Un sistema deve essere insicuro rispetto all'accesso fisico? Se è così, perché?

8

Ispirato a: Perché i sistemi operativi non proteggono da fonti non attendibili Tastiere USB?
Correlato: Cosa può un hacker quando ha accesso fisico a un sistema? (indirizzo i punti delle sue risposte principali di seguito).

Sembra che ci sia un vecchio adagio "se il malintenzionato ottiene l'accesso fisico, il computer non è più tuo". La mia domanda è, è che solo i produttori di hardware fanno schifo alla sicurezza, o c'è una ragione intrinseca che è vera. Puoi creare sistemi sicuri contro l'accesso fisico?

Ora, proteggere i dati è facile: crittografia e / o hashing. Quello di cui sto parlando è mantenere il dispositivo protetto in modo tale da poterlo ancora fidare.

In realtà, non sembra molto diverso dalla sicurezza del software. Tutto quello che devi fare è:

  • Richiedere eventuali componenti aggiuntivi hardware che devono essere approvati dall'utente prima di essere considerati attendibili:
    • Utilizza Separazione Privelege . Proprio come quando si scarica un'app, il SO indica quali sono le autorizzazioni necessarie, si potrebbe avere un computer che ti dice di quale autorizzazione ha bisogno l'hardware. In questo modo se hai una pen drive che richiede l'accesso alla tastiera, saprai che qualcosa è in corso.
    • Stabilire la crittografia della chiave pubblica-privata tra computer e hardware. Ciò potrebbe sconfiggere key-logger e altre minacce alla sicurezza.
    • Proprio come abbiamo i certificati per i siti Web, puoi avere i certificati per l'hardware (tastiera e monitor in particolare).
    • Come livello aggiuntivo, metti tutte le porte nella parte anteriore, dove l'utente può vederle.
  • Rende il sistema fisicamente durevole, in modo che l'attaccante non possa ricablare / inserire componenti dannosi all'interno del sistema.
    • Puoi farla frantumare completamente o qualcosa se si rompe, quindi il suo ovvio è qualcosa. In pratica, rendilo a prova di manomissione.
  • Incollalo / bloccalo a terra in modo che il sistema non possa essere sostituito.
    • Proprio come un livello extra, rendere il computer provare se stesso al telefono dell'utente, in qualche modo. Forse il telefono e il computer dell'utente hanno installato un sistema in grado di contrastare gli attacchi Man-in-the-Middle (ad esempio, il telefono comunica all'utente la password, ma lo firma con la chiave pubblica del computer).

Ci sono altri motivi che mi mancano, in particolare quelli che rendono la sicurezza fisica completamente impossibile, o che i produttori di hardware fanno semplicemente schifo alla sicurezza? (Anche se quanto sopra non è completamente completo, sembrano un passo nella giusta direzione). - Per prevenire contro le spy cam, rendere il monitor VR Goggles, che ha una connessione crittografata al computer (di nuovo, resistente all'uomo nel mezzo). (Ok, questo è un po 'fantasioso, ma lo sono anche le webcam spia.) - In realtà, un modo per eliminare molti vettori di attacco è quello di rendere la stanza insonorizzata e a prova di raggi X (se sei preoccupato per quella roba), e quindi permetti solo alle persone autorizzate di entrare. Risolvi tutti gli stessi problemi di sopra, ma è molto più semplice, ed è un ulteriore livello.  - Anche solo mettere un blocco sulla tastiera può impedire i key logger fisici.

Credo che la mia domanda escluda le risposte dei metodi per protezione dei sistemi informatici da attacchi fisici e Cosa può fare un hacker quando ha accesso fisico a un sistema? .

Domanda bonus: Ci sono sistemi sicuri contro l'accesso fisico?

    
posta PyRulez 06.02.2016 - 15:37
fonte

4 risposte

5

La risposta fondamentale è che il mercato non vuole davvero pagare per i computer di uso generale che sono sicuri contro gli attacchi fisici. Proponi di fare dei compromessi e quei compromessi implicano costi di ingegneria e costi operativi a cui interessa solo un piccolo numero di acquirenti.

Alcuni sistemi informatici cercano di fare questi compromessi (ad esempio, la Xbox) perché c'è un motivo di mercato (riduzione della pirateria del gioco). I produttori di ATM e i produttori di macchine per il voto hanno generalmente scelto di mettere le loro macchine in armadi chiusi.

Naturalmente, la maggior parte dei modi per mitigare le minacce sono soggetti ad ulteriori attacchi. Le serrature possono essere raccolte, la colla può essere raschiata o disciolta, e quindi un attaccante può forse modificare il sistema anche dopo che tutto questo lavoro è stato fatto, il che mette ulteriore pressione sugli aspetti economici.

Un'altra soluzione è quella di fornire prove di manomissione sulla resistenza alla manomissione, e questo è l'approccio generalmente utilizzato dai responsabili delle carte di credito. Certo, lì, la prova di manomissione pone la domanda di "evidente a chi, e come vengono formati?" Le prove di manomissione sono un altro punto lungo lo spettro economico.

    
risposta data 06.02.2016 - 18:02
fonte
2

Penso che alcune delle cose che proponi siano fattibili ma in conflitto con l'usabilità, la flessibilità o la libertà d'uso previste. Altri prendono idee dal mondo del software e cercano di adattarlo all'hardware, ma non riescono ad affrontare i problemi che abbiamo già dal lato software. Ma alcune idee sono già utilizzate in pratica.

Solo alcuni esempi:

  • Sigilla l'hardware, incollalo sul tavolo, distruggilo quando qualcuno tenta di aprirlo ... Esistono hardware autodistruggenti, cioè trovi resistenza alla manomissione nelle smart card e forse anche nei computer utilizzati in speciali livelli di sicurezza più elevati ambienti. Ma per un uso generale ha solo un impatto sull'usabilità, perché come fai a sapere che l'hardware è davvero manomesso in modo malevolo e non è semplicemente caduto accidentalmente sul pavimento? Nell'ultimo caso la maggior parte degli utenti si augura che possano ancora recuperare i dati dal sistema danneggiato, ma ciò non sarebbe possibile se il sistema rileva un attacco e distrugge i dati.
  • Accoppiamento sicuro crittografico tra componenti hardware con chiavi pubbliche-private, certificati, ecc ... Basta guardare il caos che abbiamo con le centinaia di agenzie di certificazione all'interno dei browser, con CA compromessa, ecc. Non migliorerà se ci trasferiremo questo all'hardware. In realtà tale abbinamento esiste già, ma soprattutto per far rispettare le restrizioni digitali (DRM) come con HDCP ecc.

In sintesi: guadagneresti qualcosa e perderai qualcosa allo stesso tempo. Per lo più non è possibile ottenere maggiore sicurezza senza rinunciare a parti di usabilità, flessibilità o libertà di utilizzo. L'obiettivo è quello di trovare il miglior equilibrio tra questi requisiti, ma questo ovviamente dipende molto dal caso d'uso.

    
risposta data 06.02.2016 - 16:37
fonte
2

Dipende da ciò che consideri un "computer sicuro". La sicurezza è in genere definita dalla triade della CIA di riservatezza, integrità e disponibilità. Una volta autorizzato l'accesso fisico a un dispositivo, si perde la possibilità di mantenere la disponibilità. È troppo difficile fare qualcosa di indistruttibile contro un avversario motivato e finanziato quando ne ha il controllo fisico.

Ma possiamo considerare la riservatezza e l'integrità. Ad esempio, un dispositivo che ha un strong rilevamento di manomissione e resistenza che distrugge i dati quando viene rilevata la manomissione potrebbe essere considerato sicuro anche quando la sicurezza fisica viene persa. Ciò non solo è ottenibile, ma ci sono standard che per tali prodotti come FIPS 140-2 Livello 3 :

FIPS 140-2 Level 3 adds requirements for physical tamper-resistance (making it difficult for attackers to gain access to sensitive information contained in the module) and identity-based authentication, and for a physical or logical separation between the interfaces by which "critical security parameters" enter and leave the module, and its other interfaces.

Ma soddisfare tali criteri è costoso. È possibile trovare supporti di memorizzazione e processori crittografici conformi a FIPS 140-2 Level 3, ma non interi sistemi di elaborazione. Finisce per essere più economico bloccare il computer in una stanza, mettere un allarme su di esso e assumere la sicurezza che produrre in massa computer che possono essere protetti dagli attacchi fisici.

    
risposta data 06.02.2016 - 23:26
fonte
-1

Ci sono tre problemi.

  1. Per definizione, qualcuno che ha accesso fisico su un sistema interrompe già la sicurezza.
  2. L'hardware è fatto per essere compatibile
  3. L'hardware ha molti più e molto più gravi vettori di attacco

My question is, is that just hardware manufacturers suck at security, or is there an intrinsic reason that is true. Can you create systems that are secure against physical access?

È improbabile che l'accesso fisico significhi che un soggetto non autorizzato ha accesso condiviso a un sistema a causa della natura stessa dell'accesso fisico.

Pertanto, se l'accesso fisico è definito come avente il controllo esclusivo su un sistema : La stessa definizione di sicurezza delle informazioni si basa sulla riservatezza, l'integrità e la disponibilità dei dati:

"Preservation of confidentiality, integrity and availability of information." (ISO/IEC 27000:2009)

Se i dati sono memorizzati all'interno di un sistema fisico e questo sistema è fisicamente preso in possesso da qualcuno non autorizzato, la disponibilità e quindi la sicurezza del sistema sono già persi. Questa è la definizione de facto della sicurezza delle informazioni. Se qualcuno controlla esclusivamente un server, le informazioni non sono più sicure. Questo è solo un aspetto.

do hardware manufacturers just suck at security?

No, ma la maggior parte di essi privilegia la facilità d'uso e lo sviluppo rapido rispetto alle funzionalità che potrebbero non rendere migliori i componenti stessi.

A parte il fatto che l'hardware è progettato per essere compatibile e utilizza protocolli aperti, l'accesso fisico consente molti più vettori di attacco come Cold Boot o input di pipe (keylogger hardware) o output (Side Channel Attacks come Van Eck). Mentre è possibile difendersi da tali attacchi, lo sforzo non ha alcuna relazione con l'effetto . Gli attacchi basati su hardware non sono il modo normale in cui i computer sono infetti e per aree ad alta sicurezza, ci sono politiche di sicurezza che coprono l'accesso fisico.

Quindi, anche se completamente non pratico, è un sistema fisico sicuro immaginabile?

Sì, ma sarà specializzato e limitato dalla sua incompatibilità. Tutto il suo hardware deve essere guidato da protocolli closed source e i dati devono essere crittografati in fase di runtime in modo tale che sia inaccessibile anche alle persone che possiedono fisicamente il sistema. Anche questo sistema non deve avere un HCI, perché ogni interfaccia con cui gli umani interagiscono è di per sé non sicura. Questo perché ogni input non controllato dal sistema stesso può essere intercettato quando inserito, e non c'è modo di controllare quali soggetti sono in grado di vedere ad esempio un output visivo. Inutile dire che questo sistema dovrebbe essere completamente inaccessibile internamente, il che significa indistruttibile, per evitare che venga smontato e decodificato.

Anche questo non interferisce con il principio di Kerckhoff, poiché per un sistema fisico sicuro al 100% deve essere impossibile decodificare comunque , e sotto questo vincolo non si applica il principio di Kerckhoff .

Alla fine, sarebbe un sistema veramente teorico e limitato con zero usabilità.

    
risposta data 06.02.2016 - 16:34
fonte