Kan självkörande bilar hackas?

Är självkörande bilar säkert, tänk om terroristerna lyckas hacka en?

Detta är en frågeställning som jag mött flera gånger när jag ivrigt pratar om att jag tror att självkörande bilar är framtiden. Speciellt efter den tragiska händelsen på Drottninggatan tidigare i vår.

Vad många förutsätter är att det inte går att hacka bilar nu.

Jag hörde nyligen den amerikanske säkerhetsexperten Charlie Miller prata på norska konferensen Paranoia om hans forskning kring bilsäkerhet. Charlie Miller är känd bland annat för hacket av en Jeep Cherokee för några år sedan där han lyckades ta kontrollen över bilens gas-, broms- och styrsystem (i bilen satt en journalist från tidningen Wired som skrev om skräckupplevelsen i denna artikel).

Charlie Miller har upprepade gånger demonstrerat, i ärlighetens namn ganska chockerande, säkerhetsbrister i bilar från Jeep. På frågan om han trodde att det enbart var Jeep som hade dessa buggar svarade Charlie Miller att det var rätt osannolikt, men att han inte hade pengar att testa bilar från fler tillverkare.

Lyssna gärna på en intervju med Charlie Miller i senaste avsnittet av Combitech-podden som handlar om just säkerhet och autonoma fordon.

Den gängse bilden av bilar präglas i stort av hur dessa fungerade runt millennieskiftet. Då var dessa helt isolerade system som man på sin höjd kunde koppla in en CD-spelare i för att lyssna på musik. Hur den bilden har överlevt när vi numera är vana vid att koppla in vår mobiltelefon i dess högtalarsystem och samtidigt titta på Google Maps på instrumentpanelen är ett mysterium.

Nu tror jag egentligen att bilindustrin har börjat få rätt bra koll på läget och (mycket tack vare personer som Charlie) att de flesta jobbar aktivt med informationssäkerhet i sina fordon. Men jag skulle ändå vilja lyfta fram några bra principer som skulle hjälpa avsevärt i detta arbete:

  • Var noggrann med rättigheter – använd ”least privilege”-principen för vilka system som överhuvudtaget får kommunicera med varandra.
  • Koppla ihop ert passagerarsäkerhetsarbete med ert infosäkarbete. Dels påverkar de naturligtvis varandra men det gör även att ni inte behöver börja om från början.
  • Segregera näten i bilen och separera de säkerhetskritiska delarna från comfort-delarna. Om det verkligen behövs kommuniceras mellan dessa så gör det på ett extremt kontrollerat sätt genom mycket begränsade gateways eller protokollöversättare.
  • Inse att varje (ja varje, även sensorn som läser av lufttrycket i däcken) gränssnitt är en attackyta.
  • Säkerhetstesta.

Men om man inte tillverkar bilar (alla gör ju inte det) och istället är orolig för att ens bil ska bli hackad? Först och främst måste vi konstatera att detta än så länge är väldigt ovanligt. För den som ändå vill vara säker kan man:

  • Minska antalet fjärrtjänster. Alla dessa går inte att stänga av men vissa av dem gör det vilket ofta är en bra idé. Fjärrtjänster är nämligen oftast det enklaste sättet att påbörja ett angrepp på bilen.
  • Ladda inte ner och installera program om du inte är säker på att de kommer från en pålitlig källa.
  • Använd inte webbläsaren. Flera moderna bilar kommer med en webbläsare, men använd hellre din mobiltelefon för att surfa. Naturligtvis ska du inte surfa medan du kör, av andra skäl.
  • Håll ögonen öppna för kommunikation från bilens tillverkare angående säkerhet. Charlie Miller fick exempelvis Jeep att be samtliga kunder att uppdatera sina infotainment-system.
  • Till sist, om du är riktigt nervös så föreslår jag att du köper en betydligt äldre bil. Antingen en som inte ens går att koppla upp sig mot eller åtminstone en som har några år på nacken vilket ökar chansen att man har hittat och löst de värsta säkerhetshålen.