it-swarm-tr.com

Bilgisayar sistemlerini fiziksel saldırılara karşı koruma yöntemleri

Bilgisayar sistemlerine yönelik fiziksel saldırıları tespit etmek için uygun maliyetli ve yaratıcı fikirlerle ilgileniyorum. Bu, bunlarla sınırlı olmamak üzere Tamper Belirgin güvenlik önlemlerini içerir.

Aşağıdaki saldırı senaryosunu göz önünde bulundurun: Saldırgan bir sabit diskten veri almak ister. Hedef makine Tam Disk Şifrelemesi ile ayarlanmış, bir bios şifresi ayarlanmış ve önyükleme önceliği şifreli sürücünün önyüklenecek ilk cihaz olduğunu belirtir.

Sürücünün şifresini çözmek ve makineyi önyüklemek için parola yazılmalıdır. Bu değeri elde etmek için A Hardware Keylogger kurulabilir. Bazı tam disk şifreleme uygulamaları Bus Sniffing ile yenilebilir, ancak bu saldırıyı gerçekleştirmek için bilgisayar kasasının açılması gerekir. Her iki saldırıda da, bir süre sonra saldırgan sabit sürücüyü ve ele geçirilen parolayı geri alabilir ve toplayabilir.

Bilgisayar kasanızın açılıp açılmadığını nasıl tespit edebilirsiniz? Bir donanım keylogger kullanımını nasıl engelleyebilirsiniz?

Ayrıca burada harika bir konuşma Sabotaj Belirgin Cihazlarını Atlama .

Düzenleme: Modern fiziksel güvenlik durumu inanılmaz derecede zayıf. Kelimenin tam anlamıyla yerel Walmart'ımdaki her kapı kilidi saniyeler içinde seçilebilir. ABD'deki çoğu ev hala binlerce yıl önce Mısırlılar tarafından icat edilen pin tumbler kilitlerini kullanıyor.

41
rook

Burada ortaya çıkan (aksi halde iyi) fikirlerin çoğunu yenen genel bir saldırı:

Saldırgan, hedef sisteme benzeyen bir PC kasası satın alır. İçeride, kilit açma şifresini istediğinde, hedef sistemle aynı giriş ekranını sunan bir sistem koyar. Ancak kullanıcı şifresini girer girmez, sistem şifreyi ağ üzerinden gönderir (muhtemelen kablosuz), ardından intihar eder (örneğin, arızalı bir kimyasal kondansatörü simüle etmek için bazı havai fişekleri patlatır, ardından boş bir ekrana gider). Saldırgan daha sonra tüm bilgisayarı aldatmalı ve taklitini yerine koymalıdır. Elbette, bu keşfedilecek, ancak bu çok geç olacak: saldırganın zaten sabit diski ve kilit açma şifresi var.

(Daha ucuz ve daha kolay benzer bir saldırı, klavyeyi aynı görünen ve aynı çalışan ancak aynı zamanda keylogger'ı içeren bir çoğaltma ile değiştirmektir.)

Tabii ki bu saldırı mutlaka uygulanamaz, ancak bağlamsal unsurlar nedeniyle; Örneğin. bilgisayar halka açık bir yerde ve birisinin kolunun altında tam bir bilgisayar kasasıyla gizlice kaçabilmesinin hiçbir yolu yoktur (bir çeşit BT operatörü olarak gizlenmedikçe, kot pantolon ve dağınık sakallı, bu durumda muhtemelen çekilebilir ). Bu, çevrenin önemini vurgulamaktadır .

Benzer bir notta, keylogging uzaktan yapılabilir. Örneğin, bir kamera klavyenin tam görüntüsüyle tavandaki saldırgan tarafından yapıştırılabilir. Bu, ATM ve benzer cihazlarla (örn. 24/7 gaz pompaları) çok yapılır, böylece kameralar ve gizli kurulumları için know-how zaten yaygındır. . Bu örnek önemli olanın bütünlük değil bilgisayarın, ancak gizli verilerin kullanıldığı tüm ortamın bütünlüğü olduğunu gösterir, burada "gizli veriler "burada kullanıcının şifresini içerir.


Genel olarak, açıkladığınız saldırı gibi saldırıların önlenmesi üç şekilde gerçekleşebilir:

  1. Saldırganın bilgisayarın fiziksel bütünlüğünü değiştirmesi, ör. ulaşamamak. Örnek: bilgisayarın etrafında kilitli bir kasa.

  2. Güçlü bir olasılıkla, saldırganın saldırısını denediğinde (güvenilir ve derhal) tanımlanmasını garanti eden bir sistem mevcuttur. Bu psikolojik bir caydırıcıdır (saldırıyı saldırgan için "buna değmez" yapabilir). Örnek: güvenlik kameraları.

  3. Saldırının gerçekleştiği varsayılarak, hedef şifreyi girmeden hemen önce son dakikada tespit edebilirsiniz.

Kurcalanmaya açık sistemler üçüncü yönteme odaklanır, ancak bu son çare: bu sistem yalnızca ilk iki düzeydeki yöntemler başarısız olursa herhangi bir fayda sağlar. Bu anlamda, çabalar ilk önce diğer iki düzeyde de uygulanmalıdır.

11
Tom Leek

Bu saldırıları tespit etmeye çalışmanın problemi, ortak hedeflerinin - masaüstü iş istasyonlarının - yaşamının büyük bir kısmı boyunca büyük ölçüde gözlemlenmemesidir. Masaüstünde gerçekten otursa bile, kullanıcılar güç düğmesine basmak, çıkarılabilir medya takmak/çıkarmak veya tak/çıkar fiş aksesuarları dışında nadiren buna dikkat ederler - bunların tümü genellikle sistemin ön tarafı , bu saldırıları saklamanın en basit yolu arka tarafına takmaktır . Belki de tüm masaüstlerinin masaüstünde masaüstünde tutulmasını ve tüm çevre birimlerinin ön taraftaki bağlantı noktalarına takılı olmasını zorunlu kılabilirsiniz, ancak bu kesinlikle kesinlikle olmaz iyi kullanıcı kabulü kazanmak.

Çevresel bağlantılarınızı düzenli olarak kontrol etmek dışında, bir donanım tuş kaydedicisini engellemenin kolay bir yolu yoktur. Bunu son kullanıcı eğitiminize dahil edebilirsiniz, ancak gerçekte onlar tarafından yapılması pek olası değildir ve bu, işlemde önemli bir şeyi çıkarmadan yardım istemeleri olasılığını artırır. Daha iyi bir yöntem, eğer varsa, bir teknisyen ekibinin düzenli donanım denetimleri yapmasını sağlamak olabilir.

Bilgisayar kasasının kendisindeki ihlalleri tespit etmenin en kolay ve en uygun maliyetli yolu, OEM'lerin garanti doğrulaması için kullandıklarına benzer etiketler kullanmak olacaktır. Tabii ki, bu, tahrif edilmediğini doğrulamak için söz konusu çıkartmayı düzenli olarak kontrol etmenizi gerektirir. Yine, bu son kullanıcı tarafından iyi kabul edilecek veya uygulanacak bir şey değildir. Bu nedenle, sistemlerini düzenli olarak incelemek teknisyenlerinizin sorumluluğundadır. Ayrıca, söz konusu teknisyenlerin sistemlere hizmet verdiklerinde yenilerini uygulayabilmeleri için çıkartmalara erişebildiğinden emin olmanız gerekir, ancak daha sonra içeriden saldırıların olasılığına gireriz.

Alternatif olarak, bazı kılıflar ve anakartlar, kasa son açılıştan bu yana açıldıysa önyükleme sırasında sizi uyarabilen donanım tabanlı monitörleri destekler. Bunlar tasarıma kolayca atlatılabilir veya atlatılabilir (yani: Saldırgan, kurbanı tekrar kullanmadan önce uyarıyı kapatmak için sistemi kapatıp kapatarak izini kapatır.) Ve yine içeriden gelen tehditlere karşı savunmasız olabilir.

20
Iszi

Fiziksel güvenlikle ilgili sorun şudur:

Saldırganın makineye fiziksel erişimi varsa, güvenlik yoktur.

Ne yazık ki, son kullanıcı iş istasyonu için bu konuda yapılabilecek çok az şey var. Çalıştığım yerde, gerçekten masaüstü bilgisayar olan iş istasyonlarını kullanıyoruz. Bu nedenle, son kullanıcının düz görüşünde kasaya bir güvenlik etiketi yerleştirmek kolaydır. Vaka izinsiz giriş sistemleri, vaka açıldıysa bir uyarı gönderebilir, ancak bunlar da karşılanabilir. Aklıma gelen en iyi güvenlik çözümü dört kat.

  1. Bilgisayarların tutulduğu yere fiziksel erişim denetimleri. Bu konumda çalışma yetkisi olan çalışanlar, kilitli bir kapıdan erişim elde etmek için kimlik kartlarında bir RFID kartı veya manyetik şerit veya barkod kullanabilirler. Bu, konuma erişimin çalışan başına esasına göre denetlenmesini sağlar.

  2. Kullanıcıları iki faktörlü kimlik doğrulaması kullanmaya zorlayın: Sahip olduğunuz bir şeyle bildiğiniz bir şey. Bunun için piyasada birkaç çözüm var. Bir örnek, yaygın olarak kullanılan RSA SecurID belirteçleridir.

  3. Hassas verileri son kullanıcı makinelerinde saklamayın. Sadece sunucuda saklayın. Ağ erişim denetimlerini kullanarak veri güvenliğini güçlendirin.

  4. Kullanıcılarınızı eğitin.

# 1'in ilginç bir etkisi, bir kullanıcı, konuma erişen bir kaydının olmadığı bir konumda bir bilgisayarda oturum açarsa, bu tutarsızlığın incelenmek üzere işaretlenebilmesidir. Ayrıca, giriş yaptıktan sonra en son giriş yaptıkları zaman ve giriş süresini gösteren bir çözümü yapılandırın. Unix makineleri bunu zaten yapıyor, ancak bunu Windows makinelerinde görmedim.

Sunucular için, makineler genellikle bir yerde arka odada saklanır. Kilitli sunucu odasına girmek için bir anahtar kullanmak yerine # 1 yöntemini kullanın. Bu şekilde, erişim odayla sınırlıdır, erişim denetimleri gerçekleştirilebilir ve bir nedenle birisine izin verilirse, bunları erişim sisteminden kaldırabilir ve odanın yinelenen bir anahtarını yaptıklarından endişe edemezsiniz.

Bir yan not olarak, yeterince motive olmuş bir saldırgan bir bilgisayara erişirse ve sabit diski çıkarırsa, sabit disk için bir donanım şifresinin bile sürücüde depolanan verilere erişmesini durduramayacağını belirtmek isterim. Bir süre önce sürücünün şifreleme anahtarını, açık bir şekilde, kullanıcının erişemeyeceği bir konumda disk plakalarında sakladığını okudum. Ancak, bir saldırgan sürücüyü açabilir ve anahtarı doğrudan okuyabilir ve böylece tüm sürücünün şifresini çözebilir.

Sonunda, yeterince motive olmuş bir saldırgan, fiziksel güvenlik söz konusu olduğunda onları tutuklamaktan ve kovuşturmaktan kurtulamaz. Ya da onları sürükleyip çekmek ... iki kere iyi ölçmek için.

11
Daniel Rudy

Bir kerede, kasanın her açılışında beni bilgilendirecek bir Dell bilgisayarım vardı. Bildirimin sıfırlanması BIOS'ta yapıldı. Muhtemelen bir bilgisayar kasası saldırı tespit sistemi benzer bir şey.

Kurcalanmaya karşı koruma bandı gibi bir şey işe yarayabilir (aşağıda gösterilen gibi).

tamper evident tape

7
mikeazo

Bahsettiğiniz bilgisayar sistemi bir iş istasyonu veya sunucu hakkında mı? Her biri için gereksinimler çok farklı görünüyor.

İş istasyonlarıyla ilgili olarak, dizüstü bilgisayarların masaüstü bilgisayarlardan daha fazla güvenlik sunduğunu düşünüyorum. Bilgisayarın fiziksel bir parçası olan klavye, tuş kaydediciyi takmak çok daha zor bir iş haline gelir (ancak bu, Tempest benzeri koklamaya karşı koruma sağlamaz). Ayrıca, mesai saatleri dışında, bilgisayar, kötü niyetli erişim riskini azaltan çalışan tarafından alınabilir (bunlar eve getirilebilir, ancak bu, şirketin güvenlik politikasındaki kullanıcılardan güçlü bir katılım gerektirir veya bir şirket ofisinde güvenli).

Sunucular için, sunucu odasında fiziksel olarak kimse yokken bile çalışmaya devam etmeleri gerektiğinden, sunucuların güvenliğinin odanın güvenliğine yol açtığını düşünüyorum: rozet erişimi, varlık dedektörleri, güvenlik kamerası. Bununla birlikte, bir sunucunun ayakta kalması ve çalışması gerektiği gerçeği de güçlüdür, çünkü düşünceli bir denetim sisteminiz, sunucunuzun yeniden başlatılması veya bağlantısının kesilmesi (veya başka türden olağandışı davranışlar, donanım değişiklikleri, usb anahtarı veya medya ekleme vb.) .) kurcalanması kolay olmayan kanıtlar bırakmalıdır (örn. aynı odada saklanmamalıdır ...).

Ne yazık ki% 100 güvenlik mevcut değil. Ancak, "bilgisayara karşı fiziksel saldırıları tespit etmek için uygun maliyetli ve yaratıcı fikirler" hakkında konuştuğunuzu okurken, bu bana "hacker" ın ayrılırken masaüstü sandalyesinin tekerleklerini belirli bir konuma çevirdiği bir filmdeki bu komik tekniği hatırlatıyor dairesi yokluğunda bu sandalyenin herhangi bir hareketini algılayacak (=> biri masaüstüne ve büyük olasılıkla bilgisayarına erişti).

2
WhiteWinterWolf

Fiziksel erişime karşı tüm savunma, fiziksel güvenlik kullanmanızı gerektirir. Düşünebildiğim tek fiziksel güvenlik, bir şeyin ne zaman kurcalandığını belirlemenin bir yolunu belirlemektir. Bunu belirlediyseniz, yazılım güvenlik çözümünüzün anahtarını vermemeyi biliyorsunuzdur.

Bağlantı kurduğunuz video hakkında ilginç bulduğum bir şey, bilinmeyecek herhangi bir kurcalanmaya açık çözümü ele almaması. Steganografinin nasıl çalıştığını düşünün - prensip güvenlik mekanizmanızı gizlemenizdir. Ekipmanınızı kurcaladıktan sonra saldırganın anlatabileceğiniz hakkında hiçbir fikri yoksa, kurcalanmaya karşı açık bir aracın ne kadar mükemmel olacağını düşünün. Hatta donanımlarını kurtarabilir ve failin kim olduğunu belirleyebilirsiniz.

Belki de bir insan saçı bir mühürün içine koymak gibi bir şey.

2
deed02392

Sanırım muhtemelen çok yüksek teknolojiyi hedefliyorsunuz.

Dışarıdan gelenlerin tespit edilmesi:

Görsel incelemeye dayanan herhangi bir fiziksel güvenlik önlemi aslında kusurludur.

Bir saldırgan (yeterince çaba sarf ederek) mevcut sisteminizden görsel olarak ayırt edilemeyen bir sistemi üretebilir, ancak başka bir yerde (tüm iletişimi izlerken) depoladıkları gerçek sisteme (açılmamış, açılmamış) bir proxy görevi görür.

Yani: bir bilgisayar için en güçlü (aslında, tek eksiksiz olduğunu iddia ediyorum) fiziksel koruma yöntemi denetimdir - CCTV kayıtları, erişim kontrolü ve güvenlik devriyeleri. Daha sonra CCTV sisteminizi fiziksel saldırılara karşı koruma probleminiz var - ancak bu, CCTV sistemlerinin zaten en azından algılama açısından bir dereceye kadar ele aldığı bir sorun.

Tabii ki, böyle bir sisteme sahip olduğunuzda, kurcalama bandı gibi yöntemlerle sistemi çoğaltma (veya iz bırakmadan değiştirme) sorununu daha zor hale getirebilirsiniz.

İçeriden gelen saldırıları tespit etmek:

Açıkçası, saldırganın kuruluş için bir içerideyse erişim kontrolü size yardımcı olmaz.

CCTV ve güvenlik devriyeleri yine de yardımcı olacaktır. Kuruluştaki insanların diğer insanların ne yaptığını her zaman kabaca görebilmelerini sağlamak, kendi kendine polise yardımcı olacaktır ("Jane'in bilgisayarına ne yapıyor?").

Ucuz dışsalların (örneğin klavyeler/fareler) düzenli olarak incelenmesi veya hatta değiştirilmesi, daha büyük bileşenlere (örn. Bilgisayar kulesi) herhangi bir fiziksel saldırıyı zorlar ve bu da daha dikkat çekici olur (ve kurcalama bandı vb.) buraya). Küçük bir kuruluş için, tüm eski monitörlerinizi eBay'de satmak ve yenilerini satın almak çok pahalıya mal olmayabilir (özellikle de bunları ikinci elden alıyorsanız).

Fiziksel bir saldırı muhtemelen bir "içeriden" için tercih edilen vektör değildir - erişim sağlamayan bir sunucudan bahsetmediğimiz sürece (hangi noktada, "yabancı" durumu geçerlidir).

1
cloudfeet