Методы и средства защиты информации
.pdf
Глава 14
Методы и средства разрушения информации
В некоторых случаях злоумышленник, которому не удается получить информацию по техническим каналам, может прибегнуть к ее разрушению. Кроме того, умышленное разрушение информации может применяться и для сокрытия следов ее несанкционированного получения. Традиционным методом разрушения информации являются помехи. В последние десятилетия к ним прибавились методы, ориентированные на аппаратные и программные средства ПЭВМ — несанкционированное силовое воздействие по цепям питания, компьютерные вирусы и закладки. В данной главе рассматриваются все указанные методы, а также приведены основные принципы функционирования аппаратных и программных средств разрушения информации.
Помехи
Помехой называется нежелательное электрическое и ( или) магнитное воздействие на систему или ее часть, которое может привести к искажению хранимой, преобразуемой, передаваемой или обрабатываемой информации.
По происхождению помехи подразделяются на:
∙непреднамеренные помехи естественного происхождения (космические и атмосферные помехи, шумы антенных систем и внутренние шумы приемников);
∙непреднамеренные помехи искусственного происхождения;
∙организованные помехи, которые могут быть активными и пассивными.
Последний вид помех, в свою очередь, подразделяется на две группы: мас-
кирующие помехи и имитирующие помехи. Маскирующие помехи создают шу-
мовой фон, на котором трудно выделить полезный сигнал. Имитирующие помехи являются подделкой полезных сигналов по одному или нескольким параметрам.
По месту возникновения различают помехи внутренние и внешние. К внут- ренним шумам можно отнести шумы, наводки и помехи от рассогласования.
242 Глава 14. Методы и средства разрушения информации
Шум — это флуктуационный процесс, связанный с дискретной природой электрического тока и представляющий собой последовательность очень коротких импульсов, появляющихся хаотически в большом количестве.
Различают разнообразные виды шумов: тепловой, полупроводниковый, дробовой и т.д. Тепловой шум возникает в проводниках за счет теплового хаотического движения электронов. Полупроводниковый — вследствие статического характера процесса генерации-рекомбинации пар электронов и дырок. Дробовой шум возникает вследствие случайного характера преодоления носителями тока потенциальных барьеров, например электронно-дырочных переходов.
Наводка — это помеха, возникающаявследствие непредусмотреннойсхемой и конструкцией рассматриваемого объекта передачи по паразитным связям напряжения, тока, заряда или магнитного потока из источника помехи в рассматриваемую часть объекта. Под паразитной связью при этом следует понимать связь по электрическим и (или) магнитным цепям, появление которой не было предусмотрено конструктором. В зависимости от физической природы элементов паразит-
ных электрических цепей, различают паразитную связь через общее полное со- противление, емкостную паразитную связь, паразитную связь через взаимную индуктивность(индуктивную паразитную связь) и др. В зависимости от того, является ли источник помех, вызывающих наводку, частью объекта, различают соответственновнутреннююи внешнюю наводки.
Помеха от рассогласования представляет собой нежелательный переходный процесс в рассматриваемой цепи объекта, содержащей участки с распределенными и сосредоточенными параметрами, который возникает вследствие рассогласования между неоднородными участками.
Наводки и помеха от рассогласования могут возникать не только в сигнальных цепях, но и в цепях питания и заземления.
По характеру протекания процесса во времени различают помехи импульс-
ные и флуктуационные.
Квнешним помехам относятся промышленные (индустриальные), от радио- передатчиков, атмосферные и космические.
Индустриальные помехи можно разделить на две большие группы. К первой группе относятся устройства, генерирующие относительно регулярные электромагнитные колебания, не предназначенные для излучения, такие как медицинские высокочастотные установки, различного рода промышленные агрегаты, системы развертки и др. Помехи, излучаемые такими источниками, как на основной частоте, так и на гармониках, представляют собой колебания, близкие к гармоническим.
Кисточникам второй группы относятся различные электрические устройства, не вырабатывающие периодических электромагнитных колебаний. К ним относятся линии электропередач, системы зажигания двигателей внутреннего сгорания, высокочастотная аппаратура для дуговой сварки, газоразрядные устройства, индукционная и переключающая аппаратура и др. На частотах, превышаю-
Помехи 243
щих 30 МГц, индустриальные помехи, порождаемые системами зажигания, обычно преобладают над помехами, создаваемыми другими источниками. На частотах ниже 30 МГц преобладающими являются помехи, порождаемые линиями электропередач.
По предсказуемости времени появления и формы различают случайные (стохастические) и регулярные помехи.
По результатам воздействия на полезный сигнал различают помехи адди-
тивные и мультипликативные.
Аддитивная помеха не зависит от сигнала и вызывается сторонним возмущением поля, которым передается сигнал по каналу связи.
Мультипликативная помеха обусловлена сторонним изменением коэффициента передачи канала связи.
В общем виде влияние помехи ξ на передаваемый сигнал может быть выражено следующим оператором:
χ = V(s,ξ)
Втом частном случае, когда оператор вырождается в сумму χ = s + ξ, помеха
ξназывается аддитивной. Аддитивную помеху часто называют шумовой. Если же оператор V может быть представлен в виде χ = Vs , где случайный процесс V(t) неотрицателен, то помеху V называют мультипликативной. Если V — медленный (по сравнению с s) процесс, то явление, вызываемое мультипликативной помехой, носит название замирания (фединг).
Вболее общем случае при одновременном наличии аддитивной и мультипликативной помех удобно записать в следующем виде:
χ = Vs + ξ
С физической точки зрения случайные помехи порождаются различного рода флуктуациями, которыми в физике называют случайные отклонения тех или иных физических величин от их средних значений.
Внешние помехи объектам безотносительно первоисточника их возникнове-
ния можно подразделить на помехи от сети питания, из внешних линий связи, от разрядов электрических зарядов и от электромагнитных полей излучения.
Помехи из сети питания переменного тока в свою очередь можно подразде-
лить на импульсные помехи, провалы и перенапряжения.
Провал напряжения в сети питания переменного тока — это помеха, в течение действия которой значение амплитуды напряжения в сети в каждом полупериоде частоты переменного тока становится меньше регламентированного минимально допустимого значения.
Перенапряжение в сети питания переменного тока — это помеха, в течении действия которой значение амплитуды напряжения в сети в каждом полупериоде частоты переменного тока превышает регламентированное максимально допустимое значение.
244 Глава 14. Методы и средства разрушения информации
Импульсные помехи из сети питания можно подразделить на симметричные
и несимметричные.
Напряжение симметричных помех приложено между фазными проводами питающей сети, а несимметричных — между фазным проводом и землей.
Под помехами из внешних линий связи подразумеваются помехи, попадающие в аппаратуру рассматриваемого объекта из линий связи с устройствами, не являющимися частями объекта. Наиболее характерными помехами из внешних линий связи являются симметричные и несимметричные импульсные помехи и помехи от неэквипотенциальности точек заземления.
Напряжение симметричной импульсной помехи по линии связи приложено между прямым и обратным проводом линии связи и называется “ поперечной помехой”. Напряжение несимметричной импульсной помехи по линии связи приложено ме- 
жду проводом линии связи и заземлением и на-
зывается “продольной помехой”. Напряжение помехи от неэквипотенциально-
сти точек заземления приложено между точками заземления отдельных устройств. Если связи между устройствами являются гальваническими и обратные провода связи соединены с корпусами устройств, то это напряжение оказывается приложенным к обратному проводу связи ( рис.
14.1).
Намеренное силовое воздействие по сетям питания
Под намеренным силовым воздействием (НСВ) по сетям питания понимается преднамеренное создание резкого выплеска напряжения в сети питания с амплитудой, длительностью и энергией всплеска, которые способны привести к сбоям в работе оборудования или к выходу его из строя. Для НСВ используют специальные технические средства ( ТС), которые подключаются к сети непосредственно с помощью гальванической связи, через конденсатор или трансформатор. НСВ может быть использовано и для предварительного вывода из строя сигнализации перед нападением на объект или для провоцирования ложных срабатываний сигнализации без проникновения на объект.
Компьютер или другое электронное оборудование автоматизированных систем (АС) имеет два значимых для проникновения энергии НСВ по сети питания канала:
∙кондуктивный путь через источник вторичного электропитания (ВИП);
∙наводки через паразитные емкости и индуктивные связи, как внутренние, так и между совместно проложенными силовыми кабелями и информационными линиями связи (ИЛС).
Намеренноесиловоевоздействиепо сетям питания 245
На рис. 14.2 показаны упрощенные схемы этих каналов. Между сетью питания и ВИП, как правило, устанавливается дополнительное устройство защиты (УЗ). Такое устройство (UPS, стабилизатор и т.п.) влияет на канал распространения энергии НСВ, что также должно быть учтено. ИЛС подключена к компьютеру через устройство гальванического разделения (УГР) (трансформатор, оптопара и т.п.), которое, как правило, присутствует на входе модема, сетевой платы и других узлах АС. Вход/выход ВИП и УЗ зашунтированы собственной емкостью монтажа, трансформатора и т.п.
Рис. 14.2. Схема образования каналов проникновения НСВ
Аппаратная часть компьютера за ВИП весьма чувствительна к воздействию импульсных помех. Сбой в работе цифровых микросхем возникает при появлении на шине питания импульса с амплитудой в единицы вольт при длительности в десятки наносекунд. Деградация цифровых микросхем наступает при воздействии импульсов напряжениядлительностью1 мкс с энергией 2–500 мкДж. Однако в целом компьютеры и периферийные более устойчивы к электромагнитнымпомехам и должны выдерживать воздействие по цепям электропитания всплесков напряжения 0,2 Uном и время до 500 мс, микросекундныхи наносекундных импульсных помех с амплитудой до 1 кВ, а в цепях ввода/вывода — наносекундных импульсных помех амплитудой500 В.
Подавление импульсных помех на пути из сети питания к чувствительным микросхемам происходит во входных цепях ВИП (главным образом во входном фильтре). Эти же узлы принимают на себя удар НСВ по сети питания. У низкокачественных ВИП отсутствуют некоторые элементы цепей защиты (чаще всего — варисторы и термисторы) и (или) используются более дешевые элементы (конденсаторы с меньшей емкостью, варисторы с меньшей энергией, вместо термисторов — обычные резисторы).
Для оценки устойчивости ВИП к НСВ достаточно оценить предельную энергопоглощающую способность Wmax и электрическую прочность ряда элементов схемы и сопоставить ее в дальнейшем с энергией и входным напряжением ТС НСВ. При этом следует учитывать, что энергия при НСВ может распространять-
246 Глава 14. Методы и средства разрушения информации
ся по симметричному (между линиями) и несимметричному пути (между линиями и корпусом).
Таким образом, элементы входного LCфильтра имеют чрезвычайно низкие уровни Wmax и не являются препятствием на пути мощных импульсных помех. Это вполне объяснимо, поскольку LC-фильтр в основном предназначен для решения обратной задачи, а именно — препятствовать распространению собственных шумов ВИП в сеть питания. Уровень шумов составляет доли вольта, поэтому при проектировании фильтра предельная энергопоглощающая способность его элементов не является определяющим фактором. Если LC-фильтр — это единственное устройство защиты на входе ВИП ( а именно так устроено большинство дешевых ВИП), то ТС НСВ достаточно обеспечить возможность подвода к каждому атакуемому компьютеру мощной импульсной помехи с амплитудой порядка 2 кВ и энергией 1–2 Дж с достаточно крутым фронтом, уменьшающим влияние емкостного фильтра инвертора ВИП.
Основные функции защиты от мощных импульсных помех в качественных ВИП принимает на себя варистор. Несмотря на впечатляющие уровни рабочих токов, варисторы имеют предельно допустимую рассеиваемую мощность, исчисляемую единицами Вт, поэтому при воздействии длинных импульсов с относительно небольшим током они выходят из строя или срабатывают, вызывая сгорание предохранителя на входе ВИП. Перегорание предохранителя приводит к необходимости демонтажа и ремонта ВИП, тем самым объект атаки (компьютер) на время выводится из строя. Тем не менее, в данном случае ТС НСВ требуется энергия порядка 50–100 Дж при амплитуде порядка 1 кВ (при этом длительность импульса может доходить до 0,1 с для инерционных предохранителей) в расчете на один атакуемый компьютер, а их может быть одновременно подключено к сети питания большое количество. С учетом того, что существенная доля энергии при этом может передаваться не на вход ВИП, а в общегородскую сеть питания ( по меньшей мере до ближайшей трансформаторной подстанции), конструкция ТС НСВ усложняется, возрастают габариты и требуется большее вмешательство в сеть питания объекта атаки для подключения ТС НСВ.
Значительно меньше энергии требуется для повреждения конденсаторов входного фильтра инвертора и диодов выпрямительного моста. При этом ТС НСВ генерирует импульс, “обходящий” варисторную схему защиты. Используется разница в напряжении пробоя конденсаторов и напряжения, при котором наступает эффективное ограничение напряжения варистором (оно больше напряжения пробоя конденсаторов на 70–120 В). Для такого ТС НСВ в пересчете на один атакуемый компьютер достаточно энергии 15–25 Дж при амплитуде импульса 500–600 В и длительности до 5 мс. После пробоя конденсаторов дополнительно возникает импульс тока через диоды моста, который при горячем термисторе доходит до 1000 А, выводя диоды из строя. Для большинства ВИП при таком воздействии весьма вероятен выход из строя трансформаторов и других
Намеренноесиловоевоздействиепо сетям питания 247
элементов инвертора, а также забросы напряжения на выходе ВИП, приводящие к повреждению других узлов компьютера.
Входные высоковольтные и выходные низковольтные цепи ВИП компьютеров имеют емкостную связь через паразитную емкость Cвх/вых = 10–30 пФ. Большая величина паразитной емкости обусловлена тем, что в подавляющем большинстве компьютерных ВИП сложно реализовать специфические требования, предъявляемые к конструкции фильтров НЧ (разбивку корпуса на экранированные отсеки, применение элементов с малой собственной емкостью/индуктивностью, оптимальная трассировка монтажных жгутов и т.п.). Из-за прокладки кабеля к сетевому выключателю внутри корпуса компьютера без учета требований электромагнитной совместимости появляется паразитная емкость Cсеть-плата = 5–10 пФ, связывающая сеть питания с элементами материнской платы. Если ТС НСВ используют для провоцирования сбоев в работе АС, то они генерируют высоковольтные импульсы с наносекундными временными нарастаниями. Для таких импульсов импеданс паразитных емкостей составляет доли Ом, поэтому энергия импульсов эффективно передается как на шины питания узлов АС в виде импульсов напряжения, так и во внутренние объемы корпусов компьютеров и другого оборудования в виде импульсных электромагнитных полей. Следствием является “зависание” компьютеров, сбои в работе программного обеспечения, искажение данных. Повреждение микросхем такими импульсами маловероятно.
Вежекторный дроссель и конденсаторы входного LC-фильтра ВИП образуют высокодобротный колебательный контур с волновым сопротивлением приблизительно на порядок большим волнового сопротивления сетевых проводов. Поэтому при падении из сети питания импульса с крутым фронтом амплитуда импульса на выходе фильтра может возрасти в 1,5 раза (нечто подобное происходит со всеми фильтрами, не рассчитанными при проектировании на подавление мощных импульсов). Этот импульс может включить трансформатор инвентора ВИП в момент, не соответствующий алгоритму системы управления. Включение трансформатора может привести к забросу напряжения на выходе ВИП или к повреждению ВИП. Далее тип сетевого включателя ПЭВМ может оказать влияние на устойчивость АС по отношению к НСВ.
ТС НСВ генерирует высоковольтный импульс с крупным фронтом наносекундного диапазона и подключается к сетевому кабелю по несимметричной схеме — между жилой и шиной заземления в трехпроводной сети с изолированной нейтралью. Если витая пара проложена совместно с сетевым кабелем в общем коробе, то при разнесении их на расстояние до 100 мм и с наличием участка совместной прокладки длиной более 2–5 м индуцированное импульсное напряжение на жилах витой пары может достигать амплитуды напряжения на выходе ТС НСВ. Энергия импульса напряжения на жилах витой пары составляет максимум 50–100 МДж и слабо зависит от энергии, генерируемой ТС НСВ. Наибольшую опасность индуцированное импульсное напряжение может представлять для
248 Глава 14. Методы и средства разрушения информации
изоляции на корпус УГР, которое может быть пробито и тем самым УГР выведено из строя.
Дополнительные устройства защиты типа простейших ограничителей, фильтров, UPS по схеме “off-line”, импортных релейных сетевых конденсаторов и т.п. имеют в качестве элементов зашиты от помех НЧ-фильтры и варисторы. Защита от перегрузок предусматривает отключение устройства. Поэтому все сказанное относительно недостатков входного фильтра ВИП применительно и к ним. Высококачественные фильтры отечественного производства с проходными конденсаторами хороши для защиты от радиопомех, но при НСВ разрушаются с взрывоподобным эффектом из-за низких предельно допустимых напряжений проходных конденсаторов. UPS по схеме “online”, в принципе, должны защищать оборудование от НСВ. Однако реальные конструкции этой защиты не обеспечивают. Прежде всего, UPS имеет схему питания собственных нужд, которая содержит импульсный ВИП, аналогичный компьютерному, поэтому при НСВ по сети питания UPS выходит из строя. При этом обычно срабатывает байпас, и через него энергия ТС НСВ беспрепятственно достигает цели в обход UPS.
Практически любые стабилизаторы и конденсаторы напряжения, предлагаемые для защиты ПЭВМ, имеют слабую защиту нагрузки и питания собственных нужд от импульсных помех.
Технические средства для НСВ по сети питания
Классифицировать и дать описание и характеристики ТС НСВ достаточно сложно, так как их производители по понятным причинам не стремятся к саморекламе. Однако знание физических принципов НСВ и схемотехнических приемов, используемых в ТС НСВ, позволяет корректно сформулировать требования к системам защиты в техническом и организационном аспектах, чтобы минимизировать ущерб от возможного нападения с применением ТС НСВ.
Определяющим фактором, влияющим на конструкцию ТС НСВ в целом, является способ подключения к сети питания (последовательно или параллельно). Последовательный (чаще — трансформаторный) способ требует более серьезного вмешательства в сеть питания для подключения обмотки трансформатора в разрыв цепи. При этом через вторую обмотку трансформатора проходит полный ток потребителя, поэтому ТС НСВ имеет большие размеры и массу, а при большей мощности, потребляемой объектом атаки, для подключения ТС НСВ необходимы демаскирующие его кабели большего сечения. Эффективность подобных ТС НСВ достигается за счет того, что энергия НСВ передается непосредственно на один объект атаки и не распространяетсяна всю питающую сеть.
Парралельный способ подключения не требует вмешательства в сеть питания (достаточно вставить стандартную вилку в розетку). Такие ТС компактны и не имеют демаскирующего кабеля большого сечения. Но в этом случае технически сложнее организовать передачу в сеть питания длинных импульсов, наибо-
Намеренноесиловоевоздействиепо сетям питания 249
лее опасных для ПЭВМ с импульсным ВИП. Кроме того, энергия НСВ распространяется на всю сеть электропитания, а не только на объект атаки. Это обстоятельство требует накопителей энергии ТС существенного объема и снижает действенность атаки.
По принципу действия ТС НСВ можно классифицировать следующим образом.
1.Переключающие на короткое время однофазное напряжение сети питания объекта атаки на линейное напряжение, что вызывает повышение напряжения в однофазной сети в 1,73 раза. Это примитивные и дешевые устройства, основными элементами которых являются электромагнитные или тиристорные контакторы и схемы управления ими. Требуют серьезного вмешательства в схему электропитания для подключения ТС к разрыву в сети. Обеспечивают НСВ для небольших объектов с однофазным электроснабжением ( в зданиях с многочисленными офисами). Для диверсии обыкновенно в ходе ремонтных или электромагнитных работ к этажному щитку питания и/или автоматическому включателю объекта прокладывается дополнительный кабель, а спустя некоторое время к нему подключают ТС НСВ и производится атака на объект.
2.ТС НСВ с вольтдобавочными трансформаторами. Устанавливаются последовательно в разрыв кабеля электропитания. Позволяют кратковременно поднять напряжение на объекте атаки соответствующей трансформацией сетевого напряжения, либо трансформировать в сеть электропитания импульс напряжения необходимой формы и амплитуды от емкостного накопителя. Возможно одновременное использование энергии сети питания и энергии емкостного накопителя. В конструкции применяются специальные импульсные трансформаторы с малыми размерами и массой. В качестве конструктивной основы могут быть использованы доработанные соответствующим образом сварочные трансформаторы, что дает определенный маскирующий эффект.
3.ТС НСВ с параллельным подключением и емкостными (реже индуктивными) накопителями. Из-за относительной простоты технической реализации и эксплуатации эта группа ТС является наиболее многочисленной.
ТС НСВ с емкостными/индуктивными накопителями представлены, по меньшей мере, тремя основными видами.
∙ТС НСВ с низковольтными емкостными накопителями большой энергии
предназначены для повреждения на объекте элементов АС с ограниченной энергопоглощающей способностью.
В относительно недорогих ТС НСВ применяются электролитические конденсаторы, у которых удельная объемная энергия достигает 2000 кДж/м3, а удельная энергия по массе — 200–300 Дж/кг. В обычном кейсе может разместиться ТС НСВ с энергией, способной вывести из строя 5–20 компьютеров одновременно. Стоимость такого “кейса” — 10000–15000$. В более дорогих ТС НСВ могут быть использованы молекулярные накопители
250 Глава 14. Методы и средства разрушения информации
(ионисторы), у которых удельная объемная энергия достигает 10 МДж/м3, а удельная энергия по массе — 4–10 кДж/кг. Такой “кейс” выведет из строя все компьютеры большого вычислительного центра. Стоимость его в 3–5 раз больше предыдущего. Время заряда накопителя составляет от нескольких десятков секунд до нескольких минут, количество разрядов на объект атаки (для увеличения вероятности уничтожения АС объекта) может быть от 1 до нескольких десятков. То есть суммарное время подключения к электросети исчисляется минутами.
∙ТС НСВ с высоковольтными емкостными накопителями малой энергии или индуктивными генераторами высоковольтных импульсов. Наиболее распространенный тип ТС для провоцирования сбоев и искажения данных в АС, вывода из строя компьютеров с низкокачественными ВИП и т.п. В
конструкции используются конденсаторы с пленочным и комбинированным диэлектриком с удельной объемной энергией до 400 кДж/м3 и удельной энергией по массе до 150 Дж/кг. В обычном кейсе размещаются ТС НСВ, угрожающие компьютерам небольшого малоэтажного здания. При этом ТС НСВ, подключенное к одной из фаз, за счет индуктивной и емкостной связей генерирует импульсы в остальных фазах. В корпусе размером с видеокассету помещается ТС НСВ, провоцирующее сбои и искажение данных АС в радиусе 10–30 м, т.е. в пределах одной или нескольких комнат, причем работает такое ТС круглосуточно на протяжении нескольких месяцев. В простейших устройствах используются соответствующим образом доработанные схемы автомобильного электронного зажигания или электронные стартеры для натриевых и аналогичных осветительных ламп. Стоимость простейших ТС НСВ не превышает 2000$.
∙Комбинированные ТС НСВ с низковольтным и высоковольтным емкостными накопителями и трансформаторным суммированием импульсных напряжений. Позволяют решать все задачи НСВ, в том числе и принудительное отпирание тиристорных байпасов UPS с последующей перекачкой через байпас энергии, накопленной низковольтными конденсаторами. Стационарные ТС такого типа могут дистанционно ( по радиоканалу или сети электропитания) программироваться для решения той или иной задачи НСВ. Это весьма дорогие изделия.
ТС НСВ могут иметь и другие принципы действия. В качестве ТС может быть использована трансформаторная подстанция здания. Если трансформатор подстанции сухой и без защитного кожуха, то к части вторичной обмотки может быть подключено ТС НСВ с емкостным накопителем, параметры которого подобраны так, что вторичная обмотка трансформатора, магнитопровод и емкостной накопитель образуют повышающий автотрансформатор. Такая схема “ глобального” действия может вывести из строя все электронное оборудование зданий, которые запитываются от этой подстанции. Отметим, что доступ к трансформаторной подстанции подчас бывает весьма простым.