Trojan de hardware - Hardware Trojan

Parte de uma série sobre
Segurança da informação
Categorias de segurança relacionadas
Segurança automotiva Cibercrime Tráfico de cibersexo Fraude de computador Cybergeddon Terrorismo cibernético Cyberwarfare Guerra eletronica Guerra de informação Segurança da Internet Segurança para celulares Segurança de rede Proteção contra cópia Gestão de direitos digitais
Ameaças
Adware Ameaça persistente avançada Execução de código arbitrário Backdoors Backdoors de hardware Injeção de código Crimeware Cross-site scripting Malware de criptojacking Botnets Violação de dados Download drive-by objetos auxiliares do navegador Crime virtual Vírus Raspagem de dados Negação de serviço Espionagem Fraude de email Spoofing de e-mail Exploits Keyloggers Bombas lógicas Bombas-relógio Bombas fork Bombas zip Discadores fraudulentos Malware Carga útil Phishing Motor polimórfico Escalada de privilégios Ransomware Rootkits Bootkits Scareware Shellcode Spamming Engenharia social (segurança) Captura de tela Spyware Bugs de software cavalos de Tróia Trojans de hardware Trojans de acesso remoto Vulnerabilidade Conchas da web Limpador Worms injeção SQL Software de segurança desonesto Zumbi
Defesas
Segurança do aplicativo Codificação segura Seguro por padrão Seguro desde a concepção Caso de uso indevido Controle de acesso ao computador Autenticação Autenticação multifator Autorização Software de segurança de computador Software antivírus Sistema operacional focado na segurança Segurança centrada em dados Ofuscação de código Encriptação Firewall Sistema de detecção de intrusão Sistema de detecção de intrusão baseado em host (HIDS) Detecção de anomalia Informações de segurança e gerenciamento de eventos (SIEM) Gateway seguro móvel Autoproteção de aplicativo em tempo de execução
v t e

Um Trojan de hardware ( HT ) é uma modificação maliciosa do circuito de um circuito integrado . Um Trojan de hardware é completamente caracterizado por sua representação física e seu comportamento. A carga útil de um HT é toda a atividade que o cavalo de Tróia executa quando é acionado. Em geral, os cavalos de Tróia tentam contornar ou desabilitar a cerca de segurança de um sistema: por exemplo, vazando informações confidenciais por emissão de rádio. Os HTs também podem desabilitar, danificar ou destruir todo o chip ou seus componentes.

Os cavalos de Troia de hardware podem ser introduzidos como "portas frontais" ocultas que são inseridas durante o projeto de um chip de computador, usando um núcleo de propriedade intelectual (IP Core) de semicondutor de circuito integrado específico de aplicativo pré-fabricado (ASIC ) que foi comprado de um não - fonte confiável ou inserida internamente por um funcionário desonesto, agindo por conta própria ou em nome de grupos de interesse especial desonestos ou espionagem e espionagem patrocinada pelo estado.

Um artigo recente publicado no IEEE explica como um design de hardware contendo um cavalo de Tróia pode vazar uma chave criptográfica vazada por uma antena ou conexão de rede, desde que o gatilho "ovo de páscoa" correto seja aplicado para ativar o vazamento de dados.

Em departamentos de TI governamentais de alta segurança, os cavalos de Troia de hardware são um problema bem conhecido na compra de hardware, como: um switch KVM , teclados, mouses, placas de rede ou outro equipamento de rede. Esse é especialmente o caso ao comprar esse equipamento de fontes não confiáveis ​​que podem ter colocado cavalos de Troia de hardware para vazar as senhas do teclado ou fornecer entrada remota não autorizada.

Fundo

Em uma economia global diversificada, a terceirização de tarefas de produção é uma forma comum de reduzir o custo de um produto. Os dispositivos de hardware embarcados nem sempre são produzidos pelas empresas que os projetam e / ou vendem, nem no mesmo país onde serão usados. A fabricação terceirizada pode levantar dúvidas sobre a evidência da integridade do produto manufaturado (ou seja, a certeza de que o produto final não tem modificações de design em comparação com seu design original). Qualquer pessoa com acesso ao processo de fabricação poderia, em tese, introduzir alguma alteração no produto final. Para produtos complexos, pequenas alterações com grandes efeitos podem ser difíceis de detectar.

A ameaça de uma alteração de design séria e maliciosa pode ser especialmente relevante para agências governamentais. Resolver dúvidas sobre a integridade do hardware é uma forma de reduzir as vulnerabilidades da tecnologia nos setores militar , financeiro , energético e político de uma economia . Como a fabricação de circuitos integrados em fábricas não confiáveis ​​é comum, surgiram técnicas de detecção avançadas para descobrir quando um adversário escondeu componentes adicionais ou sabotou de alguma forma a função do circuito.

Caracterização de Trojans de hardware

Um HT pode ser caracterizado por diversos métodos, como por sua representação física, fase de ativação e fase de ação. Métodos alternativos caracterizam o HT por gatilho, carga útil e furtividade.

Características físicas

Uma dessas características físicas do Trojan é o tipo. O tipo de Trojan pode ser funcional ou paramétrico. Um cavalo de Tróia é funcional se o adversário adiciona ou exclui quaisquer transistores ou portas ao design do chip original. O outro tipo de Trojan, o Trojan paramétrico, modifica o circuito original, por exemplo, afinamento de fios, enfraquecimento de flip-flops ou transistores, submetendo o chip à radiação ou usando feixes de íons focalizados (FIB) para reduzir a confiabilidade de um chip .

O tamanho de um Trojan é sua extensão física ou o número de componentes de que é feito. Como um Trojan pode consistir em muitos componentes, o designer pode distribuir as partes de uma lógica maliciosa no chip. A lógica adicional pode ocupar o chip onde quer que seja necessária para modificar, adicionar ou remover uma função. Se a função do Trojan assim o exigir, por um lado, componentes maliciosos podem ser espalhados. Isso é chamado de distribuição livre. Por outro lado, um Trojan pode consistir em apenas alguns componentes, portanto, a área é pequena onde a lógica maliciosa ocupa o layout do chip. Em contraste, isso é chamado de distribuição restrita.

Se o adversário não mede esforços, ele regenera o layout, para que a colocação dos componentes do CI seja alterada. Em casos raros, a dimensão do chip é alterada. Essas mudanças são alterações estruturais.

Características de ativação

O cavalo de Tróia típico é baseado em condições: é acionado por sensores , estados lógicos internos, um padrão de entrada específico ou um valor de contador interno. Trojans baseados em condição são detectáveis ​​com rastros de energia em algum grau quando inativos. Isso se deve às correntes de fuga geradas pelo gatilho ou contra-circuito que ativam o Trojan.

Os Trojans de hardware podem ser acionados de diferentes maneiras. Um Trojan pode ser ativado internamente, o que significa que ele monitora um ou mais sinais dentro do IC . O circuito malicioso pode esperar por uma lógica de contagem regressiva que um invasor adicionou ao chip, para que o cavalo de Tróia desperte após um intervalo de tempo específico. O oposto é ativado externamente. Pode haver lógica maliciosa dentro de um chip, que usa uma antena ou outros sensores que o adversário pode alcançar de fora do chip. Por exemplo, um Trojan pode estar dentro do sistema de controle de um míssil de cruzeiro . O dono do míssil não sabe, que o inimigo poderá desligar os foguetes por rádio .

Um Trojan que está sempre ativo pode ser um fio reduzido. Um chip que é modificado desta forma produz erros ou falha toda vez que o fio é usado intensamente. Os circuitos sempre ativos são difíceis de detectar com rastreamento de energia.

Neste contexto, são distinguidos os cavalos de Tróia combinacionais e os cavalos de Tróia sequenciais . Um Trojan combinacional monitora os sinais internos até que uma condição específica aconteça. Um cavalo de Tróia sequencial também é um circuito baseado em condição ativado internamente, mas monitora os sinais internos e procura sequências, não por um estado ou condição específica como fazem os cavalos de Tróia combinacionais.

Extração de chave criptográfica

A extração de chaves secretas por meio de um Trojan de hardware sem detectar o Trojan requer que o Trojan use um sinal aleatório ou alguma implementação criptográfica .

Para evitar o armazenamento de uma chave criptográfica no próprio cavalo de Tróia e redução, uma função física não clonável pode ser usada. As funções físicas não clonáveis ​​são pequenas em tamanho e podem ter um layout idêntico, enquanto as propriedades criptográficas são diferentes

Características de ação

Um HT pode modificar a função do chip ou alterar as propriedades paramétricas do chip (por exemplo, provoca um atraso no processo). As informações confidenciais também podem ser transmitidas ao adversário (transmissão de informações importantes).

Trojans de hardware de dispositivo periférico

Um vetor de ameaça relativamente novo para redes e terminais de rede é um HT que aparece como um dispositivo periférico físico projetado para interagir com o terminal de rede usando o protocolo de comunicação do dispositivo periférico aprovado. Por exemplo, um teclado USB que oculta todos os ciclos de processamento mal-intencionados do ponto de extremidade da rede de destino ao qual está conectado, comunicando-se com o ponto de extremidade da rede de destino usando canais USB indesejados. Uma vez que os dados confidenciais são ex-filtrados do endpoint da rede alvo para o HT, o HT pode processar os dados e decidir o que fazer com eles: armazená-los na memória para posterior recuperação física do HT ou possivelmente ex-filtrá-los para a internet usando wireless ou usando o endpoint de rede comprometido como um pivô.

Potencial de ameaça

Um Trojan comum é passivo durante a maior parte do tempo em que um dispositivo alterado está em uso, mas a ativação pode causar um dano fatal. Se um Trojan for ativado, a funcionalidade pode ser alterada, o dispositivo pode ser destruído ou desativado, pode vazar informações confidenciais ou destruir a segurança e a proteção. Os cavalos de Tróia são furtivos, o que significa que a pré-condição para ativação é um evento muito raro. As técnicas de teste tradicionais não são suficientes. Uma falha de fabricação ocorre em uma posição aleatória enquanto as alterações maliciosas estão bem posicionadas para evitar a detecção.

Detecção

Inspeção física

Primeiro, a camada de moldagem é cortada para revelar o circuito. Em seguida, o engenheiro varre repetidamente a superfície enquanto retifica as camadas do chip. Existem várias operações para fazer a varredura do circuito. Os métodos de inspeção visual típicos são: microscopia ótica de varredura (SOM), microscopia eletrônica de varredura (SEM), análise de circuito de imagem de pico-segundo (PICA), imagem de contraste de voltagem (VCI), alteração de voltagem induzida por luz (LIVA) ou alteração de voltagem induzida por carga ( CIVA). Para comparar a planta baixa do chip deve ser comparada com a imagem do chip real. Isso ainda é bastante desafiador de fazer. Para detectar o hardware do cavalo de Tróia que inclui chaves (criptográficas) diferentes, uma comparação de imagem pode ser obtida para revelar a estrutura diferente do chip. O único Trojan de hardware conhecido que usa chaves criptográficas exclusivas, mas com a mesma estrutura é. Esta propriedade aumenta a indetectabilidade do Trojan.

Teste funcional

Este método de detecção estimula as portas de entrada de um chip e monitora a saída para detectar falhas de fabricação. Se os valores lógicos da saída não corresponderem ao padrão genuíno, um defeito ou um cavalo de Tróia pode ser encontrado.

Testes integrados

As técnicas de autoteste embutido (BIST) e Design For Test (DFT) adicionam circuitos (lógica) ao chip com o objetivo de ajudar a verificar se o chip, conforme construído, implementa sua especificação funcional. A lógica extra monitora estímulos de entrada e sinais internos ou estados de memória, geralmente computando somas de verificação ou expondo registros internos por meio de uma técnica de varredura personalizada . Enquanto o DFT geralmente coordena com algum mecanismo de teste externo, os chips habilitados para BIST incorporam geradores de padrão de teste personalizados. A funcionalidade BIST geralmente existe para executar verificação em alta velocidade (alta velocidade) onde não é possível usar cadeias de leitura ou outros recursos DFT de baixa velocidade. Ambos os métodos foram desenvolvidos originalmente para detectar erros de fabricação, mas também têm o potencial de dois gumes para detectar alguns efeitos de lógica maliciosa no chip ou para serem explorados por lógica maliciosa para inspecionar secretamente o estado remoto dentro do chip.

Considere como o DFT reconhece a lógica não intencional. Quando acionado por entradas DFT, um chip genuíno gera uma assinatura familiar, mas um chip defeituoso ou alterado exibe uma assinatura inesperada. A assinatura pode consistir em qualquer número de saídas de dados do chip: uma cadeia de varredura inteira ou resultado de dados intermediário. Em um contexto de detecção de cavalo de Tróia, a lógica DFT pode ser considerada um algoritmo de criptografia: usando a entrada DFT como chave para assinar uma mensagem derivada do comportamento do design em teste. Em um contexto de prevenção de intrusão, as funções BIST ou DFT são normalmente desativadas (por reconfiguração de hardware) fora de um ambiente de manufatura porque seu acesso ao estado interno do chip pode expor sua função a vigilância encoberta ou ataque subversivo.

Análises de canal lateral

Cada dispositivo que é eletricamente ativo emite sinais diferentes, como campos magnéticos e elétricos. Esses sinais, que são causados ​​pela atividade elétrica, podem ser analisados ​​para obter informações sobre o estado e os dados que o dispositivo processa. Métodos avançados para medir esses efeitos colaterais foram desenvolvidos e são muito sensíveis ( ataque de canal lateral ). Portanto, é possível detectar Trojans fortemente acoplados por meio da medição desses sinais analógicos. Os valores medidos podem ser usados ​​como uma assinatura para o dispositivo analisado. Também é comum que um conjunto de valores medidos seja avaliado para evitar erros de medição ou outras imprecisões.

Veja também

• FDIV
• Backdoor de hardware
• Ofuscação de hardware
• Segurança de hardware
• Botão de desligar
• Função física não clonável (PUF)
• Interruptor de segurança
• Intel Management Engine

Leitura adicional

• Mainak Banga e Michael S. Hsiao: Uma abordagem baseada na região para a identificação de cavalos de Troia de hardware, Departamento de Engenharia Elétrica e de Computação de Bradley, Virginia Tech., Host'08, 2008
• AL D'Souza e M. Hsiao: Diagnóstico de erro de circuitos sequenciais usando modelo baseado em região, Proceedings of the IEEE VLSI Design Conference, janeiro de 2001, pp. 103–108.
• C. Fagot, O. Gascuel, P. Girard e C. Landrault: On Calculating Efficient LFSR Seeds for Built-In Self Test, Proc. Of European Test Workshop, 1999, pp 7–14
• G. Hetherington, T. Fryars, N. Tamarapalli, M. Kassab, A. Hassan e J. Rajski: Logic BIST para grandes projetos industriais, questões reais e estudos de caso, ITC, 1999, pp. 358-367
• WT Cheng, M. Sharma, T. Rinderknecht e C. Hill: Signature Based Diagnosis for Logic BIST, ITC 2006, outubro de 2006, pp. 1-9
• Rajat Subhra Chakraborty, Somnath Paul e Swarup Bhunia: On-Demand Transparency for Improving Hardware Trojan Detectability, Department of Electrical Engineering and Computer Science, Case Western Reserve University, Cleveland, OH, EUA
• Yier Jin e Yiorgos Makris: detecção de cavalo de Troia de hardware usando impressão digital de atraso de caminho, Departamento de Engenharia Elétrica da Universidade de Yale, New Haven
• Reza Rad, Mohammad Tehranipoor e Jim Plusquellic: Análise de Sensibilidade para Trojans de Hardware usando Sinais Transientes de Fonte de Alimentação, 1º Workshop Internacional IEEE sobre Segurança Orientada a Hardware e Confiança (HOST'08), 2008
• Dakshi Agrawal, Selcuk Baktir, Deniz Karakoyunlu, Pankaj Rohatgi e Berk Sunar: Trojan Detection using IC Fingerprinting, IBM TJ Watson Research Center, Yorktown Heights, Electrical \ & Computer Engineering Worcester Polytechnic Institute, Worcester, Massachusetts, 10 de novembro de 2006
• P. Song, F. Stellari, D. Pfeiffer, J. Culp, A. Weger, A. Bonnoit, B. Wisnieff, T. Taubenblatt: MARVEL - Reconhecimento de Alteração Maliciosa e Verificação por Emissão de Luz, IEEE Int. Symp. em Hardware-Oriented Security and Trust (HOST), pp. 117-121, 2011
• Xiaoxiao Wang, Mohammad Tehranipoor e Jim Plusquellic: Detectando Inclusões Maliciosas em Hardware Seguro, Desafios e Soluções, 1º IEEE International Workshop on Hardware-Oriented Security and Trust (HOST'08), 2008
• Miron Abramovici e Paul Bradley: Segurança de circuito integrado - novas ameaças e soluções
• Zheng Gong e Marc X. Makkes: Canais laterais de cavalo de Troia de hardware baseados em funções físicas não clonáveis ​​- teoria e prática de segurança da informação. Segurança e privacidade de dispositivos móveis em comunicação sem fio 2011, Lecture Notes in Computer Science 6633, P294-303.
• Vasilios Mavroudis, Andrea Cerulli, Petr Svenda, Dan Cvrcek, Dusan Klinec, George Danezis. Um toque do mal: Hardware criptográfico de alta garantia de componentes não confiáveis. 24ª Conferência ACM sobre Segurança de Computadores e Comunicações, Dallas, TX, 30 de outubro a 3 de novembro de 2017.
• Xinmu Wang, ATAQUES DE HARDWARE TROJAN: ANÁLISE DE AMEAÇAS E MEDIDAS DE BAIXO CUSTO ATRAVÉS DE DETECÇÃO SEM OURO E PROJETO DE SEGURANÇA, CASE WESTERN RESERVE UNIVERSITY.

Referências

links externos

• 'Palestra sobre Trojan de Hardware - Universidade da Flórida'
• Site 'Trust-hub'