comm

Onderzoekers werken hard aan auto’s boordevol elektronica die in staat zijn om met elkaar te communiceren. Het moet autorijden veiliger maken. Maar dan moet die auto hackers buiten de deur weten te houden. Is dat haalbaar?

In de toekomst gaan auto’s elkaar op de hoogte houden van de omstandigheden op de weg. Ze ‘vertellen’ elkaar onder meer of er nog parkeerplekken zijn in de parkeergarage en waar er file staat. Het moet autorijden aangenamer, groener en veiliger maken. Maar er schuilt ook een gevaar in. Want wat gebeurt er als iemand met kwade bedoelingen die communicatie onderschept of manipuleert? En kan de privacy van de bestuurder gewaarborgd worden of kan een hacker straks heel gemakkelijk inzicht krijgen in waar je overal geweest bent? Het zijn serieuze vragen. Veel mensen krijgen al de kriebels als ze denken aan een zoekgigant die hun mail kan lezen of een hacker die hun internetactiviteiten kan monitoren. Maar een hacker die (deels) controle krijgt over de auto waar je in rijdt of de informatie waardoor die auto zich laat leiden, kan wel eens veel ernstigere, zoniet fatale gevolgen hebben.

C2C
Geen wonder dat onderzoekers momenteel hard werken om deze communicatiesystemen veiliger te maken. Eén van die onderzoekers is Jonathan Petit, werkzaam aan de Universiteit Twente. “Om auto’s samen te laten werken, moet je een communicatie tussen die auto’s opzetten,” vertelt hij. “Dat noemen we Car-To-Car-Communications (ook wel aangeduid als C2C, red.). C2C-technologie is een draadloos systeem in de 5.9 Ghz-band en kan vrij gemakkelijk – net zoals alle vormen van draadloze communicatie – worden afgeluisterd.” Het versleutelen van deze informatie is lastig: het systeem is er immers op gericht om informatie met andere auto’s vrijelijk uit te wisselen.

Geen verre toekomstmuziek
Auto’s die met elkaar communiceren, zijn niet zo ver weg als je misschien zou denken. Petit verwacht dat de eerste exemplaren met beperkte C2C-technologie in 2015 gebruikt gaan worden. Deze auto’s maken bijvoorbeeld gebruik van Cooperative Adaptive Cruise Control. Auto’s wisselen informatie (bijvoorbeeld de snelheid, acceleratie, etc.) draadloos met elkaar uit en breiden zo het huidige adaptive cruisecontrol-systeem – dat enkel gebaseerd is op radargegevens – uit.

De gevolgen
Maar wat kan een hacker bewerkstelligen zodra hij dat C2C-systeem binnendringt? “Als we uitgaan van een passieve aanvaller (dat wil zeggen: een hacker die op afstand meeluistert naar de draadloze communicatie tussen auto’s, red.), dan is de grootste bedreiging privacy-gerelateerd.” De hacker zou kunnen achterhalen waar je naartoe gaat, waar je bent geweest en zo kunnen afleiden waar je woont en meer te weten kunnen komen over bijvoorbeeld je gezondheid en religieuze overtuigingen. Nog serieuzer wordt het als we ons een actieve aanvaller voorstellen, dat wil zeggen: een hacker die het systeem niet alleen binnendringt, maar ook zaken wijzigt. “Zo’n hacker kan niet-bestaande obstakels of auto’s in het systeem zetten of ervoor zorgen dat je remlichten gaan branden en zo een verkeerschaos of zelfs ongelukken veroorzaken. Een aanvaller kan de auto ook wijsmaken dat er een enorme opstopping in zijn buurt is en zo al het verkeer motiveren om om te rijden en zelf genieten van een rustige zondagmiddag. Het zijn stuk voor stuk voorbeelden die laten zien dat het succes van C2C afhankelijk is van de veiligheid en privacy.”

Hacken
Dat het onwenselijk is dat jan-en-alleman het systeem waarmee auto’s onderling communiceren, binnendringt, moge duidelijk zijn. Maar hoe kwetsbaar zijn die systemen nu werkelijk? Zijn ze te hacken? “Het is lastig te zeggen, omdat de huidige systemen prototypes zijn,” stelt Petit. Bovendien moet er onderscheid gemaakt worden tussen twee manieren waarop er met deze slimme auto’s geknoeid kan worden: vanaf een afstand of door fysieke toegang tot de auto. “Mijn onderzoek richt zich op bescherming tegen aanvallers op afstand. Een eerste verdedigingslinie tegen dergelijke aanvallen is authenticatie. We moeten ons ervan verzekeren dat alleen geverifieerde en gemachtigde entiteiten in het netwerk van auto’s kunnen participeren. De tweede verdedigingslinie is het detecteren van wangedrag en is gericht op bescherming tegen interne (en dus geverifieerde) aanvallers die bewust of onbewust proberen om onjuiste boodschappen te genereren.”

communicatie

Nooit helemaal veilig
Hoe hard de onderzoekers ook werken, een auto die niet te hacken valt, lijkt buiten bereik te zijn. “Ik denk niet dat we een volledig veilige slimme auto kunnen ontwikkelen. Er zullen altijd sensoren, software en netwerken zijn die gevoelig zijn voor problemen.” Dat dat voor gebruikers een reden kan zijn om de slimme auto links te laten staan, sluit Petit niet uit. “We weten uit onze ervaringen met cruisecontrol dat één foutje levensgevaarlijk kan zijn en het vertrouwen dat de gebruiker in het systeem heeft, kan vernietigen.” Voorzichtigheid is dus geboden. Om auto’s die met elkaar communiceren een kans van slagen te geven, moet het systeem veilig genoeg zijn om het vertrouwen van de gebruiker te winnen.

Juridisch
Stel: je koopt een slimme auto. Die auto wordt gehacked en veroorzaakt een ongeluk. Wie is er dan verantwoordelijk? Jij, de autofabrikant, de leverancier van de elektronica..? “Beleidsmakers moeten het daar nog over eens worden. Maar ik gok dat de eigenaar in ieder geval voor het eerste type slimme auto’s verantwoordelijk blijft.”

Volledig autonome auto’s
Nog lastiger wordt dat wellicht met auto’s die nóg autonomer zijn. Denk bijvoorbeeld aan de zelfrijdende auto van Google. Elektronica maakt in deze auto’s in nog grotere mate de dienst uit en als een hacker dergelijke auto’s weet binnen te dringen, kan dat nog grotere consequenties hebben. “Veiligheid en privacy zijn inderdaad een nog groter probleem in volledig automatische auto’s,” bevestigt Petit. “Als een aanvaller de missie van een automatische auto weet over te nemen, kunnen vreselijke scenario’s ontstaan.” Bestuurders kunnen gekidnapt worden of hackers kunnen de auto laten verongelukken. Om de kans dat zulke doemscenario’s werkelijkheid worden zo klein mogelijk te maken, moeten autofabrikanten niet pas als de auto helemaal klaar is na gaan denken over veiligheid en privacy. Volgens Petit is het noodzakelijk om al bij het ontwerp van de auto, elektronica en de protocollen na te denken over de veiligheid. “Ik denk dat de veiligheid- en privacyproblemen van autonome auto’s tot op heden door de maatschappij over het hoofd zijn gezien en onze aandacht verdienen.”

De Google-auto
Wie aan autonome auto’s denkt, denkt natuurlijk aan Google. Begin dit jaar haalde Google-baas Sergej Brin de krant door te stellen dat de zelfrijdende Google-auto binnen vier jaar klaar is voor gebruik. “Ik denk dat er op dit moment nog wel veiligheids- en privacyproblemen zijn die opgelost moeten worden alvorens we kunnen stellen dat zelfrijdende auto’s klaar en veilig zijn voor het grote publiek.” Heel concreet betekent het dat elke sensor in zo’n zelfrijdende auto beveiligd moet zijn. Net als de communicatie van de auto met andere auto’s. “En je moet systemen ontwikkelen die hackers en wangedrag kunnen detecteren. Ik denk echt niet dat dat binnen vier jaar gaat lukken.”

Elke keer wanneer we opgeschrikt worden door hackers die bepaalde websites of systemen binnendringen lijkt de digitale veiligheid een grotere illusie te worden. En dat is het ook. Een slimme of autonome auto zal dan ook nooit onhackbaar zijn. Tegelijkertijd is deze wel groener, zuiniger en – zonder tussenkomst van een eventuele hacker – veiliger in het verkeer. De grote vraag is nu of die enorme voordelen in de optiek van de automobilist van de toekomst opwegen tegen dat ene grote nadeel: het feit dat er altijd een piepkleine mogelijkheid is dat iemand anders achter de knoppen gaat zitten.