Luftgap (nätverk)

Ett luftgap , luftvägg , luftgap eller frånkopplat nätverk är en nätverkssäkerhetsåtgärd som används på en eller flera datorer för att säkerställa att ett säkert datornätverk är fysiskt isolerat från osäkra nätverk, såsom det offentliga Internet eller ett osäkrat lokalt nätverk . Det betyder att en dator eller nätverk inte har några nätverksgränssnittskontroller anslutna till andra nätverk, med ett fysiskt eller konceptuellt luftgap, analogt med luftgapet som används i VVS för att upprätthålla vattenkvaliteten.

Använd i klassificerade inställningar

En dator eller ett nätverk med luftgap är ett som inte har några nätverksgränssnitt , vare sig trådbundna eller trådlösa, anslutna till externa nätverk. Många datorer, även när de inte är anslutna till ett trådbundet nätverk, har en trådlös nätverksgränssnittskontroller ( WiFi ) och är anslutna till närliggande trådlösa nätverk för att komma åt Internet och uppdatera programvara. Detta representerar en säkerhetsrisk, så datorer med luftgap har antingen sin trådlösa gränssnittskontroller permanent inaktiverad eller fysiskt borttagen. För att flytta data mellan omvärlden och luftgapsystemet är det nödvändigt att skriva data till ett fysiskt medium som en thumbdrive och fysiskt flytta den mellan datorer. Fysisk åtkomst måste kontrolleras (mansidentitet och själva lagringsmediet). Det är lättare att kontrollera än ett direkt komplett nätverksgränssnitt, som kan attackeras från det yttre osäkra systemet och, om skadlig programvara infekterar det säkra systemet, kan användas för att exportera säker data. Det är därför som vissa nya hårdvaruteknologier också finns tillgängliga som enkelriktade datadioder eller dubbelriktade dioder (även kallade elektroniska luftgap), som fysiskt separerar nätverket och transportskikten och kopierar och filtrerar applikationsdata.

I miljöer där nätverk eller enheter är klassificerade för att hantera olika nivåer av sekretessbelagd information hänvisas de två frånkopplade enheterna eller nätverken till som låg sida och hög sida , låg är oklassificerad och hög hänvisar till sekretessbelagd, eller klassificeras på en högre nivå. Detta kallas ibland också för rött (klassificerat) och svart (oklassificerat). Åtkomstpolicyer är ofta baserade på Bell–LaPadulas konfidentialitetsmodell , där data kan flyttas från låg till hög med minimala säkerhetsåtgärder, medan hög till låg kräver mycket strängare procedurer för att säkerställa skydd av data på en högre nivå av klassificering. I vissa fall (till exempel industrikritiska system) är policyn annorlunda: data kan flyttas från högt till lågt med minimala säkerhetsåtgärder, men låg till hög kräver en hög nivå av procedurer för att säkerställa integriteten hos industrisäkerheten systemet.

Konceptet representerar nästan det maximala skyddet ett nätverk kan ha från ett annat (förutom att stänga av enheten). Ett sätt att överföra data mellan omvärlden och luftgapsystemet är att kopiera data på ett flyttbart lagringsmedium som en flyttbar disk eller USB-minne och fysiskt överföra lagringen till det andra systemet. Denna åtkomst måste fortfarande kontrolleras noggrant eftersom USB-enheten kan ha sårbarheter (se nedan). Fördelen med detta är att ett sådant nätverk generellt sett kan betraktas som ett slutet system (i termer av information, signaler och emissionssäkerhet), som inte går att nå från omvärlden. Nackdelen är att överföring av information (från omvärlden) som ska analyseras av datorer på det säkra nätverket är utomordentligt arbetskrävande, ofta involverar mänsklig säkerhetsanalys av potentiella program eller data som ska matas in i luftglappade nätverk och möjligen även mänskliga manualer återinförande av data efter säkerhetsanalys. Det är därför ett annat sätt att överföra data, som används i lämpliga situationer som kritiska industrier, är att använda datadioder och elektroniska luftgap, som säkerställer en fysisk klippning av nätverket av en specifik hårdvara.

Sofistikerade datavirus för användning i cyberkrigföring , som Stuxnet och agent.btz , har designats för att infektera system med luftgap genom att utnyttja säkerhetshål relaterade till hanteringen av flyttbara media . Möjligheten att använda akustisk kommunikation har också påvisats av forskare. Forskare har också visat genomförbarheten av dataexfiltrering med hjälp av FM-frekvenssignaler.

Exempel

Exempel på typer av nätverk eller system som kan vara luftgap inkluderar:

• Militära/statliga datornätverk/system;
• Finansiella datorsystem, såsom börser;
• Industriella styrsystem, såsom SCADA inom olje- och gasfält;
• Nationella och statliga lotterispelmaskiner eller slumptalsgeneratorer, som måste vara helt isolerade från nätverk för att förhindra lotteribedrägerier
• Livskritiska system , som:
  • Kontroller av kärnkraftverk ;
  • Datorer som används inom flyget , såsom FADEC , flygledningssystem och flygelektronik ;
  • Datoriserad medicinsk utrustning;
• Mycket enkla system, där det inte finns något behov av att kompromissa med säkerheten i första hand, såsom:
  • Motorstyrenheten och andra enheter på CAN-bussen i en bil ;
  • En digital termostat för temperatur- och kompressorreglering i VVS- och kylsystem i hemmet;
  • Elektroniska sprinklerreglage för bevattning av gräsmattor.

Många av dessa system har sedan lagt till funktioner som ansluter dem under begränsade tidsperioder till organisationens internet (för behov av övervakning eller uppdateringar) eller det offentliga internet, och är inte längre effektivt och permanent luftgap, inklusive termostater med internetanslutningar och bilar med Bluetooth , Wi-Fi och mobiltelefonanslutning.

Begränsningar

Begränsningar som åläggs enheter som används i dessa miljöer kan innefatta ett förbud mot trådlösa anslutningar till eller från det säkra nätverket, eller liknande restriktioner för EM- läckage från det säkra nätverket genom användning av TEMPEST eller en Faraday-bur .

Trots avsaknad av direkt anslutning till andra system har luftglappade nätverk visat sig vara sårbara för attacker under olika omständigheter.

Forskare 2013 demonstrerade lönsamheten hos skadlig programvara för luftgap som är utformad för att besegra isolering av luftgap med hjälp av akustisk signalering. ^{pressuppmärksamhet nätverkssäkerhetsforskaren Kort} efter det fick Dragos Ruius BadBIOS .

2014 introducerade forskare AirHopper , ett delat attackmönster som visar möjligheten att dataexfiltrera från en isolerad dator till en närliggande mobiltelefon, med hjälp av FM-frekvenssignaler.

2015 introducerades BitWhisper, en hemlig signaleringskanal mellan datorer med luftgap som använder termiska manipulationer. BitWhisper stöder dubbelriktad kommunikation och kräver ingen extra dedikerad perifer hårdvara.

Senare under 2015 introducerade forskare GSMem, en metod för att exfiltrera data från datorer med luftgap över cellulära frekvenser. Sändningen - genererad av en standard intern buss - gör datorn till en liten cellulär sändarantenn.

ProjectSauron som upptäcktes 2016 visar hur en infekterad USB-enhet kan användas för att fjärrläcka data från en dator med luftspalt. Skadlig programvara förblev oupptäckt i 5 år och förlitade sig på dolda partitioner på en USB-enhet som inte var synlig för Windows som en transportkanal mellan den luftglappade datorn och en dator ansluten till internet, förmodligen som ett sätt att dela filer mellan de två systemen.

NFCdrip var namnet på upptäckten av smyg dataexfiltrering genom NFC (Near-field Communication) radiomissbruk och signaldetektering 2018. Även om NFC gör det möjligt för enheter att etablera effektiv kommunikation genom att föra dem inom några centimeter från varandra, visade forskare att den kan missbrukas för att överföra information på ett mycket längre avstånd än förväntat - upp till 100 meter.

I allmänhet kan skadlig programvara utnyttja olika hårdvarukombinationer för att läcka känslig information från system med luftgap genom att använda "hemliga luftgapkanaler". Dessa hårdvarukombinationer använder ett antal olika medier för att överbrygga luftgapet, inklusive: akustisk, lätt, seismisk, magnetisk, termisk och radiofrekvens.

Mjukvaruuppdateringar

Ur ett säkerhetsperspektiv är den största nackdelen med ett luftgap nätverk programvarans oförmåga att automatiskt uppdatera sig själv. Användare och systemadministratörer måste istället ladda ner och installera uppdateringar manuellt. Om en strikt uppdateringsrutin inte följs resulterar detta i att inaktuell programvara körs på nätverket, som kan innehålla kända säkerhetsbrister. Om en motståndare lyckas få tillgång till det luftgapte nätverket (till exempel genom att kontakta en missnöjd anställd eller använda social ingenjörskonst) kan de snabbt sprida sig inom det luftgapta nätverket med hjälp av sådana sårbarheter med en möjligen högre framgångsgrad än hos allmänheten Internet.

Systemadministratörer kan hantera programvaruuppdateringar i ett luftgap nätverk med hjälp av dedikerade lösningar som Windows Server Update Services eller nätverksinloggningsskript. Sådana mekanismer skulle tillåta alla datorer på det luftgapnätverk att automatiskt installera uppdateringar efter att systemadministratören laddat ner uppdateringarna från Internet en gång. Problemet är dock inte helt eliminerat, särskilt om användare har administrativa rättigheter på sina lokala arbetsstationer och därför kan installera programvara som inte hanteras centralt. Förekomsten av IoT -enheter som kräver firmwareuppdateringar kan också komplicera saken, eftersom sådana uppdateringar ofta inte kan hanteras centralt.

Se även

• Air gap skadlig kod
• Brandvägg (dator)
• Nära ljuddataöverföring
• NIPRNet
• SIPRNet
• Sneakernet
• Tempest (kodnamn)
• Van Eck skrattar