Een auto breek je open vanaf je eigen bank

auto’s hacken Vorige week werd een rijdende auto gehackt. Een experiment met gevolgen: 1,4 miljoen auto’s werden teruggeroepen.

Hoe bescherm je auto’s tegen hackers? Sinds technologietijdschrift Wired vorige week met hulp van hackers wist in te breken op de besturingssystemen van een rijdende Jeep, is dat onderwerp van politieke discussie in de Verenigde Staten.

De Jeep Cherokee kon op afstand worden uitgeschakeld en belandde in de berm. Er vielen geen gewonden maar het moederbedrijf van Jeep, het concern Fiat Chrysler, zag zich gedwongen om vrijdag een terugroepactie te doen. Zo’n 1,4 miljoen auto’s moeten terug naar de garage voor een software-update. Vijf vragen.

1 Lopen ook andere auto’s gevaar?

De hackers slaagden erin om een zwakke plek te vinden in het entertainmentsysteem Uconnect. Dat zit ook in honderdduizenden nieuwe auto’s van Chrysler, Dodge, Ram en Fiat – die ook onderdeel waren van de terugroepactie. Bijna alle andere automerken bieden vergelijkbare entertainmentsystemen aan die in verbinding staan met internet.

Er zijn van andere automerken geen kwetsbaarheden in hun software bekend. Maar elke verbinding met internet maakt van auto’s een potentieel doelwit, zegt Christian Doerr, universitair docent internetveiligheid aan de TU Delft. „Als je auto iets kan downloaden, is hij ook kwetsbaar voor dit soort aanvallen.”

Bovendien wordt het vanaf dit jaar in de Europese Unie verplicht om in nieuwe auto’s het digitale communicatiesysteem eCall in te bouwen. „Ook via dat systeem zouden hackers kunnen binnendringen. Geen enkel computersysteem is helemaal veilig.”

2 Hoe groot is het risico?

Ter geruststelling: er zijn afgezien van het vooropgezette incident met de Jeep nog geen ongelukken bekend met gehackte auto’s. Wat lastig is in dit soort gevallen: alarmerende waarschuwingen over cybercrime zijn moeilijk op waarde te schatten, omdat veel cybercrime-experts een belang hebben bij het aandikken van risico’s. Hoe meer angst er is, hoe meer werk zij hebben.

Logischerwijs is het zo dat als goedwillenden een auto in de berm kunnen laten belanden, kwaadwillenden dat ook kunnen. Gebrekkige internetbeveiliging is in vrijwel alle branches een groeiend probleem; het zou raar zijn als de auto-industrie de enige uitzondering was. Maar hoe groot het probleem is, is na één hack nog niet met zekerheid te zeggen.

3 Waarom zou iemand een auto willen hacken?

Een belangrijke vraag is hoe criminelen kunnen verdienen aan het hacken van auto’s. Dat kan in de eerste plaats door alarmsystemen uit te schakelen zodat ze makkelijker gestolen kunnen worden.

Het is volgens Doerr bovendien voor te stellen dat hackers geld gaan vragen aan automobilisten om illegaal extra functies te activeren in auto’s. Veel systemen in een auto zijn inmiddels net zo afhankelijk van hardware als van software. Autofabrikanten vragen vaak veel extra geld voor geavanceerdere software in verschillende modellen. Software kan bijvoorbeeld bepalen dat de ene auto harder rijdt dan de andere. Hackers zouden goed kunnen verdienen door dure upgrades illegaal te verkopen en te installeren.

Automobilisten en hun medeweggebruikers zijn dan niet meer zeker van de deugdelijkheid en veiligheid van de software.

Bovendien zouden er ook andere criminele of terroristische motieven reden kunnen zijn om een auto te hacken. „Je kunt de perfecte moord plegen als je op afstand de rem weet te blokkeren van iemand van wie je af wilt”, zegt Doerr.

4 Hoe zijn dit soort inbraken te voorkomen?

„Die zijn nooit helemaal uit te sluiten, tenzij je besluit om in een heel oude auto te rijden”, zegt Doerr. Dat doet hijzelf dan ook, maar hij zegt tegelijkertijd dat het niet realistisch is dat iedereen dat gaat doen.

Het zal daarom een kat-en-muis- spel blijven tussen autofabrikanten en hackers. Een oplossing zou kunnen zijn dat je systemen zo ontwerpt dat zij niet alleen inbraken voorkomen, maar daarnaast het effect van kwaadwillende hackers onschadelijk maken.

Doerr doet onderzoek naar dergelijke systemen. „Stel dat iemand een auto op afstand wil laten remmen. De auto zelf kan dan registreren of de bestuurder op dat moment ook het rempedaal indrukt. Zo niet, dan is dat een teken dat het mis is.”

In de Verenigde Staten is een wet in de maak om autofabrikanten te verplichten te voldoen aan bepaalde beveiligingsstandaarden tegen hacks.

5 Lopen alleen auto’s gevaar?

Wat geldt voor auto’s, geldt voor alle apparaten met internetverbinding. Dat geldt voor slimme horloges en smartphones maar ook voor energiecentrales. De afgelopen jaren zijn er gevallen naar buiten gekomen van gehackte webcams, televisies, ijskasten en zelfs sluisdeuren. Ook hierover waarschuwt Doerr: „Het is een kwestie van tijd voordat er iets groots misgaat. Je kunt aanvallen wel heel moeilijk maken, maar nooit uitsluiten. Fabrikanten wachten te vaak met aanpassingen totdat er iets misgaat.”

Hij staat hierin bepaald niet alleen. Al jaren waarschuwen veel deskundigen voor het feit dat fatsoenlijke beveiliging ontbreekt voor dit ‘internet of things’. De gehackte Jeep laat vooral zien dat er reële risico’s zitten aan een wereld waarin alles met elkaar is verbonden.