Dat it onze manier van autorijden sterk gaat beïnvloeden wordt als ontwikkeling inmiddels breed herkend. De tijd dat onze auto’s puur mechanisch waren ligt ver achter ons. De boordcomputer bepaalt of onze auto er klaar voor is of niet. En zijn er serieuze problemen met boordcomputer? Dan kun je beter een it-specialist zoeken dan een automonteur die hooguit de resetknop weet te vinden.
Diverse specialisten zien de steeds verdergaande computerisering van auto’s als een grote stap vooruit in de veiligheid van automobilisten. De computer kan immers binnen de auto vroegtijdig een onderhoudswaarschuwing afgeven en buiten de auto de omgeving in de gaten houden. Stel je eens voor dat alle bestuurders hun vertrek, bestemming, snelheid en huidige weglocatie met elkaar zouden delen? Dit zou enorme voordelen rondom verkeersplanning en het voorkomen van gevaarlijke situaties moeten kunnen bieden.
Hetzelfde geldt voor sensoren die bestuurders helpen om voldoende afstand te bewaren of die aangeven (of ingrijpen) op het moment dat je een zebrapad of school nadert. Maar de toename van it in auto’s heeft ook een keerzijde. Ze maken auto’s kwetsbaar voor allerlei bedreigingen die we tot nu toe alleen op onze computers tegenkomen.
Blue screen of death
Iedereen heeft het op zijn pc wel eens meegemaakt: een blauw scherm, een blokkerend toetsenborg of een spontane herstart. Je bent je werk kwijt, kunt een aantal minuten niets met je pc en je zit in spanning te wachten of de pc weer opnieuw opstart. In relatie tot pc gebruik is dit gedrag van computers redelijk geaccepteerd.
Het hoort er gewoon bij: computers zijn nou eenmaal kwetsbare apparaten. Maar een auto die er midden op de snelweg (of erger nog: een bergweggetje) ineens mee ophoudt… daar moeten we toch niet aan denken. Op dat moment kan een ‘blue screen of death’ ineens wel een hele letterlijke betekenis krijgen.
Auto diefstalgevoelig
Dat criminelen relatief makkelijk in computers kunnen inbreken is inmiddels ook wel bekend. Onze persoonsgegevens worden massaal van websites gestolen. En consumenten die iets minder handig met een computer zijn lopen grote risico’s op computervirussen, met alle gevolgen van dien.
In het Verenigd Koninkrijk bleken nieuwe BMW’s met computersloten in 2012 een geliefd doelwit van autodieven. De dieven hadden een trucje gevonden om de computersloten te hacken en konden in een paar minuten een gloednieuwe auto stelen. Het bleek kinderspel om via de ODB (de on-board diagnose poort) een nieuwe sleutel te programmeren. De dieven plaatsen via een hack een digitale sleutel van zichzelf in een blanco ‘keyfob’ om daarna met de auto weg te rijden. BMW had blijkbaar nagelaten om de toegang tot de sleutelmodule in de autoprogrammatuur via de ODB goed te beschermen. Resultaat: honderden auto’s verdwenen in een maand in een regio in het Verenigd Koninkrijk via een slimme hackerstool die op de Bulgaarse zwarte markt te koop werd aangeboden.
Overigens zijn ook veel draadloze sleutels tot op wel tien meter af te luisteren op het moment dat ze gebruikt worden om de auto te openen en/of te starten. Andere hackers slaagden er in om in een nieuwe auto de boordcomputer te kraken via een mp3 die op de autoradio werd afgespeeld. Berijders die dachten op internet een paar leuke nummers voor in de auto te downloaden plaatsten in werkelijkheid een computervirus op hun boordcomputer.
Computervirussen en ongelukken
In januari 2013 maakte Hyundai op de CES bekend dat ze het mogelijk willen maken dat berijders via hun smartphone informatie uit de boordcomputer kunnen ophalen. Hiervoor dient de auto uiteraard (via bijvoorbeeld een lte-netwerk) in verbinding met internet te staan. Handig om op afstand te kunnen controleren of je de ramen wel dicht hebt gedaan. Maar voor hackers zijn de apps (en de interfaces) natuurlijk net zo interessant om op afstand de auto mee open te maken. Deze week presenteren diverse hackers op de hackersconferenties Blackhat en Defcon in Las Vegas de bevindingen van hun onderzoek naar de it-veiligheid van auto’s en de mogelijke gevolgen daarvan.
Veilig nieuw rijden
Car tech kan een geweldige boost geven aan de berijderservaring. De mogelijkheden rondom verkeersplanning en gemak zijn eindeloos. Maar elke computeringang (draadloos of bedraad via een connector of een hifi-set) introduceert ook nieuwe risico’s. Wat gebeurt er als auto’s bewust verkeerde informatie met andere auto’s gaan delen? Zijn de boordcomputers van elke autofabrikant hier straks tegen bestand? En hoe zorgen we ervoor dat auto’s met een internetverbinding straks geen nieuwe prooi voor hackers worden?
Als we auto’s voor het gemak even vergelijken met procesautomatisering zoals we die in fabrieken kennen, dan weten we dat de bouwers van dergelijke automatiseringsoplossingen niet gewend zijn om met it-veiligheid rekening te houden. Hoe lang zou het gaan duren voordat iemand ontdekt hoe hij zijn computervirus draadloos van auto naar auto kan kopiëren? En hoe kwetsbaar zijn wij als dat virus vervolgens besluit om de remmen uit te schakelen en gas te geven?
Als we auto’s voor het gemak even vergelijken met procesautomatisering zoals we die in fabrieken kennen, dan weten we dat de bouwers van dergelijke automatiseringsoplossingen niet gewend zijn om met it-veiligheid rekening te houden
Zou je deze stelling kunnen onderbouwen? Mijn ervaringen zijn namelijk anders. In veel fabrieken wordt hier juist heel veel aandacht aan besteed om de simpele reden dat stilvallen van het fabrikageproces tot grote onkosten kan leiden.
De apparaten die mijn werkgever maakt worden zelfs allemaal aan een security-check onderworpen alvorens ze het bedrijf verlaten om te voorkomen dat we per ongeluk een klant-netwerk zouden besmetten met welk virus dan ook.
@PaVaKe: Scada.
En met je eigen argumenten te onderbouwen: Embedded is gemaakt voor vele jaren, en als deze systemen zijn niet gebouwd met als basis voorwaarde veiligheid. Veiligheid wordt nu wel belangrijk, maar bouwers van industriele systemen zijn in mijn beleving geen security experts en hebben daar over het algemeen ook geen focus op.
Het artikel raakt wel iets aangezien IT in alles een feit is of snel wordt. Er zullen dus incidenten plaatsvinden en aan de hand daarvan zullen de systemen beter worden.
Leuk artikel om te lezen en passende voorbeelden.
@Henri: wat kunnen we weer heerlijk langs elkaar heen praten 🙂
Veiligheid in deze context kent 2 smaken:
Veilig in de zin van machines die niet op hol mogen slaan (waar scada naar verwijst) en veilig in de zin van niet bevattelijk voor hacken en computer virussen.
Medische devices, wafersteppers kennen vaak beide smaken in één apparaat. Het apparaat intern kent “scada”, maar ze zijn ook gekoppeld aan bedrijfsnetwerken waardoor ook de IT-veiligheid een rol speelt.
Ook in de industrie zie je dit meer en meer. De stations in de productieketen zijn aan de ene kant gekoppeld aan het “ijzer”, en aan de andere kant aan de logistieke systemen. Daar waar de operator in het verleden telkens van alles aan moest passen als er een ander product gemaakt moest worden, gaat dit vandaag de dag grotendeels geautomatiseerd.
Het is niet voor niets dat veel van de systemen die in fabrieken staan geen toegang hebben tot internet en geen USB poorten etc. kennen.
@pavake
Auto’s behoren steeds vaker tot de “connected” categorie. BMW levert zijn auto’s zelfs vaak al connected uit (“BMW Connected Drive”). Ook initiatieven als eCall dragen hier aan bij.
Overigens zijn er steeds minder fabriekssystemen die nog volledig stand alone functioneren. Men is immers vaak afhankelijk van leveranciers voor remote support. Niet alle leveranciers zorgen voor een veilige koppeling. Niet zelfden wordt de apparatuur van onwetende klanten met een generiek wachtwoord aan een ongefilterde internetverbinding gekoppeld. Kijk maar eens wat rond op shodanhq.com. Je zult versteld staan wat je tegen komt.
De ‘C’ in het ICT voor de auto krijgt een prominentere plek.
Verplichting om een noodmelding systeem in alle auto’s te bouwen met ‘gratis’ volgfunctionaliteit. Wel zo makkelijk voor het rekening rijden.
Het ‘internet of things’ nu ook in uw heilige koe. Het ’s winters opwarmen zodat het dagelijkse in de file ritueel een stukje minder onaangenaam wordt. Dat de navigatie computer niet eens meer aan hoeft omdat elke 200e werkdag van het jaar identiek is.
Dat de beveiliging in deze nogal eens blijkt op te breken afhankelijk per model en jaargang mag niet deren. Dat de verzekering uw verplicht om de laatste virusscanner in uw auto te installeren laat niet lang op zich wachten. Maar wat gebeurt er als er een auto verongelukt terwijl er geen factoren in het spel waren zoals het onder invloed zijn, slecht zicht, gladde wegen of iets dergelijks en de ‘zwarte doos’ ook niets oplevert?
En hoe toon je aan dat iemand met een laptopje aan de zijkant van de weg voor de lol auto’s hacked en even gas bijgeeft net voor die flitspaal.
@Maarten: klopt, maar je kunt deze twee eigenlijk niet met elkaar vergelijken … in die zin dat de automotive industrie aan veel strengere veiligheidseisen moet voldoen dan bijvoorbeeld een koekjes-meng-kneed-bak-installatie.