uzluga.ru
добавить свой файл


Сложностные характеристики статистических скрытых каналов

Автор: Свинцицкий Антон Игоревич

Факультет вычислительной математики и кибернетики

Московского Государственного Университета им. М. В. Ломоносова

Научный руководитель: д.ф.-м.н. Грушо Александр Александрович

План презентации

  • Анализ и классификация существующих моделей скрытых каналов передачи данных в компьютерных системах.

  • Постановка задачи.

  • Модель статистического скрытого канала и ее свойства.

  • Практические аспекты, связанные с существованием скрытых каналов в компьютерных системах



Анализ и классификация существующих моделей скрытых каналов



Анализ и классификация

Определение (Lampson B.W. A note of the Confinement Problem):

Скрытый канал - канал связи (коммуникационный канал) изначально не предназначенный для передачи информации, нарушающих установленную политику информационной безопасности.

Анализ и классификация

Основные классы скрытых каналов (традиционное разделение):
  • Скрытые каналы по памяти.

  • Скрытые каналы по времени.

  • Статистические скрытые каналы.



Анализ и классификация

Анализ современных моделей скрытых каналов позволяет выделить следующие классы (практическая классификация):
  • Стеганографические скрытые каналы.

  • Статистические скрытые каналы.



Стеганографические скрытые каналы

Общая схема скрытого канала

Стеганографические скрытые каналы в современных сетевых протоколах

Протокол IP

(заголовок)

Протокол DNS

(DNS запросы)

Стеганографический скрытый канал в протоколе DNS



Стеганографические скрытые каналы в современных сетевых протоколах

Протокол HTTP

(использование get запросов)

Использование «cookies»

Стеганографические скрытые каналы в современных сетевых протоколах

Использование «cookies»

Использование перестановок

Основная идея: отслеживание последовательностей обращений к определенным ресурсам сети Интернет

Например, если злоумышленник контролирует сайты (определенные разделы сайтов) , то сформированная последовательность обращений , являющаяся перестановкой, является кодом передаваемого сообщения.

Также могут использоваться текстовые гиперссылки внутри определенного документа на другие разделы сайта.

Статистические скрытые каналы. Примеры

Основная идея: изменение последовательности пакетов в сети.

Все адреса сегментов сети разбиты на два непересекающихся множества .

Тогда последовательности пакетов длины адресов из множества означает, что передается «1», последовательность длины адресов из множества означает, что передается «0». Если сформирована последовательность длины меньше , то передачи нет.

Выводы

  • Скрытые каналы существуют практически в любом протоколе сетевого взаимодействия.

  • Скрытые каналы представляют для нарушителем возможности получения доступа к информационным активам компании.

  • Стеганографические скрытые каналы наиболее исследованы в отечественной и зарубежной литературе.



Выводы. Сравнение скрытых классов скрытых каналов



Постановка задачи



Постановка задачи

Необходимо описать модель статистического скрытого канала передачи информации, для обеспечения передачи информационных активов из защищаемого сегмента корпоративной сети на сервер нарушителя (злоумышленника), расположенный в сети Интернет.

Постановка задачи

На пограничном маршрутизаторе сегмента установлена программная или программно-аппаратная закладка А, взаимодействующая с сервером нарушителя В, расположенном в сети Интернет так, что пакеты из сегмента , адресованные , проходят через узел сети, на котором расположен этот сервер.

Модель статистического скрытого канала и ее свойства



Описание модели

Закладка А и сервер В знают некоторый секретный ключ:
  • – длина эксперимента;

  • , где – время эксперимента;

  • – интервал единичного эксперимента;

  • – константа



Описание модели

  • Закладка формирует специальную последовательность исходящих пакетов, адресованных .

  • Сервер отслеживает, какие пакеты проходят через него в каждый момент времени и вычисляет следующие величины:

где .

Описание модели

  • Если , то сервер делает предположение, что закладка передает «1».

  • Если , то делается предположение, что передается «0».

Иначе: нет передачи данных.

Оценка параметров модели

Для того чтобы сервер мог отделить наличие передачи по данных от нормальной работы сети необходимо оценить длину эксперимента .
  • : нормальная работа сети, скрытой передачи нет ;

  • : идет передача информации с использованием статистического скрытого канала ;



Оценка параметров модели

  • Оценим константу исходя из предположения, что вероятность ошибки первого рода ( неверно отвергнута) не должна быть выше чем , то есть:



Оценка параметров модели

  • Из полученной оценки для величины , получим оценку для из предположения, что вероятность ошибки второго рода не должна быть выше :



Оценка параметров модели

Утверждение 1: Для того, чтобы B мог выделить скрытую передачу информации в сетевом трафике при заданных значениях и необходимо, чтобы длина эксперимента была не меньше

где

(передачи нет)

(передача идет)

Передача k бит информации

  • Пусть в каждый момент времени сервер наблюдает за пакетами, адресованными получателям , и вычисляет величины:

  • Все множество разбивается на два непересекающихся подмножества:



Передача k бит информации

Всего существует вариантов разбиения на множества мощности и , существует вариантов разбиения на 2 непересекающихся множества, что соответствует мощности . Можно построить взаимно-однозначное соответствие между всевозможными разбиениями на множества и и векторами длины .

Пропускная способность статистического скрытого канала

Определим – общее время, необходимое для передачи 1 () бит информации.

В соответствии с предложенным алгоритмом , так как для поиска одного пакеты, адресованному определенному узлу рассматривается интервал , всего таких интервалов .

Откуда можно определить скорость передачи (бит/единицу времени):

– для модели передачи 1 бита;

– для модели передачи бит.

Защита от скрытого канала

  • Модель использует предположение, что время на закладке синхронизировано с сервером синхронизации и соответствует времени на узле злоумышленника.

  • Использовать дополнительное перемешивание пакетов.

  • Использование различных маршрутов передачи информации между территориально удаленными сегментами корпоративной информационной системы.

  • Использование выделенных каналов связи между территориальной удаленными сегментами.



Использование модели на разных уровнях модели OSI



Практические аспекты, связанные с существованием скрытых каналов в компьютерных системах



Протокол синхронизации времени

  • Сервер в заранее определенные моменты времени посылает пакеты, адресованный определенному узлу сети (содержащие определенный признак).

  • Данные пакеты являются «метками синхронизации» (например, пакеты адресованные )

  • Ключ известен серверу и клиенту и формируется следующим образом: – определенные моменты эталонного времени

  • Время на сервере синхронизировано с эталонным значением

Задача: синхронизировать время на клиенте

Протокол синхронизации времени

Шаг 1. Сервер в моменты времени отправляет «метки» синхронизации (моменты времени вычислены в системе отсчета сервера ).

Шаг 2. Клиент получает первую «метку» синхронизации в момент времени (вычисленный в системе отсчета клиента ). Следовательно, время соответствует глобальному времени . Если , то сдвига нет. Если нет, то на клиенте есть сдвиг, равный .

Протокол синхронизации времени

Шаг 3. Клиент получает вторую «метку» синхронизации в момент времени (вычисленный в системе отсчета клиента ). Если равно , то на клиенте есть только сдвиг равный , на который его время отличается от времени на сервере .

Если неравно , значит необходимо изменить алгоритм вычисления времени на клиенте (необходимо изменить количество тактов длины в единицу времени).

Если нет, то

Протокол синхронизации времени. Исправление ошибок

Возможные ошибки при передаче пакетов:
  • Лишние пакеты, обладающие свойства «меток» синхронизации.

  • Ошибки, связанные с задержкой сетевых пакетов на узлах компьютерной сети.

  • Ошибки, связанные с отбрасыванием пакетов на узлах компьютерной сети.



Протокол синхронизации времени. Исправление ошибок

Утверждение 2. Для синхронизации времени между сервером и клиентом количество полученных меток синхронизации должно быть не меньше 3.

Протокол синхронизации времени. Исправление ошибок

  • Любой пакет, в том числе и «метка» синхронизации может прийти с задержкой – случайная величина, имеющая геометрическое распределение с вероятностью успеха .

(обозначение)
  • Любой пакет может быть отброшен/потерян при передаче с вероятностью (схема Бернулли из испытаний с вероятностью успеха ).



Протокол синхронизации времени. Исправление ошибок

– число «меток», которые дошли до клиента

– число «меток», для которых задержка не превышает предопределенного значения

Утверждение 3.

При .

Протокол синхронизации времени.

Выводы:
  • В предложенном алгоритме показана возможность асимптотически точной синхронизации времени на клиенте со временем сервера синхронизации при условии постоянных величин такта и сдвига .

  • Также показано, что возможно получить любой порядок точности синхронизации несмотря на возможные ошибки в сети, связанные с задержкой и(или) потерей определенных пакетов.



Модель скрытого канала под ОС Windows.

1. Исполняемый код.

Основная задача исполняемого кода состоит в интерпретации стандартных потоков входа/выхода консоли (stdin/stdout) [92], в которой работает cmd.exe в последовательность DNS-запросов

Модель скрытого канала под ОС Windows.

2. Модуль состояния.

Основная задача состоит в реализации протокола жизни, который мог бы передать информацию на сервер управления о состоянии модуля управления

Модель скрытого канала под ОС Windows.

3. Транспортный модуль.

Основная задача транспортного модуля состоит в построение доверенного соединения с сервером управления с использованием протокола UDP

Для этого используются уникальные идентификаторы (ID), которые получаются с помощью стандартных вызовов в операционной системе Windows:
  • A=GetUserName () – функция, возвращающая имя пользователя, от имени которого запущен модуль удаленного управления;

  • B=GetComputerName () – функция, возвращающая NetBIOS имя узла корпоративной информационной системы, на котором запущен модуль удаленного управления;

  • ID=Hash(A+B) – функция, реализующая получения хэш-значения по описанному алгоритму (может использоваться любой алгоритм, например MD5



Модель скрытого канала под ОС Windows.

4. Операционная система

В операционной системе используется встроенный сервис svchost.exe/resolver

Используются стандартные WinAPI:
  • GetHostByName ();

  • DnsQuary ();

  • IcmpSendEcho ();

  • IcmpSendEcho2Ex ().



Модель скрытого канала под ОС Windows.

Основными задачами, которые реализует сервер управления, являются:
  • получение DNS-запросов по порту 53/udp;

  • разворачивание/сворачивание команд и(или) результатов выполнения таких команд в DNS-запросы/DNS-ответы.

Модуль парсер предназначен для интерпретации полученной последовательности UDP-пакетов в выход stdout для каждого уникального ID

Оценка возможности существования скрытых каналов

Общая схема оценки возможности существования скрытых каналов в компьютерных системах

Оценка возможности существования скрытых каналов

Типы скрытых каналов:
  • Стеганографический

  • Статистический



Оценка возможности существования скрытых каналов

Уровень реализации скрытого канала:
  • уровень передачи данных;

  • сетевой уровень;

  • транспортный уровень;

  • уровень прикладного программного обеспечения (прикладной уровень).



Оценка возможности существования скрытых каналов

Уязвимости, связанные с архитектурой компьютерной системой:
  • наличие подключений к сетям общего доступа;

  • структура корпоративной информационной системы (локальная, распределенная, автономное автоматизированное рабочее место);

  • режим обработки информации (однопользовательский, многопользовательский);

  • протоколы, разрешенные к использованию;

  • использование беспроводных технологий предоставления доступа к ресурсам корпоративной информационной системы.



Оценка возможности существования скрытых каналов

Априорные меры обеспечения информационной безопасности, которые могут влиять на возможность существования скрытых каналов:
  • использование средств защиты от вредоносного программного обеспечения;

  • использование средств анализа защищенности узлов корпоративной информационной системы;

  • использование межсетевых экранов;

  • использование средств мониторинга и контроля сетевого трафика;

  • использование механизмов прокси-серверов для предоставление доступа к сетями общего доступа;

  • обучение работников вопросам обеспечения информационной безопасности.



Оценка возможности существования скрытых каналов

Апостериорные меры обеспечения информационной безопасности, которые могут влиять на возможность существования скрытых каналов:
  • использование средств мониторинга и корреляции событий информационной безопасности;



Оценка возможности существования скрытых каналов

Итоговое влияние существующих механизмов обеспечения информационной безопасности в части контроля потенциальных скрытых каналов вычисляется по следующей формуле:

Оценка возможности существования скрытых каналов

Итоговая оценка возможности существования скрытых каналов вычисляется по следующей формуле

Оценка возможности существования скрытых каналов

Для оценки ценности информационного () актива используется следующая качественная шкала:
  • минимальный (нулевой, ) – разглашение информации не приводит к возникновению какого-либо ущерба для владельца (организации);

  • низкий (допустимый, ) – разглашение информации может привести к возникновению ущерба, который не может существенно повлиять на основные производственно-технологические и бизнес-процессы организации;

  • средний (существенный, ) - разглашение информации может привести к значительному ущербу, потере конкурентоспособности организации (нанесение ощутимого, значимого ущерба как организации, так и интересам клиентов, партнёров, сотрудников и др.), значимым нарушениям в основных производственно-технологических и бизнес-процессах;

  • высокий (неприемлемый, ) - разглашение информации может привести к катастрофическим финансово-экономическим и другим последствиям для организации, вплоть до банкротства.



Оценка возможности существования скрытых каналов



Вопросы?

Спасибо за внимание