Сетевое граничное соединение
С точки зрения специалистов по кибербезопасности, мост - это виртуальное или физическое сетевое устройство, которое работает как на физическом, так и на канальном уровне — на уровнях 1 и 2 модели OSI - и соединяет два сегмента сети, образуя из них единую сеть. Этот термин также относится к любому устройству, инструменту или методу, которые позволяют данным пересекать разрыв, например воздушный зазор в сети или границу сегментации.
Мосты обычно обходят меры безопасности и защиты, позволяя красть данные из сети или, наоборот, вносить в нее неавторизованные или вредоносные данные. Такие риски заставили профессионалов в области кибербезопасности развивать методы обнаружения и смягчения последствий для предотвращения наведения мостов, в том числе:
отключение сетевых мостов на беспроводных картах Ethernet;
отключение систем с двумя или более активными сетевыми интерфейсами;
внедрение контроля доступа к сети (network access control, NAC) и мониторинга новых устройств в сети;
установку датчиков для обнаружения неавторизованных точек доступа вайфай;
запрет работы определенных сетей с помощью VLAN или другого маршрутизатора;
использование аутентификации в протоколе обнаружения канального уровня (Link Layer Discovery Protocol, LLDP).
Несмотря на совершенствующиеся меры безопасности, несанкционированные подключения к сети по-прежнему происходят, и некоторые передовые методы проникновения, даже проверенные только в академической или лабораторной среде, способны причинить немалый вред. К самым передовым методам относятся управление системными светодиодами для передачи битов данных на оптический приемник в другой комнате или здании, использование сигналов FM-частоты для связи с телефонами (как в случае с эксплойтами AirHopper и GSMem), управление вентиляторами и их пульсацией для отправки битов с помощью звука, а также искусственный перегрев и охлаждение процессоров для медленной отправки данных (как с эксплойтом BitWhisper). Злоумышленники могут даже соединять сети через кабели питания системы с помощью технологии Ethernet over power (EOP, не путать с power over Ethernet, POE). Иногда злоумышленники могут удаленно активировать микрофоны и динамики VoIP-телефонов организации, что позволяет передавать звуковые данные или подслушивать разговоры.
Конечно, некоторые виды мостов менее актуальны. Злоумышленник может забраться на крышу офисного здания, подключиться к имеющимся сетевым кабелям и установить небольшую наземную спутниковую станцию, которая обеспечит надежный мостовой доступ к сети. Смартфоны обычно подсоединяют к USB-портам для зарядки, кроме того, заряжаемый телефон подключает компьютер к внешней сотовой сети, которая не проверяется брандмауэрами, системой предотвращения потери данных (data loss prevention, DLP) или другими инструментами безопасности, минуя средства защиты организации и облегчая кражу данных или внедрения кода в хост-сети. При создании моста через sneakernet пользователь загружает информацию на портативный носитель и переходит на другой компьютер или в другую сеть, физически обходя меры безопасности. Хакеры также могут задействовать скрытую сеть управления (обычно это сеть 10.0.0.0/8), которая напрямую подключается к консолям маршрутизаторов, межсетевым экранам и другим системам безопасности, задействуя их в качестве точек перехода для соединения различных сетевых VLAN и сегментов, что позволяет использовать саму сеть для обхода ее же средств безопасности. Кроме того, существует риск раздельного туннелирования, поскольку информация может проникать в сети и выходить из них через устройство, подключенное к двум сетям одновременно.
В зрелых организациях исходят из предположения, что злоумышленники постоянно разрабатывают различные мостовые технологии, пытаясь обойти защиту новыми неизвестными способами. И действительно, кажется, что для доступа в сеть можно использовать весь электромагнитный спектр, а также акустические, световые, сейсмические, магнитные, тепловые и радиочастоты.
