Cymotive_CAN-FD_CANCAN

Die CANCAN-Schwachstelle kann jede erdenkliche Fahrzeugkomponente betreffen, die das CAN-FD-Protokoll verwendet. (Bild: Cymotive)

CAN FD erweitert das klassische CAN-Busprotokoll und sorgt in den meisten modernen Fahrzeugen für eine schnellere und durchgängige Kommunikation zwischen den verschiedenen Komponenten. Security-Experten von Cymotive Technologies haben jetzt eine Schwachstelle im CAN-FD-Protokoll entdeckt, welche die Sicherheit in nahezu allen modernen Fahrzeugen ernsthaft bedroht: Die Lücke namens CANCAN ermöglicht es, die über Kommunikationsprotokolle versendeten Nachrichten einzukapseln. Dadurch lässt sich eine gefälschte CAN-FD-Nachricht einschleusen, die eine legale Message einkapselt. So können Komponenten dazu gebracht werden, die eingekapselte interne Nachricht anstelle der externen Nachricht, die tatsächlich auf dem Bus gesendet wurde, zu akzeptieren.

Herkömmliche Sicherheitslösungen können diese Art von Angriff nicht wirksam abschwächen. Dabei kann die CANCAN-Schwachstelle jede erdenkliche Fahrzeugkomponente betreffen, die das CAN-FD-Protokoll verwendet. Dazu zählen auch Protokolle, die sich derzeit in der Entwicklung befinden, wie etwa CAN-XL.

Zu den möglichen Attacken gehören beispielsweise sogenannte Can-Frame-Angriffe, die gültige gesendete Nachrichten ausnutzen. Diese Kategorie umfasst auch Bus Flood Attacks (Senden von Nachrichten mit hoher Priorität, um das Senden anderer Nachrichten zu verhindern), Spoofing (die Fähigkeit, Nachrichten zu senden, die eigentlich von einer anderen Stelle gesendet werden sollten) und Sniffing (Abhören unverschlüsselter Daten, die für eine andere Stelle bestimmt sind). Diese Angriffe können die Verfügbarkeit, Authentizität und Vertraulichkeit des Systems empfindlich beeinträchtigen.

Automotive
Ab Juli 2022 soll der Cybersicherheits-Standard ISO/SAE 21434 für vernetzte Fahrzeuge weltweit eingeführt werden.
Automotive Sicherheit für vernetzte Fahrzeuge

ISO/SAE 21434: Der neue Automotive-Cybersecurity-Standard

Ab Juli 2022 soll die Norm ISO/SAE 21434 weltweit Einzug halten. Damit müssen Hersteller die Sicherheit für alle elektronischen Systeme im vernetzten Fahrzeug in jeder Phase berücksichtigen – vom Konzept über die Herstellung bis zur Außerbetriebnahme. Die Details finden Sie hier.

Angriffe erkennen und abwehren

Deshalb hat das Cybersicherheits-Forschungsteam von Cymotive geeignete Sicherheitsmaßnahmen entwickelt, um diese Angriffe effektiv abzuwehren. Abhilfe schaffen Intrusion Detection Systeme (IDS) sowie Intrusion Prevention Systeme (IPS). Erstere versuchen Anomalien auf dem CANBUS zu erkennen, die auf den Eigenschaften eingehender Nachrichten wie Zeit, CANID und bei bestimmten Implementierungen auch auf der Nutzlast selbst beruhen können. Beim Erkennen einer solchen Anomalie lässt sich das Ereignis zwar protokollieren; dennoch wird der Angriff nicht wirksam verhindert.

Ein IPS umfasst in der Regel alle genannten Funktionen eines IDS und bietet darüber hinaus einige Mechanismen zum Blockieren von Messages. Manche Lösungen erkennen eine bösartige Nachricht in Echtzeit und verhindern, dass sie ihr Ziel erreicht. Dies kann auf zwei Arten erfolgen: So kann das IPS als Man-in-the-Middle (MITM) zwischen dem Angreifer und dem Bus agieren und in dieser Position den Versand einer bösartigen Nachricht verweigern. Als zweite Möglichkeit lassen sich Bits direkt in den Bus injizieren, während die bösartige Nachricht gesendet wird. Dadurch lässt sie sich als ungültig für die Verarbeitung durch andere Komponenten markieren.

Automotive
Typische Anwendungen von CAN-FD-Light liegen im Bereich Licht.
Automotive Für preiskritische Anwendungen

CAN-FD-Light: Commander/Responder-Netzwerk als Alternative

LIN ist zu langsam, CAN-FD zu komplex (und zu teuer) für diverse Applikationen. Genau hier kommt CAN-FD-Light als Netzwerk ins Spiel. Hier die Gründe dafür. Wie Sie CAN-FD-Light in neue Netzwerkarchitekturen integrieren.

Sie möchten gerne weiterlesen?