11. Перехват ПЭМИН

«TEMPEST» (англ. Transient Electromagnetic Pulse Emanation Standard — стандарт переходного излучения электромагнитного импульса) представляет собой стандарт на побочные электромагнитные импульсные излучения радиоэлектронной аппаратуры в процессе ее работы.

Эта аббревиатура появилась в конце 1960-х годов как название секретной программы МО США по разработке методов предотвращения утечки информации через различного рода демаскирующие и побочные излучения электронного оборудования.

В СССР этот канал утечки информации назывался «ПЭМИН» (Побочные ЭлектроМагнитные Излучения и Наводки). В Европе и Канаде применяется термин «Compromising emanation» — компрометирующее излучение.

Исследования побочных излучений были начаты еще в начале ХХ века. Самыми первыми, пожалуй, были работы руководителя «АЧК» и талантливого криптоаналитика Герберта Ярдли, который разрабатывал методы обнаружения, перехвата и анализа сигналов военных телефонов и радиостанций. Первые же исследования показали, что оборудование имеет различные демаскирующие излучения, которые могут быть использованы для перехвата секретной информации.

Однако вплоть до конца Второй Мировой войны относительно слабое развитие телекоммуникационных технологий не слишком стимулировало и развитие исследований в области «TEMPEST». Но с начала 1950-х годов появление телекоммуникационных сетей и использование компьютеров для обработки передаваемой информации стимулировали разработки в сфере ПЭМИН.

Уже в 1962 году во время Карибского кризиса АНБ с разведывательного судна «Оксфорд» попробовала обойти советскую систему шифрования, перехватывая ПЭМИН шифровальных машин советских радиостанций на Кубе. Проводились также попытки перехвата шумовых излучений, которые раскрывали установки роторов в старых советских шифровальных машинах.

Долгое время все, что было связано с понятием «TEMPEST», было покрыто завесой секретности. Только в 1984 году АНБ разработало требования к «TEMPEST» — безопасности для своих подрядчиков, работающих с секретной информацией. В этом же году Федеральная комиссия по связи ввела сертификацию микрокомпьютеров по уровню помех, а АНБ возглавила программы США в сфере ПЭМИН.

Примером защищенного от ПЭМИН устройства может служить электронный аппарат линейного шифрования «TSEC/KW-7», разработанный АНБ в 1960 году. Эта машина, известная как «ORESTES», имела дополнительный модуль фильтрации и эксплуатировалась ВМФ США и странами НАТО до 1990-х годов.

Для цепей телетайпной системы, обрабатывающей секретные сообщения, использовался стандарт «MIL-STD-883B». Первоначально телетайпы использовали цепи на 60 мА, в результате чего создавались большие индуктивные наводки, которые могли быть перехвачены, поэтому впоследствии значение тока было снижено до 20 мA.

Другим примером защищенного устройства может служить цифровой транзисторный дуплексный шифратор «TSEC/KG-13», разработанная АНБ в 1963 году. Аппарат, известный как «PONTIUS», также имел дополнительные модули фильтрации и интерфейс «883B».

Первый стандарт, принятый еще в 1950 году, получил название «NAG1A». Через 10 лет он был исправлен и переименован в «FS222», а позже в «FS222A».

Еще через 10 лет в 1970 году в стандарт были внесены значительные исправления, и он публиковался как «National Communications Security Information Memorandum 5100» (Информационный меморандум 5100 о безопасности национальных коммуникаций), известный как «NACSIM 5100». Но и этот стандарт просуществовал не долго — до 1974 года, когда вновь был изменен.

В январе 1981 года был опубликован современный национальный стандарт «TEMPEST», входящий в «National Communications Security Committee Directive № 4» (Директива № 4 Комитета по безопасности национальных коммуникаций). Он содержит инструкции федерального агентства по защите от компрометирующих излучений информации, соответствующей тому или иному классу секретности. Этот документ также известен как «NACSIM 5100А».

«National Communications Security Instruction 5004» (Инструкция по безопасности национальных коммуникаций), имеющая гриф секретности, была опубликована в январе 1984. Этот документ также известен как «NACSI 5004».

Данная инструкция определяет меры по обеспечению безопасности информации для всех отделов и агентств, где обрабатываются данные, имеющие гриф секретности или касающиеся национальной безопасности Соединенных Штатов.

Кроме того, в сентябре 1984 года была принята «National Security Decision Directive 145» (Директива решений национальной безопасности № 145), которая определяет АНБ как основное учреждение и национального администратора безопасности правительственных телекоммуникаций и автоматизированных информационных систем (далее — АИС).

АНБ было уполномочено производить обзор и проверять все стандарты, технику, системы и приборы для безопасности АИС, в том числе и по «TEMPEST». В этой роли АНБ вырабатывает рекомендации Национальному комитету по телекоммуникациям и безопасности информационных систем для проведения необходимых изменений в стандарте «TEMPEST».

В правительственных системах существует принцип разделения оборудования на так называемое «красное» и «черное». «Красное» оборудование, используемое для обработки конфиденциальной информации (например, мониторы) должно быть изолировано фильтрами и экранами от «черного» (например, радио-модемов), которое передает данные без грифа ограничения доступа.

Оборудование, имеющее оба типа соединений, например, шифровальные машины или защищенные рабочие станции должно быть особым образом протестировано. Разделение оборудования на «красное» и «черное» было определено стандартом «NACSIM 5100», принятым в 1970 году.

Американскому стандарту «NACSIM 5100A» эквивалентен стандарт НАТО «AMSG 720B Compromising Emanations Laboratory Test Standart» (Стандарт на лабораторные испытания компрометирующих излучений). В 1982 году стандарт «AMSG 720B» был пересмотрен и принят новый «облегченный» вариант.

В Великобритании аналогом «NACSIM 5100A» и «AMSG 720B» является стандарт «BTR/01/202», который также имеет упрощенный вариант «BTR/01/210». А, например, в Германии даже названия государственных стандартов на ПЭМИН держаться в секрете.

В Канаде также существует стандарт (и сопутствующие ему документы) на компрометирующие излучения. Впрочем, исследования в этой области велись здесь уже с начала 1950-х годов, о чем указано в книге Кевина О’Нейла о Группе связи Национального исследовательского совета «CBNRC» (англ. Communications Branch of National Research Council). Сейчас это подразделение реорганизовано в Управление безопасности коммуникаций «CSE» (англ. Communications Security Establishment).

О «Нейл рассказывает, что еще в 1959 году Совет по безопасности коммуникаций «CSB» (англ. Communications Security Board) предложил расширить полномочия Группы связи, организовать технический совет и возложить на него функции контроля за безопасностью электромагнитных излучений.

Кроме того, в начале 1960 года «CSB» разработал документ «CSB/91», в котором говорилось о необходимости включить в полномочия Группы связи еще и «TEMPEST». Документ рекомендовал ее директору взять на себя ответственность за проведение испытаний и организацию в правительственных ведомствах Канады технических советов, которые будут заниматься проблемой компрометирующих излучений.

Все исследования по «TEMPEST» и случаи перехвата, как правило, держались в секрете, а первое открытое описание угрозы ПЭМИН появилось в отчете шведа Кристиана Бекмана в начале 1980-х годов.

В марте 1985 года на выставке «Securecom-85» в Каннах голландский инженер Вим ван Эйк впервые продемонстрировал оборудование для перехвата ПЭМИН монитора компьютера. Эксперимент показал, что перехват возможен с помощью слегка доработанного обычного телевизионного приемника.

После выставки Вим ван Эйк опубликовал в СМИ статью «Электромагнитное излучение видеодисплейных модулей: Риск перехвата?». Статья была посвящена потенциальным методам перехвата композитного сигнала видеомониторов на расстоянии до 1 км.

Особенно бурное развитие технологии «TEMPEST» получили в конце 1980-х годов. Это было связано как с осознанием широкой общественностью опасности угроз ПЭМИН, так и с широким развитием криптологии. Применение при передаче информации стойких алгоритмов шифрования зачастую не оставляет шансов дешифровать перехваченное сообщение. В этих условиях «TEMPEST» — атака может быть единственным способом получения хотя бы части открытой информации до того, как она будет зашифрована.

В 1985 году компания «Iverson» создала вариант персонального компьютера «IBM PC» с защитой от ПЭМИН. В этом же году компания «Grid Federal Systems» создала такой же портативный компьютер с плазменным дисплеем, который был одобрен АНБ. Также АНБ разработало «Методику для обработки „TEMPEST“-информации в устройствах, системах, оборудовании».

В 1986 году правительство США запретило демонстрацию на конференции Института компьютерной безопасности «CSI» (англ. Computer Security Institute) системы защиты от ПЭМИН. АНБ запретило компании «Wang Corporation» демонстрировать «TEMPEST».

В 1987 году компания «Zenith» изготовила и поставила Пентагону 12 тысяч персональных компьютеров с защитой от ПЭМИН. При этом АНБ предложило компании не проводить «TEMPEST» — демонстрацию на конференции «Interface-87».

В 1991 году главный инспектор ЦРУ в отчете для Разведывательного сообщества США описал внутренние требования «TEMPEST», основанные на угрозе утечки информации. Исходя из этих предложений, были потрачены сотни миллионов долларов на защиту от уязвимости техники, вероятность использования которой для обработки секретной информации оказалась крайне низка. Этот отчет подтолкнул Разведсообщество к ревизии имеющихся требований «TEMPEST» и пересмотру части из них.

«В настоящее время ряд агентств отказались от стандарта «TEMPEST», принятого в Соединенных Штатах. Дело в том, что «TEMPEST» — атаки требуют значительного времени, достаточно близкого расположения злоумышленников к объекту атаки, и поэтому могут быть обнаружены службой безопасности. В связи с этим некоторые агентства перешли на упрощенный вариант защиты, стоимость которого значительно меньше.

Другие продолжают использовать внутренний стандарт «TEMPEST», так как, по их мнению, следование ему предотвращает попытки хищения информации посредством электромагнитных излучений. Представители правительства и сотрудники службы безопасности учли рекомендации Комиссии и в течение двух лет изменили стандарт «TEMPEST» в сторону смягчения требований.

Однако даже с принятием нового национального стандарта «TEMPEST», процессы его изменения будут продолжены. Это связано с технологическим прогрессом и появлением новой техники. Новая политика требует организации «Certified TEMPEST Technical Authority» (Технических уполномоченных по сертификации на «TEMPEST»), которые должны следить за выполнением стандарта «TEMPEST» и соответствием техники требованиям этого стандарта».

Этот отчет заставил пересмотреть и снизить внутренние требования к системам защиты от ПЭМИН. Это привело к разумной политике в отношении к ним. Денежный оборот «TEMPEST» — индустрии в США составил 1,5 миллиарда долларов.

В 1994 году Объединенная комиссия по безопасности коммуникаций представила доклад министру обороны и директору ЦРУ, названный «Redefining Security» (переоценка безопасности). Приведем несколько выдержек из этого отчета.

«Тот факт, что электронные приборы, такие как, например, компьютеры, принтеры дают электромагнитные излучения, представляет собой проблему для правительства США. Злоумышленники, используя имеющиеся в наличии приборы, чаще всего мониторы, могут перехватить секретную информацию и быть в курсе событий.

Для исключения этой уязвимости (уменьшения или устранения побочных излучений), правительство США обладает длинным перечнем критериев, предъявляемых к электронным приборам, который используется для классификации уже имеющегося или для проектирования нового оборудования.

Альтернативным вариантом является защита некоторой зоны вокруг оборудования, обрабатывающего конфиденциальную информацию, расстояние до границ которой превышает расстояние распространения электромагнитных излучений, содержащих информацию или зон, за границами которых излучения не могут быть выявлены. Первый вариант очень дорогостоящий, так как компьютеры, соответствующие критериям «TEMPEST» стоят приблизительно в два раза дороже обычных.

Впрочем, защита и экранирование площади также может стоить очень дорого. Пока только некоторые агентства внедрили строгие стандарты по «TEMPEST», другие же или отказались или использовали различные варианты интерпретации используемого стандарта. В некоторых случаях, используется многоуровневая защита, которая не всегда адекватна фактической угрозе».

В 1995 году был опубликован «NSTISSI 7002» — глоссарий «TEMPEST». Шифровальное программное обеспечение «Blowfish Advanced 95», изначально разработанно Брюсом Шнайером в 1993 году, впервые препятствовало ведению «TEMPEST» — мониторинга.

В 1997 году на конференции «Hacking in Progress» была продемонстрирована аналоговая «TEMPEST» — установка на дисплее, а на выставке «Eurocrypt-97» обсуждались вопросы применения «TEMPEST» против смарт-карт.

Сначала всем казалось, что основным источником компрометирующего излучения компьютера являлся электронно-лучевой монитор, а жидкокристаллический, соответственно, безопасен. Однако исследования возможностей «TEMPEST» показали, что перехват ПЭМИН можно провести и с жидкокристаллического монитора. Хотя на самом же деле ценную информацию излучает большинство элементов компьютера.

Например, пароль администратора локальной сети при вводе не отображается на мониторе, но может быть выявлен перехватом сигналов, излучаемых клавиатурой. Даже если излучение элементов компьютера не несет никакой информации, это излучение индивидуально для каждого компьютера. По индивидуальным признакам можно отследить перемещение компьютера, определить временной режим работы данного компьютера.

Иногда считается, что информацию в локальной сети перехватить крайне сложно. Дескать, современные локальные сети строятся по топологии «звезда», когда параллельно укладывается несколько кабелей от рабочих станций. При этом происходит взаимное глушение сигналов, распространяющихся в параллельных кабелях. На самом же деле сигналы в локальной сети не могут заглушить друг друга в силу специфики протоколов передачи данных.

К тому же, не все рабочие станции начинают и заканчивают свою работу одновременно. Также нужно помнить, что кабели локальной сети не только участвуют в передаче информации, но и являются очень хорошими антеннами, подключенными к компьютеру. Подключение компьютера к локальной сети не только создает предпосылки для перехвата информации, но и затрудняет подавление излучений самого компьютера.

Вместе с тем, процесс получения секретной информации путём перехвата паразитного излучения композитного сигнала монитора вполне реален, но процесс этот достаточно длителен. Ведь нужно дождаться, пока пользователь выведет на экран монитора необходимую секретную информацию. Это может занять дни или даже недели.

Проведенные Маркусом Куном в 1998 году экспериментальные исследования подтвердили, что существует другая возможность добывания секретной информации. На нужный компьютер загружается «троянский конь» — специальная программа-закладка любым из известных способов. Программа ищет необходимую информацию на диске и путём обращения к различным устройствам компьютера вызывает появление побочных излучений.

Например, «закладка» может встраивать сообщение в композитный сигнал монитора. При этом пользователь, играя на компьютере в карточную игру, даже не подозревает, что в изображение игральных карт вставлены секретные текстовые сообщения или изображения. С помощью специального приемника (в простейшем варианте — доработанный телевизор) обеспечивается перехват паразитного излучения монитора и выделение требуемого полезного сигнала.

Так родилась технология «Soft Tempest» — технология скрытой передачи данных по каналу ПЭМИН с помощью программных средств. Предложенная учеными Кембриджа технология по своей сути есть разновидность компьютерной стеганографии, т. е. метода скрытной передачи полезного сообщения в обычных видео, аудио, графических и текстовых файлах.

Основная опасность технологии «Soft Tempest» заключается в скрытности работы шпионской программы. Она, в отличие от большинства вирусов не портит данные, не нарушает работу компьютера, не производит несанкционированную рассылку по сети, а значит, долгое время не обнаруживается пользователем и администратором сети.

Поэтому, если вирусы, использующие интернет для передачи данных, проявляют себя практически мгновенно, и с ними быстро разбирается антивирусная программа, то вирусы, использующие побочные излучения электронного оборудования для передачи данных, могут работать годами, не обнаруживая себя.

В настоящее время технология «Soft Tempest» включает в себя не только способы электромагнитной разведки, но и программные способы защиты от нее, в частности, использование специальных шрифтов «TEMPEST», минимизирующих ВЧ излучения.

В США введена следующая классификация устройств и систем с защитой информации от ПЭМИН:

1. «TEMPEST Level 1» (аналог стандарта НATO «AMSG-720B») — оборудование данного класса относятся к категории высшей степени секретности. Оборудование должно быть утверждено АНБ и предназначено для использования только правительственными учреждениями США.

2. «TEMPEST Level 2» (аналог стандарта НATO «AMSG-788A») — оборудование данного класса предназначено для защиты менее секретной, но критичной информации, и также требуется одобрение АНБ.

3. «TEMPEST Level 3» — оборудование данного класса предназначено для защиты несекретной, но критичной или коммерческой информации. Оборудование регистрируется Национальным институтом стандартов и технологий США «NIST» (англ. National Institute of Standards and Technology).

Для частного бизнеса используется классификация «ZONE», которая позволяет применять менее дорогие устройства. Сертификация такого оборудования описана в документе АНБ «TEMPEST Endorsement Program».

В настоящее время термин «TEMPEST» был расширен и применяется и как синоним компрометирующих ПЭМИН, и как название технологии, минимизирующей риск утечки секретной информации путём перехвата ПЭМИН различными техническими средствами. В это понятие входят также стандарты на оборудование, средства измерения и контроля.