Entwurf eines sicheren Fernwartsystems für Automobilsoftware Stefan Trienen Philip Weber

Entwurf eines sicheren Fernwartsystems fürAutomobilsoftware

Stefan TrienenPhilip Weber

Stefan Trienen, Philip Weber 2

Einleitung

05.07.11

Auto

Hersteller

Internet(Mobilfunk)

Werkstatt

Stefan Trienen, Philip Weber 3

Akteure

Auto

Hersteller

Werkstatt

Geselle

Meister

05.07.11

Stefan Trienen, Philip Weber 4

Funktionale Anforderungen

Grundlegende Funktionalität:○ Wartungsbedarf erkennen○ Daten auslesen per Remotezugriff○ Updates übertragen/installieren○ Systemtest○ Protokollierung aller Vorgänge (Logs)

05.07.11

Stefan Trienen, Philip Weber 5

Nicht-funktionale Anforderungen

Datensicherheit

Datenintegrität

Datenschutz

Verfügbarkeit○ Technische Sicherheit des Fahrzeugs○ Erreichbarkeit der Rechner

05.07.11

Stefan Trienen, Philip Weber 6

Architektur

WartungsserverWartungsrechner

Update-Server

Werkstatt

Hersteller

ControllerController

ControllerSteuergerät

Fahrzeug

05.07.11

Stefan Trienen, Philip Weber 7

Architektur - AutoController

Authentifizierter Zugriff durch Werkstatt

Updates vom Hersteller

Mobile Internetverbindung

05.07.11

Stefan Trienen, Philip Weber 8

Architektur - WerkstattWartungsrechner

○ Durchführung der Wartung○ Authentifizierung am System

Wartungsserver○ Protokolle○ Updates○ Ist eine „Blackbox“ für die Werkstatt○ Muss verbunden sein für eine Wartung

05.07.11

Stefan Trienen, Philip Weber 9

Architektur - HerstellerUpdate-Server

○ Fahrzeugsoftware

Authentifizierung○ Hersteller mit Fahrzeug○ Hersteller mit Werkstatt○ Nötig, um Update durchzuführen

05.07.11

Stefan Trienen, Philip Weber 10

Bedrohungsanalyse:Auto

Meister○ Manipulation der Fahrzeugeinstellungen

- Gefährdet Sicherheit und Verfügbarkeit

○ Weitergabe der Fahrzeugdaten

Fahrer und Mobiler Code○ Hauptsächlich Viren und Trojaner oder

anderer Schadcode

05.07.11

Stefan Trienen, Philip Weber 11

Bedrohungsanalyse:Auto

Angreifer○ „Man in the middle“ Angriff○ Angriff auf das Fahrzeug über

Schnittstelle der Werkstatt○ Auslesen der Fahrzeugdaten○ Manipulation der Fahrzeugdaten○ Schadcode

05.07.11

Stefan Trienen, Philip Weber 12

Bedrohungsanalyse: Werkstatt

Meister○ Manipulation der Software○ Manipulation der Protokolldatei○ Auslesen und Weitergabe der

Protokolldatei ○ Manipulation des Wartungsrechners

oder des Servers○ Update von fehlerhafter Software

05.07.11

Stefan Trienen, Philip Weber 13

Bedrohungsanalyse: Werkstatt

Fahrer○ Abhören der Kommunikation

Mobiler Code○ Viren und Trojaner

05.07.11

Stefan Trienen, Philip Weber 14

Bedrohungsanalyse: Werkstatt

Angreifer○ Abhören der Kommunikation ○ Austausch der SW ○ Auslesen der Protokolle ○ Angriff auf Wartungsrechner

05.07.11

Stefan Trienen, Philip Weber 15

Bedrohungsanalyse: Hersteller

Meister○ Angriff über Lücke in der

Authentifizierung

Hersteller○ Fälschung von Protokollen ○ Herausgabe fehlerhafter Software○ Weitergabe vertraulicher Daten

05.07.11

Stefan Trienen, Philip Weber 16

Bedrohungsanalyse: Hersteller

Mobiler Code○ Schadcode

Angreifer○ Manipulation der Software○ Beschaffung und Austausch der

Software auf dem Server○ Angriff auf Update Server

05.07.11

Stefan Trienen, Philip Weber 17

Bedrohungsszenario2.

Lesen der zwischen Auto und Werkstatt übertragenen Daten

2.1Mitschneiden der

übertragenen Daten

2.2Dechiffrieren der

übertragenen Daten

2.2.1Kryptoanalyse

2.2.2Schlüssel-

beschaffung

2.2.2.1Zugriff auf

Diagnose-Bus im Auto

2.2.2.2Zugriff auf

Werkstatt-Rechner

2.2.2.3Zugriff auf

Verfahren der Schlüsselverteilung

Oder-Knoten

Und-Knoten

2.2.2.4Brute-Force

2.2.1.1Ausnutzung von

Schwachstellen der Verschlüsselung

2.1.1Schadcode

2.1.2Paket-Sniffing

2.1.3Man-In-The-Middle-

Angriff

05.07.11

Stefan Trienen, Philip Weber 18

Risikoanalyse2.

Lesen der zwischen Auto und Werkstatt übertragenen Daten

2.1Mitschneiden der

übertragenen Daten

2.2Dechiffrieren der

übertragenen Daten

2.2.1Kryptoanalyse

2.2.2Schlüssel-

beschaffung

2.2.2.1Zugriff auf

Diagnose-Bus im Auto

2.2.2.2Zugriff auf

Werkstatt-Rechner

2.2.2.3Zugriff auf

Verfahren der Schlüsselverteilung

Oder-Knoten

Und-Knoten

2.2.2.4Brute-Force

2.2.1.1Ausnutzung von

Schwachstellen der Verschlüsselung

2.1.1Schadcode

2.1.2Paket-Sniffing

2.1.3Man-In-The-Middle-

Angriff

0.031

0.063

3

5

WahrscheinlichkeitAufwand

WahrscheinlichkeitAufwand

Schaden

0.0843,585

4

0.252

4

4

2

0.125

0.063

0.063

0.031

0.25

2

5

0.25

0.031

3 0.125

5

4

3 0.125

Schaden: 0...5Aufwand: 0...5

05.07.11

Stefan Trienen, Philip Weber 19

Schutzziele &zu schützende Objekte

Hardware

05.07.11

Stefan Trienen, Philip Weber 20

Schutzziele &zu schützende Objekte

Daten

05.07.11

Stefan Trienen, Philip Weber 21

Sicherheitsmaßnahmen

Server auf Werkstattebene entfernenVerschlüsselungAuthentifizierungAutorisierungFirewallVirenscanner

05.07.11

Stefan Trienen, Philip Weber 22

Zugriffsrechte

Statische ZugriffsmatrixWartungsrechne

rProtokoll

Update-Server

Fahrzeug

Meister rx r x rwx

Geselle rx r x rwx

Fahrer - - - rx

Hersteller

- r rwx -

05.07.11

Stefan Trienen, Philip Weber 23

Architekturverbesserung

Wartungsrechner

Update-Server RADIUS-Server Zertifikat-Server

Werkstatt

Hersteller

ControllerController

ControllerSteuergerät

Fahrzeug

05.07.11

Stefan Trienen, Philip Weber 24

Risikoneubewertung2.

Lesen der zwischen Auto und Werkstatt übertragenen Daten

2.1Mitschneiden der

übertragenen Daten

2.2Dechiffrieren der

übertragenen Daten

2.2.1Kryptoanalyse

2.2.2Schlüssel-

beschaffung

2.2.2.1Zugriff auf

Diagnose-Bus im Auto

2.2.2.2Zugriff auf

Werkstatt-Rechner

2.2.2.3Zugriff auf

Verfahren der Schlüsselverteilung

Oder-Knoten

Und-Knoten

2.2.2.4Brute-Force

2.2.1.1Ausnutzung von

Schwachstellen der Verschlüsselung

2.1.1Schadcode

2.1.2Paket-Sniffing

2.1.3Man-In-The-Middle-

Angriff

0.031

0.031

4

5

WahrscheinlichkeitAufwand

WahrscheinlichkeitAufwand

Schaden

0.0424,585

4

0.1253

5

5

3

0.063

0.031

0.031

0.031

0.125

3

5

0.125

0.031

4 0.063

5

5

4 0.063

Schaden: 0...5Aufwand: 0...5

05.07.11

Stefan Trienen, Philip Weber 25

Nachweis der Informationssicherheit

Datensicherheit und –integrität○ Verschlüsselung○ Authentifizierung

Datenschutz○ Rechtemanagement

Technische Sicherheit des Fahrzeugs○ Keine sicherheitskritischen Updates○ Selbsttest nach Update

05.07.11

Stefan Trienen, Philip Weber 26

Nachweis der Informationssicherheit

Verfügbarkeit (Fahrzeug)○ Selbsttest○ Evtl. Update-Rückrollung

Verfügbarkeit (Werkstatt, Hersteller)○ Problem: DoS-Angriff

05.07.11

Stefan Trienen, Philip Weber 27

FazitSicherheitsverbesserung durch

ArchitekturveränderungSicherheitsbetrachtung nicht

vollständig○ Aus Zeitgründen○ Für jede Bedrohung durchzuführen

05.07.11

Vielen Dank für Ihre Aufmerksamkeit