Tobias Lehnen

Digitale Forensik
Angriffsszenarien auf IT-Infrastrukturen
About us
Käfer EDV Systeme GmbH
Dipl.-Ing. Thomas Käfer
ö.b.u.v. Sachverständiger für Systeme
und Anwendungen der IT
Tobias Lehnen
Fachinformatiker System-Integration
IT-Systemhaus aus Würselen bei Aachen
5 Mitarbeiter – Gründung 1990
IT-Systemberatung und -Konzeption
IT-Sicherheit und Datenschutz
Lastenhefterstellung und
Ausschreibungen
EDV-Gutachten und Digitale Forensik
Was erwartet Sie?
Digitale Forensik - Angriffsszenarien auf IT-Infrastrukturen am
Beispiel einer Smartphone-App aus dem Automotivumfeld
Vorschau auf Schulungsangebot: Digitale Forensik und ITSpezialistenweiterbildung
Essen | 20.03.2015
Digitale Forensik vs.
Klassische Forensik
Essen | 20.03.2015
Forschungsarbeit Digitale Kfz Forensik
Essen | 20.03.2015
Digitale Kfz Infrastrukturen – Forensische
Datenquellen und Missbrauchsszenarien
Car2X
Car2Car
Car2Person
Essen | 20.03.2015
Missbrauchs- und Angriffsszenarien:
Past – Present – Future
Fahrzeug ohne
Fahrerassistenzsysteme
keine digitalen Systeme
keine digitalen
Schnittstellen
keine externe Vernetzung
Essen | 20.03.2015
Missbrauchs- und Angriffsszenarien:
Past – Present – Future
Fahrzeug ohne
Fahrerassistenzsysteme
keine digitalen
Schnittstellen
nur interne/ keine externe
Vernetzung
Essen | 20.03.2015
Missbrauchs- und Angriffsszenarien:
Past – Present – Future
Fahrzeug mit
Fahrerassistenzsystemen
– teilautonomes Fahren
viele digitale
Schnittstellen
umfangreiche interne
und
externe Vernetzung
Essen | 20.03.2015
Missbrauchs- und Angriffsszenarien:
Past – Present – Future
Autonom fahrende und
voll vernetzte Fahrzeuge
Essen | 20.03.2015
Missbrauchs- und Angriffsszenarien:
Past – Present – Future
Typisches Werkzeug
für Angriff:
Smartphone/PC
FBI-Studie warnt
bereits vor den
Gefahren autonomer
Fahrzeuge
Essen | 20.03.2015
Missbrauchs- und Angriffsszenarien:
Reifendrucksensoren - Tracking und Spoofing
Aktive
Reifendrucksensoren
übermitteln
charakteristische
Signale /
Signalkombinationen im
Nahfeld an ein
Steuergerät / Display
im Fahrzeug
Essen | 20.03.2015
12
Missbrauchs- und Angriffsszenarien:
Zugriff auf unverschlüsselte Daten
Manipulation von Bus-Signalen
(GPS, Steuerwertdaten)
Ohne Verschlüsselung haben
Hacker leichtes Spiel…
Gegenmaßnahmen:
Validierung, Verschlüsselung,
Hashing, Intrusion Detection,
Firewall und Forensic
Readyness
Essen | 20.03.2015
Warum funktionieren solche Angriffe?
Klassisches Security-Modell
IDS / Monitoring
Kommunikation
Außenschnittstellen
Essen | 20.03.2015
Security-Layer
Processing
Produktion
Warum funktionieren solche Angriffe?
Verbessertes Security-Modell
IDS / Monitoring
Kommunikation
Außenschnittstellen
Essen | 20.03.2015
Security-Layer
Processing
Produktion
Missbrauchs- und Angriffsszenarien –
Eingriff in die Fahrzeugsteuerung
Neue Art der Bedrohung
resultiert aus der
Erreichbarkeit des
Fahrzeugs von außen
über Infrastrukturen und
Funkverbindungen
Warum sollte ein Hacker
ein Auto oder ein System
Industrie 4.0 angreifen?
Ganz einfach: Weil er es
kann!
Essen | 20.03.2015
Schnittstellen und Akteure definieren die
Angriffsflächen und die Angriffsvektoren
Rund um das vernetzte
Automobil finden sich Akteure,
die vom Besitzer und Fahrer
teilweise gewünscht, manchmal
notgedrungen akzeptiert und
ertragen und teilweise komplett
unerwünscht sind.
Ein Angreifer wird dankend die
neuen Schnittstellen nutzen
und in seinen Angriff
integrieren.
Essen | 20.03.2015
Industrie 4.0 – Internet der Dinge –
Smart Factory – BigData…
Internet der Dienste
Smart Factory
Smart Mobility
Smart Logistics
Smart Grids
Smart Products
Internet der Dinge
Essen | 20.03.2015
Smart Buildings
Erste Forschungsergebnisse:
Angriffsszenarien auf Fahrzeug-Bus-Systeme
In einem modernen
Fahrzeug gibt es ca. 8
km Kabel und rund 100
Steuergeräte
Grosse Angriffsfläche
für Hacker
OBD-Steckdose bisher
des Hackers liebstes
Kind – aber heutzutage
rel. gut gesichert
(wenig geschwätzig)
CAN-Bus ist viel
interessanter
Essen | 20.03.2015
Erste Forschungsergebnisse - Unsicherheit von
Automotiv Smartphone-Apps
Angriffsvektor „SmartphoneApp“
hier: Komfortfunktion zum
Orten und Öffnen des
eigenen Fahrzeugs
denkbar: App zur Steuerung
einer Produktionsanlage oder
Maschine…
Essen | 20.03.2015
Kapitale Programmierfehler durch Unkenntnis der
Manipulationsmöglichkeiten
Nachbau der App zu
Demozwecken
Einfaches Aushebeln des
PIN-Schutzes möglich
Noch schlimmer: PIN kann
ausgelesen und live
verändert werden…
Essen | 20.03.2015
Bitte nicht so…
Das ist die PIN!
Essen | 20.03.2015
liefert PIN; noch
schöner, wenn sie
„getPIN“ heißt…
Kapitale Programmierfehler durch Unkenntnis der
Manipulationsmöglichkeiten – Liveänderung der PIN
Essen | 20.03.2015
Essen | 20.03.2015
Konkrete Funde in einer untersuchten
Automotive-App
PIN der App: „1234“ im Klartext in der Apple Keychain
gespeichert
AES Schlüssel-Datenbank:
1INdeJ7ktzzhzGQucH2uX0zPkEvI8K4n (im Klartext in der
Apple Keychain gespeichert)
VIN: xxxxxx
Kennzeichen: AC-I..….
Benutzername: Thomas.TK.Kaefer
Benutzer ID 678xxx im Automotiv-Portal
Passwort: Bananen1234. -> „codiert“ als
FBD8D7D8D7DCD7888B8A8D97 (X-OR mit B9)
Alle Ausstattungscodes des Fahrzeugs
Farbe des Fahrzeugs
Aktueller Standort (GPS-Peilung)
Zugriff auf Lichthupe, Hupe, Klimaanlage
und Türöffner
4-Stelliger Passcode-Schutz des iPhone ist in max. 17
Stunden automatisiert zu brechen (wenn Benutzer nicht
die Option „Daten löschen nach 10 Versuchen“ aktiviert
hat).
Essen | 20.03.2015
Gegenmaßnahmen
{}
Essen | 20.03.2015
Must Do: Digitale Zertifikate und
Digitales Signieren
Digitale Zertifikate / Signaturen zur
Authentifizierung / Validierung nutzen.
Ziel: Identifikation des Absenders einer
Nachricht bzw. des Nutzers bei einem Login –
Überprüfung, ob eine Nachricht authentisch ist.
Anonymisierte und nicht-anonyme
Authentifizierung realisierbar und sinnvoll
(Datenschutz).
Two-Factor-Authentifizierung: Etwas, was ich
weiß und etwas, was ich habe.
Digitale Signatur löst nicht das Problem des
unerlaubten Mitlesens von Nachrichten - Lösung
hierfür: Verschlüsselung.
Essen | 20.03.2015
Must Do: Digitales Verschlüsseln – aber bitte
richtig!
Symmetrische, asymmetrische und hybride Verfahren
Beispiel aus der Kindheit Cäsar-Algorithmus:
Versatz des Alphabets um x Zeichen
Anforderung an moderne Schlüssel:
• komplexere Verfahren
• große Schlüssellänge
Ziel: Dechiffrierung ohne Kenntnis des Schlüssels (Ausprobieren) muss
erschwert oder gar (zumindest mit heutiger Rechenleistung) unmöglich
sein
Nachteil der symmetrischen Verschlüsselung: vorheriger Austausch
(die Speicherung) des Schlüssels ist aufwändig und ein
Sicherheitsrisiko -> Lösung: Asymmetrische und hybride Verfahren
Bitte nicht so:
https://server.domain.de/com/registerUserSmartphone?u=Thomas.TK.Kaef
er&p=D8DBDADDDCDFDED1D0D3D2D5D4D7D6C9C8CBCACDCCCFCEC1C0
C38897&a=1
Essen | 20.03.2015
Must Do: Digitale Hashes anstelle von
Klartext-Passwörtern - Falltür-Algorithmus
Berechnung funktioniert einfach in
die Verschlüsselungs- bzw. Kodierungsrichtung.
Berechnung in Entschlüsselungsrichtung ist sehr aufwändig bis unmöglich.
Man spricht daher von einem FalltürAlgorithmus.
Solche Verfahren sind i.d.R. nur durch Brute-ForceAttacken zu knacken, d.h. durch maschinelles
Ausprobieren.
Vergleich der Hashes (des Hackfleisches), nicht der
Klartexte (Schweine).
Standardverfahren: mindestens MD5, oder SHA 1 –
besser SHA 256 oder SHA 512.
Und: Hashes kann man auch prima zur Prüfung einer
Nachricht einsetzen, um unerlaubte Modifikationen auf
dem Übertragungsweg zu bemerken.
Essen | 20.03.2015
Must Do: Denken wie die Hacker – Pen-Tests
Denken Sie wie die Hacker und
seien Sie kreativ: In jeder guten
Anwendung steckt auch eine
dunkle Seite.
White-Box- und Entwicklertests
sind gut – Sie brauchen aber
auch externe Blackbox-Tests!
Externe Pen-Tester
(Sicherheitsfachleute /
Forensiker) suchen systematisch
nach Schwachstellen
(so wie die Hacker).
Essen | 20.03.2015
Must Do: Beachtung des Kerckhoff‘schen Prinzips
Kerckhoff'sches Prinzip:
Sicherheit eines Systems soll
auf der Geheimhaltung der
Schlüssel und nicht des
Algorithmus beruhen (im
Gegensatz zu „Security through
obscurity“).
In der Industrie ist oft eher
letztes anzutreffen. Das
funktioniert bei Kopplung mit
externen IT-Infrastrukturen
aber nicht (mehr).
Essen | 20.03.2015
Forensic Readyness –
Log or not?
Essen | 20.03.2015
Forensic Readyness
Konfliktdreieck Logging und Monitoring
Performance
Datenschutz
Speicherplatz
Kosten
Essen | 20.03.2015
Forensik
Readyness
Seminarangebot IT-Spezialisten
Feste Termine am Freitag von 14:00-19:00 in Blöcken à 4
Wochen (Einbeziehung der Firmen, Eigeninitiative der
Teilnehmer) mit Pausenwochen (Ferien, Brückentage)
Mix aus klassischem Seminar, Workshops und
Diskussionsrunden
Wissensvermittlung in den profilspezifischen Kompetenzfeldern
Durch klassische Dozentenvorträge (DZV)
Durch Workshops und Diskussionsrunden
Durch Teilnehmervorträge: „Teach Your neighbour“
Essen | 20.03.2015
Essen | 20.03.2015
Seminarangebot
Grundlegend zu beherrschende, gemeinsame Kompetenzfelder
Problemanalyse und -lösung
Kommunikation und Präsentation
Projektorganisation und -kooperation
Zeitmanagement, Aufgabenplanung und -priorisierung
Wirtschaftliches Handeln
Selbstlernen und Lernorganisation
Dokumentation
Qualitätssicherung
Essen | 20.03.2015
Seminarangebot
Fundiert zu beherrschende, gruppenspezifische Kompetenzfelder
Datenbanken, Netzwerke und Betriebssysteme
Datensicherungskonzepte (Backup)
Sicherheitskonzepte und –überwachung
Nutzerorientierte Problemanalyse und -lösung
Essen | 20.03.2015
Seminarangebot
Spezialisierung Digitale Forensik (Routiniert zu beherrschende,
profilspezifische Kompetenzfelder)
IT-Sicherheit
Datenschutz
Verschlüsselung und digitale Signaturen
Grundlagen der Digitalen Forensik
Cyberkriminalität und Computerstrafrecht
Reverse Engineering und Schwachstellenanalyse
Browser- und Anwendungsforensik
Systemmanagement- und Systemanalysewerkzeuge
Systemkomponenten und Übertragungsprotokolle
Client-Server-Systeme und heterogene Systeme
Systemintegration und -anpassung
Essen | 20.03.2015
Seminarangebot
Geplanter Start im 2. Halbjahr 2015
Angepeilte Gruppengröße 7-15 Teilnehmer (wegen
Gruppendynamik)
Kosten: 2490,- € zzgl. MwSt. pro Teilnehmer (16 Termine)
Interesse? -> dann bitte auf Interessentenliste eintragen (Herr
Ludwig)
Essen | 20.03.2015
Gibt es noch Fragen?
•
•
•
•
•
•
Käfer EDV Systeme GmbH
Elchenrather Weide 20
52146 Würselen
Tel. 02405/47949-0
E-Mail: [email protected]
Web: www.Car-Forensics.de oder
www.KaeferLive.de
Bildnachweis soweit nicht anders
angegeben: Eigene Aufnahmen
und Fotolia bzw. siehe Bildunterschrift
Fan werden! Interesse an einer
Kooperation und einem fachlichen
Austausch?
Zielgruppen:
Ÿ Automobil- und Zulieferindustrie
Ÿ Legislative – Politik und Gesetzgeber
Ÿ Forschung und Lehre (IT, Automotiv)
Ÿ Exekutive – Ordnungswidrigkeitenund Strafverfolgung (Polizei und
Staatsanwaltschaften)
Ÿ Judikative – Rechtsprechung
(Gerichte und Rechtsanwälte)
Ÿ Sachverständige und Forensiker
(speziell IT und Automobilbereich)
Ÿ Versicherungen
Ÿ Automobilclubs
Ÿ Presse
Ÿ Interessierte Verbraucher
Wir freuen uns über eine
Kontaktaufnahme.
Tel. 02405/47949-0
E-Mail: [email protected]
Unterstützen Sie unser Projekt auf
der Crowd-Funding-Plattform
Sciencestarter und profitieren Sie
von den Forschungsergebnissen:
www.sciencestarter.de/car-forensics
Jeder Betrag zählt! Alle Fans und
Unterstützer bleiben über die
Forschungsergebnisse auf dem
Laufenden und erhalten ein Exemplar
des Abschlussberichtes.
Dipl.-Ing.
Thomas Käfer
Thomas Käfer
EDV Sachverständiger
Käfer
EDV Systeme
GmbH
Dipl.-Ing.
Käfer
GmbH
Öffentlich bestellter und vereidigter
Sachverständiger für Systeme und
Anwendungen der Informationsverarbeitung
EDV Systeme
Elchenrather Weide 20 - D 52146 Würselen
Telefon 02405 / 47949-0 - FAX 47949-15
Mobil-Telefon 0172 / 2403674
http://www.car-forensics.de EMAIL: [email protected]
Forschungsarbeit „Car-Forensics“
Digitale Forensik im Kontext von Fahrzeugvernetzung, eCall, KFZ-Unfalldatenschreibern und Smartphone-Kopplung
Die zunehmende Vernetzung von Fahrzeugen untereinander (Car2Car), mit Smartphones (Car2Phone) und zentralen Infrastrukturen (Car2Infrastructure) sowie optional bzw.
zukünftig verpflichtend in Kfz zu implementierende Erweiterungen wie Unfalldatenschreiber und das System „eCall“ sind unter ITSicherheitsaspekten und Datenschutzbetrachtungen bisher weitestgehend unerforscht. Die Speicherung und der Austausch
von Fahrzeug- und Bewegungsdaten wecken
Begehrlichkeiten bei Kriminellen, Versicherungen, Dienstleistern, Polizei und Justiz (z.B.
im Rahmen von Verkehrsüberwachung und delikten, Strafverfolgung sowie Unfallrekonstruktion).
Der IT-Sicherheitsexperte Dipl.-Ing. Thomas
Käfer beschäftigt sich u.a. im Rahmen seines
berufsbegleitenden Studiengangs Digitale
Forensik an der Hochschule Albstadt Sigmaringen (in Kooperation mit der FriedrichAlexander-Universität Erlangen und der Ludwig-Maximilians-Universität München) mit
dem spannenden Thema Sicherheit und
Datenschutz im Automotiv-Sektor aus der
Sicht des IT-Fachmanns und Forensikers.
Das Forschungsprojekt wird in Zusammenarbeit und fachlichem Austausch mit der FH
Aachen durchgeführt.
Im Detail sind u.a. folgende Aspekte zur wissenschaftlichen Untersuchung vorgesehen.
Ÿ Untersuchung von Angriffsszenarien für
Automotiv-Smartphone-Apps
Ÿ Betriebssicherheit von Kfz (Safety Critical)
Ÿ IT-Sicherheit (Security Critical) bei Kfz und
Car-Kommunikation
Ÿ Datenschutz- und Datensicherheitsaspekte
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
bei Car2X-Kommunikation und AutomotivInfrastrukturen
Unfalldatenschreiber und Datenschreiber
für autonomes Fahren
Automatisches Notruf-System eCall
Haftungsfragen und Datenschutz beim automatisierten Pilotieren von Kfz
Notwendige Rechtsreformen für automatisiertes Pilotieren von Kfz
Forensische Auswertungsmöglichkeiten
von Logs in Navigations- und Steuergeräten
Zugriffsmöglichkeit auf Steuergeräte über
OBD/CAN-Bus
Qualitätssicherung von in Kfz eingesetzter
Soft- und Hardware
Lebenszyklen, Updateregeln und Gewährleistung beim automatisierten Fahren
Code of Conduct für den Zugriff auf im Kfz
gespeicherte Daten
Code of Conduct für den sicheren und vollständig anonymisierten Austausch von
Geo-Daten
Datenlogger im Rahmen von Bonusprogrammen bei Kfz-Versicherern (pay-asyou-drive)
IT-Sicherheitsaspekte und Nutzer-Tracking
bei Car-Sharing
Die Forschungsarbeit "Car-Forensics" soll
einen ersten Überblick liefern, was technisch im
Bereich der digitalen forensischen Auswertung
der in den Kfz verbauten bzw. extern mit den
Fahrzeugen gekoppelten IT-Systemen derzeit
bereits möglich und zukünftig denkbar ist. Im
praktischen Teil der Masterthesis soll recherchiert und geprüft werden, welche Schnittstellen die verschiedenen Systeme besitzen, die
forensisch angesprochen bzw. ausgewertet
werden können. Hierbei soll sowohl auf offen
kommunizierte Standards und Zugänge zugegriffen als auch z.B. mittels Hacking- und Analysewerkzeugen ggf. mit Hilfe von ReverseEngineering-Methoden eine Datenauswertung
bzw. -manipulation versucht werden. Zielsetzungen der Forschung sind somit u.a., Aussagen über den Datenschutz und die Datensicherheit aus Sicht der Verwender (Benutzer) zu
treffen, die forensischen Möglichkeiten und
Rechte für Sachverständige und Ermittler zu
beleuchten und einen Code of Conduct für die
Car2X-Kommunikation zu definieren.
Aus den Erkenntnissen sollen geeignete Maßnahmen abgeleitet werden, die in das Design
von IT-Systemen im Automotivumfeld einfließen können, um sie auch unter IT-Sicherheits-,
Forensik- und Datenschutzaspekten zu optimieren.