Metodi per proteggere i sistemi informatici da attacchi fisici

Ecco un attacco generico che sconfigge la maggior parte delle idee (altrimenti buone) che sono esposte qui:

The attacker buys a PC case which looks like the target system. Inside, he puts a system which presents the same login screen as the target system, at the time when it asks for the unlocking password. But as soon as the user enters his password, the system sends the password across the network (possibly wireless) then commits suicide (e.g. it detonates some fireworks to simulate a failing chemical condenser, then goes to a blank screen). The attacker then just has to purloin the complete computer and put his imitation in its place. Sure, this will be discovered, but that will be too late: the attacker already has the hard disk and the unlock password.

(Un attacco simile più economico e semplice è quello di sostituire la tastiera con una replica che ha lo stesso aspetto e funziona allo stesso modo, ma include anche il keylogger.)

Ovviamente questo attacco non può essere necessariamente applicato, ma a causa di elementi contestuali; per esempio. il computer è in un luogo pubblico e non c'è modo che qualcuno possa discostarsene discretamente con un computer pieno sotto il braccio (a meno che non sia mascherato da una specie di operatore IT, con jeans e barba incolta, nel qual caso questo probabilmente può essere tirato fuori ). Ciò evidenzia la importanza dell'ambiente .

Su una nota simile, il keylogging può essere fatto in remoto. Ad esempio, una telecamera può essere incollata dall'attaccante sul soffitto, con una vista completa della tastiera. Questo è fatto molto con ATM e dispositivi simili (ad esempio, pompe di benzina 24/7) in modo che le telecamere e il know -come per la loro installazione discreta sono già diffusi. Questo esempio mostra che ciò che conta non è l'integrità del computer , ma l'integrità dell'ambiente completo in cui vengono utilizzati i dati segreti , dove i "dati segreti" qui includono password dell'utente.

Generalmente, la prevenzione di attacchi come quello che spieghi può avvenire in tre modi:

1. All'attaccante viene impedito di alterare l'integrità fisica del computer, ad es. non potendo raggiungerlo. Esempio: un caso bloccato attorno al computer.

2. Esiste un sistema che garantisce, con una strong probabilità, che l'attaccante verrà identificato (in modo affidabile e prontamente) se tenta il suo attacco. Questo è un deterrente psicologico (questo potrebbe rendere l'attacco "non ne vale la pena" per l'aggressore). Esempio: telecamere di sicurezza.

3. Supponendo che l'attacco abbia avuto luogo, puoi rilevarlo all'ultimo minuto, proprio prima di inserire la password di destinazione.

I sistemi a prova di manomissione si concentrano sul terzo metodo, ma questa è l'ultima risorsa: questo sistema fa bene solo se i metodi dei primi due livelli falliscono. In questo senso, gli sforzi dovrebbero prima essere applicati agli altri due livelli.

Il problema con il tentativo di rilevare questi attacchi è che il loro obiettivo comune - workstation desktop - in gran parte passa inosservato per la maggior parte della sua vita. Anche se si trova effettivamente sul desktop, gli utenti raramente prestano attenzione ad esso tranne che per premere il pulsante di accensione, inserire / rimuovere i supporti rimovibili o collegare / scollegare gli accessori - tutto ciò generalmente può essere fatto dal anteriore del sistema, mentre il modo più semplice per nascondere questi attacchi è inserire rear . Potresti forse imporre che tutti i desktop siano mantenuti su sul desktop e che tutte le periferiche siano collegate alle porte frontali, ma quasi certamente non otterrà una buona accettazione da parte degli utenti.

Probabilmente non esiste un modo semplice per ostacolare un keylogger hardware, ad eccezione di controllare regolarmente le connessioni periferiche. Puoi includerlo nel tuo allenamento per l'utente finale, ma è improbabile che venga effettivamente fatto da loro e aumenta la probabilità che debbano chiedere aiuto quando hanno inavvertitamente scollegato qualcosa di essenziale nel processo. Un metodo migliore, se ce ne deve essere uno, potrebbe essere quello di avere una squadra di tecnici che esegue ispezioni hardware regolari.

Il modo più semplice e più conveniente per rilevare le violazioni nel case del computer sarebbe utilizzare adesivi simili a quelli utilizzati dagli OEM per la convalida della garanzia. Naturalmente, ciò richiede che controlli regolarmente detto adesivo per verificare che non sia stato manomesso. Ancora una volta, questo non è qualcosa che sarebbe ben accettato o implementato dall'utente finale. Quindi, spetterà ai vostri tecnici ispezionare regolarmente i loro sistemi. Dovrai anche assicurarti che i tecnici abbiano accesso agli adesivi in modo che possano applicarne di nuovi quando servono i sistemi, ma poi ci aggiriamo per la possibilità di attacchi interni.

In alternativa, alcuni casi e schede madri supportano i monitor basati su hardware che possono avvisarti al momento dell'avvio se il caso è stato aperto dall'ultima accensione. Questi possono o non possono essere facilmente aggirati (ad esempio: l'attaccante copre la sua traccia spegnendo e riaccendendo il sistema per respingere l'avviso prima che la vittima lo utilizzi di nuovo.) A seconda del progetto, e ancora potrebbe essere vulnerabile alle minacce interne.

Il problema con la sicurezza fisica è questo:

Se l'utente malintenzionato ha accesso fisico alla macchina, non c'è sicurezza.

Sfortunatamente, c'è molto poco da fare per una workstation per utente finale. Dove lavoro, usiamo workstation che sono davvero desktop. Quindi posizionare un adesivo di sicurezza sulla custodia di fronte in bella vista all'utente finale è facile. I sistemi di intrusione caso possono inviare un avviso se il caso è stato aperto, ma anche quelli possono essere neutralizzati. La migliore soluzione di sicurezza che posso pensare è quattro volte.

1. I controlli di accesso fisico alla posizione in cui sono conservati i computer. I dipendenti autorizzati a lavorare in quella posizione possono utilizzare una carta RFID o una striscia magnetica o un codice a barre sul loro badge identificativo per accedere attraverso una porta chiusa. Ciò consente agli accessi alla sede di essere controllati per dipendente.

2. Impone agli utenti di utilizzare l'autenticazione a due fattori: qualcosa che sai con qualcosa che hai. Ci sono diverse soluzioni sul mercato per questo. Un esempio sono i token SecurID RSA ampiamente diffusi.

3. Non memorizzare dati sensibili sui computer degli utenti finali. Memorizzalo solo sul server. Imponi la sicurezza dei dati utilizzando i controlli di accesso alla rete.

4. Educa i tuoi utenti.

Un effetto interessante di # 1 è che se un utente accede a un computer in una posizione in cui non vi è alcuna registrazione che acceda alla posizione, tale discrepanza può essere contrassegnata per la revisione. Inoltre, configurare una soluzione che visualizzi, in modo prominente, al momento dell'accesso l'ultima volta che hanno effettuato l'accesso e la durata del login. Le macchine Unix lo fanno già, ma non l'ho visto con le macchine Windows.

Per i server, le macchine sono solitamente memorizzate in una stanza sul retro da qualche parte. Invece di usare una chiave per entrare in una sala server bloccata, usa il metodo # 1. In questo modo, l'accesso è limitato alla stanza, possono essere eseguiti controlli di accesso e, se qualcuno viene lasciato andare per qualche motivo, è possibile rimuoverli dal sistema di accesso e non preoccuparsi di aver fatto una chiave duplicata nella stanza.

Come nota a margine, vorrei ricordare che se un attaccante sufficientemente motivato ha ottenuto l'accesso a un computer e rimosso il disco rigido, nemmeno una password hardware per l'hard disk impedirà loro di accedere ai dati archiviati su la guida. Da qualche tempo ho letto che l'unità stessa memorizza la chiave di crittografia, in modo chiaro, sui dischi del disco in una posizione a cui l'utente non può accedere. Tuttavia, un utente malintenzionato può aprire l'unità e leggere direttamente la chiave e quindi decrittografare l'intera unità.

Alla fine, un aggressore sufficientemente motivato non può essere fermato prima di arrestarlo e perseguirlo quando si tratta di sicurezza fisica. O trascinandoli fuori e sparandoli ... due volte per buona misura.

Ho avuto un computer Dell in una volta che mi avrebbe informato ogni volta che il caso era stato aperto. La reimpostazione della notifica è stata eseguita nel BIOS. Probabilmente qualcosa di simile a un sistema di rilevamento delle intrusioni dei casi di computer .

Qualcosa come il nastro a prova di manomissione potrebbe funzionare (come quello nella foto qui sotto).

Tutta la difesa contro l'accesso fisico richiede l'uso della sicurezza fisica. L'unica sicurezza fisica che posso pensare è determinare un modo per determinare quando qualcosa è stato manomesso. Se hai stabilito ciò, non fornire la chiave per la soluzione di sicurezza del tuo software.

Una cosa che ho trovato interessante riguardo a quel video a cui ti sei collegato è che non affronta alcuna soluzione a prova di manomissione che rimarrebbe sconosciuta. Considera come funziona la steganografia: il principio è che nascondi il tuo meccanismo di sicurezza. Pensa a quanto sarebbe perfetto uno strumento a prova di manomissione se, dopo aver manomesso la tua attrezzatura, l'aggressore non aveva idea che sarebbe stato in grado di dirlo. Potresti anche essere in grado di recuperare il loro hardware e determinare chi fosse il perpetratore.

Forse qualcosa come mettere un capello umano su un sigillo.

Il sistema informatico di cui parli su una workstation o un server? I requisiti per ognuno sembrano molto diversi.

Per quanto riguarda le workstation, penso che i laptop offrano maggiore sicurezza rispetto ai desktop. Essendo la tastiera una parte fisica del computer, il collegamento di un keylogger diventa un compito molto più difficile (tuttavia questo non protegge dallo sniffing simile a Tempest). Inoltre, durante le ore di fuori ufficio, il dipendente può essere assunto dal dipendente riducendo il rischio di accesso malevolo (può essere portato a casa, ma ciò richiede un strong coinvolgimento da parte degli utenti nella politica di sicurezza dell'azienda, o memorizzato in un sicuro nell'ufficio della società).

Per i server, dal momento che devono rimanere operativi anche se non c'è nessuno fisicamente presente nella stanza del server, penso che la protezione dei server porti alla sicurezza della stanza: accesso badge, rilevatori di presenza, telecamera di sorveglianza. Tuttavia, il fatto che un server abbia bisogno di rimanere attivo e in esecuzione è anche un punto di forza dal momento che, avresti un sistema di controllo ponderato, un riavvio o disconnessione del server (o altro tipo di comportamento insolito, modifiche hardware, chiave USB o inserimento multimediale, ecc. .) dovrebbe lasciare evidenze non facili da manomettere (cioè non conservate nella stessa stanza ...).

Purtroppo la sicurezza al 100% non esiste. Ma, mentre ti leggo, parli di "idee efficaci e creative per rilevare attacchi fisici contro il computer", questo mi ricorda questa tecnica divertente in un film in cui l'hacker ha girato le ruote della sua sedia da scrivania in una certa posizione quando ha lasciato il suo appartamento per rilevare qualsiasi spostamento di questa sedia durante la sua assenza (= > qualcuno ha avuto accesso al suo desktop e, molto probabilmente, al suo computer).

Penso che tu possa mirare troppo all'alta tecnologia

Rilevazione di attacchi da parte di estranei:

Qualsiasi misura di sicurezza fisica che si basa sull'ispezione visiva dopo il fatto è difettosa.

Un utente malintenzionato può (con abbastanza sforzo) produrre un sistema visivamente indistinguibile da quello attuale, ma agisce come proxy del sistema reale (non aperto, non controllato) che ha memorizzato da qualche altra parte (mentre sta monitorando tutte le comunicazioni) .

Quindi: il più strong (in realtà, direi il solo completo) metodo di protezione fisica per un computer è la supervisione: registrazioni CCTV, controllo degli accessi e pattuglie di sicurezza. Hai quindi il problema di proteggere il tuo sistema TVCC dagli attacchi fisici - ma questo è (presumo) un problema che i sistemi TVCC già affrontano in un modo o nell'altro, almeno in termini di rilevamento.

Naturalmente, una volta che si dispone di un sistema di questo tipo, è possibile rendere più difficile il problema di replicare il sistema (o alterarlo senza lasciare tracce) con metodi come il nastro antimanomissione.

Rilevamento di attacchi da parte di insider:

Ovviamente, il controllo degli accessi non ti aiuterà se il tuo attaccante è un membro interno dell'organizzazione.

CCTV e le pattuglie di sicurezza saranno comunque utili. Garantire che le persone nell'organizzazione possano sempre vedere più o meno ciò che fanno le altre persone li aiuterà ad autogestirsi ("Cosa sta facendo Jane al suo computer?").

Ispezionare regolarmente o anche scambiare parti esterne economiche (ad es. tastiere / mouse) costringerebbe qualsiasi attacco fisico ai componenti più grandi (ad es. torre del computer), che si spera sia più evidente (e nastro antimanomissione, ecc. anche aiutarti qui). Per una piccola organizzazione, vendere tutti i vecchi monitor su eBay e acquistarne di nuovi potrebbe non costare molto (specialmente se li stai acquistando di seconda mano).

Un attacco fisico probabilmente non è il vettore di scelta per un "insider" comunque - a meno che non stiamo parlando di un server a cui non si vuole avere accesso (a quel punto si applica la situazione di "outsider" ).