TEMPEST и EMSEC: можно ли использовать электромагнитные волны в кибер-атаках?

TEMPEST и EMSEC: можно ли использовать электромагнитные волны в кибер-атаках?
Недавно Венесуэла пережила серию отключений электричества , которые оставили 11 штатов этой страны без электроэнергии. С самого начала данного инцидента правительство Николаса Мадуро утверждало, что это был акт саботажа , который стал возможен благодаря электромагнитным атакам и кибер-атакам на национальную электрическую компанию Corpoelec и ее электростанции. Напротив, самопровозглашенное правительство Хуана Гуайдо просто списало этот инцидент на «неэффективность [и] неспособность режима ».

Без беспристрастного и глубокого анализа ситуации очень сложно установить, были ли эти отключения следствием саботажа или все же они были вызваны недостатком технического обслуживания. Тем не менее, утверждения о предполагаемом саботаже порождают ряд интересных вопросов, связанных с информационной безопасностью. Многие системы управления на объектах критической инфраструктуры, таких как электростанции, являются закрытыми, а потому они не имеют внешних подключений к Интернету. Таким образом, возникает вопрос: могли ли кибер-злоумышленники получить доступ к закрытым ИТ-системам без непосредственного подключения к их компьютерам? Ответ - да. В таком случае электромагнитные волны могут быть вектором атаки.
Как «захватить» электромагнитные излучения
Все электронные устройства генерируют излучения в виде электромагнитных и акустических сигналов. В зависимости от ряда факторов, таких как расстояние и наличие препятствий, подслушивающие устройства могут «захватывать» сигналы от этих устройств с помощью специальных антенн или высокочувствительных микрофонов (в случае акустических сигналов) и обрабатывать их для извлечения полезной информации. Такие устройства включают в себя мониторы и клавиатуры, и как таковые они могут также использоваться кибер-преступниками.

Если говорить про мониторы, то еще в 1985 году исследователь Вим ван Эйк опубликовал первый несекретный документ о том, какие риски безопасности несут с собой излучения от таких устройств. Как вы помните, тогда мониторы использовали электронно-лучевые трубки (ЭЛТ). Его исследование продемонстрировало, что излучение от монитора может быть «считано» на расстоянии и использована для восстановления изображений, показываемых на мониторе. Это явление известно как перехват ван Эйка, и фактически оно является одной из причин , почему ряд стран, среди которых Бразилия и Канада, считают электронные системы голосования слишком небезопасными для использовании в избирательных процессах.


Оборудование, используемое для доступа к другому ноутбуку, расположенному в соседней комнате. Источник: Tel Aviv University

Хотя в наши дни ЖК-мониторы генерируют намного меньше излучения, чем мониторы с ЭЛТ, тем не менее, недавнее исследование  показало, что они также являются уязвимыми. Более того, специалисты из Университета Тель-Авива (Израиль) наглядно продемонстрировали это . Они сумели получить доступ к зашифрованному контенту на ноутбуке, расположенному в соседней комнате, с помощью достаточного простого оборудования стоимостью около 3000 долларов США, состоящего из антенны, усилителя и ноутбука со специальным программным обеспечением для обработки сигналов.

С другой стороны, сами клавиатуры также могут быть чувствительны  к перехвату их излучений. Это означает, что существует потенциальный риск кибер-атак, в рамках которых злоумышленники могут восстанавливать регистрационные данные и пароли, анализируя, какие клавиши на клавиатуре были нажаты.

TEMPEST и EMSEC
Использование излучений для извлечения информации получило свое первое применение еще в ходе первой мировой войны, и оно было связано с телефонными проводами. Эти приемы широко использовались в течение холодной войны с более совершенными устройствами. Например, рассекреченный документ NASA от 1973 года объясняет, как в 1962 году сотрудник службы безопасности посольства США в Японии обнаружил, что диполь, размещенный в находящейся неподалеку больнице, был направлен на здание посольства для перехвата его сигналов.

Но понятие TEMPEST как таковое начинает появляться уже в 70-е годы с первыми директивами безопасности об излучениях, которые появились в США . Это кодовое название относится к исследованиям о непреднамеренных (побочных) излучениях электронных устройств, которые могут способствовать утечке секретной информации. Стандарт TEMPEST был создан Агентством национальной безопасности США (АНБ) и привел к появлению стандартов безопасности, которые также были приняты в НАТО .

Этот термин часто используется как взаимозаменяемый с термином EMSEC (безопасность эмиссий), который входит в состав стандартов COMSEC (безопасность коммуникаций) .

Защита TEMPEST

Схема криптографической архитектуры Red/Black для коммуникационного устройства. Источник: David Kleidermacher

Во-первых, защита TEMPEST применяется к базовому понятию криптографии, известному как архитектура Red/Black (красное/черное). Эта концепция разделяет системы на «красное» (Red) оборудование, которое используется для обработки конфиденциальной информации, и на «черное» (Black) оборудование, которое передает данные без грифа секретности. Одно из предназначений защиты TEMPEST – это данная сепарация, которая и разделяет все компоненты, отделяя «красное» оборудование от «черного» специальными фильтрами.

Во-вторых, важно иметь в виду тот факт, что все устройства имеют определенный уровень излучения. Это означает, что максимально возможным уровнем защиты будет полная защита всего пространства, включая компьютеры, системы и компоненты. Впрочем, это было бы чрезвычайно дорогостояще и непрактично для большинства организаций. По этой причине используются более точечные техники:
  • Оценка зонирования: используется для изучения уровня безопасности TEMPEST для пространств, инсталляций и компьютеров. После проведения данной оценки, ресурсы могут быть направлены на те компоненты и компьютеры, которые содержат наиболее чувствительную информацию или незашифрованные данные. Различные официальные органы, регулирующие безопасность коммуникаций, такие как АНБ в США или CCN в Испании , сертифицируют такие техники.
  • Экранированные области: оценка зонирования может показать, что определенные пространства, содержащие компьютеры, не полностью отвечают всем требованиям безопасности. В таких случаях одним из вариантов является полное экранирование данного пространства или использование экранированных шкафов для таких компьютеров. Эти шкафы сделаны из специальных материалов, которые препятствуют распространению излучений.
  • Компьютеры со своими собственными сертификатами TEMPEST: иногда компьютер может находиться в безопасном месте, но иметь недостаток адекватного уровня безопасности. Для усиления имеющегося уровня безопасности существуют компьютеры и коммуникационные системы, которые имеют свою собственную сертификацию TEMPEST, удостоверяющую безопасность их аппаратного обеспечения и прочих компонентов.
TEMPEST показывает, что, даже если корпоративные системы имеют практически безопасные физические пространства или они даже не подключены к внешним коммуникациям, все равно нет гарантий того, что они полностью безопасны. В любом случае, большинство уязвимостей в критических инфраструктурах связаны, скорее всего, с обычными атаками (например, шифровальщики), о чем мы недавно сообщали . В этих случаях можно достаточно просто избежать подобных атак с помощью соответствующих мер и передовых решений информационной безопасности с опциями расширенной защиты https://www.cloudav.ru/enterprise/adaptive-defense-360 . Сочетание всех этих мер безопасности является единственным способом обеспечения безопасности систем, критических для будущего компании или даже всей страны.


Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
B2B кибер-атака расширенная информационная безопасность
Alt text

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.