it-swarm-vi.com

Phương pháp bảo vệ hệ thống máy tính khỏi các cuộc tấn công vật lý

Tôi quan tâm đến các ý tưởng hiệu quả và sáng tạo về chi phí để phát hiện các cuộc tấn công vật lý chống lại các hệ thống máy tính. Điều này bao gồm, nhưng không giới hạn ở bảo mật bằng chứng giả mạo biện pháp.

Xem xét kịch bản tấn công sau: Kẻ tấn công muốn lấy dữ liệu từ ổ cứng. Máy đích được thiết lập với Mã hóa toàn bộ đĩa, mật khẩu bios được đặt và mức độ ưu tiên khởi động cho biết ổ đĩa được mã hóa là thiết bị đầu tiên được khởi động.

Cụm mật khẩu phải được nhập để giải mã ổ đĩa và khởi động máy. Một Keylogger phần cứng có thể được cài đặt để có được giá trị này. Một số triển khai mã hóa toàn bộ đĩa có thể bị đánh bại với Bus Sniffing , tuy nhiên để thực hiện cuộc tấn công này, trường hợp máy tính phải được mở. Trong một trong hai cuộc tấn công, sau một thời gian kẻ tấn công có thể quay lại và thu thập cụm từ cứng và chặn mật khẩu.

Làm thế nào bạn có thể phát hiện nếu trường hợp máy tính của bạn đã được mở? Làm thế nào bạn có thể cản trở việc sử dụng một keylogger phần cứng?

Ngoài ra đây là một cuộc nói chuyện tuyệt vời trên Bỏ qua các thiết bị hiển thị giả mạo .

Chỉnh sửa: Tình trạng an ninh vật lý hiện đại là vô cùng nghèo nàn. Theo nghĩa đen, mọi khóa cửa có sẵn tại Walmart địa phương của tôi có thể được chọn trong vài giây. Hầu hết các ngôi nhà ở Mỹ vẫn đang sử dụng khóa pin tumbler ban đầu được phát minh bởi người Ai Cập từ hàng ngàn năm trước.

41
rook

Đây là một cuộc tấn công chung đánh bại hầu hết các ý tưởng (nếu không thì tốt) được đưa ra ở đây:

Kẻ tấn công mua vỏ máy tính giống như hệ thống đích. Bên trong, anh ta đặt một hệ thống hiển thị cùng màn hình đăng nhập với hệ thống đích, tại thời điểm nó yêu cầu mở khóa mật khẩu. Nhưng ngay sau khi người dùng nhập mật khẩu của mình, hệ thống sẽ gửi mật khẩu qua mạng (có thể là không dây) sau đó tự tử (ví dụ: nó kích nổ một số pháo hoa để mô phỏng một bình ngưng hóa chất bị hỏng, sau đó chuyển sang màn hình trống). Kẻ tấn công sau đó chỉ cần thuần hóa máy tính hoàn chỉnh và đặt giả của mình vào vị trí của nó. Chắc chắn, điều này sẽ được phát hiện, nhưng điều đó sẽ quá muộn: kẻ tấn công đã có đĩa cứng và mật khẩu mở khóa.

(Một cuộc tấn công tương tự rẻ hơn và dễ dàng hơn là thay thế bàn phím bằng một bản sao trông giống nhau và hoạt động giống nhau, nhưng cũng bao gồm keylogger.)

Tất nhiên cuộc tấn công này không nhất thiết phải được áp dụng, nhưng vì các yếu tố theo ngữ cảnh; ví dụ. máy tính ở nơi công cộng và không có cách nào ai đó có thể kín đáo bỏ đi với một vỏ máy tính đầy đủ dưới tay anh ta (trừ khi được ngụy trang như một nhà điều hành CNTT, với quần jean và râu quai nón, trong trường hợp này có thể bị tháo ra ). Điều này nhấn mạnh tầm quan trọng của môi trường .

Trên một lưu ý tương tự, keylogging có thể được thực hiện từ xa. Chẳng hạn, một máy ảnh có thể được kẻ tấn công dán trên trần nhà, với một cái nhìn toàn cảnh về bàn phím. Điều này được thực hiện rất nhiều với ATM và các thiết bị tương tự (ví dụ: bơm xăng 24/7), vì vậy máy ảnh và bí quyết lắp đặt kín đáo của chúng đã được phổ biến rộng rãi . Ví dụ này cho thấy điều quan trọng không phải là tính toàn vẹn của máy tính, mà là tính toàn vẹn của môi trường hoàn chỉnh nơi sử dụng dữ liệu bí mật, trong đó "dữ liệu bí mật "Ở đây bao gồm mật khẩu của người dùng.


Nhìn chung, việc ngăn chặn các cuộc tấn công như cách bạn giải thích có thể xảy ra theo ba cách:

  1. Kẻ tấn công bị ngăn không cho thay đổi tính toàn vẹn vật lý của máy tính, ví dụ: bằng cách không thể đạt được nó. Ví dụ: một trường hợp bị khóa xung quanh máy tính.

  2. Một hệ thống được bảo đảm, với xác suất mạnh mẽ, kẻ tấn công sẽ được xác định (đáng tin cậy và kịp thời) nếu anh ta thử tấn công. Đây là một biện pháp ngăn chặn tâm lý (điều này có thể khiến cuộc tấn công "không đáng" đối với kẻ tấn công). Ví dụ: camera an ninh.

  3. Giả sử rằng cuộc tấn công đã diễn ra, bạn có thể phát hiện ra nó vào phút cuối, ngay trước khi nhập mật khẩu đích.

Các hệ thống giả mạo tập trung vào phương pháp thứ ba, nhưng đó là biện pháp cuối cùng: các hệ thống này chỉ làm tốt nếu các phương pháp ở hai cấp độ đầu tiên thất bại. Theo nghĩa đó, những nỗ lực đầu tiên nên được áp dụng ở hai cấp độ khác.

11
Tom Leek

Vấn đề với việc cố gắng phát hiện các cuộc tấn công này là mục tiêu chung của chúng - máy trạm để bàn - phần lớn không bị quan sát trong phần lớn cuộc đời của nó. Ngay cả khi nó thực sự nằm trên máy tính để bàn, người dùng hiếm khi chú ý đến nó ngoại trừ Nhấn nút nguồn, chèn/loại bỏ phương tiện di động hoặc phụ kiện cắm/không cắm - tất cả đều có thể được thực hiện từ phía trước của hệ thống, trong khi cách đơn giản nhất để ẩn các cuộc tấn công này là cắm vào phía sa. Có lẽ bạn có thể yêu cầu tất cả các máy tính để bàn thực sự được giữ bật máy tính để bàn và có tất cả các thiết bị ngoại vi được cắm vào các cổng phía trước, nhưng điều đó gần như chắc chắn sẽ không được người dùng chấp nhận.

Có lẽ không có cách nào dễ dàng để cản trở một keylogger phần cứng, ngoại trừ việc thường xuyên kiểm tra các kết nối ngoại vi của bạn. Bạn có thể đưa điều này vào khóa đào tạo người dùng cuối của mình, nhưng thực tế chưa bao giờ được thực hiện bởi họ và điều đó làm tăng khả năng họ sẽ phải gọi trợ giúp khi họ vô tình rút ra một thứ gì đó thiết yếu trong quy trình. Một phương pháp tốt hơn, nếu phải có một, có thể là có một đội ngũ kỹ thuật viên thực hiện kiểm tra phần cứng thường xuyên.

Cách dễ nhất và hiệu quả nhất để phát hiện các vi phạm vào vỏ máy tính là sử dụng nhãn dán giống như các OEM sử dụng để xác nhận bảo hành. Tất nhiên, điều này sẽ yêu cầu bạn thường xuyên kiểm tra nhãn dán đã nói để xác minh rằng nó không bị giả mạo. Một lần nữa, đây không phải là thứ sẽ được người dùng cuối chấp nhận hoặc thực hiện tốt. Vì vậy, sẽ tùy thuộc vào kỹ thuật viên của bạn để thường xuyên kiểm tra hệ thống của họ. Bạn cũng phải đảm bảo rằng các kỹ thuật viên cho biết có quyền truy cập vào nhãn dán để họ có thể áp dụng các nhãn mới bất cứ khi nào họ bảo trì hệ thống, nhưng sau đó chúng tôi đi sâu vào khả năng tấn công nội gián.

Cách khác, một số vỏ và bo mạch chủ hỗ trợ màn hình dựa trên phần cứng có thể cảnh báo bạn khi khởi động nếu vỏ được mở kể từ lần bật nguồn cuối cùng. Chúng có thể dễ dàng phá vỡ (ví dụ: Attacker che dấu vết của mình bằng cách đạp điện hệ thống để loại bỏ cảnh báo trước khi nạn nhân sử dụng lại.) Tùy theo thiết kế, và một lần nữa vẫn có thể dễ bị tổn thương trước các mối đe dọa từ bên trong.

20
Iszi

Vấn đề với bảo mật vật lý là đây:

Nếu kẻ tấn công có quyền truy cập vật lý vào máy thì không có bảo mật.

Thật không may, có rất ít có thể được thực hiện về nó cho một máy trạm người dùng cuối. Nơi tôi làm việc, chúng tôi sử dụng các máy trạm thực sự là máy tính để bàn. Vì vậy, đặt một nhãn dán bảo mật trên trường hợp ở phía trước trong tầm nhìn rõ ràng của người dùng cuối là dễ dàng. Các hệ thống xâm nhập trường hợp có thể gửi cảnh báo nếu trường hợp được mở, nhưng chúng cũng có thể được chống lại. Giải pháp bảo mật tốt nhất mà tôi có thể nghĩ đến là bốn lần.

  1. Kiểm soát truy cập vật lý đến vị trí mà máy tính được giữ. Nhân viên được ủy quyền làm việc tại địa điểm đó có thể sử dụng thẻ RFID hoặc một số dải từ hoặc mã vạch trên huy hiệu ID của họ để có quyền truy cập thông qua cửa bị khóa. Điều này cho phép truy cập vào vị trí được kiểm toán trên cơ sở mỗi nhân viên.

  2. Buộc người dùng sử dụng xác thực hai yếu tố: Thứ mà bạn biết với thứ bạn có. Có một số giải pháp trên thị trường cho việc này. Một ví dụ là mã thông báo RSA SecurID phổ biến rộng rãi.

  3. Không lưu trữ dữ liệu nhạy cảm trên các máy của người dùng cuối. Chỉ lưu trữ nó trên máy chủ. Tăng cường bảo mật dữ liệu bằng cách sử dụng các điều khiển truy cập mạng.

  4. Giáo dục người dùng của bạn.

Một hiệu ứng thú vị của # 1 là nếu người dùng đăng nhập vào máy tính tại một địa điểm không có hồ sơ về việc họ truy cập vị trí đó, sự khác biệt đó có thể được gắn cờ để xem xét. Ngoài ra, hãy định cấu hình một giải pháp hiển thị, nổi bật, khi đăng nhập lần cuối họ đăng nhập và thời gian đăng nhập. Các máy Unix đã làm điều này rồi, nhưng tôi chưa thấy điều này với các máy Windows.

Đối với máy chủ, máy thường được lưu trữ trong phòng phía sau ở đâu đó. Thay vì sử dụng khóa để vào phòng máy chủ bị khóa, hãy sử dụng phương pháp cho # 1. Bằng cách đó, quyền truy cập bị hạn chế trong phòng, có thể thực hiện kiểm toán truy cập và nếu ai đó buông tay vì một lý do nào đó, bạn có thể xóa chúng khỏi hệ thống truy cập và không lo lắng về việc họ đã tạo một khóa trùng lặp cho phòng.

Một ghi chú bên lề, tôi muốn đề cập rằng nếu một kẻ tấn công đủ động lực có được quyền truy cập vào máy tính và gỡ bỏ đĩa cứng, thậm chí mật khẩu phần cứng cho đĩa cứng sẽ ngăn chúng truy cập vào dữ liệu được lưu trữ trên ổ đĩa. Tôi đã đọc được một lúc nào đó rằng ổ đĩa tự lưu trữ khóa mã hóa, trong tâm trí rõ ràng, trên đĩa của bạn ở một vị trí mà người dùng không thể truy cập. Tuy nhiên, kẻ tấn công có thể mở ổ đĩa và đọc khóa trực tiếp và từ đó giải mã toàn bộ ổ đĩa.

Cuối cùng, một kẻ tấn công đủ động lực không thể dừng việc bắt giữ và truy tố họ khi nói đến an ninh vật lý. Hoặc kéo chúng ra và bắn chúng ... hai lần để có biện pháp tốt.

11
Daniel Rudy

Tôi đã có một máy tính Dell tại một thời điểm sẽ thông báo cho tôi bất cứ khi nào vụ án được mở. Đặt lại thông báo đã được thực hiện trong BIOS. Có lẽ là một cái gì đó tương tự như hệ thống phát hiện xâm nhập trường hợp máy tính .

Một cái gì đó giống như băng giả mạo có thể hoạt động (như hình dưới đây).

tamper evident tape

7
mikeazo

Là hệ thống máy tính mà bạn nói về máy trạm hay máy chủ? Các yêu cầu cho mỗi một dường như rất khác nhau.

Về máy trạm, tôi nghĩ rằng máy tính xách tay cung cấp bảo mật cao hơn máy tính để bàn. Bàn phím là một bộ phận vật lý của máy tính, việc cắm bộ ghi phím trở thành một nhiệm vụ khó khăn hơn nhiều (tuy nhiên điều này không bảo vệ chống lại việc đánh hơi giống như Tempest). Ngoài ra, trong giờ làm việc, nhân viên có thể sử dụng máy tính để giảm nguy cơ truy cập độc hại (chúng có thể được mang ở nhà, nhưng điều này đòi hỏi sự tham gia mạnh mẽ của người dùng vào chính sách bảo mật của công ty hoặc được lưu trữ trong an toàn trong văn phòng công ty).

Đối với máy chủ, vì chúng cần duy trì và chạy ngay cả khi không có ai hiện diện trong phòng máy chủ, tôi nghĩ rằng việc bảo vệ máy chủ sẽ dẫn đến việc bảo vệ phòng: truy cập huy hiệu, thiết bị phát hiện, camera giám sát. Tuy nhiên, thực tế là một máy chủ cần duy trì và chạy cũng là một thế mạnh vì bạn sẽ có một hệ thống kiểm toán chu đáo, khởi động lại hoặc ngắt kết nối máy chủ (hoặc loại hành vi bất thường khác, thay đổi phần cứng, khóa usb hoặc chèn phương tiện, v.v. .) nên để lại bằng chứng không dễ giả mạo (nghĩa là không được lưu trữ trong cùng một phòng ...).

Đáng buồn là bảo mật 100% không tồn tại. Nhưng, trong khi tôi đọc bạn nói về "ý tưởng sáng tạo và hiệu quả về chi phí để phát hiện các cuộc tấn công vật lý chống lại máy tính", điều này khiến tôi nhớ đến kỹ thuật hài hước này trong một bộ phim mà "hacker" đã xoay bánh xe của máy tính để bàn của mình ở một vị trí nhất định khi rời khỏi căn hộ của anh ấy để phát hiện bất kỳ sự di chuyển nào của chiếc ghế này trong thời gian anh ấy vắng mặt (=> ai đó đã truy cập máy tính để bàn của anh ấy và rất có thể là máy tính của anh ấy).

2
WhiteWinterWolf

Tất cả các phòng thủ chống lại truy cập vật lý đòi hỏi bạn phải sử dụng bảo mật vật lý. Bảo mật vật lý duy nhất tôi có thể nghĩ đến là xác định một cách để bạn xác định khi nào một cái gì đó đã bị giả mạo. Nếu bạn đã thiết lập điều này, bạn biết không cung cấp chìa khóa cho giải pháp bảo mật phần mềm của mình.

Một điều tôi thấy thú vị về video mà bạn liên kết đến là anh ấy không đề cập đến bất kỳ giải pháp giả mạo nào còn tồn tại. Xem xét cách hoạt động của steganography - nguyên tắc là bạn che giấu cơ chế an toàn của mình. Hãy nghĩ rằng một công cụ giả mạo hoàn hảo sẽ như thế nào nếu sau khi giả mạo thiết bị của bạn, kẻ tấn công không biết bạn sẽ có thể nói như thế nào. Bạn thậm chí có thể khôi phục phần cứng của họ và xác định ai là thủ phạm.

Có lẽ một cái gì đó giống như đặt một sợi tóc của con người trên một con dấu.

2
deed02392

Tôi nghĩ rằng bạn có thể nhắm mục tiêu công nghệ cao.

Phát hiện các cuộc tấn công từ người ngoài:

Bất kỳ biện pháp bảo mật vật lý nào dựa vào kiểm tra trực quan sau thực tế là thiếu sót.

Kẻ tấn công có thể (với đủ nỗ lực) tạo ra một hệ thống không thể phân biệt trực quan với hệ thống hiện tại của bạn, nhưng hoạt động như một proxy cho hệ thống thực (chưa mở, chưa được xử lý) mà chúng đã lưu trữ ở một nơi khác (trong khi giám sát tất cả các giao tiếp).

Vì vậy: phương pháp bảo vệ vật lý mạnh nhất (trên thực tế, tôi sẽ tranh luận duy nhất) cho máy tính là giám sát - hồ sơ camera quan sát, kiểm soát truy cập và tuần tra an ninh. Sau đó, bạn có vấn đề bảo vệ hệ thống camera quan sát của mình khỏi các cuộc tấn công vật lý - nhưng đây là (tôi cho rằng) một vấn đề mà các hệ thống camera quan sát đã giải quyết ở mức độ này hay mức độ khác, ít nhất là về mặt phát hiện.

Tất nhiên, một khi bạn có một hệ thống như vậy, thì bạn có thể làm cho vấn đề sao chép hệ thống (hoặc thay đổi nó mà không để lại dấu vết), bằng các phương pháp như băng giả mạo.

Phát hiện các cuộc tấn công từ người trong cuộc:

Rõ ràng, kiểm soát truy cập sẽ không giúp bạn nếu kẻ tấn công của bạn là người trong cuộc của tổ chức.

Camera quan sát và tuần tra an ninh vẫn sẽ hữu ích, mặc dù. Đảm bảo rằng mọi người trong tổ chức luôn có thể nhìn thấy những gì người khác đang làm sẽ giúp họ tự cảnh sát ("Jane đang làm gì với máy tính của cô ấy?").

Thường xuyên kiểm tra hoặc thậm chí trao đổi bên ngoài giá rẻ (ví dụ: bàn phím/chuột) sẽ buộc bất kỳ cuộc tấn công vật lý nào xảy ra với các thành phần lớn hơn (ví dụ: tháp máy tính), hy vọng sẽ dễ nhận thấy hơn (và băng giả mạo, v.v.) cũng sẽ giúp bạn đây). Đối với một tổ chức nhỏ, việc bán tất cả các màn hình cũ của bạn trên eBay và mua những màn hình mới có thể không tốn nhiều tiền (đặc biệt là nếu bạn cũng đang sử dụng những màn hình cũ đó).

Một cuộc tấn công vật lý có lẽ không phải là lựa chọn của "người trong cuộc" - trừ khi chúng ta đang nói về một máy chủ mà họ không có quyền truy cập (tại thời điểm đó, tình huống "người ngoài cuộc" được áp dụng).

1
cloudfeet