Air gap: наивное использование

До сих пор нередко встречаются “продвинутые пользователи” персональных компьютеров, старой закалки, которые свой рабочий компьютер не подключают ни к каким вычислительным сетям, а данные переносят на флешках. То есть, к сети компьютер не подключен, “чтобы никто не влез или вирус не пробрался”, но так как некие “конфиденциальные данные” нужно, например, распечатать, они копируются на флешку, с которой пользователь отправляется на другое рабочее место, с целью передачи документа на сетевой принтер.

Вообще, концепция подобного “неподключения” известна давно, называется она air gap (“воздушный зазор”, в вольном переводе) и применяется в целях обеспечения информационной безопасности, иногда – весьма эффективно применяется. Однако описанная выше наивная трактовка концепции, подразумевающая использование флешки, лишь создаёт дополнительные риски: флешка обязательно теряется (или, хоть это и маловероятно, её крадут) – получаем потенциальный канал утечки. Конечно, нельзя забывать и о том, что современное вредоносное ПО успешно распространяется как раз при помощи флешек. Соответственно, “продвинутый пользователь”, постоянно путешествующий со своей флешкой по разным устройствам, не только подвергает свой собственный компьютер угрозе заражения каким-нибудь зловредом, но ещё и служит транспортом для этих зловредов внутри предприятия. Риск внедрения вредоноса на компьютер через вычислительную сеть – едва ли выше, чем в случае с флешкой. Кстати, как писали аудиторы, нашумевший Stuxnet был занесён на режимный иранский завод именно по такой схеме: флешка с данными и документами.

Адрес записки: https://dxdt.ru/2014/11/12/6988/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 7

  • 1 <t> // 12th November 2014, 03:43 // Читатель Александр написал:

    Bruce Schneier именно так документы Сноудена и читал.

  • 2 <t> // 12th November 2014, 10:33 // Читатель npocmu написал:

    Хотелось бы узнать как можно заразить компьютер с флешки с данными и документами? Похоже на байки подобно легендам о непорочном зачатии…

    ЗЫ Разумеется, подразумевается что у “продвинутого” пользователя:
    – отключен автозапуск чего-либо
    – аккаунт не админский
    – работает UAC

  • 3 <t> // 12th November 2014, 19:20 // Читатель jno написал:

    У нас был компутер с air gap’ом из сериального кабеля и uucp :)
    Впрочем, он, вроде, и сейчас жив-здоров.
    Только уже не “у нас”…

  • 4 <t> // 12th November 2014, 22:05 // Александр Венедюхин:

    > Хотелось бы узнать как можно заразить компьютер с флешки с данными и документами?

    Обычно, достаточно открыть документ или там картинку какую-нибудь. Во многих случаях – достаточно просто вставить флешку в порт. Танцы с “отключен автозапуск” и “UAC с неадминским аккаунтом” – не помогают, к сожалению. (Конечно, ситуация зависит от используемой ОС.)

  • 5 <t> // 12th November 2014, 23:49 // Читатель Z.T. написал:

    @npocmu http://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/

  • 6 <t> // 13th November 2014, 19:13 // Читатель sarin написал:

    любая борьба за ИБ имеет смысл лишь когда есть понимание возможных угроз. но, в принципе, использование флешек оправданно некоторыми очевидными соображениями. во-первых, большинство “обычных” червей и вирусов распространяются по сети, а стукснет это довольно специфичный случай и распространение через флешки – это его фича. во-вторых, если вирус крадёт данные кредиток, то без сети ему украденные данные и не передать. в-третьих, потенциальных дыр при подключении к сети куда больше. каждый сетевой сервис – потенциальная уязвимость.

    но всё равно, конечно, если бездумно обороняться от ветряных мельниц то можно подставиться под вполне реальную угрозу.

  • 7 <t> // 14th November 2014, 20:15 // Читатель alex написал:

    Все верно написано.
    Но, по сравнению с обычной сетью (где не только торяны, но и хакеры возможны), эйр гэп на порядки надежнее.