我们有一些连接到 PC 的设备。这些 PC 从它们通过内部网络发送到服务器的设备获取数据。此外,这些 PC 用于调解从网络耦合 PC 到设备的指令。因此,它们被命名为采集服务器。该设备没有独立的存储驱动器,仅由 PCB(印刷电路板)组成。
存在存储固件的闪存芯片。是的,设备可以在PC上写入包含序列号等数据的文件。我实际上不知道它是否会进一步扩展。设备仅通过采集服务器与网络连接。
每隔一段时间,设备就需要维修。过去,进行维修的外部技术人员只是切断与采集服务器的连接,并将设备的网线放入自己的 PC 中,以便能够在本地控制设备。
现在,我当地的 IT 安全部门表示,我们不允许外部技术人员将他们自己的 PC 直接连接到设备上。他们担心病毒会感染设备的 PCB,并且一旦再次耦合回来,感染将能够传播回采集服务器。所有的采集服务器都配备了最先进的防病毒和防火墙。
您认为感染会从 PC 传播到印刷电路板,然后再返回到 PC(如果有的话)的风险是什么?
PCB 成为恶意软件存储或攻击的载体是不切实际的,但这是因为 PCB 除了在组件之间路由电信号外,什么都不做。组件本身......有问题。您说设备中“没有独立的存储驱动器”,但大概有一些存储(可能安装在板上的闪存存储,或者甚至集成到安装在板上的组件之一中 - 例如 SOC - 安装在板上)可以执行以下操作存储固件和/或配置数据?毕竟,大概技术人员在连接到设备时正在更改某些内容,并且这些更改会持续存在,因为当您取回设备时它会再次起作用。除非更改是纯物理的(更换、移动或修改硬件),否则“存储在设备中的可编辑数据。
现在,恶意修改(或在不知不觉中被感染)板攻击您的 PC 的风险是否很大……这是一个不同的问题。其中一些取决于您的软件对设备的信任程度(它可以在 PC 上执行代码吗?它可以将任意文件写入 PC 存储吗?与该设备交互的软件是否已被强化过?它在任何沙盒方式?)。其中一些取决于设备连接到网络的方式(它是否也具有 Internet 连接,甚至是间接连接?它所连接的网络是否用于其他任何用途,例如 LAN 上的 PC 之间的通信?)。其中一些取决于设备本身内置的安全性(是否需要对其固件进行签名?它是否甚至包含通用处理器,或者可以配置成一个FPGA之类的东西?)。其中一些取决于技术人员的可信度(他们是设备供应商的员工吗?他们的工作计算机遵循什么安全措施?如果其中一个被穿着制服/徽章副本的冒充者取代,您会注意到吗? ?)。
归根结底,如果您不信任设备供应商,则可能根本无法以值得信赖的方式为其提供服务(您必须分析他们告诉您采取的每一步的安全含义,逆向工程师他们让你上传的每个固件 blob,物理上打开并检查他们用电子显微镜安装的每个芯片等)尽管“信任”不是二进制状态,也许你足够信任它们,以至于你可以认为它们可能不是' t故意送你恶意代码,在这种情况下,更多的是归结为“他们的安全性如何?”。如果您不信任技术人员,您也许可以用您自己的人员(或供应商的人员)替换他们,但是远程故障排除很困难,并且技术人员可能拥有软件并且肯定接受过您的人员缺乏的培训。
我更担心网络分段(将可能易受攻击或恶意的设备与 Internet 和任何其他机器分开)、物理安全(确保不受信任的人无法访问您的 PC、网络交换机)或类似的)和员工安全(确保您的员工能够识别网络钓鱼和其他社会工程,对所有敏感帐户使用多因素身份验证,并运行背景调查 + 监视心怀不满的员工)而不是关于您的防病毒软件的质量工作电脑……但如果它们连接到 Internet,或通过任何其他方式加载第三方代码,端点保护也很有帮助。
这取决于您的 PCB 的具体情况,但在没有更多信息的情况下,我会关注您的 IT 安全团队:在这个问答网站上,他们比我们更了解它们。
从理论上讲,熟练且足智多谋的攻击者的有针对性的攻击可能会破坏设备,例如您的 PCB,从而感染连接的计算机。针对这种针对性的攻击,杀毒软件和防火墙大多是无用的。您可以做的最好的事情是在设备之间强制执行严格的气隙。这就是您的 IT 安全团队正在努力实施的。
但是,这可能会阻止您的外部技术人员有效地进行维修。我们无法告诉您这种保护是过度杀伤还是合理的。为了得到这个答案,您的公司必须对您的公司和环境(不限于 IT 架构)执行威胁建模和风险评估。您的 IT 安全团队可能已经执行了一项,证明他们的新要求是合理的。
这在很大程度上取决于这些板上的内容,可能更重要的是使用了哪种类型的接口。
如果它们通过 USB 连接,那么几乎一切皆有可能。一个人可能会修改设备以充当存储或键盘,或两者兼而有之(这取决于设备的功能)。当您将其插入服务器时,该设备将安装一个驱动器(就像它的存储一样)并开始在该驱动器上执行操作(通过模拟键盘输入)。
甚至还有被黑的 USB 电缆可以做到这一点......
如果您使用以太网,则通常的网络安全问题适用。
如果您使用“更简单”的接口,如串行端口 (UART)、SPI、I2C 或类似的东西,那么风险要低得多,但实际上取决于主机 PC 上与该接口通信的内容,可能谁是主控,以及处理缓冲区溢出、超出范围值等常见问题。
例如,通过 SPI 或 I2C 报告温度传感器的问题比使用包含完整 SoC 并通过 USB 接口的 SBC 的问题要小得多。
要了解风险,您需要更多地了解这些板的作用以及它们的接口方式。
请注意,您声明这些板没有任何存储空间,但这不太可能。如果人们连接到这些板来更新或配置它们,那么必然会有一些存储空间。它可能是板上的闪存,甚至是芯片(SoC)内部的闪存。
有比指甲还小的芯片,包括多个 CPU 内核、RAM、兆字节闪存和 USB 接口……
任何技术都没有攻击媒介。但是,我不认为印刷电路板上发生的效应的可利用性显然是可以利用的,除非您相应地确定相应的电子设备的尺寸。
在纯印刷电路板的层面上,上面有轨道和载体材料。
就其本质而言,导电轨道总是具有电感。导体之间也总是存在电容。两者都不是很大,但它们都存在。
由于印刷电路板固有的所述电感和电容,可以发送和接收机械(例如声)以及电磁振荡。
但正如我所说,如果印刷电路板上没有相应的特殊尺寸电子设备或与之相关,这在我看来是不可能的。