Die Security Guideword Methode (SGM)duju0001/Evaluation_SGM/Experiment... · [IEC 61882-2003,...

Die Security Guideword Methode (SGM)

Identifikation von Security Bedrohungen in der Safety Analyse

Ein Experiment

Was möchte ich erreichen?

Security Probleme in der Safety Analyse finden

2

Gemeinsames Verständnis

• Safety: Ist die Betriebssicherheit -> Fehler kommt von Innen (z. B. Prozessor fällt aus)

– Schutz der Umgebung vor dem Objekt

– Hier spricht man von Hazard (Gefährdung)

– Im Fahrzeug: Funktionale Sicherheit nach ISO 26262

• Security: Ist die Angriffssicherheit -> Fehler kommt von Außen (z. B. Angreifer löst eine Funktion aus )

– Schutz des Objektes vor der Umgebung

– Hier spricht man von Threat (Bedrohung)

– Im Fahrzeug: Kein Standard vorhanden!

3

Bitte füllt jetzt den Fragenbogen bis Abschnitt II aus.

Die Antworten bleiben natürlich anonym!

6

FUNKTIONALE-SICHERHEIT

Methodik Safety Analyse (HAZOP)

8

3. Situation

classification

2. Instantiate

fault-type

guide words

1. Provide an

item definition

4. Identification

of hazardous

situations

5. Hazard

classification

Context diagram of the

item under analysis

Set of fault-type

guide words

Situation database Hazard analysis

profile

Classification

based on ISO

26262

Beispiel Safety Analyse

9

Elektronisches Lenkradschloss (ESCL)

-> verhindert elektromechanisch, dass das Lenkrad rotiert

werden kann.

R1: Das Lenkrad soll verriegelt werden, wenn der Fahrer

das Fahrzeug sperren möchte (Wegfahrsperre aktivieren).

R2: Das Lenkrad muss entriegelt werden, wenn der Fahrer

fahren möchte (Wegfahrsperre deaktivieren).

[HTTP://WWW.LOCKSMITH.NET/PORTALS/12/CONTENTIMA

GES/STEERING%20WHEEL%20LOCK.JPG]

Schritt 1

10

1. Provide an

item definition

Item diagram with

information flow of the

item under analysis

Verfügbare Informationen:

• Fahrzeuggeschwindigkeit -> V!{Speed}

• Signal für Aktor (schließen/öffnen) -> ESCL!{lock, unlock}

• Zustand des Zündschlosses -> D!{PowerButtonPressed}

Kontext Diagramm

[BECKERS, Kristian ; HEISEL, Maritta ;FRESE, Thomas ; HATEBUR, Denis: Astructured and model-basedhazard analysis and riskassessment method forautomotive systems. In: 2013IEEE 24th InternationalSymposium on Software ReliabilityEngineering (ISSRE), 2013, S. 238–247]

Fkt: Lenkrad verriegeln

Fkt: Lenkrad entriegeln

Schritt 2

11

2. Instantiate fault-

type guidewords

Set of fault-type and

security guidewords Einsatz von Safety Guidewords: no, unintended, early, late, more,

less, inverted, intermittent, after, other than, part of [IEC 61882-2003]

Wenn möglich, die Menge der Safety Guidewords durch

Argumentation reduzieren. Zum Beispiel können die Wörter early,

late und after durch das Wort no ersetzt werden, falls es sich um

eine zeitkritische Funktion handelt.

F-ID Fehler/Störung (Fault)

F 1 Ungewolltes verriegeln (unintended lock)

F 2 Kein verriegeln (no lock)

… …

Schritt 3

12

3. Situation

classification

Situation database

OS-ID Betriebszustände (operational situations)

OS 1 Fahrzeug ist geparkt (0 km/h).

OS 2 Fahrzeug bewegt sich auf einer Autobahn bei Geschwindigkeiten ≥ 100

km/h.

OS 3 Fahrzeug biegt bei erhöhter Geschwindigkeit (≥ 100 km/h) ab.

OS 4 Fahrzeug bewegt sich im Stadtverkehr bei Geschwindigkeiten

≤ 50 km/h.

… …

Auffinden potentieller Betriebszustände die das Fahrzeug erleben

wird. (Verwendung einer Datenbank).

Schritt 4

13

4. Identification of

hazardous situations

Hazard analysis profile

H-ID F-ID OS-ID Gefährliche Situation (Hazardous situation )

H 1 F 1 OS 3 Verlust der Lenkkontrolle während einer Autobahnfahrt

H 2 F 1 OS 4 Verlust der Lenkkontrolle während einer Kurvenfahrt

H 3 F 2 OS 1 Lenkrad ist nicht blockiert wenn das Fahrzeug

abgestellt ist

F-ID Fault

F 1 Ungewolltes Verriegeln

F 2 Kein Verriegeln

… …

Unter Anwendung der lokalisierten Fehler und den

gegebenen Betriebszuständen werden potentiell gefährliche

Situationen identifiziert.

Schritt 5

14

5. Hazard

classification

Classification based

on ISO 26262

H-ID Hazardous situation S E C

H 1 Verlust der Lenkkontrolle während einer

Autobahnfahrt.

3 4 3


Kurvenfahrt.

3 3 3

H 3 Lenkrad ist nicht blockiert wenn das Fahrzeug

geparkt ist.

Q

M

Q

M

Q

M

Jede gefährliche Situation wird anhand von drei Werten: Schwere der

Situation (S), Auftreten der Betriebssituation (E) und der

Kontrollierbarkeit (C) bewertet. Die drei Werte werden dann zum ASIL

verrechnet.

SECURITY GUIDEWOD METHODE (SGM)

15

Safety guidewords– kein/ nicht (no)

– zu früh (early)

– zu spät (late)

– zu wenig (less)

– invertiert / gegenteilig (inverted)

– sporadisch (intermittent)

– …

Security guidewords– manipulieren (manipulation)

– unterbrechen (disconnection)

– verzögern (delay)

– löschen (deletion)

– stoppen (stopping)

– unterbinden/nicht verfügbar machen (denial)

– auslösen (triggering)

– einfügen (insertion)

– neustarten/zurücksetzen (reset)

– …..

16

Die Security Guidewords

Guidewords basieren auf der Hazard And Operability (HAZOP) Methode, für eine systematische

Identifizierung von Safety (& Security) relevanten Informationen

[IEC 61882-2003, Security assessments

of safety critical systems using HAZOPs]

Anwendung der Security Guidewords

Bremssystem (EBS)

Abstandshaltesystem (ACC)

17

Fehlerkann ausgelöst

werden durch

der Funktion oder

dem Signal

für die

Komponente

auf dem Bussystem bzw. an

der Komponente

Brems-

anforderungEBS

Ungewolltes

bremsenmanipulieren CAN

EBS

CAN

Aktor

ACC

Anwendung der Security Guidewords

18

Fehlerkann ausgelöst

werden durch

der Funktion oder

dem Signal

für die

Komponente

auf dem Bussystem bzw.

an der Komponente

Ungewolltes Bremsen manipulieren Bremsanforderung EBS CAN

Ungewolltes Bremsen …. …. …. ….

Hazards die gefunden

wurden

Abgeleitete

Bedrohungen

(Threat)

Optionale Informationen

über Eintrittspunkte

EINGLIEDERUNG DER METHODIK IN DIE

ISO 26262

19

Methodik für Safety und Security Analyse

20

3. Situation

classification

2. Instantiate

fault-type

guidewords

1. Provide an

item definition

4. Identification

of hazardous

situations

5. Instantiate

security

guidewords and

identify threats

6. Hazard

classification

7. Threat

classification

using severity

values of

related hazards

Context diagram

with data flow of the

item under analysis

Set of fault-type

guidewords

Situation database

(normal and

diagnostic situations)

Hazard analysis

profile

Threat analysis

template

Classification

based on ISO

26262

Risk assessment

template for

found threats

Beispiel

21

Elektronisches Lenkradschloss (ESCL)

-> verhindert elektromechanisch, dass das Lenkrad rotiert

werden kann.




fahren möchte (Wegfahrsperre deaktivieren).



Schritt 5

22

5. Instantiate

security guide words

and identify threats

Threat analysis template

Manipulieren, unterbrechen, verzögern, löschen, stoppen, nicht-

verfügbar machen, auslösen, einfügen, neustarten/zurücksetztenbasieren auf [Winther.2001]

Für jeden Fehler werden die Security Guidewords angewendet. Unter Verwendung

der Informationen des Kontext Diagrammes.

T-ID F-ID Beschreibung der Bedrohung (Threat description)

T 1 F 1 Ungewolltes Verriegeln durch Auslösen der Funktion Verriegeln des

LockActuator

T 2 F 1 …

T 3 F 1 …

T 4 F 1 …

Schritt 6

23

6. Hazard

classification

Classification based

on ISO 26262

H-ID Hazardous situation S E C


Autobahnfahrt.

3 4 3


Kurvenfahrt.

3 3 3

H 3 Lenkrad ist nicht blockiert wenn das Fahrzeug

geparkt ist.

Q

M

Q

M

Q

M

Jede gefährliche Situation wird anhand von drei Werten: Schwere (S),

Auftreten der Betriebssituation (E) und der Kontrollierbarkeit (C)

bewertet. Die drei Werte werden dann zum ASIL verrechnet.

Schritt 7

24

7. Threat classification

using severity values of

related hazards

Risk assessment template

for found threatsÜbernahme des Wertes Schweregrad (S)

• Maximalwert aller zugehörigen Hazardous Situations -> Annahme

Angriff wird stets in der gefährlichsten Betriebssituation ausgelöst

T-ID F-ID S Beschreibung der Bedrohung (Threat description)

T 1 F 1 3Ungewolltes verriegeln durch Auslösen der Funktion

Verriegeln des ESCL

T 2 F 1 …

T 3 F 1 …

T 4 F 1 …

EXPERIMENT

25

Eure Aufgabe

26

Bedrohungsanalyse für das elektronisches Lenkradschloss (ESCL)…..

-> verhindert elektromechanisch dass das Lenkrad rotiert

werden kann.




fahren möchte (Wegfahrsperre deaktivieren)..



Arbeitsblatt

27

Threat-ID Fehler-IDkann entstehen

durch (SG)Signal/Funktion

für die Komponente/

auf der Komponente

an der

Schnittstelle

0 1 manipulieren ESCL!{lock} LockActuator CAN 2

Fehler: 1 = Ungewolltes Verriegeln; 2 = Kein Verriegeln

Security Guidewords: Manipulieren, unterbrechen, verzögern, löschen, stoppen, nicht verfügbar machen, auslösen, einfügen,

zurücksetzen.

System zur Analyse

28

Verfügbare Informationen:

• Fahrzeuggeschwindigkeit -> V!{Speed}

• Signal für Aktor (schließen/öffnen) -> ESCL!{lock, unlock}

• Zustand des Zündschlosses -> D!{PowerButtonPressed}

Kontext Diagramm

CAN 1

CAN 3

CAN 2

Anschließende Schritte

29

8. Security in depth analysis

of vehicle’s network

(Sub-) Architecture of the

related vehicle

Im Anschluss übernimmt das Security Team dankend eure

gefundenen Bedrohungen und startet eine Analyse des

Fahrzeugnetzes um Angriffspfade zu finden.

T 2

T 1,4 T 3

T 2.1

Information

PowerButtonPressed is

converted to information

EngineOn/EngineOff

?

??

Security in-depth analysis

Diskussion

Gibt es Fragen bzw. was kann ich besser

machen?

31

Herzlichen Dank für Eure Zeit!

Ihr seid nun ein Teil meiner Forschung!!!!

Schritt 7

32

7. Threat classification

using severity values of

related hazards

Risk assessment template for

found threats T1

T2

T3

F1

H1

H2

H3

Ungewolltes verriegeln

Severity

Die Security Guideword Methode (SGM)duju0001/Evaluation_SGM/Experiment... · [IEC 61882-2003,...

Documents

Transcript of Die Security Guideword Methode (SGM)duju0001/Evaluation_SGM/Experiment... · [IEC 61882-2003,...