Sikkerhedsefterforsker: Tusindvis af lastbiler og busser sårbare over for hacking

Sporingsenheder til industrielle køretøjer kan potentielt give hackere kontrol over bremser og styring

Sidste sommer havde et hold forskere fra University of California held med at tage kontrol over bremser og styring på en bil ved at hacke den såkaldte telematic control unit (TCU), som for eksempel bruges af forsikringsselskaber til at spore bilen.

Nu advarer den spanske sikkerhedsefterforsker Jose Carlos Norte om, at en tilsvarende sårbarhed eksisterer i tusindvis af lastbiler og busser, der er udstyret med en lignende telematics gateway units (TGU). Det skriver tidsskriftet Wired.

Læs også: Forskere hacker bil med en SMS

TGU er en radioenhed, som er forbundet med de store køretøjers interne netværk, så der kan holdes styr på bilernes position, brændstofforbrug med mere. Jose Carlos Norte opdagede, at særligt modellen C4Max, der sælges af det franske firma Mobile Devices, ikke var beskyttet af kodeord, og derfor stod pivåben for de hackere, der måtte ønske at scanne efter dem

Jose Carlos Norte kunne således via søgeværktøjet Shodan uden problemer se, hvor de berørte lastbiler befandt sig. Han vurderer, at det ikke ville kræve mange ekstra skridt for en indtrænger at sende kommandoer til køretøjernes såkaldte CAN bus, og dermed påvirke styring og bremser. Noget han dog har afholdt sig fra, for ikke at komme i konflikt med lovgivningen.

Karl Koscher, der er en af førnævnte forskerne fra University of California, fortæller til Wired, at han heller ikke finder det utænkeligt, at de enheder, som Norte har fundet frem til, har tilsvarende sårbarheder.

Læs også: Modeller fra BMW, Skoda og Tesla kan også hackes

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Følg forløbet

Kommentarer (12)

Maciej Szeliga

...til den overbevisning at før der er lig på bordet så vil ingen tro på at det er problematisk og farligt at koble ting som har noget med menneskeliv at gøre til Internettet. Holdningen fra virksomheder er tydeligvis "det går nok", "hvem vil dog finde på at gøre det" etc, etc.
Jeg gad vide hvordan EULA'en for det udstyr ser ud hvis de tror at de kan slippe for ansvaret.

Anne-Marie Krogsbøll

Ja, man ved snart ikke, hvad man skal sige. Hver dag sin dårlige nyhed på det felt. Det er det samme problem indenfor alle områder, der har med penge at gøre: Miljøet, medicinalindustrien, den kemiske industri, finansverden osv. At går den, så går den.

Mon der meget hurtigt kommer tiltag, der gør det lovpligtigt at beskytte den slags enheder i tilstrækkelig grad? Og dermed dyrt og strafbart IKKE at sikre det - de alvorlige mulige konsekvenser taget i betragtning? Kodeord er vel ikke i sig selv nok - de kan jo være af meget svingende kvalitet.

På John Foleys konference for nylig nævnte en af de bekymrede oplægsholdere (husker ikke lige hvem), at en anden farlig mulighed er hacking af trafikreguleringen i større byer - også et mareridtsscenarie. Og da især i samspil med nyheden ovenfor.

Vi må håbe, at der er taget højde for den mulighed herhjemme - men det er der nok ikke.

Brian Hansen

Det er der ikke, fra pålidelig kilde så er praktisk talt alle nye trafikreguleringer med trådløs admin konsol.
Dvs. de sender typisk på helt almindelig 2.4GHz wifi så de kan nås ca. 100m væk.
Mangler bare de bruger ingen eller dårlig kryptering (WEP, WPA)....
Har ikke checket, men det ville ikke undre mig hvis de tror hidden SSID og et MAC filter er nok.
Industriudstyr fabrikanter har ikke en skid forstand på IT sikkerhed.

Christian Bruun

Det er det samme problem indenfor alle områder, der har med penge at gøre: Miljøet, medicinalindustrien, den kemiske industri, finansverden osv. At går den, så går den.

De ville forstå det, hvis deres manglende sikkerhed mv. efterfølgende havde konsekvenser. Hvis jeg bygger en bro og den efterfølgende falder sammen får jeg et erstatningsansvar. Laver jeg et softwareprogram ...

Lars Jensen

Industriudstyr fabrikanter har ikke en skid forstand på IT sikkerhed.

"Sidste sommer havde et hold forskere fra University of California held med at tage kontrol over ..."
Læg mærke til at et hold forskere havde "held med". Hvis det kræver held er teknikken sikkert ikke reproducerbar. Det virker derfor ikke særlig sandsynligt at dette scenarie vil udspille sig i virkeligheden. Det samme hold forskere har sikkert held med at overtage en ubåd hvis de får tiden til det ...

Anne-Marie Krogsbøll

Mht. trafikreguleringen i byerne kan man bl.a. lytte til denne aldeles glimrende gennemgang af "smart cities", Big Data og TTIP-relaterede problematikker her:
http://www.radio24syv.dk/programmer/aflyttet/13007008/aflyttet-uge-10-2016/

Det ser sort ud - når man lytter til denne gennemgang, får man indtryk af, at demokratiet allerede er afskaffet, og borgerne er reducerede til undersåtter og råstoffer for storkapitalen.

Martin Birkmand

Jeg mener, det kræver mere teknisk snilde end at slå chaufføren i hovedet under kørsel. Dermed må de der gør det, kunne skabe ravage på en nemmere måde hvis det er det de vil. Jeg synes selvfølgelig ikke der ikke er en grund til at sætte en kode på, men jeg kan bare meget godt lide tanken om at folk som udgangspunkt ikke vil slå hinanden ihjel.

Mogens Lysemose

Martin Birkmand lige så sympatisk og smuk din holdning er lige så bundhamrende naiv og itmæssigt uforsvarlig er den. Vores korte tid med it i vores verden har lært os at ting går galt hvis de kan. Og at der kun skal een person til for at bryde ind, uanset om det er en ud af fem millioner.
Hvis risikoen ved at noget hestemt sker er helt uacceptabel er det ikke nok at det er overvejende usandsynligt at det sker.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen