TEMPEST と EMSEC: 電磁波はサイバー攻撃に使用できますか?

ベネズエラは最近経験した 一連の停電、この国の11の州に電気がなくなった。 この事件の最初から、ニコラス・マドゥロ政権は次のように主張していた。 妨害行為、これは国営電力会社コーポエレックとその発電所に対する電磁波攻撃とサイバー攻撃によって可能になりました。 それどころか、自称フアン・グアイド政権は単にこの事件を「政権の無力さ[および]失敗'。

状況を公平かつ詳細に分析しなければ、これらの停止が妨害行為の結果なのか、それともメンテナンスの欠如によって引き起こされたのかを判断することは非常に困難です。 しかし、妨害行為の疑いがあるという申し立ては、情報セキュリティに関連する多くの興味深い疑問を引き起こします。 発電所などの重要なインフラにある制御システムの多くは閉鎖されているため、インターネットへの外部接続がありません。 そこで疑問が生じます。サイバー攻撃者は、コンピュータに直接接続せずに、閉じた IT システムにアクセスできるのでしょうか? 答えは「はい」です。 この場合、電磁波が攻撃ベクトルとなる可能性があります。

電磁放射を「捕捉」する方法

すべての電子機器は、電磁信号および音響信号の形で放射線を生成します。 距離や障害物の存在などのさまざまな要因に応じて、盗聴デバイスは特別なアンテナまたは高感度マイク (音響信号の場合) を使用してこれらのデバイスからの信号を「キャプチャ」し、それらを処理して有用な情報を抽出します。 このようなデバイスにはモニターやキーボードが含まれるため、サイバー犯罪者によって使用される可能性もあります。

モニターについて言えば、1985 年に研究者のヴィム・ファン・エイクが次のような論文を発表しました。 最初の未機密文書 このような機器からの放射線によってもたらされる安全上のリスクについて。 ご記憶のとおり、当時のモニターにはブラウン管 (CRT) が使用されていました。 彼の研究は、モニターからの放射線を遠くから「読み取り」、モニターに表示される画像を再構成するために使用できることを実証しました。 この現象はファン・エイク傍受として知られており、実際には 理由の一つ、なぜブラジルやカナダを含む多くの国が、電子投票システムは選挙プロセスで使用するには安全性が低すぎると考えているのか。

隣の部屋にある別のラップトップにアクセスするために使用される機器。 ソース： テルアビブ大学

最近の LCD モニターは CRT モニターに比べて放射線の発生量がはるかに少ないですが、 最近の研究 彼らも脆弱であることを示しました。 さらに、 テルアビブ大学（イスラエル）の専門家はこれを明確に実証しました。 彼らは、アンテナ、アンプ、特別な信号処理ソフトウェアを備えたラップトップで構成される、約 3000 ドルのかなり単純な機器を使用して、隣の部屋にあるラップトップ上の暗号化されたコンテンツにアクセスすることができました。

一方、キーボード自体も センシティブ 彼らの放射線を遮断するために。 これは、攻撃者がキーボードのどのキーが押されたかを分析することによって、ログイン資格情報とパスワードを回復できるサイバー攻撃の潜在的なリスクがあることを意味します。

テンペストとEMSEC

情報を抽出するための放射線の使用は、第一次世界大戦中に初めて使用され、電話線に関連していました。 これらの技術は、冷戦時代を通じてより高度な装置とともに広く使用されました。 例えば、 1973 年の NASA の機密解除文書 は、1962年に在日米国大使館の警備員が、近くの病院に設置されたダイポールが信号を傍受するために大使館の建物に向けられていたことを発見した経緯を説明している。

しかし、TEMPEST という概念自体は、最初の 70 年代にはすでに現れ始めていました。 米国で発行された放射線安全指令 。 このコード名は、機密情報を漏洩する可能性のある電子機器からの意図しない放出に関する研究を指します。 TEMPEST標準が作成されました 米国国家安全保障局 (NSA) そして、安全基準の出現にもつながりました。 NATOに承認されました.

この用語は、規格の一部である EMSEC (排出ガスセキュリティ) という用語と同じ意味で使用されることがよくあります。 COMSEC（通信セキュリティ）.

テンペストの保護

通信デバイスの赤/黒暗号化アーキテクチャ図。 ソース： デヴィッド・クライダーマッハー

まず、TEMPEST セキュリティは、Red/Black アーキテクチャとして知られる基本的な暗号化概念に適用されます。 この概念では、システムを機密情報の処理に使用される「レッド」機器と、セキュリティ分類なしでデータを送信する「ブラック」機器に分類します。 TEMPEST 保護の目的の XNUMX つは、すべてのコンポーネントを分離し、特別なフィルターを使用して「赤」の機器と「黒」の機器を分離するこの分離です。

第二に、次の事実を心に留めておくことが重要です。 すべてのデバイスはある程度の放射線を放出します。 これは、可能な限り最高レベルの保護が、コンピュータ、システム、コンポーネントを含む空間全体を完全に保護することを意味します。 ただし、これは非常に高価であり、ほとんどの組織にとって非現実的です。 このため、よりターゲットを絞ったテクニックが使用されます。

• ゾーニング評価: スペース、設備、およびコンピューターの TEMPEST セキュリティ レベルを調べるために使用されます。 この評価の後、最も機密性の高い情報または暗号化されていないデータを含むコンポーネントおよびコンピューターにリソースを割り当てることができます。 通信セキュリティを規制するさまざまな公的機関 (米国の NSA や スペインのCCN、そのような技術を認定します。

• シールドエリア: ゾーニング評価により、コンピューターを含む特定のスペースがすべての安全要件を完全に満たしていないことが示される場合があります。 このような場合、スペースを完全にシールドするか、コンピュータ用にシールド付きキャビネットを使用することが XNUMX つの選択肢になります。 これらのキャビネットは放射線の拡散を防ぐ特殊な素材で作られています。

• 独自の TEMPEST 証明書を持つコンピューター: コンピュータが安全な場所にあるにもかかわらず、適切なセキュリティが不足している場合があります。 既存のセキュリティ レベルを強化するために、ハードウェアやその他のコンポーネントのセキュリティを証明する独自の TEMPEST 認定を取得したコンピュータと通信システムがあります。

TEMPEST は、エンタープライズ システムに仮想的に安全な物理スペースがある場合でも、外部通信にさえ接続されていない場合でも、完全に安全であるという保証はないことを示しています。 いずれにせよ、重要なインフラストラクチャのほとんどの脆弱性は、従来の攻撃 (ランサムウェアなど) に関連している可能性が高く、それが私たちの考えです。 最近報告された。 このような場合、適切な手段と高度な情報セキュリティ ソリューションを使用することで、そのような攻撃を回避するのは非常に簡単です。 高度な保護オプションを備えた。 これらすべての保護対策を組み合わせることが、企業、さらには国全体の将来にとって重要なシステムのセキュリティを確保する唯一の方法です。

出所： habr.com