Например, пароль администратора локальной сети при вводе не отображается на мониторе, но может быть выявлен перехватом сигналов, излучаемых клавиатурой. Даже если излучение элементов компьютера не несет никакой информации, это излучение индивидуально для каждого компьютера. По индивидуальным признакам можно отследить перемещение компьютера, определить временной режим работы данного компьютера.
Иногда считается, что информацию в локальной сети перехватить крайне сложно. Дескать, современные локальные сети строятся по топологии «звезда», когда параллельно укладывается несколько кабелей от рабочих станций. При этом происходит взаимное глушение сигналов, распространяющихся в параллельных кабелях. На самом же деле сигналы в локальной сети не могут заглушить друг друга в силу специфики протоколов передачи данных.
К тому же, не все рабочие станции начинают и заканчивают свою работу одновременно. Также нужно помнить, что кабели локальной сети не только участвуют в передаче информации, но и являются очень хорошими антеннами, подключенными к компьютеру. Подключение компьютера к локальной сети не только создает предпосылки для перехвата информации, но и затрудняет подавление излучений самого компьютера.
Вместе с тем, процесс получения секретной информации путём перехвата паразитного излучения композитного сигнала монитора вполне реален, но процесс этот достаточно длителен. Ведь нужно дождаться, пока пользователь выведет на экран монитора необходимую секретную информацию. Это может занять дни или даже недели.
Проведенные Маркусом Куном в 1998 году экспериментальные исследования подтвердили, что существует другая возможность добывания секретной информации. На нужный компьютер загружается «троянский конь» — специальная программа-закладка любым из известных способов. Программа ищет необходимую информацию на диске и путём обращения к различным устройствам компьютера вызывает появление побочных излучений.
Например, «закладка» может встраивать сообщение в композитный сигнал монитора. При этом пользователь, играя на компьютере в карточную игру, даже не подозревает, что в изображение игральных карт вставлены секретные текстовые сообщения или изображения. С помощью специального приемника (в простейшем варианте — доработанный телевизор) обеспечивается перехват паразитного излучения монитора и выделение требуемого полезного сигнала.
Так родилась технология «Soft Tempest» — технология скрытой передачи данных по каналу ПЭМИН с помощью программных средств. Предложенная учеными Кембриджа технология по своей сути есть разновидность компьютерной стеганографии, т. е. метода скрытной передачи полезного сообщения в обычных видео, аудио, графических и текстовых файлах.
Основная опасность технологии «Soft Tempest» заключается в скрытности работы шпионской программы. Она, в отличие от большинства вирусов не портит данные, не нарушает работу компьютера, не производит несанкционированную рассылку по сети, а значит, долгое время не обнаруживается пользователем и администратором сети.
Поэтому, если вирусы, использующие интернет для передачи данных, проявляют себя практически мгновенно, и с ними быстро разбирается антивирусная программа, то вирусы, использующие побочные излучения электронного оборудования для передачи данных, могут работать годами, не обнаруживая себя.
В настоящее время технология «Soft Tempest» включает в себя не только способы электромагнитной разведки, но и программные способы защиты от нее, в частности, использование специальных шрифтов «TEMPEST», минимизирующих ВЧ излучения.
В США введена следующая классификация устройств и систем с защитой информации от ПЭМИН:
1. «TEMPEST Level 1» (аналог стандарта НATO «AMSG-720B») — оборудование данного класса относятся к категории высшей степени секретности. Оборудование должно быть утверждено АНБ и предназначено для использования только правительственными учреждениями США.
2. «TEMPEST Level 2» (аналог стандарта НATO «AMSG-788A») — оборудование данного класса предназначено для защиты менее секретной, но критичной информации, и также требуется одобрение АНБ.
3. «TEMPEST Level 3» — оборудование данного класса предназначено для защиты несекретной, но критичной или коммерческой информации. Оборудование регистрируется Национальным институтом стандартов и технологий США «NIST» (англ. National Institute of Standards and Technology).
Для частного бизнеса используется классификация «ZONE», которая позволяет применять менее дорогие устройства. Сертификация такого оборудования описана в документе АНБ «TEMPEST Endorsement Program».
В настоящее время термин «TEMPEST» был расширен и применяется и как синоним компрометирующих ПЭМИН, и как название технологии, минимизирующей риск утечки секретной информации путём перехвата ПЭМИН различными техническими средствами. В это понятие входят также стандарты на оборудование, средства измерения и контроля.
12. Каталог закладок АНБ
В 2008 году АНБ издало 50-страничный каталог, содержащий описание современных сетевых технологий «ANT» (англ. Advanced Network Technology), разработанных соответствующим подразделением «ANT» и доступных подразделению «СNO» для ведения компьютерной разведки. Большинство устройств, описанных в каталоге, функционирует и доступно для США и членов разведывательного сообщества.
Список программных и аппаратных средств оформлен в виде небольшого каталога. Всего 48 страниц отмеченных грифами «Секретно» и «Совершенно секретно», на которых дано краткое описание той или иной технологии для слежки. Представлены техники, связанные с получением скрытого доступа к вычислительной технике и сетям, а также способы и устройства РЭР, связанные с мобильной связью, и оборудование для наблюдения.
Аппаратной закладкой является скрытое техническое приспособление, своего рода «жучок», который позволяет получить доступ к цели или сведения о ней. Под программной закладкой понимаются скрытые программы, позволяющие получить доступ к цели программным способом, как, например, при помощи «троянских коней» и «бэкдоров» (англ. back door — черный ход).
Программные закладки
«GINSU» — техника, позволяющая восстановить программную закладку под названием «KONGUR» на целевых системах с аппаратной закладкой «BULLDOZZER» на «PCI» — шине. Например, в случае обновления или переустановки операционной системы (далее — ОС) на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением «Windows» до версии «Vista».
«IRATEMONK» позволяет обеспечить присутствие программного обеспечения (далее — ПО) для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения «MBR». Метод работает на различных дисках «Western Digital», «Seagate», «Maxtor» и «Samsung». Из файловых систем поддерживаются «FAT», «NTFS», «EXT3» и «UFS». Системы с «RAID» не поддерживаются. После внедрения «IRATEMONK» будет запускать свою функциональную часть при каждом включении целевого компьютера.
«SWAP» позволяет обеспечить присутствие ПО для шпионажа за счет использования «BIOS» материнской платы и «HPA» области жесткого диска путем исполнения кода до запуска ОС. Данная закладка позволяет получить удаленный доступ к различным ОС («Windows», «FreeBSD», «Linux», «Solaris») c различными файловыми системами («FAT32», «NTFS», «EXT2», «EXT3», «UFS 1.0»). Для установки используются 2 утилиты: «ARKSTREAM» перепрошивает «BIOS», а «TWISTEDKILT» записывает в «HPA» область диска «SWAP» и его функциональная часть.
«WISTFULTOLL» — это плагин к программам «UNITEDRAKE» и «STRAITBIZZARE» для сбора информации на целевой системе, использует вызовы «WMI» и записи реестра. Возможна работа в качестве самостоятельной программы. При наличии физического доступа к системе может производить сброс полученных в ходе анализа данных на «USB» — накопитель.
«SOMBERKNAVE» — программная закладка, работающая под «Windows XP» и предоставляющая удаленный доступ к целевому компьютеру. Использует незадействованные «Wi-Fi» адаптеры, в случае, когда пользователь задействовал адаптер «SOMBERKNAVE», прекращает передачу данных.
Аппаратные закладки
«HOWLERMONKEY» представляет собой радиопередатчик малого и среднего радиуса. Является специальном радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.
«JUNIORMINT» — миниатюрная аппаратная закладка на базе «ARM» — системы, которая может быть сконфигурирована для различных задач. Например, такая система может быть частью других устройств для шпионажа. Обладает следующими характеристиками: процессор «ARM9» 400 MГц, флеш 32 MБ, «SDRAM» 64 MБ, ПЛИС «Vertex4/5», оснащенная 128 MБ «DDR2».
«MAESTRO-II» миниатюрная аппаратная закладка на базе «ARM» — системы, размером в 1-центовую монету. Характеристики довольно скромные: процессор «ARM7» 66 MГц, оперативная память 8 MБ, флеш 4 MБ.
«TRINITY» — миниатюрная аппаратная закладка на базе «ARM» — системы, размером в 1-центовую монету. Обладает следующими характеристиками: процессор «ARM9» 180 MГц, оперативная память 96 MБ, флеш 4 MБ. Используется в составе других устройств.
«COTTONMOUTH-I» аппаратная «USB» — закладка, которая предоставляет беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими «СOTTONMOUTH».
В основе лежит элементная база «TRINITY», в качестве радиопередатчика используется «HOWLERMONKEY». Существует версия под названием «MOCCASIN», представляющая собой закладку в коннекторе «USB» — клавиатуры.
«COTTONMOUTH-II» — аппаратная «USB» — закладка, которая предоставляет скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый «USB» — коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками.