Sicherheitskonferenzen 2011: Autos und Insulinpumpen im Visier
Angriffe auf Webbrowser, Client-Rechner oder Webserver sind ja eigentlich alltäglich, auch wenn es immer wieder neue Entwicklungen gibt. Aber was macht der engagierte Hacker, wenn gerade keine Client- oder Server-Rechner zur Hand sind? Nun, dann hackt er eben, was gerade da ist, zum Beispiel Autos oder Insulinpumpen.
Srdjan Capkun: Car Cracking
Srdjan Capkun hat auf der Swiss Cyber Storm 2011 einen Vortrag zum Thema "Car Cracking" gehalten (die Präsentation trägt den weiterführenden Titel "Relay Attacks on Passive Keyless Entry and Start Systems in Modern Cars").
Das "Passive Keyless Entry and Start"-System (PKES) moderner Autos ist für Relay-Angriffe anfällig. Zusammen mit Aurélien Francillon und Boris Danev hat Srdjan Capkun zwei effiziente und preiswerte Angriffe realisiert - einen drahtgebundenen und einen drahtlosen. Die Angriffe und sind unabhängig von der Modulation der Funkverbindung, dem verwendeten Protokoll und dem Vorhandensein starker Authentifizierungs- und Verschlüsselungsverfahren möglich.
PKES-Systeme öffnen die Türverriegelung, wenn der Schlüssel näher als 2 Meter an das Fahrzeug kommt, und starten den Motor, wenn sie sich im Fahrzeug befinden. Der Benutzer muss den Schlüssel dafür nicht bedienen ("Passive Open and Start"). Dabei werden zwei Funkkanäle genutzt und Daten zwischen Schlüssel und Fahrzeug ausgetauscht: Ein kryptographisches Challenge-Response-Verfahren stellt sicher, dass nur der korrekte Schlüssel das Öffnen der Türen und Starten des Motors erlaubt. Ein Replay-Angriff, d.h. das Einspielen zuvor aufgezeichneter Daten, ist nicht möglich. Stattdessen führt ein Relay-Angriff zum Ziel: Das Relay überträgt die Daten nur über eine größere Entfernung zwischen Schlüssel und Fahrzeug und hat mit der Kommunikation weiter nichts zu tun.
Die Angriffe wurden praktisch getestet, alle 10 getesteten Fahrzeugmodelle (von 8 Herstellern) konnten erfolgreich angegriffen werden. Die mögliche Entfernung zwischen Schlüssel und Fahrzeug variiert dabei, da die Relaystrecke die Antwortzeiten verlängert und die Systeme die verspäteten Antworten irgendwann nicht mehr akzeptieren.
Ein mögliches Angriffsszenario wäre z.B. ein Relay in der Nähe des Aufzugs in einem Parkhaus: Während der Fahrer auf den Aufzug wartet, um das Parkhaus zu verlassen, klaut ein Dieb über die weitergeleiteten Signale des Schlüssels in seiner Tasche das Fahrzeug. Ebenso könnte ein vor einem Haus geparktes Fahrzeug gestohlen werden, wenn die Diebe nah genug an den im Haus aufbewahrten Schlüssel gelangen. In einem Test reichte es, die Relay-Antenne an ein Fenster zu halten, und mit dem auf dem Küchentisch liegenden Schlüssel kommunizieren zu können.
Nach dem Starten des Motors kann das Fahrzeug problemlos weggefahren werden. Aus Sicherheitsgründen wird der Motor nicht gestoppt, wenn der Schlüssel bei laufendem Motor nicht mehr erreichbar ist. Einige Fahrzeuge lösen dann jedoch einen Alarm aus oder drosseln die Geschwindigkeit.
Die bisher einzigen Gegenmaßnahmen: Entweder Sie nehmen die Batterie aus dem Schlüssel, wenn Sie ihn nicht benutzen wollen, oder Sie stecken den Schlüssel in einen abschirmenden Behälter. Beides senkt den Komfort, den man mit dem funkenden Schlüssel ja gerade erhöhen will, natürlich gewaltig.
Angesichts immer mehr ggf. unerwünscht funkender Tascheninhalte (RFID-Chips in Personalausweis, Kredit- und Geldkarten, ...) dürfte der Trend demnächst wohl zu Brief- und Handtaschen aus Metall gehen. Wie wäre es mit einem dieser formschönen Modelle?
Aber jetzt "Spaß beiseite", denn jetzt wird es lebensgefährlich:
Jerome Radcliffe: Hacking Medical Devices for Fun and Insulin
Jerome Radcliffes Vortrag auf der Black Hat USA 2011 hatte den Titel "Hacking Medical Devices for Fun and Insulin: Breaking the Human SCADA System". Er vergleicht den menschlichen Körper darin mit einer Chemie-Fabrik, gesteuert von einem SCADA-System. In seinem Fall (er ist Diabetiker) kommen dabei zwei IT-gesteuerte Systeme hinzu: Ein "Continuous Glucose Monitor" (CGM) und eine Insulinpumpe. Beide gesteuert über (Tusch!) herkömmliche SCADA-Technologien. Und dass die nicht besonders sicher sind, wissen wir ja spätestens seit Stuxnet alle.
Zuerst hat Jerome Radcliffe den Glucose Monitor untersucht. Dessen Sensor sendet seine Daten drahtlos an den Monitor, was dabei genau übertragen wird, konnte Jerome Radcliffe aber nicht herausfinden. Als mögliche Gefahren hat er Replay- und DoS-Angriffe und evtl. das Einschleusen falscher Daten (sofern deren Format analysiert werden kann) ermittelt.
Danach war die Insulinpumpe an der Reihe. Die wird Drahtlos gesteuert, für die Konfiguration werden veraltete Windows-Programme verwendet, die sich auf nichts neuerem als Windows XP installieren lassen. Ein Update der Geräte, die eine Lebensdauer von 5 Jahren haben, ist nicht vorgesehen.
Durch Aktivieren der Log-Funktion des Java-basierten Konfigurationsprogramms konnte Jerome Radcliffe die komplette Kommunikation analysieren. Außerdem konnte er die ungeschützten JAR-Datei untersuchen. Für eine Manipulation der Pumpe muss nur deren Seriennummer bekannt sein, die entweder über Social Engineering ausgespäht oder u.U. während der Kommunikation belauscht werden kann. Ein Angreifer kann die Insulinpumpe dann nach Belieben steuern und z.B. die gesamte vorhandene Insulinmenge auf einmal injizieren lassen.
Was bei Jerome Radcliffe Anfang August noch Theorie war, wurde bei Barnaby Jack dann Ende Oktober und Mitte Dezember zur Praxis:
Barnaby Jack: Life Threatening Vulnerabilities
Barnaby Jacks Vortrag auf der Black Hat Abu Dhabi hatte den Titel "Life Threatening Vulnerabilities". Auch er untersuchte Insulinpumpen und kam dabei weiter als Jerome Radcliffe, der für einen Angriff ja noch die Seriennummer der Pumpe benötigte: Eine Schwachstelle in den in den USA weit verbreiteten Insulinpumpen des Herstellers Medtronic erlaubt es, jede Insulinpumpe in einem Radius von 300 Fuß / 100 Metern zu ermitteln und danach Befehle an diese Pumpe zu schicken - einschließlich der Anweisung, das gesamte vorhandene Insulin auf ein Mal zu verabreichen.
Aus verständlichen Gründen hat Barnaby Jack keine Materialien zum Vortrag veröffentlicht, lediglich der Hersteller wurde detailliert informiert.
Der Angriff wurde zuvor bereits auf der Konferenz Hacker Halted vorgeführt, dort gibt es aber noch weniger Informationen als auf der Black-Hat-Website. Weitere Informationen über den Angriff gibt es z.B. bei der Washington Times oder bei Reuters. Eine weitere Demonstration gab es auf der IT-Defense 2012.In der nächsten Folge gibt es zum Abschluss der Serie einen Überblick über Angriffe auf SAP-Systeme.
Übersicht über alle Artikel zum Thema
- Neues zur Sicherheit von Web-Clients
- Neues zur Sicherheit von Web-Clients, Teil 2
- Neues zur Sicherheit von Clients, nicht nur im Web
- Neues zur Sicherheit von Clients
- Neues zur Sicherheit von Clients, Teil 2
- Neues zur Sicherheit von Webservern und -anwendungen
- Neues zur Sicherheit von Webservern und -anwendungen, Teil 2
- Sicherheitskonferenzen 2011: Autos und Insulinpumpen im Visier
- SAP-Anwendungen dringen ins Web vor, die Angreifer nehmen die Gegenrichtung
Trackbacks
Dipl.-Inform. Carsten Eilers am : Links, jede Menge Links. Und ganz wenig Kommentare.
Vorschau anzeigen