Promieniowanie komputera jest na tyle silne, że za pomocą specjalnego urządzenia można je odebrać z odległości kilkuset metrów (nawet do tysiąca). Używane są przez służby specjalne wszystkich krajów świata. Urządzenia te nie występują w katalogach, a ich sprzedaż podlega restrykcjom.
Są na tyle małe, że mieszczą się w samochodzie osobowym. Sygnał z anteny trafia do bardzo czułego odbiornika różnych częstotliwości w zakresie od 10 KHz do 5 GHz. Sygnały są obrabiane przez odpowiednie oprogramowanie, a informacje oddzielane są /filtrowane/ od szumów; następnie konwertowane na odpowiednie programy komputerowe - pozwalające odczytać dane - np. Word.
Informacje z komputera można odczytać poprzez wykorzystanie specjalnie przystosowanych anten oraz wykorzystując np. sieć wodną, elektryczną, grzewczą, oraz przewody klimatyzacyjne.
Metody zabezpieczeń przed zjawiskiem promieniowania elektromagnetycznego są różne:
|
kabiny elektromagnetyczne /tzw. klatki Farradaya/, w których umieszczane są urządzenia przetwarzające informacje niejawne
- są odpowiednio uziemione i poziom promieniowania elektromagnetycznego wychodzący na zewnątrz jest tak niski, że nie jest możliwe jego odczytanie;
|
|
wyklejanie ścian pomieszczeń metalowymi foliami i siatkami, spełniającymi podobną rolę, ale parametry tego zabezpieczenia są nieco niższe niż w przypadku klatek;
|
|
metalowe pudełka, w których umieszcza się sprzęt, emitujący promieniowanie. Mogą być to nie tylko komputery, ale także urządzenia nadawczo — odbiorcze lub szyfratory;
|
|
zabezpieczenie komputerów przenośnych, według amerykańskich norm
TEMPEST.
|
Norma TEMPEST (temporary emanation and spurious transmission) została nadana programowi ochrony przed niekontrolowaną emisją ujawniającą, który powstał w latach 50-tych w USA na zlecenie Pentagonu. Na przestrzeni lat standard ten był wielokrotnie rewidowany i publikowany pod różnymi nazwami /NAG1A, FS222, NACSIM 5100, NSCD, /.
W roku 1984 stworzona została instrukcja NACSI (National Security Instruction) 5004. Jest ona klasyfikowana jako tajna i określa procedury dla wydziałów oraz przedstawicielstw mające na celu określenie środków bezpieczeństwa wymaganych dla urządzeń przetwarzających dane o znaczeniu dla bezpieczeństwa narodowego Stanów Zjednoczonych. W wyniku decyzji zawartej w dyrektywie 145 (17.09.1984) Narodowa Agencja Bezpieczeństwa (NSA) Stanów Zjednoczonych została wyznaczona na centrum oraz jednostki zarządzającą bezpieczeństwem telekomunikacji rządowej oraz Automatycznych Systemów Informatycznych (Automates Information Systems - AISs). Jest ona upoważniona do rewidowania oraz przyjmowania wszystkich standardów, systemów oraz sprzętu związanych z bezpieczeństwem AIS, w tym z zagadnieniami rodziny TEMPEST.
NSA tworzy również zalecenia oraz normy składające się na politykę TEMPEST - aktywnego zabezpieczania przed emisją ujawniającą.
Zarówno normy jak i technologia wytwarzania sprzętu klasy TEMPEST są utajnione, lecz pod koniec lat 70-tych umożliwiono jego wytwarzanie producentom prywatnym. Program TEMPEST nadzoruje Agencja Bezpieczeństwa Narodowego (NSA) Stanów Zjednoczonych, a produkcja sprzętu, laboratoria pomiarowe oraz specjaliści podlegają rygorystycznej okresowej certyfikacji.
Producent, który chce wytwarzać sprzęt klasy TEMPEST musi spełniać szereg uwarunkowań:
|
zawarcie umowy z NSA o przystąpieniu do programu TEMPEST (przed jej podpisaniem następuje między innymi sprawdzenie zakładu oraz jego personelu pod kątem spełnienia warunków bezpieczeństwa);
|
|
uzyskanie certyfikatu NSA dotyczącego spełnienia przez zakład warunków dla produkcji sprzętu;
|
|
uzyskanie certyfikatu NSA dla laboratoriów pomiarowych;
|
|
uzyskanie certyfikatu specjalizacji TEMPEST dla personelu technicznego;
|
|
zgłoszenie wyrobu do certyfikacji przez NSA, jeśli jej wynik jest pozytywny produkt zostaje umieszczony na Liście Zatwierdzonych Wyrobów TEMPEST NSA (TEMPEST Approved Product List), a następnie na NATO-wskiej Liście Zalecanych Wyrobów Tempest (NATO Recommended Product List) publikowanej przez Pentagon.
|
NSA prowadzi ścisłą kontrolę przestrzegania zasad bezpieczeństwa w zakresie dostępu do technologii TEMPEST oraz spełnienia wymagań proceduralnych i produkcyjnych. Jak można się spodziewać proces uzyskania certyfikatu na określony wyrób jest długotrwały i pracochłonny. Trwa on z reguły od 1 – 1,5 roku.
Zwykle sprzęt klasy TEMPEST jest typowym sprzętem biurowym lub przenośnym. Jest on dostosowywany do spełnienia wymagań określonej klasy bądź opracowywany na indywidualne potrzeby klienta.
Ze względu na ograniczenia użytkownikami sprzętu klasy TEMPEST mogą być wyłącznie instytucje NATO oraz krajów członkowskich, w tym:
|
siły zbrojne;
|
|
agendy NATO: NC3A, NACMA, NAMSA, NACOSA;
|
|
organizacje wywiadowcze;
|
|
służba dyplomatyczna;
|
|
łączność specjalna;
|
|
instytucje odpowiedzialne za ład i porządek;
|
|
instytucje i ośrodki przetwarzania danych niejawnych.
|
Urządzenia klasy TEMPEST znajdują się na liście uzbrojenia USA - oznacza to kontrolę nad obrotem tymi urządzeniami ze strony Departamentu Stanu USA i wymaganie każdorazowego uzyskania licencji eksportowej na dostawę do NATO lub krajów członkowskich.
Ponieważ Polska przystąpiła do NATO sprzęt klasy TEMPEST jest dostępny także dla użytkowników w naszym kraju. Aby wejść w jego posiadanie lub pośredniczyć w jego dostarczeniu należy jednak spełnić kilka podstawowych warunków:
|
posiadać zezwolenie Ministra Gospodarki (wpis do rejestru) na obrót specjalny z zagranicą w zakresie grupy towarowej
LU11 - zgodnie z Rozporządzeniem Ministra Gospodarki z dnia 3 sierpnia 1998
roku w sprawie ustalenia wykazów towarów i technologii objętych szczególną
kontrolą obrotu z zagranicą;
|
|
uzyskać licencję importową
Ministerstwa Gospodarki na dostarczenie sprzętu określonemu użytkownikowi końcowemu;
|
|
spełniać wymagania niezbędne dla uzyskania licencji eksportowej USA - wymaga to określenia użytkownika końcowego z gwarancją nadrzędnej instytucji rządowej RP (np. MSWiA dla sprzętu dla Policji, MON dla Polskich Sił Zbrojnych, itp.).
|
Organem upoważnionym w Polsce do przeprowadzania badań i certyfikacji wyrobów o przeznaczeniu specjalnym (tj. urządzeń, oprogramowania i podsystemów zabezpieczeń systemów teleinformatycznych przeznaczonych do ochrony informacji stanowiących tajemnicę państwową i służbową) upoważniona jest Jednostka Certyfikująca Urządzeń i Systemów Kryptograficznych oraz Kompatybilności Elektromagnetycznej powołana w Biurze Bezpieczeństwa Łączności i Informatyki ABW. Urządzeniami takimi są oczywiście urządzenia kategorii TEMPEST.
USA na mocy odpowiednich porozumień umożliwiły także niektórym sojusznikom NATO udział w programie TEMPEST na zasadach podobnych do obowiązujących producentów w USA (procedury certyfikacyjne oraz nadzór przez instytucje rządowe odpowiedzialne za bezpieczeństwo i ochroną informacji, dystrybucja na terenie danego kraju i eksport zgodnie z regułami obowiązującymi w USA).
Stosowanie sprzętu klasy TEMPEST gwarantuje bezpieczeństwo elektromagnetyczne procesu przetwarzania danych. Można więc zrezygnować ze stosowania osłon elektromagnetycznych, filtrów, budowy specjalnych pomieszczeń czy budynków.
Rozwiązanie to wydaje się być atrakcyjne, choć końcowa ocena zależy także od kalkulacji opłacalności i celowości stosowania urządzeń tej klasy dokonanej bezpośrednio w miejscu jego ewentualnego zastosowania.
Podstawową normą dla wyrobów wykonanych w technologii TEMPEST, obowiązującą
w USA, jest norma NSTISSAM/1-92.
Jej odpowiednikiem w krajach NATO jest norma AMSG (AMSG 720 B, AMSG 788, AMSG
784).
Urządzenia klasy TEMPEST wykonywane są w trzech klasach bezpieczeństwa
elektromagnetycznego, które nazywane są również poziomami:
|
Level I (poziom
1) - wg normy AMSG 720 B;
|
|
Level II (poziom 2) -
wg normy AMSG 788;
|
|
Level III (poziom 3) - wg
normy AMSG 784.
|
Klasa bezpieczeństwa (poziom) urządzenia świadczy o stopniu jego
zabezpieczenia przed niepożądaną emisją ujawniającą.
Przy wyborze urządzenia wykonanego w technologii TEMPEST (pod kątem jego klasy
bezpieczeństwa), przeznaczonego do przetwarzania informacji niejawnych, należy
brać pod uwagę klauzulę przetwarzanych informacji, a także lokalizację
miejsca, w którym będzie ono pracowało.
Poziom |
AMSG |
SDIP-27 |
Poziom
ochrony
JC DBTI ABW |
Poziom
ochrony
BT SKW |
Opis |
Poziom 1 |
AMSG
720B |
A |
SSOE 0 |
TPZU 3 |
Pozwala
na użytkowanie sprzętu IT w odległości nie
większej niż 20 m od potencjalnego intruza (przy
odległości mniejszej niż 8 m wymagane dodatkowe
konsultacje z właściwymi służbami ochrony państwa). |
Poziom 2 |
AMSG
788A |
B |
SSOE 1 |
TPZU 2 |
Pozwala na użytkowanie
sprzętu IT w odległości nie mniejszej niż 20 m
od potencjalnego intruza. |
Poziom 3 |
AMSG
784A |
C |
SSOE 2 |
TPZU 1 |
Pozwala na użytkowanie
sprzętu IT w odległości nie mniejszej niż 100 m
od potencjalnego intruza. |
TPZU – techniczny
poziom zabezpieczenia miejsca według BT SKW |
SSOE – sprzętowa
strefa ochrony elektromagnetycznej według JC
DBTI ABW |
Z uwagi na wielkość strefy administracyjnej (strefy kontrolowanej) wokół
pomieszczenia, w którym zostanie zainstalowane urządzenie przetwarzające
informacje niejawne, wyróżnia się różne strefy bezpieczeństwa (regulowane
odpowiednimi przepisami).
Każdej z nich przyporządkowany jest odpowiedni rodzaj sprzętu spełniającego
daną normę AMSG.
I tak wg np. SCS Secure
Computers Systems Limited:
|
urządzenia
spełniające wymagania normy AMSG 720 B dedykowane są do pracy w strefie NATO
ZONE 0
|
|
dla strefy NATO ZONE 1 -
przeznaczone są urządzenia
wg normy AMSG 788
|
|
a dla strefy NATO ZONE 2 -
urządzenia
spełniające normę AMSG 784.
|
Dobór urządzeń, dostosowanych do warunków strefy bezpieczeństwa oraz
klauzuli tajności przetwarzanych informacji, wymaga konsultacji ze służbami
ochrony państwa.
Na zakończenie poddaję uwagę godną zastanowienia dla wszystkich tych, którzy
uważają, że ich instytucji ten problem nie dotyczy.
Urządzenia do "podsłuchiwania" komputerów są bardzo drogie, jednak nie można wykluczyć, że za kilka lat staną się, jak wszystko inne z zakresu nowych technologii, bardziej dostępne i wtedy będą mogły się nimi posługiwać nie tylko służby specjalne innych państw, ale także pospolici przestępcy. A może już się nimi posługują?
© Opracowano na podstawie:
|