2_3_1.htm 2.3.1. Общие принципы выявления Одним из элементов системы защиты информации является выявление возможно внедренных закладных устройств (ЗУ). Оно реализуется на основе двух групп методов (рис. 2.3.1).
Рис. 2.3.1. Методы выявления закладных устройств Первая группа - методы, основанные на поиске ЗУ как физических объектов с вполне определенными свойствами и массогабаритными характеристиками. К ней относятся: • визуальный осмотр мест возможного размещения ЗУ, в том числе с применением увеличительных стекол, зеркал, средств специальной подсветки; • контроль труднодоступных мест с помощью средств видеонаблюдения; • применение металлодетекторов. Вторая группа - методы, использующие свойства ЗУ как электронных систем. Она включает: • использование индикаторов поля, реагирующих на наличие излучения радиозакладных устройств и позволяющих локализовать их месторасположение; • применение специальных радиоприемных устройств, предназначенных для поиска сигналов по заданным характеристикам и анализа электромагнитной обстановки; • применение комплексов радиоконтроля и выявления ЗУ; • обследование помещений с помощью нелинейных радиолокаторов, позволяющих выявлять любые типы ЗУ (см. п. 1.3,1.4). Обнаружение ЗУ как физических объектов является наиболее общим случаем, попадающим под понятие осмотра или досмотра. Его основные методы и используемые технические средства будут рассмотрены в п. 2.3.1. Каждому из методов второй группы будет посвящен отдельный подраздел. МЕТОДЫ ПОИСКА ЗАКЛАДНЫХ УСТРОЙСТВ КАК ФИЗИЧЕСКИХ ОБЪЕКТОВ Визуальный осмотр Это один из важнейших методов выявления, он не может быть заменен ни одним другим. Он предназначен для обнаружения ЗУ как в обычном исполнении, так и в закамуфлированном виде. Осуществляется периодически, а также перед проведением важных мероприятий в тех помещениях, где возможно размещение ЗУ. При проведении визуального осмотра особое внимание обращается на изменения в интерьере, появление свежих царапин, следов подчистки или подкраски. Особенно тщательно осматриваются (с полной или частичной разборкой) сувениры, забытые посетителями личные вещи или другие «случайные» предметы. Проводится обязательный осмотр телефонных и других линий связи на участке от аппарата до распределительной коробки. При проведении осмотра особое внимание уделяется скрытым и труднодоступным местам, так как именно они представляют наибольший интерес для лиц, устанавливающих ЗУ. Для облегчения процедуры поиска используют фонари и зеркала (рис. 2.3.2). Однако такие простые приспособления не всегда удобны и эффективны, поэтому на практике, зачастую, применяют технические средства видеонаблюдения, специально приспособленные для осмотра труднодоступных мест. Контроль с помощью средств видеонаблюдения К современным средствам видеонаблюдения относят оптико-электронные системы, которые условно можно разбить на две группы:
Рис. 2.3.2. Средства для проведения осмотра в труднодоступных местах: а - фонари Mag-Lite (оборудованы устройством, позволяющим изменять световой пучок от точечного до рассеянного); б - специальные зеркала, предназначенные для проведения осмотра в труднодоступных местах • эндоскопическое оборудование; • досмотровые портативные телевизионные или видеоустановки. Ассортимент эндоскопической продукции включает в себя целую гамму волоконно-оптических фиброскопов, жестких бароскопов, а также видеоскопов, позволяющих осуществлять осмотр труднодоступных мест. Отличительной особенностью этих устройств является миниатюрный объектив, помещенный на конце тонкого гибкого рукава или жесткой трубки, которые служат и направляющим элементом, и защитной оболочкой для оптоволоконного жгута (реже многокомпонентной линзовой системы), предназначенного для передачи изображения с выхода объектива на окуляр либо ПЗС-матрицу. В некоторых типах видеоскопов ПЗС-матрица расположена непосредственно на зондирующем конце рукава или трубки. С выхода матрицы сигнал по кабелю или радиоканалу передается в блок преобразования и далее на монитор. Гибкие фиброскопы предназначены для проникновения сквозь сложные изгибы различных каналов (рис. 2.3.3, а, б). Бароскопы используются для осмотра узлов, к которым может быть осуществлен доступ через узкие прямолинейные каналы. В отличие от фиброскопов, вместо гибкого рукава они оборудованы жесткой штангой (рис. 2.3.3, в). Особенностью видеоскопов является то, что они позволяют в реальном масштабе времени осуществлять вывод изображения на телевизионный монитор, с одновременным фото- и (или) видеодокументированием, как, например, устройство РК 1700 (рис.1.4.13, з). Кроме того, видеоскопы позволяют вести наблюдение за объектами, находящимися на удалении до 22 м. Общим недостатком эндоскопических устройств является то обстоятельство, что они скорее рассчитаны на статическое скрупулезное обследование, чем на быстрый оперативный осмотр. Кроме того, зачастую эти системы имеют многомодульную конфигурацию с кабельными соединениями, их функциональные блоки не минимизированы по весу и габаритам (РК 1765, РК 1700). Очевидны и Проблемы с быстрой подготовкой к работе, переносом системы и сохранением ее целостности. Еще одна существенная особенность заключается в не всегда приемлемом качестве наблюдаемого через окуляр изображения. Сравнительная оценка эндоскопических устройств различного типа показывает, что наилучшее качество изображения позволяют получать видеоскопы, кроме того, по телевизионному монитору следить за осмотром может практически неограниченное число наблюдателей. В то же время, подобное оборудование не может использоваться одним оператором и не приспособлено для быстрой смены места осмотра и обхода объектов. Для этих целей больше подходят портативные эндоскопические устройства типа фиброскопов МР-660В, ММ-01 ЗС или РК 1760. Досмотровые портативные телевизионные системы позволяют соединить достоинства высокого качества изображения с максимальным удобством пользования оборудованием при осмотре. Это достигается путем конструктивного объединения в едином устройстве миниатюрной телевизионной камеры, регулируемой штанги и телевизионного монитора. • Такое оборудование специально разрабатывается для нужд таможенных служб, но достаточно эффективно может быть использовано и для поиска ЗУ. В качестве примера можно привести носимое досмотровое видеоустройство Альфа- 4 (рис. 2.3.4), в комплект .которого входят следующие основные компоненты: • телескопическая штанга с черно-белой видеокамерой и источником инфракрасной подсветки, позволяющие досматривать объекты на удалении до 2,5 м; • миниатюрный жидкокристаллический видеомонитор, размещаемый в руке оператора; • специальный жилет, носимый поверх одежды.
Рис. 2.3.3. Эндоскопическое оборудование: а - фиброскоп РК 1760; б - фиброскоп РК 17.65; в - бароскоп РК 1700-S
Рис. 2.3.4. Носимое досмотровое видеоустройство Альфа-4: а - поиск «бамперных жучков» с использованием носимого оборудования; 6 — стационарная приемная телевизионная станция В жилете размещены пульт управления и индикации, миниатюрный микрофон, аккумуляторный блок питания и передатчик телевизионного сигнала с антенной. Последний используется в том случае, если необходима трансляция изображения на стационарную телевизионную станцию для более тщательного контроля и документирования. Другим примером реализации портативной телевизионной аппаратуры досмотра может служить система S-1000 («Кальмар»), имеющая аналогичную комплектацию. Ее характерными особенностями являются следующие: • изделие оборудовано пылевлагозащитным и ударопрочным корпусом, предохраняющим устройство от влияния окружающей среды, а герметизация камеры позволяет осуществлять осмотр даже в жидких средах; • цилиндрический корпус камеры со встроенной инфракрасной подсветкой обеспечивает максимально возможную для этого оборудования способность проникновения в труднодоступные места; • угловое положение камеры изменяется с помощью гибкой концевой штанги или фиксируемого шарнира; • телевизионный сигнал и питание передаются по кабелю, пропущенному внутри телескопической штанги. Здесь же обеспечивается автоматическая подмотка избыточного кабеля на встроенный подпружиненный барабан; • компактный монитор с электронно-лучевой трубкой крепится на штанге с помощью регулируемого кронштейна. Применение металлодетекторов Недостатком визуального осмотра является необходимость длительной повышенной концентрации внимания оператора, что не всегда дает надежный результат. Поэтому следующий шаг в повышении эффективности выявления ЗУ связан с объединением возможностей визуального и детекторного исследований. Под детекторным исследованием понимается применение аппаратуры, которая контактным или бесконтактным способом воспринимает определенные физические свойства, свидетельствующие о наличии в обследуемом месте некоторых аномалий в виде неоднородностей, характерных излучений или конкретных веществ. С точки зрения эффективности обследования с применением детекторов существенно то, что они вырабатывают звуковой или световой сигнал в случае превышения заданного порога параметром, по которому осуществляется детектирование. Тем самым происходит не только выявление, но и локализация искомого устройства или предмета. Все в дальнейшем рассматриваемые методы являются детекторными. Металлоискатели являются наиболее простым типом детекторов ЗУ, действующим по принципу выявления металлических предметов (элементов ЗУ) в непроводящих и слабопроводящих средах (дерево, одежда, пластмасса и т. п.). Детекторы бывают как ручного, так и арочного типа. Естественно, что для вышеопределенных целей подходят только ручные приборы. В настоящее время известны сотни модификаций металлодетекторов. Однако по принципу работы они почти не отличаются друг от друга, а их основные особенности составляют только потребительские и эксплуатационные характеристики. Практически все современные металлоискатели предназначены для поиска предметов как из черных, так и из цветных металлов. При этом обнаружитель-ная способность по дальности лежит в пределах от 10 до 500 мм и зависит, главным образом, от массы предмета. Все приборы имеют звуковую, а иногда и световую сигнализацию. Приведем следующие типы металлодетекторов (рис. 2.3.5). АКА 7202М - селективный металлодетектор, предназначенный для поиска металлических предметов в диэлектрических и слабопроводящих средах. Подает различные звуковые сигналы при приближении к предметам из черных и цветных металлов. Максимальная дальность обнаружения: 80 мм - винт М3х7; 100 мм - диск 15х1 мм. Питание - «Крона» 9 В. МАРС - металлодетектор, предназначенный для оперативного поиска предметов из черных и цветных металлов. Питание - «Крона» 9 В. МИНИСКАН - малогабаритный селективный металлодетектор, предназначенный для оперативного обнаружения металлических предметов. Подает различные звуковые сигналы при приближении к предметам из черных и цветных металлов. Не нуждается в предва рительных настройках. Питание - «Крона» 9В.
Рис. 2.3.5. Металлодетекторы: а - АКА 7202М; б - МАРС; в - МИНИСКАН; г - СТЕРХ-92АР СТЕРХ-92АР - металлодетектор, предназначенный для поиска металлических предметов в диэлектрических и слабопроводящих средах. Максимальная дальность обнаружения металлических предметов: 250 мм - диск 20х1 мм; 600 мм - пластина 100х100х1 мм. Питание - «Крона» 9 В. Индикаторы поля В соответствии с классификацией, приведенной на рис. 2.3.1, основными способами выявления радиозакладных устройств являются: • использование индикаторов поля; • применение специальных приемников; • применение комплексов радиоконтроля. Все они основаны на наличии у данного типа ЗУ радиоизлучений, которые кроме того, что сами по себе являются демаскирующим признаком, обладают еще и рядом характерных особенностей, позволяющих идентифицировать их именно как сигналы радиозакладок. Поэтому с точки зрения поиска, радиозакладное устройство - очень удобный объект. Отметим эти особенности. Основные признаки излучения радиозакладок Первый признак - относительно высокий уровень излучения, обусловленный необходимостью передачи сигнала за пределы контролируемого помещения. Этот уровень тем выше, чем ближе к ЗУ находится аппаратура поиска. Второй - наличие гармоник в излучении радиозакладок. Это обстоятельство является следствием необходимости минимизации размеров ЗУ, а следователь^ но невозможности обеспечить хорошую фильтрацию выходного излучения. В современных радиозакладках ослабление излучений на гармониках составляет всего 40-50 дБ, поэтому обнаружение этих нежелательных излучений без особых проблем возможно на удалении до 10м, естественно, если позволяет частотный диапазон применяемого приемника контроля. Третий - появление нового источника в обычно свободном частотном диапазоне. При этом оператор, осуществляющий радиоконтроль, должен очень хорошо ориентироваться в общей радиоэлектронной обстановке и знать, что и в каких диапазонах может работать. Четвертый связан с использованием в ряде радиозакладок направленных антенн. Это приводит к сильной локализации излучения, то есть существенной неравномерности его уровня в пределах контролируемого объекта. На расстояниях в несколько метров этот эффект лучше всего проявляется для гармоник основного излучения. Пятый признак связан с особенностями поляризации излучения радиозакладок. Дело в том, что при изменении пространственного положения или ориентации приемной антенны наблюдается изменение уровня всех источников. Однако однотипные удаленные источники одного диапазона ведут себя примерно одинаково, тогда как сигнал закладки изменяется отлично от остальных. На практике этот эффект наверняка замечали те, кто осуществлял поиск ЗУ с использованием анализаторов спектра. Шестой признак заключается в изменении («размывании») спектра излучений радиомикрофонов при возникновении каких-либо шумов в контролируемом помещении. Он проявляется только в том случае, если ЗУ работает без кодирования передаваемой информации. Седьмой признак связан со способностью человека различать акустические сигналы. Так, если закладка работает без маскирования, то оператор, осуществляющий поиск ЗУ, слышит шум помещения или тот тестовый сигнал, который сам создал. В аппаратном варианте этот эффект обыгрывается разного рода корреляторами и, так называемой, акустической завязкой. При выявлении закладок с маскированием передаваемой информации сигнал напоминает неразборчивую речь или какофонию, если в качестве тестовых используются, соответственно, речевой сигнал или музыка. В последнем случае для аппаратного выявления необходимы специальные алгоритмы корреляции, но обычно можно обойтись и просто зондированием импульсными акустическими сигналами. Наконец, при применении кодирования, скорее всего, оператор будет слышать белый шум, и скорее всего никакая корреляция со звуком в данном случае не поможет. Восьмой признак связан со временем работы радиозакладок. Так, самые простые из них, то есть не оборудованные схемами дистанционного включения и VOX, будут функционировать непрерывно в течение некоторого времени. Для закладок с VOX характерен прерывистый режим работы днем и практически полное молчание ночью. Устройства с дистанционным включением обязатель-•но имеют несколько коротких сеансов в течение дня и почти наверняка будут работать во время переговоров, важных с точки зрения установившего их лица. Применительно к телефонным закладкам наличие восьмого признака проверяется очень просто: если какое-либо излучение возникает одновременно с поднятием трубки и исчезает, когда трубка положена, то это излучение прямо или косвенно связано с утечкой информации. Вышеприведенный список признаков не является исчерпывающим и может быть существенно расширен. Более подробная информация о процедуре поиска ЗУ приведена в п. 2.3.6. Применение индикаторов (детекторов) поля Простейшими средствами обнаружения факта использования радиозакладок являются индикаторы, или детекторы поля. По сути, это приемники с очень низкой чувствительностью, поэтому они обнаруживают излучения радиозаклад- ных устройств на предельно малых расстояниях (10-40 см), чем и обеспечивается селекция «нелегальных» излучений на фоне мощных «разрешенных» сигналов. Важное достоинство детекторов - способность находить передающие устройства вне зависимости от применяемой в них модуляции. Основной принцип поиска состоит в выявлении абсолютного максимума уровня излучения в помещении. Хорошие индикаторы поля снабжены частотомерами, акустическими динамиками, имеют режим прослушивания и двойную индикацию уровня сигнала. Иногда детекторы используют и в так называемом сторожевом режиме. В этом случае после полной проверки помещения на отсутствие ЗУ фиксируется уровень поля в некоторой точке пространства (обычно это стол руководителя или место ведения переговоров), и прибор переводится в дежурный режим. В случае включения закладки (примерно на удалении до двух метров от детектора), индикатор выдает сигнал о повышении уровня электромагнитного поля. Однако необходимо учитывать тот факт, что если будет использоваться радиозакладка с очень низким уровнем излучения, то детектор скорее всего не зафиксирует ее активизацию. В некоторых случаях (при наличии достаточного времени) можно даже составить карту помещения, зафиксировав характерные уровни излучения в каждой точке пространства. Для достижения данной цели особенно удобны детекторы, снабженные цифровой индикацией уровня, например такие, как новая разработка фирмы Optoelectronics RF Detector или отечественный «Энтомолог-5». Так как индикаторы поля должны реагировать на уровень электромагнитного излучения, то в них применяют амплитудные детекторы, которые дают дополнительный эффект, позволяющий прослушивать сигналы от радиозакладок с амплитудной модуляцией. Однако в ряде случаев наблюдается и детектирование излучений радиомикрофонов с частотной модуляцией. Это происходит как за счет неравномерности амплитудно-частотной характеристики индикатора, так и за счет неизбежной паразитной амплитудной модуляции, характерной для большинства закладок. Поскольку для индикатора частотная демодуляция -побочный эффект, то уровень демодулированного сигнала обычно невелик. Наличие же закладки обращает на себя внимание общим понижением уровня фона, создаваемого телевидением и вещательными станциями. Хорошие результаты по обнаружению дает также шум, возникающий при трении куска мягкого пенопласта по обследуемой поверхности. Если индикатор снабжен частотомером, то это позволяет реализовать еще одну возможность. Дело в том, что в некоторых приборах частотомер имеет фиксированный порог и в этом случае его срабатывание и отсчет одной и той же частоты в последовательных измерениях серьезный признак высокого уровня сигнала и, следовательно, наличия закладки. В других индикаторах частотомер работает при любом уровне сигнала и на него следует обращать внимание только тогда, когда он показывает одну и ту же частоту. Примером индикаторов, в том числе и индикаторов-частотомеров, применяемых для обнаружения радиозакладок, могут служить следующие устройства. Cub - прибор, предназначенный для измерения частоты радиосигналов и поиска подслушивающих устройств. Он имеет цифровой фильтр, функцию автозахвата, девятизначный дисплей. Его рабочий диапазон 1...2,8 МГц, чувствительность в зависимости от поддиапазона колеблется от 300 мкВ до 25 мВ. Период проведения измерений регулируется от 0,0001 до 0,64 с. Optoelectronics Ml - предназначен для измерения частот радиосигналов, а также для обнаружения и локализации радиопередатчиков, работающих в двух поддиапазонах:10 Гц...50 МГц и 200 МГц...2,8 ГГц. Чувствительность 3-50 мВ. Имеется встроенный микроконтроллер, который обеспечивает цифровую фильтрацию, цифровой автозахват, сохранение и последовательный вывод данных. Подключение к приемнику конвертора модели СХ 12RS-232 позволяет протоколировать данные на персональном компьютере. Прибор имеет десятиразрядный жидкокристаллический дисплей, его габариты - 125х70х35 мм; Питание осуществляется от встроенного ni-cd аккумулятора с напряжением 9 В, которого хватает на 4—5 ч непрерывной работы. Scout-40 - устройство, предназначенное для измерения частот радиосигналов с интервалом 10 мс, а также обнаружения и локализации радиопередатчиков в диапазоне частот 10 МГц ...1,4 ГГц. Для уменьшения ложных отсчетов изделие осуществляет цифровую фильтрацию и проверку приходящих сигналов на стабильность и когерентность. Scout позволяет запоминать до 400 различных частот, а также отмечать до 255 периодов активности на каждой из них. Встроенный интерфейс Optoscan 456 позволяет использовать частотомер для управления приемниками (ICOM R7000, R7100, R9000, AOR AR2700, AR8000 и др.). Чувствительность приемника около 1 мВ. Десятиразрядный жидкокристаллический дисплей; питание от встроенного ni-cd аккумулятора (6 В), обеспечивающего 10ч непрерывной работы. Габариты - 94х70х30 мм. MRA-3 - автоматический приемник ближней зоны. Предназначен для повседневного контроля радиообстановки и выявления вновь появляющихся радиосигналов, в том числе от устройств несанкционированного съема информации с дистанционным управлением. В автоматическом режиме обеспечивает запоминание спектра сигналов с возможностью дополнения его новыми известными частотами, регистрацию и запоминание новых сигналов с выдачей сигнала тревоги. Его основные технические характеристики: диапазон рабочих частот 42... 2700 МГц; виды модуляции принимаемых сигналов WFM, NFM, AM; время сканирования диапазона - 6 с; количество запоминаемых в фоновом режиме частот - 512; число новых запоминаемых новых сигналов - 16; индикация - звуковая, жидкокристаллический дисплей, светодиодная; питание от аккумулятора 9 В или сетевого адаптера. Габариты 136х49х137 мм. ПИТОН - приемник-детектор, предназначенный для обнаружения и демодуляции частотномодулированных сигналов, используемых в вещательных радиопередатчиках, а также поиска несанкционированных радиопередатчиков с использованием акустозавязки и индикатора уровня принимаемого сигнала. Технические характеристики прибора: диапазон частот - от 30... 1000 МГц; чувствительность не хуже - 48 дБ относительно 1 В; время сканирования диапазона не более 2 с; задержка поиска после пропадания сигнала - не более 3 с; питание от 6 элементов по 1,5 В. Габариты - 146х70х45 мм. R-l I - тестовый приемник для работы в ближней зоне, анализирующий гармоники основных частот радиоизлучений для поиска радиозакладок. Диапазон его рабочих частот лежит в интервале от 30 МГц до 2 ГГц. Время поиска по диапазону не превышает 1 с. Чувствительность около 100 мВ.
Рис. 2.3.6. Индикаторы поля: а - D006; б - ИП-4М; в - Interceptor RIO
Таблица 2.3.1. Технические характеристики наиболее распространенных индикаторов поля
К сожалейию, использование индикатора поля в качестве единственного поискового прибора весьма неудобно, так как связано с необходимостью обследования всех возможных мест размещения закладки на расстояниях не менее 10 см (при дальностях порядка 40 см вероятность пропуска закладки может составить уже десятки процентов). Не следует особенно полагаться и на широко рекламируемую функцию акустической завязки (например, приемник ПИТОН). Дело в том, что этот эффект связан с необходимостью возникновения положительной обратной связи в цепи «собственный динамик с тестовым сигналом - радиомикрофон - приемник индикатора поля». А для формирования такой связи требуется выполнение определенных фазовых соотношений для звуковой волны, достаточно высокий уровень звукового сигнала и время установления не менее 1-2 с. Поэтому для гарантированного возникновения эффекта завязки на расстоянии от полуметра необходимо максимально повысить уровень звука на индикаторе и перемещать детектор в пространстве максимально медленно. Обобщенные технические характеристики наиболее распространенных детекторов поля приведены в табл. 2.3.1, а внешний вид на рис. 2.3.6.