A prueba de manipulaciones

La manipulación a prueba de manipulaciones , conceptualmente, es una metodología utilizada para obstaculizar, disuadir o detectar el acceso no autorizado a un dispositivo o la elusión de un sistema de seguridad. Dado que cualquier dispositivo o sistema puede ser frustrado por una persona con suficiente conocimiento, equipo y tiempo, el término "a prueba de manipulaciones" es un nombre inapropiado a menos que algunas limitaciones a los recursos de la parte manipuladora sean explícitas o se supongan.

Un elemento asegurado con cabezas de tornillos especiales puede ser considerado a prueba de manipulaciones por los transeúntes ocasionales, pero alguien equipado con herramientas específicas puede retirarlo.

La resistencia a la manipulación es la resistencia a la manipulación (mal funcionamiento intencional o sabotaje ) por parte de los usuarios normales de un producto, paquete o sistema u otras personas con acceso físico a él.

La resistencia a la manipulación abarca desde características simples como tornillos con unidades especiales , dispositivos más complejos que se vuelven inoperables o cifran todas las transmisiones de datos entre chips individuales, o el uso de materiales que requieren herramientas y conocimientos especiales. Los dispositivos o características resistentes a la manipulación son comunes en los paquetes para impedir la manipulación del paquete o del producto.

Los dispositivos antimanipulación tienen uno o más componentes: resistencia a la manipulación, detección de manipulación, respuesta a la manipulación y evidencia de manipulación. ^[1] En algunas aplicaciones, los dispositivos sólo son a prueba de manipulaciones en lugar de resistentes a manipulaciones.

manipulación

La manipulación implica la alteración o adulteración deliberada de un producto, paquete o sistema. Las soluciones pueden involucrar todas las fases de producción, empaque , distribución, logística , venta y uso del producto. Ninguna solución única puede considerarse "a prueba de manipulaciones". A menudo es necesario abordar varios niveles de seguridad para reducir el riesgo de manipulación. ^[2]

Algunas consideraciones podrían incluir:

Identifique quién podría ser un posible manipulador: usuario promedio, niño, persona bajo atención médica, bromista equivocado, prisionero, saboteador, criminales organizados, terroristas, gobierno corrupto. ¿Qué nivel de conocimientos, materiales, herramientas, etc. podrían tener?
Identificar todos los métodos factibles de acceso no autorizado a un producto, paquete o sistema. Además de los medios de entrada principales, considere también los métodos secundarios o de "puerta trasera".
Controlar o limitar el acceso a productos o sistemas de interés.
Mejore la resistencia a la manipulación para que la manipulación sea más difícil, requiera más tiempo, etc.
Agregue características de evidencia de manipulación para ayudar a indicar la existencia de manipulación.
Educar a las personas para que estén atentos a las pruebas de manipulación.

Métodos

Mecánico

Algunos dispositivos contienen tornillos o pernos no estándar en un intento de impedir el acceso. Algunos ejemplos son los gabinetes de conmutación telefónica (que tienen cabezas de perno triangulares a las que se ajusta un casquillo hexagonal) o pernos con cabezas de 5 lados que se usan para asegurar puertas a transformadores de distribución eléctrica exteriores. La cabeza de un tornillo Torx estándar se puede fabricar en una forma resistente a la manipulación con un pasador en el centro, lo que excluye los destornilladores Torx estándar. Se han ideado otras cabezas de tornillos de seguridad para desalentar el acceso casual al interior de dispositivos tales como la electrónica de consumo.

Eléctrico

Este estilo de resistencia a la manipulación se encuentra más comúnmente en las alarmas antirrobo . La mayoría de los dispositivos de disparo (por ejemplo, almohadillas de presión, sensores infrarrojos pasivos ( detectores de movimiento ), interruptores de puertas ) utilizan dos cables de señal que, según la configuración, normalmente están abiertos o normalmente cerrados . Los sensores a veces necesitan alimentación, por lo que para simplificar el tendido de cables se utiliza cable multifilar. Si bien 4 núcleos normalmente son suficientes para dispositivos que requieren energía (dejando dos de repuesto para aquellos que no la necesitan), se puede usar cable con núcleos adicionales. Estos núcleos adicionales se pueden conectar a un llamado "circuito antisabotaje" especial en el sistema de alarma. El sistema monitorea los circuitos de manipulación para emitir una alarma si se detecta una perturbación en los dispositivos o el cableado. Las cajas para dispositivos y paneles de control pueden estar equipadas con interruptores antisabotaje. Los posibles intrusos corren el riesgo de activar la alarma al intentar eludir un dispositivo determinado.

Sensores como detectores de movimiento, detectores de inclinación, sensores de presión de aire, sensores de luz, etc., que podrían emplearse en algunas alarmas antirrobo, también podrían usarse en una bomba para impedir su desactivación.

Seguridad

Casi todos los electrodomésticos y accesorios sólo se pueden abrir con una herramienta. Esto tiene como objetivo evitar el acceso casual o accidental a piezas energizadas o calientes, o daños al equipo. Los fabricantes pueden utilizar tornillos a prueba de manipulaciones, que no se pueden aflojar con herramientas comunes. Los tornillos a prueba de manipulaciones se utilizan en accesorios eléctricos en muchos edificios públicos para reducir la manipulación o el vandalismo que pueden causar un peligro a otros.

Garantías y soporte

Un usuario que estropea un equipo modificándolo de una manera no prevista por el fabricante puede negar haberlo hecho para reclamar la garantía o (principalmente en el caso de las PC) llamar al servicio de asistencia técnica para obtener ayuda para repararlo. Los sellos a prueba de manipulaciones pueden ser suficientes para solucionar este problema. Sin embargo, no se pueden verificar fácilmente de forma remota y muchos países tienen términos de garantía legales que significan que es posible que los fabricantes aún tengan que reparar el equipo. Los tornillos a prueba de manipulaciones evitarán que la mayoría de los usuarios ocasionales manipulen en primer lugar. En los EE. UU., la Ley de Garantía Magnuson-Moss impide que los fabricantes anulen las garantías únicamente por manipulación. ^{[ cita necesaria ]} Se puede anular una garantía solo si la manipulación realmente afectó la pieza que falló y podría haber causado la falla.

Papas fritas

Los microprocesadores resistentes a manipulaciones se utilizan para almacenar y procesar información privada o sensible, como claves privadas o crédito de dinero electrónico . Para evitar que un atacante recupere o modifique la información, los chips están diseñados de manera que no se pueda acceder a la información a través de medios externos y solo se pueda acceder a ella mediante el software integrado, que debe contener las medidas de seguridad adecuadas.

Ejemplos de chips resistentes a manipulaciones incluyen todos los criptoprocesadores seguros , como el IBM 4758 y los chips utilizados en tarjetas inteligentes , así como el chip Clipper .

Se ha argumentado que es muy difícil hacer que los dispositivos electrónicos simples sean seguros contra la manipulación, porque son posibles numerosos ataques, entre ellos:

ataque físico de diversas formas (microsondeo, taladros, limas, disolventes, etc.)
congelar el dispositivo
aplicar voltajes fuera de especificación o sobretensiones
aplicando señales de reloj inusuales
inducir errores de software mediante radiación (p. ej., microondas o radiación ionizante )
medir los requisitos precisos de tiempo y energía de ciertas operaciones (ver análisis de energía )

Se pueden diseñar chips resistentes a manipulaciones para poner a cero sus datos confidenciales (especialmente claves criptográficas ) si detectan una penetración en su encapsulación de seguridad o parámetros ambientales fuera de especificación. Un chip puede incluso estar clasificado para "puesta a cero en frío", la capacidad de ponerse a cero incluso después de que su fuente de alimentación se haya dañado. Además, los métodos de encapsulación personalizados utilizados para los chips utilizados en algunos productos criptográficos pueden diseñarse de tal manera que estén pretensados internamente, de modo que el chip se rompa si se interfiere con ellos. ^{[ cita necesaria ]}

Sin embargo, el hecho de que un atacante pueda tener el dispositivo en su poder todo el tiempo que quiera, y tal vez obtener muchas otras muestras para probarlas y practicar, significa que es imposible eliminar totalmente la manipulación por parte de un oponente suficientemente motivado. Por esta razón, uno de los elementos más importantes en la protección de un sistema es el diseño general del sistema. En particular, los sistemas a prueba de manipulaciones deberían " fallar con gracia " garantizando que el compromiso de un dispositivo no comprometa todo el sistema. De esta manera, el atacante puede verse prácticamente restringido a ataques que cuesten más que el beneficio esperado al comprometer un solo dispositivo. Dado que se ha estimado que llevar a cabo los ataques más sofisticados cuesta varios cientos de miles de dólares, los sistemas cuidadosamente diseñados pueden ser invulnerables en la práctica.

En los Estados Unidos, las especificaciones de compra exigen funciones antimanipulación (AT) en los sistemas electrónicos militares. ^[1]

DRM

La resistencia a la manipulación encuentra aplicación en tarjetas inteligentes , decodificadores y otros dispositivos que utilizan gestión de derechos digitales (DRM). En este caso, la cuestión no es evitar que el usuario rompa el equipo o se lastime, sino impedirle extraer códigos o adquirir y guardar el flujo de bits decodificado. Esto generalmente se hace teniendo muchas características del subsistema enterradas dentro de cada chip (de modo que las señales y los estados internos sean inaccesibles) y asegurándose de que los buses entre los chips estén encriptados. ^{[ cita necesaria ]}

Los mecanismos DRM también utilizan certificados y criptografía de clave asimétrica en muchos casos. En todos estos casos, la resistencia a la manipulación significa no permitir que el usuario del dispositivo acceda a los certificados válidos del dispositivo o a las claves público-privadas del dispositivo. El proceso de hacer que el software sea resistente contra ataques de manipulación se conoce como "software antimanipulación".

embalaje

A veces se necesita resistencia a la manipulación en el embalaje , por ejemplo:

Las regulaciones para algunos productos farmacéuticos lo requieren.
Los productos de alto valor pueden estar sujetos a robo.
Las pruebas deben permanecer inalteradas para posibles procedimientos legales.

La resistencia a la manipulación se puede incorporar o añadir al embalaje . ^[3] Los ejemplos incluyen:

Capas adicionales de embalaje (ninguna sola capa o componente es "a prueba de manipulaciones")
Embalaje que requiere herramientas para entrar.
Embalaje extrafuerte y seguro
Paquetes que no se pueden volver a sellar
Sellos a prueba de manipulaciones , cintas de seguridad y características

Software

También se dice que el software es resistente a la manipulación cuando contiene medidas para dificultar la ingeniería inversa o para evitar que un usuario lo modifique en contra de los deseos del fabricante (eliminando una restricción sobre cómo puede usarse, por ejemplo). Un método comúnmente utilizado es la ofuscación de código .

Sin embargo, la resistencia eficaz a la manipulación en el software es mucho más difícil que en el hardware, ya que el entorno del software puede manipularse en un grado casi arbitrario mediante el uso de la emulación.

Si se implementara, la informática confiable haría que la manipulación de software de programas protegidos fuera al menos tan difícil como la manipulación de hardware, ya que el usuario tendría que piratear el chip de confianza para otorgar certificaciones falsas con el fin de eludir la certificación remota y el almacenamiento sellado. Sin embargo, la especificación actual deja claro que no se espera que el chip sea a prueba de manipulaciones contra cualquier ataque físico razonablemente sofisticado; ^[4] es decir, no pretende ser tan seguro como un dispositivo resistente a manipulaciones.

Un efecto secundario de esto es que el mantenimiento del software se vuelve más complejo, porque las actualizaciones de software deben validarse y los errores en el proceso de actualización pueden provocar una activación falsamente positiva del mecanismo de protección.

Ver también

Referencias

^ ab Altera. "Capacidades antimanipulación en diseños FPGA". pag. 1.
^ Johnston, RG (1997). "Dispositivos indicadores de manipulación y seguridad física". LA-UR-96-3827 . Equipo de Evaluación de Vulnerabilidad, Laboratorio Nacional de Los Álamos . Consultado el 30 de agosto de 2019 .
^ Rosette, JL (2009), "Embalaje a prueba de manipulaciones", en Yam, KL (ed.), Encyclopedia of Packaging Technology , Wiley (publicado en 2010), ISBN 978-0-470-08704-6
^ Microsoft Word: cambios en TPM 1_2 final.doc

Bibliografía

Smith, Sean; Weingart, Steve (1999). "Construcción de un coprocesador seguro programable de alto rendimiento". Red de computadoras . 31 (9): 831–860. CiteSeerX 10.1.1.22.8659 . doi :10.1016/S1389-1286(98)00019-X.
Roseta, Jack L (1992). Mejora del embalaje a prueba de manipulaciones: problemas, pruebas y soluciones. ISBN 978-0877629061.

enlaces externos

Resistencia a la manipulación: una nota de precaución
Principios de diseño para procesadores de tarjetas inteligentes a prueba de manipulaciones
Ataques de bajo coste a dispositivos resistentes a manipulaciones