Όταν διαβάζετε σχετικά με την ασφάλεια στον κυβερνοχώρο, πιθανότατα θα δείτε συνομιλίες σχετικά με τα συστήματα υπολογιστών "air-gapped". Είναι ένα τεχνικό όνομα για μια απλή ιδέα: Ένα σύστημα υπολογιστή που είναι φυσικά απομονωμένο από δυνητικά επικίνδυνα δίκτυα. Ή, με απλούστερους όρους, χρησιμοποιώντας έναν υπολογιστή εκτός σύνδεσης.
Τι είναι ένας υπολογιστής με κενό αέρα;
Ένα σύστημα υπολογιστή με κενό αέρα δεν έχει φυσική (ή ασύρματη) σύνδεση με μη ασφαλή συστήματα και δίκτυα.
Για παράδειγμα, ας υποθέσουμε ότι θέλετε να εργαστείτε σε ευαίσθητα οικονομικά και επιχειρηματικά έγγραφα χωρίς κανένα κίνδυνο ransomware, keyloggers , και άλλες κακόβουλο λογισμικό . Αποφασίζετε ότι θα ρυθμίσετε απλώς έναν υπολογιστή χωρίς σύνδεση στο γραφείο σας και δεν θα τον συνδέσετε στο Διαδίκτυο ή σε οποιοδήποτε δίκτυο.
Συγχαρητήρια: Απλώς ανακαλύψατε ξανά την ιδέα του αεροπορικού χάσματος ενός υπολογιστή, ακόμα κι αν δεν έχετε ακούσει ποτέ αυτόν τον όρο.
Ο όρος «αεροπορικό διάκενο» αναφέρεται στην ιδέα ότι υπάρχει κενό αέρα μεταξύ του υπολογιστή και άλλων δικτύων. Δεν είναι συνδεδεμένο σε αυτά και δεν μπορεί να επιτεθεί μέσω του δικτύου. Ένας εισβολέας θα πρέπει να "διασχίσει το χάσμα αέρα" και να καθίσει φυσικά μπροστά από τον υπολογιστή για να τον θέσει σε κίνδυνο, καθώς δεν υπάρχει τρόπος να τον προσπελάσει ηλεκτρονικά μέσω ενός δικτύου.
Πότε και γιατί οι άνθρωποι Air Gap Υπολογιστές
Δεν χρειάζεται κάθε σύνδεση υπολογιστών ή υπολογιστικών εργασιών σύνδεση δικτύου.
Για παράδειγμα, δείτε την υποδομή ζωτικής σημασίας όπως οι σταθμοί παραγωγής ενέργειας Χρειάζονται υπολογιστές για να λειτουργούν τα βιομηχανικά τους συστήματα. Ωστόσο, αυτοί οι υπολογιστές δεν χρειάζεται να εκτεθούν στο Διαδίκτυο και στο δίκτυο - είναι "αέρας" για ασφάλεια. Αυτό αποκλείει όλες τις απειλές που βασίζονται στο δίκτυο και το μόνο μειονέκτημα είναι ότι οι χειριστές τους πρέπει να είναι φυσικά παρόντες για να τις ελέγξουν.
Θα μπορούσατε επίσης να αέρετε υπολογιστές στο σπίτι. Για παράδειγμα, ας υποθέσουμε ότι διαθέτετε κάποιο παλιό λογισμικό (ή ένα παιχνίδι) που λειτουργεί καλύτερα Windows XP . Εάν εξακολουθείτε να θέλετε να χρησιμοποιήσετε αυτό το παλιό λογισμικό, ο ασφαλέστερος τρόπος για να το κάνετε είναι να «ανοίξετε το κενό» αυτό το σύστημα των Windows XP. Τα Windows XP είναι ευάλωτα σε μια ποικιλία επιθέσεων, αλλά δεν διατρέχετε τον κίνδυνο όσο διατηρείτε το σύστημα Windows XP εκτός δικτύου και το χρησιμοποιείτε εκτός σύνδεσης.
Εναλλακτικά, εάν εργάζεστε σε ευαίσθητα επιχειρηματικά και οικονομικά δεδομένα, θα μπορούσατε να χρησιμοποιήσετε έναν υπολογιστή που δεν είναι συνδεδεμένος στο διαδίκτυο. Θα έχετε τη μέγιστη ασφάλεια και απόρρητο για την εργασία σας εφόσον διατηρείτε τη συσκευή σας εκτός σύνδεσης.
Πώς η Stuxnet επιτέθηκε στους υπολογιστές με κενό αέρα
Οι υπολογιστές που δεν διαθέτουν αέρα δεν είναι απαλλαγμένοι από απειλές Για παράδειγμα, οι άνθρωποι χρησιμοποιούν συχνά μονάδες USB και άλλες αφαιρούμενες συσκευές αποθήκευσης για τη μετακίνηση αρχείων μεταξύ υπολογιστών που έχουν κενωθεί στον αέρα και υπολογιστών με δίκτυο. Για παράδειγμα, μπορείτε να πραγματοποιήσετε λήψη μιας εφαρμογής σε υπολογιστή με δίκτυο, να την τοποθετήσετε σε μια μονάδα USB, να την μεταφέρετε στον υπολογιστή με κενό αέρα και να την εγκαταστήσετε.
Αυτό ανοίγει ένα φορέα επίθεσης και δεν είναι θεωρητικό. Το εκλεπτυσμένο Stuxnet σκουλήκι δούλεψε με αυτόν τον τρόπο. Σχεδιάστηκε για να εξαπλωθεί μολύνοντας αφαιρούμενες μονάδες δίσκου όπως μονάδες USB, δίνοντάς της τη δυνατότητα να ξεπεράσει ένα «κενό αέρα» όταν οι άνθρωποι συνδέουν αυτές τις μονάδες USB σε υπολογιστές με κενό αέρα. Στη συνέχεια, χρησιμοποίησε άλλα πλεονεκτήματα για να εξαπλωθεί μέσω δικτύων με κενό αέρα, δεδομένου ότι ορισμένοι υπολογιστές με κενό αέρα μέσα σε οργανισμούς συνδέονται μεταξύ τους αλλά όχι σε μεγαλύτερα δίκτυα. Σχεδιάστηκε για να στοχεύει συγκεκριμένες βιομηχανικές εφαρμογές λογισμικού.
Πιστεύεται ευρέως ότι το σκουλήκι Stuxnet υπέστη μεγάλη ζημιά στο πυρηνικό πρόγραμμα του Ιράν και ότι το σκουλήκι κατασκευάστηκε από τις ΗΠΑ και το Ισραήλ, αλλά οι εμπλεκόμενες χώρες δεν έχουν επιβεβαιώσει δημοσίως αυτά τα γεγονότα. Το Stuxnet ήταν εξελιγμένο κακόβουλο λογισμικό που έχει σχεδιαστεί για να επιτεθεί σε συστήματα με κενό αέρα - το γνωρίζουμε σίγουρα.
Άλλες πιθανές απειλές για υπολογιστές με κενό αέρα
Υπάρχουν άλλοι τρόποι με τους οποίους το κακόβουλο λογισμικό θα μπορούσε να επικοινωνεί σε δίκτυα που έχουν κενά στον αέρα, αλλά όλα περιλαμβάνουν μια μολυσμένη μονάδα USB ή μια παρόμοια συσκευή που εισάγει κακόβουλο λογισμικό στον υπολογιστή που αέριο. (Θα μπορούσαν επίσης να περιλαμβάνουν ένα άτομο που έχει φυσική πρόσβαση στον υπολογιστή, τον παραβιάζει και εγκαθιστά κακόβουλο λογισμικό ή τροποποιεί το υλικό του)
Για παράδειγμα, εάν το κακόβουλο λογισμικό εισήχθη σε έναν υπολογιστή με κενό αέρα μέσω μιας μονάδας USB και υπήρχε ένας άλλος μολυσμένος υπολογιστής κοντά στο Διαδίκτυο, οι μολυσμένοι υπολογιστές ενδέχεται να είναι σε θέση να επικοινωνούν πέρα από το κενό αέρα μέσω μετάδοση δεδομένων ήχου υψηλής συχνότητας χρησιμοποιώντας τα ηχεία και τα μικρόφωνα των υπολογιστών. Αυτό είναι ένα από τα πολλά τεχνικές που παρουσιάστηκαν στο Black Hat USA 2018 .
Αυτές είναι όλες πολύπλοκες επιθέσεις - πολύ πιο εξελιγμένες από το μέσο κακόβουλο λογισμικό που θα βρείτε στο διαδίκτυο. Ωστόσο, αποτελούν ανησυχία για τα εθνικά κράτη με πυρηνικό πρόγραμμα, όπως έχουμε δει.
Τούτου λεχθέντος, κακόβουλο λογισμικό ποικιλίας κήπου θα μπορούσε επίσης να είναι ένα πρόβλημα. Εάν φέρετε ένα πρόγραμμα εγκατάστασης που έχει μολυνθεί με ransomware σε έναν υπολογιστή με κενό αέρα μέσω μιας μονάδας USB, το ransomware θα μπορούσε ακόμα να κρυπτογραφήσει τα αρχεία στον υπολογιστή σας που έχει αέριο και να προκαλέσει καταστροφή, απαιτώντας σας να το συνδέσετε στο Διαδίκτυο και να πληρώσετε χρήματα προτού αποκρυπτογραφήσει τα δεδομένα σας.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Θέλετε να επιβιώσετε Ransomware; Εδώ είναι πώς να προστατεύσετε τον υπολογιστή σας
Πώς να Air Gap έναν υπολογιστή
Όπως έχουμε δει, ο αέρας που ανοίγει έναν υπολογιστή είναι πραγματικά πολύ απλός: Απλώς αποσυνδέστε τον από το δίκτυο. Μην το συνδέετε στο Διαδίκτυο και μην το συνδέετε σε τοπικό δίκτυο. Αποσυνδέστε τα φυσικά καλώδια Ethernet και απενεργοποιήστε το υλικό Wi-Fi και Bluetooth του υπολογιστή. Για μέγιστη ασφάλεια, σκεφτείτε να επανεγκαταστήσετε το λειτουργικό σύστημα του υπολογιστή από αξιόπιστα μέσα εγκατάστασης και να το χρησιμοποιήσετε εντελώς εκτός σύνδεσης μετά από αυτό.
Μην συνδέσετε ξανά τον υπολογιστή σε δίκτυο, ακόμη και όταν πρέπει να μεταφέρετε αρχεία. Εάν πρέπει να κάνετε λήψη κάποιου λογισμικού, για παράδειγμα, χρησιμοποιήστε έναν υπολογιστή συνδεδεμένο στο Διαδίκτυο, μεταφέρετε το λογισμικό σε κάτι σαν μονάδα USB και χρησιμοποιήστε αυτήν τη συσκευή αποθήκευσης για να μετακινήσετε τα αρχεία εμπρός και πίσω. Με αυτόν τον τρόπο διασφαλίζεται ότι το σύστημα που δεν λειτουργεί με αέρα δεν μπορεί να τεθεί σε κίνδυνο από έναν εισβολέα μέσω του δικτύου και διασφαλίζει επίσης ότι, ακόμα και αν υπάρχει κακόβουλο λογισμικό όπως το keylogger στον υπολογιστή σας που έχει αέριο, δεν μπορεί να κοινοποιήσει δεδομένα μέσω του δίκτυο.
Για καλύτερη ασφάλεια, απενεργοποιήστε οποιοδήποτε υλικό ασύρματης δικτύωσης στον υπολογιστή με κενό αέρα. Για παράδειγμα, εάν έχετε επιτραπέζιο υπολογιστή με κάρτα Wi-Fi, ανοίξτε τον υπολογιστή και αφαιρέστε το υλικό Wi-Fi. Εάν δεν μπορείτε να το κάνετε αυτό, θα μπορούσατε τουλάχιστον να μεταβείτε στο σύστημα BIOS ή UEFI firmware και απενεργοποιήστε το υλικό Wi-Fi.
Θεωρητικά, το κακόβουλο λογισμικό στον υπολογιστή σας που έχει κενωθεί στον αέρα θα μπορούσε να ενεργοποιήσει εκ νέου το υλικό Wi-Fi και να συνδεθεί σε δίκτυο Wi-Fi εάν ένας υπολογιστής διαθέτει λειτουργικό υλικό ασύρματης δικτύωσης. Έτσι, για έναν πυρηνικό σταθμό, θέλετε πραγματικά ένα σύστημα υπολογιστή που δεν διαθέτει υλικό ασύρματης δικτύωσης. Στο σπίτι, απλώς η απενεργοποίηση του υλικού Wi-Fi μπορεί να είναι αρκετά καλή.
Να είστε προσεκτικοί σχετικά με το λογισμικό που κατεβάζετε και μεταφέρετε και στο σύστημα με κενό αέρα. Εάν μεταφέρετε διαρκώς δεδομένα μεταξύ ενός συστήματος με κενό αέρα και ενός συστήματος χωρίς αέρα μέσω μιας μονάδας USB και και τα δύο έχουν μολυνθεί με το ίδιο κακόβουλο λογισμικό, το κακόβουλο λογισμικό θα μπορούσε να διεισδύσει σε δεδομένα από το σύστημα που έχετε χάσει μέσω του Μονάδα USB.
Τέλος, βεβαιωθείτε ότι ο αέρας που έχει κενωθεί στον αέρα είναι επίσης ασφαλής - η φυσική ασφάλεια είναι το μόνο που χρειάζεται να ανησυχείτε. Για παράδειγμα, εάν έχετε ένα κρίσιμο σύστημα με ευαίσθητα επιχειρηματικά δεδομένα σε ένα γραφείο, πιθανότατα θα πρέπει να βρίσκεται σε μια ασφαλή περιοχή όπως ένα κλειδωμένο δωμάτιο και όχι στο κέντρο ενός γραφείου όπου διάφορα άτομα περπατούν πάντοτε μπρος-πίσω. Εάν έχετε έναν φορητό υπολογιστή με ευαίσθητα δεδομένα, αποθηκεύστε τον με ασφάλεια, ώστε να μην κλαπεί ή να μην τεθεί σε κίνδυνο.
( Κρυπτογράφηση πλήρους δίσκου μπορεί να σας βοηθήσει να προστατέψετε τα αρχεία σας σε έναν υπολογιστή, ωστόσο, ακόμα κι αν είναι κλεμμένο.)
Το αεροπορικό κενό ενός συστήματος υπολογιστή δεν είναι εφικτό στις περισσότερες περιπτώσεις. Οι υπολογιστές είναι συνήθως τόσο χρήσιμοι, επειδή είναι δικτυωμένοι.
Όμως, το air-gapping είναι μια σημαντική τεχνική που εξασφαλίζει 100% προστασία από απειλές μέσω δικτύου, αν γίνει σωστά - απλώς βεβαιωθείτε ότι κανένας άλλος δεν έχει φυσική πρόσβαση στο σύστημα και δεν φέρνει κακόβουλο λογισμικό σε μονάδες USB. Είναι επίσης δωρεάν, χωρίς κανένα ακριβό λογισμικό ασφαλείας για πληρωμή ή μια περίπλοκη διαδικασία ρύθμισης για να περάσετε. Είναι ο ιδανικός τρόπος για τη διασφάλιση ορισμένων τύπων υπολογιστικών συστημάτων σε συγκεκριμένες καταστάσεις.
