Одним из возможных каналов утечки информации является излучение элементов компьютера. Принимая и декодируя эти излучения, можно получить сведения обо всей информации, обрабатываемой в компьютере. Этот канал утечки информации называется ПЭМИН (Побочные Электромагнитные Излучения и Наводки). В Европе и Канаде применяется термин «compromising emanation» - компрометирующее излучение. В Америке применяется термин «TEMPEST».
Вопрос 1. Получение информации с использованием ПЭМИН.
Термин ПЭМИН появился в конце 60-х - начале 70-х годов при разработке методов предотвращения утечки информации через различного рода демаскирующие и побочные излучения электронного оборудования.
История возникновения ПЭМИН своими корнями уходит в далекий 1918 год, когда Герберт Ярдли (Herbert Yardley) со своей командой был привлечен Вооруженными Силами США для исследования методов обнаружения, перехвата и анализа сигналов военных телефонов и радиостанций. Исследования показали, что оборудование имеет различные демаскирующие излучения, которые могут быть использованы для перехвата секретной информации. С этого времени средства радио- и радиотехнической разведки стали непременным реквизитом шпионов различного уровня. По мере развития технологии развивались как средства ПЭМИН-нападения (разведки), так и средства ПЭМИН-защиты.
Современные достижения в области технологии производства радиоприемных устройств позволили создавать очень миниатюрные чувствительные приемники. Успешно внедряется многоканальный прием сигналов (как с различных направлений, так и на различных частотах), с последующей их корреляционной обработкой. Это позволило значительно увеличить дальность перехвата информации.
Особенно бурное развитие ПЭМИН-технологии получили в конце 80-х, начале 90-х годов. Это связано как с осознанием широкой общественностью опасности ПЭМИН угроз, так и с широким развитием криптографии. Применение при передаче информации стойких алгоритмов шифрования зачастую не оставляет шансов дешифровать перехваченное сообщение. В этих условиях ПЭМИН-атака может быть единственным способом получения хотя бы части информации до того, как она будет зашифрована.
Долгое время все, что было связано с понятием ПЭМИН, было окутано завесой секретности. Первое сообщение, появившееся в открытой печати, принадлежит голландскому инженеру Вим ван Эку (Wim van Eck), опубликовавшему в 1985 году статью «Электромагнитное излучение видеодисплейных модулей: Риск перехвата?» Статья посвящена потенциальным методам перехвата композитного сигнала видеомониторов. В марте 1985 года на выставке Securecom-85 в Каннах ван Эк продемонстрировал оборудование для перехвата излучений монитора. Эксперимент показал, что перехват возможен с помощью слегка доработанного обычного телевизионного приемника.
При анализе излучений шифровальных машин было замечено, что наряду с основным сигналом присутствует и другой очень слабый сигнал. Шифровальная машина, как и любая другая электрическая машина, имеет побочное электромагнитное излучение, которое модулируется информационным сигналом еще до момента его кодирования. Таким образом, путем перехвата и анализа побочных излучений шифровальной машины, не имея ключа для расшифровки кодированных сообщений, представляется возможным получать необходимую информацию.
Процесс перехвата конфиденциальной информации путем приема паразитного излучения композитного сигнала монитора вполне реален, но процесс этот достаточно длителен - нужно дождаться, пока пользователь выведет на экран монитора интересующую конфиденциальную информацию. Такой процесс может занимать дни и недели. Встала задача заставить компьютер передавать нужную информацию и не ждать, пока пользователь сам обратится к конфиденциальным документам, которая может быть решена следующим образом: нужный компьютер «заражается» специальной программой-закладкой («троянский «конь») любым из известных способов (по технологии вирусов: через компакт-диск с презентацией, интересной программой или игрушкой, дискету с драйверами, а если ПК в локальной сети - то и через сеть). Программа ищет необходимую информацию на диске и путем обращения к различным устройствам компьютера вызывает появление побочных излучений. Например, программа-закладка может встраивать сообщение в композитный сигнал монитора, при этом пользователь, играя в любимый Солитер, даже не подозревает, что в изображение игральных карт вставлены конфиденциальные текстовые сообщения или изображения. С помощью разведывательного приемника (в простейшем варианте доработанный телевизор) обеспечивается перехват паразитного излучения монитора и выделение требуемого полезного сигнала.
Проведенные в 1998 году экспериментальные исследования подтвердили такую возможность добывания конфиденциальной информации.
Так родилась технология скрытой передачи данных по каналу побочных электромагнитных излучений с помощью программных средств. Предложенная учеными Кембриджа подобная технология по своей сути есть разновидность компьютерной стеганографии, т.е. метода скрытной передачи полезного сообщения в безобидных видео, аудио, графических и текстовых файлах.
Методы компьютерной стеганографии в настоящее время хорошо разработаны и широко применяются на практике. По информации спецслужб США, методы компьютерной стеганографии интенсивно используются международным терроризмом для скрытой передачи данных через Интернет, в частности во время подготовки теракта 11 сентября.
Особенностью технологии является использование для передачи данных канала ПЭМИН, что значительно затрудняет обнаружение самого факта несанкционированной передачи по сравнению с традиционной компьютерной стеганографией. Действительно, если для предотвращения несанкционированной передачи данных по локальной сети или сети Интернет существуют аппаратные и программные средства (FireWall, Proxy server и т.п.), то средств для обнаружения скрытой передачи данных по ПЭМИН нет, а обнаружить такое излучение в общем широкополосном спектре (более 1000 МГц) паразитных излучений ПК без знания параметров полезного сигнала весьма проблематично.
Основная опасность технологии передачи конфиденциальной информации с использованием ПЭМИН заключается в скрытности работы программы-вируса. Такая программа в отличие от большинства вирусов не портит данные, не нарушает работу ПК, не производит несанкционированную рассылку по сети, а значит, долгое время не обнаруживается пользователем и администратором сети. Поэтому, если вирусы, использующие Интернет для передачи данных, проявляют себя практически мгновенно, и на них быстро находится противоядие в виде антивирусных программ, то вирусы, использующие ПЭМИН для передачи данных, могут работать годами, не обнаруживая себя, управляя излучением практически любого элемента компьютера.
Вплотную к вопросу скрытой передачи информации путем излучения монитора примыкает вопрос визуального наблюдения за экраном монитора. Если к вопросу сохранности конфиденциальных сведений относятся сколь-нибудь внимательно, то монитор будет установлен таким образом, чтобы его нельзя было рассмотреть через окно. Недоступен монитор будет и для обзора случайными посетителями. Однако световой поток экрана монитора отражается от стен, и этот отраженный световой поток может быть перехвачен. Современная техника позволяет восстановить изображение на мониторе, принятое после многократных отражений его от стен и всех предметов.
Однако извлечь информацию в оптическом диапазоне можно не только из светового излучения монитора. Практически любое электронное устройство имеет светодиодные индикаторы режимов работы. Светодиоды имеют малую инерционность, и позволяют модулировать световой поток сигналами с частотой до сотен мегагерц. Наводки от всех элементов блока, в котором установлен светодиод, приводят к тому, что световой поток постоянно включенного светодиода оказывается промодулирован высокочастотными колебаниями, незаметными для глаза, но которые могут быть обнаружены с помощью специальной аппаратуры.
Излучение монитора - очень опасный канал утечки информации, но далеко не единственный. Излучают большинство элементов компьютера, и в большинстве случаев излучение этих элементов может содержать ценную информацию. Так, в частности, наиболее важной информацией является, как правило, пароль администратора локальной сети. При вводе пароля последний не отображается на экране монитора, поэтому не может быть разведан путем анализа излучений монитора или визуальным наблюдением. Однако сигналы, излучаемые клавиатурой, могут быть непосредственно. При этом доступной становится вся информация, вводимая с клавиатуры, в том числе и пароль администратора сети.
Любое излучение, даже не содержащее информации, обрабатываемой в компьютере, может быть информативным в плане разведки. При недостаточной жесткости корпуса компьютера любое излучение может модулироваться речевой информацией. Получается, что если не предпринять специальных мер, то, устанавливая на рабочем месте компьютер, Вы своими руками устанавливаете подслушивающее устройство.
Даже если излучение каких либо элементов действительно не несет никакой информации, это излучение индивидуально для каждого компьютера. По индивидуальным признакам можно отследить перемещение компьютера, определить временной режим работы данного компьютера.
Работающий компьютер излучает на всех частотах. Однако у многих вызывает сомнение тот факт, что, перехватив излучение, можно получить какую-либо полезную информацию. Содержание документов, с которыми работают ваши сотрудники, становится легко доступным, если заинтересованному лицу доступно изображение экрана монитора. Огромный интерес представляют также документы, которые распечатываются на принтере.
Больше всего информации, естественно, сейчас содержится в базах данных и других файлах, хранящихся на жестких дисках серверов. Для доступа к ним необходим физический доступ к локальной сети. Но этого мало. Самое ценное, о чем мечтает шпион в этом случае, - это знать пароли ваших пользователей и особенно пароль администратора локальной сети.
Путем анализа радиоизлучения доступным становится все перечисленное выше.
Наиболее известен перехват излучения мониторов. Во-первых, для нормальной работы электронно-лучевой трубки необходимы высокие уровни сигналов, вследствие чего монитор является самым «громким» излучающим элементом. Во-вторых, для дешифрования перехваченных сигналов монитора не требуется сложной обработки. Для отображения информации на мониторе перехваченный сигнал пригоден вообще без дополнительной обработки. Кроме того, изображение на экране монитора и, следовательно, излучаемые им сигналы многократно повторяются. В профессиональной аппаратуре это используется для накопления сигналов и соответствующего увеличения дальности разведки.
Профессиональная аппаратура для перехвата излучения монитора и отображения информации стоит десятки тысяч долларов. Однако если
разведывательная аппаратура может быть установлена на небольшом расстоянии (в соседней квартире), то для перехвата может использоваться самодельная аппаратура, самым дорогим элементом которой является монитор компьютера или даже несколько доработанный бытовой телевизор.
Что же касается перехвата информации за счет излучения принтеров, клавиатуры, то такой перехват возможен в ряде случаев даже с меньшими затратами. Информация в этих устройствах передается последовательным кодом, все параметры этого кода стандартизированы и хорошо известны.
Компьютер может излучать в эфир и не только ту информацию, которую он обрабатывает. Если при сборке компьютера не принято специальных мер, то он может служить также и источником утечки речевой информации. Это так называемый «микрофонный эффект». Им может обладать даже корпус компьютера. Под воздействием акустических колебаний корпус несколько изменяет свой объем, меняются размеры щелей и других элементов, через которые осуществляется излучение. Соответственно излучение получается модулированным и все, что вы говорите возле компьютера, может быть прослушано с помощью приемника. Если же к компьютеру подключены колонки, то шпион вообще может хорошо сэкономить на установке в ваших помещениях «жучков».
Таким образом, как бы нам этого ни хотелось избежать, а защищаться надо.
