커버트 채널

컴퓨터 보안에서 은밀한 채널은 컴퓨터 보안 정책에 의해 통신할 수 없게 되어 있는 프로세스 간에 정보 객체를 전송하는 기능을 생성하는 공격의 일종이다.버틀러 램프가 1973년에 발기한 이 용어는 COMPUSEC의 접근 통제를 받는 합법적인 채널과 구별하기 위해 "서비스 프로그램의 시스템 부하에 미치는 영향 등 정보 전송을 전혀 의도하지 않은 채널"로 정의된다.^[1]null

특성.

은밀한 채널은 컴퓨터 시스템의 합법적인 데이터 전송 메커니즘(일반적으로, 읽기 및 쓰기)을 사용하지 않기 때문에 보안 운영 체제의 접근 제어 메커니즘으로부터 숨겨져 있기 때문에, 보안 운영 체제의 근간을 이루는 보안 메커니즘에 의해 감지되거나 통제될 수 없기 때문에 그렇게 불린다.은밀한 채널은 실제 시스템에 설치하기 매우 어렵고 시스템 성능을 모니터링하여 감지할 수 있는 경우가 많다.또한 신호 대 잡음 비율이 낮고 데이터 속도가 낮음(일반적으로 초당 몇 비트 순)에 시달린다.또한 잘 확립된 비밀 채널 분석 전략에 의해 보안 시스템에서 높은 수준의 보증을 통해 수동으로 제거할 수 있다.null

은밀한 채널은 스테가노그래피와 같은 계략이나 심지어 합법적인 정보 객체 안에서 금지된 사물을 위장하기 위한 덜 정교한 계략을 이용하여 저확보 사이비 보안 시스템을 공격하는 합법적인 채널 공격과는 구별되고 종종 혼동된다.스테가노그래피에 의한 합법적인 채널 오용은 특히 은밀한 채널의 형태가 아니다.^{[citation needed]}null

커버트 채널은 안전한 운영 체제를 통해 터널을 뚫을 수 있으며 제어에 특별한 조치가 필요하다.비밀채널 분석은 비밀채널을 통제할 수 있는 유일한 방법이다.^{[citation needed]}이에 비해 안전한 운영체제는 합법적인 채널의 오남용을 쉽게 방지할 수 있으므로, 양쪽을 구분하는 것이 중요하다.숨겨진 객체에 대한 합법적인 채널의 분석은 합법적인 채널 오용에 대한 유일한 성공적인 대책으로 잘못 전달되는 경우가 많다.이는 대량의 소프트웨어에 대한 분석에 해당하기 때문에, 빠르면 1972년에 실용적이지 않은 것으로 나타났다.^[2]이 사실을 통보받지 못한 채, 일부 사람들은 분석이 이러한 합법적인 채널의 "위험"을 관리해 줄 것이라고 믿도록 현혹된다.null

TCSEC 기준

신뢰할 수 있는 컴퓨터 보안 평가 기준(TCSEC)은 미국 국가안보국(National Security Agency)이 관리하는 기관인 National Computer Security Center(National Computer Security Center)에 의해 제정된 일련의 기준이었다.null

Lampson의 은밀한 채널에 대한 정의는 TCSEC에서^[3] 특히 상위 분류 구획에서 하위 분류로 정보를 전송하는 방법을 참조하기 위해 패러프레이션되었다.공유 처리 환경에서는 다른 프로세스가 운영 환경에 미칠 수 있는 영향으로부터 한 프로세스를 완전히 절연하는 것이 어렵다.비밀 채널은 수신 프로세스에 의해 탐지될 수 있는 일부 조건(예: 여유 공간, 일부 서비스의 가용성, 실행 대기 시간)을 변조하는 송신자 프로세스에 의해 생성된다.null

TCSEC는 두 가지 종류의 비밀 채널을 정의한다.

저장 채널 - 하드 드라이브와 같은 "저장소 위치"를 수정하여 통신하십시오.
타이밍 채널 - 수신기에 의해 관측된 "실제 응답 시간"에 영향을 주는 작업을 수행한다.

Orange Book으로도 알려진 TCSEC는 B2 시스템으로 분류되는 비밀 저장 채널의 분석을 요구하고 있으며,^[4] 등급 B3의 경우 비밀 저장 채널의 분석이 요구되고 있다.null

타이밍 채널

컴퓨터 네트워크를 통해 전송되는 패킷 간의 지연의 사용은 우선 비밀 통신을 위해 Girling에^[5] 의해 탐구되었다.이 작업은 비밀 통신을 설정하거나 탐지하고 그러한 시나리오의 근본적인 한계를 분석하기 위해 다른 많은 작품들에 동기를 부여했다.null

은밀한 채널 식별

연산에 사용되는 파일이나 시간의 존재와 같은 평범한 것들은 은밀한 채널이 통신하는 매개체였다.이 매체들은 너무 많고 자주 사용되기 때문에 은밀한 채널을 찾기가 쉽지 않다.null

비교적 오래된 두 가지 기법은 잠재적 비밀 채널의 위치설정을 위한 표준으로 남아 있다.하나는 시스템의 자원을 분석하여 소스코드 레벨에서 다른 일을 한다.null

은밀한 채널 제거

치밀한 설계와 분석에 의해 현저하게 감소할 수 있지만 은밀한 채널의 가능성은 제거할 수 없다.^[2]null

비밀채널의 검출은 합법적인 이용자에 의해 결코 제어되거나 검사되지 않는 합법적인 채널에 대해 통신매체의 특성을 이용하여 더욱 어렵게 만들 수 있다.예를 들어 다른 프로그램이 탐지할 수 있는 특정 시간적 패턴에서 프로그램에 의해 파일을 열고 닫을 수 있으며, 그 패턴은 비트 문자열로 해석되어 은밀한 채널을 형성할 수 있다.합법적인 사용자가 파일 열기 및 닫기 작업의 패턴을 확인할 가능성이 낮기 때문에, 이러한 유형의 비밀 채널은 오랫동안 탐지되지 않은 상태로 남아 있을 수 있다.null

비슷한 사례가 좌현 노킹이다.통상적인 통신에서 요청의 타이밍은 무관하며 지켜보지 않는다.좌현 노킹은 그것을 의미 있게 만든다.null

OSI 모델에 데이터 숨기기

Handel과 Sandford는 네트워크 통신 프로토콜의 일반적인 설계 내에서 비밀 채널을 연구하는 연구를 발표했다.^[6]그들은 데이터 은닉에 사용될 가능성이 있는 시스템 요소를 특징짓는 그들의 개발의 기초로서 OSI 모델을 채택한다.채택된 접근방식은 특정 네트워크 환경이나 아키텍처에 반대하는 표준이 고려되기 때문에 이들보다 장점이 있다.null

그들의 연구는 바보 같은 스테가노그래픽 계획을 제시하는 것을 목표로 하지 않는다.오히려, 그들은 7개의 OSI 계층 각각에 숨어있는 데이터에 대한 기본 원칙을 확립한다.상위 네트워크 계층에서 (탐지하기 쉬운) 프로토콜 헤더들의 예약된 필드 사용을 제안하는 것 외에, 그들은 물리적 계층에서 CSMA/CD 조작과 관련된 타이밍 채널의 가능성도 제안한다.null

그들의 작업은 다음과 같은 비밀 채널의 장점을 식별한다.

탐지 가능성:비밀 채널은 의도된 수신자만 측정할 수 있어야 한다.
구별할 수 없음:은밀한 채널은 식별이 부족해야 한다.
대역폭: 채널 사용당 데이터 숨기기 비트 수입니다.

이들의 은밀한 채널 분석은 이러한 데이터 은닉 기법의 상호운용성, 다른 네트워크 노드와의 은닉성, 은닉 채널 용량 추정, 복잡성 및 호환성 측면에서 네트워크에 은닉되는 데이터의 영향과 같은 문제를 고려하지 않는다.더욱이 기능 시스템에는 OSI 모델이 존재하지 않기 때문에 기법의 일반성은 실제로 완전히 정당화될 수 없다.null

은밀한 채널에 의한 LAN 환경에서의 데이터 숨기기

Girling은 먼저 네트워크 환경에서 은밀한 채널을 분석한다.그의 작업은 3개의 명백한 은밀한 채널(스토리지 채널 2개와 타이밍 채널 1개)이 식별되는 LAN(Local Area Network)에 초점을 맞추고 있다.이것은 LAN의 단순한 비밀 채널에 대한 대역폭 가능성의 실제 예를 보여준다.특정 LAN 환경에 대해 저자는 LAN에서 특정 송신기의 활동을 감시하는 도청기 개념을 도입했다.은밀하게 의사소통하는 당사자들은 송신기와 도청기들이다.Girling에 따른 비밀 정보는 다음과 같은 명확한 방법을 통해 전달될 수 있다.

송신기가 접근한 주소를 관찰함.발신자가 접근할 수 있는 주소의 총 수가 16개일 경우, 비밀 메시지를 위한 4비트를 가진 비밀 통신의 가능성이 있다.저자는 이 가능성을 보내는 것(즉, 발신인이 접근하는 주소)에 따라 달라지기 때문에 은밀한 저장 채널이라고 표현했다.
같은 방법으로, 다른 명백한 저장 비밀 채널은 송신자가 보낸 프레임의 크기에 따라 달라진다.256개의 가능한 크기의 경우, 프레임의 한 크기에서 해독된 비밀 정보의 양은 8비트가 될 것이다.이 시나리오는 다시 비밀 저장 채널이라고 불렸다.
제시된 세 번째 시나리오는 메시지의 유무를 사용한다.예를 들어, 홀수 메시지 시간 간격의 경우 "0"이고 짝수 메시지 간격의 경우 "1"이다.

시나리오는 따라서 타이밍 커버트 채널이라고 불리는 "즉시 전송" 전략을 통해 비밀 정보를 전송한다.데이터 블록 전송 시간은 소프트웨어 처리 시간, 네트워크 속도, 네트워크 블록 크기 및 프로토콜 오버헤드의 함수로 계산된다.다양한 크기의 블록이 LAN에서 전송된다고 가정하면 평균적으로 소프트웨어 오버헤드를 계산하고 새로운 시간 평가를 사용하여 비밀 채널의 대역폭(용량)을 추정하는 것도 사용된다.그 작품은 향후 연구를 위한 길을 닦는다.null

비밀 채널별 TCP/IP 프로토콜 제품군에서 데이터 숨기기

Craig Rowland에서 발행하는 기사는 TCP/IP Protocol Suite의 IP와 TCP 헤더를 중심으로 IP 식별 필드, TCP 초기 시퀀스 번호, 순서 번호 필드를 확인하여 적절한 인코딩 및 디코딩 기법을 개발한다.^[7]이러한 기법은 버전 2.0 커널을 실행하는 리눅스 시스템을 위해 작성된 단순한 유틸리티로 구현된다.null

Rowland는 개념 증명뿐만 아니라 TCP/IP 프로토콜 세트를 사용한 은밀한 채널의 착취를 위한 실용적인 인코딩 및 디코딩 기법도 제공한다.이러한 기법은 방화벽 네트워크 주소 변환과 같은 보안 메커니즘을 고려하여 분석한다.null

그러나 이러한 은밀한 통신기술의 비탐지성은 의문이다.예를 들어, TCP 헤더의 시퀀스 번호 필드가 조작되는 경우, 동일한 알파벳이 은밀히 전달될 때마다 동일한 시퀀스 번호로 인코딩되도록 인코딩 방식을 채택한다.null

더욱이, 두 필드 모두 특정 네트워크 패킷에 관련된 데이터 바이트의 수신을 고려하기 때문에, 순서 번호 필드와 승인 필드의 사용은 제안된 대로 영어 알파벳의 ASCII 코딩에 특정할 수 없다.null

Rowland 이후, 학계의 몇몇 저자들은 TCP/IP 프로토콜 스위트의 비밀 채널에 관한 더 많은 연구를 발표했는데, 여기에는 통계적 접근법에서부터 기계 학습에 이르는 광범위한 대응책이 포함된다.^[8]^[9]^[10]^[11]네트워크 비밀 채널에 대한 연구는 나중에 등장한 네트워크 스테가노그래피 영역과 중복된다.null

참고 항목

컴퓨터 및 네트워크 보안 감시
측면 채널 공격 – 컴퓨터 시스템 구현으로 얻은 정보에 기초한 모든 공격
Steganography – 다른 메시지에 메시지 숨기기
승화 채널

참조

^ Lampson, B.W., A Note on the Remblement problem.ACM의 통신, 1973.16(10):p.613-615.[1]
^ ^a ^b 컴퓨터 보안 기술 계획 연구(James P)앤더슨, 1972년)
^ NCSC-TG-030, 신뢰할 수 있는 시스템의 비밀 채널 분석(Light Pink Book), 1993년 미국 국방부(DoD) 레인보우 시리즈 간행물
^ 5200.28-STD, 신뢰할 수 있는 컴퓨터 시스템 평가 기준(오렌지 북), 1985년 DoD 레인보우 시리즈 출판물의 웨이백 기계에 2006-10-02 보관.
^ GIRLING, GRAY (February 1987). "Covert Channels in LAN's". IEEE Transactions on Software Engineering. SE-13 (2): 292–296. doi:10.1109/tse.1987.233153. S2CID 3042941. ProQuest 195596753.
^ OSI 네트워크 모델에서 데이터 숨기기 웨이백 머신(Wayback Machine), 테오도르 G. 헨델 및 맥스웰 T. 샌드포드 II(2005)에 2014-10-18 보관
^ TCP/IP Protocol Suite의 Covert Channels Wayback Machine, 1996년 Craig Rowland에 의한 Paper by TCP/IP 프로토콜의 비밀 채널에 개념 증명 코드를 보관했다.
^ Zander, S.; Armitage, G.; Branch, P. (2007). "A survey of covert channels and countermeasures in computer network protocols". IEEE Communications Surveys and Tutorials. IEEE. 9 (3): 44–57. doi:10.1109/comst.2007.4317620. hdl:1959.3/40808. ISSN 1553-877X. S2CID 15247126.
^ Information hiding in communication networks : fundamentals, mechanisms, applications, and countermeasures. Mazurczyk, Wojciech., Wendzel, Steffen., Zander, Sebastian., Houmansadr, Amir., Szczypiorski, Krzysztof. Hoboken, N.J.: Wiley. 2016. ISBN 9781118861691. OCLC 940438314.{{cite book}}: CS1 maint : 기타(링크)
^ Wendzel, Steffen; Zander, Sebastian; Fechner, Bernhard; Herdin, Christian (April 2015). "Pattern-Based Survey and Categorization of Network Covert Channel Techniques". ACM Computing Surveys. 47 (3): 50:1–50:26. arXiv:1406.2901. doi:10.1145/2684195. ISSN 0360-0300. S2CID 14654993.
^ Cabuk, Serdar; Brodley, Carla E.; Shields, Clay (April 2009). "IP Covert Channel Detection". ACM Transactions on Information and System Security. 12 (4): 22:1–22:29. CiteSeerX 10.1.1.320.8776. doi:10.1145/1513601.1513604. ISSN 1094-9224. S2CID 2462010.

추가 읽기

Timing Channels Multics의 타이밍 채널에 대한 초기 공격.
Covert 채널 툴은 IPv6, 보안에서 데이터를 숨긴다.2006년 8월 11일 집중.
Raggo, Michael; Hosmer, Chet (2012). Data Hiding: Exposing Concealed Data in Multimedia, Operating Systems, Mobile Devices and Network Protocols. Syngress Publishing. ISBN 978-1597497435.
Lakshmanan, Ravie (2020-05-04). "New Malware Jumps Air-Gapped Devices by Turning Power-Supplies into Speakers".
비밀 채널의 공개 온라인 클래스(GitHub)

외부 링크

그레이 월드 - 오픈 소스 연구팀 : 도구 및 논문
Steath Network Operation Center - Covert 통신 지원 시스템

[1] Lampson, B.W., A Note on the Remblement problem.ACM의 통신, 1973.16(10):p.613-615.[1]

[anderson72-2] 컴퓨터 보안 기술 계획 연구(James P)앤더슨, 1972년)

[3] NCSC-TG-030, 신뢰할 수 있는 시스템의 비밀 채널 분석(Light Pink Book), 1993년 미국 국방부(DoD) 레인보우 시리즈 간행물

[4] 5200.28-STD, 신뢰할 수 있는 컴퓨터 시스템 평가 기준(오렌지 북), 1985년 DoD 레인보우 시리즈 출판물의 웨이백 기계에 2006-10-02 보관.

[5] GIRLING, GRAY (February 1987). "Covert Channels in LAN's". IEEE Transactions on Software Engineering. SE-13 (2): 292–296. doi:10.1109/tse.1987.233153. S2CID 3042941. ProQuest 195596753.

[handelSandford-6] OSI 네트워크 모델에서 데이터 숨기기 웨이백 머신(Wayback Machine), 테오도르 G. 헨델 및 맥스웰 T. 샌드포드 II(2005)에 2014-10-18 보관

[rowland-7] TCP/IP Protocol Suite의 Covert Channels Wayback Machine, 1996년 Craig Rowland에 의한 Paper by TCP/IP 프로토콜의 비밀 채널에 개념 증명 코드를 보관했다.

[8] Zander, S.; Armitage, G.; Branch, P. (2007). "A survey of covert channels and countermeasures in computer network protocols". IEEE Communications Surveys and Tutorials. IEEE. 9 (3): 44–57. doi:10.1109/comst.2007.4317620. hdl:1959.3/40808. ISSN 1553-877X. S2CID 15247126.

[9] Information hiding in communication networks : fundamentals, mechanisms, applications, and countermeasures. Mazurczyk, Wojciech., Wendzel, Steffen., Zander, Sebastian., Houmansadr, Amir., Szczypiorski, Krzysztof. Hoboken, N.J.: Wiley. 2016. ISBN 9781118861691. OCLC 940438314.{{cite book}}: CS1 maint : 기타(링크)

[10] Wendzel, Steffen; Zander, Sebastian; Fechner, Bernhard; Herdin, Christian (April 2015). "Pattern-Based Survey and Categorization of Network Covert Channel Techniques". ACM Computing Surveys. 47 (3): 50:1–50:26. arXiv:1406.2901. doi:10.1145/2684195. ISSN 0360-0300. S2CID 14654993.

[11] Cabuk, Serdar; Brodley, Carla E.; Shields, Clay (April 2009). "IP Covert Channel Detection". ACM Transactions on Information and System Security. 12 (4): 22:1–22:29. CiteSeerX 10.1.1.320.8776. doi:10.1145/1513601.1513604. ISSN 1094-9224. S2CID 2462010.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

Search