Drucksache: Entwickler Magazin 6.2014 - Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen
Im
Entwickler Magazin 6.14
ist ein Artikel über Angriffe auf Embedded Systems in Autos,
Flugzeugen und Schiffen erschienen. Der Artikel ist sogar das Titelthema!
Denn Computer lassen sich nicht nur angreifen, wenn sie auf dem Schreibtisch oder im Rechenzentrum stehen, sondern auch wenn sie in Autos, Flugzeugen oder Schiffen eingebaut sind. Und weil theoretischen Angriffen, die auf Konferenzen vorgestellt wird, ja immer der Hauch des "Ach, das ist nur Schwarzmalerei, das wird ja nie passieren" anhängt, geht es gleich mit einem praktischen Beispiel los: Ein Drittel der Autodiebstähle in London sind laut dem britischem Innenministerium inzwischen IT-basiert [1]. Die Diebe nutzen dafür unter anderen spezielle Geräte, mit denen sie den Code des Autoschlüssels ausspähen, während der vom Fahrer benutzt wird [2].
Alles, was Angreifer für einen Angriff brauchen, ist eine ausnutzbare Schwachstelle. Jedes Programm enthält Fehler, und einige dieser Fehler führen zu Schwachstellen, die sich für Angriffe ausnutzen lassen. Das gilt im Großen auf Desktop und Server ebenso wie im Kleinen auf Smartphone und Tablet. Und es gilt natürlich auch für die Software im IoT. Und zwar in jedem Ding, auch in Autos, Schiffen und Flugzeugen.
Die Frage ist nur, ob jemand die Schwachstelle findet, der sie ausnutzen will, und ob der dann einen Weg findet, sie wirklich auszunutzen. Zum Beispiel nutzt eine Pufferüberlaufschwachstelle in der Wegfahrsperre eines Autos einem Dieb überhaupt nichts, wenn es für ihn keine Möglichkeit gibt, den Puffer zum überlaufen zu bringen.
Daher ist es wichtig, auch die Systeme in Autos, Schiffen und Flugzeugen (wie sieht es eigentlich mit Raumschiffen aus? Oder Zügen? Oder ...) abzusichern. Zum einen, indem durch einen sicheren Entwicklungsprozess die Anzahl der Schwachstellen möglichst weit reduziert wird. Zum anderen, indem entsprechende Schutzmaßnahmen implementiert werden. Zum Beispiel in Form eines Intrusion Prevention Systems oder durch die Trennung sicherheitsrelevanter und nicht sicherheitsrelevanter Netze, oder wie auch immer.
Aber das ist die Aufgabe der jeweiligen Hersteller. Für uns Benutzer bleibt nur, zu hoffen, dass das passiert, bevor etwas passiert.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Margi Murphy; Computerworld UK: "Home Office to work with car manufacturers to defend against hackers"
- [2] Chris Greenwood; Daily Mail: "Hackers are blamed for a third of car thefts: One in three vehicles stolen by high-tech criminals who do not need owner's keys"
- [3] ConsumerReports.org: "Hacking car security 12/05: Keyless entry system, car security system" (via Archive.org)
- [4] Steve Bono, Matthew Green, Adam Stubblefield, Avi Rubin, Ari Juels, Michael Szydlo: "Analysis of the Texas Instruments DST RFID" (via archive.org)
- [5] Lestlane News: "Gone in 20 Minutes: using laptops to steal cars" (via archive.org)
- [6] Slashdot: "Using Laptops to Steal Cars"
- [7] Bruce Schneier; Schneier on Security: "Stealing Cars with Laptops"
- [8] Josh Robertson; The Courier-Mail: "$30 device available online blamed for spike in car thefts in Queensland"
- [9] Nitesh Dhanjani: "Cursory Evaluation of the Tesla Model S: We Can't Protect Our Cars Like We Protect Our Workstations"
- [10] Graham Cluley: "How a hacked password can unlock a Tesla car"
- [11] Rob Waugh; ESET We Live Security: "Tesla shocker as researcher picks electric supercar’s lock"
- [12] Karl Koscher, Alexei Czeskis, Franziska Roesner, Shwetak Patel, Tadayoshi Kohno, Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, Stefan Savage; IEEE Symposium on Security and Privacy 2010: "Experimental Security Analysis of a Modern Automobile" (PDF)
- [13] Alberto Garcia Illera, Javier Vazquez Vidal; Black Hat Asia 2014: "Dude, WTF in My CAN!"
- [14] Charlie Miller, Chris Valasek; DefCon 21 (2013): "Adventures in Automotive Networks and Control Units"
- [15] Chris Valasek, Charlie Miller; IOActive Labs Research Blog: "Car Hacking: The Content"
- [16] Andy Greenberg; Forbes: "Hackers Reveal Nasty New Car Attacks--With Me Behind The Wheel (Video)"
- [17] Charlie Miller, Chris Valasek; SyScan Singapore 2014: "Car Hacking for Poories" (ZIP)
- [18] Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, Stefan Savage, Karl Koscher, Alexei Czeskis, Franziska Roesner, Tadayoshi Kohno; USENIX Security 2011: "Comprehensive Experimental Analyses of Automotive Attack Surfaces" (PDF)
- [19] Ishtiaq Rouf, Rob Miller, Hossen Mustafa, Travis Taylor, Sangho Oh, Wenyuan Xu, Marco Gruteser, Wade Trappe, Ivan Seskar: "Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study" (PDF)
- [20] Bruce Schneier; Schneier on Security: "Hacking Cars Through Wireless Tire-Pressure Sensors"
- [21] Charlie Miller, Christopher Valasek; Black Hat USA 2014: "A Survey of Remote Automotive Attack Surfaces"
- [22] Brian Donohue; Kaspersky Lab Blog: "Mobiles Auto-Hacking auf der Black Hat"
- [23] Michael Mimoso; ThreatPost: "Car Hacking Enters Remote Exploitation Phase"
- [24] Chris Valasek; IOActive Labs Research Blog: "Remote survey paper (car hacking)"
- [25] Andy Greenberg; Wired: "Hackers Could Take Control of Your Car. This Device Can Stop Them"
- [26] Wayne Yan, Kai Peng; SyScan360: "Hack Your Car and I’ll Drive You Crazy: the Design of Hack-proof CAN-based Automotive System" (PDF)
- [27] Lisa Vaas; Sophos Naked Security: "$80 million yacht hijacked by students spoofing GPS signals"
- [28] Cockrell School of Engineering: "UT Austin Researchers Spoof Superyacht at Sea"
- [29] Marco Balduzzi, Kyle Wihoit, Alessandro Pasta; Hack in the Box Malaysia 2013: "Hey Captain, Where’s Your Ship? Attacking Vessel Tracking Systems for Fun and Profit"
- [30] Marco Balduzzi, Kyle Wihoit, Alessandro Pasta: "Hey Captain, Where’s Your Ship? Attacking Vessel Tracking Systems for Fun and Profit" (PDF)
- [31] Marco Balduzzi; Black Hat Asia 2014: "AIS Exposed Understanding Vulnerabilities & Attacks 2.0"
- [32] Marco Balduzzi, Alessandro Pasta; Hack in the Box Amsterdam 2014: "AIS Exposed: New Vulnerabilities and Attacks"
- [33] Hugo Teso; Hack in the Box Amsterdam 2013: "Aircraft Hacking: Practical Aero Series"
- [34] Zeljka Zorz, Berislav Kucan; Help Net Security: "Hijacking airplanes with an Android phone"
- [35] Andy Greenberg; Forbes: "Researcher Says He's Found Hackable Flaws In Airplanes' Navigation Systems (Update: The FAA Disagrees)"
- [36] Zeljka Zorz; Help Net Security: "FAA and EASA say hijacking planes using an app is not possible"
- [37] Hugo Teso; Hack in the Box Malaysia 2013: "Digging Deeper into Aviation Security"
- [38] Hugo Teso; n.runs Blog: "Aviation Security - FMS Exploitation Over ACARS"
- [39] Brad "RenderMan" Haines; DefCon 20 (2012): "Hacker + Airplanes = No Good Can Come Of This"
- [40] Lisa Vaas: Sophos Naked Security: "Drone hijacked by hackers from Texas college with $1,000 spoofer"
- [41] Ruben Santamarta; Black Hat USA 2014: "SATCOM Terminals: Hacking by Air, Sea, and Land"
- [42] Ruben Santamarta; IOActive Labs Blog: "A Wake-up Call for SATCOM Security"
- [43] Jim Finkle; Reuters: "Hacker says to show passenger jets at risk of cyber attack"
- [44] Dr. Phil Polstra, Captain Polly Kadolph; DefCon 22 (2014): "Cyberhijacking Airplanes: Truth or Fiction?"
- [45] DefCon 22 Presentation Phil Polstra
- [46] Dr. Phil Polstra: "Cyberhijacking Airplanes: Truth or fiction"
Trackbacks
Dipl.-Inform. Carsten Eilers am : Einige kommentierte Updates zu älteren Artikeln
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Unerfreuliches zu Routern und dem IoT
Vorschau anzeigen