|
9 Технические каналы утечки информации, возникающие за счет побочных электромагнитных излучений
9)Тех�ни�че�ские ка�на�лы утеч�ки ин�фор�ма�ции, воз�ни�каю�щие за счет по�боч�ных элек�тро�маг�нит�ных из�лу�че�ний.
10)Тех�ни�че�ские ка�на�лы утеч�ки ин�фор�ма�ции, воз�ни�каю�щие за счет на�во�док по�боч�ных элек�тро�маг�нит�ных из�лу�че�ний.
11)Тех�ни�че�ский ка�нал утеч�ки ин�фор�ма�ции, соз�да�вае�мый пу�тем «вы�со�ко�час�тот�но�го об�лу�че�ния» СВТ.
12)Тех�ни�че�ский ка�нал утеч�ки ин�фор�ма�ции соз�да�вае�мый пу�тем вне�дре�ния в СВТ элек�трон�ных уст�ройств не�глас�но�го по�лу�че�ния ин�фор�ма�ции.
Электромагнитные каналы утечки информации
К электромагнитным относятся каналы утечки информации, возникающие за счет различного вида побочных электромагнитных излучений (ЭМИ) ТСПИ [8,17,40]:
· излучений элементов ТСПИ;
· излучений на частотах работы высокочастотных (ВЧ) генераторов ТСПИ;
· излучений на частотах самовозбуждения усилителей низкой частоты (УНЧ) ТСПИ.
Электромагнитные излучения элементов ТСПИ. В ТСПИ носителем информации является электрический ток, параметры которого (сила тока, напряжение, частота и фаза) изменяются по закону информационного сигнала. При прохождении электрического тока по токоведущим элементам ТСПИ вокруг них (в окружающем пространстве) возникает электрическое и магнитное поле. В силу этого элементы ТСПИ можно рассматривать как излучатели электромагнитного поля, модулированного по закону изменения информационного сигнала.
Электромагнитные излучения на частотах работы ВЧ– генераторов ТСПИ и ВТСС. В состав ТСПИ и ВТСС могут входить различного рода высокочастотные генераторы. К таким устройствам можно отнести: задающие генераторы, генераторы тактовой частоты, генераторы стирания и подмагничивания магнитофонов, гетеродины радиоприемных и телевизионных устройств, генераторы измерительных приборов и т.д.
В результате внешних воздействий информационного сигнала (например, электромагнитных колебаний) на элементах ВЧ-генераторов наводятся электрические сигналы. Приемником магнитного поля могут быть катушки индуктивности колебательных контуров, дроссели в цепях электропитания и т.д. Приемником электрического поля являются провода высокочастотных цепей и другие элементы. Наведенные электрические сигналы могут вызвать непреднамеренную модуляцию собственных ВЧ-колебаний генераторов. Эти промодулированные ВЧ-колебания излучаются в окружающее пространство.
Электромагнитные излучения на частотах самовозбуждения УНЧ ТСПИ. Самовозбуждение УНЧ ТСПИ (например, усилителей систем звукоусиления и звукового сопровождения, магнитофонов, систем громкоговорящей связи т.п.) возможно за счет случайных преобразований отрицательных обратных связей (индуктивных или емкостных) в паразитные положительные, что приводит к переводу усилителя из режима усиления в режим автогенерации сигналов. Частота самовозбуждения лежит в пределах рабочих частот нелинейных элементов УНЧ (например, полупроводниковых приборов, электровакуумных ламп и т.п.). Сигнал на частотах самовозбуждения, как правило, оказывается промодулированным информационным сигналом. Самовозбуждение наблюдается, в основном, при переводе УНЧ в нелинейный режим работы, т.е. в режим пере-грузки.
Перехват побочных электромагнитных излучений ТСПИ осуществляется средствами радио-, радиотехнической разведки, размещенными вне контролируемой зоны.
Зона, в которой возможны перехват (с помощью разведывательного приемника) побочных электромагнитных излучений и последующая расшифровка содержащейся в них информации (т.е. зона, в пределах которой отношение "информационный сигнал/помеха" превышает допустимое нормированное значение), называется (опасной) зоной 2 [32].
Схема электромагнитных каналов утечки информации представлена на рис. 1.2.
1.2.2. Электрические каналы утечки информации
Причинами возникновения электрических каналов утечки информации могут быть [8,17,40]:
· наводки электромагнитных излучений ТСПИ на соединительные линии ВТСС и посторонние проводники, выходящие за пределы контролируемой зоны;
· просачивание информационных сигналов в цепи электропитания ТСПИ;
· просачивание информационных сигналов в цепи заземления ТСПИ.
Наводки электромагнитных излучений ТСПИ возникают при излучении элементами ТСПИ (в том числе и их соединительными линиями) информационных сигналов, а также при наличии гальванической связи соединительных линий ТСПИ и посторонних проводников или линий ВТСС. Уровень наводимых сигналов в значительной степени зависит от мощности излучаемых сигналов, расстояния до проводников, а также длины совместного пробега соединительных линий ТСПИ и посторонних проводников.
Пространство вокруг ТСПИ, в пределах которого на случайных антеннах наводится информационный сигнал выше допустимого (нормированного) уровня, называется (опасной) зоной 1 [32].
Случайной антенной является цепь ВТСС или посторонние проводники, способные принимать побочные электромагнитные излучения.
Случайные антенны могут быть сосредоточенными и распределенными. Сосредоточенная случайная антенна представляет собой компактное техническое средство, например телефонный аппарат, громкоговоритель радиотрансляционной сети и т.д. К распределенным случайным антеннам относятся случайные антенны с распределенными параметрами: кабели, провода, металлические трубы и другие токопроводящие коммуникации [32].
Просачивание информационных сигналов в цепи электропитания возможно при наличии магнитной связи между выходным трансформатором усилителя (например, УНЧ) и трансформатором выпрямительного устройства. Кроме того, токи усиливаемых информационных сигналов замыкаются через источник электропитания, создавая на его внутреннем сопротивлении падение напряжения, которое при недостаточном затухании в фильтре выпрямительного устройства может быть обнаружено в линии электропитания. Информационный сигнал может проникнуть в цепи электропитания также в результате того, что среднее значение потребляемого тока в оконечных каскадах усилителей в большей или меньшей степени зависит от амплитуды информационного сигнала, что создает неравномерную нагрузку на выпрямитель и приводит к изменению потребляемого тока по закону изменения информационного сигнала.
Просачивание информационных сигналов в цепи заземления. Кроме заземляющих проводников, служащих для непосредственного соединения ТСПИ с контуром заземления, гальваническую связь с землей могут иметь различные проводники, выходящие за пределы контролируемой зоны. К ним относятся нулевой провод сети электропитания, экраны (металлические оболочки) соединительных кабелей, металлические трубы систем отопления и водоснабжения, металлическая арматура железобетонных конструкций и т.д. Все эти проводники совместно с заземляющим устройством образуют разветвленную систему заземления, на которую могут наводиться информационные сигналы. Кроме того, в грунте вокруг заземляющего устройства возникает электромагнитное поле, которое также является источником информации.
Перехват информационных сигналов по электрическим каналам утечки возможен путем непосредственного подключения к соединительным линиям ВТСС и посторонним проводникам, проходящим через помещения, где установлены ТСПИ, а также к их системам электропитания и заземления. Для этих целей используются специальные средства радио- и радиотехнической разведки, а также специальная измерительная аппаратура.
Схемы электрических каналов утечки информации представлена на рис. 1.3 и 1.4.
Съем информации с использованием аппаратных закладок. В последние годы участились случаи съема информации, обрабатываемой в ТСПИ, путем установки в них электронных устройств перехвата информации - закладных устройств.
Электронные устройства перехвата информации, устанавливаемые в ТСПИ, иногда называют аппаратными закладками. Они представляют собой мини-передатчики, излучение которых модулируется информационным сигналом. Наиболее часто закладки устанавливаются в ТСПИ иностранного производства, однако возможна их установка и в отечественных средствах.
Перехваченная с помощью закладных устройств информация или непосредственно передается по радиоканалу, или сначала записывается на специальное запоминающее устройство, а уже затем по команде передается на запросивший ее объект. Схема канала утечки информации с использованием закладных устройств представлена на рис. 1.5.
Наводки электромагнитных излучений ТСПИ возникают при излучении элементами ТСПИ информационных сигналов, а также при наличии гальванической связи соединительных линий ТСПИ и посторонних проводников или линий ВТСС. Уровень наводимых сигналов в значительной степени зависит от мощности излучаемых сигналов, расстояния до проводников, а также длины совместного пробега соединительных линий ТСПИ и посторонних проводников.
Случайной антенной является цепь ВТСС или посторонние проводники, способные принимать побочные электромагнитные излучения.
Случайные антенны могут быть сосредоточенными и распределенными. Сосредоточенная случайная антенна представляет собой компактное техническое средство (например, телефонный аппарат). К распределенным случайным антеннам относятся кабели, провода, металлические трубы и другие токопроводящие коммуникации.
 Электромагнитные каналы утечки информации, обрабатываемой средствами вычислительной техники
В электромагнитных каналах утечки информации носителем информации являются электромагнитные излучения (ЭМИ), возникающие при обработке информации техническими средствами. Основными причинами возникновения электромагнитных каналов утечки информации в ТСОИ являются [1, 5, 9]:
побочные электромагнитные излучения, возникающие вследствие протекания информативных сигналов по элементам ТСОИ;
модуляция информативным сигналом побочных электромагнитных излучений высокочастотных генераторов ТСОИ (на частотах работы высокочастотных генераторов);
модуляция информативным сигналом паразитного электромагнитного излучения ТСОИ (например, возникающего вследствие самовозбуждения усилителей низкой частоты).
Побочным электромагнитным излучением (ПЭМИ) ТСОИ называется нежелательное радиоизлучение, возникающее в результате нелинейных процессов в блоках ТСОИ [3].
Побочные электромагнитные излучения возникают при следующих режимах обработки информации средствами вычислительной техники:
вывод информации на экран монитора;
ввод данных с клавиатуры;
запись информации на накопители;
чтение информации с накопителей;
передача данных в каналы связи;
вывод данных на периферийные печатные устройства - принтеры, плоттеры; запись данных от сканера на магнитный носитель и т.д.
При каждом режиме работы СВТ возникают ПЭМИ, имеющие свои характерные особенности. Диапазон возможных частот побочных электромагнитных излучений СВТ может составлять от 10 кГц до 2 ГГц.
Паразитным электромагнитным излучением ТСОИ называется побочное радиоизлучение, возникающее в результате самовозбуждения генераторных или усилительных блоков ТСОИ из-за паразитных связей [3]. Наиболее часто такие связи возникают за счёт случайных преобразований отрицательных обратных связей (индуктивных или ёмкостных) в паразитные положительные, что приводит к переводу усилителя из режима усиления в режим автогенерации сигналов. Частота автогенерации (самовозбуждения) лежит в пределах рабочих частот нелинейных элементов усилителей (например, полупроводниковых приборов). В ряде случаев паразитное электромагнитное излучение модулируется информативным сигналом(модуляцией называется процесс изменения одного или нескольких параметров электромагнитного излучения (например, амплитуды, частоты или фазы) в соответствии с изменениями параметров информативного сигнала, воздействующих на него [4]).
Рис. 4. Перехват побочных электромагнитных излучений (ПЭМИ)
средств вычислительной техники (СВТ)
техническими средствами разведки
побочных электромагнитных излучений (ТСР ПЭМИН)
Для перехвата побочных электромагнитных излучений СВТ используются специальные стационарные, перевозимые и переносимые приёмные устройства, которые называются техническими средствами разведки побочных электромагнитных излучений и наводок (ТСР ПЭМИН).
Типовой комплекс разведки ПЭМИ включает: специальное приёмное устройство, ПЭВМ (или монитор), специальное программное обеспечение и широкодиапазонную направленную антенну. В качестве примера на рис. 3 приведён внешний вид одного из таких комплексов [10].
Средства разведки ПЭМИ могут устанавливаться в близлежащих зданиях или машинах, расположенных за пределами контролируемой зоны объекта (рис. 4).
Наиболее опасным (с точки зрения утечки информации) режимом работы СВТ является вывод информации на экран монитора. Учитывая широкий спектр ПЭМИ видеосистемы СВТ (Fc > 100 МГц) и их незначительный уровень, перехват изображений, выводимых на экран монитора ПЭВМ, является довольно трудной задачей.
Дальность перехвата ПЭМИ современных СВТ, как правило, не превышает 30-50 м.
Качество перехваченного изображения значительно хуже качества изображения, выводимого на экран монитора ПЭВМ (рис. 5 [13]).
Особенно трудная задача - перехват текста, выводимого на экран монитора и написанного мелким шрифтом (рис. 6 [13]).
Рис. 5. Тестовое изображение, выведенное на экран монитора (а)
и изображение, перехваченное средством разведки ПЭМИ (б)
Рис. 6. Исходный текст, выведенный на экран монитора
(режим работыVGAмонитора 800*600 @75Hz,тактовая частотаFm= 49,5МГц,
размер букв 6x13 пикселей) (а) и текст, перехваченный
средством разведки ПЭМИ (Fпр = 200 МГц) (б)
В качестве показателя оценки эффективности защиты информации от утечки по техническим каналам используется вероятность правильного обнаружения информативного сигнала (P0) приёмным устройством средства разведки. В качестве критерия обнаружения наиболее часто используется критерий «Неймана-Пирсона». В зависимости от решаемой задачи защиты информации пороговое значение вероятности обнаружения информативного сигнала может составлять от 0,1 до 0,8, полученное при вероятности ложной тревоги от 10-3 до 10-5.
Рис.7. Схема технического канала утечки информации,
возникающего за счёт побочных электромагнитных излучений СВТ
(схема электромагнитного канала утечки информации)
Зная характеристики приёмного устройства и антенной системы средства разведки, можно рассчитать допустимое (нормированное) значение напряжённости электромагнитного поля, при котором вероятность обнаружения сигнала приёмным устройством средства разведки будет равна некоторому (нормированному) значению (P0 =РП).
Пространство вокруг ТСОИ, на границе и за пределами которого напряжённость электрической (Е) или магнитной (Н) составляющей электромагнитного поля не превышает допустимого (нормированного) значения (Е ≤ Еn; Н ≤ Нn, называется опасной зоной 2 (R2) [1, 7].
Зона R2 для каждого СВТ определяется инструментально-расчётным методом при проведении специальных исследований СВТ на ПЭМИ и указывается в предписании на их эксплуатацию или сертификате соответствия.
Таким образом, для возникновения электромагнитного канала утечки информации необходимо выполнение двух условий (рис.7):
первое - расстояние от СВТ до границы контролируемой зоны должно быть менее зоны R2 R < R2);
второе - в пределах зоны R2 возможно размещение стационарных или перевозимых (переносимых) средств разведки ПЭМИН.
Электрические каналы утечки информации
Причинами возникновения электрических каналов утечки информации являются наводки информативных сигналов, под которыми понимаются токи и напряжения в токо-проводящих элементах, вызванные побочными электромагнитными излучениями, ёмкостными и индуктивными связями.
Наводки информативных сигналов могут возникнуть:
в линиях электропитания ТСОИ;
в линиях электропитания и соединительных линиях ВТСС;
в цепях заземления ТСОИ и ВТСС;
в посторонних проводниках (металлических трубах систем отопления, водоснабжения, металлоконструкциях и т.д.).
В зависимости от причин возникновения наводки информативных сигналов можно разделить на [1, 5, 9]:
а) наводки информативных сигналов в электрических цепях ТСОИ, вызванные информативными побочными и (или) паразитными электромагнитными излучениями ТСОИ;
б) наводки информативных сигналов в соединительных линиях ВТСС и постороннихпроводниках, вызванные информативными побочными и (или) паразитными электромагнитными излучениями ТСОИ;
в) наводки информативных сигналов в электрических цепях ТСОИ, вызванные внутренними ёмкостными и (или) индуктивными связями («просачивание» информативных сигналов в цепи электропитания через блоки питания ТСОИ);
г) наводки информативных сигналов в цепях заземления ТСОИ, вызванные информативными ПЭМИ ТСОИ, а также гальванической связью схемной (рабочей) земли и блоков ТСОИ.
Рис. 8. Перехват наводок информативных сигналов с инженерных
коммуникаций техническим средством разведки ПЭМИН
Различные вспомогательные технические средства, их соединительные линии, а также линии электропитания, посторонние проводники и цепи заземления выполняют роль случайных антенн, при подключении к которым средств разведки возможен перехват наведённых информативных сигналов (рис. 8).
Случайные антенны могут быть сосредоточенными и распределёнными.
Сосредоточенная случайная антенна представляет собой компактное техническое средство (например, телефонный аппарат, громкоговоритель радиотрансляционной сети, датчик пожарной сигнализации и т.д.), подключённое к линии, выходящей за пределы контролируемой зоны.
К распределённым случайным антеннам относятся случайные антенны с распределёнными параметрами: кабели, провода, металлические трубы и другие токопроводя-щие коммуникации, выходящие за пределы контролируемой зоны. Уровень наводимых в них сигналов в значительной степени зависит не только от мощности излучаемых сигналов, но и расстояния до них от ТСОИ.
При распространении по случайной антенне наведённый информативный сигнал затухает. Коэффициент затухания информативного сигнала можно рассчитать или определить экспериментально. При известных коэффициенте усиления случайной антенны, её чувствительности и характеристиках приёмного устройства легко рассчитать значение наведённого информативного сигнала, при котором вероятность его обнаружения приёмным устройством средства разведки будет равна нормированному значению (Р0 =РП).
Пространство вокруг ТСОИ, на границе и за пределами которого уровень наведённого от ТСОИ информативного сигнала в сосредоточенных антеннах не превышает допустимого (нормированного) значения (U=Un), называется опасной зоной 1 (r1), а в распределённых антеннах - опасной зоной 1' (rl') [1, 7].
Рис. 9. Схема технического канала утечки информации,
возникающего за счёт наводок побочных электромагнитных излучений СВТ
в случайных антеннах (схема электрического канала утечки информации)
В отличие от зоны R2 размер зоны r1 (r1') зависит не только от уровня побочных электромагнитных излучений ТСОИ, но и от длины случайной антенны (от помещения, в котором установлено ТСОИ до места возможного подключения к ней средства разведки).
Зоны r1 и r1' для каждого СВТ определяются инструментально-расчётным методом, и их значения указываются в предписании на их эксплуатацию СВТ.
Для возникновения электрического канала утечки информации необходимо, чтобы (рис. 9):
соединительные линии ВТСС, линии электропитания, посторонние проводники и т.д., выполняющие роль случайных антенн, выходили за пределы контролируемой зоны объекта;
расстояние от СВТ до случайной сосредоточенной антенны было менее r1, а расстояние до случайной распределённой антенны было менее r1';
была возможность непосредственного подключения к случайной антенне за пределами контролируемой зоны объекта средств разведки ПЭМИН.
Появление информативных сигналов в цепи электропитания СВТ возможно как за счёт ПЭМИ, так и при наличии внутренних паразитных ёмкостных и (или) индуктивных связей выпрямительного устройства блока питания СВТ.
Наводки информативных сигналов в цепях заземления СВТ также могут быть обусловлены гальванической связью схемной (рабочей) земли и блоков СВТ.
В случае нахождения трансформаторной подстанции или заземлителя контура заземления за пределами контролируемой зоны объекта, при подключении к ним средства разведки ПЭМИН возможен перехват наведённых в них информативных сигналов (рис. 10).
Схемы технических каналов утечки информации, возникающих за счёт наводок информативных сигналов в линиях электропитания и заземления СВТ, приведены на рис. 11 и 12 соответственно.
Специально создаваемые технические каналы утечки информации
Наряду с пассивными способами перехвата информации, обрабатываемой СВТ, рассмотренными выше, возможно использование и активных способов, в частности, способа «высокочастотного облучения» (рис. 13 и 14), при котором СВТ облучается мощным высокочастотным гармоническим сигналом (для этих целей используется высокочастотный генератор с направленной антенной, имеющей узкую диаграмму направленности). При взаимодействии облучающего электромагнитного поля с элементами СВТ происходит модуляция вторичного излучения информативным сигналом. Переизлучённый сигнал принимается приёмным устройством средства разведки и детектируется.
Для перехвата информации, обрабатываемой СВТ, возможно также использование электронных устройств перехвата информации (закладных устройств), скрытно внедряемых в технические средства и системы (рис. 15).
Перехваченная с помощью закладных устройств информация или непосредственно передаётся по каналу связи на приёмный пункт, или записывается в специальное запоминающее устройство и передаётся только по команде управления.
Для передачи информации на приёмный пункт могут использоваться радиоканал, оптический (инфракрасный) канал или линии электропитания СВТ (рис. 16).
Рис. 10. Перехват информативных сигналов при подключении
средств разведки ПЭМИН к линиям электропитания и заземления СВТ
Рис. 11. Схема технического канала утечки информации,
возникающего за счёт наводок информативных сигналов
в линиях электропитания и заземления СВТ
Рис. 12. Схема технического канала утечки информации,
возникающего за счёт наводок информативных сигналов
в цепях заземления СВТ
Закладные устройства, внедряемые в СВТ, по виду перехватываемой информации можно разделить на [9]:
аппаратные закладки для перехвата изображений, выводимых на экран монитора;
аппаратные закладки для перехвата информации, вводимой с клавиатуры ПЭВМ;
аппаратные закладки для перехвата информации, выводимой на периферийные устройства (например, принтер);
аппаратные закладки для перехвата информации, записываемой на жёсткий диск ПЭВМ.
Аппаратные закладки для перехвата изображений, выводимых на экран монитора, состоят из блока перехвата и компрессии, передающего блока, блока управления и блока питания (преобразователя AC/DC). Они скрытно устанавливаются, как правило, в корпусе монитора (возможна установка закладки и в системном блоке ПЭВМ) и контактно подключаются к кабелю монитора.
Рис. 13. Перехват информации, обрабатываемой СВТ,
методом «высокочастотного облучения»
Рис. 14. Схема технического канала утечки информации,
создаваемого путём «высокочастотного облучения» СВТ
Перехваченная информация (видеоизображение) в цифровом виде передаётся по радиоканалу, линии электросети 220 В или выделенной линии на приёмный пункт, где перехваченное изображение восстанавливается и отображается на экране компьютера в реальном масштабе времени, создавая «копию» экрана, а дополнительная информация может записываться на жёсткий диск для дальнейшей обработки.
Блок дистанционного управления предназначен для приёма сигналов дистанционного включения и выключения закладного устройства и установления параметров работы передающего устройства.
Питание закладного устройства осуществляется от сети 220 В через блок питания.
Рис. 15. Перехват информации, обрабатываемой СВТ,
путём установки в них закладных устройств
Рис. 16. Схема технического канала утечки информации,
создаваемого путём внедрения в СВТ закладных устройств
Приёмный комплекс состоит из радиоприёмного устройства, модема, ПЭВМ типа notebook и специального программного обеспечения.
Аппаратные закладки для перехвата информации, вводимой с клавиатуры ПЭВМ, скрытно устанавливаются в корпусе клавиатуры или внутри системного блока и подключаются к интерфейсу клавиатуры. Они являются самыми распространёнными закладными устройствами и предназначены в основном для перехвата паролей пользователей и текстовых документов, набираемых с использованием ПЭВМ. Перехватываемая информация может или передаваться по радиоканалу, или записываться на flash-память.
Рис.17. Аппаратный кейлоггер с передачей информации по радиоканалуBE24:
а) аппаратная закладкаBE24Т, устанавливаемая в клавиатуру;
б) специальное приёмное устройствоBE24СК
Аппаратный кейлоггер с передачей информации по радиоканалу состоит из модуля перехвата, передающего или запоминающего блоков и блока управления. Питание кейлогге-ра осуществляется от интерфейса клавиатуры.
Модуль перехвата осуществляет перехват сигналов, передаваемых от клавиатуры в системный блок при нажатии клавиши. Перехваченные сигналы в цифровом виде передаются по радиоканалу на приёмный пункт, где в реальном масштабе времени восстанавливаются и отображаются на экране компьютера в виде символов, набираемых на клавиатуре.
Блок дистанционного управления предназначен для приёма сигналов дистанционного включения и выключения закладного устройства и установления параметров работы передающего устройства.
Приёмный комплекс состоит из радиоприёмного устройства, специального модемного модуля (модема), ПЭВМ типаnotebook и специального программного обеспечения.
Для передачи информации наиболее часто используется UHF - диапазон. Например, аппаратный кейлоггер KS-1работает на частоте 434,0005 МГц, а кейлоггер BE24 Т - в диапазоне частот от 300 до 306 МГц [11]. При передаче информации используется частотная манипуляция (FFSK) сигнала. Мощность передатчика может составлять от 1-20 мВт до 50-100 мВт, что обеспечивает передачу информации на дальности от 50 до 500 м и более.
Аппаратные кейлоггеры имеют небольшие размеры и весят несколько грамм. Например, кейлоггер BE24 Т имеет размеры 48x16x4 мм [11].
На рис. 17 представлен внешний вид аппаратного кейлоггера, осуществляющего передачу перехваченной информации по радиоканалу, и специального приёмного устройства, на рис.18 - схема его применения [11].
Некоторые аппаратные кейлоггеры для передачи информации используют канал Bluetooth. Внешний вид одного из таких кейлоггеров представлен на рис. 19 [15].
Аппаратные кейлоггеры, осуществляющие запись перехваченной информации на flash-память, состоят из датчика, осуществляющего перехват сигналов, передаваемых от клавиатуры в системный блок при нажатии клавиши, микроконтроллера и flash-памяти [12, 14].
Такие аппаратные кейлоггеры работают под управлением любой операционной системы. Они не требуют дополнительного питания (питание осуществляется от клавиатуры ПЭВМ). Запись информации осуществляется наflash-память объёмом от 64 кБ до 2 ГГб. При объёме памяти 1 МГб обеспечивается запись до 2000000 нажатий клавиш или 500 страниц текста. Записываемая на flash-память информация шифруется с использованием 128-битного ключа [12, 14].
Рис. 18. Перехват информации, вводимой с клавиатуры ПЭВМ,
аппаратным кейлоггером с передачей информации по радиоканалу
Рис.19. Аппаратный кейлоггерBTPS/2Extendedс передачей данных по каналуBlutooth:
а) - вид спереди; б) - вид сбоку
Кейлоггеры выпускаются в виде переходных разъёмов или удлинителей, подключаемых в разрыв кабелей, соединяющих клавиатуру и системный блок (рис. 20). Их установка не требует специальных навыков и может быть произведена в считанные секунды (рис. 21-23) [12, 14].
При наличии большого количества различных кабелей, подключённых к системному блоку ПЭВМ, обнаружить факт установки кейлоггера довольно трудно.
Аппаратные закладки для перехвата информации, выводимой на принтер, устанавливаются в корпусе принтера и по принципу работы аналогичны аппаратным закладкам, рассмотренным выше.
Аппаратные закладки для перехвата информации, записываемой на жёсткий диск ПЭВМ, являются наиболее сложными из рассмотренных выше. Они состоят из блока перехвата, блока обработки, передающего блока, блока управления и блока питания (преобразователя AC/DC). Они скрытно устанавливаются в системном блоке ПЭВМ и контактно подключаются через специальный блок перехвата к интерфейсу, соединяющему жёсткий диск с материнской платой. Перехватываемые сигналы поступают в блок специальной обработки, включающий специализированный процессор, где осуществляется их обработка по специальной программе. Файлы с заданным расширением (например, *.doc) записываются в оперативную или flash память. По команде управления записанная в памяти информация в цифровом виде по радиоканалу или сети 220 В передаётся на приёмный пункт, где в виде отдельных файлов записывается на жёсткий диск для дальнейшей обработки.
Рис. 20. Внешний вид аппаратных кейлоггеров,
осуществляющих запись перехваченной информации наflash-память
Рис. 21. Подключение кейлоггера, выполненного в виде переходного разъёма,
к четырехпроводному (PS/2) интерфейсу клавиатуры
Рис. 22. Подключение кейлоггера, выполненного в виде
переходного разъёма, кUSB-интерфейсу клавиатуры
Рис. 23. Подключение кейлоггера, выполненного в виде переходного разъёма сPS/2наUSBразъём (а)
и кейлоггера, выполненного в виде удлинителя кабеля клавиатуры, кUSB-разъёму системного блока
Питание закладного устройства осуществляется от сети 220 В через блок питания.
Приёмный комплекс состоит из радиоприёмного устройства, модема, ПЭВМ типа notebook и специального программного обеспечения.
Таким образом, перехват информации, обрабатываемой средствами вычислительной техники, может осуществляться путём:
перехвата побочных электромагнитных излучений, возникающих при работе СВТ;
перехвата наводок информативных сигналов с соединительных линий ВТСС и посторонних проводников;
перехвата наводок информативных сигналов с линий электропитания и заземления СВТ;
«высокочастотного облучения» СВТ; внедрения в СВТ закладных устройств.
|
|
|
Скачать 1.06 Mb.