Voertuighacking heeft al een 15-jarige stamboom. Hoewel er tegenwoordig al minstens 36 miljoen voertuigen op de weg zijn, lijken fabrikanten weinig te hebben geleerd van de grootste beveiligingscrises van het internettijdperk. Cybersecurity is, wederom, een bijgeschroefde gedachte en geen integraal onderdeel van de engineering van een onderling verbonden voertuig.

Hackers begonnen rond 2002 door zich te richten op motormanagementtechnologieën die de prestaties van superchargers en brandstofinjectoren regelen. In 2005 demonstreerde Trifinite met behulp van Bluetooth om heimelijk audiosignalen in de auto te onderscheppen of te verzenden. In 2007 liet het Britse bedrijf Inverse Path zien hoe hackers de integriteit van navigatiesystemen in de auto in gevaar konden brengen door nep-verkeersupdates te verzenden via FM, waardoor auto's omgeleid werden.

In 2010 werden experimenten ingehaald door meer ingrijpende interventies die de mobiliteit van de auto zelf konden beïnvloeden. In Texas gebruikte een ontevreden voormalige medewerker van een autodealer gestolen inloggegevens om toegang te krijgen tot een webgebaseerde voertuigimmobilisatieconsole en begon systematisch auto's te 'bricken' die door zijn voormalige werkgever waren verkocht.

Men zou kunnen stellen dat deze aanval op afstand berustte op een aftermarket-voertuigimmobilisatiesysteem (geïmplementeerd om laatbetalers te 'aanmoedigen' om op te hoesten) en als zodanig niet direct kan worden toegeschreven als een zwakte van aangesloten voertuigen.

Remote Hacks worden een realiteit

Dergelijke argumenten waren echter niet van toepassing in 2015 toen Charlie Miller en Chris Valasek op afstand een Jeep Cherokee konden besturen die op de openbare weg werd gereden. Door gebruik te maken van een zero-day kwetsbaarheid in de entertainmentsoftware van het voertuig, konden ze de dashboardfuncties, besturing, remmen en transmissie overnemen.

Twee jaar later hadden Miller en Valasek hun onderzoek verfijnd tot het punt waarop ze effectief de volledige controle over het voertuig konden overnemen, de beperkte ingebouwde digitale beveiligings- en foutcorrectiemechanismen omzeilden, en op de remmen trapten, versnelden en draaiden de wiel bij elke snelheid.

Hoewel Miller en Valasek deze tweede aanvallen niet op afstand hebben uitgevoerd, richten ze hun aanvallen in plaats daarvan op een laptop die rechtstreeks is aangesloten op het Controller Area Network (ook bekend als de CAN-bus) in het voertuig, maar hun eerdere onderzoek geeft aan dat dit een mogelijkheid blijft.

Volledig autonome voertuigen zijn nog niet in licentie gegeven voor de meeste wegennetwerken wereldwijd, en de aangesloten auto-industrie staat nog in de kinderschoenen. Dus wat betekent dit onderzoek en de bijbehorende kwetsbaarheden en exploits voor onze toekomst?

Zelfs in 2015 waren Miller en Valasek in staat om op afstand 471.000 Jeep Cherokees op de weg te identificeren, waarvan ze in theorie digitaal hadden kunnen besturen. Schattingen voor adoptiepercentages van volledig autonome voertuigen variëren, maar een studie van BCG schat dat tegen 2035 jaarlijks meer dan 12 miljoen volledig autonome eenheden over de hele wereld kunnen worden verkocht, samen met nog eens 18 miljoen semi-autonome eenheden die 25 procent van de nieuwe automarkt.

Huidige technologieën niet geschikt voor de toekomst

We leven al in een wereld waarin elk bedrijf tot op zekere hoogte nu een softwarebedrijf is. Of het nu gaat om de logistiek, de gezondheidszorg, de landbouw of de auto-industrie, hun producten en bijbehorende ecosystemen zijn al sterk gedigitaliseerd, softwaregedreven en onderling verbonden.

Helaas hoefden veel traditionele fabrikanten, hoewel zeer bekwaam in hun vakgebied, voorheen geen rekening te houden met digitale beveiliging in hun ontwerpfase. Traditionele autotechnologie is misschien discreet intern onderling verbonden, maar elke zinvolle externe gegevensuitwisseling ging via de ingebouwde diagnostische poort.

Bijgevolg zijn de beveiligingsniveaus die momenteel in CAN-bustechnologie zijn ingebouwd op zijn best rudimentair en gemakkelijk te overwinnen. Onderzoek heeft al aangetoond dat de fouten in de CAN-busarchitectuur zo fundamenteel zijn dat ze alleen volledig kunnen worden verholpen door een update van de CAN-architectuurstandaard.

De toekomst van autonome voertuigen is afhankelijk van een exponentieel toenemende connectiviteit. Met voertuig-naar-voertuig-transmissies (V2V) kunnen ad-hoc draadloze netwerken op de weg worden gecreëerd - voertuigen die bijvoorbeeld de toestand van de weg en verkeersgegevens uitwisselen.

Net zoals het Internet of Things (IoT) snel plaatsmaakte voor het Internet of Everything (IoE), wordt V2V al vervangen door V2X of Vehicle to Everything.

Dit omvat V2V, V2I (voertuig naar infrastructuur), V2P (voertuig naar voetganger), V2D (voertuig naar apparaat) en V2G (voertuig naar raster) - en u kunt verwachten dat die lijst met acroniemen zich blijft uitbreiden.

Met extra connectiviteit komen meer coderegels, en met meer coderegels komen meer kwetsbaarheden. Dat groeiende ecosysteem betekent meer verbindingen om te beveiligen en meer potentiële punten van kwaadaardige toegang.

Toekomstige aanvallen, vooruitstrevende verdediging

Als je denkt dat cybercriminelen worden gemotiveerd door geld en je kunt niet zien waarom ze gemotiveerd zijn om voertuigen aan te vallen, laat ik je een paar scenario's zien.

De eerste, en misschien meest bekende, is ransomware voor auto's. Stel je voor dat je je voertuig 's morgens ontgrendelt en je digitale assistent opdraagt ​​om je naar het werk te brengen. In plaats van te worden begroet door de vertrouwde digitale persoon, wordt u in plaats daarvan begroet door een losgeldvraag: "Als u ooit opnieuw met deze auto wilt rijden, stuurt u 1 CrypCoin naar ... Elke poging om deze ransomware te verwijderen zal resulteren in het versmelten van uw motorblok."

Overweeg in een veel verraderlijk scenario het huidige favoriete wapen van terroristische groeperingen. Ik zou er sterk voor kunnen pleiten dat het voertuigen zijn, getuige de recente aanvallen in Londen, New York, Nice en Barcelona.

Stel je een toekomstige vloot van autonome voertuigen voor, die allemaal een gemeenschappelijke, op afstand toegankelijke kwetsbaarheid op onze wegen delen. De sensoren aan boord van het voertuig kunnen worden gebruikt om doelen te identificeren en hun V2V-communicatie wordt onderverdeeld om als een gecoördineerde groep te fungeren - terwijl de aanvaller alles op duizenden kilometers afstand bedient.

Het is absoluut noodzakelijk dat cybersecurity-organisaties en onderzoekers zeer nauw samenwerken met de auto-industrie om hen te helpen de vaardigheidskloof te overbruggen - om nog maar te zwijgen van het tekort aan cybervaardigheden - om ervoor te zorgen dat de veiligheid in de autonome voertuigleeftijd niet wordt vastgeschroefd, maar in plaats daarvan wordt gebouwd in.

We moeten de waardevolle lessen leren die het internet ons vandaag leert. Snelle innovatie en adoptie - zonder een gedachte aan veiligheid - biedt een vruchtbare voedingsbodem voor criminaliteit en misdaad.