Métodos para proteger los sistemas informáticos de ataques físicos

Aquí hay un ataque genérico que anula la mayoría de las ideas (de lo contrario buenas) que se exponen aquí:

  

El atacante compra una caja de PC que se parece al sistema objetivo. En el interior, coloca un sistema que presenta la misma pantalla de inicio de sesión que el sistema de destino, en el momento en que solicita la contraseña de desbloqueo. Pero tan pronto como el usuario ingresa su contraseña, el sistema envía la contraseña a través de la red (posiblemente de forma inalámbrica) y luego se suicida (por ejemplo, detona algunos fuegos artificiales para simular un condensador químico defectuoso, luego pasa a una pantalla en blanco). El atacante solo tiene que robar la computadora completa y poner su imitación en su lugar. Claro, esto se descubrirá, pero será demasiado tarde: el atacante ya tiene el disco duro y la contraseña de desbloqueo.

(Un ataque similar más barato y fácil es reemplazar el teclado con una réplica que tiene el mismo aspecto y funciona igual, pero también incluye el keylogger.)

Por supuesto, este ataque no se puede aplicar necesariamente, pero debido a elementos contextuales; p.ej. la computadora está en un lugar público y no hay manera de que alguien pueda escaparse discretamente con una caja de computadora debajo del brazo (a menos que esté disfrazado de algún tipo de operador de TI, con vaqueros y barba descuidada, en cuyo caso es probable que esto se pueda quitar) ). Esto resalta la importancia del medio ambiente .

En una nota similar, el registro de teclas se puede hacer de forma remota. Por ejemplo, una cámara podría ser pegada por el atacante en el techo, con una vista completa del teclado. Esto se hace mucho con ATM y dispositivos similares (por ejemplo, bombas de gas 24/7) para que las cámaras y los -Como para su discreta instalación ya están generalizados. Este ejemplo muestra que lo que importa no es la integridad de la computadora , sino la integridad del entorno completo donde se usan los datos secretos , donde los "datos secretos" aquí incluyen la contraseña del usuario.

Genéricamente, la prevención de ataques como el que usted explica puede ocurrir de tres maneras:

1. Se evita que el atacante altere la integridad física de la computadora, por ejemplo. por no poder alcanzarlo. Ejemplo: un caso cerrado alrededor de la computadora.

2. Existe un sistema que garantiza, con gran probabilidad, que el atacante será identificado (de manera confiable y rápida) si intenta realizar su ataque. Esto es un impedimento psicológico (esto puede hacer que el ataque "no valga la pena" para el atacante). Ejemplo: cámaras de seguridad.

3. Suponiendo que el ataque tuvo lugar, puede detectarlo en el último minuto, justo antes de ingresar la contraseña de destino.

Los sistemas a prueba de manipulación se concentran en el tercer método, pero ese es un último recurso: este sistema solo sirve si los métodos en los primeros dos niveles fallan. En ese sentido, los esfuerzos deben aplicarse primero en los otros dos niveles.

El problema al tratar de detectar estos ataques es que su objetivo común, las estaciones de trabajo de escritorio, en gran medida no se observan durante la mayor parte de su vida útil. Incluso si realmente se encuentra en el escritorio, los usuarios rara vez le prestan atención, excepto para presionar el botón de encendido, insertar / quitar medios extraíbles o conectar / desconectar accesorios, todo lo cual generalmente se puede hacer desde la parte frontal del sistema, mientras que la forma más sencilla de ocultar estos ataques es conectarse a la parte trasera . Tal vez podría exigir que todos los escritorios se mantengan realmente en el escritorio, y que todos los periféricos estén conectados a los puertos frontales, pero eso casi con certeza no obtendrá una buena aceptación por parte del usuario.

Probablemente no haya una manera fácil de frustrar un keylogger de hardware, excepto para verificar regularmente las conexiones de sus periféricos. Puede incluir esto en su capacitación para el usuario final, pero es poco probable que lo realicen ellos mismos y aumenta la probabilidad de que tengan que pedir ayuda cuando desenchufaron inadvertidamente algo esencial en el proceso. Un método mejor, si debe haber uno, puede ser que un equipo de técnicos realice inspecciones regulares de hardware.

La forma más fácil y rentable de detectar violaciones en la propia caja de la computadora sería usar etiquetas similares a las que usan los OEM para la validación de la garantía. Por supuesto, esto requeriría que verifique regularmente dicha etiqueta para verificar que no haya sido manipulada. Nuevamente, esto no es algo que sea aceptado o implementado por el usuario final. Por lo tanto, dependerá de sus técnicos inspeccionar regularmente sus sistemas. También deberá asegurarse de que dichos técnicos tengan acceso a los adhesivos para que puedan aplicar nuevos siempre que presten servicio a los sistemas, pero luego divisaremos la posibilidad de ataques internos.

Alternativamente, algunos casos y placas base admiten monitores basados en hardware que pueden avisarle en el momento del inicio si el caso se abrió desde el último encendido. Estos pueden o no pueden ser fácilmente evadidos (es decir: el atacante cubre su trayectoria apagando y encendiendo el sistema para descartar la alerta antes de que la víctima vuelva a usarla), dependiendo del diseño, y nuevamente puede ser vulnerable a amenazas internas.

El problema con la seguridad física es este:

Si el atacante tiene acceso físico a la máquina, entonces no hay seguridad.

Desafortunadamente, es muy poco lo que se puede hacer al respecto para una estación de trabajo de usuario final. Donde trabajo, utilizamos estaciones de trabajo que realmente son escritorios. Por lo tanto, es fácil colocar una etiqueta de seguridad en el estuche en la parte frontal a simple vista del usuario final. Los sistemas de intrusión de casos pueden enviar una alerta si se abrió el caso, pero también se pueden contrarrestar. La mejor solución de seguridad en la que puedo pensar es cuatro veces.

1. Los controles de acceso físico a la ubicación donde se guardan las computadoras. Los empleados que están autorizados para trabajar en esa ubicación pueden usar una tarjeta RFID o alguna banda magnética o código de barras en su tarjeta de identificación para acceder a través de una puerta cerrada. Esto permite que los accesos a la ubicación sean auditados por empleado.

2. Obliga a los usuarios a usar la autenticación de dos factores: algo que sabes con algo que tienes. Hay varias soluciones en el mercado para esto. Un ejemplo son los tokens RSA SecurID muy populares.

3. No almacene datos confidenciales en las máquinas de los usuarios finales. Solo guárdelo en el servidor. Hacer cumplir la seguridad de los datos mediante los controles de acceso a la red.

4. Educa a tus usuarios.

Un efecto interesante del # 1 es que si un usuario inicia sesión en una computadora en una ubicación en la que no hay registros de su acceso a la ubicación, esa discrepancia se puede marcar para su revisión. Además, configure una solución que muestre, de manera prominente, al iniciar sesión la última vez que iniciaron sesión y la duración del inicio de sesión. Las máquinas Unix ya lo hacen, pero no he visto esto con las máquinas Windows.

Para los servidores, las máquinas generalmente se almacenan en una habitación trasera en algún lugar. En lugar de usar una llave para ingresar a una sala de servidores bloqueada, use el método para # 1. De esa manera, el acceso se restringe a la sala, se pueden realizar auditorías de acceso y, si por alguna razón se deja ir a alguien, puede eliminarlas del sistema de acceso y no preocuparse de que hayan hecho una clave duplicada en la sala.

Como nota adicional, me gustaría mencionar que si un atacante suficientemente motivado obtuvo acceso a una computadora y quitó el disco duro, ni siquiera una contraseña de hardware para el disco duro les impedirá acceder a los datos almacenados en la unidad Hace un tiempo leí en algún lugar que la propia unidad almacena la clave de encriptación, en la mente clara, en los discos en una ubicación a la que el usuario no puede acceder. Sin embargo, un atacante puede abrir la unidad y leer la clave directamente y, por lo tanto, descifrar toda la unidad.

Al final, un atacante suficientemente motivado no puede ser detenido antes de arrestarlo y procesarlo cuando se trata de seguridad física. O arrastrándolos y disparándolos ... dos veces por si acaso.

Tenía una computadora Dell a la vez que me notificaba cada vez que se abría el caso. El restablecimiento de la notificación se realizó en el BIOS. Probablemente algo similar a un sistema de detección de intrusos en la caja de la computadora .

Algo como una cinta a prueba de manipulaciones podría funcionar (como la que se muestra a continuación).

Toda defensa contra el acceso físico requiere que uses seguridad física. La única seguridad física en la que puedo pensar es determinar la manera en que usted puede determinar cuándo se ha manipulado algo. Si ha establecido esto, sabe que no debe proporcionar la clave para su solución de seguridad de software.

Una cosa que me pareció interesante acerca de ese video al que te conectaste es que no aborda ninguna solución a prueba de falsificaciones que seguiría siendo desconocida. Considere cómo funciona la esteganografía; el principio es que oculta su mecanismo de seguridad. Piense en lo perfecta que sería una herramienta a prueba de manipulaciones si, después de manipular su equipo, el atacante no tuviera idea de lo que sería capaz de decir. Incluso puede recuperar su hardware y determinar quién fue el autor.

Tal vez algo como poner un cabello humano a través de un sello.

¿El sistema informático del que habla es una estación de trabajo o un servidor? Los requisitos para cada uno parecen ser muy diferentes.

Con respecto a las estaciones de trabajo, creo que las computadoras portátiles ofrecen mayor seguridad que las computadoras de escritorio. Dado que el teclado es una parte física de la computadora, conectar un registrador de teclas se convierte en una tarea mucho más difícil (sin embargo, esto no protege contra el olfateo similar a la Tempestad). Además, durante las horas fuera de la oficina, el empleado puede tomar la computadora, lo que reduce el riesgo de acceso malintencionado (puede llevarse a casa, pero esto requiere una fuerte participación de los usuarios en la política de seguridad de la compañía o su almacenamiento en una salvo en la oficina de la empresa).

Para los servidores, ya que deben permanecer en funcionamiento incluso cuando no hay nadie físicamente presente en la sala del servidor, creo que asegurar los servidores conduce a asegurar la sala: acceso de identificación, detectores de presencia, cámara de vigilancia. Sin embargo, el hecho de que un servidor deba permanecer activo y en funcionamiento también es un punto fuerte ya que, si tuviera un sistema de auditoría inteligente, un reinicio o desconexión del servidor (u otro tipo de comportamiento inusual, cambios de hardware, llave USB o inserción de medios, etc.) .) debe dejar evidencias no fáciles de manipular (es decir, no almacenadas en la misma habitación ...).

Lamentablemente el 100% de seguridad no existe. Pero, mientras leo, usted habla de "ideas rentables y creativas para detectar ataques físicos contra computadoras", esto me recuerda esta técnica divertida en una película en la que el "pirata informático" hizo girar las ruedas de su silla de escritorio en cierta posición cuando se fue su departamento para detectar cualquier movimiento de esta silla durante su ausencia (= > alguien accedió a su escritorio y, muy probablemente, a su computadora).

Creo que posiblemente estés apuntando a alta tecnología.

Detectar ataques de forasteros:

Cualquier medida de seguridad física que se basa en la inspección visual después del hecho es defectuosa.

Un atacante puede (con suficiente esfuerzo) producir un sistema que no se pueda distinguir visualmente del actual, pero que actúe como un proxy del sistema real (sin abrir, sin controlar) que haya almacenado en otro lugar (mientras monitorea toda la comunicación) .

Entonces: el método más fuerte (de hecho, diría que es el único completo) de protección física para una computadora es la supervisión: registros de CCTV, control de acceso y patrullas de seguridad. Luego tiene el problema de proteger su sistema de CCTV de ataques físicos, pero esto es (supongo) un problema que los sistemas de CCTV ya abordan en algún grado u otro, al menos en términos de detección.

Por supuesto, una vez que tenga un sistema de este tipo, puede hacer que el problema de replicar el sistema (o modificarlo sin dejar rastro) sea más difícil, mediante métodos como la manipulación de cintas.

Detectando ataques desde personas internas:

Obviamente, el control de acceso no te ayudará si tu atacante es un miembro de la organización.

Sin embargo, el CCTV y las patrullas de seguridad seguirán siendo útiles. Asegurarse de que las personas de la organización siempre puedan ver de forma aproximada lo que otras personas están haciendo les ayudará a autodirigirse ("¿Qué está haciendo Jane con su computadora?").

La inspección regular o incluso el intercambio de elementos externos baratos (p. ej., teclados / ratones) obligaría a cualquier ataque físico a los componentes más grandes (p. ej., la torre de la computadora), lo que se espera que sea más notable (y una cinta de manipulación indebida, etc. También te ayudo aquí). Para una organización pequeña, vender todos sus monitores antiguos en eBay y comprar nuevos puede no costar mucho (especialmente si también los obtiene de segunda mano).

Un ataque físico probablemente no sea el vector de elección para un "interno" de todos modos, a menos que estemos hablando de un servidor al que no se supone que tengan acceso (en ese momento, se aplica la situación "externa" ).