Программные и аппаратные "закладки"

Программная "закладка"  — скрытно внедрённая в защищенную систему программа, либо намеренно измененный фрагмент программы, который позволяет злоумышленнику осуществить несанкционированный доступ к ресурсам системы на основе изменения свойств системы защиты. Закладка может быть внедрена как самим разработчиком программного обеспечения, так и сторонним лицом.

Программные "закладки" - основной их признак, скрытые (недокументированные) функции и возможности, очень часто программные "закладки" работают используя официальные (документированные) модули программного и аппаратного обеспечения (пример: процедура RPC).

Где могут находится программные "закладки": в BIOS (ПЗУ) — набор программ, записанных в виде машинного кода в постоянном запоминающем устройстве, в загрузочных секторах, в драйверах, в системных файлах, в прикладных программах, в "самописных" дополнительных модулях ( пример 1С), самостоятельные программы имитирующий какой нибудь полезный софт или даже антивирус. 

Часто программные закладки выполняют роль перехватчиков паролей, трафика, а также служат в качестве проводников для компьютерных вирусов. Программные закладки невозможно обнаружить при помощи стандартных антивирусных средств, их выявление возможно только специальными тестовыми программами на специальных аппаратных платформах. У всех программных закладок (независимо от метода их внедрения в компьютерную систему и назначения) имеется одна важная "демаскирующия" черта: им необходимо работать с оперативной или внешней памятью.

Примеры программных закладок:

Троянский конь Back Orifice (BO) по своей сути является достаточно мощной утилитой удаленного администрирования компьютеров в сети. Back Orifice является системой удаленного администрирования, позволяющей пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. В локальной сети или через Internet, BO “предоставляет пользователю больше возможностей на удаленном Windows-компьютере чем имеет сам пользователь этого компьютера” - сказано в рекламном объявлении на одной из хакерских Web-страниц.
NetBus - это вирус из серии backdoor . Вирусы этого типа, попав на компьютер (та часть, которая попадает на компьютер жертвы называется сервером) и заразив его, резервируют под себя порт и добавляют себя в автозагрузку, если это указано в их программе. После этих действий злоумышленник (владеющий клиентом или центром управления) может подключиться к этому компьютеру (если знает его IP-адрес, а в некоторых случаях требуется и пароль к серверу) и делать с компьютером, что душе угодно (это ограничивается лишь фантазией и возможностями вируса). Таким образом, сервер становится "глазами" и "руками" на компьютере жертвы.
Система D.I.R.T., согласно официальной политике компании Codex Data Systems Inc., разработавшей ее, предназначается для использования исключительно правоохранительными органами и имеет стоимость, в зависимости от конфигурации, от 2 до 200 тысяч долларов США. Независимые же эксперты утверждают, что по функциональности система D.I.R.T. ненамного превосходит широко известные бесплатные хакерские программы такие как Back Orifice.
Небольшая программа под говорящим названием PAPARAZZI, созданная Industar Cybernetics Corp., призвана осуществлять контроль за происходящим на офисных компьютерах.
IRATEMONK позволяет обеспечить присутствие программного обеспечения для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения MBR. Метод работает на различных дисках Western Digital, Seagate, Maxtor и Samsung. Из файловых систем поддерживаются FAT, NTFS, EXT3 и UFS. Системы с RAID не поддерживаются. После внедрения IRATEMONK будет запускать свою функциональную часть при каждом включении целевого компьютера.
SWAP позволяет обеспечить присутствие программного обеспечения для шпионажа за счет использования BIOS материнской платы и HPA области жесткого диска путем исполнения кода до запуска операционной системы. Данная закладка позволяет получить удаленный доступ к различным операционным системам (Windows, FreeBSD, Linux, Solaris) c различными файловыми системами (FAT32, NTFS, EXT2, EXT3, UFS 1.0). Для установки используются две утилиты: ARKSTREAM перепрошивает BIOS, TWISTEDKILT записывает в HPA область диска SWAP и его функциональная часть.
WISTFULTOLL — это плагин к программам UNITEDRAKE и STRAITBIZZARE для сбора информации на целевой системе, использует вызовы WMI и записи реестра. Возможна работа в качестве самостоятельной программы. При наличии физического доступа к системе может производить сброс полученных в ходе анализа данных на USB-накопитель.
SOMBERKNAVE - программная закладка работающая под Windows XP предоставляющая удаленный доступ к целевому компьютеру. Использует незадействованные Wi-Fi адаптеры, в случае, когда пользователь задействовал адаптер SOMBERKNAVE прекращает передачу данных.
HALLUXWATER — это бэкдор устанавливаемый в качестве обновления загрузчика в файрволы Huawei Eudemon. При перезагрузке цели установщик закладки находит необходимые точки для патча и бекдора в подпрограмме обработки входящих пакетов. Данный бэкдор сохраняется при обновлении операционной системы и автоматических обновлениях загрузчика. HALLUXWATER может работать на файрволах Huawei Eudemon 200, 500 и 1000 серии.
FEEDTROUGH - представляет собой технику установки двух программных закладок BANANAGLEE и ZESTYLEAK используемых против файрволов Juniper Netscreen. Подвержены угрозе следующие модели Juniper: ns5xt, ns25, ns50, ns200, ns500 и ISG 1000. Метод отрабатывается при старте файрвола, если операционная система есть в базе данных, то устанавливаются закладки, в противном случае устройство загружается в обычном режиме. FEEDTROUGH сохраняется при обновлении операционной системы файрвола.
SOUFFLETROUGH - закладка для BIOS файрволов Juniper SSG 500 и SSG 300 серий. Она скрывает закладку BANANAGLEE, в случае, если устройство не поддерживает добавление BANANAGLEE, открывает бэкдор. Возможны удаленное обновление и установка SOUFFLETROUGH.
SCHOOLMONTANA - обеспечивает присутствие сетевых закладок. Позволяет сохраниться закладке при обновлении и замене операционной системы, в том числе и при физической замене флеш карты роутера. Основной вектор атаки направлен на модификацию BIOS. Нацелена на роутеры Juniper J-серии под управлением операционной системой JUNOS. По сути, это бэкдор разработанный для использования под FreeBSD.
SIERRAMONTANA - обеспечивает присутствие сетевых закладок в роутерах Juniper М-серии. Возможности аналогичны SCHOOLMONTANA.
HEADWATER — бэкдор для некоторых моделей роутеров Huawei. Бэкдор устанавливается при обновлении загрузчика. Общая схема работы аналогична другим закладкам для сетевого оборудования.
 

Обособлено стоят программные закладки, несанкционированного аудио- видео- наблюдения.

Компьютер чаще всего оснащен видеокамерой и/или микрофоном, что само по себе делает его более уязвимым перед злоумышленниками. Для прослушки такой техники используются различные программы, которые попадают в систему в виде определенных ссылок или после того как компьютер прошел диагностику. Не стоит быть уверенным на все 100%, что после ремонта он вернется абсолютно “чистый”. Например, есть и программа для прослушивания через микрофон — Audiospy. Она, как и все ей подобные программы,  работают в скрытом для пользователя режиме, поэтому обнаружить их неспециалисту крайне трудно.

Аппаратная "закладка" (hardware backdoor) — устройство в электронной схеме, скрытно внедряемое к остальным элементам (или/и также аппаратной закладкой называется отдельная плата,  микросхема, подключаемая  к атакуемой системе  или ее IT инфраструктуре).

Программные и аппаратные "закладки", в ряде случаев выполняют одинаковое предназначение, но аппаратная закладка может вообще не использовать ресурсы атакуемой системы, что делает ее практически "неуязвимой".

Примеры аппаратных закладок:
 
GINSU — техника позволяющая восстановить программную закладку под названием KONGUR на целевых системах с аппаратной закладкой BULLDOZZER на PCI-шине. Например, в случае обновления или переустановки операционной системы на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением Windows от 9х до Vista.
HOWLERMONKEY - представляет собой радиопередатчик малого и среднего радиуса. Является специальном радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.
JUNIORMINT - миниатюрная аппаратная закладка на базе ARM-системы, которая может быть сконфигурирована для различных задач. Например, такая система может быть частью других устройств для шпионажа. Обладает следующими характеристиками: процессор ARM9 400MHz, флеш 32MB, SDRAM 64MB, ПЛИС Vertex4/5 оснащенная 128MB DDR2.
MAESTRO-II - миниатюрная аппаратная закладка на базе ARM-системы, размером в одноцентовую монету. Характеристики довольно скромные: процессор ARM7 66MHz, оперативная память 8MB, флеш 4MB.
TRINITY - миниатюрная аппаратная закладка на базе ARM-системы, размером в одноцентовую монету. Обладает следующими характеристиками: процессор ARM9 180MHz, оперативная память 96MB, флеш 4MB. Используется в составе других устройств.
COTTONMOUTH-I - аппаратная закладка на USB, предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими СOTTONMOUTH. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Существует версия под названием MOCCASIN, представляющая собой закладку в коннекторе USB-клавиатуры.
COTTONMOUTH-II - аппаратная USB-закладка предоставляющая скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый USB-коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками.
COTTONMOUTH-III - аппаратная закладка в USB предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Представляет собой блок разъемов(RJ45 и два USB) устанавливаемых на шасси, может взаимодействовать с другими COTTONMOUTH установленными на этом же шасси.
FIREWALK - аппаратная сетевая закладка, способная пассивно собирать трафик сети Gigabit Ethernet, а также осуществлять активные инъекции в Ethernet пакеты целевой сети. Позволяет создавать VPN туннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими HOWLERMONKEY-совместимыми устройствами. Исполнение данной закладки аналогично COTTONMOUTH-III - такой же блок разъемов (RJ45 и два USB) на шасси. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY.
SURLYSPAWN — аппаратная закладка (кейлоггер), позволяющая получить по радиоканалу данные от цели (клавиатура, низкоскоростные цифровые устройства). Данные передаются в отраженном сигнале, для активации необходимо облучение закладки радиосигналом от специализированного излучателя. Кейлоггер совместим с USB и PS/2 клавиатурами, в дальнейшем планируется добавление совместимости с клавиатурами ноутбуков.
RAGEMASTER — аппаратная закладка позволяющая перехватить сигнал от VGA монитора. Закладка прячется в обычный VGA-кабель соединяющий видеокарту и монитор, установлена, как правило, в феррит на видеокабеле. Реализован захват сигнала с красного цветового канала. Представляет собой пассивный отражатель, т.е. активируется при облучении радиосигналом от специализированного излучателя.
NIGHTSTAND - мобильный комплекс для проведения активных атак на Wi-Fi сети, целями являются машины под управлением Windows (от Win2k до WinXP SP2). Обычно используется в операциях, в которых доступ к цели невозможен. Комплекс реализован на базе ноутбука под управлением Linux и радиооборудования. Вместе с внешними усилителями и антеннами дальность действия может достигать 13 км.
SPARROW II - встраиваемая компьютерная система под управлением Linux. Это полностью функциональная система для сбора данных о беспроводных сетях. Для расширения функционала имеет четыре встроенных Mini PCI слота позволяющие подключить GPS-модуль и дополнительные беспроводные сетевые карты.
IRONCHEF обеспечивает доступ к целевым системам при помощи BIOS материнской платы и использования SMM-режима для связи с аппаратной закладкой предоставляющей двухстороннюю радиосвязь. Для этой техники уязвимы серверы HP Proliant .
CROSSBEAM — закладка в виде GSM модуля на основе встраиваемого компьютера. Может перехватывать и записывать данные передаваемые в GSM-сетях.
 
Как могут выглядит аппаратные закладки.

 

Эндовибраторы, "закладки" без электроной части.

Эндовибратор — подслушивающее устройство, нетребующее источника питания и передатчика. Первое устройство было разработано советским радиоинженером Л.С.Терменом. Принцип устройства основан на принципе  переизлучения частот. В 1951 году британский радист следил за радиообменом военно-воздушных сил России, когда он внезапно услышал голос британского воздушного атташе громко и отчетливо, но проверка посольства не выявила никаких скрытых микрофонов. Аналогичный случай произошел с американским перехватчиком в 1952 году, когда он подслушал разговор, который, казалось, шел из резиденции посла в Спасо-Хаусе. После обыска в Госдепартаменте, "закладка" была наконец обнаружена и изучена американскими и британскими инженерами. Устройство получило кодовое название "The Thing"  (нечто). Спрятано она была в гербе США, подаренным в 1945 год послу США Авереллу Гарриману Всесоюзной пионерской организацией.

И представляла из себя цилиндрический микрофон (резонатор) с подключенным к нему стержнем антенны. Резонатор был настроен на внешнее облучение определённой частоты. Крошечные дыры в дереве под клювом орла направляли звук на мембрану "закладки", установленного прямо за ним. Когда сотрудники КГБ узнавали, что состоится важная встреча, они припарковали безымянный фургон в непосредственной близости от резиденции и "подсвечивали" закладку высокочастотным сигналом. 

Итак, как это работает - резонатор облучается  определенной частотой (в случае с "The Thing" 355 Мгц, сейчас используются более высокие частоты)  при этом собственный четвертьволновый вибратор внутри резонатора создаёт своё поле переизлучения. При ведении разговоров в помещении меняется и собственная резонансная частота эндовибратора, влияющая, в свою очередь, на поле переизлучения, которое становится модулированным акустическими колебаниями.

Работать эндовибратор может только тогда, когда он облучается мощным источником на частоте резонатора, поэтому его невозможно обнаружить такими средствами поиска радиозакладок, как нелинейный локатор, индикатор поля и др.

 

 

 

 

Технические каналы утечки информации

В число технических каналов утечки информации  входят ЭВМ, АТС, информационно-коммуникационные системы, системы громкоговорящей связи, системы звукоусиления, звукового сопровождения и звукозаписи, видеозаписи, и т.д. Которые в свою очередь включают - основное оборудование, оконечные устройства, соединительные линии, структурированные кабельные линии локальных сетей, распределительные и коммутационные устройства, системы питания и заземления, основные и вспомогательные  строения. Сама природа возникновения сигнала ТКУИ делится - на электромагнитные, электрические и параметрические - для телекоммуникационной информации и воздушные (прямые акустические), вибрационные (виброакустические), электроакустические, оптико-электронный и параметрические - для речевой информации.

К электромагнитным каналам утечки информации относятся:
- перехват побочных электромагнитных излучений (ПЭМИ) элементов техническим каналом утечки информации (ТСПИ);
- перехват ПЭМИ на частотах работы высокочастотных (ВЧ) генераторов в ТСПИ;
- перехват ПЭМИ на частотах самовозбуждения усилителей низкой частоты (УНЧ) ТСПИ.
Электрические каналы утечки информации включают съем:
- наводок ПЭМИ ТСПИ с соединительных линий ВТСС и посторонних проводников;
- информационных сигналов с линий электропитания ТСПИ;
- информации путем установки в ТСПИ электронных устройств перехвата информации.
Для перехвата акустической (речевой) информации используются:
- портативные диктофоны и проводные микрофонные системы скрытой звукозаписи;
- направленные микрофоны;
- акустические радиозакладки (передача информации по радиоканалу);
- акустические сетевые закладки (передача информации по сети электропитания 220В);
- акустические ИК-закладки (передача информации по оптическому каналу в ИК-диапазоне длин волн);
- акустические телефонные закладки (передача информации по телефонной линии на высокой частоте);
- акустические телефонные закладки типа “телефонное ухо” (передача информации по телефонной линии “телефону-наблюдателю” на низкой частоте);
- электронные стетоскопы;
- радиостетоскопы (передача информации по радиоканалу).

 

Схемы каналов перехвата

Практический пример снятия информации с монитора

 

Ультразвуковые передатчики

Ультразвук представляет собой звуковые волны с частотой, превышающей пределы восприятия человеческим ухом, обычно это частоты свыше 20 000 Гц. В то время как большинство людей способны воспринимать звуковые колебания в диапазоне от 50 до 15 000 Гц, для передачи человеческой речи достаточно диапазона от 300 до 3400 Гц.

Принцип действия "закладок" очевиден, перенесение частотного диапазона человеческой речи в ультразвуковой диапазон (обычно 30-50 КГц).

   

Еще одна уникальная способность ультразвука наличие двух зон: ближней и дальней зон.

Ближняя зона - это район прямо перед излучателем, где амплитуда эха проходит через серию максимумов и минимумов. Ближняя зона заканчивается на последнем максимуме от излучателя.  Дальняя зона - это район находящийся за последнем максимуме, где давление звукового поля постепенно уменьшается до нуля. Из рисунка видно, что в ближней зоне,  луч поля узконаправленный, что затруднит поиск излучателя в районе работы "закладки".  Зато в дальней зоне луч поля значительно расширяется. В дальней зоне гипотетически и должен стоять приемник, расширения луча поля дает свободу маневра для установки приемника, в отличие допустим от ИК или лазерного луча.