Denne uken ble det kjent at hackere hadde tatt kontroll over en Jeep Cherokee mens den var i bevegelse, og hackerne satt langt unna. Ikke bare litt kontroll, men fullstendig. Klimaanlegg, vindusviskere, radio og — ikke minst — motor og bremser. Tilgang til bilenens systemer fikk de via bilens innebygde internettilkobling.
I dette tilfellet var angrepet mot bilen avtalt mellom hackerne og sjåføren, en journalist fra WIRED. Men nå som sårbarheten er kjent, er det kun et spørsmål om tid før noen aktivt kommer til å utnytte den. Om en drøy uke starter konferansen Black Hat, da er det stor sannsynlighet at det kommer kode i sirkulasjon på nettet som utnytter sårbarheten.
Fiat Chrysler, som produserer Jeep Cherokee, har tilbakekalt 1,4 millioner biler som følger av hendelsen. Det skulle bare mangle. Denne feilen er usedvanlig mye styggere enn de tradisjonelle tilbakekallingene, som ofte dreier seg om potensielle feil med air bags eller liknende. Pussig er det allikevel at Fiat Chrysler ikke gjør tilbakekallingen obligatorisk. Verken Fiat Chrysler eller kundene vil ha en rullende dødsfelle stående i garasjen.
Det er ingen overraskelse at dette skjer. Bilprodusenter har i flere år arbeidet for å koble bilene sine til nett. Det som allikevel står som den største overraskelsen, er at de — eller i hvert fall Fiat Chrysler — ikke har gjort sikkerhetshjemmeleksen. At kritiske systemer som motor og bremser er tilgjengelig for det internettilkoblede systemet, er en gavepakke for hackere.
I realiteten er det minst to åpenbare grupper som kommer til å utnytte denne sårbarheten. Script kiddies som vil gjøre det kun for å se om de klarer det, samt profesjonelle som trenger å få et dødsfall til å se ut som en ulykke. Fiat Chrysler har gitt dem verktøyet.
Sammen med tilbakekallingen av bilene uttaler Fiat Chrysler at hackingen er en «criminal action». Uttalelsen står i stil med sikkerhetshullet: begge deler vitner om manglende kompetanse, uttalelsen er arrogant. Har de først innført en sårbarhet som potensielt kan ta livet av folk, bør de i det minste holde munn og trekke bilene tilbake.
Det er ikke alt som er smart å gjøre, bare fordi det er mulig. Og selv om man allikevel velger å gjøre det, finnes det — åpenbart — langt bedre måter å gjøre det på. Skal man først ha OTA-oppdateringer, bør man først ha mekanismer som ikke gir tilgang til bilens sensitive systemer før bilen er skrudd av.
Spørsmålet er: hvilken bilprodusent er den neste?
Foto: Whitney Curtis for WIRED, takk til Bjørn Borud og Per Buer for ideer.
Som leser kan du gi et bidrag til produksjonen, til driften og til å skaffe utstyr til testing for å sikre regelmessige, uavhengige artikler, tester og vurderinger av høy kvalitet.
Husk å abonnere på nyhetsbrevet, det er gratis og du får alle artikler rett i innboksen.
Enda flere artikler? Besøk arkivet.
Dette er Martin Koksrud Bekkelund sitt private nettsted, hvor han skriver om forbrukerteknologi, teknologiledelse og hvordan teknologi, samfunn og politikk påvirker hverandre. Martin er innehaver av konsulentselskapet Nivlheim. Les mer...
© 1995-2024 Martin Koksrud Bekkelund
Opphavsrett • RSS og abonnement • Kontakt • Personvern og informasjonskapsler