1. Was ist ein Penetrationstest? Und was sind die wichtigsten Schritte, die IAV für Kunden unternehmen kann?
Penetrationstests spielen eine entscheidende Rolle dabei, die Cyber-Sicherheit eines Produkts, wie zum Beispiel eines Fahrzeugs, zu bewerten. Im Gegensatz zum anforderungsbasierten funktionalen Testen aus der Softwareentwicklung, das einem strengen Muster folgt, handelt es sich bei Penetrationstests um explorative Tests. Während man beim funktionalen Testen Anforderungen an die Software stellt und überprüft, ob sie diese durch einen oder mehrere Testfälle pro Anforderung korrekt umsetzt, zielen Penetrationstests darauf ab, unerwünschtes Verhalten der Software hervorzurufen. Wir versuchen, dieses Verhalten auszunutzen, um einen bestimmten Effekt zu erzielen, wie zum Beispiel das Entwenden von geschützten Daten.
2. Wie wird der Prozess eines Penetrationstests durchgeführt?
Zunächst definieren wir mit unseren Kunden den Testfokus. Darin legen wir fest, auf welche Schwerpunktthemen wir uns konzentrieren wollen. Dieser Schritt ist wichtig, da wir, im Gegensatz zu Cyber-Kriminellen, hinsichtlich Zeit und Kapazitäten begrenzt sind. Im Testfokus definieren wir ein Modell des Angreifers und identifizieren Angriffsmöglichkeiten, die wir untersuchen möchten.
Die typischen Schritte eines Penetrationstests beinhalten die Planung, bei der der Testfokus und das Angreifermodell bereits eine Rolle spielen. Anschließend scannen wir das Zielsystem, um so viele Informationen wie möglich über potenzielle Schwachstellen zu sammeln. Wenn wir Schwachstellen finden, greifen wir diese an. Sollten einige dieser Angriffe erfolgreich sein, versuchen wir, tiefer einzudringen und die Schwachstelle zu nutzen, um ein bestimmtes Schadensszenario herbeizuführen. Zum Schluss dokumentieren wir unsere Ergebnisse und starten mit unseren Kunden in die nächste Runde der Testfokus-Planung.
3. Spielen funktionale Tests oder deren Ergebnisse bei diesem Vorgehen auch eine Rolle?
Exploratives Testen steht im Mittelpunkt unseres Penetrationstest-Prozesses. Besonders beim „Scanning“ ist es wichtig, dass wir aktiv ungewünschtes Verhalten im System provozieren. Ein Schritt könnte zum Beispiel sein, dass wir funktionale Tests durchführen und diese mit Negativtests ergänzen. Bei diesen funktionalen Tests erwarten wir, dass die Software nicht reagiert oder eine Fehlermeldung ausgibt. Wir können dies auch mit Fuzz-Testing erweitern, um eine breite Palette an Software-Stimulationen durchzuführen. So entdecken wir unerwartetes Verhalten eines Systems, bei dem wir dann tiefer einsteigen und weiter bohren.
4. Wie wird ein Angreifermodell im Rahmen eines Penetrationstests bei IAV entwickelt?
Um ein Angreifermodell für einen Penetrationstest bei IAV zu entwickeln, fragen wir uns, wie ein potenzieller Angreifer vorgehen würde, um Schwachstellen im System zu entdecken und auszunutzen. Dabei achten wir besonders auf die Fähigkeiten, die Ausrüstung und die Motivation des Angreifers. Wir definieren die zu untersuchenden Angreifer gemeinsam mit unseren Kunden. Dies ist entscheidend, um den Penetrationstest zielgerichtet durchführen zu können.
5. Welche Tools oder Techniken verwendet IAV bei Penetrationstests?
Für unsere Penetrationstests setzen wir verschiedene Tools und Techniken ein. Einige davon nutzen wir bereits seit Langem in der Fahrzeugentwicklung, wie zum Beispiel DiagRA. Unsere Tester erstellen spezielle Testskripte, um Schwachstellen im CAN-Bus aufzudecken. Ein weiteres Werkzeug ist Kali Linux, das viele Programme für Penetrationstests und digitale Forensik verwenden kann. Wir passen die vielfältigen Bibliotheken und Skripte spezifisch für unsere Testaufgaben an, besonders für Netzwerktests. Zusätzlich verwenden wir Methoden der HW-Analyse. Dazu gehörten das Identifizieren und Kontaktieren von Debug-Schnittstellen und das Auslesen der Software, die auf dem Steuergerät vorhanden ist. Manchmal löten wir den Chip eines Steuergeräts ab, setzen ihn auf einen Adapter zum Auslesen am PC. Die ausgelesene Binärsoftware machen wir dann mit Tools wie IDA Pro für Menschen lesbar. Dann manipulieren wir die Software, und versuchen sie auf den Chip aufzuspielen und diesen wieder in die ECU einzubauen.
6. Kannst Du ein Beispiel für eine Sicherheitslücke nennen, die während eines Penetrationstests entdeckt und anschließend behoben wurde?
Tatsächlich haben wir in einem Projekt eine Sicherheitslücke entdeckt, bei der der Rückflashschutz einer ECU ausgehebelt werden konnte. Nach einem erfolgreichen Flash der Software, also dem Installieren der Steuergeräte-Software, konnte derselbe Schlüssel verwendet werden, um das Steuergerät auf einen älteren oder manipulierten Stand zu flashen. Diese Lücke wurde zum Glück nach unserem Bericht vom Lieferanten behoben.
7. Wie geht IAV vor, um die Cyber-Sicherheit eines vernetzten Fahrzeugs einzuschätzen? Welche Herausforderungen ergeben sich hierbei und wie werden sie bewältigt?
Um die Cyber-Sicherheit eines vernetzten Fahrzeugs einzuschätzen, arbeiten wir grundsätzlich mit einem Schichtenmodell. Zunächst betrachten wir drahtlose Kommunikationswege, die auch über größere Strecken durchgeführt werden können, wie Mobilfunk- oder WLAN in näherer Umgebung. Diese stellen aufgrund ihrer Skalierbarkeit des Schadens die größten Risiken für eine Fahrzeugflotte dar. Als Nächstes prüfen wir drahtlose Schnittstellen der näheren Umgebung des Fahrzeugs, also Bluetooth und NFC. Hierbei überprüfen wir zunächst alle Remote-Schnittstellen auf Schwachstellen und mögliche Angriffsvektoren. Ein wichtiger Aspekt für die Zukunft ist auch das Thema V2X. Anschließend überprüfen wir als dritte Schicht das Kommunikationsnetzwerk sowie die lokalen Schnittstellen, wie USB-Ports des Autos. Zuletzt untersuchen wir die ECU-Hardware und die Sicherheit des Verbunds kritischer Funktionen.
8. Welche Dienstleistungen bietet das IAV Security-Labor seinen Kunden an?
Im IAV Security-Labor bieten wir verschiedene Dienstleistungen an. Dazu gehören das Testen von Steuergeräten, das Durchführen von Security Code-Reviews, das Testen von kompletten Fahrzeugen und in Zukunft planen wir auch, die Kommunikation von Ladesäulen zu testen. Das Security-Labor ist ein wesentlicher Bestandteil in unserer ganzheitlichen Strategie, Fahrzeuge gegen Cyber-Angriffe zu schützen. Wir bieten alle Dienstleistungen im Rahmen der UN ECE155 und ISO 21434 an.
9. Wie bleibt ihr auf dem neuesten Stand hinsichtlich der aktuellen Bedrohungen und Schwachstellen in der Automobilindustrie?
Um aktuelle Bedrohungen und Schwachstellen in der Automobilindustrie im Blick zu behalten, greifen wir auf verschiedene Quellen zurück. Wir sind Mitglied in Vereinigungen von Security Forschern, abonnieren Newsletter, nutzen Datenbanken und nehmen an Fachtagungen teil. So sammeln wir wichtige Erkenntnisse, die wir in unsere Tests integrieren, sofern sie noch nicht berücksichtigt sind.
Kontakt:
Sprechen Sie uns gerne an
Viktoria Hoffmann