2.3.6. Некоторые рекомендации по поиску устройств негласного съема информации

Всю процедуру поиска можно условно разбить на несколько этапов:

>• подготовительный этап;

>• физический поиск и визуальный осмотр;

>• обнаружение радиозакладных устройств;

>• выявление технических средств с передачей информации по токоведущим линиям;

>• обнаружение ЗУ с передачей информации по ИК-каналу;

>• проверка наличия акустических каналов утечки информации.

Подготовительный этап

Предназначен для опредления глубины поиска, а также формирования перечня и порядка проводимых мероприятий. Он включает в себя следующие элементы:

1. Оценку возможного уровня используемых технических средств.

Объем проводимых мероприятий существенным образом зависит от того, в чьих интересах они проводятся. Одно дело — проверка помещений представителей малого бизнеса, другое — крупнейших корпораций или государственных учреждений, так как при этом значительно отличается уровень выявляемых устройств, который может колебаться от примитивных радиомикрофонов до специальной профессиональной техники, и, соответственно, меняется уровень привлекаемой поисковой техники.

2. Анализ степени опасности, исходящей от своих сотрудников и представителей соседних организаций.

Хороший способ проверки — организация контролируемой утечки информации. Это может быть сделано посредством «случайного» присутствия постороннего человека, «забытого» документа или другим доступным способом.

3. Оценку возможности доступа посторонних в помещения.

4. Изучение истории здания, в котором планируется проводить поисковые мероприятия.

Оценивается возможность установки закладок как во время строительства, так и оставления их в наследство от предыдущих обитателей.

5. Определение уровня поддерживаемой безопасности в соответствии с экономическими возможностями и степенью желания заказчика, а также фактической необходимостью.

6. Выработку плана действий, который должен отвечать следующим условиям:

>• время поиска должно приходиться на рабочие часы, когда ЗУ активны;

>• должны быть созданы условия, провоцирующее к действию возможно внедренные «жучки», поскольку в них могут быть использованы как схемы VOX, включающие устройства только при определенном уровне акустического сигнала, так и системы дистанционного управления (проведение фиктивных, но правдоподобных деловых переговоров — хороший повод, чтобы побудить противоположную сторону активизировать свои устройства);

>• должна быть обеспечена скрытность проводимых мероприятий — если есть необходимость ведения своей «контрразведывательной» игры, то следует помнить, что разговоры с коллегами и заказчиком, приход, развертывание аппаратуры, характерный шум поиска раскрывают содержание и результат проводимых мероприятий;

>• неожиданность — поиск следует проводить регулярно, но через случайные промежутки времени.

Физический поиск и визуальный осмотр

Физический поиск и визуальный осмотр является важным элементом выявления средств негласного съема информации (см. п. 2.3.1), особенно таких, как проводные и волоконно-оптические микрофоны, пассивные и полуактивные радиозакладные устройства, дистанционно управляемые «ждущие» устройства и другие технические средства, которые невозможно обнаружить с помощью обычной аппаратуры.

ПОМНИТЕ: физический поиск является базой для любой поисковой методики. Будьте предельно внимательны, смотрите тщательно!

Проведение поисковых мероприятий следует начинать с подготовки помещения, подлежащего проверке.

1. Необходимо закрыть все окна и, занавески для исключения визуального контакта.

2. Включить свет и все обычные офисные устройства, характерные для данного помещения.

3. Включить источник «известного звука» (тестового акустического сигнала) в центре зоны контроля. Во время поиска он будет выполнять важные функции:

>• маскировать большинство шумов, производимых во время физического поиска;

>• работать как источник для звуковой обратной связи, необходимой

для выявления радиомикрофонов;

>• активизировать устройства, оснащенные системой VOX.

Источник «известного звука» не должен настораживать противоположную сторону, следовательно это может быть любой кассетный или CD-плейер. Необходимо только помнить, что лучшие результаты достигаются при использовании аппаратуры средних размеров. Это объясняется оптимальными размерами громкоговорителя. Выберите наиболее уместную в данной ситуации запись, будь то музыка, бизнес-семинар или курс самообучения. Подберите соответствующую длительность, поскольку качественный поиск может занять много часов.

Примечание: в качестве источника «известного звука» не рекомендуется использовать радиоприемник, поскольку эту же станцию может поймать и ваша поисковая аппаратура, что может привести к ошибке и радиостанция будет зафиксирована как нелегальный радиопередатчик.

4. За пределами зоны контроля (в незащищенной комнате/зоне) как можно более бесшумно разверните вашу аппаратуру.

Незащищенная зона — это место, которое не вызывает интереса у противоположной стороны и не контролируется ею, поэтому ваши действия останутся скрытыми.

5. Установите обычный уровень радиоизлучения окружающей среды перед поиском в зоне контроля.

Основные процедуры поиска. Визуально, а также с помощью средств видеонаблюдения и металлодетекторов, обследуйте все предметы в зоне контроля, размеры которых достаточно велики для того, чтобы можно было разместить в них технические средства негласного съема информации. Тщательно осмотрите и вскройте, в случае необходимости, все настольные приборы, рамы картин, телефоны, цветочные горшки, книги, питаемые от сети устройства (компьютеры, ксероксы, радиоприемники и т. д.).

Для поиска скрытой проводки обследуйте плинтуса и поднимите ковровые покрытия. Тщательно осмотрите потолочные панели, а также все устройства, содержащие микрофоны, магнитофоны и камеры.

С особой тщательностью обследуйте места, где ведутся наиболее важные переговоры (обычно это стол с телефоном). Большинство нелегальных устройств располагаются в радиусе 7 м от этого места для обеспечения наилучшей слышимости и(или) видимости.

Если вы при этом используете нелинейный радиолокатор, то скрупулезно выполняйте требования его инструкции на эксплуатацию и рекомендации, изложенные в п. 2.3.5.

Особо следует обратить внимание на проверку телефонных линий, сетей пожарной и охранной сигнализации.

Следует обязательно разобрать телефонный аппарат, розетки и датчики и искать детали, непохожие на обычные с разноцветными проводами и спешной или неаккуратной установкой.

Затем осмотрите линию от аппарата (датчика) до стены и, удалив стенную панель, проверьте, нет ли за ней нестандартных деталей.

Проведите физический поиск в коммутационных панелях и коммуникационных каналах, в случае необходимости используйте эндоскопические и портативные телевизионные средства видеонаблюдения, описанные в п. 2.3.1. Проверьте места входа/выхода проводов внутри и снаружи здания.

С целью облегчения последующих поисковых мероприятий после завершения всех работ скрытно пометьте шурупы на стенных панелях, сетевых розетках, телефонных корпусах и других местах, куда могут быть установлены закладки. Тогда при проведении повторных проверок видимые в ультрафиолетовых лучах метки покажут нарушение целостности ранее обследованного объекта, если оно имело место, а соответствующие записи в вашем журнале проверок помогут сориентироваться в будущей работе. Для контроля изменений в окружающих устройствах очень удобны ультрафиолетовые маркеры.

При проведении поиска ЗУ в автомобиле тщательно осмотрите не только салон, но и раму автомашины, багажник и т. п., внимательно проверьте цепи, имеющие выход на автомобильную антенну. При проведении этих операций досмотровые портативные телевизионные системы также могут оказаться очень полезны.

Обнаружение радиозакладных устройств

Процедура поиска начинается с формирования опорной панорамы, которая представляет из себя совокупность частот и амплитуд легальных источников (их амплитудных спектров). Она может строиться как в ручную, так и автоматически, так как практически все современные программно-аппаратные комплексы оснащены этой функцией. Частотная область, в которой будет осуществляться поиск радиозакладок ограничивается практически только возможностями применяемых приемников, но должна как минимум перекрывать диапазон 50... 1000 МГц. Раздвигать эти границы шире, чем от 300 кГц до 10 000 МГц вряд ли целесообразно.

Однако надо помнить, что применение опорной панорамы может послужить и причиной серьезных ошибок, приводящих в конечном итоге к пропуску излучения радиозакладок. Поэтому при использовании априорной информации о загрузке эфира необходимо учитывать следующие факторы:

>• опорная панорама должна строится на расстоянии от проверяемого помещения, существенно превышающем оперативную дальность приема излучения закладки (то есть на удалении не менее 2—3 км от контролируемого объекта), что позволит избежать ситуации, когда мощное ЗУ будет принято за легальный источник;

>• существует целая серия ЗУ, специально маскируемых под вещательные станции или устройства сотовой связи и работающих с небольшой отстройкой от них по частоте.

В качестве примерной последовательности производимых действий по выявлению радиозакладок можно порекомендовать следующий порядок.

1. Разместите прибор в центре контролируемого помещения, установите антенну, оденьте наушники.

2. Установите регулировки в такое положение, чтобы индикаторный прибор показывал среднее значение.

3. Выключите все приборы и свет в зоне контроля и близ нее и посмотрите, не изменились ли показания индикатора. Иногда обычная флуоресцентная лампа создает очень сильное радиоизлучение, в таком случае она должна быть выключена или удалена из комнаты. Если изменения в показаниях индикатора не могут быть вызваны такими явными причинами, то это означает реальное подозрение на «жучок».

4. Повращайте антенну в вертикальной и (или) горизонтальной плоскости (в зависимости от ее вида). Следите за показаниями индикатора, они будут меняться в зависимости от положения антенны.

5. Выделите направление с максимальным уровнем подозрительного излучения.

Идентификацию подозрительного сигнала как излучения радиозакладки проводите в соответствии с возможностями вашей аппаратуры. Это может быть:

>• прием переизлученного «известного звука» (тестового сигнала);

>•изменение в опорной панораме;

>• наличие большого уровня гармоник;

>• резкое изменение уровня при перемещении антенны и т. п. (см. при знаки излучений радиозакладок в п. 2.3.2).

6. Обследуйте все объекты, в которых могут быть спрятаны радиозакладки, например, с помощью индикатора поля, сканирующего приемника, программно-аппаратного комплекса.

Примечание: иногда обнаруживается ложный источник сигнала, «висящий» где-то в воздухе — это значит, что реальный источник рядом. Продолжайте поиск.

7. После обнаружения сигнала радиозакладки следует локализовать зону с повышенным уровнем этого излучения, отслеживая его по индикатору. Для этой процедуры применяется «ходьба по кругу», которая позволяет очертить «горячую» зону.

Нельзя прерывать режим скрытности после обнаружения «жучка», так как ЗУ может быть несколько. Это делается для улучшения качества приема и резервирования. Если противоположная сторона знает о ваших подозрениях на прослушивание, то она может специально поставить одну или несколько легко обнаруживаемых закладок, чтобы убедить вас в успехе проведенного поиска и прекратить дальнейшие усилия. Если закладка оснащена приемником сигналов дистанционного управления, то нарушение режима скрытности приведет к немедленному отключению устройства, а следовательно, к усложнению поиска и, возможно, снижению его эффективности.

Примечание: в некоторых случаях увеличение уровня принимаемого подозрительного сигнала связано с приближением не к истинному, а к мнимому источнику, что может быть следствием, например, явления интерференции; характерным признаком излучений скрытоустановленных телевизионных камер является изменение характеристик принимаемого сигнала при изменении уровня освещенности (включения/выключения света в помещении).

Проверка элементов телефонных линий на наличие излучений радиозакладок, как правило, осуществляется по изменению уровня сигнала на входе приемника контроля в момент поднятия трубки. Если в линии установлена радиозакладное устройство, то процесс поднятия трубки сопровождается существенным изменением уровня принимаемого излучения, кроме того в наушниках прослушивается тональный сигнал номеронабирателя либо другой тестовый сигнал. В «чистой» линии имеет место только кратковременный скачок излучения в момент поднятия трубки (в наушниках слышен короткий щелчок), а тональный набор не прослушивается.

Для обеспечения благоприятных условий проверки целесообразно антенну приемника контроля держать как можно ближе к элементам телефонной сети — проводу, аппарату, трубке, распределительной коробке и т. д., последовательно перемещая ее от одной точки контроля к другой.

Однако не всегда наличие теста в радиосигнале свидетельствует о работе подслушивающих устройств. Вполне возможно, что причиной являются и паразитные электромагнитные излучения (ПЭМИ) самого телефонного аппарата, связанные с эффектом самовозбуждения его усилительных каскадов. Для выявления физической природы обнаруженных излучений целесообразно использовать приемные устройства с частотным диапазоном 10 кГц... 30 МГц, так как именно в нем сосредоточена наибольшая мощность ПЭМИ. При этом необходимо контролировать не только электрическую, но и магнитную составляющую поля. Для этого могут быть использованы специальные электрические (например, НЕ 010, НЕ 013/015, HFH 2Z1), магнитные (HFH 2-Z3, HFH 2-Z2) или комбинированные (FMA-11) антенны.

Наличие радиозакладных устройств с непосредственным подключением к телефонной линии эффективно можно обнаруживать и с использованием стандартных анализаторов телефонных линий. Единственное неудобство — необходимость предварительного обесточивания проверяемой линии.

В автомобиле наряду с обычными радиомикрофонами могут быть установлены и так называемые бамперные жучки — специальные технические средства для слежения за перемещением автомобиля с выходной мощностью 100 мВт... 5 Вт в импульсном режиме.

Поэтому выявление возможно внедренных устройств должно начинаться с их активизации. С этой целью необходимо:

разместить в салоне источник «известного звука» (тестового, сигнала), так как оба вида ЗУ могут быть снабжены системами VOX;

воссоздать условия, соответствующие реальной эксплуатации — автомобиль нужно завести, разогнать, затормозить и т. д.

И тогда по изменению уровня фона на удалении нескольких метров от транспортного средства можно сделать вывод о наличии ЗУ.

Выявление технических средств с передачей информации по токоведущим линиям

Осуществляется с использованием специальных адаптеров, позволяющих подключаться к различным линиям, в том числе и находящихся под напряжением до 300—400 В.

Поиск необходимо производить в частотном диапазоне 50... 300 кГц. Это обусловлено, как отмечалось в п. 1.3.2, тем, что, с одной стороны, на частотах ниже 50 кГц в сетях электропитания относительно высок уровень помех от бытовой техники и промышленного оборудования, а с другой — на частотах выше 300 кГц существенно затухание сигнала в линии, и, кроме того, провода начинают работать как антенны, излучающие сигнал в окружающее пространство, поэтому устройства с частотами передачи 300 кГц и выше будут выявлены на этапе поиска радиозакладок.

К сожалению, некоторое оборудование, питаемое от сети, может производить характерный низкочастотный шум, который может быть принят за искомый сигнал «жучка», поэтому необходимо по очереди отключать все питаемые устройства, чтобы определить источник такого шума.

Примечание: регуляторы освещенности и дефектные флуоресцентные лампы также могут давать низкочастотный шум, который может быть устранен удалением такой лампы или выставлением регулятора на максимум. Применение полосового фильтра звукового диапазона также поможет уменьшить уровень шума. Однако простое выключение шумящей цепи недопустимо, так как этим можно выключить и закладное устройство!

Обнаружение ЗУ с передачей информации по ИК-каналу

Использование ИК-канала является хотя и экзотичным, но все же достаточно реальным способом передачи информации от ЗУ, поэтому исключать его применения нельзя.

Источником излучения является ИК- или лазерный диоды с узким пучком. Размещаются они либо напротив оконных проемов внутри контролируемых помещений, либо на наружной стороне зданий.

Наиболее надежный способ их выявления — физический поиск. Если же последний ничего не дал, то нужно использовать поисковую технику со специальными ИК-датчиками. Поиск излучений от таких ЗУ лучше всего осуществлять с наружной стороны здания. Особое внимание при этом уделяется окнам.

Проверка наличия акустических каналов утечки информации

Иногда ответственные за безопасность так поглощены поиском хитроумных жучков, что упускают из вида такие каналы утечки, как элементарное подслушивание за стеной. Звук может распространяться наружу через окна, стены, водопроводные трубы, полости в здании и т. д. и улавливаться микрофонами за пределами охраняемого помещения. Поэтому при проведении физического поиска обязательно проверяются вентиляционные и кабельные каналы на возможность прослушивания, а также на наличие в них вынесенных микрофонов, соединенных проводами со звукозаписывающей аппаратурой. В случае необходимости проводится полная акустическая проверка контролируемого помещения.