Biler bliver smartere og smartere hvert år, men det samme kan ikke siges om den sikkerhed, der gerne skulle være på plads til at beskytte brugeren mod datatyveri og hacking af køretøjet. Det mener Stefan Tanase, der er sikkerhedsforsker hos det rumænske sikkerhedsfirma Ixia.
It-sikkerhedsmessen Infosecurity Denmark 2018 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København. Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Vil du gå direkte til tilmelding, klik her.Version2 Infosecurity
»Den eneste forskel mellem en computer og en moderne bil er, at hvis din computer hackes, så går det ikke udover din fysiske sikkerhed, mens en bilhacker både kan stjæle data om dig og overtage vitale funktioner i bilen, smyge sig uden om bilens sikkerheds- og låsesystemer og i værste fald køre bilen ind i noget,« lyder det fra sikkerhedsforskeren til Kaspersky Security Summit 2018.
En af hans kolleger, Gabriel Cirlig, har netop købt en ny bil, som de sammen ville undersøge, hvor nemt kunne hackes. Det skriver The Register
Og det skulle vise sig at være overraskende nemt.
Derefter lavede de bilen til en Access Point Mapping-maskine på fire hjul, der kørte rundt og samlede informationer om alle wifis, den kom forbi, for de to herrer.
Gabriel Cirlig fandt desuden kode liggende frit tilgængeligt på nettet, der påstod at give root-adgang til bilens kontrolsystemer.
De kodelinjer puttede han på en USB-stik, som han smed i bilen og vupti - så havde de fuld adgang til bilens inderste systemer.
Totalsynkronisering
Gennem denne nyvundne adgang fandt Gabriel Cirlig ud af, at da han tilkoblede sin telefon til bilens system tidligere, havde den scannet alle e-mails, samtaler og kontakter samt logget alle besøgte lokationer.
Det hele blev opbevaret i ren tekst - perfekt for hvem der end måtte være interesserede i at overvåge sikkerhedseksperten.
De to kolleger prøvede efterfølgende at hacke bilen fra et wifi på afstand, men det havde de dog ikke succes med.
Til gengæld fandt de ud af, at bilen bruger lydbølger til at fornemme, om der er forhindringer på vejen, som bilen bør stoppe for. Ville man tvinge bilen til at stoppe, kunne man derfor udløse denne automatiske bremse med en radio, der kan lave lydbølger med samme længde.
De to sikkerhedsforskere var påpasselige med ikke at afsløre, hvilket bilmærke der var tale om, men det ligner en ny Mazda, skriver The Register. Da de kontaktede bilproducenten, skulle denne efter sigende have forklaret sikkerhedshullerne som features.
Ikke bugs.
Grundlæggende sikkerhedsproblemer hos alle producenter
En anden grund til at være bekymret som bilejer er, at de linuxdistributioner, bilerne kører på ofte er uddaterede inden bilen ruller ud fra fabrikken. Det skyldes blandt andet, at der går mellem fire og seks år fra en bil konceptualiseres, til den ruller ud fra fabrikken. Og i den tid kan der ske meget it-sikkerhedsmæssigt.
Derudover fortæller Marc Rogers, sikkerhedschef hos Cloudfare, at CAN-bus’erne er håbløst uddaterede og i det hele taget ikke designet til at være sikre. Al datatrafik over dem er ukrypteret og adgangen til dem er nem.
Derudover er der alle de sikkerhedsproblemer, der er i forbindelse med trådløse nøgler og de mange andre elektronisk styrede systemer, herunder dæktryksmålere, der er ukrypterede og åbner op for angreb med simple Raspberry Pi-baerede enheder, siger Marc Rogers, der generelt kritiserede bilindustrien for at tage al for let på sikkerheden.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
