Když se hovoří o kybernetické bezpečnosti, často se setkáte s termínem „počítačový systém s izolací od sítě“, známý také jako „air gap“. Jedná se o technické označení pro poměrně jednoduchou myšlenku: počítačový systém, který je fyzicky oddělen od jakýchkoliv potenciálně nebezpečných sítí. Jinými slovy, je to počítač, který je provozován zcela offline.
Co přesně je počítač s izolací od sítě?
Počítačový systém s izolací od sítě, neboli „air-gapped“ systém, nemá žádné fyzické ani bezdrátové spojení s nezabezpečenými systémy či sítěmi.
Představte si situaci, kdy potřebujete pracovat s velmi citlivými finančními a obchodními dokumenty, a to bez rizika napadení ransomwarem, keyloggery či jiným škodlivým softwarem. V takovém případě se můžete rozhodnout vytvořit si ve své kanceláři počítač, který nebude připojen k internetu ani k žádné jiné síti.
A právě jste, možná i nevědomky, vytvořili počítač s izolací od sítě. To, že jste se s tímto termínem dosud nesetkali, na věci nic nemění.
Termín „air gapping“ symbolizuje existenci fyzické mezery mezi počítačem a ostatními sítěmi. Tento počítač není připojen k síti, a tedy nemůže být napaden online. Útočník by musel tuto fyzickou bariéru překonat a fyzicky se dostat k počítači, aby jej mohl ohrozit, jelikož jakýkoliv elektronický přístup zvenčí je zcela vyloučen.
V jakých případech a proč se počítače izolují?
Ne všechny počítače a výpočetní úlohy vyžadují nutně připojení k síti.
Například, kritická infrastruktura, jako jsou elektrárny, vyžaduje počítače pro řízení průmyslových systémů. Tyto počítače však nemusejí být vystaveny internetu ani vnitřní síti. Z bezpečnostních důvodů se proto využívá metoda izolace od sítě. Tím se eliminují veškeré síťové hrozby. Jediným omezením je nutnost fyzické přítomnosti obsluhy pro jejich ovládání.
Počítače s izolací od sítě lze využít i v domácím prostředí. Předpokládejme, že máte starší software, například hru, která nejlépe funguje na Windows XP. V takovém případě je nejbezpečnějším způsobem, jak tento software provozovat, izolace systému Windows XP od sítě. Windows XP jsou zranitelné vůči různým útokům, ale pokud systém nepoužíváte připojen k internetu a jedete offline, minimalizujete tak riziko napadení.
Obdobně, pokud pracujete s citlivými firemními a finančními daty, můžete použít počítač, který není připojen k internetu. Práce s daty na takovém zařízení vám poskytne maximální zabezpečení a soukromí.
Jak Stuxnet napadl izolované počítače
Je důležité si uvědomit, že ani počítače s izolací od sítě nejsou zcela imunní vůči hrozbám. Lidé například často využívají USB disky a další přenosná paměťová média k přenosu dat mezi izolovanými a síťovými počítači. Můžete si například stáhnout aplikaci na počítači připojeném k síti, nahrát ji na USB disk, přenést na izolovaný počítač a tam ji nainstalovat.
Tímto způsobem se vytváří potenciální prostor pro útok. A není to jen teorie. Sophistikovaný červ Stuxnet fungoval na tomto principu. Byl navržen tak, aby se šířil infikováním přenosných disků, jako jsou USB disky, a tím se dostal přes izolaci od sítě, když uživatelé připojovali tyto USB disky k izolovaným počítačům. Pro šíření v rámci izolovaných sítí využíval další zranitelnosti, protože v rámci organizací bývají některé izolované počítače propojeny mezi sebou, ale ne s rozsáhlými sítěmi. Byl navržen tak, aby cíleně útočil na specifické průmyslové softwarové aplikace.
Obecně se předpokládá, že Stuxnet způsobil značné škody v íránském jaderném programu, a že jeho tvůrci byly Spojené státy a Izrael, ačkoli zúčastněné země tyto skutečnosti oficiálně nepotvrdily. Jisté je, že Stuxnet byl sofistikovaný malware navržený k napadání systémů s izolací od sítě.
Další potenciální nebezpečí pro izolované počítače
Existují i další metody, jak může malware pronikat do izolovaných sítí, ale všechny zahrnují infikované USB disky nebo podobná zařízení, která vnášejí malware do izolovaného počítače. (Další možnost je, že útočník fyzicky získá přístup k počítači, ohrozí jej a nainstaluje malware nebo modifikuje hardware.)
Pokud se například malware dostane do izolovaného počítače prostřednictvím USB disku a v blízkosti se nachází další infikovaný počítač připojený k internetu, mohou infikované počítače navzájem komunikovat přes mezeru v izolaci pomocí přenosu vysokofrekvenčních zvukových dat prostřednictvím reproduktorů a mikrofonů. To je jedna z mnoha technik prezentovaných na konferenci Black Hat USA 2018.
Všechny tyto útoky jsou dosti propracované a sofistikovanější než běžný malware, se kterým se setkáváme online. Ale jak vidíme, znepokojují státy s jadernými programy.
Problémem však může být i běžný malware. Pokud si například nainstalujete do izolovaného počítače program infikovaný ransomwarem prostřednictvím USB disku, ransomware může zašifrovat vaše soubory i na tomto izolovaném počítači. Následně vás bude nutit připojit se k internetu a zaplatit výkupné, než vám data dešifruje.
Jak vytvořit izolaci počítače od sítě
Jak je vidět, vytvoření izolace počítače od sítě je poměrně jednoduché. Stačí jej odpojit od sítě. Nepřipojujte jej k internetu a nepropojujte jej s lokální sítí. Odpojte veškeré fyzické ethernetové kabely a vypněte Wi-Fi i Bluetooth. Pro dosažení maximální bezpečnosti zvažte přeinstalování operačního systému počítače z důvěryhodného instalačního média a následné používání počítače zcela offline.
Nepřipojujte počítač k síti ani v případě, že potřebujete přenést soubory. Pokud potřebujete stáhnout software, použijte pro tento účel počítač připojený k internetu a následně přeneste software na USB disk nebo jiné úložné zařízení a tímto způsobem jej přesuňte do vašeho izolovaného počítače. Tím zajistíte, že váš systém nemůže být ohrožen útokem zvenčí přes síť, a také že i kdyby se do vašeho systému s izolací od sítě dostal malware, například keylogger, nemůže přenášet žádná data přes síť.
Pro zvýšení bezpečnosti deaktivujte veškerý bezdrátový síťový hardware v izolovaném počítači. Máte-li například stolní počítač s Wi-Fi kartou, otevřete počítač a Wi-Fi hardware odeberte. Pokud to není možné, alespoň deaktivujte Wi-Fi hardware v BIOSu nebo UEFI firmwaru systému.
Teoreticky by malware ve vašem izolovaném počítači mohl znovu aktivovat Wi-Fi hardware a připojit se k Wi-Fi síti, pokud má počítač funkční bezdrátový síťový hardware. Pro jadernou elektrárnu je proto ideální, aby počítačový systém neobsahoval žádný bezdrátový síťový hardware. V domácím prostředí může stačit deaktivace Wi-Fi hardwaru.
Buďte obezřetní i při stahování softwaru a přenášení do vašeho izolovaného systému. Pokud neustále přenášíte data mezi izolovaným systémem a systémem bez izolace přes USB disk a oba jsou infikovány stejným malwarem, malware by mohl unikat data z vašeho izolovaného systému právě přes USB disk.
V neposlední řadě se ujistěte, že je izolovaný počítač fyzicky zabezpečen. Fyzická bezpečnost je to jediné, o co se musíte starat. Máte-li například v kanceláři kritický systém s citlivou firemní datovou schránkou, měl by se nacházet v zabezpečené oblasti, například v zamčené místnosti, nikoli uprostřed kanceláře, kde se neustále pohybují lidé. Pokud máte notebook s izolací od sítě, na kterém máte citlivá data, uschovejte jej bezpečně, aby nemohl být odcizen nebo jinak fyzicky kompromitován.
(Šifrování celého disku však může pomoci chránit vaše data i v případě odcizení počítače.)
Izolace počítačového systému od sítě není ve většině případů praktická. Počítače jsou obvykle tak užitečné právě proto, že jsou propojeny sítěmi.
Nicméně, izolace od sítě je důležitá technika, která za předpokladu správného provedení poskytuje 100% ochranu před síťovými hrozbami. Jen se ujistěte, že nikdo další nemá fyzický přístup k systému a že do systému nepronikne malware prostřednictvím USB disků. Je to také bezplatná metoda, kdy není nutné investovat do drahého zabezpečovacího softwaru ani složitého nastavování. Je to ideální způsob, jak zabezpečit některé typy výpočetních systémů v určitých situacích.