Анализ возможностей предотвращения утечки информации, хранящейся на жестких дисках.
1. Введение
Тотальная компьютеризация инфраструктуры промышленно-развитых стран привела в настоящее время к бурному развитию технических средств разведки (ТСР), позволяющих добывать конфиденциальную информацию из компьютеров и компьютерных сетей.
Перспективность этого направления обусловлена неуклонно растущим документооборотом, осуществляемым с помощью электронных средств коммуникаций, и внедрением т.н. “безбумажных технологий” как в сфере бизнеса, так и в сфере государственного управления.
Значительные объемы конфиденциальной информации, хранящиеся в базах данных ЭВМ различных правительственных и неправительственных структур, представляют собой реальную коммерческую ценность, а их утечка в ряде случаев способна непосредственно влиять на государственную безопасность.
Данное обстоятельство дало в прошедшее десятилетие мощный толчок к развитию всевозможных программных и аппаратных средств добывания информации из компьютеров и компьютерных сетей.
Особенно уязвимыми оказались так называемые “открытые” сети, имеющие выход в Internet, и регулярно подвергающиеся атакам хакеров и маскирующихся под хакеров спецслужб различного уровня.
Необходимо отметить, что владельцы большинства сетей в должной мере осознали опасность утечки информации.
Об этом свидетельствует постоянно растущий поток публикаций, посвященных разработке всевозможных систем шифрования, разграничения доступа, закрытия электромагнитных каналов утечки и т.д.
В предлагаемой статье рассматривается незаслуженно обойденный вниманием в публикациях последних лет специфический канал утечки конфиденциальной информации, позволяющий несанкционированно и бескомпроматно снимать копии (десятки и сотни Гбайт) с информации, хранящейся на накопителях на жестких магнитных дисках (НЖМД) ПЭВМ.
2. НЖМД как источник потенциальных угроз информационной безопасности
Размещение конфиденциальной информации в устройствах долговременной энергонезависимой памяти компьютеров создает возможность формирования специфических каналов ее утечки.
Наиболее распространенными устройствами такого назначения на данный момент являются накопители на жестких магнитных дисках (НЖМД).
Широкому применению НЖМД способствует ряд положительных эксплуатационных качеств: надежность, быстрота доступа и относительная дешевизна в расчете на единицу хранимой информации.
К особенностям НЖМД, делающим его привлекательным для проведения мероприятий с использованием ТСР, следует отнести:
- большие объемы хранимой информации, от сотен Мбайт до десятков Гбайт;
- энергонезависимость хранимой информации, т.к. на ее состояние не влияет наличие или отсутствие электропитания;
- отсутствие в России собственного производства НЖМД.
Угрозы информации, хранимой на НЖМД, можно условно подразделить на комплексные, когда НЖМД с хранимой на нем информацией выступает как элемент программно-аппаратного или программного ТСР, и прямые, в которых НЖМД выступает как главный и единственный элемент ТСР. Первый тип угроз, связанных с разработкой всевозможных программных и аппаратных закладок, в рамках данной статьи не обсуждается.
Позиции для использования ТСР, обеспечивающих съем информации с НЖМД, могут быть созданы заранее в ходе проектирования и изготовления указанных изделий в виде целевой аппаратной или микропрограммной избыточности, т.к. практически все компьютеры оснащены импортными НЖМД. Другой путь — размещение дополнительных микропрограммных и/или аппаратных средств фирмами-изготовителями компьютеров. Первый путь предполагает наличие государственного заказа в странах производителях на создание позиций для ТСР, второй доступен и корпорациям различного уровня.
Реализация утечки информации в обоих случаях возможна по следующим обобщенным сценариям:
- съем информации, отселектированной по определенному признаку и архивированной в технических” зонах, с НЖМД в процессе его эксплуатации в составе ЭВМ или компьютерной сети.
- накопление информации на НЖМД с последующей имитацией выхода его из строя.
В первом случае возможна прямая (с использованием радиоретрансляторов, аппаратно-программных закладок, недокументированных возможностей сети и т.д.) передача информации.
Емкость неформатированного современного НЖМД и отформатированного штатными программными средствами отличается на 16-19 %.
Это создает возможность наряду с резервированием информации на диске под сбойные сектора и служебную информацию осуществлять негласное дублирование и хранение конфиденциальной информации. Кроме того, считается что в зоне для парковок головок записи-чтения не может содержаться никакой информации.
Примечательно, что для штатных программных средств проверки НЖМД и форматирования высокого уровня негласно накапливаемая информация будет оставаться невидимой и недоступной. При этом существует опасность обнаружения данного канала утечки информации достаточно большим парком специально разработанных средств мониторинга. Однако, во втором случае указанные средства бессильны что-либо обнаружить.
Второй вариант организации утечки информации эффективен при целенаправленной поставке компьютерной техники конкретной организации с последующим гарантийным обслуживанием компьютеров у фирмы-поставщика или в некотором сервис-центре, т.к. договор гарантии, как правило, распространяется на всю поставку и предполагает безвозмездную замену НЖМД при сохранении его товарного вида на работоспособный экземпляр.
В этом случае объект применения ТСР сам прилагает усилия по передаче НЖМД с накопленной информацией заинтересованной стороне.
Фирма, обеспечивающая техническое обслуживание, обычно предъявляет жесткие требования по сохранности различного рода маркеров и пломб, что само по себе гарантирует сохранность накопленной ТСР информации. После соответствующего ремонта информация, содержащаяся на НЖМД, становится доступной для копирования.
Особо следует отметить, что при неработоспособности НЖМД он, как правило, восстановлению (при грамотной имитации неисправности) на сервисных станциях на территории России (в силу отсутствия собственных производственных мощностей) не подлежит и должен быть передан на фирму за пределы нашего государства. Контроль содержимого НЖМД типовыми средствами диагностики невозможен, т.к. для них он неработоспособен. Стереть информацию с неисправного” накопителя нельзя по той же причине. А поскольку хранимая информация энергонезависима, то она уверенно выдерживает пересечение любого количества границ без какого-либо таможенного контроля.
Исходя из практики крупных отечественных компаний, заключающих договора на создание и обслуживание компьютерных сетей с не менее крупными зарубежными корпорациями, так, как правило, и происходит.
3. Возможные пути устранения утечки информации вместе с накопителем
Устранение описанных выше специфических каналов утечки информации может быть достигнуто только путем гарантированного уничтожения данных, содержащихся на вышедшем из строя НЖМД (либо имитирующем неисправность), перед его передачей фирме-поставщика или в сервис-центр. Возможные варианты представлены на рис.1.
Рис.1 Возможные варианты воздействия на НЖМД с целью предотвращения утечки конфиденциальной информации, хранимой на НЖМД
Дальнейшие действия напрямую вытекают из степени конфиденциальности утраченной информации, хранимой на вышедшем из строя НЖМД. Если возможная утечка информации не влияет на безопасность юридического или физического лица, то действия носят стандартный характер – обращение в сервис-центр с просьбой о ремонте или замене накопителя при невозможности его восстановления. Если ценность информации велика, то ее на НЖМД целесообразнее уничтожить.
Уничтожение информации может быть достигнуто механическим или термическим процессами. В первом случае НЖМД разрушается физически так, чтобы исключить возможность прочтения информации каким-либо способом с его рабочих дисков. Во втором полную гарантию уничтожения информации на накопителе дает разогрев его до температуры 800-1000 градусов Цельсия. В этом случае информация становится абсолютно невосстановимой по целому комплексу причин, в том числе и из-за перехода магнитного материала покрытий через точку Кюри. Такой способ уничтожения информации может быть рекомендован для носителей, содержащих государственную тайну.
Существует и третий (кроме механического и термического) путь гарантированного уничтожения данных, содержащихся на вышедшем из строя НЖМД (либо имитирующем неисправность), позволяющий при этом осуществить передачу накопителя фирме, осуществляющей гарантийное обслуживание. Этот путь позволяет избежать видимых механических и электрических повреждений и тем самым выполнить требования договора технического обслуживания. Уничтожение конфиденциальной информации может быть достигнуто путем помещения НЖМД в достаточно мощное постоянное магнитное поле, полностью меняющее ориентацию магнитных доменов на поверхностях НЖМД. В этом случае, как и при использовании нагрева, потеря информации на НЖМД становится необратимой. Дополнительная гарантия невозможности восстановления уничтоженной таким образом информации обеспечивается конструктивными особенностями современных НЖМД.
Устройства современных НЖМД практически стандартны для всех изготовителей. Они не имеют специализированных аппаратных средств определения положения головок относительно поверхности диска. Служебная и хранимая информация наносятся и считываются одними и теми же головками. Точное позиционирование осуществляется за счет обработки схемой управления двигателем перемещения головок сигнала с самих головок. Меток начала оборота и позиции головок, связанных с механикой соответствующего привода, данные НЖМД не имеют.
Для работы схемы управления на диски наносится два основных вида служебной информации: физическая разметка для точного позиционирования головок и данные для работы микропрограммы трансляции параметров НЖМД.
Таким образом, при воздействии мощного внешнего магнитного поля будет уничтожены как хранимые на накопителе данные, так и служебная информация. По этой причине в случае принудительной повторной разметки НЖМД позиции секторов будут смещены относительно их положения при предыдущей разметке. Величина смещения случайна и зависит от того, в каком положении будет находиться система диск-головки в момент записи начальной метки при повторном форматировании низкого уровня. Данный факт исключает возможность восстановления уничтоженной информации путем многократного чтения стертого диска и последующей корреляционной обработки его физического дампа.
4. Физические принципы уничтожения информации внешним магнитным полем
Физические основы процессов, происходящих в накопителе под влиянием внешнего магнитного поля, связаны с его конструктивными особенностями и спецификой применяемых материалов.
Ввиду того, что характеристики материала, из которого изготавливаются покрытия поверхностей современных НЖМД, как правило, фирмами-производителями не публикуются, произведем оценку косвенным методом вероятного значения соотношения величин напряженности стирающего поля и параметров рабочих поверхностей.
В качестве точки отсчета целесообразно взять соотношение характеристик покрытий магнитных лент ЭВМ и напряженности магнитного поля размагничивающих магнитных головок. Покрытия современных магнитных лент характеризуются следующими параметрами: коэрцитивная сила Нс = 18-24 кА/м, остаточная магнитная индукция Br = 0,08-0,15 Тл, коэффициент прямоугольности петли гистерезиса kп = 0,75-0,82.
В этом случае напряженность поля стирания составляет Н = 64-96 кА/м [1]. Следовательно, величина напряженности поля стирания для магнитной ленты при условии однопроходного воздействия превышает величину коэрцитивной силы в 4 раза.
Общая тенденция увеличения емкости НЖМД за счет повышения плотности записи данных предопределило применение в современных накопителях магниторезистивных головок чтения, имеющих минимальные геометрические размеры, и технологически совмещенных с ними головок записи.
Необходимость одновременного повышения быстродействия накопителей обуславливает использование в качестве покрытий для рабочих поверхностей дисков магнитотвердых материалов, имеющих узкую петлю магнитного гистерезиса и обеспечивающих достаточно малые потери энергии на перемагничивание.
Таким образом, для реализации указанных тенденций развития современных НЖМД материал покрытия поверхностей накопителя должен обеспечивать максимальную остаточную магнитную индукцию Br (чтение данных) при умеренной напряженности поля Н в процессе записи информации.
Современные достижения в области физической химии при нанесении материала для магнитной записи в виде тонкой пленки или тонкодисперсного порошка на немагнитную подложку, что соответствует технологическому процессу изготовления рабочих поверхностей дисков НЖМД, позволяют реализовать максимальную для данной технологии Br при умеренной Нс (обычно от 50 до 80 кА/м в зависимости от плотности записи, способа записи информации и т.п.) [2].
Следовательно, проводя аналогию с приведенным выше соотношением величин напряженности поля стирания Н и коэрцитивной силы Нс для магнитной ленты, корректно предположить, что для разрушения смысловой целостности информации на НЖМД путем перемагничивания рабочих поверхностей величина напряженности поля стирания, при однократном воздействии должна составлять 200-320 кА/м.
При многократных воздействиях величина напряженности поля стирания может быть несколько меньше в силу действия эффекта остаточного перемагничивания.
Размагничивающее действие внешнего поля зависит от его напряженности и ориентации вектора магнитной индукции. Зависимость между индукцией и напряженностью магнитного поля определяется формулой
, (1)
где Гн/м – магнитная постоянная;
— относительная магнитная проницаемость материала (среды), Гн/м;
— напряженность магнитного поля, А/м.
Принимая = 1000-1500 Гн/м, что соответствует достаточно типовому значению для магнитотвердых материалов, для Н = 200-320 кА/м получаем величину магнитной индукции В = 0,25-0,6 Тл.
Применительно к постоянным магнитам подобное значение индукции в воздушном зазоре может быть достигнуто только для интерметаллического соединения металлов группы железа с редкоземельными элементами, например самарий-кобальт (SmCo5). На основе таких сплавов разработаны магнитные материалы с рекордными значениями Нс (640-1300 кА/м) и достаточно высоких Br (0,77-1,0 Тл) [2].
Расчетная величина напряженности поля стирания может быть также достигнута и при импульсном воздействии на НЖМД внешнего магнитного поля, создаваемого электромагнитами.
При определении параметров процесса размагничивания необходимо учитывать тот факт, что с целью снижения влияния внешних магнитных полей на рабочие поверхности НЖМД монтируются в массивных металлических корпусах, обычно из алюминия и его сплавов, с толщиной стенок до 5 миллиметров. Амплитуда напряженности поля в этом случае будет убывать при проникновении вглубь защитного корпуса накопителя по экспотенциальному закону [3]:
,(2)
где
— амплитуда напряженности магнитного поля, А/м;
z – расстояние от поверхности, м;
— коэффициент затухания;
f – частота электромагнитных колебаний, Гц;
— удельная электрическая проводимость, См/м.
Графики изменения амплитуды напряженности магнитного поля в зависимости от толщины корпуса НЖМД при различных длительностях воздействия приведены на рис.2.
Рис.2 Графики изменения амплитуды напряженности магнитного поля в зависимости от толщины корпуса НЖМД
В общем случае, по мере увеличения частоты, электрической проводимости, магнитной проницаемости и удаления вглубь от поверхности корпуса происходит значительное затухание электромагнитного поля.
Следовательно, высокочастотные электромагнитные поля (t имп 10 мкс) распространяются фактически только в тонком поверхностном слое и не оказывают никакого влияния на хранимую на НЖМД информацию.
Постоянные и слабопеременные (с частотами менее 1 герца) магнитные поля проникают сквозь защитный корпус без существенного ослабления.
5. Структура и принципы работы установки для уничтожения информации на НЖМД внешним магнитным полем
Как отмечалось ранее, в установке для уничтожения информации на НЖМД внешним магнитным полем должны выполняться следующие условия:
- НЖМД должен помещаться в устройство целиком (без демонтажа), т.к. в этом случае обеспечивается сохранность пломб и маркеров фирмы поставщика.
- Воздействующее внешнее поле должно быть постоянным или слабопеременным (с частотой основной гармоники < 1 Гц) и равномерным.
- Напряженность поля должна быть не менее 200-320 кА/м.
Существуют два возможных подхода к созданию установок с приведенными выше техническими характеристиками. Первый — использование мощного постоянного магнита на основе композиции самарий-кобальт или сходных по характеристикам композиций на основе лантаноидов.
Однако расчеты показывают, что для создания равномерного поля в воздушном зазоре при размещении в нем НЖМД с максимальным формфактором до 87,5 мм (с учетом накопителей, используемых в серверах) необходим постоянный магнит сложной формы с концентратором поля.
Учитывая технологические возможности современной промышленной базы его создание принципиально возможно, но для единичного экземпляра или малой серии экономически нецелесообразно.
Второй подход предполагает использование электромагнитной установки.
Однако и здесь возникают технологические проблемы.
Реализация воздействия с напряженностью поля порядка 320 кА/м продолжительностью около 1 секунды предполагает обязательное наличие сердесника из электротехнической стали.
Для создания магнитного поля указанной выше напряженности в зазоре с требуемым максимальным формфактором при использовании типовых магнитных материалов потребуется источник электроэнергии мощностью не менее 10-15 кВА.
Мощность, рассеиваемая подобным постоянным электромагнитом, обязательно предполагает соответствующий интенсивный принудительный теплоотвод с использованием охлаждающей жидкости.
Более продуктивным является подход, используемый при создании мощных магнитных полей в установках управляемого термоядерного синтеза.
Он предполагает накопление энергии батареей конденсаторов с последующим разрядом на катушку индуктора.
Большая емкость конденсаторной батареи позволяет обеспечить в зазоре индуктора затухающий колебательный процесс с параметрами, обеспечивающими гарантированное разрушение информации на НЖМД.
При этом НЖМД помещается в зазоре индуктора целиком, потребляемая мощность, используемая на заряд конденсаторной батареи, снижается до 1-1.5 кВА.
Отпадает необходимость в принудительном жидкостном охлаждении индуктора.
Таким образом выполняются все требования по гарантированному уничтожению информации на НЖМД и в то же время установка оказывается пригодной для размещения в офисе или фирме.
Выводы
1. Размещение конфиденциальной информации в накопителях на жестких магнитных дисках создает возможность формирования специфических каналов ее утечки.
2. Существуют технически реализуемые способы гарантированного уничтожения данных, содержащихся на вышедшем из строя (либо имитирующем неисправность) НЖМД, без физического повреждения его конструктивных элементов и пломб предприятия-изготовителя.
3. Одним из перспективных направлений создания средств уничтожения информации на НЖМД как в рабочем, так и в нерабочем состоянии является использование генераторов циклического слабопеременного (с частотой ~ 1Гц) импульсного магнитного поля обеспечивающего, при достаточной его напряженности, полную переориентацию доменных структур носителя.
БЕСЕДИН Дмитрий Игоревич
БОБОРЫКИН Сергей Николаевич
РЫЖИКОВ Сергей Сергеевич, кандидат технических наук
Список литературы
Элементы и устройства автоматики/В.С.Подлипенский, Ю.А.Сабинин, Л.Ю.Юрчук. Под ред. Ю.А.Сабинина, СПб,: Политехника,1995.
Химическая энциклопедия. В 5 т. Т.2/М.: Большая российская энциклопедия,1998.
Абакумов А.А. Магнитная интроскопия.– М.: Энергоатомиздат,1996.