Главная-Windows-Скрытые каналы. Скрытый канал

Скрытые каналы. Скрытый канал

Скрытый канал

Скрытый канал - это коммуникационный канал, пересылающий информацию методом, который изначально был для этого не предназначен.

Отличительные черты

Скрытый канал носит своё название в силу того факта, что он спрятан от систем разграничения доступа даже безопасных операционных систем, так как он не использует законные механизмы передачи, такие как чтение и запись, и потому не может быть обнаружен или проконтролирован аппаратными механизмами обеспечения безопасности, которые лежат в основе защищённых операционных систем. В реальных системах скрытый канал практически невозможно установить, и также его часто можно обнаружить с помощью наблюдения за быстродействием системы; кроме того, недостатками скрытых каналов являются низкое отношение сигнал/шум и низкие скорости передачи данных (порядка нескольких бит в секунду). Их также можно удалить с защищённых систем вручную с высокой степенью надёжности, если воспользоваться признанными стратегиями анализа скрытых каналов.

Скрытые каналы часто путают с использованием законных каналов, при котором происходит атака на псевдо-защищённые системы с низкой степенью доверенности, используя такие схемы как стеганография или даже менее сложные схемы, предназначенные для того, чтобы спрятать запрещённые объекты внутри объектов с легальной информацией. Подобные использования законных каналов с применением схем скрытия данных не являются скрытыми каналами и могут быть предотвращены доверенными системами с высокой степенью защищённости.

Скрытые каналы могут проходить сквозь защищённые операционные системы, и необходимы особые меры для их контроля. Единственным проверенным методом контроля скрытых каналов является так называемый анализ скрытых каналов. В то же время, защищённые операционные системы могут с лёгкостью предотвратить неверные (или незаконные) использования легальных каналов. Часто анализ легальных каналов на предмет скрытых объектов неверно представляют как единственную успешную меру против незаконного использования легальных каналов. Поскольку на практике это означает необходимость анализировать большое количество программного обеспечения, ещё в 1972 было показано что подобные меры неэффективны . Не зная этого, многие верят в то, что подобный анализ может помочь справиться с рисками, связанными с легальными каналами.

Стандарт TCSEC

Лэмпсоновское определение скрытого канала было перефразировано в TCSEC так, чтобы имелись в виду способы передачи информации от более защищённого уровня к менее защищённому. В среде разделённых вычислений сложно полностью отделить один процесс от эффектов, которые другой процесс мог оказать на операционную среду. Скрытый канал создаётся процессом-отправителем, который модулирует некоторое состояние (такое как свободное пространство, доступность некоторого сервиса, времени ожидания запуска и т. д.), которое может быть обнаружено процессом-получателем.

В Критериях определяют два вида скрытых каналов:

  • Скрытый канал памяти - процессы взаимодействуют благодаря тому, что один может прямо или косвенно записывать информацию в некоторую область памяти, а второй считывать. Обычно имеется в виду, что у процессов с разными уровнями безопасности имеется доступ к некоторому ресурсу (например, некоторые секторы диска).
  • Скрытый канал времени - один процесс посылает информацию другому, модулируя своё собственное использование системных ресурсов (например, процессорное время) таким образом, что эта операция воздействует на реальное время отклика, наблюдаемое вторым процессом.

Критерии, также известные как Оранжевая книга , требуют, чтобы анализ скрытых каналов памяти был классифицирован как требование для системы класса B2, а анализ скрытых каналов времени как требование для класса B3.

Устранение скрытых каналов

Возможность наличия скрытых каналов не может быть устранена полностью, но её можно существенно уменьшить аккуратным проектированием системы и её анализом.

Обнаружение скрытого канала может быть сделано более трудным при использовании характеристик среды передачи для легальных каналов, которые никогда не контролируются и не проверяются пользователями. Например, программа может открывать и закрывать файл особым, синхронизированным, образом, который может быть понят другим процессом как битовая последовательность, формируя таким образом скрытый канал. Так как маловероятно, что легальные пользователи будут пытаться найти схему в открытии и закрытии файлов, подобный тип скрытого канала может оставаться незамеченным в течение длительного времени.

Похожим случаем является технология «port knocking». Обычно при передаче информации распределение запросов во времени не важно, и за ним не наблюдают, но при использовании «port knocking» оно становится существенным.

Скрытие данных в модели OSI

Хэнделом и Сэнфордом была предпринята попытка расширить перспективу и сфокусироваться на скрытых каналах в общей модели сетевых протоколов. В качестве основы своих рассуждений они берут сетевую модель OSI и затем характеризуют элементы системы, которые возможно использовать для скрытия данных. У принятого подхода есть преимущества над подходом Хэндела и Сэнфорда, так как в последнем рассматриваются стандарты, противоположные некоторым используемым сетевым средам и архитектурам. Также не разработано надёжной схемы стенографирования.

Тем не менее, установлены общие принципы для скрытия данных на каждом из семи уровней модели OSI. Помимо того, что Хэндел и Сэнфорд предложили использовать зарезервированные поля заголовков протоколов (что легко обнаружимо), они также предположили возможность каналов по времени, касающуюся операции над CSMA/CD на физическом уровне.

Их работа определяет ценность скрытого канала по следующим параметрам:

  • Обнаружимость: Только у получателя, для которого предназначена передача, должна быть возможность производить измерения скрытого канала.
  • Неотличимость: Скрытый канал должен быть неидентифицируем.
  • Полоса пропускания: Количество битов скрытых данных за каждое использование канала.

Также был представлен анализ скрытых каналов, но он не рассматривает такие проблемы, как-то: взаимодействие с помощью упомянутых методов между сетевыми узлами, оценка ёмкости канала, эффект, который скрытие данных оказывает на сеть. Кроме того, применимость методов не может быть полностью оправдана на практике, так как модель OSI не существует как таковая в действующих системах.

Скрытие данных в среде ЛВС

Первым, кто проанализировал скрытые каналы в среде локальных сетей, был Гирлинг. Его работа фокусируется на локальных вычислительных сетях (ЛВС), в которых определяются три очевидных скрытых канала - два по памяти и один по времени. Это показывает реальные примеры возможных полос пропускания для простых скрытых каналов в ЛАС. Для особой среды ЛАС, автор ввёл понятие перехватчика, который наблюдает за действиями определённого передатчика в ЛВС. Стороны, осуществляющие скрытую передачу, - это передатчик и перехватчик. Скрытая информация, согласно Гирлингу, может быть передана любым из следующих способов:

  • Наблюдение за адресами, к которым обращается передатчик. Если количество адресов, к которым он может обращаться, равно 16, то существует возможность секретной передачи с размером секретного сообщения 4 бита. Автор отнёс эту возможность к скрытым каналам памяти, так как она зависит от посылаемого содержимого.
  • Другой очевидный скрытый канал полагается на размер кадра, посланного передатчиком. Если существует 256 различных размеров кадра, то количество секретной информации, полученной при расшифровке одного размера кадра, будет 8 бит. Этот канал также был отнесён автором к скрытым каналам памяти.
  • Третий, временной, способ полагается на разность между временами передачи. К примеру, нечётная разность будет означать «0», а чётная - «1». Время, необходимое для передачи блок данных, рассчитывается как функция от программной вычислительной скорости, скорости сети, размеров сетевого блока и затрат времени протокола. В предположении, что в ЛВС передаются блоки различных размеров, вычисляются средние программные затраты времени и также оценивается полоса пропускания скрытых каналов.

Скрытие данных в пакете протоколов TCP/IP

Более конкретный подход был предпринят Роулэндом. Сосредотачиваясь на IP и TCP заголовках пакета протоколов TCP/IP, Роулэнд выводит правильные методы кодирования и декодирования с использованием поля идентификации IP и TCP-поля начального номера последовательности и номера последовательности подтверждения. Эти методы реализованы в простом приложении, написанном для Linux-систем, работающих на ядре версии 2.0.

Роулэнд просто доказывает саму идею существования скрытых каналов в TCP/IP, а также их использования. Соответственно, его работу можно оценивать как практический прорыв в этой сфере. Принятые им методы кодирования и декодирования более прагматичны по сравнению с ранее предложенными работами. Эти методы проанализированы с учётом механизмов безопасности, таких как преобразование сетевых адресов брандмауэром.

Тем не менее, необнаружимость этих методов скрытой передачи стоит под вопросом. Например, в случае когда производятся операции над полем номера последовательности TCP-заголовка, принята схема, в которой алфавит каждый раз скрытно передаётся, но тем не менее кодируется одним и тем же номером последовательности.

Более того, использование поля номера последовательности, так же, как и поля подтверждения, нельзя осуществлять с привязкой к ASCII -кодировке английского алфавита, как это предложено, так как оба поля учитывают получение байтов данных, относящихся с определённым сетевым пакетам.

У скрытия данных в пакете протоколов TCP/IP существуют следующие важные аспекты:

  • Идентифицируются скрытые каналы в сетевой среде.
  • Получаются удовлетворительные методы кодирования и декодирования у отправителя и получателя, соответственно.
  • Не учитывается эффект использования сети скрытых коммуникаций в целом.

Примечания

См. также

Ссылки

  • Gray-World - Команда разработчиков Gray-World: Программы и Статьи
  • Steath Network Operations Centre - Система поддержки скрытой связи
  • IT-стандарты

    • В настоящее время все источники, освещающие вопросы информационной безопасности, содержат сведения раскрытые г-ном Сноуденом о скрытых каналах получения информации и умышленно внедряемых в различные технические средства АНБ устройствах негласного доступа к информации (получения, съема).
    А что же у нас в стране с решением данной проблемы? Анализируя современную отечественную нормативную базу, можно выделить следующие документы, регламентирующие вопросы выявления и борьбы со скрытыми каналами:
    ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения»;
    ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».

    В соответствии с ГОСТами определен термин «скрытый канал» – это непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности.
    С помощью скрытых каналов могут быть реализованы следующие нарушения политики безопасности:

    • Угроза внедрения вредоносных программ и данных .
    • Угроза подачи нарушителем команд агентом для выполнения его функций .
    • Угроза утечки криптографических ключей, паролей (несанкционированный доступ к ним) или отдельных информационных объектов .
    Интерпретированная модель функционирования скрытого канала представлена на рисунке (из ГОСТР 53113.2-2009):


    Создание скрытого канала и осуществление воздействия нарушителя на защищаемые информационные ресурсы в соответствии с приведенной моделью осуществляется следующим порядком:

    • 1. В режиме штатного функционирования работа с защищаемыми информационными ресурсами проводится в установленном порядке, субъекты, имеющие санкционированный доступ к ним, осуществляют обработку в соответствии с установленными правилами разграничения доступа. Инспектор отображает отсутствие нарушений политики безопасности.
    • 2. В составе средства обработки защищаемых информационных ресурсов присутствуют заранее злонамеренно внедренный агент нарушителя безопасности, который не проявляет своей активности и ни каким образом не обнаруживает своего присутствия в данной ИТ (АС).
    • 3. В необходимый для нарушителя момент времени агенту от нарушителя безопасности подается команда на активацию и выполнение своей функциональной нагрузки. Команда может быть подана как по штатным каналам связи ИТ (АС), в случаи наличия возможности такого подключения (например через Интернет), так и дистанционно (например с использованием радиоканалов), при наличии такой возможности у агента нарушителя.
    • 4. Внедренный агент нарушителя безопасности реализует свою функциональную нагрузку, при этом канал информационного взаимодействия между нарушителем и внедренным агентом может быть скрыт от инспектора.
    • 5. После достижения поставленной задачи работа агента завершается самостоятельно или по команде нарушителя.
    В качестве практической реализации подобного подхода, на базе материалов, опубликованных Сноуденом (http://freesnowden.is/2013/12/31/ant-product-data/), в пример можно привести программное средство IRONCHEF, функционирующее на базе аппаратных закладок типов COTTONMOUTH-I (II, III), реализованные устройствами HOWLERMONKEY и TRINITY (можно сказать, «классическое» построение скрытого канала).
    Как же проводить работу по выявлению скрытых каналов?
    С точки зрения «теории» процесс выявления скрытого канала включает в себя следующие действия:

    1. Оценка архитектуры исследуемой системы и имеющихся в ней коммуникационных каналов (рассмотрению подлежат как существующие, так и потенциальные каналы). Оценка архитектуры системы подразумевает выявление всех имеющихся в ней каналов связи (информационного взаимодействия) и анализ взаимодействия ее компонентов на предмет потенциального использования их для организации скрытого канала. В результате проведения такого анализа должны быть выявлены компоненты системы, в которых потенциально могут быть использованы скрытые каналы.
    2. Выявление возможных путей обмена скрытой информацией между нарушителем и его предполагаемым агентом в системе.Данная работа выполняется на основании общей схемы модели функционирования скрытого канала. Следует для каждого из защищаемых активов выявить, какие субъекты имеют к ним доступ и при этом изолированы от внешней среды, но имеют возможность взаимодействовать с отдельными субъектами из внешней среды (при этом необходимо учитывать, что подобного рода взаимодействие контролируется владельцем активов и может наблюдаться потенциальным нарушителем).
    3. Оценка опасности выявленных скрытых каналов для защищаемых активов организации. После выявления скрытых каналов следует оценить, насколько они реализуемы и опасны для защищаемых активов организации. Для проведения оценки наиболее критичными показателями являются: объем активов, предполагаемая пропускная способность скрытого канала и временной интервал, в течение которого активы сохраняют ценность. Все параметры поддаются числовому исчислению и могут быть использованы в соответствующих аналитических отчетах. На основании этой оценки каналы, не предоставляющие реальной опасности для активов, признаются неопасными.
    4. Принятие решения о целесообразности противодействия каждому из выявленных скрытых каналов (минимизации уровня риска).

    В качестве защитных мероприятий предлагается использовать:

    • снижение/ограничение пропускной способности канала передачи информации (касательно скрытых каналов);
    • архитектурные решения построения системы;
    • мониторинг эффективности защиты системы.
    При этом необходимо заметить, что выбор методов противодействия угрозам, реализуемым с использованием скрытых каналов определяется, исходя из индивидуальных особенностей той или иной защищаемой системы (топология построения системы, используемых протоколов информационного взаимодействия, особенностей расположения элементов системы и их взаимодействия между собой, выбираемых телекоммуникационных средств и средств защиты информации).
    В завершении хотелось бы обратиться к методам выявления скрытых каналов. Согласно ГОСТ предлагается два метода:
    • статистический метод;
    • сигнатурный метод.
    Статистический метод выявления скрытых каналов подразумевает сбор статистических данных о пакетах, проходящих через защищаемый участок сети, без внесения в них каких-либо изменений. При этом выявление скрытых каналов может проводиться как в режиме реального времени, так и автономно, используя данные, накопленные за предыдущие отрезки времени.
    Метод выявления скрытых каналов на основе сигнатурного анализа аналогичен способу, используемому антивирусным ПО для поиска вредоносных программ. При наличии набора известных реализаций скрытых каналов, для каждой из них формируется сигнатура. В потоке данных проводится поиск таких сигнатур. По результатам этой работы делается вывод об отсутствии или наличии скрытых каналов в системе и варианте его реализации.
    Таким образом, подводя итоги, можно заявить, что мы получаем новый виток информационного противостояния «нарушитель - администратор безопасности», который вносит в нашу жизнь как новые технологии и методы нападения, так и новые средства и методы защиты.
    Завершить статью хотелось бы такими размышлениями:
    Что если мы взглянем на материалы, раскрытые Сноуденом, вот под каким углом. В последнее время появился целый ряд автоматизированных систем, для которых обеспечение конфиденциальности вообще не является приоритетом, например автоматизированные системы управления производственным и технологическим процессом. Нарушение доступности и работоспособности такой системы может привести даже к более тяжелым последствиям для государства или, чем утечка конфиденциальной или секретной информации. Отягчающим является ещё и то, что подавляющее большинство элементной базы для таких систем производится и поставляется из-за границы, а провести полный комплекс мероприятий по поиску возможных скрытых каналов и закладных устройств, для всего перечня ввозимых элементов, невозможно технически. А как стало известно, технические средства иностранного производства могут быть полны неприятных «сюрпризов».
    Нельзя обойти стороной и повсеместное развитие сети Интернет, и использование её как транспорта для связи различных корпоративных и промышленных сетей, что автоматически позволяет внешнему злоумышленнику получить управляющий доступ к внедренному закладному устройство или модулю.
    Есть над чем думать и работать. Вопрос выявления скрытых каналов в автоматизированных системах организаций становится злободневным, вне зависимости от уровня организации и ее формы собственности. Тайна и является тайной, потому что ее знает ограниченный круг лиц. Плюс к этому можно добавить наличие (получение) негативных эмоций, когда кто-то злоумышленно наносит ущерб Вашей информационной инфраструктуре, в защищенности которой Вы были уверены. И испорченное настроение не самое страшное, если при этом может пострадать бизнес-процесс в организации.

    Скрытый канал (Covert channels) - это непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности информации.

    Впервые понятие скрытого канала введено автором B. W. Lampson в работе «A Note on the Confinement Problem»: скрытый канал - это канал связи (коммуникационный канал), изначально не предназначенный для передачи информации, нарушающий установленную политику безопасности информации .

    Существование скрытого канала в системе представляет собой серьезную угрозу безопасности, так как факт передачи информации по скрытому каналу нельзя выявить стандартными методами защиты информации. Информация по скрытому каналу передается способом, не предполагаемым разработчиками данной автоматизированной системы как способ передачи информации.

    Contents

    Определение скрытого канала через информационные потоки

    Допустим, пользователь П1 записал информацию И в документ Д, а пользователь П2 ее прочитал. Таким образом, согласно имеется два информационных потока: информационный поток от П1 к Д, созданный при помощи операции записи и информационный поток от Д к П2, созданный при помощи операции чтения. Информационные потоки в системе разделяют на два непересекающихся подмножества: разрешенные и неразрешенные. Таким образом, политика безопасности информации должна содействовать реализации разрешенных потоков и ограничивать реализацию неразрешенных потоков. Тогда под скрытым каналом понимается запрещенный информационный поток, не выявляемый системой защиты [Т02] .

    Таким образом, передача информации по скрытому каналу подразумевает использование негласных особенностей автоматизированной системы.

    Схема механизма функционирования скрытого канала в автоматизированной системе

    На рисунке представлена схема механизма функционирования скрытого канала в автоматизированной системе, описанная в [ГОСТ Р 53113.2-2009] , где цифрами обозначены:

    • элемент 1 - нарушитель безопасности (злоумышленник), целью которого является НСД к информации ограниченного доступа либо несанкционированное влияние на АС;
    • элемент 2 - информация ограниченного доступа либо критически важная функция;
    • элемент 3 - субъект, имеющий санкционированный доступ к 2 и 5;
    • элемент 3’ - агент нарушителя безопасности, находящийся в замкнутом контуре с 2 и взаимодействующий с 2 от имени субъекта 3;
    • элемент 4 - инспектор (программное, программно-аппаратное, аппаратное средство или лицо), контролирующий информационное взаимодействие 3, пересекающее замкнутый контур, отделяющий объект информатизации от внешней среды;
    • элемент 5 - субъект, находящийся вне замкнутого контура, с которым 3 осуществляет санкционированное информационное взаимодействие.

    Схема механизма функционирования скрытого канала в автоматизированной системе

    Систематизация скрытых каналов

    Скрытые каналы по механизму передачи информации делятся на:

    • скрытые каналы по памяти;
    • скрытые каналы по времени;
    • скрытые статистические каналы.

    Скрытые каналы по памяти

    Скрытые каналы по памяти основаны на наличии памяти, в которую передающий субъект записывает информацию, а принимающий - считывает ее [ГОСТ Р 53113.1-2008] . Совокупность всех видимых нарушителю объектов называют видимым пространством наблюдателя [М08] . Тогда скрытые каналы по памяти предполагают внесение изменений в видимое пространство наблюдателя, поэтому передаваемую информацию можно считать пространственной.

    Например, известен следующий скрытый канал по времени [Т02] : две ЭВМ подсоединены к общему ресурсу ПЗУ, при этом другие связи между данными машинами отсутствуют. На обе ЭВМ установлены закладки. Закладка на одной ЭВМ при нажатии клавиш клавиатуры модулирует времена занятости библиотеки ПЗУ, в то время как закладка на другой сканирует время занятости библиотеки запросами к ней. При помощи модуляции интервалов библиотеки ПЗУ можно передавать информацию, формируя скрытый канал по времени.

    Аналогично, можно использовать время занятости центрального процессора [Т02] . Таким образом, одна длина промежутка времени занятости кодируется нулем, другая - единицей. Также, могут использоваться промежутки времени между обращениями к центральному процессору.

    Также скрытые каналы по памяти и по времени можно разделить по принципу того, что фиксирует внешний нарушитель [М08] :

    • если он фиксирует какое-то значение, то канал можно описать как параметрический, данные скрытые каналы в [ГОСТ Р 53113.1-2008] назвали скрытыми каналами по памяти;
    • если он фиксирует какое-то событие, то канал можно описать как событийный, данные скрытые каналы в [ГОСТ Р 53113.1-2008] назвали скрытыми каналами по времени.

    Скрытый статистический канал

    Скрытый статистический канал использует для передачи информации изменение параметров распределений вероятностей любых характеристик системы, которые могут рассматриваться как случайные и описываться вероятностно-статистическими моделями [ГОСТ Р 53113.1-2008] .

    Классификация скрытых каналов по характеристикам информационного потока

    Также можно классифицировать скрытые каналы по характеристикам информационного потока. По данному принципу скрытые каналы разделяют на прямые и не прямые [М08] :

    • если создается один информационный поток от отправителя к получателю, то скрытый канал называется прямым;
    • если создается несколько информационных потоков, то скрытый канал называется непрямым.

    Например, в системе из двух ЭВМ и ПЗУ, описанной выше, создается непрямой скрытый канал, так как имеют место два информационных потока - от одной ЭВМ к ПЗУ и от ПЗУ ко второй ЭВМ.

    Классификация каналов по пропускной способности

    По наличию ошибок скрытые каналы разделяют на каналы с шумом и без шума [АрКо13] :

    • скрытые каналы без шума;
    • скрытые каналы с шумом.

    Первый тип каналов это каналы без ошибок, то есть вероятность верного распознавания отправленного символа равна единице; для таких каналов I(X,Y)=I(X) , где I - средняя взаимная информация, X - случайная величина, описывающая входные характеристики канала, Y - случайная величина, описывающая выходные характеристики канала.

    Второй тип каналов это каналы с ошибками. Например, существуют так называемые Z-каналы [ЕпКо12] .

    Это бинарные скрытые каналы, в которых «0» передается верно с вероятностью, равной единице, а «1» передается с вероятностью p < 1, q = 1 – p .

    Схема передачи информации по Z-каналу

    Например, скрытый канал по памяти, описанный выше, в котором информация передается путем создания файла, будет являться каналом с шумом, если возможность создания файла есть не только у закладки, но и у других процессов.

    Скрытые каналы в IP-сетях

    В данном разделе исследованы негласные возможности протокола , которые могут быть использованы для построения скрытых каналов.

    На первом этапе инициирующая TCP -соединение сторона А устанавливает флаг SYN и выбирает произвольное 32-битное значение ISN , обозначим ISNa, содержащееся в поле SEQ. На данном этапе флаг ACK установлен в ноль и значение поля ACK не проверяется.

    На втором этапе, если сторона В согласна установить соединение, то она отправляет дейтаграмму с установленным флагом ACK и значением ISN , равным (ISNa+1), содержащемся в поле ACK . Также В устанавливает флаг SYN и записывает ISNb в поле SEQ.

    На третьем этапе А, получив подтверждение, устанавливает ACK и передает дейтаграмму, где в поле ACK содержится значение (ISNb+1). После установления соединения дейтаграммы передаются с флагами SYN , равным нулю и ACK , равным единице.

    Значения, выбираемые сторонами А и В на первом и втором этапах установления TCP -соединения не определены спецификацией протокола и могут быть использованы для скрытой передачи информации.

    Другой пример связан с полями заголовка пакета . В нем есть шестнадцатибитное поле , генерируемое операционной системой случайным образом и используемое для идентификации пакета , то есть, для сборки пакета в случае его фрагментации. Каждый фрагмент получает одинаковый идентификатор. Если нет фрагментации, то значение поля равно нулю. Строгих правил, определяющих политику генерации идентификатора, в спецификации протокола нет. Это также дает возможности по созданию скрытого канала, модифицируя поле [С07] . Однако полезной информацией будет занято не все 16 бит, так как несколько бит выделяется для определения того, содержит ли данный пакет скрытую информацию путем вычисления контрольной суммы от оставшихся бит. Также часть битов используется для нумерации пакетов , так как порядок следования -пакетов в общем случае не совпадает с порядком их отправки. Для не обнаруживаемости скрытого канала необходимо, чтобы значение поля было уникальным и выглядело случайным.

    Существуют возможности для построения скрытых каналов, модифицируя поле TOS, состоящее из восьми бит . В данном поле последние два бита не используются и могут служить для негласной передачи информации. На практике многие маршрутизаторы игнорируют значение данного поля, следовательно, для передачи скрытой информации могут служить все 8 бит.

    Существует возможность скрыто передавать информацию в поле TTL . Определяется диапазон значений поля TTL , соответствующий единице, и диапазон значений, соответствующий нулю. В начальный момент времени нельзя передавать долгие последовательности, состоящие только из нулей или только из единиц, так как получателю необходимо понять разброс значений для определения, в каком диапазоне находятся ноль и единица. Пропускная способность данного канала равно одному биту на пакет .

    Представленные выше скрытые каналы попадают в первую категорию.

    Примером скрытых каналов, попадающих во вторую категорию, может служить передача информации в поле ACK, которое не проверяется на первом этапе установления TCP соединения.

    Также существует способ построения скрытого канала, используя информацию в поле checksum . Используются расширения полей заголовка, заполняемые таким образом, чтобы получить требуемое значение в поле checksum. Более того, в качестве заполнения расширений полей заголовка можно также использовать скрытую информацию. Данный подход к построению скрытого канала попадает в третью категорию.

    В качестве примера скрытых каналов, попадающих в четвертую категорию, рассмотрим скрытый канал в протоколе IPv6 . В данном протоколе расширенный заголовок Destination Options нужен для передачи дополнительных опций конечным узлам. Если значение поля установлено таким образом, что получатель игнорирует значение заголовка, то скрытая информация может быть передана под видом данных, содержащихся в данном заголовке.

    Скрытые каналы, основанные на модификации данных в теле передаваемых пакетов

    В данном случае скрытая информация передается в поле «Данные» передаваемого пакета . Так как в качестве контейнера для передачи информации используется поле «Данные», содержащее в себе информационное наполнение пакета , то данный вид скрытых каналов в работе не исследуется.

    Скрытые каналы, основанные на изменении длин передаваемых пакетов

    Чтобы создать подобные скрытые каналы, нарушителю необходимо иметь одну или несколько из следующих возможностей [М12] :

    • возможность изменять длину любого пакета ;
    • возможность формировать собственные ложные -пакеты произвольной длины, то есть генерировать собственный фиктивный трафик;
    • возможность буферизовать все пакеты , подлежащие передаче из внутренней или внешней сети, и передавать их по каналу в заранее определенный момент времени.

    Ниже приведена одна из возможных моделей скрытого канала по памяти, основанного на изменении длин передаваемых пакетов , предлагаемая авторами .

    Пусть L - максимальная длина пакета в битах. Предлагается разбить отрезок на L/n диапазонов, где n - параметр скрытого канала, n|L. Пусть нарушитель имеет алфавит из L/n символов, тогда для отправки символа с номером , злоумышленник посылает пакет , длина l которого удовлетворяет неравенству . Пропускная способность такого канала при отсутствии противодействия равна бит на пакет . При этом, при равновероятном распределении символов алфавита, используемого нарушителем, и случайном равновероятном выборе длины пакета из необходимого диапазона, при передаче информации по скрытому каналу индуцируется равномерное распределение длин пакетов , что позволяет считать такую модель скрытого канала стойкой к обнаружению.

    Шаги два и три гарантируют, что распределение длин передаваемых пакетов схоже с распределением длин пакетов при отсутствии скрытого канала. Для усложнения обнаружения скрытого канала А периодически отправляет В избыточные пакеты необходимых длин.

    Замечания:

    Время передачи сообщения по данному каналу T рассчитывается по формуле:

    где T - время передачи сообщения, S - время, используемое программным обеспечением в зависимости от размера сообщения, B - размер передаваемого сообщения, N - добавочный размер за счет используемого сетевого протокола , V - скорость передачи данных по сети.

    Пропускная способность данного канала рассчитывается по формуле: где - число скрытых в каждом сообщении бит. Такая оценка помогает определиться с выбором w. При этом авторы усовершенствовали данный алгоритм, расширев его до тринадцати шагов, что обеспечивает повышенную пропускную способность и стойкость к обнаружению.

    Впервые понятие скрытого канала было введено в работе Лэмпсона "A Note of the Confinement Problem" в 1973 году. Канал является скрытым, если он не проектировался, не предполагался для передачи информации в электронной системе обработки данных. Иными словами, это некий способ скрытой (замаскированной) несанкционированной передачи информации стороннему лицу, нарушающий системную политику безопасности. При этом для организации передачи данных могут использоваться атрибуты, не предназначенные для этого: задержки между регистрируемыми событиями, порядок следования сообщений, длины передаваемых блоков данных и т.п.

    Классификация скрытых каналов:

    Ø Передача информации в именах файлов (примером является возможность показа на низком уровне названий и атрибутов директорий и файлов, созданных на верхнем уровне).

    Ø Передача информации в настройках общих ресурсов (кодирование информации в сохраняемых настройках каких-либо ресурсов общего пользования субъектов Высокого и низкого уровней, когда настройки произведенные на Высоком уровне, доступны наблюдению на низком уровне и, следовательно, могут нести информацию, выраженную заранее условленным кодом).

    При этом особо выделяются "потайные" каналы (subliminal channels) – нестандартные способы передачи информации по легальным каналам, например, электронной почте.

    Для организации “скрытых каналов” используется как штатное программное обеспечение, так и специально созданное вредоносное ПО. Создателем скрытого канала может выступать как злоумышленник, находящийся вне организации и реализующий атаку удаленно, так и инсайдер. Администратор также может быть соучастником в организации подобной атаки, поскольку кто как не он знает все слабые места и уязвимости в защите сети. Лучшего сообщника трудно себе представить.

    Допустим, системный администратор, работающий в крупной корпорации со строгим разграничением прав доступа и внедрённой политикой информационной безопасности может не иметь доступ к информации о клиентах, суммах контрактов или стратегическим планам развития компании. Однако, занимаясь проектированием или оптимизацией определенных участков сети, он может предусмотреть способ получения интересующих его сведений, создав закладки или оставив специальные "пробелы" - уязвимости сети, которыми при случае он сможет воспользоваться, сведя риск быть обнаруженным к минимуму.

    Находясь внутри системы, программа-шпион способна скрытым способом установить связь со своим автором и передавать ему требуемые сведения. Атаки с использованием скрытых каналов всегда приводят к нарушениям конфиденциальности информации и в крайне редких случаях кто-либо пойдет на этот шаг ради удовлетворения личных амбиций. Чаще всего, это заказные адресные и тщательно подготовленные мероприятия.



    Используя скрытые каналы передачи данных, "удаленный" злоумышленник может преследовать цель организовать управление информационной сетью извне, превратив её в бот. Все те, кто так или иначе связан с ИТ и информационной безопасностью прекрасно знают о том, что производители софта достаточно часто сами используют "программные закладки", о чем красноречиво свидетельствует немало скандалов в прессе по обвинению разработчиков во встраивании руткит - технологий. При этом даже применение всех известных мер защиты межсетевого экранирования не помешает внешнему нарушителю использовать эти уязвимости, маскируя свои действия при помощи "скрытых каналов ".

    1.1 Дискреционный контроль доступа.

    1.2 Мандатный контроль доступа.

    1.3 Модель контроля целостности Биба.

    1.4 Ролевой контроль доступа.

    1.5 Модель невмешательства.

    1.6 Модель невыводимости.

    2 Постановка задачи повышения эффективности борьбы со скрытыми логическими каналами в распределенной среде

    2.1 Современные подходы к реализации распределенных систем

    2.2 Определение и классификация скрытых логических каналов

    2.3 Основные характеристики скрытых логических каналов

    2.4 Причины возникновения скрытых логических каналов

    2.5 Идентификация скрытых логических каналов

    2.6 Парирование скрытых логических каналов утечки данных

    2.7 Требования нормативных документов по защите от скрытых логических каналов.

    3 Принципы исследования скрытых логических каналов

    3.1 Факторы влияющие на пропускную способность.

    3.2 Определение пропускной способности скрытых каналов.

    4 Анализ скрытых логических каналов в распределенной среде и разработка методики защиты

    4.1 Разработка гибридной формальной субъектно - объектной модели распределенной вычислительной системы.

    4.2 Построение модели скрытого логического канала в распределенной среде.

    4.3 Исследование модели скрытого логического канала.

    4.4 Разработка метода парирования скрытого логического канала

    4.5 Разработка средства защиты.

    4.6 Эксперимент

    4.7 Внедрение.

    5 Заключение

    Введение диссертации (часть автореферата) на тему "Защита данных от утечки по скрытым логическим каналам в телекоммуникационных сетях"

    При проектировании современных телекоммуникационных сетей всегда остро стоит задача обеспечения их информационной безопасности. При этом решения в некоторых случаях являются настолько сложными и дорогостоящими, что для эффективного управления информационными потоками выполняется разделение архитектуры сетей по специальным, так называемым, профилям защищенности, которые указывают на степень решения этой задачи и оптимизацию на защиту от некоторого заранее определенного разработчиками перечня угроз.

    Развивающаяся наука и техника предъявляют совершенно новые требования к телекоммуникационным сетям. При этом, удовлетворение большинства из требований уже не может выполняться в ограничениях этих заранее определенных профилей, так как развитие единой информационной среды Интернет, а также повсеместное внедрение информационных технологий в большинство технологических процессов, уже не позволяют рассматривать информацию как пассивную сущность с четким местом ее возникновения, обработки и хранения. Появление большого числа новых форматов данных, а также на несколько порядков возросшие скорости передачи информации сильно затрудняют ее анализ и требуют качественно новых подходов даже при использовании классических методов в обеспечении безопасности. Более того, современные методы обработки и обмена информацией в телекоммуникационных сетях создают новые риски, которые ранее не рассматривались как угрозы безопасности или их реализация прежде считалась невозможной.

    В настоящее время особенно актуальны обозначенные проблемы при создании распределенных сетей. Так как в результате указанные проблемы проявляются в виде угроз качественно нового уровня. Они характеризуются чрезвычайно высокой сложностью при обнаружении и борьбе с ними в виду тесной интеграции компонентов систем между собой и соответственно значительно возросшей сложностью разделения уровней секретности. В результате даже небольшое повышение уровня защиты требует серьезного совершенствования подходов к обеспечению безопасности и научном обосновании принимаемых решений.

    К способам реализации угроз качественно нового уровня часто относят скрытые логические каналы передачи информации. Традиционно, вопросы их исследования и разработки методов противодействия рассматривались в основном только применительно к автономным системам в контексте обеспечения конфиденциальности, целостности и доступности локально обрабатываемой информации. И поэтому в настоящее время известные способы защиты телекоммуникационных сетей в недостаточной степени учитывают многочисленные факторы и особенности взаимного влияния различных удаленных друг от друга компонентов. При этом, получаемые решения по обеспечению безопасности, основанные на использовании классических подходов, во многом являются частными и в виду их ориентации на индивидуальные особенности конкретной телекоммуникационной сети оказываются сложно переносимыми и весьма ограниченными в применении. Это обстоятельство ставит также задачу изменения подхода и к используемым моделям, вынуждая их становиться более масштабными и формальными, но тем не менее сохраняющими высокую степень адекватности в различных аспектах их применения.

    Угрозы со стороны скрытых логических каналов направленны на нарушение конфиденциальности информации.

    Современные методы защиты и требования нормативных документов, основанные на разделении всего спектра угроз по уровням безопасности, позволяют решить проблемы нарушения конфиденциальности информации и угроз от скрытых логических каналов лишь в общем виде, при этом сильно ограничивая функциональные возможности защищаемой сети. Это особенно остро ставит, помимо вышеуказанных, также разработки эффективных путей развития архитектуры сетей и выработки комплексных мер противодействия реализации угроз нового уровня.

    Целью работы является определение методов и создание средства защиты от утечки данных по скрытым логическим каналам и повышение эффективности борьбы с угрозой нарушения конфиденциальности информации в распределенных телекоммуникационных сетях.

    Предмет исследования - скрытые логические каналы несанкционированного доступа к ресурсам информационных сетей.

    Объектом исследования данной работы является распределенная телекоммуникационная сеть.

    Методы исследований примененные в данной работе для решения поставленных задач и анализа результатов эксперимента относятся к описанию модели безопасности Белла - ЛаПадула, синтаксического анализа потоков данных, анализа систем на невыводимость и невмешательство, методы построения матрицы разделяемых ресурсов, дискретной математики, теории вероятностей и математической статистики, теории множеств, теории графов и формальной логики. Помимо этого, для разработки программного обеспечения использовались методы построения конечных алгоритмов.

    Научная новизна работы заключается в следующем:

    На основе анализа разнородной информации о скрытых логических каналах создана классификация информационных угроз в телекоммуникационных сетях;

    Создана методика исследования и обнаружения скрытых логических каналов в распределенных системах, основанная на использовании новых информационных моделей невыводимости и. невмешательства;

    Разработан новый метод и алгоритм защиты от утечек информации по скрытым логическим каналам, использующим линии передачи данных в качестве разделяемого ресурса.

    Достоверность результатов исследований обусловлена использованием в работе широко известных и признанных моделей невыводимости и невмешательства, апробированного математического аппарата, логической обоснованностью выводов, а также результатами экспериментальных исследований.

    Практическая значимость исследования выражается в том, что на основе предложенных в работе моделей и методики защиты было разработано специальное программное обеспечение для тестирования сети с целью определения уровня угрозы со стороны скрытых логических каналов, а также законченное средство защиты информации позволяющее эффективно решать проблему парирования утечки данных по скрытым логическим каналам в сетях общего доступа. Разработаны рекомендации по быстрому внедрению средства защиты и его использованию на маршрутизаторах работающих под управлением операционной системы Linux. Разработанное программное обеспечение может быть полезно в различных отраслях промышленности и бизнеса, в организациях где реализуются меры противодействия компьютерной разведки, или же к защите информации предъявляются достаточно жесткие требования, а ее обработка ведется в распределенных телекоммуникационных сетях.

    Среди областей применения средства защиты можно отметить различные территориально распределенные системы сбора и обработки информации а также стремительно набирающие популярность системы облачных вычислений, а также платежные системы.

    Основные положения выносимые на защиту:

    Среди многих каналов для реализации информационных атак возможна организация скрытого логического канала, использующего в качестве разделяемого ресурса канал сети передачи данных с методом доступа CSMA/CD;

    Среди множества используемых характеристик уровня угроз несанкционированного доступа по скрытому логическому каналу, универсальной характеристикой уровня опасности должен служить критический уровень пропускной способности;

    Для парирования угроз несанкционированного доступа по скрытым логическим каналам должна использоваться псевдослучайная нормализующая последовательность трафика;

    Средство парирования угроз несанкционированного доступа по скрытым логическим каналам не влияет на скорость передачи данных по каналу легального доступа.

    Структура работы

    Работа состоит из четырех глав, введения, заключения, списка литературы и трех приложений.

    В главе 1 приведен обзор традиционных методов и технологий защиты информации проведенный на основе и включающий в себя анализ дискреционной, мандатной и ролевой модели контроля и управления доступом, а также обеспечения целостности информации. Кроме этого, был проведен анализ моделей невыводимости и невмешательства используемых для изучения скрытых логических каналов.

    В главе 2 был выполнен анализ технологий применяемых при построении современных распределенных вычислительных сетей, выявлены характерные недостатки их защиты. Проведено подробное исследование скрытых логических каналов, рассмотрены различные методы поиска и противодействия скрытым логическим каналам, а также проанализирована эффективность рассмотренных методов. На этой основе была сформулирована задача повышения эффективности защиты распределенных систем.

    В главе 3 были рассмотрены специальные методы анализа скрытых логических каналов и расчета их точной пропускной способности необходимой для проведения дальнейших исследований.

    В главе 4 была построена и исследована на безопасность модель распределенной вычислительной системы, в которой был проведен поиск скрытых логических каналов. Кроме этого, было проведено специальное исследование найденного скрытого логического канала и определен круг и уровень угроз этой уязвимости, выполнен анализ возможности применения рекомендаций нормативных документов и на основании чего была предложена эффективная методика борьбы со скрытым логическим каналом разработанная на основе моделей невыводимости и невмешательства, а также предложена реализация средства защиты.

    Заключение диссертации по теме "Системы, сети и устройства телекоммуникаций", Усов, Павел Андреевич

    5 Заключение

    На основании приведенного в первой главе обзора традиционных моделей безопасности и их сравнительного анализа были выявлены их особенности и недостатки приводящие к реализации скрытых логических каналов утечки информации. В результате был сделан вывод, что нарушение безопасности модели с их помощью является целесообразным только в случае применения недискреционных политик. При этом, в самих формулировках таких политик аспекты защиты от скрытых логических каналов никак не оговариваются.

    Для защиты от этой угрозы были разработаны информационные модели невмешательства и невыводимости, которые могут применяться для защиты конфиденциальной информации наряду с традиционными политиками безопасности. Однако, эти модели наряду с рассмотренными методами поиска скрытых логических каналов требуют чрезвычайно сложного анализа всей системы в целом, что сильно ограничивает возможности их практического использования, и как правило, их применение ограничивается исключительно областью научных исследований.

    Перед исследованиями выполненными в рамках данной работы была поставлена цель проведения анализа использования скрытых логических каналов передачи данных в распределенных вычислительных системах и повышения эффективности борьбы с ними.

    Обзор методов исследования скрытых логических каналов и средств борьбы показал, что методы защиты налагают множество ограничений на работу защищаемой информационной системы, как правило, значительно ухудшают ее функциональные возможности и характеристики. Поэтому был сделан вывод, что повышение эффективности борьбы со скрытыми логическими каналами можно достигнуть путем разработки нового метода защиты лишенного недостатков свойственных общепринятым подходам к этой проблеме.

    Для решения поставленной задачи с целью поиска скрытых логических каналов и формирования теоретической базы для обоснования методов борьбы с ними была составлена обобщенная субъектно - объектная модель распределенной системы, сформулирована формальная политика безопасности и выполнена проверка ее целостности для заданного множества допустимых операций.

    Исследование предложенной модели было произведено при помощи метода БЯМ, в результате чего, на основе анализа построенной матрицы разделяемых ресурсов, было выявлено множество характерных для распределенных систем скрытых логических каналов и определены конкретные причины приводящие к их реализации. Кроме этого, локализация обнаруженных проблем показала, что причины появления обнаруженных скрытых логических каналов сводятся к наличию в модели единственного разделяемого ресурса представляющего собой линию связи сети общего пользования.

    Результатом проведенного исследования явилось построение модели такого скрытого логического канала включающей в себя точный алгоритм передачи по нему информации.

    Для определения круга угроз был выполнен анализ моделей скрытого логического канала и распределенной системы с точки зрения информационных моделей невыводимости и невмешательства. При этом, угроза выводимости была охарактеризована как незначительная, поскольку она проявлялась лишь как частный случай. В то же время, вмешательство наблюдалось достаточно отчетливо и поэтому был сделан вывод о необходимости оценки его уровня.

    Чтобы определить уровень угрозы возникающей в результате вмешательства, был проведен эксперимент в процессе которого выполнялось моделирование процессов приводящих к этой уязвимости. Он проводился при помощи специально разработанного программного обеспечения позволяющего организовать полноценный скрытый логический канал. В результате была рассчитана максимальная теоретическая пропускная способность такого канала реализованного при помощи исследуемых механизмов. На основе проведенных расчетов эта угроза была классифицирована как критическая, поскольку полученное значение скорости передачи оказалось значительно выше минимально допустимой стандартами.

    В качестве средств борьбы с вмешательством была рассмотрена возможность применения стандартных средств и рекомендаций перечисленных в нормативных документах. Однако, анализ их практического использования показал, что это приводит к нарушению нормальной связности между узлами распределенной системы и невозможности выполнения ей своих функций. На этой основе был сделан вывод о необходимости разработки метода защиты лишенного таких недостатков, которые ведут к нарушению функциональности.

    В качестве основы для разработки метода были взяты информационные модели невыводимости и невмешательства, а именно условие их безопасности, которое может быть достигнуто за счет удаления из информационной системы лишнего, с точки зрения этих моделей, вывода. На основе анализа обобщенной модели распределенной системы было выработано "нормальное" условие безопасности, а также способы его достижения из любого внутреннего состояния информационной системы при произвольной активности пользователей. При этом, в процессе разработки этой методики удалось добиться значительных результатов в сокращении ее негативного влияния на процесс обмена информацией между отдельными узлами распределенной системы.

    На основе предложенной методики была также выполнена разработка высокоэффективного средства парирования скрытых логических каналов в телекоммуникационных сетях общего доступа. Средство парирования скрытых логических каналов имеет следующие характеристики:

    Защита каналов связи легального достуа со скоростью передачи данных до 10 МБит/с;

    Генерация трафика псевдослучайными последовательностями до 100 МБит/с;

    Формирование "нормализующей" последовательности в реальном времени на скоростях до 10 МБит/с.

    Его реализация основана на том факте, что вся обработка передаваемых данных в телекоммуникационном оборудовании является буферизированной. Оценка ввода пользователя и генерация "нормализующей" последовательности, требуемой для достижения безопасного состояния, выполняется при помощи широко используемых методов обеспечения качества обслуживания С^оБ. Кроме этого, использование в его разработке свободного программного обеспечения позволяет добиться простоты его внедрения, низкой стоимости и высоких эксплуатационных показателей по защите данных от утечки.

    В итоге можно заключить, что все поставленные в диссертационной работе задачи были успешно выполнены.

    Список литературы диссертационного исследования кандидат технических наук Усов, Павел Андреевич, 2011 год

    1. B.W. Lampson. A Note on the Confident Problem. Communications of the ACM, 1973

    2. M. Schaefer, B. Gold, R. Linde, J. Scheid. Program Confinement in KVM/370, New York, 1977

    3. J.C. Huskamp. Covert Communication Channels in Timesharing Systems. University of California, 1978

    4. DARPA Information Processing Techniques Office. RFC 793 Transmission Control Protocol, IETF, 1981

    5. R.A. Kemmerer. Shared Resource Matrix Methodology: An Approach to Identifying Storage and Timing Channels. ACM Transactions on Computer Systems, 1983

    6. National Computer Security Center, Department of Defence. Trusted Computer System Evaluation Criteria, DoD 5200.28-STD, 1985

    7. A Comment on the Basic Security Teorem of Bell and La Padula, Information Processing Letters, 1985

    8. J.K. Millen. Finite-State Noisless Covert Channels. Proceedings of the Computer Security Foundations Workshop. Franconia, New Hampshire, 1989

    9. C.R. Tsai, V.D. Gligor, C.S. Chandersekaran. A Formal Method for the Identification of Covert Channels in Source Code. IEEE Transactions on Software Engineering, 1990

    10. V.D. Gligor. A Guide to Understanding Covert Channel Analysis of Trusted Systems, 1993

    11. Canadian Trusted Computer Product Evaluation Criteria. Canadian System Security Centre Communication Security Establishment, Government of Canada. Version 3.0e. January 1993

    12. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, T. Berners-Lee. RFC 2068 Hypertext Transfer Protocol HTTP/1.1, IETF, 1997

    13. E. Rescorla. RFC 2631 Diffie-Hellman Key Agreement Method, IETF, 199914.

    Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.

    Похожие публикации: