”Transmissionsadgang til CAN-bussen er ofte nok til at opnå vilkårlig kontrol over alle centrale systemer i køretøjet (inklusive speeder og bremser).”
I forskningsdokumentet ”Fast and Vulnerable: A Story of Telematic Failures” gennemgår Karl Koscher og andre sikkerhedsforskere fra University of Californias Computer Science and Engineering, hvordan det er muligt at få fuldstændig kontrol over en bil, når man har adgang til bilens Controller Area Network (CAN).
Redesign af CAN
Det seneste år er der jævnligt dukket historier op om, hvordan biler kan hackes. Fællesnævneren for de alvorligste hacks, hvor der opnås adgang til livsfarlige komponenter, som kontrollerer speeder og bremser, er adgang til bilens CAN. Det oplagte spørgsmål er derfor, om et redesign af CAN, som har rødder tilbage i 1980'erne, er nødvendigt for at beskytte biler samt bilister?
– Jeg tror ikke, der er nogen, der seriøst foreslår et komplet redesign af CAN. Det ville være svært at gøre, lyder det fra Karl Koscher, da Prosabladet fanger ham på telefonen fra Californien.
– Dels er der et kæmpe legacy-problem, da CAN er fundamentet for alle biler, dels er der lovkrav om at anvende CAN i forbindelse med emissionstest, siger han.
Hårdføre adgangskontroller
I stedet foreslår Karl Koscher, at indgangspunkterne til CAN-bussen skal hærdes og gøres meget mere sikre. Traditionelt har On Board Diagnostics-porte (OBD) været anvendt af værksteder til at aflæse data om sundhedstilstanden for bilkomponenter, men de bliver nu i stigende grad benyttet af eksempelvis forsikringsselskaber, der anvender OBD-dongler udstyret med 4G-simkort til at holde øje med kørestil og anden relevant information for beregning af forsikringspræmier.
Samtidig bliver instrumentbrættet udvidet med infotainment-systemer, og endelig får mobil-apps i stigende grad adgang til aflæsning af diverse bildata samt mulighed for at fjernkontrollere køleanlæg og døres låsemekanismer. Det skaber flere mulige angrebsvinkler.
– Du kan tilføje firewalls mellem de diagnostiske porte og resten af CAN-netværket. Der er da også nogle bilfabrikanter, som allerede er begyndt på det. I nyere Toyota Prius- og VW-modeller kan du ikke bare plugge ind til diagnostik-porten og få fuldstændig kontrol over CAN-bussen, siger Karl Koscher.
Designet til reflashing
En bil har ofte flere forskellige CAN-busser. En lille håndfuld elektroniske kontrolenheder (ECU) er forbundet til flere CAN-busser og fungerer som broer. Karl Koscher og hans kollegaer har ved flere lejligheder vist, at det er muligt at overtage en eller flere bridge-ECU'er og derved få adgang til al bilfunktionalitet. Det kan ske via en sårbarhed i ECU'en eller simpelthen ved at reflashe den via CAN-bussen, som er designet til det. Det er derfor altafgørende, at adgangen til at sende beskeder på CAN-bussen begrænses og kontrolleres effektivt ved indgangspunkterne.
Når adgangskontrollen angribes
– Man kan route CAN-beskeder gennem et meget veldefineret og sikkert modul, som sikrer, at det kun er autoriserede CAN-beskeder, der sendes igennem, foreslår Karl Koscher.
I næste åndedrag nævner han dog, at det ikke altid lykkes.
I sommeren 2015 præsenterede Charlie Miller og Chris Valasek eksempelvis et hack, der viste, at de kunne kontrollere en 2014 Jeep Cherokee via internettet. Det skete via Jeepens Uconnect-system, som ellers skulle sikre, at adgangen til CAN-bussen kun skete via autoriserede kanaler.
– Adgangen til CAN skulle være sikret med Uconnect-systemet, men deres adgangskontrol var ikke robust nok til at modstå angreb, så Charlie Miller kunne omprogrammere den og få fuld adgang til CAN-bussen, siger Karl Koscher.
Om man overhovedet kan kalde adgangskontrollen ”robust”, kan diskuteres. Blandt andet stod en kommunikationsport åben, så uautoriserede kilder kunne sende kommandoer til Uconnect-systemet. Uconnect-systemet var ikke udviklet af Chrysler, som producerer Jeep Cherokee, men af Harman Kardon, der producerer en række produkter til bilindustrien.
Den største trussel
For Karl Koscher er den største sikkerhedstrussel mod bilindustrien da også hele supply chain og bil-økosystemet.
– I dag er bilfabrikanter reelt integratorer, der køber telemetri-enheder fra en underleverandør, infotainment-systemer fra en anden underleverandør og andre komponenter fra en tredje underleverandør. Produkterne skal selvfølgelig overholde kravspecifikationer, men der står ofte ikke noget om sikkerhedskrav i dem, og bilfabrikanten har ofte ikke adgang til kildekoden i de forskellige komponenter. Telemetri-leverandøren har måske endda outsourcet nogle af komponenterne til atter andre underleverandør, så ingen har det fuldstændige overblik over, hvilken kode der eksekveres i bilen, siger han.
Jeep-hack og tilbagekald
Bilfabrikanterne bør derfor stille krav til underleverandørerne om, at de følger en udviklingsproces, hvor sikkerhed indtænkes allerede i designfasen.
– De skal kræve, at underleverandørerne følger en sikker udviklingsproces, eventuelt fulgt op med audit af underleverandørens udviklingsproces og selve koden, siger Karl Koscher.
Det lyder som en række fordyrende trin for bilfabrikanterne og underleverandørerne, men ifølge Karl Koscher har bilfabrikkerne ikke råd til at lade være.
– Det er en omkostningsbevidst business, og derfor er det ikke gjort hidtil. Men billeverandørerne risikerer multimillioner tilbagekald over trivielle sikkerheds-issues, så de ekstra omkostninger kan godtgøres, siger han.
Som følge af Jeep-hacket var Fiat Chrysler, som producerer Jeep, nødt til at tilbagekalde 1,4 millioner biler, der alle havde det sårbare Uconnect-system installeret. Et andet ikke-relateret hack førte til, at BMW i februar 2015 udsendte en sikkerhedsopdatering til alle bilmodeller udstyret med BMW's ConnectedDrive-oftware. Her blev 2,2 millioner BMW'er, Mini'er og Rolls Roycer berørt.
Fra sagsanlæg til samarbejde
Begge hacks fik stor mediebevågenhed, og det har ændret bilindustriens tilgang til sikkerhed i forhold til dengang, Karl Koscher og andre pionerer inden for bilsikkerhed begyndte at rapportere om de første sårbarheder i biler. Da reagerede bilindustrien nølende.
De første hacks krævede fysisk adgang til bilen, hvilket fik bilindustrien til at bagatellisere sårbarhederne: Hvis man allerede har fysisk adgang til bilen, kan man jo gøre så meget andet, lød de første affærdigende meldinger fra bilfabrikanterne.
– De tager det seriøst nu. Nogle leverandører er længere fremme end andre. General Motors har en vicepræsident for produktsikkerhed med 100 folk arbejdende under sig. Jeep-hacket viste, at manglende sikkerhed har en direkte konsekvens for bilfabrikkernes bundlinje siger Karl Koscher.
General Motors har da også, ligesom Tesla, annonceret præmier til eksterne sikkerhedsforskere, der kan finde sårbarheder i deres biler, og kort tid efter Jeep-hacket blev Charlie Miller og Chris Valasek tilknyttet Uber.
Så selvom den underliggende platform er sårbar, er der tilsyneladende håb for sikre opkoblede biler.