Η απόλυτη άμυνα: Τι είναι ένας υπολογιστής με διάκενο αέρα;

από
Tweet
Share
Share
Pin

Όταν διαβάζετε για την ασφάλεια στον κυβερνοχώρο, πιθανότατα θα δείτε να γίνεται λόγος για συστήματα ηλεκτρονικών υπολογιστών με “κενό αέρα”. Είναι ένα τεχνικό όνομα για μια απλή ιδέα: Ένα σύστημα υπολογιστή που είναι φυσικά απομονωμένο από δυνητικά επικίνδυνα δίκτυα. Ή, με πιο απλά λόγια, χρησιμοποιώντας υπολογιστή εκτός σύνδεσης.

Τι είναι ένας υπολογιστής με διάκενο αέρα;

Ένα σύστημα υπολογιστή με διάκενο αέρα δεν έχει φυσική (ή ασύρματη) σύνδεση με μη ασφαλή συστήματα και δίκτυα.

Για παράδειγμα, ας υποθέσουμε ότι θέλετε να εργαστείτε σε ευαίσθητα οικονομικά και επιχειρηματικά έγγραφα χωρίς κανέναν κίνδυνο ransomware, keylogger και άλλου κακόβουλου λογισμικού. Αποφασίζετε ότι απλώς θα ρυθμίσετε έναν υπολογιστή εκτός σύνδεσης στο γραφείο σας και δεν θα τον συνδέσετε στο διαδίκτυο ή σε οποιοδήποτε δίκτυο.

Συγχαρητήρια: Μόλις επανεφευρέσατε την έννοια του air-gapping ενός υπολογιστή, ακόμα κι αν δεν έχετε ακούσει ποτέ για αυτόν τον όρο.

Ο όρος “διάκενο αέρα” αναφέρεται στην ιδέα ότι υπάρχει ένα κενό αέρα μεταξύ του υπολογιστή και άλλων δικτύων. Δεν είναι συνδεδεμένο σε αυτά και δεν μπορεί να δεχθεί επίθεση μέσω του δικτύου. Ένας εισβολέας θα έπρεπε να «περάσει το κενό αέρα» και να καθίσει φυσικά μπροστά στον υπολογιστή για να τον θέσει σε κίνδυνο, καθώς δεν υπάρχει τρόπος να τον αποκτήσει ηλεκτρονικά μέσω δικτύου.

Πότε και γιατί People Air Gap Computers

Δεν χρειάζεται κάθε υπολογιστής ή υπολογιστική εργασία σύνδεση δικτύου.

Για παράδειγμα, απεικονίστε ζωτικής σημασίας υποδομές όπως σταθμούς ηλεκτροπαραγωγής. Χρειάζονται υπολογιστές για να λειτουργήσουν τα βιομηχανικά τους συστήματα. Ωστόσο, αυτοί οι υπολογιστές δεν χρειάζεται να είναι εκτεθειμένοι στο διαδίκτυο και στο δίκτυο—είναι «αέρας» για ασφάλεια. Αυτό αποκλείει όλες τις απειλές που βασίζονται σε δίκτυο και το μόνο μειονέκτημα είναι ότι οι χειριστές τους πρέπει να είναι φυσικά παρόντες για να τις ελέγχουν.

Θα μπορούσατε επίσης να αερίσετε τους υπολογιστές gap στο σπίτι. Για παράδειγμα, ας υποθέσουμε ότι έχετε κάποιο παλιό λογισμικό (ή ένα παιχνίδι) που εκτελείται καλύτερα στα Windows XP. Εάν εξακολουθείτε να θέλετε να χρησιμοποιήσετε αυτό το παλιό λογισμικό, ο πιο ασφαλής τρόπος για να το κάνετε είναι να “αερώσετε το κενό” αυτό το σύστημα Windows XP. Τα Windows XP είναι ευάλωτα σε διάφορες επιθέσεις, αλλά δεν διατρέχετε τόσο κίνδυνο, εφόσον διατηρείτε το σύστημα Windows XP εκτός δικτύων και το χρησιμοποιείτε εκτός σύνδεσης.

  Πώς να ρυθμίσετε τα κοινά στοιχεία NFS στο OpenMediaVault

Ή, εάν εργάζεστε σε ευαίσθητα επιχειρηματικά και οικονομικά δεδομένα, θα μπορούσατε να χρησιμοποιήσετε έναν υπολογιστή που δεν είναι συνδεδεμένος στο διαδίκτυο. Θα έχετε τη μέγιστη ασφάλεια και απόρρητο για την εργασία σας, εφόσον διατηρείτε τη συσκευή σας εκτός σύνδεσης.

Πώς ο Stuxnet επιτέθηκε σε υπολογιστές Air Gapped

Οι υπολογιστές με διάκενο αέρα δεν είναι προστατευμένοι από απειλές. Για παράδειγμα, οι άνθρωποι χρησιμοποιούν συχνά μονάδες USB και άλλες αφαιρούμενες συσκευές αποθήκευσης για να μετακινούν αρχεία μεταξύ υπολογιστών με διάκενο αέρα και υπολογιστών συνδεδεμένων στο δίκτυο. Για παράδειγμα, μπορείτε να κάνετε λήψη μιας εφαρμογής σε έναν συνδεδεμένο υπολογιστή, να την τοποθετήσετε σε μια μονάδα USB, να τη μεταφέρετε στον υπολογιστή με διάκενο αέρα και να την εγκαταστήσετε.

Αυτό ανοίγει έναν φορέα επίθεσης, και δεν είναι θεωρητικός. Το σοφιστικέ Stuxnet worm λειτούργησε με αυτόν τον τρόπο. Σχεδιάστηκε για να εξαπλώνεται μολύνοντας αφαιρούμενες μονάδες, όπως μονάδες USB, δίνοντάς της τη δυνατότητα να διασχίζει ένα «κενό αέρα» όταν οι άνθρωποι συνδέουν αυτές τις μονάδες USB σε υπολογιστές με διάκενο αέρα. Στη συνέχεια χρησιμοποίησε άλλα exploits για να εξαπλωθεί μέσω δικτύων με διάκενο αέρα, καθώς ορισμένοι υπολογιστές με διάκενο αέρα μέσα σε οργανισμούς συνδέονται μεταξύ τους αλλά όχι με μεγαλύτερα δίκτυα. Σχεδιάστηκε για να στοχεύει συγκεκριμένες βιομηχανικές εφαρμογές λογισμικού.

Πιστεύεται ευρέως ότι το σκουλήκι Stuxnet προκάλεσε μεγάλη ζημιά στο πυρηνικό πρόγραμμα του Ιράν και ότι το σκουλήκι κατασκευάστηκε από τις ΗΠΑ και το Ισραήλ, αλλά οι εμπλεκόμενες χώρες δεν έχουν επιβεβαιώσει δημόσια αυτά τα γεγονότα. Το Stuxnet ήταν ένα εξελιγμένο κακόβουλο λογισμικό που σχεδιάστηκε για να επιτίθεται σε συστήματα με διάκενο αέρα — το γνωρίζουμε σίγουρα.

Άλλες πιθανές απειλές για υπολογιστές με κενό αέρα

Υπάρχουν άλλοι τρόποι επικοινωνίας κακόβουλου λογισμικού σε δίκτυα με διάκενο αέρα, αλλά όλοι περιλαμβάνουν μια μολυσμένη μονάδα USB ή παρόμοια συσκευή που εισάγει κακόβουλο λογισμικό στον υπολογιστή με διάκενο αέρα. (Θα μπορούσαν επίσης να περιλαμβάνουν ένα άτομο που έχει φυσική πρόσβαση στον υπολογιστή, τον υπονομεύει και εγκαθιστά κακόβουλο λογισμικό ή τροποποιεί το υλικό του.)

  Πώς να ενσωματώσετε γραμματοσειρές σε ένα έγγραφο MS Word

Για παράδειγμα, εάν εισήχθη κακόβουλο λογισμικό σε έναν υπολογιστή με διάκενο αέρα μέσω μονάδας USB και υπήρχε ένας άλλος μολυσμένος υπολογιστής κοντά στο διαδίκτυο, οι μολυσμένοι υπολογιστές ενδέχεται να μπορούν να επικοινωνούν στο διάκενο αέρα με μετάδοση δεδομένων ήχου υψηλής συχνότητας χρησιμοποιώντας τα ηχεία και τα μικρόφωνα των υπολογιστών. Αυτό είναι ένα από τα πολλά τεχνικές που παρουσιάστηκαν στο Black Hat USA 2018.

Όλες αυτές είναι πολύ περίπλοκες επιθέσεις—πολύ πιο εξελιγμένες από το μέσο κακόβουλο λογισμικό που θα βρείτε στο διαδίκτυο. Αλλά ανησυχούν για τα έθνη-κράτη με πυρηνικό πρόγραμμα, όπως είδαμε.

Τούτου λεχθέντος, κακόβουλο λογισμικό ποικιλίας κήπου θα μπορούσε επίσης να είναι πρόβλημα. Εάν φέρετε ένα πρόγραμμα εγκατάστασης που έχει μολυνθεί με ransomware σε έναν υπολογιστή με air-gapped μέσω μονάδας USB, αυτό το ransomware θα μπορούσε να κρυπτογραφήσει τα αρχεία στον υπολογιστή σας με air-gapped και να προκαλέσει τον όλεθρο, απαιτώντας να το συνδέσετε στο διαδίκτυο και να πληρώσετε χρήματα πριν γίνει αποκρυπτογραφήστε τα δεδομένα σας.

Πώς να κάνετε Air Gap έναν υπολογιστή

Όπως είδαμε, το άνοιγμα αέρα σε έναν υπολογιστή είναι στην πραγματικότητα πολύ απλό: Απλώς αποσυνδέστε τον από το δίκτυο. Μην το συνδέετε στο διαδίκτυο και μην το συνδέετε σε τοπικό δίκτυο. Αποσυνδέστε τυχόν φυσικά καλώδια Ethernet και απενεργοποιήστε το υλικό Wi-Fi και Bluetooth του υπολογιστή. Για μέγιστη ασφάλεια, εξετάστε το ενδεχόμενο επανεγκατάστασης του λειτουργικού συστήματος του υπολογιστή από αξιόπιστα μέσα εγκατάστασης και στη συνέχεια να το χρησιμοποιήσετε εντελώς εκτός σύνδεσης.

Μην συνδέετε ξανά τον υπολογιστή σε δίκτυο, ακόμη και όταν χρειάζεται να μεταφέρετε αρχεία. Εάν χρειάζεται να κάνετε λήψη κάποιου λογισμικού, για παράδειγμα, χρησιμοποιήστε έναν υπολογιστή συνδεδεμένο στο Διαδίκτυο, μεταφέρετε το λογισμικό σε κάτι σαν μονάδα USB και χρησιμοποιήστε αυτήν τη συσκευή αποθήκευσης για να μετακινήσετε τα αρχεία εμπρός και πίσω. Αυτό διασφαλίζει ότι το σύστημά σας με διάκενο αέρα δεν μπορεί να παραβιαστεί από έναν εισβολέα μέσω του δικτύου και διασφαλίζει επίσης ότι, ακόμα κι αν υπάρχει κακόβουλο λογισμικό όπως ένα keylogger στον υπολογιστή σας με διάκενο αέρα, δεν μπορεί να επικοινωνήσει δεδομένα μέσω του δίκτυο.

  Πώς να εγκαταστήσετε και να ρυθμίσετε την προσθήκη Plex στο OpenMediaVault

Για καλύτερη ασφάλεια, απενεργοποιήστε οποιοδήποτε υλικό ασύρματης δικτύωσης στον υπολογιστή με διάκενο αέρα. Για παράδειγμα, εάν έχετε επιτραπέζιο υπολογιστή με κάρτα Wi-Fi, ανοίξτε τον υπολογιστή και αφαιρέστε το υλικό Wi-Fi. Εάν δεν μπορείτε να το κάνετε αυτό, θα μπορούσατε τουλάχιστον να μεταβείτε στο υλικολογισμικό BIOS ή UEFI του συστήματος και να απενεργοποιήσετε το υλικό Wi-Fi.

Θεωρητικά, το κακόβουλο λογισμικό στον υπολογιστή σας με διάκενο αέρα θα μπορούσε να ενεργοποιήσει ξανά το υλικό Wi-Fi και να συνδεθεί σε ένα δίκτυο Wi-Fi εάν ένας υπολογιστής διαθέτει λειτουργικό υλικό ασύρματης δικτύωσης. Έτσι, για ένα πυρηνικό εργοστάσιο, θέλετε πραγματικά ένα σύστημα υπολογιστή που να μην έχει μέσα του υλικό ασύρματης δικτύωσης. Στο σπίτι, μόνο η απενεργοποίηση του υλικού Wi-Fi μπορεί να είναι αρκετά καλή.

Να είστε προσεκτικοί με το λογισμικό που κατεβάζετε και μεταφέρετε στο σύστημα με διάκενο αέρα. Εάν μεταφέρετε συνεχώς δεδομένα πέρα ​​δώθε μεταξύ ενός συστήματος με διάκενο αέρα και ενός συστήματος χωρίς διάκενο μέσω μιας μονάδας USB και και τα δύο έχουν μολυνθεί από το ίδιο κακόβουλο λογισμικό, το κακόβουλο λογισμικό θα μπορούσε να διηθήσει δεδομένα από το σύστημά σας με διάκενο αέρα μέσω του Μονάδα USB.

Τέλος, βεβαιωθείτε ότι ο υπολογιστής με διάκενο αέρα είναι φυσικά ασφαλής—η φυσική ασφάλεια είναι το μόνο για το οποίο πρέπει να ανησυχείτε. Για παράδειγμα, εάν έχετε ένα κρίσιμο σύστημα με διάκενο αέρα με ευαίσθητα επιχειρηματικά δεδομένα σε ένα γραφείο, θα πρέπει πιθανώς να βρίσκεται σε μια ασφαλή περιοχή όπως ένα κλειδωμένο δωμάτιο και όχι στο κέντρο ενός γραφείου όπου διάφοροι άνθρωποι περπατούν πάντα μπρος-πίσω. Εάν διαθέτετε φορητό υπολογιστή με διάκενο αέρα με ευαίσθητα δεδομένα, αποθηκεύστε τον με ασφάλεια, ώστε να μην κλαπεί ή με άλλο τρόπο σωματικά παραβιαστεί.

(Η κρυπτογράφηση πλήρους δίσκου μπορεί να σας βοηθήσει να προστατέψετε τα αρχεία σας σε έναν υπολογιστή, ωστόσο, ακόμα κι αν κλαπεί.)

Το διάκενο ενός συστήματος υπολογιστή δεν είναι εφικτό στις περισσότερες περιπτώσεις. Οι υπολογιστές είναι συνήθως τόσο χρήσιμοι επειδή είναι δικτυωμένοι, τελικά.

Αλλά το air-gapping είναι μια σημαντική τεχνική που εξασφαλίζει 100% προστασία από δικτυωμένες απειλές, εάν γίνει σωστά – απλώς βεβαιωθείτε ότι κανένας άλλος δεν έχει φυσική πρόσβαση στο σύστημα και μην μεταφέρετε κακόβουλο λογισμικό σε μονάδες USB. Είναι επίσης δωρεάν, χωρίς ακριβό λογισμικό ασφαλείας για πληρωμή ή περίπλοκη διαδικασία εγκατάστασης. Είναι ο ιδανικός τρόπος για να ασφαλίσετε ορισμένους τύπους υπολογιστικών συστημάτων σε συγκεκριμένες καταστάσεις.