Блог компании Positive Technologies | На «воздушный зазор» надейся, а сам не плошай: история о радикальных мерах кибербезопасности

«Воздушный зазор» («air gap») — мера защиты, при которой компьютер или сеть полностью физически изолированы от других сетей, в том числе от Интернета. Использование «воздушного зазора» позволяет предотвратить попытки киберпреступников получить удаленный доступ или организовать кибератаки на эти изолированные системы через сеть.

«Аir gap» — довольно радикальная мера защиты, которая применяется для защиты критически важной информации, государственных секретов, финансовых данных, а также интеллектуальной собственности. Данная мера подразумевает строгий контроль над обменом информацией между изолированными системами и внешним миром, обычно с использованием зашифрованных средств передачи данных, таких как флеш-накопители или оптические диски.

Можно ли преодолеть «воздушный зазор»?

Хотя «воздушный зазор» считается одной из самых надежных мер кибербезопасности, существуют методы его обхода. Хакеры могут использовать различные техники, такие как социальная инженерия, физическое внедрение или даже сбор и передачу акустических сигналов, чтобы получить доступ к секретной информации, хранящейся в изолированных системах.

Спикер-шпион

Исследователи из Школы кибербезопасности Корейского университета в Сеуле продемонстрировали новый вид атаки под названием «CASPER». Атака происходит по скрытому каналу и позволяет передавать данные с компьютеров без каких-либо внешних подключений.



При атаке «CASPER» в качестве канала передачи данных используется внутренний компьютерный спикер, подключенный к материнской плате. Благодаря специальному софту спикер может генерировать высокочастотный звук, не слышимый человеческому уху. Звук может быть закодирован в двоичный код или азбуку Морзе и транслироваться на внешний принимающий микрофон. Максимально поддерживаемое расстояние передачи сигнала составляет 1,5 метра. При этом сам микрофон может находиться как в смартфоне, так и в ноутбуке злоумышленника.

Стоит отметить, что для осуществления подобной атаки злоумышленник должен иметь физический доступ к компьютеру и заразить его вредоносным ПО. Например, через обычную USB-флешку. Разработанное экспертами вредоносное ПО может автономно исследовать файловую систему цели, находить конкретные файлы или типы файлов, которые интересуют злоумышленника, и передавать их на принимающее устройство.

Исследователи отмечают, что скорость передачи данных довольно невысока из-за физических ограничений природы звука. Стандартный 8-символьный пароль передается примерно за 3 секунды, а 2048-битный ключ RSA — за 100 секунд. При этом на передачу обычного документа Microsoft Word размером 10 КБ, потребуется уже более часа, даже если условия идеальны и во время передачи не происходит прерываний.

Как защититься?

Самым простым способом защиты от атаки «CASPER», по словам исследователей, является банальное удаление внутреннего динамика из критически важных компьютеров. Однако если это нереализуемо, эксперты по безопасности могут внедрить в компьютер фильтр высоких частот, чтобы ограничить все генерируемые частоты в пределах слышимого звукового диапазона, тем самым блокируя передачу ультразвуковых сигналов. Таким образом, потенциальные жертвы, по крайней мере, смогут услышать, как злоумышленник медленно, но верно похищает их данные.

Насколько реальна угроза?

На первый взгляд, сценарий атаки «CASPER» кажется чисто теоретическим и даже немного надуманным. Однако в прошлом уже было несколько громких инцидентов, когда злоумышленники успешно взламывали усиленную защиту и преодолевали «воздушный зазор».

Одним из ярких примеров является червь Stuxnet, нацеленный на иранский завод по обогащению урана в Натанзе, а также вредоносная программа Agent.BTZ., заразившая военную базу США. Наконец, сюда же можно отнести модульный бэкдор Remsec, который более пяти лет тайно собирал информацию из закрытых правительственных сетей в разных странах Европы.

Заметим, что подобные атаки являются очень высокозатратными, и информация о них редко оказывается в публичном поле. Тем не менее, несмотря на существующие истории хакерских успехов, использование «воздушного зазора» продолжает оставаться одним из наиболее эффективных методов обеспечения кибербезопасности. Ведь для получения доступа к изолированным системам киберпреступникам необходимо преодолеть физическое препятствие, что существенно затрудняет возможность проведения удаленных атак, снижает риск утечки информации через сетевые каналы.