Illustration: Absmeier, Naive_Eye
Jüngsten Berichten zufolge sind Schwachstellenforscher erneut auf Sicherheitsprobleme bei einem GPS-Tracker gestoßen. Der Hersteller wirbt unter anderem damit, dass seine Produkte in zirka 1,5 Millionen Fahrzeugen in 169 Ländern verbaut werden. Insgesamt sechs Schwachstellen betreffen das MiCODUS MV720-Gerät, das in Fahrzeugen mehrerer Fortune-50-Unternehmen, bei europäischen Regierungsbehörden, US-Bundesstaaten, einer südamerikanischen Militärbehörde und einem Kernkraftwerksbetreiber eingesetzt wird. Nach Aussagen der Forscher sind die Risiken beträchtlich und betreffen sowohl den Datenschutz als auch Sicherheitsaspekte. Ein Hacker, dem es gelingt ein MV720-Gerät zu kompromittieren, kann beispielweise die Fahrstrecke des betreffenden Fahrzeugs nachverfolgen, es manövrierunfähig machen oder Informationen über die gefahrenen Routen sammeln und Daten manipulieren.
Weitere Informationen dazu liefert u.a. Bleepingcomputer: https://www.bleepingcomputer.com/news/security/popular-vehicle-gps-tracker-gives-hackers-admin-privileges-over-sms/
Dazu ein Kommentar von Debrup Ghosh, Product Management, Synopsys:
»Zuallererst sollte Sicherheit ein Teil des gesamten Architekturentwurfs sein. Sicherheit ist ein Thema, das im Entwicklungslebenszyklus einer Software immer noch gerne übersehen wird. Man sollte deshalb Architekturanalyse und Bedrohungsmodellierung nutzen, um potenzielle Sicherheitsrisiken zu bewerten. Penetrationstests sollten flankierend hinzukommen, um Schwachstellen aufzudecken, die sonst versehentlich in Produktionssysteme eingeschleust werden könnten. Für Entwickler sind sichere Codierungspraktiken zentral. Dazu zählt, Sicherheit in die betrieblichen Abläufe des Geräts zu integrieren, um Backups zu gewährleisten und Abschaltungen zu vermeiden. Beides dient dazu, die Sicherheit des Fahrers und die anderer Fahrzeuge im Straßenverkehr zu gewährleisten.
Zweitens zählen Telematik-Geräte zu den häufigsten Angriffsvektoren bei Fahrzeugen überhaupt. Das liegt in der Tatsache begründet, dass man entweder über Datennetze oder remote per SMS darauf zugreifen kann. Die primäre Sicherheitsherausforderung: Beim CAN-Bus (Controller Area Network) kann jedes Gerät auf dem Bus Nachrichten an jeden Empfänger senden. Eine große Zahl von Einspeisungspunkten stellt gerade Lkw vor nicht unerhebliche Herausforderungen. Das Herausfiltern unerwarteter Signale sollte deshalb bereits Teil des Designs sein. Dadurch wird der Zugriff auf den CAN-Bus eingeschränkt und eine Whitelist der CAN-Nachrichten erstellt, die von bestimmten Ports empfangen werden können. So kann man sich bei einem Angriff auf mehrere Quellen konzentrieren, darunter das GPS-Gerät, das über Mobilfunk und/oder Satellit mit dem Internet verbunden ist, und das ECU (Steuergerät) des Fahrzeugs, das den CAN-Bus nutzt. In den Entwurf sollte auch das Prinzip der minimalen Rechtevergabe einfließen, gekoppelt an Authentifizierung und Zugriffskontrollen zwischen Anwendungen und Diensten. Dabei sollte man sich auf gängige Design-Prinzipien wie rollenbasierte Zugriffskontrollen, Zwei-Faktor-Authentifizierung für mobile Apps und einen angemessenen Schutz durch Verschlüsselung stützen.
Drittens muss das Schwachstellenmanagement zu einem wesentlichen Bestandteil der DNA des SDLC werden, um DevSecOps zu operationalisieren. Nur so kann man überhaupt angemessen, schnell und effizient auf Vorfälle, Schwachstellen und Exploits reagieren. Ein kritischer Aspekt ist die Implementierung von Over-the-Air-Updates (SOTA), um Sicherheitslücken schnell zu schließen. Dann geht man nämlich nicht das Risiko ein, zusätzliche Angriffsvektoren zu öffnen, während Updates, Konfigurationen oder andere Datenpakete aus dem Internet geladen werden. Sowohl Transportunternehmen als auch die Anbieter von GPS-/Flottenmanagement-Systeme sollten bei der Cybersicherheit einen entsprechenden proaktiven Ansatz verfolgen.
Und schlussendlich braucht man zwingend Penetrationstests für diese Geräte. Cybersicherheitsexperten nutzen die Tests, um Schwachstellen aufspüren, aber auch die allgemeine Sicherheitssituation eines Unternehmens mittels simulierter Angriffe auf den Prüfstand zu stellen. Angreifer haben es meistenteils auf Schwachstellen bei der Softwarebereitstellung abgesehen, wie z. B. Konfigurationen, Richtlinienverwaltung, aber auch Lücken in der Interaktion zwischen verschiedenen Tools zur Bedrohungserkennung. IoT-Geräte haben unterschiedliche Arten von Schnittstellen – webbasierte Schnittstellen für Endverbraucher oder Objektschnittstellen für Anwendungen wie beispielsweise Governance as Code. Dazu zählen etwa Steuerungssysteme. Ein Hauptaugenmerk bei Penetrationstests von IoT-Geräten sollte daher auf Input-Validierung, Command Injection und Code Injection liegen. Eine Netzwerkinfrastruktur, die IoT-Objekte miteinander verbindet, ist anfällig. Um IoT-Geräte innerhalb eines Netzwerks zu kompromittieren, brauchen Angreifer nur eine einzige Schwachstelle, um erfolgreich zu sein. Das sollte man sich immer vor Augen halten. Eine Kombination aus automatisierten Tools und manuellen Penetrationstests liefert dabei die vollständigsten Ergebnisse für die gesamte Netzwerkinfrastruktur, die zugehörigen kryptografischen Verfahren und Kommunikationsprotokolle.«