Lacuna de ar (rede)

Um(a) lacuna de ar, parede de ar, intervalo de ar^[1] ou rede desconectada é uma medida de engenharia de cibersegurança e empregada em um ou mais computadores para garantir que uma rede de computadores segura seja fisicamente isolada de redes não seguras, como a Internet pública ou uma rede de área local não segura.^[2] Isso significa que um computador ou rede não tem controladores de interface de rede conectadas à outras redes,^[3][4] com um intervalo de ar físico ou conceitual, análogo à lacuna de ar usada em encanamentos para manter a qualidade da água.

Uso em configurações classificadas

Um computador ou rede com lacuna de ar é aquele(a) que não possui interfaces de rede, com ou sem fio, conectadas à redes externas.^[3][4] Muitos computadores, mesmo quando não estão conectados à uma rede com fio, têm um controlador de interface de rede sem fio (WiFi) e são conectados a redes sem fio próximas para acessar a Internet e atualizar o software. Isso representa uma vulnerabilidade de segurança, portanto, os computadores com lacuna de ar têm seu controlador de interface sem fio permanentemente desabilitado ou removido fisicamente. Para mover dados entre o mundo externo e o sistema com lacuna de ar, é necessário gravar dados em um meio físico, como uma unidade removível, e os mover fisicamente entre computadores. O acesso físico deve ser controlado (identidade humana e mídia de armazenamento em si). É mais fácil de controlar do que uma interface de rede completa direta, que pode ser atacada do sistema externo inseguro e, se o malware infectar o sistema seguro, pode ser usada para exportar dados seguros. É por isso que algumas novas tecnologias de hardware, como diodos de dados unidirecionais ou diodos bidirecionais (também chamados de lacunas eletrônicas de ar), que separam fisicamente as camadas de rede e transporte, e copiam e filtram os dados do aplicativo também estão disponíveis.

Em ambientes onde as redes ou dispositivos são classificados para lidar com diferentes níveis de informações classificadas, os dois dispositivos ou redes desconectados são referidos como lado baixo e lado alto, baixo sendo não classificado e alto se referindo ao classificado, ou classificado em um nível superior. Ocasionalmente, também é referido como vermelho (classificado) e preto (não classificado). As políticas de acesso são frequentemente baseadas no modelo de confidencialidade de Bell–LaPadula, onde os dados podem ser movidos de baixo para cima com medidas de segurança mínimas, enquanto que do alto para baixo requer procedimentos muito mais rigorosos para garantir a proteção dos dados em um nível mais alto de classificação. Em alguns casos (sistemas industriais críticos, por exemplo) a política é diferente: os dados podem ser movidos de cima para baixo com medidas de segurança mínimas, mas de baixo para alto requer um alto nível de procedimentos para garantir a integridade do sistema de segurança industrial.

O conceito representa quase a proteção máxima que uma rede pode ter de outra (exceto desligar o dispositivo). Uma maneira de transferir dados, entre o mundo externo e o sistema com lacuna de ar, é copiar os dados em um meio de armazenamento removível, como um disco removível ou unidade flash de barramento serial universal (B.S.U.)^{[lower-alpha 1]}, e transportar fisicamente o armazenamento para o outro sistema. Este acesso ainda deve ser controlado com cuidado, pois a unidade de barramento serial universal (B.S.U.^{[lower-alpha 1]}) pode ter vulnerabilidades (veja abaixo). A vantagem disso é que essa rede pode, geralmente, ser considerada como um sistema fechado (em termos de informações, sinais e segurança de emissões), incapaz de ser acessado do mundo externo. A desvantagem é que a transferência de informações (do mundo externo) para serem analisadas por computadores na rede segura é extremamente trabalhosa, muitas vezes envolvendo a análise de segurança humana de programas em potencial ou dados a serem inseridos em redes com lacuna de ar e, possivelmente, até mesmo a reinserção manual (humana) dos dados após a análise de segurança.^[5] É por isso que outra forma de transferência de dados, utilizada em situações apropriadas como indústrias críticas, é utilizando diodos de dados e intervalos de ar eletrônicos, que garantem um corte físico da rede por um hardware específico.

Vírus de computador sofisticados para uso em guerra cibernética, como o Stuxnet^[6] e o agent.btz, foram projetados para infectar sistemas com lacuna de ar explorando brechas de segurança relacionadas ao manuseio de mídia removível. A possibilidade de usar comunicação acústica também foi demonstrada por pesquisadores.^[7] Os pesquisadores também demonstraram a viabilidade da exfiltração de dados usando sinais de modulação de frequência^{[lower-alpha 2]}.^[8][9]

Exemplos

Exemplos dos tipos de redes ou sistemas que podem ter lacuna de ar incluem:

• Redes/sistemas de computadores militares/governamentais;^[10]
• Sistemas de computador financeiros, como bolsas de valores;^[11]
• Sistemas de controle industrial, como os de controle de supervisão e aquisição de dados (C.S.A.D.)^{[lower-alpha 3]} em campos de petróleo e gás;^[12]
• Máquinas de jogos de loterias nacionais e estaduais ou geradores de números aleatórios, que devem ser completamente isolados das redes para evitar fraudes lotéricas
• Sistemas vitais, como:
  • Controles de usinas nucleares;
  • Computadores usados ​​na aviação,^[13] como os Controles de motor (ou eletrônica) digital de autoridade total^{[lower-alpha 4]}, sistemas de controle de tráfego aéreo e aviônicos;
  • Equipamento médico computadorizado;
• Sistemas muito simples, onde não há necessidade de comprometer a segurança em primeiro lugar, como:
  • A unidade de controle do motor e outros dispositivos no barramento da rede de área de controlador (R.A.C.)^{[lower-alpha 5]} em um automóvel;
  • Um termostato digital para regulação de temperatura e compressor em sistemas domésticos de climatização e refrigeração;
  • Controles eletrônicos de sprinklers para irrigação de gramados.

Muitos desses sistemas, desde então, adicionaram recursos que os conectam durante períodos limitados de tempo à internet da organização (para a necessidade de vigilância ou atualizações) ou à Internet pública, e não são mais efetiva e permanentemente com lacuna de ar, incluindo termostatos com conexões com a Internet e automóveis com conectividade Bluetooth, Wi-Fi e telefone celular.

Limitações

As limitações impostas aos dispositivos usados nesses ambientes podem incluir a proibição de conexões sem fio de ou para a rede segura, ou restrições semelhantes no vazamento de radiação eletromagnética da rede segura por meio do uso de materiais eletrônicos de telecomunicações protegidos contra transmissões espúrias^{[lower-alpha 6]} ou uma gaiola de Faraday.

Apesar da falta de conexão direta com outros sistemas, as redes com lacuna de ar mostraram ser vulneráveis a ataques em várias circunstâncias.

Cientistas demonstraram, em 2013, a viabilidade do malware de lacuna de ar projetado para derrotar o isolamento da lacuna de ar usando sinalização acústica.^{[carece de fontes?]} Pouco depois disso, o BadBIOS do pesquisador de segurança de redes Dragos Ruiu recebeu a atenção da imprensa.^[14]

Em 2014, pesquisadores introduziram o AirHopper, um padrão de ataque bifurcado que mostra a viabilidade da exfiltração de dados de um computador isolado para um telefone móvel próximo, usando sinais de modulação de frequência (M.F.^{[lower-alpha 7]}.^[8][9]

Em 2015, foi introduzido o BitWhisper, um canal de sinalização secreto entre computadores com lacuna de ar que usa manipulações térmicas. O BitWhisper suporta comunicação bidirecional e não requer nenhum hardware periférico dedicado adicional.^[15][16]

Mais tarde, em 2015, os pesquisadores introduziram o GSMem, um método para exfiltrar dados de computadores sem ar em frequências celulares. A transmissão, gerada por um barramento interno padrão, transforma o computador em uma pequena antena transmissora de celular.^[17][18]

O malware ProjectSauron descoberto em 2016 demonstra como um dispositivo de barramento serial universal (B.S.U.) infectado pode ser usado para vazar dados remotamente de um computador com lacuna de ar. O malware permaneceu sem ser detectado por 5 anos e dependia de partições ocultas não visíveis para o Windows, em uma unidade de de barramento serial universal (B.S.U.), como um canal de transporte entre o computador com lacuna de ar e um computador conectado à Internet, presumivelmente como uma forma de compartilhar arquivos entre os dois sistemas.^[19]

NFCdrip foi o nome dado à descoberta de exfiltração furtiva de dados por meio da exploração e detecção de sinal de rádio de comunicação em curta distância (C.C.D.)^{[lower-alpha 8]} em 2018. Embora a comunicação em curta distância (C.C.D.) permita que os dispositivos estabeleçam comunicação eficaz, os colocando a poucos centímetros um do outro,^[20] pesquisadores mostraram que ele pode ser explorado para transmitir informações em um alcance muito maior do que o esperado (até 100 metros).^[21]

Em geral, o malware pode explorar várias combinações de hardware para vazar informações confidenciais de sistemas com lacuna de ar usando "canais ocultos de lacuna de ar".^[22] Essas combinações de hardware usam uma série de meios diferentes para preencher a lacuna de ar, incluindo: acústica, luz, sísmica, magnética, térmica e radiofrequência.^[23][24][25]

Atualizações de software

Do ponto de vista da segurança, a principal desvantagem de uma rede com lacuna de ar é a incapacidade do software de se atualizar automaticamente. Os usuários e administradores do sistema devem baixar e instalar as atualizações manualmente. Se uma rotina de atualização rígida não for seguida, isso resultará em software desatualizado em execução na rede, que pode conter vulnerabilidades de segurança conhecidas. Se um adversário conseguir obter acesso à rede com lacuna de ar (por exemplo, entrando em contato com um funcionário descontente ou usando engenharia social), ele poderá se espalhar rapidamente na rede com lacuna ar usando tais vulnerabilidades com uma taxa de sucesso possivelmente maior do que no público da Internet.

Os administradores do sistema podem gerenciar as atualizações de software em uma rede sem fio usando soluções dedicadas, como os Serviços de atualizações dos servidores Windows ou scripts de início de sessões na rede. Esses mecanismos permitiriam que todos os computadores na rede sem fio instalassem atualizações automaticamente depois que o administrador do sistema baixasse as atualizações da Internet uma vez. O problema não é completamente eliminado, especialmente se os usuários tiverem privilégios administrativos em suas estações de trabalho locais e, portanto, puderem instalar software que não seja gerenciado centralmente. A presença de dispositivos I.d.C.^{[lower-alpha 9]} que exigem atualizações de firmware também pode complicar as coisas, pois muitas vezes essas atualizações não podem ser gerenciadas centralmente.

Ver também

• Firewall
• Van Eck phreaking

Notas

1. do inglês U.S.B. – universal serial bus
2. do inglês F.M. – frequency modulation
3. do inglês S.C.A.D.A. – Supervisory control and data acquisition
4. do inglês F.A.D.E.C. – full authority digital engine (or electronics) control
5. do inglês C.A.N. – Controller area network
6. do inglês T.E.M.P.E.S.T. – Telecommunications electronics materials protected from emanating spurious transmissions
7. do inglês F.M. – Frequency modulation
8. do inglês N.F.C. – Near field communication
9. do inglês I.o.T. – Internet of things

Referências

1. «What is air gapping (air gap attack)?». WhatIs.com (em inglês). Consultado em 16 de dezembro de 2020
2. Internet Security Glossary, Version 2. RFC 4949
3. Zetter, Kim (8 de dezembro de 2014). «Hacker Lexicon: What is an air gap?». Wired (em inglês). Conde Nast. Consultado em 21 de janeiro de 2019
4. Bryant, William D. (2015). International Conflict and Cyberspace Superiority: Theory and Practice (em inglês). [S.l.]: Routledge. 107 páginas. ISBN 978-1317420385
5. Lemos, Robert (1 de fevereiro de 2001). «NSA attempting to design crack-proof computer». ZDNet News (em inglês). CBS Interactive, Inc. Consultado em 12 de outubro de 2012. Por exemplo, os dados ultrassecretos podem ser mantidos em um computador diferente dos dados classificados apenas como materiais confidenciais. Às vezes, para um funcionário acessar informações, até seis computadores diferentes podem estar em uma única mesa. Esse tipo de segurança é chamado, no jargão típico da comunidade de inteligência, de lacuna de ar.
6. «Stuxnet delivered to Iranian nuclear plant on thumb drive». CNET (em inglês). 12 de abril de 2012
7. Putz, Florentin; Álvarez, Flor; Classen, Jiska (8 de julho de 2020). «Acoustic integrity codes». Proceedings of the 13th ACM Conference on security and privacy in wireless and mobile networks (em inglês). Linz, Áustria: ACM. pp. 31–41. ISBN 978-1-4503-8006-5. arXiv:2005.08572. doi:10.1145/3395351.3399420
8. Guri, Mordechai; Kedma, Gabi; Kachlon, Assaf; Elovici, Yuval (novembro de 2014). «AirHopper: Bridging the air-gap between isolated networks and mobile phones using radio frequencies» (em inglês). arXiv:1411.0237 [cs.CR]
9. Guri, Mordechai; Kedma, Gabi; Kachlon, Assaf; Elovici, Yuval (novembro de 2014). «How to leak sensitive data from an isolated computer (air-gap) to a near by mobile phone - AirHopper». BGU Cyber Security Labs (em inglês)
10. Rist, Oliver (29 de maio de 2006). «Hack Tales: Air-gap networking for the price of a pair of sneakers». Infoworld (em en.). IDG Network. Consultado em 16 de janeiro de 2009. Em situações de alta segurança, várias formas de dados frequentemente devem ser mantidas fora das redes de produção, devido à possível contaminação de recursos não seguros - como, por exemplo, a Internet. Portanto, os administradores de tecnologia da informação (T.I.) devem construir sistemas fechados para armazenar esses dados (servidores autônomos, por exemplo) ou pequenas redes de servidores que não estão conectadas a nada além de um ao outro. Não há nada além de ar entre essas e outras redes, daí o termo intervalo de ar, e a transferência de dados entre elas é feita à moda antiga: mover discos para frente e para trás manualmente, via "sneakernet". !CS1 manut: Língua não reconhecida (link)
11. «Weber vs SEC» (PDF) (em inglês). insurancenewsnet.com. 15 de novembro de 2012. p. 35. Consultado em 6 de dezembro de 2012. Arquivado do original (PDF) em 3 de dezembro de 2013. Os sistemas de computador da rede interna da bolsa de valores são tão sensíveis que são com “lacuna de ar” e não estão conectados à Internet, a fim de os proteger de ataques, intrusões ou outros atos maliciosos de adversários terceiros.
12. «Weber vs SEC» (em inglês). Os sistemas de computadores da rede interna industrial são tão sensíveis que são "bloqueados" e não estão conectados à Internet nem se conectam de forma insegura à rede corporativa, a fim de os proteger de ataques, intrusões ou outros atos maliciosos de adversários terceiros.
13. Zetter, Kim (4 de janeiro de 2008). «FAA: Boeing's new 787 may be vulnerable to hacker attack». Wired Magazine (em inglês). CondéNet, Inc.. Consultado em 16 de janeiro de 2009. Cópia arquivada em 23 de dezembro de 2008. (...Boeing]...) não quis entrar em detalhes sobre como (...ela...) está lidando com o problema, mas diz que está empregando uma combinação de soluções que envolve algumas separações físicas das redes, conhecidas como com lacuna de ar e firewalls de software.
14. Leyden, John (5 de dezembro de 2013). «Hear that? It's the sound of BadBIOS wannabe chatting over air gaps» (em inglês). Consultado em 30 de dezembro de 2014
15. Guri, Mordechai; Monitz, Matan; Mirski, Yisroel; Elovici, Yuval (abril de 2015). «BitWhisper: Covert signaling channel between Air-Gapped Computers using thermal manipulations». arXiv:1503.07919 [cs.CR]
16. Guri, Mordechai; Monitz, Matan; Mirski, Yisroel; Elovici, Yuval (março de 2015). «BitWhisper: The heat is on the air-gap». BGU Cyber Security Labs (em inglês)
17. Guri, Mordechai; Kachlon, Assaf; Hasson, Ofer; Kedma, Gabi; Mirsky, Yisroel; Elovici, Yuval (agosto de 2015). «GSMem: Data exfiltration from air-gapped computers over GSM frequencies». 24th USENIX Security symposium (USENIX Security 15) (em inglês): 849–864. ISBN 9781931971232
18. Guri, Mordechai; Kachlon, Assaf; Hasson, Ofer; Kedma, Gabi; Mirsky, Yisroel; Monitz, Matan; Elovici, Yuval (julho de 2015). «GSMem breaking the air-gap». Cyber Security Labs @ Ben Gurion University. Arquivado do original em 19 de dezembro de 2021
19. Chris Baraniuk (9 de agosto de 2016). «'Project Sauron' malware hidden for five years» (em inglês). BBC
20. Cameron Faulkner. «What is NFC? Everything you need to know». Techradar.com (em inglês). Consultado em 30 de novembro de 2015
21. «NFCdrip: NFC data exfiltration research» (em inglês). Checkmarx. Consultado em 19 de dezembro de 2018
22. Carrara, Brent (setembro de 2016). “Air-gap covert channels (em inglês). ”Tese de doutorado. Universidade de Ottawa.
23. Carrara, Brent; Adams, Carlisle (2016). «A survey and taxonomy aimed at the detection and measurement of covert channels». Proceedings of the 4th ACM Workshop on information hiding and multimedia security - IH&MMSec '16 (em inglês). [S.l.: s.n.] pp. 115–126. ISBN 9781450342902. doi:10.1145/2909827.2930800
24. Carrara, Brent; Adams, Carlisle (1 de junho de 2016). «Out-of-band covert channels — A survey». ACM Computing surveys (em inglês). 49 (2): 1–36. ISSN 0360-0300. doi:10.1145/2938370
25. Cimpanu, Catalin. «Academics turn RAM into Wi-Fi cards to steal data from air-gapped systems». ZDNet (em inglês)