VERANSTALTUNGEN

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

EASY World 2018
20.09.18 - 20.09.18
In Mülheim an der Ruhr

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

AutoÜber Mobilfunk sind heute viele Autos permanent mit dem Internet verbunden. Für Hacker bietet sich damit ein digitales Einfallstor, das zu verheerenden Szenarien führen kann. Angreifer könnten zum Beispiel über eine Sicherheitslücke in tausend baugleiche Fahrzeuge eindringen und bei allen zeitgleich auf die Bremse treten. 

Wissenschaftler des Kompetenzzentrums für IT-Sicherheit der Universität des Saarlandes (CISPA) haben daher eine Technik entwickelt, die solche Angriffe erkennen kann und direkt unschädlich macht. Mit der frei verfügbaren Software „vatiCAN“ können Autohersteller ihre Programme nachrüsten.

Auf der Internationalen Automobilausstellung (IAA) vom 14. bis 24. September in Frankfurt am Main simulieren die Saarbrücker Forscher an einem echten Fahrzeug einen Hackerangriff und zeigen, wie sich dieser mit Hilfe der Software abwenden lässt (Saarland-Stand, Halle 4.0, Stand A26).

In einem Oberklassefahrzeug sind heute einige Dutzend Computer verbaut, von denen jeder einzelne die Rechenleistung einer Apollo-Rakete weit übersteigt. Diese Computer erleichtern der Werkstatt zum Beispiel die Fehlerdiagnose oder warnen den Fahrer vor einem folgenschweren Spurwechsel. „Die Rechner befolgen aber nur vorgegebene Steuerungsbefehle, ohne wie ein Mensch darüber nachzudenken. Wenn nun ein Fremder die Kommandohierarchie durcheinander bringt, können plötzlich unkontrollierte Steuerbefehle auf die Geräte im Auto einprasseln und das Fahrzeug abrupt abbremsen oder zum Schleudern bringen“, sagt Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!, Leiter der Forschungsgruppe für Automotive Security am Kompetenzzentrum für IT-Sicherheit CISPA in Saarbrücken. Noch vor wenigen Jahren seien solche Szenarien so gut wie unmöglich gewesen, da sich Kriminelle erst physisch Zugang zum Fahrzeug verschaffen mussten, um dieses zu manipulieren.

„Heute haben immer mehr Fahrzeuge eine permanente Internetverbindung. Sie erlaubt es zum Beispiel, aktuelle Stauinformationen in die Routenplanung einzubeziehen oder die Standheizung aus der Ferne zu aktivieren. Enthalten solche internetfähigen Steuergeräte aber Sicherheitslücken, können Angreifer ihre Befehle an tausende Fahrzeuge schicken“, warnt der promovierte Informatiker. Zusammen mit Christian Rossow, Professor für IT-Sicherheit an der Universität des Saarlandes, arbeitet Nürnberger daran, dass Komponenten wie etwa ein Notbremsassistent jederzeit die Echtheit der an sie gerichteten Befehle überprüfen können. Die dafür entwickelte Software „vatiCAN“ sorgt dafür, dass nur der echte Sender die notwendigen Authentifizierungscodes an Nachrichten anhängen kann.

„Diese Codes werden zwischen den Steuergeräten des Fahrzeugs ständig neu ausgehandelt und können so einem Angreifer von außen nicht bekannt sein. Diejenigen Steuergeräte, die unsere Software verwenden, können so echte von gefälschten Nachrichten unterscheiden“, erläutert Nürnberger das Prinzip. Bei ihrer Sicherheitslösung war den Forschern wichtig, dass diese von den Autoherstellern einfach nachgerüstet werden kann. „Die Sprache, die Steuergeräte in einem Auto sprechen, wird durch ‚vatiCAN‘ nicht verändert. So lässt sich die Software nachträglich in bereits existierende Fahrzeuge integrieren, um sie gegen Angriffe zu schützen“, sagt der Saarbrücker Forscher. Da es eine Sisyphusaufgabe wäre, jede Sprache und jedes Protokoll für jede Marke und jedes Modell anzupassen, seien hier die Hersteller gefragt. Sie besäßen die notwendigen Informationen, um die Anti-Hack-Software leicht zu integrieren.

Weiterführende technische Details:

Die vatiCAN Lösung verhindert darüber hinaus Angriffe, wie beispielsweise das Mitschneiden von authentifizierten Nachrichten, indem in jede Nachricht ein Zeitstempel einfließt. Ist er nicht aktuell, war die Nachricht aufgezeichnet und könnte gefährlich werden. „Durch diese zusätzlichen Berechnungen benötigt das Übertragen der Nachricht nur zwei Millisekunden mehr“, erklärt Nürnberger, der vatiCAN an einem VW Passat getestet hat. Dies sei auch für Steuervorgänge akzeptabel, bei denen es auf die unmittelbare Reaktion ankomme: „Verzögern sich Datenpakete um zwei Millisekunden, verlängert das bei einer Geschwindigkeit von 130 Kilometer pro Stunde den Bremsweg um gerade mal sieben Zentimeter“, so Nürnberger.

Ihr Verfahren haben die Forscher bereits auf einer internationalen Konferenz in Santa Barbara in Kalifornien vorgestellt. Die Software kann hier kostenlos heruntergeladen und verwendet werden.
 

GRID LIST
Hacker

Anstieg des CEO-Frauds beobachtet

Das Volumen von Phising-Nachrichten mit CEO-Fraud-Inhalt, die gemeldet wurden, hat sich…
Hacker Kamera

Zero‑Day‑Schwachstelle in Videoüberwachungs‑Software entdeckt

Mit der „Peekaboo” getauften Schwachstelle können Cyberkriminelle die Aufnahmen…
Hacker

Kryptomining-Malware in Kodi Add-ons enttarnt

Die Benutzer von Kodi sollten sich ihre installierten Zusatzprogramme nochmal ganz genau…
Hacker

Hacker-Gruppe LuckyMouse signiert Malware mit legitimem Zertifikat

Die Experten von Kaspersky Lab (GReAT) haben mehrere Infektionen eines bisher unbekannten…
Trojaner

Verbreitung von Mining-Trojanern für Windows und Linux

Im vergangenen Monat gerieten erneut Mining-Trojaner in das Visier der Virenanalysten von…
Schloss

Wie lassen sich falsche Webzertifikate ausstellen?

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in…
Smarte News aus der IT-Welt