canal encubierto

Ataque a la seguridad informática

En seguridad informática , un canal encubierto es un tipo de ataque que crea la capacidad de transferir objetos de información entre procesos que se supone que la política de seguridad informática no permite que se comuniquen . El término, originado en 1973 por Butler Lampson , se define como canales "que no están destinados a la transferencia de información en absoluto, como el efecto del programa de servicio en la carga del sistema ", para distinguirlo de los canales legítimos que están sujetos a controles de acceso por parte de COMPUSEC . ^[1]

Características

Un canal encubierto se llama así porque está oculto a los mecanismos de control de acceso de los sistemas operativos seguros, ya que no utiliza los mecanismos legítimos de transferencia de datos del sistema informático (normalmente, lectura y escritura) y, por lo tanto, no puede ser detectado ni controlado por el sistema. Mecanismos de seguridad que subyacen a los sistemas operativos seguros. Los canales encubiertos son extremadamente difíciles de instalar en sistemas reales y, a menudo, pueden detectarse monitoreando el rendimiento del sistema. Además, sufren de una baja relación señal-ruido y bajas velocidades de datos (normalmente, del orden de unos pocos bits por segundo). También se pueden eliminar manualmente con un alto grado de seguridad desde sistemas seguros mediante estrategias de análisis de canales encubiertos bien establecidas.

Los canales encubiertos son distintos y a menudo se confunden con las explotaciones de canales legítimos que atacan sistemas pseudoseguros de baja seguridad utilizando esquemas como la esteganografía o incluso esquemas menos sofisticados para disfrazar objetos prohibidos dentro de objetos de información legítimos. El mal uso legítimo del canal por parte de la esteganografía no es específicamente una forma de canal encubierto. ^{[ cita necesaria ]}

Los canales encubiertos pueden atravesar sistemas operativos seguros y requieren medidas especiales para controlarlos. El análisis de canales encubiertos es la única forma comprobada de controlar los canales encubiertos. ^{[ cita necesaria ]} Por el contrario, los sistemas operativos seguros pueden evitar fácilmente el uso indebido de canales legítimos, por lo que es importante distinguir ambos. El análisis de canales legítimos en busca de objetos ocultos a menudo se tergiversa como la única contramedida exitosa para el uso indebido de canales legítimos. Debido a que esto equivale a un análisis de grandes cantidades de software, ya en 1972 se demostró que no era práctico. ^[2] Sin ser informados de esto, algunos se dejan engañar al creer que un análisis permitirá "gestionar el riesgo" de estos canales legítimos.

Criterios TCSEC

Los Criterios de Evaluación de Seguridad Informática Confiable (TCSEC) eran un conjunto de criterios, ahora obsoletos, que habían sido establecidos por el Centro Nacional de Seguridad Informática , una agencia administrada por la Agencia de Seguridad Nacional de Estados Unidos .

La definición de Lampson de canal encubierto fue parafraseada en la TCSEC ^[3] específicamente para referirse a formas de transferir información de un compartimento de clasificación superior a uno de clasificación inferior. En un entorno de procesamiento compartido, es difícil aislar completamente un proceso de los efectos que otro proceso puede tener en el entorno operativo. Un canal encubierto es creado por un proceso emisor que modula alguna condición (como espacio libre, disponibilidad de algún servicio, tiempo de espera para ejecutarse) que puede ser detectada por un proceso receptor.

La TCSEC define dos tipos de canales encubiertos:

• Canales de almacenamiento: comuníquese modificando una "ubicación de almacenamiento", como un disco duro.
• Canales de temporización : realizan operaciones que afectan el "tiempo de respuesta real observado" por el receptor.

El TCSEC, también conocido como Libro Naranja , ^[4] requiere que el análisis de los canales de almacenamiento encubiertos se clasifique como un sistema B2 y el análisis de los canales de sincronización encubiertos es un requisito para la clase B3.

Canales de cronometraje

^{Girling [5]} exploró por primera vez el uso de retrasos entre paquetes transmitidos a través de redes informáticas para comunicaciones encubiertas. Este trabajo motivó muchos otros trabajos para establecer o detectar una comunicación encubierta y analizar las limitaciones fundamentales de tales escenarios.

Identificar canales encubiertos

Cosas ordinarias, como la existencia de un archivo o el tiempo utilizado para un cálculo, han sido el medio a través del cual se comunica un canal encubierto. Los canales encubiertos no son fáciles de encontrar porque estos medios son muy numerosos y se utilizan con frecuencia.

Dos técnicas relativamente antiguas siguen siendo los estándares para localizar posibles canales encubiertos. Uno trabaja analizando los recursos de un sistema y otro trabaja a nivel de código fuente.

Eliminando canales encubiertos

La posibilidad de canales encubiertos no se puede eliminar, ^[2] aunque se puede reducir significativamente mediante un diseño y análisis cuidadosos.

La detección de un canal encubierto puede resultar más difícil si se utilizan características del medio de comunicación para el canal legítimo que nunca son controladas ni examinadas por usuarios legítimos. Por ejemplo, un programa puede abrir y cerrar un archivo en un patrón cronometrado específico que puede ser detectado por otro programa, y ​​el patrón puede interpretarse como una cadena de bits, formando un canal encubierto. Dado que es poco probable que los usuarios legítimos busquen patrones de operaciones de apertura y cierre de archivos, este tipo de canal encubierto puede permanecer sin ser detectado durante largos períodos.

Un caso similar es el de la detonación de puertos . En las comunicaciones habituales, el momento de las solicitudes es irrelevante y no se vigila. La llamada a puertos lo hace significativo.

Ocultación de datos en el modelo OSI

Handel y Sandford presentaron una investigación donde estudian canales encubiertos dentro del diseño general de protocolos de comunicación de red. ^[6] Emplean el modelo OSI como base para su desarrollo en el que caracterizan elementos del sistema que tienen potencial para ser utilizados para ocultar datos. El enfoque adoptado tiene ventajas sobre estos porque se consideran estándares opuestos a arquitecturas o entornos de red específicos.

Su estudio no pretende presentar esquemas esteganográficos infalibles. Más bien, establecen principios básicos para ocultar datos en cada una de las siete capas OSI . Además de sugerir el uso de campos reservados de encabezados de protocolos (que son fácilmente detectables) en capas de red superiores, también proponen la posibilidad de cronometrar canales que impliquen manipulación CSMA/CD en la capa física.

Su trabajo identifica méritos de canales encubiertos como:

• Detectabilidad: el canal encubierto debe ser mensurable únicamente por el destinatario previsto.
• Indistinguibilidad: El canal encubierto debe carecer de identificación.
• Ancho de banda: número de bits de ocultación de datos por uso de canal.

Su análisis de canales encubiertos no considera cuestiones como la interoperabilidad de estas técnicas de ocultación de datos con otros nodos de la red, la estimación de la capacidad del canal encubierto y el efecto del ocultamiento de datos en la red en términos de complejidad y compatibilidad. Además, la generalidad de las técnicas no puede justificarse plenamente en la práctica, ya que el modelo OSI no existe per se en los sistemas funcionales.

Ocultación de datos en un entorno LAN mediante canales encubiertos

As Girling analiza por primera vez los canales encubiertos en un entorno de red. Su trabajo se centra en redes de área local (LAN) en las que se identifican tres canales encubiertos obvios (dos canales de almacenamiento y un canal de temporización). Esto demuestra ejemplos reales de posibilidades de ancho de banda para canales encubiertos simples en LAN. Para un entorno LAN específico, el autor introdujo la noción de un interventor que monitorea las actividades de un transmisor específico en la LAN. Las partes que se comunican encubiertamente son el transmisor y el interventor. La información encubierta según Girling se puede comunicar a través de cualquiera de las siguientes formas obvias:

1. Observando las direcciones a las que se acerca el transmisor. Si el número total de direcciones a las que puede acceder un remitente es 16, entonces existe la posibilidad de que la comunicación secreta tenga 4 bits para el mensaje secreto. El autor denominó esta posibilidad como canal de almacenamiento encubierto, ya que depende de lo que se envía (es decir, a qué dirección se dirige el remitente).
2. Del mismo modo, el otro canal encubierto de almacenamiento obvio dependería del tamaño de la trama enviada por el remitente. Para los 256 tamaños posibles, la cantidad de información encubierta descifrada de un tamaño de trama sería de 8 bits. Nuevamente, este escenario se denominó canal de almacenamiento encubierto.
3. El tercer escenario presentado utiliza la presencia o ausencia de mensajes. Por ejemplo, "0" para un intervalo de tiempo de mensaje impar, "1" para un intervalo de tiempo par.

El escenario transmite información encubierta a través de una estrategia de "cuándo se envía", por lo que se denomina canal encubierto de sincronización. El tiempo para transmitir un bloque de datos se calcula en función del tiempo de procesamiento del software, la velocidad de la red, el tamaño de los bloques de la red y la sobrecarga del protocolo. Suponiendo que se transmiten bloques de varios tamaños en la LAN, la sobrecarga del software se calcula en promedio y también se presenta una nueva evaluación del tiempo para estimar el ancho de banda (capacidad) de los canales encubiertos. El trabajo allana el camino para futuras investigaciones.

Ocultación de datos en el conjunto de protocolos TCP/IP mediante canales encubiertos

Centrándose en los encabezados IP y TCP del conjunto de protocolos TCP/IP, un artículo publicado por Craig Rowland diseña técnicas adecuadas de codificación y decodificación utilizando el campo de identificación de IP, el número de secuencia inicial de TCP y los campos de número de secuencia de reconocimiento. ^[7] Estas técnicas se implementan en una utilidad simple escrita para sistemas Linux que ejecutan kernels versión 2.0.

Rowland proporciona una prueba de concepto, así como técnicas prácticas de codificación y decodificación para la explotación de canales encubiertos utilizando el conjunto de protocolos TCP/IP. Estas técnicas se analizan considerando mecanismos de seguridad como la traducción de direcciones de red de firewall.

Sin embargo, la no detectabilidad de estas técnicas de comunicación encubierta es cuestionable. Por ejemplo, en un caso en el que se manipula el campo de número de secuencia del encabezado TCP, el esquema de codificación se adopta de manera que cada vez que se comunica de forma encubierta el mismo alfabeto, se codifica con el mismo número de secuencia.

Además, los usos del campo de número de secuencia así como el campo de acuse de recibo no pueden hacerse específicos para la codificación ASCII del alfabeto del idioma inglés como se propone, ya que ambos campos tienen en cuenta la recepción de bytes de datos pertenecientes a paquetes de red específicos.

Después de Rowland, varios autores académicos publicaron más trabajos sobre canales encubiertos en el conjunto de protocolos TCP/IP, incluida una gran cantidad de contramedidas que van desde enfoques estadísticos hasta aprendizaje automático. ^{[8] [9] [10] [11]} La investigación sobre canales encubiertos de redes se superpone con el dominio de la esteganografía de redes, que surgió más tarde.

Ver también

• Vigilancia de computadoras y redes  : monitoreo de la actividad de computadoras o redes
• Ataque de canal lateral  : cualquier ataque basado en información obtenida de la implementación de un sistema informático.
• Esteganografía  : ocultar mensajes en otros mensajes
• Canal subliminal  – Canal criptográfico encubierto
• Imagen de cable (networking)  – Sistema para el intercambio de mensajes entre sistemas informáticos.Páginas que muestran descripciones breves de los objetivos de redireccionamiento

Referencias

1. Mayordomo Lampson (1 de octubre de 1973). "Una nota sobre el problema del encierro". Comunicaciones de la ACM . 16 (10): 613–615. doi :10.1145/362375.362389. ISSN  0001-0782. Wikidata  Q56446421.
2. Estudio de planificación de tecnología de seguridad informática (James P. Anderson, 1972)
3. NCSC-TG-030, Análisis de canales encubiertos de sistemas confiables (libro rosa claro), 1993 de las publicaciones de la serie Rainbow del Departamento de Defensa (DoD) de los Estados Unidos .
4. 5200.28-STD, Criterios de evaluación de sistemas informáticos confiables (libro naranja) , 1985 Archivado el 2 de octubre de 2006 en Wayback Machine de las publicaciones de la serie DoD Rainbow .
5. NIÑA, GRIS (febrero de 1987). "Canales encubiertos en LAN". Transacciones IEEE sobre ingeniería de software . SE-13 (2): 292–296. doi :10.1109/tse.1987.233153. S2CID  3042941. ProQuest  195596753.
6. Ocultar datos en el modelo de red OSI Archivado el 18 de octubre de 2014 en Wayback Machine , Theodore G. Handel y Maxwell T. Sandford II (2005)
7. Canales encubiertos en el conjunto de protocolos TCP/IP Archivado el 23 de octubre de 2012 en Wayback Machine , 1996 Artículo de Craig Rowland sobre canales encubiertos en el protocolo TCP/IP con código de prueba de concepto.
8. Zander, S.; Armitage, G.; Rama, P. (2007). "Un estudio de canales encubiertos y contramedidas en protocolos de redes informáticas". Encuestas y tutoriales sobre comunicaciones del IEEE . 9 (3). IEEE: 44–57. doi :10.1109/comst.2007.4317620. hdl : 1959.3/40808 . ISSN  1553-877X. S2CID  15247126.
9. Ocultamiento de información en redes de comunicación: fundamentos, mecanismos, aplicaciones y contramedidas . Mazurczyk, Wojciech., Wendzel, Steffen., Zander, Sebastian., Houmansadr, Amir., Szczypiorski, Krzysztof. Hoboken, Nueva Jersey: Wiley. 2016.ISBN​ 9781118861691. OCLC  940438314.{{cite book}}: Mantenimiento CS1: otros ( enlace )
10. Wendzel, Steffen; Zander, Sebastián; Fechner, Bernhard; Herdin, Christian (abril de 2015). "Encuesta basada en patrones y categorización de técnicas de canales encubiertos de red". Encuestas de Computación ACM . 47 (3): 50:1–50:26. arXiv : 1406.2901 . doi :10.1145/2684195. ISSN  0360-0300. S2CID  14654993.
11. Cabuk, Serdar; Brodley, Carla E .; Escudos, Clay (abril de 2009). "Detección de canales IP encubiertos". Transacciones ACM sobre Seguridad de la Información y Sistemas . 12 (4): 22:1–22:29. CiteSeerX 10.1.1.320.8776 . doi :10.1145/1513601.1513604. ISSN  1094-9224. S2CID  2462010. 

Otras lecturas

• Canales de sincronización una explotación temprana de un canal de sincronización en Multics .
• La herramienta de canal encubierto oculta datos en IPv6, SecurityFocus, 11 de agosto de 2006.
• Raggo, Michael; Hosmer, Chet (2012). Ocultación de datos: exposición de datos ocultos en multimedia, sistemas operativos, dispositivos móviles y protocolos de red. Publicación Syngress. ISBN 978-1597497435.
• Lakshmanan, Ravie (4 de mayo de 2020). "El nuevo malware salta a los dispositivos con espacio de aire al convertir las fuentes de alimentación en parlantes".
• Una clase abierta en línea sobre canales encubiertos (GitHub)

enlaces externos

• Gray-World - Equipo de investigación de código abierto: herramientas y artículos
• Centro de operaciones de Steath Network: sistema de soporte de comunicaciones encubiertas