Es begann mit einem Videospiel. Ubisoft hat vor kurzem das Spiel Watch Dogs veröffentlicht. Der Titel gehört zu den am meisten beworbenen Spielen des Jahres und erzählt die Geschichte des Hackers Aiden Pearce. Dieser will den Tod seiner Nichte rächen und macht im Zuge dieser Racheaktion Gebrauch von seinem Smartphone. Denn damit kann er so ziemlich alles hacken, was im Spiel existiert.

Es wird viel Werbung für das Spiel gemacht. Das Online-Technologie-Magazin Motherboard, das von den selben Leuten geführt wird wie VICE.com, hat eine Doku-Serie gestartet, die direkt mit der Marketingkampagne des Spiels verknüpft ist. Der Ansatz der Serie: Alles kann gehackt werden.

Die Verbreitung der Story

In der jüngsten Episode der Dokuserie vom 29. Mai 2014 ist das Hacken von Autos das Thema. Dieses Thema hat hohe Wellen geschlagen, die nicht nur aufzeigen, dass die Medien einander abschreiben und alle zusammen eine Sache ignorieren: Car Hacking ist nicht neu.

Das ist die Folge, die von den Medien aufgegriffen wurde. Weil viele Leute Auto fahren und die meisten Autofahrer haben keine grosse Lust darauf, ihr Auto gehackt zu haben. Denn wenn ein Auto mit Fahrer ausser Kontrolle ist, dann ist der Fahrer in etwa anderthalb Tonnen Stahl, die grade die Strasse runterrasen, eingeschlossen. CNN Money hat die Geschichte aufgegriffen und hat darüber berichtet, dass Autofirmen veralteten Code verwenden, oder sogar gar keinen. Andere hingegen machen wieder viel für die Sicherheit ihrer IT-Systeme im Auto.

Die Geschichte CNNs wurde dann von der Schweizer Zeitung 20 Minuten kopiert und der verlinkte Artikel ist eine recht gute Übersetzung des CNN-Artikels. Einzige Neuerung: Die Zeitung hat Informationen aus einem undatierten Artikel des Deutschen Automagazins Auto Motor und Sport einfliessen lassen.

In dem Artikel wird erstmals erwähnt, dass die News nicht neu ist. Weil wo die aktuelle Spur der Story mit Watch Dogs beginnt, ist das Thema Car Hacking allermindestens ein Jahr alt. Die Geschichte ist zudem grösser als nur Autos können gehackt werden. Die Geschichte zeigt uns, dass es Hersteller gibt, die aktiv gegen Car-Hacker vorgehen und sogar die Publikation von Research verhindern, die Sicherheitslücken in Autosystemen offenlegen. Doch, es muss an dieser Stelle gesagt werden, dass ein guter Grund vorliegt, der aber hoffentlich nicht zum Präzedenzfall wird.

Die Wahrheit über das Car-Hacking

Ein Auto ohne Zündschlüssel anlassen

Im vergangenen Jahr haben die holländischen Researcher Roel Verdult und Baris Ege von der Radboud University Nijmegen gemeinsam mit Flavio D. Garcia der University of Birmingham einen Talk zusammengestellt, der da Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer hiess. Den Talk wollten sie am 22. Usenix Security Symposium im August 2013 präsentieren.

Megamos Crypto ist ein System, das als Vehicle Immobilizer – als Wegfahrsperre – dient. Es ist eine letzte Verteidigungslinie, die es dem Fahrzeug verbietet, zu starten, wenn eine unautorisierte Person ohne den echten Autoschlüssel im Cockpit des Fahrzeugs sitzt und sich an der Zündung zu schaffen macht. Verdult, Ege und Garcia sind in der Lage einen fortgeschrittenen Autoschlüssel zu fälschen und ein Auto ohne validen Zündschlüssel zu starten.

Autohersteller geben sich zweifelsohne grosse Mühe, den Diebstahl ihrer Fahrzeuge zu verhindern, was durch die Existenz von Systemen wie Megamos Crypto erwiesen ist. Megamos Crypto scheint, so weit feststellbar, eine simple Single-Factor Authentication zu sein, die auf der Interaktion von Maschinen beruht. Das Auto kommuniziert mit dem Schlüssel und zeigt ihm einen Key Value, woraufhin der Schlüssel den Proof Key sendet. Nur dann erlaubt das Auto den Start des Motors. Der Fahrer bemerkt von dem Vorgang nichts, da er kabellos und in sekundenschnelle passiert.

Die genauen Mechanismen von Megamos Crypto scheinen aber geheim zu sein, worauf wir gleich zu sprechen kommen. Wie dem auch sei, die Researcher vergleichen die Komplexität und die Praktikabilität des Angriffs mit dem Angriff auf ein mit Hitag2 gesichertes Auto. Details, wie das genau funktioniert, können dem Talk zum Thema entnommen werden. Die Haken:

• Ein Angriff kann nur dann ausgeführt werden, wenn der Angreifer auf etwa fünf Zentimeter an den Originalschlüssel herankommt.
• Währen einer Attacke muss das System des Angreifers mit dem Originalschlüssel kommuniziert haben.
• Ein Angreifer muss immer noch alle anderen Sicherheitsvorkehrungen am Auto, wie Alarmanlage und das Türschloss, umgehen.
• Der Angreifer muss nach wie vor die Zündung des Fahrzeugs kurzschliessen.

Die Researcher geben freilich zu, dass ihre Methode nicht sehr praktikabel ist. Kurz: Ihr Ansatz ist nur in der Lage, die elektronische Wegfahrsperre zu umgehen. Alle anderen Sicherheitsmassnahmen bleiben unangetastet.

Megamos Crypto ist zudem veraltet und wird in manch einem Luxusauto verwendet. Unter anderem sind die Marken Audi, Porsche, Bentley und Lamborghini betroffen.

Der Gerichtsfall

Als verantwortungsbewusste Researcher haben Verdult, Ege und Garcia alle Involvierten über ihre Funde informiert. Die Hersteller waren wohl nicht direkt darüber erfreut, dass ihre 96bit-Verschlüsselung nicht mehr so sicher ist, wie Tags zuvor, und dass jemand mit einem Stein, einem Schraubenzieher und einem gut ausgerüsteten Computer ein Auto mit Megamos Crypto stehlen kann.

Volkswagen hat die Researcher verklagt, mit dem Resultat, dass Verdult, Ege und Garcia ihre Erkenntnisse nicht vortragen dürfen. Dies hat der London High Court unter der Leitung von Richter Birss beschlossen.

Das Gericht hat aber erkannt, dass das Urteil als ein Angriff auf die Redefreiheit, die Verhinderung von akademischem Fortschritt und die Wahrung von rein finanziellen Interessen angesehen werden kann. Auf diese Bedenken ging Richter Birss mit folgendem Argument ein:

Ich anerkenne den hohen Wert der akademischen Redefreiheit, aber ich sehe auch einen weiteren hohen Wert: Die Sicherheit von Millionen von Volkswagen-Fahrzeugen.

Daher sind Millionen von Fahrzeugen nach wie vor mit verwundbarem Code ausgerüstet. Volkswagen hat im vergangenen Jahr keinerlei Ankündigungen über eine allfällige Änderung ihre Kryptographie oder die Verbesserung ihres Codes gemacht.

Trotz dem Urteil hat Verdult den Talk an der Usenix-Convention abgehalten, wenn auch in zensierter Form:

Das Computersystem eines Autos – eine ungefähre Architektur

Alle modernen Autos sind im Grunde genommen gleich aufgebaut, wenn es um die Computersysteme an Bord des Fahrzeugs geht. Genaue Spezifikationen unterscheiden sich von Modell zu Modell, von Generation zu Generation. Generell kann aber festgehalten werden, dass ein gewisser gemeinsamer Grundsatz in allen Fahrzeugen vorhanden ist, der auf dem System den Controller Area Network Bus (CAN Bus) beruht. Dieser wurde im Jahre 1983 entwickelt und vereint seither die Kabel in einem Auto. Seither sind viele Versionen auf den Markt gekommen, die aber allesamt auf der von Bosch entwickelten Version beruhen. Denn vor 1983 wurden bis zu zwei Kilometer Kabel in einem Auto verbaut.

Im Rahmen der CAN Bus Architektur sind die Systeme des Autos in Zonen aufgeteilt. Auch hier gilt: Die Anzahl und der exakte Aufbau der Zonen variiert von Fahrzeug zu Fahrzeug.

Researcher Felix Domke hat den grundlegenden Aufbau eines CAN Bus mit Zonen, die er in seinem Auto vorfand, gezeichnet.

Diese Zonen sollten untereinander keinerlei Kommunikation haben. Sprich, wenn ein Angreifer in der Lage ist, mit dem Infotainment CAN – das aktuell wohl als das einfachste Ziel gilt, da es schon grundlegend auf Kommunikation mit externen Geräten ausgelegt ist – zu kommunizieren, sollte es ihm nicht möglich sein, Signale vom Powertrain CAN oder dem Convenience CAN abzufangen oder Signale an diese zwei CANs zu senden. Sollte ein Angreifer in der Lage sein, mit einem der beiden anderen CANs zu kommunizieren, so sollte er nicht auf das Infotainment CAN zugreifen können.

Alle diese CANs greifen über ein CAN Gateway auf die On-Board Diagnose Systeme (OBD-II) zu, wo die Daten analysiert und interpretiert werden.

Trotz dieser Vorkehrungen zur Verhinderung der Kommunikation der CANs ist es erwiesen, dass auf alle drei CANs zugegriffen werden kann. Signal Injection und Hijacking ist möglich. Was aber bis anhin noch nicht möglich ist, ist der Angriff aus der Ferne und schon gar nicht ohne vorherigen Zugang zum Cockpit des Fahrzeugs. Denn die meisten, wenn nicht sogar alle CAN Buses werden in der Fahrgastzelle des Fahrzeugs untergebracht. Ohne weiteres kann nur von dort aus auf den CAN Bus zugegriffen werden.

Es ist noch kein Fall von Remote Exploitation – dem Eingriff in die Systeme des Fahrzeugs mit kabelloser Verbindung zum Auto – mit vorherigem physischen Zugriff auf den CAN Bus bekannt. Doch die Möglichkeit dürfte gegeben sein. Die spanischen Researcher Alberto Garcia Illera und Javier Vazquez Vidal haben einen Prototypen eines Geräts vorgestellt, das nach der Verbindung mit einem Fahrzeug eine Vielzahl der Funktionen des Autos beeinflussen kann. Es sollte möglich sein, dieses Gerät – Car Hacking Tool (CHT) genannt – mit einem 3G-Modul zu versehen, was dann die Remote Exploitation möglich macht.

Ein Auto in Echt hacken

Jenseits der Zündung eines Autos gibt es viele computergesteuerte Systeme und Sensoren, die gehackt werden können und gehackt worden sind. Als Experten in diesem Feld gelten Chris Valasek und Charlie Miller. Sie haben erfolgreiche Angriffe auf die Lenkung, die Bremsen und die Beschleunigung wie auch die Displays eines Autos ausgeführt.

Während den Tests haben Valasek und Miller zwei Autos mit Jahrgang 2010 verwendet. Einen Ford Escape und einen Toyota Prius. Sie haben ihren eigenen Connector gebaut, um mit den Fahrzeugen kommunizieren zu können und benötigten stets eine Kabelverbindung zum Fahrzeug, damit ihre Hacks funktionieren können.

Trotz all der Bastelei und dem Kabelsalat, ist es Valasek und Miller gelungen, beliebige Werte auf dem Tachometer anzeigen zu lassen und andere Anzeigen, die manuell aussehen, wie die Tempoanzeige oder den Umdrehungsmesser, zu beeinflussen. Zudem haben sie es geschafft, das System des Autos vollständig zu überlasten, was sämtliche Lenkhilfen, wie die Servolenkung, deaktiviert hat.

Beim Ford ist es uns gelungen, die ECU zum Absturz zu bringen. Dadurch sind sämtliche Steuerhilfen ausgefallen. Das Lenkrad ist dann nur schwer beweglich und kann nicht weiter als 45% gedreht werden, egal wie sehr der Fahrer das versucht. Das bedeutet, dass ein angegriffenes Fahrzeug keine engen Kurven mehr fahren sondern nur noch weite Bögen machen kann.

Die zwei sind zwar in der Lage, die Lenkung des Fahrzeugs zu beeinflussen, aber praktische Nutzen jenseits des herbeigeführten Unfalls sind keine bekannt. Soweit ist es Valasek und Miller nicht möglich, ein Auto komplett fernzusteuern.

Indem wir ungültige Geschwindigkeitsangaben über ein Ecom-Kabel und Lenkwinkel- wie auch Angaben zum eingelegten Gang über ein zweites Kabel ans Auto gesendet haben, waren wir in der Lage, das Lenkrad bei jeder Geschwindigkeit zu beeinflussen. Die Präzision unserer Lenkmanöver ist aber nicht mit der des Parkleitsystems zu vergleichen. Es handelt sich bei unseren Manövern um ruckartige, starke Bewegungen des Lenkrads, was die Stabilität des Autos bei jeder Geschwindigkeit beeinflusst aber nicht zur Fernsteuerung des Autos geeignet ist.

Zudem ist es den beiden gelungen, den Fahrer direkt physisch anzugreifen. Valasek und Miller sind in der Lage, den Diagnose-Modus des Autos anzusteuern und die automatische Anspannung des Sicherheitsgurts auszulösen, die dazu gedacht ist, den Fahrer in den Sitz zurückzuziehen, wenn das Auto in einen Unfall verwickelt ist.

Das ist noch lange nicht alles, was Valasek und Miller mit den zwei Fahrzeugen angestellt haben. Eine komplette Liste der Car Hacks ist im Link oben auffindbar. Die zwei Researcher sind zum folgenden Schluss gekommen:

Autos sind mit physischer Sicherheit als Grundgedanke designt worden. Doch physische Sicherheit kann ohne Datensicherheit nicht erreicht werden. Wenn ein Angreifer (oder auch nur eine korrupte Elektronische Kontrolleinheit) Daten ans CAN senden kann, kann das die Sicherheit des Fahrzeugs beeinflussen.

Die Grenzen des Car Hackings

Hacker hören selten bis nie damit auf, etwas nur leicht zu beeinflussen. Sie versuchen stets, die Grenzen zu erreichen und diese zu überschreiten. Im vergangenen Dezember hat Felix Domke alias tmbinc es geschafft, eigenen Code auf seinem Fahrzeug auszuführen. Dazu hat er Python in sein Auto integriert (Das Zertifikat der Website ist mit Absicht seitens des Chaos Computer Clubs ungültig.)

Um das zu erreichen hat er die Systeme des Fahrzeugs über das Bluetooth Kit angesteuert, um sich ins zentrale System des Armaturenbretts zu hacken, das mit der selben Technologie wie die Fahrzeuge von Valasek und Miller läuft. Er hat in der Folge entdeckt, dass sein Auto auf Linux läuft und in der Folge Python installiert.

So weit bekannt ist, hat Domke nichts weiter mit dieser Erkenntnis gemacht, aber die Möglichkeit, eigenen Code in ein Fahrzeug zu injizieren und eigene Software im Auto auszuführen, eröffnet viele Möglichkeiten.

Fazit

Jedes System eines modernen Fahrzeugs kann mit relativer Leichtigkeit kompromittiert werden. Doch die Angriffe sind noch nicht weit ausgereift. Die Angriffe auf Lenkung, Bremsen, Airbags und Displays können noch nicht aus der Distanz ausgeführt werden.

Das bedeutet aber nicht, dass ein Angriff von ausserhalb des Autos unmöglich ist. Es ist theoretisch möglich, ein Gerät namens Car Hacking Tool mit einem 3G-Modul zu ergänzen und es so für Angriffe aus der Ferne zu verwenden.

Um ein Auto zu hacken, muss ein Angreifer zuerst Zugang zur Fahrgastzelle des Autos haben, über mechanische wie auf informatische Kenntnisse verfügen, die weit über ein End-User-Wissen hinausgehen und dazu noch einen Satz gutes Werkzeug bei sich tragen.

Über den Autor

Der Journalist Dominik Bärlocher ist seit 2006 im IT-Bereich tätig. Während seiner Arbeit als Journalist bei grossen Schweizer Zeitungen sind ihm seine Recherchefähigkeiten und seine IT-Affinität immer wieder zu Hilfe gekommen. Bei scip AG führt er OSINT Researches durch und betreibt Information Gathering.

Links

• http://blog.ioactive.com/2013/08/car-hacking-content.html
• http://money.cnn.com/2014/06/01/technology/security/car-hack/index.html
• http://www.20min.ch/digital/news/story/Hacker-zielen-auf-Autos-ab-19856354
• http://www.auto-motor-und-sport.de/news/it-experte-valasek-jedes-auto-laesst-sich-hacken-8201794.html
• http://www.bailii.org/ew/cases/EWHC/Ch/2013/1832.html
• http://www.hitag2.com
• http://www.motherboard.vice.com
• http://www.theguardian.com/technology/2013/jul/26/scientist-banned-revealing-codes-cars
• http://www.usenix.org
• http://www.vice.com
• https://media.ccc.de/browse/congress/2013/30C3_-_5360_-_en_-_saal_2_-_201312281600_-_script_your_car_-_felix_tmbinc_domke.html
• https://www.usenix.org/conference/usenixsecurity12/technical-sessions/presentation/verdult
• https://www.usenix.org/sites/default/files/conference/protected-files/verdult_sec13_slides.pdf
• https://www.youtube.com/watch?v=Y1YmJ0ZYMic