The security diy

The security diy
..

Thứ Bảy, 5 tháng 8, 2017

An ninh mạng và khoảng cách không khí (Air-gap) làm rò-rỉ (exfiltration) dữ liệu

I. GIỚI THIỆU .

Khoảng cách không khí trong an ninh mạng là trường hợp mạng máy tính bị cách ly với các mạng khác. Đặc biệt, mạng lưới không khí được giữ cẩn thận cách ly khỏi các mạng không an toàn và mạng công cộng như Internet. Ngày nay, các mạng lưới không khí được sử dụng rộng rãi trong các hệ thống phòng thủ quân sự, cơ sở hạ tầng quan trọng, khu vực tài chính và ngành công nghiệp .

Sự cô lập khoảng trống không khí được duy trì bằng cách thực thi các chính sách nghiêm ngặt trong khâu tổ chức. Các chính sách này bao gồm việc cấm các thiết bị và phương tiện không bảo mật bên ngoài kết nối với mạng và sử dụng hệ thống phát hiện và ngăn chặn xâm nhập tiên tiến để loại trừ vi phạm bảo mật theo ý định và tình cờ. Các công cụ ngăn chận cần biết với các tên gọi kỹ thuật sau:
  • Breaking The Air-Gap ,bẻ gãy khoảng cách không khí.( dùng GSMe trong tấn công)
  • Leak sensitive data from an isolated computer (air-gap) to a near by mobile phone ;lấy cắp dữ liệu nhạy cảm qua khoảng cách không khí một máy tính từ một điện thoai di động ở gần đó .(dùng AirHopper thu thập)
  • USBee ;Funtenna ; Hanspach ; BitWhisper ; Fansmitter và DiskFiltration ; là những phương pháp thu thập dữ liệu rò-rỉ hiệu quả đã biết.


Một ví dụ được biết đến rộng rãi của mạng không khí Air-Gapper đã từng bị che-khuất là Hệ thống Thông tin Tình báo Liên minh Toàn cầu (JWICS), một mạng lưới phân loại bí mật hàng đầu (Top Secret / SCI) thuộc Cơ quan Tình báo Quốc phòng Hoa Kỳ. JWICS được sử dụng để chuyển các tài liệu phân loại giữa Bộ Quốc phòng, Bộ Ngoại giao, Bộ An ninh Nội địa và Bộ Tư pháp. 
Thử nghiệm với các mẫu router và nguồn cấ

A. Xử lý các mạng lưới không khí bị che khuất 

Trong thập kỷ qua, nó đã được chứng minh hơn là các mạng lưới bị che phủ bằng không khí cũng không bị ảnh hưởng bởi những hành vi vi phạm. Để thâm nhập vào các mạng như vậy, kẻ tấn công đã sử dụng các vector tấn công phức tạp, như các cuộc tấn công chuỗi cung ứng, các kẻ lừa đảo độc hại, và kỹ thuật xã hội . 
Bằng cách sử dụng các phương pháp này, kẻ tấn công có thể xâm nhập vào mạng không an toàn, đồng thời bỏ qua các biện pháp phòng vệ bao gồm tường lửa, chương trình chống vi-rút, phát hiện xâm nhập và các hệ thống phòng ngừa (IDS / IPS) và những thứ tương tự. 



Trong năm 2008, một mạng lưới phân loại của quân đội Hoa Kỳ đã bị tấn công bởi một sâu máy tính có tên Agent.Btz . Theo các báo cáo, một cơ quan tình báo nước ngoài đã cung cấp các ổ ngón tay bị nhiễm độc tới các kiosk bán lẻ gần trụ sở của NATO ở Kabul. Ổ cắm nhỏ độc hại đã được đưa vào một cổng USB của máy tính xách tay gắn liền với Bộ Tư lệnh Trung ương Hoa Kỳ. Con sâu lây lan xa hơn đến cả các mạng phân loại và không được phân loại. 

Stuxnet (khá nổi tiếng) là một ví dụ khác được công bố rộng rãi về sự vi phạm bẻ gãy khoảng cách không khí, và các cuộc tấn công khác cũng đã được báo cáo đầy đủ .

B. Rò rỉ dữ liệu thông qua một khoảng cách không khí 

Sau khi có được một chỗ đứng trong một mạng bị gẫy không khí, kẻ tấn công có thể, ở một số điểm, muốn lấy thông tin từ mạng bị xâm nhập. Chẳng hạn, kẻ tấn công có thể muốn rò rỉ các khóa mã hóa, thông tin keylogging, hoặc các tệp cụ thể, các hành vi thường được sử dụng trong các APT gián điệp (Các Mối đe doạ nâng cao). 

Được thể hiện là khả thi, quá trình lọc dữ liệu từ các hệ thống không có kết nối Internet là một nhiệm vụ đầy thách thức. Qua nhiều năm, nhiều kênh truyền thông ngoài băng đã được đề xuất. Các kênh truyền thông này cho phép kẻ tấn công thu thập sự rò rỉ dữ liệu từ các máy tính không có mạng. Khi truyền thông như vậy cũng bí mật, nó thường được gọi là kênh bí mật không khí bí mật. 

Kênh bí mật của khoảng cách không khí sử dụng nhiều loại bức xạ phát ra từ các thành phần phần cứng máy tính. Khai thác bức xạ điện từ là một loại kênh bí mật đã được nghiên cứu trong ít nhất 20 năm. Trong phương pháp này, một phần mềm độc hại kiểm soát sự phát tán điện từ các bộ phận máy tính, như màn hình LCD, cáp truyền thông, xe buýt máy tính và các thiết bị ngoại vi phần cứng khác . 
Việc rò rỉ dữ liệu qua âm thanh nghe và không nghe được và thông qua phát xạ nhiệt cũng đã được nghiên cứu trong những năm gần đây. Các dữ liệu bị rò rỉ thông qua hoạt động của ổ cứng LED , bàn phím LED, và đèn LED màn hình cũng được đề xuất. 

Trong các phương pháp quang học này, dữ liệu được điều chế qua mức độ nháy đèn LED theo cách mà nó có thể nhận được bằng các camera từ xa. Đáng chú ý, phần lớn các phương pháp này không được coi là hoàn toàn bí mật, vì chúng có thể dễ dàng được phát hiện bởi những người nhận thấy đèn LED bất thường nhấp nháy.


C.Trong tai liệu báo cáo này, chúng tôi kiểm tra mối đe dọa của dữ liệu bị rò rỉ từ các mạng bị nứt bằng không khí thông qua các dãy đèn LED tồn tại trong các thiết bị mạng như thiết bị chuyển mạch và bộ định tuyến1. Các đóng góp của nghiên cứu của chúng tôi là ba lần với tài liệu cụ thể và thảo luận kỹ thuật .

Khái niệm về dữ liệu bị rò rỉ bằng cách kiểm soát các thiết bị mạng LED đã không bao giờ được nghiên cứu trước đây. Mặc dù người ta biết rằng thiết bị mạng đang phát ra tín hiệu quang học tương quan với thông tin được xử lý bởi thiết bị , cố tình kiểm soát các đèn LED trạng thái để điều chỉnh và mang dữ liệu chưa bao giờ được nghiên cứu trước đây. 

Chúng tôi giới thiệu hai loại tấn công: tấn công cấp độ phần vững, trong đó phần mềm độc hại được cài đặt trong phần vững của bộ chuyển mạch mạng hoặc bộ định tuyến và các cuộc tấn công cấp phần mềm, trong đó phần mềm độc hại kiểm soát các đèn LED từ một máy tính bị xâm nhập trong mạng.

Tăng băng thông. 

Các phép đo của chúng tôi cho thấy rằng bằng cách sử dụng đèn LED trạng thái router, phần mềm độc hại có thể quét dữ liệu với tỷ lệ hơn 1000 bit / giây cho mỗi đèn LED. Chúng tôi thấy rằng băng thông có thể được tăng thêm khi nhiều đèn LED được sử dụng. Tốc độ này cho phép lọc các tệp tin, keylogging dữ liệu, và các khóa mã hóa tương đối nhanh.

Việc sử dụng thành công của cảm biến quang học. Chúng tôi kiểm tra và đánh giá việc sử dụng cảm biến quang học như là một phần của cuộc tấn công. Các cảm biến quang học được sử dụng để đo mức độ ánh sáng và có thể được lấy mẫu với tỷ lệ rất cao, do đó cho phép tiếp nhận dữ liệu với tốc độ bit cao hơn so với các máy ảnh tiêu chuẩn. Chúng tôi thảo luận về các đặc tính của cảm biến quang học và phương pháp điều chế thích hợp .

Trong bài này chúng tôi đề cập đến thiết bị mạng (thiết bị chuyển mạch LAN và bộ định tuyến) như các bộ định tuyến. Ghi chú: tài liệu cụ thể và thảo luận kỹ thuật chỉ cung cấp riêng bởi các nhu cầu kỹ thuật chính thức.( hỏi antoanvn.com về tài liệu này phiên bản tiếng Việt )

Chủng loại máy thu. 

Phần còn lại của tài liệu được tổ chức như sau. 
1. Phần I. cùng đánh giá nhiều loại camera khác nhau, bao gồm remote camera từ xa, camera Ul                        'cực trị', camera an ninh, điện thoại thông minh và máy chụp hình. 
2. Phần II, trình bày các công việc liên quan. 
3. Phần III mô tả mô hình tấn công từ đối phương. 
4. Phần IV. cung cấp  các bối cảnh kỹ thuật cụ thể . . 
5. Phần V thảo luận về việc truyền dữ liệu .
6. Phần VI. công việc thực hiện .
7. Phần VII trình bày kết quả  và đánh giá. 
8. Phần VIII  thảo luận các biện pháp đối phó đã biết.
9. Phần IX. trình bày các kết luận của chúng tôi .

( cập nhật tiếp bài 3 )

Không có nhận xét nào:

Đăng nhận xét

Bài đăng nổi bật

Hướng dẫn lắp đặt hệ thống báo cháy Nohmi Japan.

Hệ thống báo cháy tự động Nohmi của nhà sx Nohmi Bosai Japan là một trong những hệ thống báo cháy tiêu chuẩn quốc tế, loại 24V đáp ứ...