image

Onderzoek: datanetwerken achilleshiel slimme auto's

woensdag 10 augustus 2016, 17:19 door Redactie, 2 reacties

Met internet verbonden auto's bevatten allerlei kwetsbaarheden die vooral via datanetwerken, zoals mobiele netwerken of wifi-netwerken, kunnen worden aangevallen. Daarvoor waarschuwen onderzoekers van het Amerikaanse beveiligingsbedrijf IOActive in een nieuw rapport (pdf).

De onderzoekers waren de afgelopen drie jaar 16.000 uur bezig met het analyseren van de veiligheid van autosystemen. Voor het nu gepubliceerde onderzoek keken ze onder andere naar de kwetsbaarheden die het meest bij "connected" auto's worden aangetroffen en welke aanvalsvectoren het mogelijk maken om een voertuig te compromitteren. De kwetsbaarheden werden vervolgens in verschillende categorieën onderverdeeld.

Hoeveel beveiligingslekken er zijn geanalyseerd wordt niet in het rapport duidelijk gemaakt. Wel valt 50% in de categorie "hoog" of "ernstig". Dit houdt in dat de kwetsbaarheden het mogelijk maken om onderdelen, communicatie of gegevens te compromitteren waardoor een bestuurder de controle over het systeem deels of volledig kan verliezen. Wordt er gekeken naar de mogelijkheden om een autosysteem aan te vallen dan zijn vooral netwerken een probleem. 39% van de gevonden kwetsbaarheden is namelijk via het autonetwerk aan te vallen. Het gaat dan bijvoorbeeld om ethernet- en webverkeer.

Ook aanvallen via mobiele netwerken (16%) vormen een risico. Zeventien procent kan alleen door een lokale aanvaller worden uitgebuit. "Op het eerste gezicht lijkt dit een onwaarschijnlijke aanvalsvector, maar gezien de beschikbaarheid van app stores en softwaremodules van derde partijen is deze aanvalsvector net zo belangrijk als netwerkgebaseerde aanvallen", aldus de onderzoekers. Een andere aanvalsvector die opvalt is usb (13%). Een aanvaller kan bijvoorbeeld via een besmette computer aangesloten usb-sticks infecteren. Zodra een besmette usb-stick in de auto wordt aangesloten kan de aanval worden uitgevoerd.

Kwetsbaarheden

Als er naar het soort kwetsbaarheden wordt gekeken gaat het vooral om problemen die ook bij andere embedded-systemen voorkomen. Het gaat dan om programmeerfouten waardoor buffer overflows ontstaan, de aanwezigheid van vaste wachtwoorden en het gebruik van verouderde, onveilige softwarebibliotheken. Ook ontdekten de onderzoekers backdoors. Het gaat bijvoorbeeld om test-interfaces van ontwikkelaars die in de productiesystemen in de auto's achterblijven. Een aanvaller kan hier echter gebruik van maken.

Door te investeren in zaken als veilig programmeren, patchmanagement, het controleren en testen van code en andere best practices kunnen autofabrikanten alle gevonden problemen verhelpen. "De meeste beveiligingslekken in voertuigen zijn niet via "extra toevoegingen" te verhelpen, maar door het toepassen van goede ontwikkelmethodes, programmeerprincipes en andere best practices voor cybersecurity. Het meest effectieve cybersecurity-werk vindt plaats tijdens de planning, ontwerp en eerste implementatiefases van een product, waarbij de kosten van het oplossen van beveiligingsproblemen naarmate de leeftijd en complexiteit van het product steeds verder toenemen", zo concluderen de onderzoekers.

Image

Reacties (2)
11-08-2016, 11:00 door Anoniem
Zodra je in een rapport van een vendor mooie diagrammen en percentages ziet zonder goede uitleg waar de getallen vandaan komen of wat ze exact inhouden kan het rapport meteen de prullenbak in. En dat is hier ook het geval. Leuk dat IOActive het heel belangrijk lijkt te vinden om te vertellen waar ze zich graag mee bezich houden, maar dat lijkt ook het enige wat duidelijk is gemaakt. Er zijn geen heldere definities van hun gehanteerde categorieen als kritiek/hoog, nergens staat wat er wel of niet is onderzocht, nergens staat hoeveel er is onderzocht of hou oud dat was, nergens zijn er verbanden met de praktijk. Het stijgende aantal uren dat ze voor klanten werken zegt niets over de diversiteit van de klanten of de procuten. En het aantal uur aan testen is niet indrukwekkend zolang niet duidelijk is om hoeveel man op eenzelfde project zat en of hertesten daar ook onder viel en wat er onder de testuren verder moet worden verstaan.
Wat er ook in het rapport mist is duidelijkheid over of ze producten of diensten getest hebben die bedoeld waren voor de markt of dat het allemaal in gebruik was in voertuigen. Genoeg spelers op de markt die hun modulaire apparaten of diensten willen verkopen aan de paar grote agglomeraties van de autoindustrie maar daar nooit binnen komen. Wat is er eigenlijk nodig om daar binnen te komen? Dat maakt het rapport ook niet duidelijk. Er zijn maar een paar grote spelers op de markt en die hanteren een bepaald model om te bepalen of ze een product of dienst gaan inkopen om in hun voertuigen mee te leveren.
14-08-2016, 01:03 door Anoniem
Ik heb hier thuis een auto die 14 jaar oud is en die ik nog dagelijks gebruik. In computer OS is dat een Windows 2000.

Moest dat een slimme auto geweest zijn dan was die al lang obsolete.

Het is allemaal mooi die slimme toestanden, maar na enkele jaren loopt de technologie van toen hopeloos achter en heb je de keuze, verder gaan met een hoop defecten of een nieuwe kopen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.