Технические каналы утечки информации. Классификация технических средств несанкционированного доступа к информации
Аппаратная реализация современных методов несанкционированного доступа к информации
При организации защиты информации на нужном объекте необходимо проводить контроль, обнаружение и нейтрализацию естественных и искусственно созданных каналов утечки информации.
Любая фирма, любое предприятие имеет разнообразные технические средства, предназначенные для приема, передачи, обработки и хранения информации. Физические процессы, происходящие в таких устройствах при их функционировании, создают в окружающем пространстве побочные излучения, которые можно обнаруживать на довольно значительных расстояниях (до нескольких сотен метров) и, следовательно, перехватывать.
Физические явления, лежащие в основе излучений, имеют различный характер, тем не менее, утечка информации за счет побочных излучений происходит по своего рода “системе связи”, состоящей из передатчика (источника излучений), передающей среды и приемника. Такая “система связи” называется каналом утечки информации.
Технические каналы утечки информации подразделяются на:
- акустические (распространение звуковых колебаний в любом звукопроводящем материале);
- оптические (электромагнитные излучения в видимой, инфракрасной и ультрафиолетовой частях спектра);
- электрические (напряжения и токи в различных токопроводящих коммуникациях);
Источниками нежелательных информационных излучений в технических каналах являются разнообразные технические средства, особенно те, в которых циркулирует конфиденциальная информация. К их числу относятся:
- сети электропитания и линий заземления;
- сети телефонной связи;
- системы факсимильной, телекодовой и телеграфной связи;
- средства громкоговорящей связи и звукоусиления речи;
- электронно-вычислительная техника;
- оргтехника.
Кроме того источником излучений в технических каналах утечки информации может быть голос человека. Средой распространения акустических излучений в этом случае является воздух и различные звукопроводящие коммуникации.
Важно отметить, что технические средства не только сами излучают в пространство сигналы, содержащие обрабатываемую ими информацию, но и улавливают другие излучения (акустические, электромагнитные, вибрационные и т.п.), существующие в непосредственной близости от них. Они преобразуют эти принятые излучения в электрические сигналы и бесконтрольно передают их по своим линиям связи на значительные расстояния. К числу технических устройств, способных образовывать электрические каналы утечки относятся телефоны, датчики пожарной и охранной сигнализации и их линии, а также сети электропроводки.
Имеются следующие основные группы технических средств несанкционированного доступа (НСД) к информации.
1. Радиомикрофоны (радиопередатчики с микрофонами – радиозакладки):
- с автономным питанием;
- с питанием от телефонной сети;
- с питанием от электросети;
- управляемые дистанционно;
- использующие функцию включения по голосу;
- полуактивные;
- с накоплением информации;
- комбинированные.
2. Электронные уши:
- микрофоны с проводами;
- электронные стетоскопы;
- микрофоны узконаправленные;
- лазерные микрофоны;
- прослушивание через микрофон телефонной трубки;
- гидроакустические микрофоны.
3. Устройства перехвата телефонных сообщений с использованием:
- непосредственного подключения к телефонной линии;
- индукционных датчиков;
- датчиков, расположенных внутри телефонного аппарата;
- телефонного радиоретранслятора;
- перехвата сообщений сотовой связи;
- перехвата пейджинговых сообщений;
- специальных многоканальных устройств перехвата телефонных сообщений.
4. Устройства приема, записи, управления:
- приемник для радиомикрофонов;
- устройства записи;
- ретрансляторы;
- устройства записи и передачи в ускоренном режиме;
- устройства дистанционного управления.
5. Видеосистемы наблюдения, записи и охраны.
6. Системы определения местоположения контролируемого объекта.
7. Системы контроля компьютеров и компьютерных сетей.
Как всякие электронные устройства, компьютер, телефон, факс и т.п., а также их линии связи излучают в окружающее пространство высокие уровни поля в широком диапазоне частот. Эти излучения можно использовать для получения необходимой информации с интересующего объекта. Съем информации происходит по силовым, сигнальным цепям и в радиодиапазоне. В последнем случае с помощью чувствительной радиоэлектронной аппаратуры возможен прием побочных электромагнитных излучений и полное восстановление обрабатываемой информации. Частотный диапазон информационных излучений простирается от десятков кГц до 1 ГГц и выше и определяется тактовой частотой компьютера.
Возможно снятие информации и с нескольких компьютеров, работающих одновременно. Для восстановления информации используется стандартный телевизионный приемник, обрабатывающий небольшую часть спектра шириной 8 Мгц на частотах в диапазонах метровых и дециметровых волн. В качестве детектора излучения используется ненаправленная антенна (перехват информации на расстоянии до 50 м) или направленная антенна (дальность перехвата до 1000 м).
В настоящее время на коммерческом рынке имеется большое разнообразие средств спецтехники, с помощью которых можно осуществить НСД. В табл. 1 и 2 представлены технические средства контроля компьютеров.
Таблица 2.1
Пассивные средства получения информации с монитора и магистрали компьютерной сети
Средство
Место установки
Дальность, м
Стоимость
1. Вероятность применения.
2. Качество перехвата.
3. Вероятность обнаружения.
Контроль монитора
Широкополосная антенна с регистрирующим устройством
Прием из эфира
3..20
Весьма высокая
1.Низкая
2.Посредственное
3.Не обнаруживается
Широкополосный контактный датчик
Питающая электросеть
0..50
Весьма высокая
1.Низкая
2.Посредственное
3.Не обнаруживается
Контроль магистрали компьютерной сети
Индуктивный или контактный датчик
Любое место на кабеле магистрали
Регистрирующая аппаратура рядом с датчиком
высокая
1.Высокая
2.Хорошее
3.Радиотехнич. методами нем обнаруживается
Таблица 2.2
Активные средства получения информации с монитора и магистрали компьютерной сети
Средство
Место установки
Дальность, м
Стоимость
1. Вероятность применения.
2. Качество перехвата.
3. Вероятность обнаружения.
Контроль монитора
Передатчик с модуляцией видеосигналом монитора
Монитор
ПК
50..200
высокая
1.Средняя
2.Хорошее
3.Высокая
Контроль внутренней шины ПК или сетевого сервера
Передатчик с модуляцией информацией, проходящей по шине
Материнская плата ПК или сервера
50..200
Весьма
высокая
1.Низкая
2.Хорошее
3.Высокая
Контроль сетевой магистрали
Передатчик с контактным или индуктивным датчиком на магистрали
Кабель магистрали или сервер сети
50..200
Весьма
высокая
1.Средняя
2.Хорошее
3.Высокая (для кабеля)
Средняя (для сервера)
Кроме электромагнитных излучений вблизи устройств вычислительной техники всегда присутствуют квазистатические информационные магнитные и электрические поля, быстро убывающие с расстоянием, но вызывающие наводки на близко расположенные отходящие цепи (охранная сигнализация, телефонные провода, сеть питания, металлические трубы и т.д.).
Такие поля существенны на частотах от десятков кГц до десятков МГц. Перехват информации в этом случае ведется при непосредственном подключении приемной аппаратуры к этим коммуникациям за пределами охраняемой территории.
Угрозы информации в вычислительных сетях
В следующей таблице представлены потенциально опасные места в сетях ЭВМ.
Таблица 2.3
Потенциально опасные места в сетях ЭВМ
Потенциально опасные места
Реальные угрозы компьютерной безопасности
Абонентские пункты (АП) и их программное обеспечение
Искажение программ и данных в оперативной памяти АП; разрушение файлов и системных областей; уменьшение скорости работы; неадекватная реакция на команды оператора; вмешательство в процесс обмена сообщениями по сети; имитация физических сбоев; имитация пользовательского интерфейса; накопление обрабатываемой конфиденциальной информации в скрытых областях внешней памяти (ВП).
Серверы локальной сети
Искажение проходящей через сервер информации; сохранение проходящей информации в скрытых областях ВП; искажение или уничтожение собственной информации сервера; внедрение вирусов в пересылаемые файлы.
Средства перехвата, имитации, навязывания информации в системе передачи информации сети ЭВМ
Перехват, накопление, навязывание информации со стороны коммуникационных фрагментов сети; имитация посылки ложных сообщений на локальные фрагменты сети; имитация логического канала к ресурсам сегментов сети; внедрение в проходящую информацию троянцев; перехват, навязывание, искажение информации при передаче по собственным линиям связи локальных, региональных и глобальных сегментов сети.
Установлено, что в сети наибольшие угрозы исходят от специальных программ несанкционированного доступа, компьютерных вирусов и программных закладок, которые представляют опасность для всех основных объектов сетей ЭВМ (см. следующую лекцию).
Типичным представителем сетей в настоящее время является сеть Интернет. Являясь исключительно динамичной сетью, Интернет постоянно испытывает воздействия с использованием несанкционированного доступа. Поэтому на ее примере целесообразно рассмотреть угрозы безопасности.
Типовая операция враждебного воздействия на сеть в общем случае содержит следующие этапы:
- подготовительный;
- несанкционированный доступ;
- основной (разведывательный или диверсионный);
- скрытая передача данных;
- сокрытие следов воздействия.
На подготовительном этапе злоумышленники, используя асинхронную природу ОС, заставляют компьютерную систему работать в ложных условиях, из-за чего управление обработкой полностью или частично нарушается. В этой ситуации злоумышленники вносят изменения в ОС. Другой вид атаки на этом этапе – моделирование поведения компьютерной системы с целью выявления слабых мест.
На этапе несанкционированного доступа используются такие атаки, как:
- атака “за дураком” (несанкционированное подключение к системе в момент кратковременного выхода из системы законного пользователя);
- “компьютерный абордаж” (взлом системы путем подбора пароля);
- “неспешный выбор” (изучение системы защиты от НСД и выявление ошибок в ней);
- “мистификация” (создание условий, когда законный пользователь осуществляет связь с нелегальным терминалом, будучи уверен, что работает с нужным ему абонентом;
и ряд других.
На основном этапе активного воздействия используются следующие приемы:
- незаконное использование привилегий (т.е. использование штатного ПО, функционирующего в нештатном режиме;
- использование погрешностей вычислений;
- сборка мусора (не удаленных с дисков файлов);
- люки (недокументированные точки входа в программный модуль);
- программы-шипоны (троянские кони, черви, клавиатурные шпионы и т.д.);
и ряд других.
На этапе скрытой передачи данных используются пути скрытой передачи информации между процессами системы.
На этапе сокрытия следов компьютерной атаки компьютерная система блокируется одновременной атакой НСД большим количеством злоумышленников со своих ПК из различных регионов, организующих прикрытие одной незаконной операции.
