W dobie, gdy elektronika zarządza kluczowymi procesami w infrastrukturze krytycznej, systemach finansowych, urządzeniach medycznych czy produktach konsumenckich, skuteczne wykrywanie prób manipulacji staje się fundamentem bezpieczeństwa. Mowa o systemach IoT kierujących ruchem drogowym, pompach insulinowych, detektorach trzęsień ziem, czy wielu innych urządzeniach od których bezpośrednio zależy potencjalnie życie i zdrowie. Co więcej, tampering (ang. manipulacja) może prowadzić do kradzieży tożsamości, ujawnienia tajemnic handlowych i sporych strat finansowych. Wiele urządzeń elektronicznych przechowuje, sczytuje i przesyła liczne wrażliwe dane. Każda ingerencja może oznaczać, że dostęp do nich otrzymała osoba nieuprawniona. Ostatni powód jest najbardziej prozaiczny – tampering najczęściej oznacza pozbawienie użytkownika do prawa do bezpłatnej naprawy gwarancyjnej. Jego skuteczne wykrywanie pozwala serwisom odrzucać urządzenia, w których uszkodzenia spowodował sam użytkownik.
Co musi obowiązkowo spełniać każdy system antytamperingowy?
Na pewno nie ulega wątpliwości, że zabezpieczenie powinno być w stanie wykryć każdą ingerencję w urządzenie. Dobre zabezpieczenie musi też być odporne na obejście, inaczej nie byłoby nawet mowy o skuteczności. Co ważne, wskazanie ingerencji musi być też całkowicie nieodwracalne. Jeśli istniałaby możliwość cofnięcia mechanizmu tak, aby wskazywał brak tamperingu to tak naprawdę nie miałoby to większego sensu. Ostatni parametr to jednoznaczność. System musi charakteryzować się niemal znikomym odsetkiem wskazań fałszywie pozytywnych, aby zachować swoją wiarygodność.
Odstraszać czy weryfikować?
Przy projektowaniu systemów antytamperingowych koniecznie należy zadać sobie ważne pytanie – czy powinny być widoczne dla użytkownika? W praktyce sprowadza się to do typu urządzenia, a każdy przypadek warto rozpatrywać indywidualnie. Należy znaleźć balans pomiędzy atutami każdego z tych rozwiązań. Zabezpieczenia fizyczne, które są łatwo zauważalne, mają przede wszystkim zniechęcać do prób manipulacji. To jak znak "obiekt monitorowany". Mowa tutaj chociażby o plombach z wyraźnym napisem oświadczającym, że gwarancja traci ważność w momencie zerwania. Taki efekt psychologiczny bywa często wystarczający, by zniechęcić osoby bez zaawansowanych umiejętności lub przypadkowych użytkowników. To podejście najczęściej stosowane w elektronice konsumenckiej.
Z kolei zabezpieczenia niewidoczne z zewnątrz są trudniejsze do obejścia dla osoby, która nie zna dokładnej konstrukcji urządzenia. Ich największą siłą jest to, że nie dają sygnału o swojej obecności – potencjalny atakujący nie wie, kiedy i czy już uruchomił mechanizm obronny. Tego typu zabezpieczenia doskonale sprawdzają się w systemach IoT. W praktyce najlepsze efekty daje połączenie obu podejść. Widoczne zabezpieczenia pełnią funkcję prewencyjną i odstraszającą, natomiast ukryte działają jako linia obrony w przypadku bardziej zdeterminowanego ataku. Oczywiście, nie zawsze ma to sens i czasami wystarczą znacznie prostsze metody.
Warto tutaj poruszyć jeszcze jedną istotną kwestię. Systemy antytamperingowe nie zawsze muszą generować natychmiastowy alarm — wiele prostych rozwiązań, takich jak plomby, etykiety zabezpieczające czy czujniki pasywne, służy jedynie do późniejszej weryfikacji podczas serwisowania. Tego typu mechanizmy wystarczają tam, gdzie ryzyko manipulacji jest niskie lub można je bez ryzyka wykryć po czasie. Jednak w bardziej wymagających zastosowaniach, gdzie liczy się natychmiastowa reakcja, niektóre czujniki powinny automatycznie uruchamiać alarm przy wykryciu próby naruszenia. Takie układy muszą być wyposażone we własne, niezależne zasilanie, aby mogły działać nawet w przypadku sabotażu głównego źródła energii.
Najpopularniejsze systemy antytamperingowe – przegląd
Omawiając systemy antytamperingowe warto zacząć od najprostszych z nich, czyli wszelakich fizycznych plomb. Ich działanie jest łatwe do zrozumienia – otwarcie obudowy urządzenia ma powodować nieodwracalne zniszczenie pewnego elementu. Może być to chociażby plomba z kawałka folii. Alternatywą mogą być plastikowe elementy, które trzeba wyłamać, aby móc dostać się do wnętrza urządzenia. Nieco bardzo wyrafinowanym mechanizmem, ale działającym w ten sam sposób, są przełączniki umieszczone wewnątrz obudowy. Ich zadaniem jest wykrycie próby otwarcia pokrywy lub wieczka i uruchomienie odpowiedniego zdarzenia. To często proste przełączniki tłoczkowe, których styki trwale zamykają się w momencie, gdy tłoczek zostaje wciśnięty. Wspólną cechą wszystkich tych rozwiązań jest bardzo niewielki koszt i olbrzymia prostota. Niemniej, nie są to najskuteczniejsze systemy. Użytkownik dysponujący wiedzą i narzędziami może obejść je bez najmniejszego nawet problemu.
Dalej można sięgnąć po nieco bardziej skomplikowane sposoby, ale wciąż opierające się na identycznym założeniu – wykryciu otwarcia obudowy. Dobrym przykładem może czujnik światła otoczenia. Tego typu sensor wykrywa zmiany w natężeniu oświetlenia, co pozwala zidentyfikować moment otwarcia obudowy, gdy do wnętrza urządzenia dostanie się światło. Innym rozwiązaniem jest czujnik Halla lub przełącznik oparty na efekcie Halla, który pozwala wykryć otwarcie obudowy poprzez umieszczenie stałego magnesu na pokrywie urządzenia. W momencie oddalenia pokrywy od czujnika zmienia się pole magnetyczne, co może wskazać na ingerencję.
W przypadku systemów hermetycznych doskonałym wyborem mogą być czujniki wilgotności. Świetnie sprawdzają się jako element wykrywający naruszenia w urządzeniach pracujących pod wodą lub w obudowach, chroniących elektronikę przed trudnymi warunkami środowiskowymi. Czyli chociażby w większości smartfonów czy elektroniki noszonej. Ponieważ są w stanie natychmiast wykryć wzrost poziomu wilgotności, mogą szybko zareagować na rozszczelnienie obudowy lub jej otwarcie.
Wszystko sprowadza się do tego samego – najprostsze systemy antytamperingowe sprawdzają to, czy obudowa została otwarta. W jaki sposób to robią, zależy od implementacji.
Systemy antytamperingowe spełniają pięć kluczowych funkcjonalności
Weryfikują bezpieczeństwo i odpowiedzialność prawną producenta. Mechanizmy antytamperingowe pomagają producentom ograniczyć odpowiedzialność za skutki użytkowania sprzętu niezgodnie z przeznaczeniem, np. przegrzanie czy uszkodzenia po ingerencji zewnętrznej. Dzięki nim łatwiej udowodnić, że ewentualna usterka wynikała z winy użytkownika.
Weryfikują uprawnienia do gwarancji i serwisu. Rejestracja parametrów pracy (takich jak temperatura, napięcie czy otwarcie obudowy) pozwala producentowi ocenić, czy użytkownik nie naruszył warunków gwarancji. W razie wykrycia nieprawidłowości serwis może odmówić naprawy w ramach gwarancji.
Weryfikacja nieprawdziwych deklaracji użytkownika. Systemy monitorujące potrafią zarejestrować np. podwyższoną temperaturę lub przeciążenie, nawet jeśli użytkownik twierdzi, że sprzęt był używany zgodnie z instrukcją. To pozwala serwisom technicznym zidentyfikować próby zatajenia prawdziwych przyczyn usterki.
| Tabela. Systemy antytamperingowe – podział | |
| Wymagające własnego zasilania | Bez własnego zasilania |
| Przełączniki otwarcia obudowy | Plomby mechaniczne |
| Zaawansowane termometry | Śruby patentowe |
| Zaawansowane higrometry | Mechaniczne czujniki otwarcia obudowy |
| Liczniki roboczogodzin | Wyłamujące się plastikowe elementy |
| Akcelerometry | Plomby termiczne |
| Detektory przepięć | Plomby wilgotnościowe |
| Kontrola oprogramowania | Plomby bezwładnościowe |
| Kontrola zegara urządzenia | Czujniki naświetlenia |
Wykrywanie nieautoryzowanej ingerencji lub akcesoriów. Zabezpieczenia sprzętowe i programowe wykrywają użycie nieoryginalnych ładowarek, próbę aktualizacji spoza oficjalnych źródeł, a także otwieranie obudowy czy modyfikacje fizyczne. Dane te są podstawą do odmowy serwisu i utraty gwarancji.
Zabezpieczanie urządzeń przed atakami. Systemy antytamperingowe to pierwsza linia obrony w przypadku ataków. Potrafią wykryć ingerencję i zaalarmować system. To podstawa bezpieczeństwa wielu systemów IoT, urządzeń medycznych czy systemów płatności.
Większe zaawansowanie
Czasami wymagane są jednak znacznie bardziej zaawansowane systemy. Napięcie to jeden z kluczowych parametrów układów elektronicznych – nie ulega to wątpliwości. Potencjalni intruzi czy też nawet sabotażyści mogą więc celowo manipulować zasilaniem układu scalonego, by wywołać błędy lub zakłócenia, które umożliwią dostęp do zaszyfrowanych danych albo obejście zabezpieczeń. Czasem stosuje się również wyższe napięcia, by ominąć mechanizmy ochronne lub uszkodzić układ. Detektory zakłóceń napięcia jako system antytamperingowy, stale monitorują linie zasilające i wykrywają wszelkie odstępstwa od normy. Spadek może bowiem świadczyć o próbie zakłócenia prawidłowego działania układu. Podobnie, nagłe wahania mogą być efektem wszelakich form manipulacji. Ciągłe nadzorowanie poziomów napięcia pozwala na wczesne wykrycie nieprawidłowości i szybką reakcję systemu zabezpieczeń. Dodatkowo, system pełni też funkcję przydatną z punktu widzenia serwisów – ujawnia podłączenie źródła zasilania o nieprawidłowych parametrach. A to podstawa do odrzucenia naprawy gwarancyjnej.
Równie istotnym parametrem wartym monitorowania jest temperatura układu – ściśle powiązana zresztą z napięciem. Wiele fizycznych ataków polega na kontrolowanym podgrzewaniu lub schładzaniu określonych obszarów urządzenia w celu wpłynięcia na jego działanie. Metody termiczne mogą być wykorzystywane do wywoływania błędów w układach scalonych, które następnie da się wykorzystać do przełamania zabezpieczeń. Czujniki temperatury pozwalają wykryć nietypowe zmiany cieplne. Zarówno nagły wzrost, jak i spadek temperatury może świadczyć o próbie manipulacji. Szybka detekcja umożliwia natychmiastową reakcję, np. uruchomienie alarmu lub przejście w tryb bezpieczny. System pozwala też jasno stwierdzić, że urządzenie działało w warunkach zbyt wysokiej temperatury, a to również podstawa do odrzucenia gwarancji.
Nie można zapominać również o systemach cyfrowych, działających w oprogramowaniu urządzenia. Oczywiście, jest to siłą rzeczy trudniejsze – do systemu cyfrowego możemy mieć niższe zaufanie niż do fizycznej kontroli. W końcu teoretycznie nigdy nie można być w 100% pewnym, że oprogramowanie nie uległo sabotażowi, jak można być pewnym, że plomba nie została zerwana. Niemniej, w nowoczesnych systemach IoT software’owe systemy antytamperingowego to podstawa. Najczęściej jako jeden z elementów, współpracujący z systemem fizycznym. Jednym z najczęściej używanych sposobów jest monitorowanie zegara urządzenia. Sygnał zegarowy odpowiada za synchronizację i prawidłowe działanie procesów w układzie. Próby manipulacji tym sygnałem — np. jego spowolnienie lub przyspieszenie — mogą prowadzić do zakłócenia pracy elementów. onitory sygnału zegarowego wykrywają takie nieprawidłowości i współpracują z bezpiecznymi elementami systemu, by natychmiast zablokować dostęp w przypadku zagrożenia. Wahania częstotliwości, nagłe skoki lub spadki mogą świadczyć o próbie ingerencji. Utrata sygnału lub jego anomalia mogą z kolei wskazywać na fizyczny atak lub manipulację obwodem zegarowym. Bieżące wykrywanie takich odchyleń pozwala bezpiecznej enklawie szybko podjąć działania.
W praktyce, nie ma najlepszej metody na wykrywanie nieuprawnionego dostępu. Kluczowe jest indywidualne podejście i wczucie się w potencjalnego sabotażystę. Zrozumienie, dlaczego ktoś miałby włamywać się do urządzenia dość szybko pozwala na określenie w jaki sposób mógłby to zrobić. A to bezpośrednio umożliwia podjęcie działań prewencyjny. Praktyka pokazuje również, że skuteczne są połączenia kilku modułów antytamperingowych. Chociażby w nowoczesnych smartfonach przodują niewielkie plomby oraz czujniki wilgotności, które dla serwisanta są wystarczające do stwierdzenia ingerencji. Bardziej zaawansowane systemy IoT czy terminale płatnicze polegają mocniej na kontroli zegara i napięcia. Indywidualne i przemyślane podejście jest kluczem do zapewniania bezpieczeństwa urządzeniu.
