image

Недавно Венесуэла пережила серию отключений электричества, которые оставили 11 штатов этой страны без электроэнергии. С самого начала данного инцидента правительство Николаса Мадуро утверждало, что это был акт саботажа, который стал возможен благодаря электромагнитным атакам и кибер-атакам на национальную электрическую компанию Corpoelec и ее электростанции. Напротив, самопровозглашенное правительство Хуана Гуайдо просто списало этот инцидент на «неэффективность [и] неспособность режима».

Без беспристрастного и глубокого анализа ситуации очень сложно установить, были ли эти отключения следствием саботажа или все же они были вызваны недостатком технического обслуживания. Тем не менее, утверждения о предполагаемом саботаже порождают ряд интересных вопросов, связанных с информационной безопасностью. Многие системы управления на объектах критической инфраструктуры, таких как электростанции, являются закрытыми, а потому они не имеют внешних подключений к Интернету. Таким образом, возникает вопрос: могли ли кибер-злоумышленники получить доступ к закрытым ИТ-системам без непосредственного подключения к их компьютерам? Ответ — да. В таком случае электромагнитные волны могут быть вектором атаки.

Как «захватить» электромагнитные излучения


Все электронные устройства генерируют излучения в виде электромагнитных и акустических сигналов. В зависимости от ряда факторов, таких как расстояние и наличие препятствий, подслушивающие устройства могут «захватывать» сигналы от этих устройств с помощью специальных антенн или высокочувствительных микрофонов (в случае акустических сигналов) и обрабатывать их для извлечения полезной информации. Такие устройства включают в себя мониторы и клавиатуры, и как таковые они могут также использоваться кибер-преступниками.

Если говорить про мониторы, то еще в 1985 году исследователь Вим ван Эйк опубликовал первый несекретный документ о том, какие риски безопасности несут с собой излучения от таких устройств. Как вы помните, тогда мониторы использовали электронно-лучевые трубки (ЭЛТ). Его исследование продемонстрировало, что излучение от монитора может быть «считано» на расстоянии и использована для восстановления изображений, показываемых на мониторе. Это явление известно как перехват ван Эйка, и фактически оно является одной из причин, почему ряд стран, среди которых Бразилия и Канада, считают электронные системы голосования слишком небезопасными для использовании в избирательных процессах.

image
Оборудование, используемое для доступа к другому ноутбуку, расположенному в соседней комнате. Источник: Tel Aviv University

Хотя в наши дни ЖК-мониторы генерируют намного меньше излучения, чем мониторы с ЭЛТ, тем не менее, недавнее исследование показало, что они также являются уязвимыми. Более того, специалисты из Университета Тель-Авива (Израиль) наглядно продемонстрировали это. Они сумели получить доступ к зашифрованному контенту на ноутбуке, расположенному в соседней комнате, с помощью достаточного простого оборудования стоимостью около 3000 долларов США, состоящего из антенны, усилителя и ноутбука со специальным программным обеспечением для обработки сигналов.

С другой стороны, сами клавиатуры также могут быть чувствительны к перехвату их излучений. Это означает, что существует потенциальный риск кибер-атак, в рамках которых злоумышленники могут восстанавливать регистрационные данные и пароли, анализируя, какие клавиши на клавиатуре были нажаты.

TEMPEST и EMSEC


Использование излучений для извлечения информации получило свое первое применение еще в ходе первой мировой войны, и оно было связано с телефонными проводами. Эти приемы широко использовались в течение холодной войны с более совершенными устройствами. Например, рассекреченный документ NASA от 1973 года объясняет, как в 1962 году сотрудник службы безопасности посольства США в Японии обнаружил, что диполь, размещенный в находящейся неподалеку больнице, был направлен на здание посольства для перехвата его сигналов.

Но понятие TEMPEST как таковое начинает появляться уже в 70-е годы с первыми директивами безопасности об излучениях, которые появились в США . Это кодовое название относится к исследованиям о непреднамеренных (побочных) излучениях электронных устройств, которые могут способствовать утечке секретной информации. Стандарт TEMPEST был создан Агентством национальной безопасности США (АНБ) и привел к появлению стандартов безопасности, которые также были приняты в НАТО.

Этот термин часто используется как взаимозаменяемый с термином EMSEC (безопасность эмиссий), который входит в состав стандартов COMSEC (безопасность коммуникаций).

Защита TEMPEST


image
Схема криптографической архитектуры Red/Black для коммуникационного устройства. Источник: David Kleidermacher

Во-первых, защита TEMPEST применяется к базовому понятию криптографии, известному как архитектура Red/Black (красное/черное). Эта концепция разделяет системы на «красное» (Red) оборудование, которое используется для обработки конфиденциальной информации, и на «черное» (Black) оборудование, которое передает данные без грифа секретности. Одно из предназначений защиты TEMPEST – это данная сепарация, которая и разделяет все компоненты, отделяя «красное» оборудование от «черного» специальными фильтрами.

Во-вторых, важно иметь в виду тот факт, что все устройства имеют определенный уровень излучения. Это означает, что максимально возможным уровнем защиты будет полная защита всего пространства, включая компьютеры, системы и компоненты. Впрочем, это было бы чрезвычайно дорогостояще и непрактично для большинства организаций. По этой причине используются более точечные техники:

  • Оценка зонирования: используется для изучения уровня безопасности TEMPEST для пространств, инсталляций и компьютеров. После проведения данной оценки, ресурсы могут быть направлены на те компоненты и компьютеры, которые содержат наиболее чувствительную информацию или незашифрованные данные. Различные официальные органы, регулирующие безопасность коммуникаций, такие как АНБ в США или CCN в Испании, сертифицируют такие техники.
  • Экранированные области: оценка зонирования может показать, что определенные пространства, содержащие компьютеры, не полностью отвечают всем требованиям безопасности. В таких случаях одним из вариантов является полное экранирование данного пространства или использование экранированных шкафов для таких компьютеров. Эти шкафы сделаны из специальных материалов, которые препятствуют распространению излучений.
  • Компьютеры со своими собственными сертификатами TEMPEST: иногда компьютер может находиться в безопасном месте, но иметь недостаток адекватного уровня безопасности. Для усиления имеющегося уровня безопасности существуют компьютеры и коммуникационные системы, которые имеют свою собственную сертификацию TEMPEST, удостоверяющую безопасность их аппаратного обеспечения и прочих компонентов.

TEMPEST показывает, что, даже если корпоративные системы имеют практически безопасные физические пространства или они даже не подключены к внешним коммуникациям, все равно нет гарантий того, что они полностью безопасны. В любом случае, большинство уязвимостей в критических инфраструктурах связаны, скорее всего, с обычными атаками (например, шифровальщики), о чем мы недавно сообщали. В этих случаях можно достаточно просто избежать подобных атак с помощью соответствующих мер и передовых решений информационной безопасности с опциями расширенной защиты. Сочетание всех этих мер защиты является единственным способом обеспечения безопасности систем, критических для будущего компании или даже всей страны.

Комментарии (9)


  1. reticular
    05.04.2019 12:18
    +2

    в бедной и корумпированой стране, уязвимой точкой является бедняк-электрик, которого проще подкупить, чем ломать ит-инфраструктуру


  1. Dotarev
    05.04.2019 12:20

    могли ли кибер-злоумышленники получить доступ к закрытым ИТ-системам без непосредственного подключения к их компьютерам? Ответ — да
    Ответ лукавый. Что такое «без непосредственное подключения» и что такое «получить доступ»? В контексте вступительного текста, под «получением доступа» можно предположить получение возможности управления / влияния на работу системы, а «без непосредственного подключения» -путем перехвата паразитного электромагнитного излучения приборов. Из текста ниже становится ясно, что такой возможности нет.


    1. Sun-ami
      06.04.2019 01:52

      В статье не раскрыт этот вопрос, но это не означает, что такой возможности нет. Любые вычислительные модули и даже чипы могут иметь скрытый радиоканал-аппаратную закладку для удалённого управления.


  1. neco
    05.04.2019 12:20
    +1

    радиация от монитора

    все устройства излучают определенный уровень радиации.


    ну излучение же. это слово переводится как «излучение»


    1. PandaSecurityRus Автор
      05.04.2019 12:26

      Спасибо, исправил.


  1. ss-nopol
    05.04.2019 15:26

    А не будет ли дешевле и эффективнее вместо экранирования включить глушилку, которая будет белым шумом забивать нужные частоты.


    1. Stanislavvv
      05.04.2019 17:40

      А потом не получить приказ от командира? Хитрый план!

      На самом деле такое применяется, но это не везде возможно. И при включении этой глушилки голова болеть начинает… Постоянно с ней работать невозможно.


  1. dfgwer
    06.04.2019 12:02

    Попытался представить себе кибератаку без использования электромагнитных волн.
    В черной черной комнате, в черной черной шляпе, сидит черный черный хакер, перед черным черным экраном и набивает черный пречерный код.


    1. Kreuzfeuer
      08.04.2019 07:44

      Чернее чернейшей черноты бесконечности! (С)