it-swarm-eu.dev

Metody ochrany počítačových systémů před fyzickými útoky

Zajímám se o nákladově efektivní a kreativní nápady pro detekci fyzických útoků na počítačové systémy. To zahrnuje, ale není omezeno na Tamper Evident security opatření.

Zvažte následující scénář útoku: Útočník by chtěl získat data z pevného disku. Cílový počítač je nastaven pomocí šifrování Full Disk Encryption, je nastaveno heslo bios a priorita spouštění uvádí, že šifrovaná jednotka je první zařízení, které má být zavedeno.

Heslo musí být zadáno, aby bylo možné jednotku dešifrovat a spustit systém. K získání této hodnoty lze nainstalovat Hardware Keylogger . Některé implementace šifrování celého disku lze porazit pomocí Bus Sniffing , ale pro provedení tohoto útoku musí být otevřen kryt počítače. Při každém útoku se útočník může po určité době vrátit a shromáždit přístupovou frázi pevného disku a zachycené heslo.

Jak zjistíte, zda byl váš počítač otevřen? Jak můžete zmařit použití hardwarového keyloggeru?

Tady je také skvělý rozhovor o obejití tamper evidentních zařízení .

Edit: Stav moderní fyzické bezpečnosti je neuvěřitelně špatný. Doslova každý zámek zámku dostupný v mém místním Walmartu lze vybrat za několik sekund. Většina domů v USA stále používá zámky s kolíky, které původně vynalezli Egypťané před tisíci lety.

41
rook

Zde je obecný útok, který poráží většinu (jinak dobrých) myšlenek, které jsou zde odhaleny:

Útočník si koupí PC pouzdro, které vypadá jako cílový systém. Uvnitř umístí systém, který představuje stejnou přihlašovací obrazovku jako cílový systém, v okamžiku, kdy požaduje heslo pro odemčení. Jakmile však uživatel zadá své heslo, systém odešle heslo přes síť (možná bezdrátově), poté spáchá sebevraždu (např. Odpálí nějaký ohňostroj, aby simuloval selhávající chemický kondenzátor, poté přejde na prázdnou obrazovku). Útočník pak musí pouze vyčistit celý počítač a místo něj napodobit. Jistě, bude to objeveno, ale to bude příliš pozdě: útočník již má pevný disk a heslo pro odemčení.

(Levnější a snadnější podobný útok je nahrazení klávesnice replikou, která vypadá stejně a funguje stejně, ale zahrnuje i keylogger.)

Tento útok samozřejmě nelze nutně použít, ale kvůli kontextovým prvkům; např. počítač je na veřejném místě a neexistuje způsob, jak by někdo mohl diskrétně uniknout s celou skříní počítače pod paží (pokud není maskovaný jako nějaký druh IT operátora, s džíny a neudržovaným vousem, v tom případě to pravděpodobně bude možné sundat) ). To zdůrazňuje důležitost prostředí .

V podobné poznámce lze keylogging provádět na dálku. Útočník by například mohl přilepit kameru na strop s plným výhledem na klávesnici. To se provádí hodně s ATM a podobnými zařízeními (např. Plynová čerpadla 24/7), takže kamery a know-how pro jejich diskrétní instalaci jsou již rozšířené . Tento příklad ukazuje, že není důležitá integrita počítače, ale integrita úplného prostředí, kde se používají tajná data, kde „tajná data“ "zde zahrnuje heslo uživatele.


Obecně může prevence útoků, jako je ta, kterou vysvětlíte, probíhat třemi způsoby:

  1. Útočník nemůže zabránit ve změně fyzické integrity počítače, např. tím, že to není možné dosáhnout. Příklad: uzamčené pouzdro kolem počítače.

  2. Je zaveden systém, který s velkou pravděpodobností zaručuje, že útočník bude identifikován (spolehlivě a rychle), pokud se pokusí o útok. Jedná se o psychologický odstrašující prostředek (to může vést k tomu, že útok „za to nestojí“ pro útočníka). Příklad: bezpečnostní kamery.

  3. Za předpokladu, že k útoku došlo, můžete jej zjistit na poslední chvíli, těsně před zadáním cílového hesla.

Tamper-evidentní systémy se soustředí na třetí metodu, ale to je poslední možnost: tyto systémy jsou dobré, pouze pokud metody na prvních dvou úrovních selhaly. V tomto smyslu by se úsilí mělo nejprve uplatnit na dalších dvou úrovních.

11
Tom Leek

Problém při pokusu o odhalení těchto útoků spočívá v tom, že jejich společný cíl - pracovní stanice pro stolní počítače - je po většinu života do značné míry nezasažen. I když to skutečně sedí na ploše, uživatelé si ho jen zřídka dávají pozor, kromě stisknutí tlačítka napájení, vložení/vyjmutí vyměnitelného média nebo příslušenství plug/un-plug - to vše lze obecně provést z přední strana) systému, zatímco nejjednodušší způsob, jak tyto útoky skrýt, je připojit se k zadní. Možná byste mohli pověřit, aby všechny stolní počítače byly skutečně udržovány na na ploše, a nechat všechna periferní zařízení zapojena do čelních portů, ale to téměř jistě nezíská dobré uživatelské uznání.

Pravděpodobně neexistuje snadný způsob, jak zmařit hardwarový keylogger, kromě pravidelné kontroly vašich periferních připojení. Můžete to zahrnout do školení koncových uživatelů, ale je nepravděpodobné, že by se jimi ve skutečnosti někdy stalo, a zvyšuje se tak pravděpodobnost, že budou muset zavolat pomoc, když neúmyslně odpojí něco podstatného v procesu. Lepší metodou, pokud existuje, může být, že tým techniků provádí pravidelné kontroly hardwaru.

Nejjednodušší a nákladově nejefektivnější způsob, jak odhalit narušení samotné počítačové skříně, by bylo použití nálepek podobných těm, které OEM používají pro ověření záruky. To by samozřejmě vyžadovalo, abyste pravidelně kontrolovali řečenou nálepku, abyste ověřili, že s ní nebylo manipulováno. Opět to není něco, co by konečný uživatel dobře přijal nebo provedl. Bude tedy na vašich technikech, aby pravidelně kontrolovali své systémy. Musíte se také ujistit, že technici mají přístup k nálepkám, aby mohli aplikovat nové, kdykoli obsluhují systémy, ale pak jsme se potulovali s možností útoků zasvěcených osob.

Alternativně některé případy a základní desky podporují hardwarové monitory, které vás mohou upozornit v době spuštění, pokud byl případ otevřen od posledního zapnutí. Tito mohou nebo nemusí být snadno obejití (tj .: Útočník zakryje svou stopu pomocí elektrického cyklu systému, aby varovný signál odmítl dříve, než ho oběť znovu použije.) V závislosti na designu, a opět může být stále ohrožen zasvěcenými hrozbami.

20
Iszi

Problém s fyzickým zabezpečením je následující:

Pokud má útočník fyzický přístup k počítači, pak neexistuje žádná bezpečnost.

Pro pracovní stanici koncového uživatele je toho bohužel velmi málo. Tam, kde pracuji, používáme pracovní stanice, které jsou skutečně stolními počítači. Proto je snadné umístit bezpečnostní nálepku na pouzdro před očima koncového uživatele. Systémy pro narušení případu mohou zaslat výstrahu, pokud byl případ otevřen, ale lze proti nim také čelit. Nejlepší bezpečnostní řešení, na které mohu myslet, je čtyřikrát.

  1. Fyzické kontroly přístupu k místu, kde jsou počítače uchovávány. Zaměstnanci, kteří jsou oprávněni pracovat v tomto místě, mohou použít kartu RFID nebo nějaký magnetický proužek nebo čárový kód na identifikačním štítku, aby získali přístup přes zamčené dveře. To umožňuje auditovat přístupy k místům na základě jednotlivých zaměstnanců.

  2. Vynuťte uživatele, aby používali dvoufaktorové ověřování: Něco, co víte, s něčím, co máte. Na trhu existuje několik řešení. Jedním příkladem jsou velmi populární tokeny RSA SecurID.

  3. Na počítačích koncových uživatelů neuchovávejte citlivá data. Uložte jej pouze na serveru. Vylepšete zabezpečení dat pomocí ovládacích prvků síťového přístupu.

  4. Vzdělávejte své uživatele.

Zajímavým efektem č. 1 je to, že pokud se uživatel přihlásí do počítače v místě, kde není žádný záznam o přístupu k danému místu, může být tento nesoulad označen k přezkoumání. Nakonfigurujte také řešení, které zobrazí při přihlášení při posledním přihlášení a době trvání přihlášení. Unixové počítače to již dělají, ale u počítačů se systémem Windows jsem to neviděl.

U serverů jsou stroje obvykle uloženy někde v zadní místnosti. Namísto použití klíče pro vstup do zamčené serverové místnosti použijte metodu pro # 1. Tímto způsobem je přístup omezen do místnosti, mohou být prováděny přístupové audity, a pokud je někdo z nějakého důvodu propuštěn, můžete je odebrat z přístupového systému a nemusíte se obávat, že udělali duplicitní klíč do místnosti.

Jako vedlejší poznámku bych chtěl zmínit, že pokud dostatečně motivovaný útočník získal přístup k počítači a odstranil pevný disk, ani hardwarové heslo pro pevný disk jim nezabrání získat přístup k datům uloženým na disku. Někdy jsem četl zpět, že samotná jednotka ukládá šifrovací klíč, v jasné mysli, na diskové talíře v místě, ke kterému uživatel nemá přístup. Útočník však může jednotku otevřít a přímo přečíst klíč a tím dešifrovat celou jednotku.

Nakonec dostatečně motivovaného útočníka nelze zastavit před zatčením a stíháním, pokud jde o fyzickou bezpečnost. Nebo je přetáhněte ven a střílejte ... dvakrát pro dobrou míru.

11
Daniel Rudy

Měl jsem počítač Dell najednou, který by mě informoval o každém otevření případu. Resetování oznámení bylo provedeno v systému BIOS. Pravděpodobně něco podobného systém detekce narušení počítače .

Mohlo by to fungovat jako páska s evidentní manipulací (jako ta na obrázku níže).

tamper evident tape

7
mikeazo

Je počítačový systém, o kterém mluvíte, o pracovní stanici nebo serveru? Požadavky na každý z nich se zdají velmi odlišné.

Pokud jde o pracovní stanice, myslím, že notebooky nabízejí větší zabezpečení než stolní počítače. Klávesnice, která je fyzickou součástí počítače, se připojením loggeru klíčů stává mnohem obtížnějším úkolem (to však nechrání před Tiffestovým šňupáním). Kromě toho může v době mimo pracovní dobu počítač vzít zaměstnanec, čímž se sníží riziko škodlivého přístupu (mohou být přivezeni doma, ale vyžaduje to silné zapojení uživatelů do bezpečnostní politiky společnosti nebo je uloženo v v kanceláři společnosti).

U serverů, protože musí zůstat v provozu, i když v serverové místnosti není nikdo fyzicky, se domnívám, že zabezpečení serverů vede k zabezpečení místnosti: přístup k odznaku, detektory přítomnosti, sledovací kamera. Skutečnost, že server musí zůstat v provozu, je také silná stránka, protože byste měli promyšlený systém auditu, restartování nebo odpojení serveru (nebo jiný druh neobvyklého chování, změny hardwaru, usb klíč nebo vložení média atd.) .) by měly ponechat důkazy, s nimiž nelze snadno manipulovat (tj. neukládat se ve stejné místnosti ...).

Bohužel 100% zabezpečení neexistuje. Ale když jsem vás četl, hovořím o „nákladově efektivních a kreativních nápadech pro detekci fyzických útoků na počítač“, připomíná mi to vtipné techniky ve filmu, kde „hacker“ při odchodu otočil kola svého stolního křesla v určité poloze jeho byt, aby zjistil jakýkoli pohyb této židle během jeho nepřítomnosti (=> někdo přistoupil k jeho ploše a pravděpodobně k jeho počítači).

2
WhiteWinterWolf

Veškerá obrana proti fyzickému přístupu vyžaduje použití fyzické bezpečnosti. Jedinou fyzickou bezpečností, na kterou mohu vzpomenout, je určit způsob, jak zjistit, kdy bylo něco narušeno. Pokud jste toto zjistili, víte, že neposkytujete klíč k řešení zabezpečení softwaru.

Jedním z věcí, které mi na tomto videu, na které jste odkazovali, bylo zajímavé, je to, že se nezabývá žádnými řešeními, která by zřejmě zůstala neznámá. Zvažte, jak steganografie funguje - zásadou je, že skrýváte svůj bezpečnostní mechanismus. Pomyslete na to, jak dokonalý by byl nástroj zjevný pro manipulaci, pokud by útočník po manipulaci s vaším zařízením neměl tušení, že byste to mohli říct. Možná budete moci obnovit jejich hardware a určit, kdo byl pachatelem.

Možná něco jako vložení lidských vlasů přes pečeť.

2
deed02392

Myslím, že se možná zaměřujete na příliš vyspělé technologie.

Detekce útoků zvenčí:

Jakékoli fyzické bezpečnostní opatření, které se spoléhá na vizuální kontrolu po skutečnosti, je vadné.

Útočník může (s dostatečným úsilím) vytvořit systém, který je vizuálně nerozeznatelný od vašeho současného, ​​ale jedná jako proxy k reálnému systému (neotevřený, neozbrojený), který uložil někde jinde (při sledování veškeré komunikace).

Takže: nejsilnější (ve skutečnosti bych tvrdil, že jediná úplná) metoda fyzické ochrany počítače je dohled - CCTV záznamy, kontrola přístupu a bezpečnostní hlídky. Potom máte problém se zabezpečením vašeho CCTV systému před fyzickými útoky - ale je to (předpokládám), problém, který CCTV systémy již do jisté míry řeší, alespoň pokud jde o detekci.

Jakmile budete mít takový systém, můžete problém s replikací systému (nebo jeho změnou bez zanechání stopy) ztížit pomocí metod, jako je manipulační páska.

Detekce útoků zasvěcených osob:

Je zřejmé, že kontrola přístupu vám nepomůže, pokud váš útočník je zasvěceným do organizace.

CCTV a bezpečnostní hlídky však budou stále užitečné. Zajištění toho, aby lidé v organizaci vždy viděli zhruba to, co ostatní lidé dělají, jim pomůže sebepozorovat („Co Jane dělá s jejím počítačem?“).

Pravidelná kontrola nebo dokonce výměna levných externích zařízení (např. Klávesnice/myši) by nutila k jakémukoli fyzickému útoku na větší komponenty (např. Počítačová věž), což by snad bylo patrnější (a tamper-páska atd.) By vám také pomohla tady). Pro malou organizaci nemusí být prodej všech vašich starých monitorů na eBay a nákup nových monitorů příliš drahý (zejména pokud jste je získali také z druhé ruky).

Fyzický útok pravděpodobně není vektorem volby pro „zasvěcence“ - pokud nemluvíme o serveru, ke kterému nemají přístup (v tom okamžiku platí situace „outsider“).

1
cloudfeet