Hardware Trojan - Hardware Trojan

A Hardware Trojan (HT) je škodlivá úprava obvody z integrovaný obvod. Hardware trojský je zcela charakterizován svým fyzickým zobrazením a chováním. The užitečné zatížení HT je celá aktivita, kterou trojský kůň provádí, když je spuštěn. Škodlivé trojské koně se obecně pokoušejí obejít nebo deaktivovat bezpečnostní plot systému: Může dojít k úniku důvěrných informací rádiovým vyzařováním. HT také mohou deaktivovat, změnit rozsah nebo zničit celý čip nebo jeho součásti.

Hardwarové trojské koně mohou být zavedeny jako skryté „Přední dveře“, které jsou nevědomky vloženy při návrhu počítačového čipu, pomocí předem vyrobených aplikačně specifický integrovaný obvod (ASIC) polovodičové jádro duševního vlastnictví (IP Core), které byly zakoupeny z nerentabilního zdroje nebo vloženy interně nepoctivým zaměstnancem, který jedná samostatně, nebo jménem nepoctivých zvláštních zájmových skupin nebo špionáží a špionáží sponzorovanou státem.[1]

Jeden nedávný článek publikovaný v IEEE vysvětluje, jak by z hardwarového designu obsahujícího trojského koně mohl uniknout kryptografický klíč unikající přes anténu nebo síťové připojení, za předpokladu, že je k aktivaci úniku dat použit správný spouštěč „velikonočního vajíčka“.[2]

Ve vládních IT odděleních s vysokou bezpečností jsou hardwarové trojské koně dobře známým problémem při nákupu hardwaru, například: a Přepínač KVM, klávesnice, myši, síťové karty nebo jiná síťová zařízení. To platí zejména při nákupu takového zařízení z nerentabilních zdrojů, které by mohlo umístit hardwarové trojské koně k úniku hesel z klávesnic nebo k poskytnutí neoprávněného vstupu na dálku.[3]

Pozadí

V rozmanité globální ekonomice outsourcing výrobních úkolů je běžný způsob, jak snížit náklady na produkt. Integrovaná hardwarová zařízení nejsou vždy vyráběna firmami, které je navrhují a / nebo prodávají, ani ve stejné zemi, kde budou použita. Outsourcing výroby může vyvolat pochybnosti o důkaz pro integritu vyráběného produktu (tj. jistotu, že konečný produkt nemá žádné konstrukční úpravy ve srovnání s původním designem). Kdokoli, kdo má přístup k výrobnímu procesu, by teoreticky mohl zavést nějakou změnu konečného produktu. U složitých produktů může být obtížné odhalit malé změny s velkými efekty.

Hrozba závažné, zlomyslné změny designu může být obzvláště relevantní pro vládní agentury. Jedním ze způsobů, jak snížit pochybnosti o integritě hardwaru technologie zranitelnosti v válečný, finance, energie a politické sektory ekonomika. Od výroby integrované obvody v nedůvěryhodných továrnách je běžné, objevily se pokročilé detekční techniky, které zjišťují, kdy protivník skryl další komponenty nebo jinak sabotoval, funkce obvodu.

Charakterizace hardwarových trojských koní

HT lze charakterizovat několika metodami, například fyzickou reprezentací, aktivační fází a akční fází. Alternativní metody charakterizují HT spouštěčem, užitečným zatížením a utajením.

Fyzikální vlastnosti

Jednou z těchto fyzických vlastností trojského koně je typ. Typ trojského koně může být funkční nebo parametrický. Trojský kůň je funkční, pokud protivník některý přidá nebo odstraní tranzistory nebo brány k původnímu designu čipu. Jiný druh trojského koně, parametrický trojský kůň, upravuje původní obvody, např. ztenčení vodičů, zeslabení klopných obvodů nebo tranzistorů, vystavení čipu záření nebo použití zaostřených iontových paprsků (FIB) ke snížení spolehlivosti čipu.

Velikost trojského koně je jeho fyzické rozšíření nebo počet komponent, z nichž je vyroben. Protože se trojský kůň může skládat z mnoha komponent, může návrhář na čipu distribuovat části škodlivé logiky. Dodatečná logika může obsadit čip všude tam, kde je potřeba upravit, přidat nebo odebrat funkci. Pokud to funkce trojského koně vyžaduje, mohou být na jedné straně rozptýleny škodlivé komponenty. Tomu se říká volná distribuce. Na druhou stranu může trojský kůň sestávat pouze z několika komponent, takže oblast je malá, kde škodlivá logika zaujímá rozložení čipu. Naproti tomu se tomu říká těsná distribuce.

Pokud protivník ne vynaloží žádné úsilí, regeneruje rozložení tak, aby se změnilo umístění komponent IC. Ve vzácných případech se změní rozměr čipu. Tyto změny jsou strukturálními změnami.

Aktivační charakteristiky

Typický trojský kůň je založen na podmínkách: Spouští se senzory, vnitřní logické stavy, konkrétní vstupní vzor nebo hodnota interního čítače. Trójské koně založené na podmínkách jsou do jisté míry detekovatelné se stopami napájení, když jsou neaktivní. To je způsobeno svodovými proudy generovanými spoušť nebo protiobvod aktivující trojského koně.

Hardwarové trojské koně lze spustit různými způsoby. Trojský kůň může být interně aktivován, to znamená, že sleduje jeden nebo více signálů uvnitř IC. Škodlivé obvody mohly čekat na logiku odpočítávání, kterou útočník přidal na čip, takže se Trojan probudil po určitém časovém rozpětí. Opak je aktivován externě. Uvnitř čipu, který používá znak, může být škodlivá logika anténa nebo jiné senzory, na které může protivník dosáhnout z vnějšku čipu. Například trojský kůň by mohl být uvnitř řídicího systému plavby střela. Majitel střely neví, že nepřítel bude schopen rakety vypnout rádio.

Trojský kůň, který je vždy zapnutý, může být omezený drát. Takto upravený čip produkuje chyby nebo selže při každém intenzivním použití drátu. Vždy zapnuté obvody je těžké detekovat pomocí sledování výkonu.

V tomto kontextu kombinační Trojské koně a sekvenční Trojské koně se vyznačují. Kombinační trojský kůň sleduje interní signály, dokud nedojde ke konkrétní situaci. Sekvenční trojský kůň je také interně aktivovaný obvod založený na podmínkách, ale sleduje interní signály a hledá sekvence, které nemají konkrétní stav nebo podmínky, jako to dělají kombinační trojské koně.

Extrakce kryptografického klíče

Extrakce tajných klíčů pomocí hardwarového trojského koně bez detekce trojského koně vyžaduje, aby trojský kůň použil náhodný signál nebo nějaký kryptografické samotná implementace.

Aby se zabránilo ukládání kryptografického klíče do samotného trojského koně a redukci, a fyzická unclonable funkce může být použito.[4] Fyzické unclonable funkce jsou malé velikosti a mohou mít stejné rozložení, zatímco kryptografické vlastnosti se liší

Charakteristiky akce

HT může změnit funkci čipu nebo změnit jeho parametrické vlastnosti (např. Vyvolá zpoždění procesu). Důvěrné informace lze také předat protivníkovi (přenos klíčových informací).

Hardwarové trojské koně periferních zařízení

Relativně novým vektorem hrozeb pro sítě a koncové body sítě je HT, který se jeví jako fyzický obvodový zařízení, které je navrženo pro interakci se síťovým koncovým bodem pomocí schváleného komunikačního protokolu periferního zařízení. Například a USB klávesnice, která skrývá všechny škodlivé cykly zpracování z cílového koncového bodu sítě, ke kterému je připojen, prostřednictvím komunikace s cílovým koncovým bodem sítě pomocí nezamýšlených kanálů USB. Jakmile jsou citlivá data exfiltrována z koncového bodu cílové sítě do HT, může HT data zpracovat a rozhodnout se, co s nimi: uložit je do paměti pro pozdější fyzické načtení HT nebo případně ex-filtrovat na internet pomocí bezdrátového připojení nebo pomocí ohroženého síťového koncového bodu jako pivot.[5][6]

Potenciál ohrožení

Běžný trojský kůň je pasivní po většinu časového období, kdy se změněné zařízení používá, ale aktivace může způsobit smrtelné poškození. Je-li aktivován trojský kůň, lze funkčnost změnit, zařízení zničit nebo deaktivovat, může unikat důvěrné informace nebo strhnout zabezpečení a zabezpečení. Trojské koně jsou nenápadné, to znamená, že předpoklad pro aktivaci je velmi vzácná událost. Tradiční testovací techniky nestačí. Výrobní chyba se stane na náhodném místě, zatímco škodlivé změny jsou v dobré pozici, aby se zabránilo detekci.

Detekce

Fyzická kontrola

Nejprve se formovací vrstva odstřihne, aby se odhalily obvody. Poté inženýr opakovaně skenuje povrch při broušení vrstev čipu. Existuje několik operací ke skenování obvodů. Typické metody vizuální kontroly jsou: skenovací optická mikroskopie (SOM), rastrovací elektronová mikroskopie (SEM),[7] analýza pikosekundového zobrazovacího obvodu (PICA), zobrazování kontrastu napětí (VCI), změna napětí indukovaná světlem (LIVA) nebo změna napětí indukovaná nábojem (CIVA). Chcete-li porovnat půdorys čipu, je třeba jej porovnat s obrazem skutečného čipu. To je stále docela náročné. K detekci trojského hardwaru, který zahrnuje (krypto) klíče, které se liší, lze použít rozdíl obrázků, který odhalí odlišnou strukturu čipu. Jediný známý hardwarový trojský kůň, který používá jedinečné krypto klíče, ale má stejnou strukturu.[8] Tato vlastnost zvyšuje nedetekovatelnost trojského koně.

Funkční testování

Tato detekční metoda stimuluje vstupní porty čipu a monitoruje výstup, aby detekoval výrobní vady. Pokud logické hodnoty výstupu neodpovídají skutečnému vzoru, mohl být nalezen defekt nebo trojský kůň.

Integrované testy

Integrovaný autotest (BIST) a Design pro test (DFT) techniky přidávají obvody (logiku) k čipu, aby pomohly ověřit, že čip, jak je postaven, implementuje svou funkční specifikaci. Logika navíc monitoruje vstupní stimul a vnitřní signály nebo stavy paměti, obvykle výpočtem kontrolní součty nebo vystavením interních registrů pomocí přizpůsobeného skenovací technika. Tam, kde se DFT obvykle koordinuje s nějakým externím testovacím mechanismem, obsahují čipy s podporou BIST vlastní generátory testovacích vzorů. Funkce BIST často existuje k provádění ověřování při vysoké rychlosti (vysokorychlostní), kde není možné použít skenovací řetězce nebo jiné nízkorychlostní funkce DFT. Obě metody byly původně vyvinuty za účelem detekce výrobních chyb, ale mají také dvoustranný potenciál detekovat některé účinky škodlivé logiky na čipu nebo být využívány škodlivou logikou k tajné kontrole vzdáleného stavu v čipu.

Zvažte, jak DFT rozpozná nezamýšlenou logiku. Pokud je poháněn vstupy DFT, originální čip generuje známý podpis, ale vadný nebo pozměněný čip zobrazuje neočekávaný podpis. Podpis může sestávat z libovolného počtu datových výstupů z čipu: celého řetězce skenování nebo mezivýsledku dat. V kontextu detekce trojských koní lze logiku DFT považovat za šifrovací algoritmus: použití vstupu DFT jako klíče k podepsání zprávy odvozené od chování testovaného designu. V kontextu zamezení vniknutí jsou funkce BIST nebo DFT mimo výrobní prostředí obvykle deaktivovány (hardwarovou rekonfigurací), protože jejich přístup k vnitřnímu stavu čipu může jeho funkci vystavit skrytému dohledu nebo podvratnému útoku.

Analýzy postranního kanálu

Každé elektricky aktivní zařízení vydává různé signály, jako je magnetické a elektrické pole. Tyto signály, které jsou způsobeny elektrickou aktivitou, lze analyzovat a získat informace o stavu a datech, která zařízení zpracovává. Byly vyvinuty pokročilé metody měření těchto vedlejších účinků, které jsou velmi citlivé (útok bočním kanálem ). Z tohoto důvodu je možné detekovat těsně spřažené trojské koně měřením těchto analogových signálů. Naměřené hodnoty lze použít jako podpis pro analyzované zařízení. Je také běžné, že se sada naměřených hodnot vyhodnocuje, aby se zabránilo chybám měření nebo jiným nepřesnostem.

Viz také

Další čtení

  • Mainak Banga a Michael S. Hsiao: Regionální přístup k identifikaci hardwarových trojských koní, Bradley Department of Electrical and Computer Engineering, Virginia Tech., Host'08, 2008
  • A. L. D’Souza a M. Hsiao: Diagnostika chyb sekvenčních obvodů pomocí regionálního modelu, Proceedings of the IEEE VLSI Design Conference, January, 2001, pp. 103–108.
  • C. Fagot, O. Gascuel, P. Girard a C. Landrault: O výpočtu účinných semen LFSR pro integrovaný autotest, Proc. Of European Test Workshop, 1999, s. 7–14
  • G. Hetherington, T. Fryars, N. Tamarapalli, M. Kassab, A. Hassan a J. Rajski: Logic BIST pro velké průmyslové vzory, skutečné problémy a případové studie, ITC, 1999, s. 358–367
  • W. T. Cheng, M. Sharma, T. Rinderknecht a C. Hill: Diagnostika založená na podpisu pro Logic BIST, ITC 2006, říjen 2006, s. 1–9
  • Rajat Subhra Chakraborty, Somnath Paul a Swarup Bhunia: Transparentnost na vyžádání za účelem zlepšení detekovatelnosti hardwarových trojských koní, Katedra elektrotechniky a informatiky, Case Western Reserve University, Cleveland, OH, USA
  • Yier Jin a Yiorgos Makris: Detekce hardwarových trojských koní pomocí otisku prstu zpoždění cesty, Katedra elektrotechniky Yale University, New Haven
  • Reza Rad, Mohammad Tehranipoor a Jim Plusquellic: Analýza citlivosti na hardwarové trojské koně pomocí přechodových signálů napájení, 1. mezinárodní seminář IEEE o hardwaru a zabezpečení (HOST'08), 2008
  • Dakshi Agrawal, Selcuk Baktir, Deniz Karakoyunlu, Pankaj Rohatgi a Berk Sunar: Detekce trojských koní pomocí IC Fingerprinting, IBM T.J. Watson Research Center, Yorktown Heights, elektrické a počítačové inženýrství Worcester Polytechnic Institute, Worcester, Massachusetts, 10. listopadu 2006
  • P. Song, F. Stellari, D. Pfeiffer, J. Culp, A. Weger, A. Bonnoit, B. Wisnieff, T. Taubenblatt: MARVEL - Malicious Alteration Recognition and Verification by Emission of Light, IEEE Int. Symp. o hardwaru a zabezpečení (HOST), s. 117–121, 2011
  • Xiaoxiao Wang, Mohammad Tehranipoor a Jim Plusquellic: Detection Malicious Inclusion in Secure Hardware, Challenges and Solutions, 1st IEEE International Workshop on Hardware-Oriented Security and Trust (HOST'08), 2008
  • Miron Abramovici a Paul Bradley: Zabezpečení integrovaného obvodu - nové hrozby a řešení
  • Zheng Gong a Marc X. Makkes: Hardwarové trojské postranní kanály založené na fyzických unclonable funkcích - teorie a praxe informační bezpečnosti. Zabezpečení a soukromí mobilních zařízení v bezdrátové komunikaci 2011, poznámky k přednášce v informatice 6633, P294-303.
  • Vasilios Mavroudis, Andrea Cerulli, Petr Svenda, Dan Cvrcek, Dušan Klinec, George Danezis. Dotek zla: Kryptografický hardware s vysokou zárukou od nedůvěryhodných komponent. 24. konference ACM o bezpečnosti počítačů a komunikací, Dallas, TX, 30. října - 3. listopadu 2017.
  • Xinmu Wang, HARDWARE TROJAN ÚTOČÍ: ANALÝZA OHROŽENÍ A NÍZKÁ NÁKLADOVÁ OPATŘENÍ PROSTŘEDNICTVÍM BEZPLATNÉ DETEKCE ZABEZPEČENÍ A BEZPEČNÝ DESIGN, PŘÍPAD ZÁPADNÍ REZERVNÍ UNIVERZITA

Reference

  1. ^ Detekce hardwarových trojských koní pomocí GateLevel InformationFlow Tracking, Wei Hu et al, publikace IEEE, 2015
  2. ^ Detekce hardwarových trojských koní pomocí GateLevel InformationFlow Tracking, Wei Hu et al, publikace IEEE, 2015
  3. ^ Budování trojského hardwaru doma, BlackHat Asia 2014
  4. ^ Zeng Gong a Marc X. Makkes „Hardwarové trojské postranní kanály založené na fyzických unclonable funkcích“, WISTP 2011, LNCS 6633 pp.293-303 doi:10.1007/978-3-642-21040-2_21
  5. ^ J. Clark, S. Leblanc, S. Knight, Compromise through USB-based Hardware Trojan device, Future Generation Computer Systems (2010) (v tisku). doi:10.1016 / j.future.2010.04.008
  6. ^ John Clark, Sylvain Leblanc, Scott Knight, „Hardwarové trojské zařízení založené na nezamýšlených kanálech USB“, „Zabezpečení sítí a systémů, Mezinárodní konference dne, s. 1-8, 2009 Třetí mezinárodní konference o zabezpečení sítí a systémů, 2009. doi:10.1109 / NSS.2009.48
  7. ^ Swapp, Susan. „Scanning Electron Microscopy (SEM)“. University of Wyoming.
  8. ^ Zeng Gong a Marc X. Makkes „Hardwarové trojské postranní kanály založené na fyzických unclonable funkcích“, WISTP 2011, LNCS 6633 pp.293-303 doi:10.1007/978-3-642-21040-2_21

externí odkazy