Файл: 1. Принципы технической защиты информации как процесса.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.11.2023
Просмотров: 555
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
•
Через светодиоды клавиатуры – использование светодиодных индикаторов на клавиатуре для оптического кодирования информации.
Передатчиком является компьютер или сервер подключённый к клавиатуре через
USB. Передача осуществляется путем мигания светодиодов клавиатуры в соответствии с модуляцией и схема кодирования. Приемником является часть оборудования имеющего прямую видимость на светодиоды клавиатуры. Защита: зонирование, отключение или закрытие светодиодов, установка специальной оконной пленкой, видеонаблюдение за комнатой, обнаружение вредоносного ПО, вызывающее светодиодную индикацию, прерывание сигналов путем вызова случайного мигания светодиода;
•
Через индикатор HDD – использование светодиодного индикатора HDD для оптического кодирования информации. Вредоносная программа может быстро включать и выключать индикатор жесткого диска, это превышает возможности визуального восприятия людей. Украденная информация может быть закодирована и пропущена через светодиодные сигналы, которые можно получить разными камерами и датчиками света. Для генерации сигнала можно управлять светодиодом, выполняя определенные операции чтения-записи. Для эффективного модулирования надо выполнить операцию чтения в данный момент времени без задержки, для этого вредоносное ПО отключает кэширование диска. Защита: зонирование, отключение индикатора жесткого диска, оконная пленка, обнаружение вредоносного ПО, вызывающего индикатор жесткого диска, видеонаблюдение за передней панелью компьютера, выполнение фонового процесса, часто вызывающего случайные операции чтения и записи;
•
Через камеры безопасности и ИК-порт – вредоносное ПО реализует утечку через передачу скрытых сигналов через ИК-светодиоды камеры наблюдения и обеспечивает прием команд управления от злоумышленника, воздействующего ИК излучением на матрицу камеры. Вредоносное ПО может управлять ИК-светодиодами камер, включая и выключая их. Двоичные данные могут быть закодированы ИК- сигналами. Злоумышленник может генерировать ИК-сигналы, которые будут записываться камерами наблюдения, с доступом к камере вредоносное ПО может обнаруживать скрытые сигналы и декодировать их. ПО собирает данные и кодирует их с помощью ИК-сигналов от ИК-светодиодов. Злоумышленник генерирует невидимые ИК-сигналы с помощью ИК-светодиодов, ИК-сигналы модулируется сообщениями, передающееся вредоносному ПО, видеопоток принимается вредоносным ПО, которое декодирует данные. Защита: Отключение ИК-светодиодов, закрытие ИК-светодиодов черной лентой, добавление минимального времени ожидания между изменениями состояния ИК-светодиодов, вызов случайного мигание ИК-излучения, добавление ИК-фильтра, анализ видеопотока в поисках нерегулярных действий светодиодов, мониторинг доступа к API интерфейсам конфигурации камер, отслеживание трафика от хостов к камерам;
1 2 3 4 5 6
56. Скрытый магнитный канал утечки информации из изолированной ПЭВМ,
создаваемый вредоносным внедренным ПО.
Физическая изоляция (воздушный зазор) – мера безопасности, заключающаяся в том, что безопасная сеть физически изолирована от других сетей.
Скрытый канал – возможность передачи информации, между техническими средствами, которым не разрешено взаимодействовать через пути, изначально не предназначенные для передачи информации и не подчиняющиеся правилам контроля доступа.
Варианты реализации:
•
Через магнитные поля и телефоны – устранение зазора путем генерируемых магнитных полей. Вредоносное ПО контролирует магнитные поля регулированием нагрузки на процессор. Конфиденциальные данные кодируются и передаются по магнитным сигналам. Смартфон получает скрытые сигналы через магнитный датчик. Вредоносное ПО на смартфоне сканирует магнитное поле на наличие сигнала и осуществляет прием, декодирование и накопление. Регулирование нагрузки на процессор можно регулировать его энергопотребление и контролировать магнитное поле. Запуская и останавливая нагрузку процессора можно генерировать магнитное поле на необходимой частоте и модулировать двоичные данные. Канал работает даже при нахождении телефона в футляре Фарадея. Защита: использование систем безопасности, помечающие потоки, манипулирующие рабочей нагрузкой процессора, мониторинг магнитного поля, использование ферромагнитных материалов для экранирования, генерация помех, зонирование;
•
Магнитные поля из клетки Фарадея – утечка информации из компьютера, размещенного в клетке Фарадея посредством низкочастотных магнитных полей.
Низкочастотные магнитные поля проникают в металлические экранирующие элементы и могут быть получены магнитным приемником. Данные принимаются магнитным приемником установленном с компьютером в той же комнате или магнитным приемником, который находится в менее защищенной зоне. Защита: обнаружение вредоносной активности, обнаружение магнитной активности, ферромагнитное экранирование, устройство подавления магнитного поля, сокращение поле (создание встречных магнитных полей), генератор случайных нагрузок, зонирование;
57. Скрытый тепловой канал утечки информации из изолированной ПЭВМ,
создаваемый вредоносным внедренным ПО.
Физическая изоляция (воздушный зазор) – мера безопасности, заключающаяся в том, что безопасная сеть физически изолирована от других сетей.
Скрытый канал – возможность передачи информации, между техническими средствами, которым не разрешено взаимодействовать через пути, изначально не предназначенные для передачи информации и не подчиняющиеся правилам контроля доступа.
Варианты реализации:
•
За счет излучения тепла от одного ПК в другому – вредоносное ПО использует тепловыделение и встроенные термодатчики компьютеров для создания скрытого канала связи. Поддерживается двунаправленная связь. Устанавливается
создаваемый вредоносным внедренным ПО.
Физическая изоляция (воздушный зазор) – мера безопасности, заключающаяся в том, что безопасная сеть физически изолирована от других сетей.
Скрытый канал – возможность передачи информации, между техническими средствами, которым не разрешено взаимодействовать через пути, изначально не предназначенные для передачи информации и не подчиняющиеся правилам контроля доступа.
Варианты реализации:
•
Через магнитные поля и телефоны – устранение зазора путем генерируемых магнитных полей. Вредоносное ПО контролирует магнитные поля регулированием нагрузки на процессор. Конфиденциальные данные кодируются и передаются по магнитным сигналам. Смартфон получает скрытые сигналы через магнитный датчик. Вредоносное ПО на смартфоне сканирует магнитное поле на наличие сигнала и осуществляет прием, декодирование и накопление. Регулирование нагрузки на процессор можно регулировать его энергопотребление и контролировать магнитное поле. Запуская и останавливая нагрузку процессора можно генерировать магнитное поле на необходимой частоте и модулировать двоичные данные. Канал работает даже при нахождении телефона в футляре Фарадея. Защита: использование систем безопасности, помечающие потоки, манипулирующие рабочей нагрузкой процессора, мониторинг магнитного поля, использование ферромагнитных материалов для экранирования, генерация помех, зонирование;
•
Магнитные поля из клетки Фарадея – утечка информации из компьютера, размещенного в клетке Фарадея посредством низкочастотных магнитных полей.
Низкочастотные магнитные поля проникают в металлические экранирующие элементы и могут быть получены магнитным приемником. Данные принимаются магнитным приемником установленном с компьютером в той же комнате или магнитным приемником, который находится в менее защищенной зоне. Защита: обнаружение вредоносной активности, обнаружение магнитной активности, ферромагнитное экранирование, устройство подавления магнитного поля, сокращение поле (создание встречных магнитных полей), генератор случайных нагрузок, зонирование;
57. Скрытый тепловой канал утечки информации из изолированной ПЭВМ,
создаваемый вредоносным внедренным ПО.
Физическая изоляция (воздушный зазор) – мера безопасности, заключающаяся в том, что безопасная сеть физически изолирована от других сетей.
Скрытый канал – возможность передачи информации, между техническими средствами, которым не разрешено взаимодействовать через пути, изначально не предназначенные для передачи информации и не подчиняющиеся правилам контроля доступа.
Варианты реализации:
•
За счет излучения тепла от одного ПК в другому – вредоносное ПО использует тепловыделение и встроенные термодатчики компьютеров для создания скрытого канала связи. Поддерживается двунаправленная связь. Устанавливается
канал связи регулированием и контролем тепловых характеристик внутренних элементов, обеспечивая модуляцию двоичных данных. Соседний ПК с помощью термодатчиков обрабатывает и демодулирует тепловые излучения в двоичные данные. ПО может использоваться для непосредственного управления действиями вредоносного ПО в сети и получения обратной связи. Приемник должен контролировать свои термодатчики, чтобы через незначительные изменение температуры окружающей среды определить тепловой сигнал от передатчика.
Существование зависит от расстояния между передатчиком и приемником, ориентации корпусов ПК, количества типа и расположения вентиляторов, расположение ПК относительно стен или мебели. Защита: зонирование, размещение термодатчиков между компьютерами;
•
Атака на систему кондиционирования воздуха – системы отопления, вентиляции и кондиционирования (HVAC) соединены между собой сетью или подключены к интернету. Злоумышленник подвергает риску сеть HVAC и использует ее для отправки тепловых сигналов зараженным узлам. Тепловые сигналы улавливаются термодатчиками зараженных хостов, устанавливается скрытый канал широковещания для зараженных хостов. HVAC может передать команды по воздуху, изменяя тепловую среду в соответствии с заданным протоколом;
58. Скрытый электрический канал утечки информации из изолированной
ПЭВМ, создаваемый вредоносным внедренным ПО.
Физическая изоляция (воздушный зазор) – мера безопасности, заключающаяся в том, что безопасная сеть физически изолирована от других сетей.
Скрытый канал – возможность передачи информации, между техническими средствами, которым не разрешено взаимодействовать через пути, изначально не предназначенные для передачи информации и не подчиняющиеся правилам контроля доступа.
Варианты реализации:
•
По линиям электропередачи – вредоносный код контролирует энергопотребление регулированием загрузки ЦП. Злоумышленник измеряет уровень наведенной ЭМ индукции на частотах и декодирует отфильтрованные данные.
Этапы: системная инфекция, имплантация приемника, сбор данных, передача данных. Запуск и остановка нагрузки ЦП позволяет генерировать сигнал на линиях электропередачи и модулировать двоичные данные над ним. Лучше регулировать нагрузку каждого ядра в отдельности: можно выбрать только доступные в настоящее время ядра, что не прерывает другие процессы в системе. Можно контролировать потребление тока и амплитуду несущей волны. Защита: мониторинг линии электропередачи, фильтрация сигналов, зашумление сигнала, обнаружение на основе хоста (IDS,IPS);
Существование зависит от расстояния между передатчиком и приемником, ориентации корпусов ПК, количества типа и расположения вентиляторов, расположение ПК относительно стен или мебели. Защита: зонирование, размещение термодатчиков между компьютерами;
•
Атака на систему кондиционирования воздуха – системы отопления, вентиляции и кондиционирования (HVAC) соединены между собой сетью или подключены к интернету. Злоумышленник подвергает риску сеть HVAC и использует ее для отправки тепловых сигналов зараженным узлам. Тепловые сигналы улавливаются термодатчиками зараженных хостов, устанавливается скрытый канал широковещания для зараженных хостов. HVAC может передать команды по воздуху, изменяя тепловую среду в соответствии с заданным протоколом;
58. Скрытый электрический канал утечки информации из изолированной
ПЭВМ, создаваемый вредоносным внедренным ПО.
Физическая изоляция (воздушный зазор) – мера безопасности, заключающаяся в том, что безопасная сеть физически изолирована от других сетей.
Скрытый канал – возможность передачи информации, между техническими средствами, которым не разрешено взаимодействовать через пути, изначально не предназначенные для передачи информации и не подчиняющиеся правилам контроля доступа.
Варианты реализации:
•
По линиям электропередачи – вредоносный код контролирует энергопотребление регулированием загрузки ЦП. Злоумышленник измеряет уровень наведенной ЭМ индукции на частотах и декодирует отфильтрованные данные.
Этапы: системная инфекция, имплантация приемника, сбор данных, передача данных. Запуск и остановка нагрузки ЦП позволяет генерировать сигнал на линиях электропередачи и модулировать двоичные данные над ним. Лучше регулировать нагрузку каждого ядра в отдельности: можно выбрать только доступные в настоящее время ядра, что не прерывает другие процессы в системе. Можно контролировать потребление тока и амплитуду несущей волны. Защита: мониторинг линии электропередачи, фильтрация сигналов, зашумление сигнала, обнаружение на основе хоста (IDS,IPS);
59. Скрытые каналы утечки информации из изолированной ПЭВМ,
создаваемые вредоносным ПО. Пути внедрения вредоносного ПО.
Физическая изоляция (воздушный зазор) – мера безопасности, заключающаяся в том, что безопасная сеть физически изолирована от других сетей.
Скрытый канал – возможность передачи информации, между техническими средствами, которым не разрешено взаимодействовать через пути, изначально не предназначенные для передачи информации и не подчиняющиеся правилам контроля доступа.
Каналы: акустический, вибрационный, визуально-оптический, магнитный, тепловой, электрический, радиодиапазон.
Злоумышленник должен найти способы установить связь между компьютером из доверенной ИС и компьютером из ненадежной сети. При этом он сталкивается со следующими проблемами:
•
Как разместить вредоносное ПО на доверенном компьютере:
Программная или аппаратная модификация цепи в цепочке поставок, сотрудник организации может внедрить ПО (например через флешку), добавление вредоносной полезной нагрузки в пакет обновления или носителя с ними;
•
Как связаться с вредоносным ПО: после начальной фазы злоумышленнику может потребуется настроить канал связи;
Методы для достижения связи между доверенной и ненадежной ИС состоят в использовании доступных встроенных интерфейсов беспроводной связи или настройке скрытого канала с использованием внутренних ресурсов целевого устройства в качестве передатчика или приемника.
Механизм атаки на изолированный компьютер:
•
Модификация установленного ПО;
•
Захват канала C&C: отправка команд и обеспечение скрытности;
•
Утечка конфиденциальной информации: передача-прием-декодирование;
60. Скрытые каналы утечки информации в радиодиапазоне из изолированной
ПЭВМ, создаваемый вредоносным внедренным ПО.
Физическая изоляция (воздушный зазор) – мера безопасности, заключающаяся в том, что безопасная сеть физически изолирована от других сетей.
Скрытый канал – возможность передачи информации, между техническими средствами, которым не разрешено взаимодействовать через пути, изначально не предназначенные для передачи информации и не подчиняющиеся правилам контроля доступа.
Варианты реализации:
•
Через кабели Ethernet – вредоносное ПО использует кабель Ethernet в качестве передающей антенны. Вредоносное ПО модулирует данные и передает их по беспроводной сети через радиоволны от кабелей Ethernet, скрытая передача может быть получена SDR-приемником, где она декодируется и отправляется злоумышленнику. Возможно 2 варианта формирования сигналов: Переключение скорости Ethernet (регулирование электромагнитного излучения путем скорости, включения или выключение передачи данных) и передача UDP пакетов (отправление