آيا سيستم‌های ايزوله شده در مقابل نفوذ امنيت دارند؟

پژوهش‌های اخير راههای گوناگونی که می‌تواند سيستم‌های ايزوله شده (Air-Gapped) را به خطر اندازد، بيان می‌کند. اما واقعاً اين حمله‌ها چگونه عمل می‌کنند؟ در ادامه اين گزارش به آن پرداخته می‌شود.

سازمان‌هايی که با اطلاعات حساس سر و کار دارند از سامانه‌های امنيتی شبکه برای حفاظت از داده‌های حياتی خود بطور گسترده بهره می‌برند. با اينکه چنين سامانه‌هايی امنيت بيشتری را نسبت به ديگر سيستم‌ها تأمين می‌کنند در عين حال راههايی برای به خطر انداختن آنها وجود دارد که اجازه می‌دهد مهاجمان اطلاعات حساس سازمان را به سرقت ببرند. به عنوان مثال سيگنال‌های راديويی ساطع شده توسط کارت‌های گرافيک، کارت صدا و ارتباطات از راه ميکروفن و بلندگو جزء سيستم‌های هستند که اولين بار فورت ناکس اندازه گيری ميزان امنيت آنرا مورد توجه قرار داد. واژه Air gapped به راهکاری گفته می‌شود که از داده‌های حياتی با ايزوله کردن يک يا چند سيستم از شبکه نا امن مانند اينترنت، محافظت می‌نمايد. مديران فناوری اطلاعات ممکن است سامانه‌های حساسی همچون سيستم‌های نظامی، سيستم‌های کنترل و نظارت تأسيسات زير بنايی و حياتی را به منظور محافظت از داده‌های آنها در برابر نفوذ، ايزوله نمايند. متأسفانه هيچ سيستمی صد در صد امن نمی‌باشد و هميشه راهی برای دور زدن تدابير امنيتی وجود خواهد داشت. حتی به نظر می‌رسد برخی از اين روش‌های نفوذ بطور مستقيم از داستان‌های علمی تخيلی نشأت گرفته باشد!


مشکلات مهاجمان

اگر مهاجمی قصد دست يابی به سيستم‌های ايزوله را داشته باشد با 3 مشکل اساسی روبه رو می‌باشد:

۱- نفوذ به سيستمی در داخل شبکه ايزوله
مهاجم برای نفوذ به سيستم‌های ايزوله نيازمند نفوذ به دست کم يکی از کامپيوترهای ايزوله شده به کمک بدافزار می‌باشد. اين عمل می‌تواند توسط شخصی مجاز که امکان دسترسی به داخل شبکه ايزوله مورد هدف، با استفاده از USB آلوده انجام شود. ورود سيستم‌های آلوده می‌توانند در زنجيره تأمين تجهيزات در زمان توليد و يا ارسال مورد اتفاق پذيرد.

۲- ارسال فرمان به سيستم نفوذ شده
هنگاميکه سيستمی تحت کنترل مهاجم قرار می‌گيرد می‌تواند فايل‌های به روز رسانی و فرمان‌های مورد نظر خود را به بدافزار ارسال نمايد. معمولاً ارسال چنين دستوراتی از راه اينترنت ممکن می‌گردد اما برای ارسال اين داده‌ها به سيستم ايزوله خلاقيت بيشتری نياز است.

۳- استخراج اطلاعات از سيستم تهديد شده
مهاجمان دنبال راهی برای خارج کردن اطلاعات سرقت شده از سيستم تحت کنترل خود می‌باشند. خروج داده‌های مورد نظر از سيستم ايزوله نيازمند روش‌های مبتکرانه‌ای می‌باشد.

بررسی مو شکافانه چند نمونه از حملات گزارش شده

در اين بخش از گزارش چند نمونه از حملات گزارش شده را مورد بررسی قرار می‌دهيم که اولاً چقدر به واقعيت نزديک هستند و برای هر موضوع چه تدابيری به منظور تأمين امنيت می‌توان بکار برد.


روشن کردن، ميزان کردن و خارج نمودن اطلاعات

پژوهش‌های اخير محققان نشان داده که چگونه می‌توان داده‌ها را از شبکه‌های ايزوله شده توسط سيگنال‌های راديويی FM ارسال شده از کارت‌های گرافيکی و صوتی کامپيوتر‌ها خارج نمود. محققان بدافزاری به نام AirHopper را توليد کردند که از کارت گرافيک کامپيوتر برای انتشار سيگنال‌های راديويی FM به دستگاه گيرنده FM راه دور استفاده می‌کند. همچنين محققان موفق به ابداع روش برای ايجاد تصوير از موج حامل مدوله شده با سيگنال داده شده‌اند. اين سيگنال غير قابل تشخيص و تميز از سيگنال تصاوير عادی نمايش داده شده بر روی صفحه نمايش می‌باشند اما حاوی اطلاعات اضافی صفحه نمايش شامل شناسه و رمزعبور می‌باشد که از سيگنال‌های راديويی متصاعد شده از صفحه نمايش قابل استخراج می‌باشد. مهاجم با يک گيرنده کافيست در محدوده مانيتور کامپيوتر هدف قرار گيرد و سپس قادر خواهد بود در عرض 8 ثانيه يک فايل 100 بايتی کلمه عبور را دانلود نمايد. اينگونه روش‌ها مشابه روش حملات TEMPEST اجرا می‌گردد. اينگونه حملات به مهاجم اجازه می‌دهد که فقط آنچه را که بر روی مانيتور کامپيوتر نمايش داده می‌شود جاسوسی نمايد.

از روش‌هايی که مهاجمان برای نفوذ به سيستم‌های ايزوله شده بهره می‌برند انتقال بدافزار از طريق درايو USB و يا از طريق آلوده سازی سيستم‌های جايگزين شده در زنجيره‌ی تأمين و نگهداری می‌باشد.

يکی ديگر از روش‌های نفوذ، دريافت سيگنال از طريق تلفن‌های هوشمند که اغلب دارای گيرنده‌های FM داخلی هستند، می‌باشد. اين تلفن‌ها می‌تواند متعلق به شخص مهاجم و يا فردی که بطور مستقيم با دستگاه‌ها مورد نظر درگير بوده باشد. از آنجايی که تلفن‌های هوشمند به اينترنت متصل می‌شوند نفوذ به اين دستگاه‌ها راحت‌تر از نفوذ به يک کامپيوتر در شبکه ايزوله شده می‌باشد و امکان نفوذ به سيستم قربانی و حتی خارج کردن اطلاعات حساس آسان‌تر می‌باشد. در روش‌های فوق کافيست گيرنده راديويی مهاجم در فاصله 7 متری سيگنال‌های راديويی منتشر شده قرار بگيرد. محققان بيان کرده‌اند که می‌توانند 13 تا 60 بايت در ثانيه در تستشان ارسال کنند که اين بيشتر از ميزان داده مورد نياز حاوی اطلاعات اعتبار سنجی و اطلاعات مهم ديگر می‌باشد.


راهکار مقابله در دنيای واقعی:

استخراج اطلاعات با بکارگيری و نفوذ به تلفن‌های هوشمند در بين جرائم سايبری روش شناخته شده‌ای می‌باشد که براحتی قابل اجرا توسط مهاجم می‌باشد. يکی از راه حل‌ها مقابله برای اين شرايط ممنوع کردن استفاده از دستگاه‌های موبايل در يک محدوده مشخصی از سيستم‌های ايزوله شده می‌باشد. با اين حال اگر اين روش غير عملی بود، استفاده از پوشش‌های الکترومغناطيسی قادر است ارسال هرگونه سيگنالی را از شبکه ايزوله شده را متوقف نمايد و مانع از خروج داده‌ها شود.


بدافزار جاسوسی زمزمه کننده:

پژوهش‌های اخير نشان داده است که می‌توان از امواج صوتی غير قابل شنيدن برای انتقال اطلاعات ميان کامپيوترهايی که هيچگونه اتصال و ارتباطی ندارند استفاده کرد. محققان يک برنامه آزمايشی را که از ميکروفن‌های داخلی و بلندگوهای کامپيوترها برای ارسال داده‌ها تا فاصله 20 متری استفاده می‌کنند، توليد نموده‌اند. اين فاصله می‌تواند با استفاده از شبکه مش صوتی از کامپيوترهای به خطر افتاده که داده‌ها را به يکديگر منتقل می‌کنند، افزايش يابد.

افراد بالغ صوت‌های بين 100 هرتز و 20 کيلو هرتز را می‌شنوند و هرچيزی خارج از اين محدوده غير قابل شنيدن می‌باشد. بر اساس گفته محققان بيشتر کارت‌های صدای تجاری در فرکانس 48 کيلو هرتز کار می‌کنند و بيشتر بلندگوها در فرکانس بالای 23 کيلو هرتز کار نمی‌کنند. اين به اين معنيست که محققان بايد سيگنال را در محدوده فرکانسی 20 تا 23 کيلو هرتز ارسال نمايند. دانشمندان روش‌های متفاوت ديگری را برای ارسال داده‌ها بين 2 لپ تاپ از طريق صوت آزمايش نموده‌اند. کاراترين روش از طريق ارسال داده‌ها در زير آب می‌باشد که مودم سيستم ارتباطات سازگار يا (ACS) ناميده می‌شود که سرعت آن حدود 20 بيت در ثانيه می‌باشد. همانطور که در روش‌های ديگر توضيح داده شد اين روش‌های ارسال برای فايل‌های بزرگ مانند اسناد و تصاوير صدق نمی‌کند اما برای داده‌های کوچک و حساس مانند کلمه عبور و کليدهای رمزنگاری کارا می‌باشد.


راهکارهای مقابله در دنيای واقعی:

با توجه به اينکه کامپيوتر در شبکه ايزوله از ميکروفن و بلندگو استفاده می‌کنند يا خير مي‌توان روش مناسبی را برای تهديد برگزيد. همانطور که دانشمندان خاطر نشان کرده‌اند راهکارهای مختلفی برای کاهش اينگونه تهديد‌ها وجود دارد بعنوان مثال غير فعال کردن دستگاه‌های صوتی ورودی و خروجی بديهی‌ترين راه مقابله می‌باشد. محققان پيشنهاد می‌کنند که راهبران سيستم نبايد کامپيوترهای ايزوله را به خروجی صدا تجهيز کنند و اگر نياز باشد کاربر ميتواند از هدفون استفاده کند و در زمان عدم استفاده حتماً دوباره خاموش شود زيرا همين‌ها نيز می‌توانند تحت نفوذ قرار گيرند. اپراتورها می‌توانند از فيلترينگ صدا برای متوقف کردن صوت در محدوده فرکانسی خاص بر روی کامپيوتر‌های ايزوله با هدف جلوگيری از تهديدات استفاده نمايند. در نهايت محققان استفاده از محافظ تشخيص نفوذ را که قادر به تجزيه و تحليل ورودی و خروجی صدا و اعلام اخطار قرمز در صورت تشخيص مورد مشکوک می‌باشد، توصيه نمودند.

در جديدترين پژوهش‌های ارائه شده درکنفرانس امنيت black hat اروپا در سال 2014 نشان داده شد که چگونه کامپيوتری که توسط مهاجمين آلوده به بدافزار مورد نظر شده بود، قادر است فرمان‌های صادر شده از مهاجم را از راه اسکنر و پرينتری که به آن کامپيوتر متصل است ارسال و دريافت نمايد. برای ارسال دستورات، مهاجم مجبور است نور مرئی يا مادون قرمز به اتاقی که اسکنر در آن در حال کار است بتاباند.

همچنين پژوهشگران سيستمی را برای ارسال و دريافت داده‌های باينری که از کدهای مورس استفاده می‌کند تعبيه کرده‌اند و می‌گويند که قادر است صدها بيت را در خلال يک اسکن ارسال کند که بخشی از آن حاوی فرمان‌های مربوط به بدافزار می‌باشد. شناسايی نور از راه دور برای دريافت اطلاعات می‌تواند با استفاده از تجهيزات بی سرنشين هم صورت پذيرد. استفاده از ليزر برای ارسال داده از مسافت‌ها بيش از 5 کيلومتری ممکن می‌باشد در عمل اين روش تا 1200 متر تست شده است. کامپيوتر تحت نفوذ می‌تواند برای اسکن در زمان خاصی برنامه ريزی شود و يا مهاجم می‌تواند تا زمانيکه کسی از اسکنر استفاده نمايد منتظر بماند.


مفاهيم دنيای واقعی:

بکار گيری اسکنر برای شروع نفوذ به سيستم ايزوله روش ساده‌ای نمی‌باشد، به اين علت که بايد شرايط مختلفی وجود داشته باشد اول آنکه بايد پرينتر چند منظوره با اسکنری که به شبکه ايزوله شده مرتبط می‌باشد وجود داشته باشد و دوم اينکه اسکنر بايد باز باشد و يا حداقل در حال کار باشد. اما بزرگترين مشکل در مورد اين روش حمله آنست که اگر پنجره ای در اتاقی که سيستم ايزوله وجود دارد نباشد اين روش موفقيت آميز نخواهد بود.

ايزوله کردن شبکه راهی مطمئن برای امن سازی داده‌ها و سيستم‌های حساس می‌باشد اما هيچ سيستمی بدون ضعف نمی‌باشد. مثال‌های مطرح شده در اين بحث مربوط به فعاليت محققان امنيت برای آگاه سازی ضعف‌های امنيتی بالقوه در شبکه‌های ايزوله می‌باشد. خوشبختانه اين محققان فعاليت‌هايشان را به نمايش عمومی می‌گذارند در نتيجه بر روی راه حل‌های مربوطه در اين زمينه برای مقابله با اين ضعف‌ها می‌تواند کار شود و از طرفی مجرمين سايبری فعاليت‌هايشان را در ژورنال‌های علمی منتشر نمی‌کنند و يا در کنفرانس‌های امنيت سخنرانی نمی‌کنند، در نتيجه تا زمان شناسايی راهی برای مقابله با روش‌های حملاتشان وجود نخواهد داشت.

تنها واقعيت قابل توجه آنست که مهاجمين سايبری مدام در حال يافتن راهی برای دسترسی به داده‌های حساس که برای ما حائز اهميت بوده و علاقمند به فاش شدن آن نيستيم، می‌باشند.

منبع : http://www.symantec.com/connect/blogs/mind-gap-are-air-gapped-systems-safe-breaches

تاريخ: يكشنبه 21 دي 1393  ساعت: 13:14

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm