Алексей Викторович Захаров
руководитель проекта
ООО "РадиоСофт"
Журнал Защита информации. INSIDE №1'2019
STT GROUP (ООО «ИКМЦ-1» АО «Группа Защиты-ЮТТА»)
В контексте статьи под анализом цифровых каналов связи авторы понимают не только анализ амплитудно-частотных характеристик излучений РЭС, работающих в цифровых стандартах обмена данными, но и «вскрытие» содержимого открытой технической информации передачи с выделением уникальных идентификаторов.
В настоящее время на рынке технической защиты информации присутствует широкий выбор систем радиоконтроля (радиомониторинга) с различными техническими параметрами, которые объединяет одно – они могут только отображать и (в лучшем случае) сохранять панорамы спектров сигналов в радиоэфире. Задачи анализа цифровых легальных каналов связи они или не решают вообще, или делают это формально — для «галочки». Причины разные — начиная от неудовлетворительного качества радиоприёмного тракта и невозможности подключения к ПЭВМ (аппараты типа Oscor Green) и заканчивая простым непониманием и /или нежеланием решать существующую проблему. Зачем что-то менять, если потребитель продолжает приобретать устаревшие решения? А потребитель, зачастую, даже не знает о том, что производитель ему предлагает технику, которая не может обеспечить качественное противодействие современным угрозам.
А проблема вполне себе реальна.
Давайте немного поговорим о «пользе» «классического радиоконтроля», где не решаются вопросы анализа цифровых каналов связи применительно к области защиты информации. И нужен ли такой радиоконтроль на современном этапе развития средств негласного получения информации. И отдельно коснёмся вопроса мнимого «цифрового» анализа, когда идёт подмена понятий, введение в заблуждение пользователей.
Для понимания ситуации необходимо представить, что собой сегодня представляет типовой объект, требующий защиты.
Не будем касаться вопроса отдельно стоящих в тайге и имеющих многокилометровую зону отчуждения объектов – там всё проще. Если на объекте запрещена любая беспроводная связь, то и выявлять и локализовать надо каждый сигнал, который появляется в эфире, в том числе на частотах легальных каналов связи. Обычно такое требование выполнимо в чисто гипотетических условиях – для отдельного сферического объекта в вакууме. Мы же рассмотрим реальные условия работы - стандартный объект, находящийся в городской черте, зачастую в местах с плотной застройкой, насыщенной офисными, административными и жилыми зданиями, непрерывно модернизируемыми и насыщенными как устаревшими, так и самыми современными средствами беспроводной связи. В радиоэфире активно работают операторы мобильной связи 2G/3G/4G, работают сети WiFi, аналоговое и цифровое телевидение и радиовещание, служебные радиосети МВД, МЧС, системы радиосигнализации, радиолюбители, авиация и т.д., и т.п.
Вся сложность современного радиомониторинга в интересах обеспечения защиты информации заключается в том, что современные закладные устройства с передачей информации по радиоканалу всё чаще используют для передачи информации те же стандарты, что и легально находящиеся в помещениях устройства. Мы это уже рассматривали - в статье (1), в части стандарта WiFi (2). Теперь давайте посмотрим, что сможет сделать оператор с комплексом радиоконтроля, без решения задач анализа цифровых каналов связи.
Приведём несколько примеров:
Вопрос к практикующим поисковикам – что вы делаете, когда обнаружите такой спектр, как на рис.1?
Как выявить работающую на объекте закладку с передачей в диапазоне DECT, если согласно описанию стандарта - на каждой частоте может одновременно работать 24 устройства – 12 баз и 12 трубок? Таких частот 10 в диапазоне 1880-1900 МГц, и практика показывает, что практически везде, в крупных бизнес центрах или административных зданиях, выявляется занятость всех 10 каналов, и работа на них ведётся непрерывно. Мы фиксировали более 240 базовых станций единовременно, находясь на 16-м этаже жилого здания.
На рис.2 показан факт выявления 135 работающих баз стандарта DECT.
Оператор с опытом скажет – для локализации и обнаружения возможных закладок выключу свою базу и буду смотреть уровни сигналов. Всё правильно, только как вы отключите трубку и базу в соседнем помещении, которое не принадлежит вашей или проверяемой вами организации, трубку секретаря, которая вообще не умолкает. В некоторых офисах мы видели постоянно перемещающихся сотрудников, непрерывно разговаривающих по телефонам стандарта DECT. Уровни сигналов постоянно меняются. Рай для хорошей маскировки закладки. И ночью ситуация не сильно изменится — DECT базы работают непрерывно, не выключаясь. Пока вывод напрашивается только один — не анализируя заголовки цифровых пакетов выявить DECT закладку в помещениях, где активно используются радиотелефоны этого стандарта очень затруднительно.
Ещё один пример — всеми «любимый» диапазон 2400 - 2500 МГц. WiFi, ZigBee, Bluetooth, управление беспилотниками, цифровые и аналоговые видеокамеры. Нет лучше диапазона для сокрытия работы радиопередатчика, чем 2.4 ГГц. Посмотрите на график максимумов, накопленный за 3 минуты в не очень насыщенном передающими средствами месте (рис.3)
Из всего вышеописанного вывод напрашивается один - современный радиомониторинг невозможен без анализа цифровых каналов связи.
На самом деле этот вывод назрел уже давно и на рынке появился ряд решений исключительно для анализа цифровых каналов связи. Как правило, основой таких комплексов выявления и идентификации средств беспроводной связи являются стандартные радиомодули для ноутбука (встроенные, или подключаемые через USB порты «донглы»*).
Рассмотрим ситуацию, которая получила развитие и привела к изменению нашего подхода к цифровому анализу и показала бессилие общепринятого взгляда на радиоконтроль, когда комплекс радиоконтроля это одно, а комплекс анализа цифровых каналов связи — другое. Эти изделия должны, как минимум, использоваться одновременно, и, как максимум, быть единым целым и работать по единому алгоритму. Зайдите в мировую интернет-паутину и забейте в поисковом запросе фразу “high-power Bluetooth adaptor”. Не долгий поиск выдаст вам Bluetooth модули с дальностью передачи до 2 км. Этот пример приведён для тех читателей, которые считают стандарт Bluetooth не опасным из-за укоренившегося мифа, что он «не дальнобойный» и достаточно иметь контролируемую зону хотя бы метров 20, чтобы о нём забыть. Какие же сложности ждут оператора поисковой бригады по выявлению закладного устройства, внедрённого на объект и использующего Bluetooth в качестве канала передачи перехваченной информации? На типовом объекте в зоне уверенного приёма легко в рабочее время может одновременно работать до 10-15 устройств Bluetooth. Особенно плохо обстоят дела в организациях, где процессом закупок управляют любители американской продукции известной фирмы Apple. В их стационарных моноблоках чаще всего используются беспроводные манипуляторы-мыши и клавиатуры — это же удобно. Т.е. в контролируемом помещении могут находиться легальные устройства этого стандарта. Беспроводные гарнитуры мобильных телефонов, ноутбуки, планшеты, SmartTV — всё это с большой вероятностью уже есть в помещениях руководства различного ранга. Даже современная охрана может иметь Bluetooth гарнитуры, подключённые к радиостанциям. Хорошо, если вам надо проводить проверку с возможностью выноса и отключения всего, что есть в помещении. А если задача стоит по контролю ситуации во время проведения еженедельного совещания, и никто у участников совещания не изымает электронные устройства. Что тогда? Как будем отличать Bluetooth клавиатуры стенографистки от закладки? А если ещё закладка не находится прямо под антенной комплекса радиоконтроля и работает не на 100 метров, а на 20, а приёмник с накопителем информации находится этажом выше? Её амплитуда сигнала не будет выделяться на фоне легальных устройств. И в эфире у нас ещё работаю сети WIFI, да ещё и используемые во время совещания. На накопленном спектре будет полная каша. Вывод один — не анализируя заголовки пакетов работающих устройств и не выявляя их LAP-адреса невозможно с большой вероятность выявить закладку на фоне имеющихся легальных средств.
Почему LAP, а не MAC-адрес?
Вот тут мы и подходим к ещё более интересному факту под названием — подмена понятий. Для ясности – Bluetooth устройства, которые были один раз сопряжены между собой и не находятся в открытом режиме (например, пытаются найти новые устройства) — не передают MAC-адрес в эфир. Если вы видите на своём анализаторе только MAC адреса стандарта Bluetooth, то мы вас «поздравляем» — ваш прибор занимается тем, что мы вынесли в заглавие статьи – имитирует бурную деятельность. Скорее всего, на этот прибор потрачены немалые средства организации, но это не страшно. Страшно другое — реальную боевую закладку ваш цифровой анализатор не увидит. Никогда.
Дальше – хуже. Продолжая анализировать информацию от изделия, выявленного во время очередной работы, обнаружили очень интересный момент — анализатор Bluetooth не хотел его идентифицировать как Bluetooth. Выручил режим обнаружения сигналов и автоматической идентификации сигналов, превысивших порог комплекса Кассандра - сигнал уверенно определился как Bluetooth. Эта нестыковка вынудила глубже изучить обнаруженный сигнал. Вывод был неожиданный и будет очень неприятным для пользователей цифровых анализаторов, сделанных на различных донглах или встроенных в ПЭВМ Bluetooth-адаптеров. Просто-напросто частота излучения анализируемого изделия не попадала под частотную сетку стандарта Bluetooth. Частота отличалась от стандартной более чем на 100 кГц. Этот передатчик оказался неподконтрольным анализаторам стандартных цифровых каналов. При таком раскладе практически все цифровые анализаторы можно смело отдать студентам для проведения лабораторных работ. Т.е. без возможности анализировать нестандартные (любые) частоты на принадлежность к цифровым стандартам связи подобные закладки не выявляются.
Продолжая постоянную работу над улучшением комплекса Кассандра, по результатам выявленных проблем мы пересмотрели работу цифрового анализатора. Теперь можно работать в различных режимах. Как и ранее - по стандартной сетке частот, по произвольной частоте с возможностью активировать режим фиксации своих устройств, а также - по сетке частот с возможностью смещения по частоте (рис.4).
На рисунке обратите внимание на один MAC-адрес в среднем столбце таблицы — это единственное устройство, которое способны обнаружить современные «цифровые анализаторы» большинства производителей. В данном случае была включена клавиатура Apple. В левой же колонке — те самые невидимки, которые не передают в радиоэфир свой полный MAC-адрес — работающая клавиатура, беспроводная гарнитура мобильного телефона в момент работы микрофона и одно устройство, работающее вне стандартной частотной сетки Bluetooth (смещение на 100 кГц). В копилку опыта практикующим поисковикам ещё полезная информация – LAP-адрес 9E:8B:33, который всегда появляется при включении активного метода в программной опции DTest — это стандартный широковещательный запрос окружающих устройств — «отдай свои идентификаторы». В нашем случае его делает Bluetooth-адаптер ноутбука комплекса Кассандра для выявления открытых устройств (MAC-адресов). Если вы не используете активный метод, а этот адрес всё равно появляется, значит, в зоне приёма работает Bluetooth-устройство, которое перевели в режим поиска других открытых устройств. Например, два сотрудника решили обменяться файлами на ноутбуках и ранее не соединяли их через Bluetooth.
Анализ цифры по спектру?
Ещё одна нелицеприятная сторона подмены понятий — выдача желаемого за действительное. В некоторых комплексах выявления и идентификации средств беспроводной связи заявлен анализ некоторых цифровых каналов только на основании спектрального анализа диапазона частот, обозначенных в спецификации стандарта. Причем очень часто это касается вещей настолько специфических, что существуют они только на бумаге и к реальному радиоконтролю имеют такое же отношение, как Чебурашка к Красной Книге. Мы определённо не можем понять — как можно отнести к конкретному типу сигналов обнаруженный сигнал исходя только из факта его работы в определённом диапазоне частот? Т.е. имеем такой подход: мы видим сигнал на 1920-1980 МГц – принимаем решение, что это UMTS2100, видим сигнал на частоте 3400-3700 – значит это WIFI…? Откуда такая уверенность?
В конце концов, если следовать такой упрощенной логике, то мы можем поздравить всех пользователей Кассандра-К:6 Кассандра-К21 Кассандра-СО Кассандра-С6 – коллеги! Вы давно, оказывается, имеете сверхмощный цифровой анализатор любых цифровых стандартов. Алгоритм следующий — ставите задачу контроля нужных диапазонов, где работают интересующие цифровые стандарты. Устанавливаете линию порога и идёте пить кофе. Гарантируем — вы обязательно наловите массу «цифровых устройств» даже в тех диапазонах, где они существуют только в теории и не были никогда реализованы на практике.
На самом деле невозможно корректно определить принадлежность сигнала к конкретному стандарту без выявления однозначно информативных признаков – без цифровой обработки, анализа типа модуляции, демодуляции, в конце концов.
Хотя иметь перед глазами подсказку в виде обозначения на общем спектре границ стандартизированных диапазонов оператору не помешает. Для облегчения работы в последней версии RadioInspectorRT введена функция выделения диапазона частот с выведением информации с названием диапазона (Рис.5).
Пользователь самостоятельно и легко может вести эту таблицу. На рис.6 пример того, как выглядит заполнение этой таблицы со списком частот одного известного цифрового анализатора и как это выглядит на экране ПЭВМ комплекса Кассандра-К6.
DMR, Tetra, APCO …
В погоне за формальной стороной вопроса «чистые цифровики» с добавлением в ТТХ не существующих стандартов забыли совсем про другие легальные стандарты связи, которые незримо присутствуют на всех объектах – служебная радиосвязь. Казалось бы – какое отношение радиостанции имеют к защите информации? А что, если сказанное на посту охраны будет получено противной стороной, ведущей наблюдение за объектом? Например, дневной пароль? Или часть беседы высокопоставленного руководителя неведомым образом будет записано, в то время, когда рядом с ним был только многократно проверенный сотрудник охраны.
Как такое возможно? Ведь сегодня уже отошли от аналоговой связи, все переходят на цифровые стандарты. В этой последней фразе и кроется новая проблема. Цифровые стандарты помимо плюсов имеют и минусы, применительно к защите информации. Первый и главный – пользователь не знает, что заложил в возможности радиостанций её производитель. Наиболее активно на сегодня развивается стандарт DMR, который практически завоевал планету. На одной частоте одновременно могут, в том числе и через ретранслятор, не мешая друг другу, общаться две группы абонентов. Возможно шифрование, отправка SMS, передача координат абонента, групповой или индивидуальный вызов. На основе индивидуального вызова и реализована функция, требующая нашего пристального внимания – полицейский режим. Эта функция позволяет включить на передачу нужную радиостанцию с контролем окружающей акустики. Причём сервисное ПО позволяет отключить любую индикацию на контролируемой радиостанции. Т.е. внешне она ничем не будет индицировать, что работает на передачу. Стандартно для этого необходимо, конечно, открыть эту функцию на контролируемой станции, ввести пароль и т.д. Время контроля в сервисной программе фирмы Motorola можно задать в пределах от нескольких секунд до 2-х минут. А теперь задайте себе вопрос – уверенны ли вы, что американская компания не оставила себе «back door»? Так, на всякий случай. Мы ни на секунду не сомневаемся, что он есть. И человеческий фактор никто не отменял.
Небольшой пример реализации back door - на объекте стоит пост радиоконтроля, операторы которого давно знают, на какой частоте работает охрана и конечно её не контролирует. Зачем, если это своя частота? Обычно в DMR мало где используются оба таймслота - радиообмен ведётся не постоянно, большой нагрузки на сеть нет, хватает одного. Злоумышленник использует для передачи информации второй таймслот. Пост радиоконтроля в лучшем случае может заметить нестандартную активность – длинные передачи. Но что там передаётся, а главное - от кого к кому узнать без анализа трафика с демодуляцией и выделением идентификаторов устройств невозможно.
Поэтому в опции DTest комплекса Кассандра всё больше внимания уделяется служебной радиосвязи. Начиная от наличия возможности демодуляции стандартов APCO-P25, Tetra, DMR без шифрования и заканчивая выделением уникальных идентификаторов (ID) устройств. Мы настаиваем на том, что каналы служебной радиосвязи на объектах надо отслеживать не только для контроля соблюдений правил радиообмена. Отсутствие возможности анализировать всю структуру цифрового радиообмена в современном комплексе радиоконтроля с нашей точки зрения недопустимо.
В статье невозможно затронуть все аспекты угроз, которые кроются в стремительно развивающихся технических средствах связи. Мы постарались хоть немного ответить на вопросы наших заказчиков – «а почему у вас нет WIFI 3500» «NMT-450» и им подобных. Цель разработчиков комплекса Кассандра – не имитировать решение проблем, создавая обманчивое чувство безопасности, а пытаться отвечать на реально существующие угрозы.
В заключение:
Вкратце о перспективах комплекса Кассандра. В настоящее время проходит очередная глубокая модернизация комплексов. Модернизированные Кассандра-К6 и Кассандра-К21 в 2017 году порадуют покупателей скоростью сканирования до 15 ГГц/с без потери качественных характеристик радиоприемного тракта. Кроме этого, налажено серийное производство анонсированных в 2016 году новых комплексов серии «С» - портативных комплексов амплитудной пеленгации Кассандра С6 и Кассандра С21 с анализом цифровых сетей.
Кассандра С6
Портативный комплекс амплитудной пеленгации аналоговых и цифровых устройств с выделением их идентификаторов (MAC, LAP, RFPI и т.п.). Опция GEO с электронным компасом, GPS/ГЛОНАС приёмником, возможность загрузки карт местности в реальном времени.
Создан на базе К6 без коммутатора
Автономное питание 6 часов
Вариант С21 в диапазоне 3-21 ГГц
Ссылки
1. Захаров А.В. Кривцун А.В. Использование новых возможностей комплекса радиомониторинга и цифрового анализа сигналов «Кассандра-М» для обнаружения современных специальных технических средств с передачей информации по радиоканалу // Специальная техника. №5. 2011.
2. Захаров А.В. Требования к перспективному анализатору сетей WiFi // Инсайд. Защита Информации №1. 2015.
*донгл (от англ. Dongle) – ключ, заглушка. В современном сленге – малогабаритный аппаратный модуль, подключаемый к компьютеру через различные интерфейсы (например USB), для расширения его функциональных возможностей. Например: внешние Bluetooth-адаптеры, USB-модемы WiFi, USB-модемы 4G(LTE) и т. п. – на сноску страницы
В статье, опубликованной в журнале "Инсайд. Защита Информации" №1 2017 подняты актуальные вопросы и освещены некоторые проблемы современного поискового радиоконтроля.