Pre kvalitné komunikačné prenoso­vé cesty a tým aj kvalitný prenos dát je potrebné zabezpečiť nielen spoľahlivé a výkonné prenosové cesty, ale zároveň zabezpečiť aj bezpečnosť prenosu dát a prístup k nim.

 

Ochrana prenosov v dátových sieťach

Spôsoby realizácie a samotné použité me­tódy ochrany zodpovedajú miestu nasade­nia a zvyčajne sa používajú viaceré spôsoby, ktoré sa navzájom kombinujú. Citlivé úda­je možno chrániť na niekoľkých miestach – rozhranie siete súkromná/verejná strana, vzdialený prístup, resp. vzdialená správa za­riadení, zabezpečenie serverov a pod. Ako primárne prenosové médium sa často, alebo výlučne, na prenos využíva internet a jeho protokoly. Využitie internetu ako prenoso­vého média je veľmi vhodné, vzhľadom na princíp funkcie tejto siete.

 

Techniky špeciálnych prenosov

Protokoly používané na komunikáciu pô­vodne vznikali priamo kvôli vzdialenému prenosu dát. Neskôr s rozvojom siete a zvy­šovaním technickej náročnosti komunikač­ných zariadení boli do prenosových sys­témov implementované rôzne techniky ochrany. V súčasnosti sú reprezentované ako súbor ochranných prvkov (správa he­siel, úrovne prístupov, šifrovanie komuniká­cie, bezpečnostné brány, skryté siete, certifi­kačné autority a pod.), ktoré majú zabrániť neoprávnenému prístupu k systému alebo k vlastnej počítačovej sieti. Na kontrolu ko­munikácie a prenášaných dát slúžia všeobec­ne využívané zariadenia, ako firewall, prípad­ne systém detekcie prienikov (IDS) alebo spojenie týchto technológií.

Treba si uvedomiť, že nie je možné absolútne zabezpečiť žiadnu komunikačnú sieť. Okrem všeobecne známych pokusov o infiltráciu do komunikačnej siete (či už pasívnu alebo ak­tívnu) sú v súčasnosti aktuálne aj špeciálne techniky. Ide predovšetkým o tieto metódy:

1. skryté kanály (Covert Channel)

2. zdanlivá komunikácia (Out Of Band Communication)

Problémom pri tomto type škodlivej komu­nikácie je, že v súčasnosti neexistuje účinná metóda, ktorá by zabránila takémuto skryté­mu spôsobu prenosu dát.

 

Skryté kanály

Ide o metódu, ktorá predstavuje jednodu­chý, ale účinný mechanizmus pre výme­nu dát medzi systémami, bez akéhokoľvek rozpoznania tejto činnosti firewallom alebo IDS systémom. Princípom tejto techniky je využívanie takých komunikačných portov TCP, prípadne IP protokolu, ktoré sa zvyčaj­ne neblokujú prostredníctvom zabezpečo­vacích systémov (TCP/53, UDP/53 a pod.)

Okrem toho je možné na takúto komuni­káciu využiť aj bežné pakety, pričom skry­té dáta sa prenášajú priamo v „neškodných“ údajoch, reprezentované určitými zmenami v hlavičke TCP alebo UDP paketov.

Táto technika prenosu dát je väčšinou odol­ná voči všetkým štandardným firewallom, aj IDS systémom. Odhalenie skrytých kanálov je možné len neustálou analýzou komuni­kácie v sieti. V sieti sa však môže prenášať značné množstvo údajov, a takáto analýza je v reálnych podmienkach často nemožná.

Problémy vyplývajúce z tohto typu útoku na sieť:

– Správca (vlastník) prenosovej cesty nemá žiadnu kontrolu nad obsahom prenášaných dát, nie je schopný určiť cieľ, ani zdroj. Pritom môže ísť o vyso­ko citlivé údaje, ktoré sú v skrytej forme „pašované“ z komunikačnej siete.

– Skryté kanály na svoj prenos používajú veľké percento šírky prenosového kaná­lu na prenos relatívne malého množstva skrytých informácií v upravenom objekte [1]. Tento jav je dôsledkom toho, akým spôsobom sa implementuje skrytá infor­mácia do legitímneho dátového prenosu.

Existujú v podstate dva hlavné spôsoby vy­užitia prenosu dát formou skrytých kanálov. Prvým je klasický spôsob ukladania skrytej in­formácie modifikáciou nejakého objektu. Ako príklad v tomto prípade môže slúžiť vari naj­známejší a najjednoduchší spôsob skrývania informácie v grafických obrázkoch, kde ma­lou zmenou jednotlivých bitov obrázka zakó­dujeme nejakú informáciu (stenografia) [3].

Formy stenografie môžu byť rôzne. Závisia od použitej technológie, použitého média a objektov, ktoré sa zúčastňujú v samotnom procese. Spôsob implementácie možno po­písať jednoduchou schémou [4].

S – originálny súbor

K – sprostredkovací kanál

Q – stenografický systém

D – údaje určené na prenos (tajná správa)

M – použitá metóda zapuzdrenia

S‘ – modifikovaný súbor

Druhým spôsobom implementácie je využi­tie časových slotov (kanálov). V tomto prí­pade nejde o modifikáciu statických objek­tov ako v prvom prípade (obrázky, zvuky), ale o modifikáciu objektov s časovou po­stupnosťou. V prípade počítačovej komuni­kácie napríklad manipulácia TCP paketov (ti­mestamp) [5].

 

Riziká existencie skrytých kanálov v dátovej sieti

V prostredí výpočtových systémov ide pre­dovšetkým o dosiahnutie prenosu takej formy dát (von alebo do siete), ktorá od­poruje bezpečnostnej politike organizácie. Prípadne sa uvedený spôsob priamo využíva na kradnutie technológie a výrobných po­stupov. Všeobecne možno riziká vyplývajúce z uvedenej techniky prenosu rozdeliť do na­sledujúcich kategórií:

1. Odosielanie súkromných (citlivých) in­formácií zo siete smerom von bez kon­troly. Ide predovšetkým o kradnutie du­ševného vlastníctva firiem a organizácií. Spôsob realizácie predpokladá zainte­resovanie zamestnanca vo vnútri sie­te, ktorý spustí špecializovaný softvér na počítači v lokálnej sieti.

2. Doručenie škodlivého spustiteľného sú­boru na počítač v internej sieti. V prí­pade korektnej implikácie mechanizmu skrytých kanálov na výpočtovom sys­téme v lokálnej sieti je možné smerom dovnútra preniesť ľubovoľnú spustiteľ­nú aplikáciu.

3. Doručovanie riadiacich informácií pre inštalovanú aplikáciu (BOTNETS). V tomto prípade ide o riadenie proce­su „robota“ v lokálnej sieti. Robot môže v rámci lokálnej siete automaticky vy­konávať rôzne funkcie (zbieranie he­siel, mapovanie konfigurácie a pod.). Rovnakou cestou môže robot odosielať (na požiadanie) získané informácie.

 

Implementácia skrytej komunikácie v protokoloch TCP/IP

Ako vyplýva z definície protokolov štan­dardov ISO 7498 (ISO/OSI model), proto­koly tretej vrstvy v modeli TCP/IP môžu byť zneužité pre techniku prenosu v prvej, t.j. ukladacej forme i v druhej, teda vo for­me časových slotov. To je spôsobené hlav­ne nedostatočnou presnosťou definície IP protokolu. Priamo v hlavičkách sa nachádza­jú nevyužité dátové polia a samotný spôsob doručovania paketov, prípadne zlá imple­mentácia štandardov v praktickej fáze ope­račných systémov priamo umožňujú imple­mentáciu tohto typu komunikácie. Medzi najjednoduchšie spôsoby implementácie môžeme zahrnúť už spomenutý systém DNS a komunikácia na porte TCP/53, prípadne UDP/53. Ďalej sa s úspechom využívajú polia príznakov v TCP hlavičke (ACK) , pole identi­fikácie ICMP paketu, pole zdrojovej IP adresy v hlavičke paketu IP a podobne. Rovnako je možné na prenos skrytej informácie použiť ICMP správy (PORT, HOST UNREACHABLE, ECHO), prípadne odpovede DNS.

Zabezpečenie lokálnej počítačovej siete pred týmto spôsobom útoku je veľmi ťažké, prak­ticky v súčasnej dobe nemožné. Napríklad v prípade využitia ICMP paketov je asi je­diným spôsobom zákaz všetkých ICMP pa­ketov v sieti. Tento spôsob však má za ná­sledok čiastočné obmedzenie funkčnosti komunikačnej dátovej siete. Obdobné je to aj v iných prípadoch.

Možným riešením je práve aplikácia zariade­nia riadeného neurónovou sieťou (čo v pod­state môžeme nazvať inteligentný firewall), ktorá dokáže spracovávať vzorce správania sa komunikačnej sústavy pri prenose. Systém detekcie prienikov (IPS), respektíve detekč­ný systém (IDS) v spojitosti s inteligent­ným firewallom je schopný naučiť sa obsah štandardného ICMP paketu na používané systémy a následne filtrovať datagramy s ne­štandardným dátovým poľom. Takýto pro­ces je, samozrejme, náročný na výpočtový výkon a nie je možné zaručiť odhalenie všet­kej skrytej komunikácie.

 

Zdanlivá komunikácia

Tento spôsob prenosu dát sa využíva dvo­mi spôsobmi. Normálne, známym spôso­bom ako doplnok komunikačných prenosov (ISDN) a skryto, za účelom nelegálneho zís­kania dát. Všeobecne ide o špeciálnu tech­niku prenosu dát, pri ktorej sa využívajú zdanlivo nesúvisiace údaje v informačných systémoch. Príkladom môže byť zmena prí­stupových práv nejakého súboru. Ak sa vyko­návajú neustále zmeny (zákaz zápisu, povo­lenie zápisu do súboru, zmena vlastníckych práv a pod.), je možné monitorovaním tých­to zmien prenášať dáta. Tieto techniky pre­nosu sú veľmi komplikované a prakticky je nemožné ich odhaliť. Dôvodom je, že mož­no na takýto prenos dát kombinovať rôz­ne parametre hardvérových a softvérových prvkov. Môže ísť pritom o hodne „exotické“ kombinácie, ako už spomenutá zmena prí­stupových práv spolu so zmenou frekvencie procesora, prípadne obsadením alebo neob­sadením nejakej adresy v pamäti a podobne.

Pri tomto spôsobe skrytej komunikácie ne­existuje žiadny známy spôsob ochrany. Možnosť detekcie asi existuje iba v spojitos­ti s vyššie uvedenou technológiou aplikácie prevenčných a detekčných systémov na vstu­pe a výstupe lokálnej siete spolu s rozsiah­lou neurónovou sieťou. Uvedená neurónová sieť by mala byť schopná rozpoznávať vzorce komunikácie pri prenose (upravené naprí­klad fourierovou transformáciou) a upozor­niť na prípadné odlišnosti od štandardného prenosu.

 

Zhrnutie

Je zrejmé, že uvedené metódy prenosu dát predstavujú nezanedbateľný stupeň rizi­ka a je nutné sa nimi zaoberať pri projek­tovaní a riadení komunikačných kanálov. Vývoj metód môže byť predmetom skú­mania v budúcnosti. Môžeme konštatovať, že vzhľadom na množstvo dát prenášaných v sieťach a pomer, aký z tohto objemu môžu tvoriť skryté prenosy, prakticky vylučujú po­užitie súčasných metód kontroly komuniká­cie. Navyše, je evidentná potreba kontroly v reálnom čase a bežne dostupné výpočto­vé prostriedky pochopiteľne nie sú schopné poskytnúť adekvátny výpočtový výkon.

 

Zoznam bibliografických odkazov

[1] TYLER, J.: Covert Data Storage Channel Using IP Packet Headers. [online, cit. 20. 9. 2011], http://www.sans.org/reading_room/whitepapers/covert/covert-data-storage-channel-ip-packet-headers_2093

[2] SBRUSH, R.: Network Covert Channels: Subversive Secrecy. [online, cit. 20. 9. 2011], http://www.sans.org/reading_room/whitepapers/covert

[3] NEIL, J. – ZORAN, D. – SUSHIL, J.: Information hiding: steganography and watermarking: attacks and countermeasures. Berlin: Springer 12/2000, ISBN 978-0-7923-7204-2

[4] CHVARKOVA, I. – TSIKHANENKA, S. – SADAU, V.: (15. 2. 2008). Steganographic Data Embedding Security Schemes Classification. Steganography: Digital Data Embedding Techniques. In:Intelligent Systems Scientific Community, Belarus, 2011.

[5] GI, J. – GREENSTADT, R. – LITWACK, P. – TIBBETTS, R.: Covert Messaging Through TCP Timestamps[online cit. 10. 9. 2011] http://www.eecs.harvard.edu/~greenie/tcpcovertchannels.ps

 

TEXT: Ing. Igor Halenár, PhD., UIAM MTF STU, Trnava FOTO: archív redakcie