CIA Leak mới tiết lộ khả năng lây nhiễm các hệ thống Air-Gapped
CIA đã không hoạt động tốt một cách phi thường, với sự rò rỉ ra khỏi tổ chức như cháy rừng trong vài năm qua. Nổi tiếng nhất trong những vụ rò rỉ này là vụ việc xảy ra ở Vault 7, nơi một số tài liệu từ cơ quan xuất bản, tiết lộ các phương pháp, công cụ và khung công tác tiên tiến có thể xâm phạm rất nhiều thiết bị trên toàn thế giới.
Một rò rỉ mới vào ngày 22/6/2017 cho thấy nó không chỉ có thể lây nhiễm các máy tính qua mạng mà thậm chí xâm nhập vào các hệ thống không khí bằng cách sử dụng một vài chiến thuật xảo quyệt và một ổ USB.
Tại sao bạn muốn lây nhiễm các hệ thống Air-Gapped?
Air-gapping đã được sử dụng trong nhiều năm như một dòng phòng thủ mạnh mẽ chống lại sự thâm nhập bên ngoài. Khi mạng trở nên thuận tiện hơn, chúng trở nên dễ bị tổn thương hơn. Để giúp chống lại điều này, một số công ty và các tổ chức chính phủ đã xóa hoàn toàn các hệ thống nhạy cảm khỏi mạng của họ, chỉ sử dụng chúng như lưu trữ ngoại tuyến để chỉ được truy cập bởi các nhân viên được chọn.
Khi những rò rỉ mới của CIA đã được chứng minh, đây là một phương pháp bảo vệ hiệu quả cao… cho đến khi nó không còn nữa.
Vì không có thực thể nào muốn chi tiêu một lượng tài nguyên quá mức để duy trì hệ thống mà nó không cần, đó là một cược an toàn mà những khoảng trống đó chứa đầy dữ liệu bí mật mà họ không muốn bất cứ ai truy cập. Thông tin này thường bao gồm bí mật thương mại, chiến lược quân sự, công nghệ chưa được tiết lộ và bất kỳ điều gì khác quan trọng hơn một vài số thẻ tín dụng.
Cách công cụ hoạt động
Công cụ CIA, được gọi là Brutal Kangaroo, dựa vào "nhảy", một phương pháp sao chép, nơi một vi-rút viết chính nó và bất kỳ thông tin có liên quan lên một nền tảng mới. Ý tưởng ở đây là lây nhiễm vào một máy tính nối mạng, đợi cho đến khi một nhân viên chèn một ổ đĩa USB, ghi chính nó lên nền tảng, đợi cho đến khi ổ USB được lắp vào một máy tính không khí, sau đó lấy bất kỳ thông tin nào quan tâm từ hệ thống. Ngay sau khi ổ đĩa USB một lần nữa được đưa vào một máy tính nối mạng, vi-rút sẽ chuyển tiếp thông tin đến "bộ điều khiển", cho phép chúng có tầm nhìn toàn cảnh của tất cả các máy tính được điều hòa không khí.
Cách ngăn chặn tấn công
Một khi hệ thống của bạn đã bị nhiễm, không có cách nào để "unsend" dữ liệu được thông qua. Một lần nữa, phòng ngừa là chìa khóa. Tôi khuyên bạn nên đặt mọi hệ thống được nối mạng thông qua quy trình vệ sinh, nơi mọi thay đổi được kiểm tra và ghi lại (tức là ghi lại mọi hoạt động trên mỗi hệ thống được nối mạng, sau đó đi qua nhật ký ngay trước khi chuyển sang hệ thống không khí).
Thêm vào đó, nếu bạn có thể, chạy hệ thống không khí của bạn trên một cái gì đó khác với Windows (Brutal Kangaroo chỉ chạy trên hệ điều hành đó). Nếu nó chỉ là một cơ sở dữ liệu bạn đang lưu trữ và không có gì khác, bạn sẽ nhận được bằng cách tốt trên Linux. Chỉ cần không tự mãn - Linux không phải là vũ khí ma thuật chống lại tin tặc.
Giảm thiểu số lượng nhân viên được phép chạm vào hệ thống không khí và mã hóa hệ thống tệp bất cứ khi nào có thể. Air-gapping của chính nó chỉ là một trong nhiều công cụ trong kho vũ khí của bạn. Nó lý tưởng nên được sử dụng kết hợp với một số thủ tục an toàn khác và các chính sách ngăn chặn tổ chức của bạn trông giống như một cái gì đó làm bằng vỏ trứng.
Có nhiều thứ mà các tổ chức có thể làm để ngăn chặn xâm nhập khoảng cách không khí? Hãy cho chúng tôi biết về nó trong một bình luận!