TEMPEST un EMSEC: vai elektromagnētiskos viļņus var izmantot kiberuzbrukumos?

Venecuēla nesen piedzīvoja virkne strāvas padeves pārtraukumu, kas atstāja bez elektrības 11 šīs valsts štatus. Jau pašā šī incidenta sākumā Nikolasa Maduro valdība apgalvoja, ka tā bija sabotāžas akts, kas bija iespējams, pateicoties elektromagnētiskajiem un kiberuzbrukumiem valsts elektroenerģijas uzņēmumam Corpoelec un tā spēkstacijām. Gluži pretēji, Huana Gvaido pašpasludinātā valdība šo incidentu vienkārši norakstīja kā "režīma neefektivitāte [un] neveiksme'.

Bez objektīvas un padziļinātas situācijas analīzes ir ļoti grūti noteikt, vai šie pārtraukumi bija sabotāžas rezultāts vai arī tos izraisīja apkopes trūkums. Tomēr apsūdzības par iespējamo sabotāžu rada vairākus interesantus jautājumus saistībā ar informācijas drošību. Daudzas vadības sistēmas kritiskajā infrastruktūrā, piemēram, spēkstacijās, ir slēgtas, un tāpēc tām nav ārēju savienojumu ar internetu. Tāpēc rodas jautājums: vai kiberuzbrucēji varētu piekļūt slēgtām IT sistēmām bez tieša savienojuma ar saviem datoriem? Atbilde ir jā. Šajā gadījumā elektromagnētiskie viļņi varētu būt uzbrukuma vektors.

Kā “uztvert” elektromagnētisko starojumu

Visas elektroniskās ierīces rada starojumu elektromagnētisko un akustisko signālu veidā. Atkarībā no vairākiem faktoriem, piemēram, attāluma un šķēršļu klātbūtnes, noklausīšanās ierīces var "uztvert" signālus no šīm ierīcēm, izmantojot īpašas antenas vai ļoti jutīgus mikrofonus (akustisko signālu gadījumā), un apstrādāt tos, lai iegūtu noderīgu informāciju. Šādas ierīces ietver monitorus un tastatūras, un tādēļ tās var izmantot arī kibernoziedznieki.

Ja runājam par monitoriem, 1985. gadā pētnieks Vims van Eiks publicēja pirmais neklasificētais dokuments par drošības riskiem, ko rada šādu ierīču radiācija. Kā jūs atceraties, toreiz monitoros tika izmantotas katodstaru lampas (CRT). Viņa pētījumi parādīja, ka starojumu no monitora var "nolasīt" no attāluma un izmantot, lai rekonstruētu monitorā redzamos attēlus. Šī parādība ir pazīstama kā van Eika pārtveršana, un patiesībā tā arī ir viens no iemesliem, kāpēc vairākas valstis, tostarp Brazīlija un Kanāda, uzskata, ka elektroniskās balsošanas sistēmas ir pārāk nedrošas, lai tās izmantotu vēlēšanu procesos.

Aprīkojums, ko izmanto, lai piekļūtu citam klēpjdatoram, kas atrodas blakus istabā. Avots: Tel Aviv University

Lai gan mūsdienās LCD monitori rada daudz mazāk starojuma nekā CRT monitori, jaunākie pētījumi parādīja, ka arī viņi ir neaizsargāti. Turklāt, Telavivas Universitātes (Izraēla) speciālisti to skaidri nodemonstrēja. Viņi varēja piekļūt šifrētajam saturam klēpjdatorā, kas atrodas blakus istabā, izmantojot diezgan vienkāršu aprīkojumu, kas maksā aptuveni 3000 ASV dolāru un kas sastāv no antenas, pastiprinātāja un klēpjdatora ar īpašu signālu apstrādes programmatūru.

No otras puses, arī pašas tastatūras var būt jūtīgs lai pārtvertu viņu starojumu. Tas nozīmē, ka pastāv potenciāls kiberuzbrukumu risks, kad uzbrucēji var atgūt pieteikšanās akreditācijas datus un paroles, analizējot, kuri taustiņi tika nospiesti uz tastatūras.

TEMPEST un EMSEC

Radiācijas izmantošana informācijas iegūšanai pirmo reizi tika izmantota Pirmā pasaules kara laikā, un tā tika saistīta ar telefona vadiem. Šīs metodes tika plaši izmantotas aukstā kara laikā ar modernākām ierīcēm. Piemēram, deklasificēts NASA dokuments no 1973. gada skaidro, kā 1962. gadā ASV vēstniecības Japānā apsardzes darbinieks atklāja, ka tuvējā slimnīcā novietots dipols ir vērsts pret vēstniecības ēku, lai pārtvertu tās signālus.

Bet TEMPEST jēdziens kā tāds sāk parādīties jau 70. gados ar pirmo radiācijas drošības direktīvas, kas parādījās ASV . Šis koda nosaukums attiecas uz pētījumiem par netīšu emisijām no elektroniskām ierīcēm, kas var nopludināt sensitīvu informāciju. Tika izveidots TEMPEST standarts ASV Nacionālās drošības aģentūra (NSA) un noveda pie tādu drošības standartu rašanās, kas arī bija uzņemts NATO.

Šo terminu bieži lieto aizvietojot ar terminu EMSEC (emisiju drošība), kas ir daļa no standartiem. COMSEC (komunikāciju drošība).

TEMPEST aizsardzība

Sarkanā/melnā kriptogrāfiskās arhitektūras diagramma sakaru ierīcei. Avots: Deivids Kleidermahers

Pirmkārt, TEMPEST drošība attiecas uz pamata kriptogrāfijas koncepciju, kas pazīstama kā sarkanā/melnā arhitektūra. Šī koncepcija sadala sistēmas “Red” iekārtās, kas tiek izmantotas konfidenciālas informācijas apstrādei, un “Black” iekārtās, kas pārraida datus bez drošības klasifikācijas. Viens no TEMPEST aizsardzības mērķiem ir šī atdalīšana, kas atdala visas sastāvdaļas, ar speciāliem filtriem atdalot “sarkano” aprīkojumu no “melnā”.

Otrkārt, ir svarīgi paturēt prātā faktu, ka visas ierīces izstaro zināmu starojuma līmeni. Tas nozīmē, ka augstākais iespējamais aizsardzības līmenis būs pilnīga visas telpas aizsardzība, ieskaitot datorus, sistēmas un komponentus. Tomēr lielākajai daļai organizāciju tas būtu ārkārtīgi dārgi un nepraktiski. Šī iemesla dēļ tiek izmantotas mērķtiecīgākas metodes:

• Zonējuma novērtējums: izmanto, lai pārbaudītu TEMPEST drošības līmeni telpām, instalācijām un datoriem. Pēc šī novērtējuma resursi var tikt novirzīti tiem komponentiem un datoriem, kuros ir visjutīgākā informācija vai nešifrēti dati. Dažādas oficiālas institūcijas, kas regulē sakaru drošību, piemēram, NSA ASV vai CCN Spānijā, sertificē šādas metodes.

• Aizsargātas zonas: Zonējuma novērtējums var norādīt, ka noteiktas telpas, kurās atrodas datori, pilnībā neatbilst visām drošības prasībām. Šādos gadījumos viena iespēja ir pilnībā aizsegt telpu vai šādiem datoriem izmantot ekranētus skapjus. Šie skapji ir izgatavoti no īpašiem materiāliem, kas novērš starojuma izplatīšanos.

• Datori ar saviem TEMPEST sertifikātiem: dažreiz dators var atrasties drošā vietā, taču tam nav atbilstošas ​​drošības. Lai uzlabotu esošo drošības līmeni, ir datori un sakaru sistēmas, kurām ir savs TEMPEST sertifikāts, kas apliecina to aparatūras un citu komponentu drošību.

TEMPEST parāda, ka pat tad, ja uzņēmuma sistēmām ir praktiski drošas fiziskas telpas vai tās pat nav savienotas ar ārējiem sakariem, joprojām nav garantijas, ka tās ir pilnīgi drošas. Jebkurā gadījumā lielākā daļa kritisko infrastruktūru ievainojamību, visticamāk, ir saistītas ar parastiem uzbrukumiem (piemēram, izspiedējvīrusu programmatūru), un tas ir tas, ko mēs nesen ziņots. Šādos gadījumos ir diezgan viegli izvairīties no šādiem uzbrukumiem, izmantojot atbilstošus pasākumus un progresīvus informācijas drošības risinājumus ar uzlabotām aizsardzības iespējām. Visu šo aizsardzības pasākumu apvienošana ir vienīgais veids, kā nodrošināt uzņēmuma vai pat visas valsts nākotnei kritisko sistēmu drošību.

Avots: www.habr.com