Информационная безопастность. Практикум Ю. Ф. Каторин А. В. Разумовский А. И. Спивак 2013

3. Медленно перемещая антенный блок, параллельно обследуемой по- верхности и изменяя ориентацию антенн, проанализировать характер измене- ния принимаемого сигнала по второй и третьей гармоникам. (В режимах ЧМ и AM уровень громкости должен быть максимальным, в режиме "RSSI" ча- стота повторения щелчков должна быть максимальной).
4. Анализ уровней принимаемого отраженного сигнала по второй и тре- тьей гармоникам осуществляется по количеству зажженных светодиодов на соответствующей индикаторной шкале.
5. Удалите антенный блок от исследуемой поверхности или уменьшите выходную мощность и повторите измерения, изложенные в п. 3.
6. При обнаружении искусственного р-n перехода (МОМ структуры), как правило, наблюдается устойчивое свечение светодиодов индикатора по второй гармонике отраженного сигнала. При простукивании предполагаемого места нахождения р-н перехода, показания светодиодов не изменяются.
7. При обнаружении естественного р-н перехода, наблюдается устойчи- вое свечение светодиодов индикаторов по третьей гармонике отраженного сигнала. При интенсивном постукивании по исследуемой поверхности пока- зания индикаторов по третьей гармонике, как правило, изменяются.
Предложенная методика поиска не отражает всех нюансов, возникаю- щих в конкретных случаях, и носит рекомендательный характер.
Методика проведения осмотра помещений
1.
Некоторые общие рекомендации по поиску устройств негласного
съема информации
Всю процедуру поиска можно условно разбить на несколько этапов:
• подготовительный этап;
• физический поиск и визуальный осмотр;
• обнаружение радио-закладных устройств;
• выявление технических средств с передачей информации по токоведу- щим линиям;
• обнаружение ЗУ с передачей информации по ИК-каналу;
• проверка наличия акустических каналов утечки информации.
Подготовительный этап
Предназначен для определения глубины поиска, а также формирования перечня и порядка проводимых мероприятий Он включает в себя следующие элементы:
1.
Оценку возможного уровня используемых технических средств.
Объем проводимых мероприятий существенным образом зависит от то- го, в чьих интересах они проводятся.
72

2.
Анализ степени опасности, исходящей от своих сотрудников и пред- ставителей соседних организаций.
Хороший способ проверки — организация контролируемой утечки ин- формации. Это может быть сделано посредством «случайного» присутствия по стороннего человека, «забытого» документа или другим доступным спо- собом.
Оценку возможности доступа посторонних лиц в помещения.
Изучение истории здания, в котором планируется проводить поисковые мероприятия.
Оценивается возможность установки закладок как во время строитель- ства, так и оставления их в наследство от предыдущих обитателей.
Определение уровня поддерживаемой безопасности в соответствии с экономическими возможностями и степенью желания заказчика, а также фак- тической необходимостью.
Выработку плана действий, который должен отвечать следующим условиям:
• время поиска должно приходиться на рабочие часы, когда ЗУ активизи- рованы;
• должны быть созданы условия, провоцирующие к действию возможно внедренные «жучки», поскольку в них могут быть использованы как схе- мы VOX, включающие устройства только при определенном уровне аку- стического сигнала, так и системы дистанционного управления (проведе- ние фиктивных, но правдоподобных деловых переговоров — хороший по- вод, чтобы побудить противоположную сторону активизировать свои устройства);
• должна быть обеспечена скрытность проводимых мероприятий — если есть необходимость ведения своей «контрразведывательной» игры, то сле- дует помнить, что разговоры с коллегами и заказа ком, приход, разверты- вание аппаратуры, характерный шум поиска раскрывают содержание и ре- зультат проводимых мероприятий;
• неожиданность — поиск следует проводить регулярно, но через слу- чайные промежутки времени.
Физический поиск и визуальный осмотр
Физический поиск и визуальный осмотр является важным элементом выявления средств негласного съема информации, особенно таки как провод- ные и волоконно-оптические микрофоны, пассивные и полуактивные радио- закладные устройства, дистанционно управляемые «ждущие» устройства и другие технические средства, которые невозможно обнаружить с помощью обычной аппаратуры.
73

ПОМНИТЕ: физический поиск является базой для любой поисковой методики. Будьте предельно внимательны, смотрите тщательно!
Проведение поисковых мероприятий следует начинать с подготовки помещения, подлежащего проверке.
1.
Необходимо закрыть все окна и занавески для исключения визуаль- ного контакта.
2.
Включить свет и все обычные офисные устройства, характерные для данного помещения.
3.
Включить источник «известного звука» (тестового акустического сигнала) в центре зоны контроля. Во время поиска он будет выполнять важ- ные функции: маскировать большинство шумов, производимых во время фи- зического поиска; работать как источник для звуковой обратной связи, необ- ходимой для выявления радио-микрофонов; активизировать устройства, оснащенные системой VOX. Источник «известного звука» не должен насто- раживать противоположную сторону, следовательно, это может быть любой кассетный или CD-плейер. Необходимо только помнить, что лучшие резуль- таты достигаются при использовании аппаратуры средних размеров. Это объ- ясняется оптимальными размерами громкоговорителя. Выберите наиболее уместную в данной ситуации запись, будь то музыка, бизнес-семинар или курс самообучения. Подберите соответствующую длительность, поскольку качественный поиск может занять много часов.
Примечание: в качестве источника «известного звука» не рекомендует- ся использовать радиоприемник, поскольку эту же станцию может поймать и ваша поисковая аппаратура, что может привести к ошибке и радиостанция будет зафиксирована как нелегальный радиопередатчик.
4.
За пределами зоны контроля (в незащищенной комнате/зоне) как можно более бесшумно разверните вашу аппаратуру. Незащищенная зона — это место, которое не вызывает интереса у противоположной стороны и не контролируется ею, поэтому ваши действия останутся скрытыми.
5.
Установите обычный уровень радиоизлучения окружающей среды перед поиском в зоне контроля.
Основные процедуры поиска.
Визуально, а также с помощью средств видеонаблюдения и металлоде- текторов, обследуйте все предметы в зоне контроля, размеры которых доста- точно велики для того, чтобы можно было разместить в них технические средства негласного съема информации. Тщательно осмотрите и вскройте, в случае необходимости, все настольные приборы, рамы картин, телефоны, цветочные горшки, книги, питаемые от сети устройства (компьютеры, ксе- роксы, радиоприемники и т. д.).
74

Для поиска скрытой проводки обследуйте плинтуса и поднимите ков- ровые покрытия. Тщательно осмотрите потолочные панели, а также все устройства, содержащие микрофоны, магнитофоны и камеры.
С особой тщательностью обследуйте места, где ведутся наиболее важ- ные переговоры (обычно это стол с телефоном). Большинство нелегальных устройств располагаются в радиусе 7 м от этого места для обеспечения наилучшей слышимости и (или) видимости.
Если вы при этом используете нелинейный радиолокатор, то скрупу- лезно выполняйте требования его инструкции на эксплуатацию.
Особо следует обратить внимание на проверку телефонных линий, се- тей пожарной и охранной сигнализации. Следует обязательно разобрать те- лефонный аппарат, розетки и датчики и искать детали, непохожие на обыч- ные, с разноцветными проводами и спешной или неаккуратной установкой.
Затем осмотрите линию от аппарата (датчика) до стены и, удалив стенную панель, проверьте, нет ли за ней нестандартных деталей.
Проведите физический поиск в коммутационных панелях и коммуни- кационных каналах, в случае необходимости используйте эндоскопические и портативные телевизионные средства видеонаблюдения. Проверьте места входа/выхода проводов внутри и снаружи здания.
С целью облегчения последующих поисковых мероприятий после за- вершения всех работ скрытно пометьте шурупы на стенных панелях, сетевых розетках, телефонных корпусах и других местах, куда могут быть ус- тановлены закладки. Тогда при проведении повторных проверок видимые в ультрафиолетовых лучах метки покажут нарушение целостности ранее об- следованного объекта, если оно имело место, а соответствующие записи в вашем журнале проверок помогут сориентироваться в будущей работе. Для контроля изменений в окружающих устройствах очень удобны ультрафиоле- товые маркеры.
При проведении поиска ЗУ в автомобиле тщательно осмотрите не толь- ко салон, но и раму автомашины, багажник и т. п., внимательно проверьте цепи, имеющие выход на автомобильную антенну. При проведении этих опе- раций досмотровые портативные телевизионные системы также могут ока- заться очень полезными.
2.
Выявление радио-закладных устройств
Процедура поиска начинается с формирования опорной панорамы, ко- торая представляет собой совокупность частот и амплитуд легальных источ- ников (их амплитудных спектров). Она может строиться как вручную, так и автоматически, так как практически все современные программно- аппаратные комплексы оснащены этой функцией. Частотная область, в кото-
75

рой будет осуществляться поиск радио-закладок ограничивается практически только возможностями применяемых приемников, но должна как минимум перекрывать диапазон 50... 1000 МГц. Раздвигать эти границы шире, чем от
300 кГц до 10 000 МГц вряд ли целесообразно.
Однако надо помнить, что применение опорной панорамы может по- служить и причиной серьезных ошибок, приводящих в конечном итоге к про- пуску излучения радиозакладок. Поэтому при использовании априорной ин- формации о загрузке эфира необходимо учитывать следующие факторы:
• опорная панорама должна строиться на расстоянии от проверяемого помещения, существенно превышающем оперативную дальность приема излучения закладки (то есть на удалении не менее 2—3 км от контролиру- емого объекта), что позволит избежать ситуации, когда мощное ЗУ будет принято за легальный источник;
• существует целая серия ЗУ, специально маскируемых под вещательные станции или устройства сотовой связи и работающих с небольшой от- стройкой от них по частоте.
В качестве примерной последовательности производимых действий по выявлению радио-закладок можно порекомендовать следующий порядок.
1.
Разместите прибор в центре контролируемого помещения, установи- те антенну, оденьте наушники.
2.
Установите регулировки в такое положение, чтобы индикаторный прибор показывал среднее значение.
3.
Выключите все приборы и свет в зоне контроля и близ нее и посмот- рите, не изменились ли показания индикатора. Иногда обычная флуоресцент- ная лампа создает очень сильное радиоизлучение, в таком случае она должна быть выключена или удалена из комнаты. Если изменения в показаниях ин- дикатора не могут быть вызваны такими явными причинами, то это означает реальное подозрение на «жучок».
4.
Повращайте антенну в вертикальной и (или) горизонтальной плоско- сти (в зависимости от ее вида). Следите за показаниями индикатора, они бу- дут меняться в зависимости от положения антенны.
5.
Выделите направление с максимальным уровнем подозрительного излучения.
Идентификацию подозрительного сигнала как излучения радио- закладки проводите в соответствии с возможностями вашей аппаратуры. Это может быть:
• прием переизлученного «известного звука» (тестового сигнала);
• изменение в опорной панораме;
• наличие большого уровня гармоник; резкое изменение уровня при пе- ремещении антенны и т. п. (см. признаки излучений радио-закладок).
76

6.
Обследуйте все объекты, в которых могут быть спрятаны радио- закладки, например, с помощью индикатора поля, сканирующего приемника, программно-аппаратного комплекса.
Примечание: иногда обнаруживается ложный источник сигнала, «ви- сящий» где-то в воздухе — это значит, что реальный источник рядом. Про- должайте поиск.
7. После обнаружения сигнала радио-закладки следует локализовать зону с повышенным уровнем этого излучения, отслеживая его по индикатору.
Для этой процедуры применяется «ходьба по кругу», которая позволяет очер- тить «горячую» зону.
Нельзя прерывать режим скрытности после обнаружения «жучка», так как ЗУ может быть несколько. Это делается для улучшения качества приема и резервирования. Если противоположная сторона знает о ваших подозрениях на прослушивание, то она может специально поставить одну или несколько легко обнаруживаемых закладок, чтобы убедить вас в успехе проведенного поиска и прекратить дальнейшие усилия. Если закладка оснащена приемни- ком сигналов дистанционного управления, то нарушение режима скрытности приведет к немедленному отключению устройства, а, следовательно, к усложнению поиска и, возможно, снижению его эффективности.
Примечание: в некоторых случаях увеличение уровня принимаемого подозрительного сигнала связано с приближением не к истинному, а к мни- мому источнику, что может быть следствием, например, явления интерфе- ренции; характерным признаком излучений скрыто установленных телевизи- онных камер является изменение характеристик принимаемого сигнала при изменении уровня освещенности (включения/выключения света в помеще- нии).
Проверка элементов телефонных линий на наличие излучений радио- закладок, как правило, осуществляется по изменению уровня сигнала на вхо- де приемника контроля в момент поднятия трубки. Если в линии установлено радио-закладное устройство, то процесс поднятия трубки сопровождается существенным изменением уровня принимаемого излучения, кроме того в наушниках прослушивается тональный сигнал номеронабирателя либо дру- гой тестовый сигнал. В «чистой» линии имеет место только кратковременный скачок излучения в момент поднятия трубки (в наушниках слышен короткий щелчок), а тональный набор не прослушивается.
Для обеспечения благоприятных условий проверки целесообразно ан- тенну приемника контроля держать как можно ближе к элементам телефон- ной сети — проводу, аппарату, трубке, распределительной коробке и т. д., по- следовательно перемещая ее от одной точки контроля к другой.
77

Однако не всегда наличие теста в радиосигнале свидетельствует о рабо- те подслушивающих устройств. Вполне возможно, что причиной являются и паразитные электромагнитные излучения (ПЭМИ) самого телефонного аппа- рата, связанные с эффектом самовозбуждения его усилительных каскадов.
Для выявления физической природы обнаруженных излучений целесообразно использовать приемные устройства с частотным диапазоном 10 кГц... 30
МГц, так как именно в нем сосредоточена наибольшая мощность ПЭМИ. При этом необходимо контролировать не только электрическую, но и магнитную составляющую поля. Для этого могут быть использованы специальные элек- трические (например, НЕ 010, НЕ 0137015, HFH 2Z1), магнитные (HFH 2-Z3,
HFH 2-
Z2) или комбинированные (FMA-11) антенны.
Наличие радио-закладных устройств с непосредственным подключени- ем к телефонной линии эффективно можно обнаруживать и с использованием стандартных анализаторов телефонных линий. Единственное неудобство – необходимость предварительного обесточивания проверяемой линии.
В автомобиле наряду с обычными радио-микрофонами могут быть установлены и так называемые бамперные жучки — специальные техниче- ские средства для слежения за перемещением автомобиля с выходной мощ- ностью 100 мВт... 5 Вт в импульсном режиме. Поэтому выявление возможно внедренных устройств должно начинаться с их активизации. С этой целью необходимо:
• разместить в салоне источник «известного звука» (тестового сигнала), так как оба вида ЗУ могут быть снабжены системами VOX;
• воссоздать условия, соответствующие реальной эксплуатации – авто- мобиль нужно завести, разогнать, затормозить и т. д.
И тогда по изменению уровня фона на удалении нескольких метров от транспортного средства можно сделать вывод о наличии ЗУ.
3
. Выявление закладных устройств, с передачей информации по
токоведущим линиям и ИК-каналу
Обнаружение ЗУ с передачей информации по токоведущим линиям
Проверка токоведущих линий осуществляется с использованием специ- альных адаптеров, позволяющих подключаться к различным линиям, в том числе и находящихся под напряжением до 300—400 В.
Поиск необходимо производить в частотном диапазоне 50... 300 кГц.
Это обусловлено тем, что:
• с одной стороны, на частотах ниже 50 кГц в сетях электропитания отно- сительно высок уровень помех от бытовой техники и промышленного оборудования, а также затруднена фильтрация 220 В;
78

• с другой стороны, на частотах выше 300 кГц наблюдается существен- ное затухание сигнала в линии, а сами провода начинают работать как ан- тенны, излучающие сигнал в окружающее пространство, поэтому устрой- ства с частотами передачи 300 кГц и выше будут выявлены уже на этапе поиска радио-закладок.
К сожалению, некоторое оборудование, питаемое от сети, может произ- водить характерный низкочастотный шум, который может быть принят за ис- комый сигнал «жучка», поэтому в сомнительных случаях необходимо по оче- реди отключать все питаемые устройства, чтобы определить источник такого шума.
Примечание: регуляторы освещенности и дефектные флуоресцентные лампы также могут давать низкочастотный шум, который может быть устра- нен удалением такой лампы или выставлением регулятора на максимум.
Применение полосового фильтра звукового диапазона также поможет уменьшить уровень шума. Однако простое выключение всей шумящей цепи
недопустимо, так как этим можно выключить и закладное устройство!