ISO/SAE 21434 Compliance: Effiziente (Vehicle)-Penetration-Tests sind das eine, regulatorische Vorgaben, wie ISO/SAE 21434 und UN R155 das andere? In diesem Modul erfahren Sie, wie Penetrationstests gemäß der regulatorischen Vorgaben eingesteuert werden. Sie lernen, wie Sie Teststrategien entwickeln, die den Anforderungen der Automobilstandards entsprechen und verstehen, welche Rolle Testing einnehmen sollte. Dabei erfahren Sie, die ordnungsgemäße Berücksichtigung von Cybersicherheit in der Entwicklung (Cybersecurity Goals, Cybersecurity Controls …) kritisch auf den Prüfstand zu stellen.

Grundlagen der Kryptografie in der Fahrzeugentwicklung: Mit diesem Modul frischen wir Ihr Know-How auf, wenn es um die Anwendung von Kryptografie, Verschlüsselungs-Methodiken, Umgang mit Keys (u.a.) in der Praxis geht. Bezogen auf die Entwicklungsarbeit im Automotive-Umfeld erarbeiten wir gemeinsam anhand häufiger Fehler in der Automotive-Praxis wertvolle Insights über Fallstricke und Hürden in der Implementierung/Konfiguration von Kryptografie. Nicht zuletzt mit Hilfe praktischer Übungen. Dieses Kryptografie-Wissens-Update wird Ihnen für die nachfolgenden Module des Vehicle Hacking Trainings wertvolle Mehrwerte bieten.

Kompromittierung von Diagnose-Tools und UDS-Sicherheitsanalyse: In diesem Modul steigen Sie ein in die Funktionsweise der Unified Diagnostic Services (kurz: UDS). Erfahren Sie Schritt für Schritt, inwieweit die in der Automotive-Elektronik weit verbreiteten UDS effektiv angreifbar sind. Das Gelernte heben wir in diesem Modul direkt von der Theorie in die Praxis: Mit einer adaptiven Implementation des UDS-Protokolls auf einer Mock-ECU haben Sie die Möglichkeit, potenzielle Angriffsvektoren eigenständig zu erarbeiten und realitätsnahe Erfahrungen zu sammeln.

Manipulation des CAN-Bussystems: Für die Automobilindustrie ist der Controller-Area-Network-Bus (kurz: CAN-Bus) weiterhin das zentrale Protokoll in der Verbindung von Steuergeräten im Fahrzeug. In diesem Modul lernen Sie die Funktionsweisen des CAN-Bus im technischen Detail kennen. Anschließend erarbeiten wir systematisch potenzielle Schwachstellen und damit verbundene Angriffstechniken (wie Spoofing, Tampering, Error frame-Propagation und CAN-Injektion) und zeigen auf, welche Konsequenzen und Risiken entstehen können.

Manipulation von Hardware-Kommunikation: In diesem Modul gehen wir noch einen Schritt tiefer und führen Sie ein in die Ebene der Hardware-Kommunikationsschnittstellen, wie SPI, I2C und UART. Dabei eignen Sie sich nicht nur umfangreiches Grundlagenwissen über die jeweiligen Informations- und Kommunikationsflüsse an, sondern lernen jeweils Praktiken der Schwachstellen-Ausnutzung/Exploitation kennen. Vom Sniffing- über Injektions- und Man-in-the-Middle-Angriffe lernen Sie die Klaviatur der etablierten Angriffstechniken auf Hardware-Kommunikation kennen.

Manipulation von On-chip-Debugging-Schnittstellen: Mit diesem Modul lernen Sie die Funktionsweisen von On-Chip-Debugging und dazugehörige Schnittstellen wie JTAG, SWD (und andere) kennen. Spannungsgeladen, aber (hoffentlich) nicht so, dass es uns um die Ohren fliegt, erfahren Sie, wie On-Chip-Debugging als Schwachstelle für Angriffe und Kompromittierungen in Automobilsystemen dienen kann. Wir thematisieren, wie man verschiedene Pins identifiziert, mit der jeweiligen Debugging-Schnittstelle kommuniziert und natürlich, wie man diese manipuliert, sollte das System den Zugang verwehren.

Speicher-Manipulation über Hardware-Schnittstellen: Steigen Sie mit uns in diesem Modul in die Architektur von elektronischen Steuergeräten (Electronical Control Units, kurz ECU) tiefer ein. Lernen Sie, wie Sie Informations- und Kommunikationsflüsse gezielt manipulieren können. Dabei entdecken Sie die Möglichkeiten der Extrahierung und der (manipulativen) Injektion von Informationen in die Speichereinheit. Zusammen mit den vorangegangenen Modulen HW-Kommunikation und Debugging-Schnittstellen heben Sie Ihr Wissen auf ein neues Level.

Angriffstechnik „Fault Injection“: Wie Sie unterschiedlichste Sicherheitsmechanismen mittels der effektiven Technik der Fehlerinjektion (Fault Injection) umgehen können, lernen Sie in diesem Modul. Sie werden überrascht sein, wie relativ einfach es gelingen kann, die mühevoll implementierte Security zu überwinden, sofern man ausreichend (physischen) Zugang und die nötige Geduld mitbringt. Wir führen Sie in die facettenreichen Methoden und unterschiedlichen Umsetzungen der Fault-Injection-Technik ein. Sie erlangen grundlegende Kenntnisse darüber, wie Fault-Injection aufgesetzt und realisiert werden kann, bzw. welche Risiken sich daraus ergeben.