- •Методы и средства защиты информации
- •Российская разведка
- •Радиоразведка во время Второй мировой войны
- •Разведка конца ХХ века
- •Советские спецслужбы
- •КГБ СССР
- •ГРУ ГШ ВС СССР
- •Спецслужбы США
- •РУМО (DIA)
- •НУВКР (NRO)
- •НАГК (NIMA)
- •Спецслужбы Израиля
- •Моссад
- •Аман
- •Спецслужбы Великобритании
- •MI5 (Security Service)
- •ЦПС (GCHQ)
- •Спецслужбы ФРГ
- •Спецслужбы Франции
- •ДГСЕ (DGSE)
- •Роль средств технической разведки в XXI веке
- •Сигнал и его описание
- •Сигналы с помехами
- •Излучатели электромагнитных колебаний
- •Низкочастотные излучатели
- •Высокочастотные излучатели
- •Оптические излучатели
- •Образование радиоканалов утечки информации
- •Оценка электромагнитных полей
- •Аналитическое представление электромагнитной обстановки
- •Обнаружение сигналов в условиях воздействия непреднамеренных помех
- •Оценка параметров сигналов в условиях воздействия непреднамеренных помех
- •Физическая природа, среда распространения и способ перехвата
- •Заходовые методы
- •Перехват акустической информации с помощью радиопередающих средств
- •Перехват акустической информации с помощью ИК передатчиков
- •Закладки, использующие в качестве канала передачи акустической информации сеть 220 В и телефонные линии
- •Диктофоны
- •Проводные микрофоны
- •“Телефонное ухо”
- •Беззаходовые методы
- •Аппаратура, использующая микрофонный эффект телефонных аппаратов
- •Аппаратура ВЧ навязывания
- •Стетоскопы
- •Лазерные стетоскопы
- •Направленные акустические микрофоны (НАМ)
- •Физические преобразователи
- •Характеристики физических преобразователей
- •Виды акустоэлектрических преобразователей
- •Индуктивные преобразователи
- •Микрофонный эффект электромеханического звонка телефонного аппарата
- •Микрофонный эффект громкоговорителей
- •Микрофонный эффект вторичных электрочасов
- •Паразитные связи и наводки
- •Паразитные емкостные связи
- •Паразитные индуктивные связи
- •Паразитные электромагнитные связи
- •Паразитные электромеханические связи
- •Паразитные обратные связи через источники питания
- •Утечка информации по цепям заземления
- •Радиационные и химические методы получения информации
- •Классификация каналов и линий связи
- •Взаимные влияния в линиях связи
- •Виды и природа каналов утечки информации при эксплуатации ЭВМ
- •Анализ возможности утечки информации через ПЭМИ
- •Способы обеспечения ЗИ от утечки через ПЭМИ
- •Механизм возникновения ПЭМИ средств цифровой электронной техники
- •Техническая реализация устройств маскировки
- •Устройство обнаружения радиомикрофонов
- •Обнаружение записывающих устройств (диктофонов)
- •Физические принципы
- •Спектральный анализ
- •Распознавание событий
- •Многоканальная фильтрация
- •Оценка уровня ПЭМИ
- •Метод оценочных расчетов
- •Метод принудительной активизации
- •Метод эквивалентного приемника
- •Методы измерения уровня ПЭМИ
- •Ближняя зона
- •Дальняя зона
- •Промежуточная зона
- •Средства проникновения
- •Устройства прослушивания помещений
- •Радиозакладки
- •Устройства для прослушивания телефонных линий
- •Методы и средства подключения
- •Методы и средства удаленного получения информации
- •Дистанционный направленный микрофон
- •Системы скрытого видеонаблюдения
- •Акустический контроль помещений через средства телефонной связи
- •Перехват электромагнитных излучений
- •Классификация
- •Локальный доступ
- •Удаленный доступ
- •Сбор информации
- •Сканирование
- •Идентификация доступных ресурсов
- •Получение доступа
- •Расширение полномочий
- •Исследование системы и внедрение
- •Сокрытие следов
- •Создание тайных каналов
- •Блокирование
- •Помехи
- •Намеренное силовое воздействие по сетям питания
- •Технические средства для НСВ по сети питания
- •Вирусные методы разрушения информации
- •Разрушающие программные средства
- •Негативное воздействие закладки на программу
- •Сохранение фрагментов информации
- •Перехват вывода на экран
- •Перехват ввода с клавиатуры
- •Перехват и обработка файловых операций
- •Разрушение программы защиты и схем контроля
- •Показатели оценки информации как ресурса
- •Классификация методов и средств ЗИ
- •Семантические схемы
- •Некоторые подходы к решению проблемы ЗИ
- •Общая схема проведения работ по ЗИ
- •Классификация технических средств защиты
- •Технические средства защиты территории и объектов
- •Акустические средства защиты
- •Особенности защиты от радиозакладок
- •Защита от встроенных и узконаправленных микрофонов
- •Защита линий связи
- •Методы и средства защиты телефонных линий
- •Пассивная защита
- •Приборы для постановки активной заградительной помехи
- •Методы контроля проводных линий
- •Защита факсимильных и телефонных аппаратов, концентраторов
- •Экранирование помещений
- •Защита от намеренного силового воздействия
- •Защита от НСВ по цепям питания
- •Защита от НСВ по коммуникационным каналам
- •Основные принципы построения систем защиты информации в АС
- •Программные средства защиты информации
- •Программы внешней защиты
- •Программы внутренней защиты
- •Простое опознавание пользователя
- •Усложненная процедура опознавания
- •Методы особого надежного опознавания
- •Методы опознавания АС и ее элементов пользователем
- •Проблемы регулирования использования ресурсов
- •Программы защиты программ
- •Защита от копирования
- •Программы ядра системы безопасности
- •Программы контроля
- •Основные понятия
- •Немного истории
- •Классификация криптографических методов
- •Требования к криптографическим методам защиты информации
- •Математика разделения секрета
- •Разделение секрета для произвольных структур доступа
- •Определение 18.1
- •Линейное разделение секрета
- •Идеальное разделение секрета и матроиды
- •Определение 18.3
- •Секретность и имитостойкость
- •Проблема секретности
- •Проблема имитостойкости
- •Безусловная и теоретическая стойкость
- •Анализ основных криптографических методов ЗИ
- •Шифрование методом подстановки (замены)
- •Шифрование методом перестановки
- •Шифрование простой перестановкой
- •Усложненный метод перестановки по таблицам
- •Усложненный метод перестановок по маршрутам
- •Шифрование с помощью аналитических преобразований
- •Шифрование методом гаммирования
- •Комбинированные методы шифрования
- •Кодирование
- •Шифрование с открытым ключом
- •Цифровая подпись
- •Криптографическая система RSA
- •Необходимые сведения из элементарной теории чисел
- •Алгоритм RSA
- •Цифровая (электронная) подпись на основе криптосистемы RSA
- •Стандарт шифрования данных DES
- •Принцип работы блочного шифра
- •Процедура формирования подключей
- •Механизм действия S-блоков
- •Другие режимы использования алгоритма шифрования DES
- •Стандарт криптографического преобразования данных ГОСТ 28147-89
- •Аналоговые скремблеры
- •Аналоговое скремблирование
- •Цифровое скремблирование
- •Критерии оценки систем закрытия речи
- •Классификация стеганографических методов
- •Классификация стегосистем
- •Безключевые стегосистемы
- •Определение 20.1
- •Стегосистемы с секретным ключом
- •Определение 20.2
- •Стегосистемы с открытым ключом
- •Определение 20.3
- •Смешанные стегосистемы
- •Классификация методов сокрытия информации
- •Текстовые стеганографы
- •Методы искажения формата текстового документа
- •Синтаксические методы
- •Семантические методы
- •Методы генерации стеганограмм
- •Определение 20.4
- •Сокрытие данных в изображении и видео
- •Методы замены
- •Методы сокрытия в частотной области изображения
- •Широкополосные методы
- •Статистические методы
- •Методы искажения
- •Структурные методы
- •Сокрытие информации в звуковой среде
- •Стеганографические методы защиты данных в звуковой среде
- •Музыкальные стегосистемы
Разрушающие программные средства 243
•проявления звуковых или визуальных эффектов (например, “осыпание символов” на экране, замедление перерисовки объектов на экране, воспроизведение мелодии и т.п.);
•имитации аппаратных отказов;
•сообщений антивирусных средств.
Наиболее распространенным разрушительным действием вируса является уничтожение информации (программ и данных). К сожалению, простого метода восстановления удаленных файлов в такой операционной системе, как MS DOS, не существует, хотя принципиально возможно восстановить файл путем просмотра всего дискового пространства с помощью специальных средств.
Труднее обнаружить не уничтожение, а изменение содержимого файла. Такие действия вируса особенно опасны, так как файлы могут быть существенно искажены, но заметить это удается слишком поздно. Например, вирус может заменить в файле данных все символы “5” на символы “7”. В этом случае искажение файла вызовет самые тяжелые последствия. Даже если такие искажения будут сразу обнаружены, потребуется значительное время, прежде чем эти данные можно будет снова нормально использовать. Вирусом могут быть вызваны изменения в программах, что порождает различные ошибки, сбои или отказы в работе программного обеспечения. Посредством изменения вирус способен разрушить аппаратные средства.
Примером таких действий являются следующие события:
•интенсивное использование плохо охлаждаемого элемента конструкции для вывода его из строя или возгорания в результате перегрева;
•“прожигание” пятна на экране;
•нарушение работы периферийного оборудования, в результате задания ему неправильных режимов функционирования;
•низкоуровневое изменение системных областей жесткого диска, вследствие чего диск невозможно восстановить без специального оборудования.
Важно иметь в виду, что вирус поражает определенные объекты, вторично их (как правило) не заражая, но зараженный объект сам становится источником информации.
Разрушающие программные средства
Программными закладками называются своеобразные программы, использующие вирусную технологию скрытного внедрения, распространения и активизации. Однако, в отличие от вирусов, которые просто уничтожают информацию, программные закладки, прежде всего, предназначены для ее несанкционированного скрытного получения. Типичная программная закладка может, например, сохранять вводимую с клавиатуры информацию (в том числе и пароли) в нескольких зарезервированных для этого секторах, а затем пересылать накопленные данные по сети на компьютер злоумышленника.
Программные закладки можно классифицировать по методу и месту их внедрения и применения (т.е. по способу доставки в систему).
244 Глава 14. Методы и средства разрушения информации
1.Закладки, ассоциированные с программно-аппаратной средой.
2.Закладки, ассоциированные с программами первичной загрузки.
3.Закладки, ассоциированные с загрузкой драйверов, командного интерпретатора, сетевых драйверов, т.е. с загрузкой операционной среды.
4.Закладки, ассоциированные с прикладным программным обеспечением общего назначения (встроенные клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты и оболочки).
5.Используемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа BAT).
6.Модули-имитаторы, совпадающие с некоторыми программами, требующими ввода конфиденциальной информации (по внешнему виду).
7.Закладки, маскируемые под программные средства оптимизационного назначения (архиваторы, ускорители и т.д.).
8.Закладки, маскируемые под программные средства игрового и развлекательного назначения (как правило, используются для первичного внедрения закладок типа “исследователь”).
Для того чтобы закладка смогла выполнить какие-либо функции, она должна получить управление, т.е. процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки. Это возможно только при одновременном выполнении двух условий:
•закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки, следовательно, она должна быть загружена раньше или одновременно с этой программой;
•закладка должна активизироваться по некоторому общему, как для закладки, так и для программы, событию, т.е. при выполнении ряда условий в аппаратнопрограммной среде управление должно быть передано на программу-закладку.
Это достигается путем анализа и обработки закладкой общих для закладки и прикладной программы воздействий (как правило, прерываний). Причем выбираются прерывания, которые наверняка используются прикладной программой или операционной системой. В качестве таких прерываний можно выделить:
•прерывания от системного таймера;
•прерывания от внешних устройств;
•прерывания от клавиатуры;
•прерывания при работе с диском;
•прерывания операционной среды (в том числе прерывания для работы с файлами и запуска выполняемых модулей).
Впротивном случае активизации кода закладки не произойдет, и он не сможет оказать какого-либо воздействия на работу программы ЗИ.
Разрушающие программные средства 245
Кроме того, возможны случаи, когда при запуске программы (в этом случае активизирующим событием является запуск программы) закладка разрушает некоторую часть кода программы, уже загруженной в оперативную память, и, возможно, систему контроля целостности кода или контроля иных событий и на этом заканчивает свою работу.
Таким образом, можно выделить следующие типы закладок.
1.Резидентная — находится в памяти постоянно с некоторого момента времени до окончания сеанса работы ПЭВМ (выключения питания или перегрузки).
Закладка может быть загружена в память при начальной загрузке ПЭВМ, загрузке операционной среды или запуске некоторой программы (которая по традиции называется вирусоносителем), а также запущена отдельно.
2.Нерезидентная — начинает работу по аналогичному событию, но заканчивают ее самостоятельно по истечению некоторого промежутка времени или некоторому событию, при этом выгружая себя из памяти целиком.
Несанкционированная запись закладкой может происходить:
•в массив данных, не совпадающий с пользовательской информацией (хищение информации);
•в массив данных, совпадающий с пользовательской информацией и ее подмножества (искажение, уничтожение или навязываниеинформации закладкой).
Следовательно, можно рассматривать три основные группы деструктивных функций, которые могут выполняться закладками:
•сохранение фрагментов информации, возникающей при работе пользователя, прикладных программ, вводе/выводе данных, на локальном или сетевом диске;
•разрушение функций самоконтроля или изменение алгоритмов функционирования прикладных программ;
•навязывание некоторого режима работы (например, при уничтожении информации
— блокирование записи на диск без уничтожения информации), либо навязывание посторонней информации вместо полезной информации при записи последней на диск.
Негативное воздействие закладки на программу
Классификация закладок по негативным воздействиям, которые они могут оказывать на прикладные программы, приведена в табл. 14.1.
Таблица 14.1. Классификация закладок по негативным воздействиям
Несанкционирован- |
|
Операции, выпол- |
|||
ные операции, вы- |
|
няемые прикладной |
|||
полняемые закладкой |
Действие |
программой (ПП) |
|||
Тип |
Считы- |
За- |
|
Считы- |
Запись |
|
вание |
пись |
|
вание |
|
1 |
0 |
0 |
нет |
0 |
0 |
246 Глава 14. Методы и средства разрушения информации
2 |
0 |
0 |
нет |
|
0 |
1 |
3 |
0 |
0 |
нет |
|
1 |
0 |
4 |
0 |
0 |
нет |
|
1 |
1 |
5 |
0 |
1 |
разрушение кода ПП в опера- |
0 |
0 |
|
|
|
|
тивной памяти (ОП) |
|
|
|
6 |
0 |
1 |
разрушение или |
сохранение |
0 |
1 |
|
|
|
выводимых данных |
|
|
|
7 |
0 |
1 |
разрушение или |
сохранение |
1 |
0 |
|
|
|
вводимых данных |
|
|
|
8 |
0 |
1 |
разрушение или |
сохранение |
1 |
1 |
|
|
|
вводимых и выводимых дан- |
|
|
|
|
|
|
ных |
|
|
|
9 |
1 |
0 |
нет |
|
0 |
0 |
10 |
1 |
0 |
перенос выводимых данных в |
0 |
1 |
|
|
|
|
ОП |
|
|
|
11 |
1 |
0 |
перенос вводимых данных в |
1 |
0 |
|
|
|
|
ОП |
|
|
|
12 |
1 |
0 |
перенос вводимых и выводи- |
1 |
1 |
|
|
|
|
мых данных в ОП |
|
|
|
13 |
1 |
1 |
размножение |
|
0 |
0 |
14 |
1 |
1 |
разрушение или |
сохранение |
0 |
1 |
|
|
|
выводимых данных |
|
|
|
15 |
1 |
1 |
разрушение или |
сохранение |
1 |
0 |
|
|
|
вводимых данных |
|
|
|
16 |
1 |
1 |
разрушение или |
сохранение |
1 |
1 |
|
|
|
вводимых и выводимых дан- |
|
|
|
|
|
|
ных |
|
|
|
Сохранение фрагментов информации
В этом случае можно выделить три основные причины потенциально возможного нарушения безопасности системы “пользователь — система защиты — данные”:
•вывод информации на экран;
•вывод информации в файл или иное внешнее устройство;
•ввод информации с клавиатуры.
Сохранение фрагментов вводимой и выводимой информации можно представить так. Программа выделяет себе в оперативной памяти некоторую информационную область, где помещается информация для обработки (как правило, доступная для непосредственного считывания: область экрана, клавиатурный буфер). Закладка определяет адрес ин-