"Мягкий экран". Краткая история программного TEMPEST'а

Архив

Программное обеспечение, позволяющее компьютеру принимать радиосигналы, можно использовать и для того, чтобы шпионить за другими компьютерами.

Спецслужбы уже давно умеют считывать создаваемые на компьютере документы, перехватывая радиочастотные излучения от электронных приборов, но используемое ими приемное и антенное оборудование весьма дорого стоит, да и в магазинах оно не продается. Однако новое поколение "программных радиоприемников", специально разработанных для того, чтобы позволить компьютеру настраиваться на радиосигналы любого диапазона частот, обещает сделать данный тип радиоперехвата простым и дешевым. Компьютерная плата с подключенной внешней антенной выполняет всю настройку под управлением программного обеспечения и имеет специальный чип цифровой обработки сигнала (Digital Signal Processing, DSP), срезающий шумы.

Как говорит Кун, оборудование, пригодное для того, чтобы заниматься компьютерным радиошпионажем, сейчас стоит, по меньшей мере, тысяч 30 фунтов, "но через пять лет оно будет стоить уже меньше тысячи, и программы к нему будут писать хакеры". Сам начинавший как пытливый хакер, немец Маркус Кун известен в компьютерном сообществе в основном благодаря работам по демонстрации серьезных слабостей в защите смарт-карт и микроконтроллеров. Ныне Кун готовит в Кембридже докторскую диссертацию на тему компьютерной безопасности, а попутно, в сотрудничестве с известным криптоэкспертом Россом Андерсоном, они разработали и запатентовали так называемый программный TEMPEST - набор контрмер, позволяющих управлять побочными электромагнитными сигналами компьютера.

Как все начиналось

Для Маркуса Куна все началось в 1996 году, когда он увидел по германскому телевидению документальный фильм Эгмонта Коха о деятельности спецслужб. Как рассказывает Кун [2], в фильме один человек, когда-то работавший на правительство США, упомянул, что в интересах американской радиоразведки иногда занимался модификацией компьютерных систем перед их отправкой на экспорт. В результате за этими системами становилось много проще шпионить с помощью удаленного радиочастотного мониторинга.

Хотя было не совсем понятно, о чем именно говорил этот человек - о программных модификациях или же об аппаратных, но сама возможность того, что чисто программная модификация способна превратить компьютер в управляемый передатчик, крайне заинтриговала Куна. Когда осенью 1997 года он перебрался работать в Кембридж и близко сошелся с Россом Андерсоном, тот показал Куну старенький специальный приемник, предназначенный для тестирования аппаратуры на предмет компрометирующих излучений и по случаю приобретенный где-то в конце 1980-х годов. Учитывая уже имевшийся у молодого исследователя интерес, понятно, что он тут же занялся экспериментами со столь любопытным обрудованием.

Энтузиазм Куна заразил и Андерсона, когда Маркус продемонстрировал криптографу нехитрый, но впечатляющий фокус с обыкновенной бытовой радиомагнитолой. Кун установил, что с помощью переключений специального вида картинки на дисплее компьютера можно формировать радиоканал, по которому в аудиодиапазоне транслируется содержимое нужного файла. Другими словами, злоумышленник может внедрить в компьютерную систему, к примеру, банка программу-вирус или "троянского коня", которые станут собирать интересующие его данные (пароли доступа, криптографические ключи, текстовые файлы на жестком диске и т. д.) и с помощью картинки на мониторе транслировать их по импровизированному радиоканалу в эфир. Регистрируются эти сигналы с помощью приемника и магнитофонной кассеты обычной магнитолы. Понятно, что такая картинка может появляться на экране лишь тогда, когда рядом никого нет, то есть в ночное время. Тем не менее, подобная атака представляется достаточно реалистичной, поскольку сейчас многие компьютеры на ночь не выключаются.

Когда же кембриджские ученые стали экспериментировать со специальным, более чувствительным приемником, они установили, что скрытно выкачивать информацию из компьютера можно и в присутствии человека. В частности, им удалось транслировать информацию с помощью модуляции сигнала, управляющего яркостью элементов изображения на дисплее. Подобное дрожание совершенно не воспринимается человеческим глазом, однако обеспечивает весьма сильный и чистый радиосигнал, уверенно принимаемый на значительных расстояниях. Этот эксперимент и размышления о возможной защите от подобных атак навели исследователей на мысль разработать специального вида шрифты, которые достаточно хорошо воспринимались бы глазом, но при этом давали минимальный радиосигнал... Ученым удалось решить и эту задачу.

В процессе работы Кун и Андерсон сделали несколько фундаментальных открытий в области выделения побочных электромагнитных излучений и защиты от их утечки. Поэтому нет ничего удивительного в том, что результаты исследований ученых, а также созданное ими демонстрационное оборудование наибольший интерес вызвали у военных, сотрудников спецслужб и представителей оборонной промышленности. Поскольку именно в этих кругах занимаются темой "TEMPEST".

TEMPEST И КРИПТО Максим Отставнов Защита от TEMPEST-утечек теоретически отстоит достаточно далеко от криптопроблематики, но на практике соответствующие риски - первое, о чем должен думать разработчик или пользователь системы после того, как правильным применением криптографии он исключил несанкционированные доступ и модификацию (посредством организованной, типа СОРМ, или "любительской" атаки-перехвата) данных, передаваемых по открытым каналам. Насколько серьезны эти риски - зависит от контекста. Мы не можем согласиться с авторами, утверждающими, что, коль скоро возможна радиоутечка, криптография бесполезна. TEMPEST-атаки более дороги и, как правило, должны осуществляться прицельно, а кроме того, требуют перемещения атакующего оборудования, то есть их труднее осуществлять скрытно. Наиболее "шумной" в радиодиапазоне обычно оказывается видеосистема компьютера. "Светят" компоненты видеоадаптера (широкополосное излучение видеоусилителя и узкополосное - подсистемы синхронизации) и соединительные кабели, причем дефекты (окисленный контакт, плохая пропайка и т. п.) в кабелях или разъемах могут усиливать излучение на порядки. Информация, отображаемая на экранах массовых моделей персональных компьютеров, легко восстанавливается как с использованием спецсредств, так и "любительских" систем на расстояниях, по крайней мере, до нескольких километров, причем стоимость решения может быть значительно ниже оценки Куна в 30 тыс. фунтов. Якобы большая безопасность LCD-дисплеев по сравнению с ЭЛТ является мифом. Излучение портативных компьютеров действительно в среднем ниже, чем настольных, но связано это не с типом дисплея, а с меньшей длиной шлейфа, соединяющего экран с видеочипом. Известны четыре основных способа снижения риска TEMPEST-утечек. А - Экранирование модулей компьютера и соединительных кабелей. Б - Маскировка излучения с помощью искусственного радиозашумления окружения. В - Шифрование данных, передающихся по "рискованным" соединениям внутри компьютера; в частности, создание так называемого криптодисплея (см., например, А. В. Маркин "Безопасность излучений и наводок..." // "Конфидент" .2, 1994). Проблема излучения с помощью шифрования не снимается, а, если можно так выразиться, "перемещается": теперь нужно опасаться излучений уже от собственно криптомодулей, на что обращает внимание и автор упомянутой статьи. Первые три способа - аппаратные, а значит, защищенный компьютер будет дороже обычного (на сколько - зависит от спроса). Г - Чисто программное "экранирование", подобное описанному в статье Киви, которое (если дальнейшие исследования подтвердят его эффективность), имеет шанс стать действительно массовым. В PGP последних версий (www.pgpi.com) есть опция Secure Viewer ("защищенный просмотр"), которая предусматривает использование шрифта и фона, призванного затруднить TEMPEST-атаку (см. рисунок). Решение лицензировано у Андерсона с Куном (эти шрифты доступны также на www.cl.cam.ac.uk/~mgk25/st-fonts.zip). Другим продуктом, использующим лицензированные у авторов разработки шрифты, является STEGANOS II (www.demcom.de/english). К сожалению, эти продукты поставляются сейчас с antiTEMPEST-шрифтами, содержащими только базовые латинские символы.

Что такое TEMPEST

В военных организациях давно (по крайней мере, с начала 1960-х годов) знают о том, что компьютеры порождают электромагнитные излучения, которые не только создают помехи для радиоприема, но и обеспечивают утечку информации об обрабатываемых данных. Обычно именуемое "компрометирующим излучением", это явление стали называть также TEMPEST-излучением, по кодовому названию секретной исследовательской программы правительства США. Понятно, что электромагнитные утечки данных стали серьезной заботой при разработке чувствительных к сохранению тайны компьютерных приложений.

Готовя статью [3] о результатах собственных TEMPEST-исследований, Кун и Андерсон попытались собрать и кратко обобщить по возможности максимальное количество имеющейся на этот счет информации, публиковавшейся в открытых общедоступных источниках. Наиболее заметные материалы отметим и мы.

В 1987 году в Австралии вышла книга "Ловец шпионов" [4] - мемуары бывшего ученого британской спецслужбы MI5 Питера Райта (Peter Wright). Райт, в частности, рассказывает о начале TEMPEST-атак на шифровальную аппаратуру. В 1960 году Британия вела переговоры о присоединении к Европейскому экономическому сообществу, и премьер-министр беспокоился, что французский президент де Голль заблокирует вхождение Англии в Сообщество. Поэтому премьер попросил разведчиков выяснить позицию Франции на переговорах. Разведка попыталась вскрыть французский дипломатический шифр, но безуспешно. Однако Райт и его ассистент Тони Сэйл обратили внимание, что шифрованный трафик нес слабый вторичный сигнал, и сконструировали оборудование для восстановления этого сигнала. Оказалось, что это был открытый текст, который каким-то образом просачивался через шифратор в линию.

Для защиты правительственных систем уже несколько десятилетий применяют дорогостоящее металлическое экранирование отдельных устройств, комнат, а иногда и зданий целиком. Государственные спецификации, формулирующие тестовые требования на компрометирующее излучение, являются строго засекреченными документами [5].

В открытой печати первая публикация о TEMPEST'е появилась в 1983 году на шведском языке, но прошла незамеченной. Широкое внимание общественности к данной проблеме было привлечено в 1985 году знаменитой статьей голландца Вима ван Экка [6], продемонстрировавшего на практике, что содержимое экрана дисплея можно восстанавливать на расстоянии с помощью дешевого непрофессионального оборудования - обычного телевизора, в котором генераторы синхроимпульсов заменены на управляемые вручную осцилляторы.

В 1990 году Питер Смулдерс показал, что часто имеется возможность перехватывать сигналы даже от экранированных кабелей RS-232 [7]. Соединительные кабели образуют резонансные цепи, состоящие из индуктивности кабеля и емкости между устройством и землей; эти цепи возбуждаются высокочастотными компонентами сигнала данных, и результирующие короткие ВЧ-колебания испускают электромагнитные волны. Поскольку в банкоматах, например, считыватель карты и клавиатура, как правило, соединяются с ЦПУ по последовательным линиям, то существует опасность, что злоумышленник, вооружившись довольно простым радиооборудованием и встав возле банкомата, может регистрировать как сигналы от магнитной полоски, так и PIN-данные пользователей.

Ряд открытых публикаций не так давно созданного германского Агентства информационной безопасности (BSI) указывает, что похожая опасность возникает и при обмене сигналами по параллельно идущим кабелям. Например, продемонстрировано снятие сетевых данных с помощью телефонной линии, причем телефонный кабель проходил рядом с кабелем компьютерной сети всего на протяжении двух метров. Еще одна опасность исходит от "активных" атак, когда злоумышленник, знающий резонансную частоту, скажем, кабеля компьютерной клавиатуры, может облучать его на этой частоте, а затем регистрировать коды нажатия клавиш в ретранслируемом резонансном сигнале благодаря вызванным нажатиями изменениям импеданса...

Подводя итог своим библиографическим изысканиям, Кун и Андерсон пришли к довольно парадоксальному выводу. Публикация открытий ван Экка взбудоражила заинтересованные круги общественности, в дипломатической и военной областях по сию пору тратятся огромные деньги на экранирование, и в то же самое время в течение 1990-х годов практически никаких последующих работ о TEMPEST-атаках и защите от них в исследовательской литературе не появилось.

Наиболее вероятно, что главная тому причина - экономическая. Использование TEMPEST-технологий - дело малорентабельное. Правительства ряда западных стран предпринимали попытки заинтересовать коммерческие фирмы темой TEMPEST, когда искали применение разработкам, накопленным за годы холодной войны. Но к успеху это не привело: TEMPEST-экранированные ПК и рабочие станции оказываются в несколько раз дороже стандартных моделей, да и, кроме того, их экспорт, как правило, весьма строго контролируется. Поэтому вряд ли следует удивляться, что экранированное оборудование практически не используется за пределами дипломатического и военного сообществ, а научные исследования в этой области не вызывают энтузиазма у ученых.

Однако стараниями Маркуса Куна и Росса Андерсона сложившаяся ситуация может измениться.

Патент GB 2 333 883

В полученном ими патенте GB 2 333 883 и предшествовавшей ему обширной статье [3] Кун и Андерсон подробно описывают, каким образом производители (а также озабоченные безопасностью пользователи) могут без особых материальных затрат защитить персональный компьютер от компрометирующих излучений, не заковывая его в доспехи металлических экранов. Здесь подчеркнем, что разработанные учеными меры TEMPEST-защиты родились в результате ряда несложных, в общем-то, экспериментов, проведенных ими с довольно старым TEMPEST-приемником и дешевым радиоаппаратом. На эти изыскания авторов подвигло исследовательское любопытство, и они никем не финансировались. По сути дела, эксперименты Куна и Андерсона продемонстрировали, какого рода атаки являются практичными в конце 1990-х годов для творчески мыслящего любителя-перехватчика. Особо важно, конечно же, то, что исследователями разработаны и чрезвычайно дешевые защитные меры.

В обычном ПК магнитные головки жесткого диска остаются обычно над теми дорожками, к которым происходило последнее обращение. Привод продолжает вращаться, головки продолжают считывание, а усилитель выхода продолжает повторять данные, - все же в комплексе обеспечивает превосходный сигнал для захвата его тюнером перехватчика. Как говорят изобретатели, ответной мерой на это является загрузка в ПК программы, гарантирующей, что головки привода всегда "паркуются" в области диска, не содержащей никаких данных.

Как упоминалось ранее, монитор ПК также излучает сигналы, зависящие от высвечиваемого на нем текста. Обычный ТВ-приемник способен выдавать на экране документы, которые обрабатываются в это время на каком-нибудь удаленном дисплее. Поэтому Андерсон и Кун предлагают использовать специальные TEMPEST-шрифты со сглаженными, размытыми краями. С помощью этого метода ограничивается высокочастотное излучение - те сигналы, которые излучаются на максимальное расстояние от компьютера. Резко же очерченные шрифты требуют быстрого времени нарастания сигнала, что ведет к высокочастотным гармоникам.

Массу опасностей таят в себе и клавиатуры. Они опираются на сканирующий сигнал, который излучает специфические паттерны, свойственные нажимаемым клавишам. Так что в патенте предлагается использовать генератор случайных чисел, чтобы непрерывно искажать сканирующий сигнал.

Подводя итог проделанной работе, Андерсон позволил себе немного патетики:

"В прошлом TEMPEST был довольно дорогостоящей штукой - специализированное оборудование для перехвата излучений противника и изощренное экранирование для того, чтобы не дать неприятелю заняться тем же самым в отношении вас. Все эти вещи были засекречены и практически недоступны открытому исследовательскому сообществу. Мы положили конец этой эпохе... Наше открытие, что TEMPEST-защиту можно реализовать программно так же, как и аппаратно, выводит ее за пределы досягаемости эффективного экспортного контроля. Так что теперь у вас есть выбор, которого раньше не было, - свободный выбор механизма защиты".

Источники

[1] Barry Fox, New-wave spies: Electronic eavesdropping is becoming mere child's play // New Scientist, 6 November 1999

[2] Ross Anderson, posting to mailing list "ukcrypto", 8 Feb 1998.

[3] Markus Kuhn and Ross Anderson, Soft TEMPEST: Hidden Data Transmission Using Electromagnetic Emanations // Workshop on Information Hiding, LNCS 1525, Springer-Verlag, 1999. www.cl.cam.ac.uk/~mgk25/ih98-tempest.pdf.

[4] Peter Wright, Spycatcher - The Candid Autobiography of a Senior Intelligence Officer. William Heinemann Australia, 1987, ISBN 0855610980.

[5] Deborah Russell, G. T. Gangemi Sr., Computer Security Basics. Chapter 10: TEMPEST, O'Reilly & Associates, 1991, ISBN 0-93717-571-4.

[6] Wim van Eck, Electromagnetic Radiation from Video Display Units: An Eavesdropping Risk? // Computers & Security 4, (1985), 269-286.

[7] Peter Smulders, The Threat of Information Theft by Reception of Electromagnetic Radiation from RS-232 Cables. // Computers & Security 9, (1990), 53-58.