Software Tempest: transmisión encubierta de datos mediante radiación electromagnética.

Software Tempest: transmisión encubierta de datos mediante radiación electromagnética.

Software Tempestad:
transmisión encubierta de datos mediante radiación electromagnética

Markus G. Kuhn y RossJ. Anderson (Laboratorio de Computación, Universidad de Cambridge, Reino Unido)

Contenido

1. Introducción

2. Transmisiones de audio de onda corta

3. Receptor para interceptación de visualización de vídeo

4. Ocultar información en patrones de fluctuación

5. Transmisiones de banda ancha

6. Nueva medida de seguridad: fuentes Tempest

7. Conclusiones

Bibliografía

1.Introducción

Las organizaciones militares saben desde al menos principios de la década de 1960 que las computadoras generan radiación electromagnética que no sólo interfiere con la recepción de radio, sino que también filtra información sobre los datos que se procesan. Comúnmente conocido como radiación comprometida, este fenómeno también se conoció como radiación tempestad por el nombre en clave de un programa secreto de investigación del gobierno de EE. UU. Las fugas de datos electromagnéticos se han convertido en una preocupación importante en el desarrollo de aplicaciones informáticas sensibles a la privacidad.

En su libro «Spycatcher» [7] El ex científico del MI5, Peter Wright, habla sobre el comienzo de los ataques Tempest a equipos de cifrado. En 1960, Gran Bretaña estaba negociando su ingreso a la Comunidad Económica Europea y al Primer Ministro le preocupaba que el Presidente francés De Gaulle bloqueara la entrada británica. Por eso pidió a la comunidad de inteligencia que estableciera la posición de Francia en las negociaciones.

Los servicios de inteligencia intentaron romper el código diplomático francés, pero sin éxito. Sin embargo, Wright y su asistente Tony Sale notaron que el tráfico cifrado transportaba una señal secundaria débil. Diseñaron equipos para restaurar esta señal. Resultó que era texto sin formato lo que de alguna manera se filtró a través del cifrado.

Hoy en día, se utiliza costoso blindaje metálico de dispositivos individuales, habitaciones y, a veces, edificios enteros para proteger los sistemas gubernamentales [14 ] .

Incluso dentro de una habitación protegida se sigue el principio de separación en «rojo/negro&#187: «rojo» Los equipos que transportan datos confidenciales (por ejemplo, terminales de computadora) deben estar separados mediante filtros y pantallas de los dispositivos «negros&#187. Equipos (como módems de radio) que procesan o transmiten información no clasificada.

Equipo conectado simultáneamente a la red «red» y «negro» dispositivos como equipos de cifrado o estaciones de trabajo de varios niveles requieren pruebas especialmente cuidadosas. La norma estadounidense NACSIM 5100A, que formula requisitos de prueba para equipos protegidos por Tempest, y su equivalente de la OTAN, AMSG 720B, son documentos clasificados [b].

En Alemania, incluso los nombres de las normas gubernamentales para comprometer la radiación se mantienen en secreto.
Por tanto, sólo podemos fantasear con las tecnologías de medición utilizadas en las pruebas Tempest. Sin embargo, los datos de las patentes publicadas [12, 13] sugieren que la instrumentación utilizada es mucho más sensible que las pruebas estándar de compatibilidad electromagnética (EMC) y de interferencia de radiofrecuencia (RFI).

Algunas pruebas implican mediciones de correlación cruzada a largo plazo entre señales tomadas dentro del sistema en estudio y señales de ruido y distorsión recibidas de fuentes externas, incluidas no solo antenas, sino también líneas eléctricas, conexiones a tierra, periféricos y cables de red. Incluso los micrófonos pueden ser sensores adecuados, especialmente cuando se prueban equipos como impresoras de líneas. Al promediar los valores de correlación de millones de muestras, es posible identificar incluso rastros muy débiles de información procesada en radiación eléctrica, electromagnética e incluso acústica.

Se pueden utilizar técnicas similares de promediación y correlación para ataques en el caso en que la señal sea periódica o su estructura se comprenda de manera general. Los controladores de visualización de vídeo envían periódicamente el contenido de un frame buffer al monitor y, por tanto, son un blanco atractivo para los ataques, especialmente cuando la señal de vídeo se amplifica a varios cientos de voltios para un tubo de rayos catódicos (CRT). Marcador especial — El software que un atacante puede implantar en un sistema también puede generar señales periódicas o pseudoperiódicas que se detectan fácilmente. El conocimiento del tipo de fuentes utilizadas en pantallas de vídeo e impresoras permite, basándose en la técnica de máxima verosimilitud, obtener una mejor relación señal-ruido para caracteres completos que la posible para caracteres de píxeles individuales.

También se puede utilizar una técnica similar para la «palpación» CPU que ejecutan algoritmos conocidos. Incluso si las señales generadas por instrucciones individuales se pierden en el ruido, los métodos de correlación pueden aislar la ejecución de un conjunto conocido de instrucciones.

El trabajo de Bovenlander [8] describe cómo, para una tarjeta inteligente que implementa el algoritmo DES, una operación criptográfica se identifica por el consumo de energía cuando un determinado patrón se repite dieciséis veces.

También se conocen ataques similares cuando un atacante puede detectar la intención del procesador de escribir datos en la EPROM en función del consumo de energía. Por ejemplo, puede ingresar un PIN que está probando, ver por el consumo de energía que no es adecuado y reiniciar antes de que el contador de intentos de entrada actualice su valor. De esta manera, puede evitar el umbral de prueba del PIN.

La primera publicación sobre Tempest en la prensa abierta [1] apareció en sueco en 1983. Sin embargo, un artículo de 1985 [2] atrajo la atención del público sobre este problema, en el que Wim Van Eck demostraba en la práctica que el contenido de una pantalla podía restaurarse a distancia utilizando equipos baratos y no profesionales: un televisor normal, en el que los generadores de reloj se reemplazan por osciladores controlados manualmente.

Más tarde, sus resultados fueron confirmados por Möller, Bernstein y Kohlberg, en cuyo trabajo también se discutieron varios métodos de detección [5].

Smulders demostró que a menudo es posible interceptar incluso señales de cables RS-232 blindados [4].

Los cables de conexión forman circuitos resonantes que consisten en inductancia y capacitancia del cable entre el dispositivo y tierra; estos circuitos son excitados por los componentes de alta frecuencia de la señal de datos y las oscilaciones de RF resultantes emiten ondas electromagnéticas.

Se cree que un atacante armado con un equipo de radio bastante simple y de pie cerca de un cajero automático podría detectar tanto señales de una banda magnética como datos del PIN del usuario, ya que el lector de tarjetas y el teclado suelen estar conectados a la CPU mediante líneas serie.

Un peligro similar surge cuando se intercambian señales entre cables paralelos. Por ejemplo, se demostró la recuperación de datos de red desde una línea telefónica, con el cable telefónico tendido junto a un cable de red de computadora por solo dos metros [15]. Otro peligro proviene de las actividades «activas&#187. Ataques: un atacante que conoce la frecuencia de resonancia de, digamos, el cable del teclado de una computadora personal puede irradiarlo a esta frecuencia y luego registrar códigos de pulsación de teclas en la señal resonante transmitida debido a los cambios de impedancia que causan [16].

Dado el interés generado por la publicación de los descubrimientos de Van Eck [3], y los enormes costos de blindaje que caracterizan los campos diplomático y militar, sorprende que prácticamente no se hayan realizado más investigaciones sobre Tempest. ataques y defensas relacionadas no ha aparecido en la literatura de investigación.

Sin embargo, la investigación de radio de laboratorio — el asunto es caro y es difícil obtener resultados puramente teóricos debido a la falta de datos publicados sobre la radiación de los equipos modernos.

Uso comercial de las tecnologías Tempest — el negocio no es rentable. Los gobiernos británico y alemán intentaron interesar a las empresas comerciales en el tema Tempest cuando buscaban aplicaciones para los avances acumulados durante la Guerra Fría. Pero esto no condujo al éxito: los PC y estaciones de trabajo con protección Tempest son varias veces más caros que los modelos estándar y, además, sus ventas de exportación suelen estar estrictamente controladas. Por lo tanto, no sorprende que los equipos blindados casi nunca se utilicen fuera de las comunidades diplomática y militar.

Pero esta situación puede cambiar. En este artículo describimos varios experimentos sencillos que realizamos con un receptor Tempest y un dispositivo de radio económico. Este trabajo fue inspirado por la curiosidad y no fue financiado por nadie. No teníamos acceso al costoso equipo que se encuentra en las agencias de inteligencia de señales; Incluso nuestro obsoleto receptor Tempest no es mucho más complicado que un televisor modificado normal. Así, nuestros experimentos demuestran qué tipos de ataques son prácticos en 1998 para un interceptor aficionado creativo. Además, hemos desarrollado algunas medidas de protección de costo extremadamente bajo.

2. Transmisiones de audio de onda corta

Si queremos introducir un virus informático en un banco o en un servicio de certificación, donde el virus extraerá material clave y nos lo transmitirá a través de un canal de radio improvisado, entonces un criterio de diseño importante es el coste del receptor. Las agencias de inteligencia pueden utilizar equipos sofisticados, como antenas en fase, pero aún no están disponibles públicamente. Por lo tanto, la solución más natural para un dispositivo Tempest amateur era un receptor de radio doméstico que costaba alrededor de $100.

Para forzar al monitor de video de la computadora a producir señales de audio para nuestro receptor de radio, Tuve que desarrollar una pantalla que provocara una corriente de haz de vídeo que se aproximara a la transmisión de señales de radio. Si este último tiene una frecuencia portadora fc, entonces un tono de audio con frecuencia ft se puede representar como:

s(t) = Asin(2*pi*fc*t )[1 -Bsin(2*pi*ft*t)]

La sincronización de un sistema de visualización de vídeo digital se caracteriza principalmente por la frecuencia del reloj de píxeles fp, que es la inversa del tiempo que tarda el haz de electrones en el CLT en viajar desde el centro de un píxel hasta el centro de su vecino derecho. Velocidad del reloj de píxeles — este es un múltiplo entero de las frecuencias de desviación horizontal y vertical, es decir, la velocidad fh = fp/xt a la que se dibujan las líneas y la velocidad fv = fp/yt,a partir del cual se alinean fotogramas completos en la pantalla. Aquí xt y yt — este es el ancho y alto total del campo de píxeles con el que estamos tratando si el haz de electrones no tarda en saltar al comienzo de la línea o cuadro. Sin embargo, la imagen mostrada en la pantalla tiene solo xd píxel de ancho y yd píxel de alto, ya que el tiempo restante para los píxeles virtuales restantes (xtyt — xdуd) se utiliza para devolver el haz de electrones al lado opuesto de la pantalla.

El programa de marcadores puede leer estos parámetros directamente desde el chip controlador de video o buscarlos en archivos de configuración. Por ejemplo, en la estación Linux con la que trabajaron los autores, una línea como

ModeLine «1152×900» 95 1152 1152 1192 1472 900 900 931 939

en el archivo de configuración del servidor del sistema X Window llamado /usr/lib/X11/XF86Config indica que este sistema usa los parámetros fp = 0,95 MHz, xd = 1152, yd = 900, xt = 1472 y yt = 939.

¿Cómo se establece que las frecuencias de desviación fh = 64,5 KHz y fv = 68,7 Hz?

Si ponemos que t = 0 — este es el momento en el que el haz está en el centro del píxel de la esquina superior izquierda (x = 0 ,y = 0), entonces el haz de electrones estará en el centro del píxel (x, y) en un momento dado

t = (x/fp ) + (y/fh ) + (n/fv)

para todos los 0 <= x< xd,0 <= y < yd, n pertenece al conjunto N. Usando esta fórmula con un contador de fotogramas n = 0, ahora podemos calcular el tiempo t para cada píxel (x, y) y

establecer esto valor de píxel a 8 bits [128 +.s(t)] en la escala de grises con amplitudes A = 64 y B = 1. La Figura 1 muestra las imágenes de pantalla generadas de esta manera para transmitir tonos de audio utilizando el método de modulación de amplitud (AM).

Figura 1. Ejemplos de pantallas que hacen que el monitor emita tonos ft =300 Hz (izquierda) y 1200 Hz (derecha) a una frecuencia portadora fc =2.0 MHz con modulación de amplitud.

En principio, no es necesario llenar toda la pantalla con este patrón, pero la energía de la señal transmitida es proporcional al número de píxeles que la iluminan. Idealmente, tanto fc como ft deberían ser múltiplos enteros de fv para evitar saltos de fase de un cuadro al siguiente.

No tuvimos ningún problema con la radio portátil barata al recibir la melodía de prueba transmitida desde nuestro PC. El sistema funcionó en todas partes de nuestro laboratorio y en las salas adyacentes, mientras que la recepción a grandes distancias sólo fue buena cuando la antena receptora estaba ubicada cerca de las líneas eléctricas.

En lo que respecta a las longitudes de onda involucradas, las líneas eléctricas distribuyen más energía de RF que las antenas parásitas de una PC.

Creemos que si conectamos la radio a través de un puente RF adecuado directamente a la fase correcta de la fuente de alimentación, también podríamos recibir la señal de los edificios vecinos. Además, nuestro sencillo receptor de radio sólo tenía una antena dipolo ordinaria no ajustable, por lo que con una antena más seria se puede esperar un registro bastante aceptable a una distancia de varios cientos de metros.

Para este tipo de ataque, la banda de radio de onda corta en el rango de 1 a 30 MHz parece ser la mejor. El nivel de recepción depende significativamente de qué tan ruidoso sea el espectro de radio en las proximidades de la frecuencia portadora fc, por lo que debe elegirse lejos de las estaciones de radiodifusión.

En un ataque típico de bajo costo, un espía coloca una radio y una grabadora cerca del objetivo e inserta un marcador en la computadora usando virus estándar o técnicas de caballo de Troya. Dado que los patrones emitidos son visibles a simple vista, el ataque debe llevarse a cabo fuera del horario laboral. Muchas PC no se apagan por la noche; esto se ha convertido en una práctica común gracias a la difusión de tecnologías operativas modernas de ahorro de energía.

Un programa de marcadores para transmitir información puede utilizar un cambio de frecuencia de tono, cuando 0 y 1 están representados por imágenes como las que se muestran en la Fig. 1. Se cargan en dos buffers de vídeo que se conmutan a una velocidad de fotogramas fc. La propia señal de bits, antes de usarse para controlar el cambio en los tonos transmitidos, está precodificada para garantizar una posible corrección de errores.

En nuestro equipo de interceptación económico, el contenido de la cinta grabada se transfiere a un ordenador y se digitaliza mediante una tarjeta de sonido. Los pasos finales son el reconocimiento de caracteres, la sincronización y la decodificación — descrito en cualquier libro de texto sobre comunicaciones digitales [19]. La tasa de transferencia típica para esta situación es baja: aproximadamente 50 bits/seg, por lo que el programa de marcadores debe poder seleccionar información para su transmisión. Los objetivos obvios incluyen archivos de contraseñas, material de claves y documentos de búsqueda de texto en el disco duro.

3. Receptor de interceptación de visualización de vídeo

Se llevaron a cabo experimentos adicionales con un receptor de monitorización Tempest ESL modelo 400 de DataSafe Ltd. (Cheltenham, Inglaterra), ver Fig. 2. Este dispositivo no está destinado a resolver tareas de reconocimiento de radio; fue creado a finales de la década de 1980 como una herramienta de prueba y demostración para trabajar con tecnologías de visualización de vídeo de esa época [9].

En esencia, este es un televisor normal en blanco y negro con algunas modificaciones, la más importante de las cuales es que los circuitos de recuperación de la señal del reloj se reemplazan por dos osciladores sintonizados manualmente. La frecuencia horizontal o la frecuencia de línea se pueden seleccionar dentro de 10 — 20 KHz con una resolución de casi milihercios y la frecuencia vertical o velocidad de cuadros se puede seleccionar dentro de 40,0 — 99,9 Hz con resolución de 0,1 Hz.

A diferencia de un televisor normal, este dispositivo se puede configurar fácilmente en cuatro bandas en el rango de 20 — 860 MHz, y su sensibilidad varía de 60 µV a 20 MHz a 5 µV a 860 MHz.

Figura 2.DataSafe/ESL Modelo 400 — Monitor de radiación Tempest

Utilizando una antena dipolo plegable de 4 metros, obtuvimos la mejor calidad de imagen en el rango de 100-200 MHz. Esta antena está lejos de ser la más óptima; Los experimentos con una antena de cono logarítmico prestada con un rango nominal de 200-2000 MHz dieron resultados mucho mejores incluso en frecuencias de 140-200 MHz. Esta antena más cara parece ser más adecuada para las emisiones polarizadas elípticamente de un monitor de vídeo típico.

El monitor utilizado en nuestros experimentos — Este es un monitor de PC Super-VGA convencional de 43 cm con ancho de banda de video de 160 MHz, que cumple con los requisitos de bajas emisiones de MPR II.

Los requisitos de emisión de las normas MPR y TCO especifican únicamente mediciones en los rangos de hasta 400 kHz. Los campos emitidos en estas bandas son generados principalmente por las bobinas de desviación y no contienen información significativa sobre el contenido de la pantalla. Las emisiones asociadas al contenido de la pantalla se producen principalmente en frecuencias muy superiores a los 30 MHz, en las gamas VHF y UHF (si no tenemos en cuenta las imágenes patológicas difundidas en el experimento descrito anteriormente en el apartado anterior).

Los estándares MPR y TCO, introducidos por razones de salud, no requieren blindaje de las bandas UHF y VHF y, de hecho, no están relacionados con los problemas de Tempest. No asuma que los llamados monitores de bajas emisiones o incluso los LCD brindan protección alguna. Hemos descubierto que algunas computadoras portátiles modernas con pantallas TFT-LCD brindan señales de recepción aún más claras que muchos tubos de rayos catódicos.

Nuestro monitor de PC, con su frecuencia de línea de 64 KHz y su frecuencia de píxeles de 95 MHz, estaba muy fuera del rango de las pantallas para las que estaba diseñado el ESL400. Tuvimos que configurar el reloj horizontal a 16,1 KHz, que es una cuarta parte de la frecuencia real de la PC. Como resultado, el contenido de la pantalla del monitor del receptor se mostró en cuatro columnas; dado que los sucesivos píxeles de líneas ahora se dividían en módulo 4, los caracteres de texto sin formato, aunque permanecían visibles, se volvían ilegibles.

4. Ocultar información en patrones de fluctuación

Notamos que nuestro receptor Tempest resalta principalmente la parte de alta frecuencia de la señal de video. Los componentes espectrales útiles más fuertes se encuentran en frecuencias cercanas a la frecuencia de los píxeles y sus armónicos. Sin embargo, durante la última década, la tecnología de monitores ha experimentado cambios importantes. Terminales de principios de los años 80, estudiados por Van Eck. en [2], el haz de electrones se encendió y apagó para cada píxel individual. Esto mejoró la calidad de imagen de los CLT de banda estrecha de la época porque todos los píxeles seguidos parecían iguales. Sin esa ondulación de píxeles, el resultado fue que los píxeles en el medio de una línea horizontal parecían más brillantes que los de los bordes, ya que en la electrónica temprana el cambio entre aumento y caída de voltaje era lento.

Las pantallas modernas tienen un ancho de banda de vídeo mucho más amplio y, por lo tanto, no requieren ondulación de píxeles. Como resultado, todo lo que el interceptor puede recibir desde la línea horizontal de la pantalla de un monitor moderno — Se trata de dos impulsos cortos que se emiten en esos momentos en que el haz se enciende en el extremo izquierdo y se apaga en el derecho. De hecho, la señal Tempest — Esto es, en términos generales, la amplitud de la derivada de la señal de vídeo. Con el texto esto no suele ser un problema, ya que los signos (en la mayoría de los idiomas) se identifican por sus componentes verticales; pero esto interfiere con la recepción de imágenes en pantalla, como fotografías, que no se pueden reconstruir fácilmente a partir de bordes verticales claros únicamente.

El ojo humano es menos sensible a las frecuencias altas que a las bajas. «Temblando» (vacilando) — Esta es una técnica que utiliza esta propiedad del ojo para aumentar los tonos de color en pantallas con un tamaño de tabla de colores pequeño. En los monitores modernos de alta resolución, un usuario no puede distinguir fácilmente un color gris medio de un patrón de tablero de ajedrez de píxeles blancos y negros, especialmente cuando la distancia entre píxeles es menor que el diámetro focal del haz de electrones. Por otro lado, para un interceptor, un patrón en blanco y negro de alta frecuencia produce la señal más fuerte posible, mientras que un color constante produce la señal más débil.

Podemos utilizar esta diferencia en la sensibilidad espectral entre el usuario y el interceptor para que vean información diferente. La figura 3 muestra: izquierda — señal de prueba en el monitor de la estación de trabajo de los autores; correcto — pantalla obtenida en el receptor Tempest.

Figura H.Imagen de prueba en un monitor de computadora (izquierda) y señal interceptada (derecha). Tres copias en el monitor del interceptor — el resultado de una frecuencia de desviación vertical más baja (16,1 kHz en lugar de 64 kHz, la cuarta copia se pierde durante el proceso de retroceso del haz).

La imagen de prueba tiene un marcador rectangular y varios marcadores triangulares en el lado izquierdo, dibujados en un patrón tembloroso de líneas verticales blancas y negras. Estos marcadores ayudan a rastrear otras propiedades de la imagen, e incluso con nuestra sencilla antena dipolo son muy claramente visibles en el monitor del receptor, incluso desde otras habitaciones a más de 20 metros de distancia.

A la derecha de cada marcador — una banda de color que parece uniforme en un monitor de computadora. Estas franjas, siguiendo los siete triángulos, se dibujaron en colores uniformes (rojo oscuro, verde oscuro, azul oscuro, amarillo, rosa, azul claro y gris) desde el borde izquierdo y se sombrearon gradualmente en patrones temblorosos hacia la derecha (rojo/negro, verde/negro, azul/negro, amarillo/negro, rosa/negro, azul/negro, blanco/negro).

Las tres bandas de abajo (en el receptor Tempest estas son las bandas superiores) — nuevamente amarillo, rosa y azul desde el borde izquierdo, pero esta vez el patrón de fluctuación da un cambio de fase entre los colores primarios, de modo que este patrón hacia la derecha se vuelve rojo/verde, rojo/azul y azul/verde. Entre los bordes izquierdo y derecho de las franjas, la amplitud del patrón de fluctuación aumenta linealmente. Esta imagen de prueba permite ver inmediatamente cuál de los tres cañones de electrones genera una señal Tempest adecuada y a partir de qué umbral. (Una observación: las señales generadas por voltajes de entrada de video idénticos para los tres colores primarios (rojo, verde y azul) exhiben diferentes amplitudes Tempest.)

Una aplicación impresionante de la sensibilidad del interceptor a las amplitudes de fluctuación se muestra en la barra de color a la derecha del undécimo triángulo. Mientras que el monitor de la computadora muestra claramente «Oxford» en letras grandes, el interceptor ve en su pantalla «Cambridge». La Figura 4 muestra un aumento en el campo de píxeles alrededor de las letras «Ox», emitiéndose como «Ca». Mientras que «Oxford» dibujado en rosa en lugar de gris simplemente desactivando el componente verde, «Cambridge» insertado en la imagen aumentando la amplitud de la fluctuación.

El cambio en la amplitud de la fluctuación debe suavizarse para no excitar detectores muy sensibles en la retina del ojo humano. Para que el cambio sea invisible, se deben tener en cuenta varios efectos físicos de los monitores. El valor del componente de color seleccionado por el programa de visualización generalmente se asigna linealmente al voltaje de entrada de video suministrado al monitor. Pero la relación entre el voltaje de video V y la luminosidad de la pantalla L no es lineal y puede aproximarse como L = constVy, donde y — exponencial dependiente del equipo, que suele oscilar entre 1,5 y 3, según el diseño del tubo de rayos catódicos. El programador debe recordar que la luminosidad total de dos patrones de fluctuación de color depende del promedio aritmético de sus luminosidades y no de los voltajes.

Figura 4.Ampliación de un fragmento de la pantalla donde el usuario lee «Oh», y en la pantalla del interceptor la misma zona se lee como «Ca».

Los cálculos finales son conocidos por los especialistas en el campo de la televisión y la infografía como «corrección gamma». El texto que ve el interceptor es — se trata de una modulación de amplitud con corrección gamma del patrón de fondo y el mensaje real para el usuario — sólo una señal de baja frecuencia.

En los casos en los que la imagen transmitida sea muy difícil de ver, los parámetros de fluctuación deben calibrarse manualmente para el monitor específico. Esta calibración depende no sólo del tipo de monitor, sino también del brillo, contraste y otros parámetros que el usuario puede cambiar. Por lo tanto, un espía cuidadoso intentará ocultar el texto legible no en áreas de color uniforme, sino en contenido de pantalla rico en estructura, como fotografías de fondo o animaciones mostradas en protectores de pantalla. Estos programas son como cualquier otro otrosoftware con acceso a pantalla, — esto es parte del sistema «confiable» base informática (confiable), ya que no existe un blindaje físico efectivo.

5. Transmisiones de banda ancha

Nuestro método de modulación de amplitud de fluctuación para caracteres grandes y legibles se desarrolló como un medio para traducir información oculta de forma fácil y económica. Lo más probable es que un oficial de inteligencia profesional elija un método que afecte solo a un área pequeña de la imagen de la pantalla y que esté optimizado para una recepción máxima confiable utilizando equipos sofisticados. En esta sección daremos un esbozo de cómo sería un sistema de este tipo.

Recibir emisiones de monitor utilizando un televisor modificado requiere un conocimiento preciso de las frecuencias de desviación horizontal y vertical o la presencia de una señal lo suficientemente fuerte como para ajustar manualmente los generadores de reloj. A largas distancias y bajos niveles de señal, la información emitida se puede separar del ruido sólo promediando la señal periódica durante un cierto período de tiempo, y el ajuste manual de la sincronización es bastante difícil.

En el caso de un ataque profesional, se puede utilizar la técnica del espectro difuminado para superar la interferencia de la señal. El programa de marcadores fluctuará uno o más colores en varias líneas de la imagen de la pantalla utilizando una secuencia de bits pseudoaleatoria (PRBS). «troyano» un programa, por ejemplo, puede generar dicha fluctuación en la barra de menú de una ventana. El correlacionador cruzado en el receptor recibe una entrada de la antena y busca en sus otras entradas la misma secuencia de bits pseudoaleatorios emitidos a la frecuencia de píxeles del monitor deseada. El correlacionador cruzado generará un pico de salida que dará la diferencia de fase entre el receptor y el objetivo. El bucle de fase bloqueada puede entonces accionar el oscilador del receptor de modo que sea posible un promedio estable y a largo plazo del contenido de la pantalla. La información se puede transmitir invirtiendo el PSBP, dependiendo de si se va a transmitir el bit 0 o 1. Los lectores familiarizados con las técnicas de modulación directa de espectro ensanchado estarán familiarizados con ideas similares, y se pueden aplicar muchas otras tecnologías de este campo de las comunicaciones. esta situación.

Si el PSBP, codificado como una serie de píxeles blancos y negros, es demasiado diferente de la barra de menú típicamente gris con la que el usuario está familiarizado, entonces se puede utilizar la modulación de fase. La amplitud del patrón de fluctuación se puede cambiar gradualmente para varios píxeles alrededor de los saltos de fase para evitar cambios de brillo visibles en la barra de menú. También puede utilizar sólo una pequeña cantidad de líneas — tal vez solo una línea no utilizada en la parte superior de la regla (o incluso detrás del borde visible de la pantalla).

Las ventajas de la técnica del espectro difuso son las siguientes:

— Sólo necesita seleccionar el reloj de píxeles y (posiblemente) la frecuencia portadora. Esto garantiza un bloqueo de fase rápido y un funcionamiento totalmente automático;
— es posible alcanzar niveles de recepción más altos ya que el ruido se suprime mediante correlación cruzada y promediado;
— Se pueden lograr velocidades de transmisión más altas y se simplifica la tarea de decodificar automáticamente los datos recibidos.

Una aplicación comercial interesante de esta tecnología podría ser la supervisión del uso de software con licencia. La mayoría de las licencias permiten que el producto se utilice solo en una computadora a la vez, pero esta condición a menudo se viola. Propusimos que el software propietario incluya en la imagen de la pantalla varias líneas con una señal PSBP que codifique el número de serie de la licencia más algún valor aleatorio [20]. Al igual que los vehículos recreativos con «detector de TV» conducir en países con licencias obligatorias para receptores de TV (particularmente en Gran Bretaña) para identificar televisores sin licencia por sus emisiones, y camionetas con un «detector de programas» se puede utilizar para patrullar áreas comerciales y otros lugares donde se sospecha piratería de software. Si una camioneta recibe veinte señales de la misma copia de Word de una empresa que solo otorga licencia para cinco copias, entonces hay motivo para investigar.

El valor aleatorio codificado en PSBP ayuda a distinguir entre los ecos de mensajes recibidos de diferentes computadoras. Finalmente, si el sistema operativo emitiera la PSBP, entonces sería posible transmitir los identificadores y números de licencia de todos los programas actualmente activos.

6. Nueva medida de seguridad: fuentes Tempest

Como señalamos anteriormente, el interceptor solo tiene acceso a los componentes de alta frecuencia de la señal de video. A la izquierda en la Figura 5 hay una imagen de prueba que ayuda a determinar qué parte del espectro de la imagen genera realmente la señal Tempest. Este tipo de política «zonal» la imagen es utilizada por especialistas en televisión y se genera en base a la función cos(x2+y2), cuando el origen del sistema de coordenadas se encuentra en el centro de la pantalla. En cada punto de esta señal de prueba, el espectro local tiene un único pico en frecuencia horizontal y vertical, proporcional a las coordenadas horizontales y verticales de este punto. Este pico de frecuencia alcanza la frecuencia de Nyquist//2 para los puntos en el borde de la «imagen de zona».

Figura 5. Señal de prueba «imagen de zona&# 187; (izquierda) y la señal interceptada (derecha).

A la derecha en la Fig. 5 está la señal Tempest interceptada desde un monitor con una «imagen de zona» (Para este y otros experimentos descritos en esta sección, colocamos la antena lo más cerca posible del monitor para lograr las mejores condiciones de recepción). Como era de esperar, sólo la frecuencia horizontal de la señal determina lo que se recibe. Lo que es más interesante es que sólo el 30% exterior de la «imagen de la zona» aparecen oscuros en la pantalla del monitor del receptor. Esto significa que si observa la transformada de Fourier de la frecuencia de píxeles horizontales, resulta que nuestra configuración solo puede aceptar información representada en el espectro de Fourier por frecuencias en el rango 0,7*fp/2 < f <=fp/2. El valor exacto de 0,7 depende claramente del hardware que se utilice, pero no parece que este valor sea atípico.

Nos preguntamos si esto podría usarse para una técnica antiintercepción basada en software potencialmente de muy bajo costo. La Figura 6 a la izquierda muestra un campo de píxeles ampliado que resalta algo de texto. A la derecha está el mismo campo de píxeles después de haber eliminado el 30% superior de la transformada de Fourier de la señal, condensándola con un filtro de paso bajo sin(x)/x adecuado.

El texto filtrado se ve bastante borroso y desagradable en esta imagen ampliada, pero sorprendentemente, la pérdida de calidad del texto es casi invisible para el usuario en la pantalla de la computadora. El enfoque limitado del haz de electrones, la resolución limitada del ojo, así como los efectos generados por la máscara y la electrónica del monitor, filtran esta señal de todas las formas posibles.

Figura 6. Izquierda — texto ampliado en fuente normal, a la derecha — texto filtrado con el 30% superior del espectro de frecuencia horizontal eliminado.

Aunque los cambios visibles son insignificantes para el usuario, el filtrado de texto provoca el efecto de que la información que antes se recibía fácilmente desaparece por completo del monitor Tempest, incluso si la antena está situada cerca de la pantalla de vídeo.

Interceptación del texto mostrado en el monitor — Este es sólo un tipo de amenazas Tempest asociadas con las computadoras personales. Sin embargo, la consideramos la amenaza más grave. Como regla general, una pantalla de video es la fuente más fuerte de radiación y, debido a su naturaleza periódica, la señal de video se distingue fácilmente de otras mediante un promedio periódico.

Encontramos otras dos fuentes potenciales de señales intermitentes en cada PC, las cuales pueden solucionarse con software económico o cambios menores de diseño.

Primero, los controladores de teclado realizan un bucle infinito de escaneo de la matriz de teclas, donde se ejecuta una secuencia de instrucciones dependiendo de la tecla que se presiona en ese momento. Una breve rutina de espera aleatoria dentro de un bucle determinado puede evitar el promedio periódico realizado por el interceptor.

En segundo lugar, muchas unidades leen continuamente la última pista procesada hasta que se intenta el siguiente acceso al disco. Dado que un atacante puede intentar reconstruir esta pista mediante un promedio periódico, proponemos que, después de acceder a los datos secretos, el cabezal del disco se desplace a la pista de datos no clasificados hasta la siguiente solicitud de lectura.

Nuestro trabajo muestra que la técnica desarrollada «Software Tempest», y en particular las fuentes Tempest, pueden mejorar significativamente la seguridad a un coste muy bajo. Hay muchas aplicaciones en las que serán suficientes: en aplicaciones de seguridad media, muchas agencias gubernamentales utilizan un «esquema de zonas», donde las computadoras con datos confidenciales no están protegidas, sino que se ubican en habitaciones alejadas de áreas de posible acceso. Aquí es donde los 10-20 dB de protección que proporciona la fuente Tempest juegan un papel muy importante. También hay aplicaciones en las que las fuentes Tempest son sólo una opción adicional en situaciones en las que un país tiene que comprar inesperadamente grandes cantidades de computadoras comerciales comunes y utilizarlas en alguna operación seria como Tormenta del Desierto. Finalmente, en aplicaciones como la diplomacia, que requieren el más alto nivel de seguridad, los usuarios pueden instalar programas de plagas Tem junto con el hardware Tempest: el blindaje del hardware a menudo falla debido a juntas sucias o problemas organizativos, como cuando los embajadores se niegan rotundamente a mantener las puertas cerradas.

7. Conclusiones

Las emisiones comprometidas siguen siendo un área de investigación apasionante, aunque en gran medida están inexploradas en la literatura científica. El alto coste del blindaje físico y las velocidades de reloj cada vez mayores de los ordenadores modernos garantizan que este problema no pueda superarse rápidamente. Al mismo tiempo, la aparición de potentes receptores de radio por software en el mercado de aficionados sólo puede empeorar la situación.

Sin embargo, hemos demostrado que Tempest — No se trata sólo de la investigación de radiofrecuencia. Las técnicas de software pueden cambiar el panorama significativamente: pueden usarse para crear nuevos ataques, diseñar nuevas defensas e inventar aplicaciones completamente nuevas. Creemos que nuestra tecnología «Software Tempest» puede desarrollar significativamente esta área de investigación.

Bibliografía

1. Kristian Beckman: Datorer lakande. (Citado en [3])

2. Wim van Eck: Radiación electromagnética procedente de unidades de visualización de vídeo: ¿un riesgo de escuchas clandestinas? Computadoras y Seguridad 4 (1985) 269-286

3. Harold Joseph Highland: revisión de la radiación electromagnética. Computadoras y Seguridad 5 (1986) 85-93 y 181-184.

4. Peter Smulders: La amenaza del robo de información por la recepción de radiación electromagnética de cables RS-232. Computadoras y Seguridad 9 (1990) 53-58

5. Erhard Moller, Lutz Bernstein, Ferdinand Kolberg: Schutzmassnahmen gegen kompromittierende elektromagnetische Emissionen von Bildschirmsichtgeraten. Labor fur Nachrichtentechnik, Fachhochschule Aachen, Aquisgrán, Alemania

6. Deborah Russell, G T. Gangemi Sr.: Conceptos básicos de seguridad informática. Capítulo 10: TEMPEST, O’Reilly & Asociados, 1991, ISBN 0-937175-7M

7. Peter Wright: Cazador de espías — La sincera autobiografía de un alto oficial de inteligencia. William Heinemann Australia, 1987, ISBN 0-85561-098-0

8. Ernst Bovenlander, invitado a charla sobre seguridad de tarjetas inteligentes, Eurocrypt 97

9. Manual de funcionamiento para monitores de emisiones DataSafe/ESL modelo 400B/400B 1. DataSafe Limited, 33 King Street, Cheltenham, Goucestershire GL50 4AU, Reino Unido, junio de 1991

10. Lars Heivik: Sistema de protección de equipos digitales contra el acceso remoto. Patente de Estados Unidos 5165098, 17 de noviembre de 1992

11. John H. Dunlavy: Sistema para prevenir la detección remota de datos informáticos a partir de emisiones de señales TEMPEST. Patente de Estados Unidos 5297201, 22 de marzo de 1994

12. Joachim Opfer, Reinhart Engelbart: Verfahren zum Nachweis von verzerrten und stark gestorten Digitalsignalen und Schaltungsanordnung zur Durchfuhrung des Verfahrens. Patente alemana DE 4301701 Cl, Deutsches Patentamt, 5 de mayo de 1994

13. Wolfgang Bitzer, Joachim Opfer: Schaltungsanordnung zum Messen der Korrelationsfunktion zwischen zwei vorgegebenen Signalen. Patente alemana DE 3911155 C2, Deutsches Patentamt, 11 de noviembre de 1993

14. Pulso Electromagnético (EMP) y Protección contra Tempestades para Instalaciones. Folleto de ingeniería EP 1110-3-2.469 páginas, EE. UU. Cuerpo de Ingenieros del Ejército, Depósito de Publicaciones, Hyattsville, 31 de diciembre de 1990

15. Uberkoppein auf Leitungen, Faltblatter des BSI 4, Agencia Alemana de Seguridad de la Información, Bonn, 1997.

16. Schutzmassnahmen gegen Lauschangrifie, Faltblatter des BSI 5, Agencia Alemana de Seguridad de la Información, Bonn, 1997.

17. Blosstellende Abstrahlung, Faltblatter des BSI 12, Agencia Alemana de Seguridad de la Información, Bonn, 1996.

18. RJ Lackey, DW Upmal, Speakeasy: La radio de software militar. IEEE

Communications Magazine v 33 no 5 (mayo de 95) págs. 56-61 19. John G. Proakis: Digital Communications, 3ª ed., McGraw-Hill, Nueva York, 1995,

ISBN 0-07-051726-6 20. Ross J Anderson, Markus G Kuhn, Detector de piratería de software que detecta emanaciones informáticas electromagnéticas. Solicitud de patente del Reino Unido nº GB 9722799.5 del 28 de noviembre de 1997