Ein hochsicheres System für Überwachungskameras, dessen Bilder auch vor Gericht Beweiskraft haben – das war Ziel eines Projektes des Stuttgarter Steinbeis-Transferzentrums Mobile Communications and Embedded Systems. Das Zentrum hat für ein Unternehmen aus dem Bereich der Sicherheitstechnik eine Sicherheitsanalyse für Überwachungskameras durchgeführt. Dabei mussten sowohl kryptografische Fragen als auch Aspekte der Netzwerk- und Plattformsicherheit beachtet werden.
Das analysierte System besteht aus einer Kamera mit zusätzlichem Rechner, die an kritischen Stellen installiert wird. Übliche Standorte sind beispielsweise der Eingangsbereich einer Bank oder eine als nächtlicher Drogenumschlagplatz bekannte Einkaufspassage. Zusätzlich gibt es einen Operator bei der Polizei, der über einen Rechner verfügt und die Kameradaten zu sich transportieren sowie Wartungsfunktionen durchführen kann.
Herstellerseitig wurden Passwörter für die Authentisierung des Operatorzugriffs vorgeschlagen. Auf dem Kamerarechner führt der Login des Operators zu Sessions, die keinen Root-Login erlauben. Zur Datenübertragung wird das bekannte ftp-Protokoll verwendet, zur Kamerasteuerung kommt telnet zum Einsatz. Entsprechende Server sind auf der Kameraseite installiert. Die aufgenommenen Bilddaten werden ebenfalls auf Kameraseite durch einen privaten Schlüssel digital signiert.
Die Aufgaben des Operators schließen den Transport der Daten sowie die Verwaltung auf dem Zielsystem bei der Polizei ein. Aus rechtlicher Sicht muss bei diesem System sichergestellt werden, dass die erfassten Daten nachweislich von einer authentischen Überwachungskamera stammen. Darüber hinaus darf es natürlich auch Dritten nicht möglich sein, selbst audiovisuelle Daten zu erzeugen und in das System einzuschleusen, ohne dass die Daten von der Kamera stammen. Eine Anklage vor Gericht auf Basis solcher Kameradaten wäre sonst haltlos.
Die Kameras operieren eigenständig im öffentlichen Raum und müssen daher gegen externe Einflüsse abgesichert werden. Der Hersteller lässt keinen Login von außerhalb mit Root-Berechtigung zu. Deshalb muss zur lokalen Administration mit Root-Rechten ein separates Terminal lokal angeschlossen werden, wozu wiederum die Kamera geöffnet werden muss. Dieses Verfahren ist sehr aufwändig und kann zudem durch die Verletzung von Schraubsicherungen entdeckt werden. Während es als unwahrscheinlich gilt, dass ein Angreifer ein Terminal anschließen kann, ist dies für die Administration selbst unumgänglich.
Um die Anforderung der sogenannten Nicht-Abstreitbarkeit erfüllen zu können, muss die Kamera ihre Bilddaten mit dem privaten Teil eines asymmetrischen Schlüsselpaares signieren. Vor der eigentlichen Signatur werden die audiovisuellen Daten gehasht, ihnen wird also ein kurzer, eindeutiger Identifikationswert zugewiesen. Hier gab es für die Steinbeis-Experten aus kryptografischer Sicht Handlungsbedarf: Der verwendete MD5 Algorithmus gilt nicht mehr als sicher, da schon vor einiger Zeit Experten so genannte Kollisionen erzeugen konnten, die die Authentizität der signierten Daten gefährden. Dem Hersteller wurde deshalb die Verwendung des weitaus sichereren Algorithmus SHA-256 empfohlen, um auf längere Sicht abgesichert zu sein. Dazu wurde auch die Länge des Signaturschlüssels aufgestockt.
Der private Schlüssel liegt auf der Festplatte der Kamera und ist nur für die Rolle „Root“ lesbar. Da Remote-Logins keine Root-Rechte erhalten dürfen, muss die signierende Applikation der Kamera entweder selbst als Root laufen oder ein setUid Programm zur Signierung verwenden. Das entspricht dem „Principle of Least Authority“ (POLA) besser, als die gesamte, wesentlich komplexere Applikation mit vollen Root-Privilegien laufen zu lassen. Der Login über eine UserID und ein Passwort wirft Fragen nach der Qualität der Passwörter und ihrer sicheren Verwahrung auf. Auch hier wurden dem Hersteller entsprechende Handlungsempfehlungen an die Hand gegeben.
Warum wird der Signaturschlüssel nun auf der Festplatte gehalten? Datenmaterial muss durch die Kamera automatisch signiert werden können – und zwar nur durch die Kamera, solange der Schlüssel nicht kompromittiert wird. Daten können daher einzelnen Kameras sicher zugeordnet werden und die Einschleusung von signiertem Datenmaterial durch die Operatoren oder Dritte Personen ist nicht möglich. Durch das Nicht-Root-Konzept für telnet und ftp ist damit sichergestellt, dass Operatoren durch remote-logins keine Signaturen vornehmen können.
Es bleibt das Risiko, dass der Signaturschlüssel mitsamt der Festplatte durch einen Einbruch gestohlen wird. Ein solcher Einbruch könnte, je nach Kontrollintervallen der betreibenden Firma, relativ lange unentdeckt bleiben. Gelingt es dem Angreifer, den Schlüssel auszulesen, kann er selbst Daten signieren – wahrscheinlich das schlimmste Angriffsszenario in diesem System. In diesem Kontext ist es sinnvoll, den Schlüssel nicht auf der Festplatte, sondern in einem sogenannten Hardware Security Module (beispielsweise ein Smartcard Reader plus Smartcard) zu halten und vor Benutzung durch eine PIN frei zu schalten. Natürlich muss auch die PIN auf der Festplatte liegen, denn die Kamera muss ja automatisch, ohne manuelle Einwirkung eines Operators, signieren können. Um aber an den Signaturschlüssel zu kommen, müsste der Angreifer auch die Smartcard stehlen, und deren Verlust könnte automatisch sofort festgestellt werden und einen Alarm auslösen.
Zweifellos stellt dies eine aufwändige Lösung für einen seltenen, aber schwerwiegenden Angriff dar. Es liegt an der Risikoabschätzung des Herstellers und des Betreibers der Lösung, diese Gefahr zu bewerten und gegen die Kosten der skizzierten Lösung abzuwägen.
Die Steinbeis-Mitarbeiter haben sich darüber hinaus auch mit der Sicherheit des Übertragungsweges zwischen Kamera und Operator beschäftigt. telnet und ftp verwenden zur Authentisierung das Username/Password-Schema, wobei beides im Klartext zwischen beiden Rechnern übertragen wird. Neben der Tatsache, dass das Passwort somit von einem Angreifer auf der Leitung abgelauscht werden könnte, wirkt noch wesentlich schwerer, dass keine Authentisierung der Endpunkte der Kommunikation stattfindet. Das heißt, dem Operator ist gar nicht klar, wem er eigentlich sein hochgeheimes Passwort anvertraut. Die Alternative zu telnet und ftp ist das Protokoll SSH (Secure Shell), das die Möglichkeit einer gegenseitigen Authentisierung der Endpunkte über Zertifikate sowie den Aufbau eines sicheren Kanals zwischen den Endpunkten bietet. Die Übertragung ist damit sicher in Bezug auf die Kommunikationspartner und den Inhalt der Kommunikation.
Wesentlich beim Internet-Bedrohungsmodell ist die Art der Verbindung zwischen den Geräten: Handelt es sich um eine dedizierte Leitung, kann also nur aus dem Büro der Operateure auf die Kameras zugegriffen werden, oder sind die Kameras auch über öffentliche Leitungen, beispielsweise Telefonleitungen und Modems, erreichbar? In Abhängigkeit des gewählten Anschlusses wird in diesem Fall auch eine Firewall auf Seiten der Kamera Pflicht.
Das Steinbeis-Transferzentrum konnte dem Auftraggeber umfassend helfen: Durch die Umsetzung der vorgeschlagenen Maßnahmen konnte die Sicherheit des Überwachungssystems deutlich gesteigert werden. Die Parameter der vorgeschlagenen Krypto-Algorithmen sind so gewählt, dass die Sicherheit auch mittelfristig gewährleistet und die Verwendung als Beweismaterial vor Gericht sichergestellt ist.
Prof. Dr. Roland Schmitz
Prof. Walter Kriha
Steinbeis-Transferzentrum Mobile Communications and Embedded Systems (Stuttgart)
su0791@stw.de