Ausprägungsformen automotiver Malware

Die durch Forschungsfrage 2a adressierte und im Folgenden beschriebene Herausarbeitung wesentlicher Ausprägungsformen automotiver Malware stellt eine wichtige Voraussetzung für zielgerichtete Forschung im weiteren Verlauf dieser Arbeit dar. Wie es bereits im Einlei-tungskapitel 1.1 (u.a. anhand eines Zitats der Malwareforscher Ed Skoudis und Lenny Zeltser) begründet wurde, sind Erkenntnisse über charakteristische Unterschiede und Funk-tionsweisen verschiedener Ausprägungsformen von Malware eine wichtige Voraussetzung für die Gestaltung und Anwendung geeigneter Gegenmaßnahmen.

Ausgehend von den Ergebnissen des Praxisreviews (Kapitel 3) können zur Herausarbeitung unterscheidbarer Ausprägungsformen automotiver Malware verschiedene grundsätzliche Herangehensweisen identifiziert werden:

Beispielsweise könnte die Unterteilung automotiver Malware ausgehend von den bereits in der Desktop-IT etablierten Ausprägungsformen (wie Viren, Würmer, Rootkits, Trojanische Pferde etc., vgl. Abschnitt 2.3) erfolgen. Aus den Ergebnissen des Praxisreviews in Kapitel 3 wird jedoch noch nicht klar, ob und welche dieser im Desktop-IT-Bereich historisch gewach-senen Malwaretrends sich im automotiven Bereich in vergleichbarer Form und Umfang wie-derholen werden. Das Übernehmen einer entsprechenden Einteilung könnte angesichts des noch begrenzten Umfangs der derzeit verschaffbaren Einblicke in das Problemfeld verfrüht sein. Ausreichend belastbare Abschätzungen zur potentiellen Wiederholung entsprechender Malwaretrends im automotiven Bereich erscheinen dem Autor derzeit noch unangebracht.

Für die Betrachtungsweise grundlegender automotiver Malwareausprägungen wird daher in dieser Arbeit ein alternativer Ansatz gewählt. Anstatt kennzeichnende Eigenschaften von Malware aus der Motivation des Angreifers und aus der ihm gebotenen Malware-Funktionalität abzuleiten, wird an dieser Stelle primär der verfolgte Grundansatz zu dessen Positionierung und technischen Interaktion mit dem automotiven System in den Vordergrund gestellt. Unter Einbeziehung der besonderen Gegebenheiten automotiver IT-Systeme und des im Praxisreview (Kapitel 3) ermittelten Spektrums typischer IT-basierter Eingriffe in die-sem Bereich werden drei Ausprägungsformen beobachtbarer automotiver Malware definiert:

Malicious automotive Software (MAS)

Unerwünschte Logik in Form unautorisierter Software wird in bestehende Komponenten des automotiven Gesamtsystems eingebracht. Dadurch kann sie bei derzeit verbreiteten Sys-temarchitekturen i.d.R. äquivalent zur Originalsoftware auf lokale Betriebsdaten sowie ange-bundene Ressourcen (Sensorik, Aktorik und Kommunikationsschnittstellen) zugreifen.

Abbildung 33 illustriert die typische Positionierung von MAS (schwarz hinterlegter Code-block) auf einem bestehenden Steuergerät und typische Elemente in seinem Wirkungsradius (dunkle Blockpfeile) wie z.B. die Konfiguration des betroffenen Geräts sowie lokal angebun-dene Sensoren/Aktoren oder digitale Bussysteme (Legende siehe Abbildung 11).

11001001 1100

1100 1001 1001

OBD

Abbildung 33: Malicious automotive Software / MAS (exemplarisches Schema) Malicious automotive Hardware (MAH)

Unerwünschte Logik wird in Form unautorisierter Hardware als neue Komponente in das Gesamtsystem eingebracht. In den ermittelten Beispielen des Praxisreviews erfolgt diese fahrzeuginterne Positionierung zumeist an bestehenden analogen oder digitalen Kommuni-kationsleitungen, wodurch sie in der Folge mit bestehenden Hard- und Softwarekomponen-ten interagieren kann.

So kann als eine sehr einfache Form entsprechender unerwünschter Logik bereits das Er-setzen eines (analog angebundenen) Sensors durch einen Festwiderstand angesehen wer-den, wobei ein dynamischer Eingabewert durch einen konstanten Falschwert ersetzt wird (Position A in Abbildung 34).

Hardware mit komplexerer Schadlogik, die i.d.R. in Form von Software auf der einzubringen-den MAH-Komponente hinterlegt ist, wird hingegen in einzubringen-den Review-Ergebnissen zumeist an den automotiven digitalen Bussystemen platziert. Relevante Beispiele umfassen die einfache Anbindung als zusätzlichen Teilnehmer (Position B in Abbildung 34) sowie das Einnehmen einer Man-in-the-Middle-Position (Position C), was je nach Bussystemtechnologie das Zwi-schenschalten in eine hierzu physisch aufzutrennende Leitung erfordern kann. Die in beiden Fällen verschaffbaren Interaktionsmöglichkeiten bzw. realisierbaren Basisangriffe unter-scheiden sich hierbei in der Regel, was in Abschnitt 4.1.5 weiter ausgeführt wird.

Abbildung 34 illustriert die o.g. Beispiele typischer Positionierungen von MAH (schwarz hin-terlegte Elemente) und deren Wirkungsmöglichkeiten (dunkle Blockpfeile) im automotiven Gesamtsystem (Legende siehe Abbildung 11).

OBD 11001001 1100

1001 1100

1001

1100

1001 1100

B) C)

A)

Abbildung 34: Malicious automotive Hardware / MAH (exemplarisches Schema) Malicious automotive Peripherals (MAP)

Diese Ausprägungsform umfasst alle Eingriffe, bei der die Schadlogik ausschließlich von Positionen außerhalb des Fahrzeugs aus aktiv wird. Sie kommt daher ohne explizite Ände-rungen an der Hard- und Software des Fahrzeuges aus und spiegelt sich stattdessen aus-schließlich in unautorisiert herbeigeführten Interaktionen mit dem Fahrzeugdatenstand (Be-triebs- und Konfigurationsdaten etc.) wider.

Im Gegensatz zu MAS und MAH, die für ihre schadhaften Aktivitäten beliebige und zumeist fahrzeuginternen Schnittstellen missbrauchen, erfolgen entsprechende unautorisierte Eingrif-fe durch MAP i.d.R. durch die missbräuchliche Nutzung fahrzeugexterner Schnittstellen, d.h.

vorhandener Schnittstellen nach außen. Primär relevant sind hierbei diverse Formen herstel-lerseitig vorgesehener, digitaler Schnittstellen, die kontaktgebunden oder drahtlos zugreifbar sind. Abbildung 35 zeigt einen solchen Zugriffspunkt unter „1.)“ exemplarisch am Beispiel der OBD-Schnittstelle. Zudem kommen grundsätzlich auch analoge Schnittstellen infrage. Bei-spiele hierfür sind (teils analog umgesetzte) drahtlos angebundene Sensorik sowie Eingaben über manuelle Bedienelemente (z.B. Tastenkombinationen).

Vertreter der Ausprägungsform MAP sind z.T. spezialisierte Werkzeuge, die zielgerichtet zur Umsetzung einer bestimmten unerwünschten bzw. schadhaften Wirkung entwickelt werden.

Zu verbreiteten Beispielen hierfür zählen viele externe Lösungen für logische Eingriffe in Fahrzeug-IT, die als eigenständige tragbare Geräte oder PC-Programme z.B. für Kilometer-standsmanipulation (Abschnitt 3.1.3) oder Kennfeldoptimierungen im Tuning-Bereich (Ab-schnitt 3.1.2) verfügbar sind. Auch das in [RMM+10] genutzte Setup zum Senden gefälschter Reifendruckwerte über funkbasierte Protokolle stellt solch ein spezialisiertes Werkzeug dar.

Auch bestehende automotive Werkzeuge können bei gegebenen Möglichkeiten einer miss-bräuchlichen Benutzung der Malwareausprägung MAP zugeordnet werden, was z.B. auf den Einsatz von Wartungs- und Diagnoseanwendungen zur Konfiguration von TV-in-Motion (Re-cherchebeispiel R_5.6) zutrifft¹⁶. Zudem könnte auch Malware, die ohne Kenntnis der Service-Techniker auf ein Service-/Wartungs-System eindringt, ungewünschte Interaktionen mit dem

16 Diese Werkzeuge können zwar teils auch Softwareupdates vornehmen, das Einschleusen einer für denselben Zweck manipulierten Betriebssoftware wäre jedoch der Kategorie MAS zuzuordnen.

Fahrzeug aufnehmen – entweder indem sie selbst die betreffenden Schnittstellen ansteuert oder dazu vorhandene Originalanwendungen bzw. deren Kommunikation manipuliert.

Wie in Abbildung 35 illustriert, kann externe unerwünschte Logik der Ausprägung MAP zu-sammenfassend auch ohne Manipulation fahrzeuginterner Hard- und Software Schadwir-kungen bzgl. der Fahrzeug-IT und -Daten erzielen (Legende siehe Abbildung 11). Beispiels-weise kann von Position 1 aus eine außerhalb des Fahrzeugs positionierte MAP-Malware (schwarz hinterlegter Codeblock) durch ausschließliche Änderung des Fahrzeug-Datenstan-des (schwarz hinterlegtes Konfigurationssymbol) Funktionsänderungen von Fahrzeugsyste-men erzielen, die intern indirekt über die unveränderte Originalsoftware der betroffenen Steuergeräte (weiß hinterlegter Codeblock an Position 2) in Kraft treten.

11001001 1100

1001

11001001

2)

1)

OBD 11001001

Abbildung 35: Malicious automotive Peripherals / MAP (exemplarisches Schema) Resümee der definierten Malwareausprägungen und ihrer Abgrenzung

In Bezug auf die Forschungsfrage 2 bzw. 2a wurden somit aufbauend auf Erkenntnissen aus dem Praxisreview drei grundlegende Ausprägungsformen automotiver Malware identifiziert.

Diese Einteilung erlaubt die Einordnung diverser beobachteter Beispiele und Formen von Schadlogik, die bei den vorgestellten automotiven Angriffsszenarien zum Einsatz kommen.

Gegenüber dem verbreiteten Verständnis von Malware als rein softwaretechnisch umgesetz-te, üblicherweise auf dem Zielsystem aktive Schadfunktionalität wird damit für diese Arbeit ein erweiterter Definitionsrahmen für den Kontext automotiver IT geschaffen. Er deckt unter-schiedlich positionierte und agierende Formen von Malware ab, welche als gemeinsame Ei-genschaft das durch eingebettete IT gesteuerte automotive Gesamtsystem und seine Teil-funktionen unautorisiert beeinflussen – was sowohl direkte Interaktionen (durch logisch ein-geschleuste oder physisch angebundene Schadlogik) als auch die indirekte Beeinflussung (durch Interaktionen externer Schadlogik) des automotiven Systems umfasst.

Entgegen einer an Grundzügen der Malwarefunktionalität (s.o.) orientierten Betrachtung von Ausprägungsformen hat die hier vorgenommene Unterteilung den Vorteil, auch angesichts zukünftig hinzukommender Exemplare erschöpfend zu sein: Auch sämtliche zukünftig hinzu-kommende Malwareexemplare – ggf. heute noch unbekannter Funktionsweise – wird man hinsichtlich dieser Unterteilung in die vorgestellten automotiven Malwareausprägungen ein-ordnen können. Dies gilt unter der Annahme, dass sich für jedes Exemplar eindeutig feststel-len lässt, ob der Malwarebefall mit Änderungen an der Hard- oder der Software des Fahr-zeugs einhergeht. MAH deckt somit sämtliche Fälle ab, in denen die unerwünschte Logik als unautorisierte Hardware (inkl. darauf vorhandener Software) in das Fahrzeug gelangt, wäh-rend dies bei MAS ausschließlich in Form unautorisierter Software (ohne Änderungen an der Hardware) erfolgt. Alle restlichen Fälle, in denen Schutzziele der Fahrzeug-IT auch ohne die beiden vorgenannten Optionen verletzt werden (z.B. durch Manipulation von Eingabe- oder Konfigurationsdaten seitens fahrzeugexterner Hard-/Software) sind automatisch der Ausprä-gung MAP zuzuordnen.

Bei einem für Angriffe auf automotive IT tauglichen bzw. eingesetzten Werkzeug (nach der CERT-Taxonomie, Abschnitt 2.1.8) ist es folglich für eine grundsätzliche Einstufung als automotive Malware nicht entscheidend, ob die ihm zuzuordnende, eigentliche Schadlogik innerhalb (wie es beim Malwareverständnis der Desktop-IT verbreitet ist) oder außerhalb des Zielsystems aktiv wird. Gemeinsam kennzeichnende Eigenschaft der vorgestellten Malware-ausprägungen ist vielmehr, dass die Schadlogik durch Einbeziehung automotiver IT-Systeme und ihrer Schnittstellen in der Lage ist, relevante schadhafte Resultate (Abschnitt 4.1.3) her-vorzurufen. Dies wird in Form einer Übersicht zudem in Tabelle 7 illustriert.

Position der

Schadlogik Angegriffene

Schnittstellen Schadhafte Resultate bezogen auf…

MAH Innerhalb des Fahrzeugs (Fzg-)interne Schnittstellen Fahrzeug-IT und -Daten MAS Innerhalb des Fahrzeugs (ECU-)interne Schnittstellen Fahrzeug-IT und -Daten MAP Außerhalb des Fahrzeugs Schnittstellen nach außen Fahrzeug-IT und -Daten Tabelle 7: Übersicht der Malwareausprägungen bzgl. Positionierung und Auswirkungen Trotz der erschöpfenden Unterteilung der eingeführten Ausprägungsformen kann sich die Zuordnung konkreter automotiver Malwareexemplare auf eine dieser Ausprägungsformen im Einzelfall unscharf gestalten. Insbesondere bei komplexeren Eingriffen können Angreifer au-tomotive Malwarekomponenten mehrerer Ausprägungen gleichzeitig bzw. in Kombination einsetzen – beispielsweise wenn einerseits Schadlogik über hinzugefügte Hardware einge-bracht wird (MAH), von der aus im Anschluss andererseits eine Umkonfiguration weiterer, bestehender Komponenten vorgenommen (MAP) oder dort direkt Schadsoftware einge-bracht wird (MAS). In solchen Fällen weisen die entsprechenden Werkzeuge Charakteristi-ken mehrerer Malwareausprägungen auf, so dass zur Prävention, Detektion und Reaktion solcher Vorkommnisse in diesen Fällen eine breitere Auswahl der in den Kapiteln 5 und 6 vorgestellten Maßnahmen und Strategien relevant sein kann.

Einige weitere Formen unautorisierter Interaktionen mit automotiven (IT-)Systemen und Elek-tronik werden in dieser Arbeit nicht explizit betrachtet, d.h. liegen außerhalb des vorgestellten Definitionsrahmens für automotive Malware. Solche Beispiele, die sich keiner Ausprägungs-form automotiver Malware explizit zuzurechnen lassen, können z.B. vorliegen, wenn bei ei-nem entsprechenden Vorfall keine konkrete Form unerwünschter Logik zum Einsatz kommt.

Dies beginnt mit rein destruktiven Eingriffen wie z.B. der physischen Beschädigung von Sys-temkomponenten, dem destruktiven Durchtrennen beliebiger (Kommunikations-)Leitungen oder dem dauerhaften Entfernen von Komponenten, z.B. aus Diebstahlsabsicht. Auch ein vorübergehendes Entfernen von Komponenten kann darunter fallen, sofern daran zwischen-zeitlich keine effektiven Änderungen / Manipulationen vorgenommen werden. Als ein Beispiel hierfür kann das Entnehmen eines Steuergeräts zu Zwecken des Reverse-Engineerings (Auslesen von Flash-Speicherbausteinen, passives Auswerten von Seitenkanälen etc.) auf-gefasst werden, was ggf. als vorbereitender Akt für anderweitige (z.B. über automotive Mal-ware realisierte) Angriffe dient, die erst zu einem späteren Zeitpunkt und ggf. auf andere Fahrzeuge erfolgen.