Gehackte Jeep toont gevaar van steeds verder verbonden wereld

Niet alleen auto’s zijn kwetsbaar voor hackers. Dat geldt ook voor alle andere apparaten met een internetverbinding.

Hoe bescherm je auto’s tegen hackers? Sinds technologietijdschrift Wired vorige week met hulp van hackers wist in te breken op de besturingssystemen van een rijdende Jeep, is dat onderwerp van stevige politieke discussie in de Verenigde Staten.

De Jeep Cherokee kon op afstand worden uitgeschakeld en belandde in de berm. Er vielen geen gewonden maar het moederbedrijf van Jeep, het concern Fiat Chrysler, zag zich gedwongen om vrijdag een terugroepactie te doen. Zo’n 1,4 miljoen auto’s moeten terug naar de garage voor een software-update. Vijf vragen.

1 Lopen ook andere auto’s gevaar?

De hackers slaagden erin om een zwakke plek te vinden in het entertainmentsysteem Uconnect. Dat zit ook in honderdduizenden nieuwe auto’s van Chrysler, Dodge, Ram en Fiat – die ook onderdeel waren van de terugroepactie. Bijna alle andere automerken bieden vergelijkbare entertainmentsystemen aan die in verbinding staan met internet, voornamelijk in nieuwere modellen.

Er zijn van andere automerken geen kwetsbaarheden in hun software bekend. Maar elke verbinding met internet maakt van auto’s een potentieel doelwit, zegt Christian Doerr, universitair docent internetveiligheid aan de TU Delft. „Als je auto iets kan downloaden, is hij ook kwetsbaar voor dit soort aanvallen. Dat geldt voor vrijwel alle nieuwe auto’s.”

Bovendien wordt het vanaf dit jaar in de Europese Unie verplicht om in nieuwe auto’s het digitale communicatiesysteem eCall in te bouwen. „Ook via dat systeem zouden hackers kunnen binnendringen. Geen enkel computersysteem is helemaal veilig.”

2 Hoe groot is het risico?

Ter geruststelling: er zijn afgezien van het vooropgezette incident met de Jeep nog geen ongelukken bekend met gehackte auto’s.

Wat lastig is in dit soort gevallen: alarmerende waarschuwingen over cybercrime zijn moeilijk op waarde te schatten, omdat veel cybercrime-experts een belang hebben bij het aandikken van risico’s. Hoe meer angst er is, hoe meer werk zij hebben.

Dat erkent ook Doerr: „Je moet altijd nagaan welk financieel belang experts hebben bij beweringen die ze doen, dat is hierbij niet anders. Onderzoekers als ik krijgen misschien ook meer onderzoeksgeld als er veel aandacht is voor een onderwerp. Maar ik ben onafhankelijk en dit zijn wel degelijk reële risico’s.”

Logischerwijs is het zo dat als goedwillenden een auto in de berm kunnen laten belanden, kwaadwillenden dat ook kunnen. Gebrekkige internetbeveiliging is in vrijwel alle branches een groeiend probleem, het zou raar zijn als de auto-industrie de enige uitzondering was. Maar hoe groot het probleem is, is na één hack nog niet met zekerheid te zeggen.

3 Waarom zou iemand een auto willen hacken?

Vaak is internetcriminaliteit terug te leiden tot financiële motieven. Een belangrijke vraag is dus hoe criminelen kunnen verdienen aan het hacken van auto’s. Dat kan in de eerste plaats door alarmsystemen uit te schakelen, zodat ze makkelijker gestolen kunnen worden.

Het is volgens Doerr bovendien voor te stellen dat hackers geld gaan vragen aan automobilisten om illegaal extra functies te activeren in auto’s. Veel systemen in een auto zijn inmiddels net zo afhankelijk van hardware als van software. Autofabrikanten vragen vaak veel extra geld voor geavanceerder software in verschillende modellen. Software kan bijvoorbeeld bepalen dat de ene auto harder rijdt dan de ander. Hackers zouden goed kunnen verdienen door dure upgrades illegaal te verkopen en te installeren.

Dat lijkt vooral voor fabrikanten een probleem te zijn, aangezien zij dan inkomsten mislopen. Maar automobilisten en hun medeweggebruikers zijn dan ook niet meer zeker van de deugdelijkheid en veiligheid van de software.

Bovendien zouden er ook andere criminele of terroristische motieven kunnen spelen om een auto te hacken. „Je kunt de perfecte moord plegen als je op afstand de rem weet te blokkeren van iemand van wie je af wilt,” zegt Doerr. Nu auto’s ook steeds meer zelfrijdfuncties krijgen, nemen die risico’s verder toe. Al geldt ook hiervoor dat dit voorzover bekend nog nooit is gebeurd, terwijl auto’s al vele jaren kwetsbaar zijn voor hacks.

4 Hoe zijn dit soort inbraken te voorkomen?

„Die zijn nooit helemaal uit te sluiten, tenzij je besluit om in een hele oude auto te rijden,” zegt Doerr. Dat doet hijzelf dan ook, maar hij zegt tegelijkertijd dat het niet realistisch is dat iedereen dat gaat doen. De vraag naar nieuwe functies in auto’s is simpelweg te groot.

Het zal daarom een kat-en-muis-spel blijven tussen autofabrikanten en en hackers. Een oplossing zou kunnen zijn om systemen zo te ontwerpen dat zij niet alleen inbraken voorkomen, maar dat ze daarnaast automatisch het effect van hackers onschadelijk maken.

Doerr doet onderzoek naar dergelijke systemen. „Stel dat iemand een auto op afstand wil laten remmen. De auto zelf kan dan registreren of de bestuurder op dat moment ook het rempedaal indrukt. Zo niet, is dat een teken dat het mis is. Je kunt auto’s zo programmeren dat ze zelf herkennen als er een vreemde opdracht wordt gegeven die niet klopt met een normale situatie.”

Ook kunnen geavanceerde versleuteling van gegevens en beveiliging via zogeheten firewalls de kans op een geslaagde aanval verkleinen. In de Verenigde Staten is een wet in de maak om autofabrikanten te verplichten om te voldoen aan beveiligingsstandaarden tegen hacks. Maar ook met die maatregelen blijft het een wedloop.

5 Lopen alleen auto’s gevaar?

Wat geldt voor auto’s, geldt voor alle apparaten met internetverbinding. Aangezien steeds meer apparaten en objecten online gaan, zijn er ook steeds meer achterdeurtjes die kwaadwillende hackers kunnen benutten. Ze kunnen systemen binnendringen en manipuleren, of bijvoorbeeld digitale gegevens stelen. Dat geldt voor slimme horloges en smartphones maar ook voor energiecentrales.

De afgelopen jaren zijn er gevallen naar buiten gekomen van gehackte webcams, televisies, ijskasten en zelfs sluisdeuren. Ook hiervoor waarschuwt Doerr: „Het is een kwestie van tijd voordat er iets groots misgaat. Je kunt aanvallen wel heel moeilijk maken, maar nooit uitsluiten. Fabrikanten wachten te vaak met aanpassingen totdat er iets misgaat.”