Canal encubierto

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

Un canal encubierto (del inglés covert channel), es un canal que puede ser usado para transferir información desde un usuario de un sistema a otro, usando medios no destinados para este propósito por los desarrolladores del sistema.[1] [2] Para que la comunicación sea posible suele ser necesario un preacuerdo entre el emisor y el receptor que codifique el mensaje de una forma que el receptor sea capaz de interpretar.

En oposición a los canales encubiertos, se encuentran los canales legítimos o canales abiertos (en inglés overt channel) que comprenden las vías de comunicación diseñadas a tal fin.

Evolución del concepto[editar]

[3] El concepto de canal encubierto fue introducido en 1973 por Butler W. Lampson[4] cuando estaba examinando el problema de mantener secreta la información de un proceso para otro en un sistema con seguridad multinivel (problema de confinamiento). En este entorno introduce los canales encubiertos para identificar canales que tiene disponibles un proceso para transmitir información, cuando éste no estaba pensado para este propósito. Por ejemplo cuando un proceso toma el control exclusivo de un fichero (otro procesos no pueden acceder a él) o cuando un proceso usa todo el espacio disponible del disco duro. El resto de procesos pueden detectar esta actividad y por tanto puede usarse para implementar un canal encubierto.

A partir de la definición de Lampson, el departamento de defensa de los estados unidos, en su TCSEC, también conocido como "libro naranja", define los canales encubiertos como cualquier canal de comunicación que puede ser explotado por un proceso para transferir información de forma que viole la política de seguridad del sistema.

El Common Criteria definió los canales encubiertos como "un forzado, canal de señalización ilícito que permite a un usuario contravenir subreticiamente la política de seguridad multinivel y requisitos de unobserbabilidad del sistema".

En el "Handbook for the Computer Security Certification of Trusted System" del Laboratorio de Investigación Naval de los Estados Unidos[1] se define un canal encubierto como un mecanismo que puede ser usado para transferir información desde un usuario de un sistema a otro usando medios no destinados para este propósito por los desarrolladores del sistema.

Podemos ver que con el paso del tiempo el concepto ha ido evolucionando desde el ámbito de los sistemas operativos y el problema del confinamiento de los procesos, hasta abarcar cualquier tipo comunicación entre entidades que utilizan canales que no han sido diseñados para ser utilizados como canal de comunicación.

Clasificaciones[editar]

Según mecanismo de ocultación[editar]

[3] [1] Tradicionalmente los canales encubiertos se han clasificado según el mecanismo que usan para lograr la comunicación, clasíficándolos en dos grupos: Canales de almacenamiento y canales de temporización. Observar que un mismo recurso compartido puede usarse para implementar un canal de almacenamiento como uno de temporización, la diferencia está en como gestionar ese recurso, si aprovechando el espacio de almacenamiento (canal de almacenamiento) o modulando en el tiempo su comportamiento (canal de temporización).

[3] Esta clasificación ha sido rechazada por algunos autores y está sujeta a cierta controversia

Canales de almacenamiento[editar]

En este tipo de canales, el receptor de la información percibe la información como un cambio en el valor de un recursos compartido o atributo. Esas zonas de memoria pueden ser por ejemplo:
  • Ciertos campos en la cabecera de los paquetes de red que bien están en desuso o que su modificación no afecta al correcto funcionamiento del protocolo
  • Mediante el uso de zonas de memoria compartida. Ejemplos: Bloqueos de ficheros del disco duro, modulación de la ocupación del espacio de disco.
Observar que tienen que haber algún mecanismo para inicializar la comunicación entre las entidades y para el secuenciamiento correcto de eventos. Esto se podría hacer mediante otro canal con un pequeño ancho de banda.

Canales de temporización[editar]

En este tipo de canales, el receptor de la información la percibe vía un cambio en el tiempo requerido por el destinatario para detectar cierta acción. Es decir, para codificar la información se basan en la modulación del comportamiento del emisor, lo cual se traduce, por norma general, en variaciones de la tasa de envío de información. Ejemplos:
  • Tiempo de uso de la CPU.
  • Tiempo de comienzo de un proceso.
  • Demanda de ejecución de determinada tarea observable por el otro usuario.
Observar que el emisor y el receptor tienen que tener acceso a un tiempo de referencia, como un reloj de tiempo real. Por otro lado es necesario algún mecanismo para inicializar el proceso y para el secuenciamiento de eventos.
En este tipo de canales está implícita la habilidad del emisor para cambiar el valor de un atributo compartido y la habilidad del receptor para detectarla.

Canal oculto[editar]

[2] Cuando usamos un canal encubierto suele ser necesario un preacuerdo entre el emisor y el receptor para que que el emisor use una forma de codificación que el receptor sea capaz de descifrar.[2] Hay un tipo especial de canales encubiertos a los que se les llama canales ocultos (en inglés side channel) en los que el emisor de forma accidental comunica al receptor. En estos sistemas el desafío del receptor es descubrir y decodificar el canal oculto para obtener la información.

Los canales ocultos más habituales son aquellos que están relacionados con las emanaciones que de forma no intencionada emiten los dispositivos electrónicos.

Otras clasificaciones[editar]

Se han propuesto algunas otras clasificaciones para los canales encubiertos.[3] Veamos algunos ejemplos:

  • Clasificación en función de si existe o no probabilidad de que los datos que reciba el receptor sean incorrectos por la existencia de ruido.
  • Clasificación en función de si la comunicación es sólo 1-1 (un emisor-un receptor) (canales no agregados), o si son creados por varias parejas de procesos que acceden a un mismo conjunto de variables (canales agregados).

Ámbitos de aplicación[editar]

En su origen los canales encubiertos fueron usados como una forma clandestina de obtener información de un proceso por parte de otro del mismo sistema informático. A partir de ahí el concepto se fue generalizando y se fue aplicando a otros ámbitos como las redes de comunicaciones o las emanaciones de dispositivos (Ej electromagnéticas o térmicas).

Intercomunicación de procesos[editar]

El origen mismo del concepto de canal encubierto fue introducido en el marco de un estudio[4] de como los procesos de un sistema podían comunicarse saltándose las políticas de seguridad de un sistema con seguridad multinivel. Desde entonces ha habido importantes estudios para intentar evitar este tipo de comunicaciones. Se han desarrollado importantes avances para que los sistemas operativos nos protejan contra este tipo de vulneraciones de la política de seguridad confinando los procesos, es decir, limitando sus actividades a sólo lo que tienen permitido.

[5] Los sistemas operativos son los guardianes lógicos contra los canales encubiertos. Como ellos ya son los que se encargan de gestionan los canales de comunicación y los recursos compartidos, también tienen que ser responsables de cerrar los canales encubiertos ya que éstos sólo son un subconjunto de los canales de comunicación y utilizan recursos compartidos como conducto de la comunicación. El hardware podría construirse de tal forma que romper el confinamienta fuera improbable, sin embargo tales mecanismos harían al sistema difícil, si no imposible, de usar de forma efectiva

[5] A causa de que la única forma realmente efectiva de enfrentarse seriamente con un canal encubierto es reestructurar el sistema para que sea eliminado, los diseñadores de sistemas operativos tienen que saber cómo identificar los canales encubiertos y como reestructurar el sistema para eliminarlos. Por esta razón se han desarrollado una serie de tácticas para detectarlos y tratarlos.

Como estrategia general hay que controlar los accesos a recursos compartidos ya que estos son la base de para construir canales encubiertos. En este contexto cuando hablamos de recursos nos referimos a cualquier objeto o colección de objetos que pueden ser referenciados o modificados por más de un proceso. Ejemplos de recursos compartidos que podrían ser usados para canales encubiertos:

  • Consumo de CPU. Por ejemplo, acapararla puede ser considerado como un true y quedándose inactivo puede ser interpretado como false.
  • Consumo de memoria
  • Bloqueos del sistema de ficheros.

Flujo de datos[editar]

Es habitual aprovechar los flujos de datos para establecer canales encubiertos. El escenario que se plantea puede ser modelizado mediante el llamado problema del prisionero. Resumidamente, en el problema del prisionero tenemos dos prisioneros, A y B, que quieren comunicarse de forma confidencial para escapar. El problema es que sólo pueden intercambiar mensajes a través de un guardián, W. El guardián puede leer, modificar o generar el mismo los mensajes. Si el guardián detecta cualquier comunicación que pueda ser utilizada para escapar (Ej. detecta un cifrado) dejará de transmitir los mensajes. En este escenario los prisioneros necesitan establecer un canal encubierto. Las dos estrategias más utilizada para establecerlo son:

  • Esconder el canal encubierto dentro de los mensajes permitidos. Para ello se usa la Esteganografía.
  • Usar autenticación para poder detectar los mensajes auténticos. Además dentro de la autenticación podemos embeber un canal encubierto. A este tipo de canales encubiertos se les llama canales subliminales. El canal encubierto estará dentro del propio algoritmo de autenticación usado por los mensajes legítimos. Por tanto será indistinguible dentro de la autenticación (normalmente una firma digital). Sin el conocimiento del secreto el mensaje subliminal no puede ser leído ni detectado.

Protocolos de comunicación[editar]

Los protocolos que se usan en las redes de comunicaciones se han aprovechado intensamente para la definición de distintos tipos de canales encubiertos:

  • Canales encubiertos basados en la utilización de ciertos campos de los paquetes. La utilización de datos de aplicación como portador de la información requiere un conocimiento detallado de la información enviada para poder modificarla sin levantar sospechas. Este motivo impulsa a el uso de campos de cabecera de los paquetes que bien están en desuso o que si lo modificamos de cierta forma no se afecta al correcto funcionamiento del protocolo.
  • Canales encubiertos basados en la temporización de los mensajes.
  • Canales basados en la reordenación de paquetes. La primera propuesta fue hecha por Kamran Ahsan[6]

Hay múltiples protocolos que han sido objeto de estudio para ver como implementar estos canales. Ejemplos: TCP/IP,[7] [8] [6] HTTP,[9] DNS,[10] DHCP,[3] ICMP,[11] [6] IGMP,[6] IPSEC,[6] IPv6,[12] protocolos IEEE 802[13] y protocolos del modelo OSI.[14]

Algunos de los análisis no se han quedado sólo en un mero estudio teórico sino que han sido implementados. Ej: Covert_TCP (para canales encubiertos sobre TCP/IP[7] ), Loki (para ICMP[11] ), Firepass (para HTTP[9] ), PingTunnel (para ICMP[15] ) y Ozyman (para DNS[10] ).

También se ha intentado la implementación de canales encubiertos usando temporización.[16] En los primeros intentos para implementarlos tuvieron muchas dificultades para establecer una forma de sincronización. Además, el estado de la red resulta determinante en la correcta recepción de los datos o el ancho de banda del canal se ve gravemente reducido.[3] [17] En 2006 se propone[18] jitterbugs. Son disposivos, que pueden ser tanto hardware como software, cuya finalidad es reconocer información sensible (Ej passwords) y modularla a través de canales de temporización a través de la red. Para modular no genera nuevos eventos sino que utiliza otros para transmitir la información, y por eso se dice que son semipasivos. Por ejemplo si se está ejecutando una aplicación que usa una comunicación interactiva (como SSH, Telnet, IM, un receptor que monitorice el tráfico de red del host puede recuperar los datos, incluso aunque la sesión esté cifrada. En el estudio original[18] se implementó un jitterbugs hardware para el teclado. Éste aprovecha que la mayoría de las aplicaciones de red interactivas (Ej telnet) envía un paquete de datos tras cada pulsación de teclado realizado. Jitterbugs añade pequeños retardos, virtualmente inapreciables a nivel de usuario, cada vez que se pulsa una tecla para retrasar a su vez el envío de los respectivos paquetes. Estos retrasos serán observados por la entidad receptora con el fin de recuperar la información oculta.

Emanaciones de dispositivos[editar]

Hay abundantes ejemplos del aprovechamiento de las emanaciones electromagnéticas que realizan distintos dispositivos, para su uso como canal de comunicación encubierto. Normalmente este tipo de canales son producidas por emanaciones no intencionadas y por tanto se dice que se trata de canales ocultos.[19] Veamos algunos:

  • Paul Kocher aprovecha las fluctuaciones de la alimentación eléctrica en microcontroladores de tarjetas inteligentes para la reconstrucción de claves DES.
  • Meter Smulders investiga la escucha clandestina electromagnética sobre cables RS232.
  • Win van Eck demuestra la escucha clandestina de las emanaciones emitidas por pantallas de video (Interferencia de Van Eck).
  • Utilización por parte del ejército alemán de aparatos que escuchan las señales de retorno de tierra de los teléfonos de campo distantes
  • El MI5 analiza las emisiones de alta frecuencia en el cable de telex cifrado.

Por la preocupación por todo este tipo de problemas el gobierno de los Estados Unidos desarrolla el programa TEMPEST que estudia este tipo de tecnologías que permiten escuchas clandestinas y desarrolla una serie estándar de requisitos a exigir según el nivel de protección que se desea.

[20] Además de las emanaciones electromagnéticas se ha experimentado que cambios en la temperatura pueden ser inducidos remotamente, por ejemplo produciendo una sobrecarga de CPU. Este tipo de ataques puede ser usado para geolocalización, y como canal encubierto.

Utilización[editar]

Violación de seguridad[editar]

[1] Un sistema informático se puede considerar seguro si para que un usuario pueda acceder a cierta información es necesario que éste se identifique para que el sistema pueda comprobar si tiene autorización para acceder a dicha información (seguridad multinivel). Es decir, el acceso a la información se realiza mediante una porción del sistema que hace de mediador confiable. En el mundo real de los sistemas informáticos no tenemos seguridad absoluta sobre la fiabilidad del mediador. Además la mayoría de los sistemas tienen características (Ej. ficheros de bloqueo, bits de estado, memorias, discos duros, redes de comunicaciones) que son compartidos entre los usuarios a distintos niveles. Algunas de estas características o recursos tienen atributos que pueden ser la base para constituir canales encubiertos que permiten la comunicación de información de forma que se viole la política de seguridad.

[21] Los canales encubiertos también pueden ser aprovechados como canal de comunicación de difícil detección que permita que cierta información sea transmitida a un tercero. Ejemplo típico de este tipo de información pueden ser contraseñas, emails o documentos confidenciales. Por ejemplo puede ser aprovechados por virus o troyanos

Canal de difícil detección[editar]

[3] Los canales encubiertos se pueden usar como canales de comunicación de información de difícil detección por parte de terceros que no sepan de su existencia. Se pueden utilizar para intentar evitar problemas de censura.

Generación de nuevos servicios[editar]

[3] Los canales encubiertos se pueden aprovechar para generar nuevos servicios. Por ejemplo Z. Kotulski propone[22] su uso para mejorar las prestaciones del protocolo VoIP.

Control[editar]

Bibliografía[editar]

Hay importantes estudios sobre la detección/prevención/eliminación de canales encubiertos. Veamos algunos de las más importantes aportaciones:[3]

  • En 1993 el NCSC de la NSA publica "The Light Pink Book"[23] que se dedica exclusivamente al análisis de los canales encubiertos, presentando diversos métodos para la identificación de estas formas de ocultación (Ej. Shared Resource Matrix).
  • En 1993 Kang y Moskowitz proponen NRL Pump[24] que es un sistema de buffers que se interpone entre los procesos comunicantes e introduce retrasos aleatorios reduciendo las posibilidades de comunicación oculta. Esta idea será más adelante adoptada para combatir los canales encubiertos en redes.
  • En 1995 J. MacHugh propone[1] distintas formas de análisis y detección de los canales encubiertos.
  • En 1996 N. Orgutsov y otros investigadores analizan[25] varios métodos existentes y proponen uno nuevo
  • En 2002 Fisk y otros investigadores presentan[26] la implementación de 'guardianes activos (según la terminología del Problema del prisionero) basándose en el análisis de cabeceras de protocolos. La técnica utilizada es la introducción de ruido en el portador.
  • En 2004 Cabuk y otros investigadores presentan[27] métodos de detección basados en el tiempo interpaquete, ya que al estar los envíos regidos por temporizadores deben seguir un patrón de llegada regular, lo cual no ocurre con el tráfico normal generado por usuarios.
  • En 2005 Lewis y Murdoch critican[28] el uso de cabeceras TCP/IP para crear canales de almacenamiento. Hacen ver que esos campos en la realidad no tienen valores aleatorios sino que son dependientes del sistema operativo. Esto les permite realizar test para detectar este tipo de canales ocultos.

Métodos de detección[editar]

[21] Determinar si cierto hardware o software contiene canales encubiertos es indecidible.

Por esta razón se han desarrollado técnicas que permitan poder identificarlos. Estos sistemas se basan en buscar dependencias que puedan ser explotadas para implementar este tipo de canales. Veamos algunos ejemplos:[23] [1] [5]

Evaluación de canales[editar]

Una vez que los canales encubiertos han sido identificados, su importancia tiene que ser determinada analizando diversos factores. Veamos algunos de ellos:

  • Evaluación de la importancia y naturaleza de la información que puede ser comprometida mediante ese canal.
  • El ancho de banda.- Es necesario que proporcione un ancho de banda suficiente para ser usado con el propósito que deseamos
  • Detección.- Para que se pueda usar un canal sin levantar sospechas, es decir que sea difícil de detectar. Por ejemplo hay canales ocultos que se basan en el uso de campos de cabecera. Sin embargo algunos de estos campos tienen valores característicos determinados por el sistema operativo utilizado y si son modificados de cualquier manera podrían ser detectados fácilmente. Por ejemplo si usamos los campos timestamps de TCP, sólo podemos hacer modificaciones en los bits menos significativos ya que si no el cambio sería fácilmente detectable.
  • Difícil eliminación.- Por ejemplo algunos firewalls, para prever este tipo de flujos de información no controlada, toman una serie de medidas estándar para eliminar de forma preventiva situaciones de riesgo. Por ejemplo pueden resetear todos los campos de cabeceras de protocolos que consideran que no son necesarias.

Contramedidas[editar]

[1] En general una vez que hemos detectado un canal, podemos tomar tres tipos de decisiones:

  • Permitirlo. En ciertas situaciones las características de canal (Ej baja capacidad) y los esfuerzos que serían necesarios para eliminarlos, recomienda simplemente permitirlo. A veces se establece un mecanismo de auditoría que verifique si ese canal está siendo utilizado
  • Reducir su capacidad, es decir, su ancho de banda.
  • Eliminarlo

[5] Ejemplos de técnicas típicas de luchar contra los canales ocultos, a veces los eliminan y otras veces lo que hacen es reducir la capacidad del canal:

  • Añadir ruido
  • Virtualización
  • Composición segura

Referencias[editar]

  • Rubén Ríos, José A. Onieva,"Clasificación de canales encubiertos. Un nuevo canal:Covert_DHCP"
  1. a b c d e f g John MacHugh,"Covert Channel Analysis". Handbook for the Computer Security Certification of Trusted System. Naval Research Laboratory. Febrero 1996
  2. a b c Felix C. Freiling y Sebastian Schinzel,"Detecting Hidden Storage Side Channel Vulnerabilities in Networked Applications".University of Mannheim
  3. a b c d e f g h i Rubén Ríos, José A. Onieva,"Clasificación de canales encubiertos. Un nuevo canal:Covert_DHCP"
  4. a b Butler W. Lampson,"A Note on the Confinement Problem"
  5. a b c d Christopher R. Wojno,"Defining and Confining Covert Channels in Operating Systems"
  6. a b c d e K. Ahsan,"Covert Channel Analysis anda Data Hiding in TCP/IP". 2002
  7. a b C. H. Rowland,"Covert Channels in the TCP/IP protocol suite"
  8. J. Giffin et al. "Covert Mesagging Through TCP Timestamps", Privacy Enhancing Technologies 2002.
  9. a b A. Dyatlov,"Firepass- Gray-World.net Team"
  10. a b D. Kaminsky,"Tunneling Audio, Video, SSH and pretty much anything else over DNS"
  11. a b Daemon9,"Loki2 (the implementation)"
  12. N. B. Lucena et al.,"Covert Channels in IPv6". Privacy Enhancing Technologies. LNCS 3856. Springer-Verlag 2006
  13. M. Wolf,"Covert Channels in LAN Protocols"
  14. T. G. Handel y M. T. Sandford,"Hiding Data in the OSI Network model"
  15. D. Stodle,"Ping Tunnel-Send TCP traffic over ICMP",2005
  16. S. Cabuk et al. "IP Covert Timing Channels.Design and Detection". 2004
  17. Lockergnome,"JitterBugs Could Turn Your Keyboard Against You, Steal Data"
  18. a b Gaurav Shah, Andres Molina y Matt Blaze,"Keyboards and Covert Channels"
  19. Javier Areitio Bertolín,"Seguridad de la información. Redes, informática y sistemas de información". Paraninfo 2008
  20. Steven J. Murdoch,"Covert channel vulnerabilities in anonymity systems".2007
  21. a b Desmedt Y,"Establishing Big Brother Using Covert Channels and Other covert Techniques"
  22. Zbigniew Kotulski, Wojciech Mazurczyk,"Covert channel for improving VoIP security"
  23. a b V. D. Gligor, "A Guide to Understanding Covert Channel Analysis of Trusted Systems,The Light Pink Book", U. S. National Computer Security Center. 1993
  24. M. H. Kang and I. S. Moskowitz, "A Pump for Rapid, Reliable, Secure Communication", CCS'93. ACM 1993
  25. N. Ogurtsov, H. Orman, R. Schroeppel, S. O’Malley, and O. Spatscheck, “Covert Channel Elimination protocols,” Department of Computer Science, University of Arizona, Tucson 1996
  26. G. Fisk, M. Fisk, C. Papadopoulos, and J. Neil, “Eliminating Steganography in Internet Traffic with Active Wardens,”
  27. S. Cabuk, C. E. Brodley, and C. Shields, “IP Covert Timing Channels: Design and Detection,”
  28. S. J. Murdoch and S. Lewis, “Embedding Covert Channels into TCP/IP,”

Véase también[editar]