Upload
imma-wolfanger
View
106
Download
2
Embed Size (px)
Citation preview
Entwurf eines sicheren Fernwartsystems fürAutomobilsoftware
Stefan TrienenPhilip Weber
Stefan Trienen, Philip Weber 2
Einleitung
05.07.11
Auto
Hersteller
Internet(Mobilfunk)
Werkstatt
Stefan Trienen, Philip Weber 3
Akteure
Auto
Hersteller
Werkstatt
Geselle
Meister
05.07.11
Stefan Trienen, Philip Weber 4
Funktionale Anforderungen
Grundlegende Funktionalität:○ Wartungsbedarf erkennen○ Daten auslesen per Remotezugriff○ Updates übertragen/installieren○ Systemtest○ Protokollierung aller Vorgänge (Logs)
05.07.11
Stefan Trienen, Philip Weber 5
Nicht-funktionale Anforderungen
Datensicherheit
Datenintegrität
Datenschutz
Verfügbarkeit○ Technische Sicherheit des Fahrzeugs○ Erreichbarkeit der Rechner
05.07.11
Stefan Trienen, Philip Weber 6
Architektur
WartungsserverWartungsrechner
Update-Server
Werkstatt
Hersteller
ControllerController
ControllerSteuergerät
Fahrzeug
05.07.11
Stefan Trienen, Philip Weber 7
Architektur - AutoController
Authentifizierter Zugriff durch Werkstatt
Updates vom Hersteller
Mobile Internetverbindung
05.07.11
Stefan Trienen, Philip Weber 8
Architektur - WerkstattWartungsrechner
○ Durchführung der Wartung○ Authentifizierung am System
Wartungsserver○ Protokolle○ Updates○ Ist eine „Blackbox“ für die Werkstatt○ Muss verbunden sein für eine Wartung
05.07.11
Stefan Trienen, Philip Weber 9
Architektur - HerstellerUpdate-Server
○ Fahrzeugsoftware
Authentifizierung○ Hersteller mit Fahrzeug○ Hersteller mit Werkstatt○ Nötig, um Update durchzuführen
05.07.11
Stefan Trienen, Philip Weber 10
Bedrohungsanalyse:Auto
Meister○ Manipulation der Fahrzeugeinstellungen
- Gefährdet Sicherheit und Verfügbarkeit
○ Weitergabe der Fahrzeugdaten
Fahrer und Mobiler Code○ Hauptsächlich Viren und Trojaner oder
anderer Schadcode
05.07.11
Stefan Trienen, Philip Weber 11
Bedrohungsanalyse:Auto
Angreifer○ „Man in the middle“ Angriff○ Angriff auf das Fahrzeug über
Schnittstelle der Werkstatt○ Auslesen der Fahrzeugdaten○ Manipulation der Fahrzeugdaten○ Schadcode
05.07.11
Stefan Trienen, Philip Weber 12
Bedrohungsanalyse: Werkstatt
Meister○ Manipulation der Software○ Manipulation der Protokolldatei○ Auslesen und Weitergabe der
Protokolldatei ○ Manipulation des Wartungsrechners
oder des Servers○ Update von fehlerhafter Software
05.07.11
Stefan Trienen, Philip Weber 13
Bedrohungsanalyse: Werkstatt
Fahrer○ Abhören der Kommunikation
Mobiler Code○ Viren und Trojaner
05.07.11
Stefan Trienen, Philip Weber 14
Bedrohungsanalyse: Werkstatt
Angreifer○ Abhören der Kommunikation ○ Austausch der SW ○ Auslesen der Protokolle ○ Angriff auf Wartungsrechner
05.07.11
Stefan Trienen, Philip Weber 15
Bedrohungsanalyse: Hersteller
Meister○ Angriff über Lücke in der
Authentifizierung
Hersteller○ Fälschung von Protokollen ○ Herausgabe fehlerhafter Software○ Weitergabe vertraulicher Daten
05.07.11
Stefan Trienen, Philip Weber 16
Bedrohungsanalyse: Hersteller
Mobiler Code○ Schadcode
Angreifer○ Manipulation der Software○ Beschaffung und Austausch der
Software auf dem Server○ Angriff auf Update Server
05.07.11
Stefan Trienen, Philip Weber 17
Bedrohungsszenario2.
Lesen der zwischen Auto und Werkstatt übertragenen Daten
2.1Mitschneiden der
übertragenen Daten
2.2Dechiffrieren der
übertragenen Daten
2.2.1Kryptoanalyse
2.2.2Schlüssel-
beschaffung
2.2.2.1Zugriff auf
Diagnose-Bus im Auto
2.2.2.2Zugriff auf
Werkstatt-Rechner
2.2.2.3Zugriff auf
Verfahren der Schlüsselverteilung
Oder-Knoten
Und-Knoten
2.2.2.4Brute-Force
2.2.1.1Ausnutzung von
Schwachstellen der Verschlüsselung
2.1.1Schadcode
2.1.2Paket-Sniffing
2.1.3Man-In-The-Middle-
Angriff
05.07.11
Stefan Trienen, Philip Weber 18
Risikoanalyse2.
Lesen der zwischen Auto und Werkstatt übertragenen Daten
2.1Mitschneiden der
übertragenen Daten
2.2Dechiffrieren der
übertragenen Daten
2.2.1Kryptoanalyse
2.2.2Schlüssel-
beschaffung
2.2.2.1Zugriff auf
Diagnose-Bus im Auto
2.2.2.2Zugriff auf
Werkstatt-Rechner
2.2.2.3Zugriff auf
Verfahren der Schlüsselverteilung
Oder-Knoten
Und-Knoten
2.2.2.4Brute-Force
2.2.1.1Ausnutzung von
Schwachstellen der Verschlüsselung
2.1.1Schadcode
2.1.2Paket-Sniffing
2.1.3Man-In-The-Middle-
Angriff
0.031
0.063
3
5
WahrscheinlichkeitAufwand
WahrscheinlichkeitAufwand
Schaden
0.0843,585
4
0.252
4
4
2
0.125
0.063
0.063
0.031
0.25
2
5
0.25
0.031
3 0.125
5
4
3 0.125
Schaden: 0...5Aufwand: 0...5
05.07.11
Stefan Trienen, Philip Weber 19
Schutzziele &zu schützende Objekte
Hardware
05.07.11
Stefan Trienen, Philip Weber 20
Schutzziele &zu schützende Objekte
Daten
05.07.11
Stefan Trienen, Philip Weber 21
Sicherheitsmaßnahmen
Server auf Werkstattebene entfernenVerschlüsselungAuthentifizierungAutorisierungFirewallVirenscanner
05.07.11
Stefan Trienen, Philip Weber 22
Zugriffsrechte
Statische ZugriffsmatrixWartungsrechne
rProtokoll
Update-Server
Fahrzeug
Meister rx r x rwx
Geselle rx r x rwx
Fahrer - - - rx
Hersteller
- r rwx -
05.07.11
Stefan Trienen, Philip Weber 23
Architekturverbesserung
Wartungsrechner
Update-Server RADIUS-Server Zertifikat-Server
Werkstatt
Hersteller
ControllerController
ControllerSteuergerät
Fahrzeug
05.07.11
Stefan Trienen, Philip Weber 24
Risikoneubewertung2.
Lesen der zwischen Auto und Werkstatt übertragenen Daten
2.1Mitschneiden der
übertragenen Daten
2.2Dechiffrieren der
übertragenen Daten
2.2.1Kryptoanalyse
2.2.2Schlüssel-
beschaffung
2.2.2.1Zugriff auf
Diagnose-Bus im Auto
2.2.2.2Zugriff auf
Werkstatt-Rechner
2.2.2.3Zugriff auf
Verfahren der Schlüsselverteilung
Oder-Knoten
Und-Knoten
2.2.2.4Brute-Force
2.2.1.1Ausnutzung von
Schwachstellen der Verschlüsselung
2.1.1Schadcode
2.1.2Paket-Sniffing
2.1.3Man-In-The-Middle-
Angriff
0.031
0.031
4
5
WahrscheinlichkeitAufwand
WahrscheinlichkeitAufwand
Schaden
0.0424,585
4
0.1253
5
5
3
0.063
0.031
0.031
0.031
0.125
3
5
0.125
0.031
4 0.063
5
5
4 0.063
Schaden: 0...5Aufwand: 0...5
05.07.11
Stefan Trienen, Philip Weber 25
Nachweis der Informationssicherheit
Datensicherheit und –integrität○ Verschlüsselung○ Authentifizierung
Datenschutz○ Rechtemanagement
Technische Sicherheit des Fahrzeugs○ Keine sicherheitskritischen Updates○ Selbsttest nach Update
05.07.11
Stefan Trienen, Philip Weber 26
Nachweis der Informationssicherheit
Verfügbarkeit (Fahrzeug)○ Selbsttest○ Evtl. Update-Rückrollung
Verfügbarkeit (Werkstatt, Hersteller)○ Problem: DoS-Angriff
05.07.11
Stefan Trienen, Philip Weber 27
FazitSicherheitsverbesserung durch
ArchitekturveränderungSicherheitsbetrachtung nicht
vollständig○ Aus Zeitgründen○ Für jede Bedrohung durchzuführen
05.07.11
Vielen Dank für Ihre Aufmerksamkeit