Kategoriarkiv: Informationssäkerhet

Tävling i att hitta säkerhetsproblem

It-företaget Trend Micro brukar inom ramen för Zero Day Initiative (ZDI) anordna hackertävlingar som går under namnet Pwn2Own och som går ut på att upptäcka säkerhetsproblem i diverse IT-system. Förra veckan hölls en sådan tvådagarstävling i Vancouver i Kanada [1]. 

Tävlingens stora vinnare blev ett team som kallade sig för Flouroacetate. De lyckades upptäcka en s.k. JIT-bugg i renderingsmotorn i Teslas webbläsare som gör det möjligt att köra kod i bilens mjukvara. Belöning? En Tesla Model 3 sponsrad av Tesla och 35 000 dollar.

Utöver detta lyckades Flouroacetate hitta en del andra buggar i produkter från andra tillverkare, som gjorde att deras belöning förutom bilen totalt blev 375 000 dollar.

Egen kommentar

Alla buggar som upptäcks inom ramen för ZDI förankras först med produkttillverkaren. I det här fallet var Tesla med på tåget, och kommer inom kort att släppa en mjukvaruuppdatering som åtgärdar problemet.

Själv tycker jag att tävlingar av den här typen kommer att vara oerhört viktiga för automatiserade fordon och kompetensutvecklingen. Det kommer nog finnas en hel del buggar som tillverkarna inte upptäcker själva och då är det viktigt att andra gör det under kontrollerade förhållanden. 

Källor

[1] Childs, D., Zero Day Initiative. PWN2OWN VANCOUVER 2019: WRAPPING UP AND ROLLING OUT. 2019-03-22 Länk

Ett småskalig hack kan orsaka kaos

En ny studie från Georgia Institute of Technology visar att det skulle räcka med att hacka en liten andel av fordonsflottan för att skapa kaos i trafiken [1]. 

Studien är baserad på simulering, där forskarna använt sig av så kallad perkoleringsteori som beskriver en jämn, kontinuerlig fasövergång i ett nätverk och kan användas för att studera hur ett nätverk svarar på skadan i slumpmässigt valda noder. 

Omedelbart efter att ett fordon hackats saktar trafiken ner runt det hackade fordonet. När flera fordon hackas kommer hela trafiken att sakta in och övergå till stillastående, beroende på hur vägnätverket ser ut. I fallet med Manhattan skulle det räcka med att 10% av fordon under rusningstiden blir stillastående i trafiken för att orsaka totalstopp. 

Givet att var och en av de stora tillverkarna (Hyundai, Nissan, Toyota och GM) har ungefär 10% marknadsandel av fordon i New York skulle det alltså räcka med att en av dem blir systematiskt hackad.

Forskarna påpekar dock att detta är ett exempel på det mest extrema fallet. Med studien vill de rikta uppmärksamheten mot potentiella datasäkerhetsrisker så att de kan åtgärdas tidigt i utvecklingen: Our work is not in opposition to the future of connected cars. Rather, the novelty of our work lies in identifying and quantifying the underlying cyber-physical risks when multiple connected vehicles are compromised. By shining a light on these technologies at an early stage, we hope we can help prevent worst-case scenarios.

Källor

[1] Ouellette, J., ARS Technica. Study: Hacking 10 percent of self-driving cars would cause gridlock in NYC. 2019-03-13 Länk

Vem kommer att äga och vem bör äga data?

Den här frågan diskuteras av professorn Luis F. Alvarez León vid Dartmouth College i hans nyligen publicerade artikel Counter-Mapping the Spaces of Autonomous Driving [1]. 

Han utgår från tesen att automatiserade fordon kommer att generera en stor mängd data. Detta väcker dock stora frågor om datasekretess, ägande, cybersäkerhet och allmän säkerhet. 

Kopplat till det föreslår han att de s.k. ”svarta lådorna” som kommer att vara integrerade i automatiserade fordon blir mer transparenta och att det blir tydligt vilken data samlas in, vem som äger den och vad som händer med den. 

Ett förslag är att regeringar bör anta en lagstiftning som gör det möjligt för användare av automatiserade fordon att låsa upp svarta lådan och förstå vilka data som används och varför. Professorn uppmanar också utvecklarna att använda open-source mjukvara för då blir det lättare att se vad som händer med datat. 

Källor

[1] Luis F. Alvarez León, Cartographic Perspectives. Counter-Mapping the Spaces of Autonomous Driving. 2019-02 Länk

Säkrare informationsutbyte i fordon

Inom ramen för ett nytt Vinnova-finansierat forskningsprojekt kommer forskare vid Mälardalens högskola (MDH) ihop med Arcticus Systems och Volvo CE att ta fram ett ramverk för utveckling och användning av en ny teknik som kallas Time Sensitive Networking (TSN) [1]. Denna teknik gör det möjligt för inbyggda datorer i fordon att kommunicera stora mängder information med varandra på ett säkert sätt.

Fokus i projektet kommer att ligga på autonoma entreprenadfordon, men resultaten kommer att kunna användas i alla typer av moderna fordon.

Projektet heter DESTINE – Developing Predictable Vehicle Software Utilizing Time Sensitive Networking, har en budget på 13,5 miljoner kronor och kommer att pågå i tre år.

Egen kommentar

Det är oklart för mig om projektet kommer att utforska något om kommunikationsnätverk i fordon. Detta är också ett område som behöver vidareutvecklas med tanke på den stora mängden data som behöver skickas mellan olika enheter i fordonet. 

Källor

[1] MDH Säkrare fordon genom MDH-forskning. 2018-12-10 Länk

OECD-rapport om säkerheten med automatiserade fordon

OECDs  International Transport Forum, ITF, är en organisation med 59 medlemsstater som fungerar som ett stöd avseende policyutveckling inom transportområdet åt OECDs transportministrar. Nu har ITF släppt en rapport [1] som diskuterar säkerheten med automatiserade fordon som också innehåller ett antal rekommendationer.

Förväntningarna att man kan minska antalet trafikdöda med 90% genom automation är inte alls verifierade, konstaterar man. Även om man kan minska en del olyckor så kommer inte alla att försvinna. I vissa fall, som då vanliga förare tvingas ta över kommandot i riskfyllda situationer, kan det istället skapas nya olyckstyper.

Sensorer behöver vara redundanta och kompletteras med V2X-kommunkation, men sådan kommunikation är extra utsatt för angrepp utifrån. Cybersäkerhet är ett område som behöver fokuseras.

Det saknas erfarenheter och data för att göra en kvalificerad bedömning av säkerheten med automatisk körning. Det kompliceras av avsaknaden av utvärderingsstandarder och av att framtidens fordon kan uppgradera mjukvaran vilket kan påverka egenskaperna kraftigt.

Rekommendationer:

  1. Använd principen systematisk säkerhet för ett helhetsgrepp inom vägtransportsystemet.
  2. Tillämpa noll-visionen även på automatiserad körning.
  3. Säkra att inte säkerhetsprestanda används som konkurrensmedel för automatiserade fordon.
  4. Utvärdera noggrant påverkan på säkerheten av system som delar uppgifter mellan människa och maskin.
  5. Kräv rapportering av säkerhetsrelevanta data från automatiserade fordon.
  6.  Etablera omfattande cybersäkerhets-principer för automatiserad körning.
  7. Säkra funktionell åtskillnad mellan säkerhetskritiska system så att uppkoppling inte försämrar cybersäkerhet eller körsäkerhet.
  8. Förse fordonen med klar och tydlig information om vad de klarar av även för icke-tekniskt utbildade.

Källor

[1] Safer Roads with Automated Vehicles? International Transport Forum Länk

Trender inom datasäkerhets- och integritetsforskning för fordon

Förra veckan hölls Autosec-seminariet Trends in Automotive Security and Privacy Research, där Tomas Olovsson, docent och avdelningschef för Nätverk och system på Chalmers Data- och informationsteknik, presenterade sin forskning och annan information om fordonssäkerhet i Sverige [1].

Olovsson var mycket tydlig: 100% informationssäkerhet är omöjligt att uppnå. Istället är det viktigt att erkänna att det finns många informationssäkerhetsrisker hos både automatiserade och traditionella fordon, och att bestämma vad som är en rimlig nivå av arbete och kostnader för informationssäkerhet innefattar kostnader för skadestånd.

Vi måsta också anta att hackarna är smarta och förstår fordonsarkitektur. Den vanliga bilden av en hacker är någon som vill påverka en algoritm för att skada passagerarna. Men Olovsson menar att det finns många olika människor med motiv att hacka fordon. Ägare kan vilja ha mer motoreffekt, och nu man kan göra det genom att ändra bilens mjukvara. Förare kan vilja dölja sin fortkörning för myndigheter. Verkstäder kan sälja billigare komponenter, och tredjepartsutvecklare kan sälja ostandardiserad mjukvara. Alla dessa kan bli farliga om de skapar oavsiktliga effekter.

Mer information om detta, och om informationssäkerhetsprojekten i Sverige finns på Autosecs webbplats.

Källor

[1] Tomas Olovsson: Trends in Automotive Security and Privacy Research Presentation. 2017-09-27 Länk

Israeliska start-ups i DRIVE

Förra nyhetsbrevet hade ett referat från ett amerikanskt start-up-seminarium. Vi fortsätter idag på det inslagna spåret.

Israeliska mobilitets-centret DRIVE i Tel Aviv samlar ett 30-tal start-up-företag verksamma inom framtida mobilitet, varav 10-15 st deltar i centrets acceleratorprogram där de får chans att vidareutveckla sina idéer i samverkan med centrets partnerföretag, bland dem Honda och Volvo Cars. I måndags 4 september var Volvo Cars värd för ett seminarium där 8 av DRIVEs dessa företag visade upp sig. Här är en kort beskrivning av deras produkter.

  • Arbe Robotics utvecklar en högupplöst 4D-radar med 110 graders synfält och 50 Hz frekvens som bland annat kan detektera små rörelser som till exempel ett barn bakom en bil.
  • Caaresys har tagit fram en lågkostnads-sensor som kan detektera och klassificera personer i en bil, samt också t.ex. se om de andas, är stressade, trötta e.d.
  • Cycuro har skapat en molnbaserad plattform för realtids-validering av data för att skyddas från manipulation.
  • Exo Technologies erbjuder GPS med hög noggrannhet till under 15 cm, genom att kontinuerligt beräkna satelliternas verkliga lägen. I vanlig GPS är lägena inte tillräckligt ofta uppdaterade vilket gör att informationen som sänds ut från satelliterna blir felaktig, upp mot 2 m. Ingen ny hårdvara krävs.
  • Fleetonomy har tagit fram en plattform som optimerar rutter för bildelningstjänster.
  • Hailo har utvecklat en processor anpassad för AI med låg kostnad och hög effektivitet.
  • Lynx är en samåkningstjänst som matchar person- och reseprofiler och också innehåller en betalningstjänst.
  • RFISEE har tagit fram en radar med hög upplösning, 3D-kapabilitet och låg kostnad.

Vedecom och Karamba gör intrångssäker självkörande bil

Franska Vedecom Tech, som ägs av bl.a. Renault, Peugeot och Valeo, utvecklar ihop med israeliska Karamba Security fullt självkörande bilar som ska lanseras för begränsad användning i några europeiska städer inom ett år [1].

Det handlar om bilar för korta sträckor i speciella filer för turister i t.ex. Versaille och andra platser i Frankrike, Tyskland, Italien, Portugal och Nederländerna.

Karambas system kommer att skydda bilarna från eventuella cyber-attacker såväl internt i bilen som i kommunikation med andra bilar och med infrastrukturen.

Källor

[1] Ari Rabinovitch, Tova Cohen: Europe’s Vedecom, Israel’s Karamba developing self-driving car, Reuters 2017-06-19 Länk

Toyota testar blockchain

Toyota Research Institute (TRI) kommer att tillsammans med några samarbetspartners, däribland MIT Media Lab och Gem, utforska hur blockchain-tekniken kan användas till att utveckla säkrare och mer effektiva mobilitetstjänster med automatiserade fordon [1]. Det är samma teknik som kryptovalutan bitcoin bygger på och som kan ses som ett sätt att göra all datatransaktion i ett nätverk transparent. På det viset behövs ingen tredje part för verifikation.

Samarbetet går ut på att möjliggöra för företag och privatpersoner att på ett säkert sätt dela information om sina kördata samt få tillgång till information som andra delat med sig. Andra områden som kommer utforskas är verktyg som förenklar samåkning samt nya försäkringsprodukter.

Egen kommentar

Det är ingen hemlighet att datasäkerhet är något som oroar många, och om TRI lyckas med att få blockchain-tekniken att fungera och skapa en säker marknadsplats för datautbyte kommer det att vara ett stort genombrott. Blockchain-tekniken har bl.a. testats för sjukförsäkringar och musikdelning, men det är första gången som den utforskas för automatiserade fordon.

Källor

[1] Toyota News Releases. Toyota Research Institute Explores Blockchain Technology for Development of New Mobility Ecosystem. 2017-05-22 Länk

Hackers försöker komma åt Baidus bilar

Baidu rapporterar att deras automatiserade bilar har blivit attackerade av ett gäng ”hackers-for-hire” [1]. Enligt företagets chef för informationssäkerhet Ma Jie är det svårt att avgöra vem som ligger bakom hackergänget och vem som betalat dem.

För att skydda automatiserade bilar mot sådana attacker, som generellt sett börjar bli alltfler och allvarligare, stödjer Baidu en grupp hackerstudenter vid Tsinghua University och försöker lära sig mer om informationssäkerhet den vägen. Baidu har också ett brett samarbete om informationssäkerhet med Tencent och Alibaba.

Källor

[1] Mackenzie, T., Bloomberg. Gang of Hackers Tries to Steal Baidu’s Driverless Car Secrets. 2017-03-21 Länk