Autor: Christian Guss, MathWorks Im Zeitalter der Vernetzung und der Autonomie von Maschinen (Cyber-Physical Systems) sind einige Anstrengungen n\u00f6tig um sicherzustellen, dass das Risiko von Cyber-Security-Attacken nicht zu gef\u00e4hrlichen Situationen f\u00fchrt, weil Hacker sich Zugriff auch sicherheitsrelevante Funktionen verschaffen k\u00f6nnen. Beim System- und Komponenten-Design und der Implementierung m\u00fcssen dabei oft Kompromisse eingegangen und Entscheidungen getroffen werden, da die Anforderungen in Bezug auf Funktionalit\u00e4t, Performanz sowie Safety und Security teilweise kontradiktorisch zueinander sind, speziell wenn es um die Erf\u00fcllung von Standards geht. Wir stellen Beispiele und Methoden vor, wie mit Hilfe von Model-based Design, -Verifikation und statischer Code-Analyse Sicherheitsl\u00fccken identifiziert, Applikationen abgesichert, standardkonform entwickelt und trotzdem performant und schnell implementiert werden k\u00f6nnen.<\/strong><\/p>\n Das Thema Security und Cybersecurity ger\u00e4t zunehmend in den Vordergrund der Software-Entwicklungsprozesse. J\u00fcngste Sch\u00e4tzungen gehen von Millliarden vernetzter Ger\u00e4te im Jahre 2019 [1][2] aus.<\/p>\n Das U.S. Department of Homeland Security (DHS) hat durch das „Industrial Control Systems (ICS) Cyber Emergency Response Team“ (ICS-CERT) ermittelt, dass der h\u00f6chste Prozentsatz von bekannten Schwachstellen bzw. Sicherheitsl\u00fccken in ICS-Software durch fehlende oder mangelhafte \u00dcberpr\u00fcfung von Eingaben verursacht wird (Abb.1, siehe\u00a0PDF<\/a>).<\/p>\n Oftmals scheitert die Absicherung durch robuste Sicherheitsma\u00dfnahmen an den begrenzten physikalischen Ressourcen der eingebetteten Systeme, insbesondere bei der Verwendung von kleinen, kosteng\u00fcnstigen Komponenten. Ist so ein System erst einmal infiziert, ist es schwer, dies zu erkennen, um die Software zu aktualisieren. Hinzu kommt, dass in der Praxis h\u00e4ufig erst an die Sicherheit gedacht wird, wenn die Ger\u00e4te schon fertig entworfen und m\u00f6glicherweise bereits im Einsatz sind.<\/p>\n Aufgrund der hohen Gefahr durch Angriffe entstehen zunehmend Regularien und Standards zum Thema Cybersecurity. Standards wie CERT C, ISO-TS 17961, der CWE und MISRA C:2012 Amendment 1 befassen sich mit dem Thema Security von Software. Beim System- und Komponenten-Design und bei der Implementierung m\u00fcssen dadurch oft Kompromisse gemacht werden, da die Anforderungen in Bezug auf Funktionalit\u00e4t, Performanz sowie Safety und Security teilweise konkurrierend zueinander sind, speziell wenn es um die Erf\u00fcllung von Standards geht.<\/p>\n Model-based Design hat sich als eine effektive Methodik bew\u00e4hrt, Fehler und Schwachstellen w\u00e4hrend der fr\u00fchen Entwicklungsphasen kosteneffizienter zu entdecken und zu bereinigen als in den sp\u00e4teren Phasen der Entwicklung [4]. Der Aufbau eines Modells entspricht im Allgemeinen der Applikation eines Embedded-Software-Systems, welches in vielen F\u00e4llen \u00fcber Schnittstellen mit externen Komponenten verbunden ist (Abb. 2, siehe\u00a0PDF<\/a>). Diese Schnittstellen k\u00f6nnen Unbefugten Zugriff auf sensible Bereiche ihrer Applikation verschaffen.<\/p>\n Ein strukturiertes Vorgehen, um die Ursache und Fortpflanzung von Angriffen zu erkennen, ist dabei ein wichtiger Erfolgsfaktor. In Abb. 3 (siehe\u00a0PDF<\/a>) sehen wir Analyseverfahren, die auf verschiedenen Ebenen durchgef\u00fchrt werden, z.B.\u00a0Assets and Attack Potentials<\/strong>, sowie\u00a0Threat and Risk Assessment<\/strong>. Auf das Modell, bestehend aus den Bl\u00f6cken Sensors, Control und Actuators, werden dabei gezielt Angriffsszenarien auf die Eing\u00e4nge induziert, um herauszufinden, welche Kan\u00e4le anf\u00e4llig sind.<\/p>\n Im Modell angewendete Angriffsmethoden sind:<\/p>\n In Kombination mit formalen Analysemethoden erlaubt es\u00a0Threat Modeling<\/strong>, m\u00f6gliche Angriffspfade als Szenarien darzustellen und Schwachstellen durch m\u00f6gliche Attacken zu identifizieren, zu priorisieren und entsprechend zu schlie\u00dfen. Zum Beispiel verwendet der Simulink Design Verifier [5] formale Methoden, um Schwachstellen in Simulink-Modellen automatisiert ohne umfangreiche Simulationsl\u00e4ufe zu identifizieren. Durch Property Proving l\u00e4sst sich beweisen, dass das Design wie in den Anforderungen beschrieben unter Ber\u00fccksichtigung des Angriffsszenarios funktioniert. Sollte dies nicht der Fall sein, wird ein Gegenbeispiel ermittelt, das als Testfall auf das Modell ausgef\u00fchrt werden kann, um das fehlerhafte Verhalten sichtbar zu machen bzw. um die Sicherheitsalgorithmen, die die Angriffe abwehren soll, zu validieren (Abb. 4, siehe\u00a0PDF<\/a>).<\/p>\n F\u00fcr das Threat Modelling k\u00f6nnen z.B. folgende Angriffsmodelle angewendet werden:<\/p>\n Fuzzing<\/strong>\u00a0(Abb.5, siehe\u00a0PDF<\/a>) ist eine Testmethodik, mit der ein Applikationsmodell mit g\u00fcltigen und ung\u00fcltigen Eingaben bzw. „Fault Injections“ bedient wird. Diese sollen bestimmte Attacken an den Schnittstellen simulieren. Untersucht wird das System damit auf bestimmte Verletzungen, z.B. gegen funktionale oder Performance-Anforderungen.<\/p>\n Durch die Integration einzelner Software-Komponenten zu einem Gesamtsystem auf Codeebene, das z.B. Multitasking-f\u00e4hig und durch Interrupts unterbrechbar ist, k\u00f6nnen zus\u00e4tzliche Schwachstellen entstehen, die Attacken zulassen und eine Analyse auf Codeebene erfordern.<\/p>\n Ein Ansatz, um die Security-Anforderungen auf Codeebene einzuhalten, ist die Anwendung von etablierten Security Guidelines, um Schwachstellen zu erkennen und zu vermeiden. Abb.7 (siehe\u00a0PDF<\/a>) zeigt einen \u00dcberblick verbreiteter Coding-Standards mit deren Klassifizierung, ob der Standard Security oder Safety adressiert, basierend auf The CERT C Coding Standard“ [8], wobei MISRA C:2012 durch das Amendement 1 mittlerweile ebenso Security addressiert.<\/p>\n Ein effektiver und kosteng\u00fcnster Ansatz zur \u00dcberpr\u00fcfung ist statische Code-Analyse. Diese hilft, …<\/p>\n Ein Beispiel f\u00fcr m\u00f6gliche Schwachstellen sind Daten, die in einer Funktion verwendet, jedoch von einer \u00e4u\u00dferen Quelle an diese Funktion \u00fcbergeben werden (Tainted Data), z.B. die Gr\u00f6\u00dfe eines \u00fcbergebenen Arrays. Durch gezielte Manipulation dieses Wertes kann damit ein Zugriff au\u00dferhalb der g\u00fcltigen Arraygrenzen und somit auf beliebigen Speicherbereich stattfinden. Tainted Data sind ein beliebtes Ziel von Angriffen. Ein solcher Array-Zugriff kann sowohl ein Safety- als auch ein Security-Problem darstellen. Ein Beispiel f\u00fcr die Identifikation von Tainted-Data-Schwachstellen mittels statischer Code-Analyse zeigt Abb. 8 (siehe\u00a0PDF<\/a>).<\/p>\n Ist die Schwachstelle identifiziert, kann diese im Design oder im Code z.B. durch eine gezielte \u00dcberpr\u00fcfung der Schnittstelle auf G\u00fcltigkeit der \u00dcbergabeparameter zur Laufzeit behoben und die Robustheit der Applikation erh\u00f6ht werden.<\/p>\n Statische Analysetools, die zus\u00e4tzlich \u00fcber formale Kontroll- und Datenflussanalyse-Methoden verf\u00fcgen, wie z.B. Polyspace Code Prover [9], sind dar\u00fcber hinaus in der Lage, die Abwesenheit bestimmter Fehler bzw. Schwachstellen zu beweisen, was den Aufwand f\u00fcr Tests, Reviews und den Nachweis der Compliance zu Standards (Abb.9, siehe\u00a0PDF<\/a>) erheblich reduziert. Des Weiteren lassen sich dadurch auch die Code-Performance erh\u00f6hen sowie der Speicherbedarf reduzieren, da Laufzeitchecks viel zielgerichteter eingesetzt bzw. vermieden werden k\u00f6nnen [10].<\/p>\n Beim Design und der Implementierung von vernetzten Software-Systemen m\u00fcssen oft Kompromisse eingegangen werden, speziell wenn es um die Erf\u00fcllung von Standards und Coding-Guidelines geht. Daraus ergibt sich, dass es enorm wichtig ist, Schwachstellen und Defekte fr\u00fchzeitig, und am Besten w\u00e4hrend des Designs und der Implementierungsphase, zu erkennen und zu bereinigen. Wir haben beispielhaft Modell- und Code-basierte Methoden gezeigt, mit denen Angriffe fr\u00fchzeitig simuliert und die Robustheit kosteng\u00fcnstig erh\u00f6ht werden kann. Gerade formale Methoden lassen sich mittlerweile einfach in den Entwicklungsprozess integrieren, um die Code-Performance zu erh\u00f6hen und die Aufw\u00e4nde f\u00fcr Test und Konformit\u00e4t zu reduzieren. Die Modell-basierte Entwicklung erm\u00f6glicht zudem eine deutlich schnellere Reaktion auf sich st\u00e4ndig \u00e4ndernde Standards und anderweitigen \u00c4nderungen der Anforderungen als traditionell entwickelte Systeme.<\/p>\n [1] J. Greenough, „The Internet of Things\u2019 will be the world\u2019s most massive device market and save companies billions of dollars<\/a>„, Feb 2015<\/p>\n [2] U.G.C.S: Adviser, „The Internet of Things: making the most of the Second Digital Evolution<\/a>„<\/p>\n [3]\u00a0https:\/\/ics-cert.us-cert.gov\/sites\/default\/files\/recommended_practices\/DHS_Common_Cybersecurity_Vulnerabilities_ICS_2010.pdf<\/a><\/p>\n [4] A. Wasicek, P. Derler, and E. A. Lee. Aspect-oriented modeling of attacks in automotive cyberphysical systems. In Design Automation Conference (DAC), 2014 51st pages 1-6. IEEE, 2014.<\/p>\n [5]\u00a0https:\/\/de.mathworks.com\/products\/sldesignverifier\/<\/a><\/p>\n [6] G. Tassey. The economic impacts of inadequate infrastructure for software testing. RTI Project Number 7007.011, NIST, 2002.<\/p>\n [7] S. Checkoway, D. McCoy, B. Kantor, D. Anderson, H. Shacham, S. Savage, K. Koscher, A. Czeskis, F. Roesner, T. Kohno, et al. Comprehensive experimental analyses of automotive attack surfaces. In USENIX Security Symposium. San Francisco, 2011.<\/p>\n [8] Robert C. Seacord, The CERT C Coding Standard: 98 Rules for Developing Safe, Reliable, and Secure Systems. SEI series in software engineering Addison-Wesley, 2014, ISBN 0321984048, 9780321984043<\/p>\n [9]\u00a0https:\/\/de.mathworks.com\/products\/polyspace\/<\/a><\/p>\n [10] https:\/\/www.elektronikpraxis.vogel.de\/embedded computing\/articles\/342436\/index2.html<\/p>\n Beitrag als PDF downloaden<\/strong><\/a><\/p>\n Wollen Sie sich auf den aktuellen Stand der Technik bringen?<\/strong><\/p>\n Dann informieren Sie sich\u00a0hier<\/strong>\u00a0<\/a>zu Schulungen\/ Seminaren\/ Trainings\/ Workshops und individuellen Coachings von MircoConsult zum Thema\u00a0Qualit\u00e4t, Safety & Security<\/strong>.<\/p>\n Training & Coaching zu den weiteren Themen unseren Portfolios finden Sie hier<\/a>.<\/strong><\/p>\n Wertvolles Fachwissen zum Thema Qualit\u00e4t, Safety & Security steht\u00a0hier\u00a0<\/a><\/strong>f\u00fcr Sie zum kostenfreien Download bereit.<\/p>\n
\n<\/strong><\/p>\nBeitrag – Embedded Software Engineering Kongress 2017<\/h3>\n
Einf\u00fchrung<\/h2>\n
Modell-basierte Threat-\/Risk-Analyse<\/h2>\n
\n
\n
Verifikation auf Code-Ebene<\/h2>\n
\n
Zusammenfassung<\/h2>\n
Literatur<\/h2>\n
\nUnsere Trainings & Coachings<\/h2>\n
\nQualit\u00e4t, Safety & Security – Fachwissen<\/h2>\n