Нещодавно Венесуела пережила , які залишили 11 штатів цієї країни без електроенергії Із самого початку цього інциденту уряд Ніколаса Мадуро стверджував, що це був , який став можливим завдяки електромагнітним атакам та кібер-атакам на національну електричну компанію Corpoelec та її електростанції. Навпаки, самопроголошений уряд Хуана Гуайдо просто списав цей інцидент на «».
Без об'єктивного та глибокого аналізу ситуації дуже складно встановити, чи були ці відключення наслідком саботажу, чи все ж таки вони були викликані недоліком технічного обслуговування. Тим не менш, твердження про передбачуваний саботаж породжують низку цікавих питань, пов'язаних з інформаційною безпекою. Багато систем управління на об'єктах критичної інфраструктури, таких як електростанції, є закритими, тому вони не мають зовнішніх підключень до Інтернету. Таким чином, виникає питання: чи могли кібер-зловмисники отримати доступ до закритих ІТ-систем без безпосереднього підключення до комп'ютерів? Відповідь – так. У такому разі електромагнітні хвилі можуть бути вектором атаки.
Як «захопити» електромагнітні випромінювання
Усі електронні пристрої генерують випромінювання у вигляді електромагнітних та акустичних сигналів. Залежно від ряду факторів, таких як відстань і наявність перешкод, пристрої, що підслуховують, можуть «захоплювати» сигнали від цих пристроїв за допомогою спеціальних антен або високочутливих мікрофонів (у разі акустичних сигналів) і обробляти їх для вилучення корисної інформації. Такі пристрої включають монітори та клавіатури, і як такі вони можуть також використовуватися кібер-злочинцями.
Якщо говорити про монітори, то ще 1985 року дослідник Вім ван Ейк опублікував про те, які ризики безпеки несуть із собою випромінювання від таких пристроїв. Як ви пам'ятаєте, тоді монітори використовували електронно-променеві трубки (ЕЛТ). Його дослідження продемонструвало, що радіація від монітора може бути «рахована» на відстані та використана для відновлення зображень, що відображаються на моніторі. Це явище відоме як перехоплення ван Ейка, і фактично воно є , чому низка країн, серед яких Бразилія та Канада, вважають електронні системи голосування надто небезпечними для використання у виборчих процесах.
Устаткування для доступу до іншого ноутбука, розташованого в сусідній кімнаті. Джерело:
Хоча в наші дні РК-монітори генерують набагато менше випромінювання, ніж монітори з ЕПТ, проте, показало, що вони також вразливі. Більш того, . Вони зуміли отримати доступ до зашифрованого контенту на ноутбуці, розташованому в сусідній кімнаті, за допомогою достатнього простого обладнання вартістю близько 3000 доларів США, що складається з антени, підсилювача та ноутбука із спеціальним програмним забезпеченням для обробки сигналів.
З іншого боку, самі клавіатури також можуть бути до перехоплення їх випромінювань. Це означає, що існує потенційний ризик кібер-атак, в рамках яких зловмисники можуть відновлювати реєстраційні дані та паролі, аналізуючи які клавіші на клавіатурі були натиснуті.
TEMPEST та EMSEC
Використання випромінювань для отримання інформації отримало своє перше застосування ще в ході першої світової війни, і воно було пов'язане з телефонними проводами. Ці прийоми широко використовувалися протягом холодної війни з досконалішими пристроями. Наприклад, пояснює, як у 1962 році співробітник служби безпеки посольства США в Японії виявив, що диполь, розміщений у лікарні, що була неподалік, був направлений на будівлю посольства для перехоплення його сигналів.
Але поняття TEMPEST як таке починає з'являтися вже у 70-ті роки з першими . Ця кодова назва відноситься до досліджень про ненавмисні (побічні) випромінювання електронних пристроїв, які можуть сприяти витоку секретної інформації. Стандарт TEMPEST було створено та призвів до появи стандартів безпеки, які також були .
Цей термін часто використовується як взаємозамінний з терміном EMSEC (безпека емісій), що входить до складу стандартів .
Захист TEMPEST
Схема архітектури криптографічної Red/Black для комунікаційного пристрою. Джерело:
По-перше, захист TEMPEST застосовується до базового поняття криптографії, відомого як архітектура Red/Black (червоне/чорне). Ця концепція поділяє системи на «червоне» (Red) обладнання, яке використовується для обробки конфіденційної інформації, та на «чорне» (Black) обладнання, яке передає дані без грифу секретності. Одне із призначень захисту TEMPEST – це дана сепарація, яка й розділяє всі компоненти, відокремлюючи «червоне» обладнання від «чорного» спеціальними фільтрами.
По-друге, важливо мати на увазі той факт, що всі пристрої випромінюють певний рівень радіації. Це означає, що максимально можливим рівнем захисту буде повний захист всього простору, включаючи комп'ютери, системи та компоненти. Втім, це було б надзвичайно дорогим і непрактичним для більшості організацій. Тому використовуються більш точкові техніки:
• Оцінка зонування: використовується для вивчення рівня безпеки TEMPEST для просторів, інсталяцій та комп'ютерів. Після проведення цієї оцінки ресурси можуть бути спрямовані на ті компоненти та комп'ютери, які містять найбільш чутливу інформацію або незашифровані дані. Різні офіційні органи, що регулюють безпеку комунікацій, такі як АНБ у США або , сертифікують такі техніки
• Екрановані області: оцінка зонування може показати, що певні простори, що містять комп'ютери, не повністю відповідають усім вимогам безпеки. У таких випадках одним із варіантів є повне екранування даного простору або використання екранованих шаф для таких комп'ютерів. Ці шафи виготовлені із особливих матеріалів, які перешкоджають поширенню випромінювань.
• Комп'ютери зі своїми сертифікатами TEMPEST: Іноді комп'ютер може перебувати в безпечному місці, але мати недостатній рівень безпеки. Для посилення наявного рівня безпеки існують комп'ютери та комунікаційні системи, які мають власну сертифікацію TEMPEST, що засвідчує безпеку їх апаратного забезпечення та інших компонентів.
TEMPEST показує, що навіть якщо корпоративні системи мають практично безпечні фізичні простори або вони навіть не підключені до зовнішніх комунікацій, все одно немає гарантій того, що вони повністю безпечні. У будь-якому випадку більшість уразливостей у критичних інфраструктурах пов'язані, швидше за все, зі звичайними атаками (наприклад, шифрувальники), про що ми . У цих випадках можна досить просто уникнути подібних атак за допомогою відповідних заходів та передових рішень інформаційної безпеки . Поєднання всіх цих заходів захисту є єдиним способом забезпечення безпеки систем, критичним для майбутнього компанії або навіть усієї країни.
Джерело: habr.com