PICKPLACE Hub

Spoofing- und Tampering-Attacken in Bussystemen

Geschrieben von Hendrik Schnack | Oct 24, 2024 4:07:49 PM

Im Embedded-Systems-Kontext sind Spoofing und Tampering die gängigsten Arten der Nachrichten-Manipulation. Ausgehend von einem Angreifer, der sich über eine Wartungs- oder Telemetrie-Schnittstelle Zugang zum Gesamtsystem verschafft hat, werden auf einem Bus-Netzwerk kompromittierte Versuche unternommen, den Nachrichtenverkehr zu manipulieren. Damit werden Empfänger dieser Nachrichten in einen unerwünschten Systemzustand gebracht, woraus durchaus für Leib und Leben gefährliche Folgeaktionen verursacht werden können.

Einer der bekanntesten Fälle solch einer Intrusion ist der FCA-Fall, bei dem, begleitet von einem Journalisten-Team, zwei US-amerikanische WhiteHats sich Zugang zu einer Telemetrie-Schnittstelle eines Jeeps erlangt haben. Sobald man hinter diese vermeintliche "Firewall" gerät, ist es ein vermeintliches Kinderspiel Kontrolle über das Fahrzeug zu erlangen.

 

 

 

Der einfachste und daher naheliegendste Spoofing-Angriff nutzt eine Schwäche in der Kommunikation zwischen vernetzten Devices aus, wie in der unten stehenden Grafik verdeutlicht. Bei diesem Angriff sendet ein Device zunächst eine legitime Nachricht, die vom Empfänger korrekt verarbeitet wird. Direkt im Anschluss wird jedoch eine manipulierte Nachricht durch einen kompromittierten Bus-Teilnehmer gesendet, die zeitlich nah auf die erste Nachricht folgt. Der Empfänger vertraut grundsätzlich allen Nachrichten dieses Typs, bzw. hat keine besonderen Ausschlusskriterien für Nachrichten-Identität oder Nachrichten-Inhalt.

Einfache Spoofing-Attacke durch ein kompromittiertes Gerät


Die Grafik zeigt, dass der Empfänger auf die erste Nachricht reagiert und seinen Zustand entsprechend ändert. Doch durch die sofort folgende gefälschte Nachricht wird der Zustand des Empfängers erneut geändert – und zwar in einen unerwünschten Zustand. Dadurch befindet sich das empfangende Device praktisch dauerhaft in einem ungewollten Zustand, also zwischen den geplanten Nachrichtenzyklen.

Es gibt eine weitere Angriffsform, das Tampering, welches die Nachrichten direkt im Moment des Sendens bitweise verändert und damit manipuliert. Zudem gibt es im Bereich der industriellen Bus-Kommunikation Mischformen, bei denen der nicht kompromittierte Sender durch einen Angreifer invalidiert wird. Diese Invalidierung geschieht durch Injektion von nicht rezessiven Bits. Damit ergibt sich eine elektrische Signaldifferenz zwischen Rx- und Tx-Leitung von "Alice", wodurch sie protokollarisch vom Bus-Netzwerk getrennt wird. Dieser Angriff ist technologisch schwieriger, verhindert aber einfache Validierungsmaßnahmen auf Seite nicht kompromittierter Devices. Die Spoofing-Attacke kann prinzipiell leicht abgewehrt werden, wenn der Sender seine vorgetäuschte Identität auf dem Bussystem selbst erkennt. Eine Tampering-Attacke hingegen lässt sich durch den Sender und den Empfänger ohne gemeinsame Geheimnisse praktisch nicht abwehren.

 

Tampering-Attacke durch einen Bus-Teilnehmer auf Bitlevel

Beide Angriffsmuster verdeutlichen die Notwendigkeit von Zero-Trust-Prinzipien. Bei diesem Sicherheitsansatz wird keine Kommunikation von vornherein als vertrauenswürdig eingestuft, auch nicht von Geräten, die vermeintlich legitime Nachrichten senden. Um solche Angriffe zu verhindern, müssen alle eingehenden Nachrichten überprüft und authentifiziert werden, bevor sie vom System akzeptiert werden. Das Zero-Trust-Prinzip setzt darauf, dass jede Kommunikationsnachricht als potenziell unsicher gilt und einer Verifikation unterzogen wird.

Wie sich eine Zero-Trust-Policy auf die Bus-Kommunikation zwischen Geräten auswirkt, klären wir in einem folgenden Beitrag. Wichtig ist zu verstehen, wie kryptografische Verfahren dazu eingesetzt werden können, Nachrichten zu sichern und durch die gesamte Kommunikationskette zu validieren.

 

Unsere Artikelserie zu Cyber Resilience von Mikrocontrollern