Izraelscy badacze znaleźli sposób na wydobycie danych z odizolowanych komputerów. I nie chodzi wcale „zwykłe” komputery, które działają w wydzielonej sieci. Ale o komputery specjalnego przeznaczenia klasy TEMPEST (z ang. Transient Electromagnetic Pulse Emanation Standard).
Czym jest standard TEMPEST
Każde urządzenie podłączone do linii zasilającej i włączone, generuje promieniowanie elektromagnetyczne. Dzięki określonym technologiom można je przechwycić i odszyfrować, co robi na nich użytkownik. Dlatego do przetwarzania informacji tajnych używa się specjalnych urządzeń. Tego typu komputery są całkowicie odłączone od Internetu i sieci lokalnej. Dodatkowo zabezpieczone są przed wyciekiem takich elementów jak światło, dźwięk, ciepło oraz pole elektromagnetyczne. Właśnie to są urządzenia klasy TEMPEST.
TEMPEST znaczy bezpieczne?
Tego typu urządzenia zazwyczaj trzymane są w specjalnie przygotowanych, wzmocnionych pomieszczeniach o ograniczonym dostępnie i wzmocnionych ścianach (odpornych np. na atak elektromagnetyczny). Dlatego uważa się je za bezpieczne.
Jakie są słabe ogniwa tego sytemu? Jak każde urządzenie wymaga człowieka do obsługi oraz zasilania, aby działać. I właśnie tą droga poszli badacze z Uniwersytetu Ben-Guriona w Izraelu. Udowodnili, że można skutecznie i niepostrzeżenie ukraść dane z takiego komputera. I wszystko to pisali w raporcie PowerHammer: Exfiltrating Data from Air-Gapped Computers through Power Line.
Aby tak się stało konieczne jest zainfekowanie maszyny złośliwym kodem (z ang. malware) o nazwie PowerHammer. Drugim warunkiem jest podłączenie urządzenie do sieci energetycznej w budynku. Złośliwy kod monitoruje pracę procesora i wysyła do sieci energetycznej pewne impulsy alfabetem morsa. Inne specjalnie przygotowane urządzenie, wpięte do sieci tej samej energetycznej, jest w stanie te dane wykryć i odczytać. Transfer danych nie był zbyt wysoki. Osiągał poziom kilku – kilkudziesięciu bitów na sekund. Za to wszystkie bity były poprawnie odczytywane, bez żadnych błędów.
Testowanie rozwiązanie nie umożliwia skopiowania całej dokumentacji. Ale z powodzeniem może służyć do wycieku małych ilości danych takich jak hasła, tokeny, czy klucze szyfrujące.