У разговору о сајбер безбедности, често се спомињу рачунарски системи који су „изоловани ваздушним јазом“. Овај израз, иако звучи технички, описује једноставан концепт: рачунарски систем који је физички одвојен од свих потенцијално опасних мрежа. Једноставније речено, ради се о коришћењу рачунара без интернет везе.
Шта подразумева рачунар са ваздушним јазом?
Рачунарски систем са ваздушним јазом је онај који нема никакву физичку или бежичну везу са несигурним системима и мрежама.
На пример, замислите да требате да радите на поверљивим финансијским и пословним документима, а не желите да ризикујете нападе рансомвера, кејлогера или било ког другог малвера. Одлучите да поставите рачунар у вашој канцеларији који неће бити повезан ни на интернет ни на било коју другу мрежу.
Честитамо, управо сте креирали концепт рачунара са ваздушним јазом, чак и ако никада раније нисте чули за тај термин.
Израз „ваздушни јаз“ означава постојање физичке раздаљине између рачунара и других мрежа. Он није повезан са њима и не може бити нападнут преко мреже. Нападач би морао физички да приђе рачунару и директно га компромитује, јер електронски приступ преко мреже није могућ.
Када и зашто се користе рачунари са ваздушним јазом?
Не захтева сваки рачунарски задатак интернет везу.
Узмимо за пример критичну инфраструктуру као што су електране. За управљање индустријским системима користе се рачунари. Међутим, ови рачунари не морају да буду доступни интернету и мрежи – они су „затворени у ваздушном јазу“ из безбедносних разлога. Ово спречава све мрежне претње, а једини недостатак је тај што оператери морају физички да буду присутни ради контроле.
Рачунаре са ваздушним јазом можете користити и код куће. На пример, имате неки стари софтвер или игру која најбоље ради на Виндовс КСП-у. Ако желите да наставите да користите тај стари софтвер, најсигурнији начин је да направите ваздушни јаз за Виндовс КСП систем. Виндовс КСП је подложан разним нападима, али је ризик знатно смањен ако систем користите ван мреже.
Такође, у случају рада са осетљивим пословним и финансијским подацима, можете користити рачунар који није повезан на интернет. На тај начин осигуравате максималну безбедност и приватност података, под условом да уређај не користите на мрежи.
Како је Стукнет напао рачунаре са ваздушним јазом?
Рачунари са ваздушним јазом нису у потпуности имуни на претње. Често се користе УСБ дискови и други преносиви уређаји за пренос датотека између рачунара са ваздушним јазом и оних који су повезани на мрежу. На пример, можете преузети апликацију на мрежном рачунару, пренети је на УСБ диск, а затим инсталирати на рачунар са ваздушним јазом.
Ово представља могућност за напад, што није само теорија. Софистицирани црв Стукнет је функционисао на овај начин. Дизајниран је да се шири преко заражених преносивих дискова, омогућавајући му да премости ваздушни јаз када корисници прикључе те дискове у рачунаре са ваздушним јазом. Затим је користио друге методе за ширење унутар мрежа са ваздушним јазом, јер су неки рачунари унутар организације повезани међусобно, али не и са ширим мрежама. Стукнет је дизајниран да напада специфичне индустријске софтверске апликације.
Већина људи верује да је Стукнет проузроковао значајну штету иранском нуклеарном програму и да су га развиле САД и Израел, али те државе нису јавно потврдиле те наводе. Са сигурношћу се може рећи да је Стукнет био изузетно сложен малвер намењен нападу на системе са ваздушним јазом.
Друге потенцијалне претње рачунарима са ваздушним јазом
Постоје и друге методе којима малвер може да комуницира преко мрежа са ваздушним јазом, али све оне укључују заражени УСБ диск или сличан уређај којим се малвер уноси у рачунар са ваздушним јазом. (Такође, напад може извести особа која физички приступа рачунару, компромитује га и инсталира малвер или модификује његов хардвер.)
На пример, ако је малвер унесен у рачунар са ваздушним јазом преко УСБ диска, и у близини се налази други заражени рачунар повезан на интернет, заражени рачунари би могли да комуницирају преко ваздушног јаза преносећи аудио податке високе фреквенције преко звучника и микрофона рачунара. Ово је једна од многих техника које су представљене на Блек Хет УСА 2018.
Ово су изузетно софистицирани напади, много сложенији од просечног малвера који можете пронаћи на интернету. Међутим, они су разлог за бригу, посебно када се ради о националним државама са нуклеарним програмима.
Различите врсте малвера такође могу да представљају проблем. Ако на рачунар са ваздушним јазом донесете инсталациони програм заражен рансомвером преко УСБ диска, тај рансомвер ће моћи да шифрује датотеке на вашем рачунару и изазове хаос, захтевајући од вас да се повежете на интернет и платите откуп да бисте дешифровали ваше податке.
Како направити рачунар са ваздушним јазом
Као што смо видели, постављање ваздушног јаза за рачунар је веома једноставно: само га искључите са мреже. Немојте га повезивати на интернет нити на локалну мрежу. Искључите све физичке Етернет каблове и онемогућите Ви-Фи и Блуетоотх хардвер рачунара. Ради максималне сигурности, размислите о поновној инсталацији оперативног система рачунара са поузданог инсталационог медија и потпуно га користите ван мреже након тога.
Немојте поново повезивати рачунар на мрежу, чак ни када треба да пренесете датотеке. Ако треба да преузмете неки софтвер, користите рачунар повезан на интернет, пренесите софтвер на УСБ диск и користите га за пренос датотека. Ово осигурава да ваш систем са ваздушним јазом не може бити компромитован преко мреже, и да, чак и ако постоји малвер попут кејлогера на вашем рачунару са ваздушним јазом, он не може да преноси податке преко мреже.
За додатну сигурност, онемогућите било какав бежични умрежавачки хардвер на рачунару са ваздушним јазом. На пример, ако имате десктоп рачунар са Ви-Фи картицом, отворите кућиште и уклоните Ви-Фи хардвер. Ако то није могуће, бар можете отићи у БИОС или УЕФИ фирмвер система и тамо онемогућити Ви-Фи хардвер.
У теорији, малвер на вашем рачунару са ваздушним јазом може поново да омогући Ви-Фи хардвер и повеже се на Ви-Фи мрежу ако рачунар има функционалан хардвер за бежично умрежавање. Стога, за нуклеарну електрану, најбоље је користити рачунарски систем који у себи нема хардвер за бежично умрежавање. Код куће је обично довољно само онемогућити Ви-Фи хардвер.
Обратите пажњу на софтвер који преузимате и преносите у систем са ваздушним јазом. Ако стално преносите податке између система са и без ваздушног јаза преко УСБ диска, а оба су заражена истим малвером, малвер би могао да извуче податке из вашег система са ваздушним јазом преко УСБ диска.
На крају, осигурајте да је рачунар са ваздушним јазом и физички безбедан – физичка безбедност је овде од кључне важности. На пример, ако имате критични систем са ваздушним јазом који садржи осетљиве пословне податке у канцеларији, требало би да се налази у заштићеном простору, као што је закључана просторија, а не у центру канцеларије где стално пролазе људи. Ако користите лаптоп са ваздушним јазом и осетљивим подацима, чувајте га тако да не буде украден или физички угрожен.
(Шифровање целог диска може помоћи у заштити ваших података на рачунару, чак и ако је украден.)
Изоловање рачунарског система у ваздушном јазу у већини случајева није практично. Рачунари су обично толико корисни управо зато што су умрежени.
Међутим, ваздушни јаз је битна техника која пружа потпуну заштиту од мрежних претњи ако се правилно примени – само се побрините да нико други нема физички приступ систему и да не преносите малвер преко УСБ дискова. Такође је и бесплатан, без потребе за скупим сигурносним софтвером или сложеним процесима подешавања. То је идеалан начин за осигурање неких типова рачунарских система у одређеним ситуацијама.