Ao explorar o tema da segurança cibernética, é comum encontrar menções a sistemas de computador “isolados por ar”. Este termo técnico descreve um conceito simples: um sistema informático que está fisicamente separado de redes potencialmente arriscadas. Em outras palavras, trata-se de utilizar um computador completamente offline.
O que define um computador com isolamento por ar?
Um sistema computacional com isolamento por ar é aquele que não possui conexão física ou sem fio com redes ou sistemas considerados não seguros.
Imagine, por exemplo, que você deseja trabalhar em documentos financeiros ou comerciais de natureza confidencial, sem correr o risco de ataques de ransomware, keyloggers ou outros tipos de malware. Para isso, você decide configurar um computador que opera offline no seu escritório, sem qualquer ligação à internet ou outras redes.
Parabéns! Você acaba de implementar o conceito de isolamento por ar de um computador, mesmo que talvez nunca tenha ouvido falar desse termo.
A expressão “isolamento por ar” ilustra a ideia de que existe um espaço físico, um “gap de ar”, entre o computador e outras redes. Este computador não está conectado a essas redes e, portanto, não pode ser atacado remotamente. Para comprometer este sistema, um invasor teria de superar este espaço físico e aceder diretamente ao computador, dado que não há meios de o atacar eletronicamente através de uma rede.
Quando e por que isolar computadores por ar?
Nem todas as tarefas ou sistemas computacionais requerem uma conexão de rede.
Considere, por exemplo, infraestruturas críticas como as centrais energéticas. Estas instalações utilizam computadores para gerir os seus sistemas industriais. No entanto, esses computadores não necessitam de exposição à internet ou redes externas – eles são “isolados por ar” para garantir a segurança. Isso impede todas as ameaças baseadas em redes, tendo como principal inconveniente a necessidade de presença física dos operadores para controlo.
O isolamento por ar também pode ser aplicado a computadores pessoais. Suponha, por exemplo, que você tenha software antigo ou um jogo que funcione melhor no Windows XP. A maneira mais segura de continuar a usar este software é isolar o sistema com Windows XP. Embora o Windows XP seja vulnerável a várias ameaças, você reduz o risco ao manter o sistema offline e desconectado de redes.
Da mesma forma, se você trabalhar com dados financeiros ou comerciais sensíveis, utilizar um computador sem conexão à internet proporciona um nível máximo de segurança e privacidade para o seu trabalho, desde que o mantenha sempre offline.
Como o Stuxnet atacou computadores isolados por ar?
Apesar do isolamento por ar, os computadores não estão totalmente livres de ameaças. É comum utilizar dispositivos de armazenamento removíveis, como drives USB, para transferir ficheiros entre computadores isolados por ar e outros em rede. Por exemplo, pode-se descarregar uma aplicação num computador conectado à rede, copiá-la para uma pen USB e instalá-la no computador isolado.
Esta prática cria uma brecha de segurança real. O sofisticado worm Stuxnet, por exemplo, explorou esta vulnerabilidade. Foi concebido para se disseminar através de dispositivos removíveis, como drives USB, permitindo-lhe “transpor” o isolamento por ar quando estes dispositivos eram conectados a computadores isolados. Posteriormente, utilizou outros métodos para se espalhar dentro de redes isoladas, já que, em algumas organizações, os computadores isolados estão interligados entre si, embora não estejam conectados a redes externas. O alvo principal era o software industrial específico.
Acredita-se que o worm Stuxnet causou danos significativos ao programa nuclear do Irã e que foi desenvolvido pelos Estados Unidos e Israel, apesar de nenhum dos países ter confirmado oficialmente estas alegações. O Stuxnet era um malware avançado, concebido para atacar sistemas isolados por ar – isso é um facto.
Outras ameaças potenciais a computadores isolados por ar
Existem outras formas de malware se comunicar em redes isoladas por ar, mas geralmente envolvem um dispositivo USB ou similar infectado, que introduz o malware no sistema isolado. Também podem ocorrer casos de acesso físico por terceiros ao computador para instalação de malware ou alteração de hardware.
Por exemplo, se um malware for introduzido num computador isolado por ar através de um dispositivo USB e houver outro computador próximo, conectado à internet, os computadores infectados podem trocar informações através da lacuna de ar através de transmissão de dados de áudio em altas frequências, utilizando os microfones e altifalantes dos computadores. Esta é apenas uma das muitas técnicas demonstradas na Black Hat USA 2018.
Estes são ataques bastante sofisticados, muito mais avançados do que o malware comum encontrado online. São, no entanto, uma preocupação para estados-nação com programas nucleares, como vimos.
Contudo, o malware comum também pode representar um risco. Se você transferir um instalador infetado com ransomware para um computador isolado por ar através de uma pen USB, o ransomware poderá encriptar os arquivos e exigir um resgate, o que obrigaria a conectar o computador à internet e efetuar o pagamento para a desencriptação.
Como isolar um computador por ar?
Como vimos, isolar um computador por ar é um processo bastante simples: basta desconectá-lo da rede. Não o conecte à internet nem a uma rede local. Remova todos os cabos Ethernet e desative as funções de Wi-Fi e Bluetooth do computador. Para maior segurança, reinstale o sistema operativo do computador a partir de uma mídia de instalação confiável e utilize-o exclusivamente offline a partir desse momento.
Não volte a conectar o computador a uma rede, nem mesmo para transferir arquivos. Caso necessite de baixar algum software, utilize um computador ligado à internet, transfira o software para um dispositivo como uma pen USB e use esse dispositivo para transportar os ficheiros. Este procedimento garante que o sistema isolado não seja comprometido por ataques remotos e, mesmo que haja algum malware, como um keylogger, no sistema, este não poderá comunicar dados através da rede.
Para reforçar a segurança, desative o hardware de rede sem fios no computador isolado por ar. Por exemplo, num PC de mesa com uma placa Wi-Fi, abra o computador e retire a placa Wi-Fi. Se não puder fazê-lo, pode desativar o hardware Wi-Fi na BIOS ou no firmware UEFI.
Em teoria, o malware num PC isolado pode reativar o hardware Wi-Fi e conectar-se a uma rede Wi-Fi se o hardware de rede sem fios estiver ativo. Portanto, para instalações críticas, como centrais nucleares, é aconselhável usar sistemas sem hardware de rede sem fios. Para uso doméstico, desativar o hardware Wi-Fi pode ser suficiente.
Tenha também cuidado com o software que transfere para o sistema isolado. Se realizar trocas constantes de dados entre um sistema isolado e outro conectado à rede através de dispositivos USB, e ambos estiverem infetados com o mesmo malware, este poderá extrair dados do seu sistema isolado por ar através do dispositivo USB.
Finalmente, garanta a segurança física do computador isolado por ar, pois a segurança física é essencial. Num sistema crítico com dados confidenciais num escritório, este deve estar localizado numa área segura, como uma sala fechada, e não numa zona de fácil acesso. Se tiver um portátil isolado com dados confidenciais, guarde-o em segurança para evitar roubos ou acessos físicos não autorizados.
(A encriptação total do disco pode ajudar a proteger os dados num computador, mesmo em caso de roubo.)
O isolamento de um sistema por ar nem sempre é viável, já que a funcionalidade dos computadores é, frequentemente, a sua capacidade de se conectar a redes.
No entanto, o isolamento por ar é uma técnica importante que assegura proteção total contra ameaças de rede quando aplicada corretamente. Apenas certifique-se de que não existe acesso físico não autorizado ao sistema e que não introduz malware através de dispositivos USB. É também uma opção gratuita, sem necessidade de software de segurança dispendioso ou configurações complexas. É a forma ideal de proteger certos sistemas informáticos em situações específicas.