Защита от хакеров корпоративных сетей
Шрифт:
• по спецификации PCMCIA;
• инфракрасные;
• Ethernet/RJ45;
• USB;
• радио/антенны;
• последовательный/RS-232 порт (DB9);
• параллельный порт (DB25);
• iButton/однопроводной интерфейс.
Часто устройства снабжены интерфейсом расширения или программирования своих функций. Подобные интерфейсы не предназначены для повседневного использования пользователем, но для потенциального злоумышленника могут оказаться очень полезными. Обратите внимание на любые типы соединений, необычные отверстия, заслонки или конструктивные особенности блоков, которые могут подсказать расположение входов / выходов устройства или эксплуатационной панели, предназначенных для совершенствования или отладки устройства. Эти подсказки помогут выявить местоположение возможных малозаметных точек подключения к устройству для отладки или интерфейсов программирования. На рисунках 14.3 и 14.4 в качестве примера приведены два устройства: ключевой брелок, выполняющий функции аппаратного устройства идентификации, и «карманный» компьютер PDA. Корпуса этих устройств снабжены программным или тестирующим интерфейсом, который доступен всем пользователям. Показанные на рис. 14.3 точки тестирования имеют вид пяти точек медного цвета, которые становятся доступными после простого удаления небольшой пластмассовой замазки с задней части корпуса. После исследования или использования точек тестирования замазка может быть заменена на новую, уничтожая все улики вмешательства. На рисунке 14.4 показаны семь отверстий в пластмассовом корпусе устройства (они расположены в нижней части правой фотографии), которые позволяют воспользоваться точками тестирования при закрытом корпусе.
Рис. 14.3. Внешний интерфейс в задней части корпуса ключевого брелока RSA SecurID Hardware Authenticator Key
Устройство может быть легко взломано или модифицировано, если через подобные интерфейсы передается важная информация или если интерфейсы используются для управления устройством или его программирования, но при этом полностью игнорируются требования безопасности и аутентификации или же на них обращается минимум внимания. Например, операционная система Palm для передачи системного пароля через последовательный порт во время операции HotSync использует не самые лучшие средства (для более подробных сведений см. пункт «Криптоанализ и методы запутывания»).
Анализ протокола
Передача данных может происходить как между элементами печатной платы, так и через внешний интерфейс с внешним миром. Понимание используемых при передаче данных методов является наиболее трудной частью хакинга аппаратных средств. В случае успеха это позволит отыскать важную информацию, управлять устройством или перепрограммировать его.
Контролировать неизвестные протоколы можно с помощью цифрового осциллографа или анализатора логических состояний (более подробные сведения можно узнать из пункта «Необходимый набор инструментов»). С их помощью передаваемые данные можно сначала перехватить, а затем сохранить для последующего анализа. Для анализа известных протоколов используются специализированные анализаторы протоколов. Атака на известный протокол может быть основана на генерации анализатором протокола деформированных или преднамеренно плохих пакетов с последующим наблюдением за результатами. Если управляющее устройством программное обеспечение правильно не обрабатывает ошибки или неверные пакеты (другими словами, не соответствует спецификации протокола), то ошибка может вызвать непредусмотренную операцию, полезную для злоумышленника. Для различных механизмов передачи данных разработано большое количество протоколов и спецификаций.
В спецификациях универсальной последовательной шины USB (www.usb.org) определены технические детали, определяющие предъявляемые требования к механическим и электронным компонентам USB-устройств и проектированию USB-совместимых устройств. USB Snoopy (www.jps.net/~koma) является ориентированным на выполнение в среде Windows инструментарием мониторинга с функциями анализатора протокола, который можно использовать как недорогую альтернативу решениям на основе аппаратных средств. Этот инструментарий перехватывает и отображает весь USB-трафик данных и чрезвычайно полезен для определения информации, передаваемой на ведущий компьютер и наоборот. Использование подобного инструментария может помочь в разгадке ожидаемых устройством команд или ожидаемого им формата данных. Поэтому с помощью этого инструментария можно попытаться послать устройству «недокументированные» команды или данные и обнаружить какие-нибудь аномалии.
Инфракрасный интерфейс (IR) является формой беспроводного способа передачи данных, который разработан для непосредственно соприкасающихся устройств и двухточечных линий связи. Инфракрасный интерфейс обычно используется в «карманных» компьютерах и сотовых телефонах для передачи телефонных номеров, данных записной книжки, дат, книг и других списков информации между устройством и ведущим компьютером. Ассоциация передачи данных в инфракрасном диапазоне (IrDA) опубликовала стандарт (www.IrDA.org), который является наиболее популярным стандартом передачи данных в инфракрасном диапазоне. Стандарт поддерживает широкий диапазон аппаратуры, вычислительных устройств и устройств связи.
Рис. 14.5. Пример отображения инструментальным средством PortMon данных, передаваемых через последовательный порт
За несколько лет последовательный и параллельный интерфейсы подключения устройств стали менее популярны. В течение этого времени внешние устройства были заменены на более новые устройства с инфракрасным или USB-интерфейсом. Но передачу данных в последовательном или параллельном формате можно реализовать очень просто, для этого требуется минимум накладных расходов. Инструментальное средство PortMon компании Sysinternals (www.sysinternals.com/ntw2k/freeware/portmon.shtml) контролирует и отображает работу всех последовательных и параллельных портов системы. Подобно USB Snoopy это инструментальное средство полезно для исследования передачи данных между ведущим компьютерным и анализируемым устройством.
Беспроводные технологии становятся очень популярными. Увеличивается число реализовавших их устройств. В большинстве случаев протоколы беспроводных технологий определяют передачу данных в открытом виде, что позволяет злоумышленнику контролировать трафик малыми силами. Так обстоит дело с пейджинговыми протоколами (POCSAG и FLEX), протоколом управления воздушным движением (ACARS), полицейскими и мобильными терминалами данных (MDC4800) и заслуживающими особого внимания двухсторонними пейджерами, как, например, пейджеры Research In Motion\'s BlackBerry (Mobitex). Протокол 802.11b wireless Ethernet является наиболее популярным протоколом для сетевых устройств с беспроводным интерфейсом. Разработанное компанией WildPackets программное инструментальное средство Airopeek (www.wildpackets.com/products/airopeek) предназначено для анализа сетевого трафика в сетях, работающих по протоколу 802.11b wireless. Другим основанным на этом же протоколе программным средством мониторинга и анализа сетевого трафика является разработка Sniffer Technologies под названием Sniffer Wireless (www.sniffer.com/products/sniffer-wireless). Bluetooth (www.Bluetooth.com) и HomeRF (www.HomeRF.org) являются двумя потребительскими продуктами, ориентированными на работу по беспроводным протоколам. Каждый из них работает в 2,4 ГГц полосе частот и использует технологию сигнала с изменяющейся несущей (скачкообразной смены рабочей частоты) FHSS (Frequency Hopping Spread Spectrum).
Для ознакомления с анализом Ethernet и сетевых протоколов рекомендуем обратиться к выпущенной издательством Prentice-Hall книге «Межсетевой обмен с использованием стека протоколов TCP/IP: том 1 – Принципы, протоколы и архитектура» (Comer Internetworking with TCP/IP volume 1 – Principles, Protocols, and Architecture). В книге приведены как начальные сведения, так и детали TCP/IP-сетевых протоколов. Также обсуждены другие сетевые технологии.
Электромагнитные излучения и электростатический разряд
Так или иначе, но при работе электронные устройства генерируют электромагнитные излучения. Это побочный эффект работы электронных устройств, обусловленный электрическими свойствами, конструкцией схем печатных плат и изменением значений параметров их деталей. Этот этап анализа преследует цель определить величину генерируемых устройством электромагнитных излучений и их полезность для атаки.
Впервые идея хакинга аппаратных средств на основе измерения параметров электромагнитных излучений была предложена и детализирована Вим ван Эком (Wim van Eck) в его статье «Электромагнитное излучение мониторов: канал утечки информации?» (Компьютеры и защита. 4 изд. 1985) – Electromagnetic Radiation from Video Display Units: An Eavesdropping Risk? (Computers & Security. Vol. 4. 1985), www.jya.com/emr.pdf. В этой статье описаны результаты исследования возможности прослушивания мониторов путем перехвата и декодирования параметров их электромагнитного излучения. В настоящее время это известно под названием «мониторинга ван Эка». Джон Янг (John Young) на Web-странице «Документы TEMPEST» (TEMPEST Documents),приводит достаточно информации по вопросам «мониторинга ван Эка», включая недавно рассекреченные государственные документы и государственные требования к экранированию устройств, известные под названием «TEMPEST». Большинство из относящихся к этой теме документов все еще засекречены правительством Соединенных Штатов. С помощью правильно сконструированной антенны и приемника электромагнитные излучения могут быть перехвачены с безопасного удаленного расстояния и при необходимости повторно выведены на монитор (в случае наличия монитора) или записаны и автономно воспроизведены злоумышленником (например, с помощью принтера либо клавиатуры).
В последнее время стал популярным способ анализа смарт-карты, основанный на измерении их электромагнитных излучений. Этот способ позволяет собрать интересные данные о работе смарт-карты и выполняемых ее криптографических операциях. С его помощью можно раскрыть отдельные части криптографических ключей. В работе Рао (Rao) и Рохатги (Rohatgi) «Атаки, основанные на побочном эффекте электромагнитных излучений» (EMPowering Side-Channel Attacks), www.research.ibm.com/intsec/emf.html, представлены предварительные результаты исследования компрометирующих электромагнитных излучений смарт-карт. Это исследование основано на анализе работы источника питания и работе Кохера (Kocher), Джаффа (Jaffe) и Джана (Jun) «Разностный анализ источников питания» (Differential Power Analysis) (Передовое в криптологии: материалы Крипто-99, 2000 г. – Advances in Cryptology: Proceedings of Crypto 99, 2000), www.cryptography.com/dpa/Dpa.pdf. В работе описан мониторинг электрических полей смарт-карты и показано применение методов математической статистики для выявления хранимой в устройстве секретной информации. Основанные на анализе электромагнитных излучений и источников питания атаки представляют опасность для небольших
Внутренний анализ устройства: атаки на электрическую схему
Многие из уязвимостей и изъянов в системе защиты, конструктивных недостатков устройства обнаруживаются на этапе анализа электрической схемы. К этому моменту корпус устройства уже вскрыт (будем надеяться) и исследователь получил полный доступ к схеме и другим внутренним компонентам устройства.
Реинжиниринг устройства
Электрическая схема устройства по существу является картой путей прохождения электрических сигналов и формирует основу для определения любых уязвимостей, имеющих отношение к электричеству. Для реинжиниринга сложных систем может потребоваться куда больше времени, чем для небольших портативных устройств, как, например, устройства идентификации. Для инженерного анализа устройств окажутся чрезвычайно полезными любые их схемы и технические руководства по ремонту, какие только удастся достать у производителя.
При инженерном анализе исследуемого устройства необходимо определить маркировку и выполняемые функции большинства, если не всех компонентов. Конкретное понимание деталей работы компонентов с определенными сигнальными шинами может оказаться полезным для активного исследования устройства во время его работы. Почти все производители интегральных схем помещают спецификации своих компонентов в Интернете, поэтому даже простой поиск позволит найти приличное количество необходимой информации. На сайте «Интерактивный мастер интегральных схем» (IC MASTER Online), www.icmaster.com, находятся маркировки компонентов, данные по выводам и конструкции корпусов, логотипы, инструкции по применению, вторичные поставщики, перекрестные ссылки по списку из более чем 135 000 базовых компонент свыше 345 производителей. Эскиз схемы может быть сделан вручную, но системы ввода описаний схем, как, например, OrCAD Capture компании Cadence Design Systems (www.orcad.com/Product/Schematic/Capture/default.asp), позволяют заметно упростить задачу. Физическое обследование монтажной платы может выявить малоизвестные порты отладки, кнопки сброса или установленные на плату групповые пробники для подключения анализатора логических состояний, каждый из которых может оказаться полезным для активного сбора данных.
На рисунке 14.6 приведена монтажная плата устройства аутентификации eToken R1 USB компании Aladdin Knowledge Systems. Сравнительно легко на монтажной плате можно выделить главные компоненты: слева – микропроцессор серии CY7C63001A, а правее – устройство внешней памяти. На показанной внизу задней стороне платы видны вспомогательные схемы, выполненные по интегрирующей технологии (совокупности средств, обеспечивающих связывание стандартных компонентов в единую компонентную архитектуру), включая конденсаторы, кварцевые синхронизаторы и микропроцессор сброса интегральной схемы. У правого края платы находится светодиод зеленого цвета, а слева – явный разъем USB. На инженерный анализ устройства и восстановление его схемы, показанной на рис. 14.7, потребовалось около часа. Рассматривая в качестве примера это специфическое устройство, следует отметить, что первой целью атаки станет попытка прочитать при помощи программирующего устройства данные, хранимые в устройстве внешней памяти. Это позволит злоумышленнику собрать достаточно информации об особенностях системы защиты устройства и получении доступа к важным данным устройства в обход его системы защиты. Подробные детали этой атаки можно найти в статье Кингпина (Kingpin) «Атаки на USB-устройства идентификации и противодействие им» (Труды отмпозиума Скандинавских стран по вопросам безопасности систем информационных технологий (Proceeding of the Fifth Nordic Workshop on Secure IT Systems), www.atstake.com/research/reports/usb_hardware_token.pdf).
Рис. 14.7. Восстановленная схема устройства, показанного на рис. 14.6
Основные способы: общие атаки
После получения схемы устройства, которая отражает все лучшее, что известно об устройстве, можно приступать к выдвижению гипотез по определению возможного направления атаки. Нельзя ли добраться до каких-либо участков схемы без вскрытия устройства? Подобные сведения особенно полезны, если некоторые части устройства охраняются защитными механизмами и может случиться, что быстротечные атаки окажутся предпочтительнее полного вскрытия устройства. Чаще всего целью атак является извлечение данных из микропроцессоров или компонентов внешней памяти (см. пункт «Поиск компонент памяти»), в которых может храниться важная информация. Злоумышленник может ее прочитать или изменить в своих целях. К важной информации можно также подобраться, анализируя линии внутренних адресов и шины данных. Часто это можно сделать с помощью анализатора логических состояний или цифрового осциллографа. Злоумышленник, изменяя подаваемое к схеме напряжение или температурный режим ее работы при помощи направленного воздействия тепла или холода на отдельные компоненты или меняя в значительных пределах рабочую температуру обтекающего потока воздуха, может заставить устройство работать в нестандартных эксплуатационных режимах и извлечь пользу из благоприятных для него побочных эффектов.
Андерсон (Anderson) и Кун (Kuhn) в статье «Недорогие атаки на механизмы противодействия вскрытия» (Low Cost Attacks on Tamper Resistant Devices) (Протоколы безопасности, 5-ый Международный симпозиум (Security Protocols, 5th International Workshop), 1997, www.cl.cam.ac.uk/~mgk25/tamper2.pdf) описывают ряд способов, позволяющих злоумышленнику при небольших затратах взламывать смарт-карты и «безопасные» микроконтроллеры.
Типы корпусов устройстваНесколько замечаний о различных типах корпусов компонентов интегральной схемы и о способах их защиты, например при помощи металлического экрана или герметизации, будут весьма полезны. Некоторые корпуса сконструированы таким образом, что злоумышленник может легко добраться до выводов схемы и исследовать устройство. К подобным корпусам относятся прежде всего корпуса типа DIP (корпуса с двухрядным расположением выводов), интегральные схемы в малогабаритном корпусе типа SO (SOIC) или безвыводные пластиковые кристаллодержатели PLCC. Если выводы схемы расположены более плотно, как, например, в тонком корпусе с уменьшенным расстоянием между выводами (корпус типа TSSOP), то значительно труднее исследовать отдельные выводы без использования высококачественных пробников или адаптеров в виде пружинных зажимов для временных соединений, например компании Emulation Technology (www.emulation.com).
Корпус BGA (конструкция корпуса микросхемы с выводами в виде миниатюрных металлических шариков, расположенных в форме сетки снизу на его задней поверхности. Выводы прижимаются к контактным площадкам на печатной плате без применения пайки. Преимущество – более низкая стоимость изготовления и уменьшение размеров корпуса) обладает всеми преимуществами устройства с расположенными снизу выводами, сильно затрудняя доступ к внутренним выводам. При необходимости исследования потребовалось бы удалить чип и воспользоваться платой расширения или переходником. Устройства с корпусом BGA становятся все более популярными из-за их небольшой площади основания и низкого процента отказа в работе. Выполняемое в процессе производства тестирование этих устройств часто обходится дороже тестирования других конструкций корпусов из-за того, что при тестировании часто применяется рентгеновское излучение для контроля правильности соединения шариковых выводов.
В корпусе типа «кристалл на плате» COB (Chip-on-Board) кремниевый чип интегральной схемы установлен непосредственно на печатную плату PCB и герметично защищен эпоксидной смолой (рис. 14.8). В пункте «Современные способы атак…» приведены дополнительные сведения относительно получения доступа к устройствам типа COB и их анализу.