it-swarm.dev

Metodi per proteggere i sistemi informatici dagli attacchi fisici

Sono interessato a idee economiche e creative per rilevare attacchi fisici contro i sistemi informatici. Questo include, ma non è limitato a misure anti-manomissione misure.

Considera il seguente scenario di attacco: Un utente malintenzionato desidera ottenere dati da un disco rigido. Il computer di destinazione viene configurato con Crittografia disco intero, viene impostata una password del BIOS e la priorità di avvio indica che l'unità crittografata è il primo dispositivo da avviare.

La passphrase deve essere digitata per decrittografare l'unità e avviare la macchina. A Hardware Keylogger potrebbe essere installato per ottenere questo valore. Alcune implementazioni di crittografia del disco completo possono essere eliminate con Bus Sniffing , tuttavia per eseguire questo attacco è necessario aprire il case del computer. In entrambi gli attacchi, dopo un periodo di tempo l'attaccante può tornare e raccogliere l'hard disk e la passphrase intercettata.

Come è possibile rilevare se il case del computer è stato aperto? Come puoi contrastare l'uso di un keylogger hardware?

Anche qui c'è un grande discorso su Bypassing Tamper Evident Devices .

Modifica: lo stato della moderna sicurezza fisica è incredibilmente scarso. Letteralmente ogni serratura disponibile nel mio Walmart locale può essere ritirata in pochi secondi. La maggior parte delle case negli Stati Uniti utilizza ancora serrature a bicchiere inventate originariamente dagli egiziani migliaia di anni fa.

41
rook

Ecco un attacco generico che sconfigge la maggior parte delle idee (altrimenti buone) che sono esposte qui:

L'attaccante acquista una custodia per PC che assomiglia al sistema di destinazione. All'interno, inserisce un sistema che presenta la stessa schermata di accesso del sistema di destinazione, nel momento in cui richiede la password di sblocco. Ma non appena l'utente immette la password, il sistema invia la password attraverso la rete (possibilmente senza fili), poi si suicida (ad es. Fa esplodere alcuni fuochi d'artificio per simulare un condensatore chimico difettoso, quindi passa a uno schermo vuoto). L'aggressore deve quindi solo sottrarre l'intero computer e rimettere la sua imitazione al suo posto. Certo, questo verrà scoperto, ma sarà troppo tardi: l'attaccante ha già il disco rigido e la password di sblocco.

(Un attacco simile più economico e più semplice è quello di sostituire la tastiera con una replica che sembra la stessa e funziona allo stesso modo, ma include anche il keylogger.)

Naturalmente questo attacco non può essere necessariamente applicato, ma a causa di elementi contestuali; per esempio. il computer è in un luogo pubblico e non c'è modo che qualcuno possa discretamente cavarsela con una custodia completa sotto il braccio (a meno che non sia mascherata da una sorta di operatore IT, con jeans e barba spettinata, nel qual caso questo può probabilmente essere tirato via ). Ciò evidenzia l'importanza dell'ambiente .

Allo stesso modo, il keylogging può essere eseguito in remoto. Ad esempio, una telecamera potrebbe essere incollata dall'attaccante sul soffitto, con una visione completa della tastiera. Questo viene fatto molto con ATM e dispositivi simili (ad esempio pompe di benzina 24/7), quindi le telecamere e il know-how per la loro installazione discreta sono già molto diffusi . Questo esempio mostra che ciò che conta non è l'integrità del computer, ma l'integrità dell'ambiente completo in cui vengono utilizzati i dati segreti, dove i "dati segreti "qui include la password dell'utente.


Generalmente, la prevenzione di attacchi come quello che spieghi può avvenire in tre modi:

  1. All'attaccante viene impedito di alterare l'integrità fisica del computer, ad es. non riuscendo a raggiungerlo. Esempio: una custodia chiusa attorno al computer.

  2. È in atto un sistema che garantisce, con forte probabilità, che l'attaccante verrà identificato (in modo affidabile e tempestivo) se tenta il suo attacco. Questo è un deterrente psicologico (questo potrebbe rendere l'attacco "non degno" per l'attaccante). Esempio: telecamere di sicurezza.

  3. Supponendo che l'attacco abbia avuto luogo, è possibile rilevarlo all'ultimo minuto, subito prima di inserire la password di destinazione.

I sistemi antimanomissione si concentrano sul terzo metodo, ma questa è l'ultima risorsa: questi sistemi fanno del bene solo se i metodi ai primi due livelli falliscono. In tal senso, gli sforzi dovrebbero prima essere applicati agli altri due livelli.

11
Tom Leek

Il problema con il tentativo di rilevare questi attacchi è che il loro obiettivo comune - workstation desktop - rimane in gran parte inosservato per gran parte della sua vita. Anche se in realtà si trova sul desktop, gli utenti raramente prestano attenzione ad esso tranne che per premere il pulsante di accensione, inserire/rimuovere i supporti rimovibili o collegare/scollegare gli accessori - tutto ciò generalmente può essere fatto dal fronte del sistema, mentre il modo più semplice per nascondere questi attacchi è collegarsi a posteriore. Potresti forse imporre che tutti i desktop siano effettivamente mantenuti acceso sul desktop e che tutte le periferiche siano collegate alle porte frontali, ma che quasi sicuramente non otterrà una buona accettazione da parte dell'utente.

Probabilmente non esiste un modo semplice per contrastare un keylogger hardware, se non quello di controllare regolarmente le connessioni periferiche. Puoi includerlo nella formazione dell'utente finale, ma è improbabile che venga mai effettivamente eseguito da loro e aumenta la probabilità che dovranno chiedere aiuto quando hanno inavvertitamente scollegato qualcosa di essenziale nel processo. Un metodo migliore, se ce ne deve essere uno, potrebbe essere quello di far ispezionare regolarmente l'hardware da un team di tecnici.

Il modo più semplice ed economico per rilevare le violazioni nel case stesso del computer sarebbe quello di utilizzare adesivi simili a quelli utilizzati dagli OEM per la convalida della garanzia. Naturalmente, ciò richiederebbe di controllare regolarmente detto adesivo per verificare che non sia stato manomesso. Ancora una volta, questo non è qualcosa che sarebbe ben accettato o implementato dall'utente finale. Quindi, spetterà ai vostri tecnici ispezionare regolarmente i loro sistemi. Dovrai anche assicurarti che i suddetti tecnici abbiano accesso agli adesivi in ​​modo che possano applicarne di nuovi ogni volta che effettuano la manutenzione dei sistemi, ma poi vaghiamo nella possibilità di attacchi interni.

In alternativa, alcuni casi e schede madri supportano monitor basati su hardware che possono avvisarti al momento dell'avvio se il caso è stato aperto dall'ultima accensione. Questi possono o meno essere facilmente aggirati (es .: l'attaccante copre la sua pista facendo spegnere e riaccendere il sistema per respingere l'avviso prima che la vittima lo usi di nuovo.) A seconda del progetto, e può ancora essere vulnerabile alle minacce interne.

20
Iszi

Il problema con la sicurezza fisica è questo:

Se l'attaccante ha accesso fisico alla macchina, allora non c'è sicurezza.

Sfortunatamente, c'è molto poco che può essere fatto al riguardo per una workstation per l'utente finale. Dove lavoro, usiamo workstation che sono davvero desktop. Quindi posizionare un adesivo di sicurezza sulla custodia di fronte in bella vista all'utente finale è facile. I sistemi di intrusione del caso possono inviare un avviso se il caso è stato aperto, ma anche questi possono essere contrastati. La migliore soluzione di sicurezza che mi viene in mente è quadrupla.

  1. Controlli di accesso fisico alla posizione in cui sono conservati i computer. I dipendenti autorizzati a lavorare in quella posizione possono utilizzare una carta RFID o una striscia magnetica o un codice a barre sul proprio badge identificativo per accedere attraverso una porta chiusa a chiave. Ciò consente di controllare gli accessi all'ubicazione per dipendente.

  2. Forzare gli utenti a utilizzare l'autenticazione a due fattori: qualcosa che conosci con qualcosa che hai. Esistono diverse soluzioni sul mercato per questo. Un esempio è rappresentato dai token RSA SecurID ampiamente diffusi.

  3. Non archiviare dati riservati sui computer degli utenti finali. Conservalo solo sul server. Applicare la sicurezza dei dati utilizzando i controlli di accesso alla rete.

  4. Educare i tuoi utenti.

Un effetto interessante del n. 1 è che se un utente accede a un computer in una posizione in cui non si registra che accedano alla posizione, tale discrepanza può essere segnalata per la revisione. Inoltre, configura una soluzione che mostri, in primo piano, all'accesso l'ultima volta che hanno effettuato l'accesso e la durata dell'accesso. Le macchine Unix lo fanno già, ma non l'ho visto con le macchine Windows.

Per i server, le macchine vengono generalmente archiviate in una stanza sul retro da qualche parte. Invece di utilizzare una chiave per accedere a una sala server bloccata, utilizzare il metodo per # 1. In questo modo, l'accesso è limitato alla stanza, è possibile eseguire controlli di accesso e se qualcuno viene lasciato andare per qualche motivo, è possibile rimuoverli dal sistema di accesso e non preoccuparsi che abbiano creato una chiave duplicata nella stanza.

Come nota a margine, vorrei ricordare che se un utente malintenzionato sufficientemente motivato ha ottenuto l'accesso a un computer e rimosso il disco rigido, nemmeno una password hardware per il disco rigido impedirà loro di accedere ai dati memorizzati sul disco. Ho letto da qualche parte qualche tempo fa che l'unità stessa memorizza la chiave di crittografia, nella mente chiara, sui piatti del disco in una posizione a cui l'utente non può accedere. Tuttavia, un utente malintenzionato può aprire l'unità e leggere direttamente la chiave e quindi decrittografare l'intera unità.

Alla fine, un attaccante sufficientemente motivato non può essere fermato a meno di arrestarlo e perseguirlo quando si tratta di sicurezza fisica. O trascinandoli fuori e sparandoli ... due volte per buona misura.

11
Daniel Rudy

Una volta avevo un computer Dell che mi avvisava ogni volta che il caso era stato aperto. Il ripristino della notifica è stato eseguito nel BIOS. Probabilmente qualcosa di simile a un sistema di rilevamento delle intrusioni del case del computer .

Qualcosa come un nastro a prova di manomissione potrebbe funzionare (come quello nella foto sotto).

tamper evident tape

7
mikeazo

Il sistema informatico di cui parli su una workstation o un server? I requisiti per ognuno sembrano molto diversi.

Per quanto riguarda le workstation, penso che i laptop offrano maggiore sicurezza rispetto ai desktop. Essendo la tastiera una parte fisica del computer, collegare un registratore di chiavi diventa un compito molto più difficile (tuttavia questo non protegge contro lo sniffing simile a Tempest). Inoltre, durante le ore fuori ufficio, il computer può essere assunto dal dipendente riducendo il rischio di accesso dannoso (possono essere portati a casa, ma ciò richiede un forte coinvolgimento degli utenti nella politica di sicurezza dell'azienda o archiviato in un sicuro nell'ufficio aziendale).

Per i server, poiché devono rimanere attivi e funzionanti anche quando non c'è nessuno fisicamente presente nella stanza del server, penso che la protezione dei server porti alla protezione della stanza: accesso badge, rilevatori di presenza, videocamera di sorveglianza. Tuttavia, il fatto che un server debba rimanere attivo e funzionante è anche un punto di forza poiché, avresti un sistema di controllo ponderato, un riavvio o una disconnessione del server (o altri tipi di comportamento insolito, modifiche hardware, chiave USB o inserimento di supporti, ecc. .) dovrebbe lasciare prove non facili da manomettere (cioè non archiviate nella stessa stanza ...).

Purtroppo la sicurezza al 100% non esiste. Ma mentre leggo che parli di "idee economiche e creative per rilevare attacchi fisici contro il computer", questo mi ricorda questa divertente tecnica in un film in cui l '"hacker" ha girato le ruote della sua sedia da scrivania in una certa posizione quando ha lasciato il suo appartamento per rilevare qualsiasi mossa di questa sedia durante la sua assenza (=> qualcuno ha avuto accesso al suo desktop e, molto probabilmente, al suo computer).

2
WhiteWinterWolf

Ogni difesa contro l'accesso fisico richiede l'utilizzo della sicurezza fisica. L'unica sicurezza fisica a cui riesco a pensare è determinare un modo per determinare quando qualcosa è stato manomesso. Se lo hai stabilito, sai di non fornire la chiave della tua soluzione di sicurezza del software.

Una cosa che ho trovato interessante riguardo al video a cui ti sei collegato è che non affronta alcuna soluzione manomissione che rimarrebbe sconosciuta. Considera come funziona la steganografia: il principio è nascondere il tuo meccanismo di sicurezza. Pensa a quanto sarebbe perfetto uno strumento a prova di manomissione se dopo aver manomesso l'attrezzatura, l'attaccante non avesse idea di poterlo dire. Potresti anche essere in grado di recuperare il loro hardware e determinare chi era l'autore.

Forse qualcosa come mettere un capello umano attraverso un sigillo.

2
deed02392

Penso che forse stai mirando troppo high-tech.

Rilevamento di attacchi da parte di estranei:

Qualsiasi misura di sicurezza fisica che si basa sull'ispezione visiva dopo il fatto è difettosa.

Un utente malintenzionato può (con sufficiente sforzo) produrre un sistema che è visivamente indistinguibile da quello attuale, ma che funge da proxy per il sistema reale (non aperto, non manomesso) che ha archiviato da qualche altra parte (monitorando tutte le comunicazioni).

Quindi: il metodo più efficace (in effetti, direi l'unico completo) di protezione fisica per un computer è la supervisione: registrazioni TVCC, controllo degli accessi e pattuglie di sicurezza. Quindi hai il problema di proteggere il tuo sistema TVCC da attacchi fisici - ma questo è (presumo) un problema che i sistemi TVCC già affrontano in un modo o nell'altro, almeno in termini di rilevamento.

Naturalmente, una volta che hai un tale sistema, puoi rendere più difficile il problema di replicare il sistema (o modificarlo senza lasciare traccia), con metodi come il nastro antimanomissione.

Rilevare gli attacchi dagli addetti ai lavori:

Ovviamente, il controllo degli accessi non ti aiuterà se il tuo aggressore è un insider dell'organizzazione.

CCTV e pattuglie di sicurezza saranno comunque utili. Garantire che le persone dell'organizzazione possano sempre vedere all'incirca ciò che fanno le altre persone li aiuteranno ad auto-polizia ("Cosa sta facendo Jane al suo computer?").

Ispezionare regolarmente o addirittura sostituire gli esterni economici (ad es. Tastiere/mouse) costringerebbe qualsiasi attacco fisico a verificarsi ai componenti più grandi (ad es. Torre del computer), che si spera sia più evidente (e nastro antimanomissione, ecc. Potrebbe anche aiutarti Qui). Per una piccola organizzazione, vendere tutti i tuoi vecchi monitor su eBay e acquistarne di nuovi potrebbe non costare molto (soprattutto se li stai acquistando di seconda mano).

Un attacco fisico probabilmente non è il vettore prescelto per un "insider" comunque - a meno che non stiamo parlando di un server a cui non sono destinati ad avere accesso (a quel punto, si applica la situazione di "outsider").

1
cloudfeet