Black Hat USA 2015: So wurde der Jeep gehackt

Kürzlich haben wir über den gehackten Jeep Cherokee berichtet. Auf der Black-Hat-Konferenz erklärten die Forscher Charlie Miller und Chris Valasek nun genau, wie der Hack funktionierte.

Kürzlich haben wir über den mittlerweile berühmten Hack eines Jeep Cherokee berichtet. Auf der Sicherheitskonferenz Black Hat USA 2015 erklärten die Forscher Charlie Miller und Chris Valasek nun ganz genau, wie der Hack funktionierte.

Am Anfang ihrer Forschung versuchten Miller und Valasek, das Multimediasystem des Jeep über die WLAN-Verbindung zu hacken – Chrysler, der Hersteller des Fahrzeugs, bietet diese als Abonnement an. Und es stellte sich heraus, dass es nicht schwer war, dieses WLAN zu hacken, da das WLAN-Passwort automatisch generiert wird und auf der Zeit basiert, zu der das Auto und sein Multimediasystem zum ersten Mal gestartet werden.

Wenn man die sekundengenaue Präzision von Datum und Zeit bedenkt, ist das in der Theorie eine recht sichere Methode, die einem zahlreiche Kombinationen bietet. Wenn man aber das Fabrikationsjahr des fraglichen Fahrzeugs kennt und man den Monat erfolgreich errät, bleiben nur noch 15 Millionen Kombinationen. Wenn man davon ausgeht, dass die Produktion während des Tages lief, kommt man auf nur noch 7 Millionen Kombinationen. Für einen Hacker ist das eine überschaubare Zahl, die er mit einer Bruteforce-Attacke innerhalb einer Stunde knacken kann.

Das Problem dabei ist, dass man dem Jeep eine Stunde lang folgen muss, um mit seinem WLAN verbunden zu bleiben. Die Forscher haben aber etwas anderes versucht, und sie haben – Überraschung! – eine Möglichkeit gefunden: Das WLAN-Passwort für Chrysler-Fahrzeuge wird vor dem eigentlichen Einstellen der Zeit und des Datums generiert und basiert auf der Standardsystemzeit plus ein paar Sekunden in denen das Bedienteil bootet.

Also war es im Fall des gehackten Autos der 1. Januar 2013, 00:00 Uhr GMT, oder genauer 00:00:32 Uhr GMT. Die Zahl der Kombinationen ist sehr klein und selbst für einen Amateur-Hacker ist es ein Kinderspiel, das richtige Passwort herauszufinden.

Nach dem Verbinden mit dem Bedienteil des Jeeps, konnten Miller und Valasek eine Möglichkeit finden, sich in den Multimediacomputer einzuhacken, der unter einem Linux-System läuft. Durch das Ausnutzen einiger leicht zu erratender Probleme in der Software, übernahmen sie schließlich die Kontrolle des Systems des Bedienteils.

Die Möglichkeiten dieses Hacks sind begrenzt, aber recht beeindruckend: Die Forscher konnten den Musik-Player komplett kontrollieren, das Radio auf jeden gewünschten Sender einstellen und auch die Lautstärke verändern. Stellen Sie sich vor, was passieren kann, wenn jemand mit 120 km/h fährt und plötzlich statt Musik nur noch statisches Rauschen auf voller Lautstärke zu hören ist.

Eine weitere Möglichkeit, die die Forscher entdeckten, ist es, das Auto über sein GPS-Navigationssystem zu verfolgen. Dafür muss man nicht einmal die Software des Bedienteils verändern, da es sich um eine eingebaute Funktion handelt.

So kann man also ein Chrysler-Fahrzeug über dessen WLAN hacken – allerdings nur, wenn der Besitzer für das WLAN-Abo bezahlt. Derzeit tun das noch nicht viele Fahrer. Auf der anderen Seite sind aber alle Bedienteile mit dem Handynetz Sprint verbunden, selbst wenn die Autobesitzer keinen solchen Service eingekauft haben. Denn das ist Standard bei den Bedienteilen dieses Automobiltyps.

Miller und Valasek versuchten, das auszunutzen. Das benötigte viel Zeit und Aufwand, funktionierte aber einwandfrei. Mit Hilfe der „Femtozelle“ (einer kompakten Handy-Basisstation), die sie auf eBay gekauft hatten, gelangten sie in das interne Netzwerk von Sprint und konnten über einen Massen-Scan die IP-Adressen herausfinden, die auf bestimmte Anrufe reagierten, die sie bereits vom Hacken des WLAN-Systems kannten.

Mit diesem Trick kann man alle Chrysler-Fahrzeuge finden, die mit diesem bestimmten Bedienteil ausgestattet sind. Über eine Million davon wurden von Fiat Chrysler zurückgerufen. Anschließend muss man nur noch das richtige Fahrzeug auswählen. Das Komische daran ist, dass dies recht schwer ist und die Forscher dazu meinen, dass „es viel einfacher ist, alle Jeeps zu hacken, statt einem bestimmten.“

Aber es ist dennoch auch möglich, den gewünschten Jeep auszuwählen, dank der oben erwähnten GPS-Tracker-Funktion. Wenn das getan ist, kann man mit dem Multimediasystem alles anstellen, was man will. Aber das ist noch lange nicht alles.

Der nächste Schritt der Forscher war es, eine Möglichkeit für den Zugriff auf den CAN-Bus zu finden. Dieser Bus ist das interne Netzwerk des Fahrzeugs, das alle wichtigen Komponenten miteinander verbindet — Motor, Getriebe, Sensoren und so weiter. Fast alles im Auto ist damit verbunden, da heutzutage fast jedes Teil des Autos elektronisch kontrolliert wird.

Das Multimediasystem ist aber nicht direkt mit dem CAN-Bus verbunden. Darauf verlassen sich alle Hersteller, wenn es um die IT-Sicherheit Cyber-Physikalischer-Systeme geht: Die Isolation soll der Sicherheitsabstand zwischen vernetzten und physikalischen Teilen des Systems sein.

Aber es stellte sich heraus, dass dieser Abstand nicht recht groß ist, zumindest nicht in den Autos von Chrysler. Und auch wenn der Controller des Multimediasystems selbst nicht direkt mit dem CAN-Bus kommunizieren kann, so kann er dennoch mit einer anderen Komponente auf dem CAN-Bus kommunizieren, nämlich dem V850-Controller. Einfach gesagt, kennt dieser jemanden, der jemanden kennt…

Die Software des V850-Controllers wurde mit Vorsicht entwickelt, so dass es zwar möglich ist, dem CAN-Bus zuzuhören, aber keine Signale darüber zu senden. Aber es ist halt doch ein Computer. Und wenn es keine Möglichkeit gibt, kann man eine hinzufügen, indem man den Computer umprogrammiert.

Die Forscher haben eine Möglichkeit gefunden, die Firmware des V850-Controllers über die Verbindung mit dem Controller des Multimediasystems mit ihrer eigenen Version auszutauschen. Dieses Firmware-„Upgrade“ kann ohne Prüfungen und Authorisierungen durchgeführt werden. Und selbst wenn es eine Authorisierung gäbe, würde dies nicht so viel bringen, da die Forscher eine Reihe von Sicherheitslücken gefunden haben, die es möglich machen, die Kontrolle über den V850-Controller zu übernehmen.

Und nach dieser Aktion konnten Miller und Valasek Kommandos über den CAN-Bus senden und jede — jede! — Komponente des Autos dazu bringen, das zu tun, was sie wollten. Sie konnten das Lenkrad, den Motor, das Getriebe und das Bremssystem kontrollieren, ganz abgesehen von langweiligeren Dingen wie Scheibenwischer, Klimaanlage, Türschlösser und so weiter. Zudem konnten sie all diese Dinge über das Sprint-Handynet aus der Ferne kontrollieren.

Die gute Nachricht ist, dass Miller und Valasek für Ihre Forschungsarbeit Jahre benötigten. Und der wichtigste Trick — das Herausfinden, wie man die mit dem CAN-Bus verbundenen Komponenten des Autos verwalten kann — ist ihnen nach wie vor unerklärlich. Es kann also nicht jeder das tun, was die beiden Forscher gemacht haben. Die schlechte Nachricht ist, dass beeindruckende Hacks wie dieser absolut möglich sind. Und die Auswirkungen sind schwer einzuschätzen.

Tipps