Nieuw gevaar op de weg

De computers die auto’s veiliger en schoner maken, hebben ook een nadeel: je kunt ze hacken en de auto dingen laten doen die niemand wil.

Wanneer zal de eerste auto gehackt worden? Wanneer zal bij een met computervirus geïnfecteerde auto de motor uitvallen, de radio keihard gaan spelen, en alle meters foutieve aanwijzingen gaan geven? Wanneer zal zo’n auto uit zichzelf krachtig gaan remmen of juist elke rempoging tegenwerken?

Het kan, laat een groep van 11 onderzoekers van de University of Washington (Seattle) en de University of California (San Diego) zien. Deze week presenteerden ze hun onderzoek naar gehackte auto’s op een congres over veiligheid en privacy in Oakland (Californië) dat door het technologisch genootschap IEEE was georganiseerd.

De onderzoekers kochten twee auto’s van een recent type (ze onthullen niet welke, maar volgens hen is het een gewone, moderne auto) en manipuleerden op verschillende manieren de computers die in een auto het remmen en sturen, de motor en tal van andere functies regelen. Op de verlaten landingsbaan van een vliegveld werden de auto’s aan een aantal proeven onderworpen. Voor een aantal andere experimenten zetten ze de auto uit veiligheidsoverwegingen met de wielen van de grond op een krik.

CONTROLEPROTOCOL

De toegang tot het computersysteem van een auto is niet moeilijk te vinden. Het is de zogeheten OBD-interface, die meestal onder het dashboard zit. Het is een stopcontact dat bestemd is voor de On Board Diagnostics, het controleprotocol dat door garages wordt gehanteerd om te kijken hoe het er met de auto voor staat. Na het inpluggen van een stekker is op de testapparatuur in de werkplaats te zien of er zich storingen hebben voorgedaan, in welk onderdeel, bij welke kilometerstand en of die zich nog steeds voordoen. Verder kunnen zo sommige instellingen worden geüpdatet.

Het computersysteem van een auto bestaat inmiddels uit zo’n vijftig tot zeventig Electronic Control Units (ECU’s), microprocessoren met wat geheugen. De belangrijkste ECU is de computer die de brandstofinspuiting van de motor regelt, maar er zijn ook ECU’s voor de airbags, de stuurbekrachtiging, de antiblokkeersystemen, de systemen die doorslippende wielen moeten beteugelen, etcetera. Ze zijn in een netwerk, bijvoorbeeld het veelgebruikte Controller Area Network (CAN), met elkaar verbonden, want ze moeten met elkaar rekening houden. Als het rempedaal wordt ingetrapt, moet de cruise control niet uit alle macht proberen om de kruissnelheid toch te handhaven.

LAPTOP

Voor manipulatie van die systemen moet je toegang tot de OBD-stekker en dus tot de auto zien te krijgen. Dat is voor een ex-vriend, een monteur of een parkeerhulp een koud kunstje, zeggen de onderzoekers. Vervolgens kan in het OBD-stopcontact een kleine module worden geprikt die het systeem infecteert, of met een laptop kan een programmaatje worden geladen dat hetzelfde doet. Op van te voren gedefinieerde momenten – bijvoorbeeld als de auto een bepaalde snelheid bereikt – kan de infectie dan toeslaan.

De meeste ECU’s zijn beveiligd tegen onbevoegd herprogrammeren, maar soms zijn de toegangscodes bekend, een gevolg van het feit dat er nogal wat bedrijven zijn die de ECU van de motorsturing herprogrammeren om zo een hoger vermogen te krijgen: chiptuning heet dat. Verder zijn de garagebedrijven in het bezit van de codes. Als die niet beschikbaar zijn, kan de code van elke ECU in maximaal zeven dagen gebroken worden, laten de onderzoekers zien.

AIRBAG

De onderzoekers maakten ook gebruik van een andere zwakke plek in het systeem. Het autonetwerk is meestal gescheiden in een deel voor snelle dataoverdracht (bijvoorbeeld voor het antiblokkeersysteem, dat razendsnel moet doorgeven als een wiel heel even stil staat), en een deel waarin het minder kritisch is – bijvoorbeeld het deel dat de interieurverlichting laat aangaan als een portier opengaat. Het snelle deel is beter beveiligd dan het langzame. Maar tussen het snelle en het langzame deel bestaan allerlei dwarsverbindingen (bridges), want de portieren moeten bijvoorbeeld ontgrendeld worden als de airbag is afgegaan. Die bridges bleken zwakke plekken, een geïnfecteerde ECU in het langzame deel bleek ook allerlei andere knooppunten te kunnen besmetten of te besturen. Dat is een gevolg van weer een andere tekortkoming: de datapakketten die in het CAN worden verstuurd, hebben een primitieve structuur. Ze hebben geen traditioneel computeradres, maar worden naar alle knooppunten in het netwerk verstuurd en die beslissen dan of ze het signaal verwerken of niet.

DATASTROMEN

Met een zelfgeschreven computerprogramma reconstrueerden de onderzoekers de datastromen in het autonetwerk. Ze simuleerden bepaalde verschijnselen en bekeken welke codes dat opleverde. Daarna genereerden ze die codes zelf en brachten ze als programmaregels in het systeem – met opmerkelijke resultaten (zie kader).

Autodeskundige Bart Scheepers, projectleider bij TNO Automotive in Helmond is niet verbaasd. “Het zijn whizzkids, ze hebben er een hoop tijd en moeite in gestoken. Maar als je dat doet, dan kan het allemaal. Net zoals je pinpasjes kunt skimmen of de OV-chippas kon kraken.”

De onderzoekers tonen zich in hun verslag verbaasd over het gemak waarmee ze konden inbreken in zelfs de meest kritische functies van het autosysteem. Ze waarschuwen ook voor andere mogelijkheden tot manipulatie: in de toeleveringsketen kan een ECU besmet worden en na montage andere ECU’s besmetten. Via accessoires die na aankoop worden gemonteerd en via draadloze functies (afstandsbediening, bluetoothapparaten) kan hetzelfde gebeuren. En de nu tot ontwikkeling komende mogelijkheid om auto’s met internet te volgen (bij sommige auto’s kunnen na een ongeluk deuren via internet worden geopend) creëert weer nieuwe kansen voor kwaadwillenden. Het is een vreemde paradox: systemen die de auto veiliger moeten maken, blijken nieuwe gevaren te introduceren.

Karl Koscher, Alexei Czeskis e.a.: ‘Experimental Security Analysis of a Modern Automobile’. zie: www.autosec.org