Bezpieczna sieć nie istnieje?

Mogłoby się wydawać, że odcięcie komputera czy sieci lokalnej od internetu to skuteczna metoda zabezpieczenia przechowywanych i przesyłanych w nich danych przed nieuprawnionym dostępem. Rozwój technik cyberprzestępczych i metod włamywania się do środowisk sieciowych nakazuje zweryfikować tę tezę.

Izolowanie sieci i komputerów od internetu, tzw. air-gapping, to metoda stosowana od lat. Taka maszyna albo sieć jest fizycznie odcięta od świata zewnętrznego (najczęściej chodzi tu o internet, ale również o jakąkolwiek sieć komputerową, która komunikuje się z internetem). Komputer czy sieć są więc odizolowanymi „wyspami”, bez stałego połączenia z „lądem”, a wszystkie przechowywane w nich informacje są (czy mówiąc precyzyjnie – powinny być) w stu procentach bezpieczne. Rzeczywistość zweryfikowała ten pogląd, gdy okazało się, że do sieci takich można się również włamywać i wykradać z nich poufne informacje.

Jak dotąd najbardziej znanym exploitem, który przedostał się przez informatyczną „śluzę powietrzną” był Stuxnet, wirus zaprojektowany z myślą o sparaliżowaniu prac irańskiego ośrodka nuklearnego Natanz. Zaatakowane komputery (znajdujące się oczywiście w odizolowanej od świata zewnętrznego, specjalnej sieci) sterowały pracą wirówek. Przeprowadzony kilka lat temu atak był realizowany w dwóch fazach. Najpierw wirus zagnieździł się w połączonym z internetem pececie, który był fizycznie odizolowany od właściwej sieci sterującej pracą wirówek. Za każdym razem, gdy użytkownik peceta podłączał do jego portu USB pamięć flash (np. w celu skopiowania pliku z dysku twardego) wirus przenosił się też na nośnik USB. Gdy pracownik podłączył pamięć flash do komputera znajdującego się za „śluzą powietrzną” (a sytuacje takie zdarzały się nagminnie), wirus atakował system i następnie zakłócał pracę wirówek lub wręcz uszkadzał je.

Przestępca, który zechce zaatakować odcięty od sieci komputer, musi się uporać z kilkoma problemami. Po pierwsze, musi w jakiś sposób zagnieździć szkodliwe oprogramowanie w pamięci przynajmniej jednego komputera, który znajduje się w chronionej strefie. Może to zrobić na kilka sposobów. Może np. „posłużyć się” osobą, która ma dostęp do takiej strefy. Jest to jednak z reguły bardzo trudne zadanie, gdy pracownicy instytucji eksploatujących takie sieci są odpowiednio dobierani i szkoleni. Przestępca może więc nagrać szkodliwe oprogramowanie na pendrive’a używanego przez osobę mającą dostęp do takiej sieci (co może zrobić na zewnątrz chronionej strefy), mając nadzieję iż dołączy ona pamięć do portu USB zainstalowanego w komputerze znajdującym się w chronionej strefie. Dalszy scenariusz jest prosty. Malware znajdujący się w pamięci flash zacznie np. w pewnym momencie wykradać z komputera dane, przygotowując go do ewentualnego przetransferowania ich na zewnątrz.

Zobacz również:

Po drugie, haker potrzebuje narzędzia, które pozwoli mu kontrolować zdalnie szkodliwą aplikację zainstalowaną na komputerze znajdującym się w chronionej strefie. Zwykle robi się to za pośrednictwem internetu, jednak w tym przypadku zarażony szkodliwym oprogramowaniem komputer jest odłączony od internetu, co wymusza zmianę podejścia. Nie jest to konieczne np. wtedy, gdy szkodliwe oprogramowanie ma do wykonania jedno określone z góry zadanie, niewymagające komunikowania się z serwerem sterującym (takie jak wymazanie danych przechowywanych na komputerze czy zakłócenie jego pracy).

Jeśli włamywacz postawił sobie bardziej ambitny cel, np. kradzież danych przechowywanych w pamięci chronionego komputera, musi oczywiście opracować technologię, dzięki której będzie mógł takie dane odbierać za pośrednictwem różnego rodzaju urządzeń znajdujących się na zewnątrz „śluzy powietrznej”.

Metoda z drukarką „all-in-one”

Okazuje się, że komputerem znajdującym się w strefie chronionej można sterować w bardzo nietypowy sposób, wykorzystując do tego celu drukarkę all-in-one, a konkretnie wbudowany w nią mechanizm skanujący dokumenty (pod warunkiem, że pokrywa skanera jest otwarta).

Odkrycia takiego dokonali izraelscy informatycy z uniwersytetu Ben Guriona. Metoda ta jest szczególnie przydatna w sytuacji, gdy komputer znajdujący się za śluzą powietrzną został już zarażony wirusem (np. poprzez włożenie do jego portu USB pamięci flash zawierającej szkodliwe oprogramowanie malware), ale haker nie może zdalnie kontrolować takiego oprogramowania, ponieważ komputer nie jest podłączony do internetu.

Informatycy odkryli, że można to zrobić posługując się dołączoną do takiego komputera drukarką all-in-one (czyli taką, w wyposażeniu której znajduje się skaner). Naukowcy nadali swojemu odkryciu nazwę Scangate. Do podjęcia prac nad tą nietypową technologią hakerską skłoniło ich spostrzeżenie, że po skierowaniu serii impulsów światła na otwartą pokrywę skanera (wtedy gdy rozpoczął on operację skanowania dokumentu), urządzenie generuje obraz zawierający szereg jaśniejszych i ciemniejszych pasków, każdy o różnej szerokości. Dalsze badania pokazały, że szerokość paska zależy od czasu trwania impulsu światła. Nasunęło im to myśl, że w impulsach światła wysyłanych do skanera można zagnieździć dane.


TOP 200