Auto-Hacking als Sabotagemethode

– Clemens Gleich in Kategorie(n) , – 30.06.2010

Moderne Autos fah­ren eine ganze Bat­te­rie an Rech­nern spa­zie­ren. Ame­ri­ka­ni­sche For­scher zei­gen, wie man diese so sabo­tie­ren kann, dass der Fah­rer keine Kon­trolle mehr über sein Fahr­zeug hat.

Eine Kol­la­bo­ra­tion der Uni­ver­sity of Cali­for­nia in San Diego und der Uni­ver­sity of Washing­ton ver­öf­fent­lichte Mitte Mai ein Paper, das grund­sätz­li­che Sicher­heits­pro­bleme der Auto-internen Netz­werke und Steu­er­ge­räte anpran­gert. Sie blo­ckier­ten die Brem­sen ein­zel­ner Räder, stell­ten wäh­rend der Fahrt den Motor ab, dreh­ten die Hei­zung oder das Radio auf, spiel­ten die­ses ner­vige Gurtan­le­gen­ge­bim­mel in vol­ler Laut­stärke, lie­ßen die Schei­ben­wasch­an­lage ver­rückt spie­len und schal­te­ten innen wie außen die Lich­ter aus. Diese Arbeit ist eine wich­tige und perio­disch wie­der­keh­rende Tätig­keit, eine Kri­tik am Auto­mo­bil­bau mit Pra­xis­ar­gu­men­ten. Es ist außer­dem eine undank­bare Tätig­keit, weil sta­tis­tisch gese­hen nie­mand Com­pu­ter ver­steht — am aller­we­nigs­ten die ter­min­ge­hetz­ten Medien, die aus den ver­füh­re­ri­schen Zuta­ten des Berichts prompt einen exqui­si­ten Quatsch mit Soße koch­ten. Egal, was Sie in der letz­ten Zeit im Fern­se­hen gese­hen oder irgendwo gele­sen haben: Es besteht keine rele­vante Gefahr, dass jemand über Funk vom Stra­ßen­rand aus Ihre Brem­sen blo­ckiert. Der Bericht (nach­les­bar unter www.autosec.org) erin­nert den­noch daran, dass die Elek­tro­nik aktu­el­ler Autos ein enor­mes Miss­brauchs­po­ten­zial birgt.

Zunächst mal: Was haben die For­scher getan, damit sie schlag­zei­len­kon­form über Funk einen fah­ren­den Wagen beein­flus­sen konn­ten? Die Ant­wort liegt ziem­lich genau bei klas­si­scher Sabo­tage. Sie haben sich phy­si­ka­lisch Zugang zu die­sem Auto ver­schafft und dort zusätz­li­che Geräte ange­schlos­sen. Das mit dem Zugang war ziem­lich ein­fach, denn sie hat­ten das Auto gekauft. Wel­ches Auto es war, wol­len sie nicht ver­ra­ten, wen es inter­es­siert, wird das 2009er-Fabrikat schnell anhand der Bil­der im Bericht iden­ti­fi­zie­ren kön­nen. Das mit den zusätz­li­chen Gerä­ten war eben­falls ein­fach, denn die bestan­den aus einem Lap­top und eini­gen Kabeln. Den Lap­top ver­ban­den sie über den Dia­gno­se­ste­cker (nennt sich akro­nym OBD-II) mit dem Netz­werk­sys­tem des Autos (OBD-II ver­bin­det mit dem soge­nann­ten CAN-Bus). Der Lap­top emp­fing über seine ein­ge­baute WLAN-Antenne Befehle von einem zwei­ten Lap­top in einem Begleit­fahr­zeug. Mit die­sem Test erprob­ten die For­scher, ob ihre Erkennt­nisse vom auf­ge­bock­ten Auto auch in ech­ter Fahrt auf einem lee­ren Flug­feld noch gal­ten (die Ant­wort lau­tete in den meis­ten Fäl­len “Ja”). Doch so inter­es­sant ihre Ver­su­che auch sind: Wenn jemand einen fern­ge­steu­er­ten Rech­ner in Ihr Auto ein­bauen kann, dann kann er auch eine fern­ge­steu­erte Bombe ein­bauen. Inter­es­sant ist nur, wie unzu­läng­lich die Sicher­heits­vor­keh­run­gen gegen Sabo­tage auf dem Bus tat­säch­lich sind. Die ame­ri­ka­ni­schen Bast­ler hat­ten sich auf lange Sit­zun­gen mit dem Oszil­lo­skop ein­ge­stellt, fan­den jedoch über­all sehr ein­fa­che Zugangslücken.

Dazu sollte man wis­sen, dass der CAN-Bus (CAN steht für “Con­trol­ler Area Net­work”) aus den Acht­zi­gern stammt, als noch nicht für jeden abseh­bar war, dass heute Gurt­war­ner bim­meln oder Kin­der auf dem Rück­sitz DVDs anschauen. CAN ist robust kon­stru­iert, ein­fach und nach heu­ti­gen Maß­stä­ben nicht son­der­lich schnell. Zugangs­kon­trol­len waren damals in sehr gerin­gem Umfang vor­ge­se­hen, denn jede sol­che Kon­trolle behin­dert den Zugang, macht das Sys­tem kom­ple­xer und damit feh­ler­an­fäl­li­ger. In aktu­el­len Autos gibt es ein paar mehr Kon­trol­len, zum Bei­spiel in Form eines Frage-Antwort-Spiels (Challenge/Response). For­dert ein Gerät von einem ande­ren wich­tige Dinge wie zum Bei­spiel eine Repro­gram­mie­rung sei­ner Funk­tio­nen, stellt das gefor­derte Gerät eine Frage und erwar­tet die rich­tige Ant­wort. Weil beide Geräte Com­pu­ter sind, sind Frage wie Ant­wort ein­fach Zah­len (Com­pu­ter sind so), und weil CAN ein­fach auf­ge­baut ist, hält sich die Größe der Zahl in Gren­zen. Im Test gab es 65.536 mög­li­che Ant­wor­ten — eine 16 Bit breite Zahl also und nicht beson­ders viel, wenn man ein­fach einen Com­pu­ter jede Ant­wort pro­bie­ren lässt und der­weil Kaf­fee trin­ken geht. Die Anzahl der fal­schen Ant­wor­ten war nicht begrenzt, es gab nur eine Pause von zehn Sekun­den, bevor man eine neue Ant­wort pro­bie­ren konnte. In unter acht Tagen hat man also alle rich­ti­gen Ant­wor­ten für ein bestimm­tes Auto her­aus­ge­fun­den. Das ist auch mit ein Grund, warum Chip­tu­ner kaum ein Pro­blem mit sol­chen Hür­den haben, warum man den Tach­or­ück­dre­hern nicht beikommt.

Immer­hin über­haupt eine Hürde, könnte man jetzt sagen, aber das wies sich in der Pra­xis des Expe­ri­ments als falsch her­aus. Denn obwohl die beschrie­be­nen Sicher­heits­tech­ni­ken emp­foh­len, ja: in den Stan­dards der Her­stel­ler vor­ge­se­hen sind, konn­ten die For­scher oft ein­fach eigent­lich gesperrte Funk­tio­nen nut­zen, ohne sich über das Frage-Antwort-Spiel zu aut­ho­ri­sie­ren. Ebenso sehen Fahr­zeug­ent­wick­lungs­richt­li­nien so aus, dass bestimmte Funk­tio­nen in Fahrt nicht zur Ver­fü­gung ste­hen, weil ihre Benut­zung dann poten­zi­ell gefähr­lich ist. Zum Bei­spiel soll man die Motor­steue­rung in Fahrt nicht neu bespie­len kön­nen (Pro­gram­mier­mo­dus), weil dabei der Motor aus­geht. Im Expe­ri­ment konn­ten die Tes­ter die Motor­steue­rung jedoch wäh­rend der Fahrt in den Pro­gram­mier­mo­dus schi­cken, der Motor ging aus. Ohne hier in lang­wei­lige Details zu gehen: Die Tes­ter fan­den noch meh­rere sol­che kri­ti­sche Stel­len, an denen eine wich­tige Richt­li­nie nicht beach­tet wurde, was es ihnen so ein­fach machte. Das liegt dann nicht mehr an Schwä­chen von CAN, das ist schlicht Schlam­pe­rei. CAN wird uns trotz neuer Auto­netz­werk­sys­teme wie Flex­ray noch eine Weile beglei­ten. In den USA ist es sogar gesetz­lich vor­ge­schrie­ben, damit die Poli­zei ihre OBD-II-Lesegeräte für Ermitt­lun­gen ver­wen­den kann.

Für Schlam­pe­rei gibt es den­sel­ben Grund wie für die grund­sätz­lich schwa­chen Sicher­heits­me­cha­nis­men: Geld näm­lich. In einem Inter­view zu die­sem Thema (gut, eigen­l­tich war das Inter­view zu einem ande­ren, ver­wand­ten Thema) erklärte der Zulie­fe­rer Bosch mir kürz­lich, dass sie kaum Sicher­heits­bar­rie­ren ent­wi­ckeln, weil sie kein Fahr­zeug­her­stel­ler bestellt. Warum auch? Wür­den Sie tau­send Euro mehr für Ihren nächs­ten Wagen zah­len, aus Grün­den, die Ihnen kein Händ­ler rich­tig erklä­ren kann? Sicher­heit ver­kauft sich nur, wenn es nach­voll­zieh­bare Angst als Druck­mit­tel gibt. Ein wei­te­rer Grund: es ist im Inter­esse aller ehr­li­chen Betei­lig­ten, dass ein Auto so offen wie mög­lich ist, denn nur dann kann eine Werk­statt schnell Feh­ler behe­ben, der ADAC noch vor Ort hel­fen und der Tuner den Wagen auch elek­tro­nisch opti­mie­ren. Stren­gere Sicher­heit macht es nicht zuerst Kri­mi­nel­len, son­dern zunächst ein­mal all den ehr­li­chen Leu­ten schwerer.

Man könnte es Sabo­teu­ren sehr schwer machen, die Elek­tro­nik zu mani­pu­lie­ren. Nur erschwert das den Zugang auch für alle Ande­ren, zum Bei­spiel für die Werk­statt. (Bild: BMW)

Wie das Pro­blem in Zukunft behan­delt wird, hängt von vie­len Fak­to­ren ab. Wenn der erste Sabo­teur einen Weg gefun­den hat, über die Funk­schließ­an­lage vom Weges­rand die Brem­sen zu beein­flus­sen, wird das Geschrei groß sein. Man könnte das Pro­blem jetzt schon prä­ven­tiv ange­hen, aber “prä­ven­tiv” ist gegen alles, wofür die soziale Mark­wirt­schaft steht. Es wird nicht pas­sie­ren. Im Hin­blick auf aktu­ell lau­fende Ent­wick­lun­gen bei den Her­stel­lern kann einem da schon mul­mig zumute wer­den. So arbei­ten alle gro­ßen Auto­bauer etwa an Car-to-Car-Netzwerken, um damit intel­li­gente Ori­en­tie­rungs­hil­fen für Fahr­zeug wie Fah­rer zu geben. Jedes Auto teilt dabei sei­nem unmit­tel­ba­ren Umfeld mit, wie schnell es wo fährt und viel­leicht, wo es hin­will (Blin­ker). Das soll (wie immer) die Ver­kehrs­si­cher­heit erhö­hen, kann jedoch auch als Mit­tel zur Opti­mie­rung des Ver­kehrs­flus­ses die­nen, zum Bei­spiel an Ampel­kreu­zun­gen. Kol­lege Tho­mas Dele­kat erwar­tet schon fest, dass die Regie­rung diese Netz­werke über­dies benut­zen wird, um Tem­po­li­mits tech­nisch zu erzwin­gen, dass Schil­der also einen Sen­der haben wer­den, der die ver­lang­ten 50 km/h der Motor­elek­tro­nik über den Kopf des Fah­rers hin­weg ein­fach dik­tiert. Diese Netz­werke sind in ihrer Umset­zung an sich schon schwie­rig. Ich kann mich erin­nern, wie ein stol­zer deut­scher Her­stel­ler sein Sys­tem bei einem Besuch vor­führte, wobei es prompt zu eben dem Crash kam, der eigent­lich ver­hin­dert wer­den sollte. Und jetzt stel­len wir uns dazu einen geris­se­nen Viren­pro­gram­mie­rer vor, der die zukünf­ti­gen Schlam­pe­reien (mit denen Sie fest rech­nen soll­ten) geschickt ausnutzt…

Über mög­li­che Aus­wege aus dem Dilemma strei­ten sich Exper­ten. Effek­tive Ver­schlüs­se­lungs­tech­ni­ken sind wie gesagt teuer und nie­mand will sie bezah­len. Wobei man dabei nicht alle Hoff­nung ver­lie­ren muss, denn wenn ein gesetz­li­cher Druck da ist, klappt sowas auf ein­mal doch. Bei BMW gibt es als Son­der­aus­stat­tung der gro­ßen Limou­si­nen ein Nacht­sicht­ge­rät mit auto­ma­ti­scher Per­so­nen­er­ken­nung. Die­ses Gerät fällt unter US-Gesetze, die for­dern, dass es aus­ge­baut nicht mehr funk­tio­nie­ren darf, damit Ter­ro­ris­ten kei­nen Rake­ten­wer­fer dran­ta­ckern. BMW und seine Zulie­fe­rer genü­gen dem Gesetz durch eine starke Ver­schlüs­se­lung nebst ent­spre­chen­der Authen­ti­fi­ka­tion. Viel­leicht gibt es also irgend­wann eine gesetz­li­che Vor­schrift, sowas durch­gän­gig zu ver­bauen, selbst wenn dann der gute alte Auto­schrau­ber noch rat­lo­ser dasteht, als das heute schon der Fall ist. Wer sich vor den Gefah­ren der KFZ-Informationstechnologie schüt­zen möchte, muss künf­tig mög­lichst ein­fach kon­stru­ierte Fahr­zeuge kau­fen. Motor­rä­der, Rol­ler oder gleich ganz zeit­geis­tig Old­ti­mer. Letz­tere sind zwar weni­ger zuver­läs­sig als moderne Autos, ver­sa­gen jedoch wenigs­tens aus Grün­den, die nor­male Men­schen noch verstehen.

Woanders wird gesagt …

  1. Lost+Found: Encrypted messages, spying, car access codes, malware analysis for everyman | IT Security, Hacking, Vulnerability alerts, IT Leadership and more - geschrieben am 8. Juli 2010 um 20:00

    […] devices is child’s play for a PC. The codes are just 16 bits long and it’s pos­si­ble to run through (Ger­man lan­guage link) all pos­si­ble codes fairly quickly. This is repor­ted to be the rea­son why […]

  2. Lost+Found: Encrypted messages, spying, car access codes, malware analysis for everyman | Hack In The Box | Hacking and Computer security news - geschrieben am 8. Juli 2010 um 20:01

    […] devices is child’s play for a PC. The codes are just 16 bits long and it’s pos­si­ble to run through (Ger­man lan­guage link) all pos­si­ble codes fairly quickly. This is repor­ted to be the rea­son why […]

Hinterlasse eine Antwort

Melde Dich mit Deinem Facebook- oder Twitter-Account an:

Connect with Facebook

Oder fülle einfach folgende Felder aus: