Nieuw CIA-lek onthult vermogen om luchtgekoppelde systemen te infecteren
De CIA heeft het niet buitengewoon goed gedaan, met lekken die de afgelopen jaren als een lopend vuurtje uit de organisatie kwamen. De bekendste van deze lekken was het Vault 7-incident waarbij verschillende documenten van het bureau uit het houtwerk kwamen en geavanceerde hackmethodologieën, hulpmiddelen en frameworks onthulden die een groot aantal apparaten over de hele wereld zouden kunnen beschadigen.
Een nieuw lek op 22 juni 2017 onthulde dat het computers niet alleen via netwerken kon infecteren, maar zelfs met behulp van een aantal slimme tactieken en een USB-stick zelfs luchtgedepte systemen kon infiltreren.
Waarom zou je luchtgekoppelde systemen willen infecteren?
Air-gapping wordt al enkele jaren gebruikt als een sterke verdedigingslinie tegen externe infiltratie. Naarmate netwerken meer gericht zijn op het gemak, worden ze kwetsbaarder. Om dit tegen te gaan, hebben sommige bedrijven en overheidsinstellingen gevoelige systemen volledig van hun netwerken verwijderd, waarbij ze alleen worden gebruikt als offline opslag die alleen toegankelijk is voor select personeel.
Zoals de nieuwe lekken van de CIA hebben bewezen, is dit een zeer effectieve beschermingsmethode ... totdat het niet meer is.
Aangezien geen enkele entiteit een buitensporige hoeveelheid resources wil uitgeven aan het onderhouden van systemen die het niet nodig heeft, is het een veilige gok dat degenen die het luchtruimt, vol zitten met geheime gegevens waarvan ze niet willen dat iedereen er toegang toe heeft. Deze informatie bestaat meestal uit handelsgeheimen, militaire strategieën, niet-onthulde technologieën en al het andere dat belangrijker is dan een paar creditcardnummers.
Hoe de tool werkt
De CIA-tool, bekend als Brutal Kangaroo, vertrouwt op 'hoppen', een methode van replicatie waarbij een virus zichzelf en alle relevante informatie op een nieuw platform schrijft. Het idee hier is om een netwerkcomputer te infecteren, te wachten tot een medewerker een USB-station plaatst, zichzelf op het platform schrijft, wacht totdat het USB-station in een met lucht afgesloten computer is gestoken en vervolgens informatie van belang uit het systeem haalt. Zodra het USB-station opnieuw in een netwerkcomputer wordt geplaatst, stuurt het virus de informatie door naar de "controller", waardoor ze een overzicht in vogelvlucht hebben van alle door lucht omgeven computers.
Hoe de aanval te voorkomen
Zodra uw systemen zijn geïnfecteerd, is er geen manier om de gegevens die doorkomen te 'unsend'. Nogmaals, preventie is de sleutel. Ik zou aanbevelen om elk netwerksysteem via een saneringsprocedure te plaatsen, waarbij elke afzonderlijke wijziging wordt gecontroleerd en verantwoord (dwz alle activiteiten op elk netwerksysteem te loggen en vervolgens het logboek door te nemen net voordat het wordt overgezet naar een systeem met luchtgaten).
Als dit het geval is, kun je, als je kunt, je air-gapped systeem op iets anders dan Windows laten draaien (Brutal Kangaroo draait alleen op dat besturingssysteem). Als het gewoon een database is die je opslaat en niets anders, zou je het prima moeten doen op Linux. Word gewoon niet zelfgenoegzaam - Linux is geen magisch wapen tegen hackers.
Minimaliseer de hoeveelheid personeel die het air-gapped systeem mag aanraken en codeer het bestandssysteem waar mogelijk. Air-gapping op zich is slechts een van de vele tools in je arsenaal. Het zou idealiter moeten worden gebruikt in combinatie met verschillende andere veiligheidsprocedures en beleidsmaatregelen die voorkomen dat uw organisatie eruit ziet als iets gemaakt van eierdoppen.
Zijn er meer dingen die organisaties kunnen doen om infiltratie van luchtgaten te voorkomen? Vertel het ons in een reactie!