Масштабы и сферы применения этой техники таковы, что возникают проблемы обеспечения сохранности используемой в ней информации. В связи с этим данное исследование необходимо рассматривать на основе положений: все факторы, влияющие на качество информации, должны рассматриваться с позиции системного анализа; результатом процесса безопасности информации должен быть единый взгляд на планирование и принятие решений управления.
В отдельных случаях «противник», не получив нужную информацию по техническим каналам, может прибегнуть к ее нарушению. Кроме того, нарушение информации может применить и для маскировки ее несанкционированного получения. Активным методом нарушения информации являются так называемые «угрозы» различного назначения [1]. В последние годы используются методы несанкционированного силового воздействия по цепям питания, компьютерные вирусы и закладки.
В общем виде влияние помехи S на передаваемый сигнал Uc может быть выражено следующим выражением:
(1)
где: Uo – исходный сигнал на входе приемного устройства.
Под силовым воздействием (СВ) по сетям питания понимается преднамеренное создание перепада напряжения в сети питания, которые способны привести к сбоям в работе оборудования или к выходу его из строя. Оно может быть использовано и для предварительного вывода из строя сигнализации перед несанкционированным вскрытием объекта или для провоцирования срабатываний сигнализации без проникновения на объект.
Компьютерные системы имеют два значимых для проникновения энергии воздействия по сетям питания канала [2]:
— кондуктивный путь через вторичный источник электропитания (ВИП);
— наводки через паразитные емкости и индуктивные связи, как внутренние, так и между совместно проложенными силовыми кабелями и информационными линиями связи (ИЛС).
Аппаратная часть компьютера за ВИП весьма чувствительна к воздействию помех различного назначения. Сбой в работе цифровых микросхем возникает при появлении на шине питания импульса с амплитудой в единицы вольт при длительности в десятки наносекунд. Деградация цифровых микросхем наступает при воздействии импульсов напряжения длительностью 1 мкс с энергией 2–500 мкДж. Однако в целом компьютеры и периферийные более устойчивы к электромагнитным помехам и должны выдерживать воздействие по цепям электропитания перепадов напряжения 0,2 Uном и время до 500 мс, микросекундных и наносекундных импульсных помех с амплитудой до 1 кВ, а в цепях ввода/вывода — наносекундных импульсных помех амплитудой 500 В. Подавление импульсных помех на пути из сети питания к чувствительным микросхемам происходит во входных цепях ВИП. Для оценки устойчивости ВИП к СВ достаточно оценить предельную энергопоглощающую способность Wmax и электрическую прочность элементов схемы и сопоставить ее с энергией и входным напряжением ТС СВ. При этом следует учитывать, что энергия при СВ может распространяться по симметричному (между линиями) и несимметричному пути (между линиями и корпусом).
Таким образом, элементы входного фильтра имеют чрезвычайно низкие уровни Wmax и не являются препятствием на пути мощных импульсных помех. Это вполне объяснимо, поскольку фильтр в основном предназначен для решения обратной задачи, а именно — препятствовать распространению собственных шумов ВИП в сеть питания. Уровень шумов составляет доли вольта, поэтому при проектировании фильтра предельная энергопоглощающая способность его элементов не является определяющим фактором. Если фильтр — это единственное устройство защиты на входе ВИП, то для СВ достаточно обеспечить возможность подвода к каждому компьютеру мощной импульсной помехи с амплитудой порядка 2 кВ и энергией 1–2 Дж с достаточно крутым фронтом, уменьшающим влияние емкостного фильтра инвертора ВИП. Несмотря на впечатляющие уровни рабочих токов, варисторы имеют предельно допустимую рассеиваемую мощность, исчисляемую единицами ватт, поэтому при воздействии длинных импульсов с относительно небольшим током они выходят из строя или срабатывают, вызывая сгорание предохранителя на входе ВИП. Перегорание предохранителя приводит к необходимости демонтажа и ремонта ВИП, тем самым компьютер на время выводится из строя. Тем не менее, в данном случае для СВ требуется энергия порядка 50–100 Дж при амплитуде порядка 1 кВ (при этом длительность импульса может доходить до 0,1 с для инерционных предохранителей) в расчете на один компьютер, а их может быть одновременно подключено к сети питания несколько.
Защита от перегрузок предусматривает отключение устройства. Высококачественные фильтры отечественного производства с проходными конденсаторами применимы для защиты от радиопомех, но при СВ разрушаются за счет минимально допустимых напряжений на проходных конденсаторах. Практически любые стабилизаторы и конденсаторы напряжения, предлагаемые для защиты ПЭВМ, имеют слабую защиту нагрузки и питания собственных нужд от импульсных помех.
Знание физических принципов СВ и схемотехнических приемов, позволяет сформулировать требования к системам защиты в техническом и организационном аспектах, с целью минимизации ущерба от возможного нападения с применением СВ. Определяющим фактором является способ подключения к сети питания (последовательно или параллельно).
Последовательный способ требует вмешательства в сеть питания за счет того, что энергия передается непосредственно на компьютер и не распространяется на всю питающую сеть.
Парралельный способ подключения не требует вмешательства в сеть питания. Энергия распространяется на всю сеть электропитания, а не только на конкретный компьютер. Это требует присутствия накопителей энергии существенного объема и снижает эффективность воздействия.
По способу управления средства СВ могут быть с ручным управлением, автоматическим и дистанционным. Автоматические могут генерировать импульсы напряжения периодически, по случайному закону, по максимуму нагрузки (у последовательно включаемых — может контролироваться ток в цепи нагрузки, т.е. косвенно количество включаемых ПЭВМ) и т.д.
Компьютерным вирусом является программа, которая может «заражать» другие программы, включая в них свою копию. Эта копия, в свою очередь, также способна к дальнейшему размножению. Следовательно, заражая программы, вирусы способны распространяться от одной программы к другой. Зараженные программы могут передаваться через дискеты или по сети на другие ПЭВМ при каждом обращении пользователя к программе для ее выполнения, копирования, изменения или просмотра.
Наиболее распространенными разновидностями вирусов являются вредоносные программы типа «Троянский конь», которые, попадая в вычислительные системы, начинают выполнять несанкционированные действия.
Еще одним типом вирусов являются так называемые «Черви», которые воспроизводятся, копируя себя в памяти одного или нескольких компьютеров, независимо от наличия в ней других программ. В качестве программ-носителей вирусов могут выступать следующие носители: выполняемые файлы часто используемых программ. При заражении программы многими из современных вирусов длина программы остается неизменной. Возможно также распространение вируса в программах, написанных на языке программирования высокого уровня; программы операционной системы и драйверы устройств; программа-загрузчик операционной системы; объектные файлы и библиотеки. При использовании зараженных библиотек вирус автоматически будет попадать во все создаваемые на основе таких библиотек программы.
Действия вируса ведут чаще всего к отказу от выполнения той или иной функции или к выполнению функции, не предусмотренной программой, что приводит к программным сбоям или ошибкам оборудования. Подозрение на появление вируса возможно в следующих случаях: отключения какой-то стандартной функции системного или прикладного программного обеспечения (например, отключение перезагрузки); проявления ошибок или сбоев при выполнении прежде стабильно работавших программ (например, переполнения буфера или деления на 0), самопроизвольной перегрузки или “зависания” операционной системы; выполнения операций, не предусмотренных алгоритмом программы (например, изменение данных в файле, не санкционированное пользователем, в том числе шифрование); изменения атрибутов файла (например, дата создания файла, его длина и т.п.); разрушения файлов, самой файловой системы (несанкционированное форматирование жесткого диска, неожиданное исчезновение отдельных файлов и т.п.); частых обращений к диску; появления ложных (отвлекающих) сообщений; блокирования доступа к системным ресурсам; появления на экране дисплея световых пятен, черных областей и других визуальных аномалий; проявления звуковых или визуальных эффектов (например, “осыпание символов” на экране, замедление перерисовки объектов на экране, воспроизведение мелодии и т.п.); имитации аппаратных отказов; сообщений антивирусных средств.
Наиболее распространенным разрушительным действием вируса является уничтожение информации (программ и данных). Труднее обнаружить не уничтожение, а изменение содержимого файла. Такие действия вируса особенно опасны, так как файлы могут быть существенно искажены. Даже если такие искажения будут сразу обнаружены, потребуется значительное время, прежде чем эти данные можно будет снова нормально использовать. Вирусом могут быть вызваны изменения в программах, что порождает различные ошибки, сбои или отказы в работе программного обеспечения. Посредством изменения вирус способен разрушить аппаратные средства.
Примером таких действий являются следующие события [3]: интенсивное использование плохо охлаждаемого элемента конструкции для вывода его из строя или возгорания в результате перегрева; «прожигание» пятна на экране; нарушение работы периферийного оборудования, в результате задания ему неправильных режимов функционирования; низкоуровневое изменение системных областей жесткого диска, вследствие чего диск невозможно восстановить без специального оборудования.
Программными закладками являются специфические программы, использующие вирусную технологию скрытного внедрения, распространения и активизации. Однако, в отличие от вирусов, программные закладки, предназначены для ее несанкционированного скрытного получения информации. Типичная программная закладка может, сохранять вводимую с клавиатуры информацию (в том числе и пароли) в нескольких зарезервированных для этого секторах, а затем пересылать накопленные данные по сети на компьютер «противника».
Программные закладки можно классифицировать по методу и месту их внедрения и применения (т.е. по способу доставки в систему): ассоциированные с программно-аппаратной средой; ассоциированные с программами первичной загрузки; ассоциированные с загрузкой операционной среды; ассоциированные с прикладным программным обеспечением общего назначения (встроенные клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты и оболочки); модули, содержащие только код закладки; модули-имитаторы, совпадающие с некоторыми программами, требующими ввода конфиденциальной информации (по внешнему виду); закладки, маскируемые под программные средства оптимизационного назначения (архиваторы, ускорители и т.д.); закладки, маскируемые под программные средства игрового и развлекательного назначения.
Для того чтобы закладка смогла выполнить какие-либо функции, она должна получить управление, т.е. процессор должен начать выполнять команды, относящиеся к коду закладки. Это возможно только при одновременном выполнении двух условий:
— закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия, следовательно, она должна быть загружена раньше или одновременно с этой программой;
— закладка должна активизироваться по некоторому общему, как для закладки, так и для программы, событию, т.е. при выполнении ряда условий в аппаратно-программной среде управление должно быть передано на программу-закладку.
Это достигается путем анализа и обработки общих для закладки и прикладной программы вмешательств в работу (как правило, прерываний). Причем выбираются прерывания, которые наверняка используются прикладной программой или операционной системой. В качестве таких прерываний можно выделить: прерывания от системного таймера; прерывания от внешних устройств; прерывания от клавиатуры; прерывания при работе с диском; прерывания операционной среды (в том числе прерывания для работы с файлами и запуска выполняемых модулей).
Таким образом, можно выделить следующие типы закладок:
- Резидентная — находится в памяти постоянно до окончания работы ПЭВМ. Закладка может быть загружена в память при начальной загрузке ПЭВМ, загрузке операционной среды или запуске некоторой программы (которая может быть вирусоносителем), а также запущена отдельно.
- Нерезидентная — начинает работу по аналогичному событию, но заканчивают ее самостоятельно по истечении времени или событию.
Несанкционированная запись закладкой может происходить: в массив данных, не совпадающий с пользовательской информацией; в массив данных, совпадающий с пользовательской информацией и ее подмножества (искажение, уничтожение или навязывание информации закладкой).
Следовательно, можно рассматривать три основные группы деструктивных функций, которые могут выполняться закладками: сохранение фрагментов информации, возникающей при работе пользователя, прикладных программ, вводе/выводе данных, на локальном или сетевом диске; разрушение функций самоконтроля или изменение алгоритмов функционирования прикладных программ; навязывание некоторого режима работы (например, при уничтожении информации — блокирование записи на диск без уничтожения информации), либо навязывание посторонней информации вместо полезной информации при записи последней на диск.
Сохранение фрагментов информации. В этом случае можно выделить три основные причины потенциально возможного нарушения безопасности системы «пользователь — система защиты — данные»: вывод информации на экран; вывод информации в файл или иное внешнее устройство; ввод информации с клавиатуры.
Сохранение фрагментов вводимой и выводимой информации выглядит следующим образом: программа выделяет себе в оперативной памяти некоторую информационную область, для размещения информации и обработки. Закладка определяет адрес информативной области программы. Далее необходимо проанализировать события, связанные с работой прикладной программы или операционной среды. При наличии факта этого события, закладка переносит часть информации либо всю информацию на диск или в выделенную область оперативной памяти.
Перехват вывода на экран. Режим графического вывода будет отличаться лишь тем, что изменится адрес в программе, и информация будет представлена в виде точек с определенным цветом.
Выводимый на экран текст помещается в видеобуфер, откуда может быть считан и сохранен закладкой. Синхронизирующим событием в этом случае может быть: ввод с клавиатуры длинной последовательности обрабатываемого текста; чтение из файла; запуск программ с определенными именами.
Перехват ввода с клавиатуры. Закладки, анализирующие ввод с клавиатуры, являются достаточно опасными, поскольку клавиатура является основным устройством управления и ввода информации. Через клавиатурный ввод можно получить информацию о вводимых конфиденциальных сообщениях, паролях и т.д. Перехват может производиться двумя основными способами: использование режима «Вставка»; анализом содержания клавиатурного порта или буфера по прерыванию от системного таймера.
Работа закладки основывается на полном сохранении всех нажатий клавиш в файле. Файл затем изучается, и на его основе «противник», пытавшийся получить доступ к зашифрованным файлам, восстанавливает возможные парольные последовательности.
Перехват и обработка файловых операций. Активизирующим событием в данном случае является, как правило, открытие файла, либо его закрытие.
Таким образом, закладка формирует в системе «исходный файл — ПСЗИ — выходной файл» новые связи, включая в них свои операции и массивы данных.
Разрушение программы защиты и схем контроля. Вывод о правильности работы программы делается на основе операций сравнения в арифметико-логическом устройстве процессора.
Таким образом, разработка и использование комплексных мероприятий по защите информации позволит исключить нарушение (искажение) информации при планировании и решении задач управления. Исследование вопросов количественной оценки передачи информации рассмотрены в [1].
ЛИТЕРАТУРА
- Колосов С.В. Подготовка штурманов к профессиональной деятельности в условиях информационно-психологического противоборства / С.В. Колосов, Л.В. Астахова. – Москва: АНО Издательский дом «Научное обозрение», 2014. — 241с.
- Хореев, А.А. Защита информации от утечки по техническим каналам. Ч.1. Технические каналы утечки информации. Учебное пособие. — М.: Гостехкомиссия России, 1998. — 320с.
- Хореев, А.А. Способы и средства защиты информации. — М.: МО РФ, 2000. — 316с.[schema type=»book» name=»ТЕХНИЧЕСКИЕ ВОПРОСЫ НАРУШЕНИЯ (ИСКАЖЕНИЯ) ИНФОРМАЦИИ В ОБЩЕЙ СИСТЕМЕ ПЕРЕДАЧИ ДАННЫХ ПРИ ПЛАНИРОВАНИИ И РЕШЕНИИ ЗАДАЧ УПРАВЛЕНИЯ» description=»Актуальность исследования определяется широким применением вычислительной техники во всех сферах человеческой деятельности и возрастающей ролью мероприятий по защите информации в системе передачи данных при планировании и решении задач управления в настоящее время. » author=»Колосов Сергей Викторович, Яцук Константин Васильевич » publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2017-04-22″ edition=»ЕВРАЗИЙСКИЙ СОЮЗ УЧЕНЫХ_ 28.03.2015_03(12)» ebook=»yes» ]