Prävention, Detektion und Reaktion gegen drei Ausprägungsformen automotiver Malware - eine methodische Analyse im Spektrum von Manipulationen und Schutzkonzepten [article]

Tobias Hoppe, Universitäts- Und Landesbibliothek Sachsen-Anhalt, Martin-Luther Universität, Jana Dittmann
2018
Zusammenfassung In den vergangenen Jahren ist der Anteil und die inzwischen essentielle Bedeutung von Informationstechnologie (IT) in modernen Fahrzeugen zunehmend gestiegen. Wesentliche verfolgte Ziele sind es, den Fahrer bestmöglich in seinen Fahraufgaben zu unterstützen sowie ihn und seine Mitmenschen vor Unfällen und damit verbundenen körperlichen Schäden zu schützen. Dazu werden zunehmend komplexe Funktionalitäten geschaffen, die in wesentlichen Teilen auf in das Fahrzeug eingebetteten
more » ... ystemen basieren. In diesem Zuge der fortwährenden Erhöhung von Komfort und Sicherheit (im Sinne der Safety) fällt eine bereits sehr große und weiterhin zunehmende Anzahl von Informationen an, die durch die einzelnen Systeme erfasst, verarbeitet und teils zur späteren Verwendung aufbewahrt werden. Dieser klare Trend macht es zunehmend erforderlich, diese Daten vor Manipulation und unberechtigter Auswertung durch Dritte zu schützen. Somit kommt auch der Informationssicherheit (auch: IT-Sicherheit, IT-Security) moderner Fahrzeuge eine zunehmende, essentielle Bedeutung zu -zumal Security-Vorfälle im automotiven Einsatzumfeld auch direkte oder indirekte Folgen auf die Safety und somit Leib und Leben von Mensch haben können. Bereits umgesetzte Schutzkonzepte adressieren bislang primär punktuelle Angriffspunkte, die insbesondere dem Problembereich der Fahrzeugkriminalität zuzuordnen sind. Gleichzeitig sind in der Praxis vielzählige Fälle elektronischer Eingriffe in Fahrzeug-IT zu beobachten, die einem sehr breiten Spektrum beabsichtigter Ziele dienen -nicht zuletzt im breiten Feld ambitionierter "Bastler" und "Hobbyschrauber". Im Bereich der Desktop-IT-Sicherheit kann ein Großteil von Angriffen auf schadhafte Logik wie insbesondere Schadsoftware (engl.: malicious software, kurz: malware) zurückgeführt werden. Aus diesem Blickwinkel der Malware-Forschung, die in der Desktop-IT bereits als Teilbereich der IT-Sicherheit etabliert ist, setzt sich die vorliegende Arbeit zum Ziel, die aktuelle Rolle und relevante Formen schadhafter Logik in Bezug auf automotive IT-Systeme strukturiert herauszuarbeiten sowie das Spektrum potentieller, darauf angepasster Gegenmaßnahmen aufzuzeigen und weiter zu erschließen. Eine wesentliche, in dieser Arbeit aufgegriffene wissenschaftliche Herausforderung ist, dass zu Beginn der durchgeführten Arbeiten nur vage Anzeichen auf potentielle Malwarebedrohungen automotiver Systeme vorlagen. Als wesentliche Ausgangsbasis der zur Einengung dieser Lücke durchgeführten Forschungsaktivitäten dient ein zweigliedrig durchgeführtes Praxisreview zu relevanten Manipulationen an automotiver IT:  Eine Säule bildet die breit angelegte Recherche von Praxisbeispielen aus öffentlich zugänglichen Quellen, aus der in dieser Arbeit eine exemplarische Auswahl von Ergebnissen aus 5 Bereichen häufig adressierter Fahrzeugsysteme mit insgesamt 23 Einzelbeispielen wissenschaftlich aufgearbeitet wird.  Eine zweite Säule stellen eigene wissenschaftliche Experimente in Laborumgebung dar, in denen automotive IT-Systeme aus der für viele Angreifer typischen Black-Box-Perspektive bzgl. potentieller Angriffsszenarien untersucht wurden. Hierzu wird eine Auswahl von Ergebnissen aus 6 Bereichen potentieller Zielsysteme mit insgesamt 11 Einzelbeispielen vorgestellt. Auf dieser Basis werden anschließend die Relevanz schadhafter automotiver Logik konkretisiert sowie drei grundlegende Formen ihres Auftretens identifiziert. Die hierbei erhaltenen qualitativen Ergebnisse zur realen Relevanz der Bedrohung automotiver Systeme durch schadhafte Logik wurden mittlerweile auch von weiteren Forschern in Publikationen wie [CCK+11] oder [MiVa13] bestätigt. Eine weitere adressierte wissenschaftliche Herausforderung stellt die Frage dar, wie zukünftige automotive Systeme besser gegen entsprechende Vorkommnisse geschützt werden können. Diesbezüglich untersucht die vorliegende Arbeit, wie automotive Schutzkonzepte in Anlehnung an das etablierte Defense-in-Depth-Prinzip auf mehreren, sich ergänzenden Verteidigungslinien gestaltet werden können.  Zum einen werden hierzu verschiedene, beispielhafte Konzepte vorgestellt, diskutiert und teils prototypisch realisiert und evaluiert, die neben der Ebene der Prävention (der auch -II -ein Großteil bestehender sowie parallel entstandener Forschungsarbeiten zugeordnet werden kann) gezielt auch die Detektion von Vorfällen sowie Möglichkeiten der Reaktion adressieren.  Zum anderen wird untersucht, wie die Wirksamkeit der einzelnen Verteidigungslinien durch gezielte Bündelung domänenübergreifender Aktivitäten im Rahmen eines fahrzeugherstellerseitigen IT-Sicherheitsmanagements fortwährend an sich ändernde Bedrohungslagen angepasst werden kann. Ein wesentliches Beispiel der in diesem Rahmen vorgeschlagenen Aktivitäten ist die Abbildung etablierter Strategien und Techniken der Malwareanalyse auf den automotiven Kontext. Die Anwendbarkeit der für automotive Malwareanalysen vorgeschlagenen Schritte und Strategien wird an realen Praxisbeispielen validiert, indem der Weg zu einem Analyseergebnis für jede der drei identifizierten Ausprägungsformen anhand eines zugehörigen Malwareexemplars demonstriert wird. Ein besonderer Aspekt dieser Herausforderung liegt darin, dass im Desktop-IT-Bereich zwar schon umfangreiche Erfahrungen zu securitybezogenen Konzepten und Prozessen auf verschiedenen Verteidigungslinien bestehen, auf die hierbei aufgebaut werden kann -die jedoch auf Grund der charakteristischen Besonderheiten des automotiven Einsatzgebietes vielfach nicht direkt auf dieses übertragbar sind. Dies begründet sich neben noch vorherrschenden technologischen Unterschieden der jeweiligen IT-Systeme (z.B. bzgl. der eingesetzten Hard-und Softwarearchitekturen und verfügbaren Ressourcen) auch durch grundsätzliche Besonderheiten des speziellen automotiven Einsatzumfelds. Insbesondere ist dieses im Gegensatz zu typischen Desktop-IT-Umgebungen auch safetykritischen Charakters, so dass durch Security-Vorfälle im Automobil nicht nur digitale Informationen, sondern auch Leib und Leben von Menschen im Fahrzeug und seinem Umfeld gefährdet sein können. Ein weiterer Aspekt, der in dieser Arbeit aufgegriffen wird, sind die deutlich abweichenden Möglichkeiten zur Administration entsprechender Systeme. Zusammenfassend vermittelt diese Arbeit eine anwendungsorientierte Sicht auf praktische Bedrohungen automotiver IT-Systeme durch drei verschiedene, relevante Formen schadhafter Logik. Das breite Spektrum möglicher Schutzmaßnahmen auf drei sich ergänzenden Verteidigungslinien Prävention, Detektion und Reaktion wird anhand mehrerer, auch experimentell validierter Konzepte illustriert. Obwohl angesichts dieser Breite der vorgenommenen Betrachtungen das Ziel eines lückenlosen Gesamtkonzepts für eine einzelne Dissertation zu hoch gesteckt wäre, wird ein strukturierter Rahmen aufgezeigt, in den sich bestehende weitere Forschungsansätze für automotive Securityfunktionen einordnen lassen und der weiteres Potential für ergänzende und vertiefende Arbeiten bietet. Die Arbeit möchte hiermit zu einer konsequenten und wirtschaftlichen Optimierung der IT-Sicherheit der modernen Fahrzeuge von morgen beitragen. Hinweis zur Interpretation dieser Arbeit bzgl. juristischer Belange Der Autor dieser Arbeit hat keinerlei juristischen Ausbildungshintergrund. In der vorliegenden Arbeit wird daher größtenteils auf rechtliche Einschätzungen verzichtet oder vereinzelt auf bestehende gesetzliche Regelungen verwiesen, was an den jeweiligen Stellen nach bestem Wissen des Autors aus der Perspektive eines juristischen Laien erfolgt. Insbesondere sei betont, dass die Verwendung der Begrifflichkeit automotiver Malware ausschließlich in Bezug auf die in Abschnitt 4.1 erarbeitete Definition dieses Terminus erfolgt. Somit weist die Verwendung dieses Begriffs im Wesentlichen auf die mögliche Verletzung von Interessen der in Abschnitt 4.1.3 behandelten Interessengruppen hin. Es sei betont, dass die Bezeichnung eines Soft-oder Hardwareobjekts als automotive Malware nicht impliziert, dass dieses aus rechtlicher Perspektive grundsätzlich als illegal bzw. nicht rechtskonform zu bewerten sei. Entsprechende Bewertungen zum rechtlichen Status würden juristisch fundierte Untersuchungen erfordern, die im Rahmen dieser Arbeit nicht geleistet werden können. -III -Danksagung Die vorliegende Arbeit entstand während meiner Zeit als Doktorand und Wissenschaftlicher Mitarbeiter an der Mein erster Dank richtet sich an meine Betreuerin Frau Prof. Jana Dittmann für die gemeinsame Zusammenarbeit während der vergangenen Jahre in der Arbeitsgruppe Multimedia and Security. In Bezug auf die vorliegende Arbeit gilt dieser Dank besonders den mir gebotenen Möglichkeiten zur anwendungsnahen Forschung im Bereich der Automotive Security, die mir besonders auch durch die Nutzbarkeit der gut ausgestatteten Automotive-Labore in der Fakultät für Informatik (FIN) sowie dem Institut für Kompetenz in AutoMobilität (IKAM) erleichtert wurde. Ebenso danke ich ihr für viele nutzbringende Einblicke in diverse weitere Anwendungsgebiete der IT-Sicherheit, die ich parallel -u.a. durch die Möglichkeit zur Mitarbeit in diversen Forschungsprojekten -erhalten und einbeziehen konnte. Ebenfalls persönlich danken möchte ich:  Prof. Michael Meier (Universität Bonn) für angenehme Gespräche auf mehreren Konferenzen der Gesellschaft für Informatik (GI) und produktiven Austausch über Intrusion Detection und ihre automotive Anwendung.  Michael Müter (Daimler AG) für einen guten langjährigen Kontakt und gegenseitigen Austausch sowie für konstruktive gemeinsame Arbeiten auf dem Gebiet automotiver Intrusion Detection und Vorfallsbehandlung.  Den Magdeburger Kollegen Sven Kuhlmann (Tuchscheerer), Stefan Kiltz, Mario Hildebrandt und Robert Altschaffel für viele angeregte Diskussionen rund um automotive Systeme, ihre Sicherheit und den Umgang damit sowie allen weiteren Magdeburger Kollegen für eine angenehme Arbeitsatmosphäre. Des Weiteren danke ich den engagierten Magdeburger Studenten der Fakultät für Informatik, mit denen im Rahmen diverser betreuter automotiver Projekte gute Ergebnisse erzielt und konstruktive Anregungen erarbeitet werden konnten. Mit Bezug auf die vorliegende Arbeit wird an dieser Stelle insbesondere folgenden (ehemaligen) Magdeburger Studenten für ihren Einsatz in den betreuten Studienprojekten und Abschlussarbeiten gedankt:  Björn-Erik Aust für seinen Einsatz und kreative gemeinsame Diskussionen zu Ansätzen der Ausgestaltung eines automotiven Intrusion-Management-Prozesses.  Frederik Exler für seine engagierte Unterstützung bei der Erstellung automotiver IDS-Signaturen sowie bei der Ausgestaltung und Evaluation der prototypischen Implementierung eines automotiven IDS.  Marko Rieche für gute Anregungen und gemeinsame Diskussionen zu anomaliebasierter automotiver Intrusion Detection und Entscheidungsfindung.  Moritz Raabe für vertiefende Einblicke in das Definitionsspektrum zu Computer Emergency Response Teams (CERTs) sowie in realweltliche Beispiele (grundlegende Techniken und Abläufe) von CERTs in der Industrie.  Alexander Schulze, Christopher Lobe und Jens Schiborowski für die Unterstützung bei den praktischen Untersuchungen zu bestehenden Manipulationsmöglichkeiten an integrierten Navigationssystemen.  Marc Linde, Robert Meusel, Philipp Müller und Mike Richter für ihre engagierte Unterstützung bei den mit Hilfe verschiedener Entwicklungs-/ Testumgebungen zur C2X-Kommunikation vorgenommenen Untersuchungen.  Wiebke Menzel, Andy Breuhan, Peter Kretschmer und Christian Darius für die gute Zusammenarbeit bei der Konzipierung und Durchführung von Fahrsimulationen zur Untersuchung von Fahrerreaktionen auf Security-Warnungen.  Maik Morgenstern für ergiebige Diskussionen und Anregungen im Kontext der Nutzbarmachung bestehender Erfahrungen der Desktop-IT-Sicherheit für den Einsatz in im automotiven Anwendungsbereich.  Sönke Holthusen und Thomas Naumann für ihre Mitarbeit an der Erarbeitung, Ausgestaltung und prototypischen Untersuchung des Basiskonzepts für Forensische Fahrzeugdatenschreiber. -IV - Thomas Rehse, Falko Rassek, Wiebke Menzel und Florian Kantelberg für ihr Engagement und praktische Unterstützung bei verschiedenen weiteren theoretischen und praktischen Arbeiten im Umfeld der automotiven IT-Forensik. Zudem danke ich allen weiteren, hier nicht namentlich genannten Personen, die mir während der Entstehung dieser Arbeit eine Hilfe waren. Besonderer Dank gilt darüber hinaus meinen Eltern und meiner Frau Stefanie für Ihre fortwährende Unterstützung und Geduld sowie meinen geliebten Kindern Frida und Hans, denen ich nun wieder einen größeren Teil meiner Freizeit widmen kann. Hannover, im Januar 2015, Tobias Hoppe -V -Vorwort Können Sie sich vorstellen, dass der Angreifer, der gestern noch eine Schadsoftware auf Ihren PC einschleuste um sich Ihres Onlinebanking-Kontos zu bemächtigen, sich heute oder morgen der IT in Ihrem Neuwagen zuwendet? Einem Großteil unserer Mitmenschen fällt es sichtlich schwer einzuschätzen, wie wahrscheinlich dies überhaupt ist und was die Folgen sein könnten. Im Kontext der dieser Arbeit zugrundeliegenden Forschung (siehe z.B. Abschnitt 5.3.4) zeichnete sich dieses Bild beispielsweise in Fahrsimulationen ab, in denen Testpersonen -größtenteils sogar Studenten IT-naher Studiengänge -mit entsprechenden Warnmeldungen des Fahrzeugs konfrontiert wurden. Bedrohungen durch Malware, d.h. schadhafter Programmlogik, wurden in der öffentlichen Wahrnehmung lange Zeit nahezu ausschließlich der Desktop-IT (d.h. dem "PC-Bereich") zugeschrieben. Insbesondere bei den auf PC-Systemen derzeit am meisten verbreiteten Betriebssystemen der Microsoft Windows Familie (Marktanteil Stand Juni 2014 ca. 91,7% [Nems14]), auf die sich der Großteil der Angreifer fokussiert, ist sich ein Großteil der Nutzer und Betreiber dieser Bedrohung auch durchaus bewusst und sorgt durch verschiedenste am Markt angebotene Security-Produkte für zusätzlichen Schutz. Doch auch abseits dieses etablierten "Massenmarkts" für Malware und Schutzprodukte existieren auf der anderen Seite Nischen für neuartige Bedrohungen, die Betreiber und Nutzer "exotischerer" Systeme häufig nicht kennen oder unterschätzen und die spezialisierten Angreifern zunehmend neues Schadpotential eröffnen. Bereits innerhalb des Desktop-IT-Bereichs lassen sich treffende Beispiele hierfür identifizieren. Beispielsweise werden alternative Betriebssysteme, die aufgrund ihrer geringeren Verbreitung als weniger attraktiv für Angreifer gelten (z.B. Mac OS oder Linux mit 6,7% bzw. 1,7% Marktanteil [Nems14]), durch viele Nutzer fälschlicherweise als "immun" gegen Schadcode empfunden oder sogar durch Fachmagazine entsprechend dargestellt. Auch ist das Angebot von IT-Sicherheitslösungen für entsprechende Systeme derzeit noch deutlich geringer. Indem viele Betreiber und Nutzer entsprechender Systeme grundsätzlich vorhandene Malwarebedrohungen fahrlässig ignorieren, führt dieses Wiegen in falscher Sicherheit häufig dazu, dass Schutzvorkehrungen vernachlässigt werden. Zunehmend auch für diese Systeme beobachteter Malware stehen daher derzeit oft kaum Hürden im Weg. Dass das Vorhandensein von Malware für ein (Betriebs-)System nicht primär an dessen Namen bzw. dem Ruf seines Herstellers festgemacht werden sollte, betont auch der Malwareexperte Eugene Kaspersky (Gründer des das Unternehmens Kaspersky Lab, eines der führenden Anbieter von IT-Sicherheitslösungen). In [Kasp08] postuliert er drei allgemeine "Bedingungen für die Existenz von Schadprogrammen":  Verbreitung: Das System muss weit verbreitet sein, damit möglichst viele potentielle Opfer vorhanden sind.  Umfassende Dokumentation: Zu dem System muss es eine umfassende Dokumentation geben, damit sich die Programmierer mit den technischen Details vertraut machen können.  Unzureichende Sicherheit oder Schwachstellen des Systems oder der Anwendungen, damit es genügend Zugriffsmöglichkeiten gibt. [Kasp08] Blickt man über den Horizont der Desktop-IT hinaus, so stellt man fest, dass damit auch Anwendungsgebiete weiterer Formen von Informationstechnologie (z.B. eingebettete Systeme oder Automatisierungstechnik) grundsätzlich ebenfalls Ziel von schadhafter Logik werden könnten. Dass dies bereits Realität ist, hat hingegen erst seit vergleichsweise kurzer Zeit Einzug in das öffentliche Bewusstsein gehalten -im Wesentlichen seit der öffentlich betriebenen Aufdeckung und Analyse der Schadsoftware Stuxnet [Syma11]. Die Existenz dieser offenbar hochprofessionell entwickelten Schadsoftware, bei der aufgrund nachgewiesener Manipulationen an ausgewählten Automatisierungssystemen das Ziel der Sabotage von Urananreicherungsanlagen vermutet wird, relativiert die o.g. Existenzkriterien sogar teilwei--VI -se: Insbesondere sind die ersten zwei Bedingungen nicht als Ausschlusskriterien zu deuten -bei ausreichender Fokussierung des Angreifers können auch gering verbreitete Systeme mit nicht oder nur begrenzt verfügbarer Dokumentation zum Ziel von Malware werden. Die vorliegende Arbeit widmet sich einem Überblick über die Bedrohung durch Schadlogik im Bereich der zunehmend komplexen automotiven IT-Systeme (d.h. die in modernen Fahrzeugen eingebettete IT). Sie reflektiert die aktuelle Lage, identifiziert drei generelle Ausprägungsformen automotiver Malware und diskutiert sowie bewertet Gegenmaßnahmen, die gezielt ein breites Spektrum aus Prävention, Detektion und Reaktion adressieren. -VII - Inhaltsverzeichnis
doi:10.25673/4169 fatcat:po4xpfikfjfa7bvtmlcdcadqsa