Torsdag 6 april deltog vi på EMC Services på ett medlemsmöte för IEEE-EMC. Mötet hölls hos Combitech i Växjö, och temat var RÖS, dvs den specialitet som Combitech arbetar med där. Hela 45 personer var med på mötet, med representanter för olika delar av den svenska industrin.
RÖS är en förkortning för RÖjande Signal, som beskriver fenomenet att man läcker säkerhetskritisk information t ex via kraftkablar, läckande fält från höljet eller överlagrat i radiosignaler (som sänder annan okritisk information). Det internationella begreppet TEMPEST är det som man för framtiden diskuterar mer och mer. TEMPEST är ett vidare begrepp som även innehåller fysisk placering av utrustning och installationsföreskrifter mm. Ordet TEMPEST betyder inget speciellt i sig, utan är ett kodord som har levt kvar från den tid då det var så hemligt att man inte ens ville ha ett tydligt namn på ämnet. Mötet hade ett välfyllt program med många intressanta föredrag. Här nedan skriver jag några personliga reflektioner på ett urval av det som presenterades.
FMV beskrev de nya förändringarna som ska ske nu när Sverige ska gå över till att följa EU-regler för informationssäkerhet istället för att fortsätta med de hittills gällande svenska normerna och metoderna. I korthet kan man i populära termer säga att Sverige ska gå över från RÖS till TEMPEST.
De europeiska reglerna beskrivs i en samling dokument som går under beteckningarna ISAG-7-x. Dessa dokument har begränsad tillgänglighet, men om man kontaktar FMV, kan man få ta del av flertalet av dem i alla fall om man nu behöver läsa in sig på dem. Utmaningen med krav på intrångsskydd är sekretessbelagda, för att den som attackerar inte ska veta hur starkt skyddet är. För de som vill fördjupa sig ges det även RÖS/TEMPEST-kurser på militärhögskolan FMTS i Halmstad.
Kjell Björknert på Combitech beskrev de tekniska utmaningarna med att gå över till TEMPEST, där man använder nya begrepp såsom Zoning (nivåer 0, 1 och 2, vilket känns igen från EMC-sammanhang), utrustningsklasser (A, B, och C) samt klassning av system och kablar i Röda (innehåller hemlig information) och Svarta (ej hemlig). I princip kan man jämföra med när den svenska industrin skulle gå över till CE-märkning av elektronik på 90-talet. Då upphörde de nationella kraven, utan man skulle gå över till europeiska standarder (S-märket för elsäkerhet blev ett valbart tillägg). Nu ska alla myndigheter som hanterar säkerhetskritisk information (alltså inte bara militären!) arbeta på samma sätt och efter samma normer, vilket blir en utmaning att hantera.
Innan lunchen fick vi se tre olika praktiska demonstrationer på hur signalspaning kan ske på olika sätt. Förutom de mer uppenbara riskerna, dvs att lyssna av grannens WLAN eller trådlösa tangentbord och knäcka enkel kryptering, så fick vi se hur man
- Med en riktad antenn och en specka (spektrumanalysator) och ett hemmabyggt program kan läsa av grannens bildskärm (man läser ut linjefrekvens och mönster)
- Med en strömtång på kraftkabeln och en specka kan läsa av vad grannen skriver på sitt tangentbord
- Med en antenn och specka kan lyssna av ditt telefonsamtal när du använder ett headset vid ett skype-samtal
Det som slog mig var att det var ingen dyr specialutrustning som behövdes för att fixa det hela. Man kan köpa en schysst instrumentpark för ca 70 kkr, och allt är hyllvaror! Det som krävs är kunskap för att koda av (men det hittar man säkert på internet ändå, eller också har man fått en grundutbildning av uppdragsgivaren).
Det finns alltså god anledning för många att ta det här området på allvar, och en sådan signal är att EU har skapat ett gemensamt regelverk för detta. Cyberattacker behöver alltså inte enbart gå via Internet! Det räcker inte att skaffa sig ett bra antivirus-program och brandvägg – med signalspaning går man genvägen genom luften (eller kraftkabeln…).
Som vanligt var det också givande att träffa alla trevliga personer som arbetar inom EMC-området. Så om någon läser det här och har fått EMC-ansvaret i knät och känner sig ensam, kan detta vara ett bra forum där du kan känna stöd och gemenskap!
// Lennart Hasselgren
Senaste kommentarer