Что такое скрытые каналы утечки информации и как их обнаружить
Немного о скрытых каналах
В настоящее время все источники, освещающие вопросы информационной безопасности, содержат сведения раскрытые г-ном Сноуденом о скрытых каналах получения информации и умышленно внедряемых в различные технические средства АНБ устройствах негласного доступа к информации (получения, съема).
А что же у нас в стране с решением данной проблемы? Анализируя современную отечественную нормативную базу, можно выделить следующие документы, регламентирующие вопросы выявления и борьбы со скрытыми каналами:
ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения»;
ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».
1. Оценка архитектуры исследуемой системы и имеющихся в ней коммуникационных каналов (рассмотрению подлежат как существующие, так и потенциальные каналы). Оценка архитектуры системы подразумевает выявление всех имеющихся в ней каналов связи (информационного взаимодействия) и анализ взаимодействия ее компонентов на предмет потенциального использования их для организации скрытого канала. В результате проведения такого анализа должны быть выявлены компоненты системы, в которых потенциально могут быть использованы скрытые каналы.
2. Выявление возможных путей обмена скрытой информацией между нарушителем и его предполагаемым агентом в системе.Данная работа выполняется на основании общей схемы модели функционирования скрытого канала. Следует для каждого из защищаемых активов выявить, какие субъекты имеют к ним доступ и при этом изолированы от внешней среды, но имеют возможность взаимодействовать с отдельными субъектами из внешней среды (при этом необходимо учитывать, что подобного рода взаимодействие контролируется владельцем активов и может наблюдаться потенциальным нарушителем).
3. Оценка опасности выявленных скрытых каналов для защищаемых активов организации. После выявления скрытых каналов следует оценить, насколько они реализуемы и опасны для защищаемых активов организации. Для проведения оценки наиболее критичными показателями являются: объем активов, предполагаемая пропускная способность скрытого канала и временной интервал, в течение которого активы сохраняют ценность. Все параметры поддаются числовому исчислению и могут быть использованы в соответствующих аналитических отчетах. На основании этой оценки каналы, не предоставляющие реальной опасности для активов, признаются неопасными.
4. Принятие решения о целесообразности противодействия каждому из выявленных скрытых каналов (минимизации уровня риска).
Как выявить скрытую передачу данных в сети?
Как выявить скрытую передачу данных в сети?
Как выявить скрытую передачу данных в сети?
Что такое скрытая передача данных?
Скрытая передача данных по сети – это не единственное применение данного метода. Впервые термин «скрытый канал» появился в 1973 г. и применялся для вычислительных систем, не имеющих традиционного сетевого подключения. Например, четное значение длительности процесса может означать единицу, а нечетное – ноль. Таким образом, манипулируя длительностью процесса, мы можем формировать последовательность из 0 и 1, которыми можем описать все, что угодно (это так называемый временной канал). Другой пример скрытого процесса в вычислительных системах – запуск процессом той или иной задачи и ее завершение в определенное время, которое может трактоваться как единица; и ноль, если задача не завершена в указанное время.
Как может быть реализована скрытая передача?
Если говорить о скрытой сетевой передаче данных, то одним из самых популярных и относительно простых в реализации методов является инкапсуляция, которая заключается во включении защищаемой информации, которая должна быть передана наружу, или команды, которая должна быть принята снаружи, в разрешенный протокол.
При этом могут быть использованы совершенно различные варианты инкапсуляции:
Как может быть обнаружена скрытая передача?
Видя такое многообразие методов, которые используются скрытыми каналами, и протоколов, в которых они находятся, понимаешь, почему предлагается столь много разных методов обнаружения скрытой передачи. Основным из них является контроль аномалий, который заключается в проверке следующих параметров (неполный список):
Инструментом, который позволяет отслеживать такие аномалии в сетевом трафике, являются системы класса NBAD (Network-based Anomaly Detection), которые либо уже содержат большое количество встроенных правил, либо могут быть настроены самостоятельно после проведенного режима обучения.
Резюме
Скрытые каналы в сетевом трафике – это очень специфический метод, который не является универсальным и имеет свои ограничения и область применения. Каждый скрытый канал имеет свои характеристики, например пропускную способность, шум, режим передачи (двусторонний или односторонний), которые надо учитывать – как при их использовании, так и при борьбе с ними. Все-таки «Войну и мир» Л.Н. Толстого через такие каналы оперативно не передать, а у некоторых способов скрытой передачи очень высок уровень шума, что мешает им быть эффективно примененными в глобальных сетях, в которых внешние факторы могут сильно влиять на успешность скрытой передачи.
Неуниверсальность – вот, пожалуй, основное препятствие и для активного использования скрытых каналов, и для борьбы с ними. Большое количество ограничений для скрытой передачи данных делает ее уделом только целенаправленных угроз, разрабатываемых под конкретную задачу и конкретного заказчика. Эта же неуниверсальность приводит к мысли, что и серебряной пули в виде одного продукта сейчас тоже нет, и необходимо использовать целый комплекс средств и технологий для обнаружения и нейтрализации скрытой передачи данных.
Утечки информации
Защита данных
с помощью DLP-системы
У течкой информации считают неправомерное распространение набора сведений, выходящее за пределы круга доверенных лиц или организации, которые хранили эти сведения. Утечкой называют противоправное овладение чужой информацией вне зависимости от того, каким способом достигается получение данных.
Утечка информации может произойти вследствие случайного обнародования данных, или же если злоумышленник специально пытается разведать чужую информацию, скрытую от посторонних лиц.
Причины утечек данных и возможные ситуации
Среди распространенных причин утечки информации выделяют такие версии:
Все это происходит при сопутствующих условиях, которые допускают возникновение ситуации утечки:
Вина в утечке информации чаще всего возлагается именно на сотрудников фирм и предприятий, а также на их начальство. От любого злоумышленника можно защититься при желании и компетентности работников. Есть факторы, которые не зависят от компаний:
Основами для передачи информации любого вида служат системы связи. Самые простые системы состоят из носителя информации и приемника и получателя сведений, а также канала передачи. Любой сигнал можно передать следующими способами:
Главная задача всей цепи устройств – передача информации в определенную точку без искажения. Последовательность оборудования для передачи информации называют системой связи, а ту часть, которая передает информацию, – каналом передачи данных.
Каждый канал передачи информации имеет ряд характеристик:
Эти системы и каналы используются специально для передачи информации. Но бывают случаи, когда канал возникает в другом месте, он не явный и поэтому называется каналом утечки информации. Канал появляется независимо от источника информации и способа ее передачи.
«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных.
Использование технических каналов утечки информации
Технический канал утечки информации – это физический путь сигнала от источника передачи данных к приемному устройству мошенника. Сам процесс односторонний, и с его помощью человек несанкционированно получает скрытые сведенья или личную информацию, которую можно зафиксировать.
Технические каналы утечки информации чаще всего образуются из таких устройств, как:
1. Акустические преобразователи:
2. Излучатели электромагнитных колебаний:
3. Паразитные связи и наводки:
Классификация технических каналов утечки информации проводится по физической принадлежности:
Первые два вида чаще всего используются мошенниками, поскольку они менее заметны и надежны в перехвате информации. Информацию, выложенную в звуковом виде, перехватить можно быстрее всего.
Образование технического акустического канала передачи данных происходит за счет:
Именно технические средства на сегодняшний день подвергаются опасности образования технического канала передачи информации. Все данные на устройстве хранятся в электронном и зашифрованном виде. В самом устройстве все детали (узлы, проводники и другие элементы) могут генерировать волны с собственной частотой и так распространять данные по техническим каналам утечки информации.
Можно с легкостью определить способы и методики передачи информации постороннему человеку:
Есть несколько способов, которые используют мошенники для добычи информации. Это технические средства, действуют они на разные процессы, но в большинстве случаев результативно. Все средства делятся на пассивные и активные. Среди них самые популярные:
К активным средствам можно зачислить такие моменты:
Перехват информации
Самый простой и распространенный способ создать технический канал утечки информации. Методика основана на приеме сигналов электромагнитной энергии с помощью пассивных средств сбора информации. Средства располагаются на безопасном расстоянии.
Перехват выручает в экстренных ситуациях, на войнах это единственный доступный способ получить информацию от противника. Перехватывают как открытые, так и кодированные источники информации. Активно используется способ для перехвата электромагнитных посылов, можно получить несанкционированную информацию от радионавигационных систем.
В качестве устройств для перехвата канала утечки используется такая аппаратура, как:
Все они хорошо анализируют данные, полученные путем перехвата. Особенно часто происходит утечка информации по радиосвязи, телефону и на мобильных радиостанциях. По диапазону радиоволн можно определить место для установки приемной аппаратуры. Она охватывает весь диапазон электромагнитных волн.
Такой способ создания технического канала утечки информации имеет ряд особенностей:
«СёрчИнформ КИБ» может перехватывать данные и на уровне сети, и через рабочие станции (ПК) сотрудников компании.
Незаконное подключение, приводящее к утечке информации
Этот способ подразумевает контактное или бесконтактное подключение линий или проводки с целью заполучения индивидуальной информации. Этот способ используется на разных уровнях и масштабах – от обычной установки параллельного телефона до постройки подслушивающих станций.
Подключить провода можно к любой цепочке или системе связи. Реально подключение к линиям питания и заземления. Разрабатывается устройство для образования канала утечки информации посредством подключения к оптиковолоконным линиям. Более сложной структурой обладают бесконтактные средства для вклинивания в связь. Они действуют на высоких уровнях и воруют информацию с засекреченных материалов НАСА и других компаний, которые занимаются космосом или важными государственными делами.
Каналы утечки конфиденциальной информации можно разделить с учетом физической природы и способов распространения и перехвата данных. Существуют такие вариации:
Главными параметрами, по которым изменяется информационный сигнал, являются сила тока, напряжение, частота и фаза. Сами элементы технической системы проводимости воспринимаются как излучатели электромагнитного поля. Поле модулируется по закону изменения информационного сигнала.
Каналы утечки информации возникают за счет разных побочных электромагнитных излучений. Перехват этих излучений, а соответственно, и информации происходит с помощью радиотехнической разведки, которая располагается далеко за пределами зоны контроля. Территория, на которой возможно вести перехват важной информации, называется опасной зоной, там соотношение «информационный сигнал/помеха» превышает нормативные показатели.
Причины появления каналов утечки информации следующие:
Те системы приема и передачи технической информации, которые принимают побочные электромагнитные излучения, называются случайными антеннами. Они бывают распределенными и сосредоточенными (компактными).
Перехватить информацию можно с помощью непосредственного подключения к соединительным линиям системы и посторонним проводникам. Также подключиться можно к системам электропитания и заземления, по которым проводится основной сигнал. В последнее время стали использовать аппаратные закладки. От них информация передается по радиоканалу напрямую мошеннику или записывается на устройство с последующей передачей. Установить передатчики можно на любые системы и цепи, их излучение модулируется информационным сигналом.
Перехват информации можно осуществить с помощью высокочастотного облучения систем передачи данных. Во время переизлучения происходит перемена параметров сигнала. Именно поэтому такой канал утечки информации называется параметрическим.
Средства и системы для обнаружения утечки информации
Любой злоумышленник оставляет следы, даже на уровне передачи невидимых сигналов. Техническое устройство изменяет окружающее пространство. Главная цель разведки – добиться того, чтобы устройства, формирующие канал утечки информации, не были обнаружены как можно дольше.
А задача контрразведки заключается в том, чтобы быстро зафиксировать и найти место утечки информации. Сложность этого процесса в том, что неизвестно, какое именно устройство использует злоумышленник. Чтобы выяснить методику получения данных незаконным путем, важно проследить за всеми направлениями и способами получения информации. Нельзя останавливаться на одном методе, требуется проводить контрразведку комплексно.
Вычисление утечки информации
Технические средства для разведки и обезвреживания каналов утечки информации можно определить следующим образом:
1. Активный тип поисковых работ:
2. Пассивный способ обнаружения утечки проходит с помощью:
Не все методики можно применить в современных условиях. Выбор способа происходит по требованиям контрразведки. Например, рентгеновские аппараты – громоздкие, поэтому их невозможно транспортировать или применять оперативно в военно-полевых условиях. Такие же недостатки есть у магнитно-резонансных локаторов, поэтому они используются в крупных компаниях стационарно.
Одно из самых прогрессивных направлений разведки и защиты информации от утечки – использование тепловизоров. Приборы дорогостоящие, но мобильные и обладают высокой чувствительностью. Они могут регистрировать сигналы мощностью 1 мкВт. А принцип действия основан на выделении тепла любым техническим устройством.
На сегодня чаще всего используются электромагнитные локаторы разной конфигурации:
Общим для всех этих устройств является то, что их задача состоит в выделении сигнала передатчика.
Существуют приборы, которые делают анализ телефонной линии благодаря применению нелинейной локации, но они не используются в широких массах из-за сложности настройки и получения неоднозначных результатов.
Важно уделить достаточное внимание защите от подключения посторонних технических каналов утечки. Можно обезопасить связь от индуктивных наводок и предотвратить утечку охраняемой информации с помощью генераторов шума. Устройство можно использовать в телефоне, оно зашумляет телефонные линии, которые были совместно проложены, во всех диапазонах звуковых частот.
Такая простая методика или поможет владельцу телефона и остановит несанкционированную передачу информации, или как минимум усложнит задачу мошеннику. Эффективность будет наблюдаться в любом случае.
Возникновение технических каналов утечки информации – не редкость, поэтому важно знать о них больше для того, чтобы защитить себя и свою конфиденциальность в разговорах или в момент передачи сообщения.
Выявление каналов утечки информации
Контроль рабочего времени
с помощью DLP-системы
П ривыкнув к сообщениям о хакерских атаках, компании забывают о том, что утечка информации часто происходит по другим каналам. Данные крадут из информационных систем, используя уязвимости в оборудовании и ПО или подкупая инсайдеров. Снимают конфиденциальные сведения с технических каналов: например, внедряют в офисы прослушку или другие закладные устройства, которые собирают электромагнитную и акустическую информацию. Есть и другие способы шпионажа, стоят за этим обычно организации, специализирующиеся на конкурентной разведке. При этом службы безопасности часто не в состоянии выявить эти каналы утечки информации ввиду отсутствия средств защиты — специальных знаний и оборудования.
Что такое каналы утечки информации
При разработке системы информационной безопасности под каналами утечки сведений понимается совокупность методов и путей хищения информации, когда в единой информационной цепочке одно из звеньев — человек, оборудование, электронный ресурс — нарушает регламент работы и перенаправляет поток данных третьим лицам. Классификация каналов проводится по нескольким принципам, она облегчает планирование методики борьбы с ними.
Прямые и косвенные
Каналы делятся на косвенные и прямые, среди первых — изучение неуничтоженного мусора, документов, кража вынесенных за пределы периметра организации носителей информации, удаленный перехват электромагнитных излучений. Вторые реализуются в ходе прямого доступа инсайдера к информационной системе и документам организации.
Технические и информационные
Разделение каналов на технические и информационные основывается на источнике возникновении утечки. Информационные реализуются в виде несанкционированного доступа пользователя к информации, хранящейся в электронном виде или в виде бумажного документа. Для технического канала характерен перехват свободно распространяемого сигнала физической природы (звука, света, электромагнитной волны) при помощи технических устройств.
«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных.
Выделяют разные технические каналы утечки:
Технические каналы утечки информации также делят на естественные и специально создаваемые. Первые, как следует из названия, это электромагнитные сигналы, которые возникают естественным путем в ходе обработки информации, и могут быть перехвачены. Специально создаваемые реализуются в виде вредоносных программных средств, которые побуждают элементы архитектуры компьютера генерировать дополнительный электромагнитный сигнал. Затем этот сигнал модулируется информационным. Например, так работает ПО семейства soft-TEMPEST.
Выявление технических каналов
Однако выявить демаскирующие признаки закладных устройств и других технических каналов утечки информации можно уже при первичном осмотре, без использования специального оборудования. С этого стоит начинать работу по обнаружению уязвимостей в защитном периметре.
Демаскирующие признаки закладных устройств
Собственные демаскирующие признаки присущи каждому виду закладных устройств.
Для проводных закладок микрофонного типа демаскирующими признаками окажутся тонкий провод, выдающий наличие спрятанного микрофона, и присутствие в этом проводе постоянного невысокого напряжения и низкочастотных информационных сигналов.
Проводные закладные устройства сейчас используются крайне редко, для автономных ЗУ характерны следующие признаки:
Такие средства защиты информации, как нелинейный радиолокатор или лампа с рентгеновскими лучами, есть у небольшого количества служб безопасности. Для выявления ЗУ надо приглашать специалистов из сертифицированных организаций.
Обычно камуфлированные ЗУ устанавливаются в предметы быта. Косвенным признаком наличия в предмете автономного ЗУ станетт ограничение его возможностей: например, музыкальный центр не включается, настольная лампа не горит. Нередко ЗУ устанавливают не в электронные приборы, а в подставку для письменных приборов или папку для бумаг. Тогда найти их можно по побочным электромагнитным излучениям. Если при проверке в предмете обнаружены проводники или полупроводники, внедренные устройства обнаруживаются только при разборке.
Для сетевых акустических закладок есть свои демаскирующие признаки:
Все еще встречаются телефонные радиозакладки в качестве средства хищения информации. Офисные сети используют стационарное оборудование, и для них демаскирующими признаками станут:
Подразделение, отвечающее за информационную безопасность, в своей деятельности использует комплекс средств и методов защиты информации, начиная со стандартных способов выявления утечек с опорой на демаскирующие признаки и результаты проведения аудита информационной безопасности.
Способы поиска ЗУ и других технических каналов
Большинство демаскирующих признаков ЗУ можно обнаружить только специальными средствами. Поэтому среди основных способов выявления технических каналов утечки информации — привлечение профессионалов и использование особого оборудования.
Специалисты применяют детекторы скрытых микрофонов и видеокамер, индикаторы электромагнитных полей, радиочастотомеры, сканерные приемники и анализаторы спектра, системные автоматизированные аппаратно- программные комплексы выявления ЗУ, нелинейные локаторы, рентгеновские комплексы, средства проверки линий электропередачи и телефонных сетей.
При наличии контрольной аппаратуры используют методы поиска ЗУ:
Для снижения уровня риска уже при проектировании помещения оно должно быть выстроено так, чтобы избежать возможности установки ЗУ и перехвата при их помощи электромагнитных и виброакустических сигналов. При работе с информацией высокой степени конфиденциальности — государственной тайной — помещения специально сертифицируются на соответствие требованиям безопасности.
Оборудование, используемое для поиска ЗУ, должно быть допущено к применению на территории России. Самым простым и доступным оборудованием для выявления ЗУ будут индикаторы электромагнитного поля, которые звуковым сигналом оповестят о его напряженности в контрольной точке выше фоновых показателей. Недостаток простых средств защиты — работа в узком спектре радиочастот, используемом простыми устройствами съема информации. Так, интерсепторы оповестят о наличии радиосигнала и сделают вывод о его частоте, но в узком диапазоне, а профессиональные сканеры работают по всему спектру частот, используемых всеми известными видами закладных устройств съема информации. Еще бо́льшие возможности предоставляют автоматизированные программно-аппаратные комплексы контроля. Они способны выявить все известные ЗУ, но использование их доступно только организациям, имеющим лицензию. В качестве простых решений могут применяться детекторы пустот и металлоискатели.
Способы выявления путей утечки в ИС
Подразделение организации, отвечающее за информационную безопасность, обязано знать основные способы выявления электромагнитных и акустических каналов утечки информации. Но звукозапись и запись электромагнитных частот применяются при возможности проникнуть в помещение. Если таковой у злоумышленников нет, они могут попытаться внедрить инсайдера — например, подкупить сотрудника организации, который будет сливать информацию изнутри.
Помимо технических, электромагнитных каналов связи утечка информации происходит из информационных сетей. Для ее выявления используются:
Инсайдеры выступают самыми опасными каналами утечки информации, так как имеюте прямой доступ к информационной системе. DLP-системы предназначены для их поиска и осуществляют мониторинг информационной системы и движения потока данных внутри нее.—. Они способны контролировать несанкционированное копирование, вывод информации на принтере или передачу ее по каналам связи — электронной почте, мессенджерам и др. После того, как система обнаружит факт или попытку утечки, необходимо заблокировать передачу данных, таким образом нейтрализуя канал. Многие современные DLP, как и другое ПО для информационной безопасности, снабжены функционалом блокировок движения информации по большинству известных электронных каналов (email, мессенджеры, USB, принтеры, облачные хранилища, веб-сервисы и др.).
Весь комплекс мер по выявлению каналов утечки информации и ее остановки должен опираться на организационно-правовую базу компании. Действия пользователей должны быть регламентированы. Это создает возможность привлечения к ответственности за хищение данных и передачу их третьим лицам.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.