Trend Micro mengamati sektor otomotif menjadi sorotan bagi penjahat cyber, di mana para peretas mulai memperhatikan bahkan mengganggu microprocessor dan canggihnya unit pengendali mesin pada kendaraan modern. Kebanyakan mobil dan truk saat ini diproduksi dengan sistem komputer. Fasilitas ini membuat kinerja mobil, makin efisien dalam hal akselerasi, pengereman, dan sistem kemudi.
Di sisi lain kecanggihan ini, menimbulkan kerentanan terjadinya penyimpangan dijital. Peretasan terhadap mobil “pintar” ini menjadi penanda akan rentannya mobil dengan sistem komputer yang dapat “dibajak” oleh peretas hanya dengan melalui laptop.
Ketika produsen otomotif menciptakan truk dan mobil “pintar”, mereka harus benar-benar sadar bahwa teknologi baru itu tidak hanya membuat produk mereka makin nyaman digunakan, namun juga mereka wajib menciptakan sistem keamanan utama dengan menghormati privasi.
Terkait hal ini, produsen otomotif tidak ada bedanya dengan produsen smartphone, tablet, atau PC. Bagaimanapun, mereka harus memperhatikan hal ini sebagai aset yang berpotensi diretas, dan jika peretasan itu terjadi dapat menyebabkan kerugian bagi pengguna terkait hal privasi.
Ahli keamanan cyber dan industri otomotif harus bekerja bersama untuk menopang keamanan dan pertahanan pada kendaraan, di mana hingga saat ini masih dianggap salah sebagai aset kuno yang tidak layak diperhatikan.
Evolusi mobil
Pengungkapan bahwa mobil dapat diretas, pertama kali muncul pada 2013, ketika sekelompok peneliti universitas yang dikenal sebagai Center for Automotive Embedded System Security (CAESS) menerbitkan rincian tentang temuan pada model sistem komputer tertentu.
Kontributor Helium, Leigh Goessl menyatakan investigator mencoba mencolokkan laptop ke port diagnostic yang ada di mobil, di mana port ini merupakan fitur umum pada kendaraan saat ini, termasuk mobil model tahun 2009 yang sudah dites.
“Mereka juga membangun jaringan nirkabel dekat pabrik otomotif untuk mengirim data. Ketika tersambung, peneliti memiliki kontrol penuh terhadap fungsi dasar mobil seperti kemudi, pengereman, radio playback, kontrul suhu, dan pengunci pintu,” paparnya dalam keterangan yang diterima redaksi di Jakarta, Selasa (1/10).
Tim CAESS menyatakan sistem komputer mobil saat ini sangat rapuh jika tidak didesain tanpa memikirkan sistem keamanan atau privasi yang baik. Kecanggihan teknologi kendaraan dapat membuat mobil makin rentan, tepatnya karena mereka akan menjadikan otomotif ke dalamsistem komputersama seperti perangkat desktop dan mobile.
“Makin banyak teknologi baru yang dimasukkan pada suatu kendaraan, makin banyak peluang disalahgunakan untuk tujuan yang merugikan,” kata CEO Securoris Rich Mogul.
“Benda apapun yang terdapat chip di dalamnya adalah perangkat yang rentan. Sejarah menunjukkan pada kita,” sambungnya sambil menambahkan Sistem Navigasi OnStar termasuk dari banyak kendaraan Amerika yang mungkin memiliki kelamahan utama dalam keamanan cyber otomotif.
Menurut penulis Claims Journal Tom Krisher, anggota CAESS mengambil keuntungan dari konektivitas seluler OnStar, yang merupakan alat untuk pengguna untuk melaporkan isu ke remote support center. Koneksi data lainnya seperti Bluetooth, seperti pemutar cd built-in, juga sama-sama rentan.
Konferensi Defcon
Pada Konferensi Defcon tentang keamanan pada Agustus 2013, peneliti keamanan Twitter Charlie Miller dan Chris Valasek dari IOActive mengungkapkan beberapa kegiatan peretasan otomotif yang terjadi pada mobil hibrid keluaran 2010 termasuk Toyota Prius dan Ford Escape.
Menurut Dan Goodin, Ars Technica, temuan itu, yang didanai oleh Defense Advanced Research Projects Agency Pentagon, menunjukkan mengretas mobil dapat dilakukan dengan sederhana, sesederhana mengoneksikan bluetooth pada perangkat tertentu atau memainkan disc optik tertentu.
Bagaimanapun, isu utamanya adalah meningkatnya jumlah electronic control units (ECUs) pada kendaraan. Sebagian kendaraan memiliki hampir 50 ECUs yang terkoneksi melalui jaringan internal, di mana berartiperetasan yang berhasil dapat memindahkan kontrol rem dan mesin mobil ke dalam tangan pihak yang tidak dapat diketahui.
Untuk menghentikan kontrol tersebut, Miller dan Valasek membalik jaringan kendaraan dan mulai mengirim kode malicious atau memblok transmisi yang dicurigai.
“Dengan memeriksa pengontrol jaringan area di mana ECUs melakukan komunikasi, mungkin untuk mengirim pesan ke ECUs dalam rangka untuk menyebabkan mereka mengambil aksi, atau memprogram ulang ECU secara total,” tulis Miller dan Valasek pada temuan mereka.
Esensinya, lanjut dia, ECUs merupakan perangkat yang terintegrasi bersama dengan bus CAN. Masing-masingnya dilengkapi dan memiliki sejumlah sensor dan aktuator yang terdapat padanya.
Pada kasus Prius, pasangannya menggunakan urutan yang tepat dari pesan ECU untuk menyelidiki dan kemudian masuk ke sistem parkir paralel “pintar” dan memanipulasi roda kemudi kendaraan pada kecepatan tinggi. Seperti peneliti CAESS, mereka juga bisa untuk mengganti pembacaan terhadap speedometer dan oddometer.
Menempatkan ECUs
Industri otomotif dapat menjadi komponen utama dari munculnya “Internet of Things”, koleksi yang dekat dari peralatan jaringan yang akan melengkapi atau bahkan menggantikan komputer tradisional. Bagaimanapun, pembuat mobil memiliki pekerjaan rumah, yaitu memikirkan keamanan cyber secara serius.
Nyatanya, terdapat dua hal yang tidak dapat dipisahkan: peretasan yang sukses dapat menyebabkan kecelakaan parah dan saat ini ECUs terpasang pada hampir semua fungsi kritikal otomotif.
Produsen otomotif dapat mulai membuat ECUs yang lebih mudah untuk dimonitor, dikontrol, dan dikembangkan, daripada tetap membuat mereka dekat dengan vest. Teknologi ini bukan komputer biasa, melainkan perangkat yang bertugas membuat penumpang selamat.
“Saat ini, tidak ada jalan mudah untuk membuat aplikasi kustom untuk memonitor dan berinteraksi dengan ECUs pada industri otomotif yang modern,” menurut white paper yang disimpulkan oleh Miller dan Valasek. “Faktanya, risiko serangan tetap ada tapi itu bukan jalan bagi peneliti untuk memonitor atau berinteraksi dengan sistem ini.”
Untungnya, kegiatan peretasan mobil kemungkinan tidak dapat dilakukan pada sementara waktu. Hal ini memberikan industri otomotif cukup waktu untuk lakukan reboot pendekatannya terhadap keamanan cyber.
Salah satu kontributor CAESS merujuk pada peretas mobil sebagai “kelompok yang dijernihkan”, dan ia tidak mengetahui lebih dulu duplikasi dunia nyata dari perbuatan luar biasa para peneliti.
Dalam jangka pendek, pemilik mobil dapat lebih sadar terhadap serangan peretas sederhana yang dapat membahayakan pintu mereka. Akhirnya, bagaimanapun, produsen kendaraan harus memastikan bahwa kendaraan, seperti komputer, harus dipersiapkan dengan baik, bahkan untuk skenario terburuk. (endy)