Борьба со скрытыми каналами взаимодействия с информационной сетью. Программы-шпионы.

Выражение "читать между строк" по своей сути означает "улавливать скрытое", "понимать недосказанное". Однако, с точки зрения сокрытия какой-либо информации у него есть и прямой смысл. Допустим, нам нужно отослать письмо адресату, причем так, чтоб прочесть наше послание и понять его истинную суть смог лишь тот, кому оно предназначается. Мы знаем, что письмо будет проверяться неким "цензором", а значит нам надо замаскировать наше послание. Простейшим способом для реализации нехитрой шифровки будет написание текста в обычном режиме черным по белому, но при этом между черных строк – мы впишем сроки белыми буквами. Не видно? Не видно. Возможно, наша затея и удастся. Ведь, по сути, мы применили метод стеганографии – скрытой передачи данных.

Естественно, с развитием компьютерных и информационных технологий само понятие скрытого канала нашло новую форму реализации. На сегодняшний день подобные технологии наносят серьёзный ущерб компаниям и отдельным лицам, зачастую не подозревающим о том, что данные, хранящиеся и обрабатываемые на их компьютерах, уже давно являются не только их личным достоянием…

Известны множество способов организации побочных каналов утечки информации, связанных с электромагнитным излучением, которое может содержать информацию об обрабатываемых на компьютере данных. Еще в 1985 году голландский инженер, специалист в области компьютерных технологий Вим ван Экк опубликовал в журнале Computers&Security памятную для многих ученых и инженеров того времени статью "Electro-magnetic radiation from video display units: an eavesdropping risk?", сопроводив описываемые разработки последующей демонстрацией своей технологии. В передаче BBC "Мир завтрашнего дня" ван Экк показал как с помощью телевизора, антенны и настраиваемого генератора синхроимпульсов можно дистанционно ретранслировать изображение с другого экрана. В дальнейшем, работа коллег Ван Экка, таких как Маркус Кун и других, с побочными электромагнитными излучениями и наводками, привела к развитию технологии Soft Tempest, обеспечивающей скрытую передачу данных по каналу побочных электромагнитных излучений (ПЭМИН) с помощью программных средств. Интересно, что до 1980 года само понятие Tempest – означало кодовое название всего, что связано с экранированием и защитой аппаратуры от компрометирующих утечек, а так же добычей разведданных по каналам ПЭМИН. Естественно, под грифом "top secret".

По сути Soft Tempest атака, впервые показанная Куном, позволяет с использованием специальной программы-закладки, внедряемой на компьютер жертвы с помощью вредоносного ПО (трояны, сетевые черви и др.) отсортировывать необходимую информацию и передавать ее путем модуляции изображения монитораю Принимая побочные излучения монитора, можно выделить полезный сигнал и передать содержащиеся в нём приватные или корпоративные данные заинтересованной стороне [1].

Фактически, работа злоумышленника в этом случае сводится к трём основным задачам: установить шпиона, доставить перехваченную информацию условному заказчику и скрыть следы преступления, то есть сам факт того, что на компьютере жертвы была (или присутствует) какая-либо активность, помимо тех процессов, что запущены самим хозяином ПК. Понятно, что чем больше вес шпиона или объем передаваемых данных, тем больше риск быть обнаруженным. Когда с компьютера секретаря с невероятной скоростью будут передаваться пакеты данных с недетектируемым содержимым, секретарь может удивится, но не придать значения. Но вот системный администратор, обнаружив подобную аномалию, скорее всего, максимально быстро ликвидирует этот канал передачи данных. Таким образом, злоумышленник сталкивается с необходимостью скрывать свою деятельность, для чего широко используются методы скрытной передачи данных, в том числе и упомянутой здесь стеганографии.

Скрытые каналы

Впервые понятие скрытого канала было введено в работе Лэмпсона "A Note of the Confinement Problem" в 1973 году. Канал является скрытым, если он не проектировался, не предполагался для передачи информации в электронной системе обработки данных. Иными словами, это некий способ скрытой (замаскированной) несанкционированной передачи информации стороннему лицу, нарушающий системную политику безопасности. При этом для организации передачи данных могут использоваться атрибуты, не предназначенные дляэтого: задержки между регистрируемыми событиями, порядок следования сообщений, длины передаваемых блоков данных и т.п.

В докладе И.М. Тулупова "Скрытые каналы", сделанного в рамках научно-исследовательского семинара "Защита информации: аспекты теории и вопросы практических приложений", проводимого Кафедрой Информационной безопасности МГТУ им. Баумана совместно с Ассоциацией "РусКрипто", приведена следующая классификация скрытых каналов:

• Передача информации в именах файлов (примером является возможность показа на низком уровне названий и атрибутов директорий и файлов, созданных на верхнем уровне).
• Передача информации в настройках общих ресурсов (кодирование информации в сохраняемых настройках каких-либо ресурсов общего пользования субъектов Высокого и низкого уровней, когда настройки произведенные на Высоком уровне, доступны наблюдению на низком уровне и, следовательно, могут нести информацию, выраженную заранее условленным кодом).

При этом особо выделяются "потайные" каналы (subliminal channels) – нестандартные способы передачи информации по легальным каналам, например, электронной почте. Например, в системе может быть встроен нестандартный алгоритм электронной подписи, оставляющий место для тайных сообщений, не препятствующих проверке аутентичности ЭЦП.

Автор указывает, что двунаправленные потайные каналы обеспечивают взаимодействие с "троянскими" программами, когда необходимо не только получать информацию, но и осуществлять управление программой.

Для организации “скрытых каналов” используется как штатное программное обеспечение, так и специально созданное вредоносное ПО. Создателем скрытого канала может выступать как злоумышленник, находящийся вне организации и реализующий атаку удаленно, так и инсайдер. Администратор также может быть соучастников в организации подобной атаки, поскольку кто как не он знает все слабые места и уязвимости в защите сети. Лучшего сообщника трудно себе представить.

Допустим, системный администратор, работающий в крупной корпорации со строгим разграничением прав доступа и внедрённой политикой информационной безопасности может не иметь доступ к информации о клиентах, суммах контрактов или стратегическим планам развития компании. Однако, занимаясь проектированием или оптимизацией определенных участков сети, он может предусмотреть способ получения интересующих его сведений, создав закладки или оставив специальные "пробелы" - уязвимости сети, которыми при случае он сможет воспользоваться, сведя риск быть обнаруженным к минимуму.

Находясь внутри системы, программа-шпион способна скрытым способом установить связь со своим автором и передавать ему требуемые сведения. Атаки с использованием скрытых каналов всегда приводят к нарушениям конфиденциальности информации и в крайне редких случаях кто-либо пойдет на этот шаг ради удовлетворения личных амбиций. Чаще всего, это заказные адресные и тщательно подготовленные мероприятия.

Используя скрытые каналы передачи данных, "удаленный" злоумышленник может преследовать цель организовать управление информационной сетью извне, превратив её в бот. Все те, кто так или иначе связан с ИТ и информационной безопасностью прекрасно знают о том, что производители софта достаточно часто сами используют "программные закладки", о чем красноречиво свидетельствует немало скандалов в прессе по обвинению разработчиков во встраивании руткит-технологий. При этом даже применение всех известных мер защиты межсетевого экранирования не помешает внешнему нарушителю использовать эти уязвимости, маскируя свои действия при помощи "скрытых каналов".

Находка для "шпиона"

В тесной связи с развитием информационных технологий не менее активными темпами развиваются разнообразные ИТ-угрозы. А когда они становятся коммерчески оправданы и востребованы, проявляется некое подобие теневого рынка, где есть свои заказчики, "промежуточные" звенья и исполнители. В Интернете в изобилии представлены различные утилиты для формирования скрытых каналов (стегопрограммы). "Заказать" шпиона тоже не представляет особой сложности, если кому-то очень нужно добиться цели. Единственная задача – остаться неузнанным. А для этого шпиону необходимо закамуфлировать себя под легальный файл или программу, например, "дописав" свой код в конец файла-жертвы.

Многие помнят, информационный шум вокруг новости о том, что в Рунете появился первый русскоязычный компьютерный вирус под названием Agent. Вредоносная программа маскировалась под обычные графические файлы формата BMP. Вирус создан специально для атаки русской версии Windows 2000– на других версиях операционной системы вредоносный код не работал. По мнению многочисленных комментаторов инцидента, этот факт косвенно указывал на Россию и страны СНГ как наиболее вероятные места создания "Agent".

Если пользователь запускал вложенный BMP-файл, "шпион" связывался с удаленным сервером и загружал с него на компьютер пользователя трояна – Throd. Однако данный шпион обладал относительно спокойным нравом – он был создан для кражи e-mail адресов, из чего логичнее всего заключить, что его заказчиком являлась компания, занимающаяся рассылкой спама.

Вирусы скрываются и под видом mp3-файлов (MP3Concept) и даже под видом собственно антивирусов (Skull.L рассылался под видом антивируса Mobile Anti Virus от F-Secure) и обнаружить их домашними антивирусами бывает достаточно сложно, особенно если счастливый обладатель персонального компьютера не искушен в вопросах вирусологии и не так внимателен к требованиям обновления.

В статье "Скрытая утечка информации. Часть 2", опубликованной в отечественном журнале CIO, автор приводит более сложный вариант маскировки вирусов. В качестве примера рассматривается вредоносный код Win95.CIH. Вирус внедряется в *.exe файл, используя особенности формата PE (Portable Executable), принятого в системе Windows начиная с Windows 95. Windows исполнимый файл *.exe может содержать не только код, но и многочисленные дополнительные данные. Это пиктограммы, различные служебные данные и дополнительная информация, например, об экспортируемых и импортируемых функциях. Каждый вид данных, содержащихся в файле формата РЕ - это отдельный объект, хранящийся в специальной секции фиксированного размера. Если объект не занимает всего объема секции, то эта часть секции пустует. Соотвественно эту "пустоту" можно заполнить любым другим кодом, в том числе и вредоносным. При этом размерфайла не изменится и работоспособность файла не нарушится.

Бороться и найти…

Не смотря на пугающие масштабы современных угроз и постоянно расширяющийся инструментарий злоумышленников бороться с вредоносным ПО и кражей приватных данных можно и нужно. В масштабе корпорации этот аспект защиты должен быть закреплен в политике информационной безопасности, представляющей собой свод норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. Создание скрытых информационных потоков является строгим нарушением политики ИБ, в связи с чем необходимо проводить регулярный анализ всей сетевой активности. Инспектирование должно предполагать решение следующих задач:

• выявление скрытых каналов;
• оценка пропускной способности скрытых каналов
• оценка рисков, связанных с функционированием скрытых каналов;
• выделение сигнала и типа информации, передаваемой по скрытым каналам;
• противодействие реализации скрытого канала вплоть до его уничтожения.

Для поддержки политики безопасности помимо механизмов защиты, препятствующих её нарушению, должна проводиться перманентная работа с персоналом. Особенно актуальная проблема утечки для компаний, обладающих территориально распределенной филиальной сетью, а также компаний, сотрудники которых часто работают с её информационными ресурсами (в том числе и содержащими конфиденциальные данные) удаленно.

Грамотно организованная архитектура сети, защита которой построена на принципе эшелонирования – это серьёзный барьер для злоумышленника. Лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование технологий защиты от вредоносного ПО и нежелательной корреспонденции на уровнях:

• входа в корпоративную сеть (gateway);
• сервера корпоративной сети;
• конечного устройства пользователя.

Самым сложным в этой и любой другой градации по уровням является организация защиты на уровне шлюза. Использование надёжных гибко настроенных фильтров, блокирующих "шпионов" на сетевом шлюзе и позволяющих оперативно закрывать все влозможные уязвимости в сети, даже до выпуска официальных патчей от вендоров – это задача не из лёгких. И самым важным вопрос здесь как всегда является вопрос о том, какое решение позволит это сделать. Ведь между всем известными spyware и adware есть множество разных других более сложно организованных кодов, селективно закрыть которые совсем не так просто. Не зря многие антивирусные вендоры опускают руки, если речь заходит о инспектировании графического контента или полной проверки кода HTML.

Основные критерии, которым должна удовлетворять система контентной фильтрации на уровне шлюза, следующие:

• блокирование уязвимостей в программном обеспечении (эксплойтов) и атак, направленных на клиентские приложения;
• инспектирование 100% HTTP/FTP трафика в реальном времени;
• прозрачное блокирование для всех Web-страниц (HTML) уязвимостей и атак ‘driveby’;
• многоуровневая защита от всех известных и неизвестных видов spyware, adware, троянов, руткитов, перехватчиков нажатий на клавиши, вирусов и червей;
• предотвращение фишинговых атак как с известных и неизвестных фишинговых сайтов, так и с инфицированных хакерами доверенных сайтов;
• URL фильтрация / родительский контроль с использованием постоянно обновляемой базы каталогизированных Интернет-сайтов;
• прозрачное инспектирование POP3 and SMTP почтовых протоколов на наличие злонамеренных кодов и спама.
• неограниченная масштабируемость системы (с учётом роста компании);
• детализированные отчеты для каждого пользователя.

Естественно, обеспечить такую защиту в домашних условиях фактически невозможно. Не стоит забывать и о том, что злонамеренный код постоянно прогрессирует и становится всё более "умным". Его создатели прекрасно понимают, что на данный момент в мире фактически нет компьютеров, на которых не установлен антивирус. Соответственно, вредоносное ПО должно сначала заблокировать антивирус, чтобы проникнуть на ПК и затем реализовать любую активность, начиная от сбора ценных сведений и заканчивая выведением из строя сети.

Наиболее адекватным выходом для защиты домашних компьютеров является использование их хозяевами провайдинг-сервиса доставки "чистого" контента, прошедшего фильтрацию на узле провайдера и, следовательно, освобожденного от 99% вредоносного кода и спама. Подобные услуги достаточно широко распространены на Западе, и в России отдельные прогрессивные xSP-провайдеры уже начинают оценивать подобные сервисы в качестве новой рыночной нишы. Общая же масса относительно таких проектов пока настроена скептически . Ещё бы, ведь помегобайтная система оплаты трафика не предполагает выявления вредного контента – пользователь платит за общий объём, независимо от того, сколько "мусора" в итоге осело на его машине. Однако виросописатели не дремлют, и кто знает, оправдает ли себя такой реактивный подход или уже пора задуматься о превентивной защите.

Список литературы:

[1] Скрытая утечка информации. Часть 1-2 Автор: Вячеслав Овсянников/ Опубликовано 03 сентября 2003 года

[2] Доклад И.М. Тулупова "Скрытые каналы передачи информации" (в рамках научно-исследовательского семинара "Защита информации: аспекты теории и вопросы практических приложений", организованного Кафедрой Информационной безопасности Московского Государственного Технического Университета им. Баумана совместно с Ассоциацией "РусКрипто")
[3] www.anti-malware.ru

[4] Дипломная работа “Проблемы информационной безопасности банков”, Никольский А.Ю. Государственный комитет Российской Федерации по высшему образованию финансовая академия при правительстве Российской федерации. 1999 г.

[5] Волны компромата. Побочные каналы утечки информации при работе компьютеров. Бёрд Киви. Компьютерра № 24. 2007г.