Скрытый канал

Атака на компьютерную безопасность

В компьютерной безопасности скрытый канал — это тип атаки , создающий возможность передачи информационных объектов между процессами, которым политика компьютерной безопасности не разрешает взаимодействовать . Термин, введенный в 1973 году Батлером Лэмпсоном , определяется как каналы, «вообще не предназначенные для передачи информации , например, для воздействия служебной программы на загрузку системы », чтобы отличать их от законных каналов, которые подвергаются контролю доступа со стороны COMPUSEC . ^[1]

Характеристики

Скрытый канал так называется, потому что он скрыт от механизмов контроля доступа защищенных операционных систем, поскольку он не использует законные механизмы передачи данных компьютерной системы (обычно чтение и запись), и поэтому не может быть обнаружен или проконтролирован механизмами безопасности, лежащими в основе защищенных операционных систем. Скрытые каналы чрезвычайно сложно установить в реальных системах, и часто их можно обнаружить путем мониторинга производительности системы. Кроме того, они страдают от низкого отношения сигнал/шум и низкой скорости передачи данных (обычно порядка нескольких бит в секунду). Их также можно удалить вручную с высокой степенью уверенности из защищенных систем с помощью хорошо зарекомендовавших себя стратегий анализа скрытых каналов.

Скрытые каналы отличаются от и часто путаются с эксплуатацией законных каналов, которая атакует псевдобезопасные системы с низкой степенью уверенности, используя такие схемы, как стеганография или даже менее сложные схемы для сокрытия запрещенных объектов внутри законных информационных объектов. Неправомерное использование законных каналов стеганографией, в частности, не является формой скрытого канала. ^{[ необходима цитата ]}

Скрытые каналы могут проходить через защищенные операционные системы и требуют специальных мер для контроля. Анализ скрытых каналов является единственным проверенным способом контроля скрытых каналов. ^{[ требуется цитата ]} Напротив, защищенные операционные системы могут легко предотвратить нецелевое использование законных каналов, поэтому важно различать их. Анализ законных каналов на предмет скрытых объектов часто неверно представляется как единственная успешная мера противодействия нецелевому использованию законных каналов. Поскольку это равносильно анализу больших объемов программного обеспечения, еще в 1972 году было показано, что это непрактично. ^[2] Не будучи информированными об этом, некоторые ошибочно полагают, что анализ «управит риском» этих законных каналов.

Критерии TCSEC

Критерии оценки надежности компьютерной безопасности (TCSEC) — это набор критериев, ныне устаревших, которые были разработаны Национальным центром компьютерной безопасности — агентством, находящимся в ведении Агентства национальной безопасности США .

Определение скрытого канала Лэмпсона было перефразировано в TCSEC ^[3] специально для обозначения способов передачи информации из отсека более высокой классификации в отсек более низкой классификации. В общей среде обработки трудно полностью изолировать один процесс от воздействия другого процесса на операционную среду. Скрытый канал создается процессом-отправителем, который модулирует некоторое условие (например, свободное пространство, доступность некоторой службы, время ожидания выполнения), которое может быть обнаружено процессом-получателем.

TCSEC определяет два вида скрытых каналов:

• Каналы хранения — взаимодействуют путем изменения «места хранения», например, жесткого диска.
• Каналы синхронизации — выполняют операции, которые влияют на «реальное время отклика, наблюдаемое» приемником.

TCSEC, также известный как « Оранжевая книга» , ^[4] требует, чтобы анализ скрытых каналов хранения данных был классифицирован как система B2, а анализ скрытых каналов синхронизации является требованием для класса B3.

Временные каналы

Использование задержек между пакетами, передаваемыми по компьютерным сетям, впервые было исследовано Гирлингом ^[5] для скрытой связи. Эта работа побудила многие другие работы установить или обнаружить скрытую связь и проанализировать фундаментальные ограничения таких сценариев.

Выявление скрытых каналов

Обычные вещи, такие как существование файла или время, используемое для вычисления, были средством, через которое общается скрытый канал. Скрытые каналы нелегко обнаружить, поскольку эти средства очень многочисленны и часто используются.

Два относительно старых метода остаются стандартами для обнаружения потенциальных скрытых каналов. Один работает путем анализа ресурсов системы, а другой работает на уровне исходного кода.

Устранение скрытых каналов

Вероятность существования скрытых каналов невозможно исключить ^[2] , хотя ее можно значительно снизить путем тщательного проектирования и анализа.

Обнаружение скрытого канала может быть затруднено за счет использования характеристик среды связи для легитимного канала, которые никогда не контролируются и не проверяются легитимными пользователями. Например, файл может быть открыт и закрыт программой в определенном, синхронизированном шаблоне, который может быть обнаружен другой программой, и шаблон может быть интерпретирован как строка битов, образуя скрытый канал. Поскольку маловероятно, что легитимные пользователи будут проверять шаблоны операций открытия и закрытия файлов, этот тип скрытого канала может оставаться незамеченным в течение длительного времени.

Аналогичный случай — port knocking . В обычных коммуникациях время запросов не имеет значения и не отслеживается. Port knocking делает его значимым.

Сокрытие данных в модели OSI

Хэндел и Сэндфорд представили исследование, в котором они изучают скрытые каналы в рамках общей конструкции сетевых коммуникационных протоколов. ^[6] Они используют модель OSI в качестве основы для своей разработки, в которой они характеризуют элементы системы, имеющие потенциал для использования для сокрытия данных. Принятый подход имеет преимущества по сравнению с ними, поскольку рассматриваются стандарты, противопоставленные конкретным сетевым средам или архитектурам.

Их исследование не ставит целью представить надежные стеганографические схемы. Вместо этого они устанавливают основные принципы сокрытия данных на каждом из семи уровней OSI . Помимо предложения использовать зарезервированные поля заголовков протоколов (которые легко обнаруживаются) на более высоких уровнях сети, они также предлагают возможность каналов синхронизации, включающих манипуляцию CSMA/CD на физическом уровне.

Их работа выявляет такие достоинства скрытых каналов, как:

• Обнаруживаемость: скрытый канал должен быть доступен для измерения только предполагаемому получателю.
• Неразличимость: скрытый канал не должен иметь идентификационных данных.
• Пропускная способность: количество битов сокрытия данных на канал.

Их анализ скрытых каналов не учитывает такие вопросы, как совместимость этих методов сокрытия данных с другими сетевыми узлами, оценка пропускной способности скрытых каналов, влияние сокрытия данных на сеть с точки зрения сложности и совместимости. Более того, общность методов не может быть полностью оправдана на практике, поскольку модель OSI как таковая не существует в функциональных системах.

Сокрытие данных в локальной сети с помощью скрытых каналов

В качестве первого анализа скрытых каналов в сетевой среде Гирлинг. Его работа фокусируется на локальных сетях (ЛВС), в которых определены три очевидных скрытых канала (два канала хранения и один канал синхронизации). Это демонстрирует реальные примеры возможностей пропускной способности для простых скрытых каналов в ЛВС. Для конкретной среды ЛВС автор ввел понятие прослушивателя, который отслеживает действия определенного передатчика в ЛВС. Скрыто общающимися сторонами являются передатчик и прослушиватель. Скрытая информация, по мнению Гирлинга, может передаваться любым из следующих очевидных способов:

1. Наблюдая за адресами, к которым обращается передатчик. Если общее количество адресов, к которым может обратиться отправитель, равно 16, то существует вероятность секретной связи, имеющей 4 бита для секретного сообщения. Автор назвал эту возможность скрытым каналом хранения, поскольку она зависит от того, что отправляется (т. е. к какому адресу обращается отправитель).
2. Точно так же другой очевидный скрытый канал хранения будет зависеть от размера кадра, отправленного отправителем. Для 256 возможных размеров объем скрытой информации, расшифрованной из одного размера кадра, будет составлять 8 бит. Этот сценарий снова был назван скрытым каналом хранения.
3. Третий представленный сценарий использует наличие или отсутствие сообщений. Например, «0» для нечетного интервала времени сообщения, «1» для четного.

Сценарий передает скрытую информацию с помощью стратегии «когда-отправлено», поэтому называется таймингом скрытого канала. Время передачи блока данных рассчитывается как функция времени обработки программного обеспечения, скорости сети, размеров сетевых блоков и накладных расходов протокола. Предполагая, что блоки различных размеров передаются по локальной сети, накладные расходы программного обеспечения вычисляются в среднем, а для оценки пропускной способности (емкости) скрытых каналов также представлена ​​новая оценка времени. Работа прокладывает путь для будущих исследований.

Сокрытие данных в пакете протоколов TCP/IP с помощью скрытых каналов

Статья, опубликованная Крейгом Роулендом, посвященная заголовкам IP и TCP набора протоколов TCP/IP, разрабатывает правильные методы кодирования и декодирования с использованием поля идентификации IP, начального порядкового номера TCP и полей порядкового номера подтверждения. ^[7] Эти методы реализованы в простой утилите, написанной для систем Linux, работающих под управлением ядер версии 2.0.

Роуленд предоставляет доказательство концепции, а также практические методы кодирования и декодирования для эксплуатации скрытых каналов с использованием набора протоколов TCP/IP. Эти методы анализируются с учетом механизмов безопасности, таких как трансляция сетевых адресов брандмауэра.

Однако необнаруживаемость этих методов скрытой связи сомнительна. Например, в случае, когда поле порядкового номера заголовка TCP подвергается манипуляциям, схема кодирования принимается таким образом, что каждый раз, когда один и тот же алфавит скрытно передается, он кодируется одним и тем же порядковым номером.

Более того, использование поля порядкового номера, а также поля подтверждения не может быть специфичным для кодировки ASCII английского алфавита, как предлагается, поскольку оба поля учитывают получение байтов данных, относящихся к конкретному сетевому пакету(ам).

После Роуленда несколько авторов в академических кругах опубликовали больше работ по скрытым каналам в наборе протоколов TCP/IP, включая множество контрмер, от статистических подходов до машинного обучения. ^{[8] [9] [10] [11]} Исследования сетевых скрытых каналов пересекаются с областью сетевой стеганографии, которая появилась позже.

Смотрите также

• Наблюдение за компьютерами и сетями  – Мониторинг активности компьютеров и сетей.
• Атака по сторонним каналам  – любая атака, основанная на информации, полученной в результате внедрения компьютерной системы.
• Стеганография  – Сокрытие сообщений в других сообщениях
• Подсознательный канал  – Скрытый криптографический канал
• Данные по сети  – Формат передаваемой сетевой информации

Ссылки

1. Батлер Лэмпсон (1 октября 1973 г.). «Заметка о проблеме ограничения свободы». Сообщения ACM . 16 (10): 613–615. doi :10.1145/362375.362389. ISSN  0001-0782. Wikidata  Q56446421.
2. Исследование планирования технологий компьютерной безопасности (Джеймс П. Андерсон, 1972)
3. NCSC-TG-030, Анализ скрытых каналов доверенных систем (светло-розовая книга), 1993 г. из серии публикаций Rainbow Министерства обороны США .
4. 5200.28-STD, Критерии оценки надежных компьютерных систем (Оранжевая книга) , 1985 г. Архивировано 2 октября 2006 г. на Wayback Machine из публикаций серии Rainbow Министерства обороны США .
5. GIRLING, GRAY (февраль 1987). «Скрытые каналы в локальных сетях». Труды IEEE по программной инженерии . SE-13 (2): 292–296. doi :10.1109/tse.1987.233153. S2CID  3042941. ProQuest  195596753.
6. Скрытие данных в сетевой модели OSI Архивировано 18 октября 2014 г. на Wayback Machine , Теодор Г. Гендель и Максвелл Т. Сэндфорд II (2005)
7. Скрытые каналы в наборе протоколов TCP/IP. Архивировано 23 октября 2012 г. на Wayback Machine , 1996 г. Статья Крейга Роуленда о скрытых каналах в протоколе TCP/IP с кодом подтверждения концепции.
8. Зандер, С.; Армитидж, Г.; Бранч, П. (2007). «Обзор скрытых каналов и контрмер в протоколах компьютерных сетей». IEEE Communications Surveys and Tutorials . 9 (3). IEEE: 44–57. doi : 10.1109/comst.2007.4317620. hdl : 1959.3/40808 . ISSN  1553-877X. S2CID  15247126.
9. Информация, скрывающаяся в сетях связи: основы, механизмы, приложения и меры противодействия . Мазурчик, Войцех., Вендзель, Штеффен., Цандер, Себастьян., Хумансадр, Амир., Щиперский, Кшиштоф. Хобокен, Нью-Джерси: Уайли. 2016. ISBN 9781118861691. OCLC  940438314.{{cite book}}: CS1 maint: другие ( ссылка )
10. Вендзель, Штеффен; Зандер, Себастьян; Фехнер, Бернхард; Хердин, Кристиан (апрель 2015 г.). «Обзор на основе шаблонов и категоризация методов скрытых сетевых каналов». ACM Computing Surveys . 47 (3): 50:1–50:26. arXiv : 1406.2901 . doi : 10.1145/2684195. ISSN  0360-0300. S2CID  14654993.
11. Cabuk, Serdar; Brodley, Carla E .; Shields, Clay (апрель 2009 г.). «Обнаружение скрытых IP-каналов». ACM Transactions on Information and System Security . 12 (4): 22:1–22:29. CiteSeerX 10.1.1.320.8776 . doi :10.1145/1513601.1513604. ISSN  1094-9224. S2CID  2462010. 

Дальнейшее чтение

• Каналы синхронизации — раннее использование канала синхронизации в Multics .
• Инструмент скрытого канала скрывает данные в IPv6, SecurityFocus, 11 августа 2006 г.
• Raggo, Michael; Hosmer, Chet (2012). Сокрытие данных: раскрытие скрытых данных в мультимедиа, операционных системах, мобильных устройствах и сетевых протоколах. Syngress Publishing. ISBN 978-1597497435.
• Лакшманан, Рави (04.05.2020). «Новое вредоносное ПО проникает на изолированные устройства, превращая блоки питания в динамики».
• Открытый онлайн-курс по скрытым каналам (GitHub)

Внешние ссылки

• Gray-World - Исследовательская группа с открытым исходным кодом: Инструменты и статьи
• Steath Network Operations Centre — система поддержки скрытой связи