Das Problem beim Versuch, diese Angriffe zu erkennen, besteht darin, dass ihr gemeinsames Ziel - Desktop-Workstations - für den größten Teil seines Lebens weitgehend unbemerkt bleibt. Selbst wenn es sich tatsächlich auf dem Desktop befindet, achten Benutzer nur selten darauf, außer um den Netzschalter zu drücken, Wechselmedien einzulegen / zu entfernen oder Zubehör zu stecken / zu entfernen - all dies kann im Allgemeinen von der Vorderseite des Systems, während der einfachste Weg, diese Angriffe zu verbergen, darin besteht, sich an die Rückseite anzuschließen. Sie könnten vielleicht vorschreiben, dass alle Desktops tatsächlich auf dem Desktop verbleiben und alle Peripheriegeräte an nach vorne gerichtete Ports angeschlossen werden, aber das wird mit ziemlicher Sicherheit keine gute Benutzerakzeptanz erzielen.

Es gibt wahrscheinlich keine einfache Möglichkeit, einen Hardware-Keylogger zu vereiteln, außer Ihre Peripherie-Verbindungen regelmäßig zu überprüfen. Sie können dies in Ihre Endbenutzerschulung einbeziehen, aber es ist unwahrscheinlich, dass dies jemals von ihnen durchgeführt wird, und es erhöht die Wahrscheinlichkeit, dass sie um Hilfe rufen müssen, wenn sie versehentlich etwas Wesentliches aus dem Prozess herausgezogen haben. Eine bessere Methode, falls es eine geben muss, besteht darin, ein Team von Technikern regelmäßig Hardware-Inspektionen durchführen zu lassen.

Die einfachste und kostengünstigste Methode, um Verstöße gegen das Computergehäuse selbst zu erkennen, ist die Verwendung Aufkleber ähnlich denen, die OEMs für die Garantievalidierung verwenden. Dies würde natürlich erfordern, dass Sie den Aufkleber regelmäßig überprüfen, um sicherzustellen, dass er nicht manipuliert wurde. Auch dies ist vom Endbenutzer nicht gut akzeptiert oder implementiert. Es liegt also an Ihren Technikern, ihre Systeme regelmäßig zu überprüfen. Sie müssen auch sicherstellen, dass diese Techniker Zugriff auf die Aufkleber haben, damit sie bei jeder Wartung der Systeme neue anbringen können. Dann gehen wir jedoch auf die Möglichkeit von Insiderangriffen ein.

Alternativ unterstützen einige Gehäuse und Motherboards hardwarebasierte Monitore, die Sie beim Booten benachrichtigen können, wenn das Gehäuse seit dem letzten Einschalten geöffnet wurde. Diese können je nach Design leicht umgangen werden oder auch nicht (dh: Der Angreifer verwischt seine Spur, indem er das System aus- und wieder einschaltet, um den Alarm auszuschalten, bevor das Opfer ihn erneut verwendet.) Und ist möglicherweise weiterhin anfällig für Insider-Bedrohungen. P. >

Das Problem mit der physischen Sicherheit ist folgendes:

Wenn der Angreifer physischen Zugriff auf den Computer hat, besteht keine Sicherheit.

Leider Für eine Endbenutzer-Workstation kann sehr wenig dagegen unternommen werden. Wo ich arbeite, verwenden wir Workstations, die wirklich Desktops sind. So ist es einfach, einen Sicherheitsaufkleber auf dem Gehäuse vor dem Endbenutzer anzubringen. Fallintrusionssysteme können eine Warnung senden, wenn der Fall geöffnet wurde, aber auch diesen kann entgegengewirkt werden. Die beste Sicherheitslösung, die ich mir vorstellen kann, ist vierfach.

1. Physische Zugriffskontrollen zu dem Ort, an dem die Computer aufbewahrt werden. Mitarbeiter, die berechtigt sind, an diesem Ort zu arbeiten, können entweder eine RFID-Karte oder einen Magnetstreifen oder Barcode auf ihrem Ausweis verwenden, um Zugang durch eine verschlossene Tür zu erhalten. Auf diese Weise können die Zugriffe auf den Standort pro Mitarbeiter überprüft werden.

2. Erzwingen Sie, dass die Benutzer die Zwei-Faktor-Authentifizierung verwenden: Etwas, das Sie mit etwas wissen, das Sie haben. Hierfür gibt es verschiedene Lösungen auf dem Markt. Ein Beispiel sind die weit verbreiteten RSA SecurID-Token.

3. Speichern Sie keine vertraulichen Daten auf den Endbenutzercomputern. Speichern Sie es nur auf dem Server. Erzwingen Sie die Datensicherheit mithilfe von Netzwerkzugriffskontrollen.

4. Informieren Sie Ihre Benutzer.

ol>

Ein interessanter Effekt von # 1 ist, dass if Ein Benutzer meldet sich an einem Computer an einem Ort an, an dem nicht aufgezeichnet ist, dass er auf den Ort zugreift. Diese Diskrepanz kann zur Überprüfung markiert werden. Konfigurieren Sie außerdem eine Lösung, die beim letzten Anmelden und bei der Anmeldedauer beim Anmelden deutlich sichtbar ist. Unix-Computer tun dies bereits, aber ich habe dies bei Windows-Computern nicht gesehen.

Bei Servern werden Maschinen normalerweise irgendwo in einem Hinterzimmer aufbewahrt. Verwenden Sie die Methode für Nummer 1, anstatt einen Schlüssel zum Betreten eines gesperrten Serverraums zu verwenden. Auf diese Weise ist der Zugriff auf den Raum beschränkt, es können Zugriffsprüfungen durchgeführt werden. Wenn jemand aus irgendeinem Grund entlassen wird, können Sie ihn aus dem Zugriffssystem entfernen, ohne sich Sorgen machen zu müssen, dass er einen doppelten Schlüssel für den Raum erstellt hat.

Als Randnotiz möchte ich erwähnen, dass ein ausreichend motivierter Angreifer, der Zugriff auf einen Computer erhalten und die Festplatte entfernt hat, nicht einmal ein Hardware-Passwort für die Festplatte daran hindert, Zugriff auf die Daten zu erhalten auf dem Laufwerk gespeichert. Ich habe vor einiger Zeit gelesen, dass das Laufwerk selbst den Verschlüsselungsschlüssel auf den Plattenplatten an einem Ort speichert, auf den der Benutzer nicht zugreifen kann. Ein Angreifer kann jedoch das Laufwerk öffnen und den Schlüssel direkt lesen und dadurch das gesamte Laufwerk entschlüsseln.

Am Ende kann ein ausreichend motivierter Angreifer nicht davon abgehalten werden, ihn zu verhaften und strafrechtlich zu verfolgen, wenn es um physische Sicherheit geht . Oder ziehen Sie sie heraus und schießen Sie sie ... zweimal für ein gutes Maß.

Hier ist ein allgemeiner Angriff, der die meisten (ansonsten guten) Ideen, die hier aufgedeckt werden, zunichte macht:

Der Angreifer kauft ein PC-Gehäuse, das dem Zielsystem ähnelt. Im Inneren befindet sich ein System, das denselben Anmeldebildschirm wie das Zielsystem anzeigt, wenn es nach dem Entsperrkennwort fragt. Sobald der Benutzer sein Passwort eingibt, sendet das System das Passwort über das Netzwerk (möglicherweise drahtlos) und begeht dann Selbstmord (z. B. zündet es ein Feuerwerk, um einen fehlerhaften chemischen Kondensator zu simulieren, und wechselt dann zu einem leeren Bildschirm). Der Angreifer muss dann nur noch den gesamten Computer entnehmen und seine Nachahmung an seine Stelle setzen. Sicher, dies wird entdeckt, aber das wird zu spät sein: Der Angreifer verfügt bereits über die Festplatte und das Entsperrkennwort.

(Ein billigerer und einfacherer ähnlicher Angriff besteht darin, die Tastatur durch zu ersetzen eine Replik, die gleich aussieht und gleich funktioniert, aber auch den Keylogger enthält.)

Natürlich kann dieser Angriff nicht unbedingt angewendet werden, sondern aufgrund von Kontextelementen; z.B. Der Computer befindet sich an einem öffentlichen Ort und es gibt keine Möglichkeit, dass jemand diskret mit einem vollen Computergehäuse unter dem Arm davonkommt (es sei denn, er ist als IT-Betreiber verkleidet, mit Jeans und ungepflegtem Bart. In diesem Fall kann dies wahrscheinlich abgezogen werden ). Dies unterstreicht die Bedeutung der Umgebung .

In ähnlicher Weise kann das Keylogging remote durchgeführt werden. Zum Beispiel könnte eine Kamera vom Angreifer an die Decke geklebt werden, mit voller Sicht auf die Tastatur. Dies geschieht häufig mit Geldautomaten und ähnlichen Geräten (z. B. 24/7-Zapfsäulen), sodass die Kameras und das Know-how für ihre diskrete Installation bereits weit verbreitet sind. Dieses Beispiel zeigt, dass es nicht auf die Integrität des Computers ankommt, sondern auf die Integrität der gesamten Umgebung, in der geheime Daten verwendet werden , wobei die "geheimen Daten" hier die enthalten Benutzerpasswort.

Generell kann die Verhinderung von Angriffen wie dem von Ihnen erläuterten auf drei Arten erfolgen:

1. Der Angreifer wird daran gehindert, die physische Integrität des Computers zu ändern, z. indem man es nicht erreichen kann. Beispiel: Ein gesperrter Fall um den Computer herum.

2. Es gibt ein System, das mit hoher Wahrscheinlichkeit garantiert, dass der Angreifer (zuverlässig und sofort) identifiziert wird, wenn er es versucht sein Angriff. Dies ist eine psychologische Abschreckung (dies kann dazu führen, dass sich der Angriff für den Angreifer "nicht lohnt"). Beispiel: Überwachungskameras.

3. Angenommen, der Angriff hat stattgefunden, können Sie ihn in letzter Minute unmittelbar vor der Eingabe des Zielkennworts erkennen.

ol>

Manipulationssichere Systeme konzentrieren sich auf die dritte Methode, aber das ist ein letzter Ausweg: Diese Systeme nützen nur dann etwas, wenn die Methoden auf den ersten beiden Ebenen fehlgeschlagen sind. In diesem Sinne sollten zunächst Anstrengungen auf den beiden anderen Ebenen unternommen werden.

Ich hatte einmal einen Dell-Computer, der mich jedes Mal benachrichtigte, wenn der Fall geöffnet wurde. Das Zurücksetzen der Benachrichtigung erfolgte im BIOS. Wahrscheinlich etwas Ähnliches wie ein System zur Erkennung von Eindringlingen in Computergehäuse.

Möglicherweise funktioniert so etwas wie manipulationssicheres Band (wie das unten abgebildete).

Für jede Verteidigung gegen physischen Zugriff müssen Sie physische Sicherheit verwenden. Die einzige physische Sicherheit, an die ich denken kann, besteht darin, einen Weg zu finden, wie Sie feststellen können, wann etwas manipuliert wurde. Wenn Sie dies festgestellt haben, wissen Sie, dass Sie den Schlüssel für Ihre Software-Sicherheitslösung nicht bereitstellen müssen.

Eine Sache, die ich an dem von Ihnen verlinkten Video interessant fand, ist, dass er keine manipulationssicheren Lösungen anspricht, die dies tun würden unbekannt bleiben. Überlegen Sie, wie Steganographie funktioniert - das Prinzip ist, dass Sie Ihren Sicherheitsmechanismus verstecken. Überlegen Sie, wie perfekt ein manipulationssicheres Werkzeug wäre, wenn der Angreifer nach Manipulationen an Ihrer Ausrüstung keine Ahnung hätte, was Sie sagen könnten. Möglicherweise können Sie sogar ihre Hardware wiederherstellen und feststellen, wer der Täter war.

Vielleicht so etwas wie ein menschliches Haar über ein Siegel streichen.

Handelt es sich bei dem Computersystem, über das Sie sprechen, um eine Workstation oder einen Server? Die Anforderungen für jeden einzelnen scheinen sehr unterschiedlich zu sein.

In Bezug auf Workstations denke ich, dass Laptops eine größere Sicherheit bieten als Desktops. Da die Tastatur ein physischer Bestandteil des Computers ist, wird das Einstecken eines Key Loggers zu einer viel schwierigeren Aufgabe (dies schützt jedoch nicht vor stürmischem Schnüffeln). Darüber hinaus kann der Computer außerhalb der Bürozeiten vom Mitarbeiter genutzt werden, um das Risiko eines böswilligen Zugriffs zu verringern (sie können entweder nach Hause gebracht werden, dies erfordert jedoch eine starke Beteiligung der Benutzer an den Sicherheitsrichtlinien des Unternehmens oder wird in einem Computer gespeichert sicher im Firmenbüro).

Für Server, da sie auch dann noch betriebsbereit sein müssen, wenn sich niemand physisch im Serverraum befindet, führt die Sicherung der Server meiner Meinung nach zur Sicherung des Raums: Ausweiszugang, Anwesenheitsdetektoren, Überwachungskamera. Die Tatsache, dass ein Server betriebsbereit bleiben muss, ist jedoch auch eine Stärke, da Sie ein durchdachtes Auditsystem, einen Neustart oder eine Trennung des Servers (oder ein anderes ungewöhnliches Verhalten, Hardwareänderungen, USB-Schlüssel oder Medieneinfügung usw.) Haben würden .) sollten Beweise hinterlassen, die nicht leicht zu manipulieren sind (dh nicht im selben Raum aufbewahrt werden ...).

Leider gibt es keine 100% ige Sicherheit. Aber während ich lese, dass Sie über "kostengünstige und kreative Ideen zur Erkennung physischer Angriffe gegen Computer" sprechen, erinnert mich dies an diese lustige Technik in einem Film, in dem der "Hacker" die Räder seines Desktop-Stuhls beim Verlassen in eine bestimmte Position drehte seine Wohnung, um jede Bewegung dieses Stuhls während seiner Abwesenheit zu erkennen (=> jemand hat auf seinen Desktop und höchstwahrscheinlich auf seinen Computer zugegriffen).

Ich denke, Sie zielen möglicherweise auf zu Hightech.

Erkennen von Angriffen von Außenstehenden:

Jede physische Sicherheitsmaßnahme, die auf einer Sichtprüfung nachträglich ist fehlerhaft.

Ein Angreifer kann (mit ausreichendem Aufwand) ein System erstellen, das visuell nicht von Ihrem aktuellen System zu unterscheiden ist, aber als Proxy für das reale System (ungeöffnet, nicht manipuliert) fungiert, das er an einem anderen Ort gespeichert hat (während der Überwachung) die gesamte Kommunikation).

Also: Die stärkste (tatsächlich würde ich die einzige vollständige) Methode zum physischen Schutz eines Computers ist die Überwachung - CCTV-Aufzeichnungen, Zugangskontrolle und Sicherheitspatrouillen. Sie haben dann das Problem, Ihr CCTV-System vor physischen Angriffen zu schützen - aber dies ist (ich nehme an) ein Problem, das CCTV-Systeme zumindest in Bezug auf die Erkennung bereits bis zu einem gewissen Grad angehen.

Natürlich Wenn Sie über ein solches System verfügen, können Sie das Problem der Replikation (oder Änderung ohne Spuren) durch Methoden wie Manipulationsband erschweren.

Erkennen von Angriffen von Insidern:

Natürlich hilft Ihnen die Zugriffskontrolle nicht, wenn Ihr Angreifer ein Insider der Organisation ist.

CCTV- und Sicherheitspatrouillen sind jedoch weiterhin hilfreich. Wenn Sie sicherstellen, dass die Mitarbeiter der Organisation immer ungefähr sehen können, was andere Personen tun, können Sie sich selbst überwachen ("Was macht Jane mit ihrem Computer?").

Regelmäßige Inspektion oder sogar Austausch billiger externer Mitarbeiter ( zB Tastaturen / Mäuse) würden jeden physischen Angriff auf die größeren Komponenten (z. B. Computerturm) erzwingen, was hoffentlich auffälliger wäre (und Manipulationsband usw. würde Ihnen auch hier helfen). Für eine kleine Organisation kostet der Verkauf all Ihrer alten Monitore bei eBay und der Kauf neuer möglicherweise nicht so viel (insbesondere, wenn Sie diese auch aus zweiter Hand erhalten).

Ein physischer Angriff ist wahrscheinlich sowieso nicht der Vektor der Wahl für einen "Insider" - es sei denn, es handelt sich um einen Server, auf den er keinen Zugriff haben soll (an diesem Punkt gilt die Situation "Outsider" ).