Schichtenarchitektur zur Realisierung von IT-Sicherheit für eingebettete Systeme

Transkript

1 Universität Stuttgart Institut für Automatisierungs- und Softwaretechnik Prof. Dr.-Ing. Dr. h. c. P. Göhner Schichtenarchitektur zur Realisierung von IT-Sicherheit für eingebettete Systeme Felix Gutbrodt Michael Plewan Automotive Safety & Security Stuttgart

2 Motivation: Kilometerstandsmanipulation Kilometerstandsmanipulation bei Kraftfahrzeugen Früher Mechanische Tachometer [Die Zeit, 2001] Heute Elektronische Tachometer [c t, 2005] Auswirkungen bei Manipulation von ABS, ESP,? X-By-Wire? Schutz der Security erforderlich (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 2

3 Gliederung Anforderungen an den IT-Schutz von Kfz-Elektronik Schutz der IT-Sicherheit von Kfz-Elektronik Zusammenfassung (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 3

4 Fokus des Vortrags Schutz des bestimmungsgemäßen Betriebs der Kfz-Elektronik Schutz vor unbeabsichtigten Störungen Verursacht durch natürliche Prozesse, Umgebungseinflüsse Schutz vor beabsichtigten Störungen (Angriffe) Verursacht durch (intelligenten) Angreifer Beispiel Hochspannungsleitung Angreifer Störung durch E/H-Feld Störung durch Angriff Heute eingesetzter Sicherheitsmaßnahmen erkennen unbeabsichtigte Störungen schützen nicht vor Angriffen Fokus des Vortrags Erforderlicher Schutz gegen Angriffe auf Kfz-Elektronik und Realisierung des Schutzes (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 4

5 Eigenschaften und Randbedingungen Relevante Eigenschaften und Randbedingungen der Kfz-Elektronik Heterogene Technologien Hohe Lebensdauer Hohe Verteiltheit Hohe Exponiertheit Echtzeitanforderungen Ressourcenbeschränkung IT-Sicherheit (IT Security) Bedrohungssituation veränderlich ( Moving Target ) Verwundbarkeiten von Schutzmechanismen werden u. U. erst erkannt, wenn bereits Jahre im Einsatz Intelligenter Angreifer Gezielte Ausnutzung von Verwundbarkeiten Manipulation von Schutzmechanismen (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 5

6 Zugreifbarkeit auf Kfz-Elektronik Mögliche Zugriffsarten zur Durchführung von Angriffen Definierter Zugriff Bekannte Zugriffspunkte, über die Angriffe erfolgen (Hardware-Schnittstellen) Schutz ( Firewalls ) an Schnittstellen einsetzbar Undefinierter Zugriff Beliebige Zugriffspunkte, über die Angriffe erfolgen Schutz an Schnittstellen nicht ausreichend Angriff Abwehr durch Schutz der Schnittstelle Schnittstelle z. B. Ankopplung an Feldbus Angriff Keine Abwehr durch Schutz von Schnittstellen möglich Berücksichtigung des undefinierten Zugriffs (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 6

7 Manipulierbarkeit von Schutz Detektierbarkeit von Angriffen Undefinierter Zugriff Zugriff auf alle Ebenen des ISO/OSI-Referenzmodells bei Kommunikation Zugriff auf kompletten Speicher bei Datenverarbeitung Schutz durch Angreifer manipulierbar Beispiel Prüfsumme Hochspannungsleitung Intelligenter Angreifer Störung durch E/H-Feld Störung durch Angriff Zufällige Störung einer Nachricht Angriff auf Inhalt und Schutz Detektion der Störung wahrscheinlich Keine Detektion des Angriffs Absicherung des Schutzes erforderlich (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 7

8 Kompromittierbarkeit von Schutz Angriffe auf Schutz Kryptologische Erkenntnisse Steigende Rechenleistung Geringere Schutzwirkung als erforderlich Hohe Lebensdauer von Kraftfahrzeugen Hohe Wahrscheinlichkeit für Kompromittierung von eingesetztem Schutz während der Lebensdauer eines Kraftfahrzeugs Austauschbarkeit von Schutz während der Lebenszeit von Kraftfahrzeugen erforderlich (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 8

9 Gliederung Anforderungen an den IT-Schutz von Kfz-Elektronik Schutz der IT-Sicherheit von Kfz-Elektronik Zusammenfassung (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 9

10 Schutz der automobilen Elektronik (1) Schutz der IT-Sicherheit der automobilen Elektronik Schutz Angreifer Mechanischer Schutz nicht möglich Organisatorischer Schutz nicht möglich Informationstechnischer Schutz erforderlich (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 10

11 Schutz der automobilen Elektronik (2) Undefinierter Zugriff Manipulation beliebiger Systemelemente möglich Kfz-Elektronik Feldbus Steuergerät (ECU) Auswirkungen nicht auf manipuliertes Systemelement beschränkt Versagen des Gesamtsystems Verteilung des Schutzes Schutz jedes einzelnen Systemelements Kfz-Elektronik Schutz Auswirkungen auf manipuliertes Systemelement beschränkt Übergang des Gesamtsystems in sicheren Zustand (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 11

12 Systemelemente der Kfz-Elektronik Welche Systemelemente der Kfz-Elektronik sind zu schützen? Vor welchen Angriffen müssen Systemelemente geschützt werden? Steuergeräte Feldbusse Betrachtung möglicher Angriffe auf Steuergeräte Feldbusse (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 12

13 Angriffsmöglichkeiten auf Steuergeräte Möglichkeiten des Angreifers auf Steuergeräte [Toxen, 2003] Möglichkeiten des Zugriffs auf Datenspeicher über Hardware-Schnittstelle (HS) Möglichkeiten des Zugriffs auf gesamtes Gerät (GG) Steuergerät Angreifer Hardware-Schnittstelle Möglichkeiten des Angreifers HS: Auslesen von Daten HS: Erzeugen von Daten HS: Änderung von Daten HS: Löschen von Daten GG: Austausch des Geräts Angriffsmöglichkeiten abhängig von verwendetem Steuergerätetyp (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 13

14 Angriffsmöglichkeiten auf Feldbusse Möglichkeiten des Angreifers auf Kommunikation [Bless, et. al., 2005] Möglichkeiten der legalen Kommunikationsteilnehmer: Quelle (Q), Senke (S) Möglichkeiten eines Man in the Middle (M) Kanal Nachricht Quelle Angreifer Senke Möglichkeiten des Angreifers Q: Erzeugen von Nachrichten S: Abhören von Nachrichten M: Änderung von Nachrichten M: Löschen von Nachrichten M: Verzögern von Nachrichten M: Wiederholen von Nachrichten Angriffsmöglichkeiten abhängig von verwendetem Feldbussystem (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 14

15 Bedrohungen der Kfz-Elektronik Mögliche Angriffe auf Steuergeräte Feldbusse Mögliche Bedrohungen der Kfz-Elektronik Angriffsmöglichkeiten Abhören von Nachrichten, Auslesen von Daten Änderung von Nachrichten, Änderung von Daten Erzeugung eigener Nachrichten Aufspielen eigener Daten Verzögern, Wiederholen von Nachrichten Überschreiben von Daten Austausch des Geräts Bedrohung Vertraulichkeit von Information Inhaltliche Integrität von Information Recht auf Zugriff (Autorisierung) Zeitliche Integrität von Nachrichten Korrekte Funktionalität des manipulierten Geräts Erforderlicher Schutz abhängig von Realisierung der Systemelemente Spezifische Bedrohungen bei bestimmten Technologien nicht möglich (Immunität) Schutz in bestimmte Technologien bereits integriert (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 15

16 Prinzipielle Funktionsweise von Schutz Schutz Erkennung von Angriffen Unterscheidung Angriffe legitime Aktionen Bremse an Z Bremse aus Manipulierte Informationen weisen keine erkennbaren Unterschiede zu legalen Informationen auf Keine Unterscheidung durch Kfz-Elektronik möglich Unterscheidbarkeit erforderlich Integration von Merkmalen, die Erkennung von Angriffen ermöglichen Überwachung von Unterscheidungsmerkmalen Schutzfunktionalitäten (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 16

17 Schutzfunktionalitäten Erforderliche Schutzfunktionalitäten Schutz der Vertraulichkeit Schutz der inhaltlichen Integrität Schutz der Autorisierung Schutz der zeitlichen Integrität Schutz der Gerätefunktionalität Vertraulichkeit Gerätefunktionalität Schutz der Gerätefunktionalität Schutz der Vertraulichkeit Schutz der zeitlichen Integrität Schutz der inhaltlichen Integrität Schutz der Autorisierung Bedrohung der Inhaltliche Integrität Schutz Autorisierung Zeitliche Integrität (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 17

18 Erbringung der Schutzfunktionalitäten Erbringung der Schutzfunktionalitäten durch Schutzmechanismen Schutzmechanismen Verschlüsselung Schutzmechanismus Fehlererkennung Schutzfunktionalität Identitäts-/Rechteverwaltung Schutzmechanismus Zeitmarkierung Überwachung/Abstimmung Schutzmechanismus Manipulierbarkeit der Schutzfunktionalitäten Angriff auf Schutzfunktionalitäten möglich Beispiel: Inhaltliche Integrität Schutz der inhaltlichen Integrität durch Prüfsumme Fehlererkennung durch intelligenten Angreifer manipulierbar Inhalt: Schließe Ventil 2 Prüfsumme: 15 A Inhalt: Öffne Ventil 2 Prüfsumme: Absicherung der Schutzfunktionalität erforderlich (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 18

19 Absicherung der Schutzfunktionalitäten Beispiel: Absicherung der Fehlererkennung Verwendung von Verschlüsselung Prüfsumme: 15 Prüfsumme: 29 Inhalt: Schließe Ventil 2 Verschlüsselte Prüfsumme: 5A A Inhalt: Öffne Ventil 2 Verschlüsselte Prüfsumme:?? Unterschiedliche Schutzfunktionalitäten erfordern gleiche Schutzmechanismen Schutz der Vertraulichkeit Schutz der inhaltlichen Integrität Gleicher Schutzmechanismus Verschlüsselung Fehlererkennung Verschlüsselung (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 19

20 Mehrfachverwendung von Schutzmechanismen Verwendung gleicher Schutzmechanismen in unterschiedlichen Schutzfunktionalitäten Schutz der Vertraulichkeit Fehlererkennung Schutz der inhaltlichen Integrität Verschlüsselung Verschlüsselung Schutz der Vertraulichkeit Schutz der inhaltlichen Integrität Fehlererkennung Verschlüsselung (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 20

21 Schichtenarchitektur der Schutzmechanismen Absicherung der Schutzfunktionalitäten analog zum Schutz der inhaltlichen Integrität Schichtenarchitektur Schutz der Gerätefunktionalität Schutz der Vertraulichkeit Schutz der inhaltlichen Integrität Überwachung / Abstimmung Identitäts-/Rechteverwaltung Zeitmarkierung Fehlererkennung Verschlüsselung Schutz der zeitlichen Integrität Schutz der Autorisierung (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 21

22 Realisierung der Schichtenarchitektur Realisierung des Schutzes mit Softwarekomponenten Schutzfunktionalität Schutzmechanismus Realisierung Schutzmechanismus (Beispiele) Gegenseitige Überwachung Gerätefunktionalität Überwachungsagent Zeitliche Integrität Zeitmarkierungen Zeitstempel Autorisierung Digitale Signatur Zertifikat Inhaltliche Integrität Fehlererkennung SHA-1 Vertraulichkeit Verschlüsselung AES (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 22

23 Gliederung Anforderungen an den IT-Schutz von Kfz-Elektronik Schutz der IT-Sicherheit von Kfz-Elektronik Zusammenfassung (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 23

24 Zusammenfassung Konzept zum Schutz von Kfz-Elektronik Verteiltheit, physikalischer Zugriff Verteilung des Schutzes Ressourcenbeschränkung Skalierung des Schutzes Flexibilität Anpassung an Kompromittierbarkeit des Systems möglich Anpassung an Bedrohungsgrad möglich Austausch von Schutzmechanismen nachträglich möglich Grenzen des Konzepts Keine Verhinderung von Angriffen Erkennung von Angriffen beschränkt auf Systemelemente mit informationstechnischer Funktionalität (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 24

25 Fragen Vielen Dank für Ihr Interesse! (c) 2006 IAS, Universität Stuttgart, Felix Gutbrodt 25