Ny CIA-läcka avslöjar möjligheten att infektera luftgjutna system
CIA har inte gjort utomordentligt bra, med läckor som kommer ut ur organisationen som ett eldsvamp de senaste åren. Mest kända av dessa läckor var Vault 7-händelsen där flera dokument från byrån kom ut ur träverket och avslöjade avancerade hackingsmetoder, verktyg och ramverk som skulle kunna kompromissa en hel del enheter runt om i världen.
En ny läcka den 22 juni 2017 avslöjade att det inte bara kunde infektera datorer över nät men infiltrera även luftgjutna system vid viljan med ett par snygga taktik och en USB-minne.
Varför skulle du vilja infektera luftgjutna system?
Air-gapping har använts i flera år som en stark försvarslinje mot utvändig infiltration. Eftersom nätverk blir mer bekvämlighetscentrerade blir de mer sårbara. För att motverka detta har vissa företag och statliga institutioner helt avlägsnat känsliga system från sina nätverk, endast med hjälp av dem som offline lagring som endast kan nås av utvalda personal.
Som CIA: s nya läckage har bevisat är detta en mycket effektiv skyddsmetod ... tills det inte längre är.
Eftersom ingen enhet verkligen vill spendera en överdriven mängd resurser på att upprätthålla system som det inte behöver, det är en säker satsning på att de där luftluckorna är fulla av hemliga data de inte bara vill ha till någon. Denna information består vanligtvis av affärshemligheter, militära strategier, oåterkallad teknik och allt annat som är viktigare än ett par kreditkortsnummer.
Hur verktyget fungerar
CIA-verktyget, känt som Brutal Kangaroo, bygger på "hoppning", en replikationsmetod där ett virus skriver sig själv och all relevant information på en ny plattform. Tanken här är att infektera en nätverksdator, vänta tills en anställd infogar en USB-enhet, skriv sig själv på plattformen, vänta tills USB-enheten sätts in i en airgapped-dator och ta all information av intresse från systemet. Så fort USB-enheten återigen sätts in i en nätverksdator, kommer viruset att vidarebefordra informationen till "kontrollenheten", så att de kan få en fågelperspektiv av alla luftgapade datorer.
Hur man förhindrar attacken
När dina system har blivit smittade, finns det inget sätt att "missa" de data som kommer igenom. Återigen är förebyggande nyckeln. Jag skulle rekommendera att sätta varje nätverkssystem genom ett saneringsförfarande där varje enskild förändring kontrolleras och redovisas (dvs loggar varje aktivitet på varje nätverkssystem, sedan går du igenom loggen strax före överföring till ett luftgap-system).
Utöver detta kan du, om du kan, köra ditt luftgapningssystem på något annat än Windows (Brutal Kangaroo körs bara på det operativsystemet). Om det bara är en databas som du lagrar och inget annat, borde du få det bra med Linux. Få bara inte självklart - Linux är inte ett magiskt vapen mot hackare.
Minimera antalet anställda som får komma i kontakt med air-gapped-systemet och kryptera filsystemet när det är möjligt. Air-gapping i sig är bara ett av många verktyg i din arsenal. Det bör ideellt användas tillsammans med flera andra säkerhetsförfaranden och policyer som hindrar din organisation från att se ut som något av äggskal.
Finns det fler saker som organisationer kan göra för att förhindra luftgap infiltration? Berätta om det i en kommentar!