شبکه شکاف هوا

شکاف هوا، دیوار هوا و یا شکافتن هوا یک معیار امنیت شبکه است که در یک یا چند رایانه استفاده می شود تا تضمین کند که یک شبکه کامپیوتر امن، از لحاظ فیزیکی از دیگر شبکه های ناامن همچون اینترنت عمومی یا شبکه محلی ناامن محافظت می شود.

استفاده در تنظیمات طبقه بندی شده ویرایش

شبکه یا کامپیوتر شکاف هوا شده، فاقد رابط های شبکه (با سیم یا بی سیم) متصل به شبکه های بیرون است. کامپیوتر های معمولی حتی زمانی که به یک شبکه ی با سیم وصل نیستند، تقریباً همیشه یک کنترل کننده رابط شبکه بی سیم (WIFI) دارند و به شبکه های بی سیم نزدیک خود متصل اند تا به اینترنت دسترسی داشته و نرم‌افزار به روزرسانی کنند. این نشان دهنده ی یک آسیب پذیری امنیتی است. از این رو کامپیوتر های شکاف هوا شده یا کنترل کننده رابط بی سیم خود را به طور دائم غیرفعال و یا از نظر فیزیکی حذف می کنند. برای انتقال داده بین دنیای بیرون و سیستم شکاف هوا شده، لازم است که داده ها را بر روی یک مدیوم فیزیکی همچون thumb drive نوشته و به شکل فیزیکی بین کامپیوترها حرکت دهیم.کنترل دسترسی فیزیکی از کنترل یک رابط شبکه الکترونیکی که هر زمان می تواند از جانب سیستم های ناامن بیرونی مورد حمله قرار گیرد، راحت تر است. اگر بدافزار سیستم ایمن را آلوده کند،می توان از دسترسی فیزیکی برای انتقال داده ها استفاده کرد.

در محیط هایی که شبکه ها یا دستگاه ها برای رسیدگی به سطوح مختلف اطلاعات طبقه بندی شده، رتبه بندی شده اند، دو دستگاه یا شبکه ی غیر متصل تحت عنوان "سمت بالا" و "سمت پایین" شناخته می شوند. "سمت پایین" برای طبقه بندی نشده و "سمت بالا" برای طبقه بندی شده یا طبقه بندی شده در سطح بالاتر استفاده می شود. این نام گذاری گاهی به شکل "قرمز" (طبقه بندی شده) و "سیاه" (طبقه بندی نشده) هم دیده می شود. خط مشی های دسترسی اغلب براساس مدل محرمانه Bell–LaPadula است که در آن داده ها می توانند با بهره مندی از حداقل معیارهای امنیتی از پایین به بالا حرکت کنند. در حالی که حرکت از بالا به پایین نیازمند روش های سختگیرانه تری است تا حفاظت از داده ها در سطح بالاتری از طبقه بندی را تضمین کند.

این مفهوم تقریباً نشان دهنده حداکثر حفاظتی است که یک شبکه می تواند در مقابل دستگاه یا شبکه های دیگر داشته باشد. تنها راه انتقال داده بین دنیای بیرون و سیستم شکاف هوا شده کپی داده بر روی یک رسانه ذخیره سازی قابل حمل مانند removeable disk یا USB flash drive و انتقال فیزیکی حافظه به سیستم دیگر است. این دسترسی به راحتی قابل کنترل است. مزیت این روش این است که چنین شبکه ای به طور کلی می تواند به عنوان یک سیستم بسته( از لحاظ اطلاعات، سیگنال ها و امنیت انتشار) محسوب شود که از دنیای بیرون غیرقابل دسترس است. از طفی ضعف آن این است که انتقال اطلاعات (از دنیای بیرون) برای آنالیز شدن توسط کامپیوترها بر روی یک شبکه امن نیازمند چندین مرحله کار طاقت فرساست، که اغلب شامل آنالز امنیتی توسط انسان از برنامه های آینده یا داده هایی که قرار است وارد شبکه های شکاف هوا شوند و حتی شاید مجدداً وارد کردن دستی داده ها توسط انسان پس از تجزیه و تحلیل امنیتی.

ویروس های کامپیوتر همچون Stuxnet و agent.btz وجود دارند که شکاف هوا را با اکسپلویت کردن حفره های امنیتی مربوط به رسیدگی رسانه قابل حمل، بر طرف می کنند. همچنین امکان استفاده از ارتباط صوتی توسط محققان نشان داده شده است. آن ها همچنین امکان دزدیده شدن داده ها به کمک سیگنال های موج FM را نیز بررسی کرده اند.

مثال ها ویرایش

نمونه هایی از انواع شبکه ها یا سیستم هایی که ممکن است دارای شکاف هوا باشند:

شبکه ها/سیستم های کامپیوتری دولتی/نظامی
سیستم های کامپیوتری مالی همچون بورس اوراق بهادار
سیستم های کنترل صنعتی همچون SCADA در زمینه ی نفت و گاز
سیستم های حیاتی همچون:
- کنترل نیروگاه های هسته ای
- کامپیوترهای مورد استفاده در هوانوردی همچون FADECs و avionics
- تجهیزات پزشکی کامپیوتری
سیستم های بسیار ساده که در ابتده نیازمند امنتیت نیستند، مانند:
- واحد کنترل موتور و دستگاه های دیگر در CAN bus در یک خودرو
- ترموستات دیجیتال برای تنظیم درجه حرارت و کمپرسور
- و سیستم های خنک کننده
- کنترل آب پاش های الکترونیکی برای آبیاری چمن

بسیاری از این سیستم ها، بعدها مواردی که آن ها را به اینترنت عمومی وصل کند را به لیست ویژگی های خود اضافه کرده اند و دیگر به طور موثر شکاف هوا شده نیستند. از جمله ترموستات هایی یا قابلیت به اینترنت و خودروهایی دارای بلوتوث و WIFI و قابلیت اتصال تلفن همراه.

محدودیت ها ویرایش

محدودیت های اعمال شده بر دستگاه هایی که در چنین محیط هایی مورد استفاده قرار می گیرند، ممکن است شامل ممنوعیت اتصال بی سیم به/از سبکه امن یا محدودیت های مشابه بر نشت تابش الکترومغناطیسی از شبکه امن با استفاده از TEMPEST یا Faraday cage است.

علاوه بر این در سال 2013 دانشمندان پایداری بدافزار شکاف هوا را نشان دادند. این بد افزار به گونه ای طراحی شده بود که برای شکست دادن ایزوله بودن شکاف هوا از سیگنال های صوتی استفاده می کرد.

در سال 2014 محققان "AirHopper" را معرفی کردند که یک الگوی حمله ی دو شاخه ای است و امکان دزدیدن داده ها از یک کامپیوتر ایزوله و انتقال داده ها به یک تلفن همراه که در نزدیکی آن است را به کمک سیگنال های موج FM نشان می دهد.

در سال 2015، BitWhisper , یک کانال سیگنال دهی پنهان بین کامپیوتر های شکاف هوا شده معرفی شد. BitWhisper از ارتباط دو طرفه پشتیبانی می کند و نیاز به هیچ سخت افزار جانبی دیگری ندارد.

کمی بعد در همان سال محققان GSMem را معرفی کردند، یک روش برای دزدیدن داده ها از کامپیوتر شکاف هوا شده با کمک فرکانس های سلولی. این انتقال - ایجاد شده به کمک یک باس داخلی استاندارد- کامپیوتر را به یک آنتن فرستنده کوچک سلولی تبدیل می کند.

بد افزار ProjectSauron در سال 2016 کشف شد. این بدافزار نشان می دهد چگونه یک دستگاه USB آلوده می تواند مورد استفاده قرار گیرد تا از راه دور داده ها را از یک کامپیوتر شکاف هوا شده به بیرون درز دهد.بدافزار به مدت 5 سال غیرقابل شناسایی باقی ماند و به قسمت های پنهان USB درایو که برای ویندوز به عنوان یک کانال انتقال بین کامپیوتر شکاف هوا شده و یک کامپیوتر متصل به اینترنت قابل مشاهده نیست، اتکا کرد. احتمالاا به عنوان راهی برای به اشتراک گذاشتن فایل ها بین دو سیستم.

NFCdrip نامی است که به داده هایی که از طریق NFC دزدیده شده اند، داده شده است. هرچند NFC با قرار دادن دستگاه ها در چند سانتی متری یکدیگر، دستگاه را قادر می سازد تا ارتباط موثری برقرار کند، اما دانشمندان نشان داده اند که می توان از آن برای انتقال اطلاعات در محدوده بسیار طولانی تر حد انتظار ( تا 100 متر) استفاده کرد.

به طور کلی بدافزار می تواند از ترکیبات سخت افزاری مختلفی برای درز اطلاعات حساس از یک سیستم شکاف هوا شده استفاده کند. این کار معمولاً با استفاده از کانال ها پنهان شکاف هوا صور گیرد. این ترکیبات سخت افزاری از چندین مدیوم برای پر کردن شکاف هوا استفاده می کنند. مانند: صوتی، نور، لرزه ای، مغناطیسی، حرارتی و فرکانس رادیویی. ^[۱] ^[۲]

منابع ویرایش

↑ Guri, Mordechai; Kachlon, Assaf; Hasson, Ofer; Kedma, Gabi; Mirsky, Yisroel; Elovici, Yuval (August 2015). "GSMem: Data Exfiltration from Air-Gapped Computers over GSM Frequencies".
↑ Guri, Mordechai; Kachlon, Assaf; Hasson, Ofer; Kedma, Gabi; Mirsky, Yisroel; Monitz, Matan; Elovici, Yuval (July 2015). "GSMem Breaking The Air-Gap".

[1] Guri, Mordechai; Kachlon, Assaf; Hasson, Ofer; Kedma, Gabi; Mirsky, Yisroel; Elovici, Yuval (August 2015). "GSMem: Data Exfiltration from Air-Gapped Computers over GSM Frequencies".

[2] Guri, Mordechai; Kachlon, Assaf; Hasson, Ofer; Kedma, Gabi; Mirsky, Yisroel; Monitz, Matan; Elovici, Yuval (July 2015). "GSMem Breaking The Air-Gap".

[۱]

[۲]