Воздушный зазор (сети передачи данных)

Компьютер или сеть с воздушным зазором — это устройство без сетевых интерфейсов, проводных или беспроводных, подключённых к внешним сетям^[3][4]. Многие компьютеры, даже если они не связаны с проводной сетью, могут иметь беспроводной сетевой интерфейс (Wi-Fi) и быть подключены к беспроводным сетям для доступа в Интернет или обновления программного обеспечения. Это создает уязвимость, поэтому в системах с воздушным зазором беспроводной интерфейс должен быть полностью отключён или физически удалён. Для передачи данных между внешним миром и системой с воздушным зазором требуется записать данные на физический носитель, например съёмное устройство хранения, и физически перенести его между компьютерами. Физический доступ контролируется (как к человеку, так и к самому носителю). Это значительно легче контролировать, чем полноценный сетевой интерфейс, который может быть атакован извне, а заражение защищённой системы вредоносным ПО позволяет экспортировать конфиденциальные данные. Для повышения безопасности применяются односторонние или двусторонние диоды данных (также называемые электронными воздушными зазорами), которые физически разделяют уровни сети и транспорта, копируют и фильтруют данные приложений.

В средах, где устройства или сети обрабатывают данные разного уровня секретности, такие разъединённые сегменты называют «низким уровнем» (несекретный) и «высоким уровнем» (секретный или более высокий уровень). Иногда их именуют как «красный» (секретный) и «чёрный» (несекретный). Политики доступа часто опираются на модель Белла—Лападулы: при передаче данных снизу вверх разрешены минимальные меры защиты, а сверху вниз — строгие процедуры ради недопущения утечки или потери информации высшего уровня. Иногда (например, в критических промышленных системах) политика обратная: данные сверху вниз передаются при минимальных мерах, а снизу вверх только при строгом контроле, что обеспечивает целостность промышленной системы безопасности.

Воздушный зазор является практически максимальной защитой сети от других (кроме полной физической остановки устройства). Для переноса данных между внешним миром и системой используются съёмные носители, такие как съёмные диски или USB-накопители, которые затем физически перемещают между системами. Даже в этом случае необходим строгий контроль, так как съёмные носители могут содержать уязвимости (см. ниже). Преимуществом такой сети является то, что она рассматривается как закрытая система (в отношении информации, сигналов и защит от излучения) и не может быть доступна извне. Главный минус заключается в том, что передача данных (с внешнего мира) для анализа в защищённых сетях крайне трудоёмка и часто включает ручную проверку программ или данных специалистами по безопасности, а иногда и повторный ручной ввод после проверки^[5]. Для этого также используют диоды данных и электронные воздушные зазоры, которые благодаря специфическому оборудованию физически разрывают связь сетей.

Для кибервойн были созданы сложные компьютерные вирусы, такие как Stuxnet^[6] и agent.btz, способные заражать системы с воздушным зазором через манипуляции со съёмными носителями. Возможность коммуникации через акустические каналы также была доказана исследователями^[7]. Также демонстрировалась возможность эксфильтрации данных через сигналы частотной модуляции^[8][9].

Типичные примеры сетей или систем с воздушным зазором:

• Военные и государственные компьютерные системы^[10];
• Финансовые компьютерные системы, в частности, сети фондовых бирж^[11];
• Промышленные системы управления, например системы диспетчерского управления и сбора данных на объектах добычи нефти и газа^[12];
• Лотерейные автоматы национальных/региональных лотерей или генераторы случайных чисел, полностью изолируемые от любых сетей для предотвращения мошенничества;
• Системы высокой критичности:
  • Системы управления атомными электростанциями;
  • Бортовые компьютеры в авиации^[13], включая полный цифровой электронный контроль двигателя, системы авионики, управления воздушным движением;
  • Медицинское диагностическое и управляющее компьютеризированное оборудование;
• Очень простые системы, в которых необходимость компрометирования защищённости отсутствует:
  • Блок управления двигателем и другие устройства шины контроллеров (CAN) в автомобиле;
  • Цифровые термостаты для управления температурой и компрессором в домашних системах климат-контроля;
  • Автоматические электронные контроллеры оросителей для полива газонов.

Многие из этих систем со временем получили возможности подключения к корпоративной сети или Интернету для обновлений или мониторинга, и потому не представляют собой строго и постоянно изолированные воздушным зазором системы, например, термостаты с доступом в Интернет, современные автомобили с Bluetooth, Wi-Fi и мобильной связью.

В таких средах действуют ограничения: запрещены любые беспроводные соединения к защищённой сети или аналогичные меры по предотвращению утечки электромагнитного излучения (например, использование оборудования класса TEMPEST или клеток Фарадея).

Несмотря на отсутствие прямой связи с другими системами, воздушный зазор поддаётся атакам в определённых случаях.

В 2013 году исследователи продемонстрировали возможность вредоносных программ воздушного зазора, которые обходят изоляцию системой при помощи акустических каналов передачи данных. Вскоре после этого вирус BadBIOS получил известность благодаря сообщениям о его передаче через воздушный зазор^[14].

В 2014 году представлен AirHopper — bifurcated-атака, которая позволяет эксфильтровать данные с изолированного компьютера на близлежащий мобильный телефон через частотно-модулированные сигналы^[8][9].

В 2015 году представлен BitWhisper — скрытый канал передачи между компьютерами с воздушным зазором на основе тепловых манипуляций. BitWhisper поддерживает двустороннюю связь и не требует дополнительного периферийного оборудования^[15][16].

Позднее, в 2015 году, был реализован метод GSMem — эксфильтрация данных с изолированных компьютеров на частоте сотовой связи. Передача, формируемая штатной внутренней шиной, превращает компьютер в небольшую антенну^[17].

Вредоносное ПО ProjectSauron, обнаруженное в 2016 году, поражало компьютеры с воздушным зазором через инфицированные USB-носители, используя скрытые разделы на устройстве для транспорта данных между изоляционным и внешним компьютером, зачастую вне поля зрения операционной системы^[18].

NFCdrip — название метода скрытой передачи данных через технологию ближней радиосвязи (NFC), выявленного в 2018 году. Исследования показали, что NFC может применяться для передачи данных на значительно большие расстояния (до 100 метров), чем ожидалось^[19][20].

В целом, вредоносные программы способны использовать различные комбинации аппаратных каналов для утечки защищённых данных с воздушным зазором через каналы скрытой передачи^[21]. Комбинации таких каналов включают акустические, оптические (световые), сейсмические, магнитные, тепловые и радиочастотные^[22][23][24].

Главный минус сетей с воздушным зазором — невозможность автоматических обновлений программного обеспечения: администраторы должны вручную скачивать и устанавливать обновления. Пренебрежение этим неизбежно приводит к устареванию программного обеспечения и возможно к появлению известных уязвимостей. Если атакующий получит доступ к защищённой сети (например, через инсайдера или социальную инженерию), вредоносное ПО может быстро распространиться с большей результативностью, чем в публичном интернете.

Для администрирования обновлений возможно применение локальных решений — например, службы обновлений Windows Server или сетевых скриптов запуска. Эти механизмы позволяют централизованно обновлять все компьютеры в защищённой сети после ручного скачивания обновлений администратором. Однако проблема сохраняется, особенно если пользователи имеют административные права и могут самостоятельно устанавливать ПО. Дополнительные сложности возникают с устройствами Интернета вещей: обновление их встроенного ПО зачастую нельзя централизовать.