Segnalibri cinesi: una storia vera su virtualizzazione, sicurezza e spie. Tipi di segnalibri Segnalibri hardware

Molto tempo fa, quando i personal computer venivano acquistati all'estero in lotti di diverse centinaia di pezzi, e non in "circolazioni" di milioni, sotto gli auspici di uno dei dipartimenti del KGB venivano organizzati piccoli uffici commerciali per "cercare segnalibri". Adesso capiamo tutti perfettamente che questo era uno dei modi onesti per prendere i soldi, perché a quel livello di sicurezza e organizzazione era possibile trovare qualsiasi cosa, tranne un segnalibro nelle fiches. Ma i grandi acquirenti degli uffici statali e delle imprese non sapevano ancora dove andare. Hanno pagato.

pubblicità

Oggi Intel non nasconde nemmeno il fatto che i processori e i chipset delle moderne piattaforme informatiche dispongono di strumenti integrati per telecomando computer. La tanto pubblicizzata Active Management Technology (AMT) di Intel dovrebbe aiutare a semplificare la manutenzione remota del sistema (diagnostica e riparazione) senza l'intervento dell'utente. Ma nessuno è immune dal fatto che i diritti di amministratore di AMT possono essere utilizzati anche per scopi dannosi e, a quanto pare, non c'è solo un segnalibro, c'è un intero "banco dei pegni".

Secondo una pubblicazione dello specialista di sicurezza Damien Zammit, i moderni chipset Intel dispongono di un chip microcontrollore Intel Management Engine (Intel ME) locale e isolato integrato. Si tratta di una soluzione con un proprio firmware, che non è disponibile per lo studio da parte di strumenti di terze parti e con diritti di controllo completi sul processore, sulla memoria e sul sistema nel suo insieme. Inoltre il controller può funzionare anche a PC spento, purché la memoria sia alimentata. Naturalmente, il sistema operativo e le utilità non avranno idea dell'attività del controller e non suoneranno l'allarme mentre sta lavorando con il sistema e i dati.

Ricerca di dispositivi elettronici di intercettazione delle informazioni utilizzando indicatori di campo elettromagnetico

LAVORO DEL CORSO

Specialità “10.02.01 Organizzazione e tecnologia della sicurezza informatica”

Completato da: Shevchenko Konstantin Pavlovich

studente del gruppo n. 342

_______________/_____________/

nome completo della firma

"____"_____________2016

Controllato:

Insegnante

_______________/S.V. Lutovinov/

nome completo della firma

"____"_____________2016

Tomsk 2016

Introduzione. 3

Tipi di segnalibri. 4

Segnalibri acustici. 4

Segnalibri del telefono. 7

Segnalibri hardware. 8

Indicatori di campo elettromagnetico. 10

Misuratori di radiofrequenza. 13

Ricevitori a scansione e analizzatori di spettro. 14

Hardware-software e sistemi di controllo speciali. 16

Sistema di rilevamento delle radiazioni. 17

Strumenti di monitoraggio delle linee elettriche. 18

Localizzatori non lineari e metal detector. 20

Rilevamento dei segnalibri. 21

Conclusione. 22

Letteratura. 23

introduzione

Le informazioni hanno da tempo cessato di essere personali. Ha acquisito un peso di costo tangibile, che è chiaramente determinato dal profitto effettivo ricavato dal suo utilizzo o dall'entità del danno causato al proprietario dell'informazione con vari gradi di probabilità. Tuttavia, la creazione di informazioni pone una serie di problemi complessi. Uno di questi problemi è la garanzia affidabile della sicurezza e dello stato stabilito delle informazioni che circolano ed vengono elaborate nei sistemi e nelle reti informatiche. Questo problemaè entrato in uso sotto il nome di problemi di sicurezza delle informazioni.

Un'ispezione speciale è un insieme di misure ingegneristiche e tecniche effettuate utilizzando apparecchiature di controllo e misurazione, compresi mezzi tecnici specializzati, volte a impedire l'intercettazione di informazioni tecniche contenenti informazioni che costituiscono un segreto di stato, personale, con l'aiuto di mezzi tecnici protetti incorporati e prodotti di speciali dispositivi elettronici di stivaggio.

Lo scopo del corso è: conoscere le basi e i mezzi per ricercare dispositivi elettronici per intercettare informazioni utilizzando indicatori di campo elettromagnetico in teoria e pratica.

Tipi di segnalibri

Segnalibri acustici- si tratta di speciali dispositivi elettronici in miniatura per l'intercettazione di informazioni acustiche (vocali), installati di nascosto in stanze o automobili. Le informazioni intercettate dai segnalibri acustici possono essere trasmesse via radio o via ottica, attraverso la rete elettrica corrente alternata, tramite linea telefonica, nonché da strutture metalliche di edifici, tubazioni di impianti di riscaldamento e di approvvigionamento idrico, ecc.

Riso. 1. Segnalibro radiofonico acustico

I più utilizzati sono i segnalibri acustici che trasmettono informazioni su un canale radio. Tali dispositivi sono spesso chiamati segnalibri radio. A seconda del mezzo di propagazione delle vibrazioni acustiche, i segnalibri radiofonici sono suddivisi in segnalibri radiofonici acustici E radiostetoscopi.

I tag radio acustici sono progettati per intercettare i segnali acustici attraverso un canale acustico (aereo) diretto di perdita di informazioni. L'elemento sensibile in essi contenuto è, di regola, un microfono a elettrete.

Riso. 2. Radiostetoscopio

Il radiostetoscopio è progettato per intercettare i segnali acustici che si propagano lungo un canale di perdita vibroacustico (pareti, soffitti, pavimenti, tubi di alimentazione dell'acqua, riscaldamento, ventilazione, ecc.). Come elementi sensibili vengono solitamente utilizzati piezomicrofoni o sensori di tipo accelerometro. Per aumentare l'autonomia di funzionamento questi segnalibri acustici possono essere dotati di sistemi di controllo per l'accensione del trasmettitore radio dalla voce, nonché di sistemi telecomando. Per ricevere le informazioni trasmesse dai segnalibri radio e dai radio stetoscopi, vengono utilizzati ricevitori scanner e sistemi di controllo software e hardware.

Oltre ai segnalibri che trasmettono informazioni su un canale radio, esistono segnalibri che utilizzano linee elettriche a 220 V per trasmettere informazioni. Vengono chiamati tali segnalibri acustici rete. Per intercettare le informazioni trasmesse dai segnalibri di rete, vengono utilizzati ricevitori speciali collegati alla rete elettrica all'interno dell'edificio.

In pratica è anche possibile utilizzare segnalibri acustici che trasmettono informazioni del tipo dei sistemi di sicurezza e di allarme antincendio, nonché linee telefoniche. Maggior parte dispositivo semplice, che trasmette informazioni su una linea telefonica, è il cosiddetto dispositivo “orecchio telefonico” (Fig. 3).

Riso. 3. Auricolare telefonico TU-2

Segnalibri del telefono progettato per intercettare le informazioni trasmesse sulle linee telefoniche. Di solito sono realizzati sotto forma di un modulo separato o mascherati da elementi di un apparecchio telefonico, una spina o una presa telefonica.

Per intercettare le informazioni in tali segnalibri, vengono utilizzati due metodi: metodi di contatto e senza contatto. Con il metodo a contatto l'informazione si ottiene collegandosi direttamente alla linea controllata. Con il metodo senza contatto, le informazioni vengono raccolte utilizzando un sensore a induzione in miniatura, che elimina la possibilità di stabilire il fatto di intercettare le informazioni.

Il trasferimento delle informazioni tramite l'elenco telefonico inizia nel momento in cui l'abbonato solleva il ricevitore.

Riso. 4. Segnalibro del telefono

Segnalibri hardware- si tratta di dispositivi elettronici installati illegalmente e segretamente in mezzi tecnici di elaborazione e trasmissione di informazioni (computer) al fine di garantire al momento giusto la fuga di informazioni, la violazione della sua integrità o il blocco. Realizzato sotto forma di moduli standard utilizzati nei computer, con piccole modifiche. Di norma, vengono inseriti in un computer durante l'assemblaggio di un computer ordinato da un'azienda di interesse, nonché durante la risoluzione dei problemi o le modifiche apportate durante il periodo di servizio o di garanzia.

Riso. 5. Segnalibro hardware

Utilizzando i segnalibri hardware è possibile intercettare dati, ad esempio dati I/O personal computer: immagine del monitor; dati inseriti da tastiera, inviati alla stampante, registrati su supporti interni ed esterni.

Oltre ai segnalibri acustici, telefonici e hardware, possono essere utilizzati per il recupero non autorizzato di informazioni. dispositivi di registrazione video portatili.

La trasmissione dalle videocamere può essere registrata direttamente su un videoregistratore o trasmessa su un canale radio utilizzando trasmettitori speciali. Se oltre all'immagine video è necessaria la trasmissione del suono, insieme alla videocamera viene installato un microfono. Di norma, i trasmettitori video sono realizzati sotto forma di un'unità separata, pur essendo di piccole dimensioni e peso. Ma ci sono spesso casi in cui sono strutturalmente combinati con le telecamere (Fig. 5).

Riso. 6. Trasmettitore video

Le videocamere e i trasmettitori sono alimentati da batterie integrate e il tempo di funzionamento, di norma, non supera diverse ore, oppure da un alimentatore a 220 V e il loro tempo di funzionamento è praticamente illimitato.

In sintesi si afferma quanto segue (di seguito nel testo la mia libera parafrasi soggettiva).

Presumibilmente, grandi aziende di tutto il mondo, tra cui Apple, Amazon e altre come loro, ordinano da molti anni costosi server di fascia alta da SuperMicro. Quest'ultimo era stufo di un tale volume di ordini che le sue stesse fabbriche non riuscivano più a far fronte. Successivamente ha esternalizzato la produzione di un certo numero di schede madri ai suoi subappaltatori cinesi.

I cinesi educati si sono rivolti a questi stessi subappaltatori e hanno fatto loro un’offerta che non potevano rifiutare. Ad esempio, andiamo ragazzi, su nostra richiesta, installerete inoltre un altro piccolo chip non documentato sulle schede madri che produrrete. Se lo fai, ti addebiteremo denaro extra, ma se non lo fai, rovineremo la tua attività con vari assegni. Di conseguenza, le schede madri “modificate” in questo modo furono distribuite in tutto il mondo e alcune di esse finirono in grandi aziende americane, banche e agenzie governative di primo livello.

Passò del tempo. Una delle divisioni di Amazon, una certa società chiamata “Elements”, è preoccupata per la sicurezza delle soluzioni che ha sviluppato nel campo dell’elaborazione di massa dei flussi video. Tra l'altro hanno ordinato un audit di sicurezza hardware ad una certa azienda canadese. Ed è qui che sono stati scoperti chip non documentati, abilmente nascosti, impiantati nelle schede madri. Che non sono così facili da individuare. Perché in primo luogo sono molto piccoli e grigi. In secondo luogo, sono mascherati da normali giunti di saldatura o condensatori a chip. In terzo luogo, nelle ultime revisioni hanno iniziato a nasconderli direttamente nello spessore della textolite, in modo che siano visibili solo sulle fotografie a raggi X.

Se si crede al testo, quindi attraverso il microcodice incorporato, il chip spia periodicamente "effettua il ping" attraverso il modulo BMC uno dei suoi "burattinai" anonimi, dal quale riceve ulteriori istruzioni per l'azione. E presumibilmente anche questo avversario è in grado di scaricare “da ovunque sia necessario” del codice, che viene poi iniettato direttamente nel kernel in esecuzione sistema operativo o nel codice dell'applicazione.

Bene, quello che segue è uno sproloquio su quanto sia grande questo buco nella sicurezza, che stronzi siano questi cinesi, quale sia la loro audacia e arroganza, tutti gli uomini sono stronzi, non puoi fidarti di nessuno, "ora stiamo andando tutti a morire”, e questo è tutto. Le discussioni interessanti dal punto di vista tecnico finiscono qui.

Generalmente sono un grande scettico nella vita. Senza negare il genio dei cinesi, personalmente alcuni aspetti mi sembrano ancora molto irrealistici. Prendilo proprio così, di nascosto da ingegneri e dirigenti, e apporta modifiche al progetto scheda madre a livello del produttore, senza interromperne le prestazioni? E se con la consapevolezza del management, allora come è stato motivato a esporre un rischio reputazionale così grave a tutti questi? grande affare? Iniettare il tuo codice nel sistema operativo e nelle applicazioni? Bene, con Windows va ancora bene, sono pronto a crederci con un cigolio. Ma in Linux, dove non sai in anticipo chi lo ha raccolto e come? Mostrare l'attività di rete offline? Che, volendo, possono essere rilevati e filtrati. Per non parlare del fatto che gli amministratori normali non impostano mai i BMC per "brillare il culo nudo su Internet", e i bravi amministratori generalmente li gettano in una VLAN separata senza possibilità di accesso da nessuna parte.

Ebbene, ancora una volta, ultimamente gli americani hanno sviluppato una sorta di feroce mania e paranoia da spia. E hanno deciso di litigare anche con la Cina. Quindi l’obiettività e l’imparzialità dell’articolo originale sono in discussione. D’altronde non capisco bene da dove prendano storie così belle. Nel 2011, la rivista scandalistica "Xakep" ha scritto degli stessi segnalibri cinesi a livello di microcodice in un'unità flash BMC. Anche quell’articolo sa di delirio paranoico, ma non c’è fumo senza fuoco. Oppure succede?

In generale, condividi la tua opinione nei commenti. È particolarmente interessante ascoltare il compagno. kvazimoda24 sul tema della possibilità di integrare una sorta di microcircuiti spia nello spessore della textolite.

I pratici strumenti di controllo remoto fanno risparmiare molta energia agli amministratori di sistema e allo stesso tempo rappresentano un enorme rischio per la sicurezza quando non possono essere disabilitati nell'hardware tramite un ponticello o accendendo la scheda madre. L'unità Intel Management Engine 11 nelle moderne piattaforme Intel rappresenta proprio un pericolo di questo tipo: inizialmente non può essere disabilitata e, inoltre, ad essa sono legati alcuni meccanismi per l'inizializzazione e il funzionamento del processore, in modo che una disattivazione approssimativa possa semplicemente portare alla completa inoperabilità del sistema . La vulnerabilità risiede Tecnologie Intel L'Active Management Technology (AMT), anche se l'attacco va a buon fine, consente di ottenere il controllo completo del sistema, come descritto nel maggio di quest'anno. Ma i ricercatori di Positive Technologies.

Il processore IME stesso fa parte del chip dell'hub di sistema (PCH). Ad eccezione degli slot del processore PCI Express, tutte le comunicazioni tra il sistema e il mondo esterno passano attraverso il PCH, il che significa che l'IME ha accesso a quasi tutti i dati. Prima della versione 11 un attacco con questo vettore era improbabile: il processore IME utilizzava un'architettura proprietaria con il set di istruzioni ARC, poco conosciuta dagli sviluppatori di terze parti. Ma nella versione 11, è stato giocato un brutto scherzo alla tecnologia: è stata trasferita all'architettura x86 e il MINIX modificato è stato utilizzato come sistema operativo, il che significa che gli studi di terze parti sul codice binario sono stati notevolmente semplificati: sia l'architettura che il sistema operativo era ben documentato. I ricercatori russi Dmitry Sklyarov, Mark Ermolov e Maxim Goryachiy sono riusciti a decrittografare i moduli eseguibili dell'IME versione 11 e ad iniziare il loro studio approfondito.

La tecnologia Intel AMT ha un punteggio di vulnerabilità di 9,8 su 10. Purtroppo, spegnimento completo L'IME sulle piattaforme moderne non è possibile per il motivo sopra descritto: il sottosistema è strettamente correlato all'inizializzazione e all'avvio della CPU, nonché alla gestione dell'alimentazione. Ma da un'immagine di memoria flash contenente moduli IME, puoi rimuovere tutto ciò che non è necessario, anche se questo è molto difficile da fare, soprattutto nella versione 11. È in fase di sviluppo attivo il progetto me_cleaner, un'utilità che consente di rimuovere la parte generale dell'immagine e lasciare solo i componenti vitali. Ma facciamo un piccolo confronto: se nelle versioni IME fino alla 11 (prima di Skylake), l'utility cancellava quasi tutto, lasciando circa 90 KB di codice, ora è necessario salvare circa 650 KB di codice - e in alcuni casi il sistema potrebbe spegnersi dopo mezz'ora, poiché il blocco L'IME entra in modalità di ripristino.

Tuttavia, ci sono progressi. Il suddetto gruppo di ricercatori ha potuto utilizzare il kit di sviluppo, fornito dalla stessa Intel e incluso Utilità Flash Strumento immagine per l'impostazione dei parametri IME e strumento di programmazione Flash, che funziona tramite il controller SPI integrato. Intel non pubblica questi programmi su accesso libero, ma trovarli su Internet non è particolarmente difficile.

Sono stati analizzati i file XML ottenuti utilizzando questo kit (contengono la struttura del firmware IME e una descrizione del meccanismo della cinghia PCH). Un bit chiamato "reserve_hap" (HAP) sembrava sospetto a causa della descrizione "Abilita High Assurance Platform (HAP)". Una ricerca online ha rivelato che questo è il nome di un programma di piattaforma ad alta fiducia associato alla NSA statunitense. L'abilitazione di questo bit indicava che il sistema era entrato in modalità Alt Disable. L'unità IME non ha risposto ai comandi e non ha risposto alle influenze del sistema operativo. Ci sono anche una serie di sfumature più sottili che possono essere trovate nell'articolo su Habrahabr.ru, ma in nuova versione me_cleaner ha già implementato il supporto per la maggior parte dei moduli pericolosi senza impostare il bit HAP, che mette il motore IME nello stato "TemporaryDisable".

L'ultima modifica di me_cleaner, anche nell'undicesima versione di IME, lascia solo i moduli RBE, KERNEL, SYSLIB e BUP in essi non è stato trovato codice per abilitare il sistema IME stesso; Oltre a questi, puoi utilizzare il bit HAP per essere completamente sicuro che anche l'utilità possa farlo. Intel ha esaminato la ricerca e ha confermato che una serie di impostazioni IME sono effettivamente correlate alle esigenze di capacità delle organizzazioni governative. maggiore sicurezza. Queste impostazioni sono state introdotte su richiesta dei clienti del governo statunitense, sono state sottoposte a test limitati e tali configurazioni non sono ufficialmente supportate da Intel. L'azienda nega inoltre di aver introdotto nei suoi prodotti le cosiddette backdoor.