О скрытых каналах и не только. Скрытые каналы
Введение
Скрытый канал - это коммуникационный канал, пересылающий информацию методом, который изначально был для этого не предназначен.
Скрытый канал носит своё название в силу того факта, что он спрятан от систем разграничения доступа даже безопасных операционных систем, так как он не использует законные механизмы передачи, такие как чтение и запись, и потому не может быть обнаружен или проконтролирован аппаратными механизмами обеспечения безопасности, которые лежат в основе защищённых операционных систем. В реальных системах скрытый канал практически невозможно установить, и также его часто можно обнаружить с помощью наблюдения за быстродействием системы; кроме того, недостатками скрытых каналов являются низкое отношение сигнал/шум и низкие скорости передачи данных (порядка нескольких бит в секунду). Их также можно удалить с защищённых систем вручную с высокой степенью надёжности, если воспользоваться признанными стратегиями анализа скрытых каналов.
Скрытые каналы часто путают с использованием законных каналов, при котором происходит атака на псевдо-защищённые системы с низкой степенью доверенности, используя такие схемы как стеганография или даже менее сложные схемы, предназначенные для того, чтобы спрятать запрещённые объекты внутри объектов с легальной информацией. Подобные использования законных каналов с применением схем скрытия данных не являются скрытыми каналами и могут быть предотвращены доверенными системами с высокой степенью защищённости.
Скрытые каналы могут проходить сквозь защищённые операционные системы, и необходимы особые меры для их контроля. Единственным проверенным методом контроля скрытых каналов является так называемый анализ скрытых каналов. В то же время, защищённые операционные системы могут с лёгкостью предотвратить неверные (или незаконные) использования легальных каналов. Часто анализ легальных каналов на предмет скрытых объектов неверно представляют как единственную успешную меру против незаконного использования легальных каналов. Поскольку на практике это означает необходимость анализировать большое количество программного обеспечения, ещё в 1972 было показано что подобные меры неэффективны . Не зная этого, многие верят в то, что подобный анализ может помочь справиться с рисками, связанными с легальными каналами.
1.1. Стандарт TCSEC
TCSEC - это набор стандартов, установленных Министерством обороны США.
Лэмпсоновское определение скрытого канала было перефразировано в TCSEC так, чтобы имелись в виду способы передачи информации от более защищённого уровня к менее защищённому. В среде разделённых вычислений сложно полностью отделить один процесс от эффектов, которые другой процесс мог оказать на операционную среду. Скрытый канал создаётся процессом-отправителем, который модулирует некоторое состояние (такое как свободное пространство, доступность некоторого сервиса, времени ожидания запуска и т. д.), которое может быть обнаружено процессом-получателем.
В Критериях определяют два вида скрытых каналов:
- Скрытый канал памяти - процессы взаимодействуют благодаря тому, что один может прямо или косвенно записывать информацию в некоторую область памяти, а второй считывать. Обычно имеется в виду, что у процессов с разными уровнями безопасности имеется доступ к некоторому ресурсу (например, некоторые секторы диска).
- Скрытый канал времени - один процесс посылает информацию другому, модулируя своё собственное использование системных ресурсов (например, процессорное время) таким образом, что эта операция воздействует на реальное время отклика, наблюдаемое вторым процессом.
Критерии, также известные как Оранжевая книга, требуют, чтобы анализ скрытых каналов памяти был классифицирован как требование для системы класса B2, а анализ скрытых каналов времени как требование для класса B3.
2. Устранение скрытых каналов
Возможность наличия скрытых каналов не может быть устранена полностью, но её можно существенно уменьшить аккуратным проектированием системы и её анализом.
Обнаружение скрытого канала может быть сделано более трудным при использовании характеристик среды передачи для легальных каналов, которые никогда не контролируются и не проверяются пользователями. Например, программа может открывать и закрывать файл особым, синхронизированным, образом, который может быть понят другим процессом как битовая последовательность, формируя таким образом скрытый канал. Так как маловероятно, что легальные пользователи будут пытаться найти схему в открытии и закрытии файлов, подобный тип скрытого канала может оставаться незамеченным в течение длительного времени.
Похожим случаем является технология «port knocking». Обычно при передаче информации распределение запросов во времени не важно, и за ним не наблюдают, но при использовании «port knocking» оно становится существенным.
3. Скрытие данных в модели OSI
Хэнделом и Сэнфордом была предпринята попытка расширить перспективу и сфокусироваться на скрытых каналах в общей модели сетевых протоколов. В качестве основы своих рассуждений они берут сетевую модель OSI и затем характеризуют элементы системы, которые возможно использовать для скрытия данных. У принятого подхода есть преимущества над подходом Хэндела и Сэнфорда, так как в последнем рассматриваются стандарты, противоположные некоторым используемым сетевым средам и архитектурам. Также не разработано надёжной схемы стенографирования.
Тем не менее, установлены общие принципы для скрытия данных на каждом из семи уровней модели OSI. Помимо того, что Хэндел и Сэнфорд предложили использовать зарезервированные поля заголовков протоколов (что легко обнаружимо), они также предположили возможность каналов по времени, касающуюся операции над CSMA/CD на физическом уровне.
Их работа определяет ценность скрытого канала по следующим параметрам:
- Обнаружимость: Только у получателя, для которого предназначена передача, должна быть возможность производить измерения скрытого канала.
- Неотличимость: Скрытый канал должен быть неидентифицируем.
- Полоса пропускания: Количество битов скрытых данных за каждое использование канала.
Также был представлен анализ скрытых каналов, но он не рассматривает такие проблемы, как-то: взаимодействие с помощью упомянутых методов между сетевыми узлами, оценка ёмкости канала, эффект, который скрытие данных оказывает на сеть. Кроме того, применимость методов не может быть полностью оправдана на практике, так как модель OSI не существует как таковая в действующих системах.
4. Скрытие данных в среде ЛВС
Первым, кто проанализировал скрытые каналы в среде локальных сетей, был Гирлинг. Его работа фокусируется на локальных вычислительных сетях (ЛВС), в которых определяются три очевидных скрытых канала - два по памяти и один по времени. Это показывает реальные примеры возможных полос пропускания для простых скрытых каналов в ЛАС. Для особой среды ЛАС, автор ввёл понятие перехватчика, который наблюдает за действиями определённого передатчика в ЛВС. Стороны, осуществляющие скрытую передачу, - это передатчик и перехватчик. Скрытая информация, согласно Гирлингу, может быть передана любым из следующих способов:
- Наблюдение за адресами, к которым обращается передатчик. Если количество адресов, к которым он может обращаться, равно 16, то существует возможность секретной передачи с размером секретного сообщения 4 бита. Автор отнёс эту возможность к скрытым каналам памяти, так как она зависит от посылаемого содержимого.
- Другой очевидный скрытый канал полагается на размер кадра, посланного передатчиком. Если существует 256 различных размеров кадра, то количество секретной информации, полученной при расшифровке одного размера кадра, будет 8 бит. Этот канал также был отнесён автором к скрытым каналам памяти.
- Третий, временной, способ полагается на разность между временами передачи. К примеру, нечётная разность будет означать «0», а чётная - «1». Время, необходимое для передачи блок данных, рассчитывается как функция от программной вычислительной скорости, скорости сети, размеров сетевого блока и затрат времени протокола. В предположении, что в ЛВС передаются блоки различных размеров, вычисляются средние программные затраты времени и также оценивается полоса пропускания скрытых каналов.
5. Скрытие данных в пакете протоколов TCP/IP
Более конкретный подход был предпринят Роулэндом. Сосредотачиваясь на IP и TCP заголовках пакета протоколов TCP/IP, Роулэнд выводит правильные методы кодирования и декодирования с использованием поля идентификации IP и TCP-поля начального номера последовательности и номера последовательности подтверждения. Эти методы реализованы в простом приложении, написанном для Linux-систем, работающих на ядре версии 2.0. Роулэнд просто доказывает саму идею существования скрытых каналов в TCP/IP, а также их использования. Соотственно, его работу можно оценивать как практический прорыв в этой сфере. Принятые им методы кодирования и декодирования более прагматичны по сравнению с ранее предложенными работами. Эти методы проанализированы с учётом механизмов безопасности, таких как преобразование сетевых адресов брандмауэром.
Тем не менее, необнаружимость этих методов скрытой передачи стоит под вопросом. Например, в случае когда производятся операции над полем номера последовательности TCP-заголовка, принята схема, в которой алфавит каждый раз скрытно передаётся, но тем не менее кодируется одним и тем же номером последовательности. Более того, использование поля номера последовательности, так же, как и поля подтверждения, нельзя осуществлять с привязкой к ASCII-кодировке английского алфавита, как это предложено, так как оба поля учитывают получение байтов данных, относящихся с определённым сетевым пакетам.
В настоящее время все источники, освещающие вопросы информационной безопасности, содержат сведения раскрытые г-ном Сноуденом о скрытых каналах получения информации и умышленно внедряемых в различные технические средства АНБ устройствах негласного доступа к информации (получения, съема).
А что же у нас в стране с решением данной проблемы? Анализируя современную отечественную нормативную базу, можно выделить следующие документы, регламентирующие вопросы выявления и борьбы со скрытыми каналами:
ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения»;
ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».
В соответствии с ГОСТами определен термин «скрытый канал» – это непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности.
С помощью скрытых каналов могут быть реализованы следующие нарушения политики безопасности:
- Угроза внедрения вредоносных программ и данных .
- Угроза подачи нарушителем команд агентом для выполнения его функций .
- Угроза утечки криптографических ключей, паролей (несанкционированный доступ к ним) или отдельных информационных объектов .
Создание скрытого канала и осуществление воздействия нарушителя на защищаемые информационные ресурсы в соответствии с приведенной моделью осуществляется следующим порядком:
- 1. В режиме штатного функционирования работа с защищаемыми информационными ресурсами проводится в установленном порядке, субъекты, имеющие санкционированный доступ к ним, осуществляют обработку в соответствии с установленными правилами разграничения доступа. Инспектор отображает отсутствие нарушений политики безопасности.
- 2. В составе средства обработки защищаемых информационных ресурсов присутствуют заранее злонамеренно внедренный агент нарушителя безопасности, который не проявляет своей активности и ни каким образом не обнаруживает своего присутствия в данной ИТ (АС).
- 3. В необходимый для нарушителя момент времени агенту от нарушителя безопасности подается команда на активацию и выполнение своей функциональной нагрузки. Команда может быть подана как по штатным каналам связи ИТ (АС), в случаи наличия возможности такого подключения (например через Интернет), так и дистанционно (например с использованием радиоканалов), при наличии такой возможности у агента нарушителя.
- 4. Внедренный агент нарушителя безопасности реализует свою функциональную нагрузку, при этом канал информационного взаимодействия между нарушителем и внедренным агентом может быть скрыт от инспектора.
- 5. После достижения поставленной задачи работа агента завершается самостоятельно или по команде нарушителя.
Как же проводить работу по выявлению скрытых каналов?
С точки зрения «теории» процесс выявления скрытого канала включает в себя следующие действия:
1. Оценка архитектуры исследуемой системы и имеющихся в ней коммуникационных каналов (рассмотрению подлежат как существующие, так и потенциальные каналы). Оценка архитектуры системы подразумевает выявление всех имеющихся в ней каналов связи (информационного взаимодействия) и анализ взаимодействия ее компонентов на предмет потенциального использования их для организации скрытого канала. В результате проведения такого анализа должны быть выявлены компоненты системы, в которых потенциально могут быть использованы скрытые каналы.
2. Выявление возможных путей обмена скрытой информацией между нарушителем и его предполагаемым агентом в системе.Данная работа выполняется на основании общей схемы модели функционирования скрытого канала. Следует для каждого из защищаемых активов выявить, какие субъекты имеют к ним доступ и при этом изолированы от внешней среды, но имеют возможность взаимодействовать с отдельными субъектами из внешней среды (при этом необходимо учитывать, что подобного рода взаимодействие контролируется владельцем активов и может наблюдаться потенциальным нарушителем).
3. Оценка опасности выявленных скрытых каналов для защищаемых активов организации. После выявления скрытых каналов следует оценить, насколько они реализуемы и опасны для защищаемых активов организации. Для проведения оценки наиболее критичными показателями являются: объем активов, предполагаемая пропускная способность скрытого канала и временной интервал, в течение которого активы сохраняют ценность. Все параметры поддаются числовому исчислению и могут быть использованы в соответствующих аналитических отчетах. На основании этой оценки каналы, не предоставляющие реальной опасности для активов, признаются неопасными.
4. Принятие решения о целесообразности противодействия каждому из выявленных скрытых каналов (минимизации уровня риска).
В качестве защитных мероприятий предлагается использовать:
- снижение/ограничение пропускной способности канала передачи информации (касательно скрытых каналов);
- архитектурные решения построения системы;
- мониторинг эффективности защиты системы.
В завершении хотелось бы обратиться к методам выявления скрытых каналов. Согласно ГОСТ предлагается два метода:
- статистический метод;
- сигнатурный метод.
Метод выявления скрытых каналов на основе сигнатурного анализа аналогичен способу, используемому антивирусным ПО для поиска вредоносных программ. При наличии набора известных реализаций скрытых каналов, для каждой из них формируется сигнатура. В потоке данных проводится поиск таких сигнатур. По результатам этой работы делается вывод об отсутствии или наличии скрытых каналов в системе и варианте его реализации.
Таким образом, подводя итоги, можно заявить, что мы получаем новый виток информационного противостояния «нарушитель - администратор безопасности», который вносит в нашу жизнь как новые технологии и методы нападения, так и новые средства и методы защиты.
Завершить статью хотелось бы такими размышлениями:
Что если мы взглянем на материалы, раскрытые Сноуденом, вот под каким углом. В последнее время появился целый ряд автоматизированных систем, для которых обеспечение конфиденциальности вообще не является приоритетом, например автоматизированные системы управления производственным и технологическим процессом. Нарушение доступности и работоспособности такой системы может привести даже к более тяжелым последствиям для государства или, чем утечка конфиденциальной или секретной информации. Отягчающим является ещё и то, что подавляющее большинство элементной базы для таких систем производится и поставляется из-за границы, а провести полный комплекс мероприятий по поиску возможных скрытых каналов и закладных устройств, для всего перечня ввозимых элементов, невозможно технически. А как стало известно, технические средства иностранного производства могут быть полны неприятных «сюрпризов».
Нельзя обойти стороной и повсеместное развитие сети Интернет, и использование её как транспорта для связи различных корпоративных и промышленных сетей, что автоматически позволяет внешнему злоумышленнику получить управляющий доступ к внедренному закладному устройство или модулю.
Есть над чем думать и работать. Вопрос выявления скрытых каналов в автоматизированных системах организаций становится злободневным, вне зависимости от уровня организации и ее формы собственности. Тайна и является тайной, потому что ее знает ограниченный круг лиц. Плюс к этому можно добавить наличие (получение) негативных эмоций, когда кто-то злоумышленно наносит ущерб Вашей информационной инфраструктуре, в защищенности которой Вы были уверены. И испорченное настроение не самое страшное, если при этом может пострадать бизнес-процесс в организации.
Впервые понятие скрытого канала было введено в работе Лэмпсона "A Note of the Confinement Problem" в 1973 году. Канал является скрытым, если он не проектировался, не предполагался для передачи информации в электронной системе обработки данных. Иными словами, это некий способ скрытой (замаскированной) несанкционированной передачи информации стороннему лицу, нарушающий системную политику безопасности. При этом для организации передачи данных могут использоваться атрибуты, не предназначенные для этого: задержки между регистрируемыми событиями, порядок следования сообщений, длины передаваемых блоков данных и т.п.
Классификация скрытых каналов:
Ø Передача информации в именах файлов (примером является возможность показа на низком уровне названий и атрибутов директорий и файлов, созданных на верхнем уровне).
Ø Передача информации в настройках общих ресурсов (кодирование информации в сохраняемых настройках каких-либо ресурсов общего пользования субъектов Высокого и низкого уровней, когда настройки произведенные на Высоком уровне, доступны наблюдению на низком уровне и, следовательно, могут нести информацию, выраженную заранее условленным кодом).
При этом особо выделяются "потайные" каналы (subliminal channels) – нестандартные способы передачи информации по легальным каналам, например, электронной почте.
Для организации “скрытых каналов” используется как штатное программное обеспечение, так и специально созданное вредоносное ПО. Создателем скрытого канала может выступать как злоумышленник, находящийся вне организации и реализующий атаку удаленно, так и инсайдер. Администратор также может быть соучастником в организации подобной атаки, поскольку кто как не он знает все слабые места и уязвимости в защите сети. Лучшего сообщника трудно себе представить.
Допустим, системный администратор, работающий в крупной корпорации со строгим разграничением прав доступа и внедрённой политикой информационной безопасности может не иметь доступ к информации о клиентах, суммах контрактов или стратегическим планам развития компании. Однако, занимаясь проектированием или оптимизацией определенных участков сети, он может предусмотреть способ получения интересующих его сведений, создав закладки или оставив специальные "пробелы" - уязвимости сети, которыми при случае он сможет воспользоваться, сведя риск быть обнаруженным к минимуму.
Находясь внутри системы, программа-шпион способна скрытым способом установить связь со своим автором и передавать ему требуемые сведения. Атаки с использованием скрытых каналов всегда приводят к нарушениям конфиденциальности информации и в крайне редких случаях кто-либо пойдет на этот шаг ради удовлетворения личных амбиций. Чаще всего, это заказные адресные и тщательно подготовленные мероприятия.
Используя скрытые каналы передачи данных, "удаленный" злоумышленник может преследовать цель организовать управление информационной сетью извне, превратив её в бот. Все те, кто так или иначе связан с ИТ и информационной безопасностью прекрасно знают о том, что производители софта достаточно часто сами используют "программные закладки", о чем красноречиво свидетельствует немало скандалов в прессе по обвинению разработчиков во встраивании руткит - технологий. При этом даже применение всех известных мер защиты межсетевого экранирования не помешает внешнему нарушителю использовать эти уязвимости, маскируя свои действия при помощи "скрытых каналов ".
О каналах скрытых, потайных, побочных. И не только. (Часть 1-я)
В.А. Галатенко
О скрытых каналах
Издание Jet Info не первый раз обращается к теме скрытых каналов. В 2002 году ей был посвящен отдельный номер (см. , ), так что в данной работе предполагается, что читатель знаком с основами этой области знания; в противном случается рекомендуется перечесть статью (например, здесь - прим. ред. CITForum.ru). Тем не менее, автор с самого начала хотел бы заметить, что тематика скрытых каналов в ее традиционной трактовке представляется ему несколько надуманной, формальной. Пик исследований в области скрытых каналов приходится на середину 1980-х годов, когда была опубликована "Оранжевая книга" Министерства обороны США, в которой, начиная с класса безопасности B2, было введено требование анализа скрытых каналов. В результате бороться со скрытыми каналами стали, в основном, не ради реальной безопасности, а ради успешной сертификации. Кроме того, скрытые каналы из-за, в общем-то, случайной ассоциации с классами B2 и выше исследовались почти исключительно в контексте многоуровневой политики безопасности, с обязательным упоминанием субъектов HIGH и LOW, моделями невлияния и прочими премудростями. Все это бесконечно далеко от реальных проблем типичных современных информационных систем, да и публикуемые результаты по большей части носят очевидный характер и не представляют ни теоретического, ни, тем более, практического интереса. В статье объяснены концептуальные причины подобного положения дел.
Как было сказано ранее - первопричина существования скрытых каналов и невозможность их устранения при традиционном подходе к построению информационных систем видится нам в следующем. Поскольку такие формальные модели безопасности, как известная модель Белла-Лападула, разграничивают доступ "в принципе", но не содержат понятия времени и не регламентируют конкуренцию за ресурсы, то есть ситуации, когда "в принципе ресурс использовать можно, только в данный момент нельзя - он занят", при любом распределении прав доступа разного рода сигнальные события и, в частности, коллизии вследствие конкуренции могут быть использованы для организации скрытых каналов.
В середине 1980-х годов была предложена систематическая методология выявления скрытых каналов по памяти (см. ), ключевым элементом которой является матрица разделяемых ресурсов. В сетевой среде, в Интернет, легальных разделяемых ресурсов сколько угодно - например, выделяемое пользователям пространство на общедоступных сайтах. Можно воспользоваться и полями заголовков IP-пакетов (скажем, контрольная сумма - превосходный кандидат на эту роль), и начальными порядковыми номерами при установке TCP-взаимодействия (см. ). Можно организовать и практичные скрытые каналы по времени, например, кодируя единицу отправкой пакета в определенный интервал времени, составляющий миллисекунды (см. ).
С появлением мощных многопроцессорных систем с общей памятью полоса пропускания скрытых каналов подскочила до мегабит в секунду и продолжает увеличиваться с ростом быстродействия аппаратуры (см. ). Это, конечно, серьезная проблема, однако для ее решения достаточно отказаться от разделения подобных систем между субъектами с различным уровнем допуска.
Проблема скрытых каналов - это проявление более общей проблемы сложности современных информационных систем. В сложных системах скрытые каналы были, есть и будут, так что бороться нужно с причиной, а не со следствием. В самом общем виде метод борьбы со сложностью систем можно сформулировать как "проведение объектного подхода с физическими границами между объектами". Процессоры не должны разделяться не только между субъектами, но и между потоками управления. Пользовательская сеть должна быть физически отделена от административной. Вообще говоря, компоненты системы не должны доверять друг другу: процессор может не доверять памяти, сетевая карта - процессору и т.п. При выявлении подозрительной активности компоненты должны поднимать тревогу и применять другие защитные меры (например, дисковый контроллер может зашифровать файлы, сетевой контроллер - блокировать коммуникации и т.п.). В общем, на войне как на войне. Если организовать физические границы невозможно, следует воспользоваться виртуальными, формируемыми в первую очередь криптографическими средствами. Более подробное изложение этих вопросов можно найти в работе .
Скрытые каналы можно не только выявлять, но и ликвидировать или зашумлять "не глядя". Как пояснено в , для этого служат разного рода нормализаторы, сглаживающие нагрузку на процессор, энергопотребление, время вычисления определенных функций, сетевой трафик и т.п. Например, ядро операционной системы Asbestos в ответ на запрос о создании порта возвращает новый порт с непредсказуемым именем, поскольку возможность создания портов с заданными именами может служить скрытым каналом.
Накладные расходы на нормализацию могут быть велики, отчего функционирование легальных субъектов может существенно замедляться, так что следует искать и находить разумный компромисс между информационной безопасностью и функциональной полезностью систем. С точки зрения борьбы со сложностью скрытые каналы имеют следующее неприятное свойство. Разделяемые ресурсы, присутствующие на любом уровне информационной системы, начиная с самого нижнего, аппаратного, могут быть использованы на всех вышележащих уровнях, вплоть до прикладного, для организации утечки информации. Централизованный арбитр доступа к памяти в многопроцессорной системе, разделяемый несколькими процессорами кэш второго уровня, устройство управления памятью - все это может служить каналом утечки. Таким образом, при анализе скрытых каналов необходимо рассматривать систему в целом. Попытка проведения так называемой составной сертификации, когда система оценивается на основе ранее проведенных испытаний отдельных модулей или уровней, ведет к пропуску скрытых каналов. Проблема усугубляется тем, что в описании отдельных модулей или уровней необходимые детали могут быть опущены как несущественные. Казалось бы, какая разница, как устроена очередь инструкций, выбранных микропроцессором для исполнения? Однако и это может быть важно для безопасной работы приложения (см. ). Операционная система, успешно прошедшая сертификацию при испытаниях на "голой" аппаратуре, содержит скрытые каналы заметной пропускной способности, если выполняется под управлением монитора виртуальных машин. В общем, разделяемый ресурс - это та самая горошина, которую настоящая принцесса почувствует через любое количество перин. И об этом необходимо помнить.
Подход на основе скрытых каналов активно используется для оценки степени несовершенства реализации таких защитных сервисов, как анонимизаторы и их сети, а также пополнение трафика. Это представляется естественным, так как анонимизация и пополнение трафика - разновидности нормализации, предназначенной для ликвидации скрытых каналов. Если нормализация оказалась несовершенной, значит, скрытые каналы остались. Насколько несовершенной? Настолько, насколько велика утечка информации. Несовершенство анонимизаторов можно оценивать как пропускную способность скрытых каналов утечки информации об отправителе и/или получателе (см. ). Для отдельных анонимизаторов удается получить точное значение, для сетей анонимизаторов - оценку сверху.
Согласно текущим тенденциям, все большая часть Интернет-трафика шифруется (см. ). Шифрование защищает содержимое и заголовки пакетов, дополнение пакетов препятствует получению информации путем анализа их размеров. Однако криптография сама по себе не защищает от анализа поведения пакетов, то есть их распределения во времени, в результате чего может пострадать приватность пользователей. Кроме того, временной анализ SSH-трафика существенно упрощает несанкционированный доступ к пользовательским паролям. Пополнение трафика на канальном уровне - эффективная защитная мера против подобного анализа. Поток данных в канале приобретает заранее заданный характер. Некоторые пакеты задерживаются, а в канал, когда нужно, отправляются фиктивные данные. Это в принципе. На практике же весьма непросто реализовать пополнение так, чтобы наблюдаемый трафик в точности следовал заранее заданному распределению, так что у злоумышленника остается возможность скоррелировать пополненный полезный трафик. Несовершенство реализации пополнения можно оценить как пропускную способность скрытого канала, основанного на варьировании межпакетных интервалов. Оказывается, что в идеальных условиях этот скрытый канал допускает практическое использование. К счастью, в реальной загруженной сети с множеством потоков данных высокий уровень шума в канале затрудняет действия злоумышленника.
Применение аппарата скрытых каналов для оценки степени несовершенства архитектуры и/или реализации сервисов безопасности представляется весьма перспективным направлением исследований.
Красивое применение методов передачи данных, характерных для скрытых каналов по времени, в беспроводных сенсорных сетях удалось найти авторам работы . Одна из главных проблем сенсорных сетей - снижение энергопотребления. Если двоичные значения передаются по беспроводной сети обычным образом, то можно считать, что на это тратится энергия, пропорциональная их логарифму. Однако значения можно передавать и молчанием: послать стартовый бит, заставляющий получателя включить счетчик, выждать время, соответствующее значению, и послать стоп-бит. В результате экономится энергия, но тратится время (пропорциональное значению), однако передачу можно оптимизировать - молчание отлично мультиплексируется, каскадируется и быстро переадресуется.
Конечно, описанный метод передачи данных относится к разряду забавных диковинок. В целом, в настоящее время скрытые каналы являются почти исключительно академически-сертификационной областью. В этом контексте интересна работа , в которой исследуется проблема полноты анализа скрытых каналов. Вводится понятие полного набора скрытых каналов, элементы которого в совокупности порождают максимально возможную скрытую утечку информации (аналогом полного набора может служить базис в векторном пространстве). По мере выявления скрытых каналов их совокупность можно проверять на полноту (с помощью сформулированных в критериев) и получать в результате оценку потенциально возможной утечки информации. Еще один очень важный аспект работы - описание архитектурного подхода к построению систем, облегчающего анализ скрытых каналов. Выявлять по одному скрытые каналы в произвольной информационной системе - задача бесперспективная; целесообразно строить системы неким регулярным образом и затем подвергать их систематическому анализу с учетом их специфики.
На практике ни злоумышленники, ни производители средств информационной безопасности не уделяют скрытым каналам сколько-нибудь заметного внимания. Причина в том, что в современных информационных системах более чем достаточно "грубых" уязвимостей, допускающих несложное использование, поэтому и атакующие, и защищающиеся предпочитают пути наименьшего сопротивления, что вполне естественно. Первые эксплуатируют очевидные "дыры", вторые пытаются их прикрыть.
Потребителям тоже не до скрытых каналов - им бы от червей и вирусов врукопашную отбиться, да найти деньги на прошлогодний снег в упаковке с надписью "системы предотвращения вторжений с известными сигнатурами". И еще терпеливо выслушать поучения производителей дырявого ПО за отсутствие дисциплины управления многочисленными корректирующими заплатами для этого самого ПО.
По поводу уязвимостей есть две новости, и обе хорошие. Первая - проблем с безопасностью базового ПО становится меньше, поэтому злоумышленники более активно эксплуатируют уязвимости приложений. Новость вторая - приложений много. А ведь есть еще фишинг и другие методы морально-психологического воздействия... Поэтому время скрытых каналов, если и придет, то не очень скоро.
Чтобы осознать, сколь скромное место занимают скрытые каналы среди других проблем информационной безопасности, даже если ограничиться только дефектами программного обеспечения, целесообразно рассмотреть классификацию подобных дефектов, предложенную в статье в контексте разработки средств статического анализа исходных текстов с целью выявления ошибок, чреватых возникновением уязвимостей.
Дефекты в ПО могут быть внесены намеренно или по небрежности. Первые подразделяются на злоумышленные и незлоумышленные. Злоумышленные дефекты - это лазейки, логические и временные бомбы; незлоумышленные - скрытые каналы (по памяти или по времени) и несогласованные пути доступа.
Дефекты, внесенные непреднамеренно, делятся на:
ошибки проверки правильности данных (ошибки адресации, в том числе переполнение буферов, некачественные проверки значений параметров, неверное размещение проверок, неадекватная идентификация/аутентификация);
ошибки абстракции (повторное использование объектов, раскрытие внутреннего представления);
асинхронные дефекты (проблемы параллельного выполнения, включая ситуации опережения, активные и пассивные тупики, разрывы между временами проверки и использования, а также наличие нескольких ссылок на один объект);
ненадлежащее использование подкомпонентов (утечка ресурсов, непонимание распределения ответственности);
ошибки функциональности (дефекты обработки исключительных ситуаций, прочие дефекты безопасности).
Чтобы понять, как дефекты безопасности могут быть внесены в программное обеспечение намеренно, но не злоумышленно, рассмотрим скрытый канал, образующийся в дисковом контроллере при оптимизации обслуживания запросов по алгоритму лифта (обращения к диску обрабатываются не в порядке поступления, а по мере того, как штанга с головками достигает запрошенных блоков, см. статью , в которой представлен систематический подход к выявлению скрытых каналов по времени). Злоумышленный отправитель информации может влиять на порядок и, следовательно, время обработки обращений, контролируя направление перемещения штанги с головками путем выдачи собственных запросов к диску в определенном порядке. Здесь в роли разделяемого ресурса, допускающего (злоумышленное) целенаправленное воздействие, выступает общая очередь запросов к дисковым блокам, а также текущая позиция и направление движения штанги. Данный дефект естественно считать внесенным преднамеренно, но не злоумышленно, поскольку скрытый канал образовался не из-за ошибки реализации, а вследствие принятого проектного решения, направленного на оптимизацию функционирования системы.
Самую большую и практически важную группу дефектов, внесенных по небрежности, составляют ошибки проверки правильности данных, точнее, недостаточный контроль входных данных перед их использованием. Разработка методов недопущения или выявления подобных ошибок - задача первостепенной практической важности. А скрытые каналы могут подождать...
О потайных каналах
Как отмечено в работе , в настоящее время происходит становление так называемой многоаспектной информационной безопасности, когда делаются попытки учесть весь спектр интересов (порой конфликтующих между собой) всех субъектов информационных отношений, а также все виды конфигураций информационных систем, в том числе децентрализованные, не имеющие единого центра управления.
Безопасность зависит от субъекта. У пользователя своя безопасность, у поставщика информационного наполнения - своя (и пользователь здесь может считаться врагом). Появляются новые аспекты безопасности, такие как управление цифровыми правами. Эта тенденция особенно наглядно проявляется в применении потайных каналов.
Напомним (см. ), что скрытыми считаются нестандартные каналы передачи информации. Нестандартные способы передачи информации по легальным каналам (именуемыми в данном контексте обертывающими) получили название потайных (subliminal channels) или стеганографических (stego channels) каналов. Общие сведения о них приведены в статье . Потайные каналы используют тогда, когда имеется легальный коммуникационный канал, но что-либо (например, политика безопасности) запрещает передавать по нему определенную информацию.
Отметим, что между скрытыми и потайными каналами имеется два важных отличия. Во-первых, вопреки названию, никто не пытается скрыть существование скрытых каналов, просто для передачи информации используют сущности, для этого изначально не предназначенные, созданные для других целей. Напротив, потайной канал существует только до тех пор, пока о нем не узнал противник. Во-вторых, считается, что время передачи информации по скрытому каналу не ограничено. В противоположность этому, время передачи по потайному каналу определяется характеристиками обертывающего канала. Например, если для тайной передачи информации применяется графический образ, то передать можно только то, что удается поместить в этот образ, не нарушая скрытности.
В целом, потайные каналы гораздо практичнее скрытых, поскольку у них есть легальная основа - обертывающий канал. Потайные (а не скрытые) каналы - наиболее подходящее средство для управления враждебной многоагентной системой. Но в них нуждаются не только злоумышленники. Потайные каналы могут эффективно применяться поставщиками информационного наполнения, встраивающими в него скрытые "цифровые водяные знаки" и желающими контролировать его распространение, соблюдение потребителями цифровых прав. Еще один пример, ставший классическим, - применение потайного канала премьер-министром Великобритании Маргарет Тэтчер, которая, чтобы выяснить кто из ее министров виновен в утечках информации, раздала им варианты одного документа с разными межсловными промежутками.
Разумеется, при весьма общих предположениях потайные каналы нельзя не только устранить, но даже обнаружить (например, в сжатом JPEG-образе всегда найдется место для скрытой информации). По отношению и к скрытым, и к потайным каналам справедливо приведенное в статье положение "Вы всегда можете послать бит".
Содержательным является вопрос о емкости и устойчивости подобных каналов, которые определяются не только полосой пропускания обертывающего канала и характеристиками шума в нем, но и максимальным размером полезной (скрываемой) нагрузки, а также функцией-детектором допустимости передаваемой информации (см., например, статью и цитированные в ней источники, среди которых мы выделим работу ).
Проблематика потайных каналов давно и плодотворно исследуется с позиций теории информации, получено много интересных теоретически и важных практически результатов. Обратим внимание на возможность и эффективность совместного использования скрытых и потайных каналов в сетевой среде. Так, в работе описана реализация сети анонимизаторов (см. ) с помощью HTTP-серверов и клиентов. Web-серфинг служит обертывающим каналом. В роли узлов сети анонимизаторов выступают HTTP-серверы, а взаимодействие между ними осуществляется по скрытым каналам в HTTP/HTML при посредничестве ничего не подозревающих клиентов (в первую очередь - с помощью средств перенаправления запросов и активного содержимого, встроенных, например, в рекламные баннеры, присутствующие на посещаемой Web-странице). В результате можно достичь не только невозможности ассоциации между отправителем и получателем сообщений, но и реализовать более сильное свойство - скрытность (даже в присутствии глобального наблюдателя). Оказывающиеся невольными посредниками Web-серферы пополняют подлежащее анализу множество анонимности, затрудняя тем самым получение наблюдателем полезной информации.
(Разумеется, и злоумышленники, и разработчики защитных средств осознают возможности и проблемы, связанные с использованием HTTP в качестве обертывающего канала. Например, в статье описана обучаемая система Web Tap, выявляющая аномалии в исходящих HTTP-транзакциях.)
Отметим также очевидную связь между интеллектом встроенных агентов (или элементов многоагентной системы) и требуемой пропускной способностью потайных или скрытых каналов для взаимодействия с ними. В заметке приведен пример высокоинтеллектуальной троянской программы, являющейся экспертной системой, встроенной в доверенную (с многоуровневой политикой безопасности) стратегическую систему управления военными поставками и перемещением войск и способной определять по поставкам и перемещениям, возможно ли на следующей неделе начало наступательных военных действий. Если подобная программа будет каждый день передавать всего один бит информации (возможно/невозможно), это окажется весьма ценным для стратегического планирования. В то же время, согласно формальным требованиям "Оранжевой книги", скрытые каналы с полосой пропускания менее одного бита в десять секунд при аудите доверенных систем могут вообще не рассматриваться. (Редкий случай, когда "Оранжевая книга" делает послабление и, как оказывается, напрасно.)
Мораль состоит в том, что при анализе потайных и скрытых каналов вообще и их пропускной способности в частности нужно учитывать специфику информационных систем, ценность информации и семантику взаимодействия. В противном случае результаты анализа рискуют оказаться бессодержательными.
О побочных каналах
Побочные каналы можно считать частным случаем скрытых. В роли (невольных) передатчиков в подобных каналах выступают штатные компоненты информационных систем, а в роли приемников - внешние наблюдатели, применяющие соответствующее оборудование. Чаще всего с помощью побочных каналов измеряется время видимых операций (временные атаки на RSA стали общим местом), их энергопотребление и/или побочные электромагнитные излучения и наводки (ПЭМИН), но для атак могут применяться и акустические каналы, идет ли речь о цифровом замке сейфа или процессоре персонального компьютера, обрабатывающего секретный ключ (см. ).
Побочные каналы представляют собой, вероятно, наиболее наглядное проявление многоаспектности современной информационной безопасности. В роли атакующих на информационные системы (информационное наполнение, банковские карты, SIM-карты сотовых телефонов и т.п.), как правило, выступают их владельцы, располагающие значительным временем и соответствующим инструментарием. В сочетании с принципиальной невозможностью управления физическим доступом, перечисленные факторы делают атаки с использованием побочных каналов особенно опасными.
Объектами атак с использованием побочных каналов чаще всего становятся криптографические компоненты информационных систем, точнее, их секретные ключи. Например, в статье описана атака разбиением на SIM-карты сотовых телефонов (точнее, на алгоритм COMP128, применяемый для аутентификации пользователей и выработки сеансовых ключей), проводимая путем измерения энергопотребления с целью клонирования этих карт. Атаку удалось отточить до такой степени, что для определения секретного 128-битного ключа оказывается достаточно всего восьми измерений с адаптивно выбираемыми входными данными! То есть злоумышленнику достаточно получить SIM-карту буквально на минуту.
Весьма наглядно опасность атак, основанных на дифференциальном анализе энергопотребления, проиллюстрирована в статье . В 1998 году Брюс Шнейер писал, что в галактике не хватит кремния, а у Солнца - времени жизни для реализации атаки методом грубой силы на секретный ключ (112 бит) алгоритма 3DES. Минимальная длина ключа в алгоритме AES - 128 бит, но успешная атака методом дифференциального анализа энергопотребления на незащищенную микросхему, реализующую AES, может быть проведена менее чем за три минуты - от начала измерений до завершения анализа.
Кардинальное решение проблемы побочных каналов возможно при соблюдении следующего основополагающего принципа: данные об операциях, которые можно получить из побочных каналов, должны быть статистически независимы от входных и выходных данных и информации ограниченного доступа. Поскольку защищать от атак с использованием побочных каналов чаще всего приходится системы с весьма ограниченными ресурсами, корректная, полная реализация кардинального принципа - задача весьма непростая. Время операций нормализовать относительно просто, энергопотребление - сложнее, но также возможно (см., например, ), ПЭМИН - еще сложнее. На практике системы укрепляются "по мере сил" (что характерно для современной информационной безопасности вообще), а у мотивированных злоумышленников остается масса возможностей для результативных атак.
Литература
Е.Е. Тимонина -- Скрытые каналы (обзор). -- Jet Info, 2002, 11
А. Галатенко -- О скрытых каналах и не только. -- Jet Info, 2002, 11
R.A. Kemmerer -- A Practical Approach to Identifying Storage and Timing Channels: Twenty Years Later. - Proceedings of the 18th Annual Computer Security Applications Conference (ACSAC"02). -- IEEE, 2002
E. Tumoian , M. Anikeev -- Network Based Detection of Passive Covert Channels in TCP/IP. - Proceedings of the IEEE Conference on Local Computer Networks 30th Anniversary (LCN"05). -- IEEE, 2005
S. Cabuk , C.E. Brodley , C. Shields -- IP Covert Timing Channels: Design and Detection. - Proceedings of the CCS"04. -- ACM, 2004
P.A. Karger , H. Karth -- Increased Information Flow Needs for High-Assurance Composite Evaluations. - Proceedings of the Second IEEE International Information Assurance Workshop (IWIA"04). -- IEEE, 2004
В.Б. Бетелин, С.Г. Бобков, В.А. Галатенко, А.Н. Годунов, А.И. Грюнталь, А.Г. Кушниренко, П.Н. Осипенко -- Анализ тенденций развития аппаратно-программного обеспечения и их влияния на информационную безопасность. - Сб. статей под ред. академика РАН В.Б. Бетелина. -- М.: НИИСИ РАН, 2004
P. Efstathopoulos , M. Krohn , S. VanDeBogart , C. Frey , D. Ziegler , E. Kohler , D. Mazieres , F. Kaashoek , R. Morris -- Labels and Event Processes in the Asbestos Operating System. - Proceedings of the SOOP"05. -- ACM, 2005
Y. Zhu , R. Bettati -- Anonymity v.s. Information Leakage in Anonymity Systems. - Proceedings of the 25th IEEE International Conference on Distributed Computing Systems (ICDCS"05). -- IEEE, 2005
B. Graham , Y. Zhu , X. Fu , R. Bettati -- Using Covert Channels to Evaluate the Effectiveness of Flow Confidentiality Measures. - Proceedings of the 2005 11th International Conference on Parallel and Distributed Systems (ICPADS"05). -- IEEE, 2005
Y. Zhu , R. Sivakumar -- Challenges: Communication through Silence in Wireless Sensor Networks. - Proceedings of the MobiCom"05. -- ACM, 2005
R. Browne -- An Entropy Conservation Law for Testing the Completeness of Covert Channel Analysis. - Proceedings of the CCS"94. -- ACM, 1994
S. Weber , P.A. Karger , A. Paradkar -- A Software Flaw Taxonomy: Aiming Tools At Security. - Proceedings of the Conference on Software Engineering for Secure Systems - Building Trustworthy Applications (SESS"05). -- ACM, 2005
J.C. Wray -- An Analysis of Covert Timing Channels. -- IEEE, 1991
В.Б. Бетелин, В.А. Галатенко, М.Т. Кобзарь, А.А. Сидак, И.А. Трифаленков -- Обзор профилей защиты, построенных на основе "Общих критериев". Специфические требования к сервисам безопасности. -- "Безопасность информационных технологий", 2003, 3
K. Loepere -- Resolving Covert Channels withing a B2 Class Secure System. -- Honeywell Information Systems.
J.J. Harmsen , W.A. Pearlman -- Capacity of Steganographic Channels. - Proceedings of the MM-SEC"05. -- ACM, 2005
I.S. Moskowitz , L. Chang , R. Newman -- Capacity is the Wrong Paradigm. - Proceedings of the 2002 Workshop on New Security Paradigms. -- ACM, 2002
M. Bauer -- New Covert Channels in HTTP. Adding Unwitting Web Browsers to Anonymity Sets. - Proceedings of the WPES"03. -- ACM, 2003
K. Borders , A. Prakash -- Web Tap: Detecting Covert Web Traffic. - Proceedings of the CCS"04. -- ACM, 2004
D. Slater -- A note on the Relationship Between Covert Channels and Application Verification. -- Computer Sciences Corporation, 2005
K. Tiri , I. Verbauwhede -- Simulation Models for Side-Channel Information Leaks. - Proceedings of the DAC 2005. -- ACM, 2005
J.R. Rao , P. Rohatgi , H Scerzer , S. Tinguely -- Partitioning Attacks: Or How to Rapidly Clone Some GSM Cards. - Proceedings of the 2002 IEEE Symposium on Security and Privacy (S&P"02). -- IEEE, 2002
R. Muresan , C. Gebotys -- Current Flattening in Software nad Hardware for Security Applications. - Proceedings of the CODES+ISSS"04. -- ACM, 2004
V. Roth , U. Pinsdorf , J. Peters -- A Distributed Content-Based Search Engine Based on Mobile Code. - Proceedings of the 2005 ACM Symposium on Applied Computing (SAC"05). -- ACM, 2005
M. Carvalho , T. Cowin , N. Suri , M. Breedy , K. Ford -- Using Mobile Agents as Roaming Security Guards to Test and Improve Security of Hosts and Networks. - Proceedings of the 2004 ACM Symposium on Applied Computing (SAC"04). -- ACM, 2004
T. Pedireddy , J.M. Vidal -- A Prototype MultiAgent Network Security System. - Proceedings of the AAMAS"03. -- ACM, 2003
R. Menezes -- Self-Organization and Computer Security. - Proceedings of the 2005 ACM Symposium on Applied Computing (SAC"05). -- ACM, 2005
J. Page , A. Zaslavsky , M. Indrawan -- Countering Agent Security Vulnerabilities using an Extended SENSE Schema. - Proceedings of the IEEE/WIC/ACM International Conference on Intelligent Agent Technology (IAT"04). -- IEEE, 2004
J. Page , A. Zaslavsky , M. Indrawan -- Countering Security Vulnerabilities in Agent Execution using a Self Sxecuting Security Examination. - Proceedings of the AAMAS"04. -- ACM, 2004
J. Ameiller , S. Robles , J.A. Ortega-Ruiz -- Self-Protected Mobile Agents. - Proceedings of the AAMAS"04. -- ACM, 2004
M. Christodorescu , S. Jha -- Testing Malware Detectors. - Proceedings of the ISSTA"04. -- ACM, 2004
M. Christodorescu , S. Jha , S.A. Seshia , D. Song , R.E. Bryant -- Semantics-Aware Malware Detection. - Proceedings of the 2005 IEEE Symposium on Security and Privacy (S&P"05). -- IEEE, 2005
J.A.M. McHugh , F.P. Deek -- An Incentive System for Reducing Malware Attacks. -- Communications of the ACM, 2005, 6
J.V. Harrison -- Enhancing Network Security By Preventing User-Initiated Malware Execution. - Proceedings of the International Conference on Information Technology Coding and Computing (ITCC"05). -- IEEE, 2005
A. Bohra , I. Neamtiu , P. Gallard , F. Sultan , L. Iftode -- Remote Repair of Operating System State Using Backdoors. - Proceedings of the International Conference on Autonomic Computing (ICAC"04). -- IEEE, 2004
F. Sultan , A. Bohra , S. Smaldone , Y. Pan , P. Gallard , I. Neamtiu , L. Iftode -- Recovering Internet Service Sessions from Operating System Failures. -- IEEE Internet Computing, 2005, March/April
J.B. Grizzard , S. Krasser , H.L. Owen , G.J. Conti , E.R. Dodson -- Towards an Approach for Automatically Repairing Compromised Network Systems. - Proceedings of the Third IEEE International Symposium on Network Computing and Applications (NCA"04). -- IEEE, 2004
A. Goel , K. Po , K. Farhadi , Z. Li , E. de Lara -- The Taser Intrusion Recovery System. - Proceedings of the SOSP"05. -- ACM, 2005
J. Levine , J. Grizzard , H. Owen -- A Methodology to Detect and Characterize Kernel Level Rootkit Exploits Involving Redirection of the System Call Table. - Proceedings of the Second IEEE International Information Assurance Workshop (IWIA"04). -- IEEE, 2004
C. Kruegel , W. Robesrtson , G. Vigna -- Detecting Kernel-Level Rootkits Through Binary Analysis. - Proceedings of the 20th Annual Computer Security Applications Conference (ACSAC"04). -- IEEE, 2004
H. Xu , W. Du , S.J. Chapin -- Detecting Exploit Code Execution in Loadable Kernel Modules. - Proceedings of the 20th Annual Computer Security Applications Conference (ACSAC"04). -- IEEE, 2004
Y.-M. Wang , D. Beck , B. Vo , R. Roussev , C. Verbowski -- Detecting Stealth Software with Strider GhostBuster. - Proceedings of the 2005 International Conference on Dependable Systems and Networks (DSN"05). -- IEEE, 2005
S. Ring , D. Esler , E. Cole -- Self-Healing Mechanisms for Kernel System Compromises. - Proceedings of the WOSS"04. -- ACM, 2004
M. Laureano , C. Maziero , E. Jamhour -- Intrusion Detection in Virtual Machine Environments. - Proceedings of the 30th EUROMICRO Conference (EUROMICRO"04). -- IEEE, 2004
M. Vrable , J. Ma , J. Chen , D. Moore , E. Vandekieft , A.C. Snoeren , G.M. Voelker , S. Savage -- Scalability, Fidelity, and Containment in the Potemkin Virtual Honeyfarm. - Proceedings of the SOSP"05. -- ACM, 2005
S. Ring , E. Cole -- Taking a Lesson from Stealthy Rootkits. -- IEEE Security & Privacy, 2004, July/August
W. Shi , H.-H.S. Lee , G. Gu , L. Falk -- An Intrusion-Tolerant and Self-Recoverable Network Service System Using A Security Enhanced Chip Multiprocessor. - Proceedings of the Second International Conference on Autonomic Computing (ICAC"05) -- IEEE, 2005
