Технические каналы утечки информации ГОСТ

Аналитические возможности
DLP-системы

Киберугрозы стали привычными для организаций, с ними учатся бороться все более эффективно, усложняя способы защиты. Но это не полностью исключило из зоны риска угрозы утечки информации, возникающие при использовании скрытых технических каналов. Они основаны на снятии данных с электрических, звуковых, виброакустических, иных импульсов, генерируемых оборудованием обработки информации или человеком в процессе рабочей активности, перехватываемых электронными закладными устройствами. Но скрытые каналы утечки оказываются более сложным явлением. Защититься от перехвата импульсов, смодулированных информационным сигналом, сложно, так как передача происходит путем, не предусмотренным разработчиками средств защиты. Перечисление угроз этого класса можно найти в ГОСТе.

Стандарты о скрытых угрозах

Основные положения, описывающие технические способы утечки и перехвата информации, следует искать в ГОСТ Р 53113.1-2008 «Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов». Стандарт введен в действие в конце октября 2010 года, для него определен неограниченный срок действия.

В его структуру входят классификация скрытых каналов утечки информации и методика их анализа с целью выявления вероятности утечки. Анализ необходим для решения двух задач:

  •     разработки плана мероприятий с целью защиты информации от утечек;
  •     оценки доверия к мерам защиты информационных систем и ИТ, их аттестации по методикам ФСТЭК РФ, иногда проводимой для дальнейшего получения лицензии на ведение деятельности, связанной с защитой информации высокого уровня конфиденциальности.

Стандарт — необходимая инструкция для заказчиков и пользователей информационных систем и для разработчиков, позволяющая четко отразить требования информационной безопасности, которым должны соответствовать приобретаемое или проектируемое оборудование и архитектура создаваемых информационных систем. Также ГОСТ становится инструментом контроля при проведении сертификации техники и информационных систем и помощником для аналитиков и служб безопасности компаний для сопоставления угроз информационным активам с потенциальной возможностью причинения ущерба с использованием скрытых технических каналов.

Стандарт включает две части:

  •     общие положения, здесь даны основные термины и определения, приведена классификация скрытых каналов и информационных активов по уровню значимости и рекомендуемым методам защиты;
  •     рекомендации по борьбе с утечками общего порядка.

Положения документа основаны на ранее разработанных частных рекомендациях ФСТЭК, систематизированных ведомством и превращенных в полноценные государственные стандарты. Технически ГОСТ Р 53113.1-2008 разработан компанией «Криптоком», присутствующей на рынке разработки средств криптографической защиты. Следует учитывать, что стандарт дает рамочные параметры защиты, более конкретные разрабатываются для каждой архитектуры ИС отдельно.

Скрытые логические каналы обычно создаются на базе путей утечки, обусловленных техническими характеристиками оборудования обработки информации. Наиболее часто утечки информации по скрытым техническим каналам происходят из-за перехвата электромагнитных излучений и наводок. Комплекс мер борьбы с ними и требуемое специализированное оборудование, обеспечивающие защиту информационной системы, можно найти в ГОСТ Р 53112-2008 «Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок».

Система ГОСТов, посвященных безопасности информации, не ограничивается данными, которые могут быть перехвачены при обработке в ПЭВМ. Их утечка часто происходит по линиям городской телефонной связи, и для борьбы с ней необходимо ориентироваться на положения ГОСТ Р 53110-2008 «Система обеспечения информационной безопасности сети связи общего пользования».

Виды скрытых технических каналов

ГОСТ в качестве основной причины необходимости регламентации борьбы с утечками по скрытым каналам называет тенденцию использования для построения информационных систем оборудования без конструкторской документации, что порождает возможность появления отдельного класса угроз, не выявляемых при помощи традиционных средств информационной безопасности. Стандарт указывает, что информационная безопасность основывается на доверии к элементам информационной системы, а его невозможно добиться, так как техника и программное обеспечение обычно поставляются без исходных кодов, конструкторской и тестовой документации. В результате создаются угрозы информационным ресурсам, которые могут быть реализованы с помощью неизвестных программно-аппаратных систем и через интерфейсы взаимодействующих программно-аппаратных продуктов.

Если предполагается обработка информации, содержащей государственную тайну, на оборудовании иностранного происхождения, обязательной станет его сертификация на наличие скрытых технических каналов утечки и возможности использования их злоумышленниками. При сертификации ФСТЭК ищет уязвимости трех типов:

  •     не замеченные разработчиками;
  •     внесенные ими специально для оптимизации определенных процессов. Такие уязвимости могут быть использованы для снятия информации по скрытым техническим каналам. Так, установление очереди выполнения команд, подаваемых приложением, порождает возможность переформатирования этой очереди для передачи скрытых сигналов;
  •     специально внесенные разработчиками в оборудование и программное обеспечение с целью выстраивания механизма перехвата данных.

Технический канал утечки информации состоит из трех элементов:

  •     объекта, создающего перехватываемый сигнал;
  •     среды распространения — воздуха, кабеля электропитания, строительных конструкций;
  •     агента-нарушителя — человека, программного или аппаратного компонента, фиксирующего информацию и передающего ее из охраняемой зоны.

Для скрытого технического канала характерно манипулирование определенными параметрами оборудования и ПО — ресурсами памяти, описаниями файлов и документов, кодами, механизмами передачи команд — с использованием установленного на компьютер обычного или внедренного вредоносного программного обеспечения. 

Помимо привычных акустических, электромагнитных и оптических каналов в качестве отдельной категории в ГОСТе называются скрытые логические каналы, которые обеспечивают утечку информации методами, обычно не используемыми и не предусмотренными внедренными стандартами защиты.

Стандарт называет следующие виды скрытых технических каналов утечки по основополагающим признакам:

  •     по памяти;
  •     по времени;
  •     скрытые статистические каналы.

Механизм использования каналов по памяти основан на том, что агент — человек или внедренная вредоносная программа — записывает заданные сведения в определенную ячейку памяти компьютера, а считывающий агент получает внесенную информацию. Выявить канал сложно, так как место в памяти, где зафиксированы данные, и способ их кодирования неизвестны.

СК по времени основаны на том, что передающий данные агент модулирует с помощью передаваемой информации некоторый изменяющийся во времени процесс, а агент на приеме в состоянии дешифровать передаваемый сигнал, наблюдая несущий информацию процесс во времени и вычленяя из временного потока предусмотренные кодом перерывы, паузы, опережения в выполнении команд и другие временные характеристики.

Скрытый статистический канал основан на том, что технические характеристики работы информационной системы могут меняться в зависимости от внешних или внутренних факторов. Те характеристики, которые обычно меняются по случайным параметрам, вредоносная программа может менять по заданному алгоритму, давая возможность агенту на приеме считывать информацию. Иногда таким образом направляются команды, указывающие, где и как можно перехватить данные, передаваемые по другим скрытым каналам.

Каналы по памяти

Такие каналы делятся на:

  •     скрывающие информацию в структурированных данных, обработанных, систематизированных, включенных в состав БД и снабженных метатегами;
  •     скрывающие информацию в неструктурированных данных, хаотических, содержащихся в памяти компьютера в разных файлах и каталогах.

Скрытые каналы, использующие структурированные данные, основаны на том, что ячейка памяти БД представляет собой информационный объект с собственной структурой, отдельные поля которой содержат информацию, описывающую объект. Эти поля не видны при редактировании БД пользователем или при открытии файла, доступ к ним имеет администратор базы данных. В них может быть записана информация, требующаяся злоумышленнику, но с учетом ограниченной емкости памяти каждого системного поля, обычно не превышающей 8 КБ.

Если информация записывается в объекты, не имеющие структуры, используются части документа, которые могут быть модифицированы незаметно для пользователя. Так, сведения можно внести в файл, тайно изменив имеющиеся в нем изображения дополнительными битами и байтами данных. Для такого изменения документа не требуется иметь права доступа администратора.

Каналы по пропускной способности

Термин описывает количество данных, которые могут быть переправлены по скрытому каналу за единицу времени. Этот тип каналов делится на две группы:

  •     каналы с высокой пропускной способностью. Они могут передавать информационные объекты значительного объема (текстовые файлы, изображения, базы данных) за определенный промежуток времени, в течение которого передаваемые сведения имеют ценность для злоумышленника;
  •     каналы с низкой пропускной способностью. Они предназначены для передачи данных минимального объема — паролей, криптографических ключей, координат.

При выстраивании системы борьбы со скрытыми каналами в первую очередь корректировке подвергается пропускная способность. При ее снижении до допустимого уровня дополнительная блокировка, если она угрожает работоспособности системы, может не потребоваться.

При выстраивании сложных систем перехвата и передачи информации возможности нескольких каналов объединяются, комбинируются.

Использование методики ГОСТ для выявления технических каналов утечки информации поможет избежать большинства рисков. Но не стоит забывать, что технологии развиваются очень быстро и на рынок выходят новые типы закладных устройств, лишенные недочетов предыдущих поколений. Это порождает необходимость пересмотра и дополнения отдельных положений стандартов.


«СёрчИнформ КИБ» сертифицирована ФСТЭК России и включена в Единый реестр российских программ для электронных вычислительных машин и баз данных. Это 100% российская программа, которая соответствует всем требованиям отечественных регуляторов к средствам защиты информации. 


Угрозы информационной безопасности, выполняемые при помощи скрытых каналов

Существенная часть рисков, названных в Модели угроз конкретной организации, может быть реализована при помощи скрытых каналов. К ним относятся:

  •     внедрение в информационную систему вредоносных программ или модификация данных;
  •     подача злоумышленником внутреннему агенту команд разного рода — на запись данных, на блокировку работы приложений, на дешифровку информации;
  •     хищение паролей или криптографических ключей;
  •     утечка отдельных информационных объектов.

Реализация угроз по отдельности или в комплексе приводит к:

  •     нарушению режима конфиденциальности информации, она может быть разглашена или иным способом использована злоумышленниками;
  •     снижению работоспособности или полному прекращению работы компьютера или информационной системы;
  •     блокированию доступа к информационным ресурсам или приложениям, снижению качества работы приложений, ошибкам;
  •     нарушению целостности данных, их модификации;
  •     изменению кода программного обеспечения, внедрению программных закладок.

Для канала с высокой пропускной способностью характерна реализация угроз всех названных типов, низкая дает возможность только внедрить вредоносную программу либо код или перехватить и передать внешнему агенту пароли и криптографические ключи. Перехват информации с равным успехом реализуется в рамках обоих типов каналов, но каналы с низкой пропускной способностью выявить и блокировать сложнее.

Наиболее подвержены риску использования скрытых логических каналов утечки данных информационные системы следующих типов:

  •     любые ИС, в которых каждый компьютер имеет выход в Интернет;
  •     территориально распределенные многопользовательские системы;
  •     ИС, где программно-аппаратные агенты не могут быть выявлены из-за применения программного и аппаратного обеспечения с недоступным исходным кодом и в связи с отсутствием конструкторской документации;
  •     системы с мандатной системой дифференцированного доступа. Чем больше пользователей с равными привилегированными правами, тем больше риск, что кто-то из них сможет передавать информацию конкурентам, используя различные варианты  модификации технических полей (метаданных) и программного кода.

Проектируя систему, необходимо учитывать перечисленные риски, создавая отдельные зоны для обработки информации высокой степени конфиденциальности. Эти зоны отделяются межсетевыми экранами от других элементов системы, и входящие в них рабочие машины не имеют подсоединения к общей сети Интернет. Но они могут быть включены в защищенную корпоративную сеть или иметь выход в секторы Рунета с повышенным уровнем безопасности, часто к защищенному государственному сегменту RSNet.

Противодействие работе скрытых логических каналов по ГОСТу

Стандарт предлагает алгоритм работы служб информационной безопасности организаций, позволяющий оптимизировать деятельность по выявлению скрытых технических каналов утечки информации:

  •     проведение классификации информационных объектов по степени ценности. Она направлена на выявление степени опасности атак по скрытым каналам;
  •     определение глубины проведения анализа наличия скрытых каналов для каждого типа активов;
  •     непосредственно анализ. Он состоит из этапов идентификации канала и оценки его пропускной способности.

Классификация информационных активов

В качестве первоочередного мероприятия по защите информационных активов ГОСТ предлагает провести их классификацию. По степени опасности проведения атаки при помощи скрытых технических каналов утечки информации он выделяет следующие группы:

    Первый класс. Степень ценности активов определяет собственник информации — организация.
    Второй класс. Активы содержат информацию ограниченного доступа или персональные данные и обрабатываются в ИС, подключенных к Интернету, или иных компьютерных системах общего доступа, а также в ИС, не предполагающих защиту от утечки по техническим каналам.
   Третий класс. Информационные активы содержат государственную тайну.

Отдельно выделяются классы информационных активов, чья уязвимость к атакам по скрытым каналам утечки должна быть минимизирована из-за их высокой значимости:

  •     информационные активы, от которых зависит работа объектов критической инфраструктуры — связи, энергетики, обороны, значимых производственных объектов. Подаваемая в АСУ команда может быть направлена по каналу с низкой пропускной способностью, но способна подорвать нормальную работу опасного объекта и вызвать аварию;
  •     ключи систем шифрования. Перехват ключей вызывает риск доступа к активам, которые сохраняются в недоступности при помощи криптографических средств защиты.

Борьба с утечками информации по скрытым каналам

После оценки информационных активов, относящихся к категориям максимального риска, проведения анализа разрабатывается план нейтрализации угроз, включающий:

  •     разработку и принятие решений по внедрению комплекса защитных мер;
  •     определение судьбы скрытого канала — блокировки, зашумления, уничтожения.

При идентификации скрытого канала проводится работа по выявлению субъектов формирования канала – источника и получателя данных, между ними должна создаваться связь, не выявляемая стандартными средствами защиты информации. Далее проводится определение параметров, манипулирование которыми порождает возникновение скрытого технического канала утечки информации. Определяются логические условия, при реализации которых передача информации становится возможной. 

Идентификация возможных каналов производится при проектировании информационной системы на базе имеющихся элементов оборудования и при ее эксплуатации в режиме реального времени. Во втором случае необходимо наблюдение за изменениями технических параметров работы системы. При оценке пропускной способности канала экспертами применяются формальные, технические методы или они пользуются методами моделирования. 

Выбор защитных мер для нейтрализации выявленного канала может осложняться тем, что некоторые могут причинить вред информационным активам, поэтому резервное копирование является необходимым перед началом внедрения комплекса мероприятий.

Общая система противодействия, предложенная ГОСТ, строится на применении трех типов мероприятий:

  •     создание индивидуальной архитектуры информационной системы, дающей возможность избежать появления скрытых каналов или сделать их потенциал незначительным, неспособным привести к серьезным утечкам;
  •     использовании технических средств, которые полностью перекрывают скрытые каналы утечки информации или снижают их пропускную способность ниже работоспособного уровня;
  •     применение программ и технических средств, выявляющих использование злоумышленниками скрытых технических каналов в течении периода эксплуатации информационной системы.

Скрытые каналы становятся актуальными, когда используются, их выявление позволяет мгновенно заблокировать канал и прекратить утечку данных. Достаточно сложно выявить их силами информационного подразделения предприятия, не имея исходных кодов программного обеспечения, технической документации на оборудование и при информационной системе, созданной не по плану, а эволюционным путем. Требуется привлечение на аутсорсинге профессионалов, имеющих собственный опыт выявления скрытых каналов. Но до момента принятия решения о привлечении специалистов уровень риска можно снизить, проанализировав привилегии доступа администраторов, и удалить все избыточные привилегии, при возможности устранив их коллизии, назначив каждому активу одного собственника с полным объемом прав. Это повысит ответственность администраторов и снизит риск использования скрытых каналов агентами-инсайдерами.

На сегодняшний день риск использования скрытых каналов утечки информации в обычной модели угроз относится к категории мало реализуемых, так как хищение данных по обычным путям существенно проще, особенно в системах со слабой защиты. Но для ИС, содержащих ценную информацию и аттестуемых ФСТЭК, выявление скрытых технических каналов становится насущной необходимостью.

Угрозы безопасности информации становятся более значимыми с каждым годом. Классификация, предложенная ГОСТ, и типы действий агентов относятся к 2008 году. Необходимо проводить мониторинг появления новых рисков и учитывать требования защиты от них при проектировании информационных систем.

27.04.2021

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.