Tempest hyökkäys - SecMeter

Van Eck-hyökkäysmenetelmään perustuvien salakuuntelulaitteiden kehittämiseen on käytetty valtavia summia. Vastaavasti Tempest suojauksille on asetettu standardeissa tiukkoja kriteerejä. Nykyiset komponentit "vuotavat" huomattavasti vähemmän kuin 1970-luvulla.

Suomessa sähkömagneettisen hajasäteilyn haittoja minimoivan toiminnan koordinointi ja ohjeistus (NTA, National Tempest Authority) kuuluu Traficom NCSA-FI: n tehtäviin (NSA, National Security Authority).

Sähkömagneettisen säteilyn sieppaaminen riippuu täysin käytetyistä laitteista ja niiden komponenteista sekä ympäristöstä, johon laitteet on sijoitettu. Suojaamattomat laitteet voivat paljastaa tietoa jopa kymmenien metrien päästä, etenkin herkällä vakoilulaitteistolla. TEMPEST-suojatut laitteet taas voivat olla käytännössä täysin säteilemättömiä.

Sähköiset komponentit kuten kaapelit, kirjoittimet, faksit, kopiokoneet, näyttöpäätteet, tabletit ja älypuhelimet vuotavat sähkömagneettista säteilyä, joka on mahdollista tallentaa ja saada esille selväkielinen informaatio.

Sähkömagneettinen säteily kantaa kauaksi. Tietokoneen näyttöpäätteen kuvaruudulla oleva informaatio on mahdollista saada toistettua jopa kymmenien metrien päästä. Harrastajien rakentamilla laitteilla informaatio on saatu hyvissä olosuhteissa toistettua luettavassa muodossa jopa 300 metrin etäisyydeltä.

Radiotaajuudet RF (Radio Frequency) ovat yleisimmin siepattavissa olevaa säteilyä. Taajuudet vaihtelevat yleensä kHz–GHz -alueella. Näytönohjaimet, kaapelit, näytöt ja näppäimistöt voivat säteillä radiotaajuisia signaaleja, jotka heijastavat tietoa rakennuksesta ulos.

Johtimien kautta kulkeva säteily (Conducted emissions) ei säteile ilmaan, mutta voi siirtyä esimerkiksi sähköverkkoa pitkin rakennuksesta ulos. Erikoislaitteilla on mahdollista kerätä tietoa analysoimalla sähkölaitteen kulutuspiikkejä tai virrankulutuksen vaihteluita. Prosessorin tai muistin käyttöä, jopa kryptografisia operaatioita on joskus pystytty analysoimaan säteilyn avulla.

LCD–näytöt toimivat kuitenkin niin matalilla jännitteillä, ettei niistä aiheudu potentiaalista vuotoriskiä. Näytönohjain voi sellaisen kuitenkin aiheuttaa. Langalliset näppäimistöt vuotavat ympäristöön sähkömagneettista säteilyä, josta voidaan selvittää esimerkiksi tietojärjestelmään syötetty käyttäjätunnus ja salasana.

Vakoilu

Vakoilun kaksi pääsuuntausta on henkilökohtainen tiedustelu (HUMINT) ja elektroninen tiedustelu (ELINT). ELINT-ryhmään kuuluvat tarkkailulaitteet jaetaan kahteen alaryhmään:

• Ryhmä 1 Kohdetilassa käytettävät tarkkailulaitteet (trespassatory).
  
• Ryhmä 2 Kohdetilan ulkopuolella käytettävät tarkkailulaitteet (non-trespassatory).
  

TEMPEST-hyökkäyksessä käytettävät EMR -ilmiöön perustuvat salakuuntelulaitteet kuuluvat jälkimmäiseen ryhmään.

TEMPEST-hyökkäystä ei voi havaita. Tiedon sieppaaminen ei edellytä pääsyä kohdetilaan eikä edellytä kohdetilassa tapahtuvia laiteasennuksia. Tieto voidaan siepata suoraan esimerkiksi johtimesta, faksista, näyttöpäätteestä, satelliitista, radio- tai matkapuhelimesta.

ELINT 2 ryhmän laitteiden saantia ja käyttöä ei ole rajoitettu. Kuka tahansa voi hankkia käyttöönsä elektronisia tiedustelulaitteita, niiden piirustuksia tai valmiita rakennussarjoja.

Sähkömagneettiseen säteilyyn perustuva vakoilu on luonteeltaan passiivista tarkkailua. Tarkkailija voi saada haltuunsa ainoastaan niitä tietoja, joita käyttäjä esimerkiksi käsittelee näyttöpäätteellä.

TEMPEST-hyökkäys

TEMPEST kaappaus vanhalta CRT-näytöltä

Eräs tunnetuimmista TEMPEST-demonstraatioista tehtiin 1980- ja 1990-luvuilla, kun tutkijat osoittivat, että CRT-näytön (kuvaputkinäyttö) säteilyä voi kaapata radiotaajuusvastaanottimella ja rekonstruoida sen perusteella, mitä käyttäjä näkee näytöllään.

CRT-näyttö toimii lähettämällä elektroneja näytön fosforipinnalle. Elektronisäteet skannaavat ruutua rivi riviltä, tietyllä taajuudella (esim. 15,75 kHz horisontaalisesti ja 60 Hz vertikaalisesti). Tämä toiminta säteilee radiotaajuuksia, aivan kuten pieni radiolähetin.

Jos vastaanottimella virittäytyy sopivalle taajuudelle, voi kuulla hälyä tai jopa nähdä rekonstruktion kuvasisällöstä erityisellä ohjelmistolla.

Sivukanavahyökkäys (side-channel attack)

Sähkömagneettinen häiriökuvio EMI (Electromagnetic Interference) voi syntyä laitteiden normaalista toiminnasta aiheuttaen pulsseja ja häiriöitä, jotka voidaan analysoida. Näppäimistön sähkömagneettinen häiriökuvio voidaan siepata. Kyseessä on sivukanavahyökkäys (side-channel attack). Hyökkäys voidaan toteuttaa jopa kymmenien metrien päästä, jos laitteet ovat herkkiä.

Näppäimistön painalluksista syntyy sähkömagneettisia säteilyä ja ääniä, joita voidaan etäältä mitata ja analysoida. Jokaisella näppäimen painalluksella on hieman erilainen sähkömagneettinen signaali, virtapiikin muoto ja akustinen ääni.

Näitä kutsutaan häiriökuvioiksi (electromagnetic emanations tai EM signature), ja niitä voidaan siepata erikoislaitteilla, kuten antennilla, mikrofonilla tai virtapiirin mittauksilla.

Häiriökuvioista voi tunnistaa mitä näppäimiä käyttäjä painaa ja jäljentää käyttäjän kirjoittamia sanoja pelkän säteilyn perusteella esimerkiksi käyttäjätunnuksia, salasanoja, PIN-koodeja ja luottokorttinumeroita.

Koska näppäimistöt eivät yleensä ole niistä vuotaa tietoa huomaamatta. On suositeltavaa käyttää suojattua tai suojakuorellista näppäimistöä (EMC-suojattua).

Kaksi sveitsiläistä tutkijaa Martin Vuagnoux ja Sylvain Pasini tutkivat ilmiötä ja onnistuivat sieppaamaan päätelaitteellaan tietokoneen näppäimistöllä kirjoitetun informaation 20 metrin etäisyydeltä seinärakenteiden läpi. He analysoivat eri näppäinlyöntejä ja loivat koneoppimismallin, joka tunnisti painetut kirjaimet. Ei tarvittu fyysistä kontaktia näppäimistöön. Testissä: 11 erilaista kaupallista näppäimistöä, jotka kaikki olivat haavoittuvia. Lähde: (news.cnet.com 22.10.2008)

Mobiililaitteen näytön salakuuntelu (Screen Gleaning)

Vuonna 2021 NDSS-konferenssissa esiteltiin "Screen Gleaning" -hyökkäys, jossa tutkijat onnistuivat kaappaamaan älypuhelimen näytön sisältöä ilman suoraa näköyhteyttä. He käyttivät antennia ja ohjelmistoradiota (SDR) vastaanottamaan sähkömagneettisia signaaleja, joita laite lähettää näytölle.

Näiden signaalien perusteella tutkijat pystyivät rekonstruoimaan näytön sisällön harmaasävykuvaksi. Vaikka kuvat olivat ihmisen silmälle epäselviä, syväoppimismallit kykenivät tunnistamaan niistä esimerkiksi kertakäyttöisiä turvakoodeja.

"Screen Gleaning" -hyökkäys osoittaa, että jopa modernit mobiililaitteet voivat vuotaa tietoa sähkömagneettisesti, ja että koneoppiminen voi tehostaa tällaisten hyökkäysten onnistumista.

HDMI-kaapelin sähkömagneettinen vuoto (Deep-TEMPEST)

Vuonna 2024 uruguaylaiset tutkijat esittelivät "Deep-TEMPEST"-hyökkäyksen, jossa tutkijat onnistuivat rekonstruoimaan HDMI-kaapelin kautta lähetettyä näytön sisältöä pelkästään kaapelin säteilemien sähkömagneettisten signaalien perusteella. HDMI:n digitaalisuus tekee tästä erityisen haastavaa, mutta tutkijat käyttivät syväoppimista ja signaalinkäsittelyä palauttaakseen näytön sisällön tekstiksi. Heidän järjestelmänsä paransi tekstintunnistuksen tarkkuutta yli 60 prosenttiyksikköä aiempiin menetelmiin verrattuna.

Deep-TEMPEST"-hyökkäys osoittaa, että jopa digitaaliset videoliitännät voivat olla alttiita TEMPEST-tyyppisille hyökkäyksille, erityisesti kun hyökkääjällä on käytössään kehittyneitä koneoppimismenetelmiä.

AirHopper-hyökkäys

AirHopper on tutkijoiden Guri, Kedma, Kachlon ja Elovicin Ben-Gurion yliopistossa vuonna 2014 kehittämä hyökkäystekniikka, jossa tietoa voidaan siirtää fyysisesti eristetystä ("air-gapped") tietokoneesta älypuhelimeen tai muuhun laitteeseen sähkömagneettisten signaalien avulla.

Jos tietokone on onnistuttu tartuttamaan haittaohjelmalla voi haittaohjelma käyttää tietokoneen näytönohjainta ja monitorin kaapelia lähettämään radioaaltoja (FM-taajuusalueella). Näytön signaalia manipuloidaan hienovaraisesti niin, että se lähettää koodattua dataa ilmassa.

Kun yhteys on muodostettu, voidaan siirtää näppäinpainalluksia, salasanoja, asiakirjoja jne. Läheinen älypuhelin tai muu vastaanotin, jossa on FM-vastaanotin, sieppaa nämä signaalit ja purkaa datan.

Vaikka AirHopperin päätehtävä on siirtää tietoja ulos tietokoneestakoneesta, siihen voidaan yhdistää keylogger, joka taltioi näppäinpainallukset paikallisesti offline tietokoneessa. Tämän jälkeen tiedot koodataan bittivirraksi ja lähetetään ulos radiotaajuudella (esim. 88–108 MHz alueella) FM-radioille "kuulumattomina" signaaleina. Tämä haittaohjelma voi lähettää tietoa huomaamattomasti ja passiivisesti.

Äänien perusteella näppäily Acoustic keylogging

Cornellin yliopiston tutkijat osoittivat, että mikrofoni voi tunnistaa, mitä näppäintä painetaan pelkän äänen perusteella. Jokainen näppäin kuulostaa hieman erilaiselta. Jos hyökkääjällä on äänitallenne + tiedossa näppäimistön malli, algoritmi voi jäljentää salasanoja ja tekstiä hyvällä tarkkuudella.

Suojautuminen

Toimitilojen turvallisuussuunnittelussa on mahdollista huomioida sähkömagneettiselta säteilyltä suojautuminen laitteiden ja järjestelmien sijoittelun yhteydessä.

Toimitilan rakenteissa olevat aukot kuten ikkunat, ovet ja ilmastoinnin läpiviennit päästävät sähkömagneettisia aaltoja rakennuksesta ulos, ellei niitä ole asianmukaisesti suojattu. Rakenteiden suojaamisessa käytetään yleensä metallisia vaippoja, koteloita tai metallia sisältäviä vaahtoja.

Johtimissa kulkeva voimakas sähkömagneettinen signaali voidaan siepata tuomalla se läheisyyteen vahvistimella varustettu antenni ja digitaalisten signaalien tallentamiseen soveltuva oskilloskooppi. Kiinteistön kaapelointia koskeva EU:n direktiivi, jota tukee joukko standardeja. EMC -standardi on kaksiosainen:

• EN50081-1 koskee säteilyä
• EN50082-1 koskee immuniteettiä säteilylle.

EU:n standardi suosittelee kaapelointijärjestelmäksi 100 Ohmin balansoitua kaapelityyppiä. Balansoitu järjestelmä on tunteeton häiriöille. Maadoitusjärjestelmässä saa olla korkeintaan 1V rms:n potentiaaliero rakennuksen eri osien välillä.

Suojauksen käyttö estää kaapelista lähtevän ja kaapeliin indusoituvan sähkömagneettisen säteilyn. Täydellinen häiriösäteilysuojaus edellyttää, että kaapelointijärjestelmä on suojattu ja maadoitettu.

Suojatussa kaapelointijärjestelmässä ei suositella käytettäväksi suojaamattomia laiteliityntäkaapeleita. Suojauksen tulee olla jatkuva keskittimiltä päätelaitteille.

Esimerkkejä suojausratkaisuista

PGP -salausohjelmisto

Salausohjelmisto sisältää erityisen TEMPEST-hyökkäyksen estävän fontin, joka on tulkintakelvoton, jos näyttöpäätteeseen kohdistetaan van Eck-hyökkäys.

Häirintälaite (jammeri)

Laitteista aiheutuvien sähkömagneettisten radioaaltojen signaalikohinasuhteen häirintä niin, että tulkittavan informaation erottelu van Eck-hyökkäystekniikalla on mahdotonta.

Faradayn häkki

Laitteet sijoitetaan kolmiulotteisen metallikuoren sisään, joka estää sähkömagneettisten säteilyn karkaamisen ulos.

TEMPEST-säteilyn estäminen

Faradayn häkit ja suojakaapit

Faradayn häkki on metallinen kotelo tai huone, joka estää sähkömagneettisten aaltojen kulun sisään ja ulos. Käytetään mm. valvotuissa tiloissa, joissa halutaan estää vuotaminen. Suojaavia kaappeja tai koteloita on saatavilla työasemille, näytöille ja reitittimille. Esimerkiksi suomalainen Kaso Oy valmistaa TEMPEST-suojattuja kalusteita ja kaappeja.

Suojauskaapelit ja -liitännät

On vältettävä halpoja, suojaamattomia johtoja, jotka voivat säteillä. EMI-suojatut kaapelit (esim. HDMI, USB, Ethernet) estävät signaalivuotoa. Kaapelien liitännät voi myös maadoittaa ja suojata erikoisliittimillä (EMI-filtterit, ferriittirenkaat).

Laitteiden ja tilojen suojaus (TEMPEST-hyväksyntä)

Laitteita voidaan sertifioida TEMPEST-vaatimusten mukaisiksi (esim. NATO SDIP-27/2). Sertifioiduista laitteista ja tiloista vuotava sähkömagneettinen säteily ei ylitä sallittuja rajoja. Kriittisissä kohteissa välttämätöntä.

Laitteiden käyttöetäisyys ja sijoittelu

Laitteiden sijoittaminen riittävän kauas ulkoseinistä ja ikkunoista vähentää vuotoriskiä. Kriittisiin rakennuksiin on yleensä rakennettu erityisiä "TEMPEST-huoneita", joiden rakenteet eristävät säteilyn.

Signaalin naamiointi ja häirintä

Joskus esimerkiksi neuvottelutiloissa käytetään häirintälaitteita, jotka lähettävät kohinaa ja estävät hyödyllisen säteilyn kaappauksen. Toinen tekniikka on dynaaminen signaalin muuttaminen, esim. vilkkuva ruutu tai vaihtuva bittikuvio, joka sekoittaa vastaanottajan analyysin.

TEMPEST-suojaus vaativaan käyttöön

Jos tarvitaan korkealuokkaista suojausta on käytettävä sertifioituja TEMPEST-hyväksyttyjä laitteita. Useat valmistajat, kuten HP, Dell ja Lenovo valmistavat malleja, joissa on vähäinen sähkömagneettinen säteily (esim. SDIP-27 Level A/B/C). Kaso Oy valmistaa suojauskalusteita, turvakaappeja ja TEMPEST-huoneita. EMSEC Solutions, Raytheon, L3Harris toimittavat TEMPEST ratkaisuja tiedustelupalveluille.