Post on 06-Apr-2015
Entwurf eines sicheren Fernwartsystems fürAutomobilsoftware
Philip WeberStefan Trienen
Einleitung
Akteure
Hersteller
Werkstatt
Geselle
Meister
Auto
Funktionale Anforderungen
Grundlegende Funktionalität:○ Wartungsbedarf erkennen
○ Daten auslesen per Remotezugriff
○ Updates übertragen/installieren
○ Systemtest
Architektur
WartungsserverWartungsrechner
Update-Server
Werkstatt
Hersteller
ControllerController
ControllerSteuergerät
Fahrzeug
Architektur - AutoController
Authentifizierter Zugriff durch Werkstatt
Updates vom Hersteller
Mobile Internetverbindung
Architektur - WerkstattWartungsrechner
○ Durchführung der Wartung○ Authentifizierung am System
Wartungsserver○ Protokolle○ Updates○ Ist eine „Blackbox“ für die Werkstatt○ Muss verbunden sein für eine Wartung
Architektur - HerstellerUpdate-Server
○ Fahrzeugsoftware
Authentifizierung○ Hersteller mit Fahrzeug○ Hersteller mit Werkstatt○ Nötig, um Update durchzuführen
Bedrohungsanalyse
Bedrohungsanalyse:Auto
Meister○ Manipulation der Fahrzeugeinstellungen
- Gefährdet Sicherheit und Verfügbarkeit
○ Weitergabe der Fahrzeugdaten
Fahrer und Mobiler Code○ Hauptsächlich Viren und Trojaner oder
anderer Schadcode
Bedrohungsanalyse:Auto
Angreifer○ „Man in the middle“ Angriff○ Angriff auf das Fahrzeug über
Schnittstelle der Werkstatt○ Auslesen der Fahrzeugdaten○ Manipulation der Fahrzeugdaten○ Schadcode
Bedrohungsanalyse: Werkstatt
Meister○ Manipulation der Software○ Manipulation der Protokolldatei○ Auslesen und Weitergabe der
Protokolldatei ○ Manipulation des Wartungsrechners
oder des Servers○ Update von fehlerhafter Software
Bedrohungsanalyse: Werkstatt
Fahrer○ Abhören der Kommunikation
Mobiler Code○ Viren und Trojaner
Bedrohungsanalyse: Werkstatt
Angreifer○ Abhören der Kommunikation ○ Austausch der SW ○ Auslesen der Protokolle ○ Angriff auf Wartungsrechner
Bedrohungsanalyse: Hersteller
Meister○ Angriff über Lücke in der
Authentifizierung
Hersteller○ Fälschung von Protokollen ○ Herausgabe fehlerhafter Software○ Weitergabe vertraulicher Daten
Bedrohungsanalyse: Hersteller
Mobilder Code○ Schadcode
Angreifer○ Manipulation der Software○ Beschaffung und Austausch der
Software auf dem Server○ Angriff auf Update Server
Bedrohungsszenario2.
Lesen der zwischen Auto und Werkstatt übertragenen Daten
2.1Mitschneiden der
übertragenen Daten
2.2Dechiffrieren der
übertragenen Daten
2.2.1Kryptoanalyse
2.2.2Schlüssel-
beschaffung
2.2.2.1Zugriff auf
Diagnose-Bus im Auto
2.2.2.2Zugriff auf
Werkstatt-Rechner
2.2.2.3Zugriff auf
Verfahren der Schlüsselverteilung
Oder-Knoten
Und-Knoten
2.2.2.4Brute-Force
2.2.1.1Ausnutzung von
Schwachstellen der Verschlüsselung
2.1.1Schadcode
2.1.2Paket-Sniffing
2.1.3Man-In-The-Middle-
Angriff
Risikoanalyse2.
Lesen der zwischen Auto und Werkstatt übertragenen Daten
2.1Mitschneiden der
übertragenen Daten
2.2Dechiffrieren der
übertragenen Daten
2.2.1Kryptoanalyse
2.2.2Schlüssel-
beschaffung
2.2.2.1Zugriff auf
Diagnose-Bus im Auto
2.2.2.2Zugriff auf
Werkstatt-Rechner
2.2.2.3Zugriff auf
Verfahren der Schlüsselverteilung
Oder-Knoten
Und-Knoten
2.2.2.4Brute-Force
2.2.1.1Ausnutzung von
Schwachstellen der Verschlüsselung
2.1.1Schadcode
2.1.2Paket-Sniffing
2.1.3Man-In-The-Middle-
Angriff
0.031
0.063
3
5
WahrscheinlichkeitAufwand
WahrscheinlichkeitAufwand
Schaden
0.0843,585
4
0.252
4
4
2
0.125
0.063
0.063
0.031
0.25
2
5
0.25
0.031
3 0.125
5
4
3 0.125
Schaden: 0...5Aufwand: 0...5
Sicherheitsbetrachtung
Strategie und Modell
Zugriffsrechte
Statische Zugriffsmatrix
Wartungsrechner Protokoll
Update-Server
Fahrzeug
Meister rx r x rwx
Geselle rx r x rwx
Fahrer - - - rx
Hersteller - r rwx -
Architekturverbesserung
Wartungsrechner
Update-Server RADIUS-Server Zertifikat-Server
Werkstatt
Hersteller
ControllerController
ControllerSteuergerät
Fahrzeug
Risikoneubewertung2.
Lesen der zwischen Auto und Werkstatt übertragenen Daten
2.1Mitschneiden der
übertragenen Daten
2.2Dechiffrieren der
übertragenen Daten
2.2.1Kryptoanalyse
2.2.2Schlüssel-
beschaffung
2.2.2.1Zugriff auf
Diagnose-Bus im Auto
2.2.2.2Zugriff auf
Werkstatt-Rechner
2.2.2.3Zugriff auf
Verfahren der Schlüsselverteilung
Oder-Knoten
Und-Knoten
2.2.2.4Brute-Force
2.2.1.1Ausnutzung von
Schwachstellen der Verschlüsselung
2.1.1Schadcode
2.1.2Paket-Sniffing
2.1.3Man-In-The-Middle-
Angriff
0.031
0.031
4
5
WahrscheinlichkeitAufwand
WahrscheinlichkeitAufwand
Schaden
0.0424,585
4
0.1253
5
5
3
0.063
0.031
0.031
0.031
0.125
3
5
0.125
0.031
4 0.063
5
5
4 0.063
Schaden: 0...5Aufwand: 0...5
Nachweis der Informationssicherheit
Fazit