Securitatea Intel Software Guard eXtensions (SGX), considerată anterior sigură pentru aplicațiile pe servere, poate fi compromisă de atacatorii cu acces fizic prin intermediul unei noi vulnerabilități denumite WireTap.Costul redus al echipamentelor (sub $1.000) folosite la atac pune la îndoială încrederea în protecția hardware SGX.
Atacul se bazează pe introducerea fizică a unei sonde pe magistrala DRAM (memoria RAM). Inovația constă în încetinirea magistralei DDR4, ceea ce face posibilă capturarea traficului de date criptate cu instrumente logice accesibile (ieftine). Prin observarea acestor tranzacții în enclava SGX, cercetătorii au extras cheia privată de atestare DCAP a serverului în mai puțin de 45 de minute.
Consecințele sunt critice, în special pentru Blockchain și Web3, ecosisteme care depind de SGX. O cheie compromisă permite atacatorului să falsifice dovezi de stocare sau să extragă cheile master, ducând la decriptarea întregii rețele. Descoperirile au fost deja notificate companiei Intel și proiectelor blockchain afectate.
10 Sfaturi de Protecție Împotriva Atacurilor Hardware (WireTap)
1. Implementează Securitatea Fizică la Nivelul Rackului
Blochează fizic accesul la componentele hardware interne.
Pasul 1: Asigură-te că serverele sunt instalate în rackuri complet închise (cabinet enclosures).
Pasul 2: Utilizează încuietori de înaltă securitate (ideal cele bazate pe RFID sau biometrie) pe toate rackurile.
Pasul 3: Implementează un sistem de monitorizare a deschiderii ușilor (door contact sensors) cu alertă imediată către echipa de securitate.
2. Sigilează Fizic Sloturile de Memorie
Prevenirea atacurilor se face prin eliminarea posibilității de interpunere a sondei.
Pasul 1: Utilizează servere care permit sudarea permanentă a modulelor de memorie (DRAM) direct pe placa de bază, dacă sunt disponibile (previne scoaterea ușoară a memoriei).
Pasul 2: Dacă sudarea nu este posibilă, aplică sigilii de securitate unice peste sloturile DRAM neutilizate și peste marginea modulelor active.
3. Limitează Drastic Accesul Fizic
Restrânge numărul de persoane care pot ajunge în camera serverului.
Pasul 1: Definește o listă strictă a personalului autorizat (ex: 2 administratori seniori).
Pasul 2: Solicită Autentificare Multi-Factor (MFA) fizică (ex: cartelă de acces + cod PIN sau amprentă) la intrarea în Data Center.
Pasul 3: Însoțește întotdeauna personalul care necesită acces fizic temporar, chiar dacă este personal de mentenanță.
4. Monitorizează Vizual cu Camere de Înaltă Rezoluție
Înregistrează orice interacțiune cu serverele.
Pasul 1: Instalează camere de supraveghere cu rezoluție mare care să acopere fața și spatele rackurilor.
Pasul 2: Asigură-te că filmările sunt stocate în afara Data Center-ului sau pe un sistem de stocare izolat și criptat.
Pasul 3: Verifică periodic jurnalele video și leaga-le de jurnalele de acces fizic.
5. Utilizează Plăci de Bază cu Protecție Îmbunătățită
Unele plăci de server pot detecta manipularea.
Pasul 1: Alege hardware care include senzori de intruziune a carcasei sau senzori de mediu (temperatură/umiditate neobișnuită).
Pasul 2: Configurează BIOS-ul să trimită o alertă imediată și să oprească sistemul (shut down) la detectarea unei intruziuni.
6. Rotește Cheile de Atestare SGX (DCAP)
Pasul 1: Stabilește o politică de rotație regulată (ex: trimestrială) a cheilor de atestare DCAP folosite de enclavele SGX.
Pasul 2: Configurează sistemul de gestionare a cheilor să folosească o ierarhie de chei, unde cheile DCAP sunt folosite doar pentru atestare, nu și pentru criptarea datelor.
7. Izolează Fizic Dispozitivele de Stocare
Pasul 1: Stochează cheile de criptare master (cele care decriptează întreaga rețea/Blockchain) în Hardware Security Modules (HSMs), care sunt rezistente la manipulări fizice.
Pasul 2: Asigură-te că HSM-urile sunt localizate într-un rack separat, mai securizat, față de serverele SGX obișnuite.
8. Implementează Network Segmentation
Limitează pagubele potențiale.
Pasul 1: Izolează rețeaua de administrare a serverelor (unde sunt configurate cheile) de rețeaua publică și de rețeaua operațională.
Pasul 2: Folosește VLAN-uri și liste de control al accesului (ACLs) stricte, permițând traficul doar pe porturile și protocoalele absolut necesare.
9. Inspectează Fizic Hardware-ul la Primire și la Schimbare
Orice componentă adăugată ar putea fi o sondă.
Pasul 1: Creează un protocol de inspecție care să includă verificarea vizuală a plăcilor de bază, sloturilor de memorie și conectorilor pentru orice modificare sau componentă adăugată neautorizată (chiar și pentru componentele noi primite).
Pasul 2: Documentează "amprenta" (checksum) fiecărui modul de memorie (DRAM) pentru a detecta înlocuiri.
10. Implementează Politici de Ștergere la Manipulare (Tamper-Response)
Dacă sistemul detectează o intruziune fizică sau o manipulare neautorizată.
Pasul 1: Configurează enclavele SGX pentru a folosi funcții de ștergere automată chei în cazul detectării unei erori critice de memorie sau a unei manipulări hardware.
Pasul 2: Utilizează mecanisme software suplimentare care să reseteze automat starea de atestare dacă integritatea mediului este compromisă.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro