Autor: Andr\u00e9 Schmitz, Green Hills Software Security wird in der heutigen Zeit der vernetzten Systeme immer wichtiger. Es leuchtet jedem sofort ein, wie wichtig der Schutz von pers\u00f6nlichen Daten, Firmendaten oder Werten im Allgemeinen ist. Auch bei vernetzten Embedded Systemen wird mittlerweile viel Wert auf Absicherung und Verschl\u00fcsselung der Daten\u00fcbertragungen und der Speicherung der Daten gelegt. Die Geb\u00e4ude, in denen die Server stehen, sind sehr stark gesch\u00fctzt, aber bei der Sicherheit der Embedded Systeme werden viel zu oft L\u00fccken \u00fcbersehen, womit das Gesamt\u00adsystem verwundbar wird. Daher muss bei der Absicherung von Embedded Ger\u00e4ten ein viel breiterer Ansatz gew\u00e4hlt werden, der alle Aspekte der Entwicklung, der Produktion und der Wartung mit einbezieht. Dieser Beitrag zeigt interessante Beispiele von Angriffen und Verwundbarkeiten von verschiedenen Systemen, insbesondere solche, bei denen bei einem scheinbar nebens\u00e4chlichen Aspekt ein Fehler gemacht wurde. Anschlie\u00dfend wird ein ganzheitlicher Ansatz vorgestellt, mit dessen Hilfe es m\u00f6glich ist, absolut sichere Systeme zu produzieren. Es werden ganz unterschied\u00adliche Bereiche beleuchtet, wie z.B. die Software-Entwicklung und Architektur des Systems, das Schl\u00fcssel- und Zertifikatsmanagement sowie der Herstellungs\u00adprozess. Nur wenn alle Bereiche in der Verwundbarkeitsanalyse betrachtet werden, kann das System tats\u00e4chlich absolut sicher werden.<\/strong><\/p>\n Ich verwende in diesem Beitrag oft das englische Wort Security, weil das deutsche Wort Sicherheit zu mehrdeutig ist. Ich meine damit die Sicherheit von Software gegen Angriffe, welche Verwundbarkeiten eines Systems ausnutzen um Daten zu stehlen oder zu ver\u00e4ndern. Ein Embedded System ist in diesem Zusammenhang selbst Speicher von Daten bzw. \u00fcber Kommunikationskan\u00e4le mit anderen Entit\u00e4ten verbunden, wie zum Beispiel anderen Ger\u00e4ten oder zentralen Rechenzentren. Ziel eines Security Engineerings ist also die Daten gegen unerlaubten Zugriff oder Ver\u00e4nderung zu sch\u00fctzen. Bei den gespeicherten Daten und die \u00fcbermittelten Daten verwendet man dazu Ver\u00adschl\u00fcsselungstechnologie.<\/p>\n Es wird nat\u00fcrlich auch heute schon viel Aufwand betrieben um vernetzte Systeme zu sichern. Es gibt sogar eine Server-Farm, die in ehemals milit\u00e4rischen Bunkern untergebracht sind, die mit den modernsten Zugangs-Kontrollsystemen ausgestattet sind [1]. Mit der Verschl\u00fcsselung der Daten und der Absicherung der Rechenzentren glaubt man alles f\u00fcr die Sicherheit des Gesamtsystems getan zu haben. Doch dabei wird manchmal die Security Architektur der Endger\u00e4te ignoriert, die daher nur mangelhaft gesch\u00fctzt werden. Hier werden Systeme auf unzuverl\u00e4ssigen Betriebs\u00adsystemen und Software-Architekturen aufgebaut, die Zugangskontrolle ist mangel\u00adhaft, die Schl\u00fcssel und Zertifikate sind schlecht gesch\u00fctzt, kurz gesagt, die Embedded Ger\u00e4te sind dann relativ leicht anzugreifen und damit kann das gesamte Netzwerk verwundbar werden.<\/p>\n Ein Beispiel f\u00fcr einen solchen Angriff auf Endger\u00e4te haben wir Anfang 2014 in den USA erlebt. Dort wurden tausende Bezahlterminals der Firma Target, einer nordame\u00adri\u00adkanischen Warenhauskette, angegriffen und dabei Zahlungsdaten von \u00fcber 40 Millionen Kunden gestohlen. Den wirtschaftlichen Schaden sch\u00e4tzt man auf viele Milliarden US Dollar [2][3].<\/p>\n Es gibt heute auch schon Bot-Netze, die nicht den Rechner auf Ihrem Schreibtisch, sondern die eingebetteten Rechner in Ihren Haushaltsger\u00e4ten nutzen. In einem 2014 bekannt gewordenen Beispiel wurden Fernsehger\u00e4te und K\u00fchlschr\u00e4nke als Clients der Bot-Netze verwendet [4]. Angeblich wurde die Firma Gemalto in den Jahren 2010 und 2011von der NSA und der britischen GCHQ gehackt um SIM-Karten Schl\u00fcssel zu stehlen. Im Jahr 2011 wurde au\u00dferdem die in den Niederlanden ans\u00e4ssige Certificate Authority DigiNotar gehackt und es wurde eine Reihe von Zertifikaten illegal erstellt mit denen man die Identit\u00e4t von Web-Seiten, wie zum Beispiel die von Google, vort\u00e4uschen konnte [5]. Ein paar Jahre sp\u00e4ter in 2015 ist der Firma D-Link ein peinlicher Fehler unterlaufen. Bei der Offenlegung des GPL lizenzierten Source-Code auf einer Web-Seite wurden die im Code hart codierten privaten Schl\u00fcssel mit offengelegt. Damit waren auf einen Schlag alle auf diesem Schl\u00fcssel basierenden Netzwerk-Ger\u00e4te unsicher. Im Jahr 2015 hat au\u00dferdem ein von der Firma Symantec entlassener Mitarbeiter unautorisierte Zertifikate f\u00fcr Web-Seiten erstellt. Hier war die K\u00fcndigung wohl nicht im Einver\u00adnehmen mit dem Mitarbeiter. Das alles zeigt also, wie wichtig ein ganzheitlicher Ansatz und im speziellen die Sicherung der Endger\u00e4te ist, und die nachfolgenden Kapitel zeigen eine Strategie, mit der man eine absolute Security erreichen kann.<\/p>\n Betrachtet man die obigen Beispiele, so sieht man zwei m\u00f6gliche Arten von Angriffen, den Angriff von au\u00dfen, also von externen bzw. fremden Angreifern, oder den von innen, also von Mitarbeitern der eigenen Firma, wie man an dem Fall von Symantec sehen kann. Au\u00dferdem kann man unterscheiden zwischen dem Angriff \u00fcber das Netzwerk (Internet) oder dem physika\u00adlischen Angriff durch direkten Zugriff auf das Ger\u00e4t. Wie ein ganzheitlicher Security Ansatz aussehen muss, h\u00e4ngt nat\u00fcrlich auch immer vom Ergebnis der Gefahrenanalyse ab, die man auf jeden Fall zu Anfang des Projektes durchf\u00fchren sollte. Man sollte sich dabei mit allen Bereichen rund um das Produkt, dessen Verwendung und dessen Herstellung besch\u00e4ftigen. In den meisten F\u00e4llen geh\u00f6ren die folgenden Bereiche dazu der Entwicklungsprozess, die Hardware- und Software-Architektur, die kryptographischen Methoden, die Schl\u00fcssel- und Zertifikatsverwaltung, der Herstellungsprozess vom Zulieferer bis zum Endprodukt sowie die Wartung und Pflege (inkl. Software Updates). Lassen Sie uns die einzelnen Aspekte mal etwas genauer anschauen.<\/p>\n Hier geht es im weitesten um die Ma\u00dfnahmen, die die Zahl der Verwundbarkeiten eines Systems reduzieren oder deren negative Auswirkungen vollst\u00e4ndig beseitigen. Stellen Sie sich vor, Sie haben die gespeicherten und die kommunizierten Daten ausreichend durch Verschl\u00fcsselung gesichert. Dann werde Sie trotzdem die Daten irgendwann mal unverschl\u00fcsselt in Ihrem Speicher haben m\u00fcssen um diese zu verarbeiten. Wenn es in diesem Fall nur eine einzige Verwundbarkeit des Systems gibt, die einem Angreifer Zugriff auf diesen Speicher geben k\u00f6nnte, dann haben Sie verloren. Sie m\u00fcssen also durch strikte und verl\u00e4ssliche Separierung eine Isolation der Daten von den Verwundbaren Software Komponenten erreichen.<\/p>\n Ein bew\u00e4hrtes Prinzip zur Erreichung dieses Ziels ist das\u00a0High Assurance Security Engineering<\/em>. Dieses Prinzip erfordert die Ausrichtung der Software Entwicklung nach den folgenden f\u00fcnf Richtlinien:<\/p>\n In ESE Beitr\u00e4gen der letzten Jahre [6][7] habe ich dieses Konzept schon mehrfach vorgestellt und werde daher hier nicht mehr im Detail darauf eingehen.<\/p>\n Hier geht es um die richtigen kryptographischen Methoden und den richtigen Umgang mit Schl\u00fcsseln und Zertifikaten. Letzteres ist der Firma D-Link in obigem Beispiel nicht gegl\u00fcckt. Ein wichtiger Aspekt von Kerkhoffs Prinzip [8] ist, dass der Schl\u00fcssel geheim zu halten ist, der Algorithmus aber \u00f6ffentlich sein darf. Stellen Sie also unbedingt sicher, dass der Schl\u00fcssel (bzw. der private Schl\u00fcssel bei asymme\u00adtrischen Verfahren) geheim bleibt. Gerne werden in diesem Umfeld auch Hardware-Sicherheitsmodule (HSM) verwendet, die sowohl bei der Berechnung als auch beim Absichern der Schl\u00fcssel behilflich sein k\u00f6nnen. Die Verwendung eines HSMs ist nicht alleiniger Garant f\u00fcr ein sicheres System.<\/p>\n Zu kryptographischen Verfahren gibt es umfangreiche Publikationen [9]. Hier kann man aus einer Vielzahl von Verfahren und Algorithmen f\u00fcr unterschiedliche Anwen\u00addungsf\u00e4lle ausw\u00e4hlen. Sie k\u00f6nnen auch entscheiden, ob Sie alle Ger\u00e4te mit dem gleichen Schl\u00fcssel nutzen oder jedes Ger\u00e4t mit einem ger\u00e4tespezifischen Schl\u00fcssel ausstatten m\u00f6chten. Letzteres erlaubt es ger\u00e4tespezifisch Funktionen freizuschalten und die Echtheit des Ger\u00e4tes im Feld zu pr\u00fcfen. Lassen Sie sich am besten von Experten beraten (z.B. [10]), die Ihnen f\u00fcr Ihren Use-Case passende Vorschl\u00e4ge unterbreiten k\u00f6nnen.<\/p>\n Dieser Bereich wird oft untersch\u00e4tzt. Hier geht es darum die komplette Fertigungs\u00adkette, vom Zulieferer bis zur Herstellung des Endproduktes absolut sicher zu machen. Hier wird dann insbesondere der Aspekt des Angriffs von Innen adressiert, also die vom Symantec \u00fcbersehene Schwachstelle.<\/p>\n Schauen wir zun\u00e4chst mal ans Ende dieser Kette. Irgendwo auf der Welt steht die Fabrik, die Ihre Ger\u00e4te herstellt. Dort wird die Hardware zusammengebaut, getestet und die finale Produkt-Software aufgespielt. An dieser Stelle werden in der Regel auch die Schl\u00fcssel oder Zertifikate aufgespielt. Die Schl\u00fcssel und Zertifikate liegen in der Fabrik meist auf Servern (und hoffentlich nicht hart codiert in der Software) und werden am Band-Ende in einen sicheren Ort auf dem Ger\u00e4t gebracht. Wie wir oben gesehen habe, sind die Schl\u00fcssel aber die Elemente der Security Architektur, die am besten gesch\u00fctzt werden m\u00fcssen. Wer also Zugriff auf die Schl\u00fcssel-Server hat, und dort einen Weg findet die Schl\u00fcssel auszulesen, kann im Prinzip das komplette Security Konzept kippen. Da nun aber meistens die Computer in einer Fabrik aus zumindest mal Wartungsgr\u00fcnden im Firmennetzwerk h\u00e4ngen, und diese Firmennetz\u00adwerk wiederum irgendwo Gateways ins Internet hat, wird auf einmal die Security Ihres Embedded Systems abh\u00e4ngig von der Security Ihres gesamten Firmennetz\u00adwerks.<\/p>\n Wenn die Fabrik in Ihren eigenen Geb\u00e4uden an Ihrem eigenen Standort ist und in ihrem eigenen Netzwerk h\u00e4ngt, dann haben Sie wenigstens noch direkte Kontrolle \u00fcber diese Infrastruktur. Was aber wenn die Fabrik bei einem Subunternehmer in Fernost steht den Sie aus Kostengr\u00fcnden mit der Herstellung Ihrer Ger\u00e4te betraut haben, und Sie selbst keine direkte Netzwerkverbindung dorthin haben oder nur eine Verbindung \u00fcber das Internet herstellen k\u00f6nnen? Wie stellen Sie dann sicher, dass Ihre Schl\u00fcssel auch dort sicher sind? Auch Ihre Zulieferer, die Teile Ihrer Hardware oder Software erstellen, m\u00fcssen Sie in das Security Konzept integrieren. Wie Sie diese komplexe Problematik adressieren, l\u00e4sst sich nat\u00fcrlich nicht allgemeing\u00fcltig in ein paar Abs\u00e4tzen zusammen\u00adfassen. Daher empfehle ich auch hier Beratungsdienst\u00adleistungen von erfahrenen Security Experten in Anspruch zu nehmen (z.B. [10]).<\/p>\n In diesem Themenkreis geht es darum, wie man die Software auf dem System \u00fcber\u00adwachen kann und wie bei Bedarf neue Software eingespielt wird. Leider suggeriert uns die g\u00e4ngige Praxis bei Computern eine vermeintliche Sicherheit durch Updates. Der Computer war vor dem Update im Prinzip genau so unsicher wie nach dem Update, das Update sch\u00fctzt den Computer nur vor den zuletzt bekannt gewordenen und offen gelegten Verwundbarkeiten. Updates erlauben neue Software einzuspielen die bekannten Fehler behebt oder den Funktionsumfang der Ger\u00e4tes \u00e4ndert, und zu diesem Zweck sollte man sie auch nutzen.<\/p>\n M\u00f6chte man Software Updates erlauben, dann das das Update-Konzept auch Auswirkung auf den Boot-Vorgang des Systems. Wenn Sie sicherstellen wollen, dass die geladene Anwendungssoftware auch wirklich die richtige ist, und nicht durch einen Angreifer ausgetauscht oder modifiziert wurde, ben\u00f6tigen Sie sichere Boot Konzepte. Dabei muss die geladene Anwendung digital signiert sein und vom OS Loader anhand kryptographischer Methoden die G\u00fcltigkeit der digitalen Signatur \u00fcberpr\u00fcft werden. Ebenso muss das Betriebssystem und der Loader digital signiert sein was vom Bootloader \u00fcberpr\u00fcft wird, und so weiter, womit Sie eine \u201eChain of Trust\u201c erzeugen. Dabei basiert die Vertrauensw\u00fcrdigkeit einer Schicht auf der Vertrauensw\u00fcrdigkeit der darunter\u00adliegenden Schicht, und beginnt mit einer \u201eRoot of Trust\u201c, deren Vertrauensw\u00fcrdigkeit angenommen werden kann, und gerne \u00fcber Zertifikate und Schl\u00fcssel abgeleitet werden, die in einem HSM oder TPM sicher abgelegt sind.<\/p>\n Eine Kette ist nur so sicher wie ihr schw\u00e4chstes Glied. Ebenso ist ein Embedded System, und die damit verbundene Netzwerk Infrastruktur, nur so sicher wie das schw\u00e4chste Element im gesamten Produktlebenszyklus. Ans\u00e4tze der ganzheitlichen Security m\u00fcssen daher einen breiten Bereich an Themen abdecken damit alle Elemente der Produktentwicklung und Herstellung ein gleich hohes Ma\u00df an Security aufweisen. Verwenden Sie einen auf Security Engineering ausgelegten Entwicklungsprozess. W\u00e4hlen Sie eine passende Hardware-Architektur aus, die ggf. ein HSM zur Beschleunigung von Krypto-Operationen sowie einen Schl\u00fcssel und Zertifikatsspeicher bietet. Die Software-Architektur sollte mit dem Fokus auf Modularisierung und Isolierung zwischen der Security Software und der sonstigen, nicht vertrauensw\u00fcrdigen Software geplant werden. Denken Sie nicht nur \u00fcber die kryptographischen Verfahren nach, sondern auch und insbesondere \u00fcber die den Umgang und die Absicherung der kryptographischen Schl\u00fcssel. Finden Sie einen Weg die Security relevanten Daten in Ihrem Netzwerk aus Zulieferern und Herstellern sicher auszutauschen und jegliche Art des Missbrauchs zu verhindern. Und verwenden Sie nicht zuletzt einen sauberen Boot-Prozess mit einer sauberen \u201eChain of Trust\u201c.<\/p>\n [1] https:\/\/www.thebunker.net\/about-us\/facilities\/<\/p>\n [2] Chicago Tribune \u2013 Jonathan Stempel: \u201eTarget, security auditor Trustwave are sued over data breach \u201c; 26.3.2014<\/p>\n [3] https:\/\/articles.chicagotribune.com\/2013-12-20\/business\/ct-biz-1220-target-theft-20131220_1_debit-card-data-breach-accounts<\/p>\n [4] https:\/\/www.businessinsider.com\/hackers-use-a-refridgerator-to-attack-businesses-2014-1<\/p>\n [5] https:\/\/en.wikipedia.org\/wiki\/DigiNotar<\/p>\n [6] \u201eSicherheit im Internet der Dinge\u201c, Andre Schmitz, ESE Kongress 2014<\/p>\n [7] \u201eSichere Embedded-Software entwickeln\u201c, Andre Schmitz, ESE Kongress 2009<\/p>\n [8] https:\/\/de.wikipedia.org\/wiki\/Kerckhoffs%E2%80%99_Prinzip<\/p>\n [9] https:\/\/de.wikipedia.org\/wiki\/Kryptographie<\/p>\n [10] https:\/\/www.ghsiss.com\/<\/p>\n Beitrag als PDF downloaden<\/strong><\/a><\/p>\n Wollen Sie sich auf den aktuellen Stand der Technik bringen?<\/strong><\/p>\n Dann informieren Sie sich\u00a0hier<\/strong>\u00a0<\/a>zu Schulungen\/ Seminaren\/ Trainings\/ Workshops und individuellen Coachings von MircoConsult zum Thema\u00a0Qualit\u00e4t, Safety & Security<\/strong>.<\/p>\n Training & Coaching zu den weiteren Themen unseren Portfolios finden Sie hier<\/a>.<\/strong><\/p>\n Wertvolles Fachwissen zum Thema Qualit\u00e4t, Safety & Security steht\u00a0hier\u00a0<\/a><\/strong>f\u00fcr Sie zum kostenfreien Download bereit.<\/p>\n
\n<\/strong><\/p>\nBeitrag – Embedded Software Engineering Kongress 2017<\/h3>\n
Security in Embedded Software<\/h2>\n
Beispiele von unsicheren Systemen<\/h2>\n
Themen der ganzheitlichen Security<\/h2>\n
Entwicklungsprozess und Architektur<\/h2>\n
\n
Kryptographie, Schl\u00fcssel und Zertifikate<\/h2>\n
Zulieferung und Fertigung<\/h2>\n
Wartung und Updates<\/h2>\n
Zusammenfassung<\/h2>\n
Literatur- und Quellenverzeichnis<\/h2>\n
\nUnsere Trainings & Coachings<\/h2>\n
\nQualit\u00e4t, Safety & Security – Fachwissen<\/h2>\n