it-swarm-eu.dev

Methoden zum Schutz von Computersystemen vor physischen Angriffen

Ich interessiere mich für kostengünstige und kreative Ideen zur Erkennung physischer Angriffe auf Computersysteme. Dies umfasst, ohne darauf beschränkt zu sein, Manipulationssicherheit Maßnahmen.

Stellen Sie sich das folgende Angriffsszenario vor: Ein Angreifer möchte Daten von einer Festplatte abrufen. Der Zielcomputer wird mit vollständiger Festplattenverschlüsselung eingerichtet, ein BIOS-Kennwort wird festgelegt und die Startpriorität gibt an, dass das verschlüsselte Laufwerk das erste Gerät ist, das gestartet wird.

Die Passphrase muss eingegeben werden, um das Laufwerk zu entschlüsseln und den Computer zu starten. Ein Hardware Keylogger könnte installiert werden, um diesen Wert zu erhalten. Einige Implementierungen der vollständigen Festplattenverschlüsselung können mit Bus Sniffing besiegt werden. Um diesen Angriff auszuführen, muss jedoch das Computergehäuse geöffnet werden. Bei beiden Angriffen kann der Angreifer nach einer gewissen Zeit zurückkehren und die Festplatte und die abgefangene Passphrase sammeln.

Wie können Sie feststellen, ob Ihr Computergehäuse geöffnet wurde? Wie können Sie die Verwendung eines Hardware-Keyloggers verhindern?

Auch hier ist ein großartiger Vortrag über Bypassing Tamper Evident Devices .

Bearbeiten: Der Zustand der modernen physischen Sicherheit ist unglaublich schlecht. Buchstäblich jedes Türschloss, das bei meinem Walmart erhältlich ist, kann in Sekundenschnelle geöffnet werden. Die meisten Häuser in den USA verwenden immer noch Stiftverschlüsse, die ursprünglich vor Tausenden von Jahren von den Ägyptern erfunden wurden.

41
rook

Hier ist ein generischer Angriff, der die meisten (ansonsten guten) Ideen, die hier aufgedeckt werden, besiegt:

Der Angreifer kauft ein PC-Gehäuse, das dem Zielsystem ähnelt. Im Inneren befindet sich ein System, das denselben Anmeldebildschirm wie das Zielsystem anzeigt, wenn es nach dem Entsperrkennwort fragt. Sobald der Benutzer sein Passwort eingibt, sendet das System das Passwort über das Netzwerk (möglicherweise drahtlos) und begeht dann Selbstmord (z. B. zündet es ein Feuerwerk, um einen fehlerhaften chemischen Kondensator zu simulieren, und wechselt dann zu einem leeren Bildschirm). Der Angreifer muss dann nur noch den gesamten Computer entnehmen und seine Nachahmung an seine Stelle setzen. Sicher, das wird entdeckt, aber das wird zu spät sein: Der Angreifer hat bereits die Festplatte und das Entsperrkennwort.

(Ein billigerer und einfacher ähnlicher Angriff besteht darin, die Tastatur durch eine Replik zu ersetzen, die gleich aussieht und gleich funktioniert, aber auch den Keylogger enthält.)

Natürlich kann dieser Angriff nicht unbedingt angewendet werden, sondern aufgrund von Kontextelementen. z.B. Der Computer befindet sich an einem öffentlichen Ort und es gibt keine Möglichkeit, dass jemand diskret mit einem vollen Computergehäuse unter dem Arm davonkommt (es sei denn, er ist als IT-Betreiber verkleidet, mit Jeans und ungepflegtem Bart. In diesem Fall kann dies wahrscheinlich abgezogen werden ). Dies unterstreicht die Bedeutung der Umgebung .

In ähnlicher Weise kann das Keylogging remote durchgeführt werden. Zum Beispiel könnte eine Kamera vom Angreifer an die Decke geklebt werden, mit voller Sicht auf die Tastatur. Dies geschieht häufig mit ATM und ähnlichen Geräten (z. B. 24/7-Zapfsäulen), sodass die Kameras und das Know-how für ihre diskrete Installation bereits weit verbreitet sind . Dieses Beispiel zeigt, dass es nicht auf die Integrität des Computers ankommt, sondern auf die Integrität der gesamten Umgebung, in der geheime Daten verwendet werden, in der die "geheimen Daten" "Hier ist das Passwort des Benutzers enthalten.


Generell kann die Verhinderung von Angriffen wie dem von Ihnen erklärten auf drei Arten erfolgen:

  1. Der Angreifer wird daran gehindert, die physische Integrität des Computers zu verändern, z. indem man es nicht erreichen kann. Beispiel: Ein gesperrter Fall um den Computer.

  2. Es gibt ein System, das mit hoher Wahrscheinlichkeit garantiert, dass der Angreifer (zuverlässig und sofort) identifiziert wird, wenn er seinen Angriff versucht. Dies ist eine psychologische Abschreckung (dies kann dazu führen, dass sich der Angriff für den Angreifer "nicht lohnt"). Beispiel: Überwachungskameras.

  3. Angenommen, der Angriff hat stattgefunden, können Sie ihn in letzter Minute unmittelbar vor der Eingabe des Zielkennworts erkennen.

Manipulationssichere Systeme konzentrieren sich auf die dritte Methode, aber das ist ein letzter Ausweg: Diese Systeme nützen nur dann etwas, wenn die Methoden auf den ersten beiden Ebenen fehlgeschlagen sind. In diesem Sinne sollten zunächst Anstrengungen auf den beiden anderen Ebenen unternommen werden.

11
Tom Leek

Das Problem beim Versuch, diese Angriffe zu erkennen, besteht darin, dass ihr gemeinsames Ziel - Desktop-Workstations - für den größten Teil seines Lebens weitgehend unbemerkt bleibt. Selbst wenn es sich tatsächlich auf dem Desktop befindet, achten Benutzer nur selten darauf, außer den Netzschalter zu drücken, Wechselmedien einzulegen/zu entfernen oder Zubehör zu stecken/zu entfernen - all dies kann im Allgemeinen von Vorderseite) aus erfolgen des Systems, während der einfachste Weg, diese Angriffe zu verbergen, darin besteht, das hinten anzuschließen. Sie könnten vielleicht vorschreiben, dass alle Desktops tatsächlich auf dem Desktop bleiben und alle Peripheriegeräte an nach vorne gerichtete Ports angeschlossen werden, aber das wird mit ziemlicher Sicherheit keine gute Benutzerakzeptanz erzielen.

Es gibt wahrscheinlich keine einfache Möglichkeit, einen Hardware-Keylogger zu vereiteln, außer Ihre Peripherie-Verbindungen regelmäßig zu überprüfen. Sie können dies in Ihre Endbenutzerschulung einbeziehen, aber es ist unwahrscheinlich, dass dies jemals von ihnen durchgeführt wird, und es erhöht die Wahrscheinlichkeit, dass sie um Hilfe rufen müssen, wenn sie versehentlich etwas Wesentliches aus dem Prozess herausgezogen haben. Eine bessere Methode, falls es eine geben muss, besteht darin, ein Team von Technikern regelmäßige Hardware-Inspektionen durchführen zu lassen.

Der einfachste und kostengünstigste Weg, um Verstöße gegen das Computergehäuse selbst zu erkennen, ist die Verwendung von Aufklebern, die denen ähneln, die OEMs für die Garantievalidierung verwenden. Dies würde natürlich erfordern, dass Sie den Aufkleber regelmäßig überprüfen, um sicherzustellen, dass er nicht manipuliert wurde. Auch dies ist vom Endbenutzer nicht gut akzeptiert oder implementiert. Es liegt also an Ihren Technikern, ihre Systeme regelmäßig zu überprüfen. Sie müssen auch sicherstellen, dass diese Techniker Zugriff auf die Aufkleber haben, damit sie bei jeder Wartung der Systeme neue anbringen können. Dann gehen wir jedoch auf die Möglichkeit von Insiderangriffen ein.

Alternativ unterstützen einige Gehäuse und Motherboards hardwarebasierte Monitore, die Sie beim Booten benachrichtigen können, wenn das Gehäuse seit dem letzten Einschalten geöffnet wurde. Diese können je nach Design leicht umgangen werden oder auch nicht (d. H.: Der Angreifer verwischt seine Spur, indem er das System aus- und wieder einschaltet, um den Alarm auszuschalten, bevor das Opfer ihn erneut verwendet.) Und ist möglicherweise immer noch anfällig für Insider-Bedrohungen.

20
Iszi

Das Problem mit der physischen Sicherheit ist folgendes:

Wenn der Angreifer physischen Zugriff auf den Computer hat, gibt es keine Sicherheit.

Leider kann für eine Endbenutzer-Workstation nur sehr wenig dagegen unternommen werden. Wo ich arbeite, verwenden wir Workstations, die wirklich Desktops sind. So ist es einfach, einen Sicherheitsaufkleber auf dem Gehäuse vor dem Endbenutzer anzubringen. Fallintrusionssysteme können eine Warnung senden, wenn der Fall geöffnet wurde, aber auch diesen kann entgegengewirkt werden. Die beste Sicherheitslösung, die ich mir vorstellen kann, ist vierfach.

  1. Physische Zugriffskontrollen zu dem Ort, an dem die Computer aufbewahrt werden. Mitarbeiter, die berechtigt sind, an diesem Ort zu arbeiten, können entweder eine RFID-Karte oder einen Magnetstreifen oder Barcode auf ihrem Ausweis verwenden, um Zugang durch eine verschlossene Tür zu erhalten. Auf diese Weise können die Zugriffe auf den Standort pro Mitarbeiter überprüft werden.

  2. Erzwingen Sie, dass die Benutzer die Zwei-Faktor-Authentifizierung verwenden: Etwas, das Sie mit etwas wissen, das Sie haben. Hierfür gibt es verschiedene Lösungen auf dem Markt. Ein Beispiel sind die weit verbreiteten RSA SecurID-Token.

  3. Speichern Sie keine vertraulichen Daten auf den Endbenutzermaschinen. Speichern Sie es nur auf dem Server. Erzwingen Sie die Datensicherheit mithilfe von Netzwerkzugriffskontrollen.

  4. Informieren Sie Ihre Benutzer.

Ein interessanter Effekt von # 1 ist, dass, wenn sich ein Benutzer an einem Ort an einem Computer anmeldet, an dem nicht aufgezeichnet ist, dass er auf den Ort zugreift, diese Diskrepanz zur Überprüfung markiert werden kann. Konfigurieren Sie außerdem eine Lösung, die beim letzten Anmelden und bei der Anmeldedauer beim Anmelden deutlich sichtbar ist. Unix-Computer tun dies bereits, aber ich habe dies bei Windows-Computern nicht gesehen.

Bei Servern werden Maschinen normalerweise irgendwo in einem Hinterzimmer aufbewahrt. Verwenden Sie die Methode für # 1, anstatt einen Schlüssel zum Betreten eines gesperrten Serverraums zu verwenden. Auf diese Weise ist der Zugriff auf den Raum beschränkt, es können Zugriffsprüfungen durchgeführt werden. Wenn jemand aus irgendeinem Grund entlassen wird, können Sie ihn aus dem Zugriffssystem entfernen, ohne sich Sorgen machen zu müssen, dass er einen doppelten Schlüssel für den Raum erstellt hat.

Als Randnotiz möchte ich erwähnen, dass ein ausreichend motivierter Angreifer, der Zugriff auf einen Computer erhält und die Festplatte entfernt, nicht einmal ein Hardware-Passwort für die Festplatte daran hindert, auf die auf dem Laufwerk gespeicherten Daten zuzugreifen. Ich habe vor einiger Zeit gelesen, dass das Laufwerk selbst den Verschlüsselungsschlüssel auf den Plattenplatten an einem Ort speichert, auf den der Benutzer nicht zugreifen kann. Ein Angreifer kann jedoch das Laufwerk öffnen und den Schlüssel direkt lesen und dadurch das gesamte Laufwerk entschlüsseln.

Am Ende kann ein ausreichend motivierter Angreifer nicht davon abgehalten werden, ihn zu verhaften und strafrechtlich zu verfolgen, wenn es um physische Sicherheit geht. Oder sie herausziehen und schießen ... zweimal für ein gutes Maß.

11
Daniel Rudy

Ich hatte einmal einen Dell-Computer, der mich jedes Mal benachrichtigte, wenn der Fall geöffnet wurde. Das Zurücksetzen der Benachrichtigung erfolgte im BIOS. Wahrscheinlich etwas ähnliches wie ein Computer Case Intrusion Detection System .

So etwas wie manipulationssicheres Klebeband könnte funktionieren (wie das unten abgebildete).

tamper evident tape

7
mikeazo

Handelt es sich bei dem Computersystem, über das Sie sprechen, um eine Workstation oder einen Server? Die Anforderungen für jeden scheinen sehr unterschiedlich zu sein.

In Bezug auf Workstations denke ich, dass Laptops mehr Sicherheit bieten als Desktops. Da die Tastatur ein physischer Bestandteil des Computers ist, wird das Einstecken eines Key Loggers zu einer viel schwierigeren Aufgabe (dies schützt jedoch nicht vor stürmischem Schnüffeln). Darüber hinaus kann der Computer außerhalb der Bürozeiten vom Mitarbeiter genutzt werden, um das Risiko eines böswilligen Zugriffs zu verringern (sie können entweder nach Hause gebracht werden, dies erfordert jedoch eine starke Beteiligung der Benutzer an den Sicherheitsrichtlinien des Unternehmens oder wird in einem Computer gespeichert) sicher im Firmenbüro).

Für Server, da sie auch dann in Betrieb bleiben müssen, wenn sich niemand physisch im Serverraum befindet, führt die Sicherung der Server meiner Meinung nach zur Sicherung des Raums: Ausweiszugriff, Anwesenheitsdetektoren, Überwachungskamera. Die Tatsache, dass ein Server betriebsbereit bleiben muss, ist jedoch auch eine Stärke, da Sie ein durchdachtes Auditsystem, einen Neustart oder eine Trennung des Servers (oder ein anderes ungewöhnliches Verhalten, Hardwareänderungen, USB-Schlüssel oder Medieneinfügung usw.) Haben würden .) sollten Beweise hinterlassen, die nicht leicht zu manipulieren sind (dh nicht im selben Raum aufbewahrt werden ...).

Leider gibt es keine 100% ige Sicherheit. Aber während ich lese, dass Sie über "kostengünstige und kreative Ideen zur Erkennung physischer Angriffe gegen Computer" sprechen, erinnert mich dies an diese lustige Technik in einem Film, in dem der "Hacker" beim Verlassen die Räder seines Desktop-Stuhls in eine bestimmte Position gedreht hat seine Wohnung, um jede Bewegung dieses Stuhls während seiner Abwesenheit zu erkennen (=> jemand hat auf seinen Desktop und höchstwahrscheinlich auf seinen Computer zugegriffen).

2
WhiteWinterWolf

Für jede Verteidigung gegen physischen Zugriff müssen Sie physische Sicherheit verwenden. Die einzige physische Sicherheit, an die ich denken kann, besteht darin, einen Weg zu finden, wie Sie feststellen können, wann etwas manipuliert wurde. Wenn Sie dies festgestellt haben, wissen Sie, dass Sie den Schlüssel für Ihre Software-Sicherheitslösung nicht bereitstellen müssen.

Eine Sache, die ich an dem von Ihnen verlinkten Video interessant fand, ist, dass er keine manipulationssicheren Lösungen anspricht, die unbekannt bleiben würden. Überlegen Sie, wie Steganographie funktioniert - das Prinzip ist, dass Sie Ihren Sicherheitsmechanismus verstecken. Überlegen Sie, wie perfekt ein manipulationssicheres Werkzeug wäre, wenn der Angreifer nach Manipulationen an Ihrer Ausrüstung keine Ahnung hätte, was Sie sagen könnten. Möglicherweise können Sie sogar die Hardware wiederherstellen und feststellen, wer der Täter war.

Vielleicht so etwas wie ein menschliches Haar über eine Robbe streichen.

2
deed02392

Ich denke, Sie zielen möglicherweise auf zu Hightech.

Angriffe von Außenstehenden erkennen:

Jede physische Sicherheitsmaßnahme, die auf einer Sichtprüfung nachträglich beruht , ist fehlerhaft.

Ein Angreifer kann (mit genügend Aufwand) ein System erstellen, das visuell nicht von Ihrem aktuellen System zu unterscheiden ist, aber als Proxy für das reale System (ungeöffnet, nicht manipuliert) fungiert, das er an einem anderen Ort gespeichert hat (während er die gesamte Kommunikation überwacht).

Also: Die stärkste (tatsächlich würde ich die einzig vollständige) Methode zum physischen Schutz eines Computers ist die Überwachung - CCTV-Aufzeichnungen, Zugangskontrolle und Sicherheitspatrouillen. Sie haben dann das Problem, Ihr CCTV-System vor physischen Angriffen zu schützen - aber dies ist (ich nehme an) ein Problem, das CCTV-Systeme zumindest in Bezug auf die Erkennung bereits in gewissem Maße angehen.

Sobald Sie über ein solches System verfügen, können Sie das Problem der Replikation (oder Änderung ohne Spuren) mit Methoden wie Manipulationsband natürlich erschweren.

Angriffe von Insidern erkennen:

Offensichtlich hilft Ihnen die Zugriffskontrolle nicht, wenn Ihr Angreifer ein Insider der Organisation ist.

CCTV- und Sicherheitspatrouillen werden jedoch weiterhin hilfreich sein. Wenn Sie sicherstellen, dass die Mitarbeiter der Organisation immer ungefähr sehen können, was andere Personen tun, können Sie sich selbst überwachen ("Was macht Jane mit ihrem Computer?").

Eine regelmäßige Inspektion oder sogar ein Austausch billiger externer Geräte (z. B. Tastaturen/Mäuse) würde jeden physischen Angriff auf die größeren Komponenten (z. B. Computerturm) erzwingen, was hoffentlich auffälliger wäre (und Manipulationsbänder usw. würden Ihnen ebenfalls helfen) Hier). Für eine kleine Organisation kostet der Verkauf all Ihrer alten Monitore bei eBay und der Kauf neuer möglicherweise nicht so viel (insbesondere, wenn Sie diese auch aus zweiter Hand erhalten).

Ein physischer Angriff ist wahrscheinlich sowieso nicht der Vektor der Wahl für einen "Insider" - es sei denn, es handelt sich um einen Server, auf den er keinen Zugriff haben soll (an diesem Punkt gilt die Situation "Outsider").

1
cloudfeet