Steeds meer auto’s zijn verbonden met het internet, wat nodig is om allerlei diensten aan te kunnen bieden aan gebruikers. Deze internetverbinding levert echter ook beveiligingsrisico’s op, aangezien de voertuigen via internet kunnen worden aangevallen door cybercriminelen. Dit maakt het van groot belang dat de software in auto’s veilig is en geen kwetsbare plekken bevat die kunnen worden uitgebuit door cybercriminelen. De software BlackBerry Jarvis helpt autofabrikanten de software in connected auto’s te controleren op dergelijke zwakke plekken.
De aanwezigheid van een internetverbinding in een auto biedt allerlei handige mogelijkheden voor automobilisten. Denk hierbij aan de mogelijkheid actuele verkeersinformatie op te halen van internet en muziek te luisteren op streaming muziekdiensten via het ingebouwde entertainmentsysteem, maar ook aan het doorsturen van informatie over het gebruik van het voertuig om preventief onderhoud mogelijk te maken. Autofabrikanten voorzien voertuigen dan ook op grote schaal van internetverbindingen. Dergelijke auto’s worden ook wel ‘connected auto’s’ genoemd.
“Connected en autonome voertuigen vereisen sommige van de meest complexe software die ooit is ontwikkeld, wat een significant risico oplevert voor autofabrikanten die zeker moeten stellen dat code voldoet aan industrie- en fabrikant-specifieke standaarden en tegelijkertijd een zeer groot en aantrekkelijke aanvalsoppervlakte voor cybercriminelen moeten beveiligen”, legt John Chen, bestuursvoorzitter en CEO van BlackBerry, uit.
Dat connected voertuigen doelwit kunnen worden van cyberaanvallen is al langer duidelijk. Verschillende beveiligingsonderzoekers hebben al aangetoond dat het mogelijk is op afstand allerlei systemen in voertuigen te beïnvloeden, wat de veiligheid van automobilisten in sommige gevallen in gevaar kan brengen. Beveiligingsonderzoekers Charlie Miller en Chris Valasek demonstreerden in 2015 aan Wired hoe zij een rijdende Jeep Cherokee op afstand tot stilstand konden brengen door in te breken op het computersysteem in het voertuig. Onderzoekers van het Chinese bedrijf Tencent wisten daarnaast in 2016 in op afstand toegang te verkrijgen tot het computersysteem van een Tesla S. Dit gaf hen onder meer de mogelijkheid op afstand van een rijdende Tesla de remmen te activeren of de kofferbak te openen. Beide autofabrikanten hebben deze beveiligingsproblemen verholpen. In de onderstaande video demonstreren de onderzoekers van Tencent hun bevindingen.
Bij dergelijke aanvallen wordt gebruik gemaakt van beveiligingsproblemen in software. De broncode van software bestaat uit doorgaans uit miljoenen regels code, die in belangrijke mate met de hand worden geschreven. Daarnaast bestaat de software doorgaans uit meerdere softwarecomponenten, die zijn geschreven door verschillende externe softwareontwikkelaars. Door de grote omvang van broncode en de betrokkenheid van een groot aantal ontwikkelaars bij het schrijven van deze code is het bijna niet te voorkomen dat fouten in de broncode van software terecht komen. Deze fouten leiden tot zwakke plekken in de software en kunnen worden uitgebuit door kwaadwillenden.
“Een moderne auto bevat meer dan 100 miljoen regels software. Naarmate de software in een auto groeit neemt ook het aanvalsoppervlakte toe, wat het kwetsbaarder maakt voor cyberaanvallen. Ieder slecht geschreven stukje software vormt een potentiële kwetsbaarheid die kan worden uitgebuit door aanvallers”, legt BlackBerry uit op zijn website. BlackBerry benadrukt dat het handmatig inspecteren van de broncode van software – als de OEM hier al toegang tot heeft – zeer tijdrovend is. Het zou volgens het bedrijf duizenden technici en jaren werk vereisen om handmatig 100 miljoen regels code te inspecteren. Ook hebben OEM’s niet altijd toegang hebben tot de broncode van softwarecomponenten die door derde partijen worden aangeleverd.
BlackBerry Jarvis helpt fouten in software geautomatiseerd en snel op te sporen door de software te scannen en hierbij gericht te zoeken naar zwakke plekken die kunnen worden uitgebuit door aanvallers. Dit zonder dat de broncode van alle componenten beschikbaar hoeft te zijn. “Jarvis is een game-changer voor Original Equipment Manufacturers (OEM’s), aangezien zij voor het eerst een compleet, consistent en bijna real-time inzicht hebben in de beveiligingsstatus van de volledige codebase van een voertuigen, met inzichten en details die nodig zijn om kwetsbaarheden te voorspellen en verhelpen, compliance zeker te stellen en kwaadwillenden een stap voor te blijven”, aldus Chen.
Jarvis wordt aangeboden vanuit de cloud. Gebruikers hoeven geen licentie aan te schaffen voor de software en betalen voor het gebruik hiervan. De software wordt op maat afgestemd op de behoeften van een OEM en hun volledige leveranciersketen voor software. De oplossing geeft OEM’s de mogelijkheid op ieder moment gedurende de ontwikkeling de software te scannen op beveiligingsproblemen. De resultaten van deze scan zijn na afloop direct inzichtelijk via een online dashboard, waarop waarschuwingen worden getoond voor zwakke plekken en advies wordt geleverd om deze zwakke plekken te versterken.
Bron: BlackBerry
Bron: Tencent
Bron: Wired
Bron foto: Pixabay / jan2575