Road Train

– Proof Of Concept –

Nach dem Abendessen, das alle Beteiligten vollkommen still verbrachten, trafen sie sich im Analyseraum zur abschließenden Besprechung.
«Herr Kartal, sind das jetzt alle Unterlagen?», fragte Patrik.
Er nickte. «Ich habe Ihnen alles kopiert.»
«Gut. Möchten Sie dann beginnen?»
«Mhm. Das wird jetzt sehr technisch, aber wir werden versuchen, es Ihnen so anschaulich wie möglich zu erklären.», begann Geale.
«Die Firmware besteht aus einem Hauptprogramm, das die verschiedenen Aufgaben steuert, und einer Vielzahl an Modulen, die diese Aufgaben übernehmen.», erklärte Seeko. «Road Train-Vernetzung, Spurkontrolle, Geschwindigkeitsregler undsoweiter.»
Verständiges Nicken.
«Darin konnten wir keinen Fehler finden. Dieser Teil ist sauber programmiert. Bemerkenswert, unter den Umständen, die die IDE zulässt.», führte Geale weiter aus und erklärte auf Jaylos Nachfrage: «Alle Datenübernahmen aus anderen Modulen oder dem Hauptprogramm sind generell sicher, mit Abfragen nach dem Gültigkeitsbereich der Werte oder auf bestimmte Werte. Alles andere wird verworfen. Und die Programmierer haben auch daran gedacht, beim Tausch von Daten zwischen zwei Modulen eine Authentitätsprüfung zu machen, um sicherzustellen, dass die Daten auch von dem Modul stammen, das sie übergeben sollte.»
Patrik nickte erneut.
«Das Einfallstor befindet sich in der Telemetrie. Genauer gesagt: In deren Absicherung.», führte Seeko aus. «Jede computergesteuerte Hardwarekomponente des Kidd schreibt Statusdaten in einen eigenen, einige Megabyte großen Speicher. Die Speichergrößen sind für jede Komponente im Hauptprogramm klar definiert, so dass keine Speicherüberläufe stattfinden. Auf diese Puffer greift das Hauptprogramm zu, mit Werteprüfung und Bereichsprüfung.»
Seeko fuhr fort. «Aber es gibt eine weitere Komponente, die diese Puffer abgreift. Das ist das MRN, das Maintenance Radio Network. Es handelt sich dabei um ein eigenes Funkmodul, an das die Blackbox angeschlossen ist. Das MRN übernimmt die Daten ohne Bereichs- oder Werteprüfung.»

Patrik horchte auf. Er hatte ursprünglich für möglich gehalten, dass das Information Carrier Network, über das die Audio-Informationsprogramme verteilt wurden, eine Ursache sein konnten. Offenbar gab es eine weiter Funkkomponente, und die, so hatte er Geale verstanden, war problematisch.

«Das für sich genommen ist nicht verwerflich», erklärte Geale, «denn auch Extremwerte müssen erfasst werden. Diese werden einerseits in der Blackbox gespeichert und zum zweiten zu Diagnosezwecken abrufbar gehalten für externen Kontakt durch den Hersteller via MRN. Aber das erfordert einen sehr sorgsamen Umgang mit den vorgehaltenen Werten.»
«Und wie sieht dieses Einfallstor aus? Wo liegt der Fehler?», fragte Jaylo.
«Es handelt sich um eine für heutige Maßstäbe fehlerhafte Konstruktion.», sagte Geale. «Nach allem, was mir Herr Wanczak sagen konnte, nehme ich an, diese Funktionalität war ursprünglich ausschließlich für die Protokollierung und Auswertung in der Werkstatt oder Fabrik vorgesehen. Das MRN ist mehr als zwei Jahrzehnte lang mit einem hohen Reifegrad in allen STTs verbaut worden. Dann aber hat sich STT offenbar entschlossen, weitergehende automatische Auswertungen zur Laufzeit vorzunehmen und die Fahrzeugfunktionen darauf reagieren zu lassen. Opel macht das ebenfalls, die beiden sind da führend in den Analyseverfahren. Die Basis des MRN allerdings blieb unverändert und wurde nur um Funkübertragung erweitert.»
«Das müssen Sie mir näher erklären!», forderte Wolfman.

Geale ging zu einem Whiteboard hinter sich, nahm einen Stift und malte einige Symbole darauf. Er verband sie mit kleinen Kästchen, die wiederum mit einem großen Kästchen verbunden wurden. Dann malte er ein weiteres Kästchen mit einer Antenne, das er mit dem großen Kästchen verband.
«Wir haben hier», erklärte er, während er die Wand bemalte, «ein paar Komponenten einer Kapsel: Motor, Reifen, Tank, Batterie. Diese besitzen Steuergeräte», er zeigte auf eines der kleinen Kästchen, «die mit der zentralen Steuereinheit verbunden sind und mit ihr kommunizieren. So kann die zentrale Steuereinheit die Daten, die von den Komponenten kommen, wie Reifendruck, Tankinhalt, Batterieladung, Verbrauch und derlei Variablen, auswerten und den Komponentensteuerungen sowie der Road-Train-Steuerung», er malte ein weiteres Kästchen, «Anweisungen für eine neue Abstimmung geben. Zudem werden die Daten für die Insassen im Display dargestellt.»
«Das passiert in Echtzeit, also ständig während einer Fahrt. Und die Kapsel ist da nicht alleine: Sie kommuniziert via ICN jederzeit mit dem Führungsfahrzeug des Road Train, das wiederum auch mit allen anderen Fahrzeugen Kontakt hält, um die bestmöglichen Einstellungen für die Fahrt zu finden und für alle Beteiligten effizient zu bleiben. So kann der Road Train auf jede Anforderung nach notwendiger Ankunftszeit, Spritverbrauch und ähnliches reagieren, seine Geschwindigkeit anpassen oder auch die Fahrzeugabstände, je nach Verkehrslage. Das sind Unmengen an Parametern, die ein Führungsfahrzeug pro Sekunde erhält, berechnet, neu einschätzt und zurückliefert. Das ist äußerst beeindruckende, ausgeklügelte Technik!» Seeko geriet dabei richtig ins Schwärmen, während Geale die Ausführung seines Kollegen auf dem Whiteboard grafisch untermalte. Dabei rang sich auch der bisher im Kreuzfeuer stehende Ingenieur Wanczak ein Lächeln ab.

«Und was hat das MRN jetzt damit zu tun?», fragte Patrik.
Geale nickte. «Diese ganzen Daten, die von der Kapsel erhoben, verarbeitet, kommuniziert und empfangen werden, gehen nicht nur an den Road Train und zurück. Sie werden auch bereitgestellt für Analysen durch Hersteller und Werkstattpersonal.» Er zeichnete eine weitere Box rechts neben die zentrale Steuereinheit und beschriftete sie entsprechend mit „MRN“. «Nicht nur diese Komponenten werden durch das MRN abgefragt», er malte Pfeile von allen dargestellten Steuergeräten zum MRN, «sondern auch das ICN.»
Seeko übernahm. «Per ICN werden primär Verkehrs- und Wetterdaten, aber auch allgemeine Sprachinformationen übermittelt. Wenn irgendwo auf Ihrer Strecke ein Stau ist, berechnet der Computer der Kapsel anhand der ICN-Verkehrsdaten, ob ein alternativer Weg sich lohnt oder auch der Anschluss an einen anderen Road Train. Gleichzeitig erhalten Sie über das ICN auch die redaktionellen Nachrichten, die Ihnen im Radiostil angesagt und auf dem Display angezeigt werden.»
«Da sich diese extern anfallenden Daten auf die Steuerung der Kapselkomponenten auswirken», setzte Geale an, «ist es für Werkstattpersonal und Ermittlungsbehörden sinnvoll zu wissen, ob eine Störung oder ein Unfall durch ein fehlerhaftes Signal ausgelöst wurde, vom Road Train oder von anderen Fahrzeugen. Daher sammelt das MRN auch diese Daten ein und hält sie für den Abruf bereit. Dieser Abruf kann im Falle eines Notrufes geschehen, mit Positions- und Zustandsdaten des Fahrzeugs. Und der Hersteller kann das natürlich auch ohne Zutun des Fahrers abrufen, um die Funktionsfähigkeit der Kapsel zu gewährleisten. So könnte ein Werkstattmeister auch während der Fahrt Anpassungen vornehmen, um gegebenenfalls ein Problem zu beheben.»
Die Ermittler nickten verständig. «Das heißt also, es gibt grundsätzlich von außen Zugriffsmöglichkeiten auf das System. Aber da gibt es ein Problem, verstehe ich Sie richtig?»

Seeko lächelte. «Ich sehe schon, Sie werden ungeduldig. Ich versuche, mich kurz zu fassen.»
«Ich bitte darum.», warf Wolfman ein.
«Sie haben Recht, das Problem liegt in dieser Konstruktion des MRN. Der externe Zugriff ist selbstverständlich geschützt. Nur mit Authentifizierung kann ein externer Benutzer Parameter des Fahrzeuges ändern.» Seeko erntete verständnislose Blicke. Wenn sich ein externer Benutzer doch authentifizieren muss, wie kann dann ein anderer Manipulationen vornehmen, schienen sich die Ermittler zu fragen.
«Das Problem tritt im Zusammenspiel mit dem ICN-Modul auf. Das MRN nutzt für die Verarbeitung der ICN-Daten auch dessen Login-Puffer mit. Leider ist das Passwort für den Servicezugang im MRN fest verdrahtet; zwar als 1024-Bit-Hash für jedes Fahrzeug unterschiedlich, aber per Brute-Force-Attacke erratbar.»

«Brute Force?», fragte Patrik.
«Erraten des Passwort-Strings. Das sind zwar immer noch 128 Zeichen Breite, aber eine Autofahrt ist lang genug, um den Hash zu brechen. Doch es wird nicht nur dieser Passwort-String übertragen, sondern auch eine Zeichenkette, die dem MRN, das auf diesen Login-Puffer zugreift, einen erfolgreichen Login durch den Service vorgaukelt. Das MRN funkt standardmäßig zwar verschlüsselt, aber diese Verschlüsselung lässt sich per Kommando abschalten. Und in den unverschlüsselten Datenpaketen des MRN steht auch der 1024-Bit-Hash drin. So bekommt man dann Kontrollzugriff auf das gesamte System. Und kann es manipulieren.»
Bei allen Ermittlern gingen simultan die Augenbrauen bis zum Anschlag nach oben.
«Und wir lässt sich das ICN dazu überreden, die Daten des Hackers überhaupt weiterzuleiten? Es muss doch merken. dass dort die Daten nicht integer sind…?», fragte Patrik nach.
«Das ist nicht schwer. Das passiert per Funküberlagerung. Dem ICN gaukelt der Hacker ein Signal vom Führungsfahrzeug via Road Train Protocol vor, und sein Signal ist stärker als das des Road Train. Und schon werden die Datenübertragungen des Hackers priorisiert.»

«Und wie lautet jetzt Ihre Empfehlung?» Erstmals in dieser ganzen Zeit war der Ingenieur zu hören.
Seeko sah ihn eindringlich an. «Schalten Sie per Firmware-Update den Abruf des ICN-Puffers durch das MRN ab, bis es neu konzipiert wurde.»

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: