Venesuela yaqinda tajribaga ega
Vaziyatni xolis va chuqur tahlil qilmasdan turib, bu uzilishlar sabotaj natijasidami yoki ularga texnik xizmat ko‘rsatilmagani sabab bo‘lganmi, buni aniqlash juda qiyin. Biroq, taxmin qilingan sabotaj haqidagi da'volar axborot xavfsizligi bilan bog'liq bir qator qiziqarli savollarni tug'diradi. Elektr stantsiyalari kabi muhim infratuzilmadagi ko'plab boshqaruv tizimlari yopiq va shuning uchun Internetga tashqi ulanishga ega emas. Shunday qilib, savol tug'iladi: kiberhujumchilar o'z kompyuterlariga to'g'ridan-to'g'ri ulanmasdan yopiq IT tizimlariga kirishlari mumkinmi? Javob ha. Bunday holda, elektromagnit to'lqinlar hujum vektori bo'lishi mumkin.
Elektromagnit nurlanishni qanday "ushlash" mumkin
Barcha elektron qurilmalar elektromagnit va akustik signallar shaklida nurlanish hosil qiladi. Masofa va to‘siqlarning mavjudligi kabi bir qator omillarga qarab, tinglovchi qurilmalar maxsus antennalar yoki o‘ta sezgir mikrofonlar (akustik signallar bo‘lsa) yordamida ushbu qurilmalardan signallarni “tutib olishi” va foydali ma’lumotlarni ajratib olish uchun ularni qayta ishlashi mumkin. Bunday qurilmalarga monitorlar va klaviaturalar kiradi va shuning uchun ular kiber jinoyatchilar tomonidan ham foydalanishlari mumkin.
Agar monitorlar haqida gapiradigan bo'lsak, 1985 yilda tadqiqotchi Wim van Eyck nashr etdi
Qo'shni xonada joylashgan boshqa noutbukga kirish uchun ishlatiladigan uskunalar. Manba:
Bugungi kunda LCD monitorlar CRT monitorlariga qaraganda kamroq nurlanish hosil qilsa ham,
Boshqa tomondan, klaviaturalarning o'zi ham bo'lishi mumkin
TEMPEST va EMSEC
Ma'lumot olish uchun radiatsiyadan foydalanish birinchi jahon urushi davrida qo'llanilgan va u telefon simlari bilan bog'liq edi. Ushbu texnikalar Sovuq urush davomida yanada ilg'or qurilmalar bilan keng qo'llanilgan. Masalan,
Ammo TEMPEST tushunchasi 70-yillarda birinchi bo'lib paydo bo'la boshladi
Ushbu atama ko'pincha standartlarning bir qismi bo'lgan EMSEC (emissiya xavfsizligi) atamasi bilan almashtiriladi.
TEMPEST himoyasi
Aloqa qurilmasi uchun qizil/qora kriptografik arxitektura diagrammasi. Manba:
Birinchidan, TEMPEST xavfsizligi Qizil/Qora arxitekturasi deb nomlanuvchi asosiy kriptografik kontseptsiyaga taalluqlidir. Ushbu kontseptsiya tizimlarni maxfiy ma'lumotlarni qayta ishlash uchun ishlatiladigan "Qizil" uskuna va xavfsizlik tasnifisiz ma'lumotlarni uzatuvchi "Qora" uskunalarga ajratadi. TEMPEST himoyasining maqsadlaridan biri bu ajratish bo'lib, barcha komponentlarni ajratib turadi, "qizil" uskunani "qora" dan maxsus filtrlar bilan ajratadi.
Ikkinchidan, shuni yodda tutish kerak barcha qurilmalar ma'lum darajada radiatsiya chiqaradi. Bu shuni anglatadiki, himoyaning eng yuqori darajasi butun makonni, jumladan, kompyuterlar, tizimlar va komponentlarni to'liq himoya qilish bo'ladi. Biroq, bu ko'pchilik tashkilotlar uchun juda qimmat va amaliy bo'lmaydi. Shuning uchun ko'proq maqsadli usullar qo'llaniladi:
• Hududlarga ajratishni baholash: Bo'shliqlar, o'rnatishlar va kompyuterlar uchun TEMPEST xavfsizlik darajasini tekshirish uchun foydalaniladi. Ushbu baholashdan so'ng resurslar eng nozik ma'lumotlar yoki shifrlanmagan ma'lumotlarni o'z ichiga olgan komponentlar va kompyuterlarga yo'naltirilishi mumkin. Aloqa xavfsizligini tartibga soluvchi turli rasmiy organlar, masalan, AQShdagi NSA yoki
• Himoyalangan hududlar: Hududlarga bo'linishni baholash kompyuterlarni o'z ichiga olgan ayrim joylar barcha xavfsizlik talablariga to'liq javob bermasligini ko'rsatishi mumkin. Bunday hollarda, bitta variant bo'sh joyni to'liq himoya qilish yoki bunday kompyuterlar uchun himoyalangan shkaflardan foydalanishdir. Bu shkaflar radiatsiya tarqalishining oldini oluvchi maxsus materiallardan tayyorlangan.
• O'z TEMPEST sertifikatlariga ega kompyuterlar: Ba'zan kompyuter xavfsiz joyda bo'lishi mumkin, lekin etarli darajada xavfsizlikka ega emas. Mavjud xavfsizlik darajasini oshirish uchun kompyuterlar va aloqa tizimlari mavjud bo'lib, ular o'zlarining TEMPEST sertifikatiga ega bo'lib, ularning apparat va boshqa komponentlari xavfsizligini tasdiqlaydi.
TEMPEST shuni ko'rsatadiki, korporativ tizimlar deyarli xavfsiz jismoniy bo'shliqlarga ega bo'lsa yoki hatto tashqi aloqalarga ulanmagan bo'lsa ham, ularning to'liq xavfsizligiga kafolat yo'q. Qanday bo'lmasin, muhim infratuzilmalardagi zaifliklarning aksariyati odatiy hujumlar (masalan, to'lov dasturi) bilan bog'liq, bu biz
Manba: www.habr.com