Varför måste vi säkerhetstesta våra bilar?
Enligt en rapport från Juniper Research kommer det år 2023 vara 775 miljoner uppkopplade bilar ute på vägarna - en siffra som kan jämföras med 2018 då det var 330 miljoner1. Denna utveckling kommer självklart också medföra en ökning av attacker. Under 2019 utfördes ca 160 attacker mot fordon, vilket är en fördubbling mot föregående år då ca 80 attacker utfördes. Vi kan också se att dessa attacker utförs mer och mer av så kallade ”Black Hats”, angripare som avser att skada system eller utföra en kriminell handling.
Bilar blir allt mer komplexa system med 100 miljoner rader kod, vilket kan jämföras med ett flygplan (Boeing 787) som har runt 15 miljoner rader kod. De innehåller också allt ifrån 20 till 150 ECU:er (komponenter i bilen som t.ex. bromsar, airbag eller motor) och det pratas om avancerade självkörande system. Det utvecklas hela tiden nya tjänster som kräver att bilen är uppkopplad mot internet och mer och mer data hanteras. Detta medför att hotbilden mot dessa system och tjänster ökar och att riskerna för att sårbarheter i molntjänster och servrar utnyttjas. Detta syns tydligt redan idag då den näst mest utsatta attackvektorn det senaste året mot bilar är deras servrar (Cloud)2.
Attacktyper
När det kommer till attacker som inriktar sig på biltillverkarnas servrar kan det handla om att en angripare vill få tag på känslig information som lagras om ägarna till bilarna, som t.ex. adresser och körkortsinformation. Det kan också vara attacker mot webbservrar där en angripare har fått tillgång till ägarens konton där tjänster som t.ex. fjärrstyrning av bilar funnits tillgängliga. På så sätt kan en angripare stänga av/sätta på motorn, låsa eller låsa upp dörrarna, se senast körda rutter och platsinformation. Det senaste året har attacker mot biltillverkarnas servrar ökat och man har sett flera attacker där ovannämnd information har blivit tillgänglig för angriparna.
Utöver utvecklingen inom molntjänster skedde förra året också en stor ökning av Keyless entry-attacker, vilket också var den mest populära attacken mot bilar under 2019. En Keyless entry-attack är en attack där en angripare förlänger eller förstärker signalen från nyckeln till bilen med hjälp av en enhet för att kunna öppna och starta den. Under 2019 utfördes 75% av dessa attacker av kriminella. Detta är ett problem för bilbranschen i stort men man kan se att vissa märken och modeller är mer utsatta än andra.
Varför säkerhetstesta bilar?
En av de viktigaste anledningarna att säkerhetstesta bilar är även att försöka förebygga att det sker en attack mot de mest kritiska signalerna i bilen. Detta innebär att en angripare manipulerar kritiska signaler i bilen för att kunna styra eller ta kontroll över bilen. Kritiska signaler innebär de signaler som styr bromsar, styrning, hastighet osv. Jeephacket 2015 är ett exempel på denna typ av attack. Men ibland krävs det inte så pass kritiska signaler för att en attack skall få förödande konsekvenser, utan en angripare skulle kunna försöka höja eller sänka volymen för att få en förare distraherad och tappa uppmärksamheten under körningen.
Det finns även så kallade ”White hat”-hackers som studerar och testar säkerheten i bilar för den goda sakens skull, men också för att de tycker att det är kul och utmanande. I slutet av förra året kunde vi läsa om en man som byggt om delar av sin Teslabil för att göra den till ett övervaknings- och spårningssystem av andra personer och bilar. Med en liten dator för inte mer än 700 dollar byggde han ett system, med hjälp av bilens kameror, som upptäckte, spårade och sparade registreringsskyltar och ansikten som bilen mötte. På detta sätt kunde han få varningsmeddelanden i hans telefon om en och samma bil kört förbi eller efter honom upprepande gånger, samt om en person flera gånger närmat sig hans bil för att t.ex. stjäla den3. Detta kan dock bli ett stort problem om flera personer över ett stort geografiskt område bestämmer sig för att kombinera sina övervakningssystem för att spåra och övervaka personers rörelsemönster. Detta anses kanske inte vara en attack mot en bil eller mot tillverkarna, men däremot är det en stor överträdelse i den personliga integriteten hos de personer som blir övervakade eller spårade. Sådana här händelser är svåra för tillverkarna att förutspå och förbereda sig för.
Vad kan biltillverkarna göra?
För att öka säkerheten i bilarnas komponenter och vara förberedda på diverse attacker behöver biltillverkarna prioritera IT-säkerheten på alla nivåer i en organisation. Det innebär att ledningsgrupper skall ha god support i IT-säkerhet och kritiska avdelningar bör ha erfarna säkerhetsteam som kan utföra kontinuerliga säkerhetstester av egna produkter och kod. Dessa tester bör göras internt av tillverkarens säkerhetsteam men även outsourcas till experter inom säkerhetstest mot bilar.
Vi har också sett att fler och fler OEM:s (Original Equipment Manufacturers) använder sig av så kallade Bug Bounty-program. Bug Bounty är program som innebär att godsinnade hackare kan hacka ett system och rapportera sårbarheter de hittar till tillverkaren och i utbyte få pengar. Detta utan att riskera rättsliga åtgärder. Syftet är att tillverkaren skall få information om de säkerhetsbrister som finns för att kunna korrigera dem istället för att de hamnar i forum för försäljning på olaga nätverk. Viktigt att poängtera är att dessa program inte får ersätta de interna och externa säkerhetstesterna hos tillverkarna.
Jag ser fram emot utvecklingen av våra uppkopplade bilar, men jag hoppas att biltillverkarna ser den negativa utvecklingen av attacker som en motivation till att lägga mer tid, pengar och andra resurser för att öka IT-säkerheten i våra bilar.
Vill du veta mer om säkerhet i bilar? Klicka här.
Källor
1 ”Consumer Connected Cars”, Sam Barker, Juniper Research, 2018-10-29, Länk: https://www.juniperresearch.com/press/press-releases/in-vehicle-commerce-opportunities-exceed-775mn
2Upstream Security Global Automotive Cybersecurity Report 2020, Länk: https://www.upstream.auto/upstream-security-global-automotive-cybersecurity-report-2020/
3”This tesla Mod Turns a Model S Into a Moble ’Surveillance Station’, Andy Greenberg, Wired, 2019-08-09, Länk: https://www.wired.com/story/tesla-surveillance-detection-scout/