secunet Security Networks AG A priori Policies zum Schutz von Fahrzeug Bordnetzen

Transkript

1 secunet Security Networks AG A priori Policies zum Schutz von Fahrzeug Bordnetzen 12. Deutscher IT-Sicherheitskongress Bonn, 10. Mai 2011 Dr. Marc Lindlbauer, Bereichsleiter Online Security

2 Agenda 1 Online-Dienste in Fahrzeug 2 Herausforderungen bei bei der der Sicherheit 3 Lösungsansätze secunet Security Networks AG 2

3 Online-basierte Dienste im Fahrzeug Beispiele Internetdienste Komfortfunktion emobility Infrastruktur Remote Wartung Car2X Kommunikation OEM Anwendungen secunet Security Networks AG 3

4 Hackerangriffe auf Fahrzeuge Praxisbeispiel Durchgeführte Angriffe Umgehung von Safety-Systemen Komplette Kontrolle von Fahrzeugfunktionen Ausblenden des Fahrers ECU GW ECU ECU Böswilliges Überschreiten von Subnetzgrenzen Unbemerktes Installieren und Löschen von Schadcode Wir wissen nicht mal, dass eine Malware da war. Gründe: - Unzureichende Authentisierungsmechanismen für den Zugriff - Fehlende Überprüfung von Flashware z. B. durch Signaturen secunet Security Networks AG 4

5 Plattformen für Online-Dienste im Fahrzeug Cloud Plattform CE Plattform Lokale Plattform secunet Security Networks AG 5

6 Komplexität & Dynamik Unterschiedliche Lebenszyklen Tage ½ Jahre 10 Jahre 10 Jahre secunet Security Networks AG 6

7 Trust Levels im Automobilumfeld Exploits sind immer erst im Nachhinein bekannt Eine Sicherheitsbewertung ist schwierig und noch schneller veraltet Neue Bedrohungen können nicht berücksichtigt werden (siehe Komplexität & Dyn.) Trust Level Vollständige Risikoklassifizierung von Applikationen und Daten VOR dem Einsatz im Fahrzeug Klares Spektrum: kein vs. volles Klassifikation über den Ursprung der Applikationen und Daten secunet Security Networks AG 7

8 sklassifikation der Applikationen Kein Geringes Unknown Apps 3rd Party Apps OEM Bordnetz Unautorisierte Dienste Bekannte Server Anwendungen Anwendungen Tier1 Anwendungen Kein : Unbekannte Apps Geringes : eingeschränkter Automotive Backround : Automomotive Entwicklungsprozesse secunet Security Networks AG 8

9 Ableitung einer a priori pro Trust Domain Kein Geringes Unknown Apps 3rd Party Apps OEM Bordnetz Unsichere Dienste Bekannte Server Anwendungen Anwendungen Tier1 Anwendungen Kein : eingeschränkter lesender Zugriff, kein Schreiben auf das Bordnetz Geringes : erweiterter lesender Zugriff auf das Bordnetz volles : erweiterter lesender und eingeschränkter schreibender Bordnetz-Zugriff erlaubt secunet Security Networks AG 9

10 Abgeleitete Sichere IVI Systeme durch Trustdomains Internet IVI - System Bordnetz Kein Geringes Nachrichten Nachrichten Nachrichten Schutz auch bei Root-Exploits durch Beschränkung von Zugriffsrechten einer Applikation auf eine Trustdomain Applikationen können die zugewiesene Trustdomain nicht verlassen, d.h. zwischen benachbarten Trustdomains werden nur Nachrichten, kein Code ausgetauscht Angriffe auf das Bordnetz können nur durch Kommunikation (Nachrichten) erfolgen; diese wird von der vollständig kontrolliert Die Kontrolle erfolgt unabhängig von den Anwendungen und beruht nur auf Informationen über die Funktionsweise des Bordnetzes. secunet Security Networks AG 10

11 secunet Ansatz Sichere und schnelle Umsetzung von Internet Usecases Internet IVI - System Bordnetz Kein Geringes Nachrichten Nachrichten Nachrichten secunet Ansatz Schneller - Security Maßnahmen werden a priori pro Trustdomain festgelegt - Einführung neuer Online-Dienste erfordert lediglich Zuordnung zu einer Trustdomain Sicherer - Lokales gefährliches Verhalten durch Separierung isoliert. Unbekannte Malware im IVI gefährdet Bordnetz nicht - Wiederherstellen eines erlaubten Zustandes (Sicht Bordnetzes) bei einer festgestellten Abweichung Effektiver - Keine Spezialhardware notwendig secunet Security Networks AG 11

12 Unknown 3rd Party OEM / Tier1 Borndetz Architektur zur Umsetzung von a priori Policies Proxy Proxy Kapselung des Zugriffs von Applikationen auf Bus-Interfaces Watch dog Watchdog / -basiertes Monitoring der Kommunikationsflüsse: Weiterleitung nur nach Bestätigung der Politik-Konformität Aktive Korrekturmaßnahmen bei Verstößen gegen die Sicherheitspolitik Separierung Separierungsschicht Hardware Sichere Trennung von Komponenten basierend auf den verschiedenen s-/risiko-niveaus Angriffe/Fehler können sich nicht in andere Bereiche fortpflanzen secunet Security Networks AG 12

13 Unknown 3rd Party OEM / Tier1 Borndetz Anforderungen an Hardware und Software Hardware Proxy MMU Unterstützung RAM Zugriffskontrolle IOMMU Unterstützung Zugriffskontrolle auf Peripherie (ext. Memory, Interfaces) Watch dog Software Virtualisierung der Trennung der Domänen durch Separierung Die Separierungsschicht muss hinreichend widerstandsfähig sein - Einhaltung von Standards Separierungsschicht Hardware - sorgfältige Entwicklungsprozesse - Tests / formale Methoden Unabhängigkeit der Policies / Watchdog von den Applikationen Design der Policies nur auf Basis von Informationen über das Fahrzeug secunet Security Networks AG 13

14 secunet Security where IT meets Automotive secunet Security Networks AG Dr. Marc Lindlbauer Telefon secunet Security Networks AG 14