Обнаружение аппаратных закладок в комплектующих

[flatch]

по телевизору пару лет назажд была передача про то, как наш, тогда еще советский, НИИ закупил партию серваков у заокеанских производителей. приехали поставили, пару лет работали и в один прекрасный день, все винты(жесткие диски) взяли и нагнулись. начали смотреть че да как, оказалось, что в мамку был вмонтирован специальный чип, запрограммированый на такое действие. вот. сори за офтоп

[Loo]

Ну по телевизору это лирика :о)) 7 лет назад подарили маркетологам нашим два компьютера заокенские партнеры, они их молча в сетку и воткнули. Была у меня дурная привычка с утра просматривать логи активности сети, интернет-доступа, логи событий на серваках и т.п. Просто чтобы мозги завелись. Короче сетевые карты там были на wake-up from lan построенны и вот до сих пор в сомнении я. Толи параноя у меня уже, но отчетливые логи попыток спуфа, скана с сетевой активки сняли. Долго разбираться времени не было, компы фонили еще плюс ко всему. На корпусах кстати стояла защита от вскрытия весьма интересная, на контурах. Сгинули они гдето в печке в итоге, завод металлюжный был.

[DOSENT2000]

Встретил вот такой материал по обсуждаемой теме. На мой взгляд, весьми интересен.

"В настоящее время создание и развитие отечественных информационно-компьютерных технологий характеризуется широким применением зарубежного технического и программного обеспечения, как общесистемного, так и специального. Фирмы-производители компьютерной техники не гарантируют при этом отсутствие в поставляемом оборудовании встроенных аппаратно-программных «закладок» (АПЗ), компьютерных «вирусов», и др. вредоносных недокументированных возможностей (НДВ). Вместе с тем вероятность наличия деструктивных «злонамеренных» компонентов в используемых компьютерных средствах обусловлена высоким уровнем развития зарубежной микропроцессорной элементной базы.

Данное обстоятельство служит основанием предполагать, что при определённых условиях деструктивные компоненты могут быть активизированы как непосредственно, так и дистанционно (например, по информационным каналам метасети Интернет) с целью обеспечения несанкционированного доступа к привилегированной (конфиденциальной) информации, перерабатываемой в автоматизированных системах (АС). Для нейтрализации соответствующих угроз безопасности конфиденциальной информации как «документированной информации, доступ к которой ограничен в соответствии с законодательством РФ», проводятся государственная сертификация импортного программного обеспечения (ПО) и специальные проверки импортного технического обеспечения (ТО), характеризуемые определёнными временными и материальными затратами.

К тому же для проведения качественного анализа импортного программно-аппаратного обеспечения на предмет наличия НДВ необходимо активное участие разработчиков ПО, исходные коды, тестовая и конструкторская документации программных и аппаратных продуктов. Но в России невозможно получить данные материалы для обеспечения требуемого уровня проверки импортных программно-аппаратных продуктов.

В тоже время, современное состояние развития и использования сетевых технологий на базе совершенной импортной компьютерной техники обеспечивает возможность осуществления несанкционированного доступа (НСД) к перерабатываемой в АС конфиденциальной информации по так называемым нетрадиционным информационным каналам (НИК), «невидимым» для современных средств защиты информации, даже при условии использования в АС сертифицированных и проверенных компонентов.

НИК могут быть опасными или не опасными для информационных технологий (ИТ) и АС. Опасность НИК для ИТ и АС связана с «неконтролируемостью» средствами защиты информационных потоков, которые могут привести к утечке информации, нарушить целостность информационных ресурсов и ПО в компьютерных системах или создать иные препятствия по реализации ИТ. Если скрытые каналы не приводят к указанным последствиям, то они не являются опасными.

НИК могут возникать в результате конструктивных особенностей компьютерных систем и ПО непреднамеренно для их разработчиков. Считается, что такие НИК порождены случайно. НИК могут порождаться с помощью существующих конструктивных особенностей программно-аппаратных систем преднамеренно. В этом случае НИК реализуют каналы связи между враждебными программно-аппаратными агентами нарушителя безопасности. В частности, пользователем НИК с одной или с обеих сторон информационного потока могут быть пользователи компьютерных систем – нарушители безопасности.

Тем в настоящее время отсутствуют соответствующие эффективные методы и средства выявления, контроля и нейтрализации НИК, а также не разработана продуктивная теория. Поэтому гарантированное обеспечение информационной безопасности АС представляет собой актуальную научную и важную общегосударственную прикладную проблему...."

 

[nicknp]

Недокументированные возможности апаратуры как правило выявляются классически. Контроль радиоэфира, контроль электромагнитной обстановки вокруг объекта. Как вариант борьбы, экранированое помещение. Это что касается радиоэфира.

 

Если предположительно, апарат пытается сливать данные по проводам то соответственно контроль линии. В случае если апарат включен в информационую сеть, то контроль трафика и все такое.

 

Если есть большие сомнения, то берется аналогичное оборудование и визуально сверяется с проверяемым. Делаются четкие фото уже проверенного, чистого оборудования, а потом, на проверках сверяются на предмет изменений. Сильно помогает при последующих проверках, контрольная скрытая маркировка деталей и крепежа.

 

Аналогично можно проверить и програмное обеспечение. Можно так же блокировать любые попытки ПО выйти в сеть.

 

Биос можно для страховки перепрошить стандартной прошивкой.

 

Для серьезных организаций, типа ФАПСИ, ФСБ, МО, оборонных НИИ и прочих, есть специальные службы, которые могут проверить оборудование.

 

Для комерческих структур, тоже есть выход. Обратится в специальную компанию предоставляющую услуги такого характера. В этих компаниях есть дорогущее оборудование и обученные специалисты.

[korsar]

Подниму тему )))

 

Все эти вещи давно расписаны и называются аттестация обьекта (информатизации, СВТ, помещения). При аттестации проводятся и специсследования и спец проверки. Порядок аттестации и "глубина" работ зависит от категории обьекта, который присваивается в общем случае заказчиком и определяются РД, если огранизация не государственная, то она может выдвинуть и свои требования (в сторону усиления или ослабления)- разумеется , если речь не идет о ГТ. Проведение этих работ - лицензируемый вид деятельности (прчем ,как правило надо иметь пакет лицензий ФСБ, ФСТЭК и некоторых других).

Службы безопасности некоторых корпораций и ведомств имеют свои подразделения для выполнения этого вида работ.

Также отмечу, что выход в сети общего пользования с СВТ осуществляющих обработку даже конфиденциальной информации запрещен для госорганизаций.

И физически должны быть разделены сети общего пользования и сети работающие с конфиденциалом - Указ президента от 12 мая 2004 г. N 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена Субъектам международного информационного обмена в РФ»