Скрытые логические каналы утечки информации | Защита данных от утечки по скрытым логическим каналам в телекоммуникационных сетях

Контроль рабочего времени
с помощью DLP-системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Помимо общеизвестных каналов утечки информации — технических и возникающих в рамках работы информационных систем, дополнительно выделяются скрытые логические каналы. Они характеризуются возможностью создания утечки непривычными, нетрадиционными способами. Впервые о возможности использования этого метода хищения информации мир узнал в связи с деятельностью Сноудена, много лет успешно получавшего информацию из информационных систем администрации США.

Понятие и классификация скрытых логических каналов утечки информации

Определение скрытого логического канала содержится в ГОСТ Р 53113.2-2009. Стандарт поясняет, что под скрытым каналом понимается непредусмотренный разработчиком информационной системы коммуникационный канал, который может быть применен для нарушения политики безопасности. Факт существования такого канала невозможно выявить штатными средствами, так как он не предусмотрен разработчиками, для формирования используются не предназначенные для передачи данных инструменты.

Возникают риски:

  • внедрения вредоносных программ, осуществляющих съем информации;
  • модификации данных;
  • подачи команд нарушителем политик безопасности, вносящих изменения в регламент работы информационной сети;
  • утечки паролей и криптографических ключей.

При использовании скрытого канала нарушитель получает контроль над линией передачи данных или команд от уполномоченного лица к информационной системе. Получение контроля часто реализуется при помощи установки закладных устройств и их взаимодействия с вредоносными программами, скрытно установленными на компьютер. 


«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных.


Информационные системы, наиболее подверженные риску воздействия:

  • многопользовательские ИС с распределенной архитектурой;
  • ИС, широко применяющие криптографические средства защиты, где затруднен доступ к данным традиционными способами;
  • системы с мандатной, многоуровневой моделью дифференциации доступа;
  • ИС, в которых невозможно установить исходный программный код из-за утраты конструкторской документации.

Требование анализа риска существования скрытых каналов содержится в «Оранжевой книге», созданной военным ведомством США для внедрения стандартов информационной безопасности. Выявление их необходимо для информационной системы, претендующей на сертификацию по классу В2 и выше.

Классификация скрытых каналов производится по разным критериям, выделяются:

  • скрытые каналы по памяти;
  • скрытые каналы по времени;
  • скрытые статистические каналы.

Классификация предусмотрена в ГОСТ Р 53113.1-2008.

По памяти и времени

При реализации канала передающий субъект записывает интересующую злоумышленника информацию в память компьютера, в условленное место, а принимающий считывает ее. Примером будет ситуация, когда два компьютера имеют доступ к общему ресурсу ПЗУ (постоянному запоминающему устройству). Компьютеры не соединены друг с другом напрямую. Аппаратные или программные закладки присутствуют в обеих машинах, закладка на первой модулирует периоды времени занятости библиотеки ПЗУ, закладка на другой сканирует время занятости библиотеки запросами к ней. Модуляция позволяет передавать данные, создавая также скрытый канал по времени.

Скрытность каналов по памяти обусловлена тем, что аудитор информационной системы не может выявить место, где именно записаны передаваемые злоумышленнику данные. Разработчики систем обычно не ставят защиты или ограничения на использование памяти, поэтому найти скрытые каналы очень сложно.

Каналы по времени основаны на следующем принципе. Передающий данные агент с помощью запрошенных сведений модулирует  процесс, который инициирован одним из элементов архитектуры компьютера и изменяется во времени. Злоумышленник, получающий данные, способен демодулировать передаваемый сигнал, наблюдая процесс во времени и отслеживая перерывы и задержки. Пример — центральный процессор, занятый несколькими приложениями и пользователями. Изменяя время занятости процессора, приложения передают друг другу информацию. Чтобы «научить» их таким действиям, используются вредоносные программы, их можно выявить при сканировании.

Классификация по памяти и времени также формируется за счет того, какой тип данных получает внешний агент:

  • если он получает значение какого-то параметра, канал считается параметрическим и ГОСТ относит его к категории скрытых каналов по памяти;
  • если он фиксирует событие, то описывается в стандарте как событийный и относится к числу каналов по времени.

Дополнительная классификация по памяти производится по характеристикам данных:

  • каналы, оперирующие структурированными данными, которые локализованы в БД и снабжены тегами и метаданными. Информация, которую передает злоумышленник, зачастую встраивается в поля описания метаданных. Эти поля не открываются при редактировании файлов, и информация остается скрытой для всех, кроме лица, заведомо знающего о ее существовании;
  • каналы, взаимодействующие с неструктурированными данными, хаотично размещенными в памяти компьютера. У них нет дополнительных полей в структуре. Дополнительные биты данных чаще всего встраиваются в изображения без создания видимых искажений.

Отдельно ГОСТ выделяет скрытые статистические каналы. Они используются для передачи информации путем модулирования параметров распределений вероятностей любых характеристик информационной системы, которые при аудите рассматриваются как случайные. Изменение таких параметров может быть описано вероятно-статистическими моделями.

Дополнительные виды классификации

ГОСТ и эксперты предлагают еще несколько типов классификации по техническим параметрам. По характеристикам информационного потока они делятся на прямые и непрямые:

  • один поток от агента к потребителю создает прямой канал;
  • несколько параллельных или последовательно работающих информационных потоков формируют непрямой канал.

Классификация пропускной способности опирается на допустимый уровень ошибок и шума:

  • скрытые каналы без шума и ошибок создают вероятность распознаваемости передаваемого сигнала, равную единице;
  • каналы с шумом имеют меньшую возможность распознавания, иногда ее определяют тем, что пакет информации формирует не только закладка, но и иные процессы.

Также классификация по пропускной способности разделяет пути утечки на:

  • каналы с низкой пропускной способностью. По ним передаются данные, ограниченные в объеме, — ключи, пароли;
  • с высокой пропускной способностью. Могут передавать файлы, изображения, базы данных в течение того промежутка времени, когда информация сохраняет ценность для злоумышленника.

Выделяются скрытые пути утечки данных в IP-сетях. Чаще всего для негласной передачи информации применяется шестнадцатибитное поле, генерируемое операционной системой случайным образом и используемое для идентификации пакета данных. Если значения в поле уникальны и выглядят случайными, распознать передачу сведений маловероятно. Также закладки способны модифицировать 8-битные поля TOS и TTL, их маршрутизаторы обычно игнорируют.

Иногда скрытая информация размещается в поле «Данные» передаваемого пакета. Реже используются механизмы передачи информации потребителю:

  • в именах файлов, задаваемых агентом;
  • в настройках программ или режимов пользования информационными ресурсами, при условии использования заранее созданного скрытого кода.

Скрытые каналы создаются штатными средствами или вредоносными программами. Наиболее эффективным их использование становится, если агентом является системный администратор с широким кругом привилегий.

Реализация каналов

Выявление скрытых каналов и предотвращение их использования, в первую очередь, требуется для аттестации ИС, особенно это касается государственных информационных систем (ГИС) и ИС компаний, работающих с государственной тайной.

Чаще всего возможность организации канала связана с наличием неконтролируемых привилегий администраторов, способных использовать стандартные параметры управления ИС и утилитами для передачи данных третьим лицам.  Важно, что на практике хакеры чаще используют известные уязвимости операционных систем и программных средств для получения конфиденциальных данных — устроить скрытые каналы труднее и дороже, а в снятии данных они менее надежны. Наиболее часто для хищения данных используют лазейки, возникающие из-за уязвимостей программного обеспечения, не исправленных или исправленных разработчиком недостаточно качественно, и хорошо известные хакерам. Потенциал скрытых каналов утечки пока не используется в полной мере, возникновение риска эксперты прогнозируют на ближайшее будущее.

Дефекты программного обеспечения по классификации «Оранжевой книги» напрямую к категории скрытых логических каналов не относятся, но некоторые эксперты учитывают в своей классификации и уязвимости ПО:

  • некорректная проверка правильности вводимых в программу данных (ошибки адресации, неполные или неточные проверки значений параметров, неверное размещение проверок, недостатки при выполнении идентификации или аутентификации);
  • ошибки, связанные с неверным представлением (описанием) объектов информационной системы, их повторным использованием;
  • дефекты синхронизации (параллельное выполнение команд, опережение последующей командой предыдущей, временные разрывы, использование неверных ссылок);
  • неправильное использование привилегий администратора или намеренно измененных алгоритмов управления ИС, вызывающее перерасход ресурсов или утечку данных, неверное распределение ответственности;
  • ошибки функциональности (дефекты обработки исключительных ситуаций, прочие дефекты безопасности).

Уязвимости могут вносить в ПО намеренно. При этом у разработчиков не возникает желания создать скрытый канал утечки, он появляется опосредованно. Например, скрытый канал возникает в дисковом контроллере, когда происходит оптимизация запросов пользователей и меняется временная последовательность их доставки. Понимая, как контролируется очередность запросов, злоумышленник может вставить в их последовательность свой. Разработчики специально внедрили эту уязвимость, чтобы оптимизировать работу системы, но ее активно используют и хакеры.

Наиболее существенная и опасная категория уязвимостей, связанная с небрежностью разработчиков, — ошибки проверки правильности введения данных. При выявлении таких недочетов в ПО исправить их самостоятельно сложно, лучше заменить программу на аналогичную, но не имеющую уязвимостей.

Потайные каналы

Стандарты информационной безопасности помимо скрытых каналов дополнительно называют потайные. Их основная характеристика – использование легальной схемы передачи информации, в которой злоумышленники передают данные, запрещенные действующими в организации политиками безопасности.

Основные отличия скрытных и потайных каналов:

  • существование скрытых каналов обуславливается особенностями оборудования или ПО, их настройками. Изменение конфигурации может снять риски;
  • скрытые каналы существуют до их блокировки или перенастройки, потайной прекращает существование в момент выявления;
  • время передачи данных по скрытому каналу не ограничивается, потайные иногда существуют минуты, и количество данных, которые удалось передать, например в графическом образе, останется неизменным, не увеличится.

Понятие потайных каналов включает исключительно легальные механизмы передачи данных внутри общеизвестного официального канала коммуникации или управления при условии, что эти сведения не должны стать известными определенной группе потребителей. Иногда скрытые логические каналы становятся инструментом в руках службы безопасности. Примером использования этой функции становится пересылка документов с метками, позволяющими выявить источник утечки.

Емкость и устойчивость потайного канала определяется:

  • пропускной способностью;
  • характеристиками зашумления;
  • максимальным объемом данных, передаваемых втайне;
  • наличием детектора допустимости передачи данных, реализуемым, например, при помощи DLP-системы.

Потайные каналы не требуют обязательного выявления при проведении сертификации информационной системы.

Побочные каналы

Еще одним широко распространенным типом скрытых каналов являются побочные. Это технические каналы утечки, реализуемые при помощи программных средств и закладных устройств— например, побочных электромагнитных или акустических излучений. Их использование не всегда связано с применением традиционных шпионских технологий, возможны другие решения.

При атаках на ИС, банковские карты, SIM-карты мобильных устройств целью становятся инструменты криптографической защиты, секретные ключи. При доступе к карте ровно на минуту проводится 8 измерений уровня энергопотребления с адаптивно изменяемыми входными параметрами. При такой атаке на алгоритм COMP128 ключ к 128-битному шифрованию данных находится без особых сложностей.

Классификация каналов основана на типе информационной системы. Среди наиболее часто используемых уровней:

  • централизованный механизм доступа к памяти в многопроцессорной системе;
  • распределенный между несколькими процессорами кэш второго уровня (сверхоперативная память процессора);
  • устройство управления памятью;
  • структура очереди инструкций для запуска и выполнения приложения.

Интересно, что система, сертифицированная на отсутствие скрытых каналов на физическом оборудовании, начинает генерировать риски утечек при включении в ИС виртуальных машин.

Реализация возможностей скрытого канала

В ситуации отсутствия организованного противодействия возможности создания скрытого канала утечка происходит следующим образом:

1. В рамках информационной сети организация работы с данными ограниченного доступа проходит в штатном режиме. Администратор проводит работу и направляет сети стандартные команды, контролер фиксирует отсутствие нарушений политик безопасности.

2. Среди средств обработки данных находится заранее внедренный агент (закладное устройство или вредоносная программа), до часа Х он не проявляет активности и никак не выдает своего присутствия.

3. При наступлении часа Х агент получает команду на активацию от нарушителя. При подключении оборудования к сети Интернет программа или закладка активируются по телекоммуникационным каналам связи. Если ЗУ не подсоединено к сети, оно активируется, получая команду по радиосвязи.

4. Агент выполняет поставленную задачу, часто незаметно для контролера.

5. По выполнении задачи злоумышленник направляет агенту команду на прекращение работы.

Циклы работы агента в скрытом канале утечки информации могут быть короткими, занимать несколько секунд или минут. Это затрудняет выявление и фиксацию их работы. В качестве примера можно привести использование Сноуденом программной закладки Ironchef. Ее работоспособность обеспечивалась аппаратными закладками Cottonmouth-I (II, III), в дополнение к ним применялись технические устройства Howlermonkey и TRINITY.

Основными угрозами при использовании этого механизма становятся:

  • внедрение вредоносных программ, модификации данных, это допускает канал с любой пропускной способностью;
  • подача злоумышленником команд ИС, например на выход из строя или блокировку определенных узлов. Пропускная способность не имеет значения;
  • утечка ключей или паролей, допустима при низкой пропускной способности;
  • утечка файлов или баз данных требует мощного канала.

ГОСТ дополнительно классифицирует информационные активы, на которые может быть направлена атака:

1. Первая группа — ценность информации определяет собственник организации.

2. Вторая группа — установленные законом категории информации ограниченного доступа (например, банковская, служебная тайна) и персональные данные.

3. Третья группа — государственная тайна.

Чем выше класс защиты информации предполагается, тем серьезнее нужно отнестись к угрозе утечки по скрытым каналам.

Мандатный контроль доступа

Избежать риска передачи данных по скрытым каналам поможет мандатный контроль доступа. Он часто рекомендуется политиками безопасности. Матрица доступа основана на соотнесении прав доступа пользователей с уровнем конфиденциальности данных. Такой метод контроля ограничивает возможность использования прав администратора или пользователя для формирования скрытых каналов. Каждый выданный мандат включает определенный набор привилегий. При этом мандат наивысшего уровня предполагает наличие всех необходимых возможностей и доступов у администратора ИС, контролировать его решения и действия практически невозможно.

В соответствии с иерархией, существующей в организации, привилегии распределяются по мандатам более низкого уровня доступа. Каждому информационному объекту назначается владелец с максимальным уровнем правомочий, не имеющий возможности самостоятельно, без обращения к администратору всей системы, передать свои полномочия другим пользователем. Соответственно, при выявлении утечки в первую очередь проверяются операции, совершенные владельцем информационного актива и зарегистрированные в реестре.

Существенным недостатком строго иерархической системы является длительное время реакции на запрос о передаче полномочий и предоставлении доступа в случае, если таких запросов у администратора системы много.

Аудит угроз информационной безопасности

Разработка и внедрение полноценной системы защиты невозможны без проведения предварительного аудита, призванного найти все нетрадиционные способы утечки данных. ГОСТ рекомендует два метода для поиска скрытых каналов: статистический и сигнатурный. При реализации статистического метода производится подсчет всех актов данных, проходящих через канал за определенный промежуток времени. Увеличение их числа по сравнению с предполагаемым может указать на утечку.

Сигнатурный аналогичен работе антивируса. Зная программный механизм создания скрытых каналов, для каждого типа формируется сигнатура, и при прохождении данных по каналу происходит выявление заданных сигнатур. Метод не работает при появлении новых комбинаций программных и аппаратных закладок.

Для выработки системы мер защиты требуется определить пропускную способность скрытого канала. Сейчас она равна нескольким мегабайтам в секунду, но при появлении все более мощных процессов продолжает расти. Далее требуется тщательно изучить компоненты информационной системы — аппаратной части, операционных систем, программного обеспечения — на наличие ресурсов, работа с которыми доступна администраторам и пользователям разных уровней и в которых может возникнуть коллизия привилегий. 

Дополнительно требуется проанализировать технические моменты и найти объекты, влияющие на характеристики системы, ее производительность, скорость передачи данных.

Для анализа используются:

  • конструкторская документация, обязательно формируемая при создании государственных информационных систем исходя из требований ФСТЭК и в частных компаниях при создании архитектуры ИС под ключ;
  • документация на оборудование с описаниями команд, адресов ввода/вывода, первоначальными текстами прошивок flash-памяти; 
  • исходные коды операционной системы и программного обеспечения.

Дополнить анализ можно синтаксическим исследованием информационных потоков, позволяющим выявить передачу данных, нехарактерных для принятого типа использования ИС.

Поиск и блокировка скрытого канала утечки

Эксперты рекомендуют использовать для поиска скрытого канала утечки информации следующие шаги:

1. Изучение архитектуры информационной системы, выявление каналов, которые могут быть использованы в качестве скрытых логических, формулирование предположений о возможности создания новых каналов. В результате находятся все элементы системы, которые могут быть использованы для создания скрытого канала.

2. Поиск предполагаемых путей общения между нарушителем и его агентом, закамуфлированным среди элементов системы. Для каждого из блоков информации ограниченного доступа требуется выявить, какая категория сотрудников имеет к ним ограниченный или неограниченный доступ. При этом внимание необходимо обратить на связи между изолированной от Сети системой и пользователем, имеющим отдельный собственный доступ к Интернету.

3. Оценка опасности возникновения скрытого логического канала утечки для конфиденциальной информации, которая обрабатывается в организации. Для точной оценки потребуется знать следующие параметры: предполагаемый пропускной потенциал канала, величину информационного объекта, время, в течение которого для объекта действует режим конфиденциальности. Параметры могут быть выражены в абсолютных числовых значениях и подставлены в формулу, по которой рассчитывается действительная степень риска.

После оценки риска наступает следующий этап — разработка способов блокировки критически опасных скрытых каналов. Эксперты считают, что выявлять уязвимости в давно созданной и функционирующей системе по одной малоперспективно и отвлекает существенные ресурсы без достижения очевидного результата. Правильнее строить ИС таким образом, чтобы исключить возможность формирования скрытых каналов, а затем сертифицировать ее.

Типовые защитные решения

В информационной системе любой архитектуры можно снизить риск, что злоумышленники похитят данные по скрытым логическим каналам утечки. Вот несколько универсальных шагов:

  • ограничение пропускной способности традиционных телекоммуникационных каналов связи;
  • изменение модели построения ИС, которое снизит риск использования скрытых возможностей. Для повышенной защиты необходимо разделить процессоры между потоками управления, сетевыми экранами и на основе физической конфигурации отделить пользовательскую сеть от административной. Компоненты сети должны обладать определенным уровнем самостоятельности, заложенной на программном уровне, позволяющей реагировать на угрозы. Так, при возникновении сигнала о возможной угрозе контроллер диска вправе зашифровать файлы, контроллер сети — блокировать коммуникации;
  • регулярный мониторинг эффективности мер защиты;
  • построение такой модели информационных баз, когда документы получают метки в зависимости от использования их определенным сотрудником. Это позволяет выявить источник утечки.

Существует возможность блокировки предполагаемых скрытых каналов методом зашумливания. Для этого предназначены нормализаторы, сглаживающие нагрузку на процессор, энергопотребление, время вычисления определенных функций, сетевой трафик. 

Выбор метода защиты основывается на топологии системы, особенностях информационных баз, применяемых протоколах информационного взаимодействия, уже внедренных средствах обеспечения информационной безопасности. Полная защита системы от возникновения логических утечек требует значительных финансовых вложений. Это значит, что стоит выявлять и блокировать не все риски, а наиболее вероятные.

Утечка информации по скрытому логическому каналу не всегда представляет самую большую угрозу. Опаснее может быть заражение по нему автоматизированной системы управления производством вирусами, нарушающими работу АСУ ТП. Для объектов энергетики или атомной промышленности такое использование скрытых каналов способно привести к техногенной катастрофе. Это повышает уровень важности задачи своевременного выявления скрытых каналов. При конструировании новых ГИС и ИС необходимо предусмотреть риски и обеспечить их минимизацию, своевременное выявление и отключение скрытых каналов.

22.03.2021

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними