ОПРЕДЕЛЕНИЕ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ

Развитие в обществе рыночных отношений сопровождается нарастанием конкуренции между производителями товаров и услуг. Желание преуспеть быстрее соперников приводит к стремлению заполучить как можно больше конфиденциальной информации о применяемых ими технологиях. Для добывания информации используются различные методы.

Особое место среди них занимает хищение конфиденциальных сведений с помощью специально заложенных в помещения технических средств негласного съёма информации, которые помогают получить информацию, изымаемую из основных и вспомогательных технических средств и систем.

Определение и нейтрализация внедрённых средств негласного съема информации – одно из главных направлений в защите информации в любых организациях.

Чтобы представлять возможные каналы утечки информации необходимо знать, что нужно защитить. Это позволит оценить потенциальные пути проникновения «противника» и выявить наиболее уязвимые места в организации. Как говорил китайский мудрец Сунь-цзы: «Знать наперед намерения противника – это, по сути, действовать как Бог!». Необходимо определить главные пути поиска, разграничить объекты обследования по группам, к каждой из которых будет необходим свой подход и соответствующее методическое и аппаратурное обеспечение. Перечислим некоторые из основных групп для обследования [3]:

• технические средства, обрабатывающие конфиденциальную информацию, и обнаружение в них побочных излучений;
• вспомогательные технические средства и системы, содержащие электронные компоненты и узлы;
• помещения и ограждающие их конструкции;
• радиоэфир и определение радиосигналов, излучаемых средствами съема информации;
• предметы обихода, такие как мебель;
• инженерные сети;
• проводные коммуникации и электроустановочные изделия.

Одним из главных методов технической защиты является проведение глубокой проверки или, так называемые, поисковые мероприятия.

Их смысл заключается в оценке безопасности объекта, нахождении «жучков» и в дальнейшей разработке и выполнении комплекса мероприятий, исключающих возможность утечки и перехвата информации в будущем.

Исходя из вышесказанного, следует, что при проведении всех подобных мероприятий решаются следующие практические задачи [2]:

• определяется вероятный злоумышленник, и оцениваются его возможности по проникновению в помещение;
• изучается помещение и окружающие его объекты;
• изучается режим посещения помещения;
• устанавливаются все факты ремонта, монтажа или демонтажа коммуникаций, установки или замены мебели или предметов интерьера;
• анализируются конструктивные особенности ограждающих конструкций помещения и всего здания в целом;
• изучаются все коммуникации, входящие в помещение или проходящие через него.

После решения задач начинаются работы по проведению поисковых мероприятий и непосредственная зачистка помещений от технических средств съема информации.

К основным методам определения закладных устройств можно отнести [1]:

• обследование выделенных помещений;
• определение радиозакладок с использованием индикаторов поля, радиочастотомеров и интерсепторов, сканерных приемников и анализаторов спектра;
• определение радиозакладок с использованием программно-аппаратных комплексов контроля;
• определение портативных звукозаписывающих устройств с использованием детекторов диктофонов (по наличию в них побочных электромагнитных излучений генераторов подмагничивания и электродвигателей);
• определение портативных видеозаписывающих устройств с использованием детекторов видеокамер (по наличию в них побочных электромагнитных излучений генераторов подмагничивания и электродвигателей);
• определение закладок с использованием нелинейных локаторов, рентгеновских комплексов;
• проверка линий электропитания, радиотрансляции и телефонной связи;
• измерение параметров линий электропитания, телефонных линий связи и т.д. (так называемая паспортизация);
• проведение тестового «прозвона» всех телефонных аппаратов, установленных в проверяемом помещении, с контролем (на слух) прохождения всех вызывных сигналов автоматической телефонной станции.

Согласно П.П. Шаповалову [4], зрительный осмотр и проверка предметов, находящихся на объекте поиска, должны начинаться со зрительного фиксирования или фотографирования мест расположения всех предметов в обследуемом помещении. Перед осмотром обращается внимание на возможные метки, которые могут оставляться с различной целью, в том числе и с целью фиксирования места размещения предметов, имеющих средства съема информации.

Метками могут быть определенные расположения разных предметов, нитки, волосы, лежащие в определенном порядке, следы пальцев, пыли, а также метки, наносимые специальным химическим составом и другие характерные пометки.

Зрительный осмотр и диагностику предметов, имеющихся в местах проведения поисковых мероприятий, необходимо реализовывать в определенном порядке. Первым делом осмотру подлежит вся территория обследования. Проверяется, не изменено ли расположения вещей от ранее установленного порядка (смещены, повернуты, переставлены местами и т.д.). Исследуются неплотно прилегающие к стене плинтусы, обои, розетки и т.д.

Особое внимание уделяется изменению оттенка (потемнению или просветлению) обоев, ковровых покрытий, пола, а также свежеокрашенным стенам, потолкам, изменениям в обшивке автомашин, срубленным деревьям, помятой траве и т.д., временным стоянкам автомобилей и другим подозрительным изменениям особенностей мест и предметов.

После общего досмотра выносится из помещения вся мебель, основные технические средства и системы и другие предметы, находившиеся в помещении, и приступают к пристальному досмотру конкретных предметов на предмет потенциальных каналов утечки информации, ведь даже с виду безобидных клавиатур и мышек можно снять информационные сигналы. Описание такой процедуры есть у А. Барисани и Д. Бьянко [5].

Кабель, к которому клавиатура подключается к ПК, он же PS/2, состоит из следующих проводов:

• Pin 1: Передаваемые данные.
• Pin 2/6: Не используются.
• Pin 3: Земля/Корпус. Общий вывод для питания.
• Pin 4: Питание, +5В. Используется для подачи питания на подключаемое устройство.
• Pin 5: Частотный вывод, или CLK (Clock). Включается при передаче данных мышью.

PS/2 сигнал представляет собой привлекательную и относительно благоприятную мишень для подслушивающих. Основным преимуществом сигнала является последовательный характер, поскольку данные передаются один бит за один раз, каждое нажатие клавиши отправляется в кадре, состоящим из 11-12 разрядов.

Так как провода очень близко расположены и не экранированы друг от друга, то предполагается, что случайная утечка информации идет из кабеля данных к кабелю заземления и/или по экрану кабеля из-за электромагнитного взаимодействия. Провод заземления, также как экран кабеля, проложены к адаптеру, который затем подключен к разъему питания и, наконец, к электрической сети.

В конечном итоге нажатие клавиш приводит к утечке информативных сигналов в электрическую сеть, которые затем могут обнаруживаться на самой вилке питания, в том числе и на соседней.

Существуют и другие факторы, приводящие к утечке такие, как колебания мощности микроконтроллера клавиатуры. Они сложны для обнаружения, но если присутствуют, то могут только усиливать утечку информации.

Частота синхронизации PS/2 сигнала ниже, чем любого другого компонента или сигнала, излучаемого ПК (все остальные значения, как правило, выше МГц), это позволяет фильтровать шумы и добычу сигнала нажатия клавиш.

В целях реализации атаки на землю из соседней розетки сигнал направляется на аналого-цифровой преобразователь (АЦП) с использованием модифицированного кабеля питания, который отделяет провод заземления для исследования и включает в себя резистор между парой щупов. Ток рассеивается на земле и измеряется с помощью разности потенциалов между двумя концами резистора. С «близкой» розетки мы идентифицируем все, подключенное к той же электрической системе с небольшого расстояния.

Для того, чтобы измерить «эталон» земли АЦП, потребуется правильное основание для своей собственной работы, но, в то же время, электрическое заземление является объектом наших исследований. Потому главная земля не может быть использована в качестве оборудования земли, поскольку это приведет к нулю разность потенциалов на двух концах датчика.

С целью выделения требуемого диапазона частот используется полосовой фильтр пропускания частот 1-20 кГц. С конечной импульсной характеристикой фильтр является лишь одним из многих возможных методов фильтрации, причем, это – не самый эффективный метод.

Измерялась разность потенциалов на расстоянии 1, 5, 10, 15 метров от фактической цели. Во всех случаях с использованием цифрового осциллографа в качестве АЦП, путем отбора проб и хранения разности потенциалов, можно получить данные об активности провода заземления. В то время как нефильтрованный сигнал, по-видимому, не имеет никакой полезной информации, можно было успешно отфильтровать нажатия клавиш пользователя от исходного шума с помощью фильтра с конечной импульсной характеристикой (FIR фильтра). PS/2 прямоугольный импульсный сигнал сохраняется с хорошим качеством и может быть декодирован в первоначально вводимую пользователем информацию. При этом не было значительного ухудшения качества сигнала на расстоянии 1 метр и 15 метров, поэтому предполагается, что такое ослабление не является проблемой в этом вопросе.

Основной способ защиты от подобной атаки (кроме, очевидно, использования ноутбуков, которые не подключены к розетке и имеют экранированное питание) – это эффективное экранирование оборудования ПК.

Считается, что USB-клавиатуры не подвержены этой атаке, так как они используют дифференциальные сигналы для снижения шума, хотя USB-микроконтроллеры в клавиатуре гораздо более «шумны», чем PS/2, и есть шанс, что какие-то случайные излучения все-таки возможны. Таким образом, результаты ясно показывают, что информация, вводимая с клавиатуры, действительно просачивается в цепи электропитания электросети и может быть считана. 

Продолжая изучение проблемы съема информации, следует заострить внимание на проверке предметов, находящихся в помещении, при этом необходимо скрупулезно проверить дверные ручки, вешалки и другие приспособления.

Особое внимание следует обратить на подозрительные отверстия, чужеродные вставки, неестественно запачканные места и другие необычные особенности предметов, находящихся на объекте, где проводятся поисковые мероприятия. Осмотр необходимо проводить с помощью лупы, а недоступные места (вентиляционные каналы, места за батареями отопления, дымоходы и т.д.) осматривают с помощью специальных досмотровых комплектов.

Проведение комплексных специальных проверок помещений не сможет полностью защитить охраняемые сведения от различных угроз. Необходима постоянно развивающаяся система информационной безопасности, сводящая возможные угрозы к минимуму.

Создание такой системы – одна из основных задач служб безопасности различных организаций. Немаловажным условием, способствующим улучшению ситуации с уменьшением угроз съема информации, будет также тщательный отбор и обучение персонала, что способствует уменьшению текучки кадров и более рациональному решению проблемы «человеческого фактора».

Таким образом, непрерывно возрастающему уровню угроз должен быть противопоставлен постоянный рост технической оснащённости организаций и предприятий и профессионализма специалистов, работающих в области защиты информации.

Список литературы:

1. Выявление технических каналов утечки информации, 2012 г. URL: http://itsec2012.ru/vyyavlenie-tehnicheskih-kanalov-utechki-informacii (дата обращения: 02.11.2015).
2. Поволоцкий А.М. Как утекает информация: о «закладках» и не только // Век качества. – 2004. – № 1. – С. 76-78.
3. Поволоцкий А.М. Поиск и защита… Что важнее? // Век качества. – 2004. – № 4. – С. 66-70.
4. Шаповалов П.П. Практическое руководство по поиску устройств съема и передачи информации. – М.: ЗАО «Щит», – 1997. – 36 с.
5. Barisani A., Bianco D. Sniffing Keystrokes With Lasers and Voltmeters, 2009 г. URL: https://www.defcon.org/images/defcon-17/dc-17-presentations/Andrea_Barisani-Daniele_%20Bianco/defcon-17-barisani-bianco-sniff_keystrokes-wp.pdf (дата обращения: 01.12.2015).