Предположим, в вашей сети есть конфиденциальные данные, к которым имеет доступ только уполномоченное лицо. Система защиты мониторит трафик, чтобы эти данные не утекли за пределы сети. Средство следит за полезной нагрузкой пакета, проверяет определенные заголовки, и даже проводит некоторый эвристический анализ. Но что, если данные будут утекать в совершенно других контейнерах — например, в неиспользуемых заголовках или длинах межпакетных интервалов?

Скрытый канал (covert channel) — это непредусмотренный разработчиком автоматизированной системы поток информации, который нарушает политику безопасности системы. Проще говоря, это способ передать данные, минуя все фильтры и брандмауэры. Важно отметить, что скрытый канал не обязательно является сетевым. К примеру, в рамках одного компьютера информацию можно кодировать через изменение температуры процессора. Но в данном цикле статей речь пойдет именно о сетевых скрытых каналах, как наиболее интересных с точки зрения как построения, так и защиты от них.

Ниже представлена схема скрытого канала, определенная в нашем ГОСТ Р 53113.1–2008. Для существования скрытого канала необходим агент — закладка, внедренная в систему, и приемник информации — злоумышленник, прослушивающий канал связи. Задача закладки — встроить информацию ограниченного доступа в легитимный трафик, модифицируя его незаметным для средства защиты способом. Злоумышленник знает схему кодирования скрытой информации, а значит может декодировать ее на основе проходящих сетевых пакетов.