Лобашев Алексей Константинович,
кандидат технических наук, доцент
Учебный центр безопасности информации «Маском», г.Москва,
E-mail: lak@mascom.ru

Повышение эффективности выявления опасных сигналов прибором OSCOR
 на основе метода картографии и анализа пиковых спектров

Статья посвящена возможностям программного обеспечения и повышению эффективности применения прибора OSCOR в борьбе с внедренными на охраняемые объекты устройствами несанкционированного перехвата информации. Рассмотрен алгоритм реализации метода измерения пиковых сигналов в сочетании с методом картографии. В статье показаны возможности анализа внешних радиосигналов на базе рассматриваемых методик и определения их местоположения.

Разработка нового программного обеспечения OPC OSCOR 5000Е 5.0 (далее ПО) значительно «обогатило» возможности прибора, прежде всего для выявления ЗУ со сложными спектральными характеристиками, включая импульсные ЗУ. Вместе с тем, как показывает изучение накопленного отечественного и зарубежного опыта, для рационального и продуктивного использования прибора необходимо применять весьма полезный, с нашей точки зрения, метод картографии и функцию анализа пикового спектра, имеющегося в приборе OSCOR (10). Суть данного метода обнаружения опасного сигнала базируется на выявлении, анализе и сравнении данных пиковых спектров в разных точках исследуемого пространства. Напомним, что пиковая функция спектра фиксирует максимальный уровень исследуемого сигнала и считается одной из наиболее применяемых в теории спектрального анализа.

Для научного обоснования и подтверждения правильности вышерассмотренной методики приёма пиковых сигналов, интерес, с нашей точки зрения, может представлять общая форма уравнения, которое описывает уменьшение ВЧ сигнала, принимаемого приёмником. Данная зависимость может быть представлена следующим образом:

Где:
P_tx - Transmit Power
P_r - Power at Receiver
R - Range (distance)
l - Wavelength of Transmission
La - Atmospheric Loss (Propagation Medium)

Данная математическая модель определяет изменения принимаемой мощности радиосигнала от источника излучаемой энергии в поверхностной области сферы при изменении радиуса сферы, факторов поглощения и длины волны. В данном случае делается допущение о работе одного источника, который находится в идеальной сфере. Привёденное уравнение показывает, что с увеличением расстояния от передатчика (R) мощность Р пр. (и соответственно величина сигнала, принимаемого приёмником) убывает с квадратом расстояния. Например, если расстояние от передатчика увеличивается в два раза, мощность (и соответственно уровень принимаемого сигнала) уменьшается в четыре раза. И наоборот, если расстояние до передатчика уменьшается в два раза, уровень принимаемого сигнала учетверяется. Отметим, что в идеальном открытом пространстве, эта модель «работает» без искажений. Однако, при проведении реальных обследований с помощью прибора (то есть в условиях офиса), приведённая зависимость «искажается» за счёт усложнений, которые включают в себя следующие:

1. Распространение ВЧ сигнала через строительные конструкции вызывает потерю энергии. Так металл резко уменьшит (или совсем перекроет) распространение энергии ВЧ сигнала в здании. Бетон, кирпич также вызовут ослабление ВЧ сигнала, но это зависит от толщины материала, арматуры и основания структуры. Дерево также обеспечит некоторое ослабление, но не настолько сильное, как кирпич или бетон. Стекло обеспечивает очень небольшое ослабление.

2. Металлические структуры типа арматуры, материалы дверей, мебель и другие объекты приводят к дифракции и рассеиванию, что также вёдет к «искажению» приведённой формулы. Поэтому, при исследовании сигналов в комнате с помощью прибора OSCOR, он должен быть помещён в центр комнаты и находиться подальше от металлических конструкций предметов, входящих в состав интерьера. При использовании пиковой функции важное значение имеет «способ» сохранения данных записанных пиковых сигналов. В OSCORе значение пикового сигнала заносится в буфер памяти прибора и «привязывается» к анализируемому спектру. При этом можно отметить - пока частотный диапазон исследуемого спектра не изменён, будет происходить «накопление» пикового сигнала и занесение в память прибора при каждом прохождении анализируемой частоты. Другими словами, накопление значения величины пиков в OSCORе идет всё время, за исключением того случая, когда буфер памяти может быть очищен (стёрт вручную), при исследовании нового места контроля.

В дальнейших процедурах проведения анализа максимальные значения пиковых сигналов могут сохраняться в картотеке данных прибора и в дальнейшем изучаться оператором в «привязке» к определённому частотному диапазону и конкретному месту проведения обследования.

Эти новые появившиеся функциональные возможности прибора в области анализа пиковых спектров и соответственно анализа опасных сигналов являются значительным шагом вперёд при проведении обследования и вызывают у пользователей прибора много различных вопросов по тактике применения.

Рассмотрим предложенную выше методику применения прибора OSCOR на конкретном примере. Первое, что необходимо сделать при проведении обследования объекта - это измерить и сравнить значения пикового и дружественного спектров. Данная процедура включает выполнение двух шагов:

Первый шаг. Записать дружественный спектр (ДС) на расстоянии не менее 800 м от исследуемого места (рис.1). Отметим, что для надёжности записи и исключения случайных помех радиоэфира данные дружественного спектра должны быть записаны в течение не менее 5 минут.

Второй шаг. Запись пикового спектра (ПС), которая производится в исследуемом месте (рис. 2). Эти данные должны быть зафиксированы в течение не менее 5 минут. Можно отметить, что регистрация пикового спектра в течение более длительного времени увеличивает надёжность записи при нестабильных сигналах (например, в случае работы сотовой связи).

Затем происходит сравнение и изучение значений данных ПС и ДС. На рисунках ниже показаны примеры записей ДС и ПС (рис. 3).

При этом чёрным (на экране прибора - синим) цветом показан дружественный спектр, а голубым (на экране прибора - красным) цветом отмечен пиковый спектр. Отметим, что запись спектров произведена на частотном спектре от 50 МГц до 1500 МГц.

Изучение представленных данных на рис. 3 показывает, что в целом характеристики дружественного и пикового спектров очень близки, и отличия просматриваются весьма слабо. Для выявления различий между ДС и ПС оператору необходимо изменить масштаб изображения. На рис. 4 показан изменённый масштаб изображения, в котором исследуемый частотный диапазон составляет от 441 МГц до 568 МГц. При сравнительном анализе данных этого рисунка можно сделать вывод, что зафиксированные сигналы ДС больше по величине (напомним - это черный цвет), чем сигналы ПС (голубой цвет). Это показывает, что на данном частотном диапазоне опасных сигналов не отмечено.

На рис. 5 показаны результаты записи сигналов ДС и ПС на частотном диапазоне 680 МГц - 1030 МГц. На этом диапазоне имеется несколько сигналов, где значение пиковых сигналов является большим, чем дружественные сигналы. На рис. 5 эти сигналы идентифицированы и отмечены. Превышение пиковых сигналов было отмечено на частотах 771 МГц, 827 МГц, 914 МГц и 1013 МГц.

С целью дальнейшего изучения источников зарегистрированных сигналов рассмотрим тактику использования прибора для исследования полученных сигналов с помощью предложенного метода картографии. Напомним, что суть данного метода заключается в процессе взятия пиковых данных спектра в различных точках (в пределах и вне исследуемого места) и сравнении полученных данных. Для реализации этого метода необходимо иметь достаточно подробную «карту» места исследования (рис. 6) с указанием направлений север-юг-восток-запад, где значения величин пикового сигнала должны быть зафиксированы в различных точках (в данном примере в 4-х точках исследуемого пространства). При этом прибор перемещался в каждую исследуемую точку, и перед каждым измерением пиковых значений производилась очистка памяти от ранее зафиксированных значений. Рассмотрим пример такого анализа для каждого из четырёх выявленных ранее сигналов.

Рассмотрим измеренные значения пиковых сигналов (рис. 7) на частоте 771 МГц в 4-х разных точках (комнатах). Изменяя масштаб изображения, мы можем сравнить уровни этого сигнала в разных комнатах и увидеть, что в 1-й комнате имеется самый высокий уровень сигнала на исследуемой частоте (по сравнению с 2-й, 3-й и 4-й). Поэтому, обращаясь к рис. 6, можно предположить, что источник сигнала на частоте 771 МГц находится в 1-й комнате или излучается от источника, находящегося восточнее от 1-й комнаты. В этом случае сигнал фактически может излучаться от зала заседаний.

Рис. 1. Размещение прибора при записи дружественного спектра

Рис. 2. Размещение прибора при записи пикового спектра

Рис. 3. Данные дружественного (чёрный - на экране прибора синий - цвет)
 и пикового (голубой - на экране прибора красный - цвет) спектров,
записанных в результате проведения обследования объекта с использование прибора

Рис. 4. Данные сигналов дружественного (чёрный - на экране прибора синий - цвет)
и пикового (голубой - на экране прибора красный - цвет) спектров,
 записанных в частотном диапазоне 441 МГц - 568 МГц

Рис. 5. Данные выявленных сигналов на частотном диапазоне 680МГц - 1030МГц
 при исследовании пикового и дружественного спектра

Рис. 6. Карта исследования и данные выявленных сигналов
в четырёх различных помещениях при использовании пикового спектра

Рис. 7. Данные выявленных сигналов на частоте 771 МГц в различных комнатах

Рис. 8. Данные выявленных сигналов на частоте 771 МГц
в различных комнатах (включая зал заседаний)

Рис. 9. Данные выявленных сигналов на частоте 827МГц в различных комнатах

Чтобы локализовать местоположение передатчика, необходимо провести исследование обстановки с помощью OSCOR (применяя зонд-локатора или OTL). Так как при локализации местоположения источник сигнала не был обнаружен в 1-й комнате, дополнительные данные спектра (рис. 8) были взяты непосредственно восточнее 1-й комнаты в зале заседаний. Проведённые исследования с помощью зонда-локатора определили местоположение источника сигнала на частоте 771 МГц в зале заседаний.

Рассмотрим характеристики обнаруженного сигнала на частоте 827 МГц (рис. 9). Можно отметить, что этот сигнал находится в частотной полосе работы сотовых телефонов (800-900 МГц). Причиной того, что сигналы имеют случайный характер (по частоте, по времени и месту нахождения), является то, что работа и (соответственно) излучение от сотовых телефонов происходят по закону случайных чисел.

Обнаруженный сигнал на частоте 914 МГц (рис.10) является видеосигналом с аудиомодуляцией. Это может быть идентифицировано характерной формой сигнала, имеющего широкую «центральную частотную полосу» и лепестки сигнала со звуковой модуляцией, расположенные по разные стороны от центральной частоты. Как следует из рис. 10, величина принимаемого прибором сигнала может изменяться при переходе от комнаты к комнате. Вместе с тем, из рисунка следует, что этот сигнал наиболее значителен в 4-й комнате и наиболее слаб в 1-й комнате. Проведённые исследования с помощью зонда-локатора определили местоположение источника сигнала на частоте 914 МГц в 1-й комнате.

Рассмотрим характеристики сигнала на частоте 1013 МГц (рис. 11). Сигнал на частоте 1013 МГц, судя по его форме (широкая центральная частотная полоса и расходящиеся лепестки звукового спектра), также представляет собой видеосигнал. Самый высокий зарегистрированный прибором уровень этого сигнала показывает, что передатчик расположен во 2-й комнате. Подтверждение данного факта было установлено с помощью зонда-локатора. С точки зрения методики применения картографии, представляет интерес анализ полученных сигналов (на частоте 1013 МГц) в других комнатах. Так, в 1-й комнате зарегистрирован второй (по величине) уровень сигнала. В 3-й комнате полученный сигнал менее значителен, чем в 1-й комнате. С учётом равного удаления 1-й и 3-й комнат от 2-й комнаты, возникает естественный вопрос, почему зарегистрированные в 1-й и 3-й комнатах сигналы имеют различия. Как показывает анализ, главной причиной этого является местоположение дверей 1-й и 2-й комнат, которые находятся в непосредственной близости и были открыты при проведении обследования, что приводило к незначительному уменьшению сигнала. В то же время, при фиксации сигнала в 3-й комнате происходило достаточно высокое ослабление принимаемого сигнала за счёт имеющейся стены между 2-й и 3-й комнатами. Таким образом, в ходе вышеприведённого анализа были изучены сигналы, представляющие потенциальные угрозы.

Отметим, что в пределах этой полосы (от 700 МГц до 1100 МГц) были зафиксированы сигналы, связанные с телевидением на частоте видеосигнала 734 МГц (рис. 12) и 795 МГц (рис. 13). При проведении обследования такие сигналы также могут представлять интерес с точки зрения изучения параметров внешних радиосигналов с применением методики картографии.

Рассмотрим подробности выявленных прибором телевизионных сигналов. Отметим, что каждый сигнал состоит из 3-х частей: видео, звуковая (стандартный формат телевидения NTSC имеет звуковой сигнал на 4,5 МГц выше видеосигнала) и отличительная метка цветного видеосигнала. Эта характерная форма телевизионного сигнала может быть легко идентифицирована оператором. На основании анализа зарегистрированных сигналов можно сделать следующие, полезные для оператора, с нашей точки зрения, выводы.

1. С учётом того, что относительное значение сигналов для каждой комнаты примерно совпадает, то вероятнее всего, что сигналы излучаются от одной телевизионной башни.

2. Тщательное рассмотрение значений уровней полученных сигналов из разных помещений (наиболее значительный сигнал отмечен во 2-й комнате) показывает, что наиболее вероятно телевизионная башня располагается к северо-западу от места проведения обследования.

Рис. 11. Данные выявленных сигналов на частоте 1013 МГц в различных комнатах

Рис. 12. Данные выявленных телевизионных сигналов в различных комнатах на частоте 734 МГц

Рис. 13. Данные выявленных телевизионных сигналов в различных комнатах на частоте 795 МГц

Таким образом, рассмотрение данного материала позволяет по-новому оценить возможности ПО и повысить эффективность применения прибора OSCOR. В данном материале приведён конкретный практический алгоритм реализации метода измерения пиковых сигналов в сочетании с картографией. Выявление опасных сигналов и приведённая методика их исследования позволяет изучить их структуру и определить местоположение. В статье показаны возможности анализа внешних радиосигналов на базе рассматриваемой методики, включая вероятное определение их местоположения. И наконец, рассмотрены математические модели принимаемой мощности радиосигнала с учётом расстояния от источника излучения и поглощающих факторов окружающей среды. Надеемся, что данный материал позволит пользователям прибора OSCOR эффективнее применять его для решения поисковых сложных задач, связанных с информационной безопасностью.

Литература

1. ЦБИ «МАСКОМ». Каталог 2009.
2. Лобашев А.К., Лосев Л.С. Современное состояние и тактические возможности применения индикаторов электромагнитных излучений.//Специальная техника - 2004. - №6.
3. Бузов Г.А., Лобашев А.К., Щербаков Д.А. Особенности обнаружения и идентификации закладных устройств с помощью «OSCOR-5000».//Специальная техника. - 2005. - №4.
4. Бузов Г.А., Лобашев А.К., Щербаков Д.А. Применение «OSCORR-5000» - проблемы и решения.//Защита информации. Инсайд. - 2005. - №4.
5. Бузов Г.А., Лобашев А.К. Практика применения универсальных технических средств для предотвращения утечки акустической информации из помещений.//Специальная техника. - 2005. - №5.
6. Лобашев А.К. Современное программное обеспечение (OPC-5000 версия 5.0) прибора OSCOR 5.0 и его реальные возможности.//Специальная техника. - 2008. - №3-4. - С.34-42.
7. Лобашев А.К. Дифференциация поисковых подходов при выявлении службами безопасности закладных устройств.//Защита информации. Инсайд. - 2006. - №5.
8. Лобашев А.К Особенности прибора OSCOR в автоматическом режиме (обмен опы-том).//Защита информации. Инсайд. - 2008. - №1.
9. Лобашев А.К Защита информации от утечек по техническим каналам МТспец. - 2008. - №4. Thomas H. Jones. RF Trace Analysis Primer//REI General Manager. - 2005. - 21 June.

Статья опубликована на сайте: 19.07.2011