Защита от хакеров корпоративных сетей
Шрифт:
В начальной стадии исследования устройства полезно получить о нем максимум возможной информации. Свободно доступные базы данных, Web-сайты и официальные сообщения производителей для печати являются хорошей отправной точкой исследования. Иногда они содержат чрезвычайно полезную информацию относительно особенностей проектирования устройства и предусмотренных в нем (если они есть) мер обеспечения безопасности.
Полезно исследовать свойства материала, из которого сделан корпус. Особенно при исследовании устройства, которое впоследствии должно быть возвращено законному владельцу или если исследование устройства должно пройти для него незаметно. Из какого материала сделан корпус? Это может быть любой материал, включая металл, пластмассу или материал из смешанного состава. Каждый материал имеет собственные физические свойства, которые в конечном счете определяют, насколько просто можно проникнуть в устройство. Не хрупок ли материал? Удастся ли под давлением без особых усилий вскрыть корпус? Если корпус устройства состоит из спрессованных вместе частей, то не сломаются ли части еще до вскрытия корпуса? Если корпус сделан из хрупкого материала, то излишнее любопытство может принести больше вреда,
Может оказаться полезным установить некоторые из процессов изготовления устройства. Зная, каким образом было изготовлено устройство, исследователь может выбрать способ вскрытия устройства и специальные инструментальные средства или оборудование для этого, если они будут нужны. Каким образом была выполнена сборка изделия? Выполнена ли сборка при помощи резьбового соединения с использованием винтов стандартного размера, с шестигранной головкой, или для вскрытия корпуса потребуются специальные инструменты? Использовался ли клей для соединения отдельных частей корпуса? Если да, то не размягчается ли клей под струей теплого воздуха? Или это термостойкий клей, который не потеряет своих свойств при тепловом воздействии? Может быть, корпус монолитный, состоящий из одной части? При изготовлении многих портативных устройств используется звуковая сварка для слипания двух слоев корпуса в единое целое, создавая цельный корпус. Подобный корпус очень трудно вскрыть, не нанося корпусу видимых повреждений.
Типы механизмов защиты
Существует большое число защитных механизмов, которые могут быть предусмотрены при проектировании устройства для защиты или предотвращения доступа к его компонентам и данным. Механизмы защиты делятся на следующие классы:
• противодействия вскрытию;
• демонстративной защиты устройства;
• обнаружения попыток вскрытия устройства;
• защитной реакции на попытки вскрытия устройства.
Часто в устройства встроены механизмы защиты, которые могут быть обнаружены только после полной разборки устройства. В этом случае может потребоваться несколько устройств только для того, чтобы можно было пожертвовать одним из них с единственной целью: обнаружить встроенные в устройство механизмы защиты. Например, для обнаружения вскрытия устройства достаточно простого выключателя, который в ответ на вскрытие устройства запустил бы процесс стирания его внутренней памяти. Вскрытие устройства позволит решить вопрос о встроенных механизмах защиты наиболее подходящим образом. После обнаружения механизмов защиты можно уже думать о способах атаки на них и защиты от атак.Инструментарий и ловушки
Возможности механизмов защиты
Известен ряд фундаментальных технических академических печатных материалов, написанных по вопросам использования механизмов защиты и связанных с ними классических проблем. Одним из последних является доклад Вейнгарта (WeingarJ «Устройства физической защиты для компьютерных подсистем: обзор нападений и способов защиты от них» на Симпозиуме по шифровальной аппаратуре и встроенным системам 2000 (Workshop on Cryptographic Hardware and Embedded Systems 2000). Доклад посвящен описанию известных способов физического воздействия на системы: от самых простых до очень сложных. Работа Андерсона (Anderson) и Куна (Kuhn), опубликованная в материалах Второго симпозиума USENIX по вопросам электронной коммерции (The Second USENIX Workshop on Electronic Commerce 1996), разъясняет, почему нельзя доверять заявлениям производителей смарт-карт и других процессоров безопасности по поводу реализации в них средств противодействия вскрытия устройств. Они показали, как, используя некоторые современные способы, можно проникнуть внутрь таких устройств и восстановить зашифрованные данные. Материалы симпозиума расположены по адресу www.cl.cam.ac.uk/~mgk25/tamper.pdf. Работа Кларка «Физическая защита криптографических устройств» (Прогресс в криптологии: Еврокрипт 87 – Advances in Cryptology: EURO-CRYPT 87) является обзором рисков, целей и сценариев нападения, имеющих отношение к механизмам защиты. Статья Чаума (Chaum) «Концепции проектирования защитных систем реагирования» (Tamper Responding Systems), Прогресс в криптологии: материалы Crypto 83 – Advances in Cryptology: Proceedings of Crypto 83, была одной из первых работ, в которой обсуждались идеи датчиков реакции защитных систем на вскрытие устройств и способы атаки на них.
Защита устройства путем противодействия вскрытию
Защита устройства путем противодействия вскрытию главным образом основана на специальной конструкции корпуса, которая затрудняет нанесение устройству тайного ущерба. Конструктивными особенностями подобного корпуса могут быть:
• корпус из закаленной стали;
• замки и блокирующие устройства;
• герметизация и изоляция;
• потайные винты;
• миниатюрные воздушные каналы (другими словами, плотная упаковка компонент и монтажных плат для затруднения визуального исследования устройства с помощью волоконной оптики).
Дополнительным преимуществом защитных механизмов противодействия вскрытию является то, что при их использовании попытки вскрытия устройства очевидны. Это означает, что изменения в корпусе могут визуально наблюдаться, и они являются прямым доказательством попытки вскрытия устройства. Подобная защита создает для злоумышленника дополнительные трудности.
Демонстративная защита устройства
Механизм демонстративной защиты устройства является главным средством устрашения для минимизации риска взлома случайным злоумышленником. Существуют сотни доступных материалов и приспособлений демонстративной защиты. Главным образом это специальные пломбы, печати и ленты, нарушение которых ясно свидетельствует о физическом вмешательстве. Но большинство (если не все) механизмов демонстративной защиты не являются надежной защитой от злоумышленника. В статье Джонстона (Johnston) и Гарсия (Garcia) «Физическая защита и устройства индикации взлома» (Security and Tamper-Indicating Devices), www.asis.org/midyear-97/Proceedings/johnston.html, показано, каким образом, используя быстрые, недорогие и простые в техническом отношении методы, удалось преодолеть пассивную и электронную защиту, которая была реализована при помощи 94 различных видов печатей.
Механизм демонстративной защиты устройства только тогда эффективен, когда предусмотрены постоянные проверки возможных попыток вскрытия устройства или законный пользователь устройства может заметить какие-либо изменения внешнего вида устройства, например сорванную пломбу.
Защитные механизмы обнаружения попыток вскрытия
Защитные механизмы обнаружения попыток вскрытия позволяют устройству узнать о вмешательстве в его конструкцию. Предпримет ли устройство какие-нибудь ответные меры при обнаружении вмешательства одним из этих механизмов, зависит от реализованной в устройстве реакции на подобные действия злоумышленника, которая будет обсуждена в следующем разделе. К механизмам обнаружения попыток вскрытия относятся:
• микровыключатели, электромагнитные переключатели и прижимные контакты – обнаруживают открытие устройства или перемещение его контролируемого компонента;
•
• гибкие электрические цепи и волоконно-оптические кабеля, обертывающие важные схемы или компоненты на плате. Они используются для обнаружения в них пробоя или разрыва. Например, при изменении сопротивления гибкой электрической цепи или уменьшении передающейся по волоконно-оптическому кабелю силы света можно предположить наличие попыток физического вмешательства.
Приоткрывая завесу
Извлечение пароля из работающего маршрутизатора Cisco
Не всегда хакинг аппаратных средств требует сложного демонтажа устройства. Иногда главная атака должна остаться незамеченной.
В предыдущей главе была приведена оценка варианта виртуальной частной сети VPN работодателя, предложенного провайдером Интернета. В соглашении работодателя с провайдером по обеспечению безопасности был пункт, согласно которому провайдер получал единоличный контроль над маршрутизатором, размещавшимся вне защищаемого межсетевым экраном периметра. Специалисты работодателя купили маршрутизатор и фактически были владельцами всех его аппаратных средств и программного обеспечения. Кроме того, они настаивали на управлении им. Автор, как сотрудник группы администрирования и защиты сети работодателя, привык иметь непосредственный доступ к маршрутизатору. В большинстве случаев поиск неисправностей лучше всего было выполнять в ответ на приглашение от этого маршрутизатора на ввод команды. Если автор хотел заняться поиском неисправностей, то он должен был предъявить свой мандат провайдеру и ждать, пока провайдер сам все не сделает.
Разумеется, все знали о своем бессилии обеспечить безопасность устройства, расположенного в одном помещении с автором устройства, если автор захотел бы получить к нему доступ. Однако в случае явных «нападений» провайдер мог по своему усмотрению «вырезать» сервисы Интернета, поэтому простое подключение к консоли маршрутизатора и перезагрузка его были бы лишними и принесли бы только вред с точки зрения получения доступа. Кроме того, даже если бы автор смог бы получить нужный ему пароль, то у него не было бы возможности узнать, была ли вызвана процедура сброса пароля вслед за перезагрузкой устройства. В этом случае автор потратил бы впустую свое время, получая утратившие силу пароли. Ключевым условием было получение доступа к данным конфигурации без регистрации подобных действий в журнале.
Исследованию подвергся маршрутизатор Cisco 7504 с двумя RSP4, VIP2-40 со снабженным интерфейсом HSSI и двумя портами на сетевой карте Fast Ethernet. В этом семействе маршрутизаторов главным процессором является RSP. Он хранит все данные конфигурации. Когда в одном маршрутизаторе встроено два процессора, то один из них главный и выполняет все присущие ему функции, а второй, резервный, находится в режиме ожидания. В случае аппаратного или программного отказа главного процессора предполагалось, что начнет работать резервный. При этом информация конфигурации останется согласованной.
Извлечение полезного для автора пароля свелось к простой замене карты вторичного процессора (которую можно было определить по работе индикаторной лампочки на передней панели карты) на похожее шасси 7500, хранившееся у автора в резерве. В результате был инициирован процесс перезагрузки, который можно было прервать с консоли и исследовать конфигурационный файл. В конфигурационном файле имелась опция паролей шифрования IOS Cisco, и, конечно, провайдер воспользовался ею. Известны инструментальные средства, помогающие узнать пароль шифрования, но в данном случае не было необходимости в их использовании. Совокупность строк протокола SNMP в операционной системе IOS не шифруется, поэтому автор записал доступную для чтения – записи строку, вынул шасси и поставил на место процессор RSP. Никаких разрушений сервисов. Для большинства сетевого оборудования (Cisco не является исключением) первым шагом для получения полного интерактивного управления устройством является обладание доступной для записи строки протокола SNMP.
Автору не представился случай, который помог бы ему управлять маршрутизатором самостоятельно. Предложенная провайдером виртуальная частная сеть VPN предоставляла явно недостаточные возможности, поэтому эта часть контракта была аннулирована. Тем самым было разрешено работодателю самостоятельно управлять собственным маршрутизатором. Но, не дожидаясь от провайдера специалиста по настройке маршрутизатора, который настроил бы маршрутизатор для управления им автором, реконфигурация была выполнена самостоятельно. Это оказалось минутным делом. Потребовалось только отправить команды протокола SNMP, которые позволили бы заменить все пароли и нужные строки на маршрутизаторе. В результате провайдер лишился доступа к маршрутизату без разрушения сервиса.
Защитная реакция на попытки вскрытия устройства
Защитная реакция на попытки вскрытия устройства ответа является результатом работы защитных механизмов их обнаружения. Наиболее часто реакция сводится к стиранию важных областей памяти для предотвращения доступа злоумышленника к секретным данным устройства. Иногда реакция не предусматривает каких-либо действий и заключается только в регистрации типа и времени обнаруженной атаки, что может оказаться полезным для аудитора и помочь с судебным разбирательством после нападения.
Например, полупроводниковое криптографическое устройство идентификации Dallas Semiconductor Cryptographic iButton (рис. 14.2) использует распределенный по различным слоям защитный механизм обнаружения вскрытия устройства и защитной реакции на него, что позволило создать очень безопасное устройство. Обратите внимание на различные микровыключатели, используемые для обнаружения вскрытия устройства. Кроме того, в устройстве на основании платы предусмотрены перемычки из металлических контактов, предотвращающие исследование кремниевого чипа под микроскопом. Дополнительно в устройстве предусмотрен температурный датчик (на рисунке не показан), который обнаруживает попытки воздействия на устройство слишком горячим или слишком холодным потоком воздуха. В случае обнаружения попыток исследования устройства в результате реакции любого из защитных механизмов будут стерты все критические области, предотвращая тем самым доступ к ним со стороны злоумышленника. Маловероятно, что память будет стерта случайно. Законный пользователь перед использованием устройства должен ознакомиться с правилами его использования и соблюдать условия эксплуатации. Устройства с подобными защитными механизмами обнаружения вскрытия устройств и реакции на них разработаны и произведены в соответствии с соглашением, что они никогда не будут вскрыты вне зависимости от того, законное это вскрытие или нет.
Рис. 14.2. Монтаж деталей полупроводникового криптографического устройства идентификации Dallas Semiconductor Cryptographic iButton
Внешние интерфейсы
Полезно идентифицировать любые внешние интерфейсы устройства, которые оно использует для связи с внешним миром. Связь с внешним миром с помощью внешнего интерфейса может быть самой различной: от простого подключения внешних (периферийных) устройств (как, например, мыши, монитора, клавиатуры, настольного компьютера) до прикладного программирования или обновления. Любой интерфейс, через который передается информация от одного устройства до другого, может представлять интерес для злоумышленника и стать объектом атаки. Некоторые из типичных внешних интерфейсов перечислены ниже. Это ни в коем случае не законченный список внешних интерфейсов. Правильнее рассматривать это как начальную точку рассмотрения интерфейсов. Итак, известны следующие интерфейсы: