Konferenz zur Sicherheit von Autos: Vom Crashtest zum Pentest
Die Autoindustrie steht vor einem Paradigmenwechel – sie muss ihre Produkte nun auch gegen unbekannte Angriffe von Hackern absichern. Kostendruck und Komplexität erschweren den Umbau jedoch.
Nachdem der Autohack von einer theoretischen Übung zum praktischen Problem geworden ist, bemühen sich Hersteller und Zulieferer um neue Sicherheitsmechanismen. Doch der Umbau der gewachsenen Infrastruktur ist gar nicht so einfach, wie mehr als 200 Branchenvertreter und Forscher auf der Konferenz Escar in Köln erörterten.
Tom Winterhalter von der Cyber Crime Division der amerikanischen Bundespolizei FBI warnte, immer mehr Angreifer hätten es auf Sicherheitslücken abgesehen. Das gehe vom Hacktivisten über den verärgerten Angestellten bis hin zum staatlichen Angreifer. Zwar seien die internen elektronischen Systeme der Autos in der Praxis noch keine Ziele für Kriminelle, dies werde aber nicht so bleiben: "Wenn die Angreifer einen Weg finden, damit einfach Geld zu machen, werden sie es tun", sagte Winterhalter. So zeigten die Teilnehmer der vom FBI überwachten einschlägigen Foren bereits gesteigertes Interesse an den dokumentierten Sicherheitslücken in Autosystemen.
"Safety" und "Security"
Deswegen müsse die Autoindustrie ihre Testroutinen umstellen. Statt sich nur auf das Thema "Safety" zu konzentrieren, bei dem die Zuverlässigkeit des Autos und die Sicherheit der Verkehrsteilnehmer im Fokus steht, geht es nun um das Thema "Security". Das bezieht sich auf den den Schutz der internen Systeme vor gezielten Eingriffen von außen.
Eine Methode Schwachstellen in der internen Software zu finden, ist das so genannte "Fuzzing", bei dem abgewandelte oder ungültige Signale über den CAN-Bus geschickt werden, um anschließend die Antworten auszuwerten. Stephanie Bayer vom Embedded-Security-Spezialisten Escrypt stellte in Köln die Ergebnisse erster Versuche mit einer zu diesem Zweck angepassten Fuzzing-Engine vor.
In einem 27-stündigen Testlauf mit einem simulierten Steuergerät fanden die Forscher sechs reproduzierbare Fehler, bei denen der Server ungültige Antworten lieferte. Damit habe er Angreifern jeweils eine Möglichkeit gegeben, das System auszulesen. Mehrere Hundert weitere Eingaben führten demnach zu einem Timeout – ein Hinweis auf potenzielle weitere Probleme. Gezieltere Scans mit genauerem Wissen über die analysierten Systeme könnten noch weit mehr Fehler entdecken.
Angriffe im CAN-Bus erkennen
Viele Bemühungen der Autoindustrie konzentrieren sich darauf, die Kommunikation auf dem internen CAN-Bus abzusichern, der die verschiedenen Steuergeräte (Electronic Control Unit, ECU) im Auto verbindet. "Jede Attacke muss es letztendlich bis auf den CAN-Bus schaffen", erklärte Harel Cain, der für Cisco Sicherheitsmechanismen für das Internet of Things erforscht.
Seine Lösung: Eine Kontrolleinheit soll alle Nachrichten auf dem Bus überwachen und verdächtige Mitteilungen ungültig machen. Doch diese Signale auszufiltern ist nicht einfach: Erst müssen die zuständigen Algorithmen lernen, welches Verhalten normal ist. Außerdem darf die Kontrolleinheit die kritische Kommunikation innerhalb des Autos nicht ausbremsen.
Authentifizierung nachrüsten
Andere auf der Konferenz vorgestellte Ansätze verfolgen das Ziel, die Kommunikation um eine Authentifizierungsschicht nachzurüsten. Das stellt die Hersteller jedoch vor eine Reihe von Problemen: So stecken in einem heutigen Auto teilweise mehr als 100 ECUs. Alle Subsysteme mit einer sicheren Verschlüsselung auszustatten ist nicht nur kostenintensiv, sondern wirkt sich auch auf die Übertragungsgeschwindigkeit oder die Störanfälligkeit aus. Zudem muss ein einheitliches Schlüsselmanagement aufgebaut werden.
Dass solche Techniken kompetente Angreifer nicht unbedingt abhalten, zeigte Yaron Galula, Mitgründer des israelischen Sicherheitsspezialisten Argus. Seine Firma hatte in der Vergangenheit verschiedene Systeme analysiert und dabei viele Schwachstellen gefunden. So waren wichtige Passwörter in festen Bereichen auf Flash-Chips abgelegt, angreifbare Dienste liefen unnötigerweise mit Root-Rechten oder die Firmware ließ sich über einen ungesicherten Update- Mechanismus auslesen und manipulieren. Ein besonders viel versprechender Angriffsvektor waren manipulierte Mediendateien, die in Verbindung mit veralteten Libraries in Infotainment- Systemen der Autos einen ersten Zugang zu dem internen Netzwerk boten.
Die Hoffnung, dass Autos in naher Zukunft wie Desktop-Computer oder am Mobiltelefone regelmäßige Updates bekommen, dämpfte allerdings Albert Held von der Forschungsabteilung von Daimler. Zwar seien sichere Updates technisch lösbar. Dazu müssen man aber auch dem Fahrer vermitteln, dass er sein Auto für ein Update zwei Stunden stilllegen müsste.
Lesen Sie dazu auch in c't 24/15:
- Kontrollverlust am Steuer – Wie Hacker einen Jeep Cherokee übers Internet fernsteuern konnten
(mho)
