Скрытый канал

В компьютерной безопасности — скрытый канал это тип атаки не разрешает взаимодействовать , который создает возможность передавать информационные объекты между процессами, которым политика компьютерной безопасности . Термин, придуманный в 1973 году Батлером Лэмпсоном , определяется как каналы, «вообще не предназначенные для передачи информации , например влияние служебной программы на загрузку системы », чтобы отличить их от законных каналов, которые подвергаются контролю доступа со стороны COMPUSEC . ^[1]

Скрытый канал называется так потому, что он скрыт от механизмов контроля доступа безопасных операционных систем, поскольку он не использует законные механизмы передачи данных компьютерной системы (обычно чтение и запись) и, следовательно, не может быть обнаружен или проконтролирован механизмы безопасности, лежащие в основе безопасных операционных систем. Скрытые каналы чрезвычайно сложно установить в реальных системах, и их часто можно обнаружить путем мониторинга производительности системы. Кроме того, они страдают от низкого отношения сигнал/шум и низкой скорости передачи данных (обычно порядка нескольких бит в секунду). Их также можно с высокой степенью уверенности удалить вручную из защищенных систем с помощью хорошо зарекомендовавших себя стратегий анализа скрытых каналов.

Скрытые каналы отличаются от легитимных каналов эксплуатации и часто путаются с ними, которые атакуют псевдозащищенные системы с низкой надежностью с использованием таких схем, как стеганография или даже менее сложные схемы для маскировки запрещенных объектов внутри законных информационных объектов. Законное злоупотребление каналом с помощью стеганографии не является формой скрытого канала. ^{[ нужна ссылка ]}

Скрытые каналы могут туннелировать через защищенные операционные системы и требуют специальных мер для контроля. Анализ скрытых каналов — единственный проверенный способ контроля скрытых каналов. ^{[ нужна ссылка ]} Напротив, безопасные операционные системы могут легко предотвратить злоупотребление законными каналами, поэтому важно различать оба. Анализ законных каналов на предмет скрытых объектов часто ошибочно представляется как единственная успешная мера противодействия неправомерному использованию законных каналов. Поскольку это представляет собой анализ большого количества программного обеспечения, еще в 1972 году было показано, что это непрактично. ^[2] Не будучи информированными об этом, некоторые заблуждаются, полагая, что анализ «управляет риском» этих законных каналов.

Критерии оценки доверенной компьютерной безопасности (TCSEC) представляли собой набор критериев, ныне устаревших, которые были установлены Национальным центром компьютерной безопасности США , агентством, управляемым Агентством национальной безопасности .

данное Лэмпсоном, Определение скрытого канала, было перефразировано в TCSEC. ^[3] в частности, для обозначения способов передачи информации из отсека более высокой классификации в отсек более низкой классификации. В общей среде обработки сложно полностью изолировать один процесс от воздействия, которое другой процесс может оказать на операционную среду. Скрытый канал создается процессом-отправителем, который модулирует некоторые условия (например, свободное место, доступность какой-либо службы, время ожидания выполнения), которые могут быть обнаружены принимающим процессом.

TCSEC определяет два типа скрытых каналов:

• Каналы хранения . Общайтесь, изменяя «место хранения», например жесткий диск.
• Каналы синхронизации . Выполняют операции, влияющие на «реальное время отклика, наблюдаемое» приемником.

TCSEC, также известный как « Оранжевая книга» , ^[4] требует анализа скрытых каналов хранения, чтобы быть классифицированным как система B2, а анализ скрытых каналов синхронизации является требованием для класса B3.

Использование задержек между пакетами, передаваемыми по компьютерным сетям, было впервые исследовано Гирлингом. ^[5] для скрытой связи. Эта работа побудила многие другие работы установить или обнаружить тайную связь и проанализировать фундаментальные ограничения таких сценариев.

Обычные вещи, такие как существование файла или время, использованное для вычислений, были средой, через которую осуществляется скрытый канал связи. Тайные каналы найти непросто, поскольку эти средства массовой информации очень многочисленны и часто используются.

Два относительно старых метода остаются стандартами обнаружения потенциальных тайных каналов. Один работает путем анализа ресурсов системы, а другой работает на уровне исходного кода.

Возможность скрытых каналов не может быть исключена, ^[2] хотя его можно значительно уменьшить путем тщательного проектирования и анализа.

Обнаружение скрытого канала может быть затруднено за счет использования характеристик среды связи для законного канала, которые никогда не контролируются и не проверяются законными пользователями.Например, файл может быть открыт и закрыт программой по определенному временному шаблону, который может быть обнаружен другой программой, и этот шаблон может быть интерпретирован как строка битов, образующая скрытый канал.Поскольку маловероятно, что законные пользователи будут проверять закономерности операций открытия и закрытия файлов, этот тип скрытого канала может оставаться незамеченным в течение длительного времени.

Похожий случай — стуки портов .В обычных коммуникациях время запросов не имеет значения и не отслеживается.Стук в порт делает это значительным.

Хэндель и Сэндфорд представили исследование, в котором они изучают скрытые каналы в рамках общей конструкции сетевых протоколов связи. ^[6] Они используют модель OSI в качестве основы для своей разработки, в которой характеризуют элементы системы, которые потенциально могут быть использованы для сокрытия данных. Принятый подход имеет преимущества перед этими, поскольку учитываются стандарты, противоположные конкретным сетевым средам или архитектурам.

Их исследование не ставит целью представить надежные стеганографические схемы. Скорее, они устанавливают основные принципы сокрытия данных на каждом из семи уровней OSI . Помимо предложения использования зарезервированных полей заголовков протоколов (которые легко обнаруживаются) на более высоких сетевых уровнях, они также предлагают возможность синхронизации каналов с использованием манипуляций CSMA/CD на физическом уровне.

Их работа определяет преимущества скрытых каналов, такие как:

• Обнаруживаемость: скрытый канал должен быть доступен для измерения только предполагаемому получателю.
• Неотличимость: тайный канал не должен иметь идентификации.
• Пропускная способность: количество битов сокрытия данных на использование канала.

Их анализ скрытых каналов не учитывает такие вопросы, как совместимость этих методов сокрытия данных с другими сетевыми узлами, оценка пропускной способности скрытых каналов, влияние сокрытия данных на сеть с точки зрения сложности и совместимости. Более того, общность методов не может быть полностью оправдана на практике, поскольку модель OSI как таковая не существует в функциональных системах.

Ас Гирлинг впервые анализирует скрытые каналы в сетевой среде. Его работа сосредоточена на локальных вычислительных сетях (LAN), в которых идентифицированы три очевидных скрытых канала (два канала хранения и один канал синхронизации). Это демонстрирует реальные примеры возможностей полосы пропускания для простых скрытых каналов в локальных сетях. Для конкретной среды локальной сети автор ввел понятие перехватчика, который отслеживает деятельность конкретного передатчика в локальной сети. Сторонами, осуществляющими тайную связь, являются передатчик и перехватчик телефонных разговоров. По мнению Гирлинга, секретная информация может передаваться любым из следующих очевидных способов:

1. Наблюдая за адресами, к которым приближается передатчик. Если общее количество адресов, к которым может обратиться отправитель, равно 16, то существует возможность секретной связи, имеющей 4 бита для секретного сообщения. Автор назвал эту возможность скрытым каналом хранения, поскольку она зависит от того, что отправляется (т. е. к какому адресу обращается отправитель).
2. Точно так же другой очевидный скрытый канал хранения будет зависеть от размера кадра, отправленного отправителем. Для 256 возможных размеров объем скрытой информации, расшифрованной из кадра одного размера, составит 8 бит. И снова этот сценарий был назван скрытым каналом хранения.
3. Третий представленный сценарий использует наличие или отсутствие сообщений. Например, «0» для нечетного интервала времени сообщения, «1» для четного.

Сценарий передает скрытую информацию посредством стратегии «когда отправлено», поэтому называемой тайминговым скрытым каналом. Время передачи блока данных рассчитывается как функция времени обработки программного обеспечения, скорости сети, размеров сетевых блоков и накладных расходов протокола. Предполагая, что по локальной сети передаются блоки различных размеров, программные издержки вычисляются в среднем, а также используется новая оценка времени для оценки полосы пропускания (емкости) скрытых каналов. Работа открывает путь для будущих исследований.

В статье, опубликованной Крейгом Роуландом, основное внимание уделяется заголовкам IP и TCP набора протоколов TCP/IP. В статье, опубликованной Крейгом Роулендом, разрабатываются правильные методы кодирования и декодирования с использованием поля идентификации IP, полей начального порядкового номера TCP и полей порядкового номера подтверждения. ^[7] Эти методы реализованы в простой утилите, написанной для систем Linux с ядрами версии 2.0.

Роуленд предоставляет подтверждение концепции, а также практические методы кодирования и декодирования для использования скрытых каналов с использованием набора протоколов TCP/IP. Эти методы анализируются с учетом механизмов безопасности, таких как преобразование сетевых адресов брандмауэра.

Однако необнаружимость этих методов скрытой связи сомнительна. Например, в случае манипулирования полем порядкового номера заголовка TCP схема кодирования принимается так, что каждый раз, когда тайно передается один и тот же алфавит, он кодируется одним и тем же порядковым номером.

Более того, использование поля порядкового номера, а также поля подтверждения не может быть специфичным для кодирования ASCII алфавита английского языка, как это предложено, поскольку оба поля учитывают получение байтов данных, относящихся к конкретному сетевому пакету(ам).

После Роуленда несколько авторов в академических кругах опубликовали новые работы по скрытым каналам в наборе протоколов TCP/IP, включая множество контрмер, начиная от статистических подходов и заканчивая машинным обучением. ^{[8] [9] [10] [11]} Исследования скрытых сетевых каналов пересекаются с областью сетевой стеганографии , которая возникла позже.

• Компьютерное и сетевое наблюдение – Мониторинг компьютерной или сетевой активности.
• Атака по побочному каналу – любая атака, основанная на информации, полученной в результате реализации компьютерной системы.
• Стеганография – скрытие сообщений в других сообщениях.
• Подсознательный канал – Скрытый криптографический канал.
• Проводные данные – формат передаваемой сетевой информации.

• Каналы синхронизации — раннее использование канала синхронизации в Multics .
• Инструмент скрытого канала скрывает данные в IPv6 , SecurityFocus, 11 августа 2006 г.
• Рагго, Майкл; Хосмер, Чет (2012). Сокрытие данных: раскрытие скрытых данных в мультимедиа, операционных системах, мобильных устройствах и сетевых протоколах . Издательство Сингресс. ISBN  978-1597497435 .
• Лакшманан, Рави (04 мая 2020 г.). «Новое вредоносное ПО обходит устройства с воздушным зазором, превращая источники питания в динамики» .
• Открытый онлайн-класс по тайным каналам (GitHub)

• Серый мир — Исследовательская группа открытого исходного кода: Инструменты и документы
• Центр управления сетью Steath — система поддержки скрытой связи