CAN FD erweitert das klassische CAN-Busprotokoll und sorgt in den meisten modernen Fahrzeugen für eine schnellere und durchgängige Kommunikation zwischen den verschiedenen Komponenten. Allerdings weist CAN FD eine neu entdeckte, kritische Schwachstelle auf, die Millionen von Fahrzeugen weltweit betrifft.
Mit welchen Arten von Bedrohungen und Angriffen durch Hacker ist hier konkret zu rechnen? Und welche spezifischen Maßnahmen sind zu empfehlen, um die Sicherheitslücke erfolgreich zu schließen?
Das Controller Area Network (CAN)-Busprotokoll hat sich seit gut 25 Jahren als gängiger Standard für die Vernetzung und Kommunikation von Steuergeräten in Fahrzeugen etabliert. Die Datenübertragungskapazität eines einzelnen CAN-Busses reicht jedoch in den heutigen, hochdigitalisierten Fahrzeugen bei weitem nicht mehr aus. Daher wurde mit dem Controller-Area-Network-Flexible-Data-Rate-(CAN-FD)-Protokoll eine neue Technologie eingeführt, welche die Kommunikation dank einer größeren Anzahl von Datenbytes pro Message entscheidend beschleunigt. Das Protokoll wird in erster Linie für die Übermittlung kritischer Nachrichten zwischen den verschiedenen Komponenten verwendet.
Security-Experten von CYMOTIVE Technologies haben nun eine Schwachstelle im CAN-FD-Protokoll entdeckt, welche die Sicherheit in nahezu allen modernen Fahrzeugen ernsthaft bedroht: Die Lücke namens CANCAN ermöglicht es, die über Kommunikationsprotokolle versendeten Nachrichten einzukapseln. Dadurch lässt sich eine gefälschte CAN-FD-Nachricht einschleusen, die eine legale Message einkapselt. So können Komponenten dazu gebracht werden, die eingekapselte interne Nachricht anstelle der externen Nachricht, die tatsächlich auf dem Bus gesendet wurde, zu akzeptieren. Die Crux: Herkömmliche, am Markt verfügbare Sicherheitslösungen können diese Art von Angriff nicht wirksam abschwächen. Dabei kann die CANCAN-Schwachstelle jede erdenkliche Fahrzeugkomponente betreffen, die das CAN-FD-Protokoll verwendet. Dazu zählen auch Protokolle, die sich derzeit in der Entwicklung befinden, wie etwa CAN-XL.
Schwachstelle ernst nehmen und die richtigen Maßnahmen ergreifen
Daher ist allen Automobilherstellern und deren Zulieferern dringend zu empfehlen, die Schwachstelle ernst zu nehmen und geeignete Sicherheitsmaßnahmen zu ergreifen. Das Cybersicherheits-Forschungsteam von CYMOTIVE hat hierfür hilfreiche Lösungsansätze entwickelt, mit denen sich mögliche Attacken effektiv abwehren lassen. Dazu gehören beispielsweise sogenannte Can-Frame-Angriffe, die gültige gesendete Nachrichten ausnutzen. Diese Kategorie umfasst auch „Bus Flood Attacks“ (Senden von Nachrichten mit hoher Priorität, wodurch das Senden anderer Nachrichten verhindert wird), „Spoofing“ (die Fähigkeit, Nachrichten zu senden, die eigentlich von einer anderen Stelle gesendet werden sollten) und „Sniffing“ (Abhören unverschlüsselter Daten, die für eine andere Stelle bestimmt sind). Diese Angriffe können die Verfügbarkeit, Authentizität und Vertraulichkeit des Systems empfindlich beeinträchtigen.
Anomalien aufdecken und bösartige Nachrichten blockieren
Abhilfe schaffen durchdachte Intrusion Detection Systeme (IDS) sowie Intrusion Prevention Systeme (IPS). Erstere versuchen, Anomalien auf dem CANBUS zu erkennen. Diese können auf den Eigenschaften eingehender Nachrichten wie Zeit, CANID und bei bestimmten Implementierungen auch auf der Nutzlast selbst beruhen. Wird eine solche Anomalie erkannt, lässt sich das Ereignis zwar protokollieren. Dennoch wird der Angriff nicht wirksam verhindert. Ein IPS umfasst in der Regel alle genannten Funktionen eines IDS und bietet darüber hinaus einige Mechanismen zum Blockieren von Messages. Manche Lösungen können eine bösartige Nachricht in Echtzeit erkennen und verhindern, dass sie ihr Ziel erreicht. Dies kann auf zwei Arten erfolgen: So besteht etwa die Möglichkeit, als Man-in-the-Middle (MITM) zwischen dem Angreifer und dem Bus zu agieren. Als MITM ist das IPS in der Lage, den Versand einer bösartigen Nachricht zu verweigern. Als zweite Möglichkeit lassen sich Bits direkt in den Bus injizieren, während die bösartige Nachricht gesendet wird. Dadurch kann sie als ungültig für die Verarbeitung durch andere Komponenten markiert werden.
www.cymotive.com/de