Программы-шпионы

Борьба со скрытыми каналами взаимодействия с информационной сетью

Известны множество способов организации побочных каналов утечки информации, связанных с электромагнитным излучением, которое может содержать информацию об обрабатываемых на компьютере данных. Еще в 1985 году голландский инженер, специалист в области компьютерных технологий Вим ван Экк опубликовал в журнале Computers&Security памятную для


и инженеров того времени статью "Electro-magnetic radiation from video display units: an eavesdropping risk?", сопроводив описываемые разработки последующей демонстрацией своей технологии. В передаче BBC "Мир завтрашнего дня" ван Экк показал как с помощью телевизора, антенны и настраиваемого генератора синхроимпульсов можно дистанционно ретранслировать изображение с другого экрана.

В дальнейшем, работа коллег Ван Экка, таких как Маркус Кун и других, с побочными электромагнитными излучениями и наводками, привела к развитию технологии Soft Tempest, обеспечивающей скрытую передачу данных по каналу побочных электромагнитных излучений (ПЭМИН) с помощью программных средств. Интересно, что до 1980 года само понятие Tempest – означало кодовое название всего, что связано с экранированием и защитой аппаратуры от компрометирующих утечек, а так же добычей разведданных по каналам ПЭМИН. Под грифом "top secret".

По сути Soft Tempest атака, впервые показанная Куном, позволяет с использованием специальной программы-закладки, внедряемой на компьютер жертвы с помощью вредоносного ПО (трояны модуляции изображения монитораю Принимая побочные излучения монитора, можно выделить полезный сигнал и передать содержащиеся в нём приватные или корпоративные данные заинтересованной стороне.

  • Фактически, работа злоумышленника в этом случае сводится к трём основным задачам: установить шпиона,
  • доставить перехваченную информацию условному заказчику
  • скрыть следы преступления, то есть сам факт того, что на компьютере жертвы была (или присутствует) какая-либо активность, помимо тех процессов, что запущены самим хозяином ПК.

Понятно, что чем больше вес шпиона или объем передаваемых данных, тем больше риск быть обнаруженным. Когда с компьютера - секретаря с невероятной скоростью будут передаваться пакеты данных с не детектируемым содержимым, секретарь может удивится, но не придать значения. Но вот системный администратор, обнаружив подобную аномалию, скорее всего, максимально быстро ликвидирует этот канал передачи данных. Таким образом, злоумышленник сталкивается с необходимостью скрывать свою деятельность, для чего широко используются методы скрытной передачи данных, в том числе и упомянутой здесь стеганографии.

В тесной связи с развитием информационных технологий не менее активными темпами развиваются разнообразные ИТ - угрозы. А когда они становятся коммерчески оправданы и востребованы, проявляется некое подобие теневого рынка, где есть свои заказчики, "промежуточные" звенья и исполнители. В Интернете в изобилии представлены различные утилиты для формирования скрытых каналов (стега- программы). "Заказать" шпиона тоже не представляет особой сложности, если кому-то очень нужно добиться цели. Единственная задача – остаться неузнанным. А для этого шпиону необходимо закамуфлировать себя под легальный файл или программу, например, "дописав" свой код в конец файла-жертвы.

 

Многие помнят, информационный шум вокруг новости о том, что в Рунете появился первый русскоязычный компьютерный вирус под названием Agent.Вредоносная программа маскировалась под обычные графические файлы формата BMP. Вирус создан специально для атаки русской версии Windows 2000– на других версиях операционной системы вредоносный код не работал. По мнению многочисленных комментаторов инцидента, этот факт косвенно указывал на Россию и страны СНГ как наиболее вероятные места создания "Agent".
Если пользователь запускал вложенный BMP-файл, "шпион" связывался с удаленным сервером и загружал с него на компьютер пользователя Трояна – Throd. Однако данный шпион обладал относительно спокойным нравом – он был создан для кражи e-mail адресов, из чего логичнее всего заключить, что его заказчиком являлась компания, занимающаяся рассылкой спама.

 

Вирусы скрываются и под видом mp3-файлов (MP3Concept) и даже под видом собственно антивирусов (Skull.L рассылался под видом антивируса Mobile Anti Virus от F-Secure) и обнаружить их домашними антивирусами бывает достаточно сложно, особенно если счастливый обладатель персонального компьютера не искушен в вопросах вирусологии и не так внимателен к требованиям обновления.


ТЕМА 3.5. СРЕДСТВА ЗАЩИТЫ ОТ ТЕХНИЧЕСКИХ РАЗВЕДОК

Классификация средств защиты информации:

Ø средства собственной защиты,

Ø защита с запросом информации,

Ø средства активной защиты,

Ø средства пассивной защиты.