- COMP.SEC.100
- 23. Fyysinen kerros
- 23.4 Vuodot ja väärät signaalit (syventävä)
Vuodot ja väärät signaalit (syventävä)¶
Elektronisista laitteista lähtevää tahatonta sähkömagneettista säteilyä, esim. radiotaajuussignaaleja, kutsutaan hajasäteilyksi. Sen lisäksi laitteet vuotavat audiosignaaleja joko sähköisinä tai akustisina lähtöinä, tuottavat lämpöä ja synnyttävät tärinää. Kaikki nämä voivat korreloida laitteet käsittelemän tai varastoiman datan kanssa. Tällaista tiedon vuotamista tai kutsutaan sivukanavaksi (side channel). Sivukanavat ovat yleisiä ja niitä on tutkittu laajasti.
Anturin väärentäminen on (fyysinen) vastakohta signaalivuotojen hyväksikäytölle. Signaalien mittaamisen sijaan hyökkääjä voi vaikuttaa siten (haitallisesti) järjestelmään lähettämällä signaaleja, jotka vääristävät anturien mittaamaa arvoa. Tämä on erityisen haitallista autonomisissa ja muissa kyberfyysisissä järjestelmissä, joilla on suoria vaikutuksia ympäröivien ihmisten turvallisuuteen ja infrastruktuuriin.
Paljastava säteily (syventävä)¶
Tekniikat ei-toivottujen signaalivuotojen hyväksikäyttämiseen ja siltä suojautumiseen viestintäjärjestelmissä juontavat juurensa sotilaskontekstiin ja toisen maailmansodan aikaan. Tuolloin otettiin käyttöön yleistermi TEMPEST. Se kuvaa toimia, joilla voi suojautua hajasäteilyn aiheuttamilta riskeiltä. TEMPEST-suojaukseen kuuluu esimerkiksi rakenteet, jotka estävät hajasäteilyn leviämisen suojauksen ulkopuolelle. Kyberturvallisuuskeskus on julkaissut ohjeen sähkömagneettisen hajasäteilyn aiheuttamien tietoturvariskien ehkäisystä.
Haitallisten vuotojen luokkia on neljä: akustinen, optinen, lämpö ja sähkömagneettinen. Vuotojen lähteitä ja niihin liittyviä laitteiden ominaisuuksia, on tutkittu paljon. Useaan otteeseen on osoitettu, että analogisista ja digitaalisista näytöistä peräisin oleva hajasäteily johtui tiedon siirtämisestä analogisten videokaapeleiden ja nopeiden DVI -kaapeleiden kautta (Digital Serial Interface). Uudemmat tutkimukset osoittavat kuitenkin, että hajasäteily ei rajoitu pelkästään kaapeleihin ja hajasäteilyä ei esiinny ainoastaan näyttöjen yhteydessä, vaan sille on muitakin lähteitä.
Jotkin tutkimukset ovat osoittaneet, että elektronisissa komponenteissa (kondensaattorit ja kelat) esiintyvä tärinä aiheuttaa korkeataajuista ääntä, jota tietokoneen jännitteensäätöpiiristä mitattuna voidaan käyttää murtamaan RSA-avaimia, eli saamaan selville alkulukutekijät. Näppäinpainalluksista puolestaan on mahdollista päätellä, mitä käyttäjä kirjoittaa. Kirjoittamisen luoma värinä voidaan havaita esimerkiksi lähellä olevan puhelimen kiihtyvyysanturilla. Myös heijastuksia eri esineistä (esim. lusikka, pullo, käyttäjän silmä) tietokoneen näyttöjen läheisyydessä on hyödynnetty näytöllä näkyvän tiedon päättelemiseksi.
Hajasäteilyä hyödyntävien hyökkäysten toteuttaminen on nykyään helpohkoa, koska nykyisin tavalliset puhelimet sisältävät hyökkäystarkoituksiin sopivia antureita. Puhelimissa on kamera, mikrofoni ja kiihtyvyysmittari, joten hyökkääjä ei välttämättä tarvitse kallista ja huomiota herättävää erikoislaitteistoa vuotavan signaalin kaappaamiseen.
Vuodon vaarojen välttämiseksi laitteita voidaan pitää etäällä, niitä voidaan suojata koteloimalla, ja lähetettävistä signaaleista voidaan suodattaa pois korkeataajuiset signaaliosat, jotka voisivat paljastaa prosessorin tilanvaihteluita. Lisäksi on yleensä suositeltavaa sijoittaa virtapiirin paluujohdin lähelle siirtojohdinta. Nämä johtimet voisivat päätyä kauas toisistaan esimerkiksi silloin, kun paluuvirta kulkee etäisen maatasopinnan kautta, virtajohtimet vedetään eri putkistoissa tai kaapelointi on huonosti hallittua. Tällöin johtimien välinen silmukka-alue kasvaa ja hajasäteily voimistuu. Yleisesti luottamuksellisia tietoja sisältävien johtojen ja viestintäjärjestelmien tulisi olla galvaanisesti erotettu (ilmarako) ei-luottamuksellisista järjestelmistä.
Anturin “rämettyminen” (syventävä)¶
Monenlaisissa elektronisissa laitteissa on analogisia antureita, jotka auttavat tarkkailemaan ympäristöä ja suorittavat täysin itsenäisiä päätöksiä. Esimerkkejä ovat itseajavat autot, lääketieteelliset laitteet ja suljetun piirin ohjausjärjestelmät. Kehittyneet suojamekanismit, kuten salaus, autentikointi, ja pääsynvalvonta estävät luvattoman pääsyn tai laitteen turvallisuuden vaarantumisen tietoliikennerajapintojen kautta. Valitettavasti antureiden keräämien tietojen osalta samantasoista suojausta ei usein ole saatavilla tai sitä on vaikea saavuttaa, koska mahdollisia anturiin kohdistuvia hyökkäyksiä voi olla vaikea mallintaa ja ennustaa.
Analogisten anturien on osoitettu olevan erityisen herkkiä väärentämishyökkäyksille. Anturien toiminnan väärentämistä on erityyppistä riippuen siitä, millaista fyysistä ilmiötä anturi mittaa. Anturiin kohdistettava haitallinen toiminta voi olla akustista, optista, lämpöä, mekaanista tai sähkömagneettista.
Tahaton ja erityisesti tahallinen EMI (Electromagnetic interference, sähkömagneettinen häiriö) kohdistettuna analogisiin antureihin voi muodostaa uhan mille tahansa järjestelmälle, joka luottaa häirityltä sensorilta saatuihin lukemiin.
Sähkömagneettisiin häiriöihin pohjaavia hyökkäyksiä on käytetty lääketieteellisten laitteiden tulosten manipuloimiseen ja niillä on vaikutettu ultraäänimittausjärjestelmiin. Tutkimus on osoittanut, että mikrofoneilla varustettu kulutuselektroniikka on erityisen herkkåä väärennettyjen äänisignaalien injektiolle. Ultraäänisignaaleja on käytetty antamaan hiljaisia äänikomentoja ja akustisia aaltoja on käytetty MEMS-kiihtyvyysantureiden ulostuloon vaikuttamiseen. MEMS (Microelectromechanical system) tarkoittaa pienikokoisten anturien ja muiden komponenttien kokonaisuutta. MEMS:iin perustuvia kiihtyvyysmittareita ja inertiaalisia järjestelmiä käytetään laajasti esimerkiksi (kuluttajatason) drooneissa ja multikoptereissa.
Antureihin kohdistuvat väärentämishyökkäykset ovat saaneet paljon huomiota ja ne todennäköisesti vaikuttavat moniin toimintoihin tulevaisuuden kyberfyysisissä laitteissa. Järjestelmäsuunnittelijoiden on oltava erittäin varovaisia ja pyrittävä suojaamaan analogisia antureita, koska hyökkääjä voi laukaista haitallisen toiminnan tai päätöksen tällaisen laitteen sovellustasolla altistamalla sen tahalliselle EMI:lle. Mahdollisia puolustuskeinoja ovat laitteiden (analoginen) suojaus, signaalin kontaminaation mittaus eri antureilla, tai erillisten EMI-monitorien käyttö epäilyttävien anturilukemien havaitsemiseen ja merkitsemiseen.