Ukryty kanał

W bezpieczeństwie komputerowym ukryty kanał to rodzaj ataku , który stwarza możliwość przesyłania obiektów informacyjnych między procesami, które zgodnie z polityką bezpieczeństwa komputera nie powinny mieć możliwości komunikowania się . Termin, zapoczątkowany w 1973 roku przez Butlera Lampsona , definiuje się jako kanały „w ogóle nie przeznaczone do przesyłania informacji , takich jak wpływ programu usługowego na obciążenie systemu ”, aby odróżnić je od legalnych kanałów, które podlegają kontroli dostępu przez COMPUSEC .

Charakterystyka

Ukryty kanał jest tak zwany, ponieważ jest ukryty przed mechanizmami kontroli dostępu bezpiecznych systemów operacyjnych, ponieważ nie wykorzystuje legalnych mechanizmów przesyłania danych systemu komputerowego (zwykle odczytu i zapisu), a zatem nie może zostać wykryty ani kontrolowany przez mechanizmy bezpieczeństwa leżące u podstaw bezpiecznych systemów operacyjnych. Ukryte kanały są niezwykle trudne do zainstalowania w rzeczywistych systemach i często można je wykryć, monitorując wydajność systemu. Ponadto cierpią z powodu niskiego stosunku sygnału do szumu i niskich szybkości transmisji danych (zwykle rzędu kilku bitów na sekundę). Można je również usunąć ręcznie z wysokim stopniem pewności z bezpiecznych systemów dzięki dobrze ugruntowanym strategiom analizy kanałów ukrytych.

Ukryte kanały różnią się i często są mylone z legalnymi kanałami, które atakują pseudobezpieczne systemy o niskim poziomie bezpieczeństwa przy użyciu schematów takich jak steganografia lub nawet mniej wyrafinowanych schematów w celu ukrycia zabronionych obiektów wewnątrz legalnych obiektów informacyjnych. Uzasadnione nadużycie kanału przez steganografię nie jest w szczególności formą ukrytego kanału. ^{[ potrzebne źródło ]}

Ukryte kanały mogą tunelować przez bezpieczne systemy operacyjne i wymagają specjalnych środków kontroli. Analiza kanałów ukrytych to jedyny sprawdzony sposób kontrolowania kanałów ukrytych. ^{[ Potrzebne źródło ]} Natomiast bezpieczne systemy operacyjne mogą z łatwością zapobiegać nadużyciom z legalnych kanałów, dlatego rozróżnienie obu jest ważne. Analiza legalnych kanałów pod kątem ukrytych obiektów jest często błędnie przedstawiana jako jedyny skuteczny środek zaradczy w przypadku niewłaściwego wykorzystania legalnych kanałów. Ponieważ sprowadza się to do analizy dużej ilości oprogramowania, już w 1972 roku wykazano, że jest to niepraktyczne. Bez poinformowania o tym niektórzy są wprowadzani w błąd, wierząc, że analiza „zarządza ryzykiem” tych legalnych kanałów.

Kryteria TCSEC

Trusted Computer Security Evaluation Criteria (TCSEC) był zestawem kryteriów, obecnie przestarzałych, które zostały ustanowione przez Narodowe Centrum Bezpieczeństwa Komputerowego , agencję zarządzaną przez Agencję Bezpieczeństwa Narodowego Stanów Zjednoczonych .

ukrytego kanału Lampsona została sparafrazowana w TCSEC w szczególności w celu odniesienia się do sposobów przesyłania informacji z przedziału o wyższej klasyfikacji do przedziału o niższej klasyfikacji. W środowisku przetwarzania współdzielonego trudno jest całkowicie odizolować jeden proces od wpływu, jaki inny proces może mieć na środowisko operacyjne. Ukryty kanał jest tworzony przez proces nadawcy, który moduluje pewne warunki (takie jak wolne miejsce, dostępność niektórych usług, czas oczekiwania na wykonanie), które mogą zostać wykryte przez proces odbierający.

TCSEC definiuje dwa rodzaje ukrytych kanałów:

Kanały przechowywania — komunikuj się, modyfikując „miejsce przechowywania”, takie jak dysk twardy.
Kanały czasowe - Wykonuj operacje, które mają wpływ na „obserwowany rzeczywisty czas odpowiedzi” przez odbiornik.

TCSEC, znany również jako Orange Book , wymaga, aby analiza ukrytych kanałów pamięci została sklasyfikowana jako system B2, a analiza ukrytych kanałów synchronizacji jest wymogiem dla klasy B3.

Kanały czasowe

Wykorzystanie opóźnień między pakietami przesyłanymi przez sieci komputerowe zostało po raz pierwszy zbadane przez Girlinga do tajnej komunikacji. Ta praca zmotywowała wiele innych prac do ustanowienia lub wykrycia tajnej komunikacji i przeanalizowania podstawowych ograniczeń takich scenariuszy.

Identyfikacja ukrytych kanałów

Zwykłe rzeczy, takie jak istnienie pliku lub czas wykorzystany do obliczeń, były medium, przez które komunikuje się ukryty kanał. Ukryte kanały nie są łatwe do znalezienia, ponieważ te media są tak liczne i często używane.

Standardami lokalizowania potencjalnych ukrytych kanałów pozostają dwie stosunkowo stare techniki. Jeden działa poprzez analizę zasobów systemu, a drugi działa na poziomie kodu źródłowego.

Eliminacja ukrytych kanałów

Nie można wyeliminować możliwości ukrytych kanałów, chociaż można je znacznie ograniczyć poprzez staranne zaprojektowanie i analizę.

Wykrywanie ukrytego kanału można utrudnić, wykorzystując cechy medium komunikacyjnego dla legalnego kanału, które nigdy nie są kontrolowane ani badane przez uprawnionych użytkowników. Na przykład plik może być otwierany i zamykany przez program w określonym czasie, który może zostać wykryty przez inny program, a wzorzec może być interpretowany jako ciąg bitów tworzący ukryty kanał. Ponieważ jest mało prawdopodobne, aby legalni użytkownicy sprawdzali wzorce operacji otwierania i zamykania plików, ten rodzaj ukrytego kanału może pozostać niewykryty przez długi czas.

Podobny przypadek to pukanie do portu . W zwykłej komunikacji czas wysyłania próśb jest nieistotny i nie jest obserwowany. Pukanie do portu sprawia, że jest to znaczące.

Ukrywanie danych w modelu OSI

Handel i Sandford przedstawili badania, w których badają ukryte kanały w ramach ogólnego projektu protokołów komunikacji sieciowej. Jako podstawę swojego rozwoju wykorzystują model OSI , w którym charakteryzują elementy systemu mające potencjał do wykorzystania do ukrywania danych. Przyjęte podejście ma nad nimi przewagę, ponieważ uwzględniane są standardy przeciwstawne do określonych środowisk sieciowych lub architektur.

Ich badanie nie ma na celu przedstawienia niezawodnych schematów steganograficznych. Zamiast tego ustanawiają podstawowe zasady ukrywania danych w każdej z siedmiu warstw OSI . Oprócz sugestii użycia zarezerwowanych pól nagłówków protokołów (które są łatwo wykrywalne) w wyższych warstwach sieci, proponują również możliwość synchronizacji kanałów z manipulacją CSMA/CD w warstwie fizycznej.

Ich praca identyfikuje zalety ukrytego kanału, takie jak:

Wykrywalność: ukryty kanał musi być możliwy do zmierzenia tylko przez zamierzonego odbiorcę.
Nierozróżnialność: Ukryty kanał musi być pozbawiony identyfikacji.
Przepustowość: liczba bitów ukrywania danych na wykorzystanie kanału.

Ich analiza ukrytych kanałów nie uwzględnia takich kwestii, jak interoperacyjność tych technik ukrywania danych z innymi węzłami sieci, szacowanie przepustowości ukrytych kanałów, wpływ ukrywania danych na sieć pod względem złożoności i kompatybilności. Ponadto ogólność technik nie może być w pełni uzasadniona w praktyce, ponieważ model OSI nie istnieje per se w systemach funkcjonalnych.

Ukrywanie danych w środowisku LAN przez ukryte kanały

Jako Girling najpierw analizuje ukryte kanały w środowisku sieciowym. Jego praca koncentruje się na sieciach lokalnych (LAN), w których identyfikowane są trzy oczywiste ukryte kanały (dwa kanały przechowywania i jeden kanał synchronizacji). Pokazuje to rzeczywiste przykłady możliwości przepustowości dla prostych ukrytych kanałów w sieciach LAN. Dla konkretnego środowiska LAN autor wprowadził pojęcie podsłuchu, który monitoruje działania określonego nadajnika w sieci LAN. Stronami potajemnie komunikującymi się są nadawca i podsłuch. Ukryte informacje według Girlinga mogą być przekazywane na jeden z następujących oczywistych sposobów:

Obserwując adresy, do których zbliża się nadajnik. Jeżeli łączna liczba adresów, do których może podejść nadawca, wynosi 16, to istnieje możliwość tajnej komunikacji z 4 bitami na tajną wiadomość. Autor nazwał tę możliwość ukrytym kanałem przechowywania, ponieważ zależy ona od tego, co jest wysyłane (tj. do jakiego adresu podchodzi nadawca).
W ten sam sposób inny oczywisty ukryty kanał pamięci zależałby od rozmiaru ramki wysyłanej przez nadawcę. Dla 256 możliwych rozmiarów ilość ukrytych informacji odszyfrowanych z jednego rozmiaru ramki wyniosłaby 8 bitów. Ponownie ten scenariusz został nazwany ukrytym kanałem przechowywania.
Trzeci przedstawiony scenariusz wykorzystuje obecność lub brak komunikatów. Na przykład „0” dla nieparzystego przedziału czasu wiadomości, „1” dla parzystego.

Scenariusz transmituje tajne informacje za pomocą strategii „kiedy jest wysyłane”, dlatego określanej jako ukryty kanał synchronizacji. Czas transmisji bloku danych jest obliczany jako funkcja czasu przetwarzania oprogramowania, szybkości sieci, rozmiarów bloków sieci i narzutu protokołu. Zakładając, że w sieci LAN przesyłane są bloki o różnej wielkości, obliczany jest średni narzut oprogramowania, a do oszacowania przepustowości (pojemności) kanałów ukrytych wykorzystywana jest nowa ocena czasu. Praca toruje drogę do przyszłych badań.

Ukrywanie danych w pakiecie protokołów TCP/IP przez ukryte kanały

Skupiając się na nagłówkach IP i TCP zestawu protokołów TCP/IP, artykuł opublikowany przez Craiga Rowlanda opracowuje odpowiednie techniki kodowania i dekodowania, wykorzystując pole identyfikacji IP, początkowy numer sekwencyjny TCP i pola potwierdzenia numeru sekwencyjnego. Techniki te są zaimplementowane w prostym narzędziu napisanym dla systemów Linux z jądrami w wersji 2.0.

Rowland zapewnia weryfikację koncepcji oraz praktyczne techniki kodowania i dekodowania w celu wykorzystania ukrytych kanałów przy użyciu zestawu protokołów TCP/IP. Techniki te są analizowane z uwzględnieniem mechanizmów bezpieczeństwa, takich jak translacja adresów sieciowych firewalla.

Jednak niewykrywalność tych tajnych technik komunikacyjnych jest wątpliwa. Na przykład, w przypadku manipulowania polem numeru sekwencyjnego nagłówka TCP, schemat kodowania jest przyjmowany w taki sposób, że za każdym razem, gdy ten sam alfabet jest potajemnie przekazywany, jest on kodowany z tym samym numerem sekwencyjnym.

Ponadto, zastosowania pola numeru sekwencyjnego, jak również pola potwierdzenia, nie mogą być specyficzne dla kodowania ASCII alfabetu języka angielskiego, jak zaproponowano, ponieważ oba pola uwzględniają odbiór bajtów danych odnoszących się do określonych pakietów sieciowych.

Po Rowlandzie kilku autorów ze środowiska akademickiego opublikowało więcej prac na temat ukrytych kanałów w pakiecie protokołów TCP/IP, w tym mnóstwo środków zaradczych, od podejść statystycznych po uczenie maszynowe. Badania nad ukrytymi kanałami sieciowymi pokrywają się z dziedziną steganografii sieciowej, która pojawiła się później.

Zobacz też

Nadzór komputera i sieci — Monitorowanie aktywności komputera lub sieci
Atak typu side-channel – Każdy atak oparty na informacjach uzyskanych z implementacji systemu komputerowego
Steganografia – Ukrywanie wiadomości w innych wiadomościach
Kanał podprogowy – Ukryty kanał kryptograficzny
Wire image (networking) – System wymiany komunikatów pomiędzy systemami komputerowymi

^ Lampson, BW, Uwaga dotycząca problemu uwięzienia. Komunikaty ACM, 16 października 1973 r. (10): s. 613-615. [1]
^ ^a ^b Badanie planowania technologii bezpieczeństwa komputerowego (James P. Anderson, 1972)
^ NCSC-TG-030, Covert Channel Analysis of Trusted Systems (Light Pink Book) , 1993 z publikacji Rainbow Series Departamentu Obrony Stanów Zjednoczonych (DoD) .
^ 5200.28-STD , Trusted Computer System Evaluation Criteria (Orange Book) , 1985 Zarchiwizowane 2006-10-02 w Wayback Machine z publikacji DoD Rainbow Series .
^ DZIEWCZYNA, SZARY (luty 1987). „Ukryte kanały w sieciach LAN” . Transakcje IEEE dotyczące inżynierii oprogramowania . SE-13 (2): 292–296. doi : 10.1109/tse.1987.233153 . S2CID 3042941 . ProQuest 195596753 .
^ Ukrywanie danych w modelu sieciowym OSI Archived 2014-10-18 at the Wayback Machine , Theodore G. Handel i Maxwell T. Sandford II (2005)
^ Ukryte kanały w pakiecie protokołów TCP / IP zarchiwizowane 2012-10-23 w Wayback Machine , 1996 Artykuł Craiga Rowlanda na temat ukrytych kanałów w protokole TCP / IP z kodem potwierdzającym koncepcję.
Bibliografia _ Armitage, G.; Oddział, P. (2007). „Badanie tajnych kanałów i środków zaradczych w protokołach sieci komputerowych”. Ankiety i samouczki dotyczące komunikacji IEEE . IEEE. 9 (3): 44–57. doi : 10.1109/comst.2007.4317620 . hdl : 1959,3/40808 . ISSN 1553-877X . S2CID 15247126 .
^ Ukrywanie informacji w sieciach komunikacyjnych: podstawy, mechanizmy, zastosowania i środki zaradcze . Mazurczyk, Wojciech., Wendzel, Steffen., Zander, Sebastian., Houmansadr, Amir., Szczypiorski, Krzysztof. Hoboken, NJ: Wiley. 2016. ISBN 9781118861691 . OCLC 940438314 . {{ cite book }} : CS1 maint: other ( link )
^ Wendzel, Steffen; Zander, Sebastian; Fechner, Bernhard; Herdin, Christian (kwiecień 2015). „Badanie oparte na wzorcach i kategoryzacja technik sieciowych kanałów ukrytych”. Ankiety komputerowe ACM . 47 (3): 50:1–50:26. ar Xiv : 1406.2901 . doi : 10.1145/2684195 . ISSN 0360-0300 . S2CID 14654993 .
^ Kabuk, Serdar; Brodley, Carla E .; Tarcze, glina (kwiecień 2009). „Wykrywanie ukrytego kanału IP”. Transakcje ACM dotyczące bezpieczeństwa informacji i systemu . 12 (4): 22:1-22:29. CiteSeerX 10.1.1.320.8776 . doi : 10.1145/1513601.1513604 . ISSN 1094-9224 . S2CID 2462010 .

Dalsza lektura

Kanały czasowe wczesna eksploatacja kanału czasowego w Multics .
Narzędzie ukrytego kanału ukrywa dane w protokole IPv6 , SecurityFocus, 11 sierpnia 2006 r.
Raggo, Michael; Hosmer, Chet (2012). Ukrywanie danych: ujawnianie ukrytych danych w multimediach, systemach operacyjnych, urządzeniach mobilnych i protokołach sieciowych . Wydawnictwo Syngres. ISBN 978-1597497435 .
Lakshmanan, Ravie (2020-05-04). „Nowe złośliwe oprogramowanie przeskakuje urządzenia z przerwami powietrznymi, zamieniając zasilacze w głośniki” .
Otwarte zajęcia online na temat tajnych kanałów (GitHub)

Linki zewnętrzne

Gray-World - Zespół badawczy Open Source: Narzędzia i dokumenty
Centrum Operacyjne Sieci Steath - System Wsparcia Ukrytej Komunikacji

[1] Lampson, BW, Uwaga dotycząca problemu uwięzienia. Komunikaty ACM, 16 października 1973 r. (10): s. 613-615. [1]

[anderson72-2] Badanie planowania technologii bezpieczeństwa komputerowego (James P. Anderson, 1972)

[3] NCSC-TG-030, Covert Channel Analysis of Trusted Systems (Light Pink Book) , 1993 z publikacji Rainbow Series Departamentu Obrony Stanów Zjednoczonych (DoD) .

[4] 5200.28-STD , Trusted Computer System Evaluation Criteria (Orange Book) , 1985 Zarchiwizowane 2006-10-02 w Wayback Machine z publikacji DoD Rainbow Series .

[5] DZIEWCZYNA, SZARY (luty 1987). „Ukryte kanały w sieciach LAN” . Transakcje IEEE dotyczące inżynierii oprogramowania . SE-13 (2): 292–296. doi : 10.1109/tse.1987.233153 . S2CID 3042941 . ProQuest 195596753 .

[handelSandford-6] Ukrywanie danych w modelu sieciowym OSI Archived 2014-10-18 at the Wayback Machine , Theodore G. Handel i Maxwell T. Sandford II (2005)

[rowland-7] Ukryte kanały w pakiecie protokołów TCP / IP zarchiwizowane 2012-10-23 w Wayback Machine , 1996 Artykuł Craiga Rowlanda na temat ukrytych kanałów w protokole TCP / IP z kodem potwierdzającym koncepcję.

[8] Bibliografia _ Armitage, G.; Oddział, P. (2007). „Badanie tajnych kanałów i środków zaradczych w protokołach sieci komputerowych”. Ankiety i samouczki dotyczące komunikacji IEEE . IEEE. 9 (3): 44–57. doi : 10.1109/comst.2007.4317620 . hdl : 1959,3/40808 . ISSN 1553-877X . S2CID 15247126 .

[9] Ukrywanie informacji w sieciach komunikacyjnych: podstawy, mechanizmy, zastosowania i środki zaradcze . Mazurczyk, Wojciech., Wendzel, Steffen., Zander, Sebastian., Houmansadr, Amir., Szczypiorski, Krzysztof. Hoboken, NJ: Wiley. 2016. ISBN 9781118861691 . OCLC 940438314 . {{ cite book }} : CS1 maint: other ( link )

[10] Wendzel, Steffen; Zander, Sebastian; Fechner, Bernhard; Herdin, Christian (kwiecień 2015). „Badanie oparte na wzorcach i kategoryzacja technik sieciowych kanałów ukrytych”. Ankiety komputerowe ACM . 47 (3): 50:1–50:26. ar Xiv : 1406.2901 . doi : 10.1145/2684195 . ISSN 0360-0300 . S2CID 14654993 .

[11] Kabuk, Serdar; Brodley, Carla E .; Tarcze, glina (kwiecień 2009). „Wykrywanie ukrytego kanału IP”. Transakcje ACM dotyczące bezpieczeństwa informacji i systemu . 12 (4): 22:1-22:29. CiteSeerX 10.1.1.320.8776 . doi : 10.1145/1513601.1513604 . ISSN 1094-9224 . S2CID 2462010 .