Suchen

Control Flow Integrity – State of the Art für Cyber Security?

| Autor/ Redakteur: Rainer Witzgall* / Benjamin Kirchbeck

Automobilhersteller erproben nicht erst seit gestern Security-Ansätze für vernetzte und autonome Fahrzeuge. Doch welche großen Vorteile bietet Control Flow Integrity (CFI) gegenüber anderen Ansätzen? Hier sind fünf Gründe warum CFI in ein Automotive-Sicherheitskonzept gehört.

Firmen zum Thema

Control Flow Integrity ermöglicht Fahrzeuge deterministisch vor Angriffen zu schützen und benötigt nur geringe Ressourcen im Fahrzeugnetzwerk.
Control Flow Integrity ermöglicht Fahrzeuge deterministisch vor Angriffen zu schützen und benötigt nur geringe Ressourcen im Fahrzeugnetzwerk.
(Bild: Clipdealer)

Elektronische Assistenz- und Kontrollsysteme in Fahrzeugen sind bald nicht mehr nur “nice to have” geschweige denn ein eher kostspieliger Zusatz. Ab 2024 müssen neu zugelassene Fahrzeuge verpflichtend mit knapp 30 solcher Systeme ausgestattet sein. Darauf einigten sich das Europaparlament und die EU-Staaten. Dazu zählen Spurhalte- und Tempoassistenten, die schon jetzt weit verbreitet sind, aber auch Kontrollsysteme, die übermäßigen Alkoholkonsum erkennen oder Tote-Winkel-Assistenten. Das Ziel: Den Weg in eine fahrerlose Zukunft ebnen und Verkehrsopfer verringern.

Der Ansatz ist löblich und notwendig. Er bringt für Automobilhersteller (OEMs) aber weitreichende Konsequenzen mit sich. Solche Assistenzsysteme werden durch Software betrieben, die mit sicherheitsrelevanten Komponenten wie Beschleunigung, Steuerung oder Bremsen verbunden sind. Somit bergen sie ein großes Risiko für Cyberangriffe, da die Möglichkeit besteht, dass die Software gehackt wird. Automobilhersteller müssen also zukünftig sicherstellen, dass die neuen Kontrollsysteme hinreichend vor solchen Hackerangriffen geschützt sind. Die Frage ist, wie?

Diese Frage lässt sich natürlich nicht in einem Satz beantworten. Aber OEMs sollten eine Komponente zwingend in ihre Sicherheitskonzepte einbeziehen: Control Flow Integrity Technologie (CFI). Sie sorgt dafür, dass Funktionen wie definiert ausgeführt werden und nicht, beispielsweise von Malware, manipuliert oder modifiziert werden können. Sollte ein Manipulationsversuch erkannt werden, sendet das System automatisch und fast in Echtzeit einen Alarm.

CFI – State of the Art bei Google und Microsoft

Control Flow Integrity ist keine Technologie, die sich die Automobilbranche ausgedacht hat. Das Prinzip wird von großen Unternehmen schon längst als State-of-the-Art angewandt, so schützt beispielsweise Google einige seiner Smartphones mit CFI vor unbefugten Funktionsaufrufen. Auch Microsoft schützt seit 2015 seine neuen Betriebssysteme nach diesem Prinzip. Die Automobilbranche selbst erprobt auch schon lange Zeit verschiedene Security-Ansätze. CFI hat jedoch das Potenzial sich dort gegen andere Ansätze durchzusetzen.

Dies liegt zum einen daran, dass es ermöglicht Fahrzeuge deterministisch vor Angriffen zu schützen. Zum anderen benötigt es nur sehr wenig Ressourcen im Fahrzeugnetzwerk. Dies ist eine Grundvoraussetzung, da die Kapazität des Can-Buses kaum weitere Last verarbeiten kann. Normen wie ISO 26262 verlangen den Einsatz von zeitgemäßer Technologie um die Sicherheit der Fahrzeuginsassen zu gewährleisten. CFI ist eine dieser Komponenten.

Security by Design – Security in Entwicklungsprozess integrieren

Software in Fahrzeugen ist seit jeher sehr komplex und wird mit neuen Funktionalitäten immer vielschichtiger. OEMs setzen deshalb verstärkt auf agile Entwicklung.Vor allem wenn es um Innovationen geht, kehren sie dem klassischen V-Modell zunehmend den Rücken zu. Der Vorteil agiler Entwicklung: Durch ständige Tests kann flexibel auf Probleme oder sich ändernde Anforderungen – auch bezüglich Security – reagiert werden.

Trotz aller Tests wird Software aber immer kleinere Bugs enthalten. Das lässt sich bei mehreren Millionen Zeilen von Code schlichtweg nicht vermeiden. Deshalb ist es essentiell, Security-Lösungen von Anfang an mitzudenken und zu integrieren. Statt spät zusätzliche Komponenten in die Fahrzeugarchitektur aufzunehmen, empfiehlt es sich die beabsichtigte Funktionalität bzw die Komponenten und Betriebssystem zu härten, damit diese sich selbständig vor Manipulationen schützt. Durch den Einsatz von CFI lässt sich das im Binärcode lösen. Das ist ein Vorteil im Automotive-Entwicklungsprozess, da die Entwickler bei den OEMs in der Regel keinen Zugriff auf den Source Code ihrer Lieferanten haben.

Deterministischen Security-Ansatz mit CFI in Fahrzeugen etablieren

Software sollte also von Anfang an so konzipiert sein, dass sie sicher ist. Dieses Prinzip erfordert einen deterministischen Ansatz, da nur dieser Angriffe in Echtzeit verhindert und so die Sicherheit der Autofahrer garantiert. Große Unternehmen wie Microsoft oder Google nutzen CFI-Technologie, um “Security by Design” zu gewährleisten. Auch für die Automobilindustrie ist diese Technologie sinnvoll, da sie Sicherheit garantiert, ohne dass in den Entwicklungsprozess eines Fahrzeugs eingegriffen werden muss, um etwa Änderungen an der Hardware vorzunehmen.

Ganzheitlicher Schutz des gesamten Kommunikations-Flows

Die CFI-Technologie ist in der Lage, die gesamte Kommunikation im Fahrzeug deterministisch abzusichern und nicht nur einzelne Befehle. Man kann sie sich bildlich wie eine Art Impfung für das Fahrzeug vorstellen. Diese Tatsache ist essentiell für die Automobilindustrie, denn Funktionsaufrufe in den elektronischen Steuergeräten erfolgen nach einem bestimmten Muster. Eine Funktion bedingt die nächste und somit entsteht ein Netz an Befehlen. Das Ziel ist es, nicht jeden Befehl einzeln abzusichern, sondern den gesamten Flow. CFI bietet hier eine dritte Sicherheitsschicht.

Will man ein System im Fahrzeug absichern, dann gibt es derzeit drei Sicherheitsschichten, die alle drei implementiert werden sollten: Die erste ist die Root of Trust oder auch Secure Boot. Sie stellt sicher, dass das Programm, das startet, auch genau das ist, was vom OEM im Steuergerät vorgesehen war. Für kritische Funktionen wird dies im Entwicklungsprozess schon lange angewendet. Erhält ein Hacker nun doch Zugriff auf das Fahrzeugnetzwerk, dann könnte er dennoch ein weiteres Programm, z.B. Malware oder ein Skript ins System laden. Hierfür kommt die zweite Schicht zum Einsatz: Das Whitelisting definiert, welche externen Zugriffe auf die Systeme erlaubt sind und welche nicht, und verhindert so den Hackerangriff. CFI bildet nun eine dritte Schicht, die das System während des laufenden Betriebs schützt. Sollte ein Hacker versuchen, etwas in diesem Programm zu verändern während das Steuergerät in Betrieb ist, dann verhindert CFI genau diese Manipulation. In Echtzeit.

Deterministischer Schutz – Für die Automobilindustrie alternativlos

In der IT-Sicherheit vertrauen Unternehmen häufig auf Systeme, die statistisch evaluieren, ob es sich bei bestimmten Funktionsaufrufen um einen Angriff handeln könnte. Erst wenn ein Angreifer als solcher identifiziert ist, reagieren sie darauf. Das kann langsamer, oder, mit KI auch schneller funktionieren. Aber der Nachteil dieser heuristischen Systeme ist: Sie produzieren Fehlalarme (Falsch-Positiv-Meldungen), welche im Auto im schlimmsten Fall Menschenleben kosten können. Damit entsprechen sie nicht den Anforderungen der Funktionalen Sicherheit im Auto und deshalb werden viele Lösungen gar nicht erst zertifiziert. Durch CFI werden diese Fehlalarme verhindert, da die Technologie es erlaubt, elektronische Steuergeräte gemäß der Werkseinstellungen zu versiegeln. Genau das macht CFI für die Automobilbranche so wertvoll und aktuell auch alternativlos.

* Rainer Witzgall ist Geschäftsführer bei Karamba Security Deutschland

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45899333)