ЛЕКЦИЯ: Каналы утечкиинформации
1. Понятиеканалов утечки информации.
Современные информационные технологии разделилисудьбу всех прогрессивных технологий XX в. Бесспорно, что широкое внедрение средствкомпьютерной техники (СКТ) и телекоммуникаций в производственную,хозяйственную, финансовую деятельность предприятий, учреждений, организацийзначительно повышает эффективность их работы. Рубеж тысячелетий знаменуетсявсе большим проникновением СКТ в повседневную жизнь людей, вовлечением их вглобальную сеть Internet. Так, например, по оценкам зарубежных специалистов, темпроста пользователей Internet составляет порядка 15 % в месяц. Обратной стороной глобальнойинформатизации явилось появление компьютерной преступности.
На локальном уровне угроз компьютернойбезопасности (например, для помещений, занимаемых учреждением, организацией,предприятием, и размещенных в них СКТ) выделяют каналы утечки информации, подкоторыми понимают совокупность источников информации, материальных носителейили среды распространения несущих эту информацию сигналов и средств выделенияинформации из сигналов или носителей.
Факторы информационных угроз следует рассматривать какпотенциальную возможность использования каналов утечки информации. Объективноесуществование данных каналов утечки предполагает их возможное использованиезлоумышленниками для несанкционированного доступа к информации, ее модификации,блокированию и иных неправомерных манипуляций, т. е. наличие каналов утечкиинформации влияет на избрание способа совершения преступления.
В рамках данного учебного пособия каналы утечки информациицелесообразно условно классифицировать на традиционные каналы утечки информации(каналы утечки информации в широком смысле) и каналы утечки информациинепосредственно из СКТ (каналы утечки в узком смысле). Наличие первыхпредопределяет широкое использование их с применением специальных техническихсредств для проведения различных разведывательных мероприятий. Они известнызадолго до появления современных средств вычислительной техники (см. рис.1).
Рис.1
Локальные факторы угроз информационной безопасности
/>
Каналы утечки информации и технические устройства несанкционированного доступа />
Каналы утечки информации непосредственного из СКТи технические устройства съема такой информации стали использоватьсязлоумышленниками сравнительно недавно.
Для получения информации из обозначенных вышетрадиционных каналов утечки применяются специализированные технические средстваведения разведки (ТСВР), среди которых выделяют следующие основные группы:
■ радиомикрофоныи микрофоны;
■ оптическиесистемы;
■устройства перехвата телефонных сообщений;
■ видеосистемызаписи и наблюдения;
■ системыопределения местоположения контролируемого объекта;
■ системыконтроля и воздействия на компьютеры и их сети.
■ устройстваприема, записи, управления.
Традиционные каналы утечки информации.
Традиционные каналы утечки информации приведенына рисунке 2.
Рис. 2
Традиционные каналы утечки аудио- и видеоинформации Контактное или бесконтактное подключение к электронным устройствам. Встроенные микрофоны, видео- и радиозакладки в стенах, мебели предметах. Съем акустической информации при помощи лазерных устройств с отражающих поверхностей. Оптический дистанционный съем видеоинформации. Применение узконаправленных микрофонов и диктофонов. Утечки информации по цепям заземления, сетям громкоговорящей связи, охранно-пожарной сигнализации, линиям коммуникаций и сетям электропитания. Высокочастотные каналы утечки информации бытовой и иной технике. Утечка за счет плохой звукоизоляции стен и перекрытий. Исследование злоумышленником производственных и технологических отходов. Утечка информации через телефонные и факсимильные аппараты. Оборудование виброканалов утечки информации на сетях отопления газо -и водоснабжения. Утечка информации через персонал.
/>/> /> /> /> /> /> />
Утечка акустических сигналов (речевая информация)
Утечка электромагнитных сигналов (в т.ч. оптического диапазона)
Утечка информации с носителей (либо с носителями) />/>
Контактное подключение к электронным устройствамявляется простейшим способом съема информации. Чаще всего реализуетсянепосредственным подключением к линии связи.
Бесконтактное подключение может осуществляться засчет электромагнитных наводок или с помощью сосредоточенной индуктивности.
Встроенные микрофоны, видео- и радиозакладки встенах, мебели, предметах. Могут быть установлены в элементы интерьера,строительные конструкции, СКТ, теле- и радиоприемники, розетки, телефонныеаппараты, калькуляторы, замаскированы под канцелярские принадлежности, элементыодежды и т. д. Обладают дальностью действия от 50 до 1000 м при сравнительнонебольшой стоимости. Ниже приведены примеры таких устройств.
Съем акустической информации при помощи лазерныхустройств с отражающих поверхностей. Принцип действия основан на моделированиипо амплитуде и фазе отраженного лазерного луча от окон, зеркал и т. д. Отраженныйсигнал принимается специальным приемником. Дальность действия — до несколькихсотен метров. На эффективность применения подобных устройств сильное влияниеоказывают условия внешней среды (погодные условия).
Оптический дистанционный съем видеоинформации. Может осуществлятьсячерез окна помещений с использованием длиннофокусного оптического оборудованияв автоматическом или в ручном режиме работы.
Применение узконаправленных микрофонов и диктофонов.Применяются высокочувствительные микрофоны с очень узкой диаграммой направленности.Узкая диаграмма направленности позволяет указанным устройствам избежать влиянияпосторонних шумов. Узконаправленные микрофоны могут быть использованысовместно с магнитофонами и диктофонами.
Утечки информации по цепям заземления, сетямгромкоговорящей связи, охранно-пожарной сигнализации, линиям коммуникаций исетям электропитания. Утечка информации по цепям заземления возможна за счет существованиягальванической связи проводников электрического тока с землей.
При организации каналов утечки информации через сигнализацииразличного назначения злоумышленники используют «микрофонный эффект» датчиков.Подобные каналы утечки получили название параметрических каналов. Ониформируются путем «высокочастотной накачки» (ВЧ — облучения, ВЧ -навязывания)электронных устройств с последующим переизлучением электромагнитного поля,промодулированного информационным сигналом. Промодулированные ВЧ-колебаниямогут быть перехвачены и демодулированы соответствующими техническимисредствами.
Аналогичным образом могут быть созданы высокочастотные каналыутечки информации в бытовой и иной технике.
Утечка за счет плохой звукоизоляции стен иперекрытий. Съем информации может происходить с применением как простейшихприспособлений (фонендоскоп), так и достаточно сложных технических устройств,например специализированных микрофонов.
Оборудование виброканалов утечки информации на сетяхотопления, газо- и водоснабжения. Средой распространения акустических волн являютсятрубы газо- и водоснабжения, конструкции зданий. Акустическая информацияможет, например, восприниматься при помощи пьезоэлектрических датчиков, затемусиливаться и фиксироваться при помощи магнитофонов либо передаваться в эфир.
Утечки информации через персонал. Многие исследователи, в томчисле зарубежные, отмечают, что люди представляют наибольшую угрозу дляинформационной, и в частности компьютерной, безопасности. Наибольшую же угрозупредставляют собственные сотрудники, которые могут уничтожать или искажатьинформацию, писать компьютерные вирусы, похищать информацию в целях шпионажа.
По Г. Н. Мухину обстоятельствами, влекущими совершениеподобных действий, могут быть:
· вербовкасотрудника криминальными структурами;
· внедрениеэтими же структурами или конкурирующими субъектами хозяйствования своегоагента в штат предприятия или банка с целью выполнения разведывательных и иныхфункций;
· имеющиесяу сотрудника проблемы социально-психологического либо морально-этическогопорядка, обусловленные неудовлетворенностью им заработной платой илизанимаемой должностью, пренебрежительным отношением к нему либо оскорбительнымповедением со стороны руководства и др.
Проведенный анализ позволяет сделать вывод, что в основномработа злоумышленников по съему информации с каналов утечки сводится к получениюречевой информации.
Под речевой информацией понимают некоторый объем сведений,обработанный человеческим сознанием и выданный в виде речевых сигналов акустическимречевым аппаратом человека. Речевая информация может быть записана на носитель,позволяющий считывать ее зрительным аппаратом человека или воспроизводитьакустически.
В настоящее время в связи с бурным развитием электроннойтехники речевая информация, передаваемая по каналам связи, становится всеболее уязвимой. Простейшие технические средства связи позволяют прослушиватьтелефонные переговоры, передаваемые по линиям связи, находясь на большихрасстояниях от линии и объекта.
Любые средства передачи речевой информации могутбыть одновременно и каналами ее утечки. По мнению Г. В. Давыдова и Ю. В.Шамгина, наиболее вероятными средствами передачи речевой информации являютсяследующие акустические каналы:
человек — человек (слушатели);
человек — микрофон — усилитель — громкоговоритель — человек (слушатели);
человек — микрофон — магнитофон (запись речи на автоответчик);
магнитофон (считывание речи) — усилитель — громкоговоритель — человек(слушатели);
человек — тракт электросвязи (радиосвязи) — человек (слушатели);
автоответчик (считывание речи) — речевой сигнал — автоответчик(запись речи);
человек — устройство, управляющее голосом;
синтезатор искусственной речи — человек.
Наиболее распространенными средствами приема ирегистрации сигналов речевой информации, распространяемой по акустическомуканалу, являются:
микрофон и устройства, выполняющие его функцию;
пассивные отражатели светового луча, играющие роль мембраны для акустическихволн (оконные стекла, иные тонкостенные отражатели);
волноводные тракты акустических волн различного типа (вентиляционныеканалы, стеновые панели);
лазерный луч, реагирующий на локальные изменения плотности воздухав поле распространения акустической волны.
Наиболее очевидными каналами утечки речевой информации являютсяследующие:
1.На открытом пространстве (или в незащищенном помещении):
прямое подслушивание (скрытое или случайное);
узконаправленный микрофон
«жучки» в одежде, автомобиле, местных предметах и т. д.;
артикулярное считывание по мимике говорящих;
случайная или преднамеренная беседа, инициированная слушателем.
2. В помещении:
прослушивание через ограждающие конструкции из-за недостаточной звукоизоляциипоследних;
считывание со стекол окон;
прослушивание сигналов речи за счет передачи ихпо трубопроводам и вентиляционным системам;
прослушивание сигналов речи за счет акустоэлектрического преобразованияв системах телефонии, радиовещания и сигнализации;
визуальное считывание с носителей информации и дисплеевкомпьютеров.
2. Каналы утечкиинформации из СКТ
Эти каналы схематично представлены на рис. 3
Каналы утечки информации
из СКТ Утечка информации за счет введения программно-аппаратных закладок в СКТ Утечки за счет побочного электромагнитного излучения и наводок (ПЭМИН) Утечки за счет съема информации с принтера и клавиатуры по акустическому каналу Утечка, модификации, уничтожение или блокирование информации с использованием компьютерных вирусов Утеря носителей информации Инициализация злоумышленником каналов утечки, вызванных несовершенством программного либо аппаратного обеспечения, а также систем защиты
Рис. 3
Утечка информации за счет введения программно-аппаратных закладокв СКТ.Весьма правильной представляется точка зрения авторов, отмечающих, что внастоящее время в основе производства технических средств и программногообеспечения вычислительных систем лежат комплектующие изделия зарубежногопроизводства, что обеспечивает конкурентоспособность выпускаемых изделий.Однако при этом появляется угроза утечки информации, а также управляемого выведенияиз строя средств вычислительной техники, заложенная в них либо на этапе производства,либо на этапе сборки. Подобные устройства могут быть установлены негласнымобразом и впоследствии при эксплуатации СКТ. Использование закладных элементов(ЗЭ) представляется реальной и опасной угрозой при использовании вычислительнойтехники.
Аппаратные ЗЭ могут быть реализованы в аппаратуреперсональных компьютеров и периферийных устройств. При этом возможны утечки информации,искажение вычислительного процесса, а также управляемый выход из строявычислительной системы.
Программные ЗЭ могут быть представлены в видемодификации компьютерной программы, в результате которой данная программаспособна выполняться несколькими способами в зависимости от определенныхобстоятельств. При работе программные ЗЭ могут никак не проявляться, однакопри определенных условиях программа работает по алгоритму, отличному отзаданного (подобно компьютерным вирусам). В литературе описан пример внесенияпрограммистом в программу начисления заработной платы предприятия нежелательныхизменений, работа которых началась после его увольнения, т. е. когда фамилияпрограммиста исчезла из базы данных персонала.
Существует классификация ЗЭ по следующим критериям:
способ у размещения ЗЭ;
способу активизации ЗЭ;
пути внедрения ЗЭ в систему;
разрушающему действию ЗЭ.
Утечки за счет перехвата побочногоэлектромагнитного излучении и наводок (ПЭМИН). При функционировании СКТвозникают побочные электромагнитные излучения и наводки, несущие обрабатываемуюинформацию. ПЭМИН излучаются в пространство клавиатурой, принтером, монитором,накопителями на магнитных дисках, кабелями. Утечка данных обусловлена лишьизлучением сигналов при перемене данных. Все прочие излучения сигналов отразных блоков СКТ являются взаимными помехами.
Перехват ПЭМИН осуществляется радиоприемнымиустройствами, средствами анализа и регистрации информации. При благоприятныхусловиях с помощью направленной антенны можно осуществлять перехват на расстояниидо 1-1,5 км. В. И. Ярочкин отмечает, что перехват информации за счет ПЭМИНобладает рядом особенностей:
информациядобывается без непосредственного контакта с источником;
наприем сигналов не влияет ни время года, ни время суток;
информацияполучается в реальном масштабе времени, в момент ее передачи или излучения;
реализуется скрытно;
дальность перехвата ограничивается только особенностямираспространения радиоволн соответствующих диапазонов.
Утечки за счет съема информации с принтера и клавиатуры поакустическому каналу. Наличие указанного канала утечки позволяет перехватыватьи декодировать акустические колебания, средой распространения которых являетсявоздушная среда. Источником данных колебаний являются соответствующиеустройства СКТ. Технически возможен перехват и декодирование кодов клавишклавиатуры. Дальность действия подобных перехватов ограничена мощностьюисточника акустических и электромагнитных колебаний.
Утечка, модификация, уничтожение или блокирование информации сиспользованием компьютерных вирусов. Существует множество типов! вирусов,каждый из которых обладает собственными отличительными при-1 знаками. Анализспециальной научной литературы дает нам основание утверждать, что все вирусыизменяют либо файлы с данными, либо програм-1 мы внутри компьютера, либоразрушают сами компьютеры1. Большинство! из них представляют собойопасность только для IBM-совместимых компьютеров, однако именно этот типкомпьютеров распространен в наибольшей! степени.
Последствия вирусной модификации могут быть различными — от неезначительных помех до полного уничтожения данных и программ. Вирусы,использующиеся правонарушителями для программного уничтожения, разрушаютинформацию в зависимости от определенных логических или временных условий.
Попадание вирусов в компьютерную систему можетбыть спровоцировано различными способами от высокотехнологичногонесанкционированного подключения до основанного на личном доверии обманаоператора
системы путем переписывания заранее зараженныхигр и сервисных программ с умыслом на вывод компьютерной системы из строя.Вирус может попасть в систему и при неумышленных действиях операторов ЭВМ — приобмене дискетами, CD-ROM-дисками, файлами.
В настоящее время «рассадником» компьютерных вирусов сталаглобальная сеть Internet. Особенно активно распространяются в этой сети такназываемые макровирусы, которые передаются вместе с файлами документов MS-Word и файлами рабочих книг MS-Excel. Целесообразнопривести краткий анализ традиционных воздействий компьютерных вирусов на СКТ,которые известны из специальной научной литературы. На рис. 5 приведенапримерная видовая классификация компьютерных вирусов.
«Троянский конь» — специальная программа, которая разрешаетдействия, отличные от определенных в спецификации программы.
«Червь» — программа, которая создается для распространениясвоих копий в другие компьютерные системы по компьютерным сетям путем поискауязвимых мест в операционных системах.
«Логическая бомба» — программа, выполняемая периодически илив определенный момент с целью исказить, уничтожить или модифицировать данные.Наступление разрушающего эффекта, как правило, программируется на заранееустановленную календарную дату, время суток или иного значимого события.
Рис.5
/>
Файл-инфекторы изменяют содержимое управляющих программ путемдобавления нового кода в существующие файлы. Такой тип вируса поражает файлы,которые обозначены как COM, EXE, SYS, DLL. Файл-инфекторы распространяются через любойноситель данных, используемый для хранения и передачи управляемого кода. Вирусможет храниться на хранения информации либо передаваться по сетям и через модемы.
Вирусы сектора начальной загрузки заражаютосновную загрузочную область на жестких дисках или загрузочный сектор надискетах. Оригинальная версия обычно, но не всегда, хранится где-нибудь надиске. В результате вирус запустится перед загрузкой компьютера. Вирусы такоготипа обычно остаются в секторе памяти до тех пор, пока пользователь не выйдетиз системы.
Вирусы, результаты воздействия которых на компьютерныесистемы) их сети могут проявляться как применение нескольких отдельных вирусов,называются комбинированными (составными) вирусами. Вирус, который проникает какв сектор начальной загрузки, так и в файлы, имеет больше возможностей дляразмножения. В результате способности вируса проникать как в сектор начальнойзагрузки, так и в файлы, компьютерная система заражается вирусом независимо оттого, была ли она загружена с зараженного диска или в результате запусказараженной программы.
Парные вирусы поражают операционную систему такимобразом, что нарушается последовательность выполнения файлов СОМ и ЕХЕ с однимименем. Этот тип вируса создает копию файла СОМ, но в размере файла ЕХЕ. Имяфайла остается прежним. При запуске пользователем программы операционнаясистема выполнит вновь созданный файл СОМ, в котором содержится код вируса,после чего загружает и выполняет файл ЕХЕ.
Цепными называются вирусы, модифицирующие таблицырасположения файлов и директорий таким образом, что вирус загружается изапускается до того, как запускается желаемая программа. Они связывают элементытаблицы расположения директорий с отдельным кластером, содержащим код вируса.Оригинальный номер первого кластера сохраняется в неиспользуемой частиэлемента таблицы директорий. Сама по себе программа физически не изменяется,изменяется только элемент таблицы расположения директорий. Подобные вирусытакже известны как вирусы системных файлов, секторные вирусы или вирусы таблицрасположения файлов.
Полиморфные вирусы производят копии самих себя. Эти копииразличны для каждого из незараженных файлов. Код вируса меняется после каждогонового заражения, но принцип его действия всякий раз остается неизменным.Известны, например, две так называемые утилиты мутации вируса: Mutation Engine и Polymorphic Trident Engine. При использовании этихутилит любой вирус становится полиморфным, так как утилиты добавляют в его кодопределенные команды в произвольной последовательности.
По деструктивным возможностям компьютерные вирусыможно разделить на следующие 4 группы (рис. 6):
/>
Рис. 6
1. Безвредные — никак не влияющие на работукомпьютерной системы,
кроме уменьшения количества свободной памяти, указанной в результате
своего распространения.
2. Неопасные — влияние которых ограничиваетсяуменьшением свобод
ной памяти, а также графическими, звуковыми и прочими эффектами.
3. Опасные — которые могут привести к серьезнымсбоям в работе компьютерных систем.
4. Очень опасные — в алгоритм их работы введеныпроцедуры, которые
могут вызвать потерю программ, уничтожить данные, стереть необходимую
для работы компьютера информацию, записанную в системных областях
памяти, способствовать быстрому износу движущихся частей механизмов
(например, вводить в резонанс и разрушать головки некоторых типов жесткихдисков) и т. д.
Необходимо отметить, что существуют и другие классификациикомпьютерных вирусов, например по способу их воздействия на СКТ иобслуживающий их персонал.
1.Компьютерные вирусы, не повреждающие файловуюструктуру:
размножающиеся в оперативных запоминающих устройствах (ОЗУ);
раздражающие оператора (имитирующие неисправность аппаратуры; формирующиесообщения на терминале; формирующие звуковые эффекты; переключающие режимынастройки и др.);
сетевые.
2. Компьютерные вирусы, повреждающие файловуюструктуру:
повреждающие программы и данные пользователя;
повреждающие системную информацию (области диска, форматирующиеносители, файлы операционной системы).
3. Компьютерные вирусы, воздействующие нааппаратуру и оператора:
повреждающие аппаратуру (микросхемы, диски, принтеры; выжигающиелюминофор);
воздействующие на оператора (в том числе на зрение, психику идр.).
Утеря носителей информации. Может произойти врезультате:
хищения с полным или частичным разрушением места хранения;
физического уничтожения из-за умышленных несанкционированны действийперсонала;
пожара либо воздействия на носитель высокой температуры, ионизирующегоизлучения, химических веществ, сильного электромагнитного поля;
стихийных бедствий (землетрясение, наводнение, ураган и др.);
иных форс-мажорных обстоятельств.
Инициализация злоумышленником каналов утечки,вызванных несовершенством программного либо аппаратного обеспечения, а такоюсистем защиты, как правило, производится на этапе подготовки к совершениюинформационного компьютерного преступления, реже — непосредственно при егосовершении. Речь идет о так называемых атаках на информационные системы. Податакой подразумевается любая попытка преодоления систем защиты