Cryptography Reference
In-Depth Information
erzielt. Dieses Beispiel klingt ziemlich plakativ aber wir haben in der Industrie
schon mehrfach erlebt, dass genau solche Szenarien real sind.
Schaden durch fehlende Security
Beispiel:
Freischaltung von Karten in einem Navigationssystem
Anzahl Geräte
100.000
Preis pro Freischaltung
2 EURO
Ø Freischaltungen pro User und Jahr
5
Ø Laufzeit des Gerätes
5 Jahre
Wäre es für ein Angreifer möglich, 10% der Kunden zu erreichen, hat
der Hersteller ein Schaden von
500.000 EURO
Würde er diesen 10% der Kunden die Freischaltungen zum halben
Preis verkaufen, würde er einen Umsatz von 250.000 EURO erzielen
15/02/2011
15
escrypt GmbH - Embedded Security
Bild 14
Wie lässt sich das verhindern? Beispielsweise müssen Sie sich für die Freischaltung
ein Gesamtsystem überlegen, welches in sich geschlossen diese Sicherheit bietet
und nicht überlistet werden kann. Sie müssen sich überlegen, dass Sie den Prozess
der Lizenzanforderung, Zahlung, Lizenzgenerierung und Aktivierung absichern,
das heißt das Ganze umfasst irgendwo die eingebettete Komponente, die Sie ab-
sichern müssen, aber auch den gesamten Prozess. Wie kommt man überhaupt von
der Bezahlung bis zur Freischaltung, wie sieht die ganze Datenkommunikation
aus? Das muss man sich natürlich überlegen und das ist sicherlich sehr stark
abhängig von den Prozessen des Herstellers, aber auch von den vorhandenen
Funktionalitäten eines Gerätes. Haben die Geräte von sich aus keine Security
verbaut, müssen Sie sich überlegen, ob Sie die Security nicht vielleicht irgendwo
von den eingebetteten Geräten ein Stück weit ins Backend verlagern und dort
beispielsweise über Plausibilitätskontrollen auch noch Missbrauch zumindest
erkennen und dann entsprechend reagieren können.
Search WWH ::
Custom Search