Einordnung der Reviewergebnisse in den Definitionsrahmen

In diesem Abschnitt werden die in Kapitel 3 allgemein vorgestellten Reviewergebnisse ent-lang der im vorigen Abschnitt 4.1 vorgestellten Definition für automotive Malware eingeordnet.

Dazu werden sie den vorliegenden Malwareausprägungen und den jeweils primär relevanten Angreifertypen zugeordnet sowie die schadhaften Resultate zusammengefasst und diskutiert.

4.2.1 Aufschlüsselung nach automotiven Malwareausprägungen

Tabelle 11 liefert eine Abbildung der in Kapitel 3 vorgestellten Review-Szenarien auf die ein-geführten automotiven Malwareausprägungen. Parallel zum Aufbau des Reviewkapitels glie-dert sich die Auflistung nach den zugehörigen Umsetzungsstrategien aus den recherchierten Praxisbelegen (R_x) sowie den praktischen Laboruntersuchungen (L_x). Eine kompakte Über-sicht über die einzelnen, über die Kürzel R_x und L_x adressierten Reviewergebnisse aus Kapi-tel 3 kann Anhang A entnommen werden.

Folgende Beobachtung ist eine der möglichen Erkenntnisse aus den getroffenen Zuordnun-gen in Tabelle 11: In den recherchierten Praxisfällen ist eingesetzte schadhafte Logik in den meisten Fällen außerhalb des Fahrzeugs positioniert (Ausprägungsform MAP). So wird z.B.

in vielen Fällen eine Verbindung mit fahrzeuginternen Manipulationszielen mittels verschie-dener (Diagnose-)Produkte über die OBD-Schnittstelle hergestellt. Während auch dem phy-sischen Einbau unautorisierter IT-Komponenten in der Praxis eine praktische Bedeutung zukommt (Ausprägungsform MAH), so ist das Einspielen unautorisierter Software (Ausprä-gungsform MAS) in den beobachteten Praxisfällen noch vergleichsweise selten beobachtbar.

Teil 1: Recherchierte Praxisbelege MAH MAS MAP

Motor: Leistungs- und Ecotuning

R1.1 x

R1.2 x

R1.3 x

Denial of Service (DoS) R1.4 x x

Wegstreckenzähler:

Kilometerstandsmanipulation

R2.1 x

R2.2 x

R2.3 x

Schließsystem:

Unautorisierter Zugang zum Fahrzeug

R3.1 x

R3.2 x

R3.3 x

R3.4 x

Airbagsystem:

Unterdrücken von Airbag- und Gurtwarnungen

R4.1 x R4.2 x

R4.3 x

R4.4 x

Infotainment:

Unautorisierte Updates

(Ressourcen wie z.B. Karten, POI, Bootsceens…)

R5.1 x

R_5.2 x

R5.3 x

Kombiinstrument beschreiben R5.4 x

R5.5 x

TV in Motion

R5.6 x

R5.7 x

R5.8 x Teil 2: Praktische Laboruntersuchungen:

Fensterheber:

Unautorisierte Beeinflussung L1.1 x

L1.2 x Warnblinkanlage: Unterdrücken der Auslösung L2 x Airbagsystem

Vortäuschen korrekter Funktionalität L3.1 x

L3.2 x

L3.3 x Gateway:

Aufheben der Isolation (lesen/schreiben) L4.1 x

L4.2 x

Navigation: Manipulation der Betriebssoftware L5 x Car-to-X:

Simulation von C2X-Angriffsszenarien

L_6.1 x

L6.2 x

Tabelle 11: Zuordnung der Review-Szenarien zu den Ausprägungsformen automotiver Malware 4.2.2 Zuordnung zum Angreiferspektrum

Tabelle 12 zeigt eine Zuordnung der Reviewergebnisse auf das Angreiferspektrum der CERT-Taxonomie (Abschnitt 2.1.8) mit den vorgenommenen Erweiterungen (Abschnitt 4.1.2).

Eine kompakte Übersicht über die einzelnen, über die Kürzel R_x und L_x adressierten Review-ergebnisse aus Kapitel 3 kann Anhang A entnommen werden.

Folgender Hinweis gilt hierbei für die akademisch untersuchten Szenarien, d.h. für sämtliche eigenen Laboruntersuchungen (L_x) sowie die entsprechenden Rechercheergebnisse (R_x):

Während diese Szenarien zunächst primär der Kategorie Security Evaluation zuzuordnen sind, erfolgten gleichzeitig Zuordnungen zu einzelnen weiteren potentiell relevanten Angrei-fertypen, sofern die untersuchten Techniken und Strategien in der Praxis auch für deren typi-sche Motivationen nutzbar wären.

Teil 1: Recherchierte Praxisbelege

Hacker Spione Terroristen Beauftr. Angest. Prof. Kriminelle Vandalen Voyeure Besitzer / Fahrer Dienstleister Security-Experten

Motor: Leistungs- und Ecotuning

R1.1 x

R1.2 x

R1.3 x

Denial of Service (DoS) R1.4 x x

Wegstreckenzähler:

Kilometerstandsmanipulation

R2.1 x

R2.2 x

R2.3 x

Schließsystem:

Unautorisierter Zugang zum Fahrzeug

R3.1 x

R3.2 x

R3.3 x x

R_3.4 x x

Airbagsystem:

Unterdrücken von Airbag- und Gurtwarnungen

R4.1 x

R4.2 x

R4.3 x

R4.4 x

Infotainment:

Unautorisierte Updates

(Ressourcen wie z.B. Karten, POI, Bootsceens…)

R_5.1 x

R5.2 x

R5.3 x x

Kombiinstrument beschreiben R5.4 x

R5.5 x x

TV in Motion

R5.6 x

R5.7 x

R5.8 x x

Teil 2: Praktische Laboruntersuchungen:

Fensterheber:

Unautorisierte Beeinflussung L1.1 x x

L1.2 x x

Warnblinkanlage: Unterdrücken der Auslösung L2 x x

Airbagsystem:

Vortäuschen korrekter Funktionalität L3.1 x

L_3.2 x x

L3.3 x x x

Gateway:

Aufheben der Isolation (lesen/schreiben) L4.1 x x x

L4.2 x x

Navigation: Manipulation der Betriebssoftware L5 x x Car-to-X:

Simulation von C2X-Angriffsszenarien L6.1 x x

L6.2 x x

Tabelle 12: Zuordnung der Review-Szenarien zu den Angreiferkategorien

Die Zuordnungen in Tabelle 12 stützen u.a. folgende wesentliche Erkenntnis: Die erlangten Praxiseinblicke deuten darauf hin, dass stark destruktiv motivierten Angriffen in der Praxis noch keine erkennbare Bedeutung zukommt. So wurde z.B. keiner der recherchierten Praxis-fälle den Angreifertypen Hacker, Terroristen, Spione oder Vandalen zugeordnet. Die ent-sprechend eingeordneten akademischen Untersuchungen, die im Kontext dieser Arbeit so-wie von weiteren Forschern durchgeführt wurden, deuten jedoch darauf hin, dass automotive IT-Systeme durchaus diesbezügliche Angriffsfläche bieten können.

Hingegen ist elektronischen Eingriffen, die seitens der Fahrzeugnutzer selbst (ggf. auch über beauftragte Dienstleister) erfolgen, derzeit eine hervorstechende Bedeutung zuzumessen.

4.2.3 Einordnung als Funktions- oder Strukturwirkungen auftretender schadhafter Resultate Ziel des Abschnitts ist es, zu den in den Abschnitten 3.1.x und 3.2.x allgemein vorgestellten Review-Szenarien (Recherche- und Laborbeispiele) eine Zuordnung jeweils relevanter schadhafter Resultate vorzunehmen. Hierzu werden diverse Beispiele entsprechender Fol-gen zusammengetraFol-gen, die als Einzelnachweise im Rahmen der Reviews beobachtet oder recherchiert wurden sowie darüber hinaus vorstellbar sind. Ergebnis ist ein erster breiterer Überblick über das Spektrum von Folgen unautorisierter Eingriffe in automotive IT.

Wie in den Abschnitten 4.1.3 und 4.1.4 vorgestellt, können schadhafte Resultate in Form verletzter Interessen der betrachteten Interessengruppen dargestellt werden, die z.B. die Security, die Safety oder den Komfort einschränken und als Funktions- oder auch Struktur-wirkungen des automotiven Malwarevorfalls auftreten.

Schadhafte Resultate an einem Praxisbeispiel zu R_5.8

Ein exemplarischer Praxisbeleg zu Funktions- und Strukturwirkungen automotiver Malware, der an dieser Stelle vertiefend vorgestellt wird, wurde für die eigene Studie [DHKT11] (vgl.

Abschnitt 3.1) im Gespräch mit einem Mitarbeiter eines großen Automobilherstellers ermittelt.

Im berichteten Fall hatte der Besitzer eines Oberklassefahrzeugs bei einem Tuning-Anbieter eine TV-in-Motion-Freischaltung (R_5.8) beauftragt. Dieser setzte eine Bus-Filterbox ein, wel-che das Geschwindigkeitssignal auf Null setzt und so das Fernsehen auch während der Fahrt ermöglichte. Mangels einer für das Oberklasse-Model bestimmten Lösung verwendete er jedoch eine CAN-Filterbox für Mittelklassefahrzeuge desselben Herstellers. Dies war zwar aufgrund der übereinstimmenden Nachrichtensyntax funktional, jedoch konnte die Filterbox nicht wie vorgesehen direkt vor dem betreffenden Steuergerät platziert werden, da dieses im vorliegenden Oberklassemodell in einen glasfaserbasierten MOST-Ring (Abschnitt 2.4.2) eingebunden ist. Stattdessen platzierte der Tuner die Filterbox zwischen dem (CAN-basierten) Antriebsstrang-Netzwerk und dem zentralen Gateway-Steuergerät.

Einige Zeit später reklamierte der Besitzer bei einer Vertragswerkstatt, dass das Fahrzeug insbesondere bei schneller Fahrt kaum noch kontrollierbar wäre, da offenbar die Lenkung viel zu leichtgängig war. Über die elektronische Diagnose konnte in dem Oberklassefahrzeug durch die Vertragswerkstatt keine Fehlerursache ermittelt werden, weshalb es in der Folge beim Hersteller intensiv untersucht wurde. Erst hierbei wurde die vor den Gateway geschal-tete CAN-Filterbox entdeckt, die von den Experten anschließend auf ihre Funktion untersucht und als Ursache des Fehlverhaltens festgestellt wurde.

Durch die Platzierung vor dem Gateway war die aktuelle Geschwindigkeit für sämtliche Steuergeräte außerhalb des Antriebsstrang-Netzwerks nur noch mit dem Wert 0 km/h sicht-bar, was die zu hohe Lenkunterstützung bei schneller Fahrt erklärte.

Als weitere Strukturwirkungen des Eingriffs hätten laut des Interviewpartners auch noch weitaus kritischere Gefahren auftreten können: Wäre der Start-Stop-Knopf des Fahrzeugs versehendlich während der Fahrt betätigt worden, wäre aufgrund der Falschinformation nicht nur der Motor ausgegangen, sondern zudem das Lenkradschloss eingerastet.

Eine Übersicht über diese sowie potentielle weitere schadhafte Resultate zum Recherche-beispiel R_5.8 liefert Tabelle 13.

Schadhafte Resultate der weiteren Review-Szenarien

Für einen erweiterten Überblick über das Spektrum möglicher Folgen werden entsprechend in Tabelle 14 und Tabelle 15 auch die weiteren Review-Szenarien aus Kapitel 3 kompakt bezüglich bekannter sowie potentiell zu erwartender Folgen eingeordnet. Die Interessen-gruppen sind in Tabelle 15 über die Kürzel H (Fahrzeughersteller), N (Nutzer/Betreiber) und G (Gesetzgeber) gekennzeichnet: Eine Übersicht über die (über die Kürzel R_x und L_x adres-sierten) Reviewergebnisse kann Anhang A entnommen werden.

Die in Tabelle 13 bis Tabelle 15 beispielhaft aufgeführten Beispiele potentieller Folgen ent-sprechender Szenarien sowie das ergänzend gelieferte Praxisbeispiel verdeutlichen hierbei folgende Erkenntnisse: Grundsätzlich können Folgen sowohl für die Security als auch den Komfort und die Safety als schadhaftes Resultat von (z.B. malwarebasierten) automotiven Angriffen auftreten. Gleichzeitig zeigen der ausgeführte TV-in-Motion-Fall sowie die weiteren betrachteten Szenarien, dass nicht zwangsläufig alle auftretenden Folgen durch den

Angrei-fer beabsichtigt sein müssen: schadhafte Resultate können in verschiedenen Bereichen so-wohl als Funktions- als auch als Strukturwirkung eines Angriffs auftreten.

Geschädigte Interessen-

gruppe Verletztes Interesse

Funktions- / Strukturwirkung

Bereich:

Security Safety Komfort

R5.8

Fahrzeughersteller Aus Safetygründen vorgesehene Sperre der

TV-Nutzung während der Fahrt wirkungslos F X Fahrzeughersteller Integrität von Busnachrichten verletzt

(manipulierter Geschwindigkeitswert) F X

Nutzer / Betreiber Gewohnte Nutzung/Genauigkeit der Navigation

durch Falschinformation „stehendes Fzg.“ gestört S X Nutzer / Betreiber Geschwindigkeitsadaptive Lautstärkeregulierung

der Audioanlage funktionslos S X

Nutzer / Betreiber Gefahr ablenkungsbedingter Unfälle durch

erhöh-ten Bedienaufwand der gestörerhöh-ten Geräte (s.o.) S X Nutzer / Betreiber Gewohnter Lenkkomfort bei mittlerer

Geschwindigkeit gestört S X X

Nutzer / Betreiber Fahrzeugkontrolle bei hohem Tempo durch

maximale Lenkunterstützung gefährdet S X Nutzer / Betreiber Fahrzeugkontrolle ggf. unmöglich bei

versehentli-cher Motorabschaltung und Lenkradblockade S X Tabelle 13. Zuordnung schadhafter Resultate für Beispielszenario zu R5.8

Geschädigte Interessengr. Verletztes Interesse

Funktions- / Strukturwirkung

Bereich:

Security Safety Komfort

R1.x

H Authentizität eingefügter Zusatzkomponenten nicht gegeben (z.B. ersetzter Sensor) F X H Integrität verfälschter Eingangs- und Konfigurationsdaten verletzt F X

N Verfügbarkeit des Motors nach DoS-Angriff nicht gegeben F X

N Normale Motorleistung, Beschleunigung nicht mehr erreicht (Eco-Tuning) S X

G Gesetzliche Emissionsgrenzwerte werden überschritten S X

N Leib und Leben gefährdet bei Unfällen durch Überbeanspruchung wichtiger Komponenten wie

Motor oder Bremsen (Leistungstuning) S X

R2.x

G Gesetzliches Verbot von Kilometerstandsmanipulation wird gebrochen F X H Integrität des Kilometerstands an diversen Speicherstellen verletzt F X N Wartungsaufwand nach Kauf eines manipulierten Fahrzeugs unerwartet hoch S X X N Schäden nach Defekten durch verpasste, laufleistungsabhängige Wartungstermine S X

R3.x

H Authentizität kopierter (Replay) oder weitergereichter (Relay) Nachrichten verletzt F X

H Verfügbarkeit der Abschließfunktion (Jamming) nicht gegeben F X

N Finanzielle Verluste durch Diebstahl von Wertgegenständen F X

N Gestörte Verfügbarkeit des Schließsystems anderer Fahrzeuge bei Jamming S X N Schnelle Fahrzeugöffnung bei Jamming nicht möglich, ggf. kritisch in Notsituationen (z.B.

Not-arzteinsatz) S X

R4.x

H Aus Safetygründen vorgesehene Warnfunktionen bleiben wirkungslos F X H Integrität/Authentizität der Sitzbelegungssensoren verletzt (bei Ersetzung) F X H Verfügbarkeit der Airbag-Warnleuchte verletzt (z.B. bei physikalischer Abtrennung) F X G Gesetzliche Anschnallpflicht durch den Manipulateur ggf. bewusst verletzt F X N Leib und Leben ggf. auch weiterer Nutzer gefährdet (Gurtwarnung bleibt generell aus) S X Tabelle 14: Zuordnung schadhafter Resultate für die weiteren Rechercheszenarien R1.x - R4.x

Geschädigte Interessengr.

Verletztes Interesse

Funktions- / Strukturwirkung

Bereich:

Security Safety Komfort

L1.x

H Authentizität von Busnachrichten verletzt (gefälschte Fenster-Ansteuerbefehle) F X H Integrität von Busnachrichten verletzt (enthaltener Schalterstatus) F X H Verfügbarkeit der Fensterheberfunktion eingeschränkt (Denial of Service) F X N Bedienkomfort des Fensters eingeschränkt, ggf. unangenehmer Luftzug F X N Kontrolle des Fahrzeugs gefährdet, falls Fahrer kurzzeitig erschrickt F/S X

L2

H Verfügbarkeit dieses Security-Dienstes der Diebstahlwarnanlage verletzt (Denial of Service) F X H Authentizität und Integrität von Busnachrichten verletzt (Blinker-Ansteuerungsbefehle) F X N Finanzielle Verluste durch nicht entdeckten Fahrzeugdiebstahl F X N Verfügbarkeit der Warnblinker ggf. auch später noch gestört, Gefahr von Auffahrunfällen S X L3.x

H Verfügbarkeit der Safetyfunktion zur Warnung vor nicht funktionalem Airbagsystem verletzt F X X H Authentizität und Integrität von Busnachrichten verletzt (periodische Airbag-Statusnachrichten) F X N Leib und Leben bei späterem Unfall ggf. stärker gefährdet (keine Airbag-Auslösung) S X

L4.x

H Authentizität der manipulierten Anfragen verletzt (nicht von zulässigem Tester) F X H Vertraulichkeit ausgelesener interner CAN-Nachrichten verletzt F X H Integrität und Authentizität der im Zielnetz generierten Nachrichten nicht gegeben F X N Datenschutz verletzt, falls personenbezogene Daten betroffen sind F X N Funktionen beliebiger Geräte im Zielnetzwerk ggf. gestört (durch dort indirekt generierte

CAN-Nachrichten). F/S X X X

L5

H Integrität und Authentizität des Programmcodes des Navigationssystems verletzt F X N Bedienbarkeit des Navigationssystems durch den unautorisierten Code ggf. gestört S X N Funktion safetyrelevanter Systeme ggf. gefährdet, sofern vom infizierten Navigationssystem aus

beeinflussbar F/S X

L6.x

H Integrität und Authentizität von C2X-Nachrichten (bei Nachrichtenfälschung) F X N Der Nutzen C2X-gestützter Dienste könnte durch Angriffe teils stark sinken F/S X N Leib und Leben von Verkehrsteilnehmern ggf. gefährdet nach Angriffen auf safetyrelevante

C2X-Dienste F/S X

Tabelle 15: Zuordnung schadhafter Resultate für die Laborszenarien L1.x - L6.x

Im Dokument Prävention, Detektion und Reaktion gegen drei Ausprägungsformen automotiver Malware - eine methodische Analyse im Spektrum von Manipulationen und Schutzkonzepten (Seite 107-112)