Электромагнитные каналы утечки информации

В электромагнитных каналах утечки информации носителем информации являются различного вида побочные электромагнитные излуче­ния (ПЭМИ), возникающие при ра­боте технических средств, а именно:
• побочные электромагнитные из­лучения, возникающие вследствие протекания по элементам ТСОИ и их соединительным линиям пе­ременного электрического тока;
• побочные электромагнитные из­лучения на частотах работы высо­кочастотных генераторов, входя­щих в состав ТСОИ;
• побочные электромагнитные из­лучения, возникающие вследствие паразитной генерации в элементах ТСОИ.
В некоторых ТСОИ (например, системах звукоусиления) носителем информации является электричес­кий ток, параметры которого (сила тока, напряжение, частота и фаза) изменяются по закону изменения информационного речевого сигна­ла. При протекании электрическо­го тока по токоведущим элементам ТСОИ и их соединительным лини­ям в окружающем их пространстве возникает переменное электричес­кое и магнитное поле. В силу этого элементы ТСОИ можно рассматри­вать как излучатели электромагнит­ного поля, модулированного по за­кону изменения информационного сигнала.
Инициаторами возникновения ПЭМИ могут являться различного рода высокочастотные генераторы, например: задающие генераторы, ге­нераторы тактовой частоты, генера­торы стирания и подмагничивания магнитофонов, гетеродины радиоприемных и телевизионных уст­ройств, генераторы измерительных приборов и т. д.
Наиболее характерные ПЭМИ, вызванные работой генераторов так­товой частоты, можно наблюдать у средств вычислительной техники (СВТ). Побочные электромагнит­ные излучения возникают при сле­дующих режимах обработки инфор­мации средствами вычислительной техники:
• выводе информации на экран мо­нитора;
• вводе данных с клавиатуры;
• записи информации на накопи­тели;
• чтении информации с накопите­лей;
• передаче данных в каналы связи;
• выводе данных на периферийные печатные устройства - принтеры, плоттеры;
• записи данных от сканера на ма­гнитный носитель (ОЗУ).
Наиболее опасным (с точки зре­ния утечки информации) режимом работы СВТ является вывод инфор­мации на экран монитора, поэтому рассмотрим его более подробно [1,4].
В формировании видеоизобра­жения на экране монитора участву­ет видеоподсистема, которая состо­ит из двух основных частей: мони­тора и видеоадаптера (часто видео­адаптер называют видеокартой).
Видеоадаптер предназначен для формирования видеосигнала, кото­рое происходит следующим образом.
Прежде чем стать изображением на мониторе, цифровые данные об изображении обрабатываются центральным процессором ПЭВМ, за­тем из его оперативной памяти через шину данных они поступают в спе­циализированный процессор видео­адаптера, где обрабатываются и со­храняются в видеопамяти. В видео­памяти создается цифровой образ изображения, которое должно быть выведено на экран монитора. За­тем, все еще в цифровом формате, данные, образующие образ изобра­жения, из видеопамяти передаются в цифроаналоговый преобразова­тель (Digital Analog Converter, DAC), который часто называют RAMDAC, где они преобразуются в аналого­вый вид и только после этого передаются в монитор с электронно-лу­чевой трубкой (ЭЛТ). С появлени­ем жидкокристаллических диспле­ев (ЖК) потребность в цифро-ана­логовом преобразователе исчезла, но этот компонент все равно при­сутствует в видеокартах на случай подключения аналоговых монито­ров через разъем VGA.
Экран монитора отображает ин­формацию в виде точек - пикселей. Слово пиксель (Pixel) является со­кращением от picture element (эле­мент изображения). Он представ­ляет собой крошечную точку на дис­плее, яркость и цвет которой изменя­ются в зависимости от выводимого на экран изображения (рис. 2). Все вместе пиксели и составляют изобра­жение. Картинка на экране обновля­ется от 65 до 120 раз в секунду, в зави­симости от типа дисплея и данных, выдаваемых выходом видеокарты. Данная характеристика называется частотой обновления (или регене­рации) экрана. Согласно современ­ным эргономическим стандартам, частота обновления экрана должна составлять не менее 85 Гц, в против­ном случае человеческий глаз заме­чает мерцание, что отрицательно влияет на зрение.

Мониторы с ЭЛТ обновляют ди­сплей строчка за строчкой, а плос­кие ЖК-мониторы могут обновлять каждый пиксель по отдельности.
Количество точек в изображе­нии зависит от установленного ре­жима отображения (количество то­чек по горизонтали N_г и количество точек по вертикали N_в). Наиболее ча­сто используемые режимы отображе­ния: 1024 пикселей по горизонтали и 768 по вертикали или 1280 пиксе­лей по горизонтали и 1024 по верти­кали.
В ЭЛТ информация об изображе­нии передается видеокартой после­довательно, пиксель за пикселем, на­чиная с верхней левой точки экрана и до правой нижней. Во многом вре­менные диаграммы формирования изображения на экране ПЭВМ ана­логичны работе телевизора. Цвет и яркость изображения каждого пик­селя будут определяться уровнем си­гналов, синхронно передаваемых по трем проводам R, G и В. На отобра­жение каждого пикселя (точки изо­бражения) тратится строго опреде­ленное время, которое обозначим τ. Данное время часто называют пик­сельной скоростью заполнения (pixel fill rate). Она рассчитывается как чис­ло растровых операций, помножен­ное на тактовую частоту. На отобра­жение всей строки тратится время N_гх τ. После отображения всей строки следует строчный синхроим­пульс. Далее во времени отображает­ся вторая строка, третья строка и т. д. После заключительной строки сле­дует кадровый синхроимпульс.
Любой текст или любая картинка передается на экран в виде цифро­вых импульсов разной длительнос­ти. Длительность импульсов τ_и зави­сит от вида текста или картинки, от­ображаемой на экране. Минималь­ная длительность импульса будет равна τ_и.min, а максимальная - τ_и.max.
При прохождении по проводни­кам импульсных сигналов возника­ют побочные электромагнитные из­лучения (ПЭМИ), спектр которых представлен на рис. 3 и 4 [8].

Из этого следует, что источником ПЭМИ является видеокарта, а в ка­честве антенны выступают отрезки проводников, по которым распро­страняется сигнал: внутренние жгу­ты проводов, связывающие между собой отдельные платы, разъемы и элементы конструкции, а также внешние кабели, соединяющие от­дельные устройства и т. п. Данное положение подтверждено экспери­ментально: при отключении мони­тора от видеокарты побочные электромагнитные излучения не исче­зают, уменьшается лишь их уро­вень [1].
Мощность информативного си­гнала ПЭМИ зависит от амплитуды генерируемых импульсов и качест­ва антенны, которое оценивается ее коэффициентом усиления. Коэффи­циент усиления антенны во многом зависит от длины излучающего ка­беля (проводника). Длина излучаю­щего кабеля (проводника) СВТ всег­да значительно меньше длины вол­ны излучения первой гармоники информативного сигнала (частота излучения первой гармоники сигна­ла зависит от установленного режи­ма отображения и, как правило, на­ходится в диапазоне частот от 12 до 75 МГц), так как длина самых длин­ных кабелей (кабелей, соединяю­щих системный блок с монитором и принтером) обычно не превыша­ет 1,5 м, а длина внутренних прово­дов не превышает нескольких де­сятков сантиметров. Следователь­но, резонансные частоты таких ан­тенн будут находиться в диапазоне от 200 до
800 МГц. Вследствие этого, на практике сначала амплитуда сигналов ПЭМИ с возрастанием но­мера гармоники уменьшается, затем на определенных частотах (как пра­вило, в диапазоне частот от 150 до 600 МГц) возрастает, а затем опять снижается [1,4].
Разведывательный приемник, который предназначен для перехвата ПЭМИ видеосистемы, должен иметь полосу пропускания ∆F_п = 1/τ. При использовании полосы пропуска­ния приемника ∆F_п < 1/τ, импульсы с длительностью τ_и = τ будут вос­станавливаться с искажениями, что приведет к искажениям мелких де­талей изображения, например, букв (рис. 5).

Последовательность импульсов сигнала периодически прерывают импульсы строчной и кадровой раз­вертки, поэтому излучаемый сигнал ПЭМИ будет периодически «преры­ваться» на время действия данных импульсов. Спектр излучаемых си­гналов ПЭМИ будет иметь вид спек­тра, представленного на рис. 4, б.
Паразитная генерация в элемен­тах ТСОИ, в том числе самовозбуждение усилителей низкой частоты (например, усилителей систем зву­коусиления и звукового сопровож­дения, магнитофонов, систем гром­кой связи и т. п.), возможна за счет случайных преобразований отрица­тельных обратных связей (индуктив­ных или емкостных) в паразитные положительные. Это приводит к пе­реводу усилителя из режима усиле­ния в режим автогенерации сигна­лов. Частота автогенерации (само­возбуждения) лежит в пределах ра­бочих частот нелинейных элементов усилителей (например, полупровод­никовых приборов, электровакуум­ных ламп и т. п.). Сигнал на часто­тах самовозбуждения, как правило, оказывается модулированным ин­формационным сигналом. Самовоз­буждение наблюдается в основном при переводе усилителя в нелиней­ный режим работы, то есть в режим перегрузки.
Перехват информации осущест­вляется путем приема и детектиро­вания средством разведки побоч­ных электромагнитных излучений, возникающих при работе ТСОИ. Для перехвата ПЭМИ ТСОИ исполь­зуются специальные портативные перевозимые и переносимые сред­ства разведки, которые называют­ся техническими средствами развед­ки побочных электромагнитных излучений и наводок (TCP ПЭМИН). Данные средства могут разверты­ваться в машинах или близлежащих зданиях, расположенных за преде­лами контролируемой зоны объекта (рис. 6).

В качестве показателя оценки эф­фективности защиты информации от утечки по техническим каналам используется вероятность обнаруже­ния сигнала (Р_о) средством разведки, которая характеризует возможность средства разведки за определен­ный временной интервал наблюдения при фиксированной (допусти­мой) вероятности ложного обна­ружения (ложной тревоги Р_лм)
осу­ществлять выделение сигнала на фоне шума, действующего на входе приемного устройства. Числовое зна­чение этого показателя при его сопо­ставлении с нормативным уровнем (Р_п) позволяет оценить степень опас­ности средств разведки в конкретной разведывательной ситуации.
Зная характеристики приемного устройства и антенной системы средства разведки можно рассчитать до­пустимое (нормированное) значе­ние напряженности электромагнит­ного поля, при котором вероятность обнаружения сигнала приемным ус­тройством средства разведки будет равно некоторому (нормированно­му) значению (Р_o = Р_н).
Пространство вокруг ТСОИ, на границе и за пределами которого напряженность электрической (E) или магнитной (H) составляющей электромагнитного поля не превы­шает допустимого (нормированного) значения (Е ≤ Е_н; Н ≤ H_н), назы­вается опасной зоной 2(R2)[1, 5] (рис. 6). Зона R2 для каждого ТСОИ определяется инструментально-рас­четным методом при проведении специальных исследований техниче­ских средств на ПЭМИН и указыва­ется в предписании на их эксплуата­цию или сертификате соответствия.
Таким образом, для возникнове­ния электромагнитного канала утеч­ки информации необходимо выпол­нение двух условий (см. рис. 7):
• расстояние от ТСОИ до границы контролируемой зоны должно быть менее зоны R2;
• в пределах зоны R2 возможно раз­мещение перевозимых (переноси­мых) или стационарных средств разведки ПЭМИН.

Электрические каналы утечки информации

Причинами возникновения элек­трических каналов утечки информа­ции являются наводки информаци­онных сигналов, под которыми по­нимаются токи и напряжения в токопроводящих элементах, вызван­ные побочными электромагнитны­ми излучениями, емкостными и ин­дуктивными связями [2].
Наводки информационных си­гналов могут возникать:
• в линиях электропитания ТСОИ;
• в линиях электропитания и соеди­нительных линиях ВТСС;
• цепях заземления ТСОИ и ВТСС;
• посторонних проводниках (метал­лических трубах систем отопле­ния, водоснабжения, металлокон­струкциях и т. д.).
Появление информационных си­гналов в цепи электропитания ТСОИ возможно как за счет ПЭМИ, так и при наличии внутренних паразит­ных емкостных и (или) индуктивных связей выпрямительного устройства блока питания ТСОИ. Например, в усилителе низкой частоты токи усиливаемых сигналов замыкаются через источник электропитания, со­здавая на его внутреннем сопротив­лении падение напряжения, кото­рое при недостаточном затухании в фильтре выпрямительного уст­ройства может быть обнаружено в линии электропитания при нали­чии магнитной связи между выход­ным трансформатором усилителя и трансформатором выпрямитель­ного устройства. Кроме того, среднее значение потребляемого тока в око­нечных каскадах усилителей в боль­шей или меньшей степени зависит от амплитуды информационного сигнала, что создает неравномерную нагрузку на выпрямитель и приво­дит к изменению потребляемого то­ка по закону изменения информационного сигнала.
Кроме заземляющих проводни­ков, служащих для непосредствен­ного соединения ТСОИ с контуром заземления, гальваническую связь с землей могут иметь различные про­водники, выходящие за пределы кон­тролируемой зоны. К ним относят­ся нулевой провод сети электропи­тания, экраны (металлические обо­лочки) соединительных кабелей, ме­таллические трубы систем отопле­ния и водоснабжения, металличес­кая арматура железобетонных кон­струкций и т. д. Все эти проводники совместно с заземляющим устрой­ством образуют разветвленную систему заземления, на которую могут наводиться информационные си­гналы. Кроме того, в грунте вокруг заземляющего устройства возника­ет электромагнитное поле, которое также является источником инфор­мации.
Различные вспомогательные тех­нические средства, их соединитель­ные линии, а также линии электро­питания, посторонние проводники и цепи заземления играют роль слу­чайных антенн, при непосредствен­ном (через токосъемник или индук­ционный датчик) подключении к ко­торым средства разведки ПЭМИН возможен перехват информацион­ных сигналов (рис. 8 и 9).

Случайные антенны могут быть сосредоточенными и распределен­ными.
Сосредоточенная случайная ан­тенна представляет собой компакт­ное техническое средство (например, телефонный аппарат, громкогово­ритель радиотрансляционной се­ти, датчик пожарной сигнализации и т. д.), подключенное к линии, вы­ходящей за пределы контролируе­мой зоны.
К распределенным случайным ан­теннам относятся случайные антен­ны с распределенными параметра­ми: кабели, провода, металлические трубы и другие токопроводящие коммуникации, выходящие за преде­лы контролируемой зоны. Уровень наводимых в них сигналов в значи­тельной степени зависит не только от мощности излучаемых сигналов, но и от расстояния от линий ТСОИ до линий ВТСС или посторонних проводников, а также длины их со­вместного пробега.
При распространении по случай­ной антенне до средства разведки на­веденный информационный сигнал затухает. Коэффициент затухания информационного сигнала можно рассчитать или определить экспериментально. При известных коэффи­циенте усиления случайной антен­ны и коэффициенте затухания си­гнала в случайной антенне легко рас­считать значение наведенного
ин­формационного сигнала в случай­ной антенне, при котором вероят­ность обнаружения сигнала прием­ным устройством средства разведки будет равно некоторому (нормиро­ванному) значению
(Р_о = Р_н).
Пространство вокруг ТСОИ, на границе и за пределами которого уровень наведенного от ТСОИ ин­формативного сигнала в сосредото­ченных антеннах не превышает до­пустимого (нормированного) зна­чения (U ≤ U_н), называется опасной зоной 1 (r1), а в распределенных ан­теннах - опасной
зоной 1^, (r1^,)[1, 5].
В отличие от зоны R2размер зо­ны r1 (r1^,)зависит не только от уровня ПЭМИ ТСОИ, но и от дли­ны случайной антенны (от помеще­ния, в котором установлено ТСОИ, до места возможного подключения к ней средства разведки).
Зоны r1 (r1^,) для каждого ТСОИ определяется инструментально-рас­четным методом без учета затуха­ния сигналов в случайных антеннах при проведении специальных ис­следований технических средств на ПЭМИН и указывается в предписа­нии на их эксплуатацию или серти­фикате соответствия, а с учетом ре­ального затухания сигналов в слу­чайных антеннах - при аттестации объекта информатизации.
При этом для возникновения электрического канала утечки информации необходимо выполнение следующих условий (рис. 10-12):




• соединительные линии ВТСС, ли­нии электропитания ТСОИ, посто­ронние проводники и т. д., выпол­няющие роль случайных антенн, должны иметь выход за пределы контролируемой зоны;
• расстояние от ТСОИ до ВТСС должно быть менее r1 либо рассто­яние от ТСОИ до соединительных линий ВТСС или посторонних проводников, выходящих за пре­делы контролируемой зоны, долж­но быть менее r1^,;
•за пределами контролируемой зо­ны должна существовать возможность непосредственного подклю­чения к линиям электропитания и заземления ТСОИ, к соедини­тельным линиям ВТСС или к по­сторонним проводникам порта­тивных средств разведки ПЭМИН.

Специально создаваемые технические каналы утечки информации

Наряду с пассивными способами перехвата информации, обрабаты­ваемой ТСОИ, рассмотренными вы­ше, возможно использование и ак­тивных способов, в частности спо­соба «высокочастотного облучения» (рис. 13 и 14), при котором ТСОИ облучается мощным высокочастот­ным гармоническим сигналом (для этих целей используется высокоча­стотный генератор с направленной антенной, имеющей узкую диаграм­му направленности). При взаимо­действии облучающего электрома­гнитного поля с элементами ТСОИ происходит модуляция вторичного излучения информационным сигна­лом. Переизлученный сигнал при­нимается приемным устройством средства разведки и детектируется.


Для перехвата информации, об­рабатываемой ТСОИ, также возмож­но использование электронных уст­ройств перехвата информации (закладных устройств), скрытно внедря­емых в технические средства и сис­темы (рис. 15 и 16).


Перехваченная с помощью за­кладных устройств информация или непосредственно передается по ра­диоканалу, или сначала записывает­ся в специальное запоминающее ус­тройство, а уже затем по команде уп­равления передается по радиокана­лу. Для передачи информации также могут использоваться линии элек­тропитания ТСОИ или оптический (инфракрасный) канал.
Закладные устройства, внедря­емые в ТСОИ, по виду перехватываемой информации можно
разде­лить на:
• аппаратные закладки для перехва­та изображений, выводимых на эк­ран монитора;
• аппаратные закладки для перехва­та информации, вводимой с кла­виатуры ПЭВМ;
• аппаратные закладки для перехва­та информации, выводимой на пе­риферийные устройства (напри­мер, принтер);
• аппаратные закладки для перехва­та информации, записываемой на жесткий диск ПЭВМ.
Аппаратные закладки для перехвата изображений, выводимых на экран монитора, состоят из блока пе­рехвата и компрессии, передающего блока, блока управления и блока питания (преобразователя AC/DC). Они скрытно устанавливаются, как правило, в корпусе монитора (воз­можна установка закладки и в сис­темном блоке ПЭВМ) и контактно подключаются к кабелю монитора.
Перехваченная информация (ви­деоизображение) в цифровом виде передается по радиоканалу, линии электросети 220 В или выделенной линии на приемный пункт, где пере­хваченное изображение восстанав­ливается и отображается на экра­не компьютера в реальном масшта­бе времени, создавая копию экрана, а дополнительная информация мо­жет записываться на жесткий диск для дальнейшей обработки.
Блок дистанционного управле­ния предназначен для приема си­гналов дистанционного включения и выключения закладного устрой­ства и установления параметров ра­боты передающего устройства. Пита­ние закладного устройства осущест­вляется от сети 220 В через блока пи­тания. Приемный комплекс состоит из радиоприемного устройства, мо­дема, ПЭВМ типа notebook и специ­ального программного обеспечения.
Аппаратные закладки для пере­хвата информации, вводимой с кла­виатуры ПЭВМ, скрытно устанав­ливаются в корпусе клавиатуры или внутри системного блока и подклю­чаются к интерфейсу клавиатуры. Они состоят из модуля перехвата, передающего блока и блока управ­ления. Питание закладок осуществ­ляется от интерфейса клавиатуры.
Модуль перехвата осуществляет перехват сигналов, передаваемых от клавиатуры в системный блок при нажатии клавиши. Перехваченные сигналы в цифровом виде переда­ются по радиоканалу на приемный пункт, где в реальном масштабе вре­мени восстанавливаются и отобра­жаются на экране компьютера в ви­де символов, набираемых на клави­атуре.
Блок дистанционного управле­ния предназначен для приема сигналов дистанционного включения и выключения закладного устрой­ства и установления параметров ра­боты передающего устройства. При­емный комплекс состоит из радио­приемного устройства, специаль­ного модемного модуля (модема), ПЭВМ типа notebook и специаль­ного программного обеспечения.
Данные закладные устройства предназначены в основном для пере­хвата паролей пользователей и текстовых документов, набираемых с ис­пользованием ПЭВМ.
Аппаратные закладки для пере­хвата информации, выводимой на принтер, устанавливаются в корпу­се принтера и по принципу работы аналогичны аппаратным закладкам, рассмотренным выше.
Аппаратные закладки для пере­хвата информации, записываемой на жесткий диск ПЭВМ, являются на­иболее сложными из рассмотренных выше. Они состоят из блока пере­хвата, блока обработки, передающе­го блока, блока управления и блока питания (преобразователя AC/DC). Они скрытно устанавливаются в си­стемном блоке ПЭВМ и контактно подключаются через специальный блок перехвата к интерфейсу, соеди­няющему жесткий диск с материн­ской платой. Перехватываемые
си­гналы поступают в блок специаль­ной обработки, включающий специ­ализированный процессор, где осу­ществляется их обработка по специ­альной программе. Файлы с задан­ным расширением (например, *.doc) записываются в оперативную или flash память. По команде управления записанная в памяти информация в цифровом виде по радиоканалу или сети 220 В передается на при­емный пункт, где в виде отдельных файлов записывается на жесткий диск для дальнейшей обработки.
Питание закладного устройства осуществляется от сети 220 В через блок питания. Приемный комплекс состоит из радиоприемного устрой­ства, модема, ПЭВМ типа notebook и специального программного обес­печения.
Таким образом, перехват инфор­мации, обрабатываемой техничес­кими средствами, может осуществ­ляться путем (рис. 17):
• перехвата ПЭМИ, возникающих при работе технических средств;
• перехвата наводок информацион­ных сигналов с соединительных линий ВТСС и посторонних
про­водников;
• перехвата наводок информацион­ных сигналов с линий электропи­тания и заземления ТСОИ;
• «высокочастотного облучения» ТСОИ;
• внедрения в ТСОИ закладных ус­тройств.

Литература
1. Бузов Г. А., Калинин С. В., Кондратьев А. В. Защита от утечки но информации техни­ческим каналам: Учебное пособие. - М.: Горя­чая линия - Телеком, 2005. - 416 с.
2. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. (Принят и введен в действие Постановлением Госстандарта России от 12.05.99 № 160).
3. Доктрина информационной безопасности Российской Федерации (Принята 09.09.2000 №ПР-1895).
4. Программный комплекс «Навигатор». Описа­ние применения. - М.: НПЦ «Нелк», 2002. -104 с.
5. Терминология в области защиты инфор­мации: Справочник. - М.: ВНИИ Стандарт, 1993.- 110с.
6. Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
7. Хореев А. А. Защита информации от утеч­ки по техническим каналам. Часть 1. Техни­ческие каналы утечки информации. - М.: Гостехкомиссия РФ, 1998. - 320 с.
8. Rauscher С. Fundamentals of spectrum analy­sis. - Germany.: Rohde & Schwarz, 2002. - 215 с.