Transferencia de datos ocultos. Esteganografía TCP o cómo ocultar la transmisión de datos en Internet. Sesión de magia práctica.

Transferencia de datos ocultos. Esteganografía TCP o cómo ocultar la transmisión de datos en Internet. Sesión de magia práctica.

  • 2 Eliminación canales ocultos
  • 3 Ocultar datos en el modelo OSI
  • 4 Ocultar datos en un entorno LAN
  • 5 Ocultar datos en el paquete del protocolo TCP/IP
    • Notas

    Introducción

    canal oculto- Este canal de comunicacion, enviando información utilizando un método que originalmente no fue diseñado para este fin.

    El canal encubierto recibe su nombre del hecho de que está oculto a los sistemas de control de acceso incluso de sistemas operativos seguros, ya que no utiliza mecanismos de transmisión legítimos como lectura y escritura y, por lo tanto, no puede ser detectado ni controlado por mecanismos de seguridad de hardware. que forman la base de los sistemas operativos seguros. EN sistemas reales es casi imposible establecer un canal encubierto y, a menudo, también puede detectarse monitorizando el rendimiento del sistema; Además, las desventajas de los canales encubiertos son su baja relación señal-ruido y sus bajas velocidades de datos (del orden de varios bits por segundo). También se pueden eliminar manualmente de los sistemas protegidos con un alto grado de confiabilidad utilizando estrategias de análisis de canales encubiertos establecidas.

    Los canales encubiertos a menudo se confunden con la explotación de canales legítimos, que ataca sistemas pseudoseguros y de baja confianza utilizando esquemas como esteganografía o incluso esquemas menos complejos diseñados para ocultar objetos prohibidos dentro de objetos con información legal. Estos tipos de exploits de canales legítimos que utilizan esquemas de ocultación de datos no son canales encubiertos y pueden prevenirse. sistemas confiables con un alto grado de seguridad.

    Los canales encubiertos pueden penetrar sistemas operativos seguros y requieren medidas especiales para controlarlos. El único método probado para monitorear canales encubiertos es el llamado análisis de canales encubiertos. Al mismo tiempo, los sistemas operativos seguros pueden impedir fácilmente el uso indebido (o ilegal) de los canales legales. El análisis de objetos ocultos de los canales legales a menudo se tergiversa como la única medida exitosa contra el uso ilegal de canales legales. Dado que en la práctica esto significa la necesidad de analizar un gran número de software, en 1972 se demostró que tales medidas son ineficaces. Sin saberlo, muchos creen que dicho análisis puede ayudar a gestionar los riesgos asociados a los canales legales.


    1.1. Estándar TCSEC

    TCSEC es un conjunto de estándares establecidos por el Departamento de Defensa de EE. UU.

    La definición de Lampson. canal encubierto fue reformulado en TCSEC para referirse a formas de transferir información de una capa más segura a una menos segura. En un entorno informático particionado, es difícil aislar completamente un proceso de los efectos que otro proceso podría tener en el entorno operativo. El proceso de envío crea un canal encubierto, que modula algún estado (como espacio libre, disponibilidad de algún servicio, tiempo de espera de inicio, etc.), que puede ser detectado por el proceso de recepción.

    Los Criterios definen dos tipos de canales encubiertos:

    • Canal de memoria oculto: los procesos interactúan debido al hecho de que uno puede escribir información directa o indirectamente en un área determinada de la memoria y el segundo puede leerla. Generalmente se entiende que los procesos con en diferentes niveles la seguridad tiene acceso a algún recurso (por ejemplo, algunos sectores del disco).
    • Canal de tiempo encubierto: un proceso envía información a otro, modulando su propio uso. recursos del sistema(por ejemplo, tiempo de CPU) de modo que la operación afecte el tiempo de respuesta real observado por el segundo proceso.

    Los criterios, también conocidos como Libro Naranja, requieren que el análisis de canales latentes de memoria se clasifique como un requisito para un sistema de clase B2 y el análisis de canales latentes de tiempo como un requisito para un sistema de clase B3.


    2. Elimina canales ocultos

    La posibilidad de canales encubiertos no se puede eliminar por completo, pero se puede reducir significativamente mediante un diseño y análisis cuidadosos del sistema.

    La detección de canales encubiertos puede resultar más difícil si se utilizan características de medios de transmisión para canales legítimos, que nunca son monitoreados ni verificados por los usuarios. Por ejemplo, un programa puede abrir y cerrar un archivo de una manera específica y sincronizada que otro proceso puede entender como una secuencia de bits, formando así un canal encubierto. Dado que es poco probable que los usuarios legítimos intenten encontrar un patrón al abrir y cerrar archivos, este tipo de canal encubierto puede pasar desapercibido durante mucho tiempo.

    Un caso similar es el de la tecnología de “golpe de puertos”. Normalmente, cuando se transmite información, el momento de las solicitudes no es importante y no se monitorea, pero cuando se utiliza el port knocking, se vuelve significativo.


    3. Ocultar datos en el modelo OSI

    Handel y Sanford intentaron ampliar la perspectiva y centrarse en canales encubiertos en modelo general protocolos de red. Toman el modelo de red OSI como base para su razonamiento y luego caracterizan los elementos del sistema que pueden usarse para ocultar datos. El enfoque adoptado tiene ventajas sobre el enfoque de Handel y Sanford porque este último considera estándares que son contrarios a algunos de los entornos y arquitecturas de red en uso. Tampoco desarrollado circuito confiable taquigrafía.

    Sin embargo, instalado principios generales para ocultar datos en cada una de las siete capas del modelo OSI. Además de sugerir el uso de campos de encabezado de protocolo reservados (que son fácilmente detectables), Handel y Sanford también sugirieron una capacidad de canalización de tiempo con respecto a la operación CSMA/CD en nivel fisico.

    Su trabajo determina el valor del canal encubierto según los siguientes parámetros:

    • Detectabilidad: Sólo el destinatario al que está destinada la transmisión debería poder realizar mediciones del canal encubierto.
    • Indistinguibilidad: el canal encubierto debe ser inidentificable.
    • Ancho de banda: el número de bits de datos ocultos por uso del canal.

    También se presentó un análisis de canales encubiertos, pero no considera problemas como: interacción utilizando los métodos mencionados entre nodos de la red, estimación de la capacidad del canal y el efecto que tiene el ocultamiento de datos en la red. Además, la aplicabilidad de los métodos no puede justificarse plenamente en la práctica, ya que el modelo OSI no existe como tal en los sistemas operativos.


    4. Ocultar datos en un entorno LAN

    Girling fue la primera en analizar canales encubiertos en un entorno de red local. Su trabajo se centra en las redes de área local (LAN), en las que se identifican tres canales aparentemente encubiertos: dos en la memoria y uno en el tiempo. Esto muestra ejemplos reales de posibles anchos de banda para canales encubiertos simples en LAS. Para el entorno LAS especial, el autor introdujo el concepto de interceptor que monitorea las acciones de un transmisor específico en la LAN. Las partes que realizan la transmisión encubierta son el transmisor y el interceptor. La información oculta, según Girling, se puede transmitir de cualquiera de las siguientes formas:

    • Monitorización de las direcciones a las que accede el transmisor. Si el número de direcciones a las que puede acceder es 16, entonces existe la posibilidad de transmisión secreta con un tamaño de mensaje secreto de 4 bits. El autor clasificó esta característica como canales de memoria encubiertos, ya que depende del contenido que se envía.
    • Otro canal encubierto obvio depende del tamaño de la trama enviada por el transmisor. si hay 256 varios tamaños cuadro, luego el número información clasificada, obtenido al decodificar un tamaño de cuadro, será de 8 bits. Este canal también fue clasificado por el autor como canales de memoria ocultos.
    • El tercer método, temporal, se basa en la diferencia entre los tiempos de transmisión. Por ejemplo, una diferencia impar significará "0" y una diferencia par significará "1". El tiempo necesario para transferir un bloque de datos se calcula en función de la velocidad de procesamiento del software, la velocidad de la red y el tamaño. bloque de red y costos de tiempo del protocolo. Suponiendo que se transmiten bloques de diferentes tamaños a la LAN, se calcula el consumo de tiempo promedio del programa y también se estima el ancho de banda de los canales encubiertos.

    5. Ocultar datos en el paquete del protocolo TCP/IP

    Rowland adoptó un enfoque más específico. Centrándose en la propiedad intelectual y encabezados TCP Conjunto de protocolos TCP/IP, salidas Rowland métodos correctos codificación y decodificación utilizando el campo de identificación de IP y los campos de número de secuencia inicial de TCP y número de secuencia de reconocimiento. Estos métodos se implementan en aplicación sencilla, escrito para sistemas Linux que ejecutan la versión 2.0 del kernel. Rowland simplemente demuestra la idea misma de la existencia de canales encubiertos en TCP/IP, así como su uso. Por tanto, su trabajo puede considerarse un avance práctico en este ámbito. Los métodos de codificación y decodificación que adoptó son más pragmáticos en comparación con los trabajos propuestos anteriormente. Estos métodos se analizan teniendo en cuenta mecanismos de seguridad como el firewall NAT.

    Sin embargo, la indetectabilidad de estos métodos de transmisión encubierta es cuestionable. Por ejemplo, en el caso de que se realicen operaciones en el campo de número de secuencia del encabezado TCP, se adopta un esquema en el que el alfabeto se transmite en secreto cada vez, pero aún así se codifica con el mismo número de secuencia. Además, el uso del campo de número de secuencia, así como el campo de confirmación, no se puede realizar con referencia a la codificación ASCII del alfabeto inglés, como se propone, ya que ambos campos tienen en cuenta la recepción de bytes de datos relacionados con una red específica. paquetes.

    Hasta ahora, los métodos de enmascaramiento del tráfico que hemos considerado se han reducido a ocultar las conexiones de red, pero a nivel físico, todo el tráfico abandonado simplemente era detectado por rastreadores y otros. equipo de proteccion. Por eso los hackers han estado ocupados resolviendo este problema creando canales pasivos secretos que transmiten información sin generar ningún tráfico. Los códigos fuente de los motores están publicados en Internet y todo lo que necesitamos es descubrir cómo adjuntarlos a nuestro keylogger o shell remoto, que es lo que haremos ahora.

    Lanzar código shell a una máquina remota y configurar una puerta trasera es sólo la mitad de la batalla. ¿Qué hacer a continuación, pensamos? Es necesario ocultar su dirección IP y evitar todos los firewalls sin dejar rastros en los registros, analizados tanto manualmente como sistemas automatizados Definiciones de intrusión. Hay muchas utilidades que ocultan las conexiones de red maliciosas a los ojos de los administradores, pero a nivel físico, casi cualquier firewall detecta y detiene fácilmente todo el tráfico de "hackers", algo que un atacante nunca debería permitir. Idealmente, es necesario atravesar un túnel abriendo un canal de comunicación secreto que no cree conexiones adicionales y no
    no generar exceso de tráfico, de modo que incluso el análisis más riguroso de los vertederos saqueados analizador de red, no reveló nada sospechoso.

    Las mejores mentes hacker lucharon por resolver este problema. Al principio, la idea recibió una justificación puramente teórica (Andrew Hintz, Craig Rowland) con una implementación puramente de laboratorio, inadecuada para uso práctico. Luego Zhanna Rutkovskaya se involucró en el asunto, desarrollando un protocolo especial cuyo nombre en código es NUSHU y módulos completamente viables diseñados para funcionar en el Kernel de Linux 2.4. Zhanna nos brindó una poderosa herramienta para controlar shells remotos, contra los cuales es casi imposible desarrollar una protección adecuada. Todo lo que queda es descubrir cómo utilizar esta herramienta.

    Canales pasivos encubiertos: conceptos básicos

    Recientemente, el concepto de “ canales pasivos ocultos» ( Canales pasivos encubiertos, o para abreviar PCC). Son un tipo de regular. canales ocultos (Canales encubiertos), sin embargo, a diferencia de estos últimos, no sólo no establecen sus propias conexiones, sino que tampoco generan tráfico propio. La transmisión de información se realiza exclusivamente modificando los paquetes que pasan por el nodo atacado.

    La cuestión es que estos paquetes no se envían al hacker, sino que llegan a varios nodos de Internet, por ejemplo www.google.com, por lo que se consigue el mayor grado de anonimato. Naturalmente, surge una pregunta razonable: ¿cómo puede un hacker acceder al contenido de los paquetes que pasan a su lado? Para hacer esto necesitas romper uno de los enrutadores intermedios(generalmente perteneciente al proveedor que presta servicios a la organización atacada) e instalar en él un módulo especial que analiza los encabezados de los paquetes TCP/IP para detectar la presencia de información oculta o su implementación.

    Por lo tanto, el hacker organiza un canal de comunicación pasivo secreto bidireccional con el nodo víctima, no solo clasificando el hecho de la transferencia de información fraudulenta, sino también disfrazando de manera confiable su IP, que solo puede ser determinada por el administrador del enrutador pirateado. ¡pero no el propietario del nodo víctima!

    Consideremos el esquema de interacción con el nodo objetivo (víctima) a través de un canal pasivo oculto. El hacker (indicado por la letra X), que de alguna manera no tiene ninguna relación con el tema en discusión, coloca un código shell en el nodo objetivo (indicado por la letra A), que toma el control e instala una puerta trasera junto con un sistema especial. Módulo que asegura el funcionamiento del canal PCC. Ahora todos los paquetes TCP/IP enviados por la víctima al mundo exterior contienen cambios menores que codifican, por ejemplo, contraseñas u otra información confidencial.

    Algunos de estos paquetes pasan a través del enrutador externo B, que fue pirateado previamente por un pirata informático que insertó un módulo PCC en él. El módulo PCC analiza los encabezados de todos los paquetes TCP/IP en busca de contenido oculto, luego lo decodifica y lo envía al hacker a través de canal abierto. La transferencia de datos del hacker a la víctima sigue un patrón similar. El módulo PCC instalado en el enrutador detecta paquetes dirigidos a la dirección IP de destino y modifica sus encabezados de acuerdo con el principio de codificación de información seleccionado.

    De esta manera conseguimos un canal A-B seguro y abrir BX, sin embargo, al hacker no le cuesta nada comunicarse con el nodo B a través de un servidor proxy anónimo o incluso construir una cadena de varios hosts protegidos. Además, seleccionar el enrutador B es opcional. Lo principal es que el enrutador está ubicado entre el nodo de destino A y uno de los nodos con los que se comunica la víctima.

    A merced del protocolo IP

    Tomemos el protocolo IP e intentemos crear un canal pasivo oculto basado en él. Entre los muchos campos de encabezado útiles e inútiles, llamamos la atención sobre el campo de 16 bits. Identificación, generado aleatoriamente por el sistema operativo y utilizado para identificar el datagrama si está fragmentado. El nodo de destino agrupa fragmentos con las mismas direcciones IP de origen/destino, tipo de protocolo y, por supuesto, ID.

    No existen reglas estrictas que definan la política de generación de identificadores en el RFC. Algunos sistemas operativos utilizan un temporizador para esto, otros calculan el identificador en función de los paquetes TCP para que cuando retransmisión El segmento TCP del paquete IP utilizó el mismo identificador, pero incluso si el identificador resulta ser diferente, no sucederá nada terrible. Bueno, piensa, la velocidad bajará un poco.

    El truco es que módulo PCC puede modificar libremente el campo del identificador a su gusto, transmitiendo 16 bits de datos útiles con cada paquete IP. Esto es en teoría. En la práctica, necesitaremos asignar varios bits para marcar nuestros paquetes, de lo contrario el receptor PCC nunca podrá distinguirlos del resto. Dejemos que los 12 bits menos significativos transmitan datos útiles y que los cuatro bits más significativos contengan sus suma de control. Entonces el receptor PCC sólo tendrá que tomar 12 bits, calcular su CRC y compararlos con los cuatro bits restantes. Si coinciden, entonces es nuestro paquete, pero si no, que se vaya al bosque.

    También debes tener cuidado con la numeración de los paquetes, ya que el orden de los paquetes IP en general no coincide con el orden en el que fueron enviados. Y esto también requiere bits, lo que resulta en capacidad de información El encabezado IP tiende a ser de un byte, lo que, en general, no es tan malo. Para transferir pequeñas cantidades de datos (como contraseñas) es bastante adecuado. Lo principal es no olvidar que el identificador debe: a) ser único; b) lucir casual. Por tanto, es necesario recurrir a la codificación, es decir, a superponer algunas secuencia pseudoaleatoria datos (conocidos tanto por el PCC emisor como por el PCC destinatario) a través de un operador XOR.

    Además del identificador, puedes (con cierta precaución) cambiar los campos TTL (Time To Live), tipo de servicio (TOS) y protocolo (protocolo). Sin embargo, esto es demasiado notorio y puede detectarse fácilmente viendo los volcados obtenidos por cualquier rastreador.

    Nuestro controlador: protocolo TCP

    Al establecer una conexión TCP, el lado emisor (Nodo A) establece el indicador SYN y selecciona un número de secuencia arbitrario de 32 bits (Número de secuencia o SEQ para abreviar). Si la parte receptora (nodo B) acepta aceptar el nodo A en sus brazos, le envía un paquete con el indicador ACK configurado y un número de acuse de recibo igual a SEQ+1, y también genera su propio numero secuencias elegidas al azar. El nodo A, una vez recibida la confirmación, actúa de la misma manera, como lo demuestra claramente el siguiente diagrama:

    nodo A —— SYN(ISN) ————> nodo B
    nodo A<—— SYN(ISN+1)/ACK —— узел B
    nodo A —— ACK —————-> nodo B

    ISN es numero inicial secuencias ( Número de secuencia inicial), único para cada conexión TCP/IP. Desde el momento en que se establece la conexión, los números de secuencia aumentan gradualmente según el número de bytes recibidos/enviados. Sin embargo, no profundicemos en la teoría. Detengámonos en el hecho de que el campo ISN de 32 bits se puede cambiar de forma pseudoaleatoria, “modularlo” con datos secretos y... ¡nadie notará nada! Por supuesto, el rendimiento se reducirá a cuatro bytes por cada conexión TCP establecida por el nodo víctima, y ​​no se establecen tantas conexiones TCP (especialmente si no se trata de un servidor cargado, sino de una estación de trabajo). Sin embargo, para
    descargar contraseñas y mando a distancia A través de la línea de comando, incluso este modesto rendimiento es suficiente.

    Zhanna Rutkóvskaya, habiendo decidido no limitarse a experimentos de laboratorio, desarrolló un protocolo NUSHU, que crea canales pasivos encubiertos modificando el ISN seguido de cifrado el último algoritmo DES basado en el identificador del paquete IP (IP.id), el puerto de origen (TCP.sport) y la dirección IP de destino (IP.daddr).

    Sesión de magia práctica.

    Vamos al sitio web de Zhanna Rutkovskaya: invisiblethings.org, vemos una sección con herramientas, en ella encontramos " NUSHU - motor de canal encubierto pasivo para linux 2.4 granos» y descargue el archivo de texto fuente: invisiblethings.org/tools/nushu/nushu.tar.gz (18 KB en total). Desempaquetar y compilar. La compilación se realiza de forma estándar. Simplemente ejecute la utilidad make y obtenga tres módulos del kernel: nushu_receiver.o (receptor), nushu_sender.o (transmisor) y nushu_hider.o.

    Mecanismo de cifrado ISN en el protocolo NUSHU

    El receptor se instala en el enrutador averiado, el transmisor se instala en el nodo objetivo de la víctima. Para organización comunicación bidireccional El receptor y el transmisor están instalados en ambos nodos. El módulo nushu_hider.o no participa en la organización de un canal encubierto y está destinado a engañar a los analizadores estándar (como tcpdump), impidiéndoles detectar el hecho de un cambio de ISN.

    Del archivo Léame se deduce que el módulo transmisor procesa los siguientes parámetros de la línea de comando:

    • desarrollador = , donde dispositivo – dispositivo de red, que se supone que funciona con (por ejemplo, eth0);
    • cifrado=, donde 0 significa transmisión no cifrada y 1 especifica el uso de DES;
    • clave="cadena", donde cadena es una cadena de token arbitraria idéntica a la cadena de token instalada en el módulo receptor (se usa solo si el cifrado está deshabilitado; de lo contrario, se ignora);
    • src_ip= — Dirección IP del nodo en el que está instalado el transmisor.

    El módulo receptor, además de las claves de desarrollo, cifrado y clave descritas anteriormente, procesa el argumento excluir_ip=<172.16.*.*>, que especifica una lista de direcciones IP intocables, al enviar paquetes a los que el protocolo NUSHU no se utilizará ya que el ISN permanecerá sin cambios (este parámetro es opcional).

    El módulo nushu_hider.o se carga sin ningún parámetro y sólo si es necesario.

    Bueno, todos los módulos se han cargado correctamente, el kernel funciona normalmente y, aparentemente, no entrará en pánico. ¿Qué hacer a continuación? ¡Nada! Después de todo, este es sólo el motor que garantiza el funcionamiento. canales PCC. Puede conectarle un registrador de teclas o un shell remoto, pero tendrá que hacerlo usted mismo. ¡¿Cómo?! Ni el archivo Léame ni las presentaciones que lo acompañan brindan una respuesta a esta pregunta, por lo que debe profundizar en los textos fuente y analizarlos en bytes individuales.

    Comencemos con el transmisor, implementado en el archivo sender.c. En el procedimiento init_module(), que es responsable de inicializar el módulo, inmediatamente llaman la atención las siguientes líneas:


    create_proc_read_entry("información", 0, proc_de, cc_read_proc_info, NULL);
    estructura proc_dir_entry * wpde = create_proc_entry("mensaje_para_enviar", 0, proc_de);

    ¡Todo está claro! El módulo utiliza el sistema de pseudoarchivos /proc, creando un directorio nushu, y en él dos archivos: info y message_to_send, con los que se puede trabajar desde el nivel de la aplicación, como dispositivos convencionales(para ser más precisos, pseudodispositivos, la situación es similar con el receptor, implementado en el archivo Receiver.c). fragmento de clave que se da a continuación:

    Estructura proc_dir_entry *proc_de = proc_mkdir("nushu", NULL);
    create_proc_read_entry("mensaje_recibido", 0, proc_de, cc_read_proc_message, NULL);
    create_proc_read_entry("información", 0, proc_de, cc_read_proc_info, NULL);

    Como puede ver, en lugar del dispositivo message_to_send, esta vez se crea un message_received, desde el cual los mensajes recibidos se pueden leer a través de funciones de E/S estándar. En general, teniendo a mano los textos originales, no es nada difícil descifrar todas estas pertenencias, sobre todo porque su volumen total es de sólo 69 KB.

    Conclusión

    Además de los descritos, existen otros vehículos adecuados para transportar tráfico oculto, por ejemplo, la opción de marca de tiempo en el encabezado TCP. El protocolo HTTP también proporciona grandes oportunidades, ya que incluye muchos campos opcionales que se pueden modificar sin problemas dentro de límites muy amplios. Sin embargo, todo esto se nota demasiado y el protocolo sigue siendo el más resistente a la detección en la actualidad. NUSHU, trabajando con ISN.

    ¿Puede un administrador atacado detectar canales pasivos ocultos, al menos en teoría? Un análisis meticuloso del tráfico de la red puede revelar alguna anomalía en la distribución de los ISN, pero esto requiere procesar cientos de miles de paquetes "pirateados" y compararlos con los originales. Por lo tanto, es mucho más fácil identificar el módulo nuclear extraño responsable de crear y mantener canales PCC utilizando métodos generales para verificar la integridad del sistema. Sin embargo, esta es una conversación completamente diferente, a la que volveremos.

    1.1 Control de acceso discrecional.

    1.2 Control de acceso obligatorio.

    1.3 Modelo de control de integridad de Beeba.

    1.4 Control de acceso basado en roles.

    1.5 Modelo de no intervención.

    1.6 Modelo de no derivabilidad.

    2 Planteamiento del problema de aumentar la eficacia de la lucha contra los canales lógicos ocultos en un entorno distribuido

    2.1 Enfoques modernos para la implementación de sistemas distribuidos.

    2.2 Definición y clasificación de canales lógicos encubiertos

    2.3 Principales características de los canales lógicos encubiertos

    2.4 Razones de la aparición de canales lógicos ocultos

    2.5 Identificación de canales lógicos encubiertos

    2.6 Detener canales lógicos ocultos de fuga de datos

    2.7 Requisitos de los documentos reglamentarios para la protección contra canales lógicos encubiertos.

    3 principios para estudiar canales lógicos ocultos.

    3.1 Factores que afectan el rendimiento.

    3.2 Determinación de la capacidad de canales encubiertos.

    4 Análisis de canales lógicos ocultos en un entorno distribuido y desarrollo de técnicas de protección

    4.1 Desarrollo de un modelo formal híbrido sujeto-objeto de un sistema informático distribuido.

    4.2 Construcción de un modelo de canal lógico encubierto en un entorno distribuido.

    4.3 Estudio del modelo de canal lógico encubierto.

    4.4 Desarrollo de un método encubierto de parada de canales lógicos

    4.5 Desarrollo de un medio de protección.

    4.6 Experimento

    4.7 Implementación.

    5 Conclusión

    Introducción de la tesis (parte del resumen) sobre el tema "Protección de datos contra fugas a través de canales lógicos ocultos en las redes de telecomunicaciones"

    Al diseñar redes de telecomunicaciones modernas, la tarea de garantizar la seguridad de la información siempre es fundamental. Al mismo tiempo, las soluciones en algunos casos son tan complejas y costosas que para gestión eficaz Los flujos de información dividen la arquitectura de la red en los llamados perfiles de seguridad especiales, que indican el grado de solución a este problema y la optimización de la protección contra una determinada lista de amenazas predeterminadas por los desarrolladores.

    El desarrollo de la ciencia y la tecnología plantea exigencias completamente nuevas a las redes de telecomunicaciones. Al mismo tiempo, satisfacer la mayoría de los requisitos ya no se puede cumplir dentro de las limitaciones de estos perfiles predeterminados, ya que el desarrollo de un único entorno de información Internet, así como la introducción generalizada de la tecnología de la información en la mayoría procesos tecnológicos, ya no nos permiten considerar la información como una entidad pasiva con un lugar claro de su origen, procesamiento y almacenamiento. Apariencia gran número Los nuevos formatos de datos, así como el aumento de la velocidad de transmisión de información en varios órdenes de magnitud, complican enormemente su análisis y requieren enfoques cualitativamente nuevos, incluso cuando se utilizan métodos clásicos para garantizar la seguridad. Además, los métodos modernos de procesamiento e intercambio de información en las redes de telecomunicaciones crean nuevos riesgos que antes no se consideraban amenazas a la seguridad o su implementación se consideraba imposible.

    Actualmente, los problemas identificados a la hora de crear redes distribuidas. Porque, como resultado, estos problemas se manifiestan en forma de amenazas de un nivel cualitativamente nuevo. Se caracterizan por una complejidad extremadamente alta a la hora de detectarlos y combatirlos debido a la estrecha integración de los componentes del sistema entre sí y, en consecuencia, a la complejidad significativamente mayor de la separación de los niveles de seguridad. Como resultado, incluso un pequeño aumento en el nivel de protección requiere mejoras importantes en los enfoques para garantizar la seguridad y la base científica de las decisiones tomadas.

    Los canales lógicos ocultos para transmitir información a menudo se consideran métodos para implementar amenazas de un nivel cualitativamente nuevo. Tradicionalmente, las cuestiones relativas a su investigación y desarrollo de contramedidas se han considerado principalmente sólo en relación con sistemas autónomos en el contexto de garantizar la confidencialidad, integridad y disponibilidad de la información procesada localmente. Por lo tanto, los métodos actualmente conocidos para proteger las redes de telecomunicaciones no tienen suficientemente en cuenta numerosos factores y características de la influencia mutua de varios componentes alejados entre sí. Al mismo tiempo, las soluciones de seguridad resultantes basadas en el uso de enfoques clásicos son en gran medida patentadas y, debido a su enfoque en las características individuales de una red de telecomunicaciones en particular, resultan difíciles de transferir y de aplicación muy limitada. Esta circunstancia también plantea la tarea de cambiar el enfoque de los modelos utilizados, obligándolos a hacerse más grandes y formales, pero preservando, sin embargo, alto grado adecuación en diversos aspectos de su aplicación.

    Las amenazas provenientes de canales lógicos ocultos tienen como objetivo violar la confidencialidad de la información.

    Los métodos modernos de protección y los requisitos de los documentos reglamentarios, basados ​​​​en dividir todo el espectro de amenazas por niveles de seguridad, permiten resolver los problemas de violación de la confidencialidad de la información y amenazas de canales lógicos ocultos solo en vista general, al tiempo que limita enormemente funcionalidad red protegida. Esto plantea una necesidad particularmente urgente, además de lo anterior, de desarrollar también formas efectivas de desarrollar la arquitectura de red y desarrollar medidas integrales para contrarrestar la implementación de amenazas de un nuevo nivel.

    El objetivo del trabajo es identificar métodos y crear un medio para proteger contra la fuga de datos a través de canales lógicos ocultos y aumentar la efectividad en la lucha contra la amenaza de violación de la confidencialidad de la información en redes de telecomunicaciones distribuidas.

    El tema del estudio son los canales lógicos ocultos de acceso no autorizado a los recursos de la red de información.

    El objeto de estudio de este trabajo es una red de telecomunicaciones distribuidas.

    Los métodos de investigación utilizados en este trabajo para resolver los problemas y analizar los resultados del experimento se relacionan con la descripción del modelo de seguridad de Bell-LaPadula, análisis sintáctico de flujos de datos, análisis de sistemas para no derivabilidad y no interferencia, métodos para construir una matriz de recursos compartidos, matemáticas discretas, teoría de la probabilidad y estadística matemática, teoría de conjuntos, teoría de grafos y lógica formal. Además, se utilizaron métodos para construir algoritmos finitos para desarrollar software.

    La novedad científica del trabajo es la siguiente:

    A partir del análisis de información heterogénea sobre canales lógicos ocultos, se creó una clasificación de amenazas a la información en las redes de telecomunicaciones;

    Se ha creado una metodología para la investigación y detección de canales lógicos ocultos en sistemas distribuidos, basada en el uso de nuevos modelos de información de no derivabilidad y. no interferencia;

    Diseñado por nuevo método y un algoritmo para proteger contra fugas de información a través de canales lógicos ocultos utilizando líneas de datos como recurso compartido.

    La confiabilidad de los resultados de la investigación se debe al uso en el trabajo de modelos ampliamente conocidos y reconocidos de no deducibilidad y no interferencia, aparatos matemáticos probados, la validez lógica de las conclusiones, así como los resultados de los estudios experimentales.

    La importancia práctica del estudio se expresa en el hecho de que, a partir de los modelos y métodos de protección propuestos en el trabajo, se desarrolló un software especial para probar la red con el fin de determinar el nivel de amenaza de canales lógicos ocultos, así como un herramienta completa de seguridad de la información que le permite resolver eficazmente el problema de contrarrestar la fuga de datos a través de canales lógicos ocultos en las redes acceso publico. Se han desarrollado recomendaciones para la rápida implementación de la herramienta de seguridad y su uso en enrutadores que ejecutan el sistema operativo Linux. El software desarrollado puede ser útil en diversas industrias y negocios, en organizaciones donde se están implementando contramedidas contra la inteligencia informática o donde se imponen requisitos bastante estrictos sobre la protección de la información y su procesamiento se lleva a cabo en redes de telecomunicaciones distribuidas.

    Entre las áreas de aplicación del sistema de seguridad, se pueden destacar varios sistemas distribuidos geográficamente para recopilar y procesar información, así como sistemas que están ganando rápidamente popularidad. computación en la nube, así como sistemas de pago.

    Principales disposiciones presentadas para la defensa:

    Entre los muchos canales para implementar ataques a la información, es posible organizar un canal lógico oculto que utilice un canal de red de datos con el método de acceso CSMA/CD como recurso compartido;

    Entre las muchas características utilizadas del nivel de amenaza de acceso no autorizado a través de un canal lógico encubierto, la característica universal del nivel de amenaza debería ser el nivel crítico de rendimiento;

    Para defenderse de las amenazas de acceso no autorizado a través de canales lógicos encubiertos, se debe utilizar una secuencia de normalización pseudoaleatoria del tráfico;

    La herramienta para defenderse de amenazas de acceso no autorizado a través de canales lógicos ocultos no afecta la velocidad de transmisión de datos a través del canal de acceso legal.

    Estructura de trabajo

    El trabajo consta de cuatro capítulos, introducción, conclusión, bibliografía y tres apéndices.

    El capítulo 1 proporciona una descripción general métodos tradicionales y tecnologías de seguridad de la información realizadas sobre la base e incluyendo un análisis de la discrecionalidad, mandato y modelo de rol del control y gestión del acceso, así como garantizar la integridad de la información. Además, se realizó un análisis de los modelos de no inferencia y no interferencia utilizados para estudiar canales lógicos ocultos.

    En el Capítulo 2, un análisis de las tecnologías utilizadas en la construcción de sistemas distribuidos modernos. redes informáticas, se han identificado deficiencias características de su protección. Se llevó a cabo un estudio detallado de los canales lógicos ocultos, varios metodos buscar y contrarrestar canales lógicos ocultos, y también analizó la efectividad de los métodos considerados. Sobre esta base, se formuló la tarea de aumentar la eficiencia de la protección de los sistemas distribuidos.

    El Capítulo 3 analizó métodos especiales para analizar canales lógicos ocultos y calcular su rendimiento exacto necesario para futuras investigaciones.

    En el Capítulo 4, se construyó y probó la seguridad de un modelo de un sistema informático distribuido, en el que se llevó a cabo una búsqueda de canales lógicos ocultos. Además, se llevó a cabo un estudio especial del canal lógico oculto encontrado y se determinó el alcance y nivel de amenazas a esta vulnerabilidad, se analizó la posibilidad de aplicar las recomendaciones de los documentos regulatorios y en base a lo cual se propuso una técnica efectiva. para combatir el canal lógico oculto, desarrollado sobre la base de modelos de no deducibilidad y no interferencia, así como se propone la implementación de una medida de seguridad.

    Conclusión de la tesis. sobre el tema "Sistemas, redes y dispositivos de telecomunicaciones", Usov, Pavel Andreevich

    5 Conclusión

    Con base en la revisión de los modelos de seguridad tradicionales dada en el primer capítulo y su análisis comparativo, se identificaron sus características y desventajas que conducen a la implementación de canales lógicos ocultos de fuga de información. Como resultado, se concluyó que violar la seguridad del modelo con su ayuda sólo es aconsejable si se aplican políticas no discrecionales. Al mismo tiempo, la redacción misma de tales políticas no estipula aspectos de protección contra canales lógicos ocultos.

    Para protegerse contra esta amenaza, se han desarrollado modelos de información de no interferencia y no inferioridad que pueden usarse para proteger información confidencial junto con las políticas de seguridad tradicionales. Sin embargo, estos modelos, junto con los métodos considerados para buscar canales lógicos ocultos, requieren un análisis extremadamente complejo de todo el sistema en su conjunto, lo que limita en gran medida las posibilidades de su uso práctico y, por regla general, su uso es limitado. exclusivamente al campo de la investigación científica.

    La investigación realizada en el marco de este trabajo tuvo como objetivo analizar el uso de canales lógicos ocultos de transmisión de datos en sistemas informáticos distribuidos y aumentar la eficacia de su lucha.

    Una revisión de los métodos para estudiar canales lógicos ocultos y contramedidas mostró que los métodos de protección imponen muchas restricciones al funcionamiento de los protegidos. sistema de información, por regla general, degradan significativamente su funcionalidad y características. Por lo tanto, se concluyó que se puede aumentar la efectividad en la lucha contra los canales lógicos ocultos desarrollando un nuevo método de protección que no tenga las desventajas inherentes a los enfoques convencionales de este problema.

    Para resolver el problema, con el fin de buscar canales lógicos ocultos y formar una base teórica para justificar los métodos de combatirlos, se utiliza un subjetivo generalizado: modelo de objeto En un sistema distribuido, se formula una política de seguridad formal y se verifica su integridad para un conjunto determinado de operaciones válidas.

    El estudio del modelo propuesto se realizó mediante el método BNM, como resultado del cual, a partir del análisis de la matriz construida de recursos compartidos, se identificaron y se identificaron muchos canales lógicos ocultos característicos de los sistemas distribuidos. razones específicas conducentes a su implementación. Además, la localización de los problemas detectados mostró que las razones de la aparición de canales lógicos ocultos detectados se reducen a la presencia en el modelo de un único recurso compartido, que es una línea de comunicación de una red pública.

    El resultado de la investigación fue la construcción de un modelo de dicho canal lógico oculto, que incluye un algoritmo exacto para transmitir información a través de él.

    Para determinar la gama de amenazas, se llevó a cabo un análisis del canal lógico oculto y los modelos de sistemas distribuidos desde el punto de vista de los modelos de información de no derivabilidad y no interferencia. Al mismo tiempo, la amenaza a la incubabilidad se caracterizó como insignificante, ya que se manifestaba sólo como caso especial. Al mismo tiempo, la interferencia se observó con bastante claridad y por lo tanto se concluyó que era necesario evaluar su nivel.

    Para determinar el nivel de amenaza derivada de la intervención, se llevó a cabo un experimento durante el cual se simularon los procesos que conducen a esta vulnerabilidad. Se llevó a cabo utilizando un software especialmente desarrollado que hizo posible organizar un canal lógico oculto completo. Como resultado, se calculó el rendimiento teórico máximo de dicho canal implementado utilizando los mecanismos en estudio. Según los cálculos realizados, esta amenaza se clasificó como crítica, ya que el valor de velocidad de transmisión resultante resultó ser significativamente superior al mínimo aceptable por las normas.

    Como medio para combatir las interferencias, se consideró la posibilidad de utilizar herramientas estándar y recomendaciones enumeradas en los documentos reglamentarios. Sin embargo, un análisis de su uso práctico ha demostrado que esto conduce a una interrupción de la conectividad normal entre los nodos de un sistema distribuido y a la imposibilidad de realizar sus funciones. Sobre esta base, se concluyó que es necesario desarrollar un método de protección que esté libre de deficiencias que conduzcan a una violación de la funcionalidad.

    Como base para el desarrollo del método, se tomaron modelos de información de no inferencia y no interferencia, es decir, la condición de su seguridad, que se puede lograr eliminando del sistema de información salidas innecesarias, desde el punto de vista de estos modelos. . A partir del análisis de un modelo generalizado de un sistema distribuido, se desarrolló una condición de seguridad "normal", así como formas de lograrla desde cualquier estado interno del sistema de información con actividad arbitraria del usuario. Al mismo tiempo, en el proceso de desarrollo de esta técnica, fue posible lograr resultados significativos en la reducción de su influencia negativa sobre el proceso de intercambio de información entre nodos individuales de un sistema distribuido.

    Sobre la base de la metodología propuesta, también se desarrolló un medio muy eficaz para bloquear canales lógicos encubiertos en las redes públicas de telecomunicaciones. La herramienta de parada de canal lógico encubierto tiene las siguientes características:

    Protección de canales de comunicación de acceso legal con velocidades de transferencia de datos de hasta 10 Mbit/s;

    Generación de tráfico mediante secuencias pseudoaleatorias hasta 100 Mbit/s;

    Formación de una secuencia de "normalización" en tiempo real a velocidades de hasta 10 Mbit/s.

    Su implementación se basa en el hecho de que todo el procesamiento de los datos transmitidos en los equipos de telecomunicaciones se almacena en un buffer. La evaluación de la entrada del usuario y la generación de la secuencia de "normalización" necesaria para lograr un estado seguro se logra utilizando técnicas de QoS ampliamente utilizadas. Además, el uso de software gratuito en su desarrollo permite lograr facilidad de implementación, bajo costo y altos indicadores de rendimiento para proteger los datos contra fugas.

    Como resultado, podemos concluir que todas las tareas planteadas en el trabajo de tesis se completaron con éxito.

    Lista de referencias para la investigación de tesis. Candidato de Ciencias Técnicas Usov, Pavel Andreevich, 2011

    1. B.W. Lámpara. Una nota sobre el problema de la confianza. Comunicaciones de la ACM, 1973

    2. M. Schaefer, B. Gold, R. Linde, J. Scheid. Confinamiento del programa en KVM/370, Nueva York, 1977

    3. J.C. Huskamp. Canales de comunicación encubiertos en sistemas de tiempo compartido. Universidad de California, 1978

    4. Oficina de Técnicas de Procesamiento de Información de DARPA. RFC 793 Protocolo de control de transmisión, IETF, 1981

    5. R.A. Kemmerer. Metodología de matriz de recursos compartidos: un enfoque para identificar canales de almacenamiento y sincronización. Transacciones ACM en sistemas informáticos, 1983

    6. Computadora Nacional Centro de seguridad,Ministerio de defensa. Criterios de evaluación de sistemas informáticos confiables, DoD 5200.28-STD, 1985

    7. Un comentario sobre el teorema básico de seguridad de Bell y La Padula, Information Processing Letters, 1985

    8. J.K. Millones. Canales encubiertos silenciosos de estados finitos. Actas del Taller de Fundamentos de Seguridad Informática. Franconia, Nueva Hampshire, 1989

    9. C.R. Tsai, V.D. Gligor, C.S. Chandersekaran. Un método formal para la identificación de canales encubiertos en el código fuente. Transacciones IEEE sobre ingeniería de software, 1990

    10.V.D. Gligor. Una guía para comprender el análisis de canales encubiertos de sistemas confiables, 1993

    11. Criterios canadienses de evaluación de productos informáticos confiables. Centro de seguridad del sistema canadiense Establecimiento de seguridad de las comunicaciones, Gobierno de Canadá. Versión 3.0e. enero de 1993

    12. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, T. Berners-Lee. RFC 2068 Protocolo de transferencia de hipertexto HTTP/1.1, IETF, 1997

    13. E. Rescorla. RFC 2631 Método de acuerdo clave Diffie-Hellman, IETF, 199914.

    Tenga en cuenta que los textos científicos presentados anteriormente se publican únicamente con fines informativos y se obtuvieron mediante el reconocimiento de texto de tesis original (OCR). En este sentido, pueden contener errores asociados con algoritmos de reconocimiento imperfectos. EN archivos PDF No existen tales errores en las disertaciones y resúmenes que entregamos.

    Canales ocultos

    Uno de los desafíos asociados con el uso de la esteganografía es el ancho de banda. Es fácil ocultar algunos fragmentos de información; ocultar un mensaje de correo electrónico completo es mucho más difícil. Consideremos un ejemplo de un uso perfectamente razonable de un enlace de datos esteganográficos: Alice y Bob deben discutir si una acción particular es "segura" o "amenazada". Esto es un poco de información. Intercambian recetas periódicamente por correo electrónico y han acordado que la frase clave “duplicar la receta” será el indicador del mensaje. Si el mensaje dice que la receta se puede duplicar, la acción es segura. Si dice que la receta no se puede duplicar, la acción correspondiente es peligrosa. Cualquier receta sin palabra clave no contiene mensaje oculto.

    Este tipo de sistema funciona porque el mensaje secreto es mucho, mucho más pequeño que el mensaje que lo oculta, y generalmente se llama canal oculto (canal subliminal)(similar al canal secreto descrito en el Capítulo 8). Los canales encubiertos son tan antiguos como los ordenadores y siempre han sido utilizados por programadores sin escrúpulos para "descargar" información sin el consentimiento de los usuarios. Imagine que es un programador que elabora un informe sobre los clientes de un banco y desea tener en sus manos un archivo de números individuales (PIN). No estaba autorizado a comprobar los datos reales, pero se le encomendó escribir el código para obtener un informe sobre la base de datos que contiene los PIN. Y puede ver informes que se han realizado antes. El programa de creación de informes agrega espacios después de los datos de cada cliente, del 0 al 9, correspondientes a un dígito de su PIN. Deje que el generador de informes use ahora el primer dígito el primer día, el segundo dígito el segundo día, y así sucesivamente hasta que se complete el ciclo y volvamos al primer dígito. Eso es todo. Si un programador puede ayudar a crear un informe electrónico en un plazo de cuatro días, podrá recuperar todos los números individuales. (De hecho, tiene cuatro variaciones posibles para cada número, dependiendo de qué cifra utilizó el creador del informe. Es fácil ver qué es qué). Nadie que vea los informes verá nada malicioso en ellos, y hasta ahora no lo harán. verifique el código utilizado para generar el informe (¿y con qué frecuencia sucede eso?) y nadie sabrá que los números individuales han sido expuestos.

    Hay una historia sobre un soldado al que no se le permitió decir dónde estaba destinado. No tenía segunda inicial y envió una serie de cartas a su novia usando varias iniciales del segundo nombre en la firma; de esta manera hizo saber a todos dónde estaba.

    Ahora que tiene una idea general, puede pensar en todas las formas posibles de introducir canales encubiertos en los documentos: elegir fuentes y tamaños de fuente, colocar datos y gráficos en la página, usar diferentes sinónimos en el texto, etc. Muchos protocolos de cifrado permiten utilice la elección de parámetros para crear un canal encubierto: eligiendo bits aleatorios para el relleno o bits de campos no utilizados. Siempre que no seas demasiado codicioso y aceptes recoger información con una cucharilla, no es difícil organizar un canal oculto en el sistema.

    Puedes filtrar lo que quieras. Los números individuales son un buen ejemplo. Otro ejemplo son las claves de cifrado. Crear un dispositivo de cifrado que filtre información clave a través de un canal oculto es una excelente manera de atacar a alguien.

    A lo largo del tiempo se han descubierto canales encubiertos introducidos por programadores sin escrúpulos en todo tipo de software. Durante mucho tiempo se ha sospechado que organizaciones de inteligencia como la NSA operan canales encubiertos que filtran información sobre las claves de equipos criptográficos vendidos a gobiernos extranjeros. El reciente escándalo que involucra a la empresa sueca Crypto AG lo confirma. Los canales laterales, discutidos en el contexto del Capítulo 14, que analizó la resistencia a la intrusión de hardware, pueden considerarse canales encubiertos reales.

    Los canales encubiertos son uno de los métodos de seguridad de la información que se pueden utilizar tanto con el signo más (para garantizar el anonimato y la confidencialidad) como con el signo menos (para organizar la filtración de datos). Consideremos el segundo componente: la detección de transmisión de datos ocultos o transmisión de datos a través de canales ocultos, que es uno de los problemas de seguridad de la información más difíciles de resolver en la práctica. Para no aumentar el tamaño del artículo, ignoraré deliberadamente mecanismos de ocultación de datos como el cifrado y la esteganografía.

    Alexéi Lukatski
    Consultor de seguridad de Cisco

    ¿Qué es la transferencia de datos oculta?

    La transmisión de datos ocultos a través de la red no es la única aplicación este método. El término "canal encubierto" apareció por primera vez en 1973 y se utilizó para sistemas informáticos que no tienen una conexión de red tradicional. Por ejemplo, un valor par para la duración del proceso puede significar uno y un valor impar puede significar cero. Así, manipulando la duración del proceso, podemos formar una secuencia de 0 y 1, que podemos usar para describir cualquier cosa (este es el llamado canal de tiempo). Otro ejemplo proceso oculto en sistemas informáticos: el lanzamiento de una determinada tarea por parte de un proceso y su finalización en un momento determinado, que puede interpretarse como una unidad; y cero si la tarea no se completa dentro del tiempo especificado.

    ¿Cómo se puede implementar la transmisión encubierta?

    Si hablamos de transmisión oculta de datos en red, entonces uno de los métodos más populares y relativamente sencillos de implementar es la encapsulación, que consiste en incluir información protegida que debe transmitirse externamente, o un comando que debe recibirse externamente, en un protocolo autorizado.

    En este caso se pueden utilizar opciones de encapsulación completamente diferentes:

    En 1987 se propuso la idea de la transmisión encubierta por red y, a partir de ese momento, se iniciaron serias investigaciones sobre este método de garantizar la confidencialidad o la fuga de datos (según de qué lado de la valla se mire). En particular, en 1989 se propuso por primera vez manipular bits no utilizados Marcos Ethernet y varios otros protocolos de canal. Es obvio que los canales ocultos en red local no es tan interesante de estudiar, a diferencia de ocultar datos en redes globales. Se puede considerar un gran avance (al menos público) en 1996, cuando se publicó un estudio que demostró transferencia real y recibir datos a través de un canal TCP/IP oculto; o mejor dicho, en campos individuales de su encabezado.

    • A nivel HTTP, que durante mucho tiempo se ha convertido en un estándar de facto para construir otros protocolos de aplicación. Por ejemplo, la red anónima JAP utiliza HTTP para transferir datos, utilizando también un sistema difícil de controlar. red tor. En HTTP es posible utilizar los comandos GET y POST para transferir datos, y si se utiliza HTTP para transferir transmisión de vídeo y audio, las posibilidades de los atacantes de transferir grandes cantidades de datos se vuelven casi ilimitadas.
    • A nivel de DNS, cuando la información está oculta dentro de las consultas de DNS y sus respuestas. La gente empezó a hablar de este método a principios de la década de 2000, cuando apareció la herramienta de tunelización DeNiSe. protocolo TCP en DNS. Posteriormente hubo un estudio de Dan Kaminsky que mostraba la posibilidad de encapsular SSH a través de DNS y se presentó en la conferencia Defcon en 2005. Y luego este tema comenzó a ganar popularidad: aparecieron dns2tcp, DNScapy, DNScat, Heyoka, iodine, squeeza, etc.
    • A nivel ICMP, cuando los datos se encapsulan dentro del protocolo ICMP normalmente seguro. El programa Loki, mencionado por primera vez en 1996 en la revista Phrack, operaba según este principio. Fue seguido por el Loki2 más avanzado. También existe una herramienta llamada icm-pchat que le permite comunicarse con mensajes cifrados a través de ICMP.
    • En el nivel TCP/UDP/IP, cuando los campos de encabezado de paquetes individuales se utilizan para ocultar fugas o recibir comandos desde el exterior. Dependiendo del protocolo utilizado, el tamaño de los datos transmitidos variará de 2 a 12 y 38 bytes, respectivamente, en IP, Protocolos UDP y TCP. Una herramienta muy interesante que utiliza la modificación del encabezado TCP se llama Nushu. Su peculiaridad es que él mismo no crea ningún tráfico, sino que solo modifica el que ya es enviado desde el nodo por alguna aplicación o proceso. En otras palabras, el tráfico modificado se envía a donde debe estar y el atacante simplemente lo intercepta a través de la red, recopilando los datos filtrados de esta manera.
    • EN redes inalámbricas, cuando los datos están enmascarados en el tráfico transmitido que se difunde. Por cierto, en este caso no es fácil detectar el lado receptor, que puede funcionar en modo pasivo, sólo para recibir datos. La herramienta HICCUPS se basa en este principio.

    ¿Cómo se puede detectar la transmisión oculta?

    Al ver tanta variedad de métodos que utilizan los canales encubiertos y los protocolos en los que se encuentran, comprende por qué se ofrecen tantos. diferentes metodos Detección de transmisión oculta. El principal es el control de anomalías, que consiste en comprobar siguientes parámetros(lista incompleta):

    • Tamaño de solicitud y respuesta. Por ejemplo, se sabe que longitud promedio Una solicitud de DNS no tiene más de 40 a 60 bytes. Por lo tanto, un aumento en la cantidad de consultas DNS con paquetes de mayor longitud puede indicar un canal encubierto en funcionamiento. Se puede proponer una práctica similar para otros protocolos: ICMP, SIP, etc.
    • Volumen de solicitudes. Normalmente el volumen de tráfico ciertos tipos protocolos es, si no un valor fijo, rara vez cambia dentro de unas pocas fracciones de porcentaje. Por lo tanto, un aumento repentino en el tráfico del protocolo de servicio o en la cantidad de solicitudes de DNS o su tamaño puede indicar una anomalía y la necesidad de investigar. Además, en este caso el perfil de tráfico se puede evaluar tanto para el nodo emisor como para el nodo destinatario.
    • El número o la geografía de las visitas también puede servir como característica de los canales ocultos. Por ejemplo, si tiene un servidor DNS interno, las llamadas persistentes a un nodo DNS externo también pueden indicar una anomalía.
    • Otros tipos análisis estadístico También es útil para detectar canales encubiertos. Por ejemplo, puede analizar el nivel de entropía en los nombres de host para DNS. Si las solicitudes DNS se transmiten información oculta, entonces la distribución de símbolos utilizados diferirá de la tradicional.

    Una herramienta que le permite rastrear tales anomalías en tráfico de red, son sistemas de clase NBAD (detección de anomalías basada en red), que ya contienen una gran cantidad de reglas integradas o se pueden configurar de forma independiente después de un modo de entrenamiento.


    Además del análisis de anomalías, también se pueden detectar canales encubiertos estudiando el contenido en determinados protocolos. Esto se puede hacer utilizando soluciones tradicionales de próxima generación, que pueden monitorear las desviaciones del tráfico del protocolo de aplicaciones de los RFC, y utilizando sistemas de detección de intrusiones. Por ejemplo, así es como se ve la firma para detectar el canal encubierto NSTX: protocolo DNS para la solución de código abierto Snort:
    alerta udp $EXTERNAL_NET cualquiera - > $HOME_NET 53 (msg:"Posible túnel DNS NSTX"; contenido:"|01 00|"; desplazamiento:2; dentro de:4; contenido:"cT"; desplazamiento:12; profundidad:3 ; contenido:"|00 10 00 01|"; tipo de clase: malo-desconocido;

    Reanudar

    La falta de universalidad es quizás el principal obstáculo tanto para el uso activo de canales encubiertos como para la lucha contra ellos.

    Los canales encubiertos en el tráfico de la red son un método muy específico que no es universal y tiene sus propias limitaciones y alcance. Cada canal encubierto tiene sus propias características, como el ancho de banda, el ruido, el modo de transmisión (bidireccional o unidireccional), que deben tenerse en cuenta, tanto al utilizarlos como al tratar con ellos. Aún así, "Guerra y paz" de L.N. Tolstoi no puede transmitirse rápidamente a través de tales canales, y algunos métodos de transmisión encubierta tienen un nivel de ruido muy alto, lo que impide su uso efectivo en redes globales en las que factores externos puede influir en gran medida en el éxito de la transmisión encubierta.

    La falta de universalidad es quizás el principal obstáculo tanto para el uso activo de canales encubiertos como para la lucha contra ellos. Una gran cantidad de restricciones para la transferencia encubierta de datos hacen que sea sólo el dominio de amenazas dirigidas desarrolladas bajo tarea especifica y un cliente específico. Esta misma falta de universalidad lleva a la idea de que ahora tampoco existe una solución milagrosa en forma de un solo producto, y que es necesario utilizar toda una gama de herramientas y tecnologías para detectar y neutralizar la transmisión de datos ocultos.



    Popular en la categoría:
    Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
    Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
    leer
    Transferir contactos a un nuevo teléfono Android
    Transferir contactos a un nuevo teléfono Android
    leer
    Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
    Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
    leer
    Características clave de Kaspersky Rescue Disk
    Características clave de Kaspersky Rescue Disk
    leer
    
    Últimos artículos
    MacBook no se conecta a wifi MacBook no ve...
    leer
    Cómo ganar dinero con WebMoney
    leer
    Tableta "Supra": opiniones de clientes
    leer
    Ubicaciones de barcos en tiempo real
    leer
    Los mejores programas para Android Grabar llamadas desde...
    leer
    Eliminar a los no seguidores en Twitter
    leer
    Conexión a Internet en una computadora portátil: todo lo posible...
    leer
    Samsung Galaxy S IV es el nuevo buque insignia...
    leer
    Arriba