Статус документа
Статус документа

ГОСТ Р 53113.2-2009 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов

     5 Механизм функционирования скрытого канала

5.1 СК используются для систематического взаимодействия вредоносных программ (компьютерных вирусов) с нарушителем безопасности при организации атаки на АС, которая не обнаруживается средствами контроля и защиты.

Опасность СК основана на предположении постоянного доступа нарушителя безопасности к информационным ресурсам организации и воздействии через эти каналы на информационную систему для нанесения максимального ущерба организации.

5.2 Общая схема механизма функционирования СК в АС представлена на рисунке 1.

     

1 - нарушитель безопасности (злоумышленник), целью которого является НСД к информации ограниченного доступа либо несанкционированное влияние на АС; 2 - информация ограниченного доступа либо критически важная функция; 3 - субъект, имеющий санкционированный доступ к 2 и 5; 3' - агент нарушителя безопасности, находящийся в замкнутом контуре с 2 и взаимодействующий с 2 от имени субъекта 3; 4 - инспектор (программное, программно-аппаратное, аппаратное средство или лицо), контролирующий(ее) информационное взаимодействие 3, пересекающее замкнутый контур, отделяющий объект информатизации от внешней среды; 5 - субъект, находящийся вне замкнутого контура, с которым 3 осуществляет санкционированное информационное взаимодействие

     
Рисунок 1 - Общая схема механизма функционирования СК в АС

5.3 Взаимодействие между субъектами 3 и 5 является санкционированным и необходимым для правильной работы АС. Задача агента 3' заключается в том, чтобы обеспечить регулярное интерактивное взаимодействие между агентом и злоумышленником. Агент должен передать информацию ограниченного доступа 2 злоумышленнику 1 либо по команде злоумышленника 1 оказать воздействие на критически важную функцию 2. Скрытность канала взаимодействия между злоумышленником 1 и агентом 3' заключается в том, что субъект 3, инспектор 4 и субъект 5 не обнаруживают факт передачи информации или команды.

СК позволяют злоумышленнику регулярно интерактивно осуществлять взаимодействие со своим агентом, внедренным в АС.

5.4 В АС взаимодействие между агентом 3 и субъектом 5 может быть как сетевым, так и происходить внутри одной АС (см. 5.6).

5.5 Классификация СК по различным признакам приведена в ГОСТ Р 53113.1.

5.6 Примеры СК, поясняющие механизм их функционирования, представлены ниже.

Пример 1 - Нарушитель безопасности (злоумышленник), сотрудничающий с конкурирующей организацией, в процессе внедрения (ввода в эксплуатацию) установил в АБС программного агента. Взаимодействуя с АБС в качестве клиента этого банка, злоумышленник передает программному агенту команды, закодированные в последовательностях его действий, каждое из которых не вызывает подозрений (проверка состояния счета, управление счетом, временные интервалы между операциями и др.). В ответ на команды, полученные по СК, агент по тем же СК возвращает злоумышленнику интересующие конкурента сведения об атакуемом банке (информацию о счетах других клиентов, объемах активов банков, любую другую инсайдерскую информацию, к которой агент имеет доступ) либо вносит изменения в базу данных о счетах клиентов или любую другую информацию, к которой он имеет доступ. Выявление существования такого агента может произойти только по косвенным признакам, которые могут возникнуть в результате появления изменений в базах данных. Скрытая утечка информации из базы данных, происходящая по такому СК, будет оставаться незамеченной. В этом случае в соответствии со схемой на рисунке 1:3' - программный агент, 3 - АБС, 2 - база данных, 4 - служба безопасности банка, 1 - злоумышленник, действующий в интересах конкурента, 5 - клиент банка.

     Пример 2 - Злоумышленник, имеющий целью получение служебной информации с компьютера сотрудника, может действовать по следующему сценарию. Пусть ПК, защищенный межсетевым экраном, заражен троянской программой. Троянская программа получает от злоумышленника команды и отправляет в ответ на них информацию о зараженном ПК и хранящуюся на нем информацию ограниченного доступа, маскируя обмен как протокол HTTP, разрешенный межсетевым экраном. В этом случае в соответствии со схемой на рисунке 1:3' - троянская программа, 3 - программа, имеющая санкционированный доступ в Интернет, 2 - документ ограниченного распространения, 4 - межсетевой экран, 5 - узел сети Интернет, 1 - промежуточный узел сети, контролируемый злоумышленником.

     Пример 3 - При использовании VPN также возможно построение СК взаимодействия агента со злоумышленником. Пусть пользователь использует свое рабочее место в качестве терминала удаленного доступа к серверу АС, т.е. информация о каждом нажатии клавиши отправляется терминалом на сервер. Злоумышленник установил на рабочее место пользователя атакуемой АС клавиатуру, содержащую агента. Агент перехватывает нажатия клавиш, а затем передает их по СК по времени, задерживая срабатывание некоторых клавиш по схеме, известной злоумышленнику. Злоумышленник, наблюдая поток пакетов между терминалом и сервером, выделяет из него информацию, передаваемую агентом по СК. Выделение скрытой информации возможно даже в случае использования криптографически защищенного канала между терминалом и сервером, так как для работы СК важно не содержимое пакетов, которыми терминал и сервер обмениваются друг с другом, а длительность временных интервалов между соседними пакетами.

     В данном случае в соответствии со схемой на рисунке 1:3' - аппаратный агент, 3 - клавиатура, 2 - информация, вводимая с клавиатуры (например, пароль), 4 - любые средства обеспечения безопасности АС, не обнаруживающие закономерностей в потоках сетевых пакетов; 5 - терминальный сервер, 1 - злоумышленник.

     Пример 4 - Генерация искусственных сбоев и ограничений на доступность может проводиться по СК. Например, агент, внедренный в один из ключевых компонентов АС, ожидает получения от злоумышленника некоторого условного сигнала. Получив этот сигнал, агент нарушает работу компонента АС, в которой он расположен. В результате происходит временная потеря работоспособности АС или ослабление ее защиты (если агент внедрен в средство обеспечения ИБ). Например, условным сигналом для активизации агента в общедоступном сетевом ресурсе может являться попытка аутентификации с некоторым фиксированным именем пользователя и паролем. Система разграничения доступа к сетевому ресурсу 4 не обнаружит данную атаку, поскольку попытка аутентификации является разрешенным действием. В данном случае в соответствии со схемой на рисунке 1:2 - критически важная функция, выполняемая компонентом АС (3), в который встроен агент 3'; 1 - злоумышленник, подающий агенту условный сигнал, который, с точки зрения 4, не является опасным, и поэтому не блокируется, 5 - АС.

     Пример 5 - В соответствии со схемой на рисунке 1: операционная система 4 обеспечивает изоляцию программы 3, которая имеет доступ к конфиденциальной информации 2, от программы 1, выполняющейся в этой же операционной системе, но не имеющей такого доступа. Для передачи 1 информации ограниченного доступа агент нарушителя 3' организует СК по времени, производя фиктивные обращения к ресурсу 5, например, жесткому диску. Агент модулирует частоту обращений содержимым информации ограниченного доступа, которую ему необходимо передать. Программа 1, наблюдая за общесистемной нагрузкой на этот же ресурс, обнаруживает интенсивность воздействия на этот ресурс со стороны агента и может извлечь передаваемую агентом информацию из характера изменения этой интенсивности.