Drucksache: Entwickler Magazin 2.17 - Autos - so angreifbar wie nie
Im Entwickler Magazin 2.17 ist ein Artikel über Angriffe auf die IT-Systeme in Autos erschienen. Eine Leseprobe finden Sie auf entwickler.de!
Ich gebe es zu: Die Überschrift "Autos - so angreifbar wie nie" ist etwas unfair, es war ja auch noch nie so viel IT drin wie heute. Und wenn es um IT geht, dann ist nur eines sicher: Dass sie unsicher ist. Nicht immer, aber fast immer. Und das auch, wenn sie in Autos steckt. Seit einigen Jahren zeigen die Forscher auf den Sicherheitskonferenzen immer wieder neue Angriffe, so auch 2016. Und zusätzlich wurden neue Tools vorgestellt.
Im Grunde läuft es immer auf das Gleiche hinaus: Wer den CAN-Bus kontrolliert, kontrolliert die Auto-IT und damit das Auto. Was bisher schon für niedrige Geschwindigkeiten galt, haben Charlie Miller und Chris Valasek nun auch für höhere Geschwindigkeiten möglich gemacht. Was zeigt, dass die IT im Auto weiter untersucht werden muss,
Dafür braucht man Tools, und da ist die Auswahl stark gestiegen. Was ja immer gut ist. Vor allem die Möglichkeit, ein Auto quasi zu emulieren dürfte die Forschung erleichtern. Denn wie Charlie Miller auf Twitter so schön festgestellt hat kann man ja nur mit dem experimentieren, was einem zur Verfügung steht:
"“If Chrysler was smart, they'd buy me a car from another manufacturer. Whenever I get an idea to try, there is only my jeep to try it on.”"
Jetzt braucht man zum Testen kein echtes Auto mehr, ein emuliertes tut es ja oft auch.
Auch dass die Forscher nun beginnen, auch die LKW unter die Lupe zu nehmen, ist gut. Denn die sind noch viel weiter durchautomatisiert als die PKW und haben dadurch sowohl eine größere Angriffsfläche als auch mehr Möglichkeiten, Schaden anzurichten.
Ein weiteres Problem sind die unsicheren Schlüssellosen Türschlösser, Wegfahrsperren und Starter. Nicht nur, dass die unsicher sind, das Problem ist auch noch schon lange bekannt. Die Hersteller scheinen es also nicht für besonders wichtig zu halten. Wichtiger scheint es zu sein, sich beim Mogeln beim Abgastest nicht erwischen zu lassen bzw. sich nach dem Erwischt werden möglichst weit aus der Verantwortung zu stehlen.
Da hilft eigentlich nur eines: Nachprüfbare Software für die Auto-IT. Etwas, was die Hersteller bisher gemieden haben wie der Teufel das Weihwasser. Vermutlich muss der Gesetzgeber sie erst dazu zwingen, bevor sich das ändert. Dass er das will wage ich zu bezweifeln.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Chaim Gartenberg, The Verge: "Wireless vehicle-to-vehicle communication would be required in new cars under proposed DOT rule"
- [2] Charlie Miller, Chris Valasek; DEF CON 21 (2013): "Adventures in Automotive Networks and Control Units"
- [3] Carsten Eilers: "Zu Lande, zu Wasser und in der Luft"; Entwickler Magazin 6.14 (auch online auf auf entwickler.de)
- [4] Andy Greenberg; Forbes: "Hackers Reveal Nasty New Car Attacks--With Me Behind The Wheel (Video)"
- [5] Charlie Miller, Chris Valasek; Black Hat USA 2015: "Remote Exploitation of an Unaltered Passenger Vehicle"
- [6] Carsten Eilers: "Angriffsziel Auto(-IT)"; Entwickler Magazin 1.16
- [7] Andy Greenberg; WIRED: "Hackers Remotely Kill a Jeep on the Highway—With Me in It"
- [8] Charlie Miller, Chris Valasek; Black Hat USA 2016: "Advanced CAN Injection Techniques for Vehicle Networks" (Paper als PDF, Video auf YouTube)
- [9] Andy Greenberg; WIRED: "The Jeep Hackers Are Back to Prove Car Hacking Can Get Much Worse"
- [10] Javier Vazquez Vidal, Henrik Ferdinand Nölscher; DEF CON 24: "CAN i haz car secret plz?" (Präsentation als PDF, Video auf YouTube)
- [11] CANBadger auf GitHub
- [12] Javier Vazquez Vidal, Henrik Ferdinand Nölscher; Black Hat USA 2016 Arsenal: "CAN Badger"
Javier Vazquez Vidal, Henrik Ferdinand Nölscher; Black Hat USA 2016: "Arsenal Theater Demo: CAN Badger" - [13] Jonathan-Christofer Demay, Arnaud Lebrun; Black Hat USA 2016: "CANSPY: A Platform for Auditing CAN Devices" (Video auf YouTube)
- [14] Jonathan-Christofer Demay, Arnaud Lebrun; DEF CON 24: "CANSPY: a Framework for Auditing CAN Devices" (Präsentation als PDF, aktualisierte Präsentation als PDF, aktualisiertes Paper als PDF, Video auf YouTube)
- [15] CANSPY
- [16] Alexey Sintsov; Black Hat Europe 2016: "(Pen)Testing Vehicles with CANToolz"
- [17] CANToolz auf GitHub
- [18] Haystack, Six Volts; DEF CON 24: "Cheap Tools for Hacking Heavy Trucks" (Präsentation als PDF, Extras, Video auf YouTube, Website)
- [19] Jianhao Liu, Chen Yan, Wenyuan Xu; DEF CON 24: "Can You Trust Autonomous Vehicles: Contactless Attacks against Sensors of Self-driving Vehicle" (Präsentation als PDF, Paper als PDF, Videos auf YouTube)
- [20] ADAC Info - Sicherheitslücke mit Keyless Go
- [21] Flavio D. Garcia, David Oswald, Timo Kasper, Pierre Pavlidès; 25th USENIX Security Symposium: "Lock It and Still Lose It —on the (In)Security of Automotive Remote Keyless Entry Systems"
- [22] Daniel Lange, Felix Domke; 32C3: "The exhaust emissions scandal ("Dieselgate")"
- [23] Felix Domke; 33C3: "Software Defined Emissions - A hacker’s review of Dieselgate" (Video, Präsentation)
- [24] "Dieselgate – A year later" (Video)
- [25] Charlie Miller (0xcharlie) auf Twitter: "If Chrysler was smart, ..."
Trackbacks