480 руб. | 150 грн. | 7,5 долл. ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Диссертация - 480 руб., доставка 10 минут , круглосуточно, без выходных и праздников
Когос Константин Григорьевич. Метод противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов: диссертация... кандидата технических наук: 05.13.19 / Когос Константин Григорьевич;[Место защиты: Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Национальный исследовательский ядерный университет "МИФИ"].- Москва, 2015.- 116 с.
Введение
1 Исследование способов построения и противодействия утечке информации по скрытым каналам в сетях пакетной передачи данных 11
1.1 Подходы к определению скрытых каналов 11
1.2 Скрытые каналы в сетях пакетной передачи данных 19
1.3 Противодействие утечке информации по скрытым каналам
1.3.1 Идентификация скрытых каналов 24
1.3.2 Анализ скрытых каналов 30
1.3.3 Ограничение пропускной способности и подавление скрытых каналов 33
1.3.4 Обнаружение скрытых каналов 37
1.3.5 Противодействие утечке информации по сетевым скрытым каналам 39
1.4 Выводы 41
2 Методика анализа и оценки пропускной способности скрытых каналов при введении методов ограничения пропускной способности 43
2.1 Оценка максимальной пропускной способности скрытого канала при поточном шифровании трафика 43
2.2 Оценка максимальной пропускной способности скрытого канала при блочном шифровании трафика 47
2.3 Методика анализа и оценки пропускной способности скрытых каналов в условиях противодействия 51
2.4 Выводы 57
3 Метод ограничения пропускной способности скрытых каналов путем увеличения длин передаваемых пакетов 58
3.1 Способ противодействия утечке информации путем случайного увеличения длин передаваемых пакетов 58
3.2 Оценка пропускной способности скрытого канала в условиях противодействия 59
3.3 Построение скрытого канала, при котором длины передаваемых пакетов принимают равномерно распределенные значения 62
3.4 Оценка пропускной способности скрытого канала, при котором длины передаваемых пакетов принимают равномерно распределенные значения 67
3.5 Оценка пропускной способности скрытого канала с заданным уровнем ошибок, при котором длины передаваемых пакетов принимают равномерно распределенные значения 68
3.6 Выводы 70
4 Метод ограничения пропускной способности скрытых каналов путем генерации фиктивного трафика 71
4.1 Способ противодействия утечке информации путем генерации фиктивного трафика 71
4.2 Оценка пропускной способности скрытого канала при детерминированной генерации фиктивного трафика 73
4.3 Оценка пропускной способности скрытого канала при случайной генерации фиктивного трафика 79
4.4 Выводы 86
5 Применение разработанных методов ограничения пропускной способности скрытых каналов 87
5.3 Внедрение результатов диссертационной работы 95
5.4 Выводы 97
Заключение 98
Список сокращений и условных обозначений 100
Список литературы 101
Введение к работе
Актуальность работы. На современном этапе развития информационных технологий и массового внедрения средств вычислительной техники в различные области и сферы деятельности человека постоянно возрастает актуальность проблем информационной безопасности, от качества решения которых во многом зависит успешное функционирование государственных и коммерческих организаций.
В настоящее время и на прогнозируемую перспективу сохранится тенденция широкого использования сетей пакетной передачи данных, что, в свою очередь, делает весьма значимой угрозу негласного использования нарушителем особенностей протокола IP для скрытой передачи информации ограниченного доступа по каналам связи, выходящим за пределы объектов информатизации, на которых она обрабатывается.
Необходимость создания и постоянного совершенствования способов противодействия утечке информации по так называемым скрытым каналам обусловлена и тем, что такие каналы могут быть построены в условиях применения традиционных способов сетевой защиты, заключающихся в межсетевом экранировании, туннелировании трафика и др. Исследования показывают, что данная угроза сохраняется даже при передаче информации в зашифрованном виде. Согласно отечественному стандарту ГОСТ Р 53113.2-2009, информация, связанная с размерами пакетов и временными интервалами между их появлением, может быть использована для организации скрытого канала в условиях туннелирования и шифрования трафика. Вопросами анализа скрытых каналов занимаются такие отечественные и зарубежные ученые, как Аникеев М.В., Грушо А.А., Матвеев С.В., Тимонина Е.Е., Зандер С., Кабук С., Кеммерер Р.А., Лэмпсон Б.В., Миллен Ж.К. и другие.
Значимость диссертационной работы подтверждена Перечнем приоритетных проблем научных исследований в области обеспечения информационной безопасности Российской Федерации (пункты 45, 48, 74), наличием в стандарте ГОСТ Р ИСО/МЭК 15408-2-2013 класса функциональных требований, касающихся ограничения и подавления скрытых каналов, а также регламентируемым ГОСТ Р 53113 подходом к противодействию утечке информации по скрытым каналам.
Особую актуальность рассматриваемой угрозе, связанной с утечкой информации по скрытым каналам, придают известные результаты исследований, согласно которым противник, который знает схему контроля в системе защиты, может создать невидимый для контролирующего субъекта скрытый канал как для управления программно-аппаратным агентом в компьютерной системе, так и для общения программно-аппаратных агентов в открытой среде между собой.
Метод, позволяющий гарантировать отсутствие в системе сетевых скрытых каналов,
заключается в построении и поддержании замкнутых доверенных программно-аппаратных
сред. Внедрение агента нарушителя в такие системы должно быть невозможно на любой стадии
их жизненного цикла. При этом, ввиду повсеместного использования импортного оборудования
и программного обеспечения, такой метод зачастую практически не реализуем, так как агент
нарушителя может быть внедрен как на оконечных, так и на промежуточных узлах на пути
следования трафика. Передача данных по каналам связи в зашифрованном виде не решает
проблему утечки информации по некоторым классам сетевых скрытых каналов. Вместе с тем,
исследование даже известного кода на предмет обнаружения программных закладок
представляет собой трудоемкую научно-техническую задачу и становится практически
невозможным при частом внесении изменений в программное обеспечение. Таким образом,
реализация рассмотренного подхода, позволяющего предотвратить утечку информации по
сетевым скрытым каналам, является нетривиальной задачей и не в любой системе может быть
доведена до практического исполнения. Другой способ исключения условий
функционирования сетевых скрытых каналов заключается в нормализации параметров пакетной передачи данных, то есть, в отправке пакетов фиксированной длины с фиксированными заголовками через равные промежутки времени, что приводит к существенному снижению эффективности использования пропускной способности каналов связи, увеличению стоимости их применения.
В силу отмеченных причин, в соответствии с ГОСТ Р 53113.1-2008, в случаях, когда регулирующие органы или собственник информации допускают возможность утечки некоторых объемов данных, рекомендуется использовать методы ограничения пропускной способности скрытых каналов. Такие методы применимы, если пропускная способность скрытого канала может быть ограничена до величины, меньшей установленного допустимого значения. Целесообразность использования указанных методов подтверждена данными компании IBM, согласно которым допустимо функционирование скрытых каналов с пропускной способностью до 0,1 бит/с, но в некоторых случаях возможно наличие потенциальных скрытых каналов с пропускной способностью до 100 бит/с. Применение рассмотренных методов на практике, в отличие от методов подавления скрытых каналов, позволяет обеспечивать высокую эффективную пропускную способность канала связи, гибко управлять эксплуатационными и стоимостными характеристиками телекоммуникационных систем. Данный подход позволяет гарантированно ограничить пропускную способность широкого класса скрытых каналов, независимо от способа их организации. Для построения таких методов необходимо получить и исследовать оценки пропускной способности скрытых каналов, функционирующих в условиях отсутствия и применения средств противодействия.
Кроме того, оценка пропускной способности скрытых каналов и оценка опасности, которую несет их скрытое функционирование, является одним из этапов по определению степени опасности скрытого канала в соответствии с ГОСТ Р 53113.1-2008.
В настоящей работе исследованы скрытые каналы, основанные на изменении длин передаваемых пакетов, так как, с одной стороны, такие каналы могут быть построены в условиях шифрования трафика, с другой стороны, их пропускная способность может быть значительно выше, чем пропускная способность каналов по времени. Несмотря на то, что известны способы реализации анализируемых методов противодействия утечке информации по скрытым каналам путем увеличения длин пакетов и генерации фиктивного трафика, отсутствуют рекомендации по выбору значений параметров данных методов, а также неизвестны оценки остаточной пропускной способности скрытых каналов в условиях противодействия. Поэтому настоящая работа, посвященная разработке и исследованию методов противодействия утечки информации по скрытым каналам, основанным на изменении длин передаваемых пакетов, является актуальной и представляет как научный, так и практический интерес.
Целью диссертационной работы является повышение защищенности информационных систем путем разработки метода ограничения пропускной способности скрытых каналов, основанных на изменении длин пакетов.
В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:
анализ существующих способов построения скрытых каналов в сетях пакетной передачи данных и способов противодействия им;
разработка методики анализа и оценки пропускной способности скрытых каналов при применении методов противодействия;
разработка и оценка количественных характеристик методов противодействия утечке информации по скрытым каналам, основанным на изменении длин пакетов, путем случайного увеличения длин пакетов, детерминированной и случайной генерации фиктивного трафика.
Основными методами исследования , используемыми в работе, являются методы теории информации, теории вероятности, дифференциального и интегрального исчисления.
Научная новизна диссертационной работы заключается в следующем.
1. Предложена методика анализа и оценки пропускной способности скрытых каналов с использованием методов теории информации в условиях их ограничения, позволяющая, в
отличие от существующих подходов, исследовать зависимость характеристик скрытых каналов от параметров способа противодействия.
Разработаны методы противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов, путем их случайного увеличения, детерминированной и случайной генерации фиктивного трафика, отличающиеся от известных тем, что они применимы в случае, когда допускается наличие в информационной системе скрытого канала с приемлемым значением пропускной способности.
Впервые получены оценки пропускной способности скрытых каналов, основанных на изменении длин передаваемых пакетов, в отсутствие противодействия и в условиях предотвращения утечки информации.
Теоретическую значимость представляют:
методы противодействия утечке информации по скрытым каналам, основанным на изменении длин пакетов, путем случайного увеличения длин пакетов, подлежащих отправке, детерминированной и случайной генерации фиктивного трафика;
методика анализа и оценки пропускной способности скрытых каналов при применении методов ограничения пропускной способности;
формулы для расчета значений параметров предложенных методов противодействия, при которых пропускная способность скрытого канала не превышает заданного значения.
Практическую значимость представляют:
методы ограничения пропускной способности скрытых каналов, основанных на изменении длин пакетов, путем случайного увеличения длин пакетов, подлежащих отправке, детерминированной и случайной генерации фиктивного трафика;
оценка максимальной пропускной способности скрытого канала, основанного на изменении длин передаваемых пакетов, при отсутствии противодействия в условиях поточного и блочного шифрования трафика;
методика анализа и оценки пропускной способности скрытого канала в условиях введения методов противодействия;
программные средства для расчета значений параметров предложенных методов противодействия, позволяющих понизить остаточную пропускную способность скрытого канала до заданного значения.
Внедрение результатов исследований. Практическая значимость результатов
диссертации подтверждена тремя актами о внедрении. Разработанные автором методы противодействия утечке информации по скрытым каналам внедрены в деятельность ЗАО «Голлард» по модернизации программного комплекса «Сито», предназначенного для
подавления функционирования скрытых логических каналов. Результаты диссертационной работы внедрены также в научно-исследовательские и опытно-конструкторские работы, выполняемые ООО «Защита информации». Теоретические результаты диссертации внедрены в образовательный процесс кафедры «Криптология и дискретная математика» НИЯУ МИФИ в рамках учебного курса «Криптографические протоколы и стандарты».
Публикации и апробация работы. Результаты диссертационной работы изложены в 15 опубликованных и приравненных к ним работах, в том числе в пяти научных статьях в изданиях, включенных в Перечень ведущих рецензируемых научных журналов, четырех научных статьях в журналах, индексируемых международной системой научного цитирования Scopus, из них одна в журнале, индексируемом международной системой научного цитирования Web of Science, также имеются два свидетельства о государственной регистрации программ для ЭВМ. Результаты работы докладывались на конференциях и семинарах различного уровня, в том числе на:
23-й и 24-й научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2014, 2015 гг.);
ХХII Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2015 г.);
научно-практическом семинаре в Центре специальных разработок Министерства обороны Российской Федерации (Москва, 2015 г.);
14-й Всероссийской конференции «Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография» SIBECRYPT’15 (Новосибирск, 2015 г.);
The International Conference on Open and Big Data OBD 2015 (Рим, Италия, 2015 г.);
The 5 th International Conference on IT Convergence and Security ICITCS 2015 (Куала Лумпур, Малайзия, 2015 г.);
The 2 nd Workshop on Emerging Aspects in Information Security EAIS’15 (Лодзь, Польша, 2015 г.);
The 8 th International Conference on Security of Information and Networks SIN 2015 (Сочи, 2015 г.).
Основные положения, выносимые на защиту:
оценка максимальной пропускной способности скрытых каналов, основанных на изменении длин пакетов, при поточном и блочном шифровании трафика;
методика анализа и оценки пропускной способности скрытых каналов при введении методов ограничения пропускной способности;
методы противодействия утечке информации по скрытым каналам, основанным на изменении длин пакетов, путем случайного увеличения длин передаваемых пакетов, детерминированной и случайной генерации фиктивного трафика;
выражения для расчета значений параметров предложенных методов противодействия утечке информации по скрытым каналам и рекомендации по их выбору.
Структура и объем работы. Диссертация состоит из введения, пяти разделов, заключения, списка литературы, включающего 148 наименований, и двух приложений. Диссертация изложена на 114 страницах с 27 рисунками и 12 таблицами, не включая приложения.
Схема непрямого скрытого канала по памяти Данные могут также быть скрыты в заполнении кадра или пакета незначащей информацией, если длина кадра или пакета должна быть не меньше определенного значения. Например, такая скрытая передача данных возможна в случае использования протокола Ethernet, в котором кадры должны быть заполнены до минимальной длины 60 байт. Если условия использования протокола не предусматривают конкретные значения для байтов заполнения, то могут быть использованы любые данные . Аналогичным образом, скрытая передача информации может быть организована для протоколов IPv4, IPv6 и TCP .
Изменение адресов получателей в последовательно передаваемых пакетах для построения скрытого канала предложено авторами . Сумму всех битов передаваемого пакета предложено использовать для скрытой передачи информации автором . Информация может быть передана путем изменения порядка передачи N пакетов через X потоков протокола TCP . Если представить, что пакеты - это шары, а потоки - урны, то представленный скрытый канал напрямую связан с задачей размещения N шаров по X урнам. Преднамеренное удаление отправителем некоторых пакетов, подлежащих отправке, применено для построения скрытого канала с низкой пропускной способностью в .
Скрытые статистические каналы детально проанализированы авторами . Примером скрытого статистического канала может являться передача некоторого маловероятного пакета в заранее заданный злоумышленником интервал времени.
Скрытая информация может быть передана путем изменения скорости передачи пакетов . Пропускная способность такого скрытого канала равна log2r бит в течение одного
временного интервала, где г - количество различных скоростей передачи пакетов. Бинарный скрытый канал по скорости передачи пакетов исследован авторами .
Впервые использовать длины межпакетных интервалов для организации скрытых каналов было предложено в . Авторами предложена технология JitterBug для построения бинарных скрытых каналов, основанных на изменении длин межпакетных интервалов. Другая схема скрытой передачи информации с использованием длин межпакетных интервалов исследована в . Авторами даны рекомендации по выбору значений параметров кодирования, при которых пропускная способность скрытого канала принимает наибольшее значение. В предложен скрытый канал, основанный на изменении длин межпакетных интервалов, вероятность обнаружения которого приблизительно равна 9%, вероятность ошибки второго рода не превышает 0,5%.
Авторами предложено переупорядочивание последовательности пакетов, подлежащих отправке, на стороне отправителя для построения скрытого канала. Так как существует п! способов переупорядочить п пакетов, то пропускная способность такого канала равна (log2 п!) / п бит на пакет.
В скрытом канале, описанном автором , отправитель посылает большое количество запросов на сервер, чтобы передать «1», либо бездействует, чтобы передать «0». Получатель по истечении каждого временного интервала посылает запросы на сервер и измеряет время ответного сигнала для восстановления переданной информации.
Авторами разработан скрытый канал, основанный на том, что температура процессора прямо пропорциональна количеству обработанных пакетов за единицу времени, а отклонения системных часов зависят от температуры процессора. В течение каждого временного интервала скрытый отправитель либо отправляет пакеты на промежуточный узел, либо бездействует. Скрытый получатель оценивает отклонение системных часов промежуточного узла, анализируя значения меток времени в полученных от него пакетах, например, используя поля «Метка времени» заголовков полученных пакетов протокола TCP. В ряде работ предложены схемы встраивания в длины межпакетных интервалов отличительной информации для отслеживания трафика, проходящего через прокси-серверы, анонимные сети.
Впервые изменять длину кадров канального уровня для скрытой передачи информации предложено авторами : отправителю и получателю известно правило, согласно которому каждому байту скрытого сообщения соответствует определенная длина кадра. Таким образом, требуется 256 различных длин кадров для описания всевозможных значений байтов передаваемого сообщения. Таким скрытые каналы требуют особого внимания, так как далее показано, что их пропускная способность может превышать 1% и 0,1% пропускной способности канала связи при использовании протокола сетевого уровня IPv4 и IPv6 соответственно.
Авторами предложен скрытый канал, в котором отправитель и получатель разделяют периодически обновляемую матрицу, элементы которой - уникальные неупорядоченные длины пакетов. Отправитель по битам скрытно передаваемого сообщения определяет строку матрицы и случайным образом выбирает длину пакета из данной строки, получатель - находит длину принятого пакета в матрице и по номеру строки восстанавливает биты переданного сообщения.
Предложенная в схема усовершенствована авторами : перед началом скрытой передачи информации отправитель и получатель формируют динамически обновляемый справочник длин пакетов, фиксируя длины пакетов трафика, характерного для отсутствия скрытого канала. Для скрытой передачи сообщения отправитель посылает пакет, длина которого выбрана из справочника по алгоритму, известному отправителю и получателю. Длина следующего пакета равна сумме длины предыдущего пакета и числа, соответствующего битам скрытно передаваемого сообщения. В данная схема улучшена путем существенного понижения емкостной и временной сложности декодирования, так как получатель не хранит весь справочник целиком. Авторами предложено совместное использование длин и информационного наполнения пакетов для построения скрытого канала с высокой пропускной способностью.
Представленные схемы скрытой передачи информации, использующие изменение длин пакетов, являются, с одной стороны, сложно обнаруживаемыми, с другой стороны, могут иметь достаточно высокую пропускную способность в сравнении со скрытыми каналами по времени. Это обусловлено тем, что скрытые каналы по времени являются каналами с шумом, поскольку время следования пакета - случайная величина, а также из-за того, что вероятность потери пакетов отлична от нуля.
Шифрование трафика - традиционный способ защиты передаваемой по сети информации ограниченного доступа, однако скрытые каналы, основанные на изменении длин пакетов, исследуемые в настоящей работе, могут быть построены в условиях шифрования трафика . Как правило, ввиду высокого объема шифрованных данных, а также необходимости поддержки высокой скорости зашифрования и расшифрования, для обеспечения конфиденциальности передаваемых данных применяют симметричные алгоритмы шифрования. По принципу обработки информации различают поточные и блочные симметричные алгоритмы шифрования . Данный подраздел посвящен оценке максимальной пропускной способности скрытых каналов, основанных на изменении длин передаваемых пакетов, при поточном шифровании трафика. Вопросы применения методов поточного шифрования для защиты трафика исследовали, например, авторы .
При использовании поточных алгоритмов шифрования длина сообщения не изменяется, поэтому для исследования выбран скрытый канал, построенный следующим образом. Пусть длины пакетов принимают значения на множестве Nt +L \Nj ч, фикс, LGN. Тогда наибольшую пропускную способность имеет скрытый канал, в котором для передачи символа «/ » отправитель посылает пакет длины 1фикс+К г є „-і U{0}, neN - параметр скрытого канала, Nx - множество натуральных чисел от 1 до х. Для оценки пропускной способности скрытого канала v здесь и далее выбран метод, основанный на оценке взаимной информации случайных величин X, 7, описывающих входные и выходные характеристики скрытого канала соответственно: H(Y\X) = - Y, P«U) E A««(/Wlo82A«(/ b) условная энтропия случайной величины 7 относительно случайной величины X, pex(i) - вероятность отправки символа «/ », Реьа(і) - вероятность распознавания получателем символа «/ », рвЬа(і\І) - условная вероятность распознавания получателем символа «/ » при отправке символа «/ ».
При равновероятном выборе передаваемых по скрытому каналу символов энтропия случайной величины 7 определяется значением параметра скрытого канала п и равна
Очевидно, при увеличении значения п увеличивается как средняя длина передаваемых пакетов, так и количество битов, которое несет передача одного пакета по скрытому каналу. Среднее время т передачи пакета определяется выражением: что достигается при средней длине передаваемых пакетов, равной. Таким образом, пропускная способность v скрытого канала определяется следующим
Для нахождения значения параметра скрытого канала п как функции от параметра метода противодействия а, при котором выражение принимает наибольшее значение, предлагается перейти от дискретной переменной п к непрерывной переменной n, определенной на полуинтервале ll,+oo). Функция от переменной n определена и непрерывна на данном множестве, что позволяет найти экстремум путем дифференцирования данной функции. Производная от функции v ; по переменной n определяется следующим
Заметим, что параметр скрытого канала n принимает целочисленные значения, поэтому фактическое значение параметра скрытого канала n0 необходимо выбирать следующим образом:
Как правило, lфикс определяет сумму длин заголовков сетевого и канального уровней модели взаимодействия открытых систем. Так, например, при использовании IPv4 в качестве протокола сетевого уровня сумма длин заголовков сетевого и канального уровней принимает значение не менее 34 байт, если технология канального уровня - Ethernet. Аналогичная величина при использовании протокола IPv6 равна 54 байтам. Тогда, как видно из таблицы 8, при поточном шифровании трафика при использовании протокола IPv4 пропускная способность скрытого канала максимальна при и=138 и достигает примерно 0,021/?, при использовании протокола IPv6 пропускная способность скрытого канала максимальна при п=201 и достигает примерно 0,014/?, где /? - пропускная способность канала связи. Таблица 8 - Пропускная способность скрытых каналов при поточном шифровании трафика
Данные результаты подтверждают актуальность исследования методов противодействия утечке информации по скрытым каналам, так как показывают, что при пропускной способности канала связи 1 Гбит/с может быть построен скрытый канал с пропускной способностью более 10 Мбит/с.
При блочном шифровании данных открытый текст разбивается на блоки одинакового размера, определяемого алгоритмом шифрования, которые зашифровываются независимо с помощью подстановки шифра. Расшифрование происходит аналогично. Таким образом, если 1Ш - длина блока, то открытый текст перед началом зашифрования должен иметь длину, кратную 1Ш. Способы дополнения открытого текста до необходимой длины описаны, например, в . Поскольку новый отечественный стандарт на алгоритм шифрования является симметричным блочным шифром с размерами блоков 64 и 128 бит, то полученные далее результаты применимы и в случае шифрования канала связи с использованием указанного алгоритма. Если открытый текст имеет длину /0, то после зашифрования длина шифрованного
Так как при таком способе построения скрытого канала увеличение длин пакетов до значений, кратных 1Ш, не приводит к ошибкам, то H(Y\X) = 0. Очевидно, при росте значения п увеличивается как средняя длина передаваемых пакетов, так и количество битов, которое несет передача одного пакета по скрытому каналу. Тогда среднее время т передачи пакета определяется выражением:
По рассуждениям, приведенным выше, выражение / (&) принимает наибольшее значение при выборе параметра Ь, равным единице. При таком выборе значения параметра скрытого канала Ъ скрытый канал построен следующим образом: для передачи символа «/ » отправитель посылает пакет длины 1фиКс+К /є-Л U{0}, п - параметр скрытого канала. В
данном случае введение противодействия приводит к возникновению ошибок, причем вероятность верного распознавания получателем переданного символа равна. а + \ При таком выборе значения параметра скрытого канала Ъ условные вероятности распознавания получателем переданного символа принимают следующие значения:
Параметр скрытого канала n принимает целочисленные значения, поэтому фактическое значение параметра скрытого канала n0 необходимо выбирать следующим образом:
Таким образом, в данном подразделе оценена остаточная пропускная способность скрытого канала, основанного на изменении длин пакетов, при случайном увеличении длин пакетов, подлежащих отправке. Необходимое условие построения исследованного скрытого канала - равномерное распределение на множестве длин передаваемых пакетов. Выбрана наилучшая, с точки зрения значения остаточной пропускной способности, схема построения скрытого канала. Однако уровень ошибок при передаче данных по построенному скрытому каналу равен
При наличии допустимого уровня ошибок параметры скрытого канала необходимо выбирать иным образом, что приведет к понижению его пропускной способности. В следующем подразделе исследована остаточная пропускная способность скрытого канала при наличии допустимого уровня ошибок при передаче данных по скрытому каналу и равномерном распределении на множестве длин передаваемых пакетов.
Оценка пропускной способности скрытого канала с заданным уровнем ошибок, при котором длины передаваемых пакетов принимают равномерно распределенные значения
В предыдущем подразделе дана оценка максимальной пропускной способности скрытого канала, при котором длины передаваемых пакетов равномерно распределены на некотором множестве, которая достигается при значении параметра скрытого канала Ь, равного единице. Однако при таком способе построения скрытого канала вероятность верного распознавания переданного символа составляет лишь. Уровень ошибок может быть важным параметром, так как использование скрытых каналов зачастую приводит к утечке критической информации, такой как криптографические ключи, пароли и так далее. Пусть задано значение р - допустимого уровня ошибок при передаче данных по скрытому каналу. Тогда значение параметра скрытого канала Ъ следует выбирать равным
Таким образом, в настоящем подразделе исследован скрытый канал, при построении которого длины передаваемых пакетов принимают равномерно распределенные значения, а уровень ошибок не превышает заданной величины. Выбрана наилучшая, с точки зрения значения остаточной пропускной способности скрытого канала, схема кодирования с учетом предъявляемых требований. Оценена остаточная пропускная способность скрытого канала в условиях противодействия.
В данном разделе разработан метод противодействия утечке информации по скрытым каналам в сетях пакетной передачи данных путем увеличения длины каждого пакета случайным образом. При известной схеме реализации данного метода противодействия нерешенной задачей оставалась оценка остаточной пропускной способности скрытого канала при введении противодействия. Увеличение длин пакетов не приводит к рассинхронизации отправителя и получателя, однако скрытые каналы, устойчивые к данному методу противодействия, должны быть построены специальным образом, предложенным в работе.
Дана оценка максимальной пропускной способности скрытого канала, основанного на изменении длин пакетов, при случайном увеличении длин пакетов, подлежащих отправке. Особое внимание уделено пропускной способности скрытых каналов, при которых длины передаваемых пакетов принимают равномерно распределенные значения, уровню ошибок при передаче данных. Полученные результаты позволяют применять предложенный метод противодействия путем случайного увеличения длин пакетов, подлежащих отправке, при наличии допустимой пропускной способности скрытого канала, минимизировав дополнительную нагрузку на канал связи. 4 Метод ограничения пропускной способности скрытых каналов путем генерации фиктивного трафика
Данный раздел посвящен разработке и исследованию метода противодействия утечке информации по скрытым каналам путем генерации фиктивного трафика. Предложено два способа генерации фиктивного трафика: детерминированным и случайным образом. Для обоих случаев получены выражения для оценки остаточной пропускной способности бинарного скрытого канали при синхронизации путем отправки пакетов специального вида.
При детерминированной генерации фиктивного трафика после передачи k пакетов с информационным наполнением отправляется фиктивный пакет случайной длины, k - параметр метода противодействия, отвечающий за частоту отправки фиктивных пакетов. Эффективная пропускная способность канала связи при введении данного метода противодействия равна
Ввиду сложности аналитических зависимостей, связывающих значения параметров скрытого канала и метода противодействия, лишь в некоторых случаях возможно получение формул для оценки значения параметра метода противодействия, в иных случаях необходимо воспользоваться расчетными данными, методами визуализации либо иными подходами, в зависимости от исследуемого метода противодействия и типа скрытых каналов.
В настоящем разделе даны рекомендации по выбору значений параметров разработанных методов утечке информации ограниченного доступа по скрытым каналам, основанным на изменении длин передаваемых пакетов. Ввиду того, что в ряде случаев определять значения параметров разработанных методов противодействия для ограничения пропускной способности скрытого канала необходимо расчетным способом с использованием сложных аналитических зависимостей, реализованы программные средства по расчету необходимых значений параметров предложенных методов противодействия, позволяющих предотвратить утечку информации ограниченного доступа, понизив дополнительную нагрузку на канал связи. Получены два свидетельства о государственной регистрации программ для ЭВМ , представленные в Приложениях 1, 2, которые позволяют автоматизировать выбор значений параметров методов противодействия путем случайного увеличения длин пакетов и генерации фиктивного трафика соответственно.
Рассмотрим метод противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов, путем их увеличения случайным образом, предложенный в третьем разделе диссертации. Обобщая полученные зависимости, получаем три случая, для которых определена пропускная способность скрытых каналов в условиях противодействия: - для канала, имеющего наибольшую пропускную способность при введении противодействия (K1): - для канала, имеющего наибольшую пропускную способность при введении противодействия и условии, что длины передаваемых пакетов принимают равномерно распределенные значения (K2): (2L+a-l - для канала, имеющего наибольшую пропускную способность при введении противодействии, и условиях, что длины передаваемых пакетов принимают равномерно распределенные значения и уровень ошибок не превышает заданного значения (K3): +
Значения параметров метода противодействия путем случайного увеличения длин передаваемых пакетов для ограничения пропускной способности данных скрытых каналов предлагается определять расчетным способом. В таблице 12 представлена зависимость между значениями параметров скрытого канала, пропускной способности скрытого канала и параметра метода противодействия.
В некоторых приложениях представляет интерес случай, когда длины передаваемых пакетов принимают значения на заданном множестве. Пусть при построении скрытого канала длины передаваемых пакетов равномерно распределены на множестве N,_, \N, _,. В 1фшс+- 1 условиях противодействия скрытый канал следует организовать следующим образом: для передачи символа «/ » отправитель посылает пакет длины /єЖ, Z GJV, U{0), где Wt =Nt +(;+1fe_1 \ Nj +й_1, b - параметр скрытого канала, bL. Из результатов, полученных в третьем разделе диссертации, следует, что пропускная способность v скрытого канала, построенного таким образом, максимальна при Ъ=1 и определяется следующим выражением: Пусть задано значение допустимой пропускной способности скрытого канала, такое что функционирование скрытых каналов с меньшей пропускной способностью считается неопасным. Пусть сс0 - значение параметра а, при котором выполнено равенство: Отсюда следует, что выполнено равенство: - = -Ыфикс+Ь-1 + а0). (98) После преобразования получаем: v0(a0+l)ln2 VoK27 n2 v Zln2
Таким образом, получена формула для расчета необходимого значения параметра метода противодействия, при котором пропускная способность построенного скрытого канала не превышает заданного значения. Однако при таком способе организации скрытого канала то есть в вероятность верного распознавания переданного символа составляет лишь а + 1 канал вносятся ошибки. Уровень ошибок является важным параметром, так как использование скрытых каналов зачастую приводит к утечке критической информации, такой как криптографические ключи, пароли и так далее. Пусть задано значение рош - допустимого уровня ошибок при передаче данных по скрытому каналу. Тогда из результатов, полученных в третьем разделе диссертации, следует, что значение параметра скрытого канала Ъ следует выбирать равным
В настоящем разделе представлены рекомендации по выбору параметров предложенных методов противодействия утечке информации по скрытым каналам. Ввиду того, что в ряде случаев определять значения параметров разработанных методов противодействия для ограничения пропускной способности скрытого канала необходимо расчетным способом с использованием сложных аналитических зависимостей, реализованы программные средства по расчету необходимых значений параметров предложенных методов противодействия, позволяющих предотвратить утечку информации ограниченного доступа, понизив дополнительную нагрузку на канал связи. Получены два свидетельства о государственной регистрации программ для ЭВМ, автоматизирующих методы противодействия путем случайного увеличения длин пакетов и генерации фиктивного трафика соответственно. Приведены результаты внедрения результатов диссертационной работы.
Скрытый канал
Скрытый канал - это коммуникационный канал, пересылающий информацию методом, который изначально был для этого не предназначен.
Скрытый канал носит своё название в силу того факта, что он спрятан от систем разграничения доступа даже безопасных операционных систем, так как он не использует законные механизмы передачи, такие как чтение и запись, и потому не может быть обнаружен или проконтролирован аппаратными механизмами обеспечения безопасности, которые лежат в основе защищённых операционных систем. В реальных системах скрытый канал практически невозможно установить, и также его часто можно обнаружить с помощью наблюдения за быстродействием системы; кроме того, недостатками скрытых каналов являются низкое отношение сигнал/шум и низкие скорости передачи данных (порядка нескольких бит в секунду). Их также можно удалить с защищённых систем вручную с высокой степенью надёжности, если воспользоваться признанными стратегиями анализа скрытых каналов.
Скрытые каналы часто путают с использованием законных каналов, при котором происходит атака на псевдо-защищённые системы с низкой степенью доверенности, используя такие схемы как стеганография или даже менее сложные схемы, предназначенные для того, чтобы спрятать запрещённые объекты внутри объектов с легальной информацией. Подобные использования законных каналов с применением схем скрытия данных не являются скрытыми каналами и могут быть предотвращены доверенными системами с высокой степенью защищённости.
Скрытые каналы могут проходить сквозь защищённые операционные системы, и необходимы особые меры для их контроля. Единственным проверенным методом контроля скрытых каналов является так называемый анализ скрытых каналов. В то же время, защищённые операционные системы могут с лёгкостью предотвратить неверные (или незаконные) использования легальных каналов. Часто анализ легальных каналов на предмет скрытых объектов неверно представляют как единственную успешную меру против незаконного использования легальных каналов. Поскольку на практике это означает необходимость анализировать большое количество программного обеспечения, ещё в 1972 было показано что подобные меры неэффективны . Не зная этого, многие верят в то, что подобный анализ может помочь справиться с рисками, связанными с легальными каналами.
Лэмпсоновское определение скрытого канала было перефразировано в TCSEC так, чтобы имелись в виду способы передачи информации от более защищённого уровня к менее защищённому. В среде разделённых вычислений сложно полностью отделить один процесс от эффектов, которые другой процесс мог оказать на операционную среду. Скрытый канал создаётся процессом-отправителем, который модулирует некоторое состояние (такое как свободное пространство, доступность некоторого сервиса, времени ожидания запуска и т. д.), которое может быть обнаружено процессом-получателем.
В Критериях определяют два вида скрытых каналов:
Критерии, также известные как Оранжевая книга , требуют, чтобы анализ скрытых каналов памяти был классифицирован как требование для системы класса B2, а анализ скрытых каналов времени как требование для класса B3.
Возможность наличия скрытых каналов не может быть устранена полностью, но её можно существенно уменьшить аккуратным проектированием системы и её анализом.
Обнаружение скрытого канала может быть сделано более трудным при использовании характеристик среды передачи для легальных каналов, которые никогда не контролируются и не проверяются пользователями. Например, программа может открывать и закрывать файл особым, синхронизированным, образом, который может быть понят другим процессом как битовая последовательность, формируя таким образом скрытый канал. Так как маловероятно, что легальные пользователи будут пытаться найти схему в открытии и закрытии файлов, подобный тип скрытого канала может оставаться незамеченным в течение длительного времени.
Похожим случаем является технология «port knocking». Обычно при передаче информации распределение запросов во времени не важно, и за ним не наблюдают, но при использовании «port knocking» оно становится существенным.
Хэнделом и Сэнфордом была предпринята попытка расширить перспективу и сфокусироваться на скрытых каналах в общей модели сетевых протоколов. В качестве основы своих рассуждений они берут сетевую модель OSI и затем характеризуют элементы системы, которые возможно использовать для скрытия данных. У принятого подхода есть преимущества над подходом Хэндела и Сэнфорда, так как в последнем рассматриваются стандарты, противоположные некоторым используемым сетевым средам и архитектурам. Также не разработано надёжной схемы стенографирования.
Тем не менее, установлены общие принципы для скрытия данных на каждом из семи уровней модели OSI. Помимо того, что Хэндел и Сэнфорд предложили использовать зарезервированные поля заголовков протоколов (что легко обнаружимо), они также предположили возможность каналов по времени, касающуюся операции над CSMA/CD на физическом уровне.
Их работа определяет ценность скрытого канала по следующим параметрам:
Также был представлен анализ скрытых каналов, но он не рассматривает такие проблемы, как-то: взаимодействие с помощью упомянутых методов между сетевыми узлами, оценка ёмкости канала, эффект, который скрытие данных оказывает на сеть. Кроме того, применимость методов не может быть полностью оправдана на практике, так как модель OSI не существует как таковая в действующих системах.
Первым, кто проанализировал скрытые каналы в среде локальных сетей, был Гирлинг. Его работа фокусируется на локальных вычислительных сетях (ЛВС), в которых определяются три очевидных скрытых канала - два по памяти и один по времени. Это показывает реальные примеры возможных полос пропускания для простых скрытых каналов в ЛАС. Для особой среды ЛАС, автор ввёл понятие перехватчика, который наблюдает за действиями определённого передатчика в ЛВС. Стороны, осуществляющие скрытую передачу, - это передатчик и перехватчик. Скрытая информация, согласно Гирлингу, может быть передана любым из следующих способов:
Более конкретный подход был предпринят Роулэндом. Сосредотачиваясь на IP и TCP заголовках пакета протоколов TCP/IP, Роулэнд выводит правильные методы кодирования и декодирования с использованием поля идентификации IP и TCP-поля начального номера последовательности и номера последовательности подтверждения. Эти методы реализованы в простом приложении, написанном для Linux-систем, работающих на ядре версии 2.0.
Роулэнд просто доказывает саму идею существования скрытых каналов в TCP/IP, а также их использования. Соответственно, его работу можно оценивать как практический прорыв в этой сфере. Принятые им методы кодирования и декодирования более прагматичны по сравнению с ранее предложенными работами. Эти методы проанализированы с учётом механизмов безопасности, таких как преобразование сетевых адресов брандмауэром.
Тем не менее, необнаружимость этих методов скрытой передачи стоит под вопросом. Например, в случае когда производятся операции над полем номера последовательности TCP-заголовка, принята схема, в которой алфавит каждый раз скрытно передаётся, но тем не менее кодируется одним и тем же номером последовательности.
Более того, использование поля номера последовательности, так же, как и поля подтверждения, нельзя осуществлять с привязкой к ASCII -кодировке английского алфавита, как это предложено, так как оба поля учитывают получение байтов данных, относящихся с определённым сетевым пакетам.
У скрытия данных в пакете протоколов TCP/IP существуют следующие важные аспекты:
1.1 Дискреционный контроль доступа.
1.2 Мандатный контроль доступа.
1.3 Модель контроля целостности Биба.
1.4 Ролевой контроль доступа.
1.5 Модель невмешательства.
1.6 Модель невыводимости.
2 Постановка задачи повышения эффективности борьбы со скрытыми логическими каналами в распределенной среде
2.1 Современные подходы к реализации распределенных систем
2.2 Определение и классификация скрытых логических каналов
2.3 Основные характеристики скрытых логических каналов
2.4 Причины возникновения скрытых логических каналов
2.5 Идентификация скрытых логических каналов
2.6 Парирование скрытых логических каналов утечки данных
2.7 Требования нормативных документов по защите от скрытых логических каналов.
3 Принципы исследования скрытых логических каналов
3.1 Факторы влияющие на пропускную способность.
3.2 Определение пропускной способности скрытых каналов.
4 Анализ скрытых логических каналов в распределенной среде и разработка методики защиты
4.1 Разработка гибридной формальной субъектно - объектной модели распределенной вычислительной системы.
4.2 Построение модели скрытого логического канала в распределенной среде.
4.3 Исследование модели скрытого логического канала.
4.4 Разработка метода парирования скрытого логического канала
4.5 Разработка средства защиты.
4.6 Эксперимент
4.7 Внедрение.
5 Заключение
При проектировании современных телекоммуникационных сетей всегда остро стоит задача обеспечения их информационной безопасности. При этом решения в некоторых случаях являются настолько сложными и дорогостоящими, что для эффективного управления информационными потоками выполняется разделение архитектуры сетей по специальным, так называемым, профилям защищенности, которые указывают на степень решения этой задачи и оптимизацию на защиту от некоторого заранее определенного разработчиками перечня угроз.
Развивающаяся наука и техника предъявляют совершенно новые требования к телекоммуникационным сетям. При этом, удовлетворение большинства из требований уже не может выполняться в ограничениях этих заранее определенных профилей, так как развитие единой информационной среды Интернет, а также повсеместное внедрение информационных технологий в большинство технологических процессов, уже не позволяют рассматривать информацию как пассивную сущность с четким местом ее возникновения, обработки и хранения. Появление большого числа новых форматов данных, а также на несколько порядков возросшие скорости передачи информации сильно затрудняют ее анализ и требуют качественно новых подходов даже при использовании классических методов в обеспечении безопасности. Более того, современные методы обработки и обмена информацией в телекоммуникационных сетях создают новые риски, которые ранее не рассматривались как угрозы безопасности или их реализация прежде считалась невозможной.
В настоящее время особенно актуальны обозначенные проблемы при создании распределенных сетей. Так как в результате указанные проблемы проявляются в виде угроз качественно нового уровня. Они характеризуются чрезвычайно высокой сложностью при обнаружении и борьбе с ними в виду тесной интеграции компонентов систем между собой и соответственно значительно возросшей сложностью разделения уровней секретности. В результате даже небольшое повышение уровня защиты требует серьезного совершенствования подходов к обеспечению безопасности и научном обосновании принимаемых решений.
К способам реализации угроз качественно нового уровня часто относят скрытые логические каналы передачи информации. Традиционно, вопросы их исследования и разработки методов противодействия рассматривались в основном только применительно к автономным системам в контексте обеспечения конфиденциальности, целостности и доступности локально обрабатываемой информации. И поэтому в настоящее время известные способы защиты телекоммуникационных сетей в недостаточной степени учитывают многочисленные факторы и особенности взаимного влияния различных удаленных друг от друга компонентов. При этом, получаемые решения по обеспечению безопасности, основанные на использовании классических подходов, во многом являются частными и в виду их ориентации на индивидуальные особенности конкретной телекоммуникационной сети оказываются сложно переносимыми и весьма ограниченными в применении. Это обстоятельство ставит также задачу изменения подхода и к используемым моделям, вынуждая их становиться более масштабными и формальными, но тем не менее сохраняющими высокую степень адекватности в различных аспектах их применения.
Угрозы со стороны скрытых логических каналов направленны на нарушение конфиденциальности информации.
Современные методы защиты и требования нормативных документов, основанные на разделении всего спектра угроз по уровням безопасности, позволяют решить проблемы нарушения конфиденциальности информации и угроз от скрытых логических каналов лишь в общем виде, при этом сильно ограничивая функциональные возможности защищаемой сети. Это особенно остро ставит, помимо вышеуказанных, также разработки эффективных путей развития архитектуры сетей и выработки комплексных мер противодействия реализации угроз нового уровня.
Целью работы является определение методов и создание средства защиты от утечки данных по скрытым логическим каналам и повышение эффективности борьбы с угрозой нарушения конфиденциальности информации в распределенных телекоммуникационных сетях.
Предмет исследования - скрытые логические каналы несанкционированного доступа к ресурсам информационных сетей.
Объектом исследования данной работы является распределенная телекоммуникационная сеть.
Методы исследований примененные в данной работе для решения поставленных задач и анализа результатов эксперимента относятся к описанию модели безопасности Белла - ЛаПадула, синтаксического анализа потоков данных, анализа систем на невыводимость и невмешательство, методы построения матрицы разделяемых ресурсов, дискретной математики, теории вероятностей и математической статистики, теории множеств, теории графов и формальной логики. Помимо этого, для разработки программного обеспечения использовались методы построения конечных алгоритмов.
Научная новизна работы заключается в следующем:
На основе анализа разнородной информации о скрытых логических каналах создана классификация информационных угроз в телекоммуникационных сетях;
Создана методика исследования и обнаружения скрытых логических каналов в распределенных системах, основанная на использовании новых информационных моделей невыводимости и. невмешательства;
Разработан новый метод и алгоритм защиты от утечек информации по скрытым логическим каналам, использующим линии передачи данных в качестве разделяемого ресурса.
Достоверность результатов исследований обусловлена использованием в работе широко известных и признанных моделей невыводимости и невмешательства, апробированного математического аппарата, логической обоснованностью выводов, а также результатами экспериментальных исследований.
Практическая значимость исследования выражается в том, что на основе предложенных в работе моделей и методики защиты было разработано специальное программное обеспечение для тестирования сети с целью определения уровня угрозы со стороны скрытых логических каналов, а также законченное средство защиты информации позволяющее эффективно решать проблему парирования утечки данных по скрытым логическим каналам в сетях общего доступа. Разработаны рекомендации по быстрому внедрению средства защиты и его использованию на маршрутизаторах работающих под управлением операционной системы Linux. Разработанное программное обеспечение может быть полезно в различных отраслях промышленности и бизнеса, в организациях где реализуются меры противодействия компьютерной разведки, или же к защите информации предъявляются достаточно жесткие требования, а ее обработка ведется в распределенных телекоммуникационных сетях.
Среди областей применения средства защиты можно отметить различные территориально распределенные системы сбора и обработки информации а также стремительно набирающие популярность системы облачных вычислений, а также платежные системы.
Основные положения выносимые на защиту:
Среди многих каналов для реализации информационных атак возможна организация скрытого логического канала, использующего в качестве разделяемого ресурса канал сети передачи данных с методом доступа CSMA/CD;
Среди множества используемых характеристик уровня угроз несанкционированного доступа по скрытому логическому каналу, универсальной характеристикой уровня опасности должен служить критический уровень пропускной способности;
Для парирования угроз несанкционированного доступа по скрытым логическим каналам должна использоваться псевдослучайная нормализующая последовательность трафика;
Средство парирования угроз несанкционированного доступа по скрытым логическим каналам не влияет на скорость передачи данных по каналу легального доступа.
Структура работы
Работа состоит из четырех глав, введения, заключения, списка литературы и трех приложений.
В главе 1 приведен обзор традиционных методов и технологий защиты информации проведенный на основе и включающий в себя анализ дискреционной, мандатной и ролевой модели контроля и управления доступом, а также обеспечения целостности информации. Кроме этого, был проведен анализ моделей невыводимости и невмешательства используемых для изучения скрытых логических каналов.
В главе 2 был выполнен анализ технологий применяемых при построении современных распределенных вычислительных сетей, выявлены характерные недостатки их защиты. Проведено подробное исследование скрытых логических каналов, рассмотрены различные методы поиска и противодействия скрытым логическим каналам, а также проанализирована эффективность рассмотренных методов. На этой основе была сформулирована задача повышения эффективности защиты распределенных систем.
В главе 3 были рассмотрены специальные методы анализа скрытых логических каналов и расчета их точной пропускной способности необходимой для проведения дальнейших исследований.
В главе 4 была построена и исследована на безопасность модель распределенной вычислительной системы, в которой был проведен поиск скрытых логических каналов. Кроме этого, было проведено специальное исследование найденного скрытого логического канала и определен круг и уровень угроз этой уязвимости, выполнен анализ возможности применения рекомендаций нормативных документов и на основании чего была предложена эффективная методика борьбы со скрытым логическим каналом разработанная на основе моделей невыводимости и невмешательства, а также предложена реализация средства защиты.
5 Заключение
На основании приведенного в первой главе обзора традиционных моделей безопасности и их сравнительного анализа были выявлены их особенности и недостатки приводящие к реализации скрытых логических каналов утечки информации. В результате был сделан вывод, что нарушение безопасности модели с их помощью является целесообразным только в случае применения недискреционных политик. При этом, в самих формулировках таких политик аспекты защиты от скрытых логических каналов никак не оговариваются.
Для защиты от этой угрозы были разработаны информационные модели невмешательства и невыводимости, которые могут применяться для защиты конфиденциальной информации наряду с традиционными политиками безопасности. Однако, эти модели наряду с рассмотренными методами поиска скрытых логических каналов требуют чрезвычайно сложного анализа всей системы в целом, что сильно ограничивает возможности их практического использования, и как правило, их применение ограничивается исключительно областью научных исследований.
Перед исследованиями выполненными в рамках данной работы была поставлена цель проведения анализа использования скрытых логических каналов передачи данных в распределенных вычислительных системах и повышения эффективности борьбы с ними.
Обзор методов исследования скрытых логических каналов и средств борьбы показал, что методы защиты налагают множество ограничений на работу защищаемой информационной системы, как правило, значительно ухудшают ее функциональные возможности и характеристики. Поэтому был сделан вывод, что повышение эффективности борьбы со скрытыми логическими каналами можно достигнуть путем разработки нового метода защиты лишенного недостатков свойственных общепринятым подходам к этой проблеме.
Для решения поставленной задачи с целью поиска скрытых логических каналов и формирования теоретической базы для обоснования методов борьбы с ними была составлена обобщенная субъектно - объектная модель распределенной системы, сформулирована формальная политика безопасности и выполнена проверка ее целостности для заданного множества допустимых операций.
Исследование предложенной модели было произведено при помощи метода БЯМ, в результате чего, на основе анализа построенной матрицы разделяемых ресурсов, было выявлено множество характерных для распределенных систем скрытых логических каналов и определены конкретные причины приводящие к их реализации. Кроме этого, локализация обнаруженных проблем показала, что причины появления обнаруженных скрытых логических каналов сводятся к наличию в модели единственного разделяемого ресурса представляющего собой линию связи сети общего пользования.
Результатом проведенного исследования явилось построение модели такого скрытого логического канала включающей в себя точный алгоритм передачи по нему информации.
Для определения круга угроз был выполнен анализ моделей скрытого логического канала и распределенной системы с точки зрения информационных моделей невыводимости и невмешательства. При этом, угроза выводимости была охарактеризована как незначительная, поскольку она проявлялась лишь как частный случай. В то же время, вмешательство наблюдалось достаточно отчетливо и поэтому был сделан вывод о необходимости оценки его уровня.
Чтобы определить уровень угрозы возникающей в результате вмешательства, был проведен эксперимент в процессе которого выполнялось моделирование процессов приводящих к этой уязвимости. Он проводился при помощи специально разработанного программного обеспечения позволяющего организовать полноценный скрытый логический канал. В результате была рассчитана максимальная теоретическая пропускная способность такого канала реализованного при помощи исследуемых механизмов. На основе проведенных расчетов эта угроза была классифицирована как критическая, поскольку полученное значение скорости передачи оказалось значительно выше минимально допустимой стандартами.
В качестве средств борьбы с вмешательством была рассмотрена возможность применения стандартных средств и рекомендаций перечисленных в нормативных документах. Однако, анализ их практического использования показал, что это приводит к нарушению нормальной связности между узлами распределенной системы и невозможности выполнения ей своих функций. На этой основе был сделан вывод о необходимости разработки метода защиты лишенного таких недостатков, которые ведут к нарушению функциональности.
В качестве основы для разработки метода были взяты информационные модели невыводимости и невмешательства, а именно условие их безопасности, которое может быть достигнуто за счет удаления из информационной системы лишнего, с точки зрения этих моделей, вывода. На основе анализа обобщенной модели распределенной системы было выработано "нормальное" условие безопасности, а также способы его достижения из любого внутреннего состояния информационной системы при произвольной активности пользователей. При этом, в процессе разработки этой методики удалось добиться значительных результатов в сокращении ее негативного влияния на процесс обмена информацией между отдельными узлами распределенной системы.
На основе предложенной методики была также выполнена разработка высокоэффективного средства парирования скрытых логических каналов в телекоммуникационных сетях общего доступа. Средство парирования скрытых логических каналов имеет следующие характеристики:
Защита каналов связи легального достуа со скоростью передачи данных до 10 МБит/с;
Генерация трафика псевдослучайными последовательностями до 100 МБит/с;
Формирование "нормализующей" последовательности в реальном времени на скоростях до 10 МБит/с.
Его реализация основана на том факте, что вся обработка передаваемых данных в телекоммуникационном оборудовании является буферизированной. Оценка ввода пользователя и генерация "нормализующей" последовательности, требуемой для достижения безопасного состояния, выполняется при помощи широко используемых методов обеспечения качества обслуживания С^оБ. Кроме этого, использование в его разработке свободного программного обеспечения позволяет добиться простоты его внедрения, низкой стоимости и высоких эксплуатационных показателей по защите данных от утечки.
В итоге можно заключить, что все поставленные в диссертационной работе задачи были успешно выполнены.
1. B.W. Lampson. A Note on the Confident Problem. Communications of the ACM, 1973
2. M. Schaefer, B. Gold, R. Linde, J. Scheid. Program Confinement in KVM/370, New York, 1977
3. J.C. Huskamp. Covert Communication Channels in Timesharing Systems. University of California, 1978
4. DARPA Information Processing Techniques Office. RFC 793 Transmission Control Protocol, IETF, 1981
5. R.A. Kemmerer. Shared Resource Matrix Methodology: An Approach to Identifying Storage and Timing Channels. ACM Transactions on Computer Systems, 1983
6. National Computer Security Center, Department of Defence. Trusted Computer System Evaluation Criteria, DoD 5200.28-STD, 1985
7. A Comment on the Basic Security Teorem of Bell and La Padula, Information Processing Letters, 1985
8. J.K. Millen. Finite-State Noisless Covert Channels. Proceedings of the Computer Security Foundations Workshop. Franconia, New Hampshire, 1989
9. C.R. Tsai, V.D. Gligor, C.S. Chandersekaran. A Formal Method for the Identification of Covert Channels in Source Code. IEEE Transactions on Software Engineering, 1990
10. V.D. Gligor. A Guide to Understanding Covert Channel Analysis of Trusted Systems, 1993
11. Canadian Trusted Computer Product Evaluation Criteria. Canadian System Security Centre Communication Security Establishment, Government of Canada. Version 3.0e. January 1993
12. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, T. Berners-Lee. RFC 2068 Hypertext Transfer Protocol HTTP/1.1, IETF, 1997
13. E. Rescorla. RFC 2631 Diffie-Hellman Key Agreement Method, IETF, 199914.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.
Скрытые каналы (covert channels) – это один из методов в информационной безопасности, который может применяться как со знаком плюс (для обеспечения анонимности и конфиденциальности), так и со знаком минус (для организации утечек данных). Рассмотрим именно вторую составляющую – обнаружение скрытой передачи данных, или передачи данных по скрытым каналам, что является одной из самых труднорешаемых на практике задач информационной безопасности. Чтобы не увеличивать размер статьи, я сознательно обойду вниманием такие механизмы скрытия данных, как шифрование и стеганография.
Алексей Лукацкий
Консультант по безопасности Cisco
Скрытая передача данных по сети – это не единственное применение данного метода. Впервые термин "скрытый канал" появился в 1973 г. и применялся для вычислительных систем, не имеющих традиционного сетевого подключения. Например, четное значение длительности процесса может означать единицу, а нечетное – ноль. Таким образом, манипулируя длительностью процесса, мы можем формировать последовательность из 0 и 1, которыми можем описать все, что угодно (это так называемый временной канал). Другой пример скрытого процесса в вычислительных системах – запуск процессом той или иной задачи и ее завершение в определенное время, которое может трактоваться как единица; и ноль, если задача не завершена в указанное время.
Если говорить о скрытой сетевой передаче данных, то одним из самых популярных и относительно простых в реализации методов является инкапсуляция, которая заключается во включении защищаемой информации, которая должна быть передана наружу, или команды, которая должна быть принята снаружи, в разрешенный протокол.
При этом могут быть использованы совершенно различные варианты инкапсуляции:
В 1987 г. была предложена идея скрытой передачи по сети, и с этого момента начались серьезные исследования данного метода обеспечения конфиденциальности или утечек данных (зависит от того, с какой стороны баррикад смотреть). В частности, в 1989 г. впервые было предложено манипулировать неиспользуемыми битами фреймов Ethernet и ряда других канальных протоколов. Очевидно, что скрытые каналы в локальной сети не так интересны для изучения, в отличие от скрытия данных в глобальных сетях. Прорывом (по крайней мере, публичным) можно считать 1996 г., когда было опубликовано исследование, в котором демонстрировалась реальная передача и прием данных по скрытому в TCP/IP-каналу; а точнее, в отдельных полях его заголовка.
Видя такое многообразие методов, которые используются скрытыми каналами, и протоколов, в которых они находятся, понимаешь, почему предлагается столь много разных методов обнаружения скрытой передачи. Основным из них является контроль аномалий, который заключается в проверке следующих параметров (неполный список):
Инструментом, который позволяет отслеживать такие аномалии в сетевом трафике, являются системы класса NBAD (Network-based Anomaly Detection), которые либо уже содержат большое количество встроенных правил, либо могут быть настроены самостоятельно после проведенного режима обучения.
Помимо анализа аномалий скрытые каналы могут быть обнаружены и с помощью изучения содержимого в тех или иных протоколах. Это может быть сделано как с помощью традиционных решений класса Next Generation, которые могут отслеживать отклонения трафика прикладных протоколов от RFC, так и с помощью систем обнаружения вторжений. Например, вот так выглядит сигнатура для обнаружения скрытого канала NSTX в протоколе DNS для open source-решения Snort:
alert udp $EXTERNAL_NET any - > $HOME_NET 53 (msg:"Potential NSTX DNS Tunneling"; content:"|01 00|"; offset:2; within:4; content:"cT"; offset:12; depth:3; content:"|00 10 00 01|"; within:255; classtype:bad-unknown; sid:1000 2;)
Неуниверсальность – вот, пожалуй, основное препятствие и для активного использования скрытых каналов, и для борьбы с ними.
Скрытые каналы в сетевом трафике – это очень специфический метод, который не является универсальным и имеет свои ограничения и область применения. Каждый скрытый канал имеет свои характеристики, например пропускную способность, шум, режим передачи (двусторонний или односторонний), которые надо учитывать – как при их использовании, так и при борьбе с ними. Все-таки "Войну и мир" Л.Н. Толстого через такие каналы оперативно не передать, а у некоторых способов скрытой передачи очень высок уровень шума, что мешает им быть эффективно примененными в глобальных сетях, в которых внешние факторы могут сильно влиять на успешность скрытой передачи.
Неуниверсальность – вот, пожалуй, основное препятствие и для активного использования скрытых каналов, и для борьбы с ними. Большое количество ограничений для скрытой передачи данных делает ее уделом только целенаправленных угроз, разрабатываемых под конкретную задачу и конкретного заказчика. Эта же неуниверсальность приводит к мысли, что и серебряной пули в виде одного продукта сейчас тоже нет, и необходимо использовать целый комплекс средств и технологий для обнаружения и нейтрализации скрытой передачи данных.
