Dold kanal

En hemlig kanal  är en kommunikationskanal som skickar information med en metod som ursprungligen inte var avsedd för detta.

Konceptet med en hemlig kanal introducerades först i Butler Lampsons "A Note of the Confinement Problem" den 10 oktober 1973 , som "(kanaler) inte utformade för att överföra information alls, såsom effekten av ett verktygsprogram på systemstart" [1] . Oftast är den täckta kanalen en parasit på huvudkanalen: den täckta kanalen minskar genomströmningen av huvudkanalen. Tredjepartsobservatörer kan vanligtvis inte upptäcka att det förutom huvuddataöverföringskanalen också finns en ytterligare. Det är bara avsändaren och mottagaren som vet detta. Till exempel i steganografidolda meddelanden kodades in i grafiska bilder eller annan data på ett sådant sätt att förändringarna inte var märkbara för ögat, men mottagaren av meddelandet kunde avkoda det krypterade meddelandet.

Utmärkande egenskaper

Den hemliga kanalen har fått sitt namn från det faktum att den är dold från åtkomstkontrollsystemen i till och med säkra operativsystem, eftersom den inte använder legitima överföringsmekanismer som läsning och skrivning och därför inte kan upptäckas eller övervakas av hårdvarusäkerhetsmekanismer, som ligger till grund för säkra operativsystem. I verkliga system är den hemliga kanalen nästan omöjlig att etablera, och kan också ofta detekteras genom att övervaka systemets prestanda; dessutom är nackdelarna med hemliga kanaler ett lågt signal-brusförhållande och låga datahastigheter (i storleksordningen flera bitar per sekund). De kan också tas bort manuellt från säkra system med hög grad av säkerhet med hjälp av etablerade strategier för hemlig kanalanalys.

Hemliga kanaler förväxlas ofta med användningen av legitima kanaler, som attackerar pseudosäkra system med låg grad av förtroende, med hjälp av scheman som steganografi eller ännu mindre sofistikerade scheman utformade för att dölja förbjudna objekt inuti objekt med juridisk information. Sådan användning av legitima kanaler som använder system för att dölja data är inte hemliga kanaler och kan förhindras av system som är mycket tillförlitliga.

Hemliga kanaler kan passera säkra operativsystem och kräver speciella åtgärder för att kontrollera dem. Den enda beprövade metoden för att övervaka hemliga kanaler är den så kallade hemliga kanalanalysen. Samtidigt kan säkra operativsystem enkelt förhindra missbruk (eller olaglig) användning av legitima kanaler. Ofta presenteras analysen av lagliga kanaler för dolda föremål felaktigt som den enda framgångsrika åtgärden mot illegal användning av lagliga kanaler. Eftersom detta i praktiken innebär behovet av att analysera en stor mängd mjukvara, visades det redan 1972 att sådana åtgärder är ineffektiva [2] . Utan att veta detta tror många att en sådan analys kan bidra till att hantera de risker som är förknippade med juridiska kanaler.

TCSEC-standard

TCSEC  är en uppsättning standarder som fastställts av det amerikanska försvarsdepartementet .

Lampsons definition av en hemlig kanal har omformulerats i TCSEC [2] för att hänvisa till hur information överförs från ett säkrare lager till ett mindre säkert. I en delad datormiljö är det svårt att helt separera en process från de effekter som en annan process kan ha haft på driftsmiljön. En hemlig kanal skapas av sändningsprocessen, som modulerar något tillstånd (såsom ledigt utrymme, tillgänglighet av någon tjänst, starttidsgräns, etc.) som kan detekteras av mottagningsprocessen.

Kriterierna definierar två typer av hemliga kanaler:

• Dold minneskanal - processer interagerar på grund av det faktum att man direkt eller indirekt kan skriva information till ett visst minnesområde, och den andra kan läsa den. Det innebär vanligtvis att processer med olika säkerhetsnivåer har tillgång till någon resurs (till exempel vissa disksektorer).
• Hidden Time Channel - En process skickar information till en annan genom att modulera sin egen systemresursanvändning (som CPU-tid) på ett sådant sätt att denna operation påverkar den verkliga svarstiden som observeras av en tredje process.

Kriterierna, även kända som Orange Book , [3] kräver att minnesdold kanalanalys klassificeras som ett krav för ett klass B2-system och tidshemlig kanalanalys som ett krav för klass B3.

Eliminering av hemliga kanaler

Möjligheten för hemliga kanaler kan inte helt elimineras, men den kan reduceras avsevärt genom noggrann systemdesign och analys.

Hemlig kanaldetektering kan försvåras genom att använda medieegenskaper för lagliga kanaler som aldrig kontrolleras eller verifieras av användare. Till exempel kan ett program öppna och stänga en fil på ett specifikt, synkroniserat sätt som kan förstås av en annan process som en bitsekvens och på så sätt bilda en hemlig kanal. Eftersom legitima användare sannolikt inte kommer att försöka hitta ett mönster i att öppna och stänga filer, kan denna typ av hemliga kanaler gå obemärkt förbi under lång tid.

Ett liknande fall är " port knocking "-tekniken. Vanligtvis när information överförs är fördelningen av förfrågningar i tid inte viktig, och den övervakas inte, men när man använder "port knocking" blir det betydande.

Dölja data i OSI-modellen

Ett försök gjordes av Handel och Sanford att utöka perspektivet och fokusera på hemliga kanaler i den allmänna modellen för nätverksprotokoll. De tar OSI-nätverksmodellen till grund för sina resonemang och karakteriserar sedan de delar av systemet som kan användas för att dölja data. Det tillvägagångssätt som används har fördelar jämfört med Handel och Sanfords, eftersom det senare tar upp standarder som står i motsats till vissa av de nätverksmiljöer och arkitekturer som används. Ett tillförlitligt stenografischema har inte heller utvecklats.

Allmänna principer har dock fastställts för att dölja data vid vart och ett av de sju lagren i OSI-modellen. Förutom att föreslå användning av reserverade protokollhuvudfält (vilket är lätt att upptäcka), föreslog Handel och Sanford också möjligheten att tajma kanaler för fysiskt lager CSMA/CD -drift.

Deras arbete bestämmer värdet på en hemlig kanal enligt följande parametrar:

• Upptäckbarhet: Endast den avsedda mottagaren av sändningen ska kunna göra hemliga kanalmätningar.
• Oskiljbar: Den hemliga kanalen måste vara omöjlig att särskilja.
• Bandbredd: Antalet bitar av dolda data för varje användning av kanalen.

En hemlig kanalanalys presenterades också, men den tar inte hänsyn till sådana problem som: interaktion med de nämnda metoderna mellan nätverksnoder, uppskattning av kanalkapaciteten, vilken effekt datadöljning har på nätverket. Dessutom kan metodernas tillämpbarhet inte helt motiveras i praktiken, eftersom OSI-modellen inte existerar som sådan i levande system.

Dölja data i en LAN-miljö

Girling var den första personen som analyserade hemliga kanaler i LAN-miljön. Hans arbete fokuserar på lokala nätverk (LAN), där tre uppenbara hemliga kanaler definieras - två i minnet och en i tiden. Detta visar verkliga exempel på möjliga bandbredder för enkla hemliga kanaler i LAS. För den speciella LAS-miljön introducerade författaren konceptet med en interceptor som övervakar åtgärderna hos en specifik sändare i LAN. Parterna som är involverade i hemlig överföring är sändaren och avlyssnaren. Dold information, enligt Girling, kan kommuniceras på något av följande sätt:

• Övervakning av adresserna som nås av sändaren. Om antalet adresser den kan komma åt är 16, så finns det möjlighet till en hemlig överföring med en hemlig meddelandestorlek på 4 bitar. Författaren tillskrev denna funktion till dolda minneskanaler, eftersom det beror på innehållet som skickas.
• En annan uppenbar hemlig kanal förlitar sig på ramstorleken som skickas av sändaren. Om det finns 256 olika ramstorlekar kommer mängden hemlig information som erhålls från att dekryptera en ramstorlek att vara 8 bitar. Denna kanal hänvisades också av författaren till dolda minneskanaler.
• Den tredje, tidsmässiga, metoden bygger på skillnaden mellan överföringstider. Till exempel skulle en udda skillnad betyda "0" och en jämn skillnad skulle betyda "1". Den tid som krävs för att överföra ett datablock beräknas som en funktion av mjukvarubehandlingshastighet, nätverkshastighet, nätverksblockstorlekar och protokolltid. Om man antar att block av olika storlekar sänds på LAN, beräknas den genomsnittliga programtiden och den hemliga kanalbandbredden uppskattas också.

Döljer data i TCP/IP-protokollsviten

Ett mer specifikt tillvägagångssätt togs av Rowland. Rowland fokuserar på IP- och TCP-rubrikerna för TCP/IP-protokollpaketet och härleder de korrekta kodnings- och avkodningsmetoderna med hjälp av IP-identifieringsfältet och TCP-startsekvensnumret och sekvensnummerfälten för bekräftelse. Dessa metoder är implementerade i en enkel applikation skriven för Linux-system som körs på 2.0-kärnan.

Rowland bevisar helt enkelt själva idén om förekomsten av hemliga kanaler i TCP / IP, såväl som deras användning. Därför kan hans arbete bedömas som ett praktiskt genombrott på detta område. De metoder för kodning och avkodning som antagits av honom är mer pragmatiska jämfört med tidigare föreslagna verk. Dessa metoder analyseras med hänsyn till säkerhetsmekanismer såsom översättning av nätverksadresser av brandväggen.

Det är dock tveksamt om dessa hemliga överföringsmetoder inte kan upptäckas. Till exempel, i fallet när operationer utförs på sekvensnummerfältet i TCP-huvudet, antas ett schema där alfabetet sänds i hemlighet varje gång, men ändå kodas av samma sekvensnummer.

Dessutom kan användningen av sekvensnummerfältet, såväl som bekräftelsefältet, inte göras med hänvisning till ASCII- kodningen av det engelska alfabetet, som föreslagits, eftersom båda fälten tar hänsyn till mottagandet av databytes relaterade till vissa nätverkspaket .

Att dölja data i ett TCP/IP-protokollpaket har följande viktiga aspekter:

• Hemliga kanaler identifieras i nätverksmiljön.
• Tillfredsställande kodnings- och avkodningsmetoder erhålls från avsändaren respektive mottagaren.
• Effekten av att använda det dolda kommunikationsnätverket som helhet beaktas inte.

Anteckningar

1. ↑ Lampson, B.W., A Note on the Confinement Problem. Meddelanden från ACM, okt. 1973.16(10):s. 613-615. [1] Arkiverad 9 november 2016 på Wayback Machine
2. ↑ NCSC-TG-030, Covert Channel Analysis of Trusted Systems (Ljusrosa bok) Arkiverad 1 september 2010 på Wayback Machine från DoD Rainbow Series-publikationer .
3. ↑ 5200.28-STD, Trusted Computer System Evaluation Criteria (Orange Book) Arkiverad 2 oktober 2006. från Rainbow Series publikationer

Se även

• Steganografi
• Sidokanalattack

Länkar

• Grey-World  - Grey-World Development Team: Program och artiklar
• Steath Network Operations Center  - Hemligt kommunikationsstödsystem
• Timing Channels  - Använda en kanal efter tid i Multics .
• Covert channel-verktyget döljer data i IPv6 , SecurityFocus, 11 augusti 2006.
• Hemliga kanaler i TCP/IP Suite  (otillgänglig länk) , 1996 - Craig Rowlands tidning om hemliga kanaler i TCP/IP.