Forrige uke kom WIRED med en sjokkerende avsløring: Majoriteten av nyere biler fra Chrysler kan hackes over nettet. Motoren til vilkårlige modeller kan skrus av mens du kjører, bremsene kan deaktiveres, og hackere kan styre bilen til venstre eller høyre. Chrysler har nå tettet sikkerhetshullet, men feilen krever usedvanlig mye av eierne.
Nyere modeller av biler fra Chrysler-konsernet kommer med en funksjonalitet som heter UConnect. I praksis er det bare merkenavnet for Chryslers underholdningssystem, som selvsagt er internettilkoblet. Dette gjør det mulig for føreren å holde seg oppdatert på de siste nyhetene, få informasjon om potensielle trafikkorker og andre ting som man forventer av et moderne underholdningssystem.
Man kan nok si at Chrysler UConnect er en del av “Internet of Things“, et samlebegrep for fysiske dingser som er koblet til nettet, og som gir dingsene funksjonalitet som ellers ikke hadde vært mulig å tilby.
Problemet oppstår når disse dingsene har sikkerhetshull. Og det er spesielt kritisk for biler.
Avsløringen som kom fra WIRED forrige uke, var at et par sikkerhetsresearchere har funnet et svært sikkerhetshull i Chrysler-konsernets nyere biler. Via det tidligere nevnte underholdningssystemet, som er nettilkoblet, kunne researcherne infisere bilen med et virus.
På grunn av at dagens biler inneholder såpass mange ulike datamaskiner som prater med hverandre, gjorde dette sikkerhetshullet det mulig for researcherene å ta kontroll over bilens primærfunksjoner: Styring, gass og brems.
Hvis man ser videoen i WIREDs sak (embeddet ovenfor), er dette ganske ille. Hackerne fjernstyrte bilen, med WIREDs reporter Andy Greenberg bak rattet, ned i en grøft. Hackerne satt selv i en leilighet kilometervis unna. Hackerne hevder at de har muligheten til å gjøre dette med over én million biler fra Chrysler-konsernet.
Måten hackerne finner biler som er åpne for angrepet, er ved å kjøre en såkalt portscanning av nettet: De fleste enheter som er koblet til nettet har en form for signatur som gjør de gjenkjennelige. Hvis man i tillegg vet hvilke IP-avgrensinger de aktuelle nettverkene benytter seg av, kan dette gjøres ganske kjapt. Ved å benytte lignende metoder er det også mulig å kartlegge internettbruk i ulike land, for eksempel Nord Korea.
Når hackerne så har funnet en internettilkoblet dings som passer Chryslers signatur, er det ifølge WIRED enkelt å infisere bilen med et virus som gjør det mulig å ta kontroll over primærfunksjonene.
Det at programvare har sikkerhetshull er ikke noe nytt, og i og for seg ikke krise – det meste av tjenester og programmer vi benytter oss av på daglig basis har (eller har hatt) potensielle sikkerhetshull.
De fleste store selskaper som Facebook, Google og United Airlines har såkalte “bug bounty”-programmer, som betaler utviklere som oppdager hull i deres systemer. Det er en vinn-vinn for både utviklerne og selskapene: Utviklerne får penger, selskapene slipper flaue episoder.
Problemet oppstår når det ikke går an å tette hullene i internettbaserte systemer over internett. Som er nettopp situasjonen Chrysler nå er i: De har utviklet et internettbasert underholdningssystem til bilene sine, som ikke kan fikses over nettet.
Som en konsekvens av dette finnes det nå over én million biler på veiene verden over som er vidåpne for et potensielt livsfarlig angrep.
Chrysler har fikset det underliggende hullet, og sender i disse dager ut en beskjed til alle som har kjøpt biler med underholdningssystemet. Eierne får da to muligheter:
- Kjør bilen til et servicesenter, så oppdaterer Chrysler bilen.
- Få tilsendt en USB-minnepinne i posten, plugg den i bilen, og kjør oppdateringen selv.
Tesla har også biler med relativt avanserte underholdningssystemer, og også disse bilene har behøvd en programvareoppdatering i ny og ne. I motsetning til Chrysler foregår denne oppdateringen over nettet, som gjør serviceprosessen langt mindre omfattende for kundene.
Hele situasjonen er flau for Chrysler, og den kunne så veldig enkelt være ungått. Å utvikle internettilkoblede datasystemer som ikke kan oppdateres over den samme tilkoblingen, er i beste fall naivt, og i verste fall noe som kan føre til utallige dødsfall.
Hvis denne feilen hadde blitt oppdaget av noen med ondere hensikter enn sikkerhetsresearcherne som WIRED har snakket med, hadde Chrysler-konsernet stått i en ganske kinkig situasjon. Og selv om researcherne nå har avdekket ett sikkerhetshull, er det som alltid i programvareverdenen ikke usannsynlig at det finnes flere.