Damsun Security

پژوهش‌هاي اخير راههاي گوناگوني که مي‌تواند سيستم‌هاي ايزوله شده (Air-Gapped) را به خطر اندازد، بيان مي‌کند. اما واقعاً اين حمله‌ها چگونه عمل مي‌کنند؟ در ادامه اين گزارش به آن پرداخته مي‌شود.

سازمان‌هايي که با اطلاعات حساس سر و کار دارند از سامانه‌هاي امنيتي شبکه براي حفاظت از داده‌هاي حياتي خود بطور گسترده بهره مي‌برند. با اينکه چنين سامانه‌هايي امنيت بيشتري را نسبت به ديگر سيستم‌ها تأمين مي‌کنند در عين حال راههايي براي به خطر انداختن آنها وجود دارد که اجازه مي‌دهد مهاجمان اطلاعات حساس سازمان را به سرقت ببرند. به عنوان مثال سيگنال‌هاي راديويي ساطع شده توسط کارت‌هاي گرافيک، کارت صدا و ارتباطات از راه ميکروفن و بلندگو جزء سيستم‌هاي هستند که اولين بار فورت ناکس اندازه گيري ميزان امنيت آنرا مورد توجه قرار داد. واژه Air gapped به راهکاري گفته مي‌شود که از داده‌هاي حياتي با ايزوله کردن يک يا چند سيستم از شبکه نا امن مانند اينترنت، محافظت مي‌نمايد. مديران فناوري اطلاعات ممکن است سامانه‌هاي حساسي همچون سيستم‌هاي نظامي، سيستم‌هاي کنترل و نظارت تأسيسات زير بنايي و حياتي را به منظور محافظت از داده‌هاي آنها در برابر نفوذ، ايزوله نمايند. متأسفانه هيچ سيستمي صد در صد امن نمي‌باشد و هميشه راهي براي دور زدن تدابير امنيتي وجود خواهد داشت. حتي به نظر مي‌رسد برخي از اين روش‌هاي نفوذ بطور مستقيم از داستان‌هاي علمي تخيلي نشأت گرفته باشد!

مشکلات مهاجمان
اگر مهاجمي قصد دست يابي به سيستم‌هاي ايزوله را داشته باشد با 3 مشکل اساسي روبه رو مي‌باشد:

?- نفوذ به سيستمي در داخل شبکه ايزوله
مهاجم براي نفوذ به سيستم‌هاي ايزوله نيازمند نفوذ به دست کم يکي از کامپيوترهاي ايزوله شده به کمک بدافزار مي‌باشد. اين عمل مي‌تواند توسط شخصي مجاز که امکان دسترسي به داخل شبکه ايزوله مورد هدف، با استفاده از USB آلوده انجام شود. ورود سيستم‌هاي آلوده مي‌توانند در زنجيره تأمين تجهيزات در زمان توليد و يا ارسال مورد اتفاق پذيرد.

?- ارسال فرمان به سيستم نفوذ شده
هنگاميکه سيستمي تحت کنترل مهاجم قرار مي‌گيرد مي‌تواند فايل‌هاي به روز رساني و فرمان‌هاي مورد نظر خود را به بدافزار ارسال نمايد. معمولاً ارسال چنين دستوراتي از راه اينترنت ممکن مي‌گردد اما براي ارسال اين داده‌ها به سيستم ايزوله خلاقيت بيشتري نياز است.

?- استخراج اطلاعات از سيستم تهديد شده
مهاجمان دنبال راهي براي خارج کردن اطلاعات سرقت شده از سيستم تحت کنترل خود مي‌باشند. خروج داده‌هاي مورد نظر از سيستم ايزوله نيازمند روش‌هاي مبتکرانه‌اي مي‌باشد.

بررسي مو شکافانه چند نمونه از حملات گزارش شده

در اين بخش از گزارش چند نمونه از حملات گزارش شده را مورد بررسي قرار مي‌دهيم که اولاً چقدر به واقعيت نزديک هستند و براي هر موضوع چه تدابيري به منظور تأمين امنيت مي‌توان بکار برد.

روشن کردن، ميزان کردن و خارج نمودن اطلاعات

پژوهش‌هاي اخير محققان نشان داده که چگونه مي‌توان داده‌ها را از شبکه‌هاي ايزوله شده توسط سيگنال‌هاي راديويي FM ارسال شده از کارت‌هاي گرافيکي و صوتي کامپيوتر‌ها خارج نمود. محققان بدافزاري به نام AirHopper را توليد کردند که از کارت گرافيک کامپيوتر براي انتشار سيگنال‌هاي راديويي FM به دستگاه گيرنده FM راه دور استفاده مي‌کند. همچنين محققان موفق به ابداع روش براي ايجاد تصوير از موج حامل مدوله شده با سيگنال داده شده‌اند. اين سيگنال غير قابل تشخيص و تميز از سيگنال تصاوير عادي نمايش داده شده بر روي صفحه نمايش مي‌باشند اما حاوي اطلاعات اضافي صفحه نمايش شامل شناسه و رمزعبور مي‌باشد که از سيگنال‌هاي راديويي متصاعد شده از صفحه نمايش قابل استخراج مي‌باشد. مهاجم با يک گيرنده کافيست در محدوده مانيتور کامپيوتر هدف قرار گيرد و سپس قادر خواهد بود در عرض 8 ثانيه يک فايل 100 بايتي کلمه عبور را دانلود نمايد. اينگونه روش‌ها مشابه روش حملات TEMPEST اجرا مي‌گردد. اينگونه حملات به مهاجم اجازه مي‌دهد که فقط آنچه را که بر روي مانيتور کامپيوتر نمايش داده مي‌شود جاسوسي نمايد.

از روش‌هايي که مهاجمان براي نفوذ به سيستم‌هاي ايزوله شده بهره مي‌برند انتقال بدافزار از طريق درايو USB و يا از طريق آلوده سازي سيستم‌هاي جايگزين شده در زنجيره‌ي تأمين و نگهداري مي‌باشد.

يکي ديگر از روش‌هاي نفوذ، دريافت سيگنال از طريق تلفن‌هاي هوشمند که اغلب داراي گيرنده‌هاي FM داخلي هستند، مي‌باشد. اين تلفن‌ها مي‌تواند متعلق به شخص مهاجم و يا فردي که بطور مستقيم با دستگاه‌ها مورد نظر درگير بوده باشد. از آنجايي که تلفن‌هاي هوشمند به اينترنت متصل مي‌شوند نفوذ به اين دستگاه‌ها راحت‌تر از نفوذ به يک کامپيوتر در شبکه ايزوله شده مي‌باشد و امکان نفوذ به سيستم قرباني و حتي خارج کردن اطلاعات حساس آسان‌تر مي‌باشد. در روش‌هاي فوق کافيست گيرنده راديويي مهاجم در فاصله 7 متري سيگنال‌هاي راديويي منتشر شده قرار بگيرد. محققان بيان کرده‌اند که مي‌توانند 13 تا 60 بايت در ثانيه در تستشان ارسال کنند که اين بيشتر از ميزان داده مورد نياز حاوي اطلاعات اعتبار سنجي و اطلاعات مهم ديگر مي‌باشد.

راهکار مقابله در دنياي واقعي:

استخراج اطلاعات با بکارگيري و نفوذ به تلفن‌هاي هوشمند در بين جرائم سايبري روش شناخته شده‌اي مي‌باشد که براحتي قابل اجرا توسط مهاجم مي‌باشد. يکي از راه حل‌ها مقابله براي اين شرايط ممنوع کردن استفاده از دستگاه‌هاي موبايل در يک محدوده مشخصي از سيستم‌هاي ايزوله شده مي‌باشد. با اين حال اگر اين روش غير عملي بود، استفاده از پوشش‌هاي الکترومغناطيسي قادر است ارسال هرگونه سيگنالي را از شبکه ايزوله شده را متوقف نمايد و مانع از خروج داده‌ها شود.

بدافزار جاسوسي زمزمه کننده:

پژوهش‌هاي اخير نشان داده است که مي‌توان از امواج صوتي غير قابل شنيدن براي انتقال اطلاعات ميان کامپيوترهايي که هيچگونه اتصال و ارتباطي ندارند استفاده کرد. محققان يک برنامه آزمايشي را که از ميکروفن‌هاي داخلي و بلندگوهاي کامپيوترها براي ارسال داده‌ها تا فاصله 20 متري استفاده مي‌کنند، توليد نموده‌اند. اين فاصله مي‌تواند با استفاده از شبکه مش صوتي از کامپيوترهاي به خطر افتاده که داده‌ها را به يکديگر منتقل مي‌کنند، افزايش يابد.

افراد بالغ صوت‌هاي بين 100 هرتز و 20 کيلو هرتز را مي‌شنوند و هرچيزي خارج از اين محدوده غير قابل شنيدن مي‌باشد. بر اساس گفته محققان بيشتر کارت‌هاي صداي تجاري در فرکانس 48 کيلو هرتز کار مي‌کنند و بيشتر بلندگوها در فرکانس بالاي 23 کيلو هرتز کار نمي‌کنند. اين به اين معنيست که محققان بايد سيگنال را در محدوده فرکانسي 20 تا 23 کيلو هرتز ارسال نمايند. دانشمندان روش‌هاي متفاوت ديگري را براي ارسال داده‌ها بين 2 لپ تاپ از طريق صوت آزمايش نموده‌اند. کاراترين روش از طريق ارسال داده‌ها در زير آب مي‌باشد که مودم سيستم ارتباطات سازگار يا (ACS) ناميده مي‌شود که سرعت آن حدود 20 بيت در ثانيه مي‌باشد. همانطور که در روش‌هاي ديگر توضيح داده شد اين روش‌هاي ارسال براي فايل‌هاي بزرگ مانند اسناد و تصاوير صدق نمي‌کند اما براي داده‌هاي کوچک و حساس مانند کلمه عبور و کليدهاي رمزنگاري کارا مي‌باشد.

راهکارهاي مقابله در دنياي واقعي:

با توجه به اينکه کامپيوتر در شبکه ايزوله از ميکروفن و بلندگو استفاده مي‌کنند يا خير مي‌توان روش مناسبي را براي تهديد برگزيد. همانطور که دانشمندان خاطر نشان کرده‌اند راهکارهاي مختلفي براي کاهش اينگونه تهديد‌ها وجود دارد بعنوان مثال غير فعال کردن دستگاه‌هاي صوتي ورودي و خروجي بديهي‌ترين راه مقابله مي‌باشد. محققان پيشنهاد مي‌کنند که راهبران سيستم نبايد کامپيوترهاي ايزوله را به خروجي صدا تجهيز کنند و اگر نياز باشد کاربر ميتواند از هدفون استفاده کند و در زمان عدم استفاده حتماً دوباره خاموش شود زيرا همين‌ها نيز مي‌توانند تحت نفوذ قرار گيرند. اپراتورها مي‌توانند از فيلترينگ صدا براي متوقف کردن صوت در محدوده فرکانسي خاص بر روي کامپيوتر‌هاي ايزوله با هدف جلوگيري از تهديدات استفاده نمايند. در نهايت محققان استفاده از محافظ تشخيص نفوذ را که قادر به تجزيه و تحليل ورودي و خروجي صدا و اعلام اخطار قرمز در صورت تشخيص مورد مشکوک مي‌باشد، توصيه نمودند.

در جديدترين پژوهش‌هاي ارائه شده درکنفرانس امنيت black hat اروپا در سال 2014 نشان داده شد که چگونه کامپيوتري که توسط مهاجمين آلوده به بدافزار مورد نظر شده بود، قادر است فرمان‌هاي صادر شده از مهاجم را از راه اسکنر و پرينتري که به آن کامپيوتر متصل است ارسال و دريافت نمايد. براي ارسال دستورات، مهاجم مجبور است نور مرئي يا مادون قرمز به اتاقي که اسکنر در آن در حال کار است بتاباند.

همچنين پژوهشگران سيستمي را براي ارسال و دريافت داده‌هاي باينري که از کدهاي مورس استفاده مي‌کند تعبيه کرده‌اند و مي‌گويند که قادر است صدها بيت را در خلال يک اسکن ارسال کند که بخشي از آن حاوي فرمان‌هاي مربوط به بدافزار مي‌باشد. شناسايي نور از راه دور براي دريافت اطلاعات مي‌تواند با استفاده از تجهيزات بي سرنشين هم صورت پذيرد. استفاده از ليزر براي ارسال داده از مسافت‌ها بيش از 5 کيلومتري ممکن مي‌باشد در عمل اين روش تا 1200 متر تست شده است. کامپيوتر تحت نفوذ مي‌تواند براي اسکن در زمان خاصي برنامه ريزي شود و يا مهاجم مي‌تواند تا زمانيکه کسي از اسکنر استفاده نمايد منتظر بماند.

مفاهيم دنياي واقعي:

بکار گيري اسکنر براي شروع نفوذ به سيستم ايزوله روش ساده‌اي نمي‌باشد، به اين علت که بايد شرايط مختلفي وجود داشته باشد اول آنکه بايد پرينتر چند منظوره با اسکنري که به شبکه ايزوله شده مرتبط مي‌باشد وجود داشته باشد و دوم اينکه اسکنر بايد باز باشد و يا حداقل در حال کار باشد. اما بزرگترين مشکل در مورد اين روش حمله آنست که اگر پنجره اي در اتاقي که سيستم ايزوله وجود دارد نباشد اين روش موفقيت آميز نخواهد بود.

ايزوله کردن شبکه راهي مطمئن براي امن سازي داده‌ها و سيستم‌هاي حساس مي‌باشد اما هيچ سيستمي بدون ضعف نمي‌باشد. مثال‌هاي مطرح شده در اين بحث مربوط به فعاليت محققان امنيت براي آگاه سازي ضعف‌هاي امنيتي بالقوه در شبکه‌هاي ايزوله مي‌باشد. خوشبختانه اين محققان فعاليت‌هايشان را به نمايش عمومي مي‌گذارند در نتيجه بر روي راه حل‌هاي مربوطه در اين زمينه براي مقابله با اين ضعف‌ها مي‌تواند کار شود و از طرفي مجرمين سايبري فعاليت‌هايشان را در ژورنال‌هاي علمي منتشر نمي‌کنند و يا در کنفرانس‌هاي امنيت سخنراني نمي‌کنند، در نتيجه تا زمان شناسايي راهي براي مقابله با روش‌هاي حملاتشان وجود نخواهد داشت.

تنها واقعيت قابل توجه آنست که مهاجمين سايبري مدام در حال يافتن راهي براي دسترسي به داده‌هاي حساس که براي ما حائز اهميت بوده و علاقمند به فاش شدن آن نيستيم، مي‌باشند.

منبع : http://www.symantec.com/connect/blogs/mind-gap-are-air-gapped-systems-safe-breaches