[Перевод] TEMPEST и EMSEC: можно ли использовать электромагнитные волны в кибер-атаках?
Недавно Венесуэла пережила серию отключений электричества, которые оставили 11 штатов этой страны без электроэнергии. С самого начала данного инцидента правительство Николаса Мадуро утверждало, что это был акт саботажа, который стал возможен благодаря электромагнитным атакам и кибер-атакам на национальную электрическую компанию Corpoelec и ее электростанции. Напротив, самопровозглашенное правительство Хуана Гуайдо просто списало этот инцидент на «неэффективность [и] неспособность режима».
Без беспристрастного и глубокого анализа ситуации очень сложно установить, были ли эти отключения следствием саботажа или все же они были вызваны недостатком технического обслуживания. Тем не менее, утверждения о предполагаемом саботаже порождают ряд интересных вопросов, связанных с информационной безопасностью. Многие системы управления на объектах критической инфраструктуры, таких как электростанции, являются закрытыми, а потому они не имеют внешних подключений к Интернету. Таким образом, возникает вопрос: могли ли кибер-злоумышленники получить доступ к закрытым ИТ-системам без непосредственного подключения к их компьютерам? Ответ — да. В таком случае электромагнитные волны могут быть вектором атаки.
Как «захватить» электромагнитные излучения
Все электронные устройства генерируют излучения в виде электромагнитных и акустических сигналов. В зависимости от ряда факторов, таких как расстояние и наличие препятствий, подслушивающие устройства могут «захватывать» сигналы от этих устройств с помощью специальных антенн или высокочувствительных микрофонов (в случае акустических сигналов) и обрабатывать их для извлечения полезной информации. Такие устройства включают в себя мониторы и клавиатуры, и как таковые они могут также использоваться кибер-преступниками.
Если говорить про мониторы, то еще в 1985 году исследователь Вим ван Эйк опубликовал первый несекретный документ о том, какие риски безопасности несут с собой излучения от таких устройств. Как вы помните, тогда мониторы использовали электронно-лучевые трубки (ЭЛТ). Его исследование продемонстрировало, что излучение от монитора может быть «считано» на расстоянии и использована для восстановления изображений, показываемых на мониторе. Это явление известно как перехват ван Эйка, и фактически оно является одной из причин, почему ряд стран, среди которых Бразилия и Канада, считают электронные системы голосования слишком небезопасными для использовании в избирательных процессах.
Оборудование, используемое для доступа к другому ноутбуку, расположенному в соседней комнате. Источник: Tel Aviv University
Хотя в наши дни ЖК-мониторы генерируют намного меньше излучения, чем мониторы с ЭЛТ, тем не менее, недавнее исследование показало, что они также являются уязвимыми. Более того, специалисты из Университета Тель-Авива (Израиль) наглядно продемонстрировали это. Они сумели получить доступ к зашифрованному контенту на ноутбуке, расположенному в соседней комнате, с помощью достаточного простого оборудования стоимостью около 3000 долларов США, состоящего из антенны, усилителя и ноутбука со специальным программным обеспечением для обработки сигналов.
С другой стороны, сами клавиатуры также могут быть чувствительны к перехвату их излучений. Это означает, что существует потенциальный риск кибер-атак, в рамках которых злоумышленники могут восстанавливать регистрационные данные и пароли, анализируя, какие клавиши на клавиатуре были нажаты.
TEMPEST и EMSEC
Использование излучений для извлечения информации получило свое первое применение еще в ходе первой мировой войны, и оно было связано с телефонными проводами. Эти приемы широко использовались в течение холодной войны с более совершенными устройствами. Например, рассекреченный документ NASA от 1973 года объясняет, как в 1962 году сотрудник службы безопасности посольства США в Японии обнаружил, что диполь, размещенный в находящейся неподалеку больнице, был направлен на здание посольства для перехвата его сигналов.
Но понятие TEMPEST как таковое начинает появляться уже в 70-е годы с первыми директивами безопасности об излучениях, которые появились в США. Это кодовое название относится к исследованиям о непреднамеренных (побочных) излучениях электронных устройств, которые могут способствовать утечке секретной информации. Стандарт TEMPEST был создан Агентством национальной безопасности США (АНБ) и привел к появлению стандартов безопасности, которые также были приняты в НАТО.
Этот термин часто используется как взаимозаменяемый с термином EMSEC (безопасность эмиссий), который входит в состав стандартов COMSEC (безопасность коммуникаций).
Защита TEMPEST
Схема криптографической архитектуры Red/Black для коммуникационного устройства. Источник: David Kleidermacher
Во-первых, защита TEMPEST применяется к базовому понятию криптографии, известному как архитектура Red/Black (красное/черное). Эта концепция разделяет системы на «красное» (Red) оборудование, которое используется для обработки конфиденциальной информации, и на «черное» (Black) оборудование, которое передает данные без грифа секретности. Одно из предназначений защиты TEMPEST — это данная сепарация, которая и разделяет все компоненты, отделяя «красное» оборудование от «черного» специальными фильтрами.
Во-вторых, важно иметь в виду тот факт, что все устройства имеют определенный уровень излучения. Это означает, что максимально возможным уровнем защиты будет полная защита всего пространства, включая компьютеры, системы и компоненты. Впрочем, это было бы чрезвычайно дорогостояще и непрактично для большинства организаций. По этой причине используются более точечные техники:
- Оценка зонирования: используется для изучения уровня безопасности TEMPEST для пространств, инсталляций и компьютеров. После проведения данной оценки, ресурсы могут быть направлены на те компоненты и компьютеры, которые содержат наиболее чувствительную информацию или незашифрованные данные. Различные официальные органы, регулирующие безопасность коммуникаций, такие как АНБ в США или CCN в Испании, сертифицируют такие техники.
- Экранированные области: оценка зонирования может показать, что определенные пространства, содержащие компьютеры, не полностью отвечают всем требованиям безопасности. В таких случаях одним из вариантов является полное экранирование данного пространства или использование экранированных шкафов для таких компьютеров. Эти шкафы сделаны из специальных материалов, которые препятствуют распространению излучений.
- Компьютеры со своими собственными сертификатами TEMPEST: иногда компьютер может находиться в безопасном месте, но иметь недостаток адекватного уровня безопасности. Для усиления имеющегося уровня безопасности существуют компьютеры и коммуникационные системы, которые имеют свою собственную сертификацию TEMPEST, удостоверяющую безопасность их аппаратного обеспечения и прочих компонентов.
TEMPEST показывает, что, даже если корпоративные системы имеют практически безопасные физические пространства или они даже не подключены к внешним коммуникациям, все равно нет гарантий того, что они полностью безопасны. В любом случае, большинство уязвимостей в критических инфраструктурах связаны, скорее всего, с обычными атаками (например, шифровальщики), о чем мы недавно сообщали. В этих случаях можно достаточно просто избежать подобных атак с помощью соответствующих мер и передовых решений информационной безопасности с опциями расширенной защиты. Сочетание всех этих мер защиты является единственным способом обеспечения безопасности систем, критических для будущего компании или даже всей страны.