Linux E X P R E S

Facebook

Únik elektromagnetických emisií: Kľúč k vašej bezpečnosti

klice.png

Čitateľom priblížíme možnosti zneužitia informačných technológií technologicky zdatných jednotlivcov či subjektov. Zneužitie môže mať rôzne podoby. Niektoré informácie boli čerpané aj z kníh o zabezpečení Linuxu. Ak šifrujete a ste si istí, že vás nikto nevidí, môžete sa veľmi mýliť!


Šifrovanie nie je všetko

Ak sa bojíte, spýtajte sa sami seba - kto ste? Akú prácu vykonávate? Paranoja je choroba - neopodstatnený strach. Na druhej strane prezieravosť je opatrnosť, keď na všeličo myslíte. Možno aj na to, že máte to šťastie a chystáte sa podpísať zmluvu, ktorá vás urobí bohatým. Alebo ste práve vyhrali v lotérii a ani netušíte, kam preniknú vaše osobné údaje. A čo ak ste investigatívny novinár? Alebo manažér banky? S otáznikmi sa netreba príliš zaoberať, lebo svoje vedia aj opozičné politické strany.

Kryptografia je ako pancierové vozidlo a i keď sa niekto cudzí "napichne" do vašich komunikačných kanálov, do vnútra panciera sa dostane ťažko - preto taký subjekt hľadá aj iné cesty. Niekedy mu stačí vedieť, kadiaľ pancierové vozidlo ide. Odhaliť váš tajný kľúč na superpočítači nie je ťažké, len je to veľmi drahé a obyčajní ľudia na také počítače nemajú peniaze, preto je správne povedať, že preniknutie do panciera je ťažké i ľahké zároveň - otázku treba položiť tak, že pre koho? Je málo pravdepodobné, aby mal obyčajný človek to šťastie, aby sa dostal do superpočítača, kde odkódujú jeho šifry. Pokiaľ ste si istí, že po vás "niekto ide", útokov môže byť viac. Philip Zimmermann, autor PGP, udáva tieto riziká:

Keď zašifrujete súbor a jeho pôvodný textový (či binárny) obsah iba vymažete, je to veľká chyba, pretože operačný systém taký súbor nevymaže, iba označí voľné miesto pre budúce zapisovanie.

V článku Michala Dočekala Správa linuxového serveru: Dokončení praxe šifrování s dm-crypt/LUKS je odsek o "bezpečnom mazaní", ktorý si treba pozrieť.

Šifrovacie programy treba sťahovať iba zo serióznych zdrojov, na iných stránkach môžu byť totiž niekým nastrčené. Philip Zimmermann odporúča stiahnuť aspoň dva také šifrovacie programy a otestovať, či ide o verné kópie.

Zúčastňovať sa v multi-užívateľskom prostredí môže tiež predstavovať riziko - samozrejme, iba ak ste si nie istí ľuďmi, ktorí vás obklopujú.

Tempest

Wim van Eck, ktorého meno sa dostalo do pojmu "Van Eck phreaking" (odchytávanie emisií z LCD displejov a CRT monitorov) - dokázal vyrobiť takéto niečo iba za 15 dolárov (okrem televízneho zariadenia) a z niekoľko stoviek metrov prenikol do iného systému. Sila Van Eck phreakingu zapôsobila i na holandskú vládu a v národných voľbách v roku 2006 (píše Wikipedia) zakázala počítačové zariadenia s touto bezpečnostnou slabinou.

Ak neviete, phreaking je slangový pojem pre označenie záujmu skupiny ľudí, ktorí podobne ako hackeri odhaľujú slabiny systémov, ale s väčším dôrazom na telekomunikácie (telefonovanie, mobilná a satelitná komunikácia atď.).

Tempest, aj keď pôvodne trochu s iným významom, je skratka pre technológiu, ktorá umožňuje odchytiť elektromagnetické vlny nielen z vášho monitora, ale aj z diskov či pamäti (RAM, Flash atď.). Na stránke Federácie amerických vedcov (FAS - Federation of American Scientists) sa píše, že je možné zrekonštruovať i obsah pamäti či disku, ale oproti vygenerovaniu kópie z monitora takéto niečo si vyžaduje väčšiu blízkosť útočníka k cieľu (obeti). Popri pojmu Tempest existuje aj termín EMSEC (Emission Security) a pravdaže aj Van Eck, ako je uvedené vyššie.

Supertajný Mac, zvnútra celý z kovu a zvonku nenápadný (pozri Odkazy)Supertajný Mac, zvnútra celý z kovu a zvonku nenápadný (pozri odkazy)

"Tempest attack" je situácia (attack = útok), keď vám niekto odchytí elektromagnetické vlny - niekde s takouto technológiou zaparkuje dodávka. Ľudia na monitore v aute budú vidieť všetko, čo robíte - ak pravdaže pracujete s počítačom (a nielen to). Táto technológia je v zásade oveľa lacnejšia ako používanie superpočítačov.

James Turnbull, autor knihy o zabezpečení Linuxu (Hardening Linux), doporučuje chrániť sa pred únikom takýchto emisií, pretože aj keď používate čo možno najlepšie šifrovanie, pri úniku elektromagnetických emisií vám to nepomôže (ak ich pravda niekto odchytáva).

Na internete je veľa článkov o špionážnych aktivitách. Tie majú rôzne ciele. Projekt Echelon kritizuje i Európska únia - s tvrdeniami, že ide o priemyselnú špionáž. Mnohí ľudia majú obavy a kladú otázky. Tie ostávajú nezodpovedané, pretože tieto tajné agentúry nekomunikujú.

Na stránkach apfn.org, ktoré sú venovaná vlastenectvu Američanov, sa píše, že Európska únia dokonca vytvorila špeciálny výbor, aby preskúmala tvrdenia, že americký satelitný informačný systém Echelon slúži k tomu, aby vykrádal špičkový intelektuálny know-how európskeho priemyslu. Hovorí sa tam aj, že predstavitelia NSA, CIA atď. odmietli s týmto výborom komunikovať.

Ako sa zabezpečiť proti úniku emisií?

Normálni ľudia sa nemusia zabezpečovať - ale potrebné je informovať o takomto niečom (kvôli prevencii). Aj obyčajní ľudia by mali vedieť, čo všetko je možné a nech zvážia oni sami. Ak však prevádzkujete linuxovský server a užívatelia z neho pristupujú do banky, tam už je riziko väčšie. V prípade servera a vašich obáv je možné obrátiť sa na špecializované firmy, ktoré sú uvedené v časti Odkazy (na spodku článku). Technológia na ochranu pred únikom elektromagnetického žiarenia je utajovaná, ale ak ste aspoň trošku technologicky znalí (pozri nižšie odsek o Faradayovej klietke), uspejete. Mnohé veci pravdaže závisia od sily žiarenia (výkonu stroja, na ktorom pracujete), od obmedzenia tejto sily, redukovania prieniku žiarenia do menšej vzdialenosti atď.

Okrem toho v článku o softvérovej ochrane (Soft Tempest - An Opportunity For NATO) sa píše, že popri tradičnej - fyzickej ochrane je možné použiť softvérové techniky, ktoré maskujú správanie - softvér vykonáva rôzne aktivity, ktoré ak niekto takto odchytáva, bránia mu zistiť, čo dotyčný robí. Autor ďalej píše, že nielen NATO investuje miliardy dolárov do zabezpečenia proti úniku elektromagnetických emisií, ale už aj banky prejavujú záujem o túto ochranu, tak EMSEC (Emission Security) už nie je dnes čisto iba vojenský (špionážny) problém.

Keďže je úplne jasné, že ani LCD monitor nie je jediným bodom problému (oproti CRT budú emisie asi slabšie), tak ak si položíte otázku, či aj mobilné telefóny, faxy a pravdaže i počítače (bez monitora), čipy (pravdaže pod prúdom) atď. vyžarujú takéto emisie, odpoveď je jednoznačná - áno. Sú však aj výrobcovia, ktorí dodržujú o čosi lepšie EMSEC štandardy.

Ochrana a vaše prípadné obavy závisia od typu povolania a osobných priorít. Na nákup drahých zariadení asi nebudete mať peniaze, ale keďže elektromagnetické emisie nemožno odchytiť z väčšej diaľky ako jeden kilometer - ako sa píše na stránke FAS, s istotou môžem povedať, že vyviesť sa autom niekde na samotu s notebookom, kde možno ani nie sú mobilné signály, kde si zašifrujete nejaký ten svoj patent, je určite lacnejšie.

Ako vidieť, opatrnosť sa netýka bežných ľudí, manažéra banky už áno. Ak má taký manažér zašifrovaný USB kľúč, kdekoľvek ho použije v počítači, je tu riziko. Buď bude svoje súbory otvárať iba na mieste, kde je chránený (pomocou technológie tempest shielding), alebo sa so svojím notebookom vyvezie autom kdesi tam, kde je svet aspoň o trochu menej civilizovaný.

Faradayova klietka

Obdobou ochrany (tempest shielding) môže byť i tzv. "Faradayova klietka", čo je technologicky zrealizovateľná vec i v domácnosti (garáž, pivnica atď.)

V tomto čiernom kufríku nebude fungovať nijaký mobilný telefónV tomto čiernom kufríku nebude fungovať nijaký mobilný telefón

Pokiaľ sa rozhodnete experimentovať - napríklad v garáži, ako merací prístroj poslúži mobil (iba orientačne). Čím slabší signál, tým je vaša Faradayova klietka kvalitnejšia.

Slovko "Tempest" je pôvodne kódový názov NSA, ktorý má svoj pôvod už kdesi v rokoch 1960 a ochrana proti takýmto útokom - tempest shielding - sa dlho používa najmä na veľvyslanectvách či v armáde. Na stránkach o PGP sa píše, že v USA nemusí byť vždy ľahké dostať sa k tejto ochrannej technológii.

Cieľom týchto informácií nie je strašiť, ale poukázať na realitu, ktorá - podobne ako Linux - dostáva veľmi malý priestor v médiách hlavného prúdu. A bezpečnosť, ako všetci vieme, je prostriedok k poriadku. Ak očakávame istý bontón od bežných ľudí, mali by ho rovnako dodržiavať aj tí menej "bežnejší", či niekedy dokonca aj tí, ktorých volíme.

Ak sa bojíte, spýtajte sa sami seba - kto ste? Akú prácu vykonávate? Paranoja je choroba - neopodstatnený strach. Na druhej strane prezieravosť je opatrnosť, keď na všeličo myslíte. Možno aj na to, že máte to šťastie a chystáte sa podpísať zmluvu, ktorá vás urobí bohatým. Alebo ste práve vyhrali v lotérii a ani netušíte, kam preniknú vaše osobné údaje. A čo ak ste investigatívny novinár? Alebo manažér banky? S otáznikmi sa netreba príliš zaoberať, lebo svoje vedia aj opozičné politické strany.
Kryptografia je ako pancierové vozidlo a i keď sa niekto cudzí "napichne" do vašich komunikačných kanálov, do vnútra panciera sa dostane ťažko - preto taký subjekt hľadá aj iné cesty. Niekedy mu stačí vedieť, kadiaľ pancierové vozidlo ide. Odhaliť váš tajný kľúč na superpočítači nie je ťažké, len je to veľmi drahé a obyčajní ľudia na také počítače nemajú peniaze, preto je správne povedať, že preniknutie do panciera je ťažké i ľahké zároveň - otázku treba položiť tak, že pre koho? Je málo pravdepodobné, aby mal obyčajný človek to šťastie, aby sa dostal do superpočítača, kde odkódujú jeho šifry.
Pokiaľ ste si istí, že po vás "niekto ide", útokov môže byť viac. Philip Zimmermann, autor PGP, udáva tieto riziká:
Keď zašifrujete súbor a jeho pôvodný textový (či binárny) obsah iba vymažete, je to veľká chyba, pretože operačný systém taký súbor nevymaže, iba označí voľné miesto pre budúce zapisovanie. V článku Michala Dočekala ("Správa linuxového serveru...") je odsek o "bezpečnom mazaní", ktorý si treba pozrieť.
Šifrovacie programy treba sťahovať iba zo serióznych zdrojov, na iných stránkach môžu byť totiž niekým nastrčené. Philip Zimmermann odporúča stiahnuť aspoň dva také šifrovacie programy a otestovať, či ide o verné kópie.
Zúčastňovať sa v multi-užívateľskom prostredí môže tiež predstavovať riziko - samozrejme, iba ak ste si nie istí ľuďmi, ktorí vás obklopujú.
Tempest útoky, ktoré si priblížime.
Tempest
Wim van Eck, ktorého meno sa dostalo do pojmu "Van Eck phreaking" (odchytávanie emisií z LCD displejov a CRT monitorov) - dokázal vyrobiť takéto niečo iba za 15 dolárov (okrem televízneho zariadenia) a z niekoľko stoviek metrov prenikol do iného systému. Sila Van Eck phreakingu zapôsobila i na holandskú vládu a v národných voľbách v roku 2006 (píše Wikipedia) zakázala počítačové zariadenia s touto bezpečnostnou slabinou.
Ak neviete, phreaking je slangový pojem pre označenie záujmu skupiny ľudí, ktorí podobne ako hackeri odhaľujú slabiny systémov, ale s väčším dôrazom na telekomunikácie (telefonovanie, mobilná a satelitná komunikácia atď.).
Tempest, aj keď pôvodne trochu s iným významom, je skratka pre technológiu, ktorá umožňuje odchytiť elektromagnetické vlny nielen z vášho monitora, ale aj z diskov či pamäti (RAM, Flash atď.). Na stránke Federácie amerických vedcov (FAS - Federation of American Scientists) sa píše, že je možné zrekonštruovať i obsah pamäti či disku, ale oproti vygenerovaniu kópie z monitora takéto niečo si vyžaduje väčšiu blízkosť útočníka k cieľu (obeti). Popri pojmu Tempest existuje aj termín EMSEC (Emission Security) a pravdaže aj Van Eck, ako je uvedené vyššie.
1.png Supertajný Mac, zvnútra celý z kovu a zvonku nenápadný (pozri Odkazy).
"Tempest attack" je situácia (attack = útok), keď vám niekto odchytí elektromagnetické vlny - niekde s takouto technológiou zaparkuje dodávka. Ľudia na monitore v aute budú vidieť všetko, čo robíte - ak pravdaže pracujete s počítačom (a nielen to). Táto technológia je v zásade oveľa lacnejšia ako používanie superpočítačov.
James Turnbull, autor knihy o zabezpečení Linuxu (Hardening Linux), doporučuje chrániť sa pred únikom takýchto emisií, pretože aj keď používate čo možno najlepšie šifrovanie, pri úniku elektromagnetických emisií vám to nepomôže (ak ich pravda niekto odchytáva).
Na internete je veľa článkov o špionážnych aktivitách. Tie majú rôzne ciele. Projekt Echelon kritizuje i Európska únia - s tvrdeniami, že ide o priemyselnú špionáž. Mnohí ľudia majú obavy a kladú otázky. Tie ostávajú nezodpovedané, pretože tieto tajné agentúry nekomunikujú.
Na stránkach apfn.org, ktoré sú venovaná vlastenectvu Američanov, sa píše, že Európska únia dokonca vytvorila špeciálny výbor, aby preskúmala tvrdenia, že americký satelitný informačný systém Echelon slúži k tomu, aby vykrádal špičkový intelektuálny know-how európskeho priemyslu. Hovorí sa tam aj, že predstavitelia NSA, CIA atď. odmietli s týmto výborom komunikovať.
Ako sa zabezpečiť proti úniku emisií?
Normálni ľudia sa nemusia zabezpečovať - ale potrebné je informovať o takomto niečom (kvôli prevencii). Aj obyčajní ľudia by mali vedieť, čo všetko je možné a nech zvážia oni sami. Ak však prevádzkujete linuxovský server a užívatelia z neho pristupujú do banky, tam už je riziko väčšie. V prípade servera a vašich obáv je možné obrátiť sa na špecializované firmy, ktoré sú uvedené v časti Odkazy (na spodku článku). Technológia na ochranu pred únikom elektromagnetického žiarenia je utajovaná, ale ak ste aspoň trošku technologicky znalí (pozri nižšie odsek o Faradayovej klietke), uspejete. Mnohé veci pravdaže závisia od sily žiarenia (výkonu stroja, na ktorom pracujete), od obmedzenia tejto sily, redukovania prieniku žiarenia do menšej vzdialenosti atď.
Okrem toho v článku o softvérovej ochrane (Soft Tempest - An Opportunity For NATO) sa píše, že popri tradičnej - fyzickej ochrane je možné použiť softvérové techniky, ktoré maskujú správanie - softvér vykonáva rôzne aktivity, ktoré ak niekto takto odchytáva, bránia mu zistiť, čo dotyčný robí. Autor ďalej píše, že nielen NATO investuje miliardy dolárov do zabezpečenia proti úniku elektromagnetických emisií, ale už aj banky prejavujú záujem o túto ochranu, tak EMSEC (Emission Security) už nie je dnes čisto iba vojenský (špionážny) problém.
Keďže je úplne jasné, že ani LCD monitor nie je jediným bodom problému (oproti CRT budú emisie asi slabšie), tak ak si položíte otázku, či aj mobilné telefóny, faxy a pravdaže i počítače (bez monitora), čipy (pravdaže pod prúdom) atď. vyžarujú takéto emisie, odpoveď je jednoznačná - áno. Sú však aj výrobcovia, ktorí dodržujú o čosi lepšie EMSEC štandardy.
Ochrana a vaše prípadné obavy závisia od typu povolania a osobných priorít. Na nákup drahých zariadení asi nebudete mať peniaze, ale keďže elektromagnetické emisie nemožno odchytiť z väčšej diaľky ako jeden kilometer - ako sa píše na stránke FAS, s istotou môžem povedať, že vyviesť sa autom niekde na samotu s notebookom, kde možno ani nie sú mobilné signály, kde si zašifrujete nejaký ten svoj patent, je určite lacnejšie.
Ako vidieť, opatrnosť sa netýka bežných ľudí, manažéra banky už áno. Ak má taký manažér zašifrovaný USB kľúč, kdekoľvek ho použije v počítači, je tu riziko. Buď bude svoje súbory otvárať iba na mieste, kde je chránený (pomocou technológie tempest shielding), alebo sa so svojím notebookom vyvezie autom kdesi tam, kde je svet aspoň o trochu menej civilizovaný.
Faradayova klietka
Obdobou ochrany (tempest shielding) môže byť i tzv. "Faradayova klietka", čo je technologicky zrealizovateľná vec i v domácnosti (garáž, pivnica atď.)
2.png V tomto čiernom kufríku nebude fungovať nijaký mobilný telefón.
Pokiaľ sa rozhodnete experimentovať - napríklad v garáži, ako merací prístroj poslúži mobil (iba orientačne). Čím slabší signál, tým je vaša Faradayova klietka kvalitnejšia.
Slovko "Tempest" je pôvodne kódový názov NSA, ktorý má svoj pôvod už kdesi v rokoch 1960 a ochrana proti takýmto útokom - tempest shielding - sa dlho používa najmä na veľvyslanectvách či v armáde. Na stránkach o PGP sa píše, že v USA nemusí byť vždy ľahké dostať sa k tejto ochrannej technológii.
Cieľom týchto informácií nie je strašiť, ale poukázať na realitu, ktorá - podobne ako Linux - dostáva veľmi malý priestor v médiách hlavného prúdu. A bezpečnosť, ako všetci vieme, je prostriedok k poriadku. Ak očakávame istý bontón od bežných ľudí, mali by ho rovnako dodržiavať aj tí menej "bežnejší", či niekedy dokonca aj tí, ktorých volíme.

Diskuze (1) Nahoru