Утечка информации по каналам ПЭМИН

Контроль рабочего времени
с помощью DLP-системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Борьба за сохранность информации от утечек ведется по разным направлениям. Кибератаки не являются единственным риском, который следует учитывать службам безопасности. Электромагнитные излучения, возникающие в компьютере при обработке информации и передающиеся по кабелям электропитания и заземления, могут быть с легкостью перехвачены и преобразованы в данные. Утечка информации по каналам ПЭМИН нередко встречается в практике организаций, работающих с государственной тайной, и, чтобы подтвердить наличие достаточной защиты от нее, информационная система должна пройти аттестацию.

Каналы ПЭМИН. Определение

Побочные электромагнитные излучения и наводки рассматриваются в качестве одного из источников секретных данных со времен Первой мировой войны. Тогда в качестве источника сигнала использовались полевые радиостанции и переговорные пункты. Считывание колебаний электромагнитного поля помогало получать сведения. В современности этот канал утечки информации не утратил актуальности. Он часто используется для снятия данных с компьютеров, не подключенных к Интернету, применительно к которым кибератаки малорезультативны. Также атаки с использованием возможности перехвата электромагнитного излучения более эффективны, чем внешние вторжения в сеть. Они дают возможность получить данные до того, как те будут зашифрованы. В 1986 году английская разведка применяла этот принцип для снятия информации с шифровальной машины, используемой французскими коллегами. Их шифровальная машина, передающая данные из штаб-квартиры Евросоюза французскому правительству, имела побочное электромагнитное излучение, которое модулировалось информационным сигналом еще до момента его кодирования.

Установление внутри компьютера, на одном из подключенных к нему кабелей или в соседней розетке миниатюрного устройства позволяет злоумышленникам снять динамику колебаний и получить вполне читаемую информацию. Излучения бывают электромагнитными, для их перехвата требуется устройство с антенной, или электрическими, в этом случае закладное устройство (ЗУ) подключаются к проводам. Почти все ЗУ вынуждены передавать данные по радиоканалу. Радиоволны, уровень которых превышает фоновый и не соответствует диапазону известных радиостанций, станут демаскирующими признаками закладных устройств.

Данные поставляют практически все элементы архитектуры компьютера, их снятие возможно:

  • с монитора, для жидкокристаллических информация может быть получена на расстоянии 20—30 м. Специалисты израильского университета Тель-Авива продемонстрировали эксперимент по снятию зашифрованной информации с ноутбука, стоящего в соседней комнате, при помощи антенны, усилителя сигнала и своего лэптопа со специализированным ПО;
  • при вводе с клавиатуры, беспроводная снизит расстояние атаки со 100 до 10 м;
  • при записи на жесткий диск;
  • при передаче по локальной сети и вовне;
  • при копировании со съемных носителей.

При использовании злоумышленником потенциала утечек информации по каналам ПЭМИН источником служит сигнал, передаваемый по проводам. Если рядом с компьютером-целью стоит другой компьютер, близко с проводом проходят провода другой сети питания или связи, электромагнитные колебания передаются, наводятся на другой объект и могут быть сняты с него за пределами контролируемого пространства. Закладные устройства перехвата информации могут быть подсоединены к проводам и розеткам. Современные разработки способны уловить сигнал от монитора или клавиатуры при помощи антенны или лазерного луча, считывающего индивидуальные колебания каждой клавиши, которые отражаются от освещенных поверхностей, например наклейки с наименованием производителя техники, при вводе текста. 


Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».  


Технологии перехвата данных при искусственном создании утечки информации по каналам ПЭМИН требуют тонкой настройки. Приемное устройство должно знать частоту волны, по которой поступает модулированное информацией излучение, и уметь выделять ее из широкополосного спектра. Софт-технологии наиболее часто применяются для вывода данных на экран монитора, второй по популярности метод предполагает использование незадействованных портов. Выявить программу, генерирующую паразитные излучения, сложно. Она никак не проявляет себя, не относится к числу популярных вирусов, часто разрабатывается для конкретных случаев, и ее маркеры отсутствуют в большинстве библиотек общедоступных антивирусных программ.

Данные, выводимые на экран монитора, пробуждают интерес к защите от утечки информации по оптическим каналам. Если экран установлен таким образом, что наблюдение за ним невозможно, перехватываться могут данные светового потока, отраженные от поверхности, противостоящей монитору: стен, перегородок. Современная техника позволяет восстановить изображение на мониторе, принятое после многократных отражений его от стен и предметов, находящихся в офисе. Дополнительные возможности перехвата информации дают светодиодные индикаторы работы. Яркость и частота мерцания светодиода могут быть модулированы информационным сигналом и перехвачены.

Интересно, что возможность удаленного перехвата изображения с монитора побудила ряд стран — Бразилию, Канаду — отказаться от метода электронного голосования ввиду рисков утечки информации по каналам ПЭМИН и нарушения тайны волеизъявления.

TEMPEST-атаки и TEMPEST-защита

Американская программа защиты информации от перехвата по каналам побочных электромагнитных излучений и наводок, TEMPEST, одновременно стала питательной средой для развития технологии атак. Помимо классического снятия излучений и наводок появился soft TEMPEST, в котором сочетаются возможности снятия информации по каналам ПЭМИН и программного обеспечения. Внедренная вредоносная программа способна найти на диске нужную ей информацию и заставить элементы архитектуры компьютера излучать электромагнитные волны в заданном режиме. Существуют и более тонкие методы. Данные в замаскированном виде выводятся на экран монитора. Пользователь, читающий текст или играющий, не видит, что вместе с ожидаемым сигналом поступает и иной, считываемый видеокамерой или приемным устройством, технология создания которого схожа с доработкой телевизора.

Стандарт TEMPEST (аналог российского ПЭМИН) разработан Агентством национальной безопасности США (АНБ). Он стал основой для появления современных стандартов безопасности, которые сейчас используются в государственных учреждениях США и в структурах НАТО. Одним из аналогов TEMPEST стал используемый для обеспечения безопасности связи стандарт EMSEC (безопасность эмиссий), который входит в состав общих стандартов COMSEC (безопасность коммуникаций). Сегодня технологии TEMPEST развиваются в направлении совершенствования ПО для организации атак.

Предотвращение утечки данных по каналам ПЭМИН

Перед тем как задуматься о защите от перехвата, стоит оценить степень риска. Сертифицированное ФСТЭК РФ программное обеспечение «ПЭМИН-2018» и его аналоги призваны выполнить следующие задачи:

  • определить соответствие нормативам показателей защищенности информации от утечки по каналам ПЭМИН по результатам специальных исследований;
  • оценить степень защищенности информации, обрабатываемой в информационной системе организации, от утечки за счет ПЭМИН;
  • оценить эффективность работы активных и пассивных технических средств защиты информации, применяемых в организации.

Для работы программы в нее вносятся данные, полученные в результате специальных обследований оборудования и системы защиты. По итогам проверки система защиты может быть признана эффективно работающей или будут предложены шаги по оптимизации.

Разработаны три метода снижения рисков:

  • уменьшение уровня сигнала до значений, исключающих возможность перехвата. Для этого используются экранирование, доработка аппаратуры;
  • выявление закладных устройств в процессе специальных обследований оборудования и помещения;
  • зашумление сигнала.

Обычно применяется комплекс мероприятий первого и второго типа, зашумление (активный способ защиты) используется реже. Уровень сигнала снижается при выборе компьютерного оборудования, зона R2 в котором снижена производителем до приемлемых значений, обеспечивающих отсутствие риска передачи данных за пределы контролируемой зоны, параметры зоны указываются в технической документации. Если такое оборудование приобрести невозможно, компьютер может быть доработан специализированными организациями по сертифицированному ФСТЭК РФ стандарту Secret, параметры зоны R2 снизятся согласно техническому заданию до 8—10 м.

Основным принципом построения пассивной системы защиты от утечки информации по каналам ПЭМИН будет то, что все оборудование имеет излучение, которое может быть перехвачено злоумышленниками. Для обеспечения безопасности нужно строить защиту на трех уровнях:

  • компьютеры;
  • информационные системы;
  • компоненты ИС.

Для многих организаций создание такой глобальной системы обороны станет затратным проектом, поэтому рекомендуется использовать точечные и секторные методы защиты от утечки информации по каналам ПЭМИН. 

Для выявления оптимальных зон защиты проводится оценка зонирования, при которой выделяются:

  • А. Наиболее ценные информационные активы;
  • Б. Зоны в помещении, где происходит обработка ценных данных и которые подлежат наивысшей защите.

Выявленные отдельные области могут экранироваться путем монтажа перегородок, снижающих область распространения сигнала. В некоторых случаях в экранируемые шкафы помещаются компьютер, система проводов. Материалы и технология экранирования сертифицируются по стандартам TEMPEST или ФСТЭК РФ. Для защиты помещения в целом используется сетка Максвелла, состоящая из металла или других проводников тока, которой покрываются пол, потолок, стены охраняемого помещения.

В качестве современных дополнительных методов защиты от утечек информации по каналам ПЭМИН иногда применяется технология Secure Viewer. Текст создается с помощью специального шрифта, при введении которого обеспечивается пониженное радиоизлучение монитора, что делает сигналы трудноперехватываемыми.

Оценив действительный уровень риска, можно разработать и внедрить свои технологии защиты, исходя из основного бюджетного ограничения — стоимость защиты не должна превышать ценности информации, которая может быть похищена по каналам ПЭМИН. Также высокий уровень защиты иногда необходим в целях аттестации системы.

22.03.2021

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними