Скрытые каналы. Часть 3. Противодействие утечке информации по сетевым скрытым каналам

В первых двух статьях цикла мы обсудили проблему утечки информации по сетевым скрытым каналам и разобрали несколько реальных примеров построения таких скрытых каналов. Сегодня мы поговорим о том, как выстраивать процесс защиты от утечки информации по скрытым каналам.

Общая схема противодействия

В рамках противодействия утечке информации по скрытым каналам предусмотрено несколько шагов:

идентификация скрытых каналов: сначала мы хотим понять, какие скрытые каналы теоретически могут быть построены в системе;
анализ скрытых каналов: затем мы хотим оценить их «опасность», рассчитав их пропускную способность;
принятие решение о конкретных мерах противодействия: и исходя из этой оценки решить, что мы с ними делаем – вводим меры противодействия, а может быть не делаем ничего, выдвигая требования к периодическому аудиту.

Эти шаги есть и в ГОСТ Р 53113, о котором уже говорили в предыдущих статьях. Теперь поговорим подробнее о каждом шаге.

Идентификация скрытых каналов

На данном этапе происходит анализ возможностей по построению скрытых каналов в системе. Данный шаг не надо путать с обнаружением скрытых каналов. Задача идентификации – выявление потенциальных скрытых каналов, которые могут быть реализованы в исследуемой системе. Задача обнаружения – в нахождении уже функционирующих в исследуемой системе скрытых каналов.

Методы идентификации – определение неявных информационных потоков. В литературе рассматриваются методы идентификации путем построения различных структур данных:

матрица разделяемых ресурсов;
дерево скрытых информационных потоков;
граф скрытых информационных потоков;
диаграмма последовательности сообщений.

При идентификации путем построения матрицы все общие ресурсы, которые могут модифицироваться субъектом, перечисляются, а затем каждый ресурс тщательно проверяется на возможное использование для передачи информации. Таким образом заполняется матрица связей. Далее проводится транзитное замыкание матрицы, а именно определяются все возможные цепочки взаимодействий в матрице, благодаря чему обнаруживаются скрытые пути передачи информации.

Другие методы идентификации действуют примерно тем же образом. Всё это – строгие математические подходы, требующие достаточно детального описания исследуемой системы и глубокого исследования информационных потоков внутри нее. Методы идентификации не зависят от характера скрытого канала, не важно сетевой он или нет. Про адаптацию данных методов к скрытым каналам в IP сетях можно почитать в этой статье.

После данного этапа мы имеем перечень идентифицированных в данной информационной системе скрытых каналов. Теперь надо переходить к анализу этих скрытых каналов.

Анализ скрытых каналов

Основная задача анализа скрытых каналов – определение количества информации, которое можно передать с использованием идентифицированных каналов. Основной целью является определение скрытых каналов с высокой пропускной способностью среди всех идентифицированных, ведь именно пропускная способность – основная метрика «опасности» скрытого канала.

А вот, что считать высокой или низкой пропускной способностью – вопрос открытый. Пороговое значение должно быть определено в политике информационной безопасности организации, однако ему тоже надо там откуда-то появиться. Здесь мы можем основываться либо на «Оранжевой книге», уже упоминавшейся в предыдущих частях цикла. В ней предлагается считать опасными скрытые каналы с пропускной способностью более 1 бит/с. В некоторых источниках можно найти рекомендации по пороговому значению в 100 бит/с. Однако, строгих требований в нормативных документах вы не найдете. Так что, это пороговое значение выбирается на усмотрение отдела информационной безопасности конкретной организации.

Оценка пропускной способности скрытого канала не отличается от оценки пропускной способности любого другого канала связи. Для каналов без шума пропускная способность ν может быть определена согласно формуле ниже, где N(t) – количество возможных последовательностей символов, или сообщений, которое можно передать за время t.

$\lim_{t \to \infty} \frac{\log_2 N(t)}{t}$

Формула достаточно простая, и мы ей уже пользовались в неявном виде в предыдущей статье цикла при оценке пропускной способности скрытых каналов в приведенных примерах.

Однако, для сетевых скрытых каналов шум в сети – задержки и потери пакетов – критичен, и все сетевые скрытые каналы являются каналами с шумом. Тогда можно рассмотреть другой подход к оценке, основанный на расчете взаимной информации случайных величин X и Y, описывающих входные и выходные характеристики скрытого канала соответственно. В формуле ниже $\tau$ – среднее время передачи одного пакета.

$\nu = \max_{X} \left\{ \frac{I(X,Y)}{\tau} \right\}$

Взаимная информация случайных величин X и Y оценивается как разность энтропии случайной величины Y и условной энтропии случайной величины Y относительно случайной величины X . В формулах ниже $p_{\text{вх}}(j)$ – вероятность отправки символа , $p_{\text{вых}}(i)$ – вероятность распознавания получателем символа , $p_{\text{вых}}(i \mid j)$ – условная вероятность распознавания получателем символа при отправке символа .

$I(X,Y) = H(Y) - H(Y \mid X)$ $H(Y) = -\sum_{i=1}^{n} p_{\text{вых}}(i) \log_2 p_{\text{вых}}(i)$ $H(Y \mid X) = -\sum_{j=1}^{n} p_{\text{вх}}(j) \sum_{i=1}^{n} p_{\text{вых}}(i \mid j) \log_2 p_{\text{вых}}(i \mid j)$

Теперь для каждого из идентифицированных скрытых каналов мы имеем оценку их пропускной способности. Пора решать, что мы будем с этими скрытыми каналами делать.

Внедрение мер противодействия утечке информации по скрытым каналам

Пусть задано значение пропускной способности скрытого канала $\nu_{\text{0}}$ такое, что функционирование скрытых каналов с пропускной способностью, не превосходящей $\nu_{\text{0}}$ , является допустимым. Тогда все идентифицированные скрытые каналы поделятся на два множества – «не опасные» и «опасные».

Для «не опасных» скрытых каналов мы не должны внедрять никаких мер противодействия. Однако, мы должны проводить периодический аудит таких скрытых каналов, ведь в случае изменения характеристик основного канала связи пропускная способность скрытого канала связи также может измениться.

Цель превентивных мер противодействия «опасным» скрытым каналам – ограничить их пропускную способность до значения $\nu_{\text{0}}$ либо «подавить», другими словами, полностью устранить возможность их построения, то есть тоже снизить их пропускную способность, но уже до нуля.

Чем больше ошибок происходит при передаче информации и ее дальнейшем декодировании, тем ниже пропускная способность канала связи. Значит, если мы будем внедрять ошибки в скрытый канал, мы снизим его пропускную способность. Как это сделать? К примеру, если мы кодируем информацию в длина пакетов, то средство защиты может «удлинять» каждый пакет на определенную величину, в результате чего на стороне приемника скрытой информации мы будем получать ошибки. В случае кодирования скрытой информации в длинах межпакетных интервалов средство защиты может вносить случайные задержки перед отправкой каждого пакета, что приведет к аналогичному результату.

Другой способ – генерация фиктивного трафика, который также будет нарушать схему кодирования.

Если говорить про подавление скрытого канала, то это те же методы, но в «пределе». То есть средство защиты добавляет не случайное значение к длине пакета или длине межпакетного интервала, а, к примеру, отправляет все пакеты одинаковой длины, либо через одинаковые промежутки времени. Скрытые каналы на основе изменения полей заголовков передаваемых пакетов устраняет шифрование канала связи.

Превентивные меры противодействия сетевым скрытым каналам потенциально приводят к существенному понижению пропускной способности легитимного канала связи и к потере функциональных возможностей протоколов. В таком случае, может быть принято решение о внедрении не превентивной меры противодействия. Ведь мы имеем список идентифицированных скрытых каналов – то есть тех, что могут быть построены в рамках нашей системы, но не обязательно будут построены. Тогда мы можем в пассивном режиме наблюдать за каналом связи, и если мы в ходе наблюдения увидим подозрительную активность, уже тогда внедрим превентивные меры.

В рамках такого подхода применяются методы обнаружения скрытых каналов. Это отдельная большая и достаточно сложная тема, и о ней мы поговорим в следующей статье цикла.

Следите за обновлениями блога!

Предыдущие статьи цикла:

ссылка на оригинал статьи https://habr.com/ru/articles/1031248/