信息安全案例教程:技术与应用(第2版)
上QQ阅读APP看书,第一时间看更新

2.1 计算机设备与环境的安全问题

本章讨论的计算机设备和环境安全也称为物理安全或实体安全。计算机信息系统都是以一定的方式运行在物理设备之上的,因此,保障物理设备及其所处环境的安全,就成为信息系统安全的第一道防线。

物理安全的威胁主要有:自然灾害等环境事故造成的设备故障或损毁,设备被盗、被毁,设备设计上的缺陷,硬件恶意代码攻击,旁路攻击等。

微课视频2-2

设备面临的物理安全问题-1

2.1.1 环境事故造成的设备故障或损毁

计算机及网络设备的故障或损毁会对计算机及网络中信息的可用性造成威胁。环境对计算机及网络设备的影响主要包括地震、水灾、火灾等自然灾害,以及温度、湿度、灰尘、腐蚀、电气与电磁干扰、停电等环境因素,这些因素从不同方面影响了计算机的可靠工作。

1.地震等自然灾害

地震、水灾、火灾等自然灾害造成的硬件故障或损毁常常会使正常的信息流中断,在实时控制系统中,这将造成历史信息的永久丢失。

【案例2-2】

2006年 12月 26日晚8时 26分至 40分间,我国台湾屏东外海发生地震,地震使亚欧海缆、中美海缆、亚太 1号等至少 6条海底通信光缆发生中断,造成我国、美国、欧洲的通信线路大量中断,互联网大面积瘫痪,我国、日本、韩国、新加坡网民均受到影响。

网站https://submarine-cable-map-2019.telegeography.com直观显示了全球海底光缆分布情况图,可以很方便地了解每条光缆的线路以及登陆点。

2.温度

数据中心主机房的温度建议值为 18~27℃(根据GB 50174—2017《数据中心设计规范》)。计算机的电子元器件、芯片通常都封装在机箱中,有的芯片工作时表面温度相当高。过高的温度会降低电子元器件的可靠性,无疑将影响计算机的正确运行。

例如,温度对磁介质的磁导率影响很大,温度过高或过低都会使磁导率降低,影响磁头读写的正确性。温度还会使磁带、磁盘表面热胀冷缩发生变化,造成数据的读写错误,影响信息的正确性。温度过高会使插头、插座、计算机主板、各种信号线加速老化。反之,温度过低也会使元器件材料变硬、变脆,使磁记录媒体性能变差,影响正常工作。

3.湿度

数据中心主机房的相对湿度保持在40%~60%较为适宜(根据GB 50174—2017《数据中心设计规范》)。

环境的相对湿度低于 40%时,属于相对干燥。这种情况下极易产生很高的静电,如果这时有人去触碰电子元器件,会造成这些元器件的击穿。过分干燥的空气也会破坏磁介质上的信息,会使纸张变脆、印制电路板变形。

当相对湿度高于 60%时,属于相对潮湿。这时在元器件的表面容易附着一层很薄的水膜,会造成元器件各引脚之间的漏电,甚至可能出现电弧现象。水膜中若含有杂质,它们会附着在元器件引脚、导线、接头表面,造成这些元器件表面发霉和触点腐蚀。在高湿度的情况下,磁性介质会吸收空气中的水分而变潮,使其磁导率发生变化,造成信息读写错误;打印纸会吸潮变厚,影响正常的打印操作。

当温度与湿度高低交替大幅度变化时,会加速对计算机中各种元器件与材料的腐蚀与破坏作用,严重影响计算机的正常运行与寿命。

4.灰尘

空气中的灰尘对计算机中的精密机械装置,如磁盘驱动器的影响很大。

在高速旋转过程中,各种灰尘会附着在盘片表面,当读头靠近盘片表面读信号的时候,就可能擦伤盘片表面或者磨损读头,造成数据读写错误或数据丢失。在无防尘措施的环境中,平滑的光盘表面经常会带有许多看不见的灰尘,即使用干净的布,只要稍微用力去擦抹,就会在盘面上形成一道道划痕。如果灰尘中还包括导电尘埃和腐蚀性尘埃的话,它们会附着在元器件与电子线路的表面,若此时机房空气湿度较大,就会造成短路或腐蚀裸露的金属表面。灰尘在元器件表面的堆积,还会降低元器件的散热能力。

5.电磁干扰

对计算机正常运行影响较大的电磁干扰是静电干扰和周边环境的强电磁场干扰。

计算机中的芯片大部分都是MOS(Metal Oxide Semiconductor,金属氧化物半导体)器件,静电电压过高会破坏这些MOS器件。据统计,50%以上的计算机设备的损害直接或间接与静电有关。周边环境的强电磁场干扰主要指无线电发射装置、微波线路、高压线路、电气化铁路、大型电机、高频设备等产生的强电磁场干扰。这些干扰一般容易破坏信息的完整性,有时还会损坏计算机设备。

6.停电

电子设备是计算机信息系统的物理载体,停电会使得电子设备停止工作,从而破坏信息系统的可用性,因此供电事故已经成为当前网络空间安全的一大威胁。

【案例2-3】

2015年,雷击造成比利时电网停电,谷歌设在当地的数据中心也暂时断电,造成几GB到几十GB的数据丢失。

还有人为造成停电影响信息系统安全的事件。例如,2003年 8月 14日美国东北部地区发生停电事故,这次停电事故源于俄亥俄州一个控制室的警报系统存在软件漏洞,未能警告操作者系统发生超载,由此产生了系统故障的连锁效应。在 2015年底和 2016年初,乌克兰境内的多处变电站遭受黑客恶意软件攻击,直接导致乌克兰国内西伊万诺至弗兰科夫斯克地区大范围停电,约140万个家庭无电可用。

目前大多数专门的工业硬件编程与控制软件都运行在安装有Windows或者Linux操作系统的PC设备之上,这意味着未来还将有更多由于停电事故造成工业系统不可用的事件发生。

文档资料2-1

电网攻击事件的思考与启示

7.意外损坏

环境事故中更常见的是设备跌落、落水等意外损坏。例如,不慎勾绊笔记本电脑的电源线造成笔记本电脑跌落损坏,打翻水杯造成笔记本电脑进水,湖边拍照手机不慎落水。苹果和微软等公司生产的笔记本电脑电源采用了磁吸插头,在外力作用下能够自行脱落,这样,在不小心绊到电源线的情况下,磁吸插头会自行从插口中移除,确保笔记本电脑的安全。

2.1.2 设备普遍缺乏硬件级安全防护

本节主要讨论个人计算机(Personal Computer,PC)包括移动终端等硬件设备所面临的安全威胁。台式机(或称台式计算机)、笔记本计算机(笔记本电脑)、上网本计算机、平板计算机以及超级本等都属于PC的范畴。

1.硬件设备被盗被毁

自从1946年计算机问世以来,随着半导体集成技术的发展,微型化、移动化成为PC发展的重要方向。PC的硬件尺寸越来越小,容易搬移,尤其是笔记本计算机和以iPad为代表的智能移动终端更是如此。计算机硬件体积的不断缩小给人们使用计算机带来了很大的便利,然而这既是优点也是弱点。这样小的机器并未设计固定装置,使机器能方便地放置在桌面上,于是盗窃者能够很容易地搬走整台机器,其中的各种数据信息也就谈不上安全了。

2.开机密码保护被绕过

与大型计算机相比,一般PC上无硬件级的保护,他人很容易操作控制机器。即使有保护,机制也很简单,很容易被绕过。

例如,对于CMOS(Complementary Metal Oxide Semiconductor,互补金属氧化物半导体)中的开机口令,可以通过将CMOS的供电电池短路,使CMOS电路失去记忆功能而绕过开机口令的控制。目前,PC的机箱一般都设计成便于用户打开的,有的甚至连螺钉旋具也不需要,因此打开机箱进行CMOS放电很容易做到。另外,虽然用户可以在PC上设置系统开机密码,以避免攻击者绕过操作系统非法使用PC,但是这种设置只对本机有效,如果攻击者把PC的硬盘挂接到其他机器上,就可以读取其中的内容了。攻击者还可以通过制作WinPE盘(U盘启动盘)绕过系统开机密码的保护。

3.磁盘信息被窃取

PC的硬件是很容易安装和拆卸的,硬盘容易被盗,其中的信息自然也就不安全了。

存储在硬盘上的文件几乎没有任何保护措施,文件系统的结构与管理方法是公开的,对文件附加的安全属性,如隐藏、只读、存档等属性,很容易被修改,对磁盘文件目录区的修改既没有软件保护也没有硬件保护。掌握磁盘管理工具的人,很容易更改磁盘文件目录区。

在硬盘或软盘的磁介质表面的残留磁信息也是主要的信息泄露渠道,文件删除操作仅仅在文件目录中做了一个标记,并没有删除文件本身的数据存储区,用户可以使用EasyRecovery等数据恢复软件很容易地恢复被删除的文件。

4.内存信息被窃取

学过计算机基础知识的人都被告知,内存芯片DRAM(Dynamic Random Access Memory,动态随机存取存储器)的内容在断电后就消失了。但是有研究证实,内存条如果被攻击者接触或获取,其中的信息也将失去防护,因为内存根本没有任何防护。

【案例2-4】

视频资料2-1

内存幽灵

普林斯顿大学J. Alex Halderman等人的实验证实,如果将DRAM芯片的温度用液氮降到-196℃,其中储存的内容在1h后仅损失 0.17%。大家都知道,一个加密后的磁盘除非在读取时输入密码,不然解开磁盘上的数据可能性很小。但是J. Alex Halderman等人的实验进一步证实,一般的磁盘加密系统(如微软Windows操作系统中的BitLocker,苹果Mac操作系统中的FileVault)密码都会在输入后暂存于RAM(Random Access Memory,随机存取存储器)中。所以,如果攻击者在用户离开机器时盗取用户开着的计算机的话,攻击者就可以通过RAM而获得用户的密码。真正可怕的是,即使用户的计算机已经锁定了,攻击者还是可以先在开机状态下把用户的RAM“冻”起来,这样,就算没有通电,RAM里的数据也可以保存至少 10min,这段时间足以让攻击者拔起RAM装到别的计算机上,然后搜索密钥。即使是台已经关机的计算机,只要动作够快,也有可能读出存在里面的密码。

微课视频2-3

设备面临的物理安全问题-2

2.1.3 硬件中的恶意代码

数字时代,不仅仅软件有恶意代码,无处不在的集成电路芯片中也会存在恶意代码。这是因为,一方面芯片越来越复杂,功能越来越强大,但是其中的漏洞也越来越多,电路复杂性也决定了根本不可能用穷举法来测试它,这些漏洞会被发现进而被黑客利用;另一方面,后门、木马等恶意代码可能直接被隐藏在硬件芯片中。

1.CPU中的恶意代码

计算机的中央处理器(Central Processing Unit,CPU)中还包括许多未公布的指令代码,这些指令常常被厂家用于系统的内部诊断,但是也可能被作为探测系统内部信息的“后门”,有的甚至可能被作为破坏整个系统运转的“逻辑炸弹”。

芯片一旦遭遇攻击,后果将是灾难性的。芯片在现代控制系统、通信系统及全球电力供应等系统里处于核心地位。它们在汽车防抱死制动系统(Antilock Brake System,ABS)中负责调节制动力,在飞机上负责襟翼的定位,在银行保险库和自动柜员机(ATM)上负责安全授权,在股票市场负责交易运作。集成电路还是武装部队使用的几乎所有关键系统的核心。可以想象,一起精心策划的硬件攻击,不仅仅是让一辆汽车失控,更是能够让金融系统瘫痪,或者让军队或政府的关键部门陷入混乱。

【案例2-5】

文档资料2-2

Intel CPU漏洞剖析

2018年 1月 2日,Intel CPU被曝光有三个处理器高危漏洞,有两个漏洞被称为Spectre (幽灵),一个漏洞被称为Meltdown(熔断),这些漏洞能让恶意程序获取核心内存里存储的敏感内容,比如能导致黑客访问到PC的内存数据,包括用户账号密码、应用程序文件、文件缓存等。

2.存储设备中的恶意代码

不仅存在针对CPU设计漏洞的恶意代码攻击,硬盘、U盘等存储设备中也都有恶意代码攻击的事件被曝光。

【案例2-6】

2015年,卡巴斯基研究人员曝光了美国国家安全局硬盘固件入侵技术。该技术通过重写硬盘固件获得对计算机系统的控制权,还可以在硬盘上开辟隐藏存储空间以备攻击者在一段时间后取回盗取的数据。当不知情的用户在联网的PC中使用被感染的存储设备时,信息就可能被窃取。由此,情报部门可以收集其他方式很难获取的数据。由于这样的恶意软件并不存在于普通的存储区域,用户很难发现并清除。

在 2014年美国黑帽大会上,柏林SRLabs的安全研究人员JakobLell和独立安全研究人员Karsten Nohl展示了“BadUSB”攻击方法,即将恶意代码植入USB设备控制器固件,从而使USB设备在接入PC等设备时,可以欺骗PC操作系统,从而达到攻击目的。

小结

硬件攻击的物理本质使得它的潜在危害远胜于软件中的病毒及其他恶意代码。因为,现代集成电路非常复杂,发现并彻底清除硬件中的恶意代码非常困难。这些漏洞或是恶意代码往往会一直潜伏在其中,直至被激活才会被发现。

人们现在面临的问题不是硬件攻击是否会发生,而是攻击将采用何种方式,攻击步骤是什么。而最重要的问题或许是,如何检测并阻止这类攻击或者至少降低攻击带来的损失。

2.1.4 旁路攻击

俗语说“明枪易躲,暗箭难防”,主要是讲人们考虑问题时常常会对某些可能发生的问题在某些方面估计不足,缺少防范心理。在考虑计算机信息安全问题的时候,往往也存在这种情况。由于计算机硬件设备的固有特性,信息会通过“旁路”(Side Channel,或称侧信道),如声、光、电磁信号等,也就是能规避加密等常规保护手段的途径泄露出去。

旁路攻击是指攻击者通过偷窥,分析敲击键盘的声音、针式打印机的噪声、不停闪烁的硬盘或是网络设备的LED灯以及显示器(包括液晶显示器)、CPU和总线等部件在运行过程中向外部辐射的电磁波等来获取一定的信息。这些区域基本不设防,而且在这些设备区域,原本加密的数据已经转换为明文信息,旁路攻击也不会留下任何异常登录信息或损坏的文件,具有极强的隐蔽性。

【案例2-7】

视频资料2-2

跨越物理隔离

2018年 8月,以色列本·古里安大学的Mordechai Guri教授在美国黑帽大会上做了题为《跨越物理隔离》的演讲。Guri教授介绍了自己的团队在声音、电磁、磁场和电源 4个方面的隐蔽信道研究成果。他的研究表明:一个有动机的攻击者总能千方百计突破物理隔离,从事后控制的计算机中获得泄露数据。

键盘、显示器屏幕是最易发生旁路攻击的硬件设备,电磁泄漏是最易被忽视的旁路攻击途径。

1.针对键盘的旁路攻击

常见的针对键盘的旁路攻击是通过硬件型键盘记录器。攻击者还可以利用键盘输入视频、按键手姿、按键声音、按键振动甚至按键温度获得键盘输入内容。

【案例2-8】

图2-3展示的硬件型键盘记录器用于在键盘和主机的I/O接口之间捕获键盘信息。这种记录器通常安装在键盘线的末端,有的也可以安装在计算机内部,例如I/O端口的内部,有的甚至安装在键盘自身内部,安装之后就可以把键盘输入的信息存储在内置的内存当中。这样的硬件装置不需要占用任何计算机资源,也不会被杀毒软件和扫描器检测出来。它也不需要用到计算机的硬盘去存储所捕获的键盘信息,因为它有自身的内存。

图2-3 硬件型键盘记录器

还有一些这类产品支持蓝牙功能,或是通过接受每一个按键被按下时引起的电磁脉冲,根据每个按键产生电磁脉冲的频率来编码和译码,能够由不同的频率还原出键盘的击键过程。

图2-4展示了通过键盘输入时的录像进行视觉分析获得按键内容的一种旁路攻击。

图2-4 键盘输入图像分析

图2-5展示了通过按键音还原手机号的按键声波图。

图2-5 手机号的按键声波图

图 2-6展示了美国加州大学圣地亚哥分校(UCSD)研究小组利用留在键盘上的余温恢复用户输入密码的研究。如果在用户输入密码后立即使用热成像摄像机读取由键盘输入的数字密码,成功率超过80%;如果是在1min后使用,仍有大约50%的成功率。

图2-6 热成像摄像机获取键盘输入信息

2.针对显示器的旁路攻击

如果计算机显示器直接面对窗外,它发出的光可以在直线距离很远的位置接收到。一些研究显示,即使没有直接的通路,接收显示器通过墙面反射的光线或是显示屏在眼球上的反光仍然能再现显示屏幕信息。

3.针对打印机的旁路攻击

根据针式打印机的工作噪声,可以复原出正在被打印的单词。在针式打印机中,打印头来回推动,若干细小的打印针撞击色带,打印每个字母都会发出一种独特的声音。例如,打印字形较复杂的字母需要更多的打印针撞击色带,因而噪声会更大。研究人员通过仔细分析可以分辨出字母序列。研究人员还在尝试将这一招数应用到更加常见的喷墨打印机上。随着无人机的应用,攻击者还可以利用无人机飞行在防守严密的大楼外部,快速截取到大楼内部的无线打印机的信号。

4.电磁泄漏

计算机是一种非常复杂的机电一体化设备,工作在高速脉冲状态的计算机就像是一台很好的小型无线电发射机和接收机,不但受电磁干扰影响系统正常工作,还会产生电磁辐射泄露保密信息。尤其是在微电子技术和通信技术飞速发展的今天,计算机电磁辐射泄密的危险越来越大。

TEMPEST(Transient Electromagnetic Pulse Emanation Surveillance Technology,瞬时电磁脉冲发射监测技术)就是指对电磁泄漏信号中所携带的敏感信息进行分析、测试、接收、还原以及防护的一系列技术。

电磁泄漏信息的途径通常有两个:

1)以电磁波的形式由空中辐射出去,称为辐射泄露。这种辐射是由计算机内部的各种传输线、信号处理电路、时钟电路、显示器、开关电路及接地系统、印制电路板线路等产生。

2)电磁能量通过各种线路传导出去,称为传导泄露。例如,计算机系统的电源线,机房内的电话线、地线等都可以作为传导媒介。这些金属导体有时也起到天线作用,将传导的信号辐射出去。

【案例2-9】

2017年,一群来自Fox-IT和Riscure的安全研究专家在研究论文TEMPEST attacks against AES中,公开了一种根据附近计算机发出的电磁辐射来推导出加密密钥的方法。一般来说,这种攻击技术通常需要使用非常昂贵的设备,但研究人员表示他们所制作的这台设备造价只要230美元。其中的加密密钥嗅探装置由一根电磁回路天线、一个外部放大器、带通滤波器和一个USB无线电接收器组成,如图2-7所示。这个装置非常小,甚至可以直接放在衣服口袋或其他不起眼的袋子里面。攻击者可以携带这个设备走到一台计算机或已知会进行加密操作的设备旁边,然后它便会自动嗅探目标设备所发出的电子辐射。

从设备内部来看,该设备可以嗅探并记录下附近计算机所发出的电磁波,而电磁波的能量峰值部分取决于目标设备所处理的数据,根据这些数据可以提取出其中所包含的加密密钥。

图2-7 由电磁回路天线、外部放大器、带通滤波器和USB无线电接收器组成的密钥嗅探装置

2.1.5 设备在线面临的威胁

近几年,信息物理系统(Cyber Physical System,CPS)正引起人们的关注。信息物理系统是一种新型的多维复杂系统,它是计算系统、通信系统、控制系统深度融合的产物,具有智能化、网络化的特征,也是一个开放控制系统。信息物理系统的应用很广,工业控制、智能交通、智能电网、智能医疗和国防等都已涉猎。在广泛应用的同时,信息物理系统由于需要在线互联,安全问题日益凸显。美国国土安全局表示,许多的工业控制系统正处在危险之中,它们面临着来自互联网的直接威胁。

【案例2-10】

2009年,DEFCON黑客大会上,一位名叫约翰·马瑟利(John Matherly)的黑客发布了一款名为Shodan(https://www.shodan.io)的在线设备搜索引擎。每个月Shodan都会在大约 5亿个服务器上日夜不停地搜集信息。Shodan不像Google等传统的搜索引擎,利用Web爬虫去遍历整个网站,而是对各类在线设备端口产生的系统旗标信息(banners)进行审计而产生搜索结果,所以该搜索引擎能够寻找到和互联网连接的服务器、路由器、摄像头、打印机、车牌扫描仪、巨大的风力涡轮机以及其他许许多多的在线设备。因此Shodan被称为黑客的谷歌。

最让人担忧的是,通过Shodan还能够搜索到与互联网相连的工业控制系统。当然,Shodan也可以被用在好的方面,例如,制造商可以通过Shodan定位那些没有打上最新版补丁的物联网设备,售后服务部门可以发现那些需要调试维护的打印机。

拓展阅读

读者要想了解更多在线设备搜索引擎及技术,可以访问以下网站。

[1] 美国密歇根大学研究人员开发,由谷歌提供支持的Censys:https://www.censys.io。

[2] 国内知道创宇发布的Zoomeye:http://www.zoomeye.org。除了提供联网设备的搜索,还可搜索网站组件用以对Web服务进行安全分析。