CC BY
88
ISSN 0321-2653 ИЗВЕСТИЯ ВУЗОВ. СЕВЕРО-КАВКАЗСКИМ РЕГИОН._ТЕХНИЧЕСКИЕ НАУКИ. 2019. № 1
ISSN 0321-2653 IZVESTIYA VUZOV. SEVERO-KAVKAZSKIYREGION. TECHNICAL SCIENCE. 2019. No 1
ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ INFORMATICS, COMPUTER ENGINEERING AND CONTROL
УДК 004.056.53 DOI: 10.17213/0321-2653-2019-1-5-9
АНАЛИЗ ВОЗМОЖНОСТЕЙ СОЗДАНИЯ СКРЫТЫХ КАНАЛОВ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ЗАЩИЩАЕМЫХ СЕТЕЙ
© 2019 г. К.Ю. Гуфан1, Д.Ю. Проскурин12
1НИИ «Спецвузавтоматика», г. Ростов-на-Дону, Россия, 2Южный-федеральный университет, г. Ростов-на-Дону, Россия
THE ANALYSIS OF POSSIBILITIES OF CREATION HIDDEN COMMUNICATION CHANNELS FROM THE PROTECTED NETWORK
K.Yu. Gufan1, D.Yu. Proskurin1'2
1Scientific Research Institute «Specialized Security Computing Devices and Automation», Rostov-on-Don, Russia, 2Southern Federal University, Rostov-on-Don, Russia
Гуфан Константин Юрьевич - канд. физ.-мат. наук, зам. директора по научной работе, НИИ «Спецвузавтоматика», г. Ростов-на-Дону, Россия. E-mail: k.gufan@niisva.org
Проскурин Дмитрий Юрьевич - магистрант, Южный-федеральный университет, научный сотрудник, НИИ «Спецвузавтоматика», г. Ростов-на-Дону, Россия. E-mail: d.proskurin@niisva.org
Gufan Konstantin Yurievich - Candidate of Physical and Mathematical Sciences, Deputy Director for Research, Scientific Research Institute «Specialized Security Computing Devices and Automation», Rostov-on-Don, Russia. E-mail: k.gufan@niisva.org
Proskurin Dmitriy Yurievich - Undergraduate, Southern Federal University, Scientific Officer, Scientific Research Institute «Specialized Security Computing Devices and Automation», Rostov-on-Don, Russia. E-mail: d.proskurin@niisva.org
Показаны методы обхода современных систем контроля утечки информации из локальных сетей. Приведены результаты исследований, показывающие, что внутренний злоумышленник может создать достаточно широкий скрытый канал передачи данных, который будет обходить как методы фильтрации трафика, так и средства его статистического анализа. Таким образом, используемый в современных средствах оценки защищенности сети анализ, показывающий корректность настройки средств защиты, не дает полноценного представления о реальном уровне безопасности информации, циркулирующей в сети. Более точную оценку защищенности сети могут дать методы тестирования на проникновения, которые проверяют возможность организации таких каналов.
Ключевые слова: информационная безопасность; контекстный анализ трафика; статистический анализ трафика.
In this study, the methods of bypass of modern systems of information leakage control from local networks were shown. The results of the research show that an internal attacker can create a fairly wide hidden data channel, which will bypass both the methods of traffic filtering and the means of its statistical analysis. Thus, the analysis used in modern means of assessing the security of the network, showing the correctness of the security settings does not give a complete picture of the real level of security of information circulating in the network. A more accurate assessment of the network security can give the test methods for penetration, which test the ability of the organization of such channels.
Keywords: information security; contextual analysis of traffic; statistical analysis of traffic.
ISSN0321-2653 IZVESTIYA VUZOV. SEVERO-KAVKAZSKIYREGION.
Введение
Вопреки распространенному мнению о том, что основную угрозу для фирмы представляют внешние нарушители, производящие действия из внешней сети Интернет, реальная опасность исходит от внутренних нарушителей, которые представляют собой некоторого легитимного сотрудника организации, имеющего определенный доступ к информационной системе, и могут осуществлять в ней злонамеренные действия. Основное преимущество внутренних нарушителей от внешних состоит в том, что они знакомы с архитектурой атакуемой сети, знают, как работает организация и ее слабые места, через которые могут передать информацию.
Для защиты информационных систем организаций как от внутренних, так и от внешних злоумышленников используются политики безопасности, описывающие, в том числе, применение различных программных средств защиты [1]. Самыми распространёнными среди них являются DLP (англ. Data Loss Prevention; рус. Предотвращение утечек информации), IPS (англ. Intrusion Prevention System; рус. Система предотвращения вторжений) и другие системы, осуществляющие контроль и анализ трафика, входящего и исходящего из сети организации [2]. Однако, несмотря на активное развитие данного направления средств защиты, арсенал средств доступных внутреннему злоумышленнику также не стоит на месте, поэтому в настоящей статье описываются возможности по обходу интеллектуальных систем защиты сетевого периметра с использованием статистической модели поведения пользователя и нелегитимном применении функционала сторонних веб-сервисов.
Существующие средства защиты информации от внутреннего злоумышленника
Для защиты информации используются различные средства защиты, к которым можно отнести IDS и DLP [3, 4], нацеленные на защиту от внутренних злоумышленников.
IDS используют поиск статистических аномалий в действиях пользователя. Данные способы детектирования злоумышленников более универсальны, поскольку им не требуется информация об источниках и причинах возникновения аномалий сетевого трафика. В основе лежит детектирование изменений некоторых статистических характеристик потоков пакетов [5, 6].
TECHNICAL SCIENCE. 2019. No 1
Каждый пользователь информационной системы, используя сеть Интернет, показывает свои потребности в сетевом трафике. Получив в течение некоторого периода эти статистические показатели, можно достаточно точно определить сетевую модель данного пользователя, что позволит выявить отклонения, вызванные вредоносным программным обеспечением [7, 8]. Данные аномалии обычно явно выделяются на фоне общей статистики. Поэтому разработчики систем защиты, наподобие IDS, исходят из того, что атакующая сторона будет использовать автоматизированные средства передачи информации, что принесет в бытовую деятельность пользователя статистические характеристики, которые можно определить как созданные автоматизированным средством. Если передача происходит ручным образом, то произойдет смена картины распределения трафика по времени, что позволит при проведении анализа статистических показателей выявить утечку информации.
Таким образом, подобные системы обладают рядом преимуществ:
- для них не требуется постоянное обновление сигнатур различных атак, что значительно облегчает сопровождение подобных систем;
- способны обнаруживать ранее неизвестные атаки, для которых еще не написаны сигнатуры, позволяя подобным средствам сдерживать злоумышленников, пока не будут реализованы шаблоны для экспертных систем;
- могут обнаружить достаточно сложные атаки, которые не обнаруживают другие системы, такие как APT.
Предлагаемый метод обхода
Предлагаемый метод анализа эффективности использования систем защиты сетевого периметра состоит в оценке возможности предотвращения атак по добыванию конфиденциальной информации из закрытого сегмента сети со стороны внутреннего злоумышленника. Для реализации данного метода были разработаны:
- методы обхода систем блокировки нежелательного трафика, в том числе систем контекстного анализа трафика;
- методы сокрытия статистических характеристик канала утечки информации от средств защиты сетевого периметра, основанных на интеллектуальном анализе трафика.
Для реализации методов обхода систем блокировки нежелательного трафика был предложен и апробирован метод, позволяющий пере-
ISSN 0321-2653 IZVESTIYA VUZOV. SEVERO-KAVKAZSKIYREGION.
давать данные через односторонний канал передачи информации, использующий средства веб-разработчика, предоставляемые различными поисковыми системами. Одним из таких средств является возможность создания поиска для отдельных веб-ресурсов, базирующегося на заранее определенной поисковой системе.
Владелец веб-ресурса может создать страницу, целиком находящуюся в данной легитимной поисковой системе, с возможностью визуальной настройки ее отображения. После проведения предварительной настройки поисковой страницы, разработчик получает доступ к статистике запросов поиска информации на веб-ресурсе с использованием данного средства. Например, поисковая система Яндекс позволяет владельцу ресурса просматривать все запросы с указанием количества найденных страниц, кликов по ссылкам, ведущих на ресурсы, и количество пользователей, интересующихся данным вопросом.
С помощью данного средства легитимный веб-разработчик может получить информацию о наиболее востребованных страницах своего ресурса, что позволит ему скорректировать план дальнейшего развития сайта. Однако внутренние злоумышленники могут, воспользовавшись данным средством анализа поисковых запросов, построить односторонний канал передачи информации через легитимные ресурсы, что позволит скрыть от автоматизированных средств защиты целевые устройства, на которые на самом деле передается информация, что дает возможность обхода ограничений систем защиты, детектирующих обращение пользователя на недостоверные ресурсы. Результат работы данного канала представлен на рис. 1.
ВсМккв Мпме Вшет Еяшшип Длге! Пиилпиаии Сшшм да еще
Яндекс
Статистика
яы Ий(гьт| ьли n&Tjui: " с
fttmti iji i * lljjll ■ . i а л
Mt> 1 ? V
Рис. 1. Получение данных, переданных по скрытому каналу / Fig. 1. Receiving data transmitted over a hidden channel
Кроме того, обращение пользователей к подобным легитимным сайтам не вызовет особого интереса у администраторов сети организации, тем самым полученный скрытый канал может
TECHNICAL SCIENCE. 2019. No 1
выдать себя только тем, что привнесет в статистические показатели пользователя аномалии.
Данный метод был апробирован на экспериментальном стенде с развернутым средством Comodo DLP. Так как предложенный метод состоит в передаче данных на легитимный сетевой ресурс, то его детектирование на основании лишь контекстного анализа содержимого трафика не представляется возможным.
Аналогичным образом можно построить скрытые каналы для передачи информации с использованием других легитимных ресурсов, позволяющих каким-либо образом обмениваться информацией. Однако построенный протокол не должен вызывать подозрений как со стороны администраторов сети, так и автоматизированных средств защиты, что позволяет заранее отказаться от передачи на некоторые ресурсы, например, социальные сети.
Метод сокрытия статистических характеристик канала утечки информации состоит в том, чтобы, используя данные о трафике легитимного пользователя, сократить объем передаваемых данных средством добывания информации так, чтобы его работа не приводила к заметным статистическим аномалиям. Для этого можно использовать предварительный анализ статистических показателей сетевого трафика на возможность внедрения в него дополнительно скрытой информации. Главная цель данного анализа - не передавать через сеть Интернет больше данных, чем ожидается от данного пользователя.
Для достижения поставленной цели необходимо выделить размер временного окна, в пределах которого будет происходить работа по скрытой передачи информации, и смещение временных интервалов. После определения базовых параметров данного метода происходит сбор статистики по использованию Интернет-соединения пользователя текущего устройства, используя захват пакетов с сетевого интерфейса, отвечающего за работу с глобальной сетью. Полученная информация разбивается на временные интервалы с размером временного окна, установленным пользователем данного метода, по каждому из которых происходит подсчет математического ожидания. При накоплении достаточных сведений о статистических потребностях текущего пользователя устройства в Интернет-соединениях осуществляется передача информации. Для этого происходит сопоставление первого временного окна с текущим. Если в предпоследний момент времени текущего периода было
ISSN0321-2653 IZVESTIYA VUZOV. SEVERO-KAVKAZSKIYREGION.
TECHNICAL SCIENCE. 2019. No 1
передано сетевого трафика меньше, чем вычисленное математическое ожидание сопоставляемого интервала времени, то в текущий момент можно произвести передачу данных размера не более, чем разница между данными значениями. При этом размер переданных данных в данное окно не должен участвовать при подсчете математического ожидания по текущему окну, иначе статистические показатели пользователя будут завышены данным автоматизированным программным средством, что может привнести статистические аномалии.
Таким образом, этот метод можно выразить в виде формулы
V (j) =
0, если Cur - K < 0; 1
xj-i
Count
(Cur-K+1)-Count
^ xi - V(i -1), иначе
i=(Cur-K )-Count
го окна к сопоставляемому; Cur - номе го окна, вычисляемое по формуле
где xi - суммарный объем переданного трафика за i-й момент времени; Count- количество миллисекунд в одном окне; K - смещение от текуще-
э текуще-
J
Count
V(j) - объем трафика, который можно передать в текущий момент времени j.
Пример, иллюстрирующий работу данного метода при смещении временных интервалов, равных единице, показан на рис. 2.
I
<11
i ¡ira-
Hf
Эксперимент с использованием реализованного программного обеспечения проходил в течение 5 ч. За данный промежуток времени пользователь использовал 2 Гбайта, включая принятый и отправленный сетевой трафик через сеть Интернет. За данный промежуток времени реализованному программному обеспечению удалось передать 200 Мбайтов данных, которые моделировали некоторые защищаемые сведения. Анализ сетевой активности показал данные, приведенные на рис. 3.
70
ю 2 60
1 50 40
03 « 30
S и 20
tfl ю 10
О 0
п г
а/ Я ! у
0 20 40 60 80 100 120 140 160 180 200 220
Время эксперимента, мин Рис. 2. Возможность передачи данных статистическим анализом / Fig. 2. Possibility of data transmission by statistical analysis
На данном графике пунктиром отображена общая картина сетевого трафика, сплошной линией - математическое ожидание сетевого трафика для предыдущего окна, а серым цветом -максимальный объем данных, которые можно передать, используя данный метод, не выделяясь из общей картины сетевого трафика.
Предложенный метод был проанализирован с точки зрения критерия согласия Пирсона Хи-квадрат [9].
10 30 50 70 90 110 130 150 170 190 210 230 250 270
Время эксперимента, мин
Рис. 3. Пример работы алгоритма / Fig. 3. Example work of the algorithm
На данном графике представлена вся сетевая активность, начиная с 11:24, т.е. со времени начала эксперимента, и заканчивая 16:02 - время, когда эксперимент был завершен, ось абсцисс отображает временную шкалу, а ось ординат показывает объем переданных данных в байтах.
На полученном графике (см. рис. 3) отложены две кривые. Верхняя функция показывает статистику сетевого трафика пользователя за время эксперимента, включая данные, переданные реализованной программой.
Нижняя кривая отражает статистику активности тестируемой программы, пики активности которой происходят после высокой активности пользователя, которая заменяется спадом. Данные всплески активности почти незаметны для человека, поскольку не нарушают общую статистку пользователя. Поэтому любой администратор сети не обнаружит подозрительного поведения.
Однако большая часть данных проверяется интеллектуальными системами обеспечения безопасности, такими как IDS. Подобные средства используют при своей работе эвристические методы анализа статистических показателей, к которым можно отнести критерий согласия Пирсона [10]. При проведении анализа полученных данных данный критерий показал 1, свидетельствуя о том, что передаваемые данные не выделяются из общей картины сетевого трафика пользователя. Другими словами, методы обнаружения
ISSN 0321-2653 IZVESTIYA VUZOV. SEVERO-KAVKAZSKIYREGION. TECHNICAL SCIENCE. 2019. No 1
аномалий в объемах передаваемого трафика не обнаружат канал утечки информации.
Полученные результаты показывают, что данный метод сокрытия статистических характеристик трафика позволяет обойти существующие системы защиты, такие как ^modo IDS. Одновременно с этим отметим, что полученные в результате анализа с использованием критерия согласия Пирсона данные позволяют сделать вывод о том, что любые системы, построенные лишь на анализе статистических характеристик трафика, а именно его объеме, могут быть преодолены предложенным или подобными ему методами.
Заключение
Освещается проблема защиты информации от внутреннего злоумышленника. Рассмотрены основные существующие средства обеспечения безопасности информации от средств внутреннего злоумышленника, такие как IDS и DLP.
Предложен новый алгоритм проверки безопасности информации, основанный на использовании средства поисковых запросов с использованием статистического анализа сетевого трафика пользователя. Данный алгоритм хорошо себя показал при проверке средства Comodo IDS.
Использование предлагаемого алгоритма позволит более полно оценить информационную безопасность хранимых данных внутри информационной сети.
Литература
1. Климентьев К.Е. Компьютерные вирусы и антивирусы: взгляд программиста. М.: ДМК-Пресс, 2013. 658 с.
2. Загинайлов ЮН. Теория информационной безопасности и методология защиты информации. М.: Директ-Медиа, 2015. 104 c.
3. Анин Б. Защита компьютерной информации. СПб.: БХВ-Петербург, 2000. 384 с.
4. Андрианов В., Зефиров С., Голованов В., Голдуев Н.
Обеспечение информационной безопасности бизнеса. М. : Альпина Паблишерз, 2011. 338 с.
5. Нестеренко В.А. Статистические методы обнаружения нарушений безопасности в сети / Институт проблем передачи информации им. А.А. Харкевича РАН, Москва. // Информационные процессы. 2006. Т. 6, вып. 3. С. 208 - 217.
6. Шелухин О.И., Сакалема Д.Ж., Филинова А.С. Обнаружение вторжений в компьютерные сети (сетевые аномалии). М.: Горячая линия - Телеком, 2013. 220 с.
7. Roland Kwitt. A Statistical Anomaly Detection Approach for Detecting Network Attacks. Salzburg: 6QM Workshop, 2004.
8. Малыгин И.Г. Применение статистического анализа сетевого трафика с использованием Байесовского классификатора в интересах безопасности вычислительных сетей // Вестн. Санкт-Петербургского ун-та Государственной противопожарной службы МЧС России, СПб., 2015.
9. Кендалл М., Стьюарт А. Статистические выводы и связи. М.: Наука, 1973. 900 c.
10. Денисов В.И., Лемешко Б.Ю., Постовалов С.Н. Прикладная статистика. Правила проверки согласия опытного распределения с теоретическим. Ч. 1: Критерий типа Хи квадрат. М.: Изд-во стандартов, 1998. 139 с.
References
1. Kliment'ev K.E. Komp'yuternye virusy i antivirusy: vzglyad programmista [Computer viruses and antiviruses: programmer's viewMoscow.: DMK-Press, 2013, 658 p.
2. Zaginailov Yu. N. Teoriya informatsionnoi bezopasnosti i metodologiya zashchity informatsii [Theory of information security and methodology of information security]. Moscow: Direkt-Media, 2015, 104 p.
3. Anin B. Zashchita komp'yuternoi informatsii [Protection of computer information]. Sankt-Peterburg.: BKhV-Peterburg, 2000, 384 p.
4. Andrianov V., Zefirov S., Golovanov V., Golduev N. Obespechenie informatsionnoi bezopasnosti biznesa [Information security business]. Moscow: Al'pina Pablisherz, 2011, 338 p.
5. Nesterenko V.A. Statisticheskie metody obnaruzheniya narushenii bezopasnosti v seti [Statistical methods of detection of security violations in the network]. Informatsionnyeprotsessy, 2006, Vol. 6, no. 3, pp. 208 - 217. (In Russ.)
6. Shelukhin O.I., Sakalema D.Zh., Filinova A.S. Obnaruzhenie vtorzhenii v komp'yuternye seti (setevye anomalii) [Intrusion Detection in computer networks (network anomalies)]. Moscow: Goryachaya liniya - Telekom, 2013, 220 p.
7. Roland Kwitt. A Statistical Anomaly Detection Approach for Detecting Network Attacks. Salzburg: 6QM Workshop, 2004.
8. Malygin I.G. Primenenie statisticheskogo analiza setevogo trafika s ispol'zovaniem Baiesovskogo klassifikatora v interesakh bezopasnosti vychislimtel'nykh setei [Application of statistical analysis of network traffic using Bayesian classifier in the interests of security of computing networks], Vestnik Sankt-Peterburgskogo un-ta Gosudarstvennoi protivopozharnoi sluzhby MChS Rossii, Sankt-Peterburg 2015.
9. Kendall M., St'yuart A. Statisticheskie vyvody i svyazi [Statistical conclusions and connections] Moscow: Nauka,1973, 900 p.
10. Denisov V.I., Lemeshko B.Yu., Postovalov S.N. Prikladnaya statistika. Pravila proverki soglasiya opytnogo raspredeleniya s teoreticheskim. Ch. 1: Kriterii tipa Khi kvadrat [Applied statistics. Rules for checking the agreement of the experimental distribution with the theoretical. Part I. The Criterion of Chi square]. Moscow: Publ. standartov, 1998, 139 p.
Поступила в редакцию /Received 09 ноября 2018 г. /November 09, 2018
