Canal encubierto - Covert channel

En seguridad informática , un canal encubierto es un tipo de ataque que crea la capacidad de transferir objetos de información entre procesos que se supone que la política de seguridad informática no debe permitir que se comuniquen . El término, originado en 1973 por Butler Lampson , se define como canales "no destinados a la transferencia de información en absoluto, como el efecto del programa de servicio sobre la carga del sistema ", para distinguirlo de los canales legítimos que están sujetos a controles de acceso por COMPUSEC .

Caracteristicas

Un canal encubierto se llama así porque está oculto a los mecanismos de control de acceso de los sistemas operativos seguros, ya que no utiliza los mecanismos legítimos de transferencia de datos del sistema informático (normalmente, lectura y escritura) y, por lo tanto, no puede ser detectado o controlado por el mecanismos de seguridad que subyacen a los sistemas operativos seguros. Los canales encubiertos son extremadamente difíciles de instalar en sistemas reales y, a menudo, pueden detectarse mediante la supervisión del rendimiento del sistema. Además, sufren de una relación señal / ruido baja y velocidades de datos bajas (típicamente, del orden de unos pocos bits por segundo). También se pueden eliminar manualmente con un alto grado de garantía de sistemas seguros mediante estrategias de análisis de canales encubiertos bien establecidas.

Los canales encubiertos son distintos de, y a menudo se confunden con, las explotaciones de canales legítimos que atacan sistemas pseudo-seguros de baja garantía utilizando esquemas como la esteganografía o esquemas incluso menos sofisticados para disfrazar objetos prohibidos dentro de objetos de información legítimos. El uso indebido del canal legítimo por la esteganografía no es específicamente una forma de canal encubierto.

Los canales encubiertos pueden atravesar sistemas operativos seguros y requieren medidas especiales de control. El análisis de canal encubierto es la única forma probada de controlar canales encubiertos. Por el contrario, los sistemas operativos seguros pueden prevenir fácilmente el uso indebido de canales legítimos, por lo que distinguir ambos es importante. El análisis de canales legítimos para objetos ocultos a menudo se tergiversa como la única contramedida exitosa para el uso indebido de canales legítimos. Debido a que esto equivale al análisis de grandes cantidades de software, ya en 1972 se demostró que no era práctico. Sin ser informados de esto, algunos se engañan al creer que un análisis "manejará el riesgo" de estos canales legítimos.

Criterios TCSEC

El Trusted Computer Security Evaluation Criteria (TCSEC) era un conjunto de criterios, ahora en desuso, que había sido establecido por el Centro Nacional de Seguridad Informática , una agencia administrada por la Agencia de Seguridad Nacional de los Estados Unidos .

La definición de Lampson de un canal encubierto se parafraseó en el TCSEC específicamente para referirse a las formas de transferir información de un compartimento de clasificación superior a una clasificación inferior. En un entorno de procesamiento compartido, es difícil aislar completamente un proceso de los efectos que otro proceso puede tener en el entorno operativo. Un canal encubierto es creado por un proceso emisor que modula alguna condición (como espacio libre, disponibilidad de algún servicio, tiempo de espera para ejecutar) que puede ser detectado por un proceso receptor.

El TCSEC define dos tipos de canales encubiertos:

Canales de almacenamiento : comuníquese modificando una "ubicación de almacenamiento", como un disco duro.
Canales de temporización : realizan operaciones que afectan el "tiempo de respuesta real observado" por el receptor.

El TCSEC, también conocido como el Libro Naranja , requiere que el análisis de los canales de almacenamiento encubiertos se clasifiquen como un sistema B2 y el análisis de los canales de temporización encubiertos es un requisito para la clase B3.

Canales de temporización

El uso de retrasos entre paquetes transmitidos a través de redes informáticas fue explorado por primera vez por Girling para la comunicación encubierta. Este trabajo motivó muchos otros trabajos para establecer o detectar una comunicación encubierta y analizar las limitaciones fundamentales de tales escenarios.

Identificación de canales encubiertos

Cosas ordinarias, como la existencia de un archivo o el tiempo utilizado para un cálculo, han sido el medio a través del cual se comunica un canal encubierto. Los canales encubiertos no son fáciles de encontrar porque estos medios son muy numerosos y se utilizan con frecuencia.

Dos técnicas relativamente antiguas siguen siendo los estándares para localizar posibles canales encubiertos. Uno trabaja analizando los recursos de un sistema y otro trabaja a nivel de código fuente.

Eliminando canales encubiertos

La posibilidad de canales encubiertos no puede eliminarse, aunque puede reducirse significativamente mediante un diseño y análisis cuidadosos.

La detección de un canal encubierto puede dificultarse utilizando características del medio de comunicación para el canal legítimo que nunca son controladas o examinadas por usuarios legítimos. Por ejemplo, un programa puede abrir y cerrar un archivo en un patrón cronometrado específico que puede ser detectado por otro programa, y el patrón puede interpretarse como una cadena de bits, formando un canal encubierto. Dado que es poco probable que los usuarios legítimos verifiquen patrones de operaciones de apertura y cierre de archivos, este tipo de canal encubierto puede permanecer sin ser detectado durante largos períodos.

Un caso similar es el de los puertos . En las comunicaciones habituales, el momento de las solicitudes es irrelevante y no se observa. Los golpes de puerto lo hacen significativo.

Ocultación de datos en el modelo OSI

Handel y Sandford presentaron una investigación en la que estudian canales encubiertos dentro del diseño general de protocolos de comunicación de red. Emplean el modelo OSI como base para su desarrollo en el que caracterizan los elementos del sistema que tienen potencial para ser utilizados para ocultar datos. El enfoque adoptado tiene ventajas sobre estos porque se consideran estándares opuestos a arquitecturas o entornos de red específicos.

Su estudio no tiene como objetivo presentar esquemas esteganográficos infalibles. Más bien, establecen principios básicos para la ocultación de datos en cada una de las siete capas de OSI . Además de sugerir el uso de los campos reservados de los encabezados de los protocolos (que son fácilmente detectables) en las capas de red superiores, también proponen la posibilidad de sincronizar los canales que implican la manipulación de CSMA / CD en la capa física.

Su trabajo identifica el mérito del canal encubierto como:

Detectabilidad: el canal encubierto debe ser medible únicamente por el destinatario previsto.
Indistinguibilidad: el canal encubierto debe carecer de identificación.
Ancho de banda: número de bits de ocultación de datos por uso de canal.

Su análisis de canal encubierto no considera cuestiones como la interoperabilidad de estas técnicas de ocultación de datos con otros nodos de la red, la estimación de la capacidad del canal encubierto, el efecto de la ocultación de datos en la red en términos de complejidad y compatibilidad. Además, la generalidad de las técnicas no puede justificarse plenamente en la práctica, ya que el modelo OSI no existe per se en los sistemas funcionales.

Ocultación de datos en el entorno LAN por canales encubiertos

As Girling analiza primero los canales encubiertos en un entorno de red. Su trabajo se centra en las redes de área local (LAN) en las que se identifican tres canales encubiertos obvios (dos canales de almacenamiento y un canal de temporización). Esto demuestra los ejemplos reales de posibilidades de ancho de banda para canales encubiertos simples en LAN. Para un entorno LAN específico, el autor introdujo la noción de un interlocutor que monitorea las actividades de un transmisor específico en la LAN. Las partes que se comunican de forma encubierta son el transmisor y el interlocutor. La información encubierta según Girling se puede comunicar a través de cualquiera de las siguientes formas obvias:

Observando las direcciones a las que se acerca el transmisor. Si el número total de direcciones a las que puede acceder un remitente es 16, existe la posibilidad de que la comunicación secreta tenga 4 bits para el mensaje secreto. El autor denominó esta posibilidad como canal de almacenamiento encubierto, ya que depende de lo que se envía (es decir, a qué dirección se acerca el remitente).
De la misma manera, el otro canal encubierto de almacenamiento obvio dependería del tamaño de la trama enviada por el remitente. Para los 256 tamaños posibles, la cantidad de información encubierta descifrada de un tamaño de la trama sería de 8 bits. Nuevamente, este escenario se denominó canal de almacenamiento encubierto.
El tercer escenario presentado utiliza la presencia o ausencia de mensajes. Por ejemplo, "0" para un intervalo de tiempo de mensaje impar, "1" para un intervalo de tiempo par.

El escenario transmite información encubierta a través de una estrategia de "cuándo se envía", por lo que se denomina canal encubierto de temporización. El tiempo para transmitir un bloque de datos se calcula en función del tiempo de procesamiento del software, la velocidad de la red, el tamaño de los bloques de la red y la sobrecarga del protocolo. Suponiendo que se transmiten bloques de varios tamaños en la LAN, la sobrecarga del software se calcula en promedio y también se presenta una evaluación de tiempo novedosa para estimar el ancho de banda (capacidad) de los canales encubiertos. El trabajo allana el camino para futuras investigaciones.

Ocultación de datos en el conjunto de protocolos TCP / IP por canales encubiertos

Centrándose en los encabezados IP y TCP del conjunto de protocolos TCP / IP, un artículo publicado por Craig Rowland diseña técnicas adecuadas de codificación y decodificación utilizando el campo de identificación IP, el número de secuencia inicial de TCP y los campos de número de secuencia de reconocimiento. Estas técnicas se implementan en una sencilla utilidad escrita para sistemas Linux que ejecutan kernels de la versión 2.0.

Rowland proporciona una prueba de concepto, así como técnicas prácticas de codificación y decodificación para la explotación de canales encubiertos utilizando el conjunto de protocolos TCP / IP. Estas técnicas se analizan considerando mecanismos de seguridad como la traducción de direcciones de red de firewall.

Sin embargo, la no detectabilidad de estas técnicas de comunicación encubierta es cuestionable. Por ejemplo, en un caso en el que se manipula el campo de número de secuencia del encabezado TCP, el esquema de codificación se adopta de manera que cada vez que se comunica de forma encubierta el mismo alfabeto, se codifica con el mismo número de secuencia.

Además, los usos del campo de número de secuencia así como el campo de acuse de recibo no pueden ser específicos para la codificación ASCII del alfabeto del idioma inglés como se propone, ya que ambos campos tienen en cuenta la recepción de bytes de datos pertenecientes a paquetes de red específicos.

Después de Rowland, varios autores académicos publicaron más trabajos sobre canales encubiertos en el conjunto de protocolos TCP / IP, incluida una gran cantidad de contramedidas que van desde enfoques estadísticos hasta aprendizaje automático. La investigación sobre canales encubiertos de red se superpone con el dominio de la esteganografía de red , que surgió más tarde.

Ver también

Vigilancia informática y de redes
Ataque de canal lateral : cualquier ataque basado en información obtenida de la implementación de un sistema informático
Esteganografía : ocultar mensajes en otros mensajes
Canal subliminal

Referencias

^ Lampson, BW, Una nota sobre el problema del confinamiento. Comunicaciones de la ACM, octubre de 1973 16 (10): pág. 613-615. [1]
^ ^a ^b Estudio de planificación de tecnología de seguridad informática (James P. Anderson, 1972)
^ NCSC-TG-030, Análisis de canal encubierto de sistemas confiables (Libro rosa claro) , 1993 de laspublicaciones de la serie Rainbow del Departamento de Defensa de los Estados Unidos (DoD).
^ 5200.28-STD , Trusted Computer System Evaluation Criteria (Orange Book) , 1985 Archivado 2006-10-02 en Wayback Machine de laspublicacionesDoD Rainbow Series .
^ GIRLING, GREY (febrero de 1987). "Canales encubiertos en LAN's". Transacciones IEEE sobre ingeniería de software (2): 292–296. doi : 10.1109 / tse.1987.233153 . S2CID 3042941 . ProQuest 195596753 .
^ Ocultar datos en el modelo de red OSI Archivado el 18 de octubre de 2014 en Wayback Machine , Theodore G. Handel y Maxwell T. Sandford II (2005)
^ Canales encubiertos en el conjunto de protocolos TCP / IP Archivado el 23 de octubre de 2012 en Wayback Machine , 1996 Documento de Craig Rowland sobre canales encubiertos en el protocolo TCP / IP con código de prueba de concepto.
^ Zander, S .; Armitage, G .; Rama, P. (2007). "Una encuesta de canales encubiertos y contramedidas en protocolos de redes informáticas". Encuestas y tutoriales de comunicaciones de IEEE . IEEE. 9 (3): 44–57. doi : 10.1109 / comst.2007.4317620 . hdl : 1959.3 / 40808 . ISSN 1553-877X . S2CID 15247126 .
^ Información que se esconde en las redes de comunicación: fundamentos, mecanismos, aplicaciones y contramedidas . Mazurczyk, Wojciech., Wendzel, Steffen., Zander, Sebastian., Houmansadr, Amir., Szczypiorski, Krzysztof. Hoboken, Nueva Jersey: Wiley. 2016. ISBN 9781118861691. OCLC 940438314 .CS1 maint: otros ( enlace )
^ Wendzel, Steffen; Zander, Sebastián; Fechner, Bernhard; Herdin, Christian (abril de 2015). "Encuesta basada en patrones y categorización de técnicas de canal encubierto de red". Encuestas de computación ACM . 47 (3): 50: 1–50: 26. arXiv : 1406.2901 . doi : 10.1145 / 2684195 . ISSN 0360-0300 . S2CID 14654993 .
^ Cabuk, Serdar; Brodley, Carla E .; Shields, Clay (abril de 2009). "Detección de canal IP encubierto". Transacciones ACM sobre seguridad de la información y del sistema . 12 (4): 22: 1–22: 29. CiteSeerX 10.1.1.320.8776 . doi : 10.1145 / 1513601.1513604 . ISSN 1094-9224 . S2CID 2462010 .

Otras lecturas

Timing Channels una explotación temprana de un canal de temporización en Multics .
La herramienta de canal encubierto oculta datos en IPv6 , SecurityFocus, 11 de agosto de 2006.
Raggo, Michael; Hosmer, Chet (2012). Ocultar datos: exponer datos ocultos en multimedia, sistemas operativos, dispositivos móviles y protocolos de red . Syngress Publishing. ISBN 978-1597497435.
Lakshmanan, Ravie (4 de mayo de 2020). "Nuevo malware salta dispositivos con espacio de aire convirtiendo fuentes de alimentación en altavoces" .
Una clase en línea abierta sobre canales encubiertos (GitHub)

enlaces externos

Gray-World - Equipo de investigación de código abierto: herramientas y artículos
Centro de operaciones de red Steath - Sistema de soporte de comunicación encubierto

[1] Lampson, BW, Una nota sobre el problema del confinamiento. Comunicaciones de la ACM, octubre de 1973 16 (10): pág. 613-615. [1]

[anderson72-2] Estudio de planificación de tecnología de seguridad informática (James P. Anderson, 1972)

[3] NCSC-TG-030, Análisis de canal encubierto de sistemas confiables (Libro rosa claro) , 1993 de laspublicaciones de la serie Rainbow del Departamento de Defensa de los Estados Unidos (DoD).

[4] 5200.28-STD , Trusted Computer System Evaluation Criteria (Orange Book) , 1985 Archivado 2006-10-02 en Wayback Machine de laspublicacionesDoD Rainbow Series .

[5] GIRLING, GREY (febrero de 1987). "Canales encubiertos en LAN's". Transacciones IEEE sobre ingeniería de software (2): 292–296. doi : 10.1109 / tse.1987.233153 . S2CID 3042941 . ProQuest 195596753 .

[handelSandford-6] Ocultar datos en el modelo de red OSI Archivado el 18 de octubre de 2014 en Wayback Machine , Theodore G. Handel y Maxwell T. Sandford II (2005)

[rowland-7] Canales encubiertos en el conjunto de protocolos TCP / IP Archivado el 23 de octubre de 2012 en Wayback Machine , 1996 Documento de Craig Rowland sobre canales encubiertos en el protocolo TCP / IP con código de prueba de concepto.

[8] Zander, S .; Armitage, G .; Rama, P. (2007). "Una encuesta de canales encubiertos y contramedidas en protocolos de redes informáticas". Encuestas y tutoriales de comunicaciones de IEEE . IEEE. 9 (3): 44–57. doi : 10.1109 / comst.2007.4317620 . hdl : 1959.3 / 40808 . ISSN 1553-877X . S2CID 15247126 .

[9] Información que se esconde en las redes de comunicación: fundamentos, mecanismos, aplicaciones y contramedidas . Mazurczyk, Wojciech., Wendzel, Steffen., Zander, Sebastian., Houmansadr, Amir., Szczypiorski, Krzysztof. Hoboken, Nueva Jersey: Wiley. 2016. ISBN 9781118861691. OCLC 940438314 .CS1 maint: otros ( enlace )

[10] Wendzel, Steffen; Zander, Sebastián; Fechner, Bernhard; Herdin, Christian (abril de 2015). "Encuesta basada en patrones y categorización de técnicas de canal encubierto de red". Encuestas de computación ACM . 47 (3): 50: 1–50: 26. arXiv : 1406.2901 . doi : 10.1145 / 2684195 . ISSN 0360-0300 . S2CID 14654993 .

[11] Cabuk, Serdar; Brodley, Carla E .; Shields, Clay (abril de 2009). "Detección de canal IP encubierto". Transacciones ACM sobre seguridad de la información y del sistema . 12 (4): 22: 1–22: 29. CiteSeerX 10.1.1.320.8776 . doi : 10.1145 / 1513601.1513604 . ISSN 1094-9224 . S2CID 2462010 .

Languages

In other projects