PPTX, 3.2MB - Проблемы современных информационно

Report
Сложностные характеристики
статистических скрытых каналов
Автор: Свинцицкий Антон Игоревич
Факультет вычислительной математики и кибернетики
Московского Государственного Университета им. М. В. Ломоносова
Научный руководитель: д.ф.-м.н. Грушо Александр Александрович
25 сентября 2012 года
План презентации
1. Анализ и классификация существующих моделей
скрытых каналов передачи данных в
компьютерных системах.
2. Постановка задачи.
3. Модель статистического скрытого канала и ее
свойства.
4. Практические аспекты, связанные с
существованием скрытых каналов в
компьютерных системах
Анализ и классификация
существующих моделей скрытых
каналов
Анализ и классификация
Определение (Lampson B.W. A note of the
Confinement Problem):
Скрытый канал - канал связи (коммуникационный
канал) изначально не предназначенный для передачи
информации, нарушающих установленную политику
информационной безопасности.
Анализ и классификация
Основные классы скрытых каналов (традиционное
разделение):
1. Скрытые каналы по памяти.
2. Скрытые каналы по времени.
3. Статистические скрытые каналы.
Анализ и классификация
Анализ современных моделей скрытых каналов
позволяет выделить следующие классы
(практическая классификация):
1. Стеганографические скрытые каналы.
2. Статистические скрытые каналы.
Стеганографические скрытые
каналы
Общая схема скрытого канала
Отправитель
(Sender)
Получатель
(Receiver)
Процесс
добавления
скрытой
информации
Процесс
обнаружения
скрытой
информации
Скрытый канал передачи данных
Легальный канал передачи данных
Стеганографические скрытые
каналы в современных сетевых
протоколах
Протокол IP
(заголовок)
IHL
Type of service
Total Length
Version
Identification
TTL
Flags
Protocol
Fragment Offset
Header Checksum
Source Address
Destination Address
Options
Протокол DNS
(DNS запросы)
Padding
Какой IP адрес у сервера XXX.test.com?
XXX – это шифрованное сообщение, test.com – сервер злоумышленника
Стеганографический скрытый канал
в протоколе DNS
Стеганографические скрытые
каналы в современных сетевых
протоколах
Протокол HTTP
(использование get запросов)
GET /cgi-bin/order?Mr16TLU5vg2e5g1Zxrld7Frk3fT6m3m45dl450 HTTP/1.0
Mr16TLU5vg2e5g1Zxrld7Frk3fT6m3m45dl450 – шифрованное скрытое сообщение
Использование «cookies»
Стеганографические скрытые
каналы в современных сетевых
протоколах
Использование «cookies»
http://www.test.com/search.xml?text=Mr16TLU5vg2e&id=5g1Zxrld7Fr&param=k
Шаг 1.
Запрос веб-страницы
Сервер A в зоне
test.com
3fT6m3m45dl450
Шаг 2.
Ответ: веб-страницы +
cookies
Cookies для домена test.com
АРМ Пользователя
Шаг 3.
Запрос веб-страницы +
cookies
Cookies для домена test.com
Сервер B в зоне
test.com
Использование перестановок
Основная идея: отслеживание последовательностей обращений
к определенным ресурсам сети Интернет
Например, если злоумышленник контролирует сайты
(определенные разделы сайтов) 1 , … ,  , то сформированная
последовательность обращений 1 , … ,  , являющаяся
перестановкой, является кодом передаваемого сообщения.
Также могут использоваться текстовые гиперссылки внутри
определенного документа на другие разделы сайта.
Статистические скрытые каналы.
Примеры
Основная идея: изменение последовательности пакетов в сети.
Все адреса сегментов сети s0 , … , sm разбиты на два
непересекающихся множества  1 и (2).

Тогда последовательности пакетов длины  ( <  ≤ ) адресов
2
из множества  1 означает, что передается «1»,

последовательность длины  ( <  ≤ ) адресов из множества
2
 2 означает, что передается «0». Если сформирована

последовательность длины меньше , то передачи нет.
2
Выводы
1. Скрытые каналы существуют практически в
любом протоколе сетевого взаимодействия.
2. Скрытые каналы представляют для нарушителем
возможности получения доступа к
информационным активам компании.
3. Стеганографические скрытые каналы наиболее
исследованы в отечественной и зарубежной
литературе.
Выводы. Сравнение скрытых
классов скрытых каналов
Свойства
Стеганографические скрытые
Статистические скрытые каналы
каналы
Пропускная способность
Высокая
Низкая
Невидимость
Возможно выявление с
Математически доказана
помощью детального анализа
невидимость статистических
сетевого трафика
скрытых каналов
Двусторонняя передачи
Большинство каналов
информации
однонаправленные
Направление
Постановка задачи
Постановка задачи
Необходимо описать модель статистического
скрытого канала передачи информации, для
обеспечения передачи информационных активов из
защищаемого сегмента корпоративной сети на
сервер нарушителя (злоумышленника),
расположенный в сети Интернет.
Сегмент сети S
Сегмент сети S
0
ip_внеш= s1
1
...
ip_внеш= s0
Интернет
(сеть общего пользования)
ip_внеш= sN
Сегмент сети S N
Постановка задачи
На пограничном маршрутизаторе сегмента 0
установлена программная или программноаппаратная закладка А, взаимодействующая с
сервером нарушителя В, расположенном в сети
Интернет так, что пакеты из сегмента 0 ,
адресованные 1 , 2 , … ,  , проходят через узел сети,
на котором расположен этот сервер.
Модель статистического
скрытого канала и ее свойства
Описание модели
Закладка А и сервер В знают некоторый секретный
ключ:
  – длина эксперимента;
 1 , … ,  , где 1 < 2 < ⋯ <  – время
эксперимента;
  > 0– интервал единичного эксперимента;
  > 0 – константа
Описание модели
 Закладка  формирует специальную
последовательность исходящих пакетов, адресованных
1 , … ,  .
 Сервер отслеживает, какие пакеты проходят через
него в каждый момент времени [ ,  + ),  = 1,  и
вычисляет следующие величины:
 1 =
 2 =

=1

=1
 1 ∈ [ ,  + )
 2 ∈ [ ,  + )
где 1 , 2 ∈ 1, … ,  , 1 ≠ 2 .
Описание модели
 Если  1 <  ≤ (2 ), то сервер  делает
предположение, что закладка  передает «1».
 Если  2 <  ≤ (1 ), то делается
предположение, что передается «0».
Иначе: нет передачи данных.
Оценка параметров модели
Для того чтобы сервер  мог отделить наличие
передачи по данных от нормальной работы сети
необходимо оценить длину эксперимента .
 0 : нормальная работа сети, скрытой передачи нет
( < );
 1 : идет передача информации с использованием
статистического скрытого канала ( ≥ );
Оценка параметров модели
 Оценим константу  исходя из предположения, что вероятность ошибки
первого рода (0 неверно отвергнута) не должна быть выше чем , то
есть:
  =1   ∈ [ ,  +  ≥  | Скрытая передача не осуществляется <

 >
Ф−1
1−
0

  ∈ 0, 
=1
+ 0

  ∈ 0, 
=1
Оценка параметров модели
 Из полученной оценки для величины  , получим
оценку для  из предположения, что вероятность
ошибки второго рода не должна быть выше :
1
<

  ∈ [ ,  + ) <  |Скрытая передача выполняется
=1
Оценка параметров модели
Утверждение 1: Для того, чтобы B мог выделить скрытую
передачу информации в сетевом трафике при заданных
значениях  и  необходимо, чтобы длина эксперимента была
не меньше
−1
≥
Ф
1−
0 1 − 0 − Ф
1 − 0
−1

1 1 − 1
2
+1
где
0  ∈ [ ,  + ) = 0  ∈ [0, ) = 0 (передачи нет)
1  ∈  ,  +  = 1  ∈ 0,  = 1 (передача идет)
Передача k бит информации
 Пусть в каждый момент времени сервер  наблюдает за
пакетами, адресованными получателям 1 , … ,  ,
1 , … ,  ∈ {1, … , } и вычисляет величины:
  =

=1
  ∈ [ ,  + ) ,  = 1, 
 Все множество ( ) разбивается на два
непересекающихся подмножества:
1 =   :   <  ,  = 1, 
2 =   :   ≥  ,  = 1, 
Передача k бит информации

Всего существует  вариантов разбиения на
множества мощности  и  − , существует


 вариантов разбиения на 2

=
2
=1 
непересекающихся множества, что соответствует
мощности 2 . Можно построить взаимнооднозначное соответствие между всевозможными
разбиениями на множества 1 и С2 и векторами
длины  ( −1 … 1 ).
Пропускная способность
статистического скрытого канала
Определим  =  − 1 – общее время, необходимое для
передачи 1 () бит информации.
В соответствии с предложенным алгоритмом  ≥ , так
как для поиска одного пакеты, адресованному
определенному узлу рассматривается интервал [ ,  +
Защита от скрытого канала
1.
2.
3.
4.
Модель использует предположение, что время на закладке
 синхронизировано с сервером синхронизации и
соответствует времени на узле злоумышленника.
Использовать дополнительное перемешивание пакетов.
Использование различных маршрутов передачи
информации между территориально удаленными
сегментами корпоративной информационной системы.
Использование выделенных каналов связи между
территориальной удаленными сегментами.
Использование модели на разных
уровнях модели OSI
Уровень
Протокол
Использование
Физический
-
Описывает среду передачи данных (не рассматривается)
Канальный
IEEE 802
Использование MAC адресов
Только внутри broadcast domains
Сетевой уровень
IP
Использование полей заголовка пакета: Protocol, source address
Ограничения при использовании технологий NAT
Транспортный
Прикладной
TCP
Использование полей заголовка пакета: Source port, Destination port, flags
(UDP)
Ограничения при использовании технологий NAT
SMTP
Такие же контейнеры, что и для стеганографических скрытых каналов
(DNS, HTTP)
Доступ к
ресурсам сети
Доступ к определенным ресурсам сети Интернет (например, социальная сеть)
Практические аспекты,
связанные с существованием
скрытых каналов в
компьютерных системах
Протокол синхронизации времени
 Сервер  в заранее определенные моменты времени
{1 , … ,  , … } посылает пакеты, адресованный определенному
узлу сети (содержащие определенный признак).
 Данные пакеты являются «метками синхронизации»
(например, пакеты адресованные 1 )
 Ключ 1 , … ,  , … известен серверу  и клиенту  и
формируется следующим образом: i – определенные
моменты эталонного времени
 Время на сервере  синхронизировано с эталонным
значением
Задача: синхронизировать время на клиенте 
Протокол синхронизации времени
Шаг 1. Сервер  в моменты времени 1 , … ,  , …
отправляет «метки» синхронизации (моменты времени
вычислены в системе отсчета сервера ).
Шаг 2. Клиент  получает первую «метку» синхронизации
в момент времени 1′ (вычисленный в системе отсчета
клиента ). Следовательно, время 1′ соответствует
глобальному времени 1 . Если 1′ = 1 , то сдвига нет. Если
нет, то на клиенте  есть сдвиг, равный ∆1 = 1′ − 1 .
Протокол синхронизации времени
Шаг 3. Клиент  получает вторую «метку» синхронизации в момент
времени 2′ (вычисленный в системе отсчета клиента ). Если 2′ −
2 = ∆2 равно ∆1 , то на клиенте  есть только сдвиг равный ∆1 , на
который его время отличается от времени на сервере .
Если ∆2 неравно ∆1 , значит необходимо изменить алгоритм
вычисления времени на клиенте  (необходимо изменить
количество тактов длины  ′ в единицу времени).
Если нет, то
′

+

− 1
2
1
 =  ′ − ∆1 =
 ′ − (1′ − 1 )
′
2
Протокол синхронизации времени.
Исправление ошибок
Возможные ошибки при передаче пакетов:
1. Лишние пакеты, обладающие свойства «меток»
синхронизации.
2. Ошибки, связанные с задержкой сетевых пакетов
на узлах компьютерной сети.
3. Ошибки, связанные с отбрасыванием пакетов на
узлах компьютерной сети.
Протокол синхронизации времени.
Исправление ошибок
Утверждение 2. Для синхронизации времени между
сервером  и клиентом  количество полученных
меток синхронизации должно быть не меньше 3.
Протокол синхронизации времени.
Исправление ошибок
 Любой пакет, в том числе и «метка» синхронизации может
прийти с задержкой  – случайная величина, имеющая
геометрическое распределение с вероятностью успеха .
 = 0,1,2, …
2  =  = (1 − )  , ∀ ∈ 
2  ≤  ′ = =0(1 − )  =  (обозначение)
 Любой пакет может быть отброшен/потерян при передаче с
вероятностью  (схема Бернулли из  испытаний с
вероятностью успеха 1 − ).
 = 0,1
1 − ,  = 1
1  =
,  = 0
Протокол синхронизации времени.
Исправление ошибок
 – число «меток», которые дошли до клиента 
 – число «меток», для которых задержка не превышает
предопределенного значения  ′

P=
  ≥ 3|  
=0
  =
 
 1−

−
Утверждение 3.
При  → ∞,  → 0,  →  и  =  (0 <  < 1)  → 1.
Протокол синхронизации времени.
Выводы:
1. В предложенном алгоритме показана возможность
асимптотически точной синхронизации времени на
клиенте со временем сервера синхронизации при
условии постоянных величин такта  и сдвига ∆.
2. Также показано, что возможно получить любой
порядок точности синхронизации несмотря на
возможные ошибки в сети, связанные с задержкой
и(или) потерей определенных пакетов.
Модель скрытого канала под ОС
Windows.
1. Исполняемый код.
Основная задача исполняемого
кода состоит в интерпретации
стандартных потоков
входа/выхода консоли
(stdin/stdout) [92], в которой
работает cmd.exe в
последовательность DNSзапросов
Исполняемый код
Модуль состояния
Транспортный
модуль
Операционная система
(локальный сервис разрешения имен)
Модель скрытого канала под ОС
Windows.
2. Модуль состояния.
Основная задача состоит в
реализации протокола жизни,
который мог бы передать
информацию на сервер
управления о состоянии
модуля управления
Исполняемый код
Модуль состояния
Транспортный
модуль
Операционная система
(локальный сервис разрешения имен)
Модель скрытого канала под ОС
Windows.
3. Транспортный модуль.
Основная задача транспортного модуля состоит в
построение доверенного соединения с сервером
управления с использованием протокола UDP
Для этого используются уникальные
идентификаторы (ID), которые получаются с
помощью стандартных вызовов в операционной
системе Windows:



A=GetUserName () – функция, возвращающая имя
пользователя, от имени которого запущен модуль
удаленного управления;
B=GetComputerName () – функция,
возвращающая NetBIOS имя узла корпоративной
информационной системы, на котором запущен
модуль удаленного управления;
ID=Hash(A+B) – функция, реализующая получения
хэш-значения по описанному алгоритму (может
использоваться любой алгоритм, например MD5
Исполняемый код
Модуль состояния
Транспортный
модуль
Операционная система
(локальный сервис разрешения имен)
Модель скрытого канала под ОС
Windows.
4. Операционная система
В операционной системе
используется встроенный сервис
svchost.exe/resolver
Используются стандартные
WinAPI:
 GetHostByName ();
 DnsQuary ();
 IcmpSendEcho ();
 IcmpSendEcho2Ex ().
Исполняемый код
Модуль состояния
Транспортный
модуль
Операционная система
(локальный сервис разрешения имен)
Модель скрытого канала под ОС
Windows.
Основными задачами, которые реализует сервер
управления, являются:
 получение DNS-запросов по порту 53/udp;
 разворачивание/сворачивание команд и(или)
результатов выполнения таких команд в DNSзапросы/DNS-ответы.
Сервис получения
и обработки
запросов
(Сервер)
Парсер
Модуль
управления
удаленными
клиентами
Модуль парсер предназначен для интерпретации
полученной последовательности UDP-пакетов в выход
stdout для каждого уникального ID
Оценка возможности
существования скрытых каналов
Общая схема оценки
возможности
существования скрытых
каналов в компьютерных
системах
Тип скрытого
канала
Уровень
реализации
скрытого канала
Априорные меры
обеспечения
информационной
безопасности
Апостериорные
меры обеспечения
информационной
безопасности
Оценка
защищенности
Уязвимости
Оценка
возможности
существования
Оценка возможности
существования скрытых каналов
Типы скрытых каналов:
1. Стеганографический
2. Статистический
Тип скрытого
канала
Уровень
реализации
скрытого канала
Априорные меры
обеспечения
информационной
безопасности
Апостериорные
меры обеспечения
информационной
безопасности
Оценка
защищенности
Уязвимости
Оценка
возможности
существования
Оценка возможности
существования скрытых каналов
Уровень реализации скрытого
канала:
 уровень передачи данных;
 сетевой уровень;
 транспортный уровень;
 уровень прикладного
программного обеспечения
(прикладной уровень).
Тип скрытого
канала
Уровень
реализации
скрытого канала
Априорные меры
обеспечения
информационной
безопасности
Апостериорные
меры обеспечения
информационной
безопасности
Оценка
защищенности
Уязвимости
Оценка
возможности
существования
Оценка возможности
существования скрытых каналов
Уязвимости, связанные с архитектурой
компьютерной системой:
 наличие подключений к сетям общего
доступа;
 структура корпоративной
информационной системы (локальная,
распределенная, автономное
автоматизированное рабочее место);
 режим обработки информации
(однопользовательский,
многопользовательский);
 протоколы, разрешенные к
использованию;
 использование беспроводных
технологий предоставления доступа к
ресурсам корпоративной
информационной системы.
5
СБазовая =
С
=1
Тип скрытого
канала
Уровень
реализации
скрытого канала
Априорные меры
обеспечения
информационной
безопасности
Апостериорные
меры обеспечения
информационной
безопасности
Оценка
защищенности
Уязвимости
Оценка
возможности
существования
Оценка возможности
существования скрытых каналов
Априорные меры обеспечения
информационной безопасности, которые могут
влиять на возможность существования
скрытых каналов:
 использование средств защиты от
вредоносного программного обеспечения;
 использование средств анализа
защищенности узлов корпоративной
информационной системы;
 использование межсетевых экранов;
 использование средств мониторинга и
контроля сетевого трафика;
 использование механизмов проксисерверов для предоставление доступа к
сетями общего доступа;
 обучение работников вопросам
обеспечения информационной
безопасности.
Тип скрытого
канала
Уровень
реализации
скрытого канала
Априорные меры
обеспечения
информационной
безопасности
Апостериорные
меры обеспечения
информационной
безопасности
Оценка
защищенности
Уязвимости
Оценка
возможности
существования
Оценка возможности
существования скрытых каналов
Апостериорные меры
обеспечения информационной
безопасности, которые могут
влиять на возможность
существования скрытых каналов:
 использование средств
мониторинга и корреляции
событий информационной
безопасности;
Тип скрытого
канала
Уровень
реализации
скрытого канала
Априорные меры
обеспечения
информационной
безопасности
Апостериорные
меры обеспечения
информационной
безопасности
Оценка
защищенности
Уязвимости
Оценка
возможности
существования
Оценка возможности
существования скрытых каналов
Итоговое влияние
существующих механизмов
обеспечения информационной
безопасности в части контроля
потенциальных скрытых каналов
СЗИитоговое вычисляется по
следующей формуле:
 СЗИитоговое =
Тип скрытого
канала
Уровень
реализации
скрытого канала
Априорные меры
обеспечения
информационной
безопасности
Апостериорные
меры обеспечения
информационной
безопасности
Оценка
защищенности
Уязвимости
8
=1 СЗИ
Оценка
возможности
существования
Оценка возможности
существования скрытых каналов
Итоговая оценка возможности
существования скрытых каналов
 вычисляется по следующей
формуле
  =1−
1
 СЗИитоговое ×Сбазовая
Уровень
реализации
скрытого канала
Значение показателя  Описание
 < 0,5
Вероятность
(существования)
Вероятность
(существования)
Априорные меры
обеспечения
информационной
безопасности
скрытых
каналов
Оценка
защищенности
Уязвимости
возникновения
скрытых
каналов
средняя
 ≥ 0,7
Вероятность
(существования)
высокая
Апостериорные
меры обеспечения
информационной
безопасности
возникновения
низкая
0,5 ≤  < 0,7
Тип скрытого
канала
возникновения
скрытых
каналов
Оценка
возможности
существования
Оценка возможности
существования скрытых каналов
Для оценки ценности информационного (ЦИА ) актива
используется следующая качественная шкала:
 минимальный (нулевой, ЦИА = 0 ) – разглашение информации не приводит к
возникновению какого-либо ущерба для владельца (организации);
 низкий (допустимый, ЦИА = 1) – разглашение информации может привести к
возникновению ущерба, который не может существенно повлиять на основные
производственно-технологические и бизнес-процессы организации;
 средний (существенный, ЦИА = 2) - разглашение информации может привести к
значительному ущербу, потере конкурентоспособности организации (нанесение
ощутимого, значимого ущерба как организации, так и интересам клиентов,
партнёров, сотрудников и др.), значимым нарушениям в основных
производственно-технологических и бизнес-процессах;
 высокий (неприемлемый, ЦИА = 3) - разглашение информации может привести к
катастрофическим финансово-экономическим и другим последствиям для
организации, вплоть до банкротства.
Оценка возможности
существования скрытых каналов
Для определение необходимости защиты от скрытых каналов, необходимо для
всех выделенных типов информационных активов и всех описанных типов
скрытых каналов с учетом оценки ценности информационного актива ЦИА и
оценки возможности существования скрытого канала  определить актуальность
защиты в соответствии со следующей таблицей:
ЦИА
0
1
2
3
 < , 
Неактуально
Неактуально
Неактуально
Актуально
,  ≤  < , 
Неактуально
Неактуально
Актуально
Актуально
 ≥ , 
Неактуально
Актуально
Актуально
Актуально

Вопросы?
Спасибо за внимание

similar documents