TEMPEST и EMSEC: можно ли использовать электромагнитные волны в кибер-атаках?
Недавно Венесуэла пережила серию отключений электричества, которые оставили 11 штатов этой страны без электроэнергии. С самого начала данного инцидента правительство Николаса Мадуро утверждало, что это был акт саботажа, который стал возможен благодаря электромагнитным атакам и кибер-атакам на национальную электрическую компанию Corpoelec и ее электростанции. Напротив, самопровозглашенное правительство Хуана Гуайдо просто списало этот инцидент на «неэффективность [и] неспособность режима».
Без беспристрастного и глубокого анализа ситуации очень сложно установить, были ли эти отключения следствием саботажа или все же они были вызваны недостатком технического обслуживания. Тем не менее, утверждения о предполагаемом саботаже порождают ряд интересных вопросов, связанных с информационной безопасностью. Многие системы управления на объектах критической инфраструктуры, таких как электростанции, являются закрытыми, а потому они не имеют внешних подключений к Интернету. Таким образом, возникает вопрос: могли ли кибер-злоумышленники получить доступ к закрытым ИТ-системам без непосредственного подключения к их компьютерам? Ответ - да. В таком случае электромагнитные волны могут быть вектором атаки.
Как «захватить» электромагнитные излучения
Все электронные устройства генерируют излучения в виде электромагнитных и акустических сигналов. В зависимости от ряда факторов, таких как расстояние и наличие препятствий, подслушивающие устройства могут «захватывать» сигналы от этих устройств с помощью специальных антенн или высокочувствительных микрофонов (в случае акустических сигналов) и обрабатывать их для извлечения полезной информации. Такие устройства включают в себя мониторы и клавиатуры, и как таковые они могут также использоваться кибер-преступниками.
Если говорить про мониторы, то еще в 1985 году исследователь Вим ван Эйк опубликовал первый несекретный документ о том, какие риски безопасности несут с собой излучения от таких устройств. Как вы помните, тогда мониторы использовали электронно-лучевые трубки (ЭЛТ). Его исследование продемонстрировало, что излучение от монитора может быть «считано» на расстоянии и использована для восстановления изображений, показываемых на мониторе. Это явление известно как перехват ван Эйка, и фактически оно является одной из причин, почему ряд стран, среди которых Бразилия и Канада, считают электронные системы голосования слишком небезопасными для использовании в избирательных процессах.
Оборудование, используемое для доступа к другому ноутбуку, расположенному в соседней комнате. Источник: Tel Aviv University
Хотя в наши дни ЖК-мониторы генерируют намного меньше излучения, чем мониторы с ЭЛТ, тем не менее, недавнее исследование показало, что они также являются уязвимыми. Более того, специалисты из Университета Тель-Авива (Израиль) наглядно продемонстрировали это. Они сумели получить доступ к зашифрованному контенту на ноутбуке, расположенному в соседней комнате, с помощью достаточного простого оборудования стоимостью около 3000 долларов США, состоящего из антенны, усилителя и ноутбука со специальным программным обеспечением для обработки сигналов.
С другой стороны, сами клавиатуры также могут быть чувствительны к перехвату их излучений. Это означает, что существует потенциальный риск кибер-атак, в рамках которых злоумышленники могут восстанавливать регистрационные данные и пароли, анализируя, какие клавиши на клавиатуре были нажаты.
TEMPEST и EMSEC
Использование излучений для извлечения информации получило свое первое применение еще в ходе первой мировой войны, и оно было связано с телефонными проводами. Эти приемы широко использовались в течение холодной войны с более совершенными устройствами. Например, рассекреченный документ NASA от 1973 года объясняет, как в 1962 году сотрудник службы безопасности посольства США в Японии обнаружил, что диполь, размещенный в находящейся неподалеку больнице, был направлен на здание посольства для перехвата его сигналов.
Этот термин часто используется как взаимозаменяемый с термином EMSEC (безопасность эмиссий), который входит в состав стандартов COMSEC (безопасность коммуникаций).
Защита TEMPEST
Схема криптографической архитектуры Red/Black для коммуникационного устройства. Источник: David Kleidermacher
Во-первых, защита TEMPEST применяется к базовому понятию криптографии, известному как архитектура Red/Black (красное/черное). Эта концепция разделяет системы на «красное» (Red) оборудование, которое используется для обработки конфиденциальной информации, и на «черное» (Black) оборудование, которое передает данные без грифа секретности. Одно из предназначений защиты TEMPEST – это данная сепарация, которая и разделяет все компоненты, отделяя «красное» оборудование от «черного» специальными фильтрами.
Во-вторых, важно иметь в виду тот факт, что все устройства имеют определенный уровень излучения. Это означает, что максимально возможным уровнем защиты будет полная защита всего пространства, включая компьютеры, системы и компоненты. Впрочем, это было бы чрезвычайно дорогостояще и непрактично для большинства организаций. По этой причине используются более точечные техники:
Оценка зонирования: используется для изучения уровня безопасности TEMPEST для пространств, инсталляций и компьютеров. После проведения данной оценки, ресурсы могут быть направлены на те компоненты и компьютеры, которые содержат наиболее чувствительную информацию или незашифрованные данные. Различные официальные органы, регулирующие безопасность коммуникаций, такие как АНБ в США или CCN в Испании, сертифицируют такие техники.
Экранированные области: оценка зонирования может показать, что определенные пространства, содержащие компьютеры, не полностью отвечают всем требованиям безопасности. В таких случаях одним из вариантов является полное экранирование данного пространства или использование экранированных шкафов для таких компьютеров. Эти шкафы сделаны из специальных материалов, которые препятствуют распространению излучений.
Компьютеры со своими собственными сертификатами TEMPEST: иногда компьютер может находиться в безопасном месте, но иметь недостаток адекватного уровня безопасности. Для усиления имеющегося уровня безопасности существуют компьютеры и коммуникационные системы, которые имеют свою собственную сертификацию TEMPEST, удостоверяющую безопасность их аппаратного обеспечения и прочих компонентов.
TEMPEST показывает, что, даже если корпоративные системы имеют практически безопасные физические пространства или они даже не подключены к внешним коммуникациям, все равно нет гарантий того, что они полностью безопасны. В любом случае, большинство уязвимостей в критических инфраструктурах связаны, скорее всего, с обычными атаками (например, шифровальщики), о чем мы недавно сообщали. В этих случаях можно достаточно просто избежать подобных атак с помощью соответствующих мер и передовых решений информационной безопасности с опциями расширенной защитыhttps://www.cloudav.ru/enterprise/adaptive-defense-360. Сочетание всех этих мер безопасности является единственным способом обеспечения безопасности систем, критических для будущего компании или даже всей страны.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.