Natürlich war die Sache vorher Abgesprochen und ein Experiment. Aber es zeigt auf, das man jemand über das Internet ermorden kann, während man sich selber auf der anderen Seite der Erde befindet. Denn die Steuerung kann Dinge bewirken, welche der Fahrer gar nicht kann. Zum Beispiel einzelne Räder abbremsen. Das wird gebraucht, um so nützliche Dinge wie das ABS oder das ASR zu implementieren. Und wer das Gaspedal liften kann, der kann es auch ganz durch treten. Im Rechner ist der Unterschied nur der Wert einer Zahl. Vollgas geben und dann beide linken Räder voll Bremsen, und der Einschlag in den Gegenverkehr ist für den Fahrer nicht mehr abzuwenden.
Aber es geht ja noch viel Direkter. Viele Moderne Autos haben zum Beispiel Parkassistenten. Damit hat der Bordrechner die Mittel, einem überraschten Fahrer ins Steuer zu greifen. Da die modernen Entertainment-System im Auto meist eine Navigationsfunktion haben, kann der Angreifer ganz genau Festellen, wo sich ein Auto befindet. Das bedeutet, das er das Automobil auch einfach über eine Klippe in einen Abgrund lenken kann ... ohne das Bremsspuren dabei entstehen. Was wird die Polizei sagen ... klarer Fall je nach Szenario Selbstmord oder "Bitte nicht Stören Fahrer träumt vom ..."
Was ist Nötig? Nun die Software eines Fahrzeugs ..(und ich meine damit nicht nur Autos sondern auch Flugzeuge und Boote). und nicht nur Bremsen und althergebrachte mechanische Komponenten sind einer tiefgreifenden Sicherheitsüberprüfung bei der Musterzulassung zu unterziehen. Diese Überprüfung muss sich auch an geeignete überschaubare Sicherheitsstandards ausrichten. Es reicht nicht das mit dem ISO9000 Mist gezeigt wird, das die Software nur dann die Motoren der Lenkung einschaltet, wenn sich das Auto im Modus "Automatisches Parken" befindet, sondern solche Funktionen gehören mit einem Guten alten Schalter abgeschaltet.
Warum so altmodisch? Weil ein Angriff eben einfach nicht Ausgeschlossen werden kann. Alles was weniger ist als ein mathematischer Beweis, das jede beliebige Folgen von Bits die über eine Schnittstelle reinkommt keinen Schaden anrichtet, ist mir zu wenig, insbesondere die heuristischen Verfahren der ISO9000 Qualitätssicherung. Alle durchrechnen geht nicht, den schon nach 282 Bit gibt es mehr Folgen als Atome im Universum. Bei den heutigen Mobilfunkstandards entspricht das ms.
Also bedarf es einen Beweises durch mathematisch Deduktion. Das ist aber , in Anbetracht der Komplexität der Komponenten eine sehr lange Beweiskette. Solche langen Beweisketten gibt es durchaus, beispielsweise für das Theorem das man jede politische Karte immer mit nur vier Farben immer so färben kann, das benachbarte Länder unterschiedlich gefärbt sind. Bei diesen länglichen Beweisen mathematischer Theoreme haben sich aber immer wieder Fehler eingeschlichen. Mit andren Worten, Menschen sollen und dürfen solche Beweise nicht erstellen. Und allgemeine automatische Deduktionsschema die so etwas feststellen können und von denen Bewiesen ist das sie Richtig funktionieren gibt es schlicht noch nicht.
Bis auf weiteres wird man also nur durch eine super strikte Trennung zwischen Entertainment-System und Fahrerassistenz wie Navigation und Sicherheitsrelevantem wie dem ABS, ASR, Autonomen Fahren wie z.B. jetzt schon das automatische Einparken. Das Sicherheitssystem kann dem Entertainment-System unidirektional Daten zur Verfügung stellen. Das kann alles Mögliche sein, Kurvenradius und Geschwindigkeit aus der Drehzahlen der Räder, oder auch die Drehzahl der Räder als Rohdaten, Daten zum Zustand des Motors für das "Ölwarnlämpchen" oder auch für Ferndiagnosen einer Werkstatt und vieles andere Mehr.
Was stringent zu Regulieren ist, sind die Funktionen welche die Entertainmentzone in der Sicherheitszone bewirken kann.
Dafür sollte es Pro Funktion ein Logisches Signal geben. Die notwendige Verriegelungen und zeitliche Begrenzungen der Anwendung sollten in jedem Fall per Hardware realisiert sein müssen. Wenn also das Klimamanagement im Sicherheitsbereich angesiedelt sein sollte, so müssten Analoge Signale die gewünschten Temperaturen einspeisen und ein TTL Signal das "Standheizung Starten" damit der Autobesitzer seinen Wagen per iPhone vorheizen kann.
Wer die Bedingungen der Serienfertigung von Automobilen kennt, der weiß das die Firmen mit jedem zentel Cent kämpfen, den die Konstruktion eines Automobils an kosten erfordert, der wird Zustimmen das hier eine stringente Gesetzliche Zulassungsordnung erforderlich ist, um konservative Designs zu erreichen. Viel zu groß die Verlockung, durch ein allumfassendes Softwarekonzept Bauteile einzusparen und noch viel Wichtiger, eventuell auftretende Probleme mit der größt möglichen Wahrscheinlichkeit per im Vergleich zu Mechanik sehr billigen Softwarepatch zu beheben.
Aber nicht nur eine solche Trennung ist nötig. Auch müssen die Komponenten im Sicherheitsbereich Konstruktionsbedingungen erfüllen, um Übergriffe auf die Nutzer eines Autos per Software zu verhindern. Heutige Motorsteuerungen enthalten wie selbstverständlich Flash Bausteine, um Anpassungen über eine Schnittstelle vornehmen zu können. Das bedeutet aber auch, das ein Automobil nicht über das Ausschalten des Stromes in einen Definierten zustand gebracht werden kann.
Um das zu erreichen sollten Sicherchcheitssteurungen die nicht für die Entwicklung dienen sondern in der Serienproduktion veVwendung finden nur Ram und Prom enthalten. Der nur einmal programmierbare Speicher sollte im Übrigen so physikalisch angesteuert werden, das die Dinge welche in den Speicher geschrieben worden sind, nie wieder verändert werden können. Wird also eine neue Version der Software geladen, so bleiben die alten auf jeden Fall lesbar, sie werden vom Starter nur nicht mehr angesprungen.
Warum ist so etwas nötig? Ein digitaler Angriff auf einen Autofahrer muss nicht zwingend online erfolgen.Das ist nur die spektakulärste aller Optionen. Viel einfacher ist es, sich des Automobil in einer Werkstatt zu bemächtigen und eine Flash basierte Steuereinheit in einen Zustand zu bringen, in den sie eine Mission erfüllt und sich anschließend wieder in eine ganz normale Einheit zurücksetzt. Wie würde so ein Mordanschlag ablaufen?
- Als erstes würde ein Angreifer eine einer Straße ausmachen, die seine Zielperson regelmäßig befährt, beispielsweise den Weg vom Wohnsitz der Person zu dem ihrer Eltern
- Dann müsste auf dieser Straße eine Stelle gefunden werden, an der harte Ziele für einen heftigen Einschlag vorhanden sind. In Frage kommen Alleebäume, Betonwände, und ähnliche stabile Strukturen.
- Dann müsste ein Weg gefunden werden, wie die zu manipulierende Elektronik diese Stelle erkennen kann. Mit GPS ist das Trivial, aber es geht auch durch eine Unverwechselbare Sequenz von Kurven, welche anhand der ABS Daten erkannt werden kann.
- Eine Prozedur ist zu erstellen, mit der das Steuergerät ohne fallen nach der Triggersequenz sucht.
- Eine weitere Prozedur ist zu erstellen mit welcher der Abflug in Richtung Ziehl eingeleitet und bestätigt wird. Etwa: Beschleunige und bremse dann zum Rechten Zeitpunkt mit beiden rechten Rädern.
- Eine dritte Prozedur ist zu erstellen, mit der das Steurgerät mittels eines Komprimierten Backup wieder in seinen Auslieferungszustand zurückversetzt wird
- Diese Drei Prozeduren werden in das zu beeinflussende Steuergerät Appliziert. Entweder per Online Hack, oder in einer Werkstatt durch ein manipuliertes Programmiergerät.
Bei dem, was Geheimdienste heute so alles wissen, ist das eine viel zu einfache und nicht nachweisbare Methode, um eine Person sehr geräuschlos loszuwerden. Im Gegenteil, die Reputation der betroffenen Person kriegt noch einen drauf, nach dem Motto "schaut euch diesem verantwortungslosen Raser an". Zu viel Phantasie? Ich befürchte schon seit langen, das dieses bereits passiert sein könnte. Einmal im Fall des Jörg Heider und einmal in Fall des Staatsanwalt Hillinger, der den CSU Parteispenden Waffendealsumpf hartnäkig untersuchte. Beides Fälle in denen einem oder sogar mehreren Geheimdiensten eine intensive Motivlage attestiert werden kann. Zumindest der Fall des Jörg Hillinger wurde sehr umfangreich untersucht, aber wie gesagt, bei einer Bestückung mit Flash verschwinden die Beweise in Millisekunden im nichts ... im Gegensatz zur angesägten Bremsleitung.
Keine Kommentare:
Kommentar veröffentlichen