Die Security Guideword Methode (SGM)
Identifikation von Security Bedrohungen in der Safety Analyse
Ein Experiment
Was möchte ich erreichen?
Security Probleme in der Safety Analyse finden
2
Gemeinsames Verständnis
• Safety: Ist die Betriebssicherheit -> Fehler kommt von Innen (z. B. Prozessor fällt aus)
– Schutz der Umgebung vor dem Objekt
– Hier spricht man von Hazard (Gefährdung)
– Im Fahrzeug: Funktionale Sicherheit nach ISO 26262
• Security: Ist die Angriffssicherheit -> Fehler kommt von Außen (z. B. Angreifer löst eine Funktion aus )
– Schutz des Objektes vor der Umgebung
– Hier spricht man von Threat (Bedrohung)
– Im Fahrzeug: Kein Standard vorhanden!
3
Bitte füllt jetzt den Fragenbogen bis Abschnitt II aus.
Die Antworten bleiben natürlich anonym!
6
FUNKTIONALE-SICHERHEIT
Methodik Safety Analyse (HAZOP)
8
3. Situation
classification
2. Instantiate
fault-type
guide words
1. Provide an
item definition
4. Identification
of hazardous
situations
5. Hazard
classification
Context diagram of the
item under analysis
Set of fault-type
guide words
Situation database Hazard analysis
profile
Classification
based on ISO
26262
Beispiel Safety Analyse
9
Elektronisches Lenkradschloss (ESCL)
-> verhindert elektromechanisch, dass das Lenkrad rotiert
werden kann.
R1: Das Lenkrad soll verriegelt werden, wenn der Fahrer
das Fahrzeug sperren möchte (Wegfahrsperre aktivieren).
R2: Das Lenkrad muss entriegelt werden, wenn der Fahrer
fahren möchte (Wegfahrsperre deaktivieren).
[HTTP://WWW.LOCKSMITH.NET/PORTALS/12/CONTENTIMA
GES/STEERING%20WHEEL%20LOCK.JPG]
Schritt 1
10
1. Provide an
item definition
Item diagram with
information flow of the
item under analysis
Verfügbare Informationen:
• Fahrzeuggeschwindigkeit -> V!{Speed}
• Signal für Aktor (schließen/öffnen) -> ESCL!{lock, unlock}
• Zustand des Zündschlosses -> D!{PowerButtonPressed}
Kontext Diagramm
[BECKERS, Kristian ; HEISEL, Maritta ;FRESE, Thomas ; HATEBUR, Denis: Astructured and model-basedhazard analysis and riskassessment method forautomotive systems. In: 2013IEEE 24th InternationalSymposium on Software ReliabilityEngineering (ISSRE), 2013, S. 238–247]
Fkt: Lenkrad verriegeln
Fkt: Lenkrad entriegeln
Schritt 2
11
2. Instantiate fault-
type guidewords
Set of fault-type and
security guidewords Einsatz von Safety Guidewords: no, unintended, early, late, more,
less, inverted, intermittent, after, other than, part of [IEC 61882-2003]
Wenn möglich, die Menge der Safety Guidewords durch
Argumentation reduzieren. Zum Beispiel können die Wörter early,
late und after durch das Wort no ersetzt werden, falls es sich um
eine zeitkritische Funktion handelt.
F-ID Fehler/Störung (Fault)
F 1 Ungewolltes verriegeln (unintended lock)
F 2 Kein verriegeln (no lock)
… …
Schritt 3
12
3. Situation
classification
Situation database
OS-ID Betriebszustände (operational situations)
OS 1 Fahrzeug ist geparkt (0 km/h).
OS 2 Fahrzeug bewegt sich auf einer Autobahn bei Geschwindigkeiten ≥ 100
km/h.
OS 3 Fahrzeug biegt bei erhöhter Geschwindigkeit (≥ 100 km/h) ab.
OS 4 Fahrzeug bewegt sich im Stadtverkehr bei Geschwindigkeiten
≤ 50 km/h.
… …
Auffinden potentieller Betriebszustände die das Fahrzeug erleben
wird. (Verwendung einer Datenbank).
Schritt 4
13
4. Identification of
hazardous situations
Hazard analysis profile
H-ID F-ID OS-ID Gefährliche Situation (Hazardous situation )
H 1 F 1 OS 3 Verlust der Lenkkontrolle während einer Autobahnfahrt
H 2 F 1 OS 4 Verlust der Lenkkontrolle während einer Kurvenfahrt
H 3 F 2 OS 1 Lenkrad ist nicht blockiert wenn das Fahrzeug
abgestellt ist
F-ID Fault
F 1 Ungewolltes Verriegeln
F 2 Kein Verriegeln
… …
Unter Anwendung der lokalisierten Fehler und den
gegebenen Betriebszuständen werden potentiell gefährliche
Situationen identifiziert.
Schritt 5
14
5. Hazard
classification
Classification based
on ISO 26262
H-ID Hazardous situation S E C
H 1 Verlust der Lenkkontrolle während einer
Autobahnfahrt.
3 4 3
H 2 Verlust der Lenkkontrolle während einer
Kurvenfahrt.
3 3 3
H 3 Lenkrad ist nicht blockiert wenn das Fahrzeug
geparkt ist.
Q
M
Q
M
Q
M
Jede gefährliche Situation wird anhand von drei Werten: Schwere der
Situation (S), Auftreten der Betriebssituation (E) und der
Kontrollierbarkeit (C) bewertet. Die drei Werte werden dann zum ASIL
verrechnet.
SECURITY GUIDEWOD METHODE (SGM)
15
Safety guidewords– kein/ nicht (no)
– zu früh (early)
– zu spät (late)
– zu wenig (less)
– invertiert / gegenteilig (inverted)
– sporadisch (intermittent)
– …
Security guidewords– manipulieren (manipulation)
– unterbrechen (disconnection)
– verzögern (delay)
– löschen (deletion)
– stoppen (stopping)
– unterbinden/nicht verfügbar machen (denial)
– auslösen (triggering)
– einfügen (insertion)
– neustarten/zurücksetzen (reset)
– …..
16
Die Security Guidewords
Guidewords basieren auf der Hazard And Operability (HAZOP) Methode, für eine systematische
Identifizierung von Safety (& Security) relevanten Informationen
[IEC 61882-2003, Security assessments
of safety critical systems using HAZOPs]
Anwendung der Security Guidewords
Bremssystem (EBS)
Abstandshaltesystem (ACC)
17
Fehlerkann ausgelöst
werden durch
der Funktion oder
dem Signal
für die
Komponente
auf dem Bussystem bzw. an
der Komponente
Brems-
anforderungEBS
Ungewolltes
bremsenmanipulieren CAN
EBS
CAN
Aktor
ACC
Anwendung der Security Guidewords
18
Fehlerkann ausgelöst
werden durch
der Funktion oder
dem Signal
für die
Komponente
auf dem Bussystem bzw.
an der Komponente
Ungewolltes Bremsen manipulieren Bremsanforderung EBS CAN
Ungewolltes Bremsen …. …. …. ….
Hazards die gefunden
wurden
Abgeleitete
Bedrohungen
(Threat)
Optionale Informationen
über Eintrittspunkte
EINGLIEDERUNG DER METHODIK IN DIE
ISO 26262
19
Methodik für Safety und Security Analyse
20
3. Situation
classification
2. Instantiate
fault-type
guidewords
1. Provide an
item definition
4. Identification
of hazardous
situations
5. Instantiate
security
guidewords and
identify threats
6. Hazard
classification
7. Threat
classification
using severity
values of
related hazards
Context diagram
with data flow of the
item under analysis
Set of fault-type
guidewords
Situation database
(normal and
diagnostic situations)
Hazard analysis
profile
Threat analysis
template
Classification
based on ISO
26262
Risk assessment
template for
found threats
Beispiel
21
Elektronisches Lenkradschloss (ESCL)
-> verhindert elektromechanisch, dass das Lenkrad rotiert
werden kann.
R1: Das Lenkrad soll verriegelt werden, wenn der Fahrer
das Fahrzeug sperren möchte (Wegfahrsperre aktivieren).
R2: Das Lenkrad muss entriegelt werden, wenn der Fahrer
fahren möchte (Wegfahrsperre deaktivieren).
[HTTP://WWW.LOCKSMITH.NET/PORTALS/12/CONTENTIMA
GES/STEERING%20WHEEL%20LOCK.JPG]
Schritt 5
22
5. Instantiate
security guide words
and identify threats
Threat analysis template
Manipulieren, unterbrechen, verzögern, löschen, stoppen, nicht-
verfügbar machen, auslösen, einfügen, neustarten/zurücksetztenbasieren auf [Winther.2001]
Für jeden Fehler werden die Security Guidewords angewendet. Unter Verwendung
der Informationen des Kontext Diagrammes.
T-ID F-ID Beschreibung der Bedrohung (Threat description)
T 1 F 1 Ungewolltes Verriegeln durch Auslösen der Funktion Verriegeln des
LockActuator
T 2 F 1 …
T 3 F 1 …
T 4 F 1 …
Schritt 6
23
6. Hazard
classification
Classification based
on ISO 26262
H-ID Hazardous situation S E C
H 1 Verlust der Lenkkontrolle während einer
Autobahnfahrt.
3 4 3
H 2 Verlust der Lenkkontrolle während einer
Kurvenfahrt.
3 3 3
H 3 Lenkrad ist nicht blockiert wenn das Fahrzeug
geparkt ist.
Q
M
Q
M
Q
M
Jede gefährliche Situation wird anhand von drei Werten: Schwere (S),
Auftreten der Betriebssituation (E) und der Kontrollierbarkeit (C)
bewertet. Die drei Werte werden dann zum ASIL verrechnet.
Schritt 7
24
7. Threat classification
using severity values of
related hazards
Risk assessment template
for found threatsÜbernahme des Wertes Schweregrad (S)
• Maximalwert aller zugehörigen Hazardous Situations -> Annahme
Angriff wird stets in der gefährlichsten Betriebssituation ausgelöst
T-ID F-ID S Beschreibung der Bedrohung (Threat description)
T 1 F 1 3Ungewolltes verriegeln durch Auslösen der Funktion
Verriegeln des ESCL
T 2 F 1 …
T 3 F 1 …
T 4 F 1 …
EXPERIMENT
25
Eure Aufgabe
26
Bedrohungsanalyse für das elektronisches Lenkradschloss (ESCL)…..
-> verhindert elektromechanisch dass das Lenkrad rotiert
werden kann.
R1: Das Lenkrad soll verriegelt werden, wenn der Fahrer
das Fahrzeug sperren möchte (Wegfahrsperre aktivieren).
R2: Das Lenkrad muss entriegelt werden, wenn der Fahrer
fahren möchte (Wegfahrsperre deaktivieren)..
[HTTP://WWW.LOCKSMITH.NET/PORTALS/12/CONTENTIMA
GES/STEERING%20WHEEL%20LOCK.JPG]
Arbeitsblatt
27
Threat-ID Fehler-IDkann entstehen
durch (SG)Signal/Funktion
für die Komponente/
auf der Komponente
an der
Schnittstelle
0 1 manipulieren ESCL!{lock} LockActuator CAN 2
Fehler: 1 = Ungewolltes Verriegeln; 2 = Kein Verriegeln
Security Guidewords: Manipulieren, unterbrechen, verzögern, löschen, stoppen, nicht verfügbar machen, auslösen, einfügen,
zurücksetzen.
System zur Analyse
28
Verfügbare Informationen:
• Fahrzeuggeschwindigkeit -> V!{Speed}
• Signal für Aktor (schließen/öffnen) -> ESCL!{lock, unlock}
• Zustand des Zündschlosses -> D!{PowerButtonPressed}
Kontext Diagramm
CAN 1
CAN 3
CAN 2
Anschließende Schritte
29
8. Security in depth analysis
of vehicle’s network
(Sub-) Architecture of the
related vehicle
Im Anschluss übernimmt das Security Team dankend eure
gefundenen Bedrohungen und startet eine Analyse des
Fahrzeugnetzes um Angriffspfade zu finden.
T 2
T 1,4 T 3
T 2.1
Information
PowerButtonPressed is
converted to information
EngineOn/EngineOff
?
??
Security in-depth analysis
Diskussion
Gibt es Fragen bzw. was kann ich besser
machen?
31
Herzlichen Dank für Eure Zeit!
Ihr seid nun ein Teil meiner Forschung!!!!
Schritt 7
32
7. Threat classification
using severity values of
related hazards
Risk assessment template for
found threats T1
T2
T3
F1
H1
H2
H3
Ungewolltes verriegeln
Severity
Top Related