bereitgestellt
Transcription
bereitgestellt
Treffen: Fahrzeug-Initiative RLP Embedded Systeme im Automobil: Architekturen, Security und Virtualisierung Manuel Duque-Antón comlet Verteilte Systeme GmbH 4. Juni 2014 ITK Engineering AG Rülzheim 1 von 50 • Die comlet GmbH bietet Dienstleistungen und Produkte im Bereich Embedded Systeme mit dem Schwerpunkt Software an, im Einzelfall auch Hardware-Entwicklungen. • Die comlet ist im Bereich Automotive gestartet und deckt mittlerweile andere Anwendungsbereiche ab, wie z.B. Landwirtschaft oder Gebäude bzw. Heizungs-Management und vieles mehr. • Unsere Erfahrungen zeigen, dass die abstrakten Problemstellungen und damit auch die geeigneten Lösungen im Wesentlichen unabhängig vom konkreten Anwendungsbereich sind. • Dabei spielt der Entwurf einer geeigneten Architektur eine zentrale Rolle. In diesem Vortrag wird am Beispiel von Automotive dieser Sachverhalt erläutert. • Da keine Kunden-Details verraten werden können, werden die Ausführungen am Beispiel der bekannten AUTOSAR-Architektur erläutert werden. • Natürlich spielt beim Entwurf einer geeigneten Architektur der Aspekt der Security (Datensicherheit) eine immer wichtiger werdende Rolle. An Hand einiger Fallbeispiele werden die relevanten Sicherheitsschwächen im Fahrzeug vorgestellt und entsprechende Abwehrrmaßnahmen kurz skizziert. Neben den klassischen kryptographischen Ansätzen, spielt die Virtualisierung eine zentrale Rolle. Beispiel eines Fahrzeug-Netzwerks Lichtweitensteuerung. Sitzsteuerung. Komfort, Sicherheits- und Karosseriebereich (CAN-B) Antriebstrang (CAN-C) Instrumente Instrumente Klimasteuerung Türsstr. links. LIN - Bus Sitzsteuerung. Sonnendach. Klimapanel Scheibenwischer Stand-By Heizung ... LIN - Bus Airbag Unterhaltung/Telematik (MOST) Zentrale ECU und Gateway Multiflenkrad Motorsteuerung Multifdisplay Getriebesteuerung Telefon Fahrzeugdynamik Navigation Parkabstandsstrg. ... Fahrwerk (FlexRay) Stellmotorsteuerung Pedalsteuerung Radknoten hinten Airbagzünder Sensoren ... 3 von 50 • Das Kommunikations-Netzwerk in einem Automobil kann sehr unterschiedlich gestaltet sein. Mittlerweile kommen mehrere verschiedene Kommunikationsprotokolle zum Einsatz, und zwar das am besten geeignete für die jeweilige Anwendung. Auf der Folie wird ein Beispiel für ein solches Netzwerk gezeigt: • Typisch ist der Einsatz des Low-Speed-CANs für Anwendungen, die nur wenig Bandbreite benötigen, wie z.B. für Tür, Klima- und Sitz-Steuerungen. • Der High-Speed-CAN kommt bei Anwendungen mit einem höheren Bandbreitenbedarf zur Anwendung wie z.B. bei Motor-, Getriebe- und Fahrwerk-Steuerungen. • LIN-Sub-Busse werden für Sitzverstellungen, die Klimasteuerung und für Spiegeleinstellungen eingesetzt. • FlexRay wird bevorzugt im Fahrwerksbereich und im Antriebsstrang eingesetzt und ersetzt langfristig Lösungen mit mehreren CAN-Bussen bzw. wird neue Anwendungen dort ermöglichen. Allerdings kann man nicht sagen, dass sich FlexRay so recht durchsetzt. Möglicherweise wird FlexRay durch zukünftige CAN-Standards mit höheren Bitraten ersetzt werden. • MOST wird typischerweise zur Vernetzung und Bedienung von Entertainment-Komponenten im Auto (Premiumklasse) eingesetzt. • Was genau ist das Problem? • Die Entwicklung von Software für Steuergeräte im Auto stellt einen enorm komplexen Prozess dar! • Die Steuergeräte laufen auf verschiedenen Maschinen und Betriebssystemen, i.d.R. in unterschiedlichen Programmiersprachen geschrieben. Es gibt eine Vielzahl von Kommunikationsprotokollen, die insbesondere permanenten Veränderungen/Erweiterungen unterworfen sind. Viele Funktionen ergeben sich erst aus dem Zusammenspiel mehrere Komponenten, die möglicherweise von verschiedenen Lieferanten entwickelt wurden und vieles mehr. Probleme / Herausforderungen • Bisher erläutert: • Beherrschung der Komplexität, gerade vor dem Hintergrund, dass Funktionali- täten im Zusammenspiel von mehreren Komponenten geliefert werden. • Vielfalt der angeschlossenen Geräte, Systeme, Kommunikationsprotokolle beherrschen und vieles mehr. • Es gibt aber auch weitere Herausforderungen: • Hoher Kostendruck • Flexibilität bzw. Erweiterbarkeit • Security bzw. Datensicherheit • Safety bzw. Testbarkeit 5 von 50 • Kostendruck: • Automobile werden in sehr hohen Stückzahlen, über einen langen Zeitraum gefertigt. VW lieferte z.B. 2012 über 9 Millionen Fahrzeuge aus. • Die tief eingebetteten Systeme wie Tür-, Licht- oder Motor-Steuergeräte werden vom Kunden nicht als eigenständige Geräte wahrgenommen. Ein eventueller Mehrpreis für einen besonders innovative Lösung läßt sich in einem Verkaufsgespräch nur schwer begründen. • Erweiterbarkeit: • Auch hier kann wieder das Volkswagen (Baukasten-Prinzip) als Beispiel herangezogen werden. Eine entsprechende Architektur muss mit vielen über die Zeit erweiterbaren Varianten, die sich in Details unterscheiden, aber in der Grundform ähneln, zurecht kommen. • Datensicherheit: • Durch die Öffnung der Entertainment-Systeme im Automobile, aber auch durch die Verwendung von drahtlosen Kommunikationsprotokollen im Automobil (z.B. Reifensensor, der per Funk angeschlossen ist) wird das Auto zu einem offenen Systemen, welches nun von Außen angegriffen werden kann. • Testbarkeit: • Generell kann Fehlerfreiheit nie zweifelsfrei garantiert werden. Alter Informatiker-Witz: „Ein fehlerfreies Software-System ist veraltet". • Im Automotive-Fall ergeben sich häufig die Funktionalitäten aus dem Zusammenspiel mehrerer Komponenten. Wie soll eine Komponente getestet werden, wenn man nicht weiß, ob die anderen Komponenten fehlerfrei sind. • In der nächsten Folie wird diese Problematik etwas genauer untersucht! Komplexität und Zuverlässigkeit • Mit jedem neuen Teilsystem, also etwa funkgesteuerter Zentralverriegelung, elektronischer Heckdeckelsteuerung etc. wächst die Fehlerwahrscheinlichkeit für das Gesamtfahrzeug. Das ist ein statistisches Phänomen. • Als Beispiel wird ein Fahrzeug mit nur einem einzigen Steuergerät s1 betrach- tet. • Falls die gefertigten Steuergeräte mit einer Wahrscheinlichkeit P (s1) pro Jahr von 99,9% zuverlässig funktionieren, • wäre jedes Jahr eins von 1000 Fahrzeugen in der Werkstatt. • Würde in dieses Fahrzeug ein weiteres Steuergerät s2 eingebaut werden und • hätte diese Gerät dieselbe Ausfallwahrscheinlichkeit, dann ergibt sich die Gesamtwahrscheinlichkeit (zuverlässig zu arbeiten) mit dem Multiplikationssatz P (s1) P (s2) = 0,999 0,999 = 0,998001 • Damit wären pro Jahr schon zwei von 1000 Fahrzeugen in der Werkstatt, obwohl die Qualität in der Fertigung gar nicht verändert wurde. • Wie kann dieses Problem aufgefangen werden? 7 von 50 • Praktische Situation ist noch schlimmer: Die Zuverlässigkeit einer Komponente ist i.d.R. beim ersten Integrationstest weit von 100% (Produktreife nach Ende der Entwicklungsphase) entfernt: • Wenn wir also 10 Komponenten mit einer Zuverlässigkeit von immerhin 70% unterstellen ergibt sich eine Gesamtwahrscheinlichkeit, dass alle 10 Komponenten beim ersten Integrationstest zuverlässig zusammenarbeiten von 0,710 = 0,028. Also unter 3%. • Bei diesen Zahlen wäre es nahezu unmöglich, irgendwelche Schlüsse aus dem Integrationstest zu ziehen. • Als Lösung kann • die Zuverlässigkeit der einzelnen Komponenten erhöht werden. Das geht nur, wenn isolierte Komponententests möglich sind. Da aber die Korrektheit einer Komponente nur im Wechselspiel mit den anderen Komponenten überprüft werden kann, muss dazu die Umgebung simuliert werden. Dieser Vorgang wird auch Restbus-Simulation genannt. • Die Anzahl der integrierten Komponenten wird kontinuierlich gesteigert. In einer typischen Schichtenarchitektur sollte die Integration schrittweise von unten nach oben erfolgen. • Insgesamt zeigt sich, dass die Wahl einer geeigneten Architektur eine zentrale Rolle spielt, um mit möglichst geringen Kosten aller geforderten Kriterien zu erfüllen. • In diesem Zusammenhang spielt der Begriff des „Software-Bus“ eine zentrale Rolle, den ich im folgenden am Beispiel von AUTOSAR erläutern will. Schlüssel-Technologie: Software-Bus Component A Component B Container Container Software Bus • Zugrundeliegende Technologie stammt aus der Theorie der „Verteilten Systeme", bekannt unter dem Schlagwort „Komponenten Basierte Entwicklung". • In unterschiedlichen Ausprägungen wird es unter anderem eingesetzt in: • Java Enterprise Beans, aber auch • Android Plattformen und AUTOSAR. 9 von 50 • Die Kernaufgabe eines Software-Busses ist die Realisierung von Transparenz: • Der Anwendungs-Entwickler muß die Details des Systems, also die Details aller beteiligten Steuergeräte (ECU Electronic Control Unit) nicht kennen, um seine Software entwickeln zu können. • Vielmehr wird die Anwendung auf einer rein funktionalen Ebene geschrieben und erst nachträglich auf das Ziel-System mit Hilfe von Tools, im wesentlichen Software-Generatoren, abgebildet. • Dieses Prinzip wurde im Zusammenhang der Verfeinerung von SW-Engineering-Methoden für Verteilte Systeme entwickelt. Das wesentliche Ziel ist es, die Anwendungs-Logik von der SystemLogik zu trennen. • Im AUTOSAR (AUTOmotive Open System Architecture) Kontext wird der Software-Bus VFB (Virtual Functional Bus) genannt und • trennt beispielsweise die Entwicklung einer Blinker-Anwendung von den Details des darunter liegenden Steuergeräts, wie z.B. das benutzte Betriebssystem aber auch das verwendete Kommunikationsprotokoll. • Dieser Sachverhalt ist besonders wichtig, wenn man sich vor Augen führt, dass aktuelle Automobile über Dutzende von Kontrolleinheiten, Tausende von Funktionen und zehntausende von potentiellen Vernetzungsmöglichkeiten verfügen. • Aus der Abbildung wird auch deutlich, dass die weitere Aspekte wie Erweiterbarkeit oder Testbarkeit mit Hilfe des Software-Busses ebenfalls sehr leicht umgesetzt werden können: • Um den Anspruch der Safety zu genügen, erlaubt der Bus eine sogenannte Restbus-Simulation. Reale Komponenten können gegen virtuelle Komponenten getestet werden, die nur in Form von Software (minimalistisch) realisiert sind. AUTOSAR Software Component n AUTOSAR Software Component 3 AUTOSAR Software Component 2 AUTOSAR Software Component 1 AUTOSAR: Virtual Functional Bus Virtual Functional Bus AUTOSAR Software Component 3 AUTOSAR Software Component 1 RTE BSW AUTOSAR Software Component 2 ECU b ECU a RTE BSW 11 von 50 • Bei der technischen Umsetzung wird in AUTOSAR ein funktionelles und ein strukturelles Modell unterschieden. • In der oberen Abbildung auf der Folie wird das funktionelle Modell beschrieben, welches sich aus Softwaremodulen zusammensetzt, die miteinander kommunizieren. • Jedes Softwaremodul realisiert dabei eine Funktion. • Die Kommunikation der Softwaremodule erfolgt ausschließlich über den Virtual Functional Bus (VFB), der einen virtuellen Kommunikationskanal darstellt. • Der VFB abstrahiert von der Hardware, so dass die Anwendung nach rein funktionalen Aspekten, also Hardware-unabhängig, entworfen werden kann. • Durch die standardisierte Schnittstelle (zum VFB) wird die Modularität und Wiederverwendbarkeit garantiert. • Während der Entwurf und die Entwicklung der Softwarekomponenten eine Domäne der einzelnen Automobilhersteller und -Zulieferer ist und wohl bleiben wird, wird die Realisierung des VFB von den Mitglieder-Unternehmen des AUTOSAR-Konsortiums gemeinsam angegangen. AUTOSAR Software Component n AUTOSAR Software Component 3 AUTOSAR Software Component 2 AUTOSAR Software Component 1 AUTOSAR: Run Time Environment Virtual Functional Bus ECU b AUTOSAR Software Component 2 AUTOSAR Software Component 3 Anwendung AUTOSAR Software Component 1 ECU a Ports AUTOSAR Infrastruktur RTE RTE BSW BSW Hardware Physikalisches Bus-System 13 von 50 • In der unteren Abbildung wird das strukturelle Modell dargestellt. Beim Übergang vom rein funktionalen Modell (obere Abbildung) zu einem strukturellen Modell (untere Abbildung) wird der VFB aufgelöst und in Teilfunktionen zerlegt. Dieser Vorgang erfolgt Tool-gestützt, im Wesentlichen kommen hier Software-Generatoren zum Einsatz. • Die Softwaremodule werden einzelnen ECUs zugeordnet, der VFB wird in das Real Time Environment (RTE), die Basic Software (BSW) und die Kommunikation zwischen den ECUs aufgeteilt. • Das RTE stellt dabei eine Laufzeit-Implementierung des VFB dar und zwar in einer konkreten ECU. • Die Schnittstelle für die Softwaremodule bleibt aber gleich. Sie kommunizieren nur mit dem RTE über eine standardisierte Schnittstelle. • Der Anwendungs-Entwickler schreibt seinen Code unabhängig vom Target Steuergerät bzw. unabhängig von der Konfiguration aller Steuergeräte. Auf einem Steuergerät können wie in der Abbildung ersichtlich auch mehrere SW-Komponenten laufen. • Der Informationsaustausch zwischen den SW-Komponenten erfolgt über Ports, welche die Schnittstellen zu den Kommunikationspfaden darstellen. Die Ports sind Teil der Architektur. Die eigentliche Codierung der SW-Komponenten liegt außerhalb des AUTOSAR-Standards. • Die Laufzeitumgebung RTE und BSW werden automatisch generiert und zwar in Abhängigkeit der System-Konfiguration, die der Entwickler angibt (welche SW-Komponente soll auf welches Steuergerät gelegt werden) • Die Abstraktion von der HW und der Kommunikation zwischen den ECUs erfolgt also mit Hilfe der Software-Generatoren, die RTE und BSW auf der Basis der Ziel-Konfiguration erzeugen. Empfängt eine Softwarekomponente Informationen von einer anderen Softwarekomponente, macht es funktional keinen Unterschied, ob diese Softwarekomponente in der gleichen ECU läuft oder nicht. AUTOSAR - Architektur RTE Basissoftware Service Layer ECU Abstraction Layer Complex Drivers Microcontroller Abstraction Layer ECU Hardware 15 von 50 • AUTOSAR verwendet das bekannte Schichtenmodell, Diese Schichten haben die Aufgabe, verschiedene HW-Aspekte wie Prozessoreigenschaften, Eigenschaften des Steuergerätes selbst oder der Sensoren/Aktoren auch in Software zu trennen. • Die oberste Schicht eines Steuergerätesoftware-Stacks bildet die Anwendungssoftware und enthält neben den eigentlichen Anwendungssoftware-Komponenten auch die Sensor/Aktor-SoftwareKomponenten. Sie ist auf der Folie zuvor dargestellt. • Die RTE liegt zwischen Anwendungssoftware und Basissoftware und stellt die Implementierung der VFB-Extrakte je Steuergerät dar. Die RTE wird also für jede ECU spezifisch generiert. Werden Anwendungen zwischen Steuergeräten verschoben, ändert sich die Systemsicht und damit der VFB, was eine Neu-Generierung der RTEs der betroffenen Steuergeräte zur Folge hat. • Innerhalb der Basissoftware bietet der Service Layer den Anwendungen und anderen BasissoftwareModulen grundlegende Dienste an wie beispielsweise: Betriebssystem-, Speicherverwaltungs-, Diagnose- und Kommunikationsfunktionen. • Der ECU Abstraction Layer dient der Abstraktion der Steuergeräte-spezifischen Eigenschaften. Zum Beispiel kann damit von Anzahl der verbauten CAN-Controller und deren genauen Ort (on-chip/onboard) auf dem Steuergerät abstrahiert werden. • Der Microcontroller Abstraction Layer abstrahiert vom Microcontroller. Dies umfaßt die Konfiguration und Initialisierung des Microcontrollers und integrierter Geräte. • Die Schicht der Complex Drivers durchschneidet alle Schichten der Basissoftware. Beispielsweise zum Ansteuern und Verwalten von Sensoren, bei denen die Software aus Zeitgründen direkt auf die Hardware zugreifen muss. Beispiel: Warnblinkfunktion aus VFB-Sicht Anwendungsebene BlinkgeschwindigkeitsKalibrierung adjustFrequency adjustFrequency setLight takeStatus StateRequest crtlLamp setLight BlinkleuchteHintenRechts WarnblinkTaster giveStatus BlinkleuchteHintenLinks BlinkergeberAnwendung currentState setLight crtlLamp BasisSoftware StateRequest currentState crtlLamp6 crtlLamp9 ECU State Manager (EcuM) I/O Hardware Abstraction (IoHwA) DIO Driver 17 von 50 • Der AUTOSAR-Standard gibt im Grunde nur Kommunikations-Beziehungen und Strukturen vor und überläßt die eigentliche Programmierung (i.d.R. in der Programmiersprache C) den Anwendungs-Entwicklern. Dieser Sachverhalt soll an Hand einer einfachen Blinkgeber-Anwendung erläutert werden. Dazu aber vorher ein paar generelle Notationen: • Generell unterscheidet AUTOSAR atomare SW-Komponenten (Rechtecke), zusammengesetzte SW-Komponenten (oben 3 Quadrate) und Sensor/Aktor-Komponenten (oben Pfeil). • Die Kommunikationsbeziehungen werden mit Hilfe von Ports beschrieben, kleine Quadrate mit unterschiedlichen Inhalten an den Grenzen der Rechtecke. • Es gibt Ports für die Kommunikation von Anwendungen untereinander, für die Kalibrierung (Kalilbrierungswerte bereitzustellen oder auszulesen) und Servicemodule der BSW stellen über diese Ports ihre Funktionen anderen Softwarekomponenten zur Verfügung. • In den Bereichen Anwendungssoftware und AUTOSAR-Service stehen die beiden Arten von Kommunikationsmechanismen Sender/Receiver (nur Daten austauschen) und Client/Server (Funktionen aufrufen inklusive Datenaustausch) zur Verfügung. Beispiel: Warnblinkfunktion aus VFB-Sicht Anwendungsebene BlinkgeschwindigkeitsKalibrierung adjustFrequency adjustFrequency setLight takeStatus StateRequest crtlLamp setLight BlinkleuchteHintenRechts WarnblinkTaster giveStatus BlinkleuchteHintenLinks BlinkergeberAnwendung currentState setLight crtlLamp BasisSoftware StateRequest currentState crtlLamp6 crtlLamp9 ECU State Manager (EcuM) I/O Hardware Abstraction (IoHwA) DIO Driver 19 von 50 • Die Anwendung erhält auf der „linken Seite" Input von einer Kalibrierungskomponente, die einen Faktor für die Abstimmung der Blinkgeschwindigkeit liefert, und von einer SensorSoftwarekomponente, die eine Nachricht schickt, wenn sich der Zustand des Warnblinktasters ändert. • Auf der „rechten Seite" sendet sie eine Nachricht mit dem gewünschten Blinkleuchten-Zustand („an“ oder „aus“). Diese Nachricht wird von den beiden Aktor-Komponenten BlinkleuchteHintenLinks und BlinkleuchteHintenRechts empfangen. Die beiden Aktoren stehen hier stellvertretend für die Vielzahl der eigentlichen Aktoren wie „vorne“ und „seitlich“. • Die Blinkleuchten-Aktoren nutzen ein C/S-Interface, um mittels I/O-Hardware-Abstraktion gezielt die Lampenausgänge der ECU zu aktivieren/deaktivieren. Hierbei ist es typisch, dass die I/O-HWAbstraktion ihre Funktionen über Server-Ports bereitstellt. • Die Blinkgeber-Anwendung nutzt in diesem Fall zwei Services des Basissoftwaremoduls ECU State Manager, und zwar currentState zur Abfrage des aktuellen Status der ECU und StateRequest, um den benötigten RunMode der ECU anzufordern. Was ist mit Sicherheit? • Der Begriff der Sicherheit ist im Deutschen nicht eindeutig festgelegt: • Der englische Begriff Security „beschäftigt“ sich mit dem Schutz gegen böswil- lige Manipulationen. • Der englische Begriff Safety hat den Schutz gegen technische Ausfälle im Fokus. • Der Aspekt der Safety (funktionale Sicherheit) kann bereits mit Hilfe einer „geeig- neten“ Architektur (z.B. Rest-Bus-Simulation) angegangen werden und muss natürlich um die entsprechende Aspekte systematischer Tests erweitert werden. • Der Aspekt der Security (Datensicherheit) wird im Umfeld automobiler Kommuni- kationssysteme immer noch eher stiefmütterlich behandelt im Gegensatz zu anderen Bereichen wie dem Finanzgewerbe, in dem schon immer sehr viel Wert auf angemessene Sicherheitsmaßnahmen gelegt wurde. • In den meisten Fahrzeugen, aber auch in Flugzeugen, wird noch immer der CAN- Bus verwendet. Der Zugriff auf den Bus ist meist sehr einfach, ungesichert und leicht auszulesen. Kontrollen gegen unrechtmäßigen Zugriff oder Ähnliches gibt es nicht. 21 von 50 • So ist es nicht verwunderlich, dass die CAN-Sicherheitslücken dazu verwendet werden, um z.B. • durch Manipulationen an den CAN-Bus-Nachrichten eine Leistungssteigerung zu implementieren, • Wegfahrsperren auszuschalten oder • die Laufleistung und andere Fahrzeugfunktionen zu manipulieren. • So kann bzw. konnte man bis vor kurzem CAN-Bus-Module erwerben, die an die OBD (On Board Diagnose) 2 Schnittstelle angeschlossen werden können (einfach aufgesteckt), die vornehmlich für GM-Fahrzeuge verfügbar sind. • Damit kann man die Funktionen des Fahrzeugs erweitern, z.B. um ein adaptives Bremslicht oder Alarmanlagensimulation etc. Siehe auch www.happyligthschow.de bzw. .com) • Der Nachfolger von CAN (der im Übrigen sich nicht so recht durchsetzen kann) FlexRay besitzt ebenfalls keine Sicherheitsmechanismen. • Den einzigen Schutz, den bisher Hersteller verwenden, besteht darin, die CAN-NachrichtenIdentifier geheim zu halten und den Zugriff zum Fahrzeug zu erschweren. Allerdings hat auch hier das Gesetz von Moore zugeschlagen, und es sind billige Zugriffsvarianten über Funk (Bluetooth) oder gar über Reifendruckkontrollsysteme (TPMS) verfügbar, die i.d.R. schlecht abgesichert sind. Angriffspunkte • Bevor die konkreten Bedrohungsmodelle vorgestellt und die entsprechenden Abwehrmechanismen erläutert werden, sollte die Frage geklärt werden, wie ein Hacker überhaupt ein eingebettetes System infiltrieren kann. • Generell lassen sich die Zugänge zu eingebetteten Systemen im allgemeinen und Automotive im Speziellen in die folgenden drei Kategorien einteilen: Indirekter physischer Zugang, Kurzstrecken- und Langstrecken-Zugang. • Beim indirekten physischer Zugang unterscheidet man OBD-II Schnittstelle, Infotainment-Geräte und zukünftig wohl auch Ladekabel. • Der Langstrecken-Zugang zerfällt in den Rundfunk-Bereich (Broadcast Kanäle) und in die adressierbaren Kanäle (z.B. UMTS). • Beim Kurzstrecken-Zugang stellen Bluetooth, Keyless Entry-Systeme, Reifen- drucksensoren und RFID Wegfahrsperren wichtige Kandidaten dar. 23 von 50 • Indirekter physischer Zugang • OBD-II ist derzeit wichtigste Schnittstelle bei modernen Automobilen, die ursprünglich zur Überwachung aller abgassbeeinflussenden Systeme diente und in den USA entwickelt wurde. Schnittstelle wurde schnell weiterentwickelt und bietet im Grunde einen direkten Zugriff auf alle wichtigen CANBussysteme und um insbesondere Fehlerspeicher auszulesen. Zum Anschluß eines Notebooks an OBD-II wird ein „PassThru“-Gerät angeboten, welche auch die Programmierung der Steuergeräte erlauben. Diese Geräte sind teilweise bei eBay käuflich. Durch Kompromittierung des Notebooks, kann Schadsoftware auf Steuergerät gelangen. • Andere Zugriffsmöglichkeit besteht über Schnittstellen (USB, CD/DVD, SD-Karten etc.) des Infotainment-Systems. Über diese Schnittstelle sind ebenfalls Angriffe denkbar. Zum Beispiel könnte mit Hilfe der CD/SD eine speziell präparierte Datei abgespielt werden, welche die Software flasht, also ein schadhaftes Update erzeugt. Da die Infotainment-Systeme über Gateway mit CAN-Segmenten verbunden sind, könnten auf diese Weise auch Angriffe auf CAN produziert werden. • Um die Ladestation zu informieren, wann ein Fahrzeug vollständig geladen ist, muss diese mit dem Ladesteuergerät über das Ladekabel in Kontakt stehen. Möglicherweise geschieht das auch über den CAN-Bus. • Langstrecken-Funkzugang • Moderne Fahrzeuge haben eine Fülle solcher Broadcast-Kanäle wie GPS, DAB, RDS und TMC, die alle für gewöhnlich via Entertainmentsystem mit CAN-Bus verbunden sind. Der Vorteil für Angreifer ist, dass Angriffe nur schwer zuzuordnen sind, mehrere Empfänger erreichbar sind und keine Adressierung der Opfer notwendig ist. • Die größte Angriffsfläche bieten Funkzugänge, die über lange Strecken adressierbar sind (z.B. Telematik-Systeme). Solche Systeme haben eine ständige Verbindung zu einem Telefonanbieter mit Internetzugang (z.B. UMTS). In Holland wurde 2011 iPhones mit jailbreak gehackt. Angriffspunkte • Bevor die konkreten Bedrohungsmodelle vorgestellt und die entsprechenden Abwehrmechanismen erläutert werden, sollte die Frage geklärt werden, wie ein Hacker überhaupt ein eingebettetes System infiltrieren kann. • Generell lassen sich die Zugänge zu eingebetteten Systemen im allgemeinen und Automotive im Speziellen in die folgenden drei Kategorien einteilen: Indirekter physischer Zugang, Kurzstrecken- und Langstrecken-Zugang. • Beim indirekten physischer Zugang unterscheidet man OBD-II Schnittstelle, Infotainment-Geräte und zukünftig wohl auch Ladekabel. • Der Langstrecken-Zugang zerfällt in den Rundfunk-Bereich (Broadcast Kanäle) und in die adressierbaren Kanäle (z.B. UMTS). • Beim Kurzstrecken-Zugang stellen Bluetooth, Keyless Entry-Systeme, Reifen- drucksensoren und RFID Wegfahrsperren wichtige Kandidaten dar. 25 von 50 • Kurzstrecken-Funkzugang • Mit Bluetooth hat sich ein de-facto Standard für Freisprecheinrichungen etabliert, der immer mehr den Weg in Kleinwagen findet. • Viele der Fahrzeuge aus der Premiumklasse bieten heute keyless entry-Systeme an, die ein weiteres Einfallstor ins Fahrzeugnetzwerk bieten (via Relay-Station Attack). • In den USA seit 2007 Vorschrift sind Reifendrucksensoren, welche die Aufgabe haben, den Fahrer vor einem Platten bzw. undichten Reifen rechtzeitig zu warnen. Die entsprechenden Sensordaten werden auf derselben Frequenz wie bei den Keyless-Entry-Systeme übertragen: 433 MHz (EUR) und 315 MHz (USA). • Mittlerweile serienmäßig vorhanden sind RFID Technologie basierte Wegfahrsperren. Im Fahrzeugschlüssel ist dazu ein Transponder und im Fahrzeug in der Nähe des Zündschlosses ein Empfangssystem verbaut. Ohne den richtigen Transponder in der Nähe, wird zuverlässig verhindert, dass das Fahrzeug gestartet werden kann. Wie geht ein Hacker vor? • Während ein System-Designer bei der Suche nach Schwächen die Architektur und die verwendeten Kommunikationsprotokolle im Fokus hat, wählen Cracker oft einen pragmatischen Weg, der im Wesentlichen auf den folgenden drei Schritten basiert: • Pakete abhören und gezielt sondieren! • Fuzzing! • Reverse Engineering! 27 von 50 • Der erste Schritt ist das Belauschen der Kommunikationsverbindung mit dem Ziel die Kommunikation zwischen den einzelnen Clients zu verstehen und für seine Zwecke zu benutzen. Besonders hilfreich ist das Auslösen verschiedener Events und Nachrichten und die Beobachtung der Kommunikation währenddessen. So kann schnell eruiert werden, welcher Befehl für welche Aktion verwendet wird. • Wenn man nur Schaden anrichten möchte, ist kein oder zumindest kein vollständiges Verständnis der Kommunikation und der verfügbaren Teilnehmer notwendig. Beispielsweise ist die Anzahl der gültigen CAN-Bus-Nachrichten beschränkt. Zufällig gewählte Nachrichten können in die Kommunikation eingebracht werden und anschließend die Effekte beobachtet werden und entsprechende Korrelationen über das Wirkprinzip erstellt werden. • Der anspruchsvollste Weg einen Schaden zu produzieren, besteht im Rahmen eines Reverse Engineerings. Dabei wird versucht, den Speicher einer Komponente, oder den gesamten Nachrichtenfluss zu lesen und anschließend zu verstehen. Dieses Vorgehen ist dann notwendig, wenn neue Funktionalität hinzugefügt oder existierende manipuliert werden soll. Lücken in der Software • Heutige Fahrzeuge haben • eine Vielzahl an vernetzten eingebetteten Systemen, die sehr eng zusammenar- beiten müssen. • Die oft sehr komplexe Software kann aus Zeit- und Kostengründen daher nicht fehlerfrei sein und ist auch nur rudimentär gesichert. • Der Fokus der Hersteller liegt eher auf Safety und weniger auf Security. • Das Ziel der Angreifer ist es, geheime Informationen der Software zu entlocken (Spionage) oder nicht autorisierte Schadsoftware zu installieren. Dabei werden die folgenden Lücken ausgenutzt: • Fehlerhafte Implementierung. • Software-Updates bzw. das Aktivieren neuer Funktionen. • Speicherort der Software. 29 von 50 • Heutige Systeme bestehen aus mehrere Dutzenden Steuergeräten, Tausende Funktionalitäten und Zehntausende Vernetzungsmöglichkeiten. • Fehlerhafte Implementierung: • Häufige Fehler ergeben sich über sogenannte Buffer Overflows oder eine schlecht gewählte Architektur. Allerdings sind Buffer Overflow im Bereich der eingebetteten Systeme seltener auf Grund der verwendeten Harward-Architektur, die im Gegensatz zur von Neumann-Architektur zwei getrennte Speicher für Befehle und Daten verwendet. Bei der von Neumann-Architektur kann durch einen Buffer Overflow in einen Datenbereich gesprungen werden, der schadhafte Befehle codiert. Daneben gibt es aber noch eine Fülle an anderen typischen Fehlern, wie die Verwendung unsicherer kryptographischer Algorithmen, einen fehlerhaften Update-Prozess, Protokollfehler, Fehler bei der Verwaltung der Schlüssel, Verwendung schlechter Zufallszahlengenerator, Umgehung von Sicherheitsmaßnahmen durch eine möglicherweise implementierten Debug-Modus, fehlerhafte Implementierung von Algorithmen --> Eigentliche alle Bestandteile können betroffen sein. • Zum Software-Update • muss einfach nach Außen ein entsprechender Updatekanal angeboten werden, der i.d.R. nicht hinreichend gesichert sein kann. • Ein weitere Verwundbarkeit stellt der Speicherort der Software dar. • Diese ist meistens auf Speicherchips abgelegt, die von der Platine genommen und mit speziellen Equipment gelesen werden können. Eine komplette Verschlüsselung der Software hilft nicht so sehr, wie man gerne glauben würde, da die Software zur Ausführung entschlüsselt und dann entsprechend gelesen werden kann. Zudem werden oft geheime Schlüssel oft ungeschützt im Speicher abgelegt. Lücken in der Buskommunikation: CAN • Das CAN-Bus-Protokoll sieht keinerlei Verschlüsselung der Bus-Nachrichten vor: • Angreifer kann also problemlos Nachrichten abhören und Inhalt erfahren. • Da zum Versenden kein Schlüssel benötigt wird, kann Angreifer ebenfalls ohne Schwierigkeiten eigene (schadhafte) Nachrichten versenden. • Da CAN-Bus auf CSMA/CA (unter Verwendung von Nachrichten-Prioritäten) basiert, sind Denial of Service Angriffe problemlos möglich. • In CAN-Nachrichten sind keine Felder für eine Authentifizierung oder Absender- erkennung vorgesehen. • Die in CAN-Bus verwendete Fehlerbehandlungsstrategie, welche bei der Fehler- behandlung sehr effektiv ist, kann von Angreifer mißbraucht werden. • Einige Beispiele: Tachometerrückstellung (häufig praktiziert, eher harmlos), HappyLigthShow (CAN-Bus-Modul, welches auf OBD-II Port gesteckt wird), Chiptuning (häufig praktiziert zur Leistungssteigerung), Komponentensimulation (Vorhandensein einer fehlenden Komponente z.B. Airbag vortäuschen) und Schlüssel-Klonen (via OBD-Port, der ständig mit Strom versorgt wird). 31 von 50 • Da CAN im Wesentlichen Broadcast-Mechanismus (CSMA/CA) verwendet, kann Angreifer alle Nachrichten im Bus mitlesen. Dazu kann man z.B. günstigen USB-to-CAN Adapter und Tool CarShark verwenden. Damit können auch beliebige Nachrichten auf den Bus geschrieben werden. • Denial of Service-Attacke: Angreifer versucht sich als Nachricht mit der höchsten Priorität auszugeben und legt damit das gesamte Netz lahm. • Wegen der fehlender Authentifizierung kann jede Komponente an eine andere Komponente eine beliebige Nachricht senden, die z.B. Fehlinformationen enthält und zu einem dauerhaften Fehlverhalten auf dem Bus führt. • Falls im CAN-Bus Fehler (fehlerhafte Nachricht) entdeckt wird, werden über ein Error-Flag andere Komponenten informiert, die in Schlaf-Modus wechseln. Auf diese Weise wird der aktuelle Datenverkehr unterbrochen und erst nach einer gewissen Zeit wieder gestartet. Ein Angreifer kann durch das systematische Aussenden solcher Fehler-Flags ebenfalls den Bus lahm legen. • Beispiele sind aus Presse oder aus experimentellen Analysen. OEMs halten sich hier sehr bedeckt. • Tachometerrückstellung: Auf tachoteam.de wird diese Dienstleistung offiziell beworben. • HappyLightShow.de bzw. .com: Vornehmlich für GM-Fahrzeuge, um Funktionalitäten des Fahrzeugs zu erweitern, wie Bremslichter, spezielle Warnblicklichter, wenn Kofferraum geöffnet wird und vieles mehr. • Chiptuning: Nicht nur Leistungssteigerung auch günstigeren Verbrauch. Im einfachsten Fall wird die Programmierung der kompletten Steuergeräte-Software vorgenommen (statt Austausch ECU). • Komponentensimulation: So kann per Reverse Engineering Nachrichtenfluss ermittelt werden. • Schlüssel-Klonen: OBD-Port besitzt CAN-Bus-Anschluß, in 3 Minuten kann so mit Hilfe einer Software neuer Schlüssel generiert werden. Wegfahrsperre muss nicht umgangen werden. Lücken in der Buskommunikation: LIN, FlexRay und MOST • LIN-Bus ist ein (kleiner) Subbus zur Kommunikation mit intelligenten Sensoren und Aktoren und wird eingesetzt, wenn CAN über dimensioniert ist. • LIN arbeitet ebenfalls ohne Verschlüsselung, verwendet Broadcast aber keine Authentifizierung. Das Power Management kann prinzipiell vom Angreifer mißbraucht werden. • Allerdings sind bisher keine direkten Angriffe auf den LIN-Bus aus der Presse bekannt. • Die Sicherheitslücken sind im Falle von FlexRay ähnlich zu bewerten. Auch hier sind keine Angriffe aus der Presse bekannt. • Der MOST-Bus ist ebenfalls im Vergleich zum CAN-Bus ein seltener Angriffspunkt. • Das könnte daran liegen, dass MOST nicht so leicht zugänglich ist und passende Geräte zum Zugriff recht teuer sind. • Zudem wird dieser Entertainment-Bus nur in den Fahrzeugen der Premium- Klasse eingesetzt. • MOST bietet allerdings im Bereich von Content Protection Sicherheits-Features an. 33 von 50 • LIN-Bus hat ähnliche Sicherheitslücken wie der CAN-Bus. • Im Power-Management kann bei Bedarf in Energiesparmodus gewechselt werden, was von einem Angreifer mißbraucht werden könnte. • Möglicherweise ist LIN-Bus für Angreifer nicht interessant, da er nur sehr gering Bandbreite hat und eher unkritische Aufgaben übernimmt. • FlexRay war als Nachfolger für CAN gedacht, setzt sich aus meiner Sicht allerdings nicht so gut durch. • Eine genau Studie von MOST zeigt im Grunde ähnliche Sicherheitslücken wie die anderen BusSysteme, lediglich mit dem Unterschied: • dass hier der Content geschützt werden kann. • MOST-Bus verfügt über M6- und AES-128 Verschlüsselungstechniken für DTCP (Digital Transmission Content Protection), die eine Voraussetzung zur Übertragung von HQ (High Quality) Audio und Video- Signalen darstellt. Die Umsetzung weiterer Sicherheitsaspekte ist optional (kann also der Anwendungsprogrammierer entscheiden). Jeder verschlüsselten Datenübertragung geht ein AKE (Authentification and Key Exchange) voraus. Lücken in der Funkkommunikation • Die drahtlose Kommunikation mit eingebetteten Systemen wird durch den techni- schen Fortschritt immer wichtiger und stellt einen möglichen Angriffspunkt dar. • Die folgenden Techniken stellen entsprechende Beispiele dar: • Bluetooth • Funkschlüssel (Keyless Entry-Systeme) • Reifendruckmessung (Tire Presure Monitoring System: TPMS) • Internet-Kommunikation • Obwohl einige dieser Varianten krytographische Sicherheitsmaßnahmen anwenden, sind sie doch häufig Ziel einiger erfolgreicher Angriffe. • So stellen beispielsweise Wegfahrsperren oder ganz allgemein Keyless Entry- Systeme eine der ältesten Anwendungsgebiete der Kryptographie in Fahrzeugen dar und wurden bereits erfolgreich gebrochen. 35 von 50 • Aus Zeitgründen werden die entsprechenden Details nicht weiter beleuchtet. Es sei nur erwähnt, dass gerade im Bereich Bluetooth sehr viele Schwächen vorliegen und einige Angriffe bekannt sind. • Car Whisperer: Dieses Tool wurde von europäischen Forschern entwickelt mit dem Ziel alle Beteiligten zu sensibilisieren, insbesondere die Hersteller von Bluetooth-Geräten. Da nahezu immer die Standard-PIN-Codes 0000 oder 1234 verwendet werden. Die „Schad-Software“ versucht mit Hilfe dieser Codes mit erreichbaren Audio-Geräten eine Verbindung aufzubauen und kann anschließend über Mikrofon die Kommunikation im Fahrzeug belauschen. • Der wohl berühmteste Angriff BlueSnarf nutzt eine Lücke in speziellen Profil OPP (OBEX Push Profile) aus, welches üblicherweise dazu verwendet wird, Visitenkarten oder andere Dateien auszutauschen. Da keine Authentifikation benötigt wird, kann ein Angreifer sich problemlos mit dem Gerät verbinden. Mit Hilfe eines OBEX-GET-Befehls kann auf bestimmte Dateinamen zugegriffen werden. Auf Grund fehlerhafter Gerätefirmware kann beim Zugriff auf bestimmte Dateinamen wie z.B. telecom/pb.vcf auf den Kalender oder das Telefonbuch zugegriffen werden. • Keyless Entry Systeme basieren auf einem sogenannten Challenge-Response Verfahren. • Challenge-Response Verfahren setzt auf den Austausch eines Zufallswerts, der mit einem gemeinsam bekannten Schlüssel verschlüsselt wieder an das Fahrzeug gesendet wird. • 2008 gelang es einer der bisherigen als sicher gekannten Verfahren (KeeLoq) zu brechen. Man muss wissen, dass KeeLoq in nahezu allen Fahrzeugen und Garagentoröffnern in Europa und USA eingesetzt wird. Bei Fahrzeugen wird diese Technik zur Öffnung von Türen und zur Realisierung von Wegfahrsperren eingesetzt. Praktische Informationen zur Durchführung sind nicht bekannt (Via Sidechannel-Angriff gelang es den Mastercode des Herstellers auszulesen) • Viele eingebettete Systeme bieten mittlerweile WLAN oder UMTS Zugang an. In diesem Fall ist das Fahrzeug mit einem Schlag dem riesigen Bedrohungspotential ausgeliefert, der im Internet aktuell gilt. Sicherheits-Mechanismen • Grundlegend bei der Umsetzung von Sicherheitsmaßnahmen ist, dass ein System weiß, wer ein Nutzer ist, um zu entscheiden zu können, ob er über ausreichende Rechte für eine gewählte Aktion verfügt. • Das Thema Umsetzung von Sicherheit ist sehr vielschichtig und kann hier nur grob angerissen werden. Die wichtigen Themen in diesem Bereich betreffen: • Kryptographie ist Technik zur Verschlüsselung von Informationen. Die Sicher- heit der Kryptographie basiert auf Geheimhaltung der Schlüssel und nicht der Algorithmen. • Firewall kontrolliert (separiert) den Datenverkehr zwischen verschiedenen Berei- chen. • Antivirenprogramme versuchen das Vorhandensein oder die Aktivität von Schadprogrammen im System zu erkennen bzw. zu unterbinden. • Zugriffskontrolle verwendet im Wesentlichen eine Zugriffsmatrix, die in tabella- rischer Form die Rechte von zu schützenden Objekten, den zu nutzenden Subjekten zuordnet. • Gefängnisse und Sandkästen 37 von 50 • Wenn System von Beginn an nach dem oben beschrieben Prinzip entwickelt würden, dann gäbe es viele Sicherheitsprobleme nicht. Häufig wird Sicherheit erst im Nachhinein konzipiert und realisiert, so dass die grundlegende Sicherheitsproblematik bestehen bleibt. • Bei der Kryptographie unterscheidet man verschiedene Schutzziele und verschiedene Realisierungsvarianten: • Man unterscheidet die Schutzziele „Unleserlich machen", „Daten-Integrität“ und „Absender-Authentizität“ (Digitale Signatur). • Bei der Realisierung unterscheidet man symmetrische Varianten (1 Schlüssel: sehr schnell) und asymmetrische Varianten (privater und öffentlicher Schlüssel: langsamer). • Daneben gibt es auch Hashfunktionen, welche zur Optimierung eingesetzt werden. Um den Aufwand zu reduzieren, ein sehr großes Dokument zu unterschreiben, wird zunächst das Dokument mit Hilfe einer Hash-Funktion (so was wie eine Quersumme) verkleinert und anschließend unterschrieben. • Im einfachsten Fall kann eine Firewall wie ein Internet-Router interpretiert werden, welcher zusätzlich mit Hilfe von Regeln, Pakete blockiert oder durchläßt, dem sogenannten Paket-Filter. • Ein guter Paket-Filter verfügt über Gedächtnis, kennt also das entsprechende Kommunikationsprotokoll. • Intrusion Detection Systeme bzw. Intrusion Reaction Systeme verwenden zusätzlich VerkehrsMuster, um aus bekannten Muster, Angriffe ableiten zu können. Sicherheits-Mechanismen • Grundlegend bei der Umsetzung von Sicherheitsmaßnahmen ist, dass ein System weiß, wer ein Nutzer ist, um zu entscheiden zu können, ob er über ausreichende Rechte für eine gewählte Aktion verfügt. • Das Thema Umsetzung von Sicherheit ist sehr vielschichtig und kann hier nur grob angerissen werden. Die wichtigen Themen in diesem Bereich betreffen: • Kryptographie ist Technik zur Verschlüsselung von Informationen. Die Sicher- heit der Kryptographie basiert auf Geheimhaltung der Schlüssel und nicht der Algorithmen. • Firewall kontrolliert (separiert) den Datenverkehr zwischen verschiedenen Berei- chen. • Antivirenprogramme versuchen das Vorhandensein oder die Aktivität von Schadprogrammen im System zu erkennen bzw. zu unterbinden. • Zugriffskontrolle verwendet im Wesentlichen eine Zugriffsmatrix, die in tabella- rischer Form die Rechte von zu schützenden Objekten, die zu nutzende Subjekte zuordnet. • Gefängnisse und Sandkästen 39 von 50 • Antivirenprogramme untersuchen Dateien und Hauptspeicher nach Schädlingen (Rootkits, Spyware, Trojaner etc.). • Dabei werden Signaturen bekannter Schädlinge verwendet oder Codesequenzen mit heuristischen Verfahren auf ein Schadpotential hin untersucht. • Einige Variante untersuchen Metadaten und zwar werden die dynamische Daten analysiert. Es wird also nicht der Programmcode untersucht, sondern das Verhaltensmuster der Anwendung zur Laufzeit wie Datei- oder Netzwerkzugriffe. • Bei der Zugriffskontrolle stellen Dateien, Geräte oder Prozesse typische Objekte dar und User oder Gruppen typische Subjekte. Es geht darum, die entsprechenden gültigen Rechte zu erfassen und zu kontrollieren. • Gefängnisse und Sandkäste • Bei dem Jailing (Gefängnisse) genannten Verfahren wird ein vertrauenswürdiger Prozeß eingesetzt, um einen anderen Prozeß zu beobachten und im Bedarfsfall einzuschreiten. Immer wenn der Gefangenenprozeß einen Systemaufruf tätigt, wird der Wärter aktiv und entscheidet, ob er diesen Aufruf zuläßt oder unterbindet. Das Maß an Sicherheit liegt am Wissen des Wärters über schadhaftes Verhalten. • Das Sandboxing (Sankasten) Verfahren erzeugt für potentiell gefährliche Prozesse oder zu Testzwecken eine isolierte Umgebung, den Sandkasten. Um das System gegenüber der im System laufenden Anwendung zu schützen, werden Zugriffe von dort unterbunden, reglementiert oder auf ungefährliche Bereiche umgeleitet. • Die technische Umsetzung dieser Sicherheitskonzepte findet mit Hilfe von Virtualisierungskonzepten statt. Was sollte im Fahrzeug eingesetzt werden? • Wie bisher erläutert, wurden in der Vergangenheit in Fahrzeugen Sicherheitsme- chanismen eher selten eingesetzt. • Einige Bereiche werden bereits gesichert, wie z.B. die Keyless Entry Systeme, aber auch die Versionsverwaltung (Updates der Steuergeräte) der Hersteller etc. • Andere Bereiche, wie z.B. die gesamte Bus-Kommunikation erfolgt ungeschützt. • Die Frage, ob die bekannten Sicherheitsmaßnahmen auf bereits etablierte Kommu- nikationslücken oder andere Sicherheitslücken anzuwenden ist, ist eher mit Nein zu beantworten zumindest in der nahen Zukunft. • Allerdings stellt die Bereitstellung des Internets im Fahrzeug eine kritische Sicher- heitslücke dar, deren Behandlung keinen zeitlichen Aufschub dulden sollte. • Die Gefahren, die durch das Internet im Fahrzeug ermöglicht werden, müssen sofort beantwortet werden. • In diesem Fall ist das Konzept der Virtualisierung das Mittel der Wahl. 41 von 50 • Beim SW-Update werden die bekannten Prinzipien aus der Kryptographie insbesondere das Arbeiten mit Schlüsselzentralen und zertifizierten Produkten verwendet. • Die bisherigen Sicherheitslücken werden eher mit Hilfe zukünftiger Protokoll-Generationen gelöst werden, und weniger durch eine simple Erweiterung. • Beim Internet muss sofort reagiert werden: Aus meiner Sicht kann man nur versuchen, Fahrzeug und Internet möglichst vollständig zu trennen: • Eine komplette Trennung in Hardware verbietet sich wohl eher aus Kostengründen. • Daher kommt nur eine Trennung mit Hilfe der Virtualisierung in Frage. Virtualisierungs-Varianten • Im Wesentlichen wird zwischen zwei Teilsystemen unterschieden. Das Host- System ist ein realer, physischer Computer, welcher die Virtualisierungstechnik anbietet (hostet). Das Gast-System bezeichnet einen virtuellen Computer, der durch das Host-System angeboten bzw. verwaltet wird. Es werden die folgenden Virtualisierungs-Techniken unterschieden: • Die Emulation bezeichnet die funktionale Simulation eines Computers auf Soft- warebasis. D.h. für jede zu emulierende HW-Komponente reproduziert der Emulator dasselbe Verhalten durch ein Programm. • Bei der Maschinen-Virtualisierung werden auf einem Computer eine oder meh- rere virtuelle Maschinen (VM) erzeugt und verwaltet. • Bei der OS (Operating System) Virtualisierung wird die Trennung der einzel- nen Instanzen (Container), durch Trennung der Namensräume des Betriebssystem realisiert. Zum Beispiel durch eigene Prozess-IDs, ein eigenes RootDateisystem oder Netzwerkadresse je Container. • Bei der Prozessvirtualisierung wird für jede Ausführung einer Anwendung (Pro- zeß) eine eigene Laufzeitumgebung gestartet, die ebenfalls als Virtuelle Maschine (VM) bezeichnet wird. 43 von 50 • Da die Emulation ein komplettes System vollständig in Software abbildet, kann das Host-System jede Form von Architektur und Hardware emulieren, wenn die entsprechenden Routinen verfügbar sind. • Die Maschinen-Virtualisierung wird auf der nächsten Folie etwas ausführlicher beschrieben. • Die OS-Virtualisierung ist auch unter dem Namen Container Virtualisierung bekannt, da sie ja auf der Trennung mit Hilfe von Container basiert. • In Abhängigkeit von der Konfiguration kann jede Instanz eines Containers unterschiedlich stark vom Host bzw. von anderen Containern isoliert werden. Das Betriebssystem wird dazu um einige Tools ergänzt, welche die Container einrichten, isolieren und die Ressourcen für einen Container beschränken. • Als Konsequenz aus dieser Methode muss der Host-Kernel die Eigenschaften aller Gast-Kernel umfassen, da es genau einen Kernel zur Laufzeit gibt. Auf diese Weise ist es z.B. möglich, einen Android-Container auf einen Linux-Host zu betreiben, da auch Android auf einem Linux-Kernel basiert. • Im Gegensatz zur Maschinen-Virtualisierung ist die dynamische Zuteilung der Container-Ressourcen möglich, also die Veränderung der Ressourcen, ohne das virtuelle System im Container herunter fahren zu müssen. • Im Unterschied zu den anderen Techniken ist bei der Prozessvirtualisierung die Laufzeit der VM direkt an die Anwendung gekoppelt. Sie startet und endet mit dieser. Bei dieser VM handelt es sich um eine abstrakte Maschine, von der es im Grunde nur eine Spezifikation gibt. • Das vorrangige Ziel der Prozessvirtualisierung liegt in der Plattformunabhängigkeit für die Anwendungsentwicklung. Beispiele sind die Java VM, dotNET oder auch Dalvik VM von Android. Maschinen-Virtualisierung Linux WIN 7 Kernel ... App App ... App ... App VM App App ... App VM App App VM BSD Kernel Kernel Virtual Machine Monitor Host Host-OS Kernel 45 von 50 • Die Software-Komponente, die auf dem Host-System läuft und die Steuerung der virtuellen Maschine dient, wird Hypervisor oder Virtual Machine Monitor (VMM) genannt. • Im Unterschied zur Emulation muss hier die HW-Architektur des Gast-Systems identisch mit der Architektur des Host-Systems sein. • Die Wahl des verwendeten BS hängt hingegen nur von der Architektur des Gast-Systems ab. • Im einfachsten Fall (siehe Folie) läuft der Hypervisor unmittelbar auf der Hardware. Das BS besteht also nur aus dem Hypervisor. Der Hypervisor hat dadurch die volle Kontrolle über die HW. HW-Zugriffe müssen allerdings vom Hypervisor selbst umgesetzt werden. • Bei einer erweiterten Form setzt der Hypervisor auf einem vollwertigen BS auf. In diesem Fall fällt der Hypervisor kleiner aus, da er für die HW-Zugriffe das BS verwenden kann. • Über die Zeit sind verschiedene Formen der Maschinen-Virtualisierung entwickelt worden, deren Abgrenzung nicht immer trennscharf ist. Im Wesentlichen erfolgt die Trennung an Hand des entsprechenden Privilegierungsmodell: • In der x86 - Architektur (Intel) gibt es ein Privilegierungsmodell, das aus den Ringen 0 bis 3 besteht. Ring 0 besitzt dabei die höchste Priorität und wird auch Kernel-Mode genannt. Die übrigen Schichten werden als User-Mode bezeichnet. Ring 0 hat als einziger direkten Zugriff auf die HW und kapselt diese gegen die anderen Schichten ab. Anwendungen laufen typischerweise im Ring 3 ab und können keine CPU-Instruktionen ausführen, die andere Prozesse beeinflussen könnten. • Aus der Sicht eines CPU-Designers teilen sich alle CPU-Instruktionen in privilegierte und nicht-privilegierte Instruktionen. Nicht-privilegierte Instruktionen werden im User-Mode ausgeführt, eine Ausnahmebehandlung wird ausgelöst und die HW relevante Zugriffe im Kernel-Mode durchgeführt. • Die Maschinen-Virtualisierungs-Varianten unterscheiden sich in der Abbildung der HW-Zugriffe des Gast-Systems auf das Host-System bzgl. privilegierte bzw nicht-privilegierter Instruktionen. Virtualisierungs-Techniken: Analyse • Bei der Analyse der verschiedenen Varianten spielt neben dem Aspekt der Sicher- heit natürlich auch der Leistungsaspekt eine entscheidende Rolle: • Die Fähigkeit der Emulation, verschiedene Systeme zu simulieren und architek- turübergreifend zu arbeiten, führt zu einem hohen Performanceverlsut und kommt daher für den Einsatz im Eingebetteten Systemen nicht in Frage. • Das primäre Ziel der Prozessvirtualisierung liegt weder in der Virtualisierung noch in der Sicherheit. sondern in der Plattform-Unabhängigkeit für die Anwendungsentwicklung. • Seitdem die Chip-Hersteller ihre CPUs um Virtualisierungsfunktionen erweitert haben, ist der Leistungsverlust bei der Maschinen-Virtualisierung eher moderat. Da die i.d.R. entsprechende Varianten Gast-Systeme als vollständige Maschine virtualisieren, bleiben Angriffe zunächst auf diese beschränkt. Das vom Gast-System isolierte Host-System bleibt unbehelligt. • Bei der OS- Virtualisierung wird nur ein sehr geringer zusätzlicher Bedarf an Ressourcen erforderlich. Häufig werden Container Varianten (z.B. LXC) verwendet. Da der Kernel von Host und Containern identsich ist und Root-User aller Umgebungen darauf zugreifen können, hängt die Sicherheit davon ab, wie restriktiv der Root-User eines Containers mit dem Kernel kommunizieren darf. 47 von 50 • Ehemals erfolgte die Maschinen-Virtualisierung rein in Software und war daher aus Perfomancegründen für Embedded Systeme völlig ungeeignet. • Neuere Hardware kann durch die Unterstützung von I/O- und Speichervirtualisierung einen großen Teil des Overheads reduzieren, der sonst durch Indirektion über den Hypervisor entsteht. • Innerhalb von Linux stehen für die Maschinen-Virtualisierungsvarianten bereit wie z.B. VMware, Citriy XEN und Kernel Based Virtual Machine (KVM). • Mit der Virtualisierungstechnik wird natürlich auch eine Softwareschicht eingeführt, die ebenfalls angegriffen werden kann. Sogar bei fehlerfreien Gast-BS kann ein Angreifer den Hypervisor oder die Peripherie-Emulation selbst attackieren, was sich häufig als DoS-Attacke auf Gast-System oder Host-System auswirkt. • Falls man auf Linux als BS festgelegt ist, schränkt sich die Auswahl der OS-Level basiert Virtualisierungen auf unter Linux verfügbare Lösungen ein. • Seit der Version 2.6.24 des Linux-Kernels gibt die Container-Lösung Linux Container (LXC), welche direkt in den Kernel integriert und damit sofort verfügbar ist. Daher auch die gute Performance. • Zum Schutz des Gesamtsystems müssen die Root-Aktivitäten innerhalb der Container restriktiv gehandhabt werden. Ubuntu stattet beispielsweise ihre LXC Container mit einem Satz von Apparmor Regeln (Zugriffsrechte) aus. weist aber allerdings darauf hin, dass dies kein vollwertiger Schutz vor bösartigen Aktivitäten bietet, sondern eher zur Vermeidung unabsichtlicher Schäden dient. • Im Wesentlichen steht die Sicherheit im Widerspruch zur vollen Funktionalität. Wenn der Root-User eines Containers nicht direkt mit dem Kernel kommunizieren darf, wird gleichzeitig seine Rolle als Administrators innerhalb der Container-Umgebung eingeschränkt. • LXC ist also nur bedingt geeignet, eine sichere Umgebung zur Verfügung zu stellen, eher für die komfortable Partitionierung eines Systems. Vielen Dank für Ihre Aufmerksamkeit! Fragen? gerne auch später an: [email protected] +49 6332 811 100 49 von 50 •