Méthodes de protection des systèmes informatiques contre les attaques physiques
Je suis intéressé par des idées rentables et créatives pour détecter les attaques physiques contre les systèmes informatiques. Cela inclut, mais n'est pas limité à Tamper Evident security mesures.
Considérez le scénario d'attaque suivant: Un attaquant voudrait obtenir des données d'un disque dur. La machine cible est configurée avec Full Disk Encryption, un mot de passe de bios est défini et la priorité de démarrage indique que le lecteur chiffré est le premier périphérique à démarrer.
La phrase secrète doit être saisie pour décrypter le lecteur et démarrer la machine. Un Hardware Keylogger pourrait être installé pour obtenir cette valeur. Certaines implémentations de chiffrement complet du disque peuvent être supprimées avec Bus Sniffing , mais pour mener à bien cette attaque, le boîtier de l'ordinateur doit être ouvert. Dans l'une ou l'autre attaque, après un certain temps, l'attaquant peut revenir et récupérer le disque dur et la phrase secrète interceptée.
Comment pouvez-vous détecter si votre boîtier d'ordinateur a été ouvert? Comment pouvez-vous contrecarrer l'utilisation d'un enregistreur de frappe matériel?
Voici également un excellent exposé sur Contournement des dispositifs inviolables .
Edit: l'état de la sécurité physique moderne est incroyablement mauvais. Littéralement, chaque serrure de porte disponible dans mon Walmart local peut être récupérée en quelques secondes. Aux États-Unis, la plupart des maisons utilisent encore des serrures à goupille qui ont été inventées par les Égyptiens il y a des milliers d'années.
Voici une attaque générique qui vainc la plupart des idées (sinon bonnes) qui sont exposées ici:
L'attaquant achète un boîtier PC qui ressemble au système cible. A l'intérieur, il met un système qui présente le même écran de connexion que le système cible, au moment où il demande le mot de passe de déverrouillage. Mais dès que l'utilisateur entre son mot de passe, le système envoie le mot de passe sur le réseau (éventuellement sans fil) puis se suicide (par exemple, il fait exploser des feux d'artifice pour simuler un condenseur chimique défaillant, puis passe à un écran vide). L'attaquant n'a plus qu'à dérober l'ordinateur complet et mettre son imitation à sa place. Bien sûr, cela sera découvert, mais ce sera trop tard: l'attaquant possède déjà le disque dur et le mot de passe de déverrouillage.
(Une attaque similaire moins coûteuse et plus facile consiste à remplacer le clavier par une réplique qui a la même apparence et fonctionne de la même manière, mais comprend également l'enregistreur de frappe.)
Bien sûr, cette attaque ne peut pas nécessairement être appliquée, mais en raison d'éléments contextuels; par exemple. l'ordinateur est dans un lieu public et il n'y a aucun moyen que quelqu'un puisse discrètement s'en tirer avec un boîtier d'ordinateur plein sous le bras (à moins qu'il ne soit déguisé en une sorte d'opérateur informatique, avec un jean et une barbe hirsute, auquel cas cela peut probablement être retiré) ). Cela met en évidence l'importance de l'environnement .
Sur une note similaire, le keylogging peut être effectué à distance. Par exemple, une caméra pourrait être collée par l'attaquant au plafond, avec une vue complète du clavier. Cela se fait beaucoup avec ATM et des appareils similaires (par exemple des pompes à essence 24/7), de sorte que les caméras et le savoir-faire pour leur installation discrète sont déjà largement répandus. . Cet exemple montre que ce qui importe n'est pas l'intégrité de l'ordinateur, mais l'intégrité de l'environnement complet où les données secrètes sont utilisées, où les "données secrètes "comprend ici le mot de passe de l'utilisateur.
De manière générale, la prévention des attaques telles que celle que vous expliquez peut se produire de trois manières:
L'attaquant ne peut pas altérer l'intégrité physique de l'ordinateur, par ex. en ne pouvant pas l'atteindre. Exemple: un boîtier verrouillé autour de l'ordinateur.
Un système est en place qui garantit, avec une forte probabilité, que l'attaquant sera identifié (de manière fiable et rapide) s'il tente son attaque. Il s'agit d'un moyen de dissuasion psychologique (cela peut rendre l'attaque "n'en vaut pas la peine" pour l'attaquant). Exemple: caméras de sécurité.
En supposant que l'attaque a eu lieu, vous pouvez la détecter à la dernière minute, juste avant d'entrer le mot de passe cible.
Les systèmes inviolables se concentrent sur la troisième méthode, mais c'est un dernier recours: ces systèmes ne servent à rien que si les méthodes des deux premiers niveaux échouent. En ce sens, des efforts doivent d'abord être déployés aux deux autres niveaux.
Le problème avec la tentative de détection de ces attaques est que leur cible commune - les postes de travail - reste largement inobservée pendant la majeure partie de sa durée de vie. Même s'il se trouve réellement sur le bureau, les utilisateurs y font rarement attention, sauf pour appuyer sur le bouton d'alimentation, insérer/retirer un support amovible ou brancher/débrancher des accessoires - tout cela peut généralement être fait à partir du avant du système, alors que le moyen le plus simple de masquer ces attaques est de se brancher sur le arrière. Vous pourriez peut-être exiger que tous les bureaux soient conservés en fait on le bureau, et que tous les périphériques soient branchés sur les ports frontaux, mais cela ne gagnera certainement pas la bonne acceptation des utilisateurs.
Il n'y a probablement aucun moyen facile de déjouer un enregistreur de frappe matériel, sauf pour vérifier régulièrement vos connexions périphériques. Vous pouvez inclure cela dans votre formation d'utilisateur final, mais il est peu probable que cela soit fait par eux et cela augmente la probabilité qu'ils devront appeler à l'aide lorsqu'ils ont débranché par inadvertance quelque chose d'essentiel dans le processus. Une meilleure méthode, s'il doit y en avoir une, peut être de demander à une équipe de techniciens d'effectuer des inspections régulières du matériel.
Le moyen le plus simple et le plus rentable de détecter les violations dans le boîtier de l'ordinateur lui-même serait d'utiliser des autocollants similaires à ceux utilisés par les OEM pour la validation de la garantie. Bien sûr, cela nécessiterait que vous vérifiiez régulièrement ledit autocollant pour vérifier qu'il n'a pas été altéré. Encore une fois, ce n'est pas quelque chose qui serait bien accepté ou mis en œuvre par l'utilisateur final. Ce sera donc à vos techniciens d'inspecter régulièrement leurs systèmes. Vous devrez également vous assurer que lesdits techniciens ont accès aux autocollants afin qu'ils puissent en appliquer de nouveaux chaque fois qu'ils entretiennent les systèmes, mais nous nous aventurons ensuite dans la possibilité d'attaques internes.
Alternativement, certains boîtiers et cartes mères prennent en charge les moniteurs matériels qui peuvent vous alerter au démarrage si le boîtier a été ouvert depuis la dernière mise sous tension. Celles-ci peuvent ou non être facilement contournées (c'est-à-dire: l'attaquant couvre sa piste en mettant le système hors tension et sous tension pour annuler l'alerte avant que la victime ne l'utilise à nouveau.) Selon la conception, et peut encore être vulnérable aux menaces internes.
Le problème avec la sécurité physique est le suivant:
Si l'attaquant a un accès physique à la machine, alors il n'y a pas de sécurité.
Malheureusement, il y a très peu de choses à faire pour un poste de travail d'utilisateur final. Là où je travaille, nous utilisons des postes de travail qui sont vraiment des ordinateurs de bureau. Il est donc facile de placer un autocollant de sécurité sur le boîtier devant à la vue de l'utilisateur final. Les systèmes d'intrusion de cas peuvent envoyer une alerte si le cas a été ouvert, mais ceux-ci peuvent également être contrés. La meilleure solution de sécurité à laquelle je peux penser est quadruple.
Contrôle d'accès physique à l'emplacement où les ordinateurs sont conservés. Les employés autorisés à travailler à cet endroit peuvent utiliser une carte RFID ou une bande magnétique ou un code-barres sur leur badge d'identification pour accéder par une porte verrouillée. Cela permet aux accès à l'emplacement d'être vérifiés par employé.
Forcer les utilisateurs à utiliser l'authentification à deux facteurs: quelque chose que vous savez avec quelque chose que vous avez. Il existe plusieurs solutions sur le marché pour cela. Un exemple étant les jetons RSA SecurID très populaires.
Ne stockez pas de données sensibles sur les machines des utilisateurs finaux. Stockez-le uniquement sur le serveur. Renforcez la sécurité des données à l'aide des contrôles d'accès au réseau.
Éduquez vos utilisateurs.
Un effet intéressant de # 1 est que si un utilisateur se connecte à un ordinateur à un emplacement dans lequel il n'y a aucune trace de l'accès à cet emplacement, cet écart peut être signalé pour examen. De plus, configurez une solution qui s'affiche bien en vue lors de la dernière connexion et de la durée de la connexion. Les machines Unix le font déjà, mais je ne l'ai pas vu avec les machines Windows.
Pour les serveurs, les machines sont généralement stockées dans une arrière-boutique quelque part. Au lieu d'utiliser une clé pour entrer dans une salle de serveurs verrouillée, utilisez la méthode # 1. De cette façon, l'accès est limité à la salle, des audits d'accès peuvent être effectués, et si quelqu'un est lâché pour une raison quelconque, vous pouvez les supprimer du système d'accès et ne vous inquiétez pas s'ils ont créé une clé en double dans la salle.
En guise de remarque, je voudrais mentionner que si un attaquant suffisamment motivé accède à un ordinateur et supprime le disque dur, même pas un mot de passe matériel pour le disque dur ne les empêchera d'accéder aux données stockées sur le lecteur. J'ai lu quelque part quelque temps en arrière que le lecteur lui-même stocke la clé de cryptage, dans un esprit clair vous, sur les plateaux de disque dans un emplacement auquel l'utilisateur ne peut pas accéder. Cependant, un attaquant peut ouvrir le lecteur et lire la clé directement et ainsi décrypter l'intégralité du lecteur.
En fin de compte, un agresseur suffisamment motivé ne peut être arrêté avant de les arrêter et de les poursuivre en matière de sécurité physique. Ou en les tirant et en les tirant ... deux fois pour faire bonne mesure.
J'ai eu un ordinateur Dell à un moment donné qui m'avertissait à chaque fois que le dossier était ouvert. La réinitialisation de la notification a été effectuée dans le BIOS. Probablement quelque chose de similaire à un système de détection d'intrusion de boîtier informatique .
Quelque chose comme du ruban inviolable pourrait fonctionner (comme celui illustré ci-dessous).
Le système informatique dont vous parlez est-il un poste de travail ou un serveur? Les exigences pour chacun semblent très différentes.
En ce qui concerne les postes de travail, je pense que les ordinateurs portables offrent une plus grande sécurité que les ordinateurs de bureau. Le clavier étant une partie physique de l'ordinateur, brancher un enregistreur de frappe devient une tâche beaucoup plus difficile (mais cela ne protège pas contre le reniflement de type Tempest). De plus, en dehors des heures de bureau, l'ordinateur peut être pris par l'employé, ce qui réduit le risque d'accès malveillant (il peut être ramené à la maison, mais cela nécessite une forte implication des utilisateurs dans la politique de sécurité de l'entreprise, ou stocké dans un dans le bureau de la société).
Pour les serveurs, puisqu'ils doivent rester opérationnels même s'il n'y a personne physiquement présent dans la salle des serveurs, je pense que sécuriser les serveurs conduit à sécuriser la salle: accès badge, détecteurs de présence, caméra de surveillance. Cependant, le fait qu'un serveur doive rester opérationnel est également une force car, auriez-vous un système d'audit réfléchi, un redémarrage ou une déconnexion du serveur (ou tout autre type de comportement inhabituel, des changements matériels, une clé USB ou une insertion de média, etc. .) devrait laisser des preuves pas faciles à falsifier (c.-à-d. non stockées dans la même pièce ...).
Malheureusement, la sécurité à 100% n'existe pas. Mais, alors que je vous lis parler des "idées rentables et créatives pour détecter les attaques physiques contre l'ordinateur", cela me rappelle cette drôle de technique dans un film où le "pirate" a tourné les roues de sa chaise de bureau dans une certaine position en partant. son appartement pour détecter tout mouvement de cette chaise pendant son absence (=> quelqu'un a accédé à son bureau et, très probablement, à son ordinateur).
Toute défense contre l'accès physique nécessite que vous utilisiez la sécurité physique. La seule sécurité physique à laquelle je pense est de déterminer un moyen pour vous de déterminer quand quelque chose a été falsifié. Si vous avez établi cela, vous savez ne pas fournir la clé de votre solution de sécurité logicielle.
Une chose que j'ai trouvée intéressante à propos de cette vidéo à laquelle vous avez lié, c'est qu'il ne traite pas de solutions inviolables qui resteraient inconnues. Considérez le fonctionnement de la stéganographie - le principe est de cacher votre mécanisme de sécurité. Imaginez à quel point un outil inviolable serait parfait si, après avoir altéré votre équipement, l'attaquant n'avait aucune idée que vous seriez en mesure de le dire. Vous pourriez même être en mesure de récupérer leur matériel et de déterminer qui était l'auteur.
Peut-être quelque chose comme mettre des cheveux humains sur un sceau.
Je pense que vous visez peut-être trop de haute technologie.
Détecter les attaques de l'extérieur:
Toute mesure de sécurité physique qui repose sur une inspection visuelle après coup est défectueuse.
Un attaquant peut (avec suffisamment d'effort) produire un système qui ne se distingue pas visuellement du vôtre, mais agit en tant que proxy du système réel (non ouvert, non altéré) qu'il a stocké ailleurs (tout en surveillant toutes les communications).
Donc: la méthode de protection physique la plus efficace (en fait, je dirais la seule complète) pour un ordinateur est la supervision - enregistrements CCTV, contrôle d'accès et patrouilles de sécurité. Vous avez alors le problème de sécuriser votre système CCTV contre les attaques physiques - mais c'est (je suppose) un problème que les systèmes CCTV s'attaquent déjà à un certain degré ou à un autre, au moins en termes de détection.
Bien sûr, une fois que vous avez un tel système, vous pouvez rendre le problème de réplication du système (ou de le modifier sans laisser de trace) plus difficile, par des méthodes telles que la bande anti-sabotage.
Détecter les attaques des initiés:
De toute évidence, le contrôle d'accès ne vous aidera pas si votre attaquant est un initié de l'organisation.
Cependant, les patrouilles de vidéosurveillance et de sécurité seront toujours utiles. Faire en sorte que les membres de l'organisation puissent toujours voir à peu près ce que font les autres les aidera à s'auto-contrôler ("Que fait Jane à son ordinateur?").
Inspecter régulièrement ou même échanger des éléments externes bon marché (par exemple, claviers/souris) forcerait toute attaque physique à se produire sur les composants plus grands (par exemple, tour d'ordinateur), ce qui, espérons-le, serait plus perceptible (et une bande anti-sabotage, etc., vous aiderait également à ici). Pour une petite organisation, vendre tous vos anciens moniteurs sur eBay et en acheter de nouveaux pourrait ne pas coûter très cher (surtout si vous les achetez également d'occasion).
Une attaque physique n'est probablement pas le vecteur de choix pour un "initié" de toute façon - à moins que nous ne parlions d'un serveur auquel ils ne sont pas censés avoir accès (à quel moment, la situation "extérieure" s'applique).