Letzte Woche waren wir als Austeller auf der 21. escar-Konferenz in Hamburg zu Gast. Erstmals 2003 in Deutschland ausgerichtet, hat sich die escar aufgrund ihres kontinuierlichen Erfolgs mittlerweile international etabliert – in Europa, den USA und Asien. Dabei steigt die Teilnehmerzahl jedes Jahr, und sowohl Teilnehmer als auch Aussteller genießen aufschlussreiche Konferenztage, interessante Vorträge und gute Networking-Möglichkeiten.

Das übergeordnete Ziel der Veranstaltung ist es, ein Forum für die Zusammenarbeit zwischen privater Industrie, Wissenschaft und Regierung in Bezug auf moderne Cybersicherheitsbedrohungen und Schwachstellen in Fahrzeugen zu bieten. Neben Cybersicherheit werden bei der Konferenz auch andere sicherheitsrelevante Fragen wie z.B. der elektronische Diebstahlschutz und neue digitale Geschäftsmodelle behandelt.

Unter den zahlreichen Speakern auf der Konferenzbühne befand sich auch unser Co-Founder Enrico Pozzobon. In seinem Vortrag mit dem Titel "Fuzzy Fault Injection Attacks Against Secure Automotive Bootloaders" beleuchtete unser Kollege Schwachstellen in den Software-Update-Prozessen der Automobilsoftware in Verbindung mit Fault-Injection-Attacken.

Zunächst wurde die entscheidende Rolle sicherer eingebetteter Bootloader als Vertrauensanker für die Software moderner Fahrzeuge hervorgehoben. Anschließend beleuchtete Enrico sowohl die weitgehend standardisierten Prozesse für Softwareaktualisierungen in der Automobilindustrie als auch die Unterschiede bei den Herangehensweisen der unterschiedlichen Original Equipment Manufacturer (OEMs).

Die nachfolgende Demonstration automatisierter Code-Ausführungsangriffe sorgte für Raunen im Publikum. Unser Kollege zeigte auf, dass diese Angriffe vollständig ohne den Einsatz von Reverse Engineering durchgeführt werden können. Die Experimente, die mittels elektromagnetischer Fehlerinjektion durchgeführt wurden, richteten sich gegen sichere eingebettete Bootloader in der Automobilbranche, ohne dass Hardwaremodifikationen erforderlich waren. Dies unterstreicht potenzielle Schwachstellen in der aktuellen Sicherheitsinfrastruktur vieler Fahrzeuge.

Unser dissecto Research Team führte bereits in der Vergangenheit erfolgreich Angriffe auf Steuergeräte (ECUs) zweier führender deutscher Automobilhersteller durch. Diese Validierung in der realen Welt unterstreicht die Dringlichkeit, Schwachstellen in den sicherheitsrelevanten Softwareaktualisierungsprozessen der Automobilindustrie anzugehen.

Als Konsequenz dieser erfolgreichen Angriffe müsse der allgemeine Prozess für sichere Softwareaktualisierung in der Automobilindustrie zwingend überarbeitet werden, argumentierte unser Kollege gegen Ende des Vortrags. Die Kombination von Hardware- und Softwareangriffen wirft starke Bedenken hinsichtlich der Gesamtsicherheit moderner Fahrzeuge auf. Diese Erkenntnisse erfordern mittel- und langfristig eine Neubewertung der Strategien zur Sicherung von Automobilsoftware.

Der Vortrag von Enrico Pozzobon auf der escar-Konferenz fordert die Automobilindustrie dazu auf, ihre Herangehensweise an die Software-Sicherheit zu überdenken. Gerade im Hinblick auf die sich ständig verändernden Vorgaben und Sicherheitsanforderungen seitens der Gesetzgeber. Mithilfe unserer Platform as a Service HydraVision und der zugrundeliegenden Forschung leisten wir einen entscheidenden Beitrag zur Weiterentwicklung der automobilen Cybersecurity in den nächsten Jahren. Abschließend möchten wir uns bei den vielen Interessierten vor Ort sowie den Organisatoren für die gelungene Veranstaltung bedanken!

Kontaktieren Sie uns, um ein auf Ihre Anforderungen zugeschnittenes Angebot unserer Services und Produkte zu erhalten. Ganz gleich, ob Sie Penetration Testing, unser HydraVision Security Test Environment oder Automotive Scapy Consulting benötigen, wir sind hier, um Ihnen zu helfen.