Hva om noen hacker bilen din mens du er på motorveien?

Innside av en bil i en kø på motorvei, med mobiltelefon som viser kart og veibeskrivelse.
Alle smartenheter kan hackes. En ny metode basert på kunstig intelligens hjelper sikkerhetsekspertene å oppdage sikkerhetshull i programvaren før hackerne gjør det.Foto: Unsplash / Dan Gold

KUNNSKAP FRA KRISTIANIA: Teknologi

Tenk deg at vindusviskerne helt av seg selv begynner å jage over frontruta i full fart. Samtidig mister du kontroll over rattet og radioen skur seg på maks volum. Bilen din lever plutselig sitt eget liv, og du ligger i høy hastighet på motorveien  

Portrett av Andrii Shalaginov.
Andrii Shalaginov er førsteamanuensis ved avdeling for økonomi, innovasjon og teknologi ved Høyskolen Kristiania. Han forsker særlig på bruk av kunstig intelligens for cybersikkerhet, deteksjon av datavirus, nettverksangrep og beskyttelse av enheter tilknyttet internett. Foto: Kristiania.

At hackere kan ta over bilen din, er ikke noe som bare skjer i science fiction-filmer. I 2015 gjennomførte to sikkerhetseksperter et eksperiment for å vise at de fra flere kilometer unna kunne bryte seg inn i det digitale systemet i en bil og fjernstyre funksjonene.

De ville gjøre oss oppmerksomme på at folk med onde hensikter faktisk kan forårsake trafikkaos og dødsulykker.

Vi omgir oss med store og små smartenheter som er tilkoblet internett – alt fra smart-telefoner til robotstøvsugeren eller bilen. Ekspertene kaller dem gjerne enheter fra tingenes internett (IoT-enheter, fra internet of things).

Guru Bhandari
Guru Bhandari er en av hjernene bak det nye KI-baserte cybersikkerhetssystemet IoTvulCode, som er utviklet gjennom forskningsprosjektet EnViSec ved Kristiania.Foto: Høyskolen Kristiania

At slike sensorer og brukerapplikasjoner henger sammen via internett, gjør oss sårbare for cyberangrep.  

Når vi legger til at biler, trafikkontrollsystemer og medisinsk utstyr kan hackes, er det lett å forstå hvor alvorlig galt det kan gå. 

Et nytt system oppdager svakheter tidligere 

Sikkerhetseksperter er hele tiden i et kappløp med hackere. Nå utvikler forskere ved Kristiania et nytt system som bruker kunstig intelligens (KI) for å oppdage sikkerhetshull i programvaren til den typen smartenheter vi omgir oss med til daglig.  

– Vi så at de eksisterende metodene for å oppdage trusler, som nettverksovervåking og sensorbaserte løsninger, ikke fant sårbarheter i kildekoden tidlig nok. Dermed merker vi ikke sikkerhetshullene før et angrep faktisk skjer, sier Andrii Shalaginov, leder for forskningslaben Smart Security og forskningsprosjektet ENViSEC ved Kristiania. 

Den nye metoden gjør det lettere for de som utvikler programvare å forstå hvor risikoen ligger, og hvordan de kan rette opp i svakhetene. Tidligere verktøy greide ofte bare å oppdage at det finnes en svakhet, men ikke hva slags svakhet det var.  

– Nå får vi en mye mer detaljert tilbakemelding. Dermed kan vi jobbe raskere og mer målrettet med å forbedre programvaren, sier Shalaginov.  

En skreddersydd KI-løsning har øvd og lært 

Nøkkelen ligger i såkalt maskinlæring og en type kunstig intelligens der systemet lærer gjennom prøving og feiling på store mengder data 

Når KI-systemet analyserer koden i programvaren, leter den etter svakheter og klassifiserer dem som ulike typer sikkerhetstrusler. Den kan gjenkjenne mønstre og avvik. Dermed kan den oppdage mulige sikkerhetshull.  

Forskerne har samlet og satt sammen et stort datasett som er brukt i alle IoT-enhetene. Datasettet er hele 162 ganger større enn i tidligere forsøk. Det betyr at det nye systemet kan øve seg og lære av mange flere eksempler på mulige trusler og sikkerhetshull.  

I tillegg er løsningen skreddersydd til smartenhetene våre. Med bakgrunn i dette nye datasettet, har forskerne utviklet et nytt rammeverk kalt IoTvulCode. Med det kan de med stor nøyaktighet finne og fange opp sårbarheter i koden. Verktøyet bruker maskinlæring og naturlig språkbehandling (NLP) til å analysere kildekode og finne svakheter. 

Slik fungerer den nye metoden 

Naturlig språkbehandling (NLP - neuro linguistic programming) brukes sammen med maskinlæringsalgoritmer for å analysere setningsoppbygging, og hva ord og fraser i koden betyr. Systemet vurderer ikke bare ordene og kommandoene som brukes, men også sammenhengen de brukes i.  

Ekspertene kan da finne feil og svakheter vi ellers kanskje ikke ville oppdaget. Med naturlig språkbehandling kan systemet tolke og forstå språket som brukes i koden. Dermed er det mulig å oppdage farlige kodesnutter eller sikkerhetshull som har oppstått under programmeringen.  

Med dette systemet kan vi også gruppere ulike typer sårbarheter. Det finnes en standardisert liste (CWE, Common Weakness Enumeration) over kjente svakheter i programvarekoding og design. Standardlisten beskriver og klassifiserer vanlige sikkerhetsproblemer i programvare. Dermed kan utviklere kjenne dem igjen, og unngå dem. Hver svakhet får et unikt CWE-nummer og en beskrivelse, som hjelper analytikerne med å forstå hva svakheten innebærer. 

Rammeverket IoTvulCode sorterer både trygge og utrygge kodeeksempler. Løsningen som Kristianiaforskerne utvikler nå, bidrar til å gi utviklere og analytikere mulighet til å få et forsprang.

Vil du teste modellen og kildekoden?

Modellene og kildekodene som er brukt i studien er åpent tilgjengelig på GitHub (for IoT).

Generelt datasett ligger her.

Det første datasettet til IoTvulCode er tilgjengelig på Zenodo. 

Bruk Jupyter notebook, som ligger på notebooks/statistics.ipynb innenfor GitHub.

Vi oppfordrer alle innen cybersikkerhetsmiljøet å bygge videre på disse verktøyene for å styrke mulighetene for å avdekke svakheter i IoT software.

Tekst: Cecilie Taran Skjerdal, seniorrådgiver, Avdeling forskningskommunikasjon og innovasjon, Kristiania. 

Referanser: 

Bhandari, G. P., Assres, G., Gavric, N., Shalaginov, A. & Grønli, T-M. (2024). IoTvulCode: AI-enabled vulnerability detection in software products designed for IoT applications. International Journal of Information Security. 

Greenberg, A. (2015). Hackers Remotely Kill a Jeep on the Highway—With Me in It. Wired.(Hentet 4. november 2024)  

Denne teksten ble publisert på forskning.no den 12 .november  2024 under tittelen "Hva om noen hacker bilen din mens du er på motorveien?".

Vi vil gjerne høre fra deg!

Send spørsmål og kommentarer til artikkelen på e-post til kunnskap@kristiania.no

Siste nytt fra Kunnskap Kristiania

  • Slik profilerer Støre og Listhaug seg i sosiale medier
    Kunnskap Kristiania

    Slik profilerer Støre og Listhaug seg i sosiale medier

    Støre samler, Listhaug utfordrer. De to lederne bruker ulike strategier for å vinne folkets tillit.
    Les mer
  • Psykologisk trygghet er en forutsetning for læring  
    Kunnskap Kristiania

    Psykologisk trygghet er en forutsetning for læring  

    Forelesere må skape et trygt og inkluderende miljø for å sikre læring. Her er noen konkrete tips til hvordan.
    Les mer
  • Sylvi Listhaugs strategi på Facebook
    Kunnskap Kristiania

    Sylvi Listhaugs strategi på Facebook

    Frp-lederen appellerer til folk ved å fremstå jordnær, skape fellesskap og kritisere motstanderne.
    Les mer
  • Your eco-certified products might be lying to you  
    Kunnskap Kristiania

    Your eco-certified products might be lying to you  

    Are you able to spot a real eco-friendly product from a fake one?
    Les mer

Meld deg på vårt nyhetsbrev

Kunnskap Kristiania er Kristianias kunnskapsmagasin. Vi gir deg nytt om forskning, fag, kunstnerisk utviklingsarbeid og aktuell samfunnsdebatt. Nyhetsbrevet sendes ut to ganger i måneden.
Abonnér