Скрытый способ передачи информации

Проблемы скрытой передачи информации

Проблемы скрытой передачи информации

Проблемы скрытой передачи информации

Михаил Калиниченко, генеральный директор компании StarForce Technologies

ПРИ существующем сегодня огромном количестве серверов и каналов передачи данных скрытно передать ту или иную информацию не составляет труда. Однако на деле все оказывается не так уж и просто. При переходе к практической стороне дела встает вопрос: «Каким образом можно утаить сам факт передачи информации?» В это же время многие сотрудники служб безопасности озабочены вопросом, как выявить скрытую передачу данных. Согласитесь, спецслужбы просто так думать над этим вопросом не будут. А значит, существует проблема и. ее решение.

Стеганография: от невидимых чернил до микроточек

В настоящее время, когда информация играет важнейшую роль в вопросах конкурентной борьбы, в дело вступают технологии промышленного шпионажа. Теперь руководители и специалисты по информационной безопасности размышляют не только над тем, как наиболее надежно сохранить коммерчески важную информацию, но и о том, как эту информацию незаметно передать. В то же время нужно следить за тем, чтобы коммерчески важная информация не ушла из компании к конкурентам.

Само явление скрытия передачи информации известно примерно с V в. до нашей эры и называется стеганографией. Всем нам еще с детства помнятся невидимые чернила или письма, написанные молоком. Во время Второй мировой войны германские спецслужбы могли передавать секретные данные в обычных письмах или открытках. Чтобы достичь этого, на место обычных знаков препинания вклеивались микроточки, представляющие собой крошечные фотографии. Такие микроточки могли содержать тексты, чертежи, фотографии. Со временем методы стеганографии менялись, а с развитием информационных технологий появилось новое направление в сфере защиты информации -компьютерная стеганография. Под этим явлением подразумевается скрытие информации в текстовых, графических или видеофайлах с использованием специальных программ.

Способы скрытой передачи информации

Наиболее простым способом скрытия информации является встраивание данных в плоскость изображения. При этом внедряемая скрытая информация не должна влиять на качество графики. Осуществляется этот способ с помощью встраивания в файл-контейнер (например, рисунок в формате jpg) определенного сообщения, при этом используется специальный стегоключ. Этот секретный ключ нужен не только для встраивания информации в файл, но и для последующего чтения данных.

В других ситуациях данные скрывают в неиспользуемых областях форматов файлов. Удобство этого способа заключается в том, что в качестве контейнера могут служить практически любые файлы: аудио, видео, картинки и т.п. Внесение изменений в них не приводит к заметным искажениям исходного файла. В качестве примера можно привести известный вирус WIN95.CIH. Этот вирус встраивается в исполняемый файл *.exe, используя незаполненные секции формата PE (Portable Executable). Как известно, *.exe может содержать в себе не только код приложения, но и многочисленные дополнительные данные (например, пиктограммы, служебные данные и информацию о функциях), которые хранятся в отдельных секциях формата PE. Если же данные не заполняют секцию полностью, то они не используются, и в результате остается достаточно много места. Примерно такая же технология используется в других случаях. Недостаток этого способа в том, что встраиваемые данные и данные файла-контейнера существуют отдельно друг от друга, соответственно степень защищенности может понизиться.

Главным требованием при передаче информации является то, что измененный файл не должен для стороннего наблюдателя отличаться от исходного контейнера. Добиться такого эффекта возможно с помощью использования специализированных программ, например StegoMagic. Известны и другие аналоги такого программного обеспечения, позволяющие скрыть информацию в bmp, dib, voc, wav и html-файлах (S-Tools, Steganos for Wins). Зачастую эти программы имеют простой пользовательский интерфейс и очень удобны в использовании даже для неподготовленного человека.

Тем не менее описанные выше способы сокрытия информации не всегда применимы при жестком администрировании ее передачи. Администратору далеко не всегда нужно просматривать файл в поисках встроенной информации, достаточно учитывать, на какие адреса отправляются и с каких узлов принимаются файлы. Ведь если от финансового директора в адрес конкурирующей фирмы будут регулярно уходить картинки с йоркширскими терьерами, то это повод задуматься!

Достаточно часто для скрытой передачи информации идут другим путем, используя скрытые каналы связи. Каналы такого типа создаются специальными программами для обхода firewall и корпоративных систем фильтрации.

Проблема использования туннелирования состоит в том, что эти же скрытые каналы могут использовать ботнеты (сети зараженных компьютеров). Решением проблемы может быть установка сетевых устройств, лучше «понимающих» новый протокол. Еще одним способом закрыть этот вопрос является отслеживание трафика: если много так называемого «левого» трафика, то возможно заблокировать сервер, на который уходит большое количество мегабайт. Кроме того, нельзя пренебрегать элементарными средствами предосторожности: следить за теми, кто имеет доступ к важной информации, контролировать ее пересылку и возможность копирования.

Для защиты от скрытой передачи информации надо стремиться анализировать и контролировать не столько способы передачи информации, сколько доступ к самой информации и ее модификацию. Действительно, невозможно найти то, что неизвестно где искать. Просто пытаться выявить скрытую неизвестным способом и в неизвестном файле информацию практически невозможно. Однако если добавить к этому возможность контролировать доступ к файлу и работу программ, которые использовались для его разработки, то эта задача становится вполне решаемой.

В целом можно выделить два подхода. Во-первых, можно делать документы неотделимыми от программ их просмотра, которые, в свою очередь, привязываются к компьютеру. В этом случае программа просмотра активируется на конкретных компьютерах (например, в бухгалтерии), а документы защищаются таким образом, что их можно просмотреть только на данных копиях программ. Второй подход носит название поведенческого анализа и используется различными производителями. В этом случае на компьютеры сотрудников устанавливаются специальные программные модули, которые блокируют доступ к файлам любых программ, кроме разрешенных. В этом случае уже невозможно, например, присоединить документ к электронному письму или запустить программу, которая спрячет его внутри безобидной картинки.

В общем, как обычно, проблемы лучше предотвратить, чем потом лечить.

Источник

Скрытые каналы передачи данных

Скрытый канал (Covert channels) — это непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности информации.

Впервые понятие скрытого канала введено автором B. W. Lampson в работе «A Note on the Confinement Problem»: скрытый канал — это канал связи (коммуникационный канал), изначально не предназначенный для передачи информации, нарушающий установленную политику безопасности информации [L73].

Существование скрытого канала в системе представляет собой серьезную угрозу безопасности, так как факт передачи информации по скрытому каналу нельзя выявить стандартными методами защиты информации. Информация по скрытому каналу передается способом, не предполагаемым разработчиками данной автоматизированной системы как способ передачи информации.

Contents

Определение скрытого канала через информационные потоки

Допустим, пользователь П1 записал информацию И в документ Д, а пользователь П2 ее прочитал. Таким образом, согласно [DoDS85] имеется два информационных потока: информационный поток от П1 к Д, созданный при помощи операции записи и информационный поток от Д к П2, созданный при помощи операции чтения. Информационные потоки в системе разделяют на два непересекающихся подмножества: разрешенные и неразрешенные. Таким образом, политика безопасности информации должна содействовать реализации разрешенных потоков и ограничивать реализацию неразрешенных потоков. Тогда под скрытым каналом понимается запрещенный информационный поток, не выявляемый системой защиты [Т02].

Таким образом, передача информации по скрытому каналу подразумевает использование негласных особенностей автоматизированной системы.

Схема механизма функционирования скрытого канала в автоматизированной системе

На рисунке представлена схема механизма функционирования скрытого канала в автоматизированной системе, описанная в [ГОСТ Р 53113.2-2009], где цифрами обозначены:

• элемент 1 — нарушитель безопасности (злоумышленник), целью которого является НСД к информации ограниченного доступа либо несанкционированное влияние на АС;

• элемент 2 — информация ограниченного доступа либо критически важная функция;

• элемент 3 — субъект, имеющий санкционированный доступ к 2 и 5;

• элемент 3’ — агент нарушителя безопасности, находящийся в замкнутом контуре с 2 и взаимодействующий с 2 от имени субъекта 3;

• элемент 4 — инспектор (программное, программно-аппаратное, аппаратное средство или лицо), контролирующий информационное взаимодействие 3, пересекающее замкнутый контур, отделяющий объект информатизации от внешней среды;

• элемент 5 — субъект, находящийся вне замкнутого контура, с которым 3 осуществляет санкционированное информационное взаимодействие.

Систематизация скрытых каналов

Скрытые каналы по механизму передачи информации делятся на:

• скрытые каналы по памяти;
• скрытые каналы по времени;
• скрытые статистические каналы.

Скрытые каналы по памяти

Скрытые каналы по памяти основаны на наличии памяти, в которую передающий субъект записывает информацию, а принимающий — считывает ее [ГОСТ Р 53113.1-2008]. Совокупность всех видимых нарушителю объектов называют видимым пространством наблюдателя [М08]. Тогда скрытые каналы по памяти предполагают внесение изменений в видимое пространство наблюдателя, поэтому передаваемую информацию можно считать пространственной.

Пусть дана политика безопасности информации с высоким и низким уровнями доступа. Простейшим скрытым каналом по памяти может являться передача информации путем изменения названий файлов, директорий и так далее, созданных субъектом с высоким уровнем доступа таким образом, что эти изменения видны субъекту с низким уровнем доступа [Т02]. В данном случае информацию можно передать в именах файлов, в списках атрибутов файлов, в датах изменения файлов, в размерах файлов и так далее. Само существование файла с заданным названием может нести в себе бит информации.

Таким образом, система защиты не выявит данные каналы связи, так как вышеописанные действия не будут нарушать установленную политику безопасности информации.

Далее, скрытые каналы по памяти в [ГОСТ Р 53113.1-2008] разделяют на скрытые каналы, основанные на сокрытии информации в:

• структурированных данных, где информация встраивается в объекты, имеющие формально описанную структуру, например, в информационные поля файлов;
• неструктурированных данных, где информация записывается в неструктурированные объекты.

Примером второго типа скрытых каналов может служить запись информации в наименьшие значащие биты передаваемых изображений, таким образом, что изменения будут неотличимы человеческому глазу.

Скрытые каналы по времени

В скрытых каналах по времени передающий информацию субъект модулирует с помощью передаваемой информации некоторый изменяющийся во времени процесс, а субъект, принимающий информацию, в состоянии демодулировать передаваемый сигнал, наблюдая несущий информацию процесс во времени [ГОСТ Р 53113.1-2008].

Например, известен следующий скрытый канал по времени [Т02]: две ЭВМ подсоединены к общему ресурсу ПЗУ, при этом другие связи между данными машинами отсутствуют. На обе ЭВМ установлены закладки. Закладка на одной ЭВМ при нажатии клавиш клавиатуры модулирует времена занятости библиотеки ПЗУ, в то время как закладка на другой сканирует время занятости библиотеки запросами к ней. При помощи модуляции интервалов библиотеки ПЗУ можно передавать информацию, формируя скрытый канал по времени.

Аналогично, можно использовать время занятости центрального процессора [Т02]. Таким образом, одна длина промежутка времени занятости кодируется нулем, другая — единицей. Также, могут использоваться промежутки времени между обращениями к центральному процессору.

Также скрытые каналы по памяти и по времени можно разделить по принципу того, что фиксирует внешний нарушитель [М08]:

• если он фиксирует какое-то значение, то канал можно описать как параметрический, данные скрытые каналы в [ГОСТ Р 53113.1-2008] назвали скрытыми каналами по памяти;
• если он фиксирует какое-то событие, то канал можно описать как событийный, данные скрытые каналы в [ГОСТ Р 53113.1-2008] назвали скрытыми каналами по времени.

Скрытый статистический канал

Скрытый статистический канал использует для передачи информации изменение параметров распределений вероятностей любых характеристик системы, которые могут рассматриваться как случайные и описываться вероятностно-статистическими моделями [ГОСТ Р 53113.1-2008].

Классификация скрытых каналов по характеристикам информационного потока

Также можно классифицировать скрытые каналы по характеристикам информационного потока. По данному принципу скрытые каналы разделяют на прямые и не прямые [М08]:

• если создается один информационный поток от отправителя к получателю, то скрытый канал называется прямым;
• если создается несколько информационных потоков, то скрытый канал называется непрямым.

Например, в системе из двух ЭВМ и ПЗУ, описанной выше, создается непрямой скрытый канал, так как имеют место два информационных потока — от одной ЭВМ к ПЗУ и от ПЗУ ко второй ЭВМ.

Классификация каналов по пропускной способности

Согласно [ГОСТ Р 53113.1-2008] каналы по пропускной способности разделяются на:

• скрытые каналы с низкой пропускной способностью, по которым могут быть переданы малые по объему данные (пароли, криптографические ключи и так далее) за тот период времени, в который данная информация является ценной;
• скрытые каналы с высокой пропускной способностью, по которым может быть передана информация среднего и большого объема (текстовая информация, изображения) за тот период времени, в который данная информация считается ценной.

Скрытые каналы по наличию отправителя

Из наблюдения за характеристиками автоматизированной системы извне также возможно получение некоторой информации. Поэтому скрытые каналы по наличию отправителя разделяют на активные и пассивные [М08].

По наличию ошибок скрытые каналы разделяют на каналы с шумом и без шума [АрКо13]:

• скрытые каналы без шума;
• скрытые каналы с шумом.

Первый тип каналов это каналы без ошибок, то есть вероятность верного распознавания отправленного символа равна единице; для таких каналов I(X,Y)=I(X), где I — средняя взаимная информация, X — случайная величина, описывающая входные характеристики канала, Y — случайная величина, описывающая выходные характеристики канала.

Второй тип каналов это каналы с ошибками. Например, существуют так называемые Z-каналы [ЕпКо12].

Это бинарные скрытые каналы, в которых «0» передается верно с вероятностью, равной единице, а «1» передается с вероятностью p Скрытые каналы в IP-сетях

В данном разделе исследованы негласные возможности протокола IP, которые могут быть использованы для построения скрытых каналов.

Возможности протокола IP позволяют негласно передавать информацию и строить скрытые каналы, модулируя временные характеристики, значения полей заголовков и длины передаваемых пакетов. Широкое распространение протокола IP делает задачу исследования скрытых каналов в IP-сетях актуальной.

Вопрос обнаружения скрытых каналов в наше время в тематике информационной безопасности стоит достаточно остро, так как появляются новые модели скрытых каналов, которые необходимо исследовать с целью разработки способа их обнаружения в функционирующей автоматизированной системе. Зачастую по скрытому каналу, имеющему даже асимптотически нулевую пропускную способность, можно передать информацию сколь угодно большого объема.

Скрытые каналы в IP-сетях по механизму передачи информации разделим на каналы по памяти и по времени. Продолжение данного разбиения схематично представлено на рисунке:

Скрытые каналы по памяти в IP-сетях

Скрытые каналы по памяти делятся на следующие группы:

• скрытые каналы, основанные на модификации битов полей заголовков передаваемых пакетов;
• скрытые каналы, основанные на модификации данных в теле передаваемых пакетов;
• скрытые каналы, основанные на изменении длин передаваемых пакетов.

Скрытые каналы, основанные на модификации битов полей заголовков передаваемых пакетов

ПротоколПротокол IP предоставляет возможности для создания скрытых каналов, основанных на модификации битов полей заголовков передаваемых пакетов. Далее скрытые каналы по механизму передачи информации разделим на четыре категории:

• скрытые каналы, основанные на модификации полей, значения которых не установлены спецификацией протокола;
• скрытые каналы, основанные на модификации обязательных неиспользуемых полей передаваемых пакетов;
• скрытые каналы, основанные на модификации полей, изменение значений которых возможно без нарушения требований, накладываемых спецификацией протокола;
• скрытые каналы, основанные на модификации полей расширенных заголовков передаваемых пакетов.

Рассмотрим процесс установления TCP-соединения между клиентом и сервером. Установление TCP-соединения осуществляется в три этапа [RFC 793].

На первом этапе инициирующая TCP-соединение сторона А устанавливает флаг SYN и выбирает произвольное 32-битное значение ISN, обозначим ISNa, содержащееся в поле SEQ. На данном этапе флаг ACK установлен в ноль и значение поля ACK не проверяется.

На втором этапе, если сторона В согласна установить соединение, то она отправляет дейтаграмму с установленным флагом ACK и значением ISN, равным (ISNa+1), содержащемся в поле ACK. Также В устанавливает флаг SYN и записывает ISNb в поле SEQ.

На третьем этапе А, получив подтверждение, устанавливает ACK и передает дейтаграмму, где в поле ACK содержится значение (ISNb+1). После установления соединения дейтаграммы передаются с флагами SYN, равным нулю и ACK, равным единице.

Значения, выбираемые сторонами А и В на первом и втором этапах установления TCP-соединения не определены спецификацией протокола и могут быть использованы для скрытой передачи информации.

Другой пример связан с полями заголовка IP пакета. В нем есть шестнадцатибитное поле ID, генерируемое операционной системой случайным образом и используемое для идентификации пакета, то есть, для сборки пакета в случае его фрагментации. Каждый фрагмент получает одинаковый идентификатор. Если нет фрагментации, то значение поля ID равно нулю. Строгих правил, определяющих политику генерации идентификатора, в спецификации протокола IP нет. Это также дает возможности по созданию скрытого канала, модифицируя поле ID [С07]. Однако полезной информацией будет занято не все 16 бит, так как несколько бит выделяется для определения того, содержит ли данный пакет скрытую информацию путем вычисления контрольной суммы от оставшихся бит. Также часть битов используется для нумерации пакетов, так как порядок следования IP-пакетов в общем случае не совпадает с порядком их отправки. Для не обнаруживаемости скрытого канала необходимо, чтобы значение поля ID было уникальным и выглядело случайным.

Существуют возможности для построения скрытых каналов, модифицируя поле TOS, состоящее из восьми бит [HaSa96]. В данном поле последние два бита не используются и могут служить для негласной передачи информации. На практике многие маршрутизаторы игнорируют значение данного поля, следовательно, для передачи скрытой информации могут служить все 8 бит.

Существует возможность скрыто передавать информацию в поле TTL [ZaArBr06]. Определяется диапазон значений поля TTL, соответствующий единице, и диапазон значений, соответствующий нулю. В начальный момент времени нельзя передавать долгие последовательности, состоящие только из нулей или только из единиц, так как получателю необходимо понять разброс значений для определения, в каком диапазоне находятся ноль и единица. Пропускная способность данного канала равно одному биту на пакет.

В заголовке IP пакета есть поле Padding, длина которого выбирается таким образом, чтобы длина пакета в битах была кратна числу 32. Нет жестких требований к тому, как именно заполнять данное поле. Следовательно, оно может служить для скрытой передачи информации [ZaArBr07].

Представленные выше скрытые каналы попадают в первую категорию.

Примером скрытых каналов, попадающих во вторую категорию, может служить передача информации в поле ACK, которое не проверяется на первом этапе установления TCP соединения.

Также, если пакет не фрагментирован, то значение поля fragment offset не проверяется и может служить контейнером для негласной передачи информации [AhKu02].

Также существует способ построения скрытого канала, используя информацию в поле checksum [ZaArBr07]. Используются расширения полей заголовка, заполняемые таким образом, чтобы получить требуемое значение в поле checksum. Более того, в качестве заполнения расширений полей заголовка можно также использовать скрытую информацию. Данный подход к построению скрытого канала попадает в третью категорию.

Известны скрытые каналы [HaSa96], построенные на основе изменения временной метки пакета. Данная метка устанавливается в момент отправки пакета. Нарушитель на принимающей стороне считывает младший бит данной метки. Закладка на стороне отправителя посылает пакет, если младший бит совпал с битом передаваемого скрытого сообщения, либо задерживает пакет на один такт, чтобы инвертировать значение данного бита. Причем, время задержки на один такт крайне мало, и эта задержка не будет заметна средствам защиты на пути следования пакета.

В качестве примера скрытых каналов, попадающих в четвертую категорию, рассмотрим скрытый канал в протоколе IPv6 [G03]. В данном протоколе расширенный заголовок Destination Options нужен для передачи дополнительных опций конечным узлам. Если значение поля установлено таким образом, что получатель игнорирует значение заголовка, то скрытая информация может быть передана под видом данных, содержащихся в данном заголовке.

Скрытые каналы, основанные на модификации данных в теле передаваемых пакетов

В данном случае скрытая информация передается в поле «Данные» передаваемого пакета. Так как в качестве контейнера для передачи информации используется поле «Данные», содержащее в себе информационное наполнение пакета, то данный вид скрытых каналов в работе не исследуется.

Читайте также:  Лучшие способы приготовления свинины

Скрытые каналы, основанные на изменении длин передаваемых пакетов

Чтобы создать подобные скрытые каналы, нарушителю необходимо иметь одну или несколько из следующих возможностей [М12]:

• возможность изменять длину любого пакета;
• возможность формировать собственные ложные IP-пакеты произвольной длины, то есть генерировать собственный фиктивный трафик;
• возможность буферизовать все пакеты, подлежащие передаче из внутренней или внешней сети, и передавать их по каналу в заранее определенный момент времени.

Ниже приведена одна из возможных моделей скрытого канала по памяти, основанного на изменении длин передаваемых пакетов, предлагаемая авторами [AрКо14].

Пусть L — максимальная длина пакета в битах. Предлагается разбить отрезок [1,L] на L/n диапазонов, где n — параметр скрытого канала, n|L. Пусть нарушитель имеет алфавит из L/n символов, тогда для отправки символа с номером , злоумышленник посылает пакет, длина l которого удовлетворяет неравенству . Пропускная способность такого канала при отсутствии противодействия равна бит на пакет. При этом, при равновероятном распределении символов алфавита, используемого нарушителем, и случайном равновероятном выборе длины пакета из необходимого диапазона, при передаче информации по скрытому каналу индуцируется равномерное распределение длин пакетов, что позволяет считать такую модель скрытого канала стойкой к обнаружению.

Существует и другой способ [JiJiDaNi09]. Пусть — секретное сообщение, представляющее собой k-битную строку. Данная строка разбивается на подстроки перед отправкой. битовая подстрока строки S. — десятичное представление , вычисляемое по правилу:

Представим алгоритм передачи информации по скрытому каналу [JiJiDaNi09]:

• шаг 1 — А и В общаются в обычном режиме, записывают длины передаваемых пакетов в Справочник;
• шаг 2 — А и В случайным образом выбирают длину l из Справочника;
• шаг 3 — во время отправки сообщения А отправляет В сообщение длины , Справочник обновляется добавлением в него ;
• шаг 4 — В восстанавливает сообщение: и вычисляет ;
• шаг 5 — шаги два и три повторяются до тех пор, пока секретное сообщение не передастся до конца.

Шаги два и три гарантируют, что распределение длин передаваемых пакетов схоже с распределением длин пакетов при отсутствии скрытого канала. Для усложнения обнаружения скрытого канала А периодически отправляет В избыточные пакеты необходимых длин.

• А и В знают k,w,i;
• если — максимальная длина сообщений в начальном заполнении Справочника, то должно выполняться соотношение ;
• на третьем шаге, если .

Время передачи сообщения по данному каналу T рассчитывается по формуле:

где T — время передачи сообщения, S — время, используемое программным обеспечением в зависимости от размера сообщения, B — размер передаваемого сообщения, N — добавочный размер за счет используемого сетевого протокола, V — скорость передачи данных по сети.

Пропускная способность данного канала рассчитывается по формуле: где — число скрытых в каждом сообщении бит. Такая оценка помогает определиться с выбором w. При этом авторы [EdGo13] усовершенствовали данный алгоритм, расширев его до тринадцати шагов, что обеспечивает повышенную пропускную способность и стойкость к обнаружению.

Скрытые каналы по времени в IP-сетях

Для построения данных скрытых каналов нарушитель должен обладать одной или несколькими из следующих возможностей [М12]:

• возможность формировать собственные ложные IP-пакеты произвольной длины, то есть генерировать собственный фиктивный трафик;
• возможность буферизовать все пакеты, подлежащие передаче из внутренней или внешней сети, и передавать их по каналу в заранее определенный момент времени.

Скрытые каналы по времени строятся на двух основных подходах — скрытые каналы, основанные на изменении межпакетных интервалов и скрытые каналы, основанные на изменении скорости передаваемых пакетов.

Среди скрытых каналов, основанных на изменении скорости передаваемых пакетов, выделяют простейший случай [YaZiPaLi09], где нулем кодируется бездействие отправителя, а единицей — отправка пакетов в течение некоторого интервала времени.

Авторами [АрКо13] предложен скрытый канал, где отправитель выбирает скорость передачи пакетов между двумя (в случае бинарного канала) или большим числом значений для каждого временного интервала T. Получатель измеряет скорость передачи пакетов и таким образом восстанавливает скрытую информацию. Пропускная способность такого канала равна , где r — число значений скорости передачи пакетов.

Также существуют различные способы кодирования скрытой информации путем изменения длин межпакетных интервалов. Например, известны способы кодирования [BeGiCy05], когда один отрезок длин межпакетных интервалов кодируется нулем, а другой единицей. Такие скрытые каналы будем называть бинарными. Аналогично, существуют мультисимвольные скрытые каналы, где различным временным интервалам соответствуют различные символы. То есть, алфавиту соответствуют длины межпакетных интервалов

В [BeGiCy05] описан механизм, с помощью которого достигается максимальная пропускная способность данного канала путем построения распределения символов в алфавите и соответствующих данным символам задержек между отправками пакетов.

Авторами [SeWaBaSh09] построен другой пример скрытого канала по времени, основанного на модуляции времен интервалов между пакетами. Пусть сообщение состоит из n ASCII символов: c(1)..c(n), где c(i) — восьмибитная бинарная строка. Чтобы однозначно задать все ASCII символы, необходимо 256 векторов вида

Ниже приведен алгоритм кодирования:

• шаг 1 — разбить c(i) на две составляющие — четырехбитная бинарная строка. Таким образом, получится сообщение длины 2n;
• шаг 2 — c помощью криптографически стойкого генератора псевдослучайных чисел генерируется бинарная последовательность u(1). u(2n) длины 2n;
• шаг 3 — вычисляется r(i)=x(i)+u(i);
• шаг 4 — вычисляется — кумулятивная функция распределения, — длины межпакетных интервалов последовательно передаваемых пакетов.

Таким образом, для передачи скрытого сообщения длины n необходимо передать 2n пакетов с заданными интервалами времени. Пропускная способность данного скрытого канала равна 1/2 бит на пакет.

Авторы указывают, что данный канал является не обнаруживаемым, так как последовательность T(i) будет являться неотличимой от НОРСВ. Ниже приведено доказательство того, что T(i) является НОРСВ [SeWaBaSh09].

Пусть последовательность T(i) не является НОРСВ. Тогда возможно создание полиномиального алгоритма Q, который будет отличать последовательность T(i) от последовательности НОРСВ. Тогда u(i)=F(T(i) )-x(i). Следовательно, возможно создание алгоритма Q* на основе Q, который будет определять, что последовательность u(i) так же не будет являться последовательностью НОРСВ. Следовательно, последовательность T(i) является последовательностью НОРСВ.

В [KuAh03] описан скрытый канал, основанный на переупорядочивании пакетов. Существует n! способов упорядочить n пакетов, таким образом, пропускная способность данного канала будет равна бит на пакет. Важно то, что в результате такой сортировки меняется не порядок отправки пакетов, а их порядковые номера в заголовках (например, значение поля ID). Следует обратить внимание на тот факт, что скрытую информацию передает последовательность пакетов, а не каждый пакет в отдельности, как это было в случае скрытого канала по памяти, использующего поле заголовка пакета IP ID. Так как необходимо изменение полей ID передаваемых пакетов, то данный скрытый канал может быть отнесен к скрытым каналам по памяти.

Заметим, что скрытые каналы по времени всегда являются каналами с шумом [АрКо13]. Это обусловлено следующими факторами:

• существует ненулевая вероятность потери пакетов;
• время следования пакета зависит от характеристик сети.

Глоссарий

Библиографический указатель

Перейти к списку литературы раздела «Скрытые каналы информации (Covert channels)».

Источник