Mobil Anda lebih mungkin diretas oleh mekanik daripada teroris

Source: Richard Matthews, Lecturer Entrepreneurship, Commercialisation and Innovation Centre | PhD Candidate in Image Forensics and Cyber | Councillor, University of Adelaide / The Conversation

Dalam peretasan mobil yang menggunakan sistem komputer, Anda perlu lebih khawatir dengan calo penjual mobil daripada kriminal.

Film Hollywood membuat kita percaya bahwa sistem mobil kita sangat mudah diretas. Seorang peretas masuk ke sistem komputer sebuah mobil yang dipasang di sebuah showroom sehingga membuat mobil tersebut melaju keluar showroom, menabrak kaca dan pada saat yang tepat menghambat kejar-kejaran mobil.

Adegan peretasan mobil di film Hollywood The Fate of the Furious

Dan banyak peneliti telah sukses melakukan hal tersebut. Pada 2015, berita bermunculan di seluruh dunia ketika peneliti dapat meretas sebuah Jeep Cherokee. Dari jarak jauh, peneliti tersebut dapat mengendalikan semuanya mulai dari alat pembersih kaca, AC, hingga kecepatan mobil. Pada akhirnya mereka menabrakkan mobil ke tanggul terdekat, menyelesaikan eksperimen tersebut dengan aman.

Jika Anda percaya dengan apa yang ditulis sejak saat itu, Anda mungkin berpikir mengendarai mobil penuh risiko karena kecelakaan bisa saja terjadi kapan saja. Kriminal bisa meretas kendaraan Anda kapanpun, mengambil kendali, dan membunuh semua orang di dalamnya.

Walau ancaman ini ada, hal semacam ini belum pernah terjadi di dunia nyata—dan ancaman semacam ini terlalu dilebih-lebihkan.




Read more:
Here’s how we can stop driverless cars from being hacked


Mobil era kini dikendalikan komputer

Kendaraan bermotor hari ini memiliki sistem rumit yang didukung oleh subsistem elektrik yang saling terhubung, di mana koneksi mekanis tradisional sudah digantikan dengan koneksi elektrik.

Pedal gas contohnya. Alat sederhana ini dulunya dikendalikan dengan kabel fisik yang dihubungkan dengan katup mesin. Kini alat tersebut dikendalikan dengan sistem yang dikendalikan oleh kabel listrik.

Dengan sistem kabel listrik tersebut, posisi katup gas dikendalikan dengan komputer. Komputer ini menerima sinyal dari pedal gas dan secara bersamaan menginstruksi motor kecil yang tersambung dengan katup gas. Keuntungan dari teknologi ini banyak tidak disadari oleh pengendara, tapi sistem ini membuat mesin berjalan lebih lembut.

Kegagalan sistem elektrik dicurigai sebagai penyebab masalah pada mobil merk Toyota keluaran tahun 2002 dimana mobil melaju cepat tanpa disengaja. Kegagalan ini menyebabkan setidaknya satu kecelakaan fatal, pada 2017, yang diselesaikan di luar pengadilan. Sebuah analisis yang dilakukan oleh Badan Keselamatan Lalu Lintas Jalan Raya Nasional di Amerika Serikat tidak mengesampingkan kegagalan perangkat lunak dalam kecelakaan tersebut, meskipun mereka juga menemukan cacat mekanik yang signifikan di pedal gas.

Masalah yang terjadi pada Toyota pada 2012 terletak pada kualitas produk, bukan karena peretasan. Namun hal ini membawa kita pada skenario menarik. Bagaimana jika seseorang dapat memprogram pedal gas Anda tanpa sepengetahuan Anda?

Retas komputernya dan Anda kendalikan mobilnya

Tulang punggung dari kendaraan modern era kini adalah sebuah sistem protokol yang disebut sebagai jaringan Controller Area Network (CAN bus). Jaringan ini bekerja dengan adanya unit pengendali utama, dengan beberapa alat pembantu.

Alat-alat pembantu di mobil kita bisa terdiri dari apa saja, mulai dari tombol di dalam pintu Anda, lampu atap mobil, hingga setir mobil. Alat-alat ini mengizinkan input dari unit utama. Contoh, unit utama dapat menerima sinyal dari tombol pintu yang kemudian memberikan sinyal ke lampu atap untuk menghidupkannya.

Masalahnya, jika Anda punya akses fisik ke jaringannya, Anda dapat mengirim dan menerima sinyal ke alat manapun yang terhubung ke situ.

Walau Anda butuh akses fisik untuk masuk ke jaringannya, Anda bisa dengan mudah mengaksesnya dengan lubang yang tersembunyi di bawah setir mobil. Alat seperti Bluetooth, jaringan seluler, dan koneksi Wi-Fi, yang sudah ditambahkan ke mobil juga dapat memberi akses, tapi tidak semudah mencolok ke lubang tersebut.

Bluetooth, contohnya, hanya punya jarak terbatas, dan untuk mengakses mobil lewat Wi-Fi atau selular Anda perlu alamat IP kendaraannya dan akses ke kata sandi Wi-Fi. Peretasan Jeep yang sudah disebut di atas juga dilakukan dengan kata sandi yang lemah yang dipilih pembuat mobil.




Read more:
Australia’s car industry needs cybersecurity rules to deal with the hacking threat


Muncullah mekanik jahat

Meretas mobil dari jauh tidaklah mudah, tapi tidak berarti juga Anda dapat merasa aman.

Serangan Evil Maid adalah istilah yang dicetuskan analis keamanan Joanna Rutkowska. Ini adalah serangan sederhana karena banyaknya perangkat yang ditinggalkan secara tidak aman di kamar hotel seluruh dunia.

Premis sederhana serangan ini adalah sebagai berikut

  1. target sedang liburan atau berbisnis dengan membawa satu atau lebih dari satu perangkat
  2. perangkat-perangkat ini ditinggalkan begitu saja di kamar hotel target
  3. target menganggap perangkat-perangkat ini aman karena hanya mereka yang punya kunci ke kamar, tapi pembersih kamar masuk
  4. sementara target pergi, pembersih kamar tersebut melakukan sesuatu terhadap perangkat tersebut seperti meretasnya atau membuka perangkat tersebut
  5. target tidak tahu apa-apa bahwa perangkatnya sudah dibobol.

Jika kita lihat serangan ini dalam konteks jaringan CAN bus terlihat bahwa protokol ini berada dalam titik terlemahnya ketika orang asing dapat mengaksesnya. Akses tersebut diberikan kepada pihak tepercaya ketika kita memperbaiki kendaraan kita. Mekanik di sini bisa disamakan dengan “pembersih kamar”.

Sebagai bagian dari perawatan berkala yang baik, mekanik Anda akan mencolok mobil Anda kepada mesin yang dapat memberikan diagnosis untuk memastikan apakah ada kesalahan pada kendaraan Anda yang perlu diselesaikan.

Contoh dari lubang diagnosis dalam mobil. Lubang ini biasanya di bawah setir mobil.
endolith/flickr

Namun, apa yang terjadi jika mekanik tersebut butuh duit tambahan? Mungkin mereka ingin Anda datang lebih sering. Apakah mereka memanipulasi algoritma kendali pada sensor rem elektronik Anda? Jawabannya tentu saja, dan ini akan berujung pada kampas rem Anda yang lebih cepat habis.

Mungkin mereka dapat memodifikasi salah satu dari banyak komputer dalam kendaraan Anda dan membuatnya mencatat lebih banyak kilometer lebih dari sebenarnya? Atau jika mereka ingin menutupi fakta bahwa mereka mengendarai Ferrari Anda untuk jalan-jalan, mereka dapat memprogram komputernya untuk mengurangi odometernya. Ini lebih mudah dari metode manual.

Semua hal tersebut adalah kecurangan yang sangat mungkin terjadi—dan mekanik Anda dapat melakukannya.




Read more:
We asked people if they would trust driverless cars


Pentingnya verifikasi dan transparansi

Ini bukan masalah baru. Ini tidak berbeda dari penjual mobil bekas yang mengebor alat pengukur kecepatan agar menunjukkan kilometer lebih rendah. Teknologi baru hanya berarti trik lama dilakukan dengan cara berbeda.

Sayangnya, tidak banyak yang bisa dilakukan untuk mencegah mekanik jahat untuk melakukan hal tersebut.

Peneliti keamanan kini fokus meningkatkan keamanan di balik protokol CAN bus. Hingga saat ini tidak ada kecelakaan besar yang dilaporkan. Kemungkinan, alasannya karena sistem jaringan CAN bus bergantung pada pelaksanaan sistem keamanan yang tidak jelas.

Verifikasi dan transparansi dapat menjadi solusi. Peneliti-peneliti di Blackhat mengusulkan sistem yang melibatkan catatan audit yang dapat membantu orang-orang untuk memeriksa risiko dari tiap perubahan tanpa izin yang terjadi pada kendaraan mereka yang pada akhirnya juga meningkatkan kekuatan sistem.

Untuk saat ini, hal yang bisa kita lakukan adalah menggunakan jasa mekanik tepercaya.