Verschweigen,
bedrohen,
aussitzen.
Der schlimme Stand der Dinge in Sachen Software-Sicherheit in der Autoindustrie
Der als „Volkswagen-Hack“ bekannt gewordene Angriff auf eine verbreitete Wegfahrsperre wurde nach einem Jahr juristischer Verzögerungsarbeit von Seiten VW nun doch veröffentlicht. Und in diesem Nachrichten zusammenfassenden Satz kondensiert alles, was seit Jahrzehnten schief läuft in der Software-Sicherheit der Autoindustrie.
Kurzer Abriss: 2012 fanden drei Forscher einige Schwächen in der Wegfahrsperre mit den Transpondern Megamos Crypto ID48 Magic I und II, eines der weit verbreitetsten Systeme solcher Art überhaupt. Sie meldeten die Probleme bei den betroffenen Herstellern neun Monate, bevor sie überhaupt das erste Mal etwas zu veröffentlichen planten. Volkswagen hielt es für eine gute Idee, in Großbritannien gegen die Veröffentlichung zu klagen. Sie erhielten zunächst Recht, aber letztendlich sicherte sich der Konzern damit nur, dass er auf ewig mit dem Megamos-Hack synonym bleiben wird, der seitdem als „Volkswagen-Hack“ firmiert. Denn jetzt dürfen die Forscher doch veröffentlichen. Hier ein Abriss der Schwächen mit Empfehlungen auch für Endkunden [1].
Viele Schreiber machten VW hämisch die Vorwürfe, die sie bei Ars Technica abschrieben. Dem möchte ich mich nicht anschließen. VW hat damals das beste System genommen, das es von Zulieferern gab. Alle drei weit verbreiteten Konkurrenzsysteme wurden früher gebrochen. Ich möchte VW und der gesamten Autoindustrie einen ganz anderen Vorwurf machen: Ihr nagelt alle seit Jahrzehnten wider die besten Empfehlungen der versiertesten Experten eure eigenen schiefen Hütten im Dunkeln zusammen und wenn jemand eine Taschenlampe auf eure Favelas richtet, dann wollt ihr den Boten schlachten und seine unglaublich perfide Taschenlampentechnologie verbieten. Dieses Vorgehen ist der Grund, dass ihr eure Autokunden sicherheitstechnisch weiter in Favelas wohnen lasst, obwohl selbst die Hundekuchenverkäuferin im Internet technoallegorisch geschrieben längst im Betonbungalow mit stabilen Türen und einem Telefon zum Hilfe rufen wohnt. Und das nicht, weil die Hundekuchenverkäuferin schlauer wäre, sondern weil sie offene Technik mit belegbarer Sicherheitsstufe verwendet und ihr euer eigenes Ghettosüppchen kocht, als stünde immer noch 1978 auf dem Tittenkalender.
Die große Schwierigkeit der Kryptologie
Auf dem verschlungenen Feld der Kryptologie beschäftigen sich die seltenen Menschen mit gordisch verknoteten Gehirnen mit Sicherheit in der Informationstechnik. Sichere Kommunikation und eindeutige Authentifizierung fußen heute auf eleganten, aber schwer sauber umsetzbaren mathematischen Prinzipien. Früher fußten sie darauf, dass man versuchte, zu vertuschen, wie schlecht die eigene Sicherheit tatsächlich aussieht im kalten Licht der LED-Taschenlampen. Oder man hoffte darauf, dass schon nichts schiefgeht. Die meisten Menschen sind ja meistens ganz lieb. Seit jedoch jeder und seine Oma in Netzwerken mit kommunizieren, hat sich die Welt von diesem Prinzip verabschiedet, denn es funktioniert schon lange nicht mehr. Eigentlich hat es noch nie funktioniert. Nur die Autoindustrie klammert sich noch an dieses Prinzip, als ginge es um ihr Leben. Dabei gilt das Gegenteil: Diese Art, mit Netzwerksicherheit umzugehen, kann ihr auf die Langstrecke betrachtet durchaus das Genick brechen.
Ein kluger Mann namens Auguste Kerckhoff verfasste schon 1883 eine bis heute gültige Maxime: Die Sicherheit eines Verschlüsselungsverfahrens muss auf der Geheimhaltung der Schlüssel beruhen und darf nicht von der Geheimhaltung des Verfahrens abhängig sein. Denn es gibt nur einen Grund, warum ein Verfahren geheim bleiben soll: Es ist unzulänglich. Deshalb verwenden Banken oder Hundekuchenverkäuferinnen heute Krypto-Verfahren für sichere Kommunikationskanäle und eindeutige Verifizierung, die öffentlich bekannt sind. Ihre Sicherheit wurde lange von gordischen Knotenköpfen traktiert und für tauglich befunden.
Auch die Autoindustrie bedient sich der bekannten kryptologischen Prinzipien, doch wie gesagt: Krypto-Programmierung ist ein dorniger Weg voller Fallen, die man sich selber stellt. Deshalb ist es so wichtig, dass mindestens einige der besten Knotenköpfe versuchen, schon in der Planung die Schwächen des Systems zu finden, sonst findet sie jemand, wenn längst Millionen Systeme ausgeliefert sind. QED. Aufgrund ihrer Seltenheit sitzen diese besten Köpfe selten in der eigenen Firma, und wenn sie dort sitzen, dann hört man ihnen nicht zu, denn nur der externe Experte weiß alles; Mitarbeiter wissen nichts (alte Weisheit der Manager, die Berater buchen). Ohne eine Offenheit zumindest vor einigen wenigen kann kein Hersteller bewerten, ob er Herrn Kerckhoffs Maxime gerecht wurde. Deshalb gilt die Offenheit als Best Practice, ja: als einzig sinnvoller Weg. Der andere Weg? Heimlich Fehler machen und sich dann aufregen, wenn jemand sie dann aufzeigt, wenn alles zu spät ist. So läuft es in der Industrie. Seit Jahrzehnten. Wer konnte AHNEN, dass im damals als echt sicher geltenden Megamos-System FEHLER waren und Schwächen und sogar richtige Dummheiten? Jeder, der ehrlich zu sich selbst war.
Menschen, die ehrlich zu sich selber sind, tendieren dazu, auch ehrlich zu ihren Mitmenschen zu sein, oft noch mit dem furchtbaren Verstärker „offen und“. Solche Menschen arbeiten bei Autoherstellern üblicherweise dort, wo ihnen keiner zuhört. Was weiß ein Krypto-Ingenieur schon von Sicherheit? Nichts! Da muss das Management ran: „Krypto? Was soll DAS denn sein? Was das KOSTET! Wie, wir sollen OFFEN diskutieren, wie unsere Wegfahrsperre funktioniert?! Schleich dich in den Software-Keller, abscheuliche Kreatur, sonst schwinge ich die Kündigungskeule!“ Dass Offenheit eine Art von Vertrauen schafft, die gerade in NSA-Zeiten langfristig der Kunden-Marken-Bindung helfen könnte, naja, sowas braucht man dem mittleren Management genauso wenig anzutragen wie die Best Practices der Kryptologie.
Es ist finster und wird schlimmer
Aus diesem Problemkreis hinaus hatten wir 2010 diese Forscher, die an der Diagnoseschnittstelle herumhackten [2]. Damals schrieb ich, dass jetzt alle mit dem Finger im Arsch herumsitzen und warten, bis es den ersten Fall gibt, bei dem Hacker von außen über Funk Zugriff aufs Auto erlangen, um dann laut zu greinen. Das ist kürzlich eingetreten [3]. Keyless-Schließsysteme sind für Diebe noch toller als für Kunden [4]. Selbst die Diagnoseschnittstelle-Hacks waren schon relevant, weil Versicherer dort ihre Tracking-Boxen anschließen (hier ein Hack [5]), und Versicherer arbeiten nach denselben Prinzipien wie Autohersteller: vorher auf keinen Fall auf die Experten hören und hinterher Zeter und Mordio schreien, dass diese oder andere Experten schweigen sollen, denn wo kämen wir hin, wenn jeder auf des Kaisers neue Kleider zeigen dürfte?
Besserung ist nicht in Aussicht, obwohl sie dringend nötig wäre, denn der Anteil der Software an der Auto-Wertschöpfungskette steigt mit jedem Jahr an. Im Gegenteil kommen Probleme auf uns zu, die sich ein Manager gar nicht vorstellen möchte (hier eine Hilfestellung [6]). Die nächste große Aufgabe für die Hersteller sind dicht vernetzte, selbst fahrende Roboterautos. Die Entwicklung solcher Maschinen besteht zu einem so großen Anteil an Softwareentwicklung, dass heutige Autoschrauber Alpträume davon kriegen, weil sie schon Elektrik für Teufelswerk halten. Die SIEHT man ja nicht, diese Elektronen! Wenn die dann noch unsichtbar nach Algorithmen tanzen!
Es gab eine Gelegenheit, einem Automobilriesen in den Code zu schauen, nämlich als Toyota vor Gericht ihre „unintended acceleration“ verhandelte. Irgendwann mussten sie externe Experten ihren Code lesen lassen. Es war ein riesiger Haufen Spaghetti-Code [7], und wer mit diesem Begriff nicht vertraut ist, sollte sich einen Kabelbaum vorstellen, der aus einem Spaghetti-Haufen vollkommen gleicher Kabel besteht, der einfach in einen Hohlraum hinter den Verkleidungen gequetscht wird. Toyota hat wahrscheinlich nicht einmal gelogen, als sie vor Gericht sagten, sie konnten die Probleme nicht nachvollziehen, denn nach allen bekannten Methoden war Toyotas Haufen Schhh…paghetti nicht testbar. Toyota konnte gar nicht wissen, was da am Ende alles für Zustände herauskommen könnten, und offenbar interessierte sie das auch nicht besonders. Der Code sah so aus, als hätte Toyota jede Maßgabe zur guten Arbeit an Software gelesen und dann das Gegenteil getan. Und solche Firmen arbeiten jetzt an Autos, die dein Kind automatisch in die Schule fahren sollen. Damit in Zukunft Probleme ausbleiben wie „das Auto fährt mit dem Kind durch die Ukraine, weil ein russischer Autoschlepper Toyotas en masse in sein Autobot-Netz übernimmt“, da könnten die Hersteller bewährte Methoden der Offenheit einsetzen. Oder sie könnten weitermachen wie bisher mit Gestolpere im Dunkeln. Wer möchte raten, was passieren wird?
Links:
[1] http://www.heise.de/autos/artikel/Volkswagen-Hack-veroeffentlicht-2778562.html
[2] http://www.autosec.org/pubs/cars-oakland2010.pdf
[3] http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
[5] http://www.heise.de/newsticker/meldung/Diagnose-Dongle-Forscher-hacken-Corvette-per-SMS-2777457.html
[6] http://www.mojomag.de/2010/05/grid-graffiti/
Tielbild: Remote central locking“ by James086 – Own work. Licensed under GFDL via Wikimedia Commons.