Klassifizierung der Eigenschaften von Trojanischen Pferden

Transkript

1 Klassifizierung der Eigenschaften von Trojanischen Pferden Stefan Kiltz, Andreas Lang, Jana Dittmann Otto-von-Guericke Universität Magdeburg Fakultät für Informatik, Arbeitsgruppe Multimedia and Security {jana.dittmann, Zusammenfassung Trojanische Pferde werden in den konkreten Ausprägungen immer vielfältiger und speziell auf ein Zielsystem ausgerichtet, um eine Schadfunktion auszuführen und stellen somit ein besonders hohes Sicherheitsrisiko für Daten, Ressourcen und somit für den Computerbenutzer dar. Will man die Bedrohung eines speziellen Trojanischen Pferdes für ein konkretes Zielsystem bestimmen, existiert bisher kein einheitliches Klassifikationsschema, um verschiedene Trojanische Pferde systematisch zu analysieren und zu vergleichen, für die Computerviren wurden u. a. in [Szo05] Vorschläge gebracht, wie diese klassifiziert werden können. In diesem Beitrag werden deshalb die Eigenschaften Verbreitung, Aktivierung, Unterbringung, Wirkungsweise, Kommunikation, Schadensfunktion sowie Schutzmechanismen von Trojanischen Pferden analysiert und klassifiziert, um die Gefährlichkeit systematisch bestimmen zu können. Dabei wird eine Tupelbeschreibung eingeführt, welche es ermöglicht, die jeweiligen Eigenschaften eines Trojanischen Pferdes genau zu beschreiben. Diese Beschreibung kann dann zur aktuellen Bewertung der Sicherheit von Computersystemen bezüglich eines konkreten Trojanischen Pferdes verwendet werden. Aufbauend auf dieser Klassifizierung lässt sich ein gegebenes System auch gegen eine bestimmte Klasse von Trojanischen Pferden gezielt absichern. Um beispielhaft die Anwendung der Klassifikation zu verdeutlichen, werden abstrakte Trojanische Pferde vorgestellt. Weiterhin wird die Gefährdungslage der Onboard-Computersysteme im Automobil beschrieben und es werden ausgewählte, abstrakte Trojanische Pferde für dieses Systeme unter Verwendung der Tupelbeschreibung exemplarisch erläutert. 1 Motivation Die Sicherheit von IT-Systemen spielt eine immer größere Rolle. Sensible, firmenbezogene und persönliche Daten oder Ressourcen stehen dabei oftmals im Vordergrund, es gilt Maßnahmen zu finden, um deren Integrität, Authentizität und Vertraulichkeit sicherzustellen als auch Verfügbarkeit und Nachweisbarkeit zu garantieren. Zur Gewährleistung dieser Sicherheitsaspekte existieren verschiedene Mechanismen. Wenn zum Beispiel die Vertraulichkeit von sensiblen Daten gewährleistet werden soll, wird oftmals Kryptographie, eine Verschlüsselung, eingesetzt. Setzt ein Angreifer gezielt Trojanische Pferde ein, kann er versuchen, nach sensiblen Daten zu suchen, und bei Eingabe des Passwortes seitens des Computerbenutzers den Vorgang mitprotokollieren und so auf entschlüsselte Daten zugreifen. P. Horster (Hrsg.) Konferenzname syssec (2006) pp.

2 2 Klassifizierung der Eigenschaften von Trojanischen Pferden Zum einen kann dies das Trojanische Pferd durch das direkte Mitschneiden von Tastatureingaben erreichen, um den Dechiffrierschlüssel auszuspähen, oder aber es kann die kurzzeitig entschlüsselten Daten direkt auslesen. Für den Benutzer bleibt ein derartiger Angriff oftmals unbemerkt. Das Trojanische Pferd ist des Weiteren meist so ausgestattet, dass es anschließend seine gesammelten Informationen über verschiedene Wege zum eigentlichen Angreifer senden kann, ohne dass dies den Administratoren des Netzwerkes auffällt. Voraussetzung für das beschriebene Szenario ist, dass der Angreifer das Trojanische Pferd zuerst auf dem Zielcomputer unterbringt, startet und entsprechend gut versteckt bzw. schützt. Trojanische Pferde stellen dabei nicht nur eine Gefahr für Computersysteme dar, sondern werden von Angreifern vermehrt auch für mobile Endgeräte oder Kleinsysteme verwendet [LD04]. Dabei sei beispielsweise an Fahrzeugkomponenten gedacht, welche von der Kontrolle der Fahrzeugsteuerung sowie Hilfs- und Assistenzsysteme (ABS, ASC) über die Regelung des Fahrkomforts (Klimaanlage, etc.) bis hin zu Entertainmentsystemen (Video, Audio, Navigation, etc.) reichen. Ein Trojanisches Pferd in einem dieser Fahrzeugkomponenten kann nicht nur ein Angriff auf die Daten und Ressourcen (Security) darstellen, sondern adressiert vielmehr auch die Sicherheit von Personen innerhalb des Fahrzeuges (Safety) selbst. Will man die Bedrohung eines konkreten Trojanischen Pferdes für ein Zielsystem beurteilen, fehlt es derzeit an einem systematischen Ansatz zur Aufarbeitung der möglichen Eigenschaften, wie dieser zum Beispiel für die Klassifikation und zur Beschreibung von Viren in [Szo05] bekannt ist. In diesem Beitrag setzen wir deshalb den Schwerpunkt auf die Analyse der verschiedenen Eigenschaften von Trojanischen Pferden. Um eine konkrete Ausprägung eines Trojanischen Pferdes sowie seine Gefährlichkeit bestimmen zu können, führen wir eine Klassifikation (Eigenschaftsliste) ein, welche von der Verbreitung auf Computern bis zur Schadfunktion auf den Zielsystemen reicht. Des Weiteren diskutieren wir Schutzmechanismen des Trojanischen Pferdes, damit dieses sich vor der gezielten Suche von spezieller Software (beispielsweise Anti-Trojaner Software oder Computervirenscanner), Administratoren oder einem forensischen Team schützen kann und unentdeckt bleibt. Um beispielhaft die Anwendung der Klassifikation zu verdeutlichen, werden abstrakte Trojanische Pferde, die speziell für Computersysteme im Automobil ausgelegt sind, exemplarisch erläutert. Dieser Beitrag gliedert sich wie folgt: Im folgenden Abschnitt 2 wird das Trojanische Pferd und die Eigenschaftsliste zu dessen Beschreibung eingeführt. Daran schließt sich im Abschnitt 3 die Beschreibung der konkreten Gefährdungslage im Automobilbereich an. Hierzu wird überblicksartig die Rechentechnik im Automobil beschrieben und dann anhand von Beispielen abstrakter Trojanischer Pferde das Bedrohungsspektrum angedeutet. Der Beitrag schließt mit einer Zusammenfassung und einem Ausblick. 2 Tupel zur Beschreibung der Eigenschaften In diesem Abschnitt stellen wir die von uns ermittelten Eigenschaftsklassen Trojanischer Pferde vor (2.1), und verdeutlichen in 2.2 die Anwendung an ausgewählten Beispielen.

3 Klassifizierung der Eigenschaften von Trojanischen Pferden Eigenschaftsliste von Trojanischen Pferden Aufbauend auf der folgenden Definition von speziellen, universellen Trojanischen Pferden werden zuerst Tupeleigenschaften identifiziert und es wird anschließend eine Eigenschaftsliste definiert. Da in der Literatur die Definition von Trojanischen Pferden unterschiedlich vorgenommen wird, bauen wir darauf auf und verwenden die folgende Definition für spezielle, universelle Trojanischen Pferde: Ein spezielles, universelles Trojanisches Pferd ist ein individuell zugeschnittener Teil eines Programmcodes, der im Falle einer erfolgreichen Einnistung dem Urheber (Angreifer) des Codes unautorisierten und universellen Zugriff auf den angegriffenen Computer ermöglicht. Diese Definition ermöglicht es, dass wir uns auf den Schadcode des Trojanischen Pferdes konzentrieren können. Der oftmals vorhandene Teil mit dem Scheinnutzen für den Anwender wird bewusst nicht weiter betrachtet, da diese Betrachtung keinen Gewinn für die reine Klassifizierung verspricht. Weiterhin verdeutlicht diese Definition zwei weitere wichtige Aspekte unserer Betrachtersicht auf die Trojanischen Pferde. Die Eigenschaft der Universalität besagt, dass das Trojanische Pferd seine Eigenschaften je nach Verwendungszweck an Gegebenheiten anpassen kann (z. B. durch das Nachladen von Programmmodulen), also die Funktionalität zum Erstellungszeitpunkt nicht exklusiv auf einen Zweck vom Angreifer festgelegt ist. Die Eigenschaft der Spezialität unterstreicht die Gefährlichkeit derartigen Schadcodes, denn ein solches Trojanisches Pferd wird vom Angreifer oftmals für einen einzigen Angriff eingesetzt und findet somit vermutlich keine Aufnahme in die Signaturdatenbanken der Hersteller von Schutzsoftware. In diesem Beitrag bezeichnen wir nachfolgend spezielle, universelle Trojanische Pferde abkürzend als Trojanische Pferde. Motiviert von der CERT [HL98] entwickelten Taxonomie zur Klassifizierung von Angriffen (Vorfällen) kann ein Trojanisches Pferd mit einer Vielzahl von Eigenschaften ausgerüstet sein, welche wir wie folgt in sieben Eigenschaftsklassen unterteilen: Verbreitungsmethode V Aktivierung A Unterbringung U Wirkungsweise W Kommunikation K Funktionen F Schutzmechanismen S

4 4 Klassifizierung der Eigenschaften von Trojanischen Pferden Dabei reflektiert die Eigenschaftsklasse Verbreitung V die Art und Weise, wie ein Trojanisches Pferd auf den Zielcomputer gelangt. Je nach Element dieser Eigenschaftsklasse spielen Interaktionen mit dem Benutzer eine entscheidende oder auch untergeordnete Rolle. Die einzelnen Elemente dieser Eigenschaftsklasse beschreiben die Art und Weise, welche zur Einschleusung des Trojanischen Pferdes genutzt wurde und lassen auf eine Schwachstelle deuten. Hat ein potentieller Angreifer den Programmcode des Trojanischen Pferdes auf den Zielcomputer gebracht, muss dieser gestartet werden (Ausführung A). Dabei stehen dem Angreifer verschiedene Techniken zur Verfügung, welche er zum Programmstart nutzen kann. Die einzelnen Elemente dieser Eigenschaftsklasse beschreiben dabei (wenn vorhanden) den Punkt im Computersystem, welcher dafür verwendet wird. Wenn ein Trojanisches Pferd auf dem Zielcomputer gebracht wurde und der Programmcode ausgeführt wird, gibt es je nach Ziel des Angreifers die Möglichkeit, den Programmcode des Trojanischen Pferdes auf dem Zielcomputer unterzubringen bzw. zu verstecken (Unterbringung U). Aus Sicht des Angreifers ist es oftmals sinnvoll, den Programmcode des Trojanischen Pferdes auf dem Zielsystem zu hinterlassen, damit dieses bei einem Neustart des Computer ebenfalls mit gestartet wird und die Schadensfunktion weiter verfolgen kann. Oftmals verwenden Trojanische Pferde Techniken der Infizierung des Zielsystems. In der Eigenschaftsklasse Wirkungsweise W werden diese Techniken als Elemente bereitgestellt und können jedem Trojanischen Pferd, welches eine dieser Techniken anwendet, zugeordnet werden. Hat ein Angreifer ein (oder mehrere) Trojanische Pferde auf dem Zielsystem oder den Zielsystemen untergebracht und gestartet, ist es für ihn wichtig, mit dem Trojanischen Pferd zu kommunizieren. Dabei unterscheiden wir zwischen einer passiven und einer aktiven Kommunikation K. Der Unterschied besteht dabei in der Art, wer (Angreifer oder Angegriffener) die Verbindung zuerst aufbaut. Wenn das Trojanische Pferd anfängt, die Verbindung zum eigentlichen Angreifer aufzubauen, handelt es sich um eine passive Kommunikation. Dabei ist es entscheidend, dass nur das Trojanische Pferd in der Lage ist, eine Verbindung aufzubauen oder gesammelte Informationen zu versenden. Der Angreifer muss darauf warten, dass das Trojanische Pferd sich bei ihm meldet. Bei einer aktiven Kommunikation wiederum kann der Angreifer das Trojanische Pferd kontaktieren und eine Verbindung dahin aufbauen. Das bedeutet, dass er zu jedem beliebigen Zeitpunkt dem Trojanischen Pferd Befehle geben kann. Die Elemente dieser Eigenschaftsklasse sind zum einen in passive und aktive Kommunikation unterteilt und reflektieren zum anderen einen eindeutig verwendeten Kommunikationskanal eines Trojanischen Pferdes. Ein Angreifer verfolgt mit einem Trojanischen Pferd immer einen bestimmten Zweck bzw. eine Absicht. Dabei tritt immer ein gewisser Schaden auf, welcher in der Eigenschaftsklasse Funktion F die Funktion oder Funktionen des Trojanischen Pferdes klassifiziert und benennt. Von der Anzahl der Elemente in einer Eigenschaftsklasse sind hier die meisten Elemente enthalten. Der Grund dafür ist die hohe Anzahl an Möglichkeiten, die ein Angreifer hat, wenn er ein Trojanisches Pferd auf einem Computer gebracht hat. Die Funktion F wird meist einen der Sicherheitsaspekte Integrität, Authentizität, Vertraulichkeit, Verfügbarkeit oder auch

5 Klassifizierung der Eigenschaften von Trojanischen Pferden 5 Verbindlichkeit (welche in den Sicherheitsrichtlinien für ein System festgelegt sein sollten) verletzen. Damit ein Trojanisches Pferd als solches bzw. seine Kommunikation unerkannt bleibt, existieren verschiedene Schutzmechanismen S, welche zum Selbstschutz des Trojanischen Pferdes verwendet werden können. Es kommen dabei Schutzmechanismen zum Einsatz, wie sie auch von Computerviren her bekannt sind [Szo05]. Dabei stellen die Elemente dieser Eigenschaftsklasse einen jeweiligen Schutzmechanismus dar. Die einzelnen Schutzmechanismen können dann wiederum mit Elementen aus den anderen Eigenschaftsklassen (V, A, U, W, K, F) kombiniert werden. Wird ein Trojanisches Pferd T nach der Eigenschaftsklasse beschrieben bzw. definiert, ergibt sich dabei eine Tupelbeschreibung, welche in der folgenden Abbildung 1 zu sehen ist [DiLa04]. T = (V S, A S, U S, W S, K S, F S) Abbildung 1: Tupelbeschreibung von Trojanischen Pferden Im Folgenden wollen wir die einzelnen Elemente der Eigenschaften systematisieren und mit Beispielen aus der Analyse bekannter Trojanischer Pferde erläutern. Dabei sei angemerkt, dass die Eigenschaftsklassen ständig um neue Elemente erweitert werden können, da neue Angriffstechniken entwickelt werden und diese dann zur Erweiterung der Eigenschaftsliste führen. Beispielsweise sind einige Elemente der vorgestellten Liste stark betriebssystem- und dateisystemabhängig bzw. nutzen Eigenschaften evtl. installierter Software aus. Die Verbreitungsmethode V besitzt die Elemente v i (i=1...5) und welche die einzelnen Eigenschaften näher beschreiben: v 1 : Ausführbare Dateien, Download v 1.1 : -Anhang v 1.2 : Instant Messaging v 1.3 : File-Sharing Netzwerke v 1.4 : FTP, HTTP etc. (z. B. Tools, Patches) v 1.5 : Fake-Service (z. B. Update-CD per Post) v 1.6 : Interaktive Inhalte (z. B. ActiveX und Browser, Browser Helper Objects, Plugins) v 1.7 : Datenträger (z. B. Diskette, USB-Stick, lokale Laufwerke) v 1.8 :: Kabellose Kommunikation (z. B. Bluetooth, WLAN, etc.) v 2 : Social Engineering v 3 : Exploits (z. B. Pufferüberlauf bei JPG) v 4 : Malformed Data Objects (Malformed , Iframes, etc.) v 5 : physikalischer Zugriff auf den Computer Die Aktivierung A besitzt die Elemente a i (i=1..3) und sind wie folgt definiert: a 1 : Startup des Betriebssystems a 1.1 : Startdateien (z. B. autoexec.bat bei Windows oder init.d Scripte bei Linux) a 1.2 : Registry-Eintrag (bei Windows ca. 50 mögliche Orte) a 1.3 : Kernelmodule (dynamisch ladbar)

6 6 Klassifizierung der Eigenschaften von Trojanischen Pferden a 2 : Programmaufruf (unbeabsichtigt) a 2.1 : modifizierte Programmdaten a 2.2 : Verwechslung ausnutzen: Unix cp Windows copy a 3 : Programmaufruf mit Social Engineering Die Unterbringung U besitzt die Elemente u i (i=1...4) und ist wie folgt definiert: u 1 : Als Datei irgendwo auf Speichermedien (spezielle Pfade bevorzugt) u 2 : Dateisystemunabhängig auf der Festplatte u 2.1 : Cluster als defekt kennzeichnen u 2.2 : Restplatz in schon belegten Clustern benutzen u 2.3 : außerhalb von Partitionen im Festplattenrestplatz u 3 : in Modulen/Speicherbereichen jeglicher Hardware (RAM, Flash, USB- Sticks, etc.) u 4 : verteilt in verschiedenen Dateien (Puzzle) Die Wirkungsweise W besitzt die Elemente w i (i=1...5) und besitzt die folgenden Elemente: w 1 : DLL-Injection w 2 : Process Injection (Code Injection) w 3 : Konfigurationsänderung w 4 : Protected Stack Bypassing w 5 : Laden von Programm-Modulen (Puzzle-Trojan Horse) Die Kommunikation K besitzt die folgenden Elemente k i (i=1...5) und ist wie folgt definiert: k 1 : aktive Kommunikation (direkt) k 1.1 : offener Port (wartender, pollender Server) k 1.2 : geschlossener Port (wird auf geheimes Signal hin geöffnet Port knocking) k 1.3 : Stealth mode (Sniffer) k 2 : passive Kommunikation (indirekt) k 3 : , IRC, ICQ, http k 4 : Tunnel (ICMP, DNS, HTTP, etc.) k 5 : Anonymisierung (Proxy, Mixe) Die Funktionen F besitzt die folgenden Elemente f i (i=1...13) und ist wie folgt definiert: f 1 : Filemanager f 1.1 : Dateien hoch/runterladen f 1.2 : Verzeichnis erstellen/löschen f 1.3 : Datei ausführen f 1.4 : freigegebene Ordner suchen f 1.5 : Datei suchen f 1.6 : Verzeichnisse/Dateien umbenennen f 2 : Prozessmanager f 2.1 : Anzeige der Prozessliste f 2.2 : Beenden/Starten von Prozessen (Anwendung/Services) f 3 : Keylogger

7 Klassifizierung der Eigenschaften von Trojanischen Pferden 7 f 3.1 : offline Keylogger (Speichern der Tastatureingaben) f 3.2 : online Keylogger (Übertragung der Tastatureingaben) f 3.3 : Keylogger Suchmanager f 4 : Update-Funktion f 4.1 : Nachladen von Modulen (zur Erweiterung der Eigenschaften des Trojanischen Pferdes) f 4.2 : Entfernen von Modulen (Verringerung der Programmgröße) f 5 : Registry f 5.1 : Springe zu Schlüssel f 5.2 : Lösche/Erstelle Schlüssel f 5.3 : Wert hinzufügen/ändern f 5.4 : Liste aktualisieren f 6 : Computerinformationen auslesen (Gruppenname, Servername, Programmversionen, etc.) f 7 : Spionage f 7.1 : Screenshots (Bildschirminhalt) f 7.2 : Webcam f 7.3 : Audio-Aufnahme (Mikrofon) f 7.4 : Netzwerkkarte (Mitsniffen des gesamten Netzwerkverkehrs) f 8 : Dienste bereitstellen bzw. starten f 8.1 : Proxy f 8.2 : FTP f 8.3 : WWW f 8.4 : Mixe f 8.5 : SMTP und Filesharing Server f 9 : Portscanner f 9.1 : Scan kompletter IP-Bereiche f 9.2 : Scan von Portbereichen f 10 : Angriffe auf dritte Systeme f 10.1 : Denial-of-Service (sowohl interne als auch externe Angriffe, DoS) f 10.2 : Distributed-Denial-of-Service (DDoS) f 10.3 : Versenden von s (Spam) f 11 : Zerstörerische Aktionen an Hardware f 11.1 : Modifizieren von Speicherbereichen (Flash, BIOS, etc.) f 11.2 : Monitor überlasten (bei älteren Modellen durch zu hohe H/V- Frequenzen) f 12 : Adware f 13 : Funktionsänderungen am System ( aus Spaß an der Freude ) f 13.1 : Desktopverknüpfungen ein-/ausblenden f 13.2 : CD/DVD-Fach öffnen/schließen f 13.3 : Taskleiste ein-/ausblenden

8 8 Klassifizierung der Eigenschaften von Trojanischen Pferden f 13.4 : Monitor an/aus f 13.5 : Nummernblock/Umschalttaste an/aus f 13.6 : Benutzung des PC-Lautsprechers f 13.7 : Maustasten vertauschen f 13.8 : beliebig viele Maustasten als gedrückt simulieren f 13.9 : Benutzung des Druckers f : Zwischenablage manipulieren f : Bildschirmschoner starten/deaktivieren f : URL öffnen f : Startseite des Browsers ändern Die Schutzmechanismen S besitzen die Elemente s i (i=1...6) und sind wie folgt definiert: s 0 : None (kein Schutz) s 1 : Armoring s 2 : Polymorphie s 3 : Stealth s 4 : Steganographie s 5 : Verschlüsselung s 6 : Manipulation von Schutzsoftware In dem folgenden Unterabschnitt wollen wir die definierte Eigenschaftsliste in ihrer Benutzbarkeit vorstellen und beispielhaft einige Trojanische Pferde definieren und klassifizieren. 2.2 Anwendung der Tupelbeschreibung In diesem Unterabschnitt wird zuerst die Notation für die Tupelanwendung beschreiben und anschließend werden beispielhaft einige Trojanische Pferde abstrakt definiert und diskutiert. Generell lassen sich die Eigenschaften eines Trojanischen Pferdes mit der Tupelbeschreibung in einer Mengendarstellung abbilden. Dazu wird beispielsweise ein Trojanisches Pferd t i definiert, welches die Elemente der jeweiligen Eigenschaften besitzt. Die Verwendung von Schutzmechanismen erfordert eine Schreibweise, die einzelne Elemente der anderen Eigenschaftsklasse mit einem oder mehreren Schutzmechanismen verbindet. So kann beispielsweise eine Verbreitungsmethode v j mit einem Schutzmechanismus s i kombiniert werden. Die Notation dazu lautet dann: v j s i. Sind alle Elemente einer Eigenschaftsklasse vorhanden, wird der Stern * verwendet. Ebenso ist die leere Menge {}, bei nicht vorhanden sein eines Elementes einer Eigenschaft möglich. Die Eigenschaftsklassen erlauben nun, konkrete Trojanische Pferde zu systematisieren. Im Folgenden finden sich dazu beispielhafte Definitionen, um zu zeigen, wie dies erfolgen kann. Dabei wollen wir weder zur Nachimplementierung anregen noch auf konkret existierende Trojanische Pferde direkten Bezug nehmen. Ein Trojanisches Pferd t 1 soll beispielsweise die Eigenschaft besitzen, sich nur über einen Anhang (v 1.1 ) zu verbreiten. Damit es gestartet wird, muss der Benutzer den

9 Klassifizierung der Eigenschaften von Trojanischen Pferden 9 anhang durch Starten ausführen (a 3 ). Des Weiteren ist es für Windows Betriebssysteme implementiert und trägt sich in die Registrierung ein (a 1.2 ), damit es bei einem Neustart des Computers ebenfalls mit gestartet wird. Die Programmdateien des Trojanischen Pferdes liegen als normale Dateien innerhalb des Verzeichnisbaumes (u 1 ). Es verwendet keine speziellen Techniken zur Wirkungsweise und lässt eine Kommunikation des eigentlichen Angreifers über einen offenen TCP Port zu (k 1.1 ). Es bietet dem Angreifer die komplette Vielzahl von Schadensfunktionen an. Dieses Trojanische Pferd T 1 ist somit wie folgt definiert: t 1 = (v 1.1, {a 1.2, a 3 }, u 1, {}, k 1.1, *) Ein anderes Trojanisches Pferd t 2 hingegen, ist zusätzlich mit verschiedenen Schutzmechanismen ausgestattet und versucht so, das Auffinden durch spezielle Anti- Trojaner-Suchsoftware, einem Systemadministrator oder einem forensischem Team zu entgehen. t 2 verbreitet sich durch einen Implementierungsfehler in einer Software und nutzt somit einen Exploit (v 3 ) aus. Ist es nun auf dem Computersystem, trägt es sich selbst in die Startskripte des Betriebssystems ein (a 1.1 ). Auf der Festplatte des betroffenen Computersystems legt es sich in verschlüsselter Form (s 5 ) in als defekt markierten Clusterbereichen (u 2.1 ) ab, um der Entdeckung zu entgehen. Es verwendet Process Injection (w 2 ) und Protected Stack Bypassing (w 4 ) in seiner Wirkungsweise. Die Kommunikation mit dem eigentlichen Angreifer kann t 2 über geschlossene Port Kommunikation (k 1.2 ) oder einem Tunnel (k 4 ) erfolgen. In beiden Fällen wird die Kommunikation zusätzlich durch Steganographie (s 4 ) gegen Erkennung geschützt. Als Funktionen für den Angreifer soll t 2 lediglich nach bestimmten Dateien suchen (f 1.5 ), welche dann über die Kommunikation übertragen werden. Dieses Trojanische Pferd t 2 ist somit wie folgt definiert: t 2 = (v 3, a 1.1, u 2.1 s 5, {w 2, w 4 }, {k 1.1, k 4 } s 4, f 1.5 ) Die eingeführte Eigenschaftsliste erlaubt es, Trojanische Pferde zu beschreiben und zu klassifizieren sowie ebenfalls systematisch zu vergleichen. Diese Liste stellt dadurch ein wichtiges Werkzeug zur Einschätzung der Gefährdung durch ein konkretes Trojanisches Pferd zur Verfügung und kann genutzt werden, um Möglichkeiten zu dessen systematisierter Abwehr einfacher zu finden. Dabei sei jedoch angemerkt, dass eine erfolgreiche Abwehr eines Trojanischen Pferdes nicht zwingend dessen vorangegangene Erkennung voraussetzt. Auch eine blinde Abwehr oder das Blockieren eines Nachrichtenkanals zwischen dem Angreifer und seinem Schadcode ist möglich, damit Schadfunktionen (bspw. f 7 ) nicht erfolgreich sind. Eine derartige Abwehr könnte bspw. durch eine Firewall oder ein Contentfilter erreicht werden. 3 Die IT-Umgebung des modernen Fahrzeugs und das Gefährdungspotential durch Schadcode In diesem Abschnitt sollen Trojanische Pferde innerhalb von computergestützten Fahrzeugen mittels der eingeführten Eigenschaftsliste analysiert werden, um auf konkrete zukünftige

10 10 Klassifizierung der Eigenschaften von Trojanischen Pferden Gefährdungspotentiale aufmerksam zu machen. Dazu werden kurz die Entwicklungen in der Fahrzeugrechentechnik umrissen und im Anschluss die Gefährdung durch exemplarische Trojanische Pferde mittels abstrakter Tupelbeschreibungen aufgezeigt. Die aktuellen Produkte der Fahrzeugindustrie sind mit einer umfangreichen Rechenleistung ausgestattet, um dem gestiegenen Sicherheits- und Komfortinteressen zu entsprechen. Heutzutage werden bereits Multiprozessorsysteme auf einem Chip angeboten (System on Chip, SoC) und somit lassen die in [IEE05] vorgestellten Systeme die Rechenleistung bereits erahnen. Immer komplexere Funktionalitäten im Automobil werden dadurch möglich. Die Anfänge dazu fanden sich in der Elektronisierung der Motorsteuerung, um eine höhere Leistung des Motors bei verringertem Kraftstoffverbrauch zu realisieren. Diese Systeme waren anfangs isoliert und demzufolge von einer Bedrohung durch Trojanische Pferde und anderen Schadcode ausgeschlossen. Relativ zügig wurde der gesamte Antriebsstrang dann mit Steuergeräten ausgestattet. Vor allem die Motorsteuerung und die Steuerung des Automatikgetriebes wurden eng verzahnt, da beide Systeme einen Großteil der Sensordaten und die Auswertung der Aktuatoren gleichzeitig brauchten. Um Kabelbäume einzusparen, wurden diese beiden Steuergeräte mit Feldbussen (vorrangig dem CAN-Bus) vernetzt. Später kamen Sicherungssysteme wie z. B. das ABS und die Traktionskontrolle (welche Eingriffe in die Motorsteuerung haben) hinzu. Weiterhin wurden die Karosseriesysteme (z. B. Schließsysteme, Fensterheber) intern vernetzt (auch zwecks Einsparung von Kabelbäumen), anfangs noch autark. Die Instrumentierung (die verschiedenen Anzeigetafeln für den Fahrer) und die Komfortsysteme (z. B. Mobiltelefon, Navigationssystem usw.) folgten. Inzwischen sind alle diese Einzelsysteme untereinander ebenfalls vernetzt und man findet in heutigen Fahrzeugen einen Motorsteuerungs-, einen Instrumentierungs- und einen Karosseriebus. Diese Bussysteme können über Gateways untereinander kommunizieren. Hier setzt die Gefährdung durch Trojanische Pferde an. Schadcode, der durch ein Subsystem eingebracht wurde, kann sich im gesamten Fahrzeug ausbreiten und gewünschte Schadensfunktionen ausführen. Dabei haben Trojanische Pferde unterschiedliche Möglichkeiten, in das System Fahrzeug einzudringen. Es sei hierbei auf ein fest installiertes GSM-Telefon oder an immer breiter angewandte Techniken wie UMTS und W-LAN Zugänge hingewiesen. Aber auch die Diagnoseschnittstelle des Fahrzeugs selbst kann als Übertragungsmedium für Schadcode dienen. Der Besitzer eines Fahrzeuges kann dabei zum Innentäter werden, er hat unter Umständen Interesse daran, bewusst Daten und Informationen des Fahrzeugsystems zu beeinflussen. Häufig sind nämlich Leistungsdaten eines Fahrzeugs durch die Auswahl der Kennfelder des Motors bestimmt und können, in gewissen Grenzen, manipuliert werden. Hieraus ergeben sich unter Umständen Gewährleistungsaspekte seitens des Herstellers oder aber auch versicherungsrechtliche Probleme (z. B. durch Erhöhung der Motorleistung und Endgeschwindigkeit). Aber auch die immer häufiger auftretende Manipulation des Wegstreckenzählers kann durch Trojanische Pferde initiiert werden. Das Ziel muss es sein, solche Manipulationen verbindlich nachzuweisen.

11 Klassifizierung der Eigenschaften von Trojanischen Pferden 11 Beispielhaft sollen an dieser Stelle deshalb drei potentielle abstrakte Trojanische Pferde diskutiert werden, die speziell auf das Fahrzeug abgestimmt sind und zukünftig an Bedeutung gewinnen könnten. t 3 = ({v 1.7, a 1.1, u 3, w 2, f 11.1 } s 0 ) Dieses Trojanische Pferd t 3 bedient sich eines Datenträgers als Verbreitungsmethode (v 1.7 ). Dieser ist als Update-CD für das Fahrzeugnavigationssystem getarnt in den Umlauf gebracht worden. Mit dem Start des Navigationsrechners wird das Trojanische Pferd aktiviert (Aktivierung a 1.1 ). Es schreibt sich in den nichtflüchtigen Flash-ROM des Navigationssystems. Über die Process Injection (Wirkungsweise w 2 ) wird es zusammen mit dem regulären Prozessen des Betriebssystems des Navigationsrechners ausgeführt. Als Schadensfunktion hat es zum Ziel, den nichtflüchtigen Speicher der Motorsteuerung komplett zu löschen (f 11.1 ), um das Fahrzeug zu immobilisieren. Es ist mit keinem Mechanismus zum Selbstschutz ausgestattet (s 0 ), wird aber nach dem Austausch des Motorsteuerteils dieses wieder unbrauchbar machen, solange es im Navigationsrechner resident ist. Ein weiteres potentielles Trojanisches Pferd t 4 hat die folgende Tupelbeschreibung: t 4 = ({v 1.5, u 3, a 1.1, w 4, f 10.1 } s 0 ) Dieses Trojanische Pferd verbreitet sich über die Diagnoseschnittstelle des Fahrzeugs über einen entsprechend präparierten Diagnose- und Servicerechner einer Werkstatt (Verbreitungsmethode v 1.5 ). Es schreibt sich in den nichtflüchtigen Flash-ROM des Automatikgetriebesteuerteils und wird durch ein Skript gestartet (Unterbringung u 3 und Aktivierung a 1.1 ). Durch das Protected Stack Bypassing (Wirkungsweise w 4 ) kommt es zur Ausführung und fährt einen Denial-of-Service Angriff auf die Kommunikation des Moduls der Fahrzeugwegfahrsicherung mit dem Motorsteuergerät (Schadensfunktion f 10.1 ) auf dem CAN- Bus. Solange t 4 aktiv ist, lässt sich das Fahrzeug nicht mehr starten, da dass Motorsteuergerät den rechtmäßigen Besitzer als nicht autorisiert betrachtet. Auch t 4 bedient sich keiner Selbstschutzmechanismen (s 0 ). Dieses ist auch nicht notwendig, da sich eine Diagnose eines solchen Angriffs sehr schwierig gestalten sollte. Ein weiteres mögliches Trojanisches Pferd t 5 ist folgendermaßen definiert: t 5 = ({v 1.8, u 3, a 1.1, w*, f 13 } s 0 ) Dieses Trojanische Pferd wird über die Schnittstelle des fest installierten Mobiltelefons verbreitet (Verbreitungsmethode v 1.8 ). Es wird im Flash-ROM des Navigationsrechners untergebracht (Unterbringung u 3 ) und durch Skripte gestartet (Aktivierung a 1.1 ). Unter Ausnutzung einer beliebigen Wirkungsweise (w*) öffnet es zu einem vorher festgelegten Zeitpunkt alle Fahrzeugtüren (Schadensfunktion f 13 ), so dass beliebige Wertgegenstände entwendet werden können. Auch hier wird kein Selbstschutzmechanismus seitens des Trojanischen Pferdes angewandt (s 0 ). Die drei hier exemplarisch vorgestellten abstrakten Trojanischen Pferde sollen die Gefährdungslage für Automobile verdeutlichen. Trojanische Pferde können durchaus auch gravierende Eingriffe in das Fahrzeugsystem vornehmen. Vorstellbar als Schadensfunktion ist auch das plötzliche Beschleunigen beim gleichzeitigen Trennen des Fahrers von seinen

12 12 Klassifizierung der Eigenschaften von Trojanischen Pferden Möglichkeiten zur Beeinflussung des Fahrverhaltens (bspw. die Wahl der Fahrstufe des Automatikgetriebes, Verändern der Empfindlichkeit der Servolenkung, Einflussnahme in das Bremssystem). Diese Schadensfunktionen können potentiell lebensgefährlich sein. 4 Zusammenfassung und Ausblick Um die konkrete Bedrohung von Trojanischen Pferden analysieren und systematisieren zu können, wurde eine Eigenschaftsliste von Eigenschaften heutiger Trojanischer Pferde erarbeitet. Anhand theoretischer Möglichkeiten von Trojanischen Pferden konnte am u. a. Beispiel des Automobils verdeutlicht werden, dass die Eigenschaftsliste dazu dienen kann, aktuelle Bedrohungen real einzuschätzen und somit frühzeitig potentielle Schwachstellen zu erkennen. Der Aufwand, die hier vorgestellten Trojanischen Pferde in einem Fahrzeug einzubringen, ist zwar als recht hoch einzuschätzen, aber entsprechend motivierte Angreifer dürften sich dadurch nicht aufhalten lassen. Hinzu kommt, dass das Fehlverhalten eines auf dieser Art angegriffenen Systems sicherlich nicht intuitiv als Angriff gewertet werden wird, eher als ein Versagen der Technik. Wird der Schadcode gezielt und nur für ein Zielsystem eingesetzt, ist also die Gefahr, als Urheber entdeckt zu werden, relativ gering. Die Eigenschaftsliste kann jedoch hervorragend motivieren, konkrete Gegenmaßnahmen im konreten Fall als auch für zukünftig erwartete Bedrohungen zu ergreifen. Im Automobile wäre eine denkbare und wichtige Umsetzung die Verschlüsselung der Kommunikation und das gegenseitige Autorisieren der Komponenten untereinander, siehe zum Beispiel in [PP+04, WWP]. Ähnlich wie im Hochsicherheitsbereich in Computernetzwerken sollte auch grundsätzlich die Notwendigkeit einer allumfassenden Vernetzung in Gewinn und Gefahren abgewogen werden. Danksagung Die Autoren bedanken sich an dieser Stelle bei allen Mitarbeitern der Arbeitsgruppe Multimedia and Security und den Studenten des WS 04/05, welche hilfreich bei der Ausarbeitung der Eigenschaften von Trojanischen Pferden mitgeholfen haben. Darüber hinaus möchten wir dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für die hilfreiche Zusammenarbeit und den inspirativen Diskussionen danken, welche bei der Analyse der Eigenschaften, Erkennungs- und Abwehrmaßnahmen von Trojanischen Pferden sehr hilfreich waren. Ebenso soll an dieser Stelle der Excellenzinitiative Automotive an der Otto-von-Guericke Universität gedankt werden, da dieses Projekt bei der Bedrohungsanalyse von schadhaftem Programmcode für Fahrzeuge tiefere Einblicke in die Thematik sowie relevante Bedrohungsszenarien aufbauen ließ.

13 Klassifizierung der Eigenschaften von Trojanischen Pferden 13 Literatur [DiLa04] [HL98] [IEEE05] Jana Dittmann, Andreas Lang, Internal Report: Lecture selected aspects of ITsecurity (WS 04/05), 2004 John D. Howard, und Thomas A. Longstaff: A common language for computer security incidents, 1998, Ahmed Jerrya, Hannu Tenhunen und Wayne Wolf: MultiprocessorsystemsonChips 2005, [LD04] Andreas Lang; Jana Dittmann: Steigende Informationstechnologie: Sicherheitsrisiko im Fahrzeugbau, Automotive - Safety & Security 2004 Sicherheit und Zuverlässigkeit für automobile Informationstechnik; Ada Deutschland Tagung 2004; Shaker Verlag, Aachen, pp , Ada Deutschland Tagung 2004, Oktober 2004, Stuttgart, ISBN , 2004 [PP+04] Christof Paar, Jan Pelzl, Kai Schramm, Andre Weimerskirch, Thomas Wollinger: Eingebettete Sicherheit State-of-the-art, DACH Security 2004 IT Security & IT Management, Syssec, pp , ISBN X, 2004 [Szo05] Peter Szor: The Art of Computer Virus Research and Defense, 2005, [WWP] Marko Wolf, André Weimerskirch, Christof Paar: Sicherheit in automobilen Bussystemen, Automotive 2004, Stuttgart, Oktober 2004