We use cookies to enhance your experience. By continuing to visit this site you agree to our use of cookies.

IoT / Automotive / Eingebetteter Linux-Penetrationstest

IoT / Automotive / Embedded Linux Penetration Test ist ein simulierter Angriff auf Ihr eingebettetes Gerät, der darauf abzielt, Schwachstellen in seiner Cybersicherheit aufzudecken. Das Ergebnis eines solchen Penetrationstests ist ein umfassender Bericht und eine Präsentation, die alle in Ihrer Anwendung gefundenen Sicherheitsschwachstellen zusammenfasst und eine optimale Strategie zu deren Behebung aufzeigt.

Auxilium Cyber Security hat Erfahrung im Testen einer breiten Palette von eingebetteten Geräten, die von militärischen Einheiten zum Schutz geheimer Informationen über Kfz-Hauptgeräte bis hin zu industriellen Routern reichen.

Zielsetzung

Hauptziel des Penetrationstests ist es, die Schwachstellen Ihres eingebetteten Geräts aufzuspüren und geeignete Maßnahmen zu deren Behebung vorzuschlagen.

Methodik für IoT/Automotive/Embedded Linux Penetrationstests

Wir verfügen über ein voll ausgestattetes Labor für Penetrationstests von Embedded Linux, um Penetrationstests gegen verschiedene Schnittstellen auf Embedded-Geräten durchzuführen. Wir passen die Penetrationstests immer an das jeweilige Gerät an und verwenden einige der folgenden Szenarien:

  1. Angriff auf das Gerät über WiFi
  2. Angriff auf das Gerät über Bluetooth
  3. Angriff auf das Gerät über Media Player/USB
  4. Angriff auf das Gerät über CAN/UDS
  5. Angriff auf das Gerät über eine Internetverbindung
  6. Angriff auf das Gerät über CarPlay/MirrorLink/Android Auto
  7. Angriff auf das Gerät über den Internet-Browser
  8. Angriff auf das Gerät über physische Schnittstellen + Bootloader
  9. Angriff auf das Gerät über das Update-Verfahren
  10. Angriff auf das Gerät über das Web-Administrationssystem
  11. Auffinden von Fehlkonfigurationen der lokalen Privilegien-Eskalation
  12. Auffinden veralteter/verwundbarer Komponenten (Bibliotheken usw.)
  13. Und vieles mehr, je nach Gerät

Penetrationstests von eingebetteten Linux- und Android-Systemen sind unser Spezialgebiet. Wir betreiben ein eigenes Penetrationstestlabor, das vollständig mit Labornetzteilen, USB2CAN-Adaptern und OBDII-Diagnosegeräten, USB-UART, Multimetern, gerooteten Android- und jailbroken iPhoneTelefonen, WiFi- und Bluetooth-Controllern und vielem mehr ausgestattet ist.

UNECE WP.29 und ISO/SAE-21434 (Kraftfahrzeuge)

Angemessene Cybersicherheitsmaßnahmen werden integraler Bestandteil aller Neuzulassungen von Fahrzeugen auf den Märkten gemäß UNECE WP.29 (Wirtschaftskommission der Vereinten Nationen für Europa) sein. Dazu gehören alle EU-Länder sowie das Vereinigte Königreich, die Türkei, Japan, Russland, Australien und andere.

Erstausrüster, die neue Fahrzeuge für diese Märkte zulassen, müssen nachweisen, dass ein Cybersicherheits-Managementsystem vorhanden ist, das u. a. diese Maßnahmen abdeckt:

  • Die Prozesse, mit denen überprüft wird, dass die identifizierten Risiken angemessen gehandhabt werden;
  • Die Prozesse, die zur Prüfung der Cybersicherheit eines Fahrzeugtyps verwendet werden;

Auxilium Cyber Security bietet die Durchführung von Penetrationstests für Kraftfahrzeuge gemäß der UNECE WP.29 Anlage 5 - Liste der Bedrohungen an, die der Zertifizierungsanforderung entspricht. Sie können daher die Ergebnisse unseres Projekts für Ihr Zertifizierungsziel nutzen.

Unser Ansatz für IoT / Automotive / Embedded Linux Penetrationstests

1. Unseren Kunden verstehen

Wir beginnen damit, die geschäftlichen und technischen Anforderungen unseres Kunden genau zu verstehen und Informationen über die Webanwendung selbst zu sammeln, insbesondere über ihre Funktionalität und Architektur.

2. Einigung auf ein kommerzielles Angebot

Auf der Grundlage unseres Verständnisses Ihrer Bedürfnisse und Anforderungen wird ein detailliertes kommerzielles Angebot erstellt. Dieses Angebot umfasst die Methodik der Penetrationstests, die Testszenarien, die Art der Berichterstattung über die Ergebnisse und den Umfang der Penetrationstests. Das Ergebnis dieser Phase ist ein formell vereinbartes Angebot für Penetrationstests.

3. Penetrationstests

Der Penetrationstest selbst wird streng nach unserer gemeinsamen Vereinbarung durchgeführt. Während des eigentlichen Penetrationstests deckt unser Team Schwachstellen in Ihrer Anwendung auf und zeigt Ihnen, wie diese von einem Hacker missbraucht werden können.

4. Berichterstattung

Wir liefern Ihrem Team einen detaillierten Bericht über die Penetrationstests. Dieser Bericht enthält alle Schwachstellen zusammen mit Vorschlägen, wie diese zu beseitigen sind. Bei Bedarf können wir auch eine zusammenfassende Präsentation für Ihr Management vorbereiten, damit Sie die Ergebnisse effizient an die Entscheidungsträger Ihres Unternehmens weitergeben können.

5. Unterstützung bei der Behebung von Schwachstellen

Wenn Ihr Unternehmen nur über begrenzte interne Kapazitäten verfügt, können wir Sie bei der Behebung der festgestellten Schwachstellen unterstützen.

6. Schulung Ihres Entwicklerteams

Wir können auch maßgeschneiderte Richtlinien zur sicheren Kodierung und Schulungen für Ihr Entwicklungsteam vorbereiten, die die Ergebnisse der durchgeführten Penetrationstests widerspiegeln. Dies würde Ihrem Team helfen, dieselben Sicherheitsfehler nicht noch einmal zu machen.

Warum Auxilium Cyber Security?

  1. Erfahrene Penetrationstester mit OSCP, OSCE oder CISM Zertifizierung
  2. Eigene Forschung auf dem Gebiet der Cybersicherheit
  3. Wir liefern umfassende Penetrationstestberichte mit Vorschlägen zur Behebung von Schwachstellen
  4. Wir können Sie auf Englisch, Deutsch oder Tschechisch unterstützen
  5. Wir haben seit 2015 Erfahrung mit Penetrationstests für eingebettete Geräte
  6. Wir können sichere Kodierungsrichtlinien und Schulungen anbieten, die die Ergebnisse von Penetrationstests widerspiegeln

Kontaktieren Sie uns

Über das Formular auf unserer Webseite


Unsere Forschung auf dem Gebiet der Cybersicherheit von IoT / Automobilindustrie

  1. [CVE-2021-29507] Unsachgemäße Eingabevalidierung führt zu Pufferüberlauf in dlt-daemon
  2. CANdy - automatisiertes CAN-Bus-Nachrichten-Mapping-Framework
  3. [CVE-2020-24807] Umgehung der Dateitypbeschränkung im NPM-Modul Socket.io-file
  4. [CVE-2020-15779] Pfadüberquerung im NPM-Modul Socket.io-file

Ausgewählte Referenz im Bereich der Penetrationstests von IoT / Automobilindustrie

  1. ENISA - Die Agentur der Europäischen Union für Cybersicherheit: Entwurf und Implementierung eines Computervirus für Linux-Flughafen-IP-Kameras. Der Virus wurde für die paneuropäische Sicherheitsübung Cyber Europe 2018 entwickelt.
  2. Retia: Penetrationstest einer Armeeeinheit zum Schutz von Verschlusssachen, einschließlich Webinterface. Für mehr Informationen klicken Sie hier.
  3. Deutscher Automobilzulieferer: Penetrationstest zahlreicher Linux-basierter Hauptgeräte (Smart Radio). Für mehr Informationen klicken Sie hier.
  4. Advantech B+B SmartWorx: Penetrationstest eines Linux-basierten IndustrieRouters.Für mehr Informationen klicken Sie hier.
  5. Jablotron: Penetrationstests einer Hausalarmanlage

Telefon

Germany: +49 (0) 7243 - 718 77 55
Czech Republic: +420 739 467 470

LinkedIn

www.linkedin.com

Adresse

Siemensstraße 23
76275 Ettlingen
Germany
Přístavní 1363/1
17000 Prague
Czech Republic