nrk.no

Chrysler kaller tilbake 1.4 millioner biler – og det hele kunne vært ungått

Kategori: Sikkerhet

Chrysler-konsernets UConnect-systemer har et graverende sikkerhetshull som lar hackere ta kontroll over bilen – fra hvor som helst på kloden. Bilde: Sam Churchill på Flickr (CCBY).

Forrige uke kom WIRED med en sjokkerende avsløring: Majoriteten av nyere biler fra Chrysler kan hackes over nettet. Motoren til vilkårlige modeller kan skrus av mens du kjører, bremsene kan deaktiveres, og hackere kan styre bilen til venstre eller høyre. Chrysler har nå tettet sikkerhetshullet, men feilen krever usedvanlig mye av eierne.

Nyere modeller av biler fra Chrysler-konsernet kommer med en funksjonalitet som heter UConnect. I praksis er det bare merkenavnet for Chryslers underholdningssystem, som selvsagt er internettilkoblet. Dette gjør det mulig for føreren å holde seg oppdatert på de siste nyhetene, få informasjon om potensielle trafikkorker og andre ting som man forventer av et moderne underholdningssystem.

Man kan nok si at Chrysler UConnect er en del av «Internet of Things«, et samlebegrep for fysiske dingser som er koblet til nettet, og som gir dingsene funksjonalitet som ellers ikke hadde vært mulig å tilby.

Problemet oppstår når disse dingsene har sikkerhetshull. Og det er spesielt kritisk for biler.

Avsløringen som kom fra WIRED forrige uke, var at et par sikkerhetsresearchere har funnet et svært sikkerhetshull i Chrysler-konsernets nyere biler. Via det tidligere nevnte underholdningssystemet, som er nettilkoblet, kunne researcherne infisere bilen med et virus.

På grunn av at dagens biler inneholder såpass mange ulike datamaskiner som prater med hverandre, gjorde dette sikkerhetshullet det mulig for researcherene å ta kontroll over bilens primærfunksjoner: Styring, gass og brems.

Hvis man ser videoen i WIREDs sak (embeddet ovenfor), er dette ganske ille. Hackerne fjernstyrte bilen, med WIREDs reporter Andy Greenberg bak rattet, ned i en grøft. Hackerne satt selv i en leilighet kilometervis unna. Hackerne hevder at de har muligheten til å gjøre dette med over én million biler fra Chrysler-konsernet.

Måten hackerne finner biler som er åpne for angrepet, er ved å kjøre en såkalt portscanning av nettet: De fleste enheter som er koblet til nettet har en form for signatur som gjør de gjenkjennelige. Hvis man i tillegg vet hvilke IP-avgrensinger de aktuelle nettverkene benytter seg av, kan dette gjøres ganske kjapt. Ved å benytte lignende metoder er det også mulig å kartlegge internettbruk i ulike land, for eksempel Nord Korea.

Når hackerne så har funnet en internettilkoblet dings som passer Chryslers signatur, er det ifølge WIRED enkelt å infisere bilen med et virus som gjør det mulig å ta kontroll over primærfunksjonene.

Det at programvare har sikkerhetshull er ikke noe nytt, og i og for seg ikke krise – det meste av tjenester og programmer vi benytter oss av på daglig basis har (eller har hatt) potensielle sikkerhetshull.

De fleste store selskaper som Facebook, Google og United Airlines har såkalte «bug bounty»-programmer, som betaler utviklere som oppdager hull i deres systemer. Det er en vinn-vinn for både utviklerne og selskapene: Utviklerne får penger, selskapene slipper flaue episoder.

Problemet oppstår når det ikke går an å tette hullene i internettbaserte systemer over internett. Som er nettopp situasjonen Chrysler nå er i: De har utviklet et internettbasert underholdningssystem til bilene sine, som ikke kan fikses over nettet.

Som en konsekvens av dette finnes det nå over én million biler på veiene verden over som er vidåpne for et potensielt livsfarlig angrep.

Chrysler har fikset det underliggende hullet, og sender i disse dager ut en beskjed til alle som har kjøpt biler med underholdningssystemet. Eierne får da to muligheter:

  • Kjør bilen til et servicesenter, så oppdaterer Chrysler bilen.
  • Få tilsendt en USB-minnepinne i posten, plugg den i bilen, og kjør oppdateringen selv.

Tesla har også biler med relativt avanserte underholdningssystemer, og også disse bilene har behøvd en programvareoppdatering i ny og ne. I motsetning til Chrysler foregår denne oppdateringen over nettet, som gjør serviceprosessen langt mindre omfattende for kundene.

Hele situasjonen er flau for Chrysler, og den kunne så veldig enkelt være ungått. Å utvikle internettilkoblede datasystemer som ikke kan oppdateres over den samme tilkoblingen, er i beste fall naivt, og i verste fall noe som kan føre til utallige dødsfall.

Hvis denne feilen hadde blitt oppdaget av noen med ondere hensikter enn sikkerhetsresearcherne som WIRED har snakket med, hadde Chrysler-konsernet stått i en ganske kinkig situasjon. Og selv om researcherne nå har avdekket ett sikkerhetshull, er det som alltid i programvareverdenen ikke usannsynlig at det finnes flere.

17 kommentarer

  1. man kan gjerne si at situasjonen er flau for Chrysler, men det er i beste tilfelle ett lugubert forsøk på føleri og sensasjonsmakeri fra sjornalister.

    situasjonen er eventuelt «flau for alle som driver med IT» siden feil (inkl. bugs) er nærmest umulig å gardere seg i mot.

    og ang «sjokkerenede avsløring»: at det har blitt advart mot dette over lengre tid, og at tilsvarende problemer har eksistert (hackbare pacemakere anyone?) og vil forekomme fortsatt er heller ikke noe nytt. dette er mer eller mindre forventet.

    det er faktisk veldig enkelt: jo mer man kobler til, jo flere feilkilder.

    er man så stupid at man tilkobler livsfarlig/-nødvendig utstyr så sier det seg selv at det vil ende katastrofalt (individuelt og potensielt globalt).

    den eneste fiksen på dette er å bevege seg vekk fra «tilkoblet»-muligheten.

    man burde kanskje rett og slett ha løftet denne problemstillingen noe, og ikke hengt seg opp i «sjokkerende avsløring» og «situasjonen er flau for Chrysler».

    for opptatt av klassisk sjornalististisk sirkelronk og vet man kan slippe unna med det siden ingen andre sjornalister evner å se igjennom tåka?

    Svar på denne kommentaren

    • Henrik Lied (NRK) (svar til navn)

      Jeg tror vi er enig om at manglende sikkerhetskompetanse er et gjengående tema i mange bransjer. Men at dette er sensasjonalisme er jeg uenig i. Konsekvensene av manglende sikkerhetsinfrastruktur i en bil har stor sannsynlighet for å føre til dødsfall. Det er graverende, og er nyhetsverdig.

    • som ett enkelt-eksempel er det forsåvidt greit.

      utgangspunktet er at dette er en varslet generell katastrofe. det er det som er det interessante og som er nødvendig å påpeke. det er også det som eventuelt gir en effekt i forhold til forbedret sikkerhet.

      jeg nevnte pacemakere. det er en mer «garantert» katastrofe om noen finner på å tukle med.

      man har herlige tabber som kontrollpaneler på gass-stasjoner med default passord. samme på vann- og avløps-kontrollstasjoner. begge eksempler fra Norge.

      så det er ingen sensasjon at denne «tilkobletheten» vil gi katastrofale konsekvenser. jo mer utstyr man kobler til nett for «enkelhets skyld» jo større sannsynlighet for at man vil kunne få katastrofale følger.

      sensasjonen er mer det at ingen har misbrukt det ennå. utenfor «legitim bruk» altså. var vel noe sentrifuger som smalt i Iran om jeg ikke husker feil. samme virus kunne ha blitt misbrukt i en haug med andre settinger hvor underliggende maskinvare og programvare var tilgjengelig (hvilket jo omfattet omtrent alt av produksjonsanlegg rundt omkring).

      å tro at man får en sikrere verden av å oppdage en mulighet som kan utnyttes til noe katastrofalt, blir litt banalt.

      den underliggende tanken om å koble alt sammen med alt som en (idiotisk) vinn-vinn-situasjon for produsent (kan «overvåke» online) og konsument (kan få online tjenester) er det grunnleggende problemet. så lenge det er fysisk mulig å gjøre en toveis-kommunikasjon så er det en forholdsvis høy sannsynlighet at man også vil kunne kontrollere enkelte komponenter. som dette bil-eksemplet elegant illustrerer.

    • Arve Systad (svar til navn)

      Alt som er i media trenger ikke være en sensasjon. Selv synes jeg det er helt strålende at alt som har med IT-sikkerhet (og hull i den) blir blåst opp litt: Det øker kanskje etterhvert mannen-i-gata sitt syn på det. Jeg er selv utvikler, og opplever innimellom samarbeidspartnere, kunder og brukere som fnyser sikkerhetstiltak.

      Og den samme mentaliteten finner man hos privatpersoner. Det høres kanskje teit og uviktig ut, men bare det at folk deler passord med hverandre, svarer på spam-mail og er naive med hva de legger igjen av informasjon rundtomkring får følger innimellom. Noen ganger bare som en typisk «Facerape», men plutselig er det en konge i Nigeria som har tappa kontoen din for penger…

      IT-sikkerhet er dyrt å gjennomføre, vanskelig å gjøre helt riktig hele tiden og gir ingen direkte merverdi til noen brukerpart. Det er litt som forsikring: Du bruker mye penger på noe du håper du aldri får behov for.

    • og igjen:

      jo mer tilkoblet man er, jo større konsekvenser vil man oppleve. noe så enkelt som en uanmeldt frakobling vil kunne gi uante konsekvenser.

      det sikreste er da å koble fra først. en frakoblet situasjon er også mye enklere å holde orden på. ergo også høyere sikkerhet.

      ikke utvikle enda mer «sikkerhet» og gjøre situasjonen mer uoversiktlig.

      og helt fantastisk: det blir billigere og bedre tilogmed!

    • Arve Systad (svar til navn)

      At ikke alt bør være kobla til er jeg helt enig i, se kommentarene lengre nedi her 🙂

    • Arve Systad (svar til navn)

      ..og i tillegg til det Henrik skriver her: Det at det får stor publisitet i media internasjonalt er kanskje et ekstra insentiv til å pushe på å få det fiksa fort. Satt på spissen: hadde ikke hackerne laga mye drama av det, er det ikke sikkert Chrysler hadde funnet ut av det hele før noen allerede hadde kjørt biler av veien og tatt livet av folk.

    • det tok disse gutta ett par tre år med dedikert innsats å klare dette. mesteparten av dette arbeidet var for å forstå hva som skjer hvor og hvilke komponenter som var tilgjengelig.

      hva får deg til å tro at dette ikke kan repeteres fortere med mer dedikerte ressurser? at det ikke allerede er gjort?

      dessuten: sikkerhet mtp. biler og tilsvarende funksjoner som de har utnyttet er det advart mot over lengre tid. lenger enn disse har forsøkt å hacke biler. hovedpoenget i artikkelen til Wired er ikke Chrysler, men at de har benyttet denne bilen som proof of concept. de antar at det så godt som mulig i alle bilmerker med tilsvarende interne systemer.

    • Arve Systad (svar til navn)

      Selvsagt kan det hende det her skjer igjen (jeg forventer det nesten), og selvsagt vil nok mer dedikerte ressurser kunne gjøre det fortere. Men det øker jo bare viktigheten for å få et stort fokus på det, så sikkerhet i systemene kan bli prioritert opp hos bilprodusenter. Jeg tror f.eks. ikke at Chrysler, BMW eller Audi har like høy kompetanse på sikring av datasystemer som en moderne bank typisk har – men fra nå av, kanskje bør de det?

    • hmmm.

      eksemplet med bank er litt fåfengt, men joda de har høy grad av sikkerhet. og en av sikkerhetsmekanismene er logging og replay som siste skanse. det blir litt fåfengt å prøve en replay men med ikke dødelig utfall i de fleste andre tilfeller (for eks. etter en bilulykke).

      den eneste måten å faktisk øke sikkerheten på i bil og tilsvarende, er å koble fra. er det innmari vanskelig å forstå?

    • Arve Systad (svar til navn)

      Nei, det forstår jeg veldig godt. Men så er det en gang sånn at markedet sikkert vil ha alt dette fancy greiene som en internett-tilkobla bil kan gi, og da blir trolig økt sikkerhet eneste mulige løsning.

    • atte

      det er nå engang sånn at en del av disse nymotens greiene er av en slik art at man viste ikke at man trengte det før noen fortalte en at det var uunnværlig.

      så for alle praktiske formål er argumentet ditt mildt sagt ugyldig. men joda det er en helt annen diskusjon igjen. so: EOD.

    • Enig. Det har sikkert en sammenheng med at alt i bilen styres av én og samme datamaskin, som bare tilfeldigvis kjører ulike programmer for de ulike funksjonene.

      Biler burde kanskje vært konstruert slik at vitale funksjoner som gass, brems og styring ble kontrollert fra et helt fysisk adskilt system. Og om kjørecomputeren på død og liv må kunne vise informasjon om disse tingene, kan det eksponeres ren informasjon fra gass-brems-og-styrings-maskinen uten å gi mulighet for å styre noe. (Kun ha eksterne API-er for lesing, ikke skriving, basically). Det er nok helt sikkert mer komplisert enn det jeg ser for meg i farten, men essensen av det burde jo gi mening – til og med for Chrysler.

      Av og til gir det faktisk mening å være gammeldags, overbeskyttende og kjedelig.

    • Fordi utviklerne ikke har peiling på hva de driver med.

      Det begynner å bli en stund siden vi programmerte i maskinkode og visste eksakt hva datamaskinene faktisk gjorde.

      Gleder meg til masse lignende underholdning fremover.

  2. Problemet er nok heller at hele bilindustrien har kjørt seg inn i en blindgate. CAN-buss har blitt så enerådende at alle nivå 1/2 leverandører av elektronikk må bruke denne teknologien. Controller Area Network er opprinnelig beregnet på å koble langsomme periferikretset sammen på et kretskort, og har en utrolig lav ytelse, noe som har interessante konsekvenser. Siden kapasiteten på hvert nettverk er brukt opp må man brokoble flere nettverk sammen, og det blir uhyre komplisert å overføre data mellom alle datamaskinene i en bil. Det er fra 10-20 enheter i billige biler, og gjerne opp mot hundre i en moderne topputstyrt bil. Dette fører også til at nettverkene kan overbelastes i kritiske situasjoner, og dette fører til merkelige feil som ikke kan gjenskapes. Det er også litt av grunnen til at bilfabrikantene ikke tillater utstyr på OBD-2 kontakten under kjøring, da bare en forespørsel etter data kan få hele nettverket til å ramle sammen.
    Men dette var om sikkerhet mot hacking. CAN har rett og slett ikke kapasitet til å bære moderne kryptografiske protokoller. Derfor jobber vi nå med å lage en sikker, standardisert erstatning for OBD-pluggen hvor all kommunikasjon med omverden, og alle lure apps vil kjøre utenfor en kraftig brannmur. Denne jobben har vært trenert lenge av bilindustrien av ymse grunner, men forhåpentligvis vil det være mer klima for dette til høsten.

    Svar på denne kommentaren

  3. Hackernes mekka

    […] i moderne biler. Vi fikk en forsmak på hva som er i vente her med Wireds storsak om hacking av biler fra Fiat Chrysler-konsernet, men det er ventet at nye avsløringer kommer i løpet av […]

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.