Ny CIA-lækage afslører evnen til at inficere luftsystemer
CIA har ikke lavet ekstraordinært godt med lækager, der kommer ud af organisationen som brand i de sidste par år. Mest berømte af disse lækager var Vault 7-hændelsen, hvor flere dokumenter fra agenturet kom ud af træarbejdet og afslørede avancerede hackingsmetoder, værktøjer og rammer, der kunne kompromittere mange enheder rundt om i verden.
En ny lækage den 22. juni 2017 viste, at det ikke kun kunne inficere computere på tværs af netværk, men endda infiltrere air-gapped-systemer efter ønske ved hjælp af et par snedig taktik og et USB-drev.
Hvorfor vil du inficere luftsystemer?
Air-gapping er blevet brugt i flere år som en stærk forsvarslinje mod udvendig infiltration. Da netværk bliver mere bekvem-centriske, bliver de mere sårbare. For at modvirke dette har nogle virksomheder og offentlige institutioner helt fjernet følsomme systemer fra deres netværk, kun ved at bruge dem som offline lagring, der kun kan nås af udvalgte medarbejdere.
Som CIA's nye lækager har bevist, er dette en yderst effektiv beskyttelsesmetode ... indtil den ikke længere er.
Da ingen enheder virkelig ønsker at bruge en stor mængde ressourcer til at vedligeholde systemer, behøver det ikke, det er en sikker indsats, at dem, der er luftgab, er fulde af hemmelige data, de ikke ønsker, at bare nogen skal få adgang. Disse oplysninger består normalt af handelshemmeligheder, militære strategier, uoprettede teknologier og alt andet, der er vigtigere end et par kreditkortnumre.
Hvordan værktøjet virker
CIA-værktøjet, kendt som Brutal Kangaroo, er afhængig af "hoppe", en replikationsmetode, hvor en virus skriver sig selv og alle relevante oplysninger på en ny platform. Ideen her er at inficere en netværkscomputere, vente til en medarbejder indsætter et USB-drev, skrive sig selv på platformen, vent indtil USB-drevet er indsat i en airgapped computer, og tag derefter nogen information af interesse fra systemet. Så snart USB-drevet igen er sat ind i en netværkscomputer, vil viruset videresende oplysningerne til "controller", så de kan få et fugleperspektiv af alle airgapped computere.
Sådan forebygger du angrebet
Når dine systemer er blevet inficeret, er der ingen måde at "afværge" de data, der kommer igennem. Endnu en gang er forebyggelse nøglen. Jeg vil anbefale at sætte hvert netværkssystem igennem en sanitetsprocedure, hvor hver enkelt ændring er kontrolleret og redegjort for (dvs. log alle aktiviteter på hvert netværkssystem og derefter gennem logfilen lige før overførsel til et airgapped system).
Ud over dette kan du, hvis du kan, køre dit air-gapped system på noget andet end Windows (Brutal Kangaroo kører kun på det operativsystem). Hvis det bare er en database, du opbevarer og intet andet, skal du bare få det fint på Linux. Bare ikke blive selvtilfreds - Linux er ikke et magisk våben mod hackere.
Minimer antallet af medarbejdere, der har lov til at røre luftgapped-systemet og kryptere filsystemet, når det er muligt. Luftgennemføring er alene et af mange værktøjer i dit arsenal. Det bør ideelt set bruges sammen med flere andre sikkerhedsprocedurer og politikker, der forhindrer din organisation i at ligne noget af æggeskaller.
Er der flere ting, som organisationer kan gøre for at forhindre luftgab infiltration? Fortæl os om det i en kommentar!