Image
brace automotive development cyber security

Cyberbeveiliging in de auto: de vertrouwensgrens verdedigen

Veel nieuwe voertuigen zijn tegenwoordig connected cars. Dat betekent dat ze via een draadloze internetverbinding zijn verbonden met de cloud, waarmee fabrikanten verschillende data en diensten kunnen leveren. Nu steeds meer voertuigen worden uitgerust met een dergelijke serviceverbinding, trekt dit onvermijdelijk de aandacht van hackers. Deze hackers kunnen dergelijke serviceverbindingen gebruiken om persoonlijke informatie over de eigenaar van het voertuig te verzamelen of zelfs controle te krijgen over de functies van het voertuig.

Zoals blijkt, is dit geen hypothetische situatie; hackers kunnen dit echt doen. Een tijdje geleden dook er op internet een video op waarin te zien is hoe hackers met succes een Jeep Cherokee op afstand kunnen besturen. Jeeps moederbedrijf FCA heeft moeten reageren met een uitgebreide terugroepactie en een software-update.


Bij BRACE Automotive onderzoeken we oplossingen die OEM's kunnen gebruiken om auto's en hun eigenaren te beschermen tegen hackaanvallen. In dit blogartikel onderzoeken we hoe hackers controle kunnen krijgen over voertuigen zoals de Jeep Cherokee en laten we een methode zien die kan worden gebruikt om dergelijke hacks te voorkomen.


Om uit te leggen hoe de hackers toegang kregen tot de interne werking van een geconnecteerde auto, moeten we eerst de netwerkarchitectuur van zo'n voertuig uitleggen. Helaas (of gelukkig, als je een hacker bent) is de netwerkarchitectuur van de Jeep Cherokee typerend voor moderne verbonden auto's.


Onder de motorkap van de auto zijn alle aandrijflijn- en chassiscomponenten (zoals stuurbekrachtiging, motor, remmen) als 'knooppunten' verbonden in een Controller Area Network (CAN), de CAN-bus. Op deze CAN-bus kan elk knooppunt alle gegevens naar alle andere knooppunten verzenden, zodat elk knooppunt alle gegevens ontvangt die op de bus worden verzonden.


In het interieurdomein van de auto heeft het infotainmentsysteem een ​​draadloze internetverbinding met de cloud, net als een smartphone. Het infotainment heeft echter ook wat informatie nodig over wat er onder de motorkap gebeurt, zoals de voertuigsnelheid en het huidige brandstofverbruik. Om die reden heeft het infotainmentsysteem ook een eigen node op de CAN-bus van de auto die het gebruikt om deze gegevens te ontvangen.

brace automotive blog cyber security

Er zijn twee veronderstellingen die ten grondslag liggen aan de beveiliging van dit systeem, die meestal 'vertrouwensgrenzen' worden genoemd. De ‘innerlijke’ vertrouwensgrens is dat van alle CAN-knooppunten wordt aangenomen dat ze zich goed gedragen. Dat betekent dat ze geen misbruik mogen maken van hun rechten om gegevens over de CAN-bus te verzenden, en dat ze geen gegevens mogen interpreteren die niet voor hen bestemd zijn.


De ‘buitenste’ vertrouwensgrens is dat de verbinding met de cloud wordt verondersteld goed te zijn gedragen. Dat betekent dat alle informatie die de auto via zijn draadloze internetverbinding ontvangt, afkomstig moet zijn van een vertrouwde bron (d.w.z. de OEM). Wanneer deze vertrouwensgrenzen worden verbroken, falen de beveiliging en veiligheid van het systeem.


In de Jeep Cherokee hebben de hackers inderdaad beide vertrouwensgrenzen doorbroken. Ten eerste waren ze in staat om draadloos verbinding te maken met de auto, effectief door zich voor te doen als de OEM, waardoor de buitenste vertrouwensgrens werd overschreden. Hoe ze dit hebben bereikt, valt buiten het bestek van dit blogartikel, maar het resultaat was dat ze nu volledige toegang hadden tot het interne domeinsysteem van de auto, inclusief mogelijk persoonlijke informatie die is opgeslagen in het infotainmentsysteem, zoals locatiegeschiedenis of telefoongegevens. De hackers hadden aangetoond dat de beveiliging van het voertuig kon worden geschonden.


Maar ze gingen verder dan dat. Hun tweede stap was het uitbuiten van een zwakte in het ontwerp van het infotainmentsysteem. Door deze zwakte konden de hackers het gedrag van het CAN-knooppunt van het infotainmentsysteem zodanig veranderen dat ze het gegevens op de CAN-bus konden laten verzenden en interpreteren, waardoor de innerlijke vertrouwensgrens werd verbroken. Nadat de hackers dit knooppunt op de CAN-bus hadden overgenomen, konden ze het gebruiken om veel van de aandrijflijn- en chassiscomponenten te besturen. Als de hackers dat hadden gewild, hadden ze nu voor zeer onveilige situaties kunnen zorgen.


Het is duidelijk dat verbonden auto's zeer kwetsbaar kunnen zijn voor hackpogingen. De terugroepactie en updates van FCA hebben enkele zwakke punten in het infotainmentsysteem gerepareerd die deze specifieke hackmethode mogelijk maakten. Dat betekent echter niet dat geconnecteerde auto's nu niet meer te hacken zijn. Wat kunnen OEM's doen om geconnecteerde auto's steeds veiliger te maken?


In het geval van de Jeep Cherokee konden we zien dat de beveiliging van het systeem werd geschonden toen de buitenste vertrouwensgrens werd verbroken, en dat de veiligheid van het systeem in gevaar kwam toen de innerlijke vertrouwensgrens werd verbroken. Om deze situaties te voorkomen, moeten OEM's zich richten op het verdedigen van die vertrouwensgrenzen.

brace automotive blog cyber security

Daarvoor moeten ze binnen het systeem twee ‘muren’ creëren. Om de buitenste vertrouwensgrens te beschermen, moeten OEM's alle externe verbindingen (bijv. de cloud, winkeltools, mobiele telefoons) naar de interne domeinsystemen (bijv. het infotainmentsysteem) beveiligen met behulp van een 'beveiligingsmuur'. Deze beveiligingsmuur moet ervoor zorgen dat hackers geen toegang kunnen krijgen tot de interne domeinsystemen, terwijl communicatie van vertrouwde bronnen wordt toegestaan. In een later blogartikel demonstreren we een methode waarmee de security wall het onderscheid kan maken tussen vertrouwd en niet vertrouwd: digitale handtekeningen.


Om de innerlijke vertrouwensgrens en de veiligheid van het systeem te beschermen, moeten OEM's de aandrijflijn- en chassissystemen scheiden van de interne domeinsystemen met behulp van een 'veiligheidsmuur'. Deze veiligheidsmuur moet ervoor zorgen dat als de veiligheidsmuur wordt doorbroken en de interne domeinsystemen worden aangetast, de aandrijflijn en het chassissysteem veilig blijven functioneren. De eenvoudigste manier om dit te bereiken is door het infotainmentsysteem eenvoudig los te koppelen van de CAN-bus. Sommige informatie moet echter nog steeds over de veiligheidsmuur worden gedeeld. Een betere manier zou zijn om een ​​‘gateway’-knooppunt tussen het infotainmentsysteem en de CAN-bus te plaatsen. Met een dergelijke gateway kunnen specifieke gegevens over de veiligheidsmuur worden gedeeld, terwijl alle onverwachte gegevens worden geblokkeerd.


Het is echter mogelijk dat alleen het plaatsen van een gateway tussen het infotainmentsysteem en de CAN-bus niet voldoende is. Een hacker zou mogelijk elk blootgesteld systeem als toegangspunt kunnen gebruiken, niet noodzakelijkerwijs alleen het infotainmentsysteem. Daarom moet de veiligheidsmuur de innerlijke vertrouwensgrens op alle CAN-knooppunten en in beide richtingen verdedigen. Dat betekent dat de veiligheidsmuur elk CAN-knooppunt moet beschermen tegen aanvallen van buitenaf, en ook zijn component moet verdedigen tegen aanvallen vanuit de CAN-bus zelf. Een manier om dat te bereiken zou kunnen zijn om CAN-knooppunten ‘verdacht’ van elkaar te maken. Idealiter zou een protocol dat bovenop het CAN-protocol is gelaagd, ervoor kunnen zorgen dat een verzendend knooppunt zichzelf op unieke wijze identificeert, en dat alleen het beoogde ontvangende knooppunt de gegevens kan interpreteren. Een dergelijk protocol zou effectief alle CAN-knooppunten dwingen zich goed te gedragen, waardoor de vertrouwensgrens van binnenuit wordt verdedigd.


Er zijn veel meer manieren die hackers kunnen gebruiken om toegang te krijgen tot verbonden auto's, en we beweren niet dat verbonden auto's ooit 100% veilig kunnen zijn. Dankzij de inspanningen van OEM's en de opkomende standaarden voor cyberbeveiliging, zet de auto-industrie zeker stappen in de richting van dat doel. Bij BRACE Automotive proberen we ook ons ​​steentje bij te dragen.