Donanım Truva Atı (Hardware Trojan), tümleşik bir devrenin kötü niyetli modifikasyonudur. Truva Atı, tamamen fiziksel yapısı ve davranışı ile karakterize edilir. DT'nin yükü(payload), Truva Atı'nın tetiklendiğinde çalıştırdığı tüm etkinliktir. Genel olarak, kötü niyetli Truva Atlar'ı bir sistemin güvenlik duvarını aşmaya veya etkisiz hale getirmeye çalışırlar: Gizli bilgileri radyo emisyonu ile sızdırabilir. DT'ler ayrıca bütün çipi veya bileşenlerini devre dışı bırakabilir, yeniden düzenleyebilir veya yok edebilir.
Donanım Truva Atları, bir bilgisayar çipi tasarlanırken fark edilmeden gizli bir "Front-doors" olarak yerleştirilen, tanınmamış bir kaynaktan satın alınmış ve önceden hazırlanmış ASIC IP Core kullanılarak oluşturulabilir, ya da kendi başına çalışan, özel saldırgan gruplar veya devlet destekli casusluk grupları tarafından yerleştirilebilir.
IEEE'de yayınlanan yeni bir makalede, Truva Atı içeren donanım tasarımının, veri sızıntısını etkinleştirmek için doğru "easter egg" tetikleyicisinin uygulanması koşuluyla, anten veya ağ bağlantısı üzerinden sızdırılan şifreleme anahtarının nasıl sızdırdığını açıklanmıştır.
Hükümetin yüksek güvenlikli IT bölümlerinde, donanım aygıtı satın alınırken, Donanım Truva Atları dikkat edilen bir problemdir. Satın alınan bu donanımlar, KVM anahtarı(switch), klavye, fare, ağ kartları, ağ donanımları (özelikle klavye parolalarını sızdırmak için donanım Truva Atları yerleştiren veya uzaktan yetkisiz giriş sağlayan tanınmamış kaynaklardan).Yayınlanan vakalara göre şirketler eBayde, ağındaki tüm anahtarları satmaya zorlanmıştır. Çünkü bilinmeyen bir kaynaktan satın aldıkları donanım aygıtlarında Donanım Truva Atı yerleştirilmişti ve bu da sorunu kullanılmış ekipmanları satın alan diğer şirketlere yayılıyordu.
Geçmiş edit
Küresel çeşitlilik içeren ekonomide, üretimde dış kaynak kullanımı, bir ürünün maliyetini düşürmenin yaygın bir yoludur. Gömülü donanım aygıtları, her zaman, onları tasarlayan veya satan firmalar tarafından ya da kullanılacağı ülkede imal edilmez. İthal olarak alınmış ürün, bütünlüğü hakkında şüphe uyandırabilir (yani, ürünün orijinal tasarımına kıyasla tasarımın modifikasyon yapılıp yapılmadığı).Üretim sürecine erişimi olan herkes teorik olarak nihai ürüne bazı değişiklikler getirebilir. Karmaşık ürünlerde, büyük etki yaratacak küçük değişiklerin fark edilmesi zordur.
Ciddi ve kötü niyetli bir tasarım değişikliği tehdidi özelikle devlet daireleriyle bağlantılı olabilir. Donanım bütünlüğü hakkındaki şüpheyi gidermek, askeri, finans, enerji ve ekonominin politik sektörlerindeki teknolojik saldırıya açıklığının azaltmanın bir yoludur. Güvenilir olmayan fabrikalarda tümleşik devrelerin üretilmesi yaygın olduğundan, saldırgan tarafından devre fonksiyonunda ek bileşenlerin saklanması veya başka şekilde sabote edilmesi, gelişmiş algılama teknikleri ortaya çıkmıştır.
Donanım Truva Atlarının Karakterize Edilmesi edit
Bir DT, fiziksel tasarımı, aktivasyon aşaması ve etki aşaması gibi çeşitli yöntemlerle karakterize edilebilir. Alternatif yöntemler DT 'yi tetikleyicisi(trigger), yükü (payload) ve gizliliği ile karakterize eder.
Fiziksel özellikler edit
Truva Atı’nın karakteristiklerinden biri türüdür. Türü, işlevsel veya parametrik olabilir. Kötü niyetli kişi, orijinal çip tasarımına herhangi bir transistörü veya kapıyı ekler veya silerse Truva Atı işlevselleşir. Diğer bir türü ise, parametrik Truva Atıdır. Orijinal devreyi modifiye eder.(Örneğin tellerin incelmesi, flip-flopları veya transistörlerin zayıflaması, çipin radyasyona maruz bırakılması veya çipin güvenilirliğini azaltmak için Focused Ion-Beams (FIB) kullanılması) Truva Atı'nın boyutu, fiziksel uzantısı veya oluşturduğu bileşenlerin sayısıdır. Truva Atı birçok bileşenden oluşabileceğinden, kötü niyetli kişi çip üzerinde zararlı mantık parçalarını dağıtabilir. Ek mantık ayrıca bir işlevi değiştirmek, eklemek veya kaldırmak için gereken her yerde çipi kaplayabilir. Truva Atı’nın işlevine göre öte yandan kötü niyetli bileşenler dağıtılabilir. Buna gevşek dağıtım(loose distribution) denir. Ayrıca, bir Truva Atı yalnızca birkaç bileşenden oluşabilir. Bu nedenle kötü niyetli tasarımın çipin üzerindeki kapladığı yer küçüktür. Buna ise sıkı dağıtım( tight distribution)denir. Eğer kötü niyetli kişi herhangi bir çaba göstermezse, düzen üzerinde değişikler yapar. Böylece IC bileşenlerinin yerleri değiştirilir. Çip boyutunun değiştirildiği değişiklikler ise yapısal değişikliklerdir.
Aksiyon Özellikleri edit
Tipik Truva Atı koşul temellidir: Sensörler, dahili mantık durumları, belirli bir girdi modeli veya dahili sayaç değeri tarafından tetiklenir. Koşul temelli Truva Atları inaktif iken bir dereceye kadar güç izleri ile tespit edilebilir. Bunun nedeni, Truva Atı harekete geçiren tetikleyici veya karşı devre tarafından üretilen kaçak akımlardır. Donanım Truva Atları farklı şekillerde tetiklenebilir. Bir Truva atı içten olarak etkinleştirilebilir, yani IC içerisinde bir veya daha fazla sinyali izler. Kötü niyetli devre, saldırganın eklediği geri sayım mantığını bekleyebilir, böylece Truva Atı belirli bir zaman aralığından sonra uyanır. Ya da dışarıdan aktive edilir. Bir çipin içinde kötü niyetli bir mantık olabilir, bu da saldırganın çipin dışından ulaşabileceği bir sensor veya anten kullanmasıdır. Örneğin, bir seyir füzesinin kontrol sisteminin içinde olabilir. Füzenin sahibi, saldırganın roketleri telsiz ile kapatabileceğinin farkında değildir.
Her zaman açık olan Truva Atı indirgenmiş bir tel olabilir. Bu şekilde modifiye edilen bir çip, telin yoğun olarak her kullanılmasında hata üretir veya başarısız olur. Her zaman açık olan devrelerin güç izi ile algılamak zordur. Bu bağlamda, birleşik Truva Atları ve sıralı Truva Atları ayırt edilebilir. Birleşik Truva Atları, belirli bir durum gerçekleşene kadar dahili sinyalleri izler. Sıralı Truva Atı da dahili olarak aktif duruma dayalı bir devredir, birleşik Truva Atları gibi belirli bir durum için izlenemez, dizileri arar.
Şifreli Anahtar Çıkarma edit
Donanımdaki Truva Atı tespit edilemeden, gizli anahtarların çıkarılmasıdır. Rasgele bir sinyal veya kriptografik bir uygulamanın kendisini kullanmasını gerektirir. Truva Atında kendisindeki ve indirgenmiş halindeki bir şifrelenmiş anahtarı saklamaktan kaçınmak için fiziksel olarak klonlanmayan bir fonksiyon kullanılabilir. Bu fonksiyonlar küçük boyutludur ve kriptografik özellikler farklıyken bile benzer düzende olabilir.
Eylem özellikleri edit
Bir DT çipin işlevini veya çipin parametrik içeriklerini değiştirebilir (Örneğin bir işlem gecikmesini tetikler). Gizli bilgiler de saldırgana iletilebilir (anahtar bilgilerin iletilmesi).
Peripheral Aygıt Donanım Truva Atları edit
Ağ bağlantıları ve ağ bağlantılarının uç noktalarına karşı yeni bir tehdit vektörüdür. Onaylanmış iletişim protokolünü kullanarak ağ uç noktası ile etkileşime geçmek üzere tasarlanıp fiziksel peripheral aygıt olarak ortaya çıkan bir Donanım Truva Atıdır. (Örneğin istenmeyen USB kanallarıyla hedef ağ uç noktası arasında iletişim kurarak eklenmiş hedef ağ uç noktasından bütün kötü niyetli işlem evrelerini saklayan USB klavye) Hassas veriler hedef ağ uç noktasından HT'ye bilgi aktarıldıktan sonra, HT verileri işleyebilir ve bununla ne yapacağına karar verebilir: HT'nin daha sonra fiziksel olarak geri alınması için bellekte saklayabilir ya da wireless veya güvenliği aşılmış ağ uç noktasını bir eksen olarak kullanan internetten bilgi çalabilir.
Tehdit potansiyeli edit
Truva atının yaygın kullanımı, değiştirilmiş bir cihazın kullanımda olduğu zaman aralığı boyunca pasiftir. Ancak aktifleştirildiğinde kurtarılamaz bir hasara neden olabilir. Bir Truva atı aktif hale getirilirse, işlevsellik değiştirilebilir, cihaz imha edilebilir veya devre dışı bırakılabilir, gizli bilgileri sızdırabilir veya güvenliği aşabilir. Truva atları gizlidir, yani aktivasyonun önkoşulu çok nadir bir olaydır. Geleneksel test teknikleri yeterli değildir. Tespit edilmekten kaçınmak için kötü niyetli değişiklikler iyi yerleştirilirken, bir üretim hatası rastgele bir konumda olur.
Tespit edit
 |
Fiziksel Sorgu edit
İlk olarak, kalıplama katmanı devreyi ortaya çıkarmak için kesilir. Daha sonra, mühendis çipin katmanlarını taşırken yüzeyi sürekli olarak tarar. Devreleri taramak için birkaç işlem var. Tipik görsel inceleme yöntemleri: taramalı optik mikroskopi (SOM), taramalı elektron mikroskobu (SEM), pikosan-ikinci görüntüleme devre analizi (PICA), voltaj kontrast görüntüleme (VCI), ışık kaynaklı gerilim değişimi (LIVA) veya yük indüklü voltaj değişimi (CIVA). Çipin taban planını karşılaştırmak için gerçek çipin görüntüsü ile karşılaştırılmalıdır. Bu işlemin yapılması günümüzde halen daha zordur. Farklı olan (kripto) anahtarları içeren Truva Atı donanımını tespit etmek için, çip üzerindeki farklı yapıyı ortaya çıkarmak için bir görüntü farkı alınabilir. Truva Atı, eşsiz kripto anahtarlarını kullanan ancak aynı yapıya sahip olan tek bilinen donanımdır. Bu özellik, Truva Atının saptanamazlığını arttırmaktadır.
Fonksiyonel test edit
Bu tespit yöntemi bir çipin giriş portlarını uyarır ve üretim hatalarını tespit etmek için çıkışı izler. Çıkışın mantıksal değerleri orijinal modelle uyuşmuyorsa, bir kusur veya bir Truva atı bulunabilir. Built-in Testler Built-in self-test test (BIST) ve Tasarım İçin Test (DFT) teknikleri, çipin dahili olarak işlevsel özelliklerini yerine getirdiğini doğrulamaya yardımcı olmak için çipe bir devre (mantık) eklemektedir. Ekstra mantık, genel olarak checksum’ı hesaplanarak veya dâhili yazmaçları özelleştirilmiş bir tarama tekniğine maruz bırakarak giriş uyarısını ve dâhili sinyallerini veya bellek durumlarını izler. DFT'nin genellikle bazı harici test mekanizmaları ile koordine olduğu yerlerde, BIST destekli çipler özel test tipi jeneratörleriyle birleşir. BIST işlevselliği, tarama zincirlerini veya diğer düşük hızlı DFT yeterliliklerinin kullanmanın mümkün olmadığı durumlarda hızlı (yüksek hızda) doğrulamayı gerçekleştirmek için mevcuttur. Her iki yöntem de, başlangıçta üretim hatalarını tespit etmek için geliştirilmiştir, ayrıca aynı zamanda çip üzerindeki kötü amaçlı mantığın bazı etkilerini tespit etmek için çift kenarlı potansiyele sahiptir ya da çip içindeki uzak durumu gizli bir şekilde denetlemek için kötü amaçlı mantık tarafından sömürülmelidir.
DFT'nin istenmeyen mantığı nasıl tanıdığını düşürsek, DFT girişleri tarafından yönlendirildiğinde, orijinal bir çip tanıdık bir imza oluşturur. Ancak hatalı veya değiştirilmiş bir çip beklenmedik bir imzayı gösterir. İmza çipin herhangi bir sayıdaki veri çıkışından oluşabilir: tüm bir tarama zinciri veya orta seviye veri sonucu. Bir Truva atı algılama bağlamında, DFT mantığı bir şifreleme algoritması olarak kabul edilebilir: DFT girişinin, test altındaki tasarımın davranışından kaynanlan bir mesajı imzalamak için anahtar olarak kullanılması. İzinsiz girişlerden kaçınma bağlamında, BIST veya DFT işlevleri genellikle bir üretim ortamının dışında devre dışı bırakılır (donanım-yeniden yapılandırılarak) çünkü çipin dahili durumuna erişimi onların gözetleme veya yıkıcı saldırıyı gizlemek için fonksiyonu açığa çıkarabilir.
Yan kanal analizleri edit
Elektriksel olarak aktif olan her cihaz manyetik ve elektrik alanları gibi farklı sinyaller yayar. Elektrik aktivitesinden kaynaklanan bu sinyaller, durum ve cihazın işlediği veriler hakkında bilgi edinmek için analiz edilebilir. Bu yan etkileri ölçmek için yöntemler geliştirilmiştir ve çok hassastırlar (yan kanal saldırısı). Bu nedenle, bu analog sinyallerin ölçülmesi yoluyla sıkıca eşleştirilmiş Truva Atlarını tespit etmek mümkündür. Ölçülen değerler analiz edilen cihaz için bir imza olarak kullanılabilir. Ölçüm hataları veya diğer yanlışlıklardan kaçınmak için bir dizi ölçülen değerlerin analiz edilmesi de yaygındır.