Black Hat USA 2025: „evilDoggie“, das argentinische Gerät, das die Sicherheit moderner Autos testet
Zwei argentinische Hacker präsentierten am Donnerstag, dem zweiten Tag der Black Hat , einer der weltweit größten Cybersicherheitskonferenzen, „evilDoggie“, ein Gerät zum Testen der Sicherheit von Computersystemen in Autos. Octavio Gianatempo und Gastón Aznarez von Faraday Security demonstrierten, wie sich mit diesem Tool Sicherheitslücken in einigen Automarken identifizieren lassen.
Der Name des Tools ist ein Wortspiel mit dem „ CAN “-Protokoll (kurz für Controller Area Network), einem internen Kommunikationsstandard, der in modernen Autos verwendet wird, um die Kommunikation verschiedener interner Computer (z. B. denen, die den Motor oder die Bremsen steuern) untereinander zu ermöglichen.
Während der Präsentation im „Arsenal“ der Konferenz, einem Raum, in dem Programme und verschiedene Hardwareteile ausgestellt sind, demonstrierten die Forscher die Bedienung des Tools. Es verfügt sogar über einen Schalter, mit dem man von der Überwachungsversion (Doggie) auf die „böse“ Version wechseln kann, die für Angriffe auf dieses Protokoll verwendet wird . Sie veranstalteten außerdem einen Workshop, in dem die Teilnehmer die Bedienung des Tools erlernen konnten.
Die Forschung fällt unter den Begriff „Car Hacking“, einem der beliebtesten Themen auf Cybersicherheitskonferenzen. „Car Hacking konzentriert sich auf bestehendes Wissen zur Cybersicherheit, wendet es aber auf die von Autos genutzten Netzwerke an. In den letzten Jahren sind Fahrzeuge ‚intelligenter‘ geworden und koexistieren mit elektronischen Systemen. Um Elon Musk zu paraphrasieren: Sie sind ‚Computer auf Rädern‘“, erklärte Faraday Security gegenüber diesem Medium.
„Alle diese Netzwerke sind proprietär; bei ihrer Entwicklung wurde nicht auf Transparenz geachtet. Hier kommt die Rolle der Sicherheitsexperten ins Spiel: Sie müssen verstehen, wie diese Technologien funktionieren und welche Risiken sie bergen “, fügten sie hinzu.
Der „Gut/Böse“-Schalter für den Angriffsmodus. Foto: Juan Brodersen
Die Forschung des Unternehmens begann als Erkundung der Fahrzeugsicherheit . „Als wir mit unserer Forschung begannen, wurde uns klar, dass wir ein Tool zur Kommunikation mit den Computern des Autos benötigen würden. Wir stellten jedoch fest, dass es in Argentinien keine gute offene Option gab. Gastón hatte die Idee, dieses Tool mit einem modularen Design für Firmware und Hardware zu entwickeln, sodass jeder sein eigenes Tool mit den verfügbaren Komponenten bauen und sogar weitere Versionen entwickeln kann “, sagte Octavio Gianatiempo, ein Forscher des Unternehmens, gegenüber Clarín .
Gastón Aznarez erklärt, wie sich das Projekt in Richtung offensiver Sicherheit verlagerte, einem Zweig der Cybersicherheit, der sich darauf konzentriert, Systeme anzugreifen, um Schwachstellen zu finden und diese schließlich zu beheben. „Das erste Tool war Doggie, aber die Idee wuchs, und wir fügten offensive Fähigkeiten hinzu, was schließlich zu evilDoggie führte. Das Tool konzentriert sich auf die Erforschung der Möglichkeit, fortgeschrittene Angriffe auf die CAN-Kommunikation sowohl auf Protokoll- als auch auf physikalischer Ebene durchzuführen und den Schaltkreis auf elektrischer Ebene zu stören“, erklärt er.
„Mithilfe von Doggie-Funktionen und EvilDoggie-Angriffen kann die Kommunikation zwischen den elektronischen Steuergeräten eines Autos gestört und unerwartete Zustände herbeigeführt werden. Heutzutage sind Autos mit mehreren Computern ausgestattet, und fast alle Funktionen werden von ihnen über CAN-Kommunikation gesteuert. Obwohl moderne Autos Sicherheitsmaßnahmen in diese Kommunikation integrieren, gibt es bekannte Fälle, in denen diese Art von Angriffen echte Auswirkungen haben kann “, fügte der Hacker hinzu.
„evilDoggie“ ist nicht das erste Gerät, mit dem sich die Sicherheit eines Autos testen lässt. Tatsächlich wurde der „Flipper Zero “, bekannt als das „Schweizer Taschenmesser des Hackens“, in mehreren viralen Videos gezeigt, die zeigen, wie man eine Autotür ohne Schlüssel öffnet. Das liegt daran, dass das Gerät mit anderen Funkprotokollen arbeitet als die von „evilDoggie“ angegriffenen.
„Die Kommunikation zwischen den Fahrzeugteilen, beispielsweise zwischen Motor und Rädern, erfolgt über Kabel. Um evilDoggie nutzen zu können, muss man daher zunächst Zugriff auf das Auto haben: Im Auto angekommen, wollen wir sehen, wie sicher dieses Protokoll ist und wie es verbessert werden könnte “, sagt Faraday.
Octavio Gianatiempo und Gastón Aznarez, Faraday-Sicherheitsforscher bei Black Hat. Foto: Juan Brodersen
Diese argentinische Entwicklung bietet eine Open-Source -Version (der gesamte Konstruktions- und Programmierprozess ist einsehbar) und eine niedrige Betriebsebene, d. h. die direkte Interaktion mit der Hardware oder den Kommunikationsprotokollen des Fahrzeugs. Anstatt vorgefertigte Programme oder Schnittstellen zu verwenden, ermöglicht evilDoggie den Zugriff auf Ebenen, die näher an den in modernen Autos integrierten Chips liegen , wie beispielsweise das CAN-Protokoll.
„Cybersicherheit beschränkt sich nicht nur auf Computer und Server, sondern betrifft auch die Technologie, die wir täglich nutzen: Autos sind da keine Ausnahme “, erklärte das Unternehmen.
Clarín fragte nach den Automodellen, die während der Tests angegriffen wurden, doch Faraday lehnte es ab, Einzelheiten zu nennen.
Die Ausstellung im Arsenal weckte bei mehreren Besuchern das Interesse, das Werkzeug zu erwerben.
Diego Staino und Federico Pacheco von BASE4 bei der Präsentation von BUDA. Foto: Juan Brodersen
Ebenfalls im Arsenal präsentierten Federico Pacheco und Diego Staino, Forscher des argentinischen Unternehmens BASE4, ein Tool im Bereich der sogenannten „Cyber-Täuschung“. Dabei handelt es sich um virtuelle Fallen , die Analysten in Netzwerken platzieren, um Hacker zu täuschen, die in ein System eindringen und Informationen daraus extrahieren möchten.
Täuschungsstrategien sind in der Bedrohungsanalyse weit verbreitet. Es handelt sich um ein gut erforschtes Gebiet offensiver Sicherheit. Auf der Ekoparty 2024 demonstrierte die lokale Forscherin Sheila Berta , wie ein bestimmter Systemtyp, ein sogenannter „ Honeypot “, auf öffentlichen Systemen eingesetzt wurde.
„Das Problem mit herkömmlichen Honeypot-Fallen besteht darin, dass raffiniertere Angreifer sie manchmal erkennen, weil sie zu sauber oder leer aussehen oder weil sie keine Aktivität aufweisen. BUDA ist ein Tool, das diese Fallen deutlich glaubwürdiger macht“, erklärte Pacheco gegenüber dieser Zeitung. BUDA steht für Behavioral User-driven Deceptive Activities Framework.
„Dazu werden fiktive ‚Benutzerprofile‘ generiert, die auf dem normalen Verhalten des Netzwerks und der Systeme selbst basieren. Diese Profile führen dann Dinge aus, die ein normaler Mitarbeiter tun würde, wie sich in ein System einloggen , Dokumente öffnen, E-Mails senden oder im Internet surfen“, fährt der Spezialist fort.
Während des Arsenal-Vortrags betonten die Forscher, wie wichtig es sei, eine schlüssige „Erzählung“ für Täuschungen zu schaffen, damit Angreifer nicht merken, dass sie es mit einem Honeypot zu tun haben.
„Das Tool ermöglicht die Orchestrierung von Profilen, sodass diese autonom agieren und typischen Verhaltensmustern folgen. Durch die Simulation dieser Verhaltensweisen wird die Falle viel realistischer und Angreifer haben mehr Grund zu der Annahme, dass sie es mit einem System mit legitimen Benutzern zu tun haben. Dies führt zu mehr Zeitverlust und erschwert die Unterscheidung zwischen Echtheit und Fälschung “, fügte Diego Staino hinzu.
„Da fiktive Benutzer auf reale oder gefälschte Systeme und Anlagen einwirken können, ermöglicht das Tool zudem die Simulation von Verhalten, das dem eines Angreifers oder böswilligen Akteurs ähnelt . Auf diese Weise können Abwehrmaßnahmen für Netzwerke und Systeme getestet werden“, so der Spezialist abschließend.
Die Arbeit wurde diese Woche vor wissenschaftlicher Prüfung in einem Whitepaper auf der argentinischen Konferenz für Informatik in der Operationsforschung vorgestellt.
Sebastián García und Verónica Valeros, argentinische Cybersicherheitsforscher an der Tschechischen Technischen Universität in Prag (CTU)
Ein weiterer wichtiger Bereich von Black Hat sind die Schulungen, die mehrere Tage vor den Vorträgen und Konferenzen beginnen. Sie sind nicht öffentlich zugänglich, sondern dienen als Intensivkurse für verschiedene Spezialisten und Branchenmitarbeiter.
Eines davon wurde von Sebastián García und Verónica Valeros, argentinischen Forschern an der Tschechischen Technischen Universität in Prag (CTU), unterrichtet. Es handelte sich um „ein fortgeschrittenes Trainingsprogramm, um zu lernen , wie man Malware-(Viren-)Verkehr erkennt und ihn in kritischen Situationen von legitimem Verkehr unterscheidet “, erklärten sie.
„Es waren zwei sehr praxisorientierte und intensive Tage mit realen Angriffen. Viele Übungen konzentrierten sich auf das Erlernen von versteckter Malware, Botnetzen und Spyware, den Umgang mit großen Datenmengen und den Einsatz künstlicher Intelligenz zur Verbesserung der Bedrohungserkennung“, fügten sie hinzu.
Nicole Perlroth bei Black Hat USA 2025. Foto: Black Hat
Black Hat ist eine der einflussreichsten Cybersicherheitskonferenzen der Welt. Sie wurde 1997 von Jeff Moss gegründet, der in der Hackerwelt als „The Dark Tangent“ bekannt ist. Die Hauptkonferenz findet in den USA statt, es gibt aber auch Ausgaben in Asien und Europa.
Zur Eröffnung der Ausgabe 2025 hielt Moss eine politische Ansprache, und Mikko Hypponen, ein bekannter finnischer Hacker , gab seinen Rückzug aus der Hackerbranche bekannt. Am zweiten Tag rief die ehemalige New York Times- Journalistin Nicole Perlroth dazu auf, über die Herausforderungen nachzudenken, die künstliche Intelligenz in der Bedrohungslandschaft darstellt.
„ Wir erleben gerade eine wahre Blütezeit der KI. Wir erreichen ein unglaubliches Maß an Effizienz. Und was die Frage angeht, ob KI eher der Verteidigung oder dem Angriff zugutekommt, deuten die ersten Anzeichen darauf hin, dass der Angriff im Vorteil sein wird. Aber wir können das noch ändern. Unser Zeitfenster ist klein, aber es schließt sich sehr schnell. Und sobald KI in unsere Infrastruktur, unsere Entscheidungsfindung und unsere Verteidigung eingebettet ist, werden sich die Kosten eines Ausfalls vervielfachen . Sicherheit durch Design war noch nie so dringend “, sagte Perlroth.
Die Konferenz bringt Experten aus aller Welt zusammen, um Schwachstellen, globale Bedrohungen, Abwehrtechniken und bahnbrechende Erkenntnisse im Bereich der Cybersicherheit zu diskutieren. Im Gegensatz zur DEF CON, die 1993 gegründet wurde und einen eher informellen Charakter pflegt, richtet sich Black Hat an die Unternehmenswelt.
Die Konferenz dient als Schaufenster für die Welt der Cybersicherheit, aber auch als Labor für die aktuelle Bedrohungslandschaft.
Clarin
