117546, г. Москва, р-н Бирюлево Западное, ул. Медынская, д. 14А
Имитация бурной деятельности, или Каким не должен быть радиоконтроль в XXI веке
В контексте статьи под анализом цифровых каналов связи авторы понимают не только анализ амплитудно-частотных характеристик излучений РЭС, работающих в цифровых стандартах обмена данными, но и «вскрытие» содержимого открытой технической информации передачи с выделением уникальных идентификаторов.
Ключевые слова: радиоконтроль, радиомониторинг, анализ цифровых сетей, Кассандра, RadioInspector, цифровые закладки
Алексей Викторович Захаров
info@analitika.info
Александр Витальевич Кривцун
kvn@detektor.ru
STT GROUP (ООО «ИКМЦ-1» АО «Группа Защиты-ЮТТА»)
В настоящее время на рынке технической защиты информации присутствует широкий выбор систем радиоконтроля (радиомониторинга) с различными техническими параметрами, которые объединяет одно – они могут только отображать и (в лучшем случае) сохранять панорамы спектров сигналов в радиоэфире. Задачи анализа цифровых легальных каналов связи они или не решают вовсе, или делают это формально – для «галочки». Причины тому могут быть разные, начиная от неудовлетворительного качества радиоприемного тракта и невозможности подключения к ПЭВМ (аппараты типа Oscor Green) и заканчивая простым непониманием, как решать существующую проблему, и/или нежеланием это делать: зачем что-то менять, если потребитель продолжает приобретать устаревшие решения? А потребитель, между тем, зачастую даже не знает о том, что производитель предлагает ему технику, которая не в состоянии обеспечить качественное противодействие современным угрозам.
А проблема вполне себе реальна
Давайте поговорим о «классическом радиоконтроле», где не решаются вопросы анализа цифровых каналов связи применительно к области защиты информации, и ответим на вопрос: нужен ли такой радиоконтроль на современном этапе развития средств негласного получения информации. Кроме того, отдельно коснемся вопроса мнимого «цифрового» анализа, при котором происходит вводящая пользователей в заблуждение подмена понятий.
Для понимания ситуации необходимо представлять, что сегодня представляет собой типовой объект, требующий защиты.
Не будем касаться расположенных в тайге и снабженных многокилометровой зоной отчуждения объектов – там всё проще. Если на объекте запрещена любая беспроводная связь, то выявлять и локализовать надо каждый сигнал, который появляется в эфире, в том числе на частотах легальных каналов связи. Обычно такое требование выполнимо в чисто гипотетических условиях – для отдельного сферического объекта в вакууме. Мы же рассмотрим реальные условия работы – стандартный объект, находящийся в городской черте, зачастую в местах с плотной застройкой с множеством офисных, административных и жилых зданий, непрерывно модернизируемых и насыщенных как устаревшими, так и самыми современными средствами беспроводной связи. Кроме того, мы примем во внимание, что в радиоэфире активно работают операторы мобильной связи 2G/3G/4G, сети Wi-Fi, аналоговое/цифровое телевидение и радиовещание, служебные радиосети МВД, МЧС, системы радиосигнализации, радиолюбители, авиация и т. д.
Вся сложность современного радиомониторинга в интересах обеспечения ЗИ заключается в том, что современные закладные устройства с передачей информации по радиоканалу всё чаще используют для этого те же стандарты, что и легальные устройства. Мы уже рассматривали этот аспект в статье в части стандарта Wi-Fi. Теперь давайте посмотрим, что сможет сделать оператор с комплексом радиоконтроля без решения задач анализа цифровых каналов связи. Для этого приведем несколько примеров.
Рис. 1
Вопрос к практикующим поисковикам: что вы делаете при обнаружении такого спектра, как показан на рис. 1?
Как выявить работающую на объекте закладку с передачей сигнала в диапазоне DECT, если, согласно описанию стандарта, на каждой частоте может одновременно работать 24 устройства – 12 баз и 12 трубок? В диапазоне 1880–1900 МГц таких частот – 10, и практика показывает, что фактически всегда в крупных бизнес-центрах или административных зданиях выявляется занятость всех 10 каналов, и работа в них ведется непрерывно. Нам доводилось фиксировать более 240 базовых станций единовременно, находясь на 16-м этаже жилого здания.
Рис. 2
На рис. 2 проиллюстрирован факт выявления 135 работающих баз стандарта DECT.
Оператор с опытом скажет: «Для локализации и обнаружения возможных закладок выключу свою базу и буду смотреть уровни сигналов». Всё правильно, только как отключить трубку и базу в соседнем помещении, которое не принадлежит вашей или проверяемой вами организации, или практически не умолкающую трубку секретаря? В некоторых офисах мы видели постоянно перемещающихся сотрудников, непрерывно разговаривающих по телефонам стандарта DECT. Уровни сигналов в таких условиях постоянно меняются – чем не рай для хорошей маскировки закладки? Да и ночью ситуация не сильно изменится: DECT-базы работают непрерывно, не выключаясь. Пока напрашивается только один вывод: не анализируя заголовки цифровых пакетов, выявить DECT-закладку в помещениях, где активно используются радиотелефоны этого стандарта, очень затруднительно.
Рис. 3
Еще один пример – всеми «любимый» диапазон 2400–2500 МГц. Wi-Fi, ZigBee, Bluetooth, управление беспилотниками, цифровые и аналоговые видеокамеры – нет лучше диапазона для сокрытия работы радиопередатчика. Посмотрите на график максимумов, накопленный за 3 минуты в не очень насыщенном передающими средствами месте (рис. 3).
Из всего вышеописанного опять же следует единственно правильный вывод – современный радиомониторинг невозможен без анализа цифровых каналов связи.
На самом деле этот вывод назрел уже давно, поэтому на рынке появился ряд решений, предназначанных исключительно для анализа цифровых каналов связи. Как правило, основой таких комплексов выявления и идентификации средств беспроводной связи являются стандартные радиомодули для ноутбука (встроенные или подключаемые через USB-порты – «донглы1»).
Далее ситуация получила свое развитие, приведшее к изменению общепринятого подхода к цифровому анализу, поскольку показало бесперспективность широко распространенного взгляда на радиоконтроль, предполагающего, что комплекс радиоконтроля – это одно, а комплекс анализа цифровых каналов связи – другое. Эти изделия должны как минимум использоваться одновременно, а как максимум – быть единым целым и работать по единому алгоритму.
Зайдите в мировую интернет-паутину и задайте в качестве поискового запроса фразу «high-power Bluetooth adaptor». Недолгий поиск выдаст вам перечень Bluetooth-модулей с дальностью передачи сигнала до 2 км. Этот пример приведен для тех читателей, которые считают стандарт Bluetooth не опасным из-за укоренившегося мифа, что он «не дальнобойный», и достаточно иметь контролируемую зону порядка 20 метров, чтобы о нем забыть.
Какие же сложности ждут оператора поисковой бригады по выявлению закладного устройства, использующего Bluetooth в качестве канала передачи перехваченной информации? На типовом объекте в зоне уверенного приема в рабочее время вполне может одновременно работать до 10–15 устройств Bluetooth. Особенно плохо в этом плане обстоят дела в организациях, где процессом закупок управляют любители американской продукции известной фирмы Apple. В их стационарных моноблоках чаще всего используются беспроводные манипуляторы-мыши и клавиатуры – это же удобно. Таким образом, в контролируемом помещении могут находиться легальные устройства этого стандарта: беспроводные гарнитуры мобильных телефонов, ноутбуки, планшеты, SmartTV – всё это с большой долей вероятности уже имеется в помещениях, занимаемых руководителями различного ранга. Даже современная охрана может иметь Bluetooth-гарнитуры, подключенные к радиостанциям.
Хорошо, если условия проведения проверки предусматривают возможность отключения и выноса всех приемо-передающих устройств, имеющихся в помещении. А если перед проверяющим стоит задача контроля ситуации во время проведения еженедельного совещания, и никто не изымает у участников совещания электронные устройства? Как он будет отличать Bluetooth-клавиатуру стенографистки от закладки? Особенно, когда закладка располагается не прямо под антенной комплекса радиоконтроля и передает сигнал не на 100 метров, а на 20 – приемник с накопителем информации находится этажом выше? В этом случае амплитуда ее сигнала не будет выделяться на фоне легальных устройств. Плюс к тому в эфире работают сети WI-FI, в том числе используемые во время совещания. В результате – полная «каша» на накопленном спектре.
Исходя из вышеизложенного, можно смело утверждать: не анализируя заголовки пакетов работающих устройств и не выявляя их LAP-адреса, невозможно с высокой вероятностью выявить закладку на фоне имеющихся легальных средств.
Почему LAP, а не MAC-адрес?
Тут мы и подходим к уже упомянутой нами в начале статьи подмене понятий. Уточним для ясности: Bluetooth-устройства, которые однажды были сопряжены между собой и не находятся в открытом режиме (например, пытаются найти новые устройства), не передают MAC-адрес в эфир. Если вы видите на своем анализаторе только MAC-адреса стандарта Bluetooth, то мы вас «поздравляем»: ваш прибор занимается тем, что мы вынесли в заглавие статьи, – имитирует бурную деятельность. Скорее всего, на этот прибор затрачены немалые средства, но не это – самое плохое: реальную «боевую» закладку ваш цифровой анализатор не увидит. Никогда.
Дальше – хуже. Однажды, продолжая анализировать сигнал, поступающий от изделия, выявленного во время очередной поисковой работы, мы обнаружили очень интересный факт – анализатор Bluetooth не хотел его идентифицировать в качестве Bluetooth-сигнала. Выручил режим обнаружения и автоматической идентификации сигналов, превысивших порог комплекса «Кассандра»: сигнал уверенно определился как Bluetooth. Эта нестыковка вынудила глубже изучить обнаруженный сигнал. Вывод был неожиданным и очень неприятным для пользователей цифровых анализаторов, сделанных на различных донглах или встроенных в ПЭВМ Bluetooth-адаптеров. Просто-напросто частота излучения анализируемого изделия не попадала под частотную сетку стандарта Bluetooth, отличаясь от стандартной более чем на 100 кГц. Таким образом, этот передатчик оказался неподконтрольным анализаторам стандартных цифровых каналов, а поскольку без возможности анализировать любые нестандартные частоты на принадлежность к цифровым стандартам связи подобные закладки не выявляются, практически все цифровые анализаторы можно смело отдать студентам для проведения лабораторных работ.
Рис. 4
Продолжая постоянную работу над улучшением комплекса «Кассандра» по результатам выявленных проблем, мы пересмотрели характеристики работы цифрового анализатора. Теперь с ним можно работать в различных режимах: как ранее – по стандартной сетке частот, по произвольной частоте с возможностью активировать режим фиксации своих устройств, так и по сетке частот с возможностью смещения по частоте (рис. 4).
Обратите внимание на MAC-адрес в среднем столбце таблицы – это единственное устройство, которое способны обнаружить современные цифровые анализаторы большинства производителей. В данном случае была включена клавиатура Apple. В левой же колонке расположились те самые невидимки, которые не передают в радиоэфир свой полный MAC-адрес – работающая клавиатура, беспроводная гарнитура мобильного телефона в момент работы микрофона и одно устройство, работающее вне стандартной частотной сетки Bluetooth (смещение на 100 кГц). Дополнительная полезная информация в копилку опыта практикующим поисковикам: LAP-адрес 9E:8B:33, который всегда появляется при включении активного метода в программной опции Dtest, – это стандартный широковещательный запрос окружающих устройств «отдай свои идентификаторы». В нашем случае его делает Bluetooth-адаптер ноутбука комплекса «Кассандра» для выявления открытых устройств (MAC-адресов). Если вы не используете активный метод, а этот адрес всё равно появляется, значит, в зоне приема работает Bluetooth-устройство, которое перевели в режим поиска других открытых устройств (например, два сотрудника решили обменяться файлами на ноутбуках и ранее не соединяли их через Bluetooth).
Анализ цифры по спектру?
Еще одна нелицеприятная сторона подмены понятий – выдача желаемого за действительное. В ряде комплексов выявления и идентификации средств беспроводной связи заявлен анализ некоторых цифровых каналов только на основании спектрального анализа диапазона частот, обозначенных в спецификации стандарта. Причем очень часто это касается вещей настолько специфических, что существуют они только на бумаге и к реальному радиоконтролю имеют такое же отношение, как Чебурашка к Красной Книге. Мы определенно не можем понять, как можно отнести обнаруженный сигнал к конкретному типу сигналов, исходя только из факта его работы в определенном диапазоне частот? Предположим, мы наблюдаем сигнал в диапазоне частот 1920 –1980 МГц и решаем, что это UMTS2100, а если в диапазоне 3400–3700 МГц – относим его к Wi-Fi... Откуда такая уверенность?
В конце концов, если следовать такой упрощенной логике, то мы можем поздравить всех пользователей «Кассандра-К6», «Кассандра-К21», «Кассандра-СО», «Кассандра-С6»: коллеги, вы, оказывается, давно являетесь обладателями сверхмощного цифрового анализатора любых цифровых стандартов! Алгоритм следующий: ставите задачу контроля нужных диапазонов, где работают интересующие цифровые стандарты, затем устанавливаете линию порога, после чего идете пить кофе. Гарантируем – вы обязательно «наловите» массу «цифровых устройств» даже в тех диапазонах, где они существуют только в теории и никогда не были реализованы на практике.
Рис. 5
На самом деле невозможно корректно определить принадлежность сигнала к конкретному стандарту без выявления однозначно информативных признаков – без цифровой обработки, анализа типа модуляции, демодуляции, в конце концов. Хотя иметь перед глазами подсказку в виде обозначения на общем спектре границ стандартизированных диапазонов оператору не помешает. Для облегчения работы в последней версии прибора RadioInspectorRT введена функция выделения диапазона частот с выведением информации о его параметрах (рис. 5).
Пользователь может вести такую таблицу самостоятельно, не испытывая при этом никаких затруднений. На рис. 6 приведен пример того, как выглядит заполненная таблица со списком частот одного известного цифрового анализатора на экране ПЭВМ комплекса «Кассандра-К6».
DMR, Tetra, APCO...
В погоне за формальной стороной вопроса «чистые цифровики» с добавлением в ТТХ несуществующих стандартов совсем забыли про другие легальные стандарты связи, которые незримо присутствуют на всех объектах, а именно, про служебную радиосвязь. Казалось бы, какое отношение радиостанции имеют к защите информации? Но что, если сказанное на посту охраны будет доступно стороне, ведущей наблюдение за объектом? Например, дневной пароль? Или фрагмент беседы высокопоставленного руководителя неведомым образом окажется записанным в тот период времени, когда рядом с ним находился лишь многократно проверенный сотрудник охраны.
Как такое возможно в условиях, когда практически все уже отошли от использования аналоговой связи и перешли на цифровые стандарты? В этом-то и кроется новая проблема. Цифровые стандарты помимо плюсов имеют и минусы, особенно применительно к защите информации. Главный из них – пользователь не знает, что заложил в возможности радиостанций ее производитель. Наиболее активно в рассматриваемой области на сегодня развивается стандарт DMR, который практически завоевал планету. Полезных возможностей им предоставляемых насчитывается немало. На одной частоте одновременно могут, в том числе и через ретранслятор, не мешая друг другу, общаться две группы абонентов. Предусмотрены также шифрование, отправка SMS, передача координат абонента, групповой или индивидуальный вызов. На основе индивидуального вызова и реализована функция, требующая нашего пристального внимания, – полицейский режим. Благодаря ей можно включить нужную радиостанцию на передачу с контролем окружающей акустики, причем сервисное ПО позволяет отключить любую индикацию на контролируемой радиостанции. Другими словами, ее работа на передачу внешне никак не проявится. Стандартно для этого необходимо, конечно, открыть указанную функцию на контролируемой станции, ввести пароль и т. д. Время контроля в сервисной программе фирмы Motorola можно задать в пределах от нескольких секунд до двух минут. А теперь задайте себе вопрос: уверенны ли вы, что американская компания не оставила себе back door? Так, на всякий случай. Мы ни на секунду не сомневаемся, что она есть, да и влияние человеческого фактора никто не отменял.
Приведем небольшой пример реализации back door. На объекте имеется пост радиоконтроля, операторы которого давно знают, на какой частоте работает охрана, и, разумеется, ее не контролирует. Зачем, если это «своя» частота? Обычно мало где используются оба таймслота DMR: радиообмен ведется периодически, большой нагрузки на сеть нет, поэтому хватает одного. Зато второй таймслот вполне может задействовать для передачи информации злоумышленник. Пост радиоконтроля при этом в лучшем случае отметит нестандартную активность – длинные передачи. Но что именно передается, а главное – от кого к кому, невозможно узнать без анализа трафика с демодуляцией и выделением идентификаторов устройств.
В связи с этим в опции DTest комплекса «Кассандра» всё больше внимания уделяется служебной радиосвязи, начиная от наличия возможности демодуляции стандартов Tetra, APCO-P25, DMR без шифрования и заканчивая выделением уникальных идентификаторов устройств. Мы настаиваем на том, что каналы служебной радиосвязи на объектах надо отслеживать не только для контроля соблюдения правил радиообмена. Отсутствие возможности анализировать всю структуру цифрового радиообмена в современном комплексе радиоконтроля, с нашей точки зрения, недопустимо.
В одной статье невозможно затронуть все аспекты угроз, которые кроются в стремительно развивающихся технических средствах связи. Мы постарались хотя бы отчасти дать ответ на часто задаваемые вопросы наших заказчиков типа: «А почему у вас нет Wi-Fi 3500», «NMT-450?». Цель разработчиков комплекса «Кассандра» – не имитировать решение проблем, создавая обманчивое чувство безопасности, а пытаться отвечать на реально существующие угрозы.
В заключение – вкратце о перспективах комплекса «Кассандра». В настоящее время проходит очередная глубокая его модернизация. Модернизированные «Кассандра-К6» и «Кассандра-К21» в 2017 году порадуют покупателей скоростью сканирования до 15 ГГц/с без потери качественных характеристик радиоприемного тракта. Кроме того, налажено серийное производство анонсированных в 2016 году новых комплексов серии «С» – портативных комплексов амплитудной пеленгации «Кассандра С6» и «Кассандра С21» с функцией анализа цифровых сетей (см. врезку).
ЛИТЕРАТУРА
1. Захаров А. В. Кривцун А. В. Использование новых возможностей комплекса радиомониторинга и цифрового анализа сигналов «Кассандра-М» для обнаружения современных специальных технических средств с передачей информации по радиоканалу // Специальная техника. – 2011. – No 5. – С.
2. Захаров А. В. Требования к перспективному анализатору сетей Wi-Fi // Защита информации. Инсайд. – 2015. – No 1. – С. 25–29.