Jump to content

Воздушный зазор (сеть)

Эта статья о сетевой безопасности. Чтобы узнать о других значениях, см. Воздушный зазор .
Сеть с воздушным зазором (справа) без подключения к ближайшей сети, подключенной к Интернету (слева)

Воздушный зазор , воздушная стена , воздушный зазор [1] или отключенная сеть — это мера сетевой безопасности, применяемая на одном или нескольких компьютерах для обеспечения физической изоляции защищенной компьютерной сети от незащищенных сетей, таких как общедоступный Интернет или незащищенная локальная сеть . [2] Это означает, что компьютер или сеть не имеет контроллеров сетевых интерфейсов, подключенных к другим сетям. [3] [4] с физическим или концептуальным воздушным зазором, аналогичным воздушному зазору, используемому в водопроводе для поддержания качества воды.

Использование в секретных условиях

[ редактировать ]

Компьютер или сеть с воздушным зазором — это компьютер, не имеющий сетевых интерфейсов , ни проводных, ни беспроводных, подключенных к внешним сетям. [3] [4] Многие компьютеры, даже если они не подключены к проводной сети, имеют контроллер интерфейса беспроводной сети ( Wi-Fi ) и подключаются к близлежащим беспроводным сетям для доступа к Интернету и обновления программного обеспечения. Это представляет собой уязвимость безопасности, поэтому контроллер беспроводного интерфейса компьютеров с воздушным зазором либо постоянно отключен, либо физически удален. Чтобы перемещать данные между внешним миром и изолированной системой, необходимо записать данные на физический носитель, например флэш-накопитель , и физически переместить их между компьютерами. Физический доступ должен контролироваться (личность человека и сам носитель информации). Его легче контролировать, чем прямой полный сетевой интерфейс, который можно атаковать из внешней незащищенной системы и, если вредоносное ПО заразит безопасную систему, можно использовать для экспорта защищенных данных. Вот почему также доступны некоторые новые аппаратные технологии, такие как однонаправленные диоды данных или двунаправленные диоды (также называемые электронными воздушными зазорами), которые физически разделяют сетевой и транспортный уровни, а также копируют и фильтруют данные приложений.

В средах, где сети или устройства рассчитаны на обработку различных уровней секретной информации , два отключенных устройства или сети называются «низкой стороной» и «высокой стороной» , где «низкий» означает неклассифицированную, а «высокий» относится к секретной или классифицированной на более высоком уровне. Его также иногда называют красным (секретным) и черным (несекретным). Политики доступа часто основаны на модели конфиденциальности Белла-ЛаПадулы , в которой данные могут перемещаться от низкого уровня к высокому с минимальными мерами безопасности, в то время как переход от высокого к низкому требует гораздо более строгих процедур для обеспечения защиты данных на более высоком уровне. классификация. В некоторых случаях (например, критически важные промышленные системы) политика иная: данные могут перемещаться от высокого уровня к низкому с минимальными мерами безопасности, но от низкого к высокому требуется высокий уровень процедур для обеспечения целостности промышленной безопасности. система.

Эта концепция представляет собой почти максимальную защиту, которую одна сеть может обеспечить от другой (за исключением отключения устройства). Один из способов передачи данных между внешним миром и изолированной системой — скопировать данные на съемный носитель , например съемный диск или USB-накопитель , и физически перенести хранилище в другую систему. Этот доступ по-прежнему необходимо тщательно контролировать, поскольку USB-накопитель может иметь уязвимости (см. ниже). Положительным моментом является то, что такую ​​сеть в целом можно рассматривать как закрытую систему (с точки зрения безопасности информации, сигналов и выбросов), к которой невозможно получить доступ из внешнего мира. Обратной стороной является то, что передача информации (из внешнего мира) для анализа компьютерами в защищенной сети является чрезвычайно трудоемкой, часто требующей анализа безопасности потенциальных программ или данных, которые должны быть введены в изолированные сети, и, возможно, даже вручную. повторный ввод данных после анализа безопасности. [5] Вот почему еще один способ передачи данных, используемый в соответствующих ситуациях, например, в критически важных отраслях, заключается в использовании диодов данных и электронных воздушных зазоров, которые обеспечивают физическое отключение сети с помощью определенного оборудования.

Сложные компьютерные вирусы для использования в кибервойнах , такие как Stuxnet. [6] и Agent.BTZ были разработаны для заражения изолированных систем путем использования дыр в безопасности, связанных с обработкой съемных носителей . Возможность использования акустической связи также была продемонстрирована исследователями. [7] Исследователи также продемонстрировали возможность извлечения данных с использованием сигналов FM-частоты. [8] [9]

Примеры

[ редактировать ]

Примеры типов сетей или систем, которые могут иметь воздушные зазоры, включают:

Многие из этих систем с тех пор добавили функции, которые подключают их в течение ограниченных периодов времени к Интернету организации (для необходимости наблюдения или обновлений) или общедоступному Интернету и больше не имеют эффективного и постоянного воздушного зазора, включая термостаты с подключением к Интернету и автомобили с Bluetooth , Wi-Fi и возможностью подключения к сотовому телефону.

Ограничения

[ редактировать ]

Ограничения, налагаемые на устройства, используемые в этих средах, могут включать запрет на беспроводные подключения к защищенной сети или из нее или аналогичные ограничения на утечку ЭМ из защищенной сети посредством использования TEMPEST или клетки Фарадея .

Несмотря на отсутствие прямого подключения к другим системам, изолированные сети оказались уязвимыми для атак при различных обстоятельствах.

В 2013 году ученые продемонстрировали жизнеспособность вредоносного ПО, предназначенного для обхода изоляции воздушного зазора с помощью акустической сигнализации. [ нужна ссылка ] Вскоре после этого сетевой безопасности исследователя Драгоса Руиу . BadBIOS внимание прессы привлек [14]

В 2014 году исследователи представили AirHopper — раздвоенный шаблон атаки, показывающий возможность утечки данных с изолированного компьютера на ближайший мобильный телефон с использованием сигналов FM-частоты. [8] [9]

В 2015 году был представлен BitWhisper, скрытый канал передачи сигналов между изолированными компьютерами с использованием тепловых манипуляций. BitWhisper поддерживает двустороннюю связь и не требует дополнительного выделенного периферийного оборудования. [15] [16]

Позже в 2015 году исследователи представили GSMem — метод фильтрации данных с изолированных компьютеров по сотовым частотам. Передача, генерируемая стандартной внутренней шиной, превращает компьютер в небольшую антенну сотового передатчика. [17] [18]

Вредоносная программа ProjectSauron, обнаруженная в 2016 году, демонстрирует, как зараженное USB-устройство можно использовать для удаленной утечки данных с изолированного компьютера. Вредоносная программа оставалась незамеченной в течение 5 лет и использовала скрытые разделы на USB-накопителе, невидимые для Windows, в качестве транспортного канала между изолированным компьютером и компьютером, подключенным к Интернету, предположительно как способ обмена файлами между двумя системами. [19]

NFCdrip — это название, данное открытию скрытой утечки данных посредством злоупотребления радиосигналами NFC (связь ближнего радиуса действия) и обнаружения сигналов в 2018 году. Хотя NFC позволяет устройствам устанавливать эффективную связь, располагая их на расстоянии нескольких сантиметров друг от друга, [20] Исследователи показали, что с его помощью можно передавать информацию на гораздо большее расстояние, чем ожидалось, — до 100 метров. [21]

В общем, вредоносное ПО может использовать различные комбинации оборудования для утечки конфиденциальной информации из изолированных систем с использованием «скрытых каналов с воздушным зазором». [22] Эти аппаратные комбинации используют ряд различных сред для преодоления воздушного зазора, в том числе: акустические, световые, сейсмические, магнитные, тепловые и радиочастотные. [23] [24] [25]

Обновления программного обеспечения

[ редактировать ]

С точки зрения безопасности основным недостатком сети с воздушным зазором является неспособность программного обеспечения автоматически обновляться. Вместо этого пользователи и системные администраторы должны загружать и устанавливать обновления вручную. Если не соблюдать строгий порядок обновления, это приводит к тому, что в сети работает устаревшее программное обеспечение, которое может содержать известные уязвимости безопасности. Если злоумышленнику удастся получить доступ к сети с воздушным зазором (например, связавшись с недовольным сотрудником или используя социальную инженерию), он сможет быстро распространиться внутри сети с воздушным зазором, используя такие уязвимости, с возможно более высоким уровнем успеха, чем в общедоступной сети. Интернет.

Системные администраторы могут управлять обновлениями программного обеспечения в изолированной сети, используя специальные решения, такие как службы Windows Server Update Services или сценарии входа в сеть. Такие механизмы позволят всем компьютерам в сети с воздушным зазором автоматически устанавливать обновления после того, как системный администратор один раз загрузит обновления из Интернета. Однако проблема не устранена полностью, особенно если пользователи имеют права администратора на своих локальных рабочих станциях и, следовательно, могут устанавливать программное обеспечение, управление которым не осуществляется централизованно. Наличие IoT- устройств, требующих обновления прошивки, также может усложнить ситуацию, поскольку зачастую такими обновлениями невозможно управлять централизованно.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Что такое воздушный зазор (атака воздушного зазора)?» . WhatIs.com . Проверено 16 декабря 2020 г.
  2. ^ Глоссарий по интернет-безопасности, версия 2 . РФК   4949 .
  3. ^ Перейти обратно: а б Зеттер, Ким (8 декабря 2014 г.). «Хакерский лексикон: что такое воздушный зазор?» . Проводной . Конде Наст . Проверено 21 января 2019 г.
  4. ^ Перейти обратно: а б Брайант, Уильям Д. (2015). Международный конфликт и превосходство в киберпространстве: теория и практика . Рутледж. п. 107. ИСБН  978-1317420385 .
  5. ^ Лемос, Роберт (01 февраля 2001 г.). «АНБ пытается создать защищенный от взлома компьютер» . Новости ЗДНет . CBS Interactive, Inc. Проверено 12 октября 2012 г. Например, сверхсекретные данные могут храниться на другом компьютере, а не данные, классифицируемые просто как конфиденциальный материал. Иногда для доступа работника к информации на одном столе может находиться до шести разных компьютеров. На типичном жаргоне разведывательного сообщества этот тип безопасности называется « воздушным зазором».
  6. ^ «Stuxnet доставлен на иранскую атомную электростанцию ​​на флэш-накопителе» . CNET . 12 апреля 2012 г.
  7. ^ Путц, Флорентин; Альварес, Флор; Классен, Йиска (08 июля 2020 г.). «Коды акустической целостности» . Материалы 13-й конференции ACM по безопасности и конфиденциальности в беспроводных и мобильных сетях . Линц, Австрия: ACM. стр. 31–41. arXiv : 2005.08572 . дои : 10.1145/3395351.3399420 . ISBN  978-1-4503-8006-5 . S2CID   218673467 .
  8. ^ Перейти обратно: а б Гури, Мордехай; Кедма, Габи; Качлон, Асаф; Еловичи, Юваль (ноябрь 2014 г.). «AirHopper: устранение воздушного разрыва между изолированными сетями и мобильными телефонами с использованием радиочастот». arXiv : 1411.0237 [ cs.CR ].
  9. ^ Перейти обратно: а б Гури, Мордехай; Кедма, Габи; Качлон, Асаф; Еловичи, Юваль (ноябрь 2014 г.). «Как передать конфиденциальные данные с изолированного компьютера (воздушного зазора) на ближайший мобильный телефон — AirHopper» . Лаборатория кибербезопасности БГУ .
  10. ^ Рист, Оливер (29 мая 2006 г.). «Hack Tales: сеть Air-Gap по цене пары кроссовок» . Инфомир . Сеть ИДГ . Проверено 16 января 2009 г. В ситуациях с высоким уровнем безопасности различные формы данных часто приходится хранить вне производственных сетей из-за возможного заражения из незащищенных ресурсов, таких как, скажем, Интернет. Поэтому ИТ-администраторам приходится создавать закрытые системы для хранения этих данных — например, автономные серверы или небольшие сети серверов, которые не связаны ни с чем, кроме друг друга. Между этими и другими сетями нет ничего, кроме воздуха, отсюда и термин « воздушный зазор» , а передача данных между ними осуществляется старомодным способом: перемещение дисков туда и обратно вручную, через « кроссовую сеть ».
  11. ^ «Вебер против SEC» (PDF) . Insurancenewsnet.com. 15 ноября 2012 г. п. 35. Архивировано из оригинала (PDF) 3 декабря 2013 г. Проверено 6 декабря 2012 г. Компьютерные системы внутренней сети фондовой биржи настолько чувствительны, что они изолированы от воздуха и не подключены к Интернету, чтобы защитить их от атак, вторжений или других злонамеренных действий со стороны третьих лиц.
  12. ^ «Вебер против SEC» . Компьютерные системы промышленных внутренних сетей настолько чувствительны, что они имеют «воздушный зазор», не подключаются к Интернету и не подключаются небезопасно к корпоративной сети, чтобы защитить их от атак, вторжений или других злонамеренных действий со стороны третьих лиц-злоумышленников.
  13. ^ Зеттер, Ким (4 января 2008 г.). «ФАУ: новый Боинг 787 может быть уязвим для хакерской атаки» . Проводной журнал . CondéNet, Inc. Архивировано из оригинала 23 декабря 2008 года . Проверено 16 января 2009 г. (... Boeing ...) не стал вдаваться в подробности того, как (...он...) решает эту проблему, но говорит, что использует комбинацию решений, предполагающую некоторое физическое разделение сетей, известное как воздушные зазоры и программные брандмауэры.
  14. ^ Лейден, Джон (5 декабря 2013 г.). «Слышите? Это звук подражателя BadBIOS, болтающего через воздушные зазоры» . Проверено 30 декабря 2014 г.
  15. ^ Гури, Мордехай; Мониц, Матан; Мирский, Израиль; Еловичи, Юваль (апрель 2015 г.). «BitWhisper: скрытый канал передачи сигналов между компьютерами с воздушным зазором с использованием тепловых манипуляций». arXiv : 1503.07919 [ cs.CR ].
  16. ^ Гури, Мордехай; Мониц, Матан; Мирский, Израиль; Еловичи, Юваль (март 2015 г.). «BitWhisper: Жара в воздушном зазоре» . Лаборатория кибербезопасности БГУ .
  17. ^ Гури, Мордехай; Качлон, Асаф; Хассон, Офер; Кедма, Габи; Мирский, Израиль; Еловичи, Юваль (август 2015 г.). «GSMem: утечка данных с компьютеров с воздушным зазором через частоты GSM» . 24-й симпозиум по безопасности USENIX (USENIX Security 15) : 849–864. ISBN  9781931971232 .
  18. ^ Гури, Мордехай; Качлон, Асаф; Хассон, Офер; Кедма, Габи; Мирский, Израиль; Мониц, Матан; Еловичи, Юваль (июль 2015 г.). «GSMem преодолевает воздушный зазор» . Лаборатории кибербезопасности Университета Бен-Гуриона . Архивировано из оригинала 19 декабря 2021 г.
  19. ^ Крис Баранюк (9 августа 2016 г.). « Вредоносное ПО «Проект Саурон» скрывалось пять лет» . Би-би-си.
  20. ^ Кэмерон Фолкнер. «Что такое NFC? Все, что вам нужно знать» . Techradar.com . Проверено 30 ноября 2015 г.
  21. ^ «NFCdrip: исследование кражи данных NFC» . Галочка . Проверено 19 декабря 2018 г.
  22. ^ Каррара, Брент (сентябрь 2016 г.). « Скрытые каналы с воздушным зазором ». Кандидатская диссертация. Университет Оттавы.
  23. ^ Каррара, Брент; Адамс, Карлайл (2016). «Обследование и таксономия, направленные на обнаружение и измерение скрытых каналов». Материалы 4-го семинара ACM по сокрытию информации и мультимедийной безопасности - IH&MMSec '16 . стр. 115–126. дои : 10.1145/2909827.2930800 . ISBN  9781450342902 . S2CID   34896818 .
  24. ^ Каррара, Брент; Адамс, Карлайл (01 июня 2016 г.). «Внеполосные скрытые каналы — исследование» . Обзоры вычислительной техники ACM . 49 (2): 1–36. дои : 10.1145/2938370 . ISSN   0360-0300 . S2CID   13902799 .
  25. ^ Чимпану, Каталин. «Ученые превращают оперативную память в карты Wi-Fi, чтобы украсть данные из изолированных систем» . ЗДНет .
Retrieved from "https://en.wikipedia.org/w/index.php?title=Air_gap_(networking)&oldid=1232781113"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 0de439b01a4a79d57241eec2c463b889__1720182420
URL1:https://arc.ask3.ru/arc/aa/0d/89/0de439b01a4a79d57241eec2c463b889.html
Заголовок, (Title) документа по адресу, URL1:
Air gap (networking) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)