10].

“Automobilisten zijn deze nieuwe technologieën gaan vertrouwen, maar helaas hebben de automakers niet hun deel gedaan om ons te beschermen tegen cyberaanvallen of schendingen van onze privacy. Terwijl we in onze auto’s en vrachtwagens meer dan ooit in netwerken verbonden zijn, blijven onze technologische systemen en databanken grotendeels onbeschermd” [Senator Edward F. Markey, 9.2.15]

“Er zijn redenen om te geloven dat inlichtingendiensten van grote naties — inclusief de Verenigde Staten — weten hoe je op afstand controle over een auto kan overnemen” [Richard A. Clarke, voormalig National Coordinator for Security, Infrastructure Protection, and Counter-terrorism, in: The Huffington Post, 24.6.13].

“We zijn de afgelopen 15 jaar bezig geweest om het internet en de auto bij elkaar te brengen” [Swen Postels, hoofdtechnicus voor de voertuigsector bij Hewlett Packard Enterprise, op de conferentie Industry of Things in Berlijn, 9.9.16].

Slimme auto’s

Auto’s worden steeds slimmer
Onze auto’s worden steeds slimmer. Er worden steeds meer elektronische systemen ingebouwd die door computers worden aangestuurd. Met een tap op de smartphone kunnen de deuren van de auto worden geopend en gesloten en kan de motor worden gestart of uitgezet. Er worden controlesystemen ingebouwd voor bandenspanning, navigatie, entertainment, anti-diefstal en wifi. Slimme auto’s activeren de rem als er een botsing dreigt of als als de bestuurder is afgeleid, ze houden veilige afstand van omringende voertuigen en voetgangers en parkeren zichzelf. Slimme auto’s kunnen dichter achter elkaar rijden en beter gebruik maken van de 80 tot 90 procent lege ruimte op wegen.

Door toepassing van nieuwe technologieën worden de prestaties van het voertuig opgevoerd en wordt autorijden steeds comfortabeler en veiliger. Navigatiesystemen wijzen ons feilloos de weg naar onze bestemming en via het aanraakscherm krijgen we alle informatie die nodig is om veilig te rijden.

Wie goed in de achteruitkijkspiegel van zijn slimme auto kijkt kan de volledig zelfrijdende en volledig elektrisch aangedreven auto’ al zien aankomen. Google en Tesla namen het voortouw, maar alle autofabrikanten van Toyota & Mercedes tot Ford en Volvo hebben autonome voertuigen op de tekentafel liggen of rijden al met eerste modellen op testcircuits.

Zelfrijdende auto van Uber
Bel UberX en je krijgt een zelfrijdende auto voor de deur. Nu nog met een toezichthouder, maar die zal snel verdwijnen. [Klik om te vergroten]
In reclames van de taxidienst Uber wordt nu nog gezegd dat met één druk op de knop meteen een auto naar je toe komt met een betrouwbare chauffeur. En dat die chauffeur weet precies waar je opgehaald wil worden en waar je moet zijn. Maar bij Uber werken al jaren honderden wetenschappers aan de oplossing van de moeilijkste problemen die veilig vervoer in zelfrijdende auto’s nog in de weg staan. Het zal niet lang meer duren voordat Uber je met een zelfrijdende auto zonder chauffeur ophaalt die je feilloos naar de gewenste bestemming brengt.

In septemer 2016 lanceerde Uber in het Amerikaanse Pittsburg een kleine vloot van zelfrijdende auto’s. De burgers van de stad kunnen zich nu laten oppikken door een autonoom rijdende auto waar nog wel een chauffeur achter het stuur zit voor het geval er iets verkeerd mocht gaan. Als klanten een UberX bestellen krijgen zij een autome Ford Fusion voor de deur [C|Net, 14.9.16]

Omdat auto’s in toenemende mate vertrouwen op elektronische controlesystemen zijn zij ook blootgesteld aan kwaadaardige manipulaties door onbevoegde en ongewenste derden. Naarmate er meer digitale technologie in auto’s wordt ingebouwd, neemt de dreiging van kwaadaardige software en manipulatie van hardware toe. Ze worden een doelwit van hackers met uiteenlopende doelstellingen. Terwijl er in de voertuigen steeds meer chips worden ingebouwd, loopt de beveiliging daarvan sterk achter [McAfee 2011 - Caution: Malware Ahead].

Auto’s hebben dezelfde bescherming nodig als onze computers, laptops, tablets en mobieltjes. Auto’s met een boordcomputer kunnen door cybercriminelen worden gehackt om de auto zelf of de persoons- en mobiliteitssgegeven van de bestuurder te stelen, of om het functioneren van de auto te manipuleren. Wanneer op afstand op het autosysteem wordt ingebroken kan er met de snelheidsmeter worden geknoeid waardoor de verkeerde snelheid wordt getoond. Waarschuwingslampjes kunnen worden geactiveerd waardoor de bestuurder denkt dat de auto defect is. Cybervandalen kunnen auto’s hacken om de bestuurders in verwarring te brengen en cyberterroristen kunnen slimme auto’s van afstand laten laten verongelukken. Cybercriminelen kunnen de toegang tot slimme auto’s blokkeren om op die manier de eigenaar en/of autofabrikanten af te persen.

Index


Een mobieltje waarin je kunt rijden
Auto chip Een moderne auto is méér dan een computer op wielen. Slimme auto’s bevatten verschillende elektronische componenten die met elkaar verbonden zijn in een netwerk dat als geheel verantwoordelijk is voor het monitoren en controleren van de toestand van het voertuig. Elke component van dat autonetwerk communiceert met naburige componenten. Zelfs eenvoudige voertuigen hebben minstens 30 apparaten aan boord die door aparte microprocessoren worden gecontroleerd en die via een controller area network (CAN) met elkaar worden verbonden. Sommige luxeauto’s hebben wel 100 processoren die meestal Electronic Control Units (ECU’s) worden genoemd.

Deze elektronische hersens controleren tientallen functies: motormanagement (ontsteking, injectie van brandstof), antiblokkeersysteem (ABS), autonome cruise control (snelheidsregelaar), klimaatregeling, airbags, gordelspanner, communicatie- en infotainmentsystemen. Bovendien moet de software in elke onderdeel ook nog interacteren met andere onderdelen. Als een bestuurder op een knop op de sleutelhouder drukt om de deuren te ontsluiten, kan een module in de kofferbak de computer instrueren om alle deuren te openen.

Index


Sensoren: artificiële zintuigen
De mechanische autosystemen worden steeds meer gecontroleerd en aangestuurd met elektronische systemen. Het startpunt voor elke actie zijn de sensoren. Een processor (ECU) krijgt zijn informatie via de sensoren die in slimme auto’s zijn ingebouwd. Het zijn de kunstmatige zintuigen waarmee de auto zowel het functioneren van het voertuig zelf in de gaten houdt en van de omgeving van het voertuig. Een aantal bekende sensoren zijn: Sensoren spelen een steeds belangrijker rol in slimme en vooral in de slimste, zelfrijdende auto’s. Ze houden niet alleen het mechanische en elektronica functioneren van de auto zelf in de gaten, maar ook van de specifieke omgeving waarin zich de auto bevindt, en van de conditie van de bestuurder.

Voertuig Sensoren

Passieve en actieve sensoren
Passieve sensoren converteren mechanische kracht of beweging in een elektrisch signaal. Voorbeelden daarvan zijn versnellingsmeters, botsingsensoren, airbag sensoren en inbraakalarm.

Actieve sensoren (ook wel transductoren genoemd) converteren elektrische energie in mechanische energie om ultrasone golven te produceren of om de terugkerende ultrasone golven te detecteren. Voorbeelden daarvan zijn brandstofniveau sensoren en parkeerhulp sensoren.

De ECU’s geven data aan elkaar door zodat er beslissingen genomen kunnen worden over wat er moet gebeuren. Daarbij wordt rekening gehouden met alle meetbare omstandigheden: beweegt de auto of staat hij stil, rijdt hij vooruit of achteruit, is het dag of nacht, regent het of vriest het?

Index


Actuatoren
Via het centrale autobesturingssysteem worden de sensoren verbonden met de actuatoren waarmee de fysieke omgeving kan worden gewijzigd. De werking van een actuator is tegengesteld aan die van een sensor. Een sensor neemt de omgeving waar en verstuurd zijn bevinden, terwijl een actuator gebruik maakt van een analoog of digitaal signaal om zijn omgeving te beïnvloeden. Alle sensoren en actuatoren van het voertuig zijn via rondleidingen verbonden met de ECU. Actuatoren converteren elektrische energie in mechanische verplaatsing, zoals verschuiving van de kleppen voor het systeem van brandstofinjectie, en positionering van koplampen en spiegels.

Sensoren en actuatoren

Moderne auto’s beschikken over een groot aantal actuatoren. Het plaatje kan worden vergroot.

Actuatoren
Voertuig Actuatoren Algemeen
airbag inflaters | digitale beelden (displays) | meters | claxon | lichten binnen & buiten | vonk pluggen (spark plugs) luidsprekers

Rotatieve actuatoren: ServoMotoren
ruitenwissermotoren | ruitensproeierpompjes | koelluchtventilator | airco-condensorventilator | kachelventilator | elektrische ramen | cd-speler | elektrisch inschuifbare antenne | cruise control | schuifdak

Specifieke actuatoren
elektrische centraal bediende deurvergrendeling | stuurbekrachtiging | rembekrachtiging | antiblokkeersysteem | rempedaal | stoelverwarming

Mechanisch of elektrisch
stoelverstelling | gaspedaal | koppeling | versnellingspook | tankdopklep-opener | kofferklepopener

Index


CAN: Controller Area Network
De communicatie tussen de ECU’s vindt plaats via een ringleiding die bekend staat als de Controller Area Network (CAN)-bus. Op deze CAN-bus worden de digitale signalen verzonden en ontvangen. Via de CAN-bus worden gegevens uitgewisseld en controle commando’s verstuurd. Het airbagsysteem kan op basis van zijn door vertragings- en botsingssensoren gemeten waarden besluiten om de airbags te activeren. Via de CAN-bus worden razendsnel de airbags opgeblazen door een gloei-element te ontsteken in explosieve stof waarmee de airbag is gevuld. Uit veiligheidsoverwegingen worden via dezelfde CAN-bus ook een aantal andere signalen worden verzonden die ervoor zorgen dat de autogordels worden aangespannen, de motor uit gaat, de deuren van slot af gaan, de waarschuwingslichten aan gaan en de claxon gaat toeteren.

MotorManagement System
Het motormanagement systeem (MMS) is een van de belangrijkste onderdelen van de boordcomputer van een auto. Het regelt de systemen en subsystemen in de motor en andere belangrijke onderdelen van de auto. Alle sensoren en acuatoren die op de motor zitten zijn met kabelbomen verbonden met het MMS.

Het motormanagement systeem van een benzinemotor vervult twee basale functies: (a) het toedienen van de juiste hoeveelheid brandstof aan de motor en (b) het op het juiste tijdstip genereren van een vonk. Daarnaast vervullen uitgebreide systemen van motormanagement nog een aantal nevenfuncties zoals het regelen van het stationair draaien van de motor of laaddrukregeling van een turbo- of mechanische compressor.

Dit is de bijna complete lijst van de regel- en aansturingsfuncties van het motormanagement.

    Toerental van de motor ♦ Snelheid ♦ Stand van gaspedaal / rempedaal / koppelingspedaal ♦ Ontstekeking ♦ Inspuiting ♦ Variabele kleptiming ♦ Variabel inlaatspruitstuk ♦ Dynamoregeling (DF-signaal) ♦ Luchtmassameter signaal ♦ Gasklepstand ♦ EGR-klepstand ♦ Krukas / Nokkenaspositie ♦ Temperatuurregeling via kernveldgeregelde thermostaat ♦ Pingelregeling ♦ Lambdaregeling ♦ Elektronische koelvloeistofpomp ♦ Tankontluchting ♦ Brandstofpomp (opvoer- en hoge druk) ♦ Cruise control ♦ Carterventilatie verwarming ♦ Olieniveaucontrole ♦ Turbodruk ♦ Inlaatspruitstukdruk ♦ Energiemanagement (laadtoestandsensor van accu) ♦ Communicatie met versnellingsbak (motorvermogen inhouden bij overschakelen bij een automatische transmissie) ♦ Zelfdiagnose (voor o.a. opslag van storingscodes).

Om zo min mogelijk uitstoot (emissies) te krijgen wordt door een lambdasensor het aandeel zuurstof in het uitlaatgas gemeten. Deze meting laat zien hoe effectief de verbranding is. Als de lambdasensor een te hoog zuurstofgehalte in de uitlaatgassen meet, wordt dit doorgestuurd het controlesysteem. Het MMS concludeert dat het mengsel te arm is (te weinig brandstof) en stelt vervolgens de inspuiting en de ontsteking bij, totdat de lambdasensor een acceptabele waarde doorgeeft.

Motormanagement systemen zijn programmeerbaar. Zowel het ontstekingstijdstip als de hoeveelheid ingespoten brandstof worden bepaald op basis van de input van sensoren die de stand van de gasklep, het toerental en de temperatuur van de motor meten, maar ook omgevingsfactoren zoals temperatuur en vochtigheid van de lucht. All die inkomende signalen moeten door de software worden verwerkt zoals op het juiste tijdstip de juiste actuator wordt aangestuurd om de juiste handeling in gepaste mate te verrichten.

Het herprogrammeren van motormanagement systemen vereist enige vaardigheid maar geen specialistische kennis. Het kleinste foutje bij de modificatie van de controle- en aansturingssoftware van de motor kan desastreuze gevolgen hebben.

Elektronische gaspedaal controle
De elektronische gaspedaal controle, verving kabels en mechanische verbindingen tussen het gaspedaal en de gasklep die de brandstoftoevoer van benzinemotoren regelt. Als de bestuurder het gaspedaal indrukt, verstuurt een sensor in het pedaal een signaal naar het motormanagementsysteem dat verschillende factoren analyseert (inclusief het toerental van de motor en de snelheid van het voertuig) en stuurt dan een commando door naar de regelklep van de benzinetoevoer (gasklep). De twee of meer onafhankelijke sensoren lezen de positie van het gaspedaal permanent af waarna de softwaare de juist aanpassingen doorvoerd om de gewenste hoeveelheid motorkracht te bereiken.

De elektronische gaspedaal controle werkt volledig achter de coulissen. Het vergroot het gemak waarmee de bestuurder de snelheid van het voertuig kan veranderen. en vermindert de torsiespanningen bij snelle acceleraties en deceleraties.

Deze technologie maakt het voor autofabrikanten makkelijker om geavanceerde snelheids- en stuwkrachtcontrole toe te voegen (cruise & traction control) omdat de gasklep onafhankelijk van de positie van het gaspedaal bewogen kan worden. Deze beschermen het systeem tegen valse signalen of elektronische interferentie die plotselinge acceleratie kan veroorzaken.

Auto’s worden uitgerust met defensive programming om verkeerde signalen tegen te gaan. Maar kunnen zij elke eventualiteit weerstaan? Gezien de complexiteit van de auto, waarschijnlijk niet.

Index


Evolutie van automobiele elektronica
De evolutie van automobiele controle elektronica is snel. Als percentage van de kosten van een auto steeg van 4% in de jaren ’70 tot 20% in 2000, 30% in 2010 en naar verwachting tot 35% in 2020 en 50% in 2030 [Statistica].

De elektronische systemen in moderne auto’s en vrachtwagens zitten vol met meer dan 100 miljoen regels computercode. De software die gebruikt werd voor de eerste maanlanding in 1969 bevatte ongeveer 7.500 regels code. De gemiddelde mobiele telefoon bevatte in 2005 al 2 miljoen regel softwarecode. In 2008 was dit al gestegen tot 5 miljoen en voor de Android tot 11 miljoen. Een gemiddelde moderne kwaliteitsauto bevat nu al zo’n 100 miljoen coderegels [Information is beautiful]. De verwachting is dat in de nabije toekomst auto’s 200 tot 300 miljoen regels softwarecode vereisen [McAfee 2011:8].

Slimme auto’s vereisen meer coderegels dan vliegtuigen
De vliegtuigelektronica van de F-22 Raptor straaljager bestaat uit ongeveer 1,7 miljoen regels software code. De F-35 Joint Strike Fighter vereist ongeveer 5,7 miljoen coderegels om haar boordcomputers te laten draaien. En de nieuwe 787 Dreamliner van Boeing draait op 6,5 miljoen coderegels.

De eerste productieauto die gebruik maakte van software was de Oldsmobile Toronado van General Motors in 1977. Deze was voorzien van een ECU die de timing van de elektronische vonk regelde. In 1981 gebruikte General Motors ongeveer 50.000 regels softwarecode voor de motorcontrole van haar passagiersvoertuigen [IEEE,1.2.09]. Sindsdien is de hoeveelheid software die in de autoindustrie wordt gebruikt exponentieel toegenomen, zowel in omvang als in complexiteit.

Auto’s aan de onderkant van de markt zijn al uitgerust met zo’n 50 ECUs. In de topmodellen zijn er vaak al meer dan 100 ingebouwd [QSM, 11.3.15

Slimme auto’s kunnen met al hun chips die miljoenen coderegels afdraaien praten met de buitenwereld via elektronische sleutels, WiFi, GSM, Bleutooth, internet en draadloze bandspanningssensoren. Maar het zijn ook even zoveel attack surfaces waarop hackers kunnen inbreken. Eenmaal op slinkse wijze binnengedrongen blijken bijna alle subsystemen onderling met elkaar verbonden te zijn. Bovendien spreken bijna allemaal een gemeenschappelijke digitale taal van een computerprotocol dat in de jaren tachtig van de vorige eeuw werd ontwikkeld, toen niemand zich nog zorgen maakte over misbruik door kwaadaardige hackers.

Index Hoe hack je een slimme auto?

Digitale kwetsbaarheid van auto”s
Hoe meer elektronica in auto’;s wordt ingebouwd, des te kwetsbaarder zij worden voor cyberaanvallen. De software waarmee moderne auto’s elektronisch worden aangestuurd en gecontroleerd is zo omvangrijk en complex dat er altijd wel een zwakte gevonden kan worden via welke in het systeem kan worden ingebroken.

Een hacker moet eerst vanaf afstand toegang krijgen tot een intern autonetwerk. Vervolgens kunnen instructies worden geïnjecteerd in het autonetwerk waarmee direct of indirect de gewenste functies (ECU’s) gecontroleerd kunnen worden. Het is een cyber-fysieke aanval: een cyberaanval die resulteert in fysieke controle over diverse functies van de auto. De effectiviteit van zo'n aanval wordt groter wanneer vitale ECU’s gemanipuleerd kunnen worden die verantwoordelijk zijn voor besturing, remmen en acceleratie.

Hackers kunnen op marginale systemen van het autonetwerk inbreken (zoals een MP3-speler) en van daaruit een brug slaan naar vitale onderdelen van het besturingssysteem zoals de remsysteem. De finale stap is dat hackers deze functies zo manipuleren dat de veiligheid van de auto in gevaar komt.

De cyber-criminele aanval is niet zozeer gericht op de bestuurder van de auto maar op de auto zelf. Autohackers zijn de moderne autokrakers. De moderne autodief slaat geen autoruit in, breekt geen deur open en forceert geen startslot. Auto’s worden met digitale middelen opengebroken en vervolgens gestolen.

Auto gehackt.
“Uw auto is gehackt.
Ik heb nu de volledige controle over uw voertuig.
U kunt niets meer doen.
Blijf rustig zitten - de deuren zijn vergrendeld.
Ik breng u naar een plek waar u niet wilt wezen.”

Index


Zes manieren
Inbraken op elektronische bestuderings- en controlesystemen van moderne auto’s zijn mogelijk omdat er tientallen onafhankelijk opererende ECU’s zijn die allemaal met elkaar verbonden zijn via een communicatienetwerk dat bekend staat als de CAN-bus. Het protocol van de CAN-bus stamt nog uit de jaren tachtig toen beveiliging nog geen thema was.

De vitale systemen zoals het gaspedaal, de remmen en het stuur zijn gelokaliseerd op een apart deel van het netwerk dat niet direct verbonden is aan minder beveiligde infotainment en diagnostische systemen. Deze netwerken zijn echter zo sterk met elkaar verweven dat een hele auto gehackt kan worden als er op één willekeurige component wordt ingebroken.

Er zijn minstens zes manieren waarop een auto gehackt kan worden.


Zes manieren om een auto te hacken

Index


1. Telematisch Systeem
Slimme auto’s zijn uitgerust met systemen waardoor zij met de buitenwereld kunnen communiceren, bijvoorbeeld om hun positie door te geven naar een centrum. Het telematische systeem van een auto kan de politie waarschuwen in geval van een ongeluk, van afstand een gestolen voertuig uitschakelen en diagnostische informatie geven aan gebruikers. Maar het kan ook interacteren met meerdere voertuigsystemen.

De CAN-bus die het hele netwerk controleert is de standaard in de automobielindustrie. Het is ontworpen om data uit te wisselen tussen de elektronische apparaten in een auto. Alle elektronische apparaten in de auto communiceren constant met elkaar via de CAN-bus. Elk datapakket wordt naar alle elementen op dezelfde bus verzonden.

Het grote probleem is dat die pakketten geen zender-ID hebben en dat het protocol geen efficiënt authenticatiemechanisme kent. Dit betekent dat aanvallers elk pakket kunnen opvangen, een zender-ID kunnen fingeren en zichzelf authentiseren bij het centrale brein van het besturings- en controlesysteem.

Wie toegang krijgt tot het telematische systeem kan alle systemen die met de CAN-bus verbonden zijn controleren. Een hacker kan dan bijvoorbeeld de startknop van een auto onklaar maken op dezelfde manier als een anti-diefstal systeem dat zou doen.

Remedie: Voorlijke autofabrikanten voeren de beveiliging van externe communicaties en interne netwerken op. OnStar, heeft bijvoorbeeld een “white list” van goedgekeurde computers die een verbinding mogen leggen met auto’s. Sommige telematische systemen bouwen veiligheidsmechanismen in waardoor bijvoorbeeld niet gereageerd wordt op bepaalde instructies als het voertuig in beweging is.

2,2 miljoen onveilige BMW’s
Het elektronisch brein dat BMW in haar slimme auto’s inbouwt is het Connected Drive-systeem. Dat systeem maakt via een permanent geïnstalleerde simkaart draadloos verbinding met de autofabrikant. Bovendien is er een smartphone app voor het versturen van commando's zoals ‘open deur bestuurder’; via een server van BMW.

De auto’s maken gebruik van een gesloten netwerk, maar blijken toch hackbaar te zijn. Door het beveiligingslek in de slimme systemen konden hackers binnen een paar minuten de autodeuren ontgrendelen, e-mails lezen, de locatie volgen en de verzamelde autogegevens inzien — zonder enig spoor van braak achter te laten. Zelfs de modellen Phantom (vanaf € 549.353), Ghost (vanaf € 337.800) en Wraith (vanaf € 360.000) van Rolls Royce stonden wagenwijd open voor nieuwsgierige hackers en autodieven.

De Duitse auto-organisatie ADAC kwam het lek op het spoor tijdens een studie waarin werd uitgezocht welke data er precies naar het BMW-netwerk worden verstuurd [ADAC, 30.1.15].

BMW-rijders hoefden niet naar een garage om het beveiligingsprobleem op te lossen. Volgens BMW werd het lek op 31 januari op afstand gedicht. Dit was de allereerste digital recall waarbij geen ritje naar de garage nodig is en ook geen onderdelen worden vervangen.

Index


2. On-Board Diagnostics: OBD-II

OBD computer
Slimme auto’s beschikken over een voertuigmanagementsysteem waarin alle informatie wordt verzameld over de verschillende onderdelen van het voertuig met een interface voor het uitlezen van die informatie. In auto’s gemaakt na 1996 zit een On Board Diagnostic (OBD) computer welke informatie verzamelt over hoe het voertuig functioneert. De ODB-II poort heeft direct toegang tot alle CAN-bussen in het voertuig. Dit is noodzakelijk omdat de diagnostische poort het belangrijkste middels is waarmee monteurs de individuele ECU’s in een auto diagnosticeren en updaten.

Via de OBD aansluiting (stekker) worden drie soorten informatie verstrekt.

  1. Foutcodes - Diagnostic Trouble Codes (DTCs)
    Foutcodes zijn eenvoudige codes die in een tabel kunnen worden opgezocht waardoor je kunt zien wat het probleem is. Foutcode P0302 betekent bijvoorbeeld ‘cilinder 2, overslaan geconstateerd’. Als de oorzaak van deze fout slechts heel even optrad (‘intermittent’), dan verdwijnt de foutcode na verloop van tijd, maar als de oorzaak blijft bestaan dan zet de boordcomputer het storingslampje aan (Malfunction Indicator Light - MIL). Op alle auto’s is een standaard set foutcodes General OBD Codes waaraan alle autofabrikanten zich moeten houden. Daarnaast heeft elke autofabrikant vaak vele honderden foutcodes die alleen van toepassing zijn op het eigen merk (Manufacturer Specific OBD codes).

    De storingscodes worden onthouden. Er wordt opgeslagen wanneer de storing zich als eerst en als laatst heeft voorgedaan, hoe vaak de storing is teruggekeerd en of het een permanente of een (soms) terugkerende storing is.

  2. Real-time gegevens - Real-time data
    Real-time gegevens zijn de (onbewerkte) gegevens van de sensoren in de auto zoals deze actueel aan de OBD worden doorgegeven. Real-time gegevens zijn onder andere wagensnelheid, toerental, luchttemperatuur, barometrische druk. Daarnaast zijn er nog tientallen sensoren waarvan de gegevens worden uitgelezen. Deze gegevens kunnen helpen bij het oplossen van problemen en het inspecteren van de werking van de auto.

  3. Vastgelegde gegevens - Freeze frame data
    Vastgelegde gegevens zijn een momentopname van de real-time gegevens van de sensoren op het moment dat de foutcode werd geconstateerd. Een monteur kan deze gegevens gebruiken om te begrijpen wat er aan de hand was toen het storingslampje in de auto ging branden.

OBD connector
De OBD-II heeft een gestandaardiseerde hardware interface: een vrouwelijke 16-pins (2x8) J1962 aansluiting die de Data Link Connector (DLC) wordt genoemd. De OBD-II connector is meestal ergens onder het dashboard bij de stuurkolom in de buurt zit. Er zijn speciale OBD-uitlezers waarmee je in het hart van de motor kunt kijken. Maar het is ook al mogelijk met een smartphone of tablet: dongle insteken en dan draadloos via Bleutooth of WiFi-verbinding uitlezen met de passende app.

Onderzoekers van het Center for Automotive Embedded Systems Security (CAESS) — een samenwerkingsverband tussen de Universiteit van California San Diego en de Universiteit van Washington) demonstreerden in 2010 hoe de controle kan worden overgenomen van alle vitale systemen van een auto door een apparaatje in te pluggen in de OBD-II poort onder het dashboard [CAESS 2010].

De onderzoekers van CAESS schreven een programma dat kwetsbare communicatiepunten zoekt en exploiteert waar autosystemen interacteren. Zij installeerden dat programma op de CAN-bus van de auto via de OBD-II poort. Eenmaal in het netwerk kon het programma alle systemen controleren: van ruitenwissers tot remmen, van koeling/verwarming tot motor, van lichten tot sloten, van radio tot airbag en van de toeter tot de kilometerteller. Dit is de meest directe manier om een auto te hacken omdat het direct code naar de CAN-bus verstuurd.

In 2013 lieten Charlie Miller (beveiligingsonderzoeker bij Twitter) en Chris Valasek (beveiligingsdirecteur van IOActive) zien hoe zij met een laptop die aan de diagnostische poort was verbonden de volledige controle konden overnemen van de besturing en remmen van de Toyota Prius en de Ford Escape. In eerste instantie besturen zij vanaf de achterbank de auto met een spelbesturingsapparaat [Forbes, 24.7.13; video]. Later deden ze het van enige afstand met een smartphone en van grote afstand met een laptop [Wired, 6.8.14; video]. Fiat Chrysler werd gedwonen om 1,4 miljoen auto’s terug te roepen. Deze cyber security recall was de eerste in de geschiedenis van de autoindustrie.

Remedie: De meeste gegevens die tussen autosystemen worden uitgewisseld waren lange tijd niet versleuteld, waardoor de auto’;s wagenwijd open stonden voor ondernemende hackers. Autofabrikanten zijn begonnen om beveiligingsprotocollen uit het veld van de informatietechnologie toe te passen en om bestanden te beschermen met digitale handtekeningen. Een halve maatregel die sinds 2015 wordt genomen is dat de diagnostische modus wordt uitgeschakeld als de auto in beweging is. Het blijkt dat ook deze veiligheidsmaatregel kan worden uitgeschakeld.

Index


3. Mediaspeler — MP3-Malware

Mediaspeler: alle media met één vinger
Mediaspelers ontvangen een grote verscheidenheid van draadloos uitgezonden signalen op: analoog AM en FM, digitale radio en satellietradio. Mediaspelers accepteren standaard compact discs en zij decoderen gecodeerde audioformaten zoals MP3 en WMA. De software die op de processor draait behandelt verzoeken voor terugspoelen, vooruit spoelen etc. Het regelt ook de verbindingen met de CAN bus.

Een jaar later namen de onderzoekers van het CAESS vanaf afstand de controle over van een niet met name genoemde auto via het telematische systeem. Zij lieten zien dat het mogelijk is om een auto te hacken met malware die via een USB-stick in een MP3-speler is ingebracht en met code die via draadloze technologie (GSM, WiFi, Bleutooth) wordt overgedragen [CAESS 2011]. De trotse bezitter van een slimme auto download een liedje van een ongeautoriseerde dienst voor bestandsdeling. Hij/zij weet echter niet dat dit liedje kwaadaardige code bevat die zich een weg vecht naar de CAN-bus van hun auto en de remmen onklaar maakt.

Het infotainment systeem is voor hackers aantrekkelijk omdat het een gebied is waar alle gepersonaliseerde voorkeuren en gegevens worden opgeslagen en geïntegreerd. Meestal draaien de infotainmentsystemen op standaard software voor ingebouwde apparaten die op brede schaal beschikbaar is.

Remedie: Naarmate infotainmentsystemen meer functionaliteit krijgen schermen automakers ze af van de meer vitale componenten, zonder de interactie van het voertuig in gevaar te brengen. De nieuwere auto’;s verifiëren alle data die tussen twee systemen wordt verstuurd op dezelfde wijze als online winkels creditcards verwerken.

Index


4. Elektronische sleutel - Key Fob
De elektronische sleutel of key fob bevat een korte golf radiozender die communiceert met een ECU in het voertuig. De radiozender verstuurt geëncrypteerde data die identificerende informatie bevat op basis waarvan de ECU kan bepalen of de sleutel valide is om vervolgens de deuren van de auto te openen en de motor te starten. Bijna alle auto’s werken tegenwoordig met RFID-sleutels. Een ontvanger in of dicht bij de stuurkolom verifieert of de juiste RFID tag wordt verstuurd.


Het Remote Keyless Entry (RKE) systeem opent op afstand deuren, activeert alarm, knippert het licht en start soms ook de motor. De digitale signalen worden gecodeerd verstuurd via de 433 MHz-frequentieband in Europa en 315 MHz in de V.S.
De elektronische sleutel wordt gebruikt om de auto te openen en/of te starten werkt alleen wanneer de persoon met die sleutel vlak bij het voertuig staat of er al in zit. Zwitserse onderzoekers ontdekten echter een manier om het signaal te onderscheppen en te verlengen tot zo’;n 8 meter. De diefstal werkt door twee antennes op de zetten: eentje dicht bij de auto die het doelwit is, en een andere naast de houder van digitale sleutel. De persoon met de antenne gericht op de eigenaar van de sleutel moet binnen 8 meter van het doelwit zijn.

Als de antenne in de buurt is van de elektronische sleutel van het beoogde slachtoffer, dan verstuurt die sleutel een zwak signaal naar de antenne dat vervolgens wordt doorgestuurd naar de antenne die dicht bij het voertuig staat. Zodra dat gebeurt kan de dief de deuren openen en wegrijden. Er is geen enkele encryptie of protocol waarmee sleutel auto met elkaar communiceren die dit kan verhinderen.

Met deze methode wordt het signaal niet gerepliceerd — het verlengt alleen het bereik zodat de auto denkt dat de sleutel dichterbij is dan deze feitelijk is. De apparatuur die hiervoor nodig is kan voor $100 tot $1000 worden aangeschaft, afhankelijk van de elektronische componenten die gebruikt worden [MIT Technology Review, 16.1.11; KickingTires, 17.1.11].

Verberg je fouten - Sleutels klonen
Onderzoekers van de Radboud Universiteit onderzochten in 2015 hoe kwetsbaar onze auto’s zijn door een zwak versleutelde code van de sleutel. Zij onderzochten vooral de sleutels van de Volkswagen Groep (Volkswagens, Audi, Seat en Skoda, maar ook Porsche, Bugatti, Bentley en Lamborghini). Zij vonden niet alleen grove ontwerpfouten in de Megamos Crypto chip van de autosleutels, maar ook in de code van de startonderbreker [NOS, 11.8.15; Auto Week, 12.08.15].

De onderzoekers lichtten direct Volkswagen in over de resultaten van hun onderzoek. Volkswagen sleepte de universiteit voor de rechter om publicatie te voorkomen. Het Engelse gerechtshof was van mening dat het openbaar maken van de onderzoeksresultaten dieven op een idee kon brengen.

In 2016 vonden onderzoekers van beveiligingsonderzoekers in Bochum en Birmingham een manier om de sleutel van zeker 100 miljoen Volkswagens na te maken. Ze vonden een geheime code die in miljoenen Volkswagens wordt gebruikt voor de deurontgrendeling. Weliswaar moet deze code nog worden gecombineerd met een tweede code, maar deze kan met een goedkope radioscanner worden afgeluisterd als de echte sleutel in de buurt is (bereik van 90 meter). Daarna kan een kloon worden gemaakt van de originele afstandsbediening [Auto Week, 11.8.16; NRC,15.8.16].

Vanuit crimineel perspectief zijn elektronische sleutels zonder knop een ware zegening. Zij openen op een meter afstand automatisch je auto. Deze passive keyless entry systemen zijn op eenvoudige wijze te kraken door het signaal van de sleutel te verlengen. Crimineel_1 gaat naast de eigenaar zitten en stuurt met een draadloze repeater het sleutelsignaal naar crimineel_2 die naast de auto staat. De slimme auto ‘denkt’ dat de eigenaar naast de auto staat en opent de deuren - instappen en rijden maar.

De Duitse automobiel associatie ADAC onderzocht 20 modellen van verschillende merken die werken met elektronische sleutels zonder knop. Zij toonde aan dat al deze auto’s binnen een paar seconden konden worden geopend en dat de moter gestart kon worden.

Remedie: Er is niet veel dat autofabrikanten op dit punt kunnen doen. Ze zouden wel een knop op de elektronische sleutel kunnen zetten waarmee autobezitters ze kunnen deactiveren en reactiveren. Hackers zijn er nog niet in geslaagd om de encryptie van de digitale sleutels te kraken. Ze hebben alleen maar het bereik uitgebreid met een radio repeater. Let dus op dat er niemand meekijkt met een zelfgemaakte antenne en scherm je digitale sleutel goed af.

Index


5. Deursloten
In de meeste moderne auto’;s is het vergrendelingsmechanisme van deuren verbonden met andere systemen van het voertuig. Zo sluiten de deuren automatisch wanneer de auto in drive wordt gezet en ontsluiten als de airbag in werking is gesteld of de sleutels in de auto liggen.

Deze interconnectiviteit impliceert dat het vergrendelingsmechanisme gebruikt kan worden om toegang te krijgen tot andere systemen. “Als accelereren de power locks van een auto in werking kan zetten, dan kan een vaardige hacker deze sloten gebruiken om die auto te dwingen de snelheid te verhogen” [Car & Driver, juli 2011].

Remedie: Infotainment en diagnostische systemen zijn nog steeds door een fysieke verbinding gekoppeld aan de module die functies controleert zoals sturen en remmen. Sommige systemen (zoals bij Ford) zijn zo ingericht dat deze verbinding maar in één richting werkt.

Index


6. Ongeautoriseerde apps
Slimme auto’;s zijn uitgerust met boordcomputers waarmee allerlei applicaties kunnen worden uitgevoerd of gedownload. Zoals de fabrikanten van smartphones winkels hebben waarin duizenden apps te verkrijgen zijn die door derde partijen zijn gemaakt, zo breiden autofabrikanten hun infotainment aanbiedingen via software die gedownload kan worden. Als een malafide app malware bevat, kan het je auto infecteren zonder dat je het door hebt. Aanvallers kunnen kwaadaardige code in de auto brengen door deze te maskeren als een update.

De apps die fabrikanten zelf verschaffen zijn niet per definitie betrouwbaar. Zo moest Nissan in februari 2016 haar eigen app terugtrekken die zij gemaakt had voor de eigenaars van de best verkochte elektrische auto. Het bleek dat de app NissanConnect EV kon worden misbruikt om op afstand de functies van de auto van iemand anders te controleren [Washington Post, 25.2.16; BBC, 25.2.16].

De app was ontwikkeld om de eigenaars van een Nissan LEAF toegang te geven tot data over hun eigen auto. Maar daarbij werd geen enkele beveiliging toegepast. Er was geen enkele verificatie van identiteit van eigenaar ingebouwd. De ontdekker van het beveiligingslek, Troy Hunt, liet op zijn eigen site zien wat er met de app van Nissan mogelijk is: knoeien met de klimaatcontrole om de batterijen te laten leeglopen en opvragen van alle gegevens over rijgedrag [TroyHunt, 24.2.16].

Remedie: Autofabrikanten moeten heel streng zijn in het selecteren van apps die in hun systemen komen. Ford’;s MyFord Touch and Toyota’;s Entune staan slechts een handjevol goedgekeurde programma’s toe. GM’;s MyLink gaat nog een stap verder: alle software wordt door remote servers geleid zodat gebruikers niet per ongeluk geïnfecteerde apps in hun auto’;s installeren.

Lekkende besturingssystemen
Van afstand inbreken op het computersysteem van een auto is vooral mogelijk bij het Meego besturingssysteem, dat veel beveiligingslekken bevat. Door deze lekken was het mogelijk om illegaal rootrechten te verwerven in te breken op het centrale autosysteem. Het Meego besturingssysteem werd eind 2011 geschrapt en verruild voor het Tizen besturingssysteem.

Het Meego besturingssysteem wordt echter nog steeds gebruikt. In 2012 voerde het Japanse anti-virusbedrijf Trend Micro een security audit uit van Meego in een autosysteem dat op het punt stond te worden gelanceerd.

De auto-industrie is hard bezig om de veiligheid van haar producten te versterken. Dat is zeker ook het geval bij OnStar, het telematische systeem dat in 2011 al in meer dan 6 miljoen voertuigen is ingebouwd.

Index Digitale breekijzers

Auto’;s waren altijd al gevoelig voor inbraak en diefstal. De meeste auto’;s staan onbeheerd op straat geparkeerd, met ramen die kapotgeslagen kunnen worden en sloten die niet al te moeilijk opengebroken kunnen worden. Met een baksteen of breekijzer kon ongeautoriseerd toegang worden verkregen tot de auto en kunnen vaak waardevolle spullen worden gestolen en kon met enig gefriemel onder het dashboard het voertuig worden gestart en gejat.

Index


Aanvalsvectoren
Voor het kraken van slimme auto’s zijn andere instrumenten nodig: digitale breekijzers die inhakken op de binaire codes die door fysieke interfaces of draadloos van en naar het voertuig worden verstuurd.

Het hele repertoire aan aanvalsmogelijkheden is in het volgende schema in kaart gebracht.

Vectoren van cyberaanval of slimme auto’s
  1. Indirecte fysieke toegang
    • On-board diagnostics (OBD-II)
    • Entertainment: Disc, USB en IPod
  2. Draadloze toegang korte afstand
    • Bleutooth
    • Remote Keyless Entry (RKE)
    • Bandenspanningmeter | Tire-pressure monitoring system (TPMS)
    • Radio-frequnecy identification car keys (RFID)
    • Wi-Fi
    • Dedicated short-range communications (DSRC)
      • Vehicle-to-Vehicle (V2V) communication
      • Vehicle-to-everything (V2X) communication
      • Vehicle-to-grid (V2G) communicatie
      • Vehicle-to-device (V2D) communicatie
      • Cooperative Adaptive Cruise Control (CACC)
  3. Draadloze toegang lange afstand
    • Zenderkanalen
      • Global Positioning System (GPS)
      • Satelliet Radio (SR)
      • Digitale Radio
      • Traffic Message Channel (TMC)
    • Adresseerbare kanalen
      • Mobiel netwerk | Cellular voice networks
        • Internet Relay Chat (IRC)
        • Global System for Mobile Communication (GSM)
        • General Packet Radio Service (GPRS)
        • Universal Mobile Telecommunications System (UMTS)
        • Long Term Evolution (LTE Advanced)
      • Data networks
        • Internet protocol (TCP/IP)
        • WWW protocol (HTTP)
        • Post Office Protocol (POP3)
        • Simple Mail Transfer Protocol (SMTP)
        • User Datagram Protocol (UDP)
        • Ethernet protocol
        • File Transfer Protocol (FTP)

Indirecte fysieke toegang
Slimme auto’s hebben diverse fysieke interfaces die direct of indirect toegang geven tot het netwerk van de auto. De belangrijkste hiervan zijn ODB-II en het entertainment systeem. Zij bieden direct toegang tot de vitale CAN-bus en bieden voldoende toegang on het hele autosysteem te compromitteren.

Draadloze toegang op korte afstand (5<->300 meter)
Kwaadaardige hackers kunnen ook toegang krijgen tot de auto via de draadloze communicatieprotocollen die op korte afstand opereren. De belangrijkste daarvan zijn Bleutooth, Remote Keyless RFIDs, Tire Pressure Monitoring Systems, WiFi, en Dedicated Shortrange Communications. De hackers moeten hiervoor een draadloze zender in de nabijheid van de ontvanger in de auto plaatsen. Afhankelijk van het kanaal is dit tussen de 5 en 300 meter.

Draadloze toegang op lange afstand (> 1 km)
Steeds meer slimme auto’ gebruiken digitale kanalen die op lange afstand opereren. De belangrijkste daarvan zijn de uitzendkanalen en de adresseerbare kanalen.

Aanvalsvectoren
Overzicht van de 15 meest hackbare onderdelen van een slimme auto
Bron: Intel 2015

Index


Fysieke toegang
In 2011 publiceerde een onderzoeksgroep van de Universiteit van Washington en de Universiteit van Californië (San Diego) aan dat zij draadloos in staat waren om de sloten en remmen van een sedan onklaar te maken. Zij hielden de identiteit van de gehackte auto geheim en deelden de details van hun exploit alleen met de autofabrikanten [Checkoway e.a. 2011].

Slimme auto’s zijn door en door gecomputeriseerd en juist daarom zijn zij potentieel kwetsbaar voor kwaadaardige aanvallen van buitenaf. Uit eerder onderzoek was al bekend dat de interne netwerken van sommige moderne auto’s onveilig zijn. Het leek echter dat fysieke toegang die daaraan vooraf moet gaan niet realistisch is. De onderzoekers maakten een systematische analyse van de externe aanvalsmogelijkheden op een moderne auto. Zij ontdekten dat exploitatie op afstand mogelijk is via een hele reeks aanvalsvectoren (inclusief mechanische instrumenten, CD-speler en Bleutooth). Via draadloze communicatiekanalen wordt van grote afstand de controle over het voertuig overgenomen, het geluid worden afgeluisterd en de locaties worden bepaald.

Index


Sleutels kopiëren - Een BMW voor $30
In 2012 werden in Australië en Europa veel BMW’s en andere dure auto’s gestolen met een instrument dat door hackers werd ontwikkeld om veiligheidssystemen van auto’s te kraken. Met dit instrument kan een blanco sleutel worden geherprogrammeerd. Niet-technisch onderlegde autodieven kunnen binnen twee of drie minuten een auto stelen.


Het apparaat waarmee elektronische sleutels
van BMW kunnen worden geherprogrammeerd.
Het nieuwe digitale breekijzer is in China en Oost-Europa online te koop voor slechts $30 en wordt verstuurd met instructies en blanco sleutels. De autodieven hoeven alleen maar de signalen tussen een valide elektronische sleutel en een auto af te luisteren voordat zij een blanco sleutel herprogrammeren die vervolgens gebruikt kan worden om de auto te openen of te starten via het OBD-systeem [Newcom.au, 16.9.12; Register, 17.9.12].

Vergelijkbare digitale breekijzers zijn beschikbaar voor Opel, Renault, Mercedes, Volkswagen en Toyota [PistonHeads, 2.7.12].

In februari 2013 legde een beveiligingscamera vast hoe drie mannen op een verlaten woonstraat in Long Beach (Californië) lopen. De mannen lopen een voor een naar een auto en halen een klein elektronisch apparaatje uit hun zak en trekken aan de passagierskant aan de deurknop. De eerste auto gaat niet open, maar bij een Acura SUV en een Acura sedan lukt het wel. De plafondlampjes gaan aan en de mannen doorzoeken de auto’s en pakken wat zij vinden. Daarna sluiten zij de autodeuren en lopen verder [YouTube, 3.4.13 - Keyless Access].

In dezelfde buurt werden die nacht in acht auto’s ingebroken. Ondanks de videobeelden had de politie van Long Beach geen enkel idee hoe de elektronische apparaten werkten. Ook de autofabrikanten en makers van autoalarm systemen konden de politie niet verder helpen.

De sloten van slimme auto’s worden geopend met geëncrypteerde zendercodes. De meeste zenders maken gebruik van een rollende code die in een geplande volgorde telkens verandert. Op die manier wordt voorkomen dat criminelen naast de auto gaan staan als deze door de eigenaar wordt geopend en het UHF-signaal afluisteren die de zender naar de auto verstuurt.

Index


CAN Hacking Tool (CHT)
Beveiligingsonderzoekers Javier Vazquez-Vidal en Alberto Garcia Illera ontwikkelden een complete gereedschapskist voor moderne autokrakers. Het digitale breekijzer zit verpakt in een minuscuul apparaatje dat kleiner is dan een mobieltje. Zij noemden het CAN Hacking Tool (CHT).
CAN Hacking Tools
Voor minder dan $20 kunt u de gelukkige bezitter worden van een slimme auto.
De CHT kost minder dan $20 maar is in staat om de volledige controle over een slimme auto over te nemen: deuren en ramen openen, stuur en remmen manipuleren enz. enz. Het apparaatje kan fysiek verbonden worden aan het interne netwerk van de auto om daar kwaadaardige commando's te injecteren die alle functies van het voertuig zelf kunnen wijzigen, maar ook de persoonlijke communicatie van de bestuurder kunnen afluisteren. De commando's kunnen draadloos worden verstuurd vanuit een laptop in de buurt.

Het apparaatje kan binnen vijf minuten worden aangebracht. Soms is het nodig om onder de motorkap te komen of de kofferbak te openen. Maar in veel gevallen is het mogelijk om onder de auto te kruipen en daar het apparaatje aan te brengen [Security Affairs, 9.2.14].

Index


Bandenspanning (TPMS)
In slimme auto’s heeft elke band een druksensor die permanent de druk in de band meet en deze gegevens direct doorgeeft aan de ECU. Dit wordt het Tire Pressure Monitoring System (TPMS) genoemd. In 2010 lieten onderzoekers van de Rutgers University en de University of South Carolina zien dat het mogelijk is om de draadloze sensoren voor bandenspanning te gebruiken om voertuigen op te sporen of kwaadaardige instructies in te voeren in de elektronische controle units (ECU) waardoor deze niet meer goed functioneren [Ars Technica, 10.8.10].

Omdat de sensoren op de banden draadloos zijn, kunnen ze worden gehackt van naburige auto’s. De onderzoekers gebruikten hiervoor radiozenders en speciale software — kosten $1.500. Omdat de druksensoren unieke ID’s hebben, konden de onderzoekers auto’s op afstand identificeren en volgen. Vervolgens konden zij waarschuwingslichtjes op het dashboard aanzetten en zelfs de ECU volledig laten crashen.

Index Tesla: elektrisch, zelfrijdend, maar ook kwetsbaar

Paard doet het werk
In augustus 2015 werd Tesla voor de tweede keer in een maand gedwongen om een software update te maken voor haar Model S auto. Marc Rogers (van Cloudflare) en Kevin Mahaffy (van Lookout) hadden een manier gevonden om het geavanceerde computersystemen van model S te ontwrichten. Ze konden ongeauthoriseerd de auto afsluiten en de motor uitschakelen. De twee onderzoekers demonstreerde hun werk op de Def Con hacker conferentie in Las Vegas.

Om gebruik te maken van het veiligheidslek in de Tesla moesten zij in eerste instantie wel fysieke toegang krijgen tot de auto. In de auto verbonden zij hun laptop aan een netwerkkabel achter het dashboard aan de kant van de bestuurder. Met een software commando konden zij de auto starten en wegrijden. Ze implanteerden ook een Trojaans paard op het netwerk van de auto. Daarmee konden zij later op afstand de motor uitzetten terwijl iemand anders aan het rijden was.

De onderzoekers ontdekten ook dat infotainment systeem gebruik maakte van een verouderde browser die een bekende kwetsbaarheid vertoont die een aanvaller kan gebruiken om de auto volledig op afstand te hacken om de moter te starten of uit te zetten. Rogers en Mahaffy vonden in totaal zes kwetsbaarheden en werkten samen met het bedrijf wekenlang om daarvan een aantal te repareren.

Tesla hoefde haar auto’s niet terug te roepen naar de garage. De digitale pleisters werden online verspreid naar alle voertuigen. De eigenaars van de auto hoeven alleen maar ‘Yes’ te klikken als hen op het beeldscherm wordt gevraagd of zij de update willen installeren.

“Model S is not a car but a sophisticated computer on wheels” [Elon Musk, in: LAT, 19.3.15]
tesla
De autopilot speurt met camera’s en ultrasone sensoren de omgeving af en houdt naderende voertuigen op naastgelegen rijstroken in de gaten. De auto past zijn snelheid automatisch bij de verkeersomstandigheden aan, behoudt zijn positie op de rijstrook, wisselt van rijstrook zonder opdracht van de bestuurder, neemt zelf opritten en afritten van snelwegen, verlaat de snelweg wanneer de bestemming nadert, parkeert zelf op een parkeerplek in de buut en rijdt zelf de garage in en uit. Het touchscreen verschaft een arsenaal aan auto-functies binnen handbereik en biedt mobiele connectiviteit.

Index


Lekkende browser + besmettelijke loksite
In augustus 2016 werd opnieuw op Tesla Model S. In dit geval gebeurde het door Chinese onderzoekers van Tencent’s KeenLab. Dit was het eerste geval van een aanval op afstand waardoor de CaAN-bus werd gecompomitteerd om bij de afstandcontrole van de auto te komen. In een video demonstreren de onderzoekers de gevolgen van deze cyberaanval. Ze openen de deuren en het dak, verstellen de stoelen, bedienen richtingaanwijzers en ruitenwissers, maken de kofferbak open en knoeien met de remmen.

De hackers maakten gebruik van een kwetsbaarheid van browser die Tesla gebruikt: WebKit. Hierdoor konden zij kwaadaardige code in de browser draaien van elke Tesla die een door de hackers geprepareerde website waren bezocht.

Sinds deze hack nam Tesla een maatregel die vereist dat alle nieuwe bedrijfssoftware die op componenten van de CAN-bus worden geschreven digitaal getekend moeten zijn met een cryptografische sleutel die alleen Tesla bezit. Deze nieuwe bescherming die bekend staat als code signing geeft een betere controle over wie er sensitieve componenten kan herprogrammeren. Code signing wordt al jaren lang gebruikt voor de bescherming van PC’s en smartphones. Daarom is het onmogelijk een app op je IPhone te zetten die niet uit de App Store van Apple komt.

De Chinese onderzoekers kunnen rekenen op een bug-bonus van Tesla: tussen $100 en $10.000 per bug.

Index


Sensoren storen: blinde en hallucinerende auto’s
Zelfrijdende auto’s maken gebruik van diverse typen sensoren om zich veilig over de weg te bewegen en obstakels en botsingen te vermijden. De autopiloot van Tesla is echter geen volledig automatische piloot die zonder menselijke bestuurder kan, maar een hulpmiddel bij het rijden. De autopiloot vult een oplettende chauffeur slechts aan en rijdt dus niet zelf. De autopiloot faciliteert geassisteerd rijden met behulp van de input van sensoren die het voertuig op dezelfde rijbaan houden op een veilige afstand van obstakels en remt als een botsing dreigt.

Autonome en semi-autonome auto’s maken vooral gebruik van de volgende vier sensoren die samen de technologische kern vormen van het Advanced Driver Assistance Systems (ADAS).

  1. Camera’s die het omgevingsbeeld direct op het centrale cumputerscherm projecteren. De autopiloot gebruikt de informatie van de naar voren gerichte camera voor herkenning statistische en dynamische objecten in de omgeving, herkenning van rijstrookmarkering (lane keeping) en voor detectie van de maximum snelheid. De informatie uit de camera wordt aangevuld met informatie van de GPS.

    Beelden van camera’s moeten supersnel worden geanalyseerd en geïnterpreteerd om de auto tijdig te laten stoppen omdat er stoplicht op rood staat of een voetganger over het zebrapad oversteekt. Om betekenis te geven aan die miljoenen pixels is geavanceerde software nodig die in staat is tot accurate en tijdige patroonherkenning. De software moet algoritmisch leren wat een stoplicht is en wat niet. Als een computer daarna nieuwe beelden krijgt voorgeschoteld dan moeten deze vergeleken worden met het geleerde model om te bepalen welke beelden een stoplicht bevatten en welke niet. De kans op fouten is tamelijk groot. En niemand weet precies wat het systeem geleerd heeft - het is zwarte doos.

    Een ander nadeel van camerabeelden is dat de kwaliteit ervan sterk variëert vanwege duisternis, mist, regen of stofwolken.

    Mobileye: collision avoidance system
    Het botsingsvermijdingssysteem van de Israëlische bedrijf Mobileye is uitgerust met vier strategisch geplaatste slimme camera’s. Zij helpen de chauffeur om botsingen te vermijden en om de meest kwetsbaren in het verkeer (fietsers, voetgangers en motorrijders) te beschermen. De camera’s waarschuwen de chauffeur zowel visueel als auditief waneer er een voetganger of fietser in de dode hoek van de chauffeur zit.

    Het zeer geavanceerde systemen van Mobileye zijn in staat om andere auto’s in 3D te herkennen. Dat is belangrijk omdat de auto’s op onze wegen niet statisch zijn en zich telkens onder verschillende hoeken aan de sensor presenteren op verschillende tijden. Daarom zijn de camera’s ook in staat om auto’s te detecteren die niet direct voor het voertuig rijden maar die wel zijn pad kunnen kruisen. Daarbij kan Mobileye ook helpen om vrije ruimte te vinden op de voorliggende weg.

    De belangrijkste functies van het Mobileye-systeem zijn: Pedestrian and Cyclist Collision Warning (PCW), Forward Collision Warning (FCW), Headway Monitoring Warning (HMW), Lane Departure Warning (LDW), Traffic Sign Recognition (TSR), Traffic Sign Recognition (TSR) en Speed Limit Indicator (SLI). Dit systeem wordt onder andere gebruikt door Audi, BMW en Tesla.

  2. Ultrageluid om de afstand te bepalen ten opzichte van objecten die dichtbij zijn. Met de ultrasone sensoren krijgt het systeem een 360 graden zicht. Hun bereik is ongeveer 5 meter. Ze worden door het automatische parkeersysteem gebruikt om parkeerplaatsen te lokaliseren en door de automatische piloot om te voorkomen dat er in het verkeer van rijstrook wordt gewisseld.

  3. Millimeter-golf radar (MMW = Millimeter Wave) die het voorliggende baanvak in kaart brengt. Met de reflectie van de radiogolven op fysieke objecten wordt de afstand, hoek en snelheid van die objecten gedetermineerd, d.w.z. waar ze zijn en hoe ze bewegen. De rader wordt door de actieve snelheidsregeling gebruikt om op grotere afstanden auto’s te detecteren. MMW radars zijn zo ontworpen dat zij een bereik van korte, middellange en lange afstand dekken door het kiezen van de juiste frequentie (24 GHz of 77 GHz) en antenne.

    De millimeter golven waarmee MMW rader werkt is een eletromagnetische golf waarvan de frequentie veel lager is dan die van het licht maar veel hoger dan de bekende radiofrequenties.

  4. Laser sensor of LiDAR (Light Detection and Ranging)
    Google Self Driving Car
    Google’s zelfrijdende auto
    zonder stuur en zonder pedalen,
    maar met grote laser sensor op het dak.
    Voor de autonome besturing van auto’s en hun veiligheid op de weg is het noodzakelijk om te beschikken over de geometrie van alle objecten op en rond de weg. Lidars brengen de omgeving in 3-D in kaart met behulp van laserpulsen. Wanneer de boordcomputer deze kaarten combineert met hoge-resolutie kaarten van de wereld is de slimme auto in staat om zichzelf te besturen terwijl het obstakels vermijdt en zich houdt aan de verkeersregels. De gedetailleerdheid van de kaarten van wegen en terrein is van cruciaal belang voor de accurate bepaling van waar de auto is [IEEE, 18.10.11]. Met alleen GPS-technieken is er altijd een afwijking van enkele meters. En dat is voor rijdende voertuigen niet nauwkeurig genoeg.

    Dynamisch geactualiseerde 3D-kaarten
    Er zijn steeds meer nieuwe technologieën voor het genereren van 3D-kaarten waarin verkeerstekens en andere eigenaardigheden van de verkeersinfrastructuur veel nauwkeuriger worden vastgelegd dan met GPS. Een zelfrijdende auto vergelijk wat haar sensoren waarnemen van de buitenwereld met een internet kart. Wanneer een auto een verkeersteken of andere object tegen komt dat niet op haar interne kaart staat, dan wordt deze informatie gebruikt aangepast. De kaartmodellen worden dynamisch geactualiseerd en doorgegeven aan andere auto’s.

    Doordat de auto de gegevens van de eigen sensor vergelijkt met zijn interne kaart, kan het zijn positie tot op 10 centimeter nauwkeurig bepalen (bij GPS is dat gemiddeld 3 meter).

    De techniek is vergelijkbaar met radar, maar maakt geen gebruik van radiogolven maar van licht. De afstand tot een object of oppervlakte wordt bepaald door de tijd te meten die verstrijkt tussen het uitzenden van een puls en het opvangen van een reflectie van die puls. Dat gebeurt uitermate nauwkeurig omdat de lidar zijn lichtpuls meer dan een miljoen keer per seconde verzend en ontvangt.

    Met lidar kunnen veel kleinere objecten worden gedetecteerd dan met radar. De ruimtelijke resolutie is zo groot dat het op 100 meter afstand details tot op de centimer kan onderscheiden. Dat is nauwkeurig genoeg om voetgangers en auto’s te classificeren. Omdat de straal van een laser sterk gebundeld blijft kan het een oppervlaktescan maken. Door het dopplereffect kunnen met lidar ook snelheden van objecten worden gemeten.

    Laserbeeld

    Camerabeelden bieden een overvloed aan informatie, maar vereisen software voor patroonherkenning om betekenis te geven aan al die pixels. Lasersystemen leveren daarentegen een enorme stroom van punten-wolken aan die gemakkelijk verwerkt kunnen worden door het computernetwerk van de auto. De boordcomputer ontvangt een snelvuur van 3D-momentopnames van elk object rond het voertuig - zowel overdag als ’s nachts, als het regent en als het mistig is.

    Lidar sensoren zijn nog relatief duur en worden daarom vooral gebruikt door ontwikkelaars die gebruik willen maken van alle mogelijke sensoren om het observatiebereik van de auto zo groot en zo gedetailleerd mogelijk te maken. Maar de prijzen van lidars dalen snel. De lidars die op het dak van Google’s autonome auto werden aangebracht kostten nog $80.000 per stuk. In 2015 was dit al gedaald tot $8.000. In juni 2016 kondigde Osram aan dat het een lidar chipset op de markt gaat brengen voor minder dan $50. Testexemplaren zullen begin 2017 beschikbaar worden. De lidar is zo compact dat hij achter het sierscherm of de achteruitkijkspiegel kan worden aangebracht en niet meer boven op het dak [ExtremTech, 14.11.16]. Tesla maakt (nog) geen gebruik van deze technologie.

    Overzicht van sensoren       [Klik om te vergroten]
    De ultrasonische sensor, MMW radar, Lidar en camera’s zijn de vitale sensoren van (semi)autonoom rijdende auto’s. Zij hebben elk hun eigen bereik en kunnen als ze worden gecombineerd alle obstakels detecteren: dichtbij (2m), op korte (30 m), middellange (80-160 m) en lange afstand (250 m).

Index


Blinde en hallucinerende auto’s
Autonome en semi-autonome auto’s zijn in sterke mate afhankelijk van input van sensoren over hun omgeving. Daarom concentreren autohackers zich juist op die sensoren. Alle voor het computerondersteunde en autonome autorijden beslissende signalen van sensoren kunnen worden gestoord, nageaapt, vervormd en uitgeschakeld.

Een traditionele cyberaanval intervenieert op digitale informatie of penetreert in computers en digitale netwerken. Een sensoraanval intervenieert op analoge waarnemingskanalen en maakt gebruik van onderliggende fysieke waarnemingsprincipes om de analoge sensormetingen te ontregelen of te manipuleren. De metingen van sensoren spelen een cruciale rol in de controlesystemen van de moderne auto. De waarnemingen van die sensoren moeten daarom volledig betrouwbaar zijn en mogen niet worden onderbroken of vervormd door interventies van kwaadaardige derden. Als de invoer van sensorische informatie toch wordt onderbroken of wanneer die informatie opzettelijk is vervalst dan heeft dit onverwachte gevolgen voor het functioneren van de auto en brengt dit de inzittenden in potentieel gevaar.

De vier bovengenoemde typen sensoren meten allemaal de echo’s die gereflecteerd worden door obstakels. Het zijn de kunstmatige ogen en oren van de slimme auto. Zij moeten ervoor zorgen dat de auto niet in aanraking komt met andere weggebruikers of botst op objecten die zich op het voor- of achterliggende rijvlak bevinden. Als deze waarnemingen door een sensoraanval worden onderbroken of verstoord dan verandert de slimme auto in een blinde auto (die werkelijke obstakels niet detecteert) of in een hallucinerende auto (die niet-bestaande obstakels detecteert). Een blinde auto botst op objecten die niet of te laat worden waargenomen; een hallucinerende auto remt automatisch af voor obstakels die er niet zijn en kan zo een verkeerschaos of zelfs ongelukken veroorzaken.

Index


Spoofing, Jamming & False Echos
Onderzoekers van de Universiteit van South Carolina, de Zhejiang Universiteit in China en het interbeveiligingsbedrijf Qihoo 360 hebben laten zien hoe de sensoren van Tesla Model S en een Audi verblind kunnen worden [Yan, Xu, Liu 2016; Wired, 4.8.16]. Zij demonstreerden hoe eenvoudig het is om die sensoren voor de gek te houden (door zorgvuldig geconstrueerde signalen naar een apparaat te sturen die lijken op de echte) of ze te verstoren (door signalen te versturen die de sensoren overweldigen).

Wenyuan Xu
Professor Wenyuan Xu, computer wetenschapper aan de Universiteit van South Carolina, toont een versie van de ultrasone stoorzender waarmee de sensoren van Tesla op het verkeerde been werden gezet.

Als er een bijvoorbeeld ultrageluid wordt afgespeeld dat hard genoeg is wordt het echolocatiesysteem volledig ontregeld. Zowel de Audi als de Tesla reageren hierop niet door in de veiligheidsmodus te springen, maar nemen juist aan dat er de volgende halve kilometer geen obstakels zijn. Door het versturen van nepsignalen (spoofing attack) kunnen de metingen van de sensor zo worden gemanipuleerd dat de auto een pseudo-obstakel registeert dat er in werkelijkheid niet is.

De aanval op de radar werkt op een vergelijkbare manier. Het onderzoeksteam bouwde voor een paar honderd dollars een apparaatje waarmee radarinteferentie kan worden opgewekt. Op het scherm van de bestuurder wordt de auto plotseling onzichtbaar voor de autopiloot van Tesla en verwijnt van het scherm. Omdat de werkelijke objecten van het scherm verdwijnen kan dit botsingen veroorzaken met werkelijke obstakels. In de volgende laten onderzoekers zient hoe dit werkt.

Ook Lidar kan gehackt worden door ruis, valse echo’s of valse objecten te genereren [Petit e.o. 2015].

Index


Horizon verbreden door Vehicle-to-Vehicle Communication
Verkeersdoden
Het belangrijkste motief om V2V-communicatie te bevorderen is veiligheid en het terugdringen van de enorme kosten van verkeersbotsingen. Elke dag worden er duizenden mensen gedood en gewond bij wegongelukken. Volgens de World Health Organizations (WHO) vallen er in de hele wereld jaarlijks 1,2 miljoen doden als gevolg van wegongelukken. Dat is een vierde van alle dodelijke ongevallen. Meer dan 50 miljoen mensen raken gewond of invalide door verkeersongelukken. Als er geen preventieve maatregelen worden genomen dan zullen verkeersongelukken in 2020 de derde plaats innemen op de lijst van belangrijkste doodsoorzaken (van de 9e plaats in 19090). De verwachting is dat het aantal verkeersdoden met 65% zal toenemen tussen 2000 en 2010.
Om slimme auto’s niet op elkaar te laten botsen is het nodig dat zij met elkaar kunnen communiceren en met de directe omgeving waarin zijn zich bevinden. V2V (= Vehicle-To-Vehicle) ook wel C2C (= Car-To-Car) is een technologie die ontworpen is om auto’s onderling en met infrastructuren te laten interacteren. Onze auto’s gaan tegen elkaar praten om de veiligheid op wegen te vergroten en om opstoppingen te voorkomen of te vermijden. Via V2V worden ook verkeersinformatie, waarschuwingen voor gevaar en entertainment data verspreid. V2V-technologie is een draadloos systeem in de 5,9 Ghz-band. Het ad-hoc communicatienetwerk fungeert als een nieuwe sensor die het waarnemingsbereik van de chauffeur vergroten naar plekken die zowel de chauffeur als de sensoren van voertuig anders niet zouden zien.

Het aantal verkeersongelukken kan worden teruggedrongen door gebruik te maken van lokale waarschuwingssystemen via V2V-communicatie. Vertrekkende auto’s laten andere auto’s weten dat zij op het punt staan om te vertrekken. Auto’s die de snelweg willen verlaten kunnen dat automatisch doorgeven aan achterliggers. En auto’s die kruispunten benaderen kunnen waarschuwingsberichten sturen naar andere auto’s die deze kruising willen oversteken.

De adaptieve snelheidscontrole van de slimme auto is gebaseerd op de eigen radargegevens. Als auto’s via V2V-technologie informatie gaan uitwisselen over hun positie, snelheid en rijrichting kan de snelheid van voertuigen draadloos op elkaar worden afgestemd (Cooperative Adaptive Cruise Control).

Het Car 2 Car Communication Consortium is opgericht om de interfaces en protocollen van draadloze comunicatie tussen voertuigen en hun omgeving te standaardiseren. Hierdoor wordt het mogelijk dat voertuigen van verschillende fabricanten interoperabel worden en ook kunnen communiceren met elementen aan de kant van de weg.

Zoals alle andere vormen van draadloze communicatie kan ook V2V gemakkelijk worden afgeluisterd en gemanipuleerd. Het is lastig om de informatie die via V2V wordt verspreid te versleutelen omdat het systeem gericht is op de vrijelijke uitwisseling van informatie met andere auto’s.

Hackers kunnen op afstand meeluisteren naar de draadloze communicatie tussen auto’s. Zo kan worden achterhaald waar inzittenden naartoe gaan en waar ze zijn geweest. Daaruit kan worden afgeleid waar ze wonen en werken, hoe hun gezondheid is en wat hun politieke of religieuze overtuigingen zijn.

Hackers die het V2V-systeem binnendringen zijn een serieuze bedreiging van de privacy. Maar hackers die in het V2V-systeem hebben ingebroken kunnen vervolgens ook doelbewust wijzigingen aanbrengen die de veiligheid in gevaar brengen. Er kunnen niet bestaande obstakels of auto’s in het systeem worden gezet. Werkelijke obstakels of auto’s kunnen onzichtbaar worden gemaakt. Er kunnen plotseling remlichten worden aangezet. Mogelijkheden genoeg om een verkeerschaos en ongelukken te veroorzaten. “Een aanvaller kan de auto ook wijsmaken dat er een enorme opstopping in zijn buurt is en zo al het verkeer motiveren om om te rijden en zelf genieten van een rustige zondagmiddag. Het zijn stuk voor stuk voorbeelden die laten zien dat het succes van V2V afhankelijk is van de veiligheid en privacy” [Jonathan Petit, in: Scientias, 19.7.14].


Voertuigcommunicatiesystemen zijn ad-hoc netwerken waarin voertuigen en wegelementen die dichtbij zijn elkaar van informatie voorzien zoals veiligheidswaarschuwingen en verkeersinformatie.

Index Kwaadaardige opties

Scala van automobiele bedreigingen
De auto waarin we rijden wordtsteeds slimmer en in veel opzichten ook veiliger. Onze voertuigen worden volgepropt met de meest uiteenlopende nieuwe technologieën. Maar daardoor wordt onze auto ook kwetsbaarder voor cyberaanvallen en inbreuken op privacy.

We hebben gezien welke risico’s er verbonden zijn aan het gebruik van slimme auto’s. Die risico’s worden dreigingen zodra zij opzettelijk worden gebruikt om de eigenaar of bestuurder van zo’n slimme auto te treffen. De slimme auto en hun chauffeurs en inzittenden kunnen het doelwit worden van aanvallen van diverse kwaadaardige actoren: vandalen, (h)activisten, criminelen, terroristen of vijandige overheden.

Kwaadaardige actoren
  Doel Methode
CyberVandalisme
Verdrijven van verveling, om aandacht vragen, irriteren. Geen maatschappelijk, politiek of financieel doel. Het vandaliseren van willekeurige auto’s “voor de lol” of uit nieuwsgierigheid: “kijken of het kan”.
CyberActivisme
Articuleren van maatschappelijke belangen en van politieke doelstellingen; aanklagen van exploiterende, repressieve en discriminerende machthebbers. Activistische propaganda: aandacht vragen voor maatschappelijke problemen middels het blokkeren van de toegang tot auto’ (denial-of-service aanvallen als virtuele sit-in). Hacktivisten gebruiken denial-of-service aanvallen (blokkeren van toegang tot eigen auto) of publiceren via het autosysteem afgeluisterde gevoelige informatie van hun doelwitten als vorm van politiek protest. Radicale groepen kunnen meer drastische effecten bewerkstellingen: het ontregelen van het reguliere autogebruik en het onklaar maken van de voertuigen van tegenstanders.
CyberCriminaliteit
Illegale zelfverrijking: geldklopperij door diefstal, oplichting, afpersing en fraude. Opportunistisch, niet ideologisch, niet strategisch: inbreken, pakken wat je kan en wegwezen (hit and run). Cybercriminelen kopen en verkopen op de zwarte markt instrumenten waarmee op auto’s kan worden ingegroken.
CyberTerrorisme
Vijanden van de onjuiste leer zoveel mogelijk schade berokkenen: angst zaaien. Ideologisch niet op geldelijk winst gericht. Spectaculaire cyberaanslagen op vijandige voertuigen. Terroristische organisaties hebben steeds meer belangstelling voor ontwikkeling en gebruik van offensieve cybercapaciteiten. Hun slagkracht is beperkt door de beschikbare intellectuele en organisationele bronnen en, en door concurrerende prioriteiten.
CyberSpionage
Verwerven van informatie over vijandige of potentieel vijandige strijdkrachten. Spionage gericht op het stelen intellectueel eigendom en bedrijfsgeheimen van concurrerende binnen- of buitenlande ondernemingen. Clandestien penetreren in vijandige vervoerssystemen om daar heimelijk informatiebestanden te vervreemden of communicaties af te luisteren.
Cybotage
Vernietigen of beschadigen van vitale vervoerssystemen van vijandige staten met offensieve cyberwapens. Strategisch en niet opportunistisch: doelwitten bepalen, cyberwapens in stelling brengen, gericht aanvallen, monitoren van effecten.
Aan deze opsomming zou nog «hacken» kunnen worden toegevoegd. Maar veel hackers zijn niet kwaadaardig. Er zijn veel ethische of white hat hackers inspecteren slechts de kwaliteit van de beveiligingssystemen van computersystemen en netwerken. Hun doel is het aantonen —middels volledige of verantwoordelijke bekendmaking— dat deze systemen en netwerken inadequaat beveiligd zijn en dat het mogelijk is om daarop in te breken. Hun werkwijze is misschien het best te beschrijven als ‘binnendringen omdat het kan’ en ‘lekken zoeken omdat er lekken zijn’, zonder onnodige schade aan te richten. Hackers zijn de aanjagers in het ontwikkelingsproces van robuuste cyberveiligheid. Daarom loven IT-bedrijven tegenwoordig premies uit voor hackers die een kwetsbaarheid weten te vinden in hun hard- of software.

Index


Vandalen
Auto’s waren altijd al kwetsbaar voor vandalen. De meeste auto’s staan onbeheerd op straat en kunnen dus relatief gemakkelijk en zonder al te grote pakkans worden gevandaliseerd door verveelde jongeren — “voor de lol” of uit nieuwsgierigheid (“kijken of het kan”). Spiegels afbreken, ramen inslaan, banden lek steken, sloten forceren, de carrosserie bekrassen of beschilderen, of het hele voertuig in brand steken.

Voor het digitaal vandaliseren is iets meer intellect vereist. Maar er zijn genoeg jonge amateur hackers en digitale vandalen die het kraken van willekeurige auto’s als uitdaging beschouwen. Voor het digitaal vandaliseren van auto’s is geen bovengemiddeld intellect vereist. Op de boven- en ondergrondse internetmarkt zijn voldoende instrumenten voorhanden die cybervandalen kunnen gebruiken om slimme auto’s te kraken.

Een ontevreden automonteur
Omar Ramos-Lopez
Omar Ramos-Lopez
In en rond de Amerikaanse stad Austin (Texas) werden meer dan 100 auto’s met een afstandsbediening onklaar gemaakt. Het systeem waarmee auto’s op afstand uitgeschakeld kunnen worden was daar door de autodealer ingebouwd. Maar het systeem werd op een kwaadaardige manier gemanipuleerd door een ontevreden voormalige werknemer, de 20-jarige Omar Ramos-Lopez. De autobezitters konden hun voertuig niet meer starten en werden wanhopig omdat Omar ook de hele nacht de claxon liet afgaan. Sommigen merkten dat hun leasecontract plotseling was overgeschreven naar de overleden rapper Tupac Shakur [Wired, 17.3.10; PCWorld, 18.5.10].

In februari 2010 werd Omar ontslagen bij het Texas Auto Center. Via de inlogcode van een andere werknemer kreeg hij toch nog toegang tot het bedrijfssysteem. Eerst probeerde hij voertuigen te vinden door te zoeken naar de namen van specifieke klanten. Toen ontdekte hij dat hij bij de databank van alle 1.100 klanten kon komen met een auto waarin het systeem Webtech Plus was ingebouwd. Dat systeem reageert op commando’s die via een centrale website worden doorgegeven aan een draadloos netwerk. De autodealer kan hiermee voertuigen immobiliseren of de claxon laten afgaan om de klant erop te wijzen dat hij te laat is met afbetalen. No pay, no start. Met het ‘starter interrupt device’ komt de repoman op de passagiersstoel te zitten.

Omar was erg handig met computers. In alfabetische volgorde liep hij de klantenlijst door, vandaliseerde de administratie, maakte de auto’s onklaar en liet hun claxons loeien.

Achterdocht
Een achterdochtige echtgenoot of echtgenote kan het navigatiesysteem van de auto gebruiken om de bewegingen van zijn/haar partner te volgen en kan de ingebouwde microfoon activeren om heimelijk de gesprekken af te luisteren die in de auto plaatsvinden.

Index


Criminelen - Autodieven
De autodief van de nieuwe generatie maakt geen gebruik meer van de ’smash and grab’ methode maar belt een geparkeerde auto op, ontsluit de deuren en zet de motor aan. Als hij op de scene verschijnt kan hij zo instappen en wegrijden.

Hightech autodiefstal laat geen spoor van inbraak na: geen ingeslagen raam of geforceerd slot. Als dieven zelf slimme digitale inbraakijzers gebruiken wordt het voor politie en verzekeringsmaatschappijen lastig om voldoende bewijs te krijgen van wat er precies gebeurd is.

De markt voor cybercriminele autokrakers wordt elke dag groter en lucratiever. De elektronica en software van slimme auto’s blijft relatief makkelijk kraakbaar en de digitale inbraakijzers zijn vrij verkrijgbaar, gemakkelijk te bedienen en goedkoop.

Een van de grootste cyberdreigingen is dat auto’s gebruikt gaan worden om losgeld af te persen door het computersysteem met malware te infecteren waardoor de gebruikers hun voertuig niet meer kunnen gebruiken [Car and Driver, 26.10.16].

Car-hacking

Criminelen zijn in de regel maar op een ding uit: geld. Het doelwit kan de auto zelf zijn: op afstand ontsluiten, stelen en verkopen. De auto kan ook gebruikt worden als middel. Er kan losgeld worden gevraagd nadat de toegang tot de auto is geblokkeerd. Een gehackte auto kan ook worden gebruikt om in te breken op telefoons die daarmee via USB-poorten zijn verbonden om creditcard informatie te stelen, of om op basis van locatiegegevens in te breken in de woning van de chauffeur.

Autoschade door hacken
Volgens de Stichting Verzekeringsbureau Voertuigcriminaliteit (VbV) is er een enorme toename in schade aan auto’s. Directeur Wouter Verkerk:
    “In 2010 hadden we nog veertig miljoen schade aan jonge auto’s van 0-3 jaar. In 2014 was dat honderd miljoen. Die toename is in belangrijke mate te wijten aan hacken. Dat baseer ik enerzijds op politieonderzoek, anderzijds op het feit dat mensen beide sleutels nog hebben nadat de auto is gestolen.” [Nos, 11.8.15].

In de eerste zes maanden van 2016 daalde echter het aantal gestolen personenauto’s met 7%: van 5.180 tot 4.776. Het is een combinatie van vooral twee factoren. Anderzijds beveiligen fabrikanten hun auto’s beter tegen diefstal. Anderzijds wisselen steeds meer landen meer gegevens uit waar het voor autodieven lastiger wordt om gestolen voertuigen te herregistreren.

Criminelen zoeken hun toevlucht tot het strippen van gestolen auto’s, d.w.z. op het verkopen van onderdelen van iets oudere gehackte auto’s [AVc, juli 2016; VbV, 11.7.16].

Cijfers voertuigdiefstallen
Bron: Statistiek Voertuigendiefstal januari t/m juni 2016 door F.J. Blaauw

Index


Activisten
Hactivisten kunnen hun onvrede over bepaalde politieke en maatschappelijke kwesties uiten door bedrijven of personen die zij daarvoor verantwoordelijk houden te treffen door een cyberaanval op hun particuliere of bedrijfsauto’s. Op die manier zou een heel bedrijfsmatig wagenpark tot stilstand gebracht kunnen worden of zouden van bepaalde personen de particuliere vervoersmiddelen geblokkeerd kunnen worden.

Actiegroepen kunnen heel gericht inbreken op het hacken van slimme vervoersmiddelen om aan te tonen dát de beveiliging daarvan zwaar te wensen over laat, of dat er gebruik wordt gemaakt van sjoemelsoftware om de milieu-inspecteurs bij emissietesten om de tuin de leiden.

In 2015 kondigde de actiegroep Milieudefensie aan dat zij hackers ging inzetten of de software van dieselpersonenauto’s te hacken. Op die manier wil de actiegroep meer duidelijkheid krijgen over het gesjoemel van autofabrikanten [Autoweek, 29.9.15].

Milieudefensie wil niet alleen de software van Volkswagen, maar ook die van andere merken, zoals BMW, Mercedes en Opel. Volgens de organisatie moet de Europese Unie autofabrikanten dwingen toegang te geven tot de chips. Op die manier zou fraude kunnen worden voorkomen. “Maar als die het niet doen, moeten wij het doen” [Ivo Stumpe].

Het is niet illegaal om een auto te kopen om te kijken hoe de software in elkaar is gezet. Iets anders is het publiek maken van de broncode van deze software. Maar zonder de broncode van de software is het onmogelijk om in de toekomst gesjoemel zoals dat van Volkswagen te voorkomen.

Index


Spionnen

Data bij de vleet
De meerderheid van de fabrikanten biedt slimme auto’s aan die niet alleen de geschiedenis van het rijgedrag vastleggen, maar ook draadloos naar zichzelf of naar derde partijen versturen. Er worden grote hoeveelheden dat verzameld over rijgedrag:

Meestal gebeurt dit zonder dat gebruikers expliciet zijn gewaarschuwd dat deze informatie verzameld wordt en hoe deze zal worden gebruikt. Veel autofabrikanten gebruiken derde-partijen om voertuigdata te verzamelen. Dit kan gebruikers nog kwetsbaarder maken, en sommigen dragen de data over naar datacentra van derde partijen. De datastromen van de sensoren van slimme auto’s worden gemonetariseerd. Er is een hele nieuwe datamarkt ontstaan voor voertuigdata [CAESS 2016].

Er zijn een aantal nieuwe diensten ontstaan die een zeer breed spectrum aan gebruikersgegevens verzamelen. Dat biedt niet alleen waardevolle informatie waarmee de autoprestaties kunnen worden verbeterd, maar ook voor commerciële doeleinden en voor rechtshandhaving. Autodealers en providers van navigatiesystemen zijn al begonnen met het inbouwen van startonderbrekingssystemen die hen in staat stellen om auto’s te volgen en onbruikbaar te maken als de chauffeurs hun rekeningen niet hebben voldaan of wanneer de auto als gestolen wordt geregistreerd.

Schending van privacy
In november 2013 werd een online makelaar voor limousines en stadsauto’s gehackt waarbij financiële en persoonlijke informatie werd gestolen van meer dan 85.000 klanten. Tot deze klantenkring behoorden de vastgoed-magnaat Donald Trump, de basketbal ster LeBron James, acteur Tom Hanks, en veel andere gefortuneerden en beroemdheden [Ars Technica, 4.11.13].

De kaartnummers van zeer hoge bankrekeningen worden in de cybercriminele onderwereld voor hoge prijzen verhandeld.
Limosine
De bestanden die van het bedrijf CorporateCarOnline werden gestolen bevatte bankgegevens van 241.000 high- of no-limit American Express rekeningen, persoonlijke details over de superrijke clientèle van het bedrijf, inclusief de locaties waar zij worden opgehaald en afgezet.

Met een simpele zoekopdracht naar bepaalde woorden (‘sex’, ‘puke’, ‘arrest’, ‘police’ en ‘smoking pot’) komen tientallen sappige verhalen naar boven die gaan over wangedrag en allerlei soorten onfatsoen van politici, ondernemers en beroemdheden. Smakelijke details voor roddelbladen, maar ook zeer nuttige informatie voor afpersing.

Een spion in je auto
Slimme auto’s bieden voor inlichtingen- en veiligheidsdiensten legio mogelijkheden om bepaalde doelwitten te bespioneren. De apparaten die in slimme auto’ zijn ingebouwd zijn immers veel makkelijker te kraken dan veel computers, laptops, tablets en mobieltjes. In februari 2016 vertelde de directeur van de nationale Amerikaanse inlichtingendiensten, James Clapper, aan een panel van het Congres dat het IoT in de toekomst door inlichtingendiensten gebruikt gaat worden “voor identificatie, surveillance, monitoring, voor de bepaling van iemands locatie, en voor rekrutering van spionnen, of om toegang te krijgen tot netwerken of toegangscodes van gebruikers” [Guardian, 9.2.16]. De Amerikaanse overheid geeft dus toe dat het slimme auto’s voor spionage zal gebruiken. Vergeet dus het idee dat je veilig en onbespied in je eigen slimme auto kunt rondrijden.

Index


Slimme auto’s als terroristisch doelwit
Niet alleen inlichtingen- en veiligheidsdiensten weten hoe zij slimme auto’s kunnen kraken, ook terroristische groeperingen (kunnen) weten hoe zij van afstand de controle over een auto kunnen overnemen. Daarmee hebben terroristen een gevaarlijk wapen in handen waarmee zij specifieke individuen kunnen beschadigen of doden. Er zijn —voor zover mij bekend— nog geen incidenten waarbij kon worden aangetoond dat terroristen daadwerkelijk een slimme autobezitter hebben laten verongelukken.

Michael Hastings - Killed by autohack?
De Huffington Post publiceerde in juni 2013 een verhaal over het verdachte auto-ongeluk van een Amerikaanse journalist, Michael Hastings, die mogelijk door een autohack om het leven kwam [Huffington Post, 24.6.13].

Twee dagen voor zijn dood zei Hastings dat hij geloofde dat er met zijn auto was geknoeid en dat hij bang was en de stad wilde verlaten. Hij vroeg aan een buurvrouw om hem haar auto te lenen, maar dat ging niet door omdat deze een mechanisch probleem had [USA Today, 22.8.13].

Een agent van de LAPD onderzoekt het auto-ongeluk waarbij journalist Michael Hastings werd gedood toen hij op 18 juni 2013 met zijn auto op een boom botste en in brand vloog in Hancock Park.

Het is herhaaldelijk aangetoond dat het mogelijk is om draadloos op slimme auto’s in te breken en via internet de controle over de bediening over te nemen: stuur, remmen, versnelling etc. [Wired, 21.7.15]. Zie ter illustratie het Youtube filmpje: Hackers Remotely Kill a Jeep on the Highway.

Terroristen die op afstand de controle over voertuigen over weten te nemen kunnen een botsing forceren met fatale gevolgen voor inzittenden. Zij kunnen een gekaapte auto ook op volle snelheid op mensenmassa’s laten inrijden. Of zoals John Carlin van het Amerikaanse departement van Justitie zei: ’We weten dat deze terroristische groepen in staat zijn om dit te doen. Als zij proberen om vrachtwagens op onze burgers te laten inrijden, dan is er niet veel fantasie nodig om je voor te stellen dat zij proberen om hetzelfde te doen met een autonoom voertuig” [Automotive News, 22.7.16].

Trojaans paard in een politieauto
Een intelligente techniek van cyberterroristen is het zelf maken van software. Een opmerkelijk voorbeeld daarvan deed zich voor in Japan. In maart 2000 meldde het Japanse Metropolitan Police Department dat zij een softwaresysteem had laten bouwen om de 150 politiewagens, inclusief politieauto’s zonder herkenningstekens, te traceren. Het was een mededeling die met enige trots in de internationale media werd verspreid en die politiefunctionarissen in de hele wereld nieuwsgierig maakte.

Niet veel later bleek echter dat het programma was ontwikkeld door de Aum Shinrikyo sekte, dezelfde groep die in 1995 het zenuwgas sarin in de metro van Tokyo liet ontsnappen, waardoor 13 mensen werden gedood en 6.000 mensen gewond raakten.

Toen het Trojaanse paard ontdekt werd, had de sekte al de geclassificeerde gegevens over 115 voertuigen ontvangen. Bovendien had de sekte software ontwikkeld voor minstens 80 Japanse bedrijven en 10 overheidsinstellingen. Mantelorganisaties van de Aum sekte hadden als onderaannemers voor andere bedrijven gewerkt, waardoor het bijna onmogelijk werd om te achterhalen wie de software eigenlijk ontwikkelde.

In software kan een Trojaans paard worden ingebouwd dat op een later tijdstip geactiveerd kan worden
  • om inlichtingen te verzamelen (cyberspionage),
  • om blokkerende of ontregelende cyberaanvallen uit te voeren op internetlocaties van vijandige personen, instellingen of staten (cyberblokkade & cyberontregeling),
  • of om vitale infrastructurele voorzieningen te saboteren (cybotage).

Index


Auto als militair doelwit

De vijand rijdt mee
Het Internet of Things biedt niet alleen nieuwe mogelijkheden om via cyberspace in te breken op militaire instellingen en communicatienetwerken, maar ook op de besturingssystemen van militaire voertuigen.

Daarnaast kan het persoonsvervoer in slimme auto’s zeer nauwkeurige informatie opleveren over wie zich waar bevindt en in welke richting bepaalde personen die voor oorlogsvoering van vitaal belang zijn zich begeven. Via geolocatie van voertuigen is kan de verblijfsplaats van militaire sleutelfiguren tamelijk nauwkeurig worden bepaald. Als de geolocatie van waardevolle militaire actoren eenmaal is bepaald, dan kunnen slimme drones het werk afmaken.

Een grenswacht in je auto
Sinds 2007 plaatsen Chinese autoriteiten in Shenzhen “inspection and quarantaine cards” in tienduizenden voertuigen met een dubbel (Chinees en Hong Kong) kenteken om auto’s die de grens passeren te kunnen volgen. Toen dit in 2012 bekend werd, veroorzaakte dit enige opwinding. Volgens de Apple Daily zijn deze apparaten tot veel meer in staat en kunnen ze ook gebruikt kunnen worden voor afluisteren [You Tube: Chinese Spy Device in Hong Kong Cars].

chinese-vehicle-listening-device
Inkijkje in het Chinese Auto Afluister Apparaat
De Chinese autoriteiten kunnen hierdoor de conversaties van reizigers in Hong Kong afluisteren. Smokkelaars waren de eersten die door kregen dat er iets aan de hand was. Zij vonden het vreemd dat de grensbewakers in staat waren om precies de auto’s te traceren die gebruikt werden voor het smokkelen. Een Chinese smokkelaar zei: “Om het risico te verkleinen hadden we slechts in drie of vier van elke tien auto’s smokkelwaar verborgen. Maar de grensagenten pakte ze allemaal. De nauwkeurigheid was onwerkelijk!” [Epoch Times, 12.6.11].

Het apparaatje is niet groter dan een mobieltje en wordt tegen de voorruit aangeplakt. Het signaal heeft een bereik van 20 kilometer. Dat betekent dat de auto’s ook kunnen worden afgeluisterd als zij in Hong Kong zijn.

De autoriteiten van Shenzhen ontkenden de beschuldigingen, maar reizigers in Hong Kong waren hierdoor niet gerustgesteld. Zij vrezen ook te worden afgeluisterd als zij privézaken bespreken tijdens hun reizen tussen Hong Kong en China [CyberIntelligence Center, 27.6.12].

Index Normering van productie

Behoefte aan regels
Naarmate er meer draadloze technologie wordt geïntegreerd auto’s ontstaan er meer kanalen waarlangs hackers kwaadaardige code in het voertuignetwerk kunnen introduceren en manieren waarop het basisrecht op privacy vertrapt kan worden. Deze risico’s laten zien dat er dringend behoefte is aan een robuust veiligheidsbeleid voor auto’s. Inbraak- en brandalarm zouden de slimme auto moeten beschermen tegen ongewenste calamiteiten. Gebruiksvriendelijke navigatiesystemen en op aanraakscherm sluitbare ramen, regelbare temperatuur, radiozender etc. zouden het gebruiksgemak van de auto en ons rijplezier moeten vergroten. Maar in het tijdperk van de draadloze elektronische aansturing van onze particuliere voertuigen moeten we er ook voor zorgen dat de veiligheid en privacy van mensen in slimme auto’s gegarandeerd wordt.

Naar schatting zijn er al meer dan 18 miljard apparaten verbonden met internet en dat aantal neemt snel toe. De meeste apparaten die door IoT-producenten op de markt worden gebracht zijn niet of nauwelijks maar in ieder geval slecht beveiligd. De vraag is wat er gedaan kan of zou moeten worden om de gebruikers van automobiele werken beter te beschermen tegen cyberinbraken en ongewenste schendingen van privacy.

Er is behoefte aan normering van de productie van slimme auto’s. Er zijn een paar algemene verlangens die als eisen die gesteld zouden mogen/moeten worden aan de leveranciers van slimme auto’s.

Index


Vragen aan autofabrikanten
In december 2013 schreef de Amerikaanse senator Edward J. Markey een open brief aan 20 belangrijke autofabrikanten waarin hij informatie vroeg over hoe consumenten beschermd worden tegen cyberaanvallen of ongewenste schendingen van privacy.

Bijna alle auto’s maken gebruik van draadloze technologieën die kwetsbaar zijn voor autodieven en inbraken op privacy. Autofabrikanten verzamelen enorme hoeveelheden gegevens over ons rijgedrag en de locaties van het voertuig.

Markey stelde de volgende vragen aan de automakers.

De antwoorden op deze vragen werden verwerkt het in februari 2015 gepubliceerde rapport van Markey. Daaruit blijkt “dat er een duidelijk gebrek aan beveiligingsmaatregelen is om bestuurders tegen hackers te beschermen die de besturing van een voertuig kunnen overnemen of tegen diegenen die persoonlijke informatie over de bestuurders willen verzamelen en gebruiken” [Markey, 6.2.15].

Bijna alle auto’s die tegenwoordig verkocht worden bevatten draadloze technologieën die door hackers gecompromitteerd kunnen worden, maar de autofabrikanten lijken niet te beseffen wat de gevolgen hiervan zijn. De beveiligingen die moeten voorkomen dat kwaadaardige buitenstanders op afstand toegang krijgen tot het voertuig zijn zwak, inconsistent en lukraak aangebracht.

Index


Standaarden
Samen met senator Richard Blumenthal diende Markey een wetsvoorstel in dat ontworpen is om ervoor te zorgen dat auto’s die in de VS worden verkocht voldoen aan bepaalde standaarden die beschermen tegen digitale aanvallen en uitholling van privacy.

Ten eerste wordt van de NHTSA (National Highway Safety and Transportation Administration) en de FTC (Federal Trade Commission) gevraagd om beveiligingsstandaarden voor auto’s op te stellen. Daarbij gaat het vooral om het isoleren van kritische softwaresystemen van de rest van het interne netwerk van het voertuig. Beveiligingssystemen moeten worden gevalideerd met behulp van penetratietests.

Ten tweede wordt van dezelfde instanties gevraagd om privacystandaarden op te stellen die ervoor moeten zorgen dat autofabrikanten hun klanten informeren over de manier waarop zij gegevens verzamelen over de auto’s die zij verkopen, waarbij de chauffeurs de optie hebben om daar niet aan mee te doen. Bovendien moeten er beperkingen worden opgelegd aan de manier waarop die informatie voor marketing gebruikt kan worden.

En tenslotte wordt van fabrikanten vereist dat zij op nieuwe auto’s raamstickers aanbrengen die aangeven wat hun niveau van beveiliging en privacybescherming is [Wired, 21.7.15].

Index


Auto hacken als misdrijf
Het hacken van een auto met cybermiddelen is een misdrijf op dezelfde manier als het ouderwetse inbreken met een breekijzer dat was en is. In de senaat van de Amerikaanse staat Michigan werd eind april 2016 een wetsvoorstel ingediend waarin onbevoegd inbreken op het elektronisch systeem van een voertuig expliciet als misdrijf wordt aangemerkt waarvoor een levenslange gevangenisstraf kan worden geëist.

Levenslang voor autohacken
In een tweede wetsvoorstel, Senate Bill 929 wordt een belachelijk hoge maximum straf voor autohacken voorgesteld: levenslang. Op geen enkele van de andere overtredingen in de anti-hacking wet staat een zo hoge straf. De indieners van het wetsvoorstel motiveren de zwaarte van de straf met het argument dat autohacken de fysieke veiligheid in gevaar brengt. In plaats van af te wachten tot er iets ergs gebeurt willen zij proactief optreden en hackers afschrikken [Automotive News, 28.4.16].

Zo’n drastisch voorstel zou niet alleen onbedoelde gevolgen kunnen hebben voor beveiligingsonderzoekers, maar ook voor mensen die met hun eigen auto willen rijden: het besturen van je auto betekent immers dat je toegang hebt tot het elektronisch systeem om opzettelijk het motorvoertuig te veranderen. De ontwerpers van de wet hebben vergeten in het eerste deel van de bepaling toe te voegen: “zonder authorisatie” [Charlie Millar, 29.4.16].

Autofabrikanten zoals Tesla en General Motors hebben bug bounty programma’s opgezet om hackers te belonen voor het ontdekken en rapporteren van kwetsbaarheden. Maar er zullen weinig bonadife hackers overblijven die het risico willen lopen van een levenslange gevangenisstraf?

Dit slecht geformuleerde wetsvoorstel maakt elke vorm van autohacken illegaal. Het zou bonafige hackers afschrikken die met al hun inspanningen juist bijdragen aan het vergroten van de veiligheid van onze voertuigen.

Fysiek en digitaal eigendom
Je bent eigenaar van je eigen auto, maar niet van de software waardoor die auto werkt - die blijft in het bezit van de softwaremaker. Je mag gebruik maken van de software, maar als die op welke manier dan ook wilt veranderen (bijvoorbeeld door het zelf te repareren als het kapot gaat of wanneer je veiligheidslekken wilt dichten) dan is dit een vorm van schending van copyrights.

Je bezit een auto als fysiek object, maar hebt slechts beperkte rechten op de software die hem controleert omdat de autofabrikant het copyright op die software heeft.

Diverse organisaties hebben tegen deze ridicule regeling geprotesteerd: iFixit, Repair.org, Electronic Frontier Foundation (EFF), en vele anderen.

In 2015 stemde de Amrikaanse Copyright Office ermee in dat mensen de software mogen modificeren die draait in de auto die zij bezitten. En op 28 oktober 2016 tradt deze regel in werking — voor 2 jaar[IEEE, 1.11.16].

Index Nomadische gedachten

Leven met onzekerheden
Auto’s —slim of dom— zullen ook de komende decennia nog een belangrijk onderdeel blijven van onze wijze van vervoer. Omdat ze steeds meer uitgerust worden met computergestuurde apparaten wordt het autorijden vergemakkelijkt, ondersteund en veiliger gemaakt.

Meer dan 90% van de verkeersongelukken wordt veroorzaakt door menselijke fouten, zoals te snel rijden, roekeloos rijden, dronken rijden, slaperig rijden en afgeleid rijden. In 2015 vielen er in Nederland 621 verkeersdoden — 12 per week.
De volledig autonoom rijdende auto’s komen er in snel tempo aan. Er zijn nog technologische drempels die genomen moeten worden en er zijn nog serieuze problemen rond de beveiliging. Maar als alles goed gaat kunnen zelfrijdende auto’s helpen om het aantal verkeersongelukken drastisch te beperken. Ze hebben snellere reflexen, nemen consistent goede beslissingen, houden zich strikt aan de verkeersregels, doen niet aan bumperkleven, worden niet dronken en telefoneren tijdens het rijden niet met hun geliefde.

Nomadic by nature Autofabrikanten bouwen steeds meer elektronische slimmigheidjes in ons vervoermiddel. Om concurrenten niet wijzer te maken dan ze al zijn verteld geen enkele autofabrikant precies welke veiligheidsrisico’s er aan die innovaties en snufjes verbonden zijn. Heldere regel- en wetgeving omtrent de productie van auto’s met ingebouwde IoT-apparaten zijn nog nergens gerealiseerd. Voor broodroosters en vleesproducten bestaan in veel landen wél duidelijke regels en wetten en ook controlemechanismen op de naleving daarvan.

Index


Kwetsbare digitale boezem
We zijn digitaal kwetsbaar geworden tot op de boezem. Overal waar we gaan of staan, omringen we ons met slimme apparaten — met multifunctionele mobiele telefoons, tablets en laptops. We dragen ze dicht op ons lijf en daardoor zijn we altijd bereikbaar (hoewel niet altijd beschikbaar) en kunnen we iedereen altijd online direct bereiken.

We gebruiken al die apparaten om te werken en te leren, om contacten te onderhouden en conflicten uit te vechten, om boodschappen te doen en vakanties te boeken, om bankzaken te regelen en om te spelen. Er is geen dagelijkse handeling waarvoor we deze apparaten niet kunnen gebruiken. Hoe meer we online actief zijn en informatie delen, des te kwetsbaarder worden we voor cyberaanvallen om onze wachtwoorden en data te stelen, om de controle over onze computernetwerken en communicatiesystemen over te nemen, en om kwaadaardig te manipuleren met de bedrijfsmatige, huishoudelijke en automotieve apparaten die we gebruiken.

Onze informatie- en communicatietechnologieën zijn hoogontwikkeld, krachtig, gebruiksvriendelijk, relatief goedkoop en daardoor voor bijna iedereen toegankelijk. Maar ze zijn helaas ook fundamenteel kwetsbaar. De omvang en complexiteit van de software waarmee we werken, zijn zo groot, dat er altijd kwetsbaarheden of veiligheidslekken zijn die door kwaadwillenden kunnen worden uitgebuit. Bijna alle producenten van die software zijn meer geïnteresseerd in de winsten die zij met hun nieuwe producten kunnen realiseren dan in de veiligheid van hun klanten.

‘Overheid, geef toe dat het internet niet te beveiligen is’
“Overheden die niet bijster goed zijn ingevoerd in de digitale wereld blijven er maar van overtuigd dat het internet der dingen de oplossing is voor alle kwalen. Daarom verdigitaliseren ze de maatschappijen in rap tempo. Schaffen betalingen met contant geld af, schrappen blauwe enveloppen, dringen slimme meters op en verplichten op korte termijn tot het gebruik van auto’s die op afstand bestuurbaar zijn.

Ook al vormt het internet der dingen volgens inlichtingendiensten een grotere dreiging dan het analoge terrorisme, overheden houden vol dat het leven er veiliger door wordt.

Misschien komt het door onduidelijkheid rondom het begrip veiligheid. Een overheid vindt de samenleving al snel veiliger naarmate ze die beter hoopt te controleren. Door auto’s op afstand tot stilstand te brengen, verwacht ze criminaliteit terug te dringen. Door telefoons te hacken denkt ze te zien of burgers radicaliseren. Maar de samenleving wordt niet logischerwijs veiliger als de elektronische infrastructuur van veraf wordt bestuurd en gebruikers zelf iedere controle verliezen.

[…] Volgens mij kunnen overheden het internet der dingen maar op één manier beveiligen en dat is door toe te geven dat het niet veilig is. Dan kunnen burgers zelf beslissen hoe slim ze hun omgeving willen maken en hoeveel data ze willen delen. Dan kunnen gebruikers zich zelfstandig verweren tegen kwaadwillenden door versleuteling. Encryptie” [Maxim Februari, in: NRC, 26.2.16].

We hebben ook gezien dat in de hele keten van kwetsbaarheden de individuele mens de zwakste schakel is. Soms zij werknemers onzorgvuldig in de omgang met het computernetwerk van hun bedrijf, of zijn ze zo goedgelovig dat zij op lokmails klikken en zich makkelijk laten manipuleren door zorgvuldig uitgedachte speervis-operaties. Maar vaak zijn zij ook het slachtoffer van een geraffineerde en gemaskeerde infectering van een persoonlijk elektronisch apparaat zoals een mobieltje.

Steeds meer functies van onze slimme auto’s worden beschikbaar gesteld via applicaties die via het mobieltje kunnen worden bediend. Ook voor autobezitters is het mobieltje het communicatieve centrum geworden om alles te regelen wat verband houdt met autorijden: voorverwarmen, lichten aan, starten, tanken, parkeren, tol betalen enz. Het infiltreren in en manipuleren van smartphones en mobiele communicatiesystemen is relatief eenvoudig en wordt in de strijd om cyberspace steeds belangrijker. We weten nu ook dat ons leven als autobestuurder daar ook van afhankelijk is.

Index


Wat mogelijk is, gebeurt niet altijd
Sommige mensen beschouwen de zorgen om de privacy en veiligheid van bezitters of huurders van slimme auto’s als een tijdelijke hype die vanzelf wel weer zal wegebben. Het zou slechts gaan om ‘dreigingen’ die zich nog nooit hebben gerealiseerd.

We hebben hiervoor laten zien dat er op bijna alle mogelijke manieren kán worden ingebroken op de ‘hersens’ van onze moderne voertuigen en dat dit tot nu toe bij bijna alle automerken ook daadwerkelijk ís gebeurd. Dat werd niet alleen aangetoond in wetenschappelijke experimenten en testen van amateur- en beroepshackers, maar ook door het stijgend aantal feitelijke inbraken in en diefstallen van slim geachte auto’s.

Bestuurders en passagiers van slimme auto’s lopen door het experimentele autohacken van academische beveiligingsspecialisten en creatieve hackers geen gevaar. Integendeel, zij laten zien dat de technologieën die gebruikt worden om auto’s slimmer te maken erg kwetsbaar zijn voor kwaadaardige hackers van diverse pluimage. Zij vervullen een nuttige horzelfunctie voor een industrie die de betrouwbaarheid en veiligheid van haar product nog altijd niet voldoende prioriteit geeft. Als de controle op de veiligheid van ons voedsel zo slecht was als bij auto’s dan zou de helft van de bevolking al aan voedselvergiftiging lijden.

Het arsenaal aan digitale braakinstrumenten voor slimme auto’s is inmiddels sterk uitgebreid en steeds geraffineerder. Het dreigingsniveau (d.w.z. de kans op autohacks) is hierdoor toegenomen. Die dreiging is niet alleen van criminele aard, maar zal ook een steeds belangrijker rol spelen in nationaal politieke kwesties (het volgen en afluisteren van burgers) en in internationale conflicten tussen staten en tussen staten en supranationale terroristische groeperingen.

Tegenover dit nogal verontrustende beeld staat slechts de geruststellende gedachte dat ook wat in cyberspace mogelijk is niet altijd gebeurt. De meeste ‘gewone’ bezitters of berijders van slimme auto’s zullen niet snel het doelwit worden van bedillerige nationale overheden, van kwaadaardige buitenlandse machten of van terroristische aanslagen. Helaas blijft ook de slimme auto van die gewone man of vrouw (en de inhoud daarvan) een geliefd object van zichzelf verrijkende criminelen.

Een volledig afdoende bescherming tegen aanvallen van hackers bestaat niet. Fabrikanten moeten proberen hun auto’s zo goed tegen aanvallen te beschermen dat de inspanning voor de hacker te groot wordt en dat andere doelwitten lonender zijn. Zij moeten zich als slimme gazelle gedragen.

               Slimme gazelle

Twee gazelles worden opgejaagd door een leeuw.

Een van de gazelles trekt gymschoenen aan.

“Waarom doe je dat”, vraagt de andere gazelle.
“Met gymschoenen ben je toch niet sneller dan de leeuw!”

“Dat klopt” zegt de ander, “maar wel sneller dan jij.”

Index


Het internet der dingen en doelwitten
We leven in een wereld van ongemeen digitaal gemak. In alle aspecten van ons dagelijks leven zijn computerchips ingebakken in alle aspecten van ons dagelijks leven waardoor we direct toegang hebben tot de meest uiteenlopende soorten informatie — waar en wanneer we deze ook nodig hebben. Apparaten die vroeger dom waren, zijn nu in staat om via internet en andere protocollen met elkaar interacteren en met ons te communiceren.

Nog niet zo lang geleden was cyberspace voor velen nog een loutere fictie, een consensuele hallucinatie [William Gibson], in ieder geval iets dat naast de werkelijkheid staat, maar daar zeker geen onderdeel van is. De virtuele wereld was nog iets vreemds dat alleen nog maar buiten de echte wereld bestond.

Dit digitale dualisme (i) waarin een scherpe maar misleidende ontologische scheiding wordt gemaakt tussen de «echte» werkelijkheid en het virtuele domein van cyberspace en (ii) waarbij het een boven het ander wordt gesteld is al voor een groot deel verdwenen. Steeds meer is het inzicht doorgedrongen dat onze virtuele wereld geen bijzaak of restgegeven is bij onze «echte» wereld, maar dat het daarvan een integraal onderdeel is geworden. Onze fysiek-lokale en virtueel-globale wereld zijn intrinsiek en onlosmakelijk met elkaar verbonden en constitueren samen de maatschappij waarin we leven.

Cyberspace is het virtuele domein van een realiteit die miljarden mensen onderling verbindt via computernetwerken en waarin onder onze regie slimme apparaten onderling met elkaar communiceren om ons comfort, plezier, efficiëntie en veiligheid te dienen.

Internet of Things Cyberspace is het geheel van virtuele werelden die ontstaan omdat we via internet en mobiele communicatie gebruik maken van smarttphones, tablets, laptops, pc’s en servers. Productiemachines, financiële operaties, vervoerstechnieken en slimme apparaten worden steeds sterker ingekaderd in digitale netwerken: scanners en printers; beveiligingscamera’s en liften; babyfoons en ijskasten; gps en satellieten; auto’s en jachtvliegtuigen; banknetwerken en beurssystemen; treinen, elektriciteitscentrales, ultracentrifuges en alle andere installaties die door computers worden aangestuurd en gecontroleerd.

In 2010 waren er al een miljard apparaten verbonden met het internet. In 2020 zullen er 50 miljard apparaten zijn met een IP-verbinding.

De harde kern van cyberspace wordt technisch gevormd door computercode. Technisch gezien bestaat cyberspace slechts uit apparaten die codes kunnen verwerken en die een verbinding hebben naar een digitaal netwerk. Maar alles dat door softwarecode wordt gecontroleerd, kan door malware worden gewijzigd, ontregeld, afgebroken of vernietigd. Het Internet of Things (IoT) is daarom per definitie ook een Internet of Targets. Al die slimme apparaten zijn ingebed in een grenzeloze, wetteloze en onveilige online wereld.

Geen sciencefiction
De kwetsbaarheid van het Internet van Apparaten is al langer bekend. In 2007 liet de toenmalige vicepresident Dick Cheney dat draadloze verbinding in zijn geïmplanteerde hartdefibrillator verwijderen uit angst dat een terrorist het apparaatje zou hacken om op die manier een fatale elektrische schok te veroorzaken.

In de populaire Amerikaanse televisieserie Homeland werd in seizoen 2, Episode 10 een scene opgenomen waarin een terrorist van Al-Qaida een aanslag pleegt op de Amerikaanse vicepresident door zijn pacemaker te hacken. De terrorist weet het serienummer van de pacemaker te bemachtigen en krijgt daarmee online toegang tot de pacemaker van de vicepresident. Via zijn laptop instrueert hij de pacemaker om in super-fibrillatie over te gaan waarna de vicepresident overlijdt aan een hartaanval.

In Amerika zorgde deze aflevering van Homeland in december 2012 voor grote ophef. De vraag rees in hoeverre dit ook echt mogelijk was [Forbes, 6.12.2012]. Het vertrouwen in draadloze digitale infrastructuur liep een gevoelige deuk op. Dat vertrouwen werd nog meer op de proef gesteld toen bleek dat al een jaar eerder een vergelijkbare kwetsbaarheid was aangetroffen in de draadloze controle van insulinepompen die aan een riem worden gedragen.

Het idee dat op deze manier een online moordaanslag gepleegd zou kunnen worden is geen vermakelijke sciencefiction meer. Over het Homeland-scenario zei Dick Cheney later: Ik vond het ongelofelijk. Het wat een accurate weergave van wat mogelijk is’ [CBS, 20.10.13; Youtube, 10.11.14; NYT, 2910.13].

De computers die vitaal zijn voor het functioneren van onze ecologische, materiële, economische en politiek-bestuurlijke en communicatieve infrastructuur zijn onderling steeds nauwer met elkaar verbonden door draadloze communicatiekanalen. Hierdoor neemt de kwetsbaarheid van al deze infrastructurele voorzieningen exponentieel toe.

Het «internet der dingen» implanteert computers in elk aspect van ons dagelijks leven en samenleven. Omdat al deze apparaten in een netwerk met elkaar worden verbonden, heeft de kwetsbaarheid in één apparaat gevolgen voor de veiligheid van álle andere apparaten.

Eén kwetsbaarheid van één onderdeel dat met de autoserver verbonden is (zoals een sensor die de bandenspanning meet) kan de veiligheid van de hele auto in gevaar brengen. Een kwetsbaarheid in een onderdeel van je thuisnetwerk (zoals een ijskast) kan als trampoline worden gebruikt voor verdergaande aanvallen. Deze risico’s worden nog groter als de slimme auto ook draadloos gaat interacteren met het slimme thuisnetwerk.

De inherente onveiligheid van het internet zelf maakt het moeilijk om op korte termijn effectieve veiligheidsmaatregelen te treffen. Het huwelijk tussen de auto en de cybertechnologie heeft ons vele zegeningen gebracht, maar er zijn ook veel nieuwe en zeer gevaarlijke risico’s aan verbonden. Het heeft onze auto’s hoe dan ook slimmer, gebruiksvriendelijker, efficiënter etc. gemaakt. Maar de zwakke plekken van gister worden ingebouwd in een wereld van apparaten die onderling steeds nauwer met elkaar verbonden zijn en die via een diversiteit van digitale communicatiekanalen benaderbaar (en dus manipuleerbaar) zijn.

De fusie tussen de fysieke wereld van de auto met de virtuele wereld van cyberspace heeft nog geen gelukkig huwelijk opgeleverd dat voldoende bestand is tegen boosaardige aanvallen van buitenaf. De samenwerking tussen de technici die auto’ maken en de programmeurs computerprogramma’s schrijven hebben al veel van elkaar geleerd. Dat leerproces zal — liefst zo snel mogelijk — verder moeten evalueren voordat je in slimme auto’s niet alleen comfortabel kunt rijden, maar ook niet bang hoeft te zijn dat deze gestolen wordt, of dat een kwaadaardige hacker de controle overneemt over de auto waarin je rijdt.

Robot hand. Foto: Spencer Higgins.

Index Bronnen over Autohacken

  1. ARD

  2. Ars Technica

  3. Attrition.org
    Een groep die ‘Web defacements’ en andere typen cybermisdaad in de gaten houdt.

  4. Auto Totaal

  5. Auto Vandaag

  6. Auto Week

  7. Automatiseringsgids

  8. Automotive News

  9. BBC

  10. BMW

  11. Car 2 Car

  12. Car and Driver

  13. Center for Automative Embedded Systems Security (CAESS)

  14. Cho, Kyong-Tak / Shin, Kang G. - University of Michigan

  15. C|Net

  16. DarkReading

  17. Business Insider

  18. Economist, The

  19. ENISA - European Network and Information Security Agency

  20. European CyberCrime Centre (EC3)

  21. European Union (EU)

  22. Europol

  23. Exploitee.rs

  24. F.B.I. - Federal Bureau of Investigation

  25. ExtremeTech

  26. Financial Times

  27. Financieel Dagblad (FD)

  28. Forbes

  29. Google

  30. Guardian, The

  31. Hackerone

  32. Heise Security

  33. Huffington Post, The

  34. IEEE Spectrum

  35. Intel

  36. Kamkar, Samy

  37. KrebsonSecurity

  38. Landelijk Informatiecentrum Voertuigcriminaliteit (LIV)

  39. McAfee

  40. Markey, Edward J.

  41. Meti, Ashok C.

  42. Miller, Charlie / Valasek, Chris
    • [2013] Adventures in Automotive Networks and Control Units
      Eerder onderzoek toonde aan dat het voor een aanvaller mogelijk is om van afstand codes te laten uitvoeren op de elektronische controle units (ECU) in automobielen via diverse communicatiekanalen. De auteurs laten zien wat zo’n aanvaller kan doen om het gedrag van het voertuig te beïnvloeden nadat hij op het systeem heeft ingebroken. In een aantal gevallen kregen zij controle over het stuur, de remmen, de acceleratie en het beeldscherm.
    • [2014] A Survey of Remote Automotive Attack Surfaces
      Resultaten van een brede analyse van 24 verschillende auto’s. De voertuigen werden getest op indicaties die wijzen op kwetsbaarheiden voor autogerichte hackers. Het is een handboek van waarderingen van auto’s op potentiële hackbaarheid van de componenten van het netwerk. Als je de radio hack kun je dan ook berichten sturen maar de remmen of het stuur? En als je dat kan, wat kun je er dan mee doen?

  43. MIT Technology Review

  44. MonileEye

  45. Naked Security

  46. Newsweek

  47. New Yorker, The

  48. New York Times, The (NYT)

  49. NOS

  50. NPR

  51. NRC

  52. NU.nl

  53. Numrush

  54. OECD

  55. PCWorld

  56. Petit, Jonathan

  57. Petit, Jonathan / Stottelaar, Bas / Feiri, Michael / Kargl, Frank

  58. QSM - Qualitative Software Management

  59. Register, The

  60. SAE International - Society of Automotive Engineers

  61. Schneier, Bruce

  62. Scientias.nl

  63. SecureList

  64. Security.nl

  65. Security Affairs - Pierluigi Paganini

  66. Shaked, Yaniv / Wool, Avishai

  67. Shin, Yonghee/Willams, Laurie

  68. Spiegel, Der

  69. Standaard, de

  70. Stichting Aanpak Voertuigcriminaliteit (AVc)

  71. Stichting Verzekeringsbureau Voertuigcriminalitei (VbV)

  72. Symantec

  73. Teichman, Alex / Thrun, Sebastian - Standford University

  74. Telegraaf, De

  75. Telegraph, The

  76. Time

  77. Times, The

  78. Trouw

  79. Volkskrant, De

  80. Vrij Nederland

  81. Wall Street Journal, The

  82. Washington Post, The

  83. Washington Times, The
  84. WHO - World Health Organization

  85. Wikipedia
    Auto | Car
    Motor vehicle theft | Bait car [lokauto]

  86. Wired

  87. Yan, Chen / Xu, Wenyuan / Liu, Janhao

  88. YouTube

  89. ZDNet

Index


Home Onderwerpen Zoek Over ons Doneer Contact

24 March, 2017
Eerst gepubliceerd: Nov, 2016