zurück zum Artikel

US-Sicherheitsspezialisten haben demonstriert, wie sie mit einem alten Macbook die Kontrolle über ein Testfahrzeug übernehmen können. Sie deaktivierten die Bremswirkung, ließen die Gurtstraffer anziehen, lösten die automatische Gefahrenbremsung aus, gaben Vollgas, hupten...

Zwei US-Sicherheitsspezialisten haben dem Forbes-Magazin demonstriert, wie sie vom Rücksitz aus mit einem alten Macbook die Kontrolle über ein Testfahrzeug übernehmen können. Sie deaktivierten die Bremswirkung, ließen die Gurtstraffer anziehen, lösten die automatische Gefahrenbremsung aus, gaben Vollgas, hupten und griffen über die Selbstparkfunktion in die Lenkung ein. Die Armaturen zeigten dabei beliebigen Quatsch an, der vom Rücksitz aus vorgegeben wurde, also zum Beispiel Geschwindigkeiten von über 300 km/h im Test-Prius oder einen vollen Tank. Die Experten Charlie Miller und Chris Valasek sprechen auf der Def Con in Las Vegas über die Ergebnisse [1] ihrer Versuche, die mit 80.000 von der DARPA bezuschusst wurden. Allerdings sind diese Ergebnisse hauptsächlich in ihren Details für andere Experten interessant. Autobesitzer sollten sich von den periodisch auftretenden Meldungen à la "Ich habe ein Auto gehackt" nicht beunruhigen lassen, solange die Saboteure direkten Zugriff auf das Fahrzeuginnere und Zeit zum Anschluss brauchen. Stellen Sie sich hierzu vor, was ein Einbrecher in Ihrem Firmennetzwerk anrichten könnte, wenn er beliebig lange jeden Raum in jedem Gebäude betreten und alle Post-Its lesen könnte.

So sagte auch gleich Toyota zu Forbes, sie seien nicht beeindruckt: "Unsere Bemühungen zielen darauf ab, Einbrüche über ein Funksystem von außen zu verhindern." Und vor dieser Maßgabe seien ihre Systeme "robust und sicher". Im Gespräch mit Heise Online ergab sich ein ähnliches Antwortenbild von der deutschen Auto-Industrie. Mehr noch: Es gibt ein Gefühl von "alle Jahre wieder", weil es immer mal wieder jemand Anderem auffällt, dass Autos voller Rechner sind, und Angst vor unbekannter Technik ist stets ein gutes Lochthema. Einen Fall, dass ein Angreifer vom Straßenrand über zum Beispiel das Funkschließsystem an die Motorsteuerung kommt, hat es unseres Wissens noch nicht gegeben.

Bild 1 von 0

Das ferngesteuerte Auto (0 Bilder) [2]

[3]

Es gibt jedoch eine bedenkliche Studie [4], zum Thema "Angriff per Funk", in der Forscher unter Laborbedingungen Zugriff auf die Infotainment-Einheit über Buffer Overflows des Bluetooth-Moduls erlangt haben. Der vorgeschlagene Angriffsvektor ist ein Android-Trojaner auf einem gepairten Smartphone, es wird jedoch auch eine langwierigere Variante vorgeschlagen, die MAC-Adresse zu sniffen und die Pairing-PIN per Brute Force zu raten. Es gibt außerdem noch viel zu oft Standard-PINs ("0000"). Einen weiteren Buffer Overflow fanden sie im Gateway vom GSM-Modem zum Notrufsystem, der im Experiment nur wegen eines zu kurzen Timeouts für Challenge/Response nicht ausgenutzt werden konnte, was aber nicht dauerhaft hinderlich war, weil durch einen Fehler 1 aus 256 inkorrekten Antworten als richtig akzeptiert wird. Es besteht also Grund zur Annahme von Miller und Valasek, dass diese potenziell kritisch gefährlichen Vektoren für ihre CAN-Programmierungen bald ausgenutzt werden könnten. Insgesamt bietet das merklich in die Jahre gekommene meistgenutzte Bus-System CAN (Controller Area Network) ein Sicherheitsniveau, das aus heutiger Sicht lächerlich ist.

Das ist auch schon der Grund dafür, dass Autohackergeschichten immer wieder auftauchen und die Runde machen: Mit relativ geringem Aufwand kann heute jeder solche Experimente mit einigem Erfolg durchführen. Die Fahrzeugdiagnoseschnittstelle OBD-II greift direkt auf den CAN-Bus zu, und sie wird uns erhalten bleiben, weil sie in den USA für Polizeikontrollen gesetzlich vorgeschrieben ist. Das Problem mangelnder Sicherheit lösen die Hersteller durch eine möglichst gute Trennung der Fahrzeugkernsteuerung von den anderen Systemen. Ein Beispiel ist das Infotainment-System, das nach außen über verschiedenste Funkprotokolle kommuniziert. Einerseits soll das Internet-Streaming-Radio keinen Zugriff auf die Motorbox haben, andererseits soll der Nutzer dort ja Parameter der Sicherheitssysteme einstellen können.

Bosch spricht bei der Trennung der Daten an den Gateways von einer regelrechten "Firewall". Weitere Verfahren sind signierte Software-Module für Updates oder auch nur kleine Fahrzeug-Infotainment-Apps sowie asymmetrische Kryptographie-Methoden (Hard- und Software) auch zur fahrzeuginternen Kommunikation. Es gibt also durchaus wirksame, sinnvolle Ansätze, Fahrzeugnetze besser zu sichern. Die bei Fahrzeugherstellern nach wie vor beliebteste Methode bleibt dennoch "Security through Obscurity", also konkret: Geheimniskrämern in der Hoffnung, dass dadurch eventuelle Lücken länger unentdeckt bleiben. Wie die verlinkten Forschungen zeigen, gelingt das den Herstellern ebenso schlecht wie Microsoft zu deren Blütezeit.

Das Sicherheitsniveau ist auch der Marktlage geschuldet. Der Großteil der Kunden sieht in Sicherheit schlicht keinen Mehrwert, was schön daran zu sehen ist, dass praktisch alle größten Firmengeheimnisse unverschlüsselt per E-Mail durch die Welt geschickt werden. Ohne bezahlende Kunden bleibt es am Hersteller hängen, diese Kosten zu rechtfertigen. Vergleichsweise viel Mühe gibt sich BMW, deren Tachos damit auch immer schwerer zurückzustellen sind. "Bei BMW ist Sicherheit eine Selbstverständlichkeit", sagte eine Firmensprecherin zum Thema Kundenverständnis, "und dazu gehört auch Software." Nun zahlen allerdings BMW-Kunden praktisch jeden Preis, solange ein Propellerlogo drauf ist. Schöner wäre ein bisschen mehr Breitenbewusstsein für Controller-Netzwerksicherheit bei den Endkunden, und vor diesem Wunsch sind die periodischen Berichte über CAN-Hacker sehr willkommen. Holen Sie sich ein Kabel und einen Laptop und spielen Sie herum! Oh, und sagen Sie uns Bescheid, wenn Sie über ein Funkprotokoll an die Bremsen kommen. Besonders lange wird so ein Angriff vielleicht gar nicht mehr dauern. (cgl [5])

URL dieses Artikels:
https://www.heise.de/-1929143

Links in diesem Artikel:
[1] https://www.defcon.org/html/defcon-21/dc-21-speakers.html#Miller
[2] https://www.heise.de/bilderstrecke/4737062.html?back=1929143;back=1929143
[3] https://www.heise.de/bilderstrecke/4737062.html?back=1929143;back=1929143
[4] http://www.autosec.org/publications.html
[5] mailto:cgl@heise.de

Copyright © 2013 Heise Medien