Dieser Katalog bezieht sich auf Test-Module, welche speziell für die Firmware von OT-Geräten angewendet werden. Dies umfasst die Eigenschaften der Firmware-Images, aber auch die Prozesse von der Installation der Firmware, Updates der Firmware und der Betrieb der Firmware.
| Test-Modul | Modulbeschreibung | Test-Durchführung | Externer Angriff möglich? | Aggressivität | Externe Quellen |
|---|---|---|---|---|---|
| F.1 - unverschlüsselte Firmware-Images | Es können unverschlüsselte Firmware-Images erlangt werden. Diese können die Manipulation des gesamten Systems ermöglichen. Durch den Zugriff können sensible Informationen, wie zum Beispiel Passwörter ausgelesen werden. Gewonnene Informationen können unter Umständen weitere Angriffe ermöglichen. | Es wird überprüft, ob Informationen aus einem vorliegenden Firmware-Image extrahiert werden können. Dafür können Tools wie firmwalker, binwalk, hexdump und strings verwendet werden. Unter Umständen ist es möglich, den gesamten Inhalt der Firmware zu extrahieren. |
Nein | Passiv | OWASP-FSTM Stage 3 & 4 |
| F.2 - fehlende Firmware-Verifikation | Bei der Installation von Firmware-Images wird die Integrität nicht ausreichend überprüft. Dies kann die Manipulation des gesamten Systems durch Installation von veränderten Firmware-Images ermöglichen. Abhängig von der Quelle der Firmware-Updates können Angriffe auch extern durchgeführt werden, wenn ein Angreifer zum Beispiel Zugriff auf den Update-Server erlangt. | Es werden gezielte Änderungen an einem Firmware-Image vorgenommen und geprüft, ob die Installation auf einem Gerät möglich ist. Zusätzlich kann der Netzwerk-Verkehr untersucht werden, um die Kommunikation mit Update-Servern festzustellen. | Ja | Abwägend | OAWSP-FSTM Firmware Integrity Testing When Firmware Modifications Attack: A Case Study of Embedded Exploitation |
| F.3 - veraltete Software | Die Firmware beinhaltet veraltete Softwareversionen, die unter Umständen für bekannte Sicherheitslücken anfällig ist. Durch die vorhandenen Sicherheitslücken kann ein externer Angriff ermöglicht werden. | Die Existenz von bekannten Schwachstellen kann anhand der verwendeten Softwareversionen festgestellt werden. Dafür können verschiedene Quellen genutzt werden. Durch Extrahieren von Firmware-Images können genaue Informationen über die verwendeten Softwareversionen erlangt werden. Wird Open-Source-Software verwendet, können Versionsinformationen über Lizenzen oder veröffentlichten Source-Code bestimmt werden. | Ja | Passiv | Automatic Vulnerability Detection in Embedded Devices and Firmware: Survey and Layered Taxonomies |
| F.4 - Benutzung von Standardzugangsdaten | Die Firmware enthält Standardzugangsdaten, welche bei der Installation oder Inbetriebnahme nicht geändert oder gelöscht werden. Es kann vorkommen, dass die Existenz von Standardzugangsdaten dem Betreiber nicht bewusst ist. | Standardzugangsdaten können bei der Untersuchung oder Extraktion des Firmware-Images festgestellt werden. Zusätzlich können Login-Möglichkeiten auf dem Gerät oder über das Netzwerk auf bekannte Zugangsdaten getestet werden. | Ja | Vorsichtig | Detection of Plaintext Login Information in Firmware UFO - Hidden Backdoor Discovery and Security Verification in IoT Device Firmware |
| F.5 - fehlender Downgrade-Schutz | Es wird kein ausreichender Schutz vor der Installation von veralteten Firmware-Images implementiert. Durch physikalischen Zugriff auf das Gerät oder Manipulation des Update-Servers könnte es einem Angreifer möglich sein, veraltete Firmware-Images mit bekannten Sicherheitslücken zu installieren. | Es wird getestet, ob veraltete Firmware-Images auf dem Gerät installiert werden können. Wenn das Gerät einen Update-Server nutzt, muss um diesen Test durchzuführen, unter Umständen die Netzwerk-Kommunikation manipuliert werden. | Ja | Abwägend | Shedding too much Light on a Microcontroller’s Firmware Protection |
| F.6 - unsicherer Update-Prozess | Eine unsichere Implementierung des Update-Prozesses ermöglicht einem Angreifer, Schadcode auf dem Gerät auszuführen. Durch die Verwendung von Update-Servern könnte dieser Angriff auch extern durchgeführt werden. | Wurde in einem vorherigen Test bereits ein Firmware-Image extrahiert, werden Programmdateien der Firmware, welche im Zusammenhang mit dem Update-Prozess stehen, untersucht. Dabei sollte der Fokus besonders auf Funktionen gelegt werden, welche Inhalte aus dem Update-Image nicht ausreichend prüfen. Zum Beispiel könnten Programmdateien aus dem Update-Image ungeprüft ausgeführt werden. Auch Software-Versionen der für den Update-Prozess verwendeten Programme können relevant sein. | Ja | Aggressiv | Mouse Trap: Exploiting Firmware Updates in USB Peripherals |
| F.7 - Debug-Funktionalität | Die Firmware enthält Debug-Funktionalitäten, welche einem Angreifer sensible Informationen über das System liefern. Unter Umständen können durch die Debug-Funktionen Manipulationen am Gerät vorgenommen werden oder vollständiger Zugriff auf das Gerät ermöglicht werden. | Das Firmware-Image wird gezielt auf Debug-Funktionalitäten untersucht. Zusätzlich kann das Gerät während des Betriebs auf offene bekannte Debug-Ports untersucht werden, welche ein Hinweis auf die Existenz von Debug-Funktionalitäten geben können. | Ja | Vorsichtig | An Overview of Firmware Engineering |
- firmwalker: Firmwalker ist ein Bash-Skript zum Durchsuchen des extrahierten oder gemounteten Firmware-Dateisystems. Es untersucht das Dateisystem nach sensiblen Daten wie z.B.
etc/shadow,etc/passwd, SSL Private-Keys und einiges mehr. - binwalk: Binwalk ist ein schnelles und einfach zu bedienendes Tool für die Analyse, das Reverse Engineering und die Extraktion von Firmware-Images.
- hexdump: Hexdump ist ein Filter, der die angegebenen Dateien bzw. die Standardeingabe, in einem vom Benutzer festgelegten Format anzeigt.
- strings: Für jede angegebene Datei gibt
stringsdie druckbaren Zeichenfolgen aus, die mindestens 4 Zeichen lang sind und auf die ein nicht druckbares Zeichen folgt.
- OWASP-FSTM: OWASP-FSTM besteht aus neun Stufen, die darauf zugeschnitten sind, Sicherheitsforschern, Softwareentwicklern, Bastlern und Fachleuten für Informationssicherheit die Durchführung von Sicherheitsbewertungen von Firmware zu ermöglichen.