Скрытый канал

Атака на компьютерную безопасность

В компьютерной безопасности скрытый канал — это тип атаки , который создает возможность передавать информационные объекты между процессами, которым политика компьютерной безопасности не разрешает взаимодействовать . Термин, придуманный в 1973 году Батлером Лэмпсоном , определяется как каналы, «вообще не предназначенные для передачи информации , например влияние служебной программы на загрузку системы », чтобы отличить их от законных каналов, которые подвергаются контролю доступа со стороны COMPUSEC . ^[1]

Характеристики

Скрытый канал называется так потому, что он скрыт от механизмов контроля доступа безопасных операционных систем, поскольку он не использует законные механизмы передачи данных компьютерной системы (обычно чтение и запись) и, следовательно, не может быть обнаружен или проконтролирован механизмы безопасности, лежащие в основе безопасных операционных систем. Скрытые каналы чрезвычайно сложно установить в реальных системах, и их часто можно обнаружить путем мониторинга производительности системы. Кроме того, они страдают от низкого отношения сигнал/шум и низкой скорости передачи данных (обычно порядка нескольких бит в секунду). Их также можно с высокой степенью уверенности удалить вручную из защищенных систем с помощью хорошо зарекомендовавших себя стратегий анализа скрытых каналов.

Скрытые каналы отличаются от легитимных каналов эксплуатации и часто путаются с ними, которые атакуют псевдобезопасные системы с низкой надежностью с использованием таких схем, как стеганография или даже менее сложные схемы для маскировки запрещенных объектов внутри законных информационных объектов. Законное злоупотребление каналом с помощью стеганографии не является формой скрытого канала. ^{[ нужна цитата ]}

Скрытые каналы могут туннелировать через защищенные операционные системы и требуют специальных мер для контроля. Анализ скрытых каналов — единственный проверенный способ контроля скрытых каналов. ^{[ нужна цитата ]} Напротив, безопасные операционные системы могут легко предотвратить неправомерное использование законных каналов, поэтому важно различать оба. Анализ законных каналов на предмет скрытых объектов часто ошибочно представляется как единственная успешная мера противодействия неправомерному использованию законных каналов. Поскольку это представляет собой анализ большого количества программного обеспечения, еще в 1972 году было показано, что это непрактично. ^[2] Не будучи информированными об этом, некоторые заблуждаются, полагая, что анализ «управляет риском» этих законных каналов.

Критерии TCSEC

Критерии оценки доверенной компьютерной безопасности (TCSEC) представляли собой набор критериев, ныне устаревших, которые были установлены Национальным центром компьютерной безопасности , агентством, управляемым Агентством национальной безопасности США .

Определение скрытого канала , данное Лэмпсоном, было перефразировано в TCSEC ^[3] специально для обозначения способов передачи информации из отсека с более высокой классификацией в отсек с более низкой классификацией. В общей среде обработки сложно полностью изолировать один процесс от воздействия, которое другой процесс может оказать на операционную среду. Скрытый канал создается процессом-отправителем, который модулирует некоторые условия (например, свободное место, доступность какой-либо службы, время ожидания выполнения), которые могут быть обнаружены принимающим процессом.

TCSEC определяет два типа скрытых каналов:

• Каналы хранения. Общайтесь, изменяя «место хранения», например жесткий диск.
• Каналы синхронизации . Выполняют операции, влияющие на «реальное время отклика, наблюдаемое» приемником.

TCSEC, также известный как «Оранжевая книга» , ^[4] требует, чтобы анализ скрытых каналов хранения был классифицирован как система B2, а анализ скрытых каналов синхронизации является требованием для класса B3.

Временные каналы

Использование задержек между пакетами, передаваемыми по компьютерным сетям, было впервые исследовано Гирлингом ^[5] для скрытой связи. Эта работа побудила многие другие работы установить или обнаружить тайную связь и проанализировать фундаментальные ограничения таких сценариев.

Выявление скрытых каналов

Обычные вещи, такие как существование файла или время, использованное для вычислений, были средой, через которую осуществляется скрытый канал связи. Тайные каналы найти нелегко, поскольку эти средства массовой информации очень многочисленны и часто используются.

Два относительно старых метода остаются стандартами обнаружения потенциальных тайных каналов. Один работает путем анализа ресурсов системы, а другой работает на уровне исходного кода.

Устранение скрытых каналов

Возможность скрытых каналов невозможно исключить, ^[2] хотя ее можно значительно уменьшить путем тщательного проектирования и анализа.

Обнаружение скрытого канала может быть затруднено за счет использования характеристик среды связи для законного канала, которые никогда не контролируются и не проверяются законными пользователями. Например, файл может быть открыт и закрыт программой по определенному временному шаблону, который может быть обнаружен другой программой, и этот шаблон может быть интерпретирован как строка битов, образующая скрытый канал. Поскольку маловероятно, что законные пользователи будут проверять закономерности операций открытия и закрытия файлов, этот тип скрытого канала может оставаться незамеченным в течение длительного времени.

Похожий случай — стуки портов . В обычных коммуникациях время запросов не имеет значения и не отслеживается. Стук в порт делает это значительным.

Сокрытие данных в модели OSI

Хэндель и Сэндфорд представили исследование, в котором они изучают скрытые каналы в рамках общей конструкции сетевых протоколов связи. ^[6] Они используют модель OSI в качестве основы для своей разработки, в которой они характеризуют элементы системы, которые потенциально могут быть использованы для сокрытия данных. Принятый подход имеет преимущества перед этими, поскольку учитываются стандарты, противоположные конкретным сетевым средам или архитектурам.

Их исследование не ставит целью представить надежные стеганографические схемы. Скорее, они устанавливают основные принципы сокрытия данных на каждом из семи уровней OSI . Помимо предложения использования зарезервированных полей заголовков протоколов (которые легко обнаруживаются) на более высоких сетевых уровнях, они также предлагают возможность синхронизации каналов с использованием манипуляций CSMA/CD на физическом уровне.

Их работа определяет преимущества скрытых каналов, такие как:

• Обнаруживаемость: скрытый канал должен быть доступен для измерения только предполагаемому получателю.
• Неотличимость: тайный канал не должен иметь идентификации.
• Пропускная способность: количество битов сокрытия данных на использование канала.

Их анализ скрытых каналов не учитывает такие вопросы, как совместимость этих методов сокрытия данных с другими сетевыми узлами, оценка пропускной способности скрытых каналов, влияние сокрытия данных на сеть с точки зрения сложности и совместимости. Более того, общность методов не может быть полностью оправдана на практике, поскольку модель OSI как таковая не существует в функциональных системах.

Сокрытие данных в среде локальной сети по скрытым каналам

Ас Гирлинг впервые анализирует скрытые каналы в сетевой среде. Его работа сосредоточена на локальных вычислительных сетях (LAN), в которых идентифицированы три очевидных скрытых канала (два канала хранения и один канал синхронизации). Это демонстрирует реальные примеры возможностей полосы пропускания для простых скрытых каналов в локальных сетях. Для конкретной среды локальной сети автор ввел понятие перехватчика, который отслеживает деятельность конкретного передатчика в локальной сети. Сторонами, осуществляющими тайную связь, являются передатчик и перехватчик. По мнению Гирлинга, секретная информация может передаваться любым из следующих очевидных способов:

1. Наблюдая за адресами, к которым приближается передатчик. Если общее количество адресов, к которым может обратиться отправитель, равно 16, то существует возможность секретной связи, имеющей 4 бита для секретного сообщения. Автор назвал эту возможность скрытым каналом хранения, поскольку она зависит от того, что отправляется (т. е. к какому адресу обращается отправитель).
2. Точно так же другой очевидный скрытый канал хранения будет зависеть от размера кадра, отправленного отправителем. Для 256 возможных размеров объем скрытой информации, расшифрованной из кадра одного размера, составит 8 бит. И снова этот сценарий был назван скрытым каналом хранения.
3. Третий представленный сценарий использует наличие или отсутствие сообщений. Например, «0» для нечетного интервала времени сообщения, «1» для четного.

Сценарий передает скрытую информацию посредством стратегии «когда отправлено», поэтому называемой тайминговым скрытым каналом. Время передачи блока данных рассчитывается как функция времени обработки программного обеспечения, скорости сети, размеров сетевых блоков и накладных расходов протокола. Предполагая, что по локальной сети передаются блоки различных размеров, программные издержки вычисляются в среднем, а также используется новая оценка времени для оценки полосы пропускания (емкости) скрытых каналов. Работа открывает путь для будущих исследований.

Сокрытие данных в наборе протоколов TCP/IP по скрытым каналам

В статье, опубликованной Крейгом Роуландом, основное внимание уделяется заголовкам IP и TCP набора протоколов TCP/IP. В статье, опубликованной Крейгом Роулендом, разрабатываются правильные методы кодирования и декодирования с использованием поля идентификации IP, полей начального порядкового номера TCP и полей порядкового номера подтверждения. ^[7] Эти методы реализованы в простой утилите, написанной для систем Linux с ядрами версии 2.0.

Роуленд предоставляет подтверждение концепции, а также практические методы кодирования и декодирования для использования скрытых каналов с использованием набора протоколов TCP/IP. Эти методы анализируются с учетом механизмов безопасности, таких как преобразование сетевых адресов брандмауэра.

Однако необнаружимость этих методов скрытой связи сомнительна. Например, в случае манипулирования полем порядкового номера заголовка TCP схема кодирования принимается так, что каждый раз, когда тайно передается один и тот же алфавит, он кодируется одним и тем же порядковым номером.

Более того, использование поля порядкового номера, а также поля подтверждения не может быть специфичным для кодирования ASCII алфавита английского языка, как это предлагается, поскольку оба поля учитывают получение байтов данных, относящихся к конкретному сетевому пакету(ам).

После Роуленда несколько авторов из академических кругов опубликовали новые работы по скрытым каналам в наборе протоколов TCP/IP, включая множество контрмер, начиная от статистических подходов и заканчивая машинным обучением. ^{[8] [9] [10] [11]} Исследования скрытых сетевых каналов пересекаются с областью сетевой стеганографии, которая возникла позже.

Смотрите также

• Компьютерное и сетевое наблюдение  – Мониторинг компьютерной или сетевой активности.
• Атака по побочному каналу  – любая атака, основанная на информации, полученной в результате реализации компьютерной системы.
• Стеганография  – скрытие сообщений в других сообщениях.
• Подсознательный канал  – Скрытый криптографический канал.
• Wire image (сеть)  - Система обмена сообщениями между вычислительными системами.Страницы с краткими описаниями целей перенаправления.

Рекомендации

1. Батлер Лэмпсон (1 октября 1973 г.). «Заметка о проблеме заключения». Коммуникации АКМ . 16 (10): 613–615. дои : 10.1145/362375.362389. ISSN  0001-0782. Викиданные  Q56446421.
2. Исследование планирования технологий компьютерной безопасности (Джеймс П. Андерсон, 1972)
3. NCSC-TG-030, Анализ доверенных систем по скрытым каналам (Светло-розовая книга), 1993 г., из публикаций серии Rainbow Series Министерства обороны США (DoD) .
4. 5200.28-STD, Критерии оценки доверенной компьютерной системы (Оранжевая книга) , 1985. Архивировано 2 октября 2006 г. в Wayback Machine из публикаций DoD Rainbow Series .
5. ДЕВОЧКА, ГРЕЙ (февраль 1987 г.). «Скрытые каналы в локальных сетях». Транзакции IEEE по разработке программного обеспечения . СЭ-13 (2): 292–296. дои :10.1109/tse.1987.233153. S2CID  3042941. ProQuest  195596753.
6. Скрытие данных в сетевой модели OSI. Архивировано 18 октября 2014 г. в Wayback Machine , Теодор Г. Хэндель и Максвелл Т. Сэндфорд II (2005).
7. Скрытые каналы в наборе протоколов TCP/IP. Архивировано 23 октября 2012 г. в Wayback Machine , 1996 г. Статья Крейга Роуленда о скрытых каналах в протоколе TCP/IP с кодом подтверждения концепции.
8. Зандер, С.; Армитидж, Дж.; Бранч, П. (2007). «Обзор скрытых каналов и мер противодействия в протоколах компьютерных сетей». Обзоры и учебные пособия IEEE по коммуникациям . IEEE. 9 (3): 44–57. doi : 10.1109/comst.2007.4317620. hdl : 1959.3/40808 . ISSN  1553-877X. S2CID  15247126.
9. Информация, скрывающаяся в сетях связи: основы, механизмы, применение и меры противодействия . Мазурчик, Войцех., Вендзель, Штеффен., Цандер, Себастьян., Хумансадр, Амир., Щиперский, Кшиштоф. Хобокен, Нью-Джерси: Уайли. 2016. ISBN 9781118861691. ОКЛК  940438314.{{cite book}}: CS1 maint: другие ( ссылка )
10. Вендзель, Штеффен; Зандер, Себастьян; Фехнер, Бернхард; Хердин, Кристиан (апрель 2015 г.). «Обследование на основе шаблонов и категоризация методов сетевых скрытых каналов». Обзоры вычислительной техники ACM . 47 (3): 50:1–50:26. arXiv : 1406.2901 . дои : 10.1145/2684195. ISSN  0360-0300. S2CID  14654993.
11. Чабук, Сердар; Бродли, Карла Э .; Шилдс, Клей (апрель 2009 г.). «Обнаружение скрытых IP-каналов». Транзакции ACM по информационной и системной безопасности . 12 (4): 22:1–22:29. CiteSeerX 10.1.1.320.8776 . дои : 10.1145/1513601.1513604. ISSN  1094-9224. С2КИД  2462010. 

дальнейшее чтение

• Каналы синхронизации — раннее использование канала синхронизации в Multics .
• Инструмент скрытого канала скрывает данные в IPv6, SecurityFocus, 11 августа 2006 г.
• Рагго, Майкл; Хосмер, Чет (2012). Сокрытие данных: раскрытие скрытых данных в мультимедиа, операционных системах, мобильных устройствах и сетевых протоколах. Издательство Сингресс. ISBN 978-1597497435.
• Лакшманан, Рави (04 мая 2020 г.). «Новое вредоносное ПО проникает в устройства с воздушным зазором, превращая источники питания в динамики».
• Открытый онлайн-класс по тайным каналам (GitHub)

Внешние ссылки

• Серый мир — Исследовательская группа открытого исходного кода: Инструменты и документы
• Центр управления сетью Steath — система поддержки скрытой связи