Буря (кодовое имя) - Tempest (codename)

TEMPEST - это спецификация Агентства национальной безопасности США и сертификат НАТО, касающийся шпионажа за информационными системами посредством утечек излучения, включая непреднамеренные радио- или электрические сигналы, звуки и вибрации. TEMPEST охватывает как методы слежки за другими, так и способы защиты оборудования от такого слежения. Усилия по защите также известны как безопасность излучения (EMSEC), которая является подмножеством безопасности связи (COMSEC).

Методы слежки за компьютерными выбросами АНБ засекречены, но некоторые стандарты защиты были опубликованы либо АНБ, либо Министерством обороны. Защита оборудования от шпионажа осуществляется с помощью дистанции, экранирования, фильтрации и маскировки. Стандарты TEMPEST предписывают такие элементы, как расстояние от оборудования до стен, степень защиты в зданиях и оборудовании, а также расстояние, разделяющее провода, несущие классифицированные и несекретные материалы, фильтры на кабелях и даже расстояние и экранирование между проводами или оборудованием и строительными трубами. Шум также может защитить информацию, маскируя фактические данные.

Микшер Bell 131B2, используемый для XOR сигналов телетайпа с одноразовыми лентами, был первым устройством, из которого с использованием излучаемых сигналов извлекался классифицированный простой текст.

Хотя большая часть TEMPEST связана с утечкой электромагнитных излучений , она также включает в себя звуки и механические колебания. Например, можно регистрировать нажатия клавиш пользователем с помощью датчика движения внутри смартфонов . Компрометирующие излучения определяются как непреднамеренные интеллектуальные сигналы, которые, если их перехватить и проанализировать ( атака по побочным каналам ), могут раскрыть информацию, переданную, полученную, обработанную или иным образом обработанную любым оборудованием обработки информации.

История

Во время Второй мировой войны Bell Telephone поставила вооруженным силам США микшер 131-B2, который зашифровывал сигналы телетайпа с помощью XOR с ключевым материалом с одноразовых лент ( система SIGTOT ) или, ранее, роторного генератора ключей. называется SIGCUM . В его работе использовались электромеханические реле. Позже Белл сообщил Корпусу связи, что они смогли обнаружить электромагнитные всплески на расстоянии от микшера и восстановить простой текст. Встретив скептицизм по поводу того, действительно ли явление, которое они обнаружили в лаборатории, может быть опасным, они продемонстрировали свою способность восстанавливать простой текст из криптоцентра Signal Corps на Варик-стрит в Нижнем Манхэттене. Встревоженный, Корпус связи попросил Белла продолжить расследование. Белл определил три проблемные области: излучаемые сигналы, сигналы, передаваемые по проводам, идущим от объекта, и магнитные поля. В качестве возможных решений они предложили экранирование, фильтрацию и маскировку.

Роторные машины , такие как SIGCUM , были одним из первых источников компрометирующих эффектов TEMPEST.

Белл разработал модифицированный смеситель 131-A1 с экранированием и фильтрацией, но оказалось, что его сложно обслуживать и слишком дорого использовать. Вместо этого соответствующие командиры были предупреждены о проблеме и посоветовали контролировать зону диаметром 100 футов (30,48 метра) вокруг их центра связи, чтобы предотвратить скрытый перехват, и на этом все было оставлено. Затем, в 1951 году, ЦРУ заново обнаружило проблему микшера 131-B2 и обнаружило, что они могут восстанавливать простой текст с линии, несущей зашифрованный сигнал за четверть мили. Были разработаны фильтры для сигнальных линий и линий электропередач, а рекомендуемый радиус контрольного периметра был увеличен до 200 футов, исходя больше из того, что от командиров можно ожидать, чем из каких-либо технических критериев.

Последовал долгий процесс оценки систем и разработки возможных решений. Были обнаружены и другие компрометирующие эффекты, такие как колебания в линии электропередачи из-за ступенчатости роторов. Вопрос об использовании шума электромеханических систем шифрования был поднят в конце 1940-х годов, но теперь был переоценен как возможная угроза. Акустические излучения могли отображать обычный текст, но только если звукосниматель находился близко к источнику. Тем не менее, подойдут даже посредственные микрофоны. Звукоизоляция комнаты усугубила проблему, убрав отражения и обеспечив более чистый сигнал на записывающем устройстве.

Релейная логика , такая как в этом Flexowriter, была еще одним крупным ранним источником излучения TEMPEST.

В 1956 году Морская научно-исследовательская лаборатория разработала лучший смеситель, который работал при гораздо более низких напряжениях и токах и, следовательно, излучал гораздо меньше. Он был включен в более новые системы шифрования АНБ. Однако многим пользователям требовались более высокие уровни сигнала, чтобы управлять телетайпами на больших расстояниях или при подключении нескольких телетайпов, поэтому новые устройства шифрования включали возможность переключать сигнал обратно на более высокий уровень. АНБ приступило к разработке методов и спецификаций для изоляции путей конфиденциальной связи посредством фильтрации, экранирования, заземления и физического разделения: тех строк, которые несли конфиденциальный простой текст, от тех, которые предназначены для передачи только неконфиденциальных данных, причем последние часто выходят за пределы безопасная среда. Эта попытка разделения стала известна как концепция « Красное / Черное» . Совместная политика 1958 года под названием NAG-1 установила нормы излучения для оборудования и установок, основанные на пределе контроля в 50 футов (15,24 метра). В нем также указаны уровни классификации различных аспектов проблемы TEMPEST. В следующем году эту политику приняли Канада и Великобритания. Шесть организаций, военно-морской флот, армия, военно-воздушные силы, АНБ, ЦРУ и Государственный департамент должны были обеспечить основную часть усилий по его реализации.

Трудности возникли быстро. Компьютеризация становится важной для обработки разведывательных данных, и компьютеры и их периферийные устройства должны быть оценены, причем многие из них обнаруживают уязвимости. Фриден Flexowriter , популярный I / O машинки в то время, оказалось одним из самых сильных излучателей, читаемый на расстоянии до 3200 футов (975.36 метра) в полевых испытаниях. Совет по безопасности связи США (USCSB) разработал политику Flexowriter, которая запрещает его использование за границей для секретной информации и ограничивает его использование в США до уровня конфиденциальности , а затем только в пределах 400-футовой (121,92-метровой) зоны безопасности - но пользователи сочли эту политику обременительной и непрактичной. Позже АНБ обнаружило аналогичные проблемы с введением дисплеев на электронно-лучевых трубках ( ЭЛТ ), которые также были мощными излучателями.

Это был многолетний процесс перехода от рекомендаций по политике к более строгим правилам TEMPEST. В результате Директива 5200.19, согласованная с 22 отдельными агентствами, была подписана министром обороны Робертом Макнамарой в декабре 1964 года, но для ее полного выполнения потребовались месяцы. Официальная реализация NSA вступила в силу в июне 1966 года.

Между тем проблема акустических излучений стала более острой с открытием около 900 микрофонов в американских установках за границей, большинство из которых находится за железным занавесом . В ответ было построено ограждение «комната в комнате», несколько прозрачных, получивших прозвище «рыбные миски». Другие блоки были полностью экранированы, чтобы сдерживать электронные излучения, но не пользовались популярностью у персонала, который должен был работать внутри; вольеры они называли «шкафчиками для мяса», а иногда просто оставляли двери открытыми. Тем не менее, они были установлены в критических местах, таких как посольство в Москве, где были установлены два: один для использования Госдепартаментом и один для военных атташе. Установка оборудования для генерации ключей в АНБ стоила 134 000 долларов.

Стандарты Tempest продолжали развиваться в 1970-х годах и позже, с появлением более новых методов тестирования и более подробных руководств, которые учитывали риски в конкретных местах и ситуациях. Но тогда, как и сейчас, потребности в безопасности часто встречали сопротивление. По словам Дэвида Г. Боака из NSA, «кое-что из того, что мы все еще слышим сегодня в наших собственных кругах, когда строгие технические стандарты сводятся на нет в интересах денег и времени, пугающе напоминает высокомерный Третий Рейх с его криптомашиной Enigma».

Стандарты экранирования

Многие особенности стандартов TEMPEST засекречены , но некоторые элементы являются общедоступными. Текущие стандарты США и НАТО Tempest определяют три уровня требований к защите:

НАТО SDIP-27 уровня A (ранее AMSG 720B) и США NSTISSAM уровня I

«Стандарт лабораторных испытаний компрометирующих излучений»

Это самый строгий стандарт для устройств, которые будут работать в зоне 0 НАТО , где предполагается, что злоумышленник имеет почти немедленный доступ (например, соседняя комната, на расстоянии 1 метр; 3 фута).

НАТО SDIP-27 уровня B (ранее AMSG 788A) и США NSTISSAM уровня II

«Стандарт лабораторных испытаний оборудования охраняемых объектов»

Это слегка смягченный стандарт для устройств, которые работают в зоне 1 НАТО , где предполагается, что атакующий не может приблизиться ближе, чем примерно на 20 метров (65 футов) (или где строительные материалы обеспечивают затухание, эквивалентное затуханию в свободном пространстве. этого расстояния).

НАТО SDIP-27 уровня C (ранее AMSG 784) и США NSTISSAM уровня III

«Стандарт лабораторных испытаний тактического мобильного оборудования / систем»

Еще более мягкий стандарт для устройств, работающих в зоне 2 НАТО , где злоумышленники должны иметь дело с затуханием, эквивалентным 100 м (300 футов) в свободном пространстве (или эквивалентным затуханием через строительные материалы).

Дополнительные стандарты включают:

НАТО SDIP-29 (ранее AMSG 719G)

«Монтаж электрооборудования для обработки секретной информации»

Этот стандарт определяет требования к установке, например, в отношении заземления и расстояний между кабелями.

AMSG 799B

«Процедуры зонирования НАТО»

Определяет процедуру измерения затухания, в соответствии с которой отдельные комнаты в пределах периметра безопасности можно разделить на Зону 0, Зону 1, Зону 2 или Зону 3, которая затем определяет, какой стандарт испытаний экранирования требуется для оборудования, обрабатывающего секретные данные в этих комнатах. .

АНБ и министерство обороны рассекретили некоторые элементы TEMPEST после запросов Закона о свободе информации , но в документах скрыты многие ключевые ценности и описания. Рассекреченная версия стандарта тестирования TEMPEST сильно отредактирована , а пределы излучения и процедуры тестирования затемнены. Отредактированная версия вводного справочника Tempest NACSIM 5000 была публично выпущена в декабре 2000 года. Кроме того, текущий стандарт НАТО SDIP-27 (до 2006 года известный как AMSG 720B, AMSG 788A и AMSG 784) все еще засекречен.

Требования к экранированию TEMPEST

Несмотря на это, некоторые рассекреченные документы содержат информацию об экранировании, требуемом стандартами TEMPEST. Например, в Военном справочнике 1195 справа есть диаграмма, показывающая требования к электромагнитному экранированию на разных частотах. Рассекреченная спецификация NSA для экранированных корпусов предлагает аналогичные значения экранирования, требуя «вносимых потерь не менее 100 дБ в диапазоне от 1 кГц до 10 ГГц». Поскольку большая часть текущих требований все еще засекречена, нет общедоступных корреляций между этим требованием к экранированию 100 дБ и новыми стандартами экранирования на основе зон.

Кроме того, многие требования к расстоянию разделения и другие элементы предусмотрены рассекреченным красно-черным руководством по установке АНБ NSTISSAM TEMPEST / 2-95.

Сертификация

Агентства информационной безопасности нескольких стран НАТО публикуют списки аккредитованных испытательных лабораторий и оборудования, прошедшего эти испытания:

В Канаде: канадская промышленная программа TEMPEST
В Германии: Список зонированных продуктов BSI в Германии
В Великобритании: UK CESG Directory of Infosec Assured Products, раздел 12.
В США: Программа сертификации NSA TEMPEST

У армии США также есть испытательный центр Tempest в составе инженерного командования информационных систем армии США в Форт-Хуачука , штат Аризона . Подобные списки и сооружения существуют и в других странах НАТО.

Сертификация Tempest должна применяться ко всем системам, а не только к отдельным компонентам , поскольку подключение одного неэкранированного компонента (например, кабеля или устройства) к защищенной в остальном системе может значительно изменить радиочастотные характеристики системы.

КРАСНЫЙ / ЧЕРНЫЙ разделение

Стандарты TEMPEST требуют « разделения КРАСНОГО / ЧЕРНОГО », т. Е. Поддержания расстояния или установки экранирования между цепями и оборудованием, используемым для обработки незашифрованной секретной или конфиденциальной информации открытым текстом (КРАСНЫЙ), а также защищенных цепей и оборудования (ЧЕРНЫЙ), в том числе несущих зашифрованные сигналы. Производство оборудования, одобренного ТЕМПЕСТ, должно осуществляться под тщательным контролем качества, чтобы гарантировать, что дополнительные блоки построены точно так же, как блоки, которые были протестированы. Замена даже одного провода может сделать тесты недействительными.

Коррелированные эманации

Одним из аспектов тестирования Tempest, который отличает его от ограничений на побочные излучения ( например , FCC, часть 15 ), является требование абсолютной минимальной корреляции между излучаемой энергией или обнаруживаемыми излучениями и любыми обрабатываемыми данными открытого текста.

Публичное исследование

В 1985 году Вим ван Эк опубликовал первый несекретный технический анализ рисков безопасности, исходящих от компьютерных мониторов . Эта статья вызвала некоторый испуг в сообществе специалистов по безопасности, которые ранее считали, что такой мониторинг представляет собой очень изощренную атаку, доступную только правительствам ; Ван Экк успешно перехватил реальную систему на расстоянии сотен метров , используя оборудование стоимостью всего 15 долларов плюс телевизор .

Как следствие этого исследования, такие излучения иногда называют «излучением Ван Экка» и техникой подслушивания ван Экка фрикингом , хотя правительственные исследователи уже знали об опасности, поскольку Bell Labs отметила эту уязвимость для защиты телетайпов во время Второй мировой войны. и был в состоянии произвести 75% открытого текста, обрабатываемого на безопасном объекте с расстояния 80 футов. (24 метров) Кроме того , АНБ опубликовал Tempest Основы, NSA-82-89, NACSIM 5000, Агентство национальной безопасности (объявления) на 1 февраля 1982 г. Кроме того, метод ван Экк был успешно продемонстрирован не-Tempest персонала в Корее во время Корейская война в 1950 - х годах.

Маркус Кун обнаружил несколько недорогих методов, снижающих вероятность удаленного наблюдения за излучениями от компьютерных дисплеев. При использовании ЭЛТ- дисплеев и аналоговых видеокабелей фильтрация высокочастотных компонентов из шрифтов перед их отображением на экране компьютера снижает энергию, с которой транслируются текстовые символы. В современных плоских дисплеях кабели высокоскоростного цифрового последовательного интерфейса ( DVI ) от графического контроллера являются основным источником компрометирующих излучений. Добавление случайного шума к наименее значимым битам значений пикселей может сделать излучение от плоских дисплеев непонятным для подслушивающих, но это небезопасный метод. Поскольку DVI использует определенную схему битового кода, которая пытается передать сбалансированный сигнал из 0 бит и 1 бит, может не быть большой разницы между двумя цветами пикселей, которые сильно различаются по цвету или интенсивности. Излучения могут сильно отличаться, даже если изменяется только последний бит цвета пикселя. Сигнал, принимаемый перехватчиком, также зависит от частоты, на которой обнаруживаются излучения. Сигнал может быть получен одновременно на многих частотах, и сигнал каждой частоты отличается по контрасту и яркости, связанным с определенным цветом на экране. Обычно метод подавления КРАСНОГО сигнала шумом неэффективен, если мощность шума не достаточна, чтобы привести приемник подслушивателя в состояние насыщения, таким образом подавляя вход приемника.

Светодиодные индикаторы на компьютерном оборудовании могут быть источником компрометирующих оптических излучений. Один из таких методов включает мониторинг индикаторов на модеме удаленного доступа . Почти все модемы мигают светодиодом, чтобы показать активность, и обычно эти вспышки снимаются непосредственно с линии передачи данных. Таким образом, быстрая оптическая система может легко увидеть изменения мерцания данных, передаваемых по проводам.

Недавние исследования показали, что можно обнаружить излучение, соответствующее нажатию клавиши, не только с беспроводных (радио) клавиатур, но также с традиционных проводных клавиатур и даже с клавиатур ноутбуков. Начиная с 1970-х годов советское прослушивание пишущих машинок IBM Selectric в посольстве США позволяло обнаруживать механическое движение рулевой тяги с прикрепленными магнитами с помощью имплантированных магнитометров и преобразовывать через скрытую электронику в цифровой радиочастотный сигнал. Каждая восьмизначная передача предоставляла Советскому Союзу доступ к секретным документам, когда они печатались на американских предприятиях в Москве и Ленинграде.

В 2014 году исследователи представили «AirHopper», разветвленную схему атаки, показывающую возможность кражи данных с изолированного компьютера на соседний мобильный телефон с использованием частотных сигналов FM.

В 2015 году был представлен «BitWhisper», скрытый канал передачи сигналов между компьютерами с воздушными зазорами, использующий тепловые манипуляции. BitWhisper поддерживает двунаправленную связь и не требует дополнительного выделенного периферийного оборудования. Позже в 2015 году исследователи представили GSMem, метод фильтрации данных с компьютеров с воздушным зазором по сотовым частотам. Передача, генерируемая стандартной внутренней шиной, превращает компьютер в небольшую антенну сотового передатчика. В феврале 2018 года было опубликовано исследование, в котором описывалось, как низкочастотные магнитные поля могут использоваться для извлечения конфиденциальных данных с компьютеров в клетках Фарадея и компьютеров с воздушными зазорами с помощью вредоносного ПО под кодовым названием ODINI, которое может контролировать низкочастотные магнитные поля, излучаемые зараженными компьютерами. регулирование загрузки ядер процессора.

В 2018 году, класс бокового канала атаки был введен в АКМ и Black Hat по Eurecom «s исследователей:„Screaming каналов“. Этот вид атаки нацелен на микросхемы смешанных сигналов, содержащие аналоговую и цифровую схемы на одном кремниевом кристалле, с радиопередатчиком . Результатом этой архитектуры, часто встречающейся в подключенных объектах , является то, что цифровая часть микросхемы будет пропускать некоторые метаданные о своих вычислениях в аналоговую часть, что приводит к утечке метаданных, кодируемых в шуме радиопередачи. Благодаря методам обработки сигналов исследователи смогли извлечь криптографические ключи, используемые во время коммуникации, и расшифровать контент. Авторы предполагают, что этот класс атаки уже много лет известен правительственным спецслужбам .

В популярной культуре

В телесериале Numb3rs , эпизод 1 сезона «Жертвоприношение», провод, подключенный к антенне с высоким коэффициентом усиления, использовался для «чтения» с монитора компьютера.
В эпизоде 4 сезона телесериала Spooks "The Sting" описана неудачная попытка чтения информации с компьютера, не имеющего сетевого соединения.
В романе Нила Стивенсона « Криптономикон » персонажи используют фрикинг Ван Экка, чтобы аналогичным образом считывать информацию с монитора компьютера в соседней комнате.
В телесериале Agents of SHIELD , эпизод 1 сезона "Ragtag", офис сканируется на наличие цифровых подписей в диапазоне УВЧ.
В видеоигре Tom Clancy's Splinter Cell: Chaos Theory часть финальной миссии включает в себя слежку за встречей в боевой комнате, закаленной бурей. Во всей серии Splinter Cell также используется лазерный микрофон .
В видеоигре Rainbow Six: Siege оператор Mute имеет опыт работы со спецификациями TEMPEST. Первоначально он спроектировал подавитель сигналов, чтобы скрытые микрофоны на конфиденциальных встречах не передавали сигнал, и адаптировал их для боевых действий, способных нарушать работу удаленно активируемых устройств, например, взломщиков.
В новой серии прачечная Files по Чарльз Стросса , персонаж Джеймс Энглтон (высокого рейтинг офицера сверхсекретных разведок) всегда использует низкие технические устройства , такие как пишущая машинку или Memex для защиты от TEMPEST (несмотря на строительство будучи tempest- экранированный).

Смотрите также

Воздушный зазор (сеть) - воздушные зазоры могут быть преодолены методами, подобными TEMPEST.
Компьютерное и сетевое наблюдение
Компьютерная безопасность
ЭШЕЛОН
MIL-STD-461
Атака по побочному каналу
TempestSDR - реализация Tempest с открытым исходным кодом с использованием Software Defined Radio

использованная литература

Источники

Чампа, Марк (2017). CompTIA Security + Руководство по основам сетевой безопасности . Cengage Learning. ISBN 978-1-337-51477-4.
Гури, Мордехай; Кедма, Габи; Кахлон, Ассаф; Еловичи, Юваль (2014). «AirHopper: Преодоление разрыва между изолированными сетями и мобильными телефонами с помощью радиочастот». Материалы 9-й Международной конференции IEEE по вредоносному и нежелательному программному обеспечению (MALCON 2014) . С. 58–67. arXiv : 1411.0237 . DOI : 10,1109 / MALWARE.2014.6999418 .
Гури, Мордехай; Мониц, Матан; Мирски, Исроэль; Еловичи, Юваль (2015). «BitWhisper: скрытый канал передачи сигналов между компьютерами с воздушными зазорами с использованием тепловых манипуляций». Proceedings 2015 IEEE 28-й симпозиум по основам компьютерной безопасности CSF 2015 . С. 276–289. arXiv : 1503.07919 . DOI : 10,1109 / CSF.2015.26 .
Гури, Мордехай; Задов, Борис; Еловичи, Юваль (2018). «ODINI: ускользание от конфиденциальных данных с компьютеров с решеткой Фарадея и закрытыми воздушными промежутками с помощью магнитных полей». IEEE Transactions по информационной криминалистике и безопасности . 15 : 1190–1203. arXiv : 1802.02700 . Bibcode : 2018arXiv180202700G . DOI : 10.1109 / TIFS.2019.2938404 . ISSN 1556-6013 . S2CID 3622353 .
Гури, Мордехай; Кахлон, Ассаф; Хассон, Офер; Кедма, Габи; Мирский, Исроэль; Еловичи, Юваль (август 2015 г.). «GSMem: эксфильтрация данных с компьютеров с воздушным зазором на частотах GSM» . 24-й симпозиум по безопасности USENIX (USENIX Security 15) . Видео на YouTube .
Кубяк, Иренеуш (2018). «Шрифт TEMPEST, препятствующий неинвазивному сбору текстовых данных» . Турецкий журнал электротехники и компьютерных наук . 26 : 582–592. DOI : 10.3906 / Лось-1704-263 . ISSN 1300-0632 .
Кубяк, Иренеуш (2019). «Дизайн шрифтов - обработка форм текстовых информационных структур в процессе неинвазивного сбора данных» . Компьютеры . 8 (4): 70. DOI : 10.3390 / computers8040070 . ISSN 2073-431X .
Marquardt, P .; Verma, A .; Картер, H .; Трейнор, P. (2011), "(зр) я телефон ", Труды 18 - й ACM конференции по компьютерной безопасности и связи - CCS '11 , стр 551-561,. DOI : 10,1145 / 2046707.2046771 , ISBN 9781450309486, S2CID 5098788
Стросс, Чарльз (2010). Архивы злодеяний: Книга 1 в архиве прачечной . Маленький, Браун. ISBN 978-0-7481-2413-8.

внешние ссылки

BitWhisper: жара в воздушном зазоре
Как передать конфиденциальные данные с изолированного компьютера (воздушный зазор) на ближайший мобильный телефон - AirHopper
Программа одобрения NSA Tempest
Полная неофициальная информационная страница Tempest (исходный текст не существует. Это зеркало)
Происхождение TEMPEST на шифровальных машинах и криптологии
Риски электромагнитного подслушивания плоских дисплеев (файл .pdf)
Компрометирующие излучения: риски перехвата компьютерных дисплеев
TEMPEST и QinetiQ: меры противодействия электронному прослушиванию
Мягкая буря: скрытая передача данных с использованием электромагнитных излучений (файл .pdf)
Публично выпущенная версия NACSIM 5000
NIST 800-59 —NIST 800-59 - Руководство по идентификации информационной системы как системы национальной безопасности. (файл .pdf)
Утечка информации из оптических излучений - статья в журнале ACM Transactions on Information and System Security , Vol. 5, № 3. С. 262–289 (2002).
История безопасности связи США (Тома I и II) ; Лекции Дэвида Г. Боака, Агентство национальной безопасности, 1973 (частично отредактировано)

Languages

In other projects