Электромагнитные каналы утечки информации, обрабатываемой средствами вычислительной техники

Наиболее характерные ПЭМИ, вызванные работой генераторов так­товой частоты, можно наблюдать у средств вычислительной техники (СВТ). Побочные электромагнит­ные излучения возникают при сле­дующих режимах обработки инфор­мации средствами вычислительной техники:

• выводе информации на экран мо­нитора;

• вводе данных с клавиатуры;

• записи информации на накопи­тели;

• чтении информации с накопите­лей;

• передаче данных в каналы связи;

• выводе данных на периферийные печатные устройства - принтеры, плоттеры;

• записи данных от сканера на ма­гнитный носитель (ОЗУ).

Наиболее опасным (с точки зре­ния утечки информации) режимом работы СВТ является вывод инфор­мации на экран монитора, поэтому рассмотрим его более подробно.

В формировании видеоизобра­жения на экране монитора участву­ет видеоподсистема, которая состо­ит из двух основных частей: мони­тора и видеоадаптера (часто видео­адаптер называют видеокартой).

Видеоадаптер предназначен для формирования видеосигнала, кото­рое происходит следующим образом.
Прежде чем стать изображением на мониторе, цифровые данные об изображении обрабатываются центральным процессором ПЭВМ, за­тем из его оперативной памяти через шину данных они поступают в спе­циализированный процессор видео­адаптера, где обрабатываются и со­храняются в видеопамяти. В видео­памяти создается цифровой образ изображения, которое должно быть выведено на экран монитора. За­тем, все еще в цифровом формате, данные, образующие образ изобра­жения, из видеопамяти передаются в цифроаналоговый преобразова­тель (Digital Analog Converter, DAC), который часто называют RAMDAC, где они преобразуются в аналого­вый вид и только после этого передаются в монитор с электронно-лу­чевой трубкой (ЭЛТ). С появлени­ем жидкокристаллических диспле­ев (ЖК) потребность в цифро-ана­логовом преобразователе исчезла, но этот компонент все равно при­сутствует в видеокартах на случай подключения аналоговых монито­ров через разъем VGA.

Экран монитора отображает ин­формацию в виде точек - пикселей. Слово пиксель (Pixel) является со­кращением от picture element (эле­мент изображения). Он представ­ляет собой крошечную точку на дис­плее, яркость и цвет которой изменя­ются в зависимости от выводимого на экран изображения (рис. 2). Все вместе пиксели и составляют изобра­жение. Картинка на экране обновля­ется от 65 до 120 раз в секунду, в зави­симости от типа дисплея и данных, выдаваемых выходом видеокарты. Данная характеристика называется частотой обновления (или регене­рации) экрана. Согласно современ­ным эргономическим стандартам, частота обновления экрана должна составлять не менее 85 Гц, в против­ном случае человеческий глаз заме­чает мерцание, что отрицательно влияет на зрение.

Мониторы с ЭЛТ обновляют ди­сплей строчка за строчкой, а плос­кие ЖК-мониторы могут обновлять каждый пиксель по отдельности.

Количество точек в изображе­нии зависит от установленного ре­жима отображения (количество то­чек по горизонтали N _г и количество точек по вертикали N _в). Наиболее ча­сто используемые режимы отображе­ния: 1024 пикселей по горизонтали и 768 по вертикали или 1280 пиксе­лей по горизонтали и 1024 по верти­кали.
В ЭЛТ информация об изображе­нии передается видеокартой после­довательно, пиксель за пикселем, на­чиная с верхней левой точки экрана и до правой нижней. Во многом вре­менные диаграммы формирования изображения на экране ПЭВМ ана­логичны работе телевизора. Цвет и яркость изображения каждого пик­селя будут определяться уровнем си­гналов, синхронно передаваемых по трем проводам R, G и В. На отобра­жение каждого пикселя (точки изо­бражения) тратится строго опреде­ленное время, которое обозначим τ. Данное время часто называют пик­сельной скоростью заполнения (pixel fill rate). Она рассчитывается как чис­ло растровых операций, помножен­ное на тактовую частоту. На отобра­жение всей строки тратится время N _г х τ. После отображения всей строки следует строчный синхроим­пульс. Далее во времени отображает­ся вторая строка, третья строка и т. д. После заключительной строки сле­дует кадровый синхроимпульс.
Любой текст или любая картинка передается на экран в виде цифро­вых импульсов разной длительнос­ти. Длительность импульсов τ_и зави­сит от вида текста или картинки, от­ображаемой на экране. Минималь­ная длительность импульса будет равна τ_и.min, а максимальная - τ_и.max.
При прохождении по проводни­кам импульсных сигналов возника­ют побочные электромагнитные из­лучения (ПЭМИ), спектр которых представлен на рис. 3 и 4.

Из этого следует, что источником ПЭМИ является видеокарта, а в ка­честве антенны выступают отрезки проводников, по которым распро­страняется сигнал: внутренние жгу­ты проводов, связывающие между собой отдельные платы, разъемы и элементы конструкции, а также внешние кабели, соединяющие от­дельные устройства и т. п. Данное положение подтверждено экспери­ментально: при отключении мони­тора от видеокарты побочные электромагнитные излучения не исче­зают, уменьшается лишь их уро­вень [1].
Мощность информативного си­гнала ПЭМИ зависит от амплитуды генерируемых импульсов и качест­ва антенны, которое оценивается ее коэффициентом усиления. Коэффи­циент усиления антенны во многом зависит от длины излучающего ка­беля (проводника). Длина излучаю­щего кабеля (проводника) СВТ всег­да значительно меньше длины вол­ны излучения первой гармоники информативного сигнала (частота излучения первой гармоники сигна­ла зависит от установленного режи­ма отображения и, как правило, на­ходится в диапазоне частот от 12 до 75 МГц), так как длина самых длин­ных кабелей (кабелей, соединяю­щих системный блок с монитором и принтером) обычно не превыша­ет 1,5 м, а длина внутренних прово­дов не превышает нескольких де­сятков сантиметров. Следователь­но, резонансные частоты таких ан­тенн будут находиться в диапазоне от 200 до 800 МГц. Вследствие этого, на практике сначала амплитуда сигналов ПЭМИ с возрастанием но­мера гармоники уменьшается, затем на определенных частотах (как пра­вило, в диапазоне частот от 150 до 600 МГц) возрастает, а затем опять снижается.

Разведывательный приемник, который предназначен для перехвата ПЭМИ видеосистемы, должен иметь полосу пропускания ∆ F _п = 1/τ. При использовании полосы пропуска­ния приемника ∆ F _п < 1/τ, импульсы с длительностью τ_и = τ будут вос­станавливаться с искажениями, что приведет к искажениям мелких де­талей изображения, например, букв (рис.5).

Последовательность импульсов сигнала периодически прерывают импульсы строчной и кадровой раз­вертки, поэтому излучаемый сигнал ПЭМИ будет периодически «преры­ваться» на время действия данных импульсов. Спектр излучаемых си­гналов ПЭМИ будет иметь вид спек­тра, представленного на рис. 4, б. В электромагнитных каналах утечки ин­формации носителем информации являются электромагнитные излучения (ЭМИ), возника­ющие при обработке информации технически­ми средствами.

При каждом режиме работы СВТ возни­кают ПЭМИ, имеющие свои характерные осо­бенности. Диапазон возможных частот побоч­ных электромагнитных излучений СВТ может составлять от 10 кГц до 2 ГГц.
Для перехвата побочных электромаг­нитных излучений СВТ используются специ­альные стационарные, перевозимые и пере­носимые приёмные устройства, которые на­зываются техническими средствами разведки побочных электромагнитных излучений и на­водок (TCP ПЭМИН).
Типовой комплекс разведки ПЭМИ вклю­чает: специальное приёмное устройство, ПЭВМ (или монитор), специальное программное обе­спечение и широкодиапазонную направленную антенну.
В качестве примера на рис. 3 приведён внешний вид одного из таких комплексов.

Рис. 3.

Средства разведки ПЭМИ могут уста­навливаться в близлежащих зданиях или ма­шинах, расположенных за пределами контро­лируемой зоны объекта (рис. 4).

Рис. 4.

Учитывая широкий спектр ПЭМИ видеоси­стемы СВТ (∆ F_c > 100 МГц) и их незначи­тельный уровень, перехват изображений, вы­водимых на экран монитора ПЭВМ, является довольно трудной задачей.

Дальность перехвата ПЭМИ современ­ных СВТ, как правило, не превышает 30-50 м. Качество перехваченного изображения значительно хуже качества изображения, выво­димого на экран монитора ПЭВМ (рис. 5).

Рис. 5.

Особенно трудная задача - перехват текста, выводимого на экран монитора и напи­санного мелким шрифтом (рис. 6).

Рис. 6.

В качестве показателя оценки эффектив­ности защиты информации от утечки по тех­ническим каналам используется вероятность правильного обнаружения информативного сигнала (Р₀) приёмным устройством сред­ства разведки. В качестве критерия обнаружения наиболее часто используется критерии «Неймана-Пирсона». В зависимости от реша­емой задачи защиты информации пороговое значение вероятности обнаружения инфор­мативного сигнала может составлять от 0,1 до 0,8, полученное при вероятности ложной тревоги от 10^-3 до 10^-5.

Зная характеристики приёмного устройства и антенной системы средства раз­ведки, можно рассчитать допустимое (норми­рованное) значение напряжённости электро­магнитного поля, при котором вероятность обнаружения сигнала приёмным устройством средства разведки будет равна некоторому (нормированному) значению (Р₀ = Р_n).

Пространство вокруг ТСОИ, на границе и за пределами которого напряжённость электриче­ской (E) или магнитной (H) составляющей элек­тромагнитного поля не превышает допустимого (нормированного) значения (Е ≤ E_n; H ≤ H_n), называется опасной зоной 2 (R2).

Зона R2 для каждого СВТ определяет­ся инструментально-расчётным методом при проведении специальных исследований СВТ на ПЭМИ и указывается в предписании на их эксплуатацию или сертификате соответствия.

Таким образом, для возникновения элек­тромагнитного канала утечки информации не­обходимо выполнение двух условий (рис. 7):

• первое - расстояние от СВТ до границы контролируемой зоны должно быть ме­нее зоны R2
(R_кз < R2);

• второе - в пределах зоны R2 возможно раз­мещение стационарных или перевозимых (переносимых) средств разведки ПЭМИН.

Рис. 7.

Условно весь спектр излучений можно разбить на потенциально информативные и неинформативные излучения.

Совокупность составляющих спектра ПЭМИ, порождаемая протеканием токов в цепях, по которым передаются содержащие конфиденциальную информацию сигналы, назовем потенциально-информативными излучениями (потенциально-информативными ПЭМИ).

Для персонального компьютера потенциально-информативными ПЭМИ являются излучения, формируемые следующими цепями:

- цепь, по которой передаются сигналы от контроллера клавиатуры к порту ввода-вывода на материнской плате;

- цепи, по которым передается видеосигнал от видеоадаптера до электродов электронно-лучевой трубки монитора;

- цепи, формирующие шину данных системной шины компьютера;

- цепи, формирующие шину данных внутри микропроцессора, и т. д.

Практически в каждом цифровом устройстве существуют цепи, выполняющие вспомогательные функции, по которым никогда не будут передаваться сигналы, содержащие закрытую информацию. Излучения, порождаемые протеканием токов в таких цепях, являются безопасными в смысле утечки информации. Для таких излучений вполне подходит термин «неинформативные излучения (неинформативные ПЭМИ)». С точки зрения защиты информации неинформативные излучения могут сыграть положительную роль, выступая в случае совпадения диапазона частот в виде помехи приему информативных ПЭМИ (в литературе встречается термин «взаимная помеха»).

Для персонального компьютера неинформативными ПЭМИ являются излучения, формируемые следующими цепями:

- цепи формирования и передачи сигналов синхронизации;

- цепи, формирующие шину управления и шину адреса системной шины;

- цепи, передающие сигналы аппаратных прерываний;

- внутренние цепи блока питания компьютера и т. д.

Потенциально информативные ПЭМИ, выделение полезной информации из которых невозможно при любом уровне этих излучений, назовем безопасными информативными излучениями (безопасными информативными ПЭМИ). Соответственно, потенциально информативные излучения, для которых не существует причин, однозначно исключающих возможность восстановления содержащейся в них информации, будем называть принципиально-информативными излучениями (принципиально-информативными ПЭМИ).

Так, например, к принципиально-информативным излучениям ПК можно отнести излучения, формируемые следующими цепями:

- цепь, по которой передаются сигналы от контроллера клавиатуры к порту ввода-вывода на материнской плате;

- цепи, по которым передается вдеосигнал от видеоадаптера до электродов электронно-лучевой трубки монитора.

Восстановление информации при перехвате излучений цепей, по которым передается видеосигнал, — это один из тех случаев, когда при использовании многоразрядного (как минимум три разряда для цветного монитора) параллельного кода формат представления информации позволяет восстанавливать большую ее часть (теряется цвет, но может быть восстановлено смысловое содержание), не восстанавливая при этом последовательности значений каждого разряда кода.

К безопасным информативным излучениям ПК можно отнести излучения цепей, формирующих шину данных системной шины и внутреннюю шину данных микропроцессора, а также излучения других цепей, служащих для передач информации, представленной в виде многоразрядного параллельного кода.

При наличии в оборудовании нескольких электрических цепей, по которым может передаваться в разном виде одна и та же конфиденциальная информация, для перехвата скорее всего, будут использованы принципиально-информативные излучения, формируемые какой-либо одной из этих цепей. Какие именно излучения будут использованы определяется в каждом конкретном случае предполагаемой задачей перехвата и возможным способом ее решения.

Электрические каналы утечки ин­формации

Причинами возникновения электриче­ских каналов утечки информации являются наводки информативных сигналов, под кото­рыми понимаются токи и напряжения в токопроводящих элементах, вызванные побочны­ми электромагнитными излучениями, ёмкост­ными и индуктивными связями.
Наводки информативных сигналов мо­гут возникнуть:
- в линиях электропитания ЭВМ;

- в линиях электропитания и соединитель­ных линиях ВТСС;

- в цепях заземления ЭВМ и ВТСС;

- в посторонних проводниках (металличе­ских трубах систем отопления, водоснаб­жения, металлоконструкциях и т.д.).

В зависимости от причин возникнове­ния наводки информативных сигналов можно разделить на:

а) наводки информативных сигналов в электрических цепях ТСОИ, вызванные ин­формативными побочными и (или) паразитны­ми электромагнитными излучениями ЭВМ;

б) наводки информативных сигналов в соединительных линиях ВТСС и посторонних проводниках, вызванные информативными побочными и (или) паразитными электромаг­нитными излучениями ЭВМ;

в) наводки информативных сигналов в электрических цепях ЭВМ, вызванные вну­тренними ёмкостными и (или) индуктивны­ми связями («просачивание» информативных сигналов в цепи электропитания через блоки питания ЭВМ);

г) наводки информативных сигналов в це­пях заземления ЭВМ, вызванные информатив­ными ПЭМИ, а также гальванической свя­зью схемной (рабочей) земли и блоков ТСОИ.

Различные вспомогательные техниче­ские средства, их соединительные линии, а также линии электропитания, посторонние проводники и цепи заземления выполняют роль случайных антенн, при подключении к которым средств разведки возможен пере­хват наведённых информативных сигналов (рис. 8).

Рис. 8.

Случайные антенны могут быть сосре­доточенными и распределёнными.

Сосредоточенная случайная антен­на представляет собой компактное техниче­ское средство (например, телефонный аппа­рат, громкоговоритель радиотрансляционной сети, датчик пожарной сигнализации и т.д.), подключенное к линии, выходящей за преде­лы контролируемой зоны.
К распределённым случайным ан­теннам относятся случайные антенны с распределёнными параметрами: кабели, провода, металлические трубы и другие токопроводящие коммуникации, выходящие за пределы контролируемой зоны. Уровень наво­димых в них сигналов в значительной степени зависит не только от мощности излучаемых сигналов, но и расстояния до них от ЭВМ.

При распространении по случайной ан­тенне наведённый информативный сигнал затухает. Коэффициент затухания информа­тивного сигнала можно рассчитать или опре­делить экспериментально. При известных коэффициенте усиления случайной антенны, её чувствительности и характеристиках при­ёмного устройства легко рассчитать значение наведённого информативного сигнала, при котором вероятность его обнаружения при­ёмным устройством средства разведки будет равна нормированному значению (Р0 = Рn).

Пространство вокруг ЭВМ, на границе и за пределами которого уровень наведённого от нее информативного сигнала в сосредо­точенных антеннах не превышает допустимого (нормированного) значения (U = Un) называется опасной зоной 1 (r1), а в распределённых антен­нах - опасной зоной 1, (r1,).

В отличие от зоны R2 размер зоны r1 (r1,) зависит не только от уровня побочных электромагнитных излучений ТСОИ, но и от длины случайной антенны (от помещения, в котором установлена ЭВМ до места возмож­ного подключения к ней средства разведки).

Зоны r1 и r1, для каждого СВТ опреде­ляются инструментально-расчётным методом, и их значения указываются в предписании на их эксплуатацию СВТ.

Для возникновения электрического канала утечки информации необходимо, чтобы (рис. 9):
- соединительные линии ВТСС, линии элек­тропитания, посторонние проводники и т.д., выполняющие роль случайных антенн, выходили за пределы контролируемой зоны объекта;

- расстояние от СВТ до случайной сосредо­точенной антенны было менее r1, а рассто­яние до случайной распределённой антен­ны было менее r1,;

- была возможность непосредственного под­ключения к случайной антенне за пределами контролируемой зоны объекта средств разведки ПЭМИН.

Рис. 9.

Появление информативных сигналов в цепи электропитания СВТ возможно как за счёт ПЭМИ, так и при наличии внутренних паразитных ёмкостных и (или) индуктивных связей выпрямительного устройства блока питания СВТ.

Наводки информативных сигналов в цепях заземления СВТ также могут быть обу­словлены гальванической связью схемной (рабочей) земли и блоков СВТ.

В случае нахождения трансформаторной подстанции или заземлителя контура заземле­ния за пределами контролируемой зоны объ­екта, при подключении к ним средства развед­ки ПЭМИН возможен перехват наведённых в них информативных сигналов (рис. 10).

Рис. 10.

Схемы технических каналов утечки ин­формации, возникающих за счёт наводок ин­формативных сигналов в линиях электропи­тания и заземления СВТ, приведены на рис. 11 и 12 соответственно.

Рис. 11. Рис. 12.

Специально создаваемые техниче­ские каналы утечки информации.

Наряду с пассивными способами перехвата информации, обрабатываемой СВТ, рас­смотренными выше, возможно использование и активных способов, в частности, способа « высокочастотного облучения » (рис. 13 и 14), при котором СВТ облучается мощным вы­сокочастотным гармоническим сигналом (для этих целей используется высокочастотный ге­нератор с направленной антенной, имеющей узкую диаграмму направленности). При взаи­модействии облучающего электромагнитного поля с элементами СВТ происходит модуля­ция вторичного излучения информативным сигналом. Переизлучённый сигнал принима­ется приёмным устройством средства развед­ки и детектируется.

Рис. 13. Рис. 14.

Для перехвата информации, обрабаты­ваемой СВТ, возможно также использование электронных устройств перехвата информа­ции (закладных устройств), скрытно вне­дряемых в технические средства и системы (рис. 15).

Рис. 15.

Перехваченная с помощью закладных устройств информация или непосредствен­но передаётся по каналу связи на приёмный пункт, или записывается в специальное запо­минающее устройство и передаётся только по команде управления. Для передачи информации на приём­ный пункт могут использоваться радиоканал, оптический (инфракрасный) канал или линии электропитания СВТ (рис. 16).

Рис. 16.

Закладные устройства, внедряемые в СВТ, по виду перехватываемой информации можно разделить на:

- аппаратные закладки для перехвата изобра­жений, выводимых на экран монитора;

- аппаратные закладки для перехвата инфор­мации, вводимой с клавиатуры ПЭВМ;

- аппаратные закладки для перехвата информации, выводимой на периферийные устройства (например, принтер);

- аппаратные закладки для перехвата ин­формации, записываемой на жёсткий диск ПЭВМ.

Аппаратные закладки для перехвата изображений, выводимых на экран монито­ра, состоят из блока перехвата и компрессии, передающего блока, блока управления и блока питания (преобразователя AC/DC). Они скрытно устанавливаются, как правило, в кор­пусе монитора (возможна установка закладки и в системном блоке ПЭВМ) и контактно под­ключаются к кабелю монитора. Перехваченная информация (видеои­зображение) в цифровом виде передаётся по радиоканалу, линии электросети 220 В или выделенной линии на приёмный пункт, где перехваченное изображение восстанавливает­ся и отображается на экране компьютера в ре­альном масштабе времени, создавая «копию» экрана, а дополнительная информация может записываться на жёсткий диск для дальней­шей обработки.

Блок дистанционного управления предназначен для приёма сигналов дистанци­онного включения и выключения закладного устройства и установления параметров рабо­ты передающего устройства.

Питание закладного устройства осущест­вляется от сети 220 В через блок питания.

Приёмный комплекс состоит из радио­приёмного устройства, модема, ПЭВМ типа notebook и специального программного обе­спечения.

Аппаратные закладки для перехва­та информации, вводимой с клавиатуры ПЭВМ, скрытно устанавливаются в корпу­се клавиатуры или внутри системного блока и подключаются к интерфейсу клавиатуры. Они являются самыми распространёнными закладными устройствами и предназначены в основном для перехвата паролей пользова­телей и текстовых документов, набираемых с использованием ПЭВМ. Перехватываемая ин­формация может или передаваться по радио­каналу, или записываться на flash-память.

Аппаратный кейлоггер с передачей ин­формации по радиоканалу состоит из модуля перехвата, передающего или запоминающего блоков и блока управления. Питание кейлоггера осуществляется от интерфейса клавиатуры.

Модуль перехвата осуществляет пере­хват сигналов, передаваемых от клавиатуры в системный блок при нажатии клавиши. Пере­хваченные сигналы в цифровом виде переда­ются по радиоканалу на приёмный пункт, где в реальном масштабе времени восстанавлива­ются и отображаются на экране компьютера в виде символов, набираемых на клавиатуре.

Блок дистанционного управления пред­назначен для приёма сигналов дистанцион­ного включения и выключения закладного устройства и установления параметров рабо­ты передающего устройства.

Приёмный комплекс состоит из радио­приёмного устройства, специального модемного модуля (модема), ПЭВМ типа notebook и специального программного обеспечения.

Для передачи информации наи­более часто используется UHF - диапа­зон. Например, аппаратный кейлоггер KS-1 работает на частоте 434,0005 МГц, а кейлоггер ВЕ24 Т - в диапазоне частот от 300 до 306 МГц. При передаче информации используется частотная манипуляция (FFSK) сигнала. Мощ­ность передатчика может составлять от 1-20 мВт до 50-100 мВт, что обеспечи­вает передачу информации на дально­сти от 50 до 500 м и более.

Аппаратные кейлоггеры имеют небольшие размеры и весят несколько грамм. Например, кейлоггер ВЕ24 Т имеет размеры 48x16x4 мм.

На рис. 17 представлен внешний вид аппаратного кейлоггера, осуществляюще­го передачу перехваченной информации по ра­диоканалу, и специального приёмного устрой­ства, на рис. 18 - схема его применения.

Рис. 17. Рис. 18.
Некоторые аппаратные кейлоггеры для передачи информации используют канал Bluetooth. Внешний вид одного из таких кейлоггеров представлен на рис. 19.

Рис. 19.

Аппаратные кейлоггеры, осуществляю­щие запись перехваченной информации на flash-память, состоят из датчика, осущест­вляющего перехват сигналов, передаваемых от клавиатуры в системный блок при на­жатии клавиши, микроконтроллера и flash-памяти.

Такие аппаратные кейлоггеры работают под управлением любой операционной систе­мы. Они
не требуют дополнительного пита­ния (питание осуществляется от клавиатуры ПЭВМ). Запись информации осуществляется на flash-память объёмом от 64 кБ до 2 ГГб. При объёме памяти 1 МГб обеспечивается запись до 2000000 нажатий клавиш или 500 страниц текста. Записываемая на flash-память инфор­мация шифруется с использованием 128-битного ключа.

Кейлоггеры выпускаются в виде пере­ходных разъёмов или удлинителей, под­ключаемых в разрыв кабелей, соединяющих клавиатуру и системный блок (рис. 20). Их установка не требует специальных навыков и может быть произведена в считанные секун­ды (рис. 21-23).

Рис. 20. Рис. 21.

Рис. 22. Рис. 23.

При наличии большого количества раз­личных кабелей, подключённых к системно­му блоку ПЭВМ, обнаружить факт установки кейлоггера довольно трудно.

Аппаратные закладки для перехвата ин­формации, выводимой на принтер, устанавливаются в корпусе принтера и по принципу работы аналогичны аппаратным закладкам, рассмотренным выше.

Аппаратные закладки для перехвата информации, записываемой на жёсткий диск ПЭВМ, являются наиболее сложны­ми из рассмотренных выше. Они состоят из блока перехвата, блока обработки, передаю­щего блока, блока управления и блока пита­ния (преобразователя AC/DC). Они скрытно устанавливаются в си­стемном блоке ПЭВМ и контактно подключа­ются через специаль­ный блок перехвата к интерфейсу, соединяю­щему жёсткий диск с материнской платой. Перехватываемые сиг­налы поступают в блок специальной обработ­ки, включающий специ­ализированный процес­сор, где осуществляет­ся их обработка по спе­циальной программе. Файлы с заданным рас­ширением (например, *.doc) записываются в оперативную или flash память. По команде управления записанная в памяти информация в цифровом виде по радиоканалу или сети 220 В передаётся на приёмный пункт, где в виде отдельных файлов записывается на жёст­кий диск для дальней­шей обработки.

Питание закладно­го устройства осущест­вляется от сети 220 В через блок питания.

Приёмный ком­плекс состоит из радио­приёмного устройства, модема, ПЭВМ типа notebook и специально­го программного обе­спечения.

Таким образом, перехват информации, обрабатываемой сред­ствами вычислитель­ной техники, может осуществляться путём:

- перехвата побочных электромагнитных излучений, возникающих при работе СВТ;

- перехвата наводок информативных сигна­лов с соединительных линий ВТСС и посто­ронних проводников;

- перехвата наводок информативных сиг­налов с линий электропитания и заземления СВТ;
- «высокочастотного облучения» СВТ;

- внедрения в СВТ закладных устройств.

Программные закладки.

Процесс перехвата конфиденциальной информации путем приема паразитного излучения композитного сигнала монитора вполне реален, но процесс этот достаточно длителен - нужно дождаться, пока пользователь выведет на экран монитора интересующую конфиденциальную информацию. Такой процесс может занимать дни и недели. Встала задача заставить компьютер передавать нужную информацию и не ждать, пока пользователь сам обратится к конфиденциальным документам, которая может быть решена следующим образом: нужный компьютер «заражается» специальной программой-закладкой («троянский «конь») любым из известных способов (по технологии вирусов: через компакт-диск с презентацией, интересной программой или игрушкой, дискету с драйверами, а если ПК в локальной сети - то и через сеть). Программа ищет необходимую информацию на диске и путем обращения к различным устройствам компьютера вызывает появление побочных излучений. Например, программа-закладка может встраивать сообщение в композитный сигнал монитора, при этом пользователь, играя в любимый Солитер, даже не подозревает, что в изображение игральных карт вставлены конфиденциальные текстовые сообщения или изображения. С помощью разведывательного приемника (в простейшем варианте доработанный телевизор) обеспечивается перехват паразитного излучения монитора и выделение требуемого полезного сигнала.

Проведенные в 1998 году экспериментальные исследования подтвердили такую возможность добывания конфиденциальной информации.

Так родилась технология скрытой передачи данных по каналу побочных электромагнитных излучений с помощью программных средств. Предложенная учеными Кембриджа подобная технология по своей сути есть разновидность компьютерной стеганографии, т.е. метода скрытной передачи полезного сообщения в безобидных видео, аудио, графических и текстовых файлах.

Методы компьютерной стеганографии в настоящее время хорошо разработаны и широко применяются на практике. По информации спецслужб США, методы компьютерной стеганографии интенсивно используются международным терроризмом для скрытой передачи данных через Интернет, в частности во время подготовки теракта 11 сентября.

Особенностью технологии является использование для передачи данных канала ПЭМИН, что значительно затрудняет обнаружение самого факта несанкционированной передачи по сравнению с традиционной компьютерной стеганографией. Действительно, если для предотвращения несанкционированной передачи данных по локальной сети или сети Интернет существуют аппаратные и программные средства (FireWall, Proxy server и т.п.), то средств для обнаружения скрытой передачи данных по ПЭМИН нет, а обнаружить такое излучение в общем широкополосном спектре (более 1000 МГц) паразитных излучений ПК без знания параметров полезного сигнала весьма проблематично.

Основная опасность технологии передачи конфиденциальной информации с использованием ПЭМИН заключается в скрытности работы программы-вируса. Такая программа в отличие от большинства вирусов не портит данные, не нарушает работу ПК, не производит несанкционированную рассылку по сети, а значит, долгое время не обнаруживается пользователем и администратором сети. Поэтому, если вирусы, использующие Интернет для передачи данных, проявляют себя практически мгновенно, и на них быстро находится противоядие в виде антивирусных программ, то вирусы, использующие ПЭМИН для передачи данных, могут работать годами, не обнаруживая себя, управляя излучением практически любого элемента компьютера.

Использование визуально-оптического канала утечки.

Вплотную к вопросу скрытой передачи информации путем излучения монитора примыкает вопрос визуального наблюдения за экраном монитора. Если к вопросу сохранности конфиденциальных сведений относятся сколь-нибудь внимательно, то монитор будет установлен таким образом, чтобы его нельзя было рассмотреть через окно. Недоступен монитор будет и для обзора случайными посетителями. Однако световой поток экрана монитора отражается от стен, и этот отраженный световой поток может быть перехвачен. Современная техника позволяет восстановить изображение на мониторе, принятое после многократных отражений его от стен и всех предметов.

Однако извлечь информацию в оптическом диапазоне можно не только из светового излучения монитора. Практически любое электронное устройство имеет светодиодные индикаторы режимов работы. Светодиоды имеют малую инерционность, и позволяют модулировать световой поток сигналами с частотой до сотен мегагерц. Наводки от всех элементов блока, в котором установлен светодиод, приводят к тому, что световой поток постоянно включенного светодиода оказывается промодулирован высокочастотными колебаниями, незаметными для глаза, но которые могут быть обнаружены с помощью специальной аппаратуры.

Излучение монитора - очень опасный канал утечки информации, но далеко не единственный. Излучают большинство элементов компьютера, и в большинстве случаев излучение этих элементов может содержать ценную информацию. Так, в частности, наиболее важной информацией является, как правило, пароль администратора локальной сети. При вводе пароля последний не отображается на экране монитора, поэтому не может быть разведан путем анализа излучений монитора или визуальным наблюдением. Однако сигналы, излучаемые клавиатурой, могут быть непосредственно приняты разведкой. При этом доступной становится вся информация, вводимая с клавиатуры, в том числе и пароль администратора сети.

Любое излучение, даже не содержащее информации, обрабатываемой в компьютере, может быть информативным в плане разведки. При недостаточной жесткости корпуса компьютера любое излучение может модулироваться речевой информацией. Получается, что если не предпринять специальных мер, то, устанавливая на рабочем месте компьютер, пользователь своими руками устанавливает подслушивающее устройство.

Даже если излучение каких либо элементов действительно не несет никакой информации, это излучение индивидуально для каждого компьютера. По индивидуальным признакам можно отследить перемещение компьютера, определить временной режим работы данного компьютера.

Работающий компьютер излучает на всех частотах. Однако у многих вызывает сомнение тот факт, что, перехватив излучение, можно получить какую-либо полезную информацию. Содержание документов, с которыми работают пользователи, становится легко доступным, если заинтересованному лицу доступно изображение экрана монитора. Огромный интерес представляют также документы, которые распечатываются на принтере.

Больше всего информации, естественно, сейчас содержится в базах данных и других файлах, хранящихся на жестких дисках серверов. Для доступа к ним необходим физический доступ к локальной сети. Но этого мало. Самое ценное, о чем мечтает шпион в этом случае, - это знать пароли пользователей и особенно пароль администратора локальной сети.

Путем анализа радиоизлучения доступным становится все перечисленное выше.

Компьютер может излучать в эфир и не только ту информацию, которую он обрабатывает. Если при сборке компьютера не принято специальных мер, то он может служить также и источником утечки речевой информации. Это так называемый «микрофонный эффект». Им может обладать даже корпус компьютера. Под воздействием акустических колебаний корпус несколько изменяет свой объем, меняются размеры щелей и других элементов, через которые осуществляется излучение. Соответственно излучение получается модулированным и все, что говорится возле компьютера, может быть прослушано с помощью приемника. Если же к компьютеру подключены колонки, то шпион вообще может хорошо сэкономить на установке в выделенных помещениях «жучков».

Дата добавления: 2014-11-29; Просмотров: 5285; Нарушение авторских прав?; Мы поможем в написании вашей работы!