21. lokakuuta 2008

Langallisetkin näppäimistöt salakuunneltavissa etäältä - tempest hyökkäys jälleen vaarana!

Mainitaan heti kättelyssä, että olen aikaisemmin kirjoittanut blogissani varsin kattavasti julkisestikin käytännöllisiksi osoitetuista tempest-hyökkäyksistä. Suosittelen lukemaan kyseisen kirjoitukseni huolella läpi, mikäli hajasäteily (tempest) ei ole terminä tuttu tai luulet sen olevan humpuukia tai foliohattutouhua. Lyhyesti sanottuna kyse on siitä, että kaikki sähkölaitteet säteilevät ympäristöönsä sähkömagneettista säteilyä ja tätä säteilyä tarkkailemalla on mahdollista selvittää pelottavan tarkasti, mitä kyseisellä laitteella tehdään. Esimerkiksi tietokoneen ruudulla oleva kuva voidaan kaapata ja sähköistä äänestyslaitetta salakuunnella etäältä tempest -hyökkäystä käyttäen.

No, nyt on tullut erittäin pelottavaa tietoa Martin Vuagnouxin ja Sylvain Pasinin tutkimuksista. Langallisetkin, eli siis PS2- ja USB-väyläiset näppäimistöt ovat nekin salakuunneltavissa edullisilla laitteilla helposti parinkymmenen metrinkin päästä, useiden seinienkin läpi hajasäteily (tempest)-hyökkäystä käyttämällä.

We tested 11 different wired keyboard models bought between 2001 and 2008 (PS/2, USB and laptop). They are all vulnerable to at least one of our 4 attacks. We conclude that wired computer keyboards sold in the stores generate compromising emanations (mainly because of the cost pressures in the design). Hence they are not safe to transmit sensitive information. No doubt that our attacks can be significantly improved, since we used relatively unexpensive equipments.


Suomeksi sanottuna tämä tarkoittaa, että kaikki näppäimistölläsi kirjoittamat asiat, kuten salasanat, sähköpostiviestit jne. voidaan kaapata kymmenien metrien päästäkin edullisilla laitteilla. Hyökkääjän ei tarvitse tunkeutua tilaan tai tietokoneeseen, jossa kirjoitat salasanojasi, vaan hän voi kaapata kaiken kirjoittamasi tekstin suoraan ilmasta, vaikka kirjoitatkin langallisella näppäimistöllä. Tämä on erittäin vakava tietoturvaongelma!

Mikäli käytät langatonta näppäimistöä, uhka on vielä suurempi kuten jo aiemmin kirjoitin mm. tässä. Olen toki olemassa turvallisempiakin langattomia näppäimistöjä, jotka hyödyntävät pakollisena Bluetoothin salausta turvallisella tapaa sovellettuna, mutta vaikka ilmatieyhteys olisikin salattu, niin näppäimistö itsessään ei ole silloinkaan mitenkään erityisesti suojattu hajasäteilyhyökkäystä (tempest) vastaan, josta tässä hyökkäyksessä nyt on kyse.

Entistäkin huolestuttavaksi hyökkäyksen tekee se, että sillä on mahdollista kaapata nähtävästi kaikkien yleisesti käytössä olevien näppäimistöjen näppäinpainallukset. Toisin sanoen, markkinoilla ei nähtävästi ole näppäimistöjä, joiden elektromagneettinen suojaus olisi riittävä suojaamaan tältä hyökkäykseltä. Itse spekuloin aiemmassa kirjoituksessani, että PS2-väyläinen näppäimistö on vaikeammin salakuunneltavissa kuin usb-väyläinen, koska PS2-väylässä liikkuu vähemmän virtaa. Nähtävästi näppäimistön käyttämällä väylällä ei vaikuta olevan juurikaan merkitystä salakuuntelun onnistumiseen.

Toinen merkillepantava asia on, että tässä esimerkissä onnistuttiin kaappaamaan näppäinpainallukset nimenomaan näppäimistöstä itsestään. Ei siis tietokoneesta, tietokoneen ruudulta, virtalähteen muutoksia seuraamalla tai muusta, huomattavasti enemmän säteilevästä kohteesta. Käytännön hyökkäystilanteessa ja paremmilla laitteilla hyökkäys on huomattavasti tehokkaammin toteutettavissa kuin tässä esimerkissä. Ei liene perusteetonta olettaa, että langallisia näppäimistöjä voidaan salakuunnella normaalikäytössä kymmenien, jopa sadan metrin päästä hyödyntämällä tietokoneen muiden signaalien antamaa tietoa.

Suojautumiskeinoja ei ole. Eikä luultavasti tule, ainakaan vuosikausiin, koska näppäimistöjen valmistajia tuskin kiinnostaa tietoturva pätkän vertaa, varsinkaan kun käyttäjät eivät osaa vaatia sitä, eivätkä tajua tämän(kään) tietoturvaongelman merkitystä. Ainoa teoreettisesti ajatellen turvaa antava tekijä olisi, että lähistöllä käytettäisiin useita samanlaisia näppäimistöjä samaan aikaan, jolloin signaali peittyisi toisten vastaavien signaalien alle. Ottaen kuitenkin huomioon eri näppäimistöjen kirjavuuden ja hyökkääjän mahdollisuuden käyttää suunta-antennia signaalin nappaamiseen, en usko tämän suojautumiskeinon auttavan käytännössä lainkaan. Ainoa keino, joka tepsisi olisi, että koko tietokone virtalähteineen (akkuineen) ja liitännäisineen sijoitettaisiin Faradayn häkin sisään kun sen näppäimistöä käytetään.

Viimeistään nyt on aika alkaa lopettaa salasanojen käyttöä ja siirtyä vahvempaan tunnistamiseen, kuten älykortteihin tms. Tällöin salasanan (pin-koodi) kaappaaminen ei vielä auta mitään, koska hyökkääjän pitää saada myös itse älykortti varastettua voidakseen päästä hyötymään jotakin. Tietysti salasanojen käytön lopettaminen ei poista ongelmaa, eli sitä, että silti kaikki mitä kirjoitat, voidaan salakuunnella. Sähköpostin salaaminen vahvalla salauksella ei auta, kun koko sähköposti on salakuunneltavissa sitä kirjoittaessasi.

Kynä, paperi ja posti tuntuvat olevan ainoat turvalliset tavat viestiä tänä päivänä. Valitettavasti.

Epäilen vahvasti, että suomalainen media ei tätäkään räikeätä tietoturvaongelmaa tule noteeraamaan mitenkään, vaikka kaikkien yritysten ja valtion instanssien tietoturva on tämän ongelman päivänvaloon tultua huomattavasti heikompi. Voi sanoa oikeastaan suoraan, että kun tavanomaista näppäimistöäkin voidaan salakuunnella halvoilla välineillä kymmenien metrien päästä, tietoturvaa ei tietokoneella normaalikäytössä enää ole. Luulisi, että edes isoa rahaa liikuttavilla yrityksillä kuten pankeilla ja it-alan firmoilla olisi kiinnostusta paneutua asiaan ja järjestää suojausta, mutta, voin lyödä asiasta vaikka vetoa, niitä ei kiinnosta. Antaa asiakastietojen ja yrityssalaisuuksien vaan vuotaan näppäimistöjen kautta maailmalle. Mitäpäs siitä. Eipä ole hajasäteilysuojaus aikaisemminkaan niitä kiinnostanut pätkän vertaa. Säälittävää suorastaan ja kuten sanoin, media ei luultavasti tee elettäkään tästä vakavasta tietoturvaongelmasta tiedottamiseen...

3 kommenttia:

Anonyymi kirjoitti...

"Toinen merkillepantava asia on, että tässä esimerkissä onnistuttiin kaappaamaan näppäinpainallukset nimenomaan näppäimistöstä itsestään. Ei siis tietokoneesta, tietokoneen ruudulta, virtalähteen muutoksia seuraamalla tai muusta, huomattavasti enemmän säteilevästä kohteesta."

Luulen kyllä, että näppäimistön painallukset nimen omaan on helpointa kaapata suoraan näppäimistön säteilystä. Tietokoneen näytöltäkin ne on vielä joten kuten kaapattavissa, mutta ei kyllä sitten enää virtalähteen tai prosessorin säteilystä.

On käytännössä täysin mahdotonta pystyä kaappaamaan prosessorin säteilystä vain ja ainoastaan näppäimen painallukset. Virtalähde on varmasti vieläkin mahdottomampi, koska sen säteilyssä näkyy samanaikaisesti useamman laitteen käyttö.


"Käytännön hyökkäystilanteessa ja paremmilla laitteilla hyökkäys on huomattavasti tehokkaammin toteutettavissa kuin tässä esimerkissä."

Käytännön hyökkäystilanteessa on useimmiten muitakin säteileviä lähteitä kuin pelkkä näppäimistö, joten taitaa olla aika vaikeaa erottaa niitä toisistaan. Sitä paitsi monet ihmiset kirjoittavat nopeammin kuin 1 merkki per sekunti. Joten se siitä hyökkäyksestä (ainakin toistaiseksi =)


"Luulisi, että edes isoa rahaa liikuttavilla yrityksillä kuten pankeilla ja it-alan firmoilla olisi kiinnostusta paneutua asiaan ja järjestää suojausta, mutta, voin lyödä asiasta vaikka vetoa, niitä ei kiinnosta."

Ainakin Yhdysvalloissa jotkin isommat firmat palkkaavat Tempest-asiantuntijoita suojaamaan tai ainakin lieventämään tempest-hyökkäysten aiheuttamaa tietoturvariskiä.

"media ei luultavasti tee elettäkään tästä vakavasta tietoturvaongelmasta tiedottamiseen..."

Tietokone-lehti uutisoi asiasta, mutta suuremmat mediat eivät varmaankaan.

Markus Jansson kirjoitti...

> On käytännössä täysin mahdotonta
> pystyä kaappaamaan prosessorin
> säteilystä vain ja ainoastaan
> näppäimen painallukset.

Niinno, sieltä saa kyllä kaikkea muutakin kaapattua samalla kertaa... :(


> Virtalähde on varmasti vieläkin
> mahdottomampi, koska sen
> säteilyssä näkyy samanaikaisesti
> useamman laitteen käyttö.

Tempest-hyökkäystä käyttämällä on mahdollista analysoida ja lukea tietokoneen sisäisiä prosesseja jopa LAN-verkkoon säteilevän hajasäteilyn vuoksi, virtajohdosta nyt puhumattakaan.


> Käytännön hyökkäystilanteessa on
> useimmiten muitakin säteileviä
> lähteitä kuin pelkkä
> näppäimistö, joten taitaa olla
> aika vaikeaa erottaa niitä
> toisistaan.

Yksittäisen komponentin eristäminen ei ole mikään ylivoimainen urakka. Tietysti helpottaa, jos tiedetään tarkkaan mitä komponentteja tietokoneessa on ja miten niitä käytetään. Mikäli ei tiedetä tarkkaan koneen kokoonpanoa, mitä sillä tehdään ja lähistöllä on useita erilaisia koneita, se tietysti hankaloittaa asiaa hieman.


> Sitä paitsi monet ihmiset
> kirjoittavat nopeammin kuin 1
> merkki per sekunti. Joten se
> siitä hyökkäyksestä (ainakin
> toistaiseksi =)

Ei tuo hyökkäys edellytä, että näpyttelee vain 1 merkki per sekunti, vaikka se tuolla laitteistolla ja tuossa demossa niin suoritettiinkin.

Anonyymi kirjoitti...

Turhaa pelonlietsontaa... osittain. Monenlainen muukin kikkailu onnistuu kyllä "laboratoriossa", kun tunnetaan muuttujat.