Каналы утечки информации за счет паразитных связей

Контроль рабочего времени
с помощью DLP-системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Профессионализм организаций, поставивших целью хищение конфиденциальной информации с дальнейшим распространением и перепродажей, постоянно растет, на рынке появляются новые разработки вредоносных программ. Но старые способы получения несанкционированного доступа к данным — технические каналы — остаются актуальными, снятие информации за счет паразитных, естественных связей требует только использования доступного оборудования. В последние десятилетия на рынке появились менее известные алгоритмы организации утечек с использованием тепловых или ультразвуковых волн. К этим рискам тоже необходимо подготовиться.

Понятие паразитного канала утечки информации

Термин сформировался из понимания, что естественное электромагнитное излучение и виброакустические волны, выходящие из охраняемого помещения, могут быть просто перехвачены злоумышленником. Для этого не требуется создавать искусственную утечку путем внешнего подключения к каналам передачи данных. Законы физики предоставят материалы для перехвата и анализа, остается добиться связи с коммуникациями закладных устройств, способных перехватить и расшифровать изменения напряжения поля. В ситуации, когда компьютер, на котором обрабатывается информация наивысшей степени конфиденциальности, не подключен к Интернету в целях безопасности, использование паразитарных каналов в линиях связи и электропитания становится оптимальным вариантом съема данных.

Для перехвата данных на канал утечки информации ставят скрытые устройства — закладки. Они могут быть автономными — питаться от аккумуляторных батарей, и полуавтономными, получая энергию от электросети или прибора, в который встроено закладное устройство (ЗУ).

Наиболее часто для перехвата данных используются паразитарные каналы:

  • электромагнитные;
  • акустические;
  • виброакустические;
  • внешние каналы связи — телефонные, выделенные линии;
  • вибрационные.

Для каждого канала разработаны типы закладных устройств и методы их установки, связи с компьютером-целью. В работе служб конкурентной разведки наиболее часто для съема информации используют электромагнитный и виброакустический паразитные каналы утечки информации. Чаще всего используется электромагнитный, перехватываемое излучение распространяется:

  • по каналам электропитания;
  • по проводам заземления.

Также классификация электромагнитных каналов производится по радиоэффекту и по типу канала связи. Акустические каналы утечки информации — это речь, переговоры, телефонные разговоры. Перехват осуществляется двумя путями:

  • установкой закладного устройства на канал электропитания или связи, записывающего акустический сигнал и передающего его вовне на определенной радиоволне, перехватываемой установленным вне помещения радиопередатчиком;
  • путем перехвата и затем расшифровки колебаний от звуковых волн стекол окон, линий связи и коммуникаций.

Акустические закладки, использующие паразитные связи, могут работать в активном и пассивном режиме. Во втором случае они практически все время работают на прием и запись информации, и колебания электромагнитного поля в зоне их нахождения практически незаметны. Передача радиосигнала по беспроводным линиям связи происходит по мере накопления данных или при получении команды дистанционного управления, и она занимает несколько секунд. Большинством типов сканеров ЗУ обнаружить такую закладку невозможно.

Вибрационные каналы утечки информации, использующие паразитарные связи, разнообразны. В качестве примера можно привести движение руки по клавиатуре, при котором вибрация передается к ножкам стола. Если набор идет одной рукой, то по времени перерывов между ударами по клавишам, перехваченных закладным устройством, установленным на ножке стола, можно понять, какой текст набирался.

5 способов перехвата информации

Технологии съема данных с технических каналов утечки информации с использованием паразитных связей имеют давнюю историю. С развитием компьютерной техники они совершенствуются, появляются новые устройства, мощные, автономные, способные шифровать перехватываемый сигнал и передавать его на приемник, установленный на расстоянии до 15 км.


Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований.


Перехват электромагнитного излучения

Эти технологии организации утечки информации отработаны на высоком уровне. Уже более 50 лет вопрос прорабатывается разведками США и СССР, потом России. Американские разработки борьбы с паразитными излучениями получили название TEMPEST (Telecommunications Electronics Materials Protected from Emanating Spurious Transmissions — Материалы телекоммуникационной электронной защиты против паразитных излучений). В России аналогичная программа носит название ПЭМИН (Побочные ЭлектроМагнитные Излучения и Наводки). После того как в 60-х годах Великобритания вела переговоры о вступлении в Евросоюз и ей нужно было узнать позицию Франции, МИ-5 удалось перехватить и расшифровать побочные излучения шифровальной машины, появился термин «TEMPEST-атака».

Исходя из этих стандартов, наиболее слабые звенья в системе информационной защиты:

  • ЭЛТ-мониторы с высоким уровнем электромагнитного фона;
  • неэкранированные VGA-кабели.

В последние годы к этому перечню добавились клавиатуры, данные можно перехватывать на расстоянии до 20 м. Стоимость анализатора радиоспектра, используемого в этих целях, составляет около 5000 долларов. Он перехватит информацию не только со стандартной клавиатуры, но и с современной беспроводной, устанавливающей связь с компьютером по USB-соединению, с шифрованием сигналов.

Принцип работы — генерация электромагнитных наводок (внешнего электромагнитного воздействия на оборудование и провода). Используемые для съема информации типы устройств различаются мощностью сигнала. Если компьютер подключен к электросети, то хакеру остается подсоединить считывающее побочные излучения устройство к соседней розетке. Нажатия клавиш создают скачки напряжения, и они считываются на линии заземления. Дальность считывания — 15 метров.

Среди методов защиты рекомендуется использовать экранирование помещения — создание клетки Фарадея, выполненной из материала, хорошо проводящего ток. Второе решение — генератор помех. Для ввода ценных данных рекомендуется применять виртуальные клавиатуры.

Перехват ключей и паролей

Если стоит задача только узнать пароль или считать небольшой текст, в этом поможет обычный смартфон, лежащий рядом с клавиатурой. Его акселерометр (прибор для измерения ускорения, отвечающий за изменение положения картинки на экране при повороте мобильного устройства) распознает вводимые символы с точностью до 80 %. Способ базируется на сравнении характеристик вибраций последовательных пар импульсов, соответствующих нажатиям на клавиши.

Аналогичные результаты можно получить при использовании лазерного луча. Каждая клавиша, по мнению специалистов, генерирует уникальное колебание, имеющее собственную звуковую частоту, всего их описано около 40. Лазерный луч, направленный на отражающую поверхность — монитор, логотип производителя — считает их. Способ борьбы единственный — отказ от допуска в помещение, где происходит работа с конфиденциальной информацией, третьих лиц.

Сочетание электромагнитных излучений и вредоносного ПО

Современный способ снятия информации с паразитных каналов утечки основан на заражении компьютера вредоносным ПО. Если он не подключен к Интернету, это можно сделать, используя съемный носитель. ПО, разработанное в Израиле, способно создать в атакуемом компьютере модулированные электромагнитные наводки. Радиосигнал имеет высокую мощность, передает заказанные злоумышленниками данные. Для приема не требуется специального оборудования, сигнал может подаваться на FM-приемник мобильного телефона, откуда по Wi-Fi или мобильной связи данные будут перенаправлены на командный компьютер для расшифровки. Технология напоминает метод, используемый АНБ уже 6 лет и, по данным публикаций, неоднократно применяемый для съема данных в России, Иране, Китае. 

Такое программное решение применяется для экранированных и защищенных помещений, в которых невозможно установить закладку, но ничто не мешает пронести туда смартфон. Израильский метод, получивший название AirHopper, был разработан исследователями из Cyber Security Labs в Университете Бен-Гуриона. Способ защиты единственный — не допускать пронос мобильных телефонов в пределы охраняемого периметра и своевременно проверять оборудование на присутствие малоизвестных вирусов.

Тепловые наводки

Этот современный способ снятия информации разработан также в Израиле. Он основан на том, что при нахождении двух компьютеров на расстоянии 40 см друг от друга датчики температуры в процессоре и материнской платы улавливают изменение температуры не только у «родного» компьютера, но и у соседнего. Если на первой машине обрабатывается конфиденциальная информация и компьютер не подключен к сети, а второй работает в Интернете, это создает возможность для организации утечки. В больших опен-спейсах такое размещение компьютеров нередко, особенно характерно это для банковских учреждений.

Для хищения данных по паразитному тепловому каналу утечки информации обе машины заражаются вредоносными программами. Работающее в первом ПО считывает секретные сведения и по определенному алгоритму повышает и понижает температуру системного блока, создавая модулированный тепловой сигнал. Датчики второй машины считывают его и по Интернету отправляют данные на командный компьютер для расшифровки. Тепловая модель инерционна, поэтому информация не может сниматься и передаваться объемными пакетами, максимальная скорость передачи — 8 бит в час. Метод подойдет для хищения паролей и небольших текстовых блоков, к объемной базе данных подобраться таким способом не получится. Но Интернет вещей предоставляет дополнительные возможности для считывания данных, и, если в роли второго компьютера будет выступать умная кофеварка или холодильник, не обремененные другими функциями, скорость передачи может повыситься. Метод борьбы — не размещать компьютеры, обрабатывающие конфиденциальную информацию, рядом с другим оборудованием, подключенным к Интернету.

Ультразвуковые паразитные каналы утечки информации

Клетка Максвелла и аналогичные способы изоляции помещения уберегут от бесконтрольного распространения электромагнитных волн, но они проницаемы для ультразвука, также используемого для считывания конфиденциальных данных. Аппаратура слежения выполняется в виде двух параллелепипедов. Один, преобразующий акустическую и электромагнитную информацию в ультразвук, необходимо спрятать внутри защищенного помещения, второй прикрепить к внешней стене или, при достаточной мощности прибора, разместить в машине, припаркованной неподалеку от здания. Одновременно происходит передача данных по ультразвуковому каналу и энергии, запитывающей внешнее устройство. Британские спецслужбы раскрыли информацию об этом методе в 2011 году. Комплект Лоури, так называется американская разработка, повторившая британское изобретение, передает информацию сквозь толстый слой стали, до 3 дюймов, и может использоваться для получения данных с подводных лодок.

Методы борьбы — использование датчиков ультразвуковых волн или генерация ультразвуковых помех. Вне зависимости от того, какие паразитные каналы утечки используются, контроль парковки у здания, нахождение автотранспорта, обычно не паркующегося рядом или снабженного дополнительными антеннами, должно вызвать вопросы у службы безопасности. 

Зная основные паразитные каналы утечки информации и осуществляя мониторинг появления новых технологий, можно обеспечить защиту, позволяющую снизить риски хищения конфиденциальных сведений. Основных правил защиты два. Первое — оборудование помещения, в котором проходят переговоры или обрабатывается конфиденциальная информация в компьютерных сетях, должно происходить в соответствии с требованиями ФСТЭК и ФСБ РФ, с использованием клетки Максвелла, генераторов помех, при этом необходимо провести его аттестацию. Второе — регулярно организовывать осмотры помещений и прилегающей территории силами лицензированных организаций с использованием профессиональной техники с целью выявления устройств несанкционированного съема информации с паразитных каналов. Дополнительно к этому необходимо повысить уровень антивирусной защиты, снижающей риски снятия данных с побочных излучений путем использования специально сконструированных вредоносных программ.

15.03.2021

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними