Venezuela heeft onlangs meegemaakt , waardoor elf staten van dit land zonder elektriciteit kwamen te zitten. Vanaf het allereerste begin van dit incident beweerde de regering van Nicolás Maduro van wel , die mogelijk werd gemaakt door elektromagnetische en cyberaanvallen op het nationale elektriciteitsbedrijf Corpoelec en zijn energiecentrales. Integendeel, de zelfbenoemde regering van Juan Guaidó schreef het incident eenvoudigweg af als ‘.
Zonder een onpartijdige en diepgaande analyse van de situatie is het zeer moeilijk om vast te stellen of deze storingen het gevolg waren van sabotage of dat ze werden veroorzaakt door achterstallig onderhoud. Beschuldigingen van vermeende sabotage roepen echter een aantal interessante vragen op met betrekking tot informatiebeveiliging. Veel besturingssystemen in kritieke infrastructuur, zoals energiecentrales, zijn gesloten en hebben daarom geen externe verbindingen met internet. De vraag rijst dus: kunnen cyberaanvallers toegang krijgen tot gesloten IT-systemen zonder rechtstreeks verbinding te maken met hun computers? Het antwoord is ja. In dit geval kunnen elektromagnetische golven een aanvalsvector zijn.
Hoe elektromagnetische straling te ‘vangen’
Alle elektronische apparaten genereren straling in de vorm van elektromagnetische en akoestische signalen. Afhankelijk van een aantal factoren, zoals de afstand en de aanwezigheid van obstakels, kunnen afluisterapparatuur signalen van deze apparaten "vangen" met behulp van speciale antennes of zeer gevoelige microfoons (in het geval van akoestische signalen) en deze verwerken om er nuttige informatie uit te halen. Dergelijke apparaten omvatten monitoren en toetsenborden en kunnen als zodanig ook door cybercriminelen worden gebruikt.
Als we het over monitoren hebben, publiceerde onderzoeker Wim van Eyck in 1985 over de veiligheidsrisico's die de straling van dergelijke apparaten met zich meebrengt. Zoals u zich herinnert, gebruikten monitoren destijds kathodestraalbuizen (CRT's). Zijn onderzoek toonde aan dat straling van een monitor van een afstand kon worden "gelezen" en gebruikt om de beelden op de monitor te reconstrueren. Dit fenomeen staat bekend als Van Eyck-interceptie, en dat is het ook , waarom een aantal landen, waaronder Brazilië en Canada, elektronische stemsystemen te onveilig vinden om in verkiezingsprocessen te gebruiken.
Apparatuur die wordt gebruikt om toegang te krijgen tot een andere laptop in de volgende kamer. Bron:
Hoewel LCD-monitoren tegenwoordig veel minder straling genereren dan CRT-monitoren, hebben aangetoond dat zij ook kwetsbaar zijn. Bovendien, . Ze konden toegang krijgen tot de gecodeerde inhoud op een laptop in de volgende kamer met behulp van vrij eenvoudige apparatuur die ongeveer 3000 dollar kostte, bestaande uit een antenne, een versterker en een laptop met speciale signaalverwerkingssoftware.
Aan de andere kant kunnen de toetsenborden zelf dat ook zijn om hun straling te onderscheppen. Dit betekent dat er een potentieel risico bestaat op cyberaanvallen waarbij aanvallers inloggegevens en wachtwoorden kunnen achterhalen door te analyseren welke toetsen op het toetsenbord zijn ingedrukt.
TEMPEST en EMSEC
Het gebruik van straling om informatie te extraheren vond zijn eerste toepassing tijdens de Eerste Wereldoorlog en werd in verband gebracht met telefoondraden. Deze technieken werden tijdens de Koude Oorlog op grote schaal gebruikt met meer geavanceerde apparaten. Bijvoorbeeld, legt uit hoe een veiligheidsfunctionaris van de Amerikaanse ambassade in Japan in 1962 ontdekte dat een dipool die in een nabijgelegen ziekenhuis was geplaatst, op het ambassadegebouw was gericht om de signalen te onderscheppen.
Maar het concept van TEMPEST als zodanig begint al in de jaren 70 te verschijnen met de eerste . Deze codenaam verwijst naar onderzoek naar onbedoelde emissies van elektronische apparaten die geheime informatie kunnen lekken. De TEMPEST-standaard is gemaakt en leidde tot de opkomst van veiligheidsnormen die dat ook waren .
Deze term wordt vaak door elkaar gebruikt met de term EMSEC (emissiebeveiliging), die deel uitmaakt van de normen .
TEMPEST-bescherming
Rood/zwart cryptografisch architectuurdiagram voor een communicatieapparaat. Bron:
Ten eerste is TEMPEST-beveiliging van toepassing op een cryptografisch basisconcept dat bekend staat als de rood/zwarte architectuur. Dit concept verdeelt systemen in ‘rode’ apparatuur, die wordt gebruikt om vertrouwelijke informatie te verwerken, en ‘zwarte’ apparatuur, die gegevens verzendt zonder beveiligingsclassificatie. Een van de doeleinden van TEMPEST-bescherming is deze scheiding, die alle componenten scheidt, waardoor ‘rode’ apparatuur wordt gescheiden van ‘zwarte’ apparatuur met speciale filters.
Ten tweede is het belangrijk om het feit in gedachten te houden alle apparaten zenden een bepaald niveau van straling uit. Dit betekent dat het hoogst mogelijke beschermingsniveau een volledige bescherming van de gehele ruimte is, inclusief computers, systemen en componenten. Dit zou echter voor de meeste organisaties extreem duur en onpraktisch zijn. Om deze reden worden meer gerichte technieken gebruikt:
• Bestemmingsbeoordeling: Wordt gebruikt om het TEMPEST-beveiligingsniveau voor ruimtes, installaties en computers te onderzoeken. Na deze beoordeling kunnen middelen worden ingezet voor die componenten en computers die de meest gevoelige informatie of niet-versleutelde gegevens bevatten. Verschillende officiële instanties die de communicatiebeveiliging reguleren, zoals de NSA in de VS of , dergelijke technieken certificeren.
• Afgeschermde gebieden: Uit een bestemmingsplantoets kan blijken dat bepaalde ruimten met computers niet volledig aan alle veiligheidseisen voldoen. In dergelijke gevallen is een optie om de ruimte volledig af te schermen of afgeschermde kasten voor dergelijke computers te gebruiken. Deze kasten zijn gemaakt van speciale materialen die de verspreiding van straling tegengaan.
• Computers met hun eigen TEMPEST-certificaten: Soms bevindt een computer zich op een veilige locatie, maar is er onvoldoende beveiliging. Om het bestaande beveiligingsniveau te verbeteren, zijn er computers en communicatiesystemen die hun eigen TEMPEST-certificering hebben, waarmee de veiligheid van hun hardware en andere componenten wordt gecertificeerd.
TEMPEST laat zien dat zelfs als bedrijfssystemen vrijwel beveiligde fysieke ruimtes hebben of zelfs niet zijn verbonden met externe communicatie, er nog steeds geen garantie is dat ze volledig veilig zijn. Hoe het ook zij, de meeste kwetsbaarheden in kritieke infrastructuren houden hoogstwaarschijnlijk verband met conventionele aanvallen (bijvoorbeeld ransomware). . In deze gevallen is het vrij eenvoudig om dergelijke aanvallen te voorkomen met behulp van passende maatregelen en geavanceerde informatiebeveiligingsoplossingen . Het combineren van al deze beschermingsmaatregelen is de enige manier om de veiligheid te garanderen van systemen die cruciaal zijn voor de toekomst van een bedrijf of zelfs een heel land.
Bron: www.habr.com