Предположим, в вашей сети есть конфиденциальные данные, к которым имеет доступ только уполномоченное лицо. Система защиты мониторит трафик, чтобы эти данные не утекли за пределы сети. Средство следит за полезной нагрузкой пакета, проверяет определенные заголовки, и даже проводит некоторый эвристический анализ. Но что, если данные будут утекать в совершенно других контейнерах — например, в неиспользуемых заголовках или длинах межпакетных интервалов?

Скрытый канал (covert channel) — это непредусмотренный разработчиком автоматизированной системы поток информации, который нарушает политику безопасности системы. Проще говоря, это способ передать данные, минуя все фильтры и брандмауэры. Важно отметить, что скрытый канал не обязательно является сетевым. К примеру, в рамках одного компьютера информацию можно кодировать через изменение температуры процессора. Но в данном цикле статей речь пойдет именно о сетевых скрытых каналах, как наиболее интересных с точки зрения как построения, так и защиты от них.

Ниже представлена схем�� скрытого канала, определенная в нашем ГОСТ Р 53113.1–2008. Для существования скрытого канала необходим агент — закладка, внедренная в систему, и приемник информации — злоумышленник, прослушивающий канал связи. Задача закладки — встроить информацию ограниченного доступа в легитимный трафик, модифицируя его незаметным для средства защиты способом. Злоумышленник знает схему кодирования скрытой информации, а значит может декодировать ее на основе проходящих сетевых пакетов.

Схема скрытого канала
Схема скрытого канала

Почему скрытые каналы опасны?

В различных публикациях и расследованиях упоминаются технические средства, используемые спецслужбами, которые построены по принципу скрытых каналов передачи данных. Такие механизмы позволяют получать команды и выводить информацию с целевых устройств, оставаясь практически необнаружимыми для стандартных средств мониторинга.

Так, например, в материалах, опубликованных Der Spiegel на основе документов Эдварда Сноудена, описывается инструмент FEEDTROUGH — техника обеспечения персистентности для программных имплантов BANANAGLEE (разработки DNT) и ZESTYLEAK (разработки CES), применяемых в межсетевых экранов Juniper Netscreen. Согласно документации, FEEDTROUGH функционирует на этапе загрузки устройства: при старте файрвола он проверяет версию операционной системы по внутренней базе. Если ОС распознана, запускается цепочка событий, обеспечивающая установку одного или обоих имплантов. При этом сам FEEDTROUGH не осуществляет прямого сетевого взаимодействия — он лишь гарантирует сохранение присутствия после перезагрузок и обновлений ПО. Непосредственно обмен данными через скрытый канал выполняет имплант BANANAGLEE, который способен принимать команды и передавать информацию. С помощью скрытых каналов можно передавать криптографические ключи и пароли — данные, которые «жалко» потерять, отправлять команды агентам и активировать бэкдоры в нужный момент.

Важно отметить, что эффективность таких решений напрямую зависит от масштаба распространения целевого оборудования. На момент раскрытия информации компания Juniper Networks контролировала около 40% мирового рынка сетевых устройств.

Классификация: какие они бывают?

Все скрытые каналы делятся на три основных типа: скрытые каналы по памяти, скрытые каналы по времени и статистические скрытые каналы.

Скрытые каналы по памяти работают через разделяемые ресурсы системы. Один процесс пишет данные в какой‑то ресурс (в памяти, на диске, в свободном поле пакета), а другой их считывает.

Скрытые каналы по времени работают через кодирование информации в изменении временных параметров системы. Принимающий декодирует, анализируя эти временные изменения.

Статистические скрытые каналы используют изменение вероятностных характеристик. Например, нарушитель меняет распределение размеров пакетов, или частоту определенных типов пакетов, или портов. Система выглядит работающей нормально, но статистика отличается.

Классификация скрытых каналов
Классификация скрытых каналов

Краткая история скрытых каналов

История изучения скрытых каналов
История изучения скрытых каналов

Понятие скрытого канала было впервые введено Батлером Лэмпсоном в 1973 году. Он указал на возможность утечки данных через неочевидные пути.

В 1985 году Министерством обороны США был опубликован стандарт, известный как «Оранжевая книга» (Trusted Computer System Evaluation Criteria), в котором скрытые каналы были официально признаны угрозой безопасности. Документ установил требование к системам с высоким уровнем доверия: необходимо предоставлять доказательства отсутствия скрытых каналов утечки информации. В рамках данного стандарта были впервые формализованы методики выявления таких каналов.

Дальнейшее развитие теории скрытых каналов связано с работой Себастьяна Зандера, предложившего таксономию сетевых скрытых каналов. В его классификации были систематизированы типы каналов, принципы их функционирования и отличительные характеристики, что способствовало формированию единой терминологической ба��ы.

В Российской Федерации вопросы защиты от скрытых каналов были отражены в ГОСТ Р 53113 в двух частях. В этих документах установлены требования к обеспечению безопасности информации в части противодействия скрытым каналам утечки.

В 2015 году получили распространение поведенческие скрытые каналы. В отличие от ранее применявшихся методов, основанных на сокрытии данных в заголовках пакетов, данный подход предполагает имитацию легитимного пользовательского поведения, что усложняет их детектирование средствами традиционного анализа трафика.

Активно исследуются способы построения скрытых каналах в различных специальных системах и протоколах. Так, в 2020 году были опубликованы исследования, посвящённые скрытым каналам в автоматизированных системах управления технологическими процессами. В работах систематизируются сведения о возможных векторах использования скрытых каналов в промышленных сетях.

Современные реализации скрытых каналов включают так называемые «исторические» скрытые каналы. Данная категория характеризуется пассивным принципом работы: передающая сторона не генерирует собственный трафик, а использует ссылки на ранее зафиксированные в сети данные, формируя сигнальные пакеты на основе наблюдаемой сетевой активности.

Упоминание скрытых каналах в нормативных документах

В Российской Федерации вопросы противодействия угрозам информационной безопасности, реализуемым с использованием скрытых каналов, затронуты сразу в нескольких документах. Так, существует уже упоминавшийся ГОСТ Р 53113. ГОСТ Р 53113.1-2008 устанавливает базовые термины и определения в области скрытых каналов передачи информации. Документ содержит схему функционирования скрытого канала, описывает условия его возникновения и приводит классификацию скрытых каналов. ГОСТ Р 53113.2-2009 содержит методические рекомендации по организации защиты от атак с применением скрытых каналов. Документ описывает подходы к выявлению, анализу и нейтрализации скрытых каналов на этапах проектирования, разработки и эксплуатации информационных систем.

В документах ФСТЭКа России об утверждении требований по обеспечению безопасности различных систем присутствует мера обеспечения безопасности «Защита от скрытых каналов передачи информации». Например, в Приказе ФСТЭК России № 239, связанном с критической информационной инфраструктурой, она идет под номером ЗИС.31. Мера не является обязательной, однако остается рекомендуемой для различных категорий значимости объекта.

Приказ ФСТЭК России от 2 июня 2020 г. № 76 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» устанавливает обязательные требования к средствам защиты информации в зависимости от уровня доверия. Для средств, соответствующих 4 уровню доверия (применяемых в объектах КИИ 1 категории, ГИС 1 класса, АСУ ТП 1 класса, ИСПДн 1 уровня, ИС 2 класса), предусмотрено проведение идентификации и анализа скрытых каналов по памяти в рамках процедуры оценки соответствия. Указанное требование направлено на выявление потенциальных каналов утечки информации через разделяемые ресурсы памяти между процессами с различными уровнями конфиденциальности. При этом, для более высоких уровней доверия предусматривается также идентификация и анализ скрытых каналов по времени и статистических. О том, как проводить идентификацию и анализ скрытых каналов, мы поговорим в следующих статьях.

Что дальше?

В следующих материалах мы разберемся:

  • Как строятся скрытые каналы

  • Как происходит противодействие утечке информации по скрытым каналам

  • Как защитить инфраструктуру, не убив функциональность

  • Как наши разработки помогают обнаружить то, что не может обнаружить классические средства сетевой защиты информации