Zero-Day: jetzt auch in Autos

Der vergangene Dienstag war ein wichtiger Tag für die IT-Sicherheitsbranche. Forscher informierten über die Ausnutzung der ersten jemals da gewesenen Zero-Day-Sicherheitslücke (0-day) in Autos. Am Beispiel eines Jeep Cherokee wurde eine drahtlose Attacke durchgeführt.

Charlie Miller und Chris Valasek entdeckten die Schwachstelle im Bordcomputer des Wagens. Von Attacken auf solche Systeme ist schon lange die Rede – allerdings nur unter der Bedingung, wenn potentielle Verbrecher Zugriff auf die Diagnoseschnittstelle haben. Ein entfernter Angriff auf kritische Systeme eines Wagens blieb allerdings ein rein theoretisches Szenario, vor dem Experten schon seit langem warnen (unter anderem auch die Experten von Kaspersky Lab). Viele hofften allerdings, dass die Automobilhersteller sich der Risiken bewusst sind, die die Ausnutzung solcher Sicherheitslücken mit sich bringen würde, und dass sie dieses Szenario zu verhindern wüssten. Wir haben sie überschätzt.

Über das Bordcomputersystem verschafften sich die Forscher Zugriff nicht nur auf nicht kritische Einstellungen, sondern auch auf die Steuerung des Fahrzeugs. Die technischen Details des Hacks wollen die Forscher im August veröffentlichen, heute ist allerdings bereits die allgemeine Entwicklung der Ereignisse bekannt.

Hack des Fahrzeugs

Zunächst war der Fahrer nicht mehr in der Lage, die außer Rand und Band geratene Klimaanlage, das Radio und die Scheibenwischer zu steuern. Und dann verlor er die Kontrolle über das Fahrzeug selbst. Das Gaspedal und die Bremse gehorchten nur noch den Sicherheitsforschern, die irgendwo entfernt an ihren Rechnern saßen, aber nicht mehr dem Fahrer hinter dem Steuer.

Dabei muss man wissen, dass das Auto nicht modifiziert war. Die oben beschriebenen Manipulationen wurden durch eine Sicherheitslücke in dem an Bord installierten Unterhaltungssystem Uconnect ermöglicht, das für die Verbindung mit der Außenwelt über die Infrastruktur des Mobilfunkanbieters Sprint in Fahrzeugen des Autokonzerns FCA (Chrysler, Dodge, Fiat, Jeep und Ram) verantwortlich ist. Es reicht aus, die externe IP-Adresse des Opfers zu kennen, um den Code in der Haupteinheit zu überschreiben (diese Geräte werden etwas später genauer besprochen).

Der Konzern hat bereits ein Software-Patch für Uconnect herausgegeben, das entweder von offiziellen Händlern oder – mit den entsprechenden technischen Fähigkeiten – auch vom Fahrzeugführer selbst über den USB-Port installiert werden kann. Solange aber können die Forscher, nachdem sie sich mit dem Netz von Sprint verbunden haben und die von ihnen gefundene Zero-Day-Sicherheitslücke ausnutzen, die Fahrzeugidentifizierungsnummer (VIN), die GPS-Koordinaten und die IP-Adresse des Wagens sehen. Ein konkretes Fahrzeug unter 471.000 Autos mit Uconnect an Bord ausfindig zu machen, ist laut Aussage der Forscher selbst allerdings keine leichte Aufgabe.

Kaspersky Lab: Schutzkonzept

Das ist nicht der erste Vorfall, der die Mängel in den Sicherheitsmechanismen, die standardmäßig in moderne Fahrzeuge integriert sind, ans Tageslicht bringt. Bisher kam es schon zum lokalen Abfangen der Steuerung über das Diagnosegerät OBD-II und zum Austausch der Softwareaktualisierungen über eine falsche Funkbasisstation.

Ebenso wie die Hersteller von Betriebssystemen setzen nun auch die Autokonzerne selbst wichtige, notwendige, doch nicht ausreichende Sicherheitsmechanismen um. Die Situation wird dadurch zugespitzt, dass die Architektur des Bordnetzes der Automobilelektronik Mitte der 1980er Jahre entwickelt wurde, als die Vorstellung, dass Autos einmal mit dem Internet verbunden sein könnten, noch Science Fiction war. Und folglich kann man, auch wenn die elektronischen Komponenten zuverlässig und funktionell sicher sind, dasselbe nicht von ihrem Schutz vor Cyberbedrohungen behaupten. Wir bei Kaspersky Lab sind – wie auch beim Schutz von traditionellen Rechennetzen – davon überzeugt, dass vollwertige, vielschichtige Sicherheit nur durch eine Kombination der richtigen Architektur, die unter Berücksichtigung aller Risiken, darunter auch Cyberbedrohungen, entwickelt wurde, mit der Einstellung der vorinstallierten Mittel und der Installation spezialisierter Lösungen gewährleistet werden kann.

Architektur

Der Ansatz von Kaspersky Lab fußt auf zwei grundlegenden Architektur-Prinzipien: Isolation und Kommunikationskontrolle.

Die Isolation garantiert, dass zwei unabhängige Größen sich nicht gegenseitig beeinflussen können. Eine Unterhaltungsanwendung kann beispielsweise nicht auf ein technologisches Netz Einfluss ausüben. Weder an Bord eines Flugzeugs noch im Auto.

Die Kontrolle der Kommunikation garantiert, dass zwei unabhängige Einheiten, die miteinander interagieren müssen, damit das System funktioniert, dies nur in vollständiger Übereinstimmung mit der geltenden Sicherheitspolitik tun. So kann beispielsweise das System zum Sammeln von telemetrischen Daten und deren Übermittlung ins Servicecenter nur Daten über den Zustand des Fahrzeugs lesen, aber es kann keine Steuerungsbefehle weitergeben. Eine solche Kontrolle wäre auch dem Jeep-Fahrer entgegengekommen.

Der Einsatz von Kryptografie und Authentifikation zur Übermittlung und zum Empfang von Informationen von außen ist ebenfalls ein unerlässlicher Teil eines sicheren Systems. Doch den Forschungsergebnissen von Miller und Valasek nach zu urteilen, wurden im Jeep entweder schwache, angreifbare Algorithmen angewendet oder die Kryptografie wurde fehlerhaft umgesetzt.

Der beschriebene Ansatz – Isolation und Kontrolle der Verbindung – kann selbstverständlich auf die Microkernel-Architektur von Betriebssystemen mit kontrollierbarer Interprozesskommunikation übertragen werden. Jede logische Domain erhält einen eigenen Adressraum und die gesamte Kommunikation zwischen den Domains läuft immer über einen Sicherheitsmonitor.

Produkte

Von der Bordelektronik, die die kritisch wichtigen Funktionen des Fahrzeugs steuert und theoretisch Angriffen ausgesetzt sein könnte, sind besonders die Haupteinheit (Head Unit, HU) und die elektronischen Steuereinheiten (electronic control unit, ECU) zu nennen, die das gesamte Controllernetzwerk bilden. Das sind Einheiten zur Steuerung des Motors, der Getriebes, der Federung usw.

Die Haupteinheiten laufen unter Echtzeit-Betriebssystemen (real time operating systems (RTOS) – QNX, VxWorks und anderen). Kaspersky Lab beabsichtigt ein eigenes geschütztes Betriebssystem für Haupteinheiten anzubieten, sobald alle dafür notwendigen Zertifikate eingeholt wurden.

Beide oben beschriebenen Architektur-Prinzipien (Isolation und Kommunikationskontrolle) sind grundlegende Prinzipien der Funktionsweise von KasperskyOS – einem sicheren Microkernel-Betriebssystem mit kontrollierbarer Interprozesskommunikation.

Das Betriebssystem wurde grundlegend neu entwickelt und Sicherheit hatte von vornherein oberste Priorität. Darin liegt auch der wesentliche Unterschied zwischen unserer Entwicklung und Betriebssystemen, die heute auf Bordcomputern von Fahrzeugen laufen. Die Schlüsselkomponente des sicheren Betriebssystems haben wir Kaspersky Security System (KSS) genannt.

Diese Laufzeitumgebung ist für die Berechnung der Sicherheitseinstufung von Ereignissen verantwortlich, die im System geschehen. Auf der Grundlage dieser Einstufung entscheidet der Kernel des Betriebssystems, ob der jeweilige Prozess oder die Interprozesskommunikation zugelassen oder blockiert werden soll. Mit Hilfe des KSS kann jede beliebige Aktivität kontrolliert werden – der Zugriff auf Ports, Dateien, auf Netzressourcen über konkrete Anwendungen usw. Aktuell läuft KSS unter PikeOS und Linux.

Was die elektronischen Steuerungseinheiten betrifft, auf denen nur ein relativ geringer Anteil von Firmware-Code entfällt, so beabsichtigt Kaspersky Lab ebenfalls mit Entwicklern von Microelektronik zusammenzuarbeiten, um gemeinsam die Sicherheit dieser integrierten Software zu gewährleisten.

Anstelle eines Fazits

Niemand möchte wirklich auf die Vorteile und den Komfort verzichten, den die Computerisierung von Fahrzeugen mit sich gebracht hat. Doch wenn die Automobilhersteller sich nicht ernsthaft des Problems der Cyberbedrohungen annehmen, denen ein mit dem Internet verbundener Wagen ausgesetzt ist, und wenn sie nicht anfangen, dasselbe auch von den Herstellern der Automobil-Komponenten zu fordern, so werden Leute, die sich Sorgen um ihre Sicherheit machen, gezwungen sein, wieder auf klassische Fahrzeuge umzusteigen. Gut, in alten Autos gibt es keine Computer. Ja, in alten Autos gibt es auch keine computergesteuerte Einspritzung, kein Navigationssystem, keine Klimaautomatik und andere neumodische Spielereien. Dafür gehorchen sie aber ausschließlich dem Menschen hinter dem Steuer.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.