Canal encubierto

Un canal encubierto  es un canal de comunicación que envía información utilizando un método que originalmente no estaba destinado a esto.

El concepto de un canal encubierto se introdujo por primera vez en "Una nota sobre el problema del confinamiento" de Butler Lampson el 10 de octubre de 1973 , como "(canales) que no están diseñados para transmitir información en absoluto, como el impacto de un programa de utilidad en arranque del sistema" [1] . Muy a menudo, el canal encubierto es un parásito del canal principal: el canal encubierto reduce el rendimiento del canal principal. Los observadores de terceros generalmente no pueden detectar que, además del canal principal de transmisión de datos, también hay uno adicional. Solo el remitente y el receptor lo saben. Por ejemplo, en esteganografíalos mensajes ocultos se codificaban dentro de imágenes gráficas u otros datos de tal manera que los cambios no se percibían a simple vista, pero el destinatario del mensaje podía decodificar el mensaje cifrado.

Rasgos distintivos

El canal encubierto toma su nombre del hecho de que está oculto a los sistemas de control de acceso incluso de los sistemas operativos seguros, ya que no utiliza mecanismos legítimos de transmisión como lectura y escritura, y por lo tanto no puede ser detectado ni monitoreado por mecanismos de seguridad de hardware. que subyacen a los sistemas operativos seguros. En los sistemas reales, el canal encubierto es casi imposible de establecer y, a menudo, también se puede detectar al monitorear el rendimiento del sistema; además, las desventajas de los canales encubiertos son una baja relación señal-ruido y bajas tasas de datos (del orden de varios bits por segundo). También se pueden eliminar manualmente de los sistemas seguros con un alto grado de certeza utilizando estrategias de análisis de canales encubiertos establecidas.

Los canales encubiertos a menudo se confunden con el uso de canales legítimos, que atacan sistemas pseudoseguros con un bajo grado de confianza, utilizando esquemas como la esteganografía o incluso esquemas menos sofisticados diseñados para ocultar objetos prohibidos dentro de objetos con información legal. Dichos usos de canales legítimos que utilizan esquemas de ocultación de datos no son canales encubiertos y pueden evitarse mediante sistemas altamente confiables.

Los canales encubiertos pueden atravesar sistemas operativos seguros y requieren medidas especiales para controlarlos. El único método probado para monitorear canales encubiertos es el llamado análisis de canales encubiertos. Al mismo tiempo, los sistemas operativos seguros pueden evitar fácilmente el uso indebido (o ilegal) de canales legítimos. A menudo, el análisis de los canales legales para objetos ocultos se presenta incorrectamente como la única medida exitosa contra el uso ilegal de los canales legales. Dado que en la práctica esto significa la necesidad de analizar una gran cantidad de software, ya en 1972 se demostró que tales medidas son ineficaces [2] . Sin saber esto, muchos creen que dicho análisis puede ayudar a hacer frente a los riesgos asociados con los canales legales.

Norma TCSEC

TCSEC  es un conjunto de estándares establecidos por el Departamento de Defensa de los Estados Unidos .

La definición de Lampson de un canal encubierto ha sido reformulada en TCSEC [2] para referirse a cómo se transfiere la información de una capa más segura a una menos segura. En un entorno informático compartido, es difícil separar por completo un proceso de los efectos que otro proceso puede haber tenido en el entorno operativo. El proceso de envío crea un canal encubierto, que modula algún estado (como el espacio libre, la disponibilidad de algún servicio, el tiempo de espera de inicio, etc.) que puede detectar el proceso de recepción.

Los Criterios definen dos tipos de canales encubiertos:

• Canal de memoria oculto: los procesos interactúan debido al hecho de que uno puede escribir información directa o indirectamente en un área determinada de la memoria, y el segundo puede leerla. Suele significar que procesos con diferentes niveles de seguridad tienen acceso a algún recurso (por ejemplo, algunos sectores del disco).
• Canal de tiempo oculto: un proceso envía información a otro mediante la modulación de su propio uso de recursos del sistema (como el tiempo de CPU) de tal manera que esta operación afecta el tiempo de respuesta real observado por un tercer proceso.

Los criterios, también conocidos como el Libro Naranja , [3] exigen que el análisis de canales encubiertos de memoria se clasifique como un requisito para un sistema de clase B2 y el análisis de canales encubiertos de tiempo como un requisito para la clase B3.

Eliminación de canales encubiertos

La posibilidad de canales encubiertos no se puede eliminar por completo, pero se puede reducir en gran medida mediante un diseño y análisis cuidadosos del sistema.

La detección de canales encubiertos puede resultar más difícil si se usan características de medios para canales legales que los usuarios nunca controlan ni verifican. Por ejemplo, un programa puede abrir y cerrar un archivo de una manera específica y sincronizada que otro proceso puede entender como una secuencia de bits, formando así un canal encubierto. Dado que es poco probable que los usuarios legítimos intenten encontrar un patrón al abrir y cerrar archivos, este tipo de canal encubierto puede pasar desapercibido durante mucho tiempo.

Un caso similar es la tecnología " port knocking ". Por lo general, cuando se transmite información, la distribución de solicitudes en el tiempo no es importante y no se monitorea, pero cuando se usa "port knocking" se vuelve significativo.

Ocultar datos en el modelo OSI

Handel y Sanford intentaron ampliar la perspectiva y centrarse en los canales encubiertos en el modelo general de protocolos de red. Toman el modelo de red OSI como base de su razonamiento y luego caracterizan los elementos del sistema que pueden usarse para ocultar datos. El enfoque adoptado tiene ventajas sobre el de Handel y Sanford, ya que este último aborda estándares que se oponen a algunos de los entornos y arquitecturas de redes en uso. Además, no se ha desarrollado un esquema abreviado fiable.

Sin embargo, se han establecido principios generales para ocultar datos en cada una de las siete capas del modelo OSI. Además de sugerir el uso de campos de encabezado de protocolo reservados (que son fácilmente detectables), Handel y Sanford también sugirieron la posibilidad de canales de temporización con respecto a la operación de CSMA/CD de capa física .

Su trabajo determina el valor de un canal encubierto de acuerdo con los siguientes parámetros:

• Visibilidad: solo el destinatario previsto de la transmisión debe poder realizar mediciones de canal encubiertas.
• Indistinguibilidad: El canal encubierto debe ser indistinguible.
• Ancho de banda: el número de bits de datos ocultos para cada uso del canal.

También se presentó un análisis de canal encubierto, pero no considera problemas tales como: la interacción usando los métodos mencionados entre los nodos de la red, la estimación de la capacidad del canal, el efecto que tiene la ocultación de datos en la red. Además, la aplicabilidad de los métodos no puede justificarse plenamente en la práctica, ya que el modelo OSI no existe como tal en los sistemas vivos.

Ocultar datos en un entorno LAN

Girling fue la primera persona en analizar canales encubiertos en el entorno LAN. Su trabajo se centra en las redes de área local (LAN), en las que se definen tres aparentes canales encubiertos: dos en la memoria y uno en el tiempo. Esto muestra ejemplos reales de posibles anchos de banda para canales encubiertos simples en LAS. Para el entorno LAS especial, el autor introdujo el concepto de un interceptor que monitorea las acciones de un transmisor específico en la LAN. Las partes involucradas en la transmisión encubierta son el transmisor y el interceptor. La información oculta, según Girling, se puede comunicar de cualquiera de las siguientes formas:

• Supervisión de las direcciones a las que accede el transmisor. Si el número de direcciones a las que puede acceder es 16, existe la posibilidad de una transmisión secreta con un tamaño de mensaje secreto de 4 bits. El autor atribuyó esta característica a los canales de memoria ocultos, ya que depende del contenido que se envíe.
• Otro canal encubierto obvio se basa en el tamaño de la trama enviada por el transmisor. Si hay 256 tamaños de trama diferentes, la cantidad de información secreta obtenida al descifrar un tamaño de trama será de 8 bits. Este canal también fue referido por el autor a canales de memoria ocultos.
• El tercer método, temporal, se basa en la diferencia entre los tiempos de transmisión. Por ejemplo, una diferencia impar significaría "0" y una diferencia par significaría "1". El tiempo requerido para transferir un bloque de datos se calcula en función de la velocidad de procesamiento del software, la velocidad de la red, los tamaños de los bloques de la red y el tiempo de sobrecarga del protocolo. Suponiendo que se transmiten bloques de varios tamaños en la LAN, se calcula el tiempo promedio del programa y también se estima el ancho de banda del canal encubierto.

Ocultar datos en el conjunto de protocolos TCP/IP

Rowland adoptó un enfoque más específico. Centrándose en los encabezados IP y TCP del paquete de protocolo TCP/IP, Rowland deduce los métodos correctos de codificación y decodificación utilizando el campo de identificación de IP y los campos de número de secuencia de inicio TCP y número de secuencia de reconocimiento. Estos métodos se implementan en una aplicación simple escrita para sistemas Linux que se ejecutan en el kernel 2.0.

Rowland simplemente prueba la idea misma de la existencia de canales encubiertos en TCP/IP, así como su uso. En consecuencia, su trabajo puede evaluarse como un avance práctico en esta área. Los métodos de codificación y decodificación adoptados por él son más pragmáticos en comparación con los trabajos propuestos anteriormente. Estos métodos se analizan teniendo en cuenta mecanismos de seguridad como la traducción de direcciones de red por parte del firewall.

Sin embargo, la indetectabilidad de estos métodos de transmisión encubierta es cuestionable. Por ejemplo, en el caso de que se realicen operaciones en el campo de número de secuencia del encabezado TCP, se adopta un esquema en el que el alfabeto se transmite en secreto cada vez, pero sin embargo se codifica con el mismo número de secuencia.

Además, el uso del campo de número de secuencia, así como el campo de acuse de recibo, no se puede hacer con referencia a la codificación ASCII del alfabeto inglés, como se sugiere, ya que ambos campos tienen en cuenta la recepción de bytes de datos relacionados con ciertos paquetes de red. .

Ocultar datos en un paquete de protocolo TCP/IP tiene los siguientes aspectos importantes:

• Los canales encubiertos se identifican en el entorno de red.
• Se obtienen métodos de codificación y decodificación satisfactorios del remitente y el destinatario, respectivamente.
• No se tiene en cuenta el efecto de utilizar la red de comunicaciones ocultas en su conjunto.

Notas

1. ↑ Lampson, B.W., Una nota sobre el problema del confinamiento. Comunicaciones de la ACM, Oct.1973.16(10):p. 613-615. [1] Archivado el 9 de noviembre de 2016 en Wayback Machine .
2. ↑ NCSC-TG-030, Covert Channel Analysis of Trusted Systems (Light Pink Book) Archivado el 1 de septiembre de 2010 en Wayback Machine de las publicaciones DoD Rainbow Series .
3. ↑ 5200.28-STD, Criterios de evaluación de sistemas informáticos de confianza (Libro naranja) Archivado el 2 de octubre de 2006. de las publicaciones de la serie Rainbow

Véase también

• Esteganografía
• Ataque de canal lateral

Enlaces

• Grey-World  - Equipo de Desarrollo de Grey-World : Programas y Artículos
• Steath Network Operations Center  - Sistema de soporte de comunicación encubierta
• Canales de temporización  : uso de un canal por tiempo en Multics .
• La herramienta de canal encubierto oculta datos en IPv6 , SecurityFocus, 11 de agosto de 2006.
• Covert Channels in the TCP/IP Suite  (enlace no disponible) , 1996: artículo de Craig Rowland sobre canales encubiertos en TCP/IP.