Волны компромата

(Июнь 2007)

Побочные каналы утечки информации в работе компьютерных дисплеев

NSA Prism illustration

На одной из недавних выставок CEBIT известный эксперт по защите информации Маркус Кун из Кембриджа эффектно демонстрировал разработанное в университетской Компьютерной лаборатории оборудование для дистанционного снятия изображений с дисплеев.

Этот аппарат, к примеру, давал на экране четкое изображение PowerPoint-презентации, устраиваемой в то же время на выставочном стенде кого-то из соседей примерно в 25 метрах от Куна ― причем не на расстоянии прямой видимости, а за несколькими стенками-перегородками.

Нельзя сказать, что искушенные зрители от этого фокуса испытывали потрясение, однако четкость скрытно перехватываемого сигнала производила действительно сильное впечатление.

Секрет, известный всем

Как и любое другое электронное устройство, компьютер при своей работе излучает энергию, значительная часть которой ― это непреднамеренные побочные утечки. Когда такие утечки происходят в форме электромагнитных волн, то они могут, как всем известно, вызывать помехи в находящихся поблизости радиоприемных устройствах. Куда меньше известно, что эти же побочные излучения могут нести в себе информацию о данных, обрабатываемых компьютером.

И если эти данные являются секретными или просто представляют для кого-то повышенный интерес, то технически грамотный и надлежащим образом оснащенный шпион вполне может скрытно перехватывать и анализировать такого рода сигналы утечки, на расстоянии похищая информацию, обрабатываемую компьютером.

Проблема компрометирующих побочных излучений в структурах разведки и госбезопасности известна уже по меньшей мере полвека, с 1950-х годов. О компьютерах в ту пору речь почти не шла, но и без них излучающих устройств для тщательного анализа вполне хватало: шифраторы, телеграфные аппараты, электрические пишущие машинки.

Вся тема экранирования и защиты аппаратуры от компрометирующих утечек, а также, естественно, способов разведывательной добычи информации по побочным каналам была многие годы строго засекречена, с подачи американцев получив в странах НАТО кодовое название Tempest.

Широкая публика об этих вещах стала узнавать лишь во второй половине 1980-х годов, когда несколько ослабла напряженность холодной войны, а в печати стали появляться мемуары ветеранов разведки и работы инженеров-энтузиастов, самостоятельно переоткрывших основы Tempest.

Самые яркие примеры из реальной жизни шпионов дал в своей автобиографической книге «Spycatcher» Питер Райт [1], высокопоставленный научно-технический сотрудник секретной британской спецслужбы MI5. Под конец ответственной государственной работы в контрразведке у Райта, похоже, что-то серьезно замкнуло в мозгах и он стал весьма агрессивно обвинять в тайной работе на СССР целый ряд высших чиновников страны вплоть до премьер-министра Великобритании.

По понятным причинам Райта вскоре из спецслужбы уволили, однако он решил продолжить борьбу за правду на пенсии, подробно изложив суть своих подозрений в автобиографической книге, где попутно привел массу любопытных технических подробностей из повседневной жизни британской разведки в послевоенный период. В частности, рассказал Райт и о нескольких чрезвычайно успешных разведывательных Tempest-операциях, организованных при его личном участии.

Одна из атак была устроена в отношении посольства Франции в Лондоне. Скрупулезно изучив перехватываемые в кабеле сигналы от французского дипломатического шифратора, закрывавшего линию связи с парижским МИДом, англичане обнаружили в сильном основном – зашифрованном – сигнале еще один, слабый вторичный. Специально сконструированное оборудование для выделения и усиления данного вторичного сигнала показало, что это был открытый текст телеграмм, который каким-то образом просачивался через шифратор в линию.

(Поток откровений взбунтовавшегося пенсионера в свое время доставил британской разведке столько проблем и головной боли, что попытки дискредитации давно уже умершего автора продолжаются до сих пор. Совсем недавно на известном «разоблачительном» сайте Cryptome появлялась публикация, в которой абсолютно серьезно ― но без фактов, ясное дело ― делается попытка доказать, что это именно Питер Райт был нераскрытым советским шпионом в MI5, а его хорошо известный антикоммунизм был эдакой крайне изощренной формой прикрытия.)

Но книга Райта, следует подчеркнуть, является ярким исключением в истории Tempest. Ибо остальные публикации об этом особо секретном направлении работы спецслужб носят сугубо отрывочный характер и лишь изредка мелькают в статьях периодической печати ― в качестве колоритных, но лишенных подробностей эпизодов из шпионской жизни.

Что же касается обстоятельного разбора технологии, то научная и просто заинтересованная общественность впервые получила возможность близко познакомиться с проблемой компрометирующих электромагнитных утечек благодаря работам Вима ван Экка.

Буквально накануне публикации скандальной книги Райта, этот голландский инженер-компьютерщик, занимавшийся медицинской техникой, в 1985 году самостоятельно открыл, что с помощью телевизора, антенны и вручную настраиваемого генератора синхроимпульсов можно дистанционно восстанавливать изображение другого видеодисплея.

Статья ван Экка в журнале Computers& Security[2] и эффектная 5-минутная демонстрация его «шпионской» технологии по телевидению, в передаче BBC«Мир завтрашнего дня», имели весьма большой резонанс в мире ученых и инженеров.

За несколько лет открытым академическим сообществом были переобнаружены практически все основные каналы побочных утечек информации ― как электромагнитные (особенно от соединительных кабелей), так и акустические (например, от звуков нажимаемых кнопок клавиатуры).

Один из видных экспертов по безопасности в последующих комментариях резонно отметил, что главным секретом «Темпеста», как и атомной бомбы, был сам факт возможности технологии. А когда этот факт становится общеизвестен, установить важнейшие каналы побочных утечек информации может любой грамотный инженер.

Несмотря на заметный эффект, произведенный в научном мире работами ван Экка и нескольких других ученых, в последующие годы темпест-исследований в академической среде было чрезвычайно мало. Причин тому множество: затраты средств требуются весьма существенные; специальная литература и справочники если и имеются, то засекречены; государств, заинтересованных в поддержке публичных работ подобного рода, практически нет.

Однако и без государственной поддержки большой интерес независимых исследователей к этому направлению сохранялся всегда. Особенно среди публики, которую обычно принято именовать хакерами.

С конца 1990-х годов тема побочных каналов утечки вновь стала мелькать на страницах газет в связи с открытием хакерами новых методов компрометации смарт-карт, когда было продемонстрировано, что с помощью анализа флуктуаций электропитания смарткартных процессоров можно извлекать из них важные криптографические секреты [3].

Эта знаменитая работа американца Пола Кочера вдохновила целый ряд глубоких Tempest-исследований в криптографическом сообществе, в результате которых было показано, что можно не только бесконтактно и незаметно выуживать криптоключи из смарт-карт, но и более того ― с помощью радиоантенны с дистанции 5 метров (и более, если антенна подходящая) извлекать секретные криптопараметры из специализированного SSL-акселератора, устанавливаемого в серверах для ускорения криптографической обработки транзакций [4].

Примерно в это же время, на рубеже 1990-2000-х годов, в Британии, в Компьютерной лаборатории Кембриджского университета сформировалось ядро энтузиастов, активно заинтересованных в развитии открытых Tempest-исследований, особенно в части компрометирующих излучений компьютерных дисплеев.

Со времен работ ван Экка ширина пропускной полосы видеосигнала и частоты пикселей увеличились на порядок, аналоговая передача изображений ныне активно сменяется цифровыми интерфейсами, а разного рода технологии плоскопанельных дисплеев повсеместно вытесняют из употребления катодно-лучевые трубки.

В Кембридже уверены, что очевидный прогресс на всех этих направлениях делает насущно необходимой новую переоценку рисков и угроз в связи с побочными излучениями аппаратуры, выявленными открытым научным сообществом 20 лет назад. Особенно, если принять во внимание, что все эти годы работал закон Мура, значительно нарастивший возможности потенциальных злоумышленников с относительно небольшим бюджетом для финансирования атак.

В частности, специализированное и весьма дорогостоящее широкополосное оборудование для обработки сигналов, 15-20 лет назад доступное лишь очень богатым корпорациям и государственным спецслужбам, ныне может быть эффективно заменено DSP-платой с чипами перепрограммируемой логики (FPGA), общая цена которой не превышает несколько сотен евро. О соответствующих демонстрационных разработках Кембриджской лаборатории, представленных в работах Маркуса Куна [5], и пойдет далее речь.

Методы доступа

Любой обзор Tempest-атак на компьютерные дисплеи пока что логично начинать с катодно-лучевых трубок (CRT). Хотя дни таких дисплеев уже явно сочтены, аналоговые видеокабели, первоначально разрабатывавшиеся для CRT, до сих пор имеют широкое распространение. По этой причине и вследствие более простой природы сигнала в системах на основе CRT, компрометирующие излучения данного типа продолжают представлять значительный интерес для исследователей.

Чтобы выдать на экран текст или графику, микропроцессор записывает значения яркости пикселей в память буфера кадров. Чип графического контроллера периодически, 60-85 раз в секунду считывает содержимое буфера и передает его через кабель в монитор. Здесь видеосигнал усиливается примерно в 100 раз и подается на управляющую сетку катодно-лучевой трубки, которая модулирует три электронных пучка, облучающих люминофор экрана.

Многие части такой системы могут действовать как непреднамеренные передающие антенны: линии передачи данных от буфера кадров до видеоконтроллера, видеокабель для подсоединения монитора, видеоусилитель в мониторе, наконец, сама управляющая сетка в трубке.

Всякий раз, когда электрическое напряжение в этих компонентах переключается из выключенного состояния во включенное и обратно, излучается электромагнитный импульс. Любой достаточно чувствительный радиоприемник с широкой полосой приема способен детектировать такого рода импульсы. Принципиальный вопрос лишь в том, можно ли эффективно выделять информационные сигналы в общем фоновом шуме.

pic-1
Рис. 1: Текст, выдаваемый на дисплей катодно-лучевой трубки (вверху) и сигнал, наблюдаемый перехватчиком (в центре), плюс увеличенный фрагмент перехвата (внизу)

Как показывает практика, при наличии знаний, опыта и подходящей аппаратуры выделять побочные сигналы в шуме сравнительно несложно. На иллюстрации вверху можно видеть текст, высвечиваемый CRT-монитором с аналоговым VGA-кабелем. А чуть ниже ― тот же текст, реконструированный на выходе AM-приемника, настроенного на частоту 480 МГц (с шириной полосы 50 МГц).

Перехваченный текст, как можно видеть, остается читаемым, хотя и заметно искажен в сравнении с оригиналом. В частности, уже не видно разницы между цветами шрифта и фона. Вместо этого перехватчик видит на экране яркий имульс всякий раз, когда происходит перемена в цвете между фоном и текстом при движении луча в горизонтальном направлении. То есть всякий раз, когда электронный пучок включается и выключается.

Тем не менее, вследствие высокой избыточности формы букв, текст продолжает оставаться читаемым. Неконтрастные фотографии, скажем, таким методом брать существенно сложнее. Но хороший радиоприемник, который в данном случае используется как качественный фильтр, позволяет отыскать и выделить частоту с наиболее чистым от фоновых шумов сигналом. А аккуратное восстановление параметров работы монитора и специальные программные средства реконструкции изображения позволяют в итоге сделать весьма качественной всякую картинку, перехватываемую от радиосигнала CRT.

Другой интересный метод считывания информации с CRT-дисплеев ― по рассеянному оптическому излучению ― открыт исследователями Кембриджа самостоятельно, без опоры на чьи бы то ни было предыдущие работы.

Компьютерные экраны, ясное дело, всегда излучают обрабатываемую информацию в оптическом диапазоне, ибо именно для этого и предназначены. Понятно, что для похищения такой информации шпион с хорошим телескопом может просто издали заглядывать в окна. Однако для предотвращения таких хищений, как выяснилось, далеко недостаточно развернуть экран так, чтобы он не был виден через окно.

Исследования Куна и его коллег показали, что телескоп можно направлять на стену комнаты или даже на лицо человека, сидящего за компьютером. Если условия освещения подходящие, то очень быстрый световой датчик-фотоумножитель, подсоединенный к окуляру телескопа, дает достаточно информации для восстановления по мерцанию всей картинки на экране.

Реконструированное изображение будет размыто остаточным свечением люминофора и искажено шумом от других источников света, однако имеются разные техники обработки сигнала для автоматического удаления большинства этих искажений.

pic-2
Рис. 2: Первичный (a) и обработанный (b) сигнал фотоумножителя от рассеянно-отраженного света CRT

Работает оптический метод примерно следующим образом. Каждый раз, когда электронный пучок включается для изображения яркой части изображения, повышается интенсивность света, исходящего от трубки экрана. Если луч выключается для темной части картинки, то соответственно изменяется и общий световой выход. На иллюстрации (2) показано, как выглядит сигнал от фотосенсора перехватчика, если его смешать с сигналом синхронизации и подать на видеомонитор. Рядом показано то, насколько удаляется размытость картинки с помощью специально разработанных фильтров.

После такой реконструкции в оптически перехваченном видеосигнале становится возможным читать текст даже с малыми размерами шрифта. Более того, имеется и возможность восстановления цветных изображений, если повторять весь процесс реконструкции с применением красного, зеленого и синего цветовых фильтров.

Если же переходить к современным плоскопанельным дисплеям, то для них подобная техника оптического перехвата уже не срабатывает, поскольку здесь все пиксели строки экрана управляются электроникой одновременно, а не последовательно. Иначе говоря, становится в принципе невозможным по оптическому каналу получать информацию о перемене светимости соседних пикселей в горизонтальной развертке.

Но этот факт вовсе не означает, что плоскопанельные экраны меньше подвержены рискам перехвата. Скорее даже наоборот, некоторые из таких дисплеев уязвимы к компрометации по радиоканалу даже в большей степени, чем катодно-лучевые трубки, и дают перехватчику намного более четкую картинку. Причем побочные излучения здесь происходят не столько от самого дисплея, сколько от цифровых соединительных кабелей, которые все чаще используют для подключения панели экрана к видеоконтроллеру.

Целиком цифровой сигнальный тракт позволяет избавиться от лишних аналогово-цифровых преобразований и сопутствующих потерь в качестве изображения. В некоторых промышленных и планшетных компьютерах, если пространство позволяет, видеоконтроллеры и дисплейные модули напрямую соединяются параллельной шиной данных шириной 18 или 24 бита (для 6- или 8-битных значений красной/зеленой/синей компонент пикселя).

Однако в ноутбуках чисто механически неудобно пропускать так много проводов через шарниры, соединяющие крышку-дисплей с корпусом. Поэтому применяется тонкий последовательный видеокабель из 3 или 4 витых пар, ради чего приходится пропускать видеосигнал через чипы, конвертирующие параллельные значения пикселей в последовательные. Одновременно такие преобразования существенно упрощают работу перехватывающей стороне.

На иллюстрации (3) показан побочный видеосигнал, перехваченный от ноутбука Toshiba440CDXс расстояния 10 метров и через два промежуточных офиса, т.е., иначе, через три гипсолитовых стены. Причем сделано это без помощи узконаправленной антенны и в здании, где одновременно работало свыше сотни компьютеров. Техника радиоприема использована по сути та же самая, что и для катодно-лучевых трубок.

pic-3

Рис. 3: Текстовый видеосигнал, перехваченный от ноутбука через два промежуточных офиса

В тех же случаях, когда плоскопанельный дисплей подсоединяется к ПК через цифровой кабель DVI, то очень стабильное и качественное изображение перехватчику могут предоставлять две существенно разные комбинации частот горизонтальной и вертикальной развертки. Происходит это по той причине, что большинство современных панелей-экранов содержат в себе не только дисплейный модуль, но еще и схему для конвертирования разных частот обновления экрана.

Собственно дисплейные модули сконструированы под управление единственной комбинацией частот (для TFTчастота смены кадров обычно 60 Гц). Однако исторически в компьютерах использовалось множество разных частот видеосигнала. В интересах совместимости изготовители добавляют в мониторы буферы кадров, чтобы обеспечить максимально широкую пригодность дисплея для различных видеорежимов и разрешений.

Поэтому перехватчик может брать из эфира и первый сигнал от DVI-кабеля, где видеорежим задан в ПК, и второй сигнал от внутреннего межсоединения в дисплее, где видеорежим уже перенастроен под дисплейный модуль. Параллельное сопоставление двух этих сигналов предоставляет особо четкую картинку перехвата.

Как это понимать?

Подводя текущий итог исследованиям, проводимым на протяжении последних лет в Кембридже, Маркус Кун отмечает, что побочные компрометирующие видеосигналы и сравнительно недорогие демонстрационные опыты, подверждающие возможности их перехвата, известны уже не первый десяток лет. Однако для практичной и эффективной эксплуатации этих открытий вплоть до недавнего времени требовалось весьма дорогое и труднодоступное электронное оборудование обработки сигналов.

Иначе говоря, систематическая защита от перехвата видеодисплеев была проблемой довольно экзотической, реально заботящей разве что охрану секретных государственных объектов да крупных-серьезных корпораций.

Однако ныне ситуация меняется и весьма радикально. Вместе с освоением технологии чипов FPGAс перепрограммируемой логикой стали появляться недорогие и в то же время очень мощные сигнально-процессорные системы, настраиваемые под произвольную конкретную задачу. В частности, стали возможны и аппаратные реализации сложных алгоритмов для цифровой обработки сигналов в реальном масштабе времени при полосе пропускания 20-50 МГц.

Параллельно достигнут очень существенный прогресс в области общедоступных программно-управляемых радиосистем и ультра-широкополосных (UWB) систем связи, а компоненты, специально спроектированные для обработки широкополосных сигналов и слабых радиоимпульсов, все чаще встречаются в недорогой потребительской электронике.

В результате всех этих процессов сегодня в принципе становится совсем несложно из доступных компонентов сконструировать очень серьезное оборудование перехвата, всего десятилетие назад доступное лишь для богатых военных и разведывательных спецслужб.

В то же самое время в области видеодисплеев просматривается четкая тенденция к повсеместному использованию витых пар в гигабитных кабелях для последовательной передачи нескомпрессированных видеосигналов. Что гарантирует современным дисплеям еще большую, чем прежде, подверженность побочным утечкам информация.

Иначе говоря, вполне возможно, что давнюю проблему компрометирующих излучений в обозримом будущем ожидает пышный ренессанс.

[ ВРЕЗКИ]

В молодые годы Маркус Кун был одним из самых известных германских хакеров со специализацией в области карточек доступа к платному спутниковому ТВ. После учебы в США, Кун стал аспирантом и лектором Кембриджского университета, где защитил докторскую диссертацию в области защиты информации.

* * *

За полувековую историю секретных Tempest-исследований в открытую печать так и не попали принятые в государственных ведомствах стандарты и нормативы по защите оборудования от компрометирующих излучений. Защищенное Tempest-оборудование продолжает оставаться товаром, подлежащим строгому экспортному контролю.

* * *

Tempest в повседневной жизни

По давно заведенной традиции использование темпест-аппаратуры не принято афишировать. Однако применяют оборудование подобного рода уже достаточно широко. Например, в странах с обязательным лицензированием телевизионных приемников, вроде Британии, по улицам ездят автофургоны с особым ТВ-детектором, позволяющим дистанционно определить, легально ли пользуются в доме телевизором и какие конкретно каналы с его помощью смотрят.

В США полиция использует другую идейно родственную технику ― тепловизоры, позволяющие без проникновения в дом поинтересоваться, чем там за стенами занимаются жильцы. Например, по мощному инфракрасному излучению ламп обогрева выявляют «ботаников», питающих слабость к марихуане и выращивающих запрещенную коноплю в домашних мини-оранжереях.

[ Конец ]

___

ССЫЛКИ

[1] Peter Wright: Spycatcher – The Candid Autobiography of a Senior Intelligence Officer. William Heinemann Australia, 1987

[2] Wim van Eck: Electromagnetic radiation from video display units: An eavesdropping risk? Computers & Security, Vol. 4, pp. 269–286, 1985.

[3] P. Kocher, J. Jaffe, B. Jun: Differential power analysis. Advances in Cryptology – CRYPTO’99, LNCS 1666, Springer, pp. 388–397, 1999.

[4] Suresh Chari, Josyula R. Rao, Pankaj Rohatgi: Template attacks. 4th International Workshop on Cryptographic Hardware and Embedded Systems, LNCS 2523, Springer, 2002, pp. 13–28.

[5] Markus G. Kuhn: Compromising emanations: eavesdropping risks of computer displays. Technical Report UCAM-CL-TR-577, University of Cambridge, Computer Laboratory, December 2003