Canal encubierto

Ataque a la seguridad informática

En seguridad informática , un canal encubierto es un tipo de ataque que crea una capacidad para transferir objetos de información entre procesos que no deberían tener permiso para comunicarse según la política de seguridad informática . El término, creado en 1973 por Butler Lampson , se define como canales "no destinados a la transferencia de información en absoluto, como el efecto del programa de servicio en la carga del sistema ", para distinguirlo de los canales legítimos que están sujetos a controles de acceso por parte de COMPUSEC . ^[1]

Características

Un canal encubierto se llama así porque está oculto a los mecanismos de control de acceso de los sistemas operativos seguros, ya que no utiliza los mecanismos legítimos de transferencia de datos del sistema informático (normalmente, lectura y escritura) y, por lo tanto, no puede ser detectado ni controlado por los mecanismos de seguridad que subyacen a los sistemas operativos seguros. Los canales encubiertos son extremadamente difíciles de instalar en sistemas reales y, a menudo, se pueden detectar mediante la supervisión del rendimiento del sistema. Además, sufren de una baja relación señal-ruido y bajas velocidades de datos (normalmente, del orden de unos pocos bits por segundo). También se pueden eliminar manualmente con un alto grado de seguridad de los sistemas seguros mediante estrategias de análisis de canales encubiertos bien establecidas.

Los canales encubiertos son distintos de las explotaciones de canales legítimos, que suelen confundirse con ellas, y que atacan sistemas pseudoseguros de baja seguridad mediante esquemas como la esteganografía o incluso esquemas menos sofisticados para disfrazar objetos prohibidos dentro de objetos de información legítimos. El uso indebido de canales legítimos mediante la esteganografía no es específicamente una forma de canal encubierto. ^{[ cita requerida ]}

Los canales encubiertos pueden atravesar sistemas operativos seguros y requieren medidas especiales para controlarlos. El análisis de canales encubiertos es la única forma comprobada de controlarlos. ^{[ cita requerida ]} Por el contrario, los sistemas operativos seguros pueden prevenir fácilmente el uso indebido de canales legítimos, por lo que es importante distinguir ambos. El análisis de canales legítimos en busca de objetos ocultos se presenta a menudo de forma errónea como la única contramedida exitosa para el uso indebido de canales legítimos. Debido a que esto equivale al análisis de grandes cantidades de software, ya en 1972 se demostró que no era práctico. ^[2] Sin estar informados de esto, algunos se engañan y creen que un análisis "gestionará el riesgo" de estos canales legítimos.

Criterios TCSEC

Los Criterios de Evaluación de Seguridad Informática de Confianza (TCSEC) eran un conjunto de criterios, ahora obsoletos, que habían sido establecidos por el Centro Nacional de Seguridad Informática , una agencia administrada por la Agencia de Seguridad Nacional de los Estados Unidos .

La definición de Lampson de un canal encubierto fue parafraseada en el TCSEC ^[3] específicamente para referirse a las formas de transferir información desde un compartimento de clasificación superior a uno de clasificación inferior. En un entorno de procesamiento compartido, es difícil aislar completamente un proceso de los efectos que otro proceso puede tener sobre el entorno operativo. Un canal encubierto es creado por un proceso emisor que modula alguna condición (como espacio libre, disponibilidad de algún servicio, tiempo de espera para ejecutar) que puede ser detectada por un proceso receptor.

El TCSEC define dos tipos de canales encubiertos:

• Canales de almacenamiento: comuníquese modificando una "ubicación de almacenamiento", como un disco duro.
• Canales de temporización : realizan operaciones que afectan el "tiempo de respuesta real observado" por el receptor.

El TCSEC, también conocido como el Libro Naranja , ^[4] requiere que el análisis de los canales de almacenamiento encubiertos se clasifique como un sistema B2 y el análisis de los canales de sincronización encubiertos es un requisito para la clase B3.

Canales de temporización

Girling ^[5] fue el primero en explorar el uso de los retrasos entre paquetes transmitidos a través de redes informáticas para la comunicación encubierta. Este trabajo motivó muchos otros trabajos para establecer o detectar una comunicación encubierta y analizar las limitaciones fundamentales de tales escenarios.

Identificación de canales encubiertos

Cosas ordinarias, como la existencia de un archivo o el tiempo empleado para un cálculo, han sido el medio a través del cual se comunica un canal encubierto. Los canales encubiertos no son fáciles de encontrar porque estos medios son muy numerosos y se utilizan con frecuencia.

Dos técnicas relativamente antiguas siguen siendo las estándar para localizar posibles canales ocultos: una funciona analizando los recursos de un sistema y la otra funciona a nivel de código fuente.

Eliminando canales encubiertos

La posibilidad de canales encubiertos no se puede eliminar, ^[2] aunque se puede reducir significativamente mediante un diseño y análisis cuidadosos.

La detección de un canal encubierto puede resultar más difícil si se utilizan características del medio de comunicación del canal legítimo que nunca son controladas ni examinadas por los usuarios legítimos. Por ejemplo, un programa puede abrir y cerrar un archivo siguiendo un patrón específico y cronometrado que puede ser detectado por otro programa, y ​​el patrón puede interpretarse como una cadena de bits que forma un canal encubierto. Dado que es poco probable que los usuarios legítimos comprueben los patrones de operaciones de apertura y cierre de archivos, este tipo de canal encubierto puede permanecer sin ser detectado durante largos períodos.

Un caso similar es el de los port knocking . En las comunicaciones habituales, el momento de las solicitudes es irrelevante y no se controla. El port knocking lo hace importante.

Ocultación de datos en el modelo OSI

Handel y Sandford presentaron una investigación en la que estudian los canales encubiertos dentro del diseño general de protocolos de comunicación en red. ^[6] Utilizan el modelo OSI como base para su desarrollo en el que caracterizan elementos del sistema que tienen potencial para ser utilizados para ocultar datos. El enfoque adoptado tiene ventajas sobre estos porque se consideran estándares opuestos a entornos o arquitecturas de red específicos.

Su estudio no pretende presentar esquemas esteganográficos infalibles, sino que establece principios básicos para ocultar datos en cada una de las siete capas OSI . Además de sugerir el uso de los campos reservados de los encabezados de protocolos (que son fácilmente detectables) en las capas superiores de la red, también proponen la posibilidad de canales de temporización que impliquen manipulación CSMA/CD en la capa física.

Su trabajo identifica méritos de canales encubiertos como:

• Detectabilidad: el canal encubierto debe ser medible únicamente por el destinatario previsto.
• Indistinguibilidad: El canal encubierto debe carecer de identificación.
• Ancho de banda: número de bits de ocultación de datos por uso del canal.

Su análisis de canal encubierto no considera cuestiones como la interoperabilidad de estas técnicas de ocultamiento de datos con otros nodos de la red, la estimación de la capacidad del canal encubierto y el efecto del ocultamiento de datos en la red en términos de complejidad y compatibilidad. Además, la generalidad de las técnicas no puede justificarse plenamente en la práctica, ya que el modelo OSI no existe per se en los sistemas funcionales.

Ocultación de datos en un entorno LAN mediante canales encubiertos

Girling analiza por primera vez los canales encubiertos en un entorno de red. Su trabajo se centra en las redes de área local (LAN) en las que se identifican tres canales encubiertos obvios (dos canales de almacenamiento y un canal de temporización). Esto demuestra los ejemplos reales de posibilidades de ancho de banda para canales encubiertos simples en las LAN. Para un entorno de LAN específico, el autor introdujo la noción de un espía que monitorea las actividades de un transmisor específico en la LAN. Las partes que se comunican de forma encubierta son el transmisor y el espía. La información encubierta según Girling se puede comunicar a través de cualquiera de las siguientes formas obvias:

1. Observando las direcciones a las que se dirige el transmisor. Si el número total de direcciones a las que puede dirigirse un remitente es 16, existe la posibilidad de una comunicación secreta que tenga 4 bits para el mensaje secreto. El autor denominó esta posibilidad como canal de almacenamiento encubierto, ya que depende de lo que se envía (es decir, a qué dirección se dirige el remitente).
2. De la misma manera, el otro canal de almacenamiento encubierto obvio dependería del tamaño de la trama enviada por el remitente. Para los 256 tamaños posibles, la cantidad de información encubierta descifrada de un tamaño de trama sería de 8 bits. Nuevamente, este escenario se denominó canal de almacenamiento encubierto.
3. El tercer escenario presentado utiliza la presencia o ausencia de mensajes. Por ejemplo, "0" para un intervalo de tiempo de mensaje impar, "1" para un intervalo de tiempo par.

El escenario transmite información encubierta a través de una estrategia de "cuándo se envía", por lo que se denomina canal encubierto de sincronización. El tiempo para transmitir un bloque de datos se calcula como función del tiempo de procesamiento del software, la velocidad de la red, los tamaños de los bloques de la red y la sobrecarga del protocolo. Suponiendo que se transmiten bloques de varios tamaños en la LAN, la sobrecarga del software se calcula en promedio y se utiliza una nueva evaluación del tiempo para estimar el ancho de banda (capacidad) de los canales encubiertos. El trabajo allana el camino para futuras investigaciones.

Ocultación de datos en el conjunto de protocolos TCP/IP mediante canales encubiertos

Centrándose en los encabezados IP y TCP del conjunto de protocolos TCP/IP, un artículo publicado por Craig Rowland idea técnicas adecuadas de codificación y decodificación utilizando el campo de identificación IP, el número de secuencia inicial TCP y los campos de número de secuencia de reconocimiento. ^[7] Estas técnicas se implementan en una sencilla utilidad escrita para sistemas Linux que ejecutan kernels de la versión 2.0.

Rowland ofrece una prueba de concepto, así como técnicas prácticas de codificación y decodificación para la explotación de canales encubiertos utilizando el conjunto de protocolos TCP/IP. Estas técnicas se analizan teniendo en cuenta mecanismos de seguridad como la traducción de direcciones de red mediante cortafuegos.

Sin embargo, la indetectabilidad de estas técnicas de comunicación encubierta es cuestionable. Por ejemplo, en un caso en el que se manipula el campo de número de secuencia del encabezado TCP, se adopta el esquema de codificación de tal manera que cada vez que se comunica encubiertamente el mismo alfabeto, se codifica con el mismo número de secuencia.

Además, los usos del campo de número de secuencia así como del campo de reconocimiento no pueden hacerse específicos para la codificación ASCII del alfabeto del idioma inglés como se propone, ya que ambos campos tienen en cuenta la recepción de bytes de datos pertenecientes a paquetes de red específicos.

Después de Rowland, varios autores académicos publicaron más trabajos sobre canales encubiertos en el conjunto de protocolos TCP/IP, incluida una gran cantidad de contramedidas que van desde enfoques estadísticos hasta aprendizaje automático. ^{[8] [9] [10] [11]} La investigación sobre canales encubiertos de red se superpone con el dominio de la esteganografía de red, que surgió más tarde.

Véase también

• Vigilancia de computadoras y redes  : monitoreo de la actividad de computadoras o redes
• Ataque de canal lateral  : cualquier ataque basado en información obtenida de la implementación de un sistema informático.
• Esteganografía  : ocultar mensajes en otros mensajes
• Canal subliminal  – Canal criptográfico encubierto
• Datos de cable  : formato de la información de red tal como se transmite

Referencias

1. Butler Lampson (1 de octubre de 1973). "Una nota sobre el problema del confinamiento". Comunicaciones de la ACM . 16 (10): 613–615. doi :10.1145/362375.362389. ISSN  0001-0782. Wikidata  Q56446421.
2. Estudio de planificación de tecnología de seguridad informática (James P. Anderson, 1972)
3. NCSC-TG-030, Análisis de canal encubierto de sistemas confiables (libro rosa claro), 1993 de las publicaciones de la serie Rainbow del Departamento de Defensa de los Estados Unidos (DoD) .
4. 5200.28-STD, Criterios de evaluación de sistemas informáticos de confianza (Libro naranja) , 1985 Archivado el 2 de octubre de 2006 en Wayback Machine a partir de las publicaciones de la serie Rainbow del Departamento de Defensa .
5. GIRLING, GRAY (febrero de 1987). "Canales encubiertos en redes LAN". IEEE Transactions on Software Engineering . SE-13 (2): 292–296. doi :10.1109/tse.1987.233153. S2CID  3042941. ProQuest  195596753.
6. Ocultación de datos en el modelo de red OSI Archivado el 18 de octubre de 2014 en Wayback Machine , Theodore G. Handel y Maxwell T. Sandford II (2005)
7. Canales encubiertos en el conjunto de protocolos TCP/IP Archivado el 23 de octubre de 2012 en Wayback Machine , Artículo de 1996 de Craig Rowland sobre canales encubiertos en el protocolo TCP/IP con código de prueba de concepto.
8. Zander, S.; Armitage, G.; Branch, P. (2007). "Un estudio de canales encubiertos y contramedidas en protocolos de redes informáticas". IEEE Communications Surveys and Tutorials . 9 (3). IEEE: 44–57. doi :10.1109/comst.2007.4317620. hdl : 1959.3/40808 . ISSN  1553-877X. S2CID  15247126.
9. Ocultamiento de información en redes de comunicación: fundamentos, mecanismos, aplicaciones y contramedidas . Mazurczyk, Wojciech., Wendzel, Steffen., Zander, Sebastian., Houmansadr, Amir., Szczypiorski, Krzysztof. Hoboken, Nueva Jersey: Wiley. 2016.ISBN​ 9781118861691. OCLC  940438314.{{cite book}}: Mantenimiento de CS1: otros ( enlace )
10. Wendzel, Steffen; Zander, Sebastian; Fechner, Bernhard; Herdin, Christian (abril de 2015). "Encuesta basada en patrones y categorización de técnicas de canal encubierto de red". Encuestas de computación ACM . 47 (3): 50:1–50:26. arXiv : 1406.2901 . doi :10.1145/2684195. ISSN  0360-0300. S2CID  14654993.
11. Cabuk, Serdar; Brodley, Carla E .; Shields, Clay (abril de 2009). "Detección de canal encubierto de IP". Transacciones ACM sobre seguridad de la información y el sistema . 12 (4): 22:1–22:29. CiteSeerX 10.1.1.320.8776 . doi :10.1145/1513601.1513604. ISSN  1094-9224. S2CID  2462010. 

Lectura adicional

• Canales de temporización: una explotación temprana de un canal de temporización en Multics .
• Herramienta de canal encubierto oculta datos en IPv6, SecurityFocus, 11 de agosto de 2006.
• Raggo, Michael; Hosmer, Chet (2012). Ocultación de datos: exposición de datos ocultos en multimedia, sistemas operativos, dispositivos móviles y protocolos de red. Syngress Publishing. ISBN 978-1597497435.
• Lakshmanan, Ravie (4 de mayo de 2020). "Un nuevo malware invade dispositivos con espacio de aire convirtiendo las fuentes de alimentación en altavoces".
• Una clase abierta en línea sobre canales encubiertos (GitHub)

Enlaces externos

• Gray-World - Equipo de investigación de código abierto: herramientas y documentos
• Centro de operaciones de red Steath: sistema de soporte de comunicaciones encubiertas