CC BY
52
6. Jajodia S., Noel S. Managing Attack Graph Complexity Through Visual Hierarchical Aggregation // II In 1st International Workshop on Visualization and Data Mining for Computer Security. Washington, DC, USA. October 2004. P. 109-118.
7. Положение по аттестации объектов информатизации по требованиям безопасности информации. Утв. ФСТЭК России 25 ноября 1994.
8. Stephenson P. Using formal methods for forensic analysis of intrusion events a preliminary examination. URL: http://www.imfgroup.com/Document Library.html.
9. Колегов Д. Н. Проблемы синтеза и анализа графов атак. URL: http://www.securitylab.ru/contest/ 299868.php. 2007.
10. Гаранжа А. В., Губенко Н. Е. Применение метода построения деревьев атак для защиты интернет -магазинов // Инновации в науке: материалы науч.о-технич. конф. студ., асп. и мол. учёных. Донецк, ДонНТУ. URL: http://masters.donntu. org/2017/fknt/garanzha/library/article2. htm. 2017.
11. Lippmann R. P., Ingols K. W., Piwowarski K. Practical Attack Graph Generation for Network Defense. URL: http://www.ll.mit.edu/IST/pubs/70.pdf.
УДК 004.056.53
РАЗРАБОТКА ПРОГРАММНО-АППАРАТНОГО СРЕДСТВА ВЫЯВЛЕНИЯ
СКРЫТЫХ USB-KEYLOGGER УСТРОЙСТВ
DEVELOPMENT OF SOFTWARE AND HARDWARE MEANS OF IDENTIFICATION OF HIDDEN USB-KEYLOGGER DEVICES
И. И. Баранкова, У. В. Михайлова, Г.И. Лукьянов
МГТУ им. Г. И. Носова, г. Магнитогорск, Россия
I. Barankova, U. V. Mikhailova, G. I. Lukyanov
Nosov Magnitogorsk State Technical University, Magnitogors, Russia
Аннотация. Выявление программных закладок keylogger является несложной задачей, реализуемой с помощью анализа программного кода и выявления подозрительной активности. Однако выявление таких закладок, выполненных в виде технического устройства, является затруднительной операцией в связи со скрытием электромагнитных полей таких устройств. Поэтому актуальность реализации программно-аппаратного модуля для выявления скрытых USB-keylogger устройств не вызывает сомнения. В статье представлены технические модули и структурная схема разработанного устройства. Продемонстрирован алгоритм выявления скрытых устройств. Проведен анализ работы устройства. Сформулированы выводы и рекомендации по выявлению скрытых keylogger закладок.
Ключевые слова: программно-аппаратный комплекс, защита информации, USB-keylogger, выявление скрытых устройств, анализ электрических показателей.
DOI: 10.25206/2310-9793-7-4-66-71
I. Введение
Развитие современного мира в области информационных и цифровых технологий располагает к усовершенствованию старых и появлению новых методов и способов шпионской разведки. Огромное разнообразие информации о программных и аппаратных решениях, реализующих каналы утечки, и информация о их реализации находится в интернете в свободном доступе, что позволяет злоумышленнику без затруднения воспользоваться необходимым устройством или программой. Одним из таких решений является кейлоггер (keylogger), который всем известен как программная закладка, позволяющая регистрировать различные действия пользователя: нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д.
Проведя анализ просторов интернета, можно получить огромный перечень программных разработок, реализующих функционал кейлоггера, который обновляется и пополняется каждый день. Защита от таких закладок заключается в обновлении операционной системы, наличии антивируса с обновляющейся базой и использовании других программных решений. Но, как всем известно, злоумышленник всегда на шаг впереди, чем средства защиты. Кроме программной реализации кейлоггера, существуют и аппаратные. Такие устройства представляют собой аппаратуру малых габаритов, которая может располагаться в непосредственной близости
от кабеля, используя бесконтактное считывание, или внутри системного блока, клавиатуры, используя механическое подключение. Обнаружение таких устройств возможно с помощью выявления электромагнитного поля и определения беспроводного канала связи. Однако наличие экранирования и отсутствие беспроводной связи затрудняет обнаружение закладки.
II. Постановка задачи
Усовершенствование аппаратной реализации кейлоггера позволит скрыть устройство от базовых методов обнаружения, в связи с чем требуется метод, не опирающийся на выявление электромагнитного поля или канала беспроводной связи устройства. Поэтому нами была поставлена задача разработки нового метода обнаружения кейлоггера.
Выявление закладок в ручном режиме весьма неудобно, так как обусловлено существенной затратой времени на поиск. Поэтому автоматизация реализуемого метода является неотъемлемой частью проекта. В результате нами было решено реализовать портативный прибор с автономным питанием, позволяющий проводить поиск закладок.
III. Теория
Аппаратные закладки кейлоггер отличаются по функционалу и месту расположения в цепи клавиатура-ПК. На рисунке! представлены возможные варианты расположения рассматриваемых средств.
Рис. 1. Варианты расположения кейлоггера
Рассмотрим более подробно реализацию кейлоггеров в соответствии с местом расположения. Первым возможным местом нахождения, является ПК. Данные кейлоггеры могут располагаться на печатной плате или в модуле портов подключения периферии (USB, PS/2) материнской платы. Такой способ установки закладки затруднителен, что обусловлено сложностью замены материнской платы, а если ПК опломбирован, то данные действия будут легко обнаружены [1-3].
Если механическое вмешательство невозможно, то злоумышленнику доступен бесконтактный вариант (рис. 2), который снимает полезный сигнал с провода клавиатуры с помощью электромагнитной наводки и может располагаться вблизи кабеля, как показано на рис. 1 (2). Такое устройство съема информации легко обнаружить, так как оно должно находиться на коротком расстоянии от провода. Кроме того, в силу своих конструктивных особенностей на данном устройстве невозможно скрыть электромагнитное излучение [4-9].
Рис. 2. Бесконтактный аппаратный кейлоггер
Последний способ расположения закладки заключается в установке ее в клавиатуру в нескольких вариантах. Один из вариантов заключается в установке в кабель под видом фильтра (рис. 3а) или между кабелем и разъемом в ПК (рис. 3б). Другой вариант - это установка внутрь клавиатуры. Последний вариант более распространен благодаря тому, что корпус клавиатуры имеет много пустого места, а следовательно, внедрение закладки упрощено. Конструкция кейлоггера внутри клавиатуры аналогична закладке, устанавливающейся в разрыв кабеля.
б)
Рис. 3. Контактные аппаратные кейлоггеры
Выявление последнего типа кейлоггеров возможно с помощью визуального осмотра кабеля или внутренностей корпуса клавиатуры. Однако тщательное скрытие таких устройств не даст возможности визуально определить наличие закладки. Как говорилось ранее, наличие экранирования и отсутствие беспроводного канала связи не позволит выявить закладку техническими средствами. Поэтому нами предложено выполнять обнаружение кейлоггера по вольтамперным показателям клавиатуры [10-11].
Рассмотрим структуру разработанного устройства, позволяющего проводить анализ клавиатуры. Как упоминалось ранее, одной из поставленных задач была реализация портативного устройства, позволяющего автоматизировано проводить обследование. Для такой задачи подходят модули семейства Arduino или другие устройства, способные работать с последовательной асимметричной шиной I2C. В соответствии с поставленными требования нами было выбрано устройство raspberry pi 3. Такой выбор обусловлен возможной последующей модернизацией и реализацией многофункционального устройства. Так как данное устройство не может производить самостоятельно измерение вольтамперных показателей, был выбран модуль INA219 (рис. 4), позволяющий производить такие замеры и передавать по шине 12С данные на raspberry[12-13].
оV fill i.
ж
l *»»' Si
W6IZ-A9 ^ 6IZWNI
Рис. 4. Модуль INA219
Модуль INA219 позволяет производить замеры значений тока до 3 А и напряжения до 36 В, а скорость интерфейса составляет 3,4 МГц. Последовательный интерфейс версии до USB 2.0 включительно обеспечивает питание периферийных устройств током до 0,5 А, а изохронный канал доставляет пакеты с максимальной скоростью 8 кГц.
Проведя анализ схем подключения закладок в клавиатуру, можно выделить две типовые схемы. Одна схема установки производится в разрыв кабеля, вторая использует параллельное подключение. Однако обе одинаково влияют на электрические показатели общей схемы USB подключения (рис. 5). Выполнив анализ клавиатур с установленными закладками, мы выявили влияние кейлоггеров только на питающую цепь.
Рис. 5. Распиновка USB 2.0
Рассмотрим схему разработанного портативного устройства для выявления кейлоггеров (рис. 6). Для подключения INA219 используется GPIO разъем, расположенный на плате raspberry pi. Для питания датчика удовлетворяет питание 3,3 В. Схему подключения можно увидеть на представленном рисунке (рис. 6). Измерение потребляемого тока клавиатурой производится в разрыв схемы питания USB порта. Разрыв питания реализован с помощью внедрения джамперного модуля 1 (рис. 6). Важным замечанием является то, что установка модуля производится перед башенным интерфейсом USB и установка его ранее в общей схеме питания интерфейса недопустима. Внедрение такого модуля позволяет переключать режимы работы интерфейса. Режим «а» (рис. 6) отключает INA219 и измерения не производятся. В положении джамперов «б» (рис. 6) показания цепи питания поступают на измерительный датчик и производится считывание показателей потребляемого тока.
Рис. 6. Схема подключения портативного устройства
Используя разработанную схему, мы провели анализ клавиатур. Для испытаний были выбраны клавиатуры с минимальным набором функционала, а именно без дополнительной подсветки с отсутствующим USB хабом и аудио интерфейсами. В таблице представлены показатели потребления тока клавиатур.
ТАБЛИЦА ПОТРЕБЛЕНИЕ USB КЛАВИАТУР
Ток Ток
Производитель Модель потребления по паспорту, мА потребления, мА
Microsoft CCK 2000 v1 100 99
HM-830 RU 100 100
Defender HM-710 100 95
UltraMate SM-530 110 102
Smart KB-101 100 94
Genius Genius KB-110 100 104
SlimStar 130 100 100
Logitech K120 120 112
K200 110 105
Проведенный анализ показывает, что потребление клавиатур соответствует паспортным данным с включенной индикацией всех кнопок Numlock, Shift, ScrollLock только у двух моделей. Такой результат обусловлен погрешностью измерений, а также усредненными значениями, указанными заводом-изготовителем. Для дальнейшего эксперимента будет использоваться клавиатура Microsoft CCK 2000 v1 и кейлоггеры (применяются в учебных целях) двух версий. Одна версия устанавливается в разрыв соединения ПК и клавиатуры, вторая впаивается параллельно контроллеру клавиатуры.
IV. Результаты экспериментов
При внедрении кейлоггеров в подключение ПК-клавиатура было выявлено, что закладка не идентифицируется ПК как стороннее устройство. Дальнейший анализ проводился после установки клавиатуры в ОС raspberry pi и готовой к полноценной работе. На рис. 7 показаны графики потребляемого тока с установленным кейлоггером разных версий.
00:00,0 00:43.2 01 26,4 02 09,6 02 52.S 03:36,0 04 19,2 05 02,4 Рис. 7. Потребление клавиатуры с кейлоггером
Полученные данные показывают, что при наличии кейлоггера в цепи подключения клавиатуры возникает повышенное потребление тока более чем в 2 раза от паспортного значения клавиатуры без закладки. Разность значений при подключении закладки параллельно или в разрыв объясняется разными схемами устройств.
V. Обсуждение результатов
Выявление аппаратного кейлоггера возможно по определению тока потребления клавиатуры. Как было описано выше, при наличии устройства в схеме значительно изменяет показания паспортного потребления тока клавиатуры. При проведении дополнительного эксперимента, суть которого заключалась в измерениях с зажатой клавишей, было выявлено дополнительное повышение потребляемого тока на 5...10 мА, что также говорит о побочных потребителях в схеме подключения.
Разработанный комплекс позволяет определять наличие кейлоггеров, но на данном этапе его отличие от USB тестера незначительно. Дальнейшим перспективным развитием данного устройства является разработка ПО формирующее протокол исследований с заключением о наличии закладки. Планируется также и расширение функционала устройства. Так как raspberry pi позволяет подключать несколько датчиков, то возможно дополнительно внедрить в устройство индикатор электромагнитного поля и анализатор беспроводной передачи информации. Такая модернизация устройства позволит полноценно проводить анализ на наличие скрытых закладок, устанавливаемых в клавиатуру.
VI. Выводы и заключение
Применение любого вида кейлоггера в качестве шпионажа может повлечь уголовную ответственность. При этом развитие рынка таких устройств не стоит на месте и вопрос выявления не теряет своей актуальности. Проведенный анализ показал разнообразие типов закладок, сканирующих деятельность пользователя на клавиатуре. Для выявления аппаратных кейлоггеров, устанавливаемых в кабель или внутрь клавиатуры, был разработан комплекс на базе raspberry pi и INA219, который работает по принципу измерения потребляемого тока интерфейсом клави-
атуры. Дальнейшее развитие этого устройства позволяет дополнить его программным обеспечением протоколирования обследования. В том числе планируется реализовать многофункциональное устройство для выполнения полных технических мер по обнаружению закладок, что позволяет продемонстрированная платформа.
Список литературы
1. Сомова Е. В., Дунаевский А. С. Кейлоггеры как актуальная проблема информационной безопасности // Инновационное развитие современной науки: проблемы, закономерности, перспективы: сборник статей V Междунар. науч.-практич. конф. В 3 ч. 2017. С. 60-62.
2. Шлыкова А. В., Хаитжанов А. Специальная техника, применяемая при совершении преступлений // Наука. Общество. Государство. 2014. № 2 (6). С. 120-130.
3. Башлы И. П., Чернышева Н. И. Информационная безопасность как ключевой фактор обеспечения национальных экономических интересов // Логистика в портфеле ресурсов импортозамещающей индустриализации: антикризисные стратегии роста и развития в условиях санкционных ограничений: материалы междунар. науч.-практ. XI Южно-Российского логистического форума. 2015. С. 243-246.
4. Блохина Е. Е. Программные и аппаратные клавиатурные шпионы // В мире научных открытий: материалы II Междунар. студ. науч. конф. 2018. С. 160-162.
5. Хорев А. А. Технические каналы утечки информации, обрабатываемой средствами вычислительной техники // Специальная техника. 2010. № 2. С. 39-57.
6. Копырулина О. А., Устюжанин Е. В. Keylogger как средство защиты на предприятии // Вестник современных исследований. 2018. № 10.1 (25). С. 301-303.
7. Xiao Y., Vrbsky S. V., Li C. C., Lei M. Differentiated virtual passwords, secret little functions, and codebooks for protecting users from password theft // IEEE Systems Journal. 2014. Т. 8, no. 2. P. 406-416.
8. Tuli P., Sahu P. System monitoring and security using keylogger // IJCSMC. March 2013. Vol. 2, Is. 3. P. 106 -111.
9. Sagiroglu S., Canbek G. Keyloggers increasing threats to computer security and privacy // IEEE Technology and Society Magazine. 2009. No. 28 (3). P. 10-17.
10. Creutzburg R. The strange world of keyloggers - an overview, Part I // Mobile Devices and Multimedia: Enabling Technologies, Algorithms, and Applications. 2017. P. 139-148.
11. Yadav S., Randale R. Detection and prevention of keylogger spyware attack // International Journal of Advance Foundation And Research In Science & Engineering (IJAFRSE). 2015. Vol. 1. P. 1-5.
12. INA219 Zero-drift, bi-directional current/power monitor with I2C interface // Texas instruments. 2008. 33 p.
13. Dorofeev A. V., Rautkin Yu. V. Applied aspects of security testing // CEUR Workshop Proceedings conference proceedings. 2017. P. 49-53.
УДК 621.396.41
ОСНОВНЫЕ АСПЕКТЫ ОЦЕНКИ СООТВЕТСТВИЯ DLP-СИСТЕМ, ПРИМЕНЯЕМЫХ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
THE MAIN ASPECTS OF CONFORMITY ASSESSMENT OF DLP-SYSTEMS USED TO ENSURE THE SECURITY OF IMPORTANT OBJECTS OF CRITICAL INFORMATION INFRASTRUCTURE OF THE RUSSIAN FEDERATION
А. С. Голдобина, Ю. А. Исаева, В. В. Селифанов
Сибирский государственный университет геосистем и технологий, г. Новосибирск, Россия
A. S. Goldobina, J. A. Isaeva, V. V. Selifanov
Siberian state University of Geosystems and Technologies, Novosibirsk, Russia
Аннотация. Рассматриваются основные аспекты проведения оценки соответствия значимых объектов критической информационной инфраструктуры. Средства защиты информации, применяемые для обеспечения безопасности значимых объектов критической информационной инфраструктуры, должны в обязательном порядке проходить процедуру оценки соответствия, при этом ее форма определена только для государственных и муниципальных информационных систем, а также информационных систем персональных. Во всех остальных случаях субъекты должны определять форму, содержание и
