Sponsored content
Sponsored content

‘Je auto is gehackt, ga direct naar de kant…’

Als een servicelampje oplicht in het dashboard van de auto, moet je op korte termijn naar de garage. Maar wat als de auto gehackt wordt? Is het technisch mogelijk om dan een lampje te laten aanspringen dat zegt: Je bent gehackt, ga direct aan de kant? Colin Schappin (23), consultant cyber security bij Deloitte deed voor zijn master Information Security Technology onderzoek naar car hacking en geeft uitleg over de actuele stand van zaken…

Waar richtte jouw onderzoek zich vooral op?

‘Op de interne systemen in auto’s die met elkaar verbonden zijn via het zogeheten Controller Area Network (CAN). Dit netwerk is ontworpen in de jaren ‘90, toen een auto nog een geïsoleerd systeem was, en dus geen beveiliging tegen cyberaanvallen heeft ingebouwd. Een voorbeeld van hoe een hacker dit kan misbruiken is via een noodsysteem dat aanwezig is in moderne auto’s. Een noodsysteem kan automatisch 112 bellen in het geval van een ongeluk. Via CAN worden gegevens verzameld van diverse interne systemen die nuttig zouden kunnen zijn voor de nooddiensten. Voor het bellen van 112 is een mobiele verbinding nodig. Als een hacker via die mobiele verbinding het noodsysteem kan bereiken, kan hij van daaruit de interne systemen besturen. Ik heb onderzocht hoe dit soort cyberaanvallen eruit zien en of er technieken bestaan die deze cyberaanvallen kunnen detecteren.’

En, is het veilig op straat?

‘Er zijn algoritmes die goede resultaten geven bij het detecteren van zo’n aanval. Mijn onderzoek vond volledig offline plaats. Ik heb data uit een echte auto gebruikt, maar voor het detecteren van de aanvallen is een simulatie gebruikt. De volgende stap is dus om een apparaat te ontwikkelen dat aanvallen in een auto kan detecteren, door gebruik te maken van deze algoritmes.’

Dus we hoeven niet verrast te worden door hackers?

‘We kunnen altijd verrast worden. De aanvallen die ik gesimuleerd heb zijn allemaal publiekelijk bekend en die aanvallen zijn dus te detecteren met bestaande algoritmes. Maar in de toekomst zullen nieuwe aanvallen bedacht worden en het is niet te voorspellen of de huidige algoritmes die ook kunnen detecteren.’

Er rust een schone taak bij de fabrikanten?

‘Autofabrikanten kunnen zelf uiteraard een stuk meer doen dan ik heb gedaan. Ik heb als onafhankelijk persoon gekeken naar informatie die in alle auto’s beschikbaar is, zodat de geteste algoritmes breed ingezet kunnen worden. Een autofabrikant weet zelf precies hoe de interne systemen met elkaar communiceren en kan dus veel specifiekere en beter werkende detectiesystemen ontwikkelen.’

Security by design, is de boodschap?

‘Dat zou het beste werken. Een fabrikant wil natuurlijk zo snel en goedkoop mogelijk nieuwe auto’s ontwikkelen en voldoen aan de wensen van de klanten. Klanten vragen momenteel niet om verregaande security maatregelen, waardoor de fabrikant waarschijnlijk niet een groot deel van het budget aan security uitgeeft. Maar de fabrikant is, door zijn kennis van de eigen auto’s, wel de partij die het best presenterende detectiesysteem zou kunnen ontwikkelen.’

Zo’n vaart loopt het toch niet, dat car hacking?

‘Dat zou ik zo niet durven te stellen. Charlie Miller en Chris Valasek, de twee bekendste autohackers, wisten onlangs vanaf thuis op de bank de motor van een auto die op de snelweg reed, uit te zetten. Op een ander moment hebben ze bij een wagen de remmen uitgeschakeld. De manieren waarop zij verbinding maakten met de auto’s verschilde van elkaar, maar eenmaal binnen konden ze erg veel. Het is als een ei: de schaal is hard maar ben je daardoorheen bent dan kun je overal bij. Maar kwaadwillende zijn, voor zover bekend, niet echt bezig om aanvallen te ontwikkelen, omdat het nu nog alleen heel specifiek kan worden uitgevoerd. Een aanval werkt voor één type auto uit een bepaald bouwjaar. Het is voor cybercriminelen daarom op dit moment niet lonend om zoiets te ontwikkelen, maar met nieuwe technieken zou dit zomaar opeens kunnen veranderen. Daarom is het juist goed om als fabrikant de focus te leggen op de veiligheid. Als je die verdediging nu al op orde hebt, ben je de aanvallers, wanneer die wel echt werken aan een breed werkende aanvalstechniek, een stap voor.’

Komt er ooit een lampje in de auto dat zegt: je bent gehackt maar we hebben hem gedetecteerd, goede reis verder?

‘Dat denk ik wel. Er bestaan goede, breed inzetbare algoritmes en fabrikanten kunnen veel specifieke gevallen afvangen. Hiermee kan dus een goed detectiesysteem ontwikkeld worden. Het lastigste is bepalen of een melding van dit systeem echt een hack is. Je kunt nooit een systeem bouwen dat in 100 procent van de gevallen correct is. Wanneer een hack zou zijn gedetecteerd in het systeem dat de remmen bestuurt, kun je dit natuurlijk niet gewoon uitzetten. Als hiervoor een oplossing is bedacht kan een dergelijk lampje in auto’s worden ingebouwd.’

Mensen die dit lezen denken nu vast: voor mij mooi geen Tesla.

‘Vergis je niet: dit is op alle auto’s mogelijk, niet alleen op heel slimme, moderne types. Wat er gehackt wordt, de basis, zit in principe in iedere auto. Ze hebben allemaal een intern netwerk dat gehackt kan worden.’

Binnen Deloitte Cyber Risk Advisory werken 175 professionals. Deloitte biedt ieder moment ruimte aan studenten om hun scriptie te schrijven, zoals ook Colin gedaan heeft. Op deze pagina vind je hier meer informatie over werkenbijdeloitte.nl/cyber-graduate. Wanneer je wilt doorpraten over cybersecurity of cybercriminaliteit, neem dan contact op met Jelle Niemantsverdriet.