Kommentar: Bilhacking varsler ilde for Internet of Things

Bilproducenterne er på det seneste blevet taget med bukserne nede, efter at it-sikkerhedseksperter har kastet sig over hacking af biler. Det bør være et wake-up-call for Internet of Things.

To begavede og tålmodige fyre fik i en demonstration for nylig gjort det værst tænkelige scenarie til virkelighed, da de overtog kontrollen med en familiefirehjulstrækker fra Jeep, som endte med en heldigvis udramatisk tur i grøften.

Men historien om Jeep-hackingen er blot den mest spektakulære af mange i de seneste par måneder, hvor it-sikkerhedseksperter har afsløret, hvordan de kan hacke elektroniske startspærrer eller bilernes wifi-kommunikation.

Det er selvfølgelig en lærestreg for bilindustrien, som indtil videre er sluppet af sted med at blive nævnt af chipproducenterne, som praler med, at der sidder 27 mikroprocessorer i en moderne bil. Men det bør i endnu højere grad være et wake-up-call for alle, der producerer den kommende generation af internetforbundne dimser.

Internet of Things er stadig mest et buzzword, men det bliver lige pludselig alvor, når vi betragter det i lyset fra en Jeep, der holder i grøften, mens hackerne skraldgriner.

Læs også: Hackere kan overtage din bil gennem internettet

Læs også: Forskere hacker bil med en SMS

Bilproduktion har trods alt de seneste par årtier været en branche, hvor produktsikkerhed er en vigtig konkurrenceparameter. Der er ingen, der ønsker at være den næste Toyota, hvor nye modeller skal tilbagekaldes på grund af problemer med airbags eller bremser.

Måske er de blot ikke nået til at give bilens indbyggede computersystemer samme opmærksomhed som bremserne. Selvom ABS og ESC er afhængige af computerne. Vi kan håbe, at it-sikkerhedsfolkene har fået bilbranchen til at stramme sikkerheden.

Men hvad med alt det andet, der er på vej med Internet of Things?

Det næste kunne blive vaskemaskinen. Det er oplagt at forbinde vaskemaskinen til internettet, så den kan holde øje med, hvornår elprisen er lav, og for eksempel sætte kulørtvasken i gang, når det blæser om natten.

Vaskemaskinen indeholder imidlertid også komponenter, som kunne være problematiske i hænderne på ondsindede hackere. Forestil dig, at alle Siemens-vaskemaskiner på Sjælland begyndte at lække vand, fordi hackere havde fiflet med pumperne. Eller at motoren i alle Miele-maskiner i Nordeuropa brændte sammen, fordi nogen fik relæerne til at tænde og slukke i et destruktivt mønster – ligesom Stuxnet gjorde det med Irans urancentrifuger.

Læs også: Tidlig version af cybervåben opdaget: Stuxnet er mindst 8 år gammel

Læs også: USA og Israel skabte Stuxnet-ormen, men mistede kontrollen

Det bliver ikke bedre, når røgalarmen er forbundet til internettet og bliver sat til at hyle hele natten, fordi en knægt i dit barns klasse syntes, det ville være det sjoveste i hele verden. Eller dit tv viser fransk dværgeporno i stedet for Vild med dans, fordi nogen i husholdningen prøvede at komme til at se de nyeste afsnit af Mythbusters og endte med at få malware på tv'et.

Intelligente termostater, robotstøvsugere, elektroniske låse og mange andre ting er på vej til at blive forbundet med internettet og dermed med alle de dårligdomme, det medfører. Ny, kedelig elektronik får følge af en tilhørende mobilapp, og dermed er der åbnet for hackerfesten. Det lyder komisk at foreslå, at gamere vil chikanere hinanden ved at udføre denial-of-service-angreb på modstanderens mikrobølgeovnspizzaer, men det er lige om hjørnet, hvis ikke elektronikbranchen tager ved lære af de sidste 20 år på internettet.

Når du sætter en mikroprocessor til at styre et stykke elektronik, så får du med i handlen problemet, at mikroprocessoren kan køre andre programmer end dem, elektronikingeniøren havde tænkt sig. Derfor er det nødvendigt at tænke sikkerhed ind i designet – og vel at mærke sikkerhed, der kan holde.

En af de vigtigste ting, vi har lært de seneste 20 år, er, at der er fejl i selv den bedste software. Der kan endda gemme sig alvorlige sikkerhedsfejl. Når de opdages, efter at mikrobølgeovnen, røgalarmen eller vaskemaskinen er rullet af samlebåndet, hvordan skal de så opdateres?

Ser vi på smart-tv og smartphones, så er flertallet af producenter stadig ikke nået dertil, hvor de leverer softwareopdateringer i hele produktets levetid. En tre år gammel Samsung-telefon kan således have adskillige alvorlige sikkerhedshuller, som aldrig bliver lappet.

For smartphones er konsekvensen af sikkerhedshuller den samme som på pc'en: risiko for tab af data eller krænkelse af privatlivets fred. Men for Internet of Things kan konsekvensen være ødelagte maskiner, vandskader eller ligefrem brand. Bare 'for the lulz'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

At der kommer sådan et hak i tuden, der koster mange penge nu, inden det koster liv.
Så kan det være at sikkerhed bliver taget lidt mere alvorligt i fremtiden.
Måske nogen rigtige dyre retssager oven i, kan hjælpe med at holde fokus på det.

Som vi ser med Folkevogn, der tror at bare de holder det hemmeligt, så forsæter de som intet er sket. Hvis de kommer til at tage de 2 årganges produktion hjem og opdatere sikkerheden, eller købe dem tilbage, så vil sikkerhed komme nok fylde lidt mere i fremtiden. Det koster ikke ret meget at tænke det ind fra starten, når det drejer sig om så mange enheder, bare det at skrive softwaren fornuftigt og med omtanke kan hjælpe.

Christian Nobel

Som Bent siger, er det ikke nærmere godt, at man begynder at se konsekvenserne før de alvorlige ulykker sker?

Så jeg vil faktisk vende den om og sige at bilhackingen varsler godt for IOT, fordi det åbner øjnene for, at hvis man overhovedet skal beskæftige sig med IOT, så skal sikkerhed tænkes ind fra dag -1.

Jan Gronemann

Toyota har haft skræmmende dårlig kode til at køre i deres biler.

When NASA software engineers evaluated parts of Toyota’s source code during their NHTSA contracted review in 2010, they checked 35 of the MISRA-C rules against the parts of the Toyota source to which they had access and found 7,134 violations. Barr checked the source code against MISRA’s 2004 edition and found 81,514 violations.

(..)

He was critical of Toyota watchdog supervisor – software to detect the death of a task -- design. He testified that Toyota’s watchdog supervisor “is incapable of ever detecting the death of a major task. That's its whole job. It doesn't do it. It's not designed to do it.”

Coding Horror har også en god blogpost med titlen Welcome to The Internet of Compromised Things

Kjeld Flarup Christensen

Internet of things bør baseres på nogle styresystemer som er specielt designede til formålet. Jeg er bange for at det som der er lige nu er for simpelt for at spare plads i presset firmware. Omvendt ville en embedded linux kunne introducere andre huller fordi det er for omfattende. Så der er basis for noget nyt.

Thomas Ehler

Joken om at hvis biler brugte Windows, kunne man blive nødt til at trække ind til siden og "reboote" er i dag sandhed.
Min Kia Ceed fra 2011 vil ikke altid tænde radioen og heller ikke altid lige aktivere fartpiloten.. (sådan hver 3 måned/random)

Så holder jeg ind til siden, tager tændingen og sarter igen og så er der igen musik på dåsen.

Lars Bjerregaard

Joken om at hvis biler brugte Windows, kunne man blive nødt til at trække ind til siden og "reboote" er i dag sandhed.


Det har os der tager S-toget hver dag vidst i mange år.
Vidste du, at der på de nye (skod) trafik-skilte på tog peronnerne, kører en separat Windows installation, på hver side, og det selvom skiltet altid skal vise det samme på hver side? Det siger vist alt om kompetence niveauet. Og ja - det er vikeligt "morsomt", når Windows igen er crashed på den ene side af skiltet (sker jævnligt). Det er sørgelige tider....

Christian Nobel

Joken om at hvis biler brugte Windows, kunne man blive nødt til at trække ind til siden og "reboote" er i dag sandhed.

Joken var så nogenlunde i retning med:

En elektroingeniør, en maskiningeniør, en kemiingeniør, samt en MS tekniker var ude at køre bil.

Pludselig begynder bilen at hoste og hakke.

Det må være en fejl på tændingssystemet, vi må checke at tændingen står korrekt siger elektroingeniøren.

Nej siger maskiningeniøren, det lyder mere som fejl ved indsugningsventilerne, vi må kontrollere at de er i orden.

Nej, nej, siger maskiningeniøren, det må klart være en fejl ved brændstoffet, vi må analysere at det nu også er hvad det skal være.

Dernæst kikker alle tre på MS teknikeren, som så foreslår:

Kan vi ikke bare slukke bilen, stige ud, sætte os ind igen og så starte forfra?

HW Jensen

En meget interessant tanke. Du har ret i at både Linux, Windows og OSX er designet til en anden opgave fra bunden af. Det undrer mig at de andre som f.eks. QNX baseret på microkernel princippet tilsyneladende ikke fylder mere. Måske hænger det sammen med at CPU/RAM ressourceforbrug er blevet ligegyldigt og de etablerede systemer har så mange tredie parts programmer og udviklingsværktøjer at det opvejer de andre ulemper. Sikkerhed f.eks., bliver først interessant når det går galt for nogen, så jo flere angreb og ulykker vi ser tidligt i udviklingen jo bedre.

Log ind eller Opret konto for at kommentere