¿Debe un sistema ser inseguro contra el acceso físico? Si es así, ¿por qué?

8

Inspirado por: ¿Por qué los sistemas operativos no protegen contra lo no confiable? ¿Teclados USB?
Relacionado: ¿Qué puede hacer? ¿Qué hace un pirata informático cuando tiene acceso físico a un sistema? (abordo los puntos de sus respuestas principales a continuación).

Parece que hay un viejo adagio "si el malo tiene acceso físico, la computadora ya no es tuya". Mi pregunta es, es que solo los fabricantes de hardware apestan a la seguridad, o hay una razón intrínseca que es cierta. ¿Puedes crear sistemas que sean seguros contra el acceso físico?

Ahora, mantener sus datos seguros es fácil: cifrado y / o hash. De lo que estoy hablando es de mantener el dispositivo seguro, de modo que aún puedas confiar en él.

Realmente, no parece muy diferente a la seguridad del software. Todo lo que tienes que hacer es:

  • Requerir que cualquier complemento de hardware sea aprobado por el usuario antes de ser confiable:
    • Utilice Separación de privilegios . Al igual que cuando descarga una aplicación, el sistema operativo le dice qué permisos necesita, podría tener una computadora que le indique qué permiso necesita el hardware. De esa manera, si tiene una unidad de disco USB que requiere acceso al teclado, sabrá que algo está pasando.
    • Establezca el cifrado de la clave pública-privada entre la computadora y el hardware. Esto anularía a los registradores de claves y otras amenazas de seguridad.
    • Al igual que tenemos certificados para sitios web, puede tener certificados para hardware (teclados y monitores en particular).
    • Como capa adicional, coloque todos los puertos en la parte frontal, donde el usuario pueda verlos.
  • Haga que el sistema sea físicamente duradero, de modo que el atacante no pueda volver a cablear / insertar componentes maliciosos dentro del sistema.
    • Puedes hacerlo también completamente roto o algo si se rompe, por lo que es obvio que algo está pasando. Básicamente, hazlo evidente.
  • Péguelo / asegúrelo al suelo para que el sistema no pueda ser reemplazado.
    • Al igual que una capa adicional, haga que la computadora se demuestre al teléfono del usuario, de alguna manera. Tal vez el teléfono y la computadora del usuario hayan configurado un sistema que pueda frustrar los ataques Man-in-the-Middle (por ejemplo, el teléfono le dice al usuario la contraseña, pero la firma con la clave pública de la computadora).

¿Hay alguna otra razón por la que me esté perdiendo, en particular las que hacen que la seguridad física sea completamente imposible, o que los fabricantes de hardware simplemente apesten a la seguridad? (Incluso si lo anterior no es una prueba completa, parece un paso en la dirección correcta). - Para prevenir contra cámaras espías, haga que el monitor VR Goggles, que tiene una conexión encriptada a la computadora (de nuevo, resistente al hombre en el medio). (De acuerdo, esto es un poco fantasioso, pero también lo son las cámaras espía). - En realidad, una forma de eliminar muchos vectores de ataque es hacer que la habitación sea a prueba de ruidos y rayos X (si está preocupado por esas cosas), y luego solo permita que entren personas autorizadas. Se encuentra con los mismos problemas que arriba, pero sabe que es mucho más simple, y es una capa extra.  - Incluso el solo hecho de poner un candado en el teclado puede evitar que los registradores de clave físicos.

Creo que mi pregunta descarta las respuestas de Métodos para proteger los sistemas informáticos de ataques físicos y ¿Qué puede hacer un pirata informático cuando tiene acceso físico a un sistema? .

Pregunta extra: ¿Hay algún sistema que sea seguro contra el acceso físico?

    
pregunta PyRulez 06.02.2016 - 15:37
fuente

4 respuestas

5

La respuesta fundamental es que el mercado realmente no quiere pagar por computadoras de propósito general que son seguras contra ataques físicos. Usted propone hacer concesiones, y esas compensaciones implican costos de ingeniería y costos operativos que solo preocupan a un pequeño número de compradores.

Algunos sistemas informáticos intentan hacer estas concesiones (por ejemplo, la Xbox) porque hay una razón del mercado (que reduce la piratería de juegos). Los fabricantes de cajeros automáticos y los fabricantes de máquinas de votación generalmente han optado por poner sus máquinas en gabinetes con llave.

Por supuesto, la mayoría de las formas de mitigar las amenazas están sujetas a nuevos ataques. Los bloqueos pueden ser seleccionados, el pegamento puede ser raspado o disuelto, por lo que un atacante tal vez pueda modificar el sistema incluso después de que se haya realizado todo este trabajo, lo que pone una presión adicional en la economía.

Otra solución es buscar evidencia de manipulación indebida sobre resistencia a manipulación indebida, y ese es el enfoque que generalmente utilizan los fabricantes de terminales de tarjetas de crédito. Por supuesto, allí, la evidencia de falsificación plantea la pregunta de "¿evidente para quién y cómo están capacitados?" La evidencia de manipulación es otro punto a lo largo del espectro económico.

    
respondido por el Adam Shostack 06.02.2016 - 18:02
fuente
2

Creo que algunas de las cosas que propones son factibles, pero entran en conflicto con la facilidad de uso, la flexibilidad o la libertad de uso esperadas. Otros toman ideas del mundo del software e intentan adaptarlo al hardware, pero no resuelven los problemas que ya tenemos en el lado del software. Pero algunas de las ideas ya se utilizan en la práctica.

Algunos ejemplos:

  • Selle el hardware, péguelo sobre la mesa, destrúyalo cuando alguien intente abrirlo ... Existe un hardware autodestructivo, es decir, encuentra resistencia a la manipulación indebida en tarjetas inteligentes y quizás también en computadoras usadas con la más alta seguridad. ambientes Pero para uso general, solo afecta la facilidad de uso porque, ¿cómo sabe que el hardware está realmente manipulado de manera malintencionada y no solo se deja caer accidentalmente en el suelo? En el último caso, la mayoría de los usuarios esperan poder recuperar los datos del sistema roto, pero esto no sería posible si el sistema detecta un ataque y destruye los datos.
  • El emparejamiento criptográfico seguro entre los componentes de hardware con las claves públicas-privadas, certificados, etc ... Simplemente observe el desorden que tenemos con los cientos de agencias de certificación dentro de los navegadores, con CA comprometida, etc. No mejorará si nos movemos esto al hardware. En realidad, dicho emparejamiento ya existe, pero principalmente para aplicar restricciones digitales (DRM) como con HDCP, etc.

En resumen: ganarías algo y perderías algo al mismo tiempo. En su mayoría, no puede obtener más seguridad sin renunciar a partes de usabilidad, flexibilidad o libertad de uso. El objetivo es encontrar el mejor equilibrio entre estos requisitos, pero esto, por supuesto, depende en gran medida del caso de uso.

    
respondido por el Steffen Ullrich 06.02.2016 - 16:37
fuente
2

Depende de lo que consideres una "computadora segura". La seguridad se define normalmente mediante la tríada de la CIA de confidencialidad, integridad y disponibilidad. Una vez que permite el acceso físico a un dispositivo, pierde la capacidad de mantener la disponibilidad. Es demasiado difícil hacer algo indestructible contra un adversario motivado y financiado cuando tienen control físico sobre él.

Pero podemos considerar la confidencialidad y la integridad. Por ejemplo, un dispositivo que tiene una fuerte detección de manipulación y resistencia que destruye los datos cuando se detecta la manipulación podría decirse que es seguro incluso cuando se pierde la seguridad física. Eso no solo es alcanzable, sino que existen estándares para productos tales como FIPS 140-2 Nivel 3 : / p>

  

FIPS 140-2 Nivel 3 agrega requisitos para la resistencia a la manipulación física (lo que dificulta que los atacantes obtengan acceso a la información confidencial contenida en el módulo) y la autenticación basada en identidad, y para una separación física o lógica entre las interfaces mediante qué "parámetros de seguridad críticos" entran y salen del módulo, y sus otras interfaces.

Pero cumplir con tales criterios es costoso. Puede encontrar medios de almacenamiento y procesadores criptográficos compatibles con FIPS 140-2 Nivel 3, pero no sistemas informáticos completos. Simplemente termina siendo más barato bloquear la computadora en una habitación, ponerle una alarma y contratar seguridad que a las computadoras de producción masiva que pueden protegerse contra ataques físicos.

    
respondido por el Neil Smithline 06.02.2016 - 23:26
fuente
-1

Hay tres problemas.

  1. Por definición, alguien que tiene acceso físico sobre un sistema ya rompe la seguridad.
  2. El hardware está hecho para ser compatible
  3. El hardware tiene mucho más y mucho más severos vectores de ataque
  

Mi pregunta es, es que solo los fabricantes de hardware apestan a la seguridad,   o hay una razón intrínseca que es verdadera. Puedes crear sistemas   que son seguros contra el acceso físico?

Es poco probable que el acceso físico signifique que un sujeto no autorizado ha compartido el acceso a un sistema debido a la naturaleza misma del acceso físico.

Por lo tanto, si el acceso físico se define como tener control exclusivo sobre un sistema : La definición misma de seguridad de la información se basa en la confidencialidad, integridad y disponibilidad de los datos:

  

"Preservación de la confidencialidad, integridad y disponibilidad de la información". (ISO / IEC 27000: 2009)

Si los datos se almacenan dentro de un sistema físico y este sistema es tomado físicamente en posesión por alguien no autorizado, la disponibilidad y, por lo tanto, la seguridad del sistema ya se han perdido. Esta es la definición de facto de seguridad de la información. Si alguien controla un servidor exclusivamente, la información ya no es segura. Este es solo un aspecto.

  

¿Los fabricantes de hardware simplemente apestan a la seguridad?

No, pero la mayoría de ellos priorizan la facilidad de uso y el desarrollo rápido en lugar de incluir características que podrían no mejorar los componentes.

Además del hecho de que el hardware está diseñado para ser compatible y usar protocolos abiertos, el acceso físico permite muchos más vectores de ataque como el arranque en frío o la entrada de tuberías (keyloggers de hardware) o la salida (ataques de canal lateral como Van Eck). Si bien es posible defenderse contra tales ataques, el esfuerzo no guarda relación con el efecto . Los ataques basados en hardware no son la forma habitual en que se infectan las computadoras y, para áreas de alta seguridad, existen políticas de seguridad que cubren el acceso físico.

Entonces, aunque sea completamente poco práctico, ¿es imaginable un sistema físico seguro?

Sí, pero estará especializado y limitado por su incompatibilidad. Todo su hardware debe estar controlado por protocolos de código cerrado y los datos deben estar encriptados en tiempo de ejecución de manera que sean inaccesibles incluso para las personas que poseen el sistema físicamente. Además, este sistema no debe tener una HCI, ya que cada interfaz con la que interactúan los seres humanos es per se insegura. Esto se debe a que cada entrada no controlada por el propio sistema puede interceptarse cuando se ingresa, y no hay forma de controlar qué sujetos pueden ver, por ejemplo, una salida visual. No hace falta decir que este sistema tendría que ser completamente inaccesible internamente, lo que significa que es indestructible, para evitar que se desarme y se realice ingeniería inversa.

Además, este no interfiere con el principio de Kerckhoff, ya que para que un sistema físico sea 100% seguro, debe ser imposible realizar ingeniería inversa de todos modos , y bajo esta restricción, el principio de Kerckhoff no se aplica .

Al final, sería un sistema realmente teórico y limitado con cero usabilidad.

    
respondido por el AdHominem 06.02.2016 - 16:34
fuente

Lea otras preguntas en las etiquetas