Entwurf eines sicheren Fernwartsystems für Automobilsoftware Stefan Trienen Philip Weber

Entwurf eines sicheren Fernwartsystems fürAutomobilsoftware

Stefan TrienenPhilip Weber

Stefan Trienen, Philip Weber 2

Einleitung

05.07.11

Auto

Hersteller

Internet(Mobilfunk)

Werkstatt


Akteure

Auto

Hersteller

Werkstatt

Geselle

Meister

05.07.11


Funktionale Anforderungen

Grundlegende Funktionalität:○ Wartungsbedarf erkennen○ Daten auslesen per Remotezugriff○ Updates übertragen/installieren○ Systemtest○ Protokollierung aller Vorgänge (Logs)

05.07.11


Nicht-funktionale Anforderungen

Datensicherheit

Datenintegrität

Datenschutz

Verfügbarkeit○ Technische Sicherheit des Fahrzeugs○ Erreichbarkeit der Rechner

05.07.11


Architektur

WartungsserverWartungsrechner

Update-Server

Werkstatt

Hersteller

ControllerController

ControllerSteuergerät

Fahrzeug

05.07.11


Architektur - AutoController

Authentifizierter Zugriff durch Werkstatt

Updates vom Hersteller

Mobile Internetverbindung

05.07.11


Architektur - WerkstattWartungsrechner

○ Durchführung der Wartung○ Authentifizierung am System

Wartungsserver○ Protokolle○ Updates○ Ist eine „Blackbox“ für die Werkstatt○ Muss verbunden sein für eine Wartung

05.07.11


Architektur - HerstellerUpdate-Server

○ Fahrzeugsoftware

Authentifizierung○ Hersteller mit Fahrzeug○ Hersteller mit Werkstatt○ Nötig, um Update durchzuführen

05.07.11


Bedrohungsanalyse:Auto

Meister○ Manipulation der Fahrzeugeinstellungen

- Gefährdet Sicherheit und Verfügbarkeit

○ Weitergabe der Fahrzeugdaten

Fahrer und Mobiler Code○ Hauptsächlich Viren und Trojaner oder

anderer Schadcode

05.07.11


Bedrohungsanalyse:Auto

Angreifer○ „Man in the middle“ Angriff○ Angriff auf das Fahrzeug über

Schnittstelle der Werkstatt○ Auslesen der Fahrzeugdaten○ Manipulation der Fahrzeugdaten○ Schadcode

05.07.11


Bedrohungsanalyse: Werkstatt

Meister○ Manipulation der Software○ Manipulation der Protokolldatei○ Auslesen und Weitergabe der

Protokolldatei ○ Manipulation des Wartungsrechners

oder des Servers○ Update von fehlerhafter Software

05.07.11



Fahrer○ Abhören der Kommunikation

Mobiler Code○ Viren und Trojaner

05.07.11



Angreifer○ Abhören der Kommunikation ○ Austausch der SW ○ Auslesen der Protokolle ○ Angriff auf Wartungsrechner

05.07.11


Bedrohungsanalyse: Hersteller

Meister○ Angriff über Lücke in der

Authentifizierung

Hersteller○ Fälschung von Protokollen ○ Herausgabe fehlerhafter Software○ Weitergabe vertraulicher Daten

05.07.11


Bedrohungsanalyse: Hersteller

Mobiler Code○ Schadcode

Angreifer○ Manipulation der Software○ Beschaffung und Austausch der

Software auf dem Server○ Angriff auf Update Server

05.07.11


Bedrohungsszenario2.

Lesen der zwischen Auto und Werkstatt übertragenen Daten

2.1Mitschneiden der

übertragenen Daten

2.2Dechiffrieren der

übertragenen Daten

2.2.1Kryptoanalyse

2.2.2Schlüssel-

beschaffung

2.2.2.1Zugriff auf

Diagnose-Bus im Auto

2.2.2.2Zugriff auf

Werkstatt-Rechner

2.2.2.3Zugriff auf

Verfahren der Schlüsselverteilung

Oder-Knoten

Und-Knoten

2.2.2.4Brute-Force

2.2.1.1Ausnutzung von

Schwachstellen der Verschlüsselung

2.1.1Schadcode

2.1.2Paket-Sniffing

2.1.3Man-In-The-Middle-

Angriff

05.07.11


Risikoanalyse2.


2.1Mitschneiden der

übertragenen Daten


übertragenen Daten

2.2.1Kryptoanalyse

2.2.2Schlüssel-

beschaffung

2.2.2.1Zugriff auf


2.2.2.2Zugriff auf

Werkstatt-Rechner

2.2.2.3Zugriff auf


Oder-Knoten

Und-Knoten

2.2.2.4Brute-Force



2.1.1Schadcode

2.1.2Paket-Sniffing


Angriff

0.031

0.063

3

5

WahrscheinlichkeitAufwand


Schaden

0.0843,585

4

0.252

4

4

2

0.125

0.063

0.063

0.031

0.25

2

5

0.25

0.031

3 0.125

5

4

3 0.125

Schaden: 0...5Aufwand: 0...5

05.07.11


Schutzziele &zu schützende Objekte

Hardware

05.07.11


Schutzziele &zu schützende Objekte

Daten

05.07.11


Sicherheitsmaßnahmen

Server auf Werkstattebene entfernenVerschlüsselungAuthentifizierungAutorisierungFirewallVirenscanner

05.07.11


Zugriffsrechte

Statische ZugriffsmatrixWartungsrechne

rProtokoll

Update-Server

Fahrzeug

Meister rx r x rwx

Geselle rx r x rwx

Fahrer - - - rx

Hersteller

- r rwx -

05.07.11


Architekturverbesserung

Wartungsrechner

Update-Server RADIUS-Server Zertifikat-Server

Werkstatt

Hersteller

ControllerController

ControllerSteuergerät

Fahrzeug

05.07.11


Risikoneubewertung2.


2.1Mitschneiden der

übertragenen Daten


übertragenen Daten

2.2.1Kryptoanalyse

2.2.2Schlüssel-

beschaffung

2.2.2.1Zugriff auf


2.2.2.2Zugriff auf

Werkstatt-Rechner

2.2.2.3Zugriff auf


Oder-Knoten

Und-Knoten

2.2.2.4Brute-Force



2.1.1Schadcode

2.1.2Paket-Sniffing


Angriff

0.031

0.031

4

5



Schaden

0.0424,585

4

0.1253

5

5

3

0.063

0.031

0.031

0.031

0.125

3

5

0.125

0.031

4 0.063

5

5

4 0.063

Schaden: 0...5Aufwand: 0...5

05.07.11


Nachweis der Informationssicherheit

Datensicherheit und –integrität○ Verschlüsselung○ Authentifizierung

Datenschutz○ Rechtemanagement

Technische Sicherheit des Fahrzeugs○ Keine sicherheitskritischen Updates○ Selbsttest nach Update

05.07.11


Nachweis der Informationssicherheit

Verfügbarkeit (Fahrzeug)○ Selbsttest○ Evtl. Update-Rückrollung

Verfügbarkeit (Werkstatt, Hersteller)○ Problem: DoS-Angriff

05.07.11


FazitSicherheitsverbesserung durch

ArchitekturveränderungSicherheitsbetrachtung nicht

vollständig○ Aus Zeitgründen○ Für jede Bedrohung durchzuführen

05.07.11

Vielen Dank für Ihre Aufmerksamkeit

Documents

Entwurf eines sicheren Fernwartsystems für Automobilsoftware Stefan Trienen Philip Weber