مقاله کانال های مخفی : مرور چهار دهه پژوهش برای مقاوم سازی

بخشی از مقاله

چکیده

هر چه شگردهای حفاظتی سامانههای رایانهای تقویت میشود، نفوذگران شگردهای دور زدن آنها را ابداعمی کنند. عموما توسعه دهندگان سامانههای امنیتی تلاش خود را بر رفع نواقص فنی و وسیع شدن نظام حفاظتی معطوف میکنند و کمتر توجه دارندکه ممکن است یک رویه پردازشی یا کنترلی، خارج از استفاده معمولی، تبدیل به یک تهدید امنیتی شود .

کانال های مخفی به طیف عظیمی از شگردهای دورزدن نظامهای حفاظتی گفته میشود که وجه مشترک آنها پرهیز از حساسزایی ناظر بیرونی است . هرچند ردپای کانالهای مخفی را میتوان در پژوهشهای چهار دهه قبل هم مشاهده کرد، لیکن توسعهی شبکههای رایانه ای، در دسترس قرارگرفتن خدمات رایانهای در اندازهی دستگاههای سیار مانند گوشیهای تلفن همراه و رشد فزایندهی بهرهبرداری از سامانههای رایانهای درون تجهیزات غیررایانهای نظیر مهندسی پزشکی و خودروسازی موجب شده است دغدغههای امنیتی ناشی از کانالهای مخفی بیش از پیش حساس شوند.

در این مقاله تلاش کردهایم مروری جامع درخصوص تعریف گونههای متنوع کانالهای مخفی و شگردهای مورد استفاده در آنها ارائه دهیم. هر یک از پژوهشهایی که در این مقاله مورد مطالعه قرار گرفتهاند از یک منظر خاص به کانالهای مخفی پرداختهاند و آنها را در یک مجموعه کنار هم قرار دادهایم. همچنین به شگردهای مقابلهای که تاکنون توصیه شدهاند پرداختهایم.

-1مقدمه

در طراحی یک سیستم امن، ابتدا قواعد امنیتی آن مشخص میشود. یکی از شیوههای دور زدن بندهای امنیتی، کانالهای مخفی1F0 استجایی. که دو فرآیند با استفادهی غیر معمول از منابع مشترک بگونهای با یکدیگر ارتباط برقرار کنند تا از نظر ناظر بیرونی قواعد امنیتی نقض نشده باشد . این کار می-تواند باعث درز کردن اطلاعات حساس به بیرون از سامانههای رایانهایشود

پنهان کردن اطلاعات2F1 تنها رمز کردن3F2 آن نیست بلکه انتقال پیاممی - بایست به گونهای انجام شود که موجب حساس شدن ناظر بیرونی نشود. بنابراین امنیت ارتباطات4F3 نیز میبایست در پنهان کردن اطلاعات در نظر گرفته شود

درخواست صفحهای روی وب که وجود ندارد، به نظر نقض امنیتی نیست و موجب حساس شدن ناظر بیرونی نمیشود. اما اگر بر پایه ی یک توافق با کارگزار وب، این ﺩﺭﺧﻮﺍﺳﺖها مطابق یک الگوی فرکانسی خاصی تکرار شود آنگاه یک کانال مخفی ﺍﻳﺠﺎﺩ شده است.

اسرار دولتی و نظامی، اطلاعات شرکتها یا اسرار تجاری میتواند از طریق ایجاد یک کانال مخفی ارتباطی به بیرون درز پیدا کند. احزاب با تمایلات مخرب میتوانند اطلاعات را بدون رد گیری شدن توسط افراد یا سازمانهای امنیتی مبادله کنند .[3] همچنین فاش شدن اطلاعات محرمانه مانند رمز عبور از طریق کانال مخفی از جمله تهدیدات جدی برای کاربران عادی اینترنت است

امروزه بکارگیری سامانههای رایانهای درون دیگر تجهیزات بسیار معمول شده است درحالیکه تهدیدهای امنیتی بسیار بالایی برای این دستگاههای مدرن گزارش شده است. در یک خودروی جدید تقریبا اکثر بخشهای آن توسط رایانهها کنترل میشوند. کانالهای مخفی موجود در آنها به حمله کنندگان اجازه کنترل کامل خودرو را میدهند . به ﻋﻨﻮﺍﻥ مثال نشان داده شده است که به سهولت میتوان از راه دور خودرو را به حرکت درآورد و یا سامانه ترمز آن را از کار انداخت .[5] مشابها نشان داده شده است که کانالهای مخفی کشف شده در تجهیزات پزشکی نظیر قلب مصنوعی به حمله کنندگان این امکان را میدهد تا ضربان قلب شخص را کنترل کنند

مخفی ماندن کانال مخفی از نظر ناظر بیرونی یک نگرانی بسیار جدی امنیتی است. بنابراین تشخیص5F4، مختل کردن و حذف آنها از اهمیت خاصی برخوردار است .[3] با اینکه تحقیقات اولیه روی مختل کردن و یا حذف کردن این کانالها متمرکز بود، تحقیقات جدید به سمت شناسایی6F5 کانالهای مخفی میرود .[7] بنابراین تشخیص کانالهای مخفی به عنوان یک امر چالش برانگیز در جامعهی امنیت مطرح است

در این مقاله به بررسی انواع مختلف کانالهای مخفی، تعاریف مختلف آن و روشهای مقابله با آنها میپردازیم. ابتدا در بخش دوم به معرفی انواع کانالهای مخفی و همچنین تعریف دقیق آن بر اساس مقالات نوشته شده در این زمینه ﻣﻲﭘﺮﺩﺍﺯﻳﻢ. سپس در بخش سوم انواع راههای مقابله انجام شده در برابر کانالهای مخفی را مورد بررسی قرار میدهیم.

-2کانالهای مخفی

فرض کنید در یک سیستم دو فرآیند داریم که یکی دارای سطح امنیتی بالا و دیگری دارای سطح امنیتی پایین است. فرآیند سطح بالا اجازهی نوشتن روی فرآیند سطح پایین را ندارد . همچنین فرآیند سطح پایین نیز اجازهی خواندن از فرآیند سطح بالای امنیتی را ندارد. شرایط امنیتی به گونهای است که جریان اطلاعاتی از فرآیند سطح بالا به فرآیند سطح پایینتر قانونی نیست. به هر گونه جریان اطلاعاتی که باعث شود اطلاعات از فرآیند سطح بالا به فرآیند سطح امنیتی پایین انتقال پیدا کند کانال مخفی گویند

با توجه به شرایط امنیتی مختلف و همچنین گوناگونی بسترهای موجود برای این کار، تعاریف مختلفی برای کانالهای مخفی ارائه شده است که در بخش 1-2 آورده شده-اند.

-1-2 تعریف کانالهای مخفی

کانال مخفی اولین بار به عنوان شگردی جهت تبادل داده که در اساس برای انتقال اطلاعات طراحی نشده است، معرفی شد.چند سال ﺑﻌﺪ، تبادل داده با استفاده از یک موجودیت که در حالت معمول برای انتقال اطلاعات به کار نمیرود، به عنوان کانال مخفی بیان شد.

در یک جمع بندی تازه، [11]، کانال مخفی را کانالی مغایر سیاستهای امنیتی یک سامانه - مثل سیاست کنترل دسترسی - 7F6 تعریف کردهاند که صرفنظر از نوع سامانه سعی در دور زدن سیاست امنیتی آن دارد. این تعریف وجه مشترک چندین تعریف گذشته است:

• کانال مخفی حاصلِ سیاست گذاری نادرست تخصیص منابع است

•    کانال مخفی حاصلِ استفاده از یک فرآیند به ظاهر معتبر برای انتقال اطلاعات است به گونه ای که ناقض سیاستهای امنیتی باشد

•    کانال مخفی عبارت است از هرگونه انتقال اطلاعات بر خلاف سیاست - های امنیتی شبکه 

•    هر کانال ارتباطی که مغایر هدف و تدبیر طراح سامانه باشد را کانال مخفی نامیدهاند

این تنوع در تعریف ناشی از برخورد با شگردهای مختلفی است که نفوذگران جهت مخفی شدن استفاده نمودهاند. در بخش بعدی ضمن دسته بندی کانالهای مخفی، مرور میکنیم شگردهای متنوعی که جهت پیاده سازی کانالهای مخفی استفاده میشود.

-2-2دسته بندی کانالهای مخفی

از قدیمیترین دسته بندیها میتوان به کانالهای مخفی ذخیره سازی8F7 و کانالهای مخفی زمانی9F8 اشاره کرد. در کانال مخفی ذخیره سازی یک فرآیند وظیفهی نوشتن اطلاعات در یک مکان قابل ذخیره سازی به صورت مستقیم و یا غیرمستقیم را دارد و فرآیند دیگرمی تواند همان مکان را به صورت مستقیم و یا غیرمستقیم بخواند .[13] صرف نظر از اینکه مکان ذخیره سازی کدامیک از انواع حافظه باشد، اساس کانالهای مخفی ذخیره سازی بر استفاده از منابع اطلاعاتی مشترک است.

در حالیکه در کانالهای مخفی زمانی، تبادل اطلاعات با استفاده از منابع زمانی مشترک انجام میشود .[13] از ویژگی مهم کانال مخفی زمانی میتوان به نداشتن حافظه اشاره کرد. این ویژگی باعث میشود در صورت دریافت نکردن اطلاعات توسط فرآیند گیرنده، اطلاعات از بین برود .[15] حالت ترکیبی مخفی سازی از نوع ذخیره سازی و زمانی نیز پیش بینی شده است که در آن اطلاعات مورد نظر را باید از ترکیب دادههای هر دو بخش به دست آورد

کانالهای مخفی را به دو نوع مبتنی بر مقدار10 و مبتنی بر تغییر 11 نیز دسته بندی کردهاند .[16] در نوع اول خود اطلاعات در یک متغیر قرار می - گیرد و ارسال میشود اما در نوع دوم، گیرنده بر اساس تغییرات رصد شده در مقدار یک متغیر اطلاعات را برداشت میکند.

کانالهای مخفی بسته به اینکه در تبادل اطلاعات نقش ﺍﺻﻠﻲ ﺭﺍ دارند یا نقش کمکی به دو دسته فعال12F11 و غیرفعال13F12 نیز تقسیم شدهاند . کانالهای فعال در فاش کردن اطلاعات دخالت مستقیم دارند در ﺻﻮﺭﺗﻴﻜﻪ در کانالهای غیرفعال، گیرنده ﺍﺯ اطلاعات موجود در کانال بصورت کمکی استفاده میکند. مانند فعال کردن فرآیند حدس زدن رمز عبور در زمانی که الگوریتم چک کردن رمز عبور اجرا میشود و زمان تشخیص از طریق یک کانال مخفی ب ه دست آمده است.

همانطور که گفته شد کانالهای مخفی از منابع مشترک برای ارسال اطلاعات استفاده میکنند. بر همین اساس نیز کانال مخفی را میتوان بر به سه دستهی شبکهای، سیستم عامل و سخت افزار تقسیم کرد 

شبیه این تقسیم بندی در [11] بر اساس مانیتور مرجع14F13 انجام شده است. فرآیندیکه وظیفهی کنترل و اجرای سیاستهای امنیتی را دارد مانیتور مرجع نامیده شده که اولین بار در [18] معرفی شد . مانیتور مرجع میتواند روی یک سیستم عامل، روی شبکه و همچنین به صورت فیزیکی-منزوی15F14 باشد. و بر پایه ی همین معیار، کانالهای مخفی را به سه دستهی مبتنی بر میزبان16F15، مبتنی بر شبکه17F16 و فیزیکی-منزوی تقسیم میکنند.

دسته سوم که اولین بار در [11] معرفی و به تفصیل بحث شده است خود دسته بندی جداگانهای دارد. برای مثال بلندگوها و پردازندهها در کانالهای شنوایی18F17، دیود ساطع نور19F18 و نمایشگرها در کانالهای مبتنی بر نور20F19، پردازندهها در کانالهای حرارتی21F20 و دستگاههای ارتعاش در کانالهای لرزهای22F21 از جملهی این کانالهای مخفی هستند. به عنوان نمونه، پژوهشهای جدید نشان داده است که چگونه ارتعاش حاصل از عکس العمل کلیدهای صفحههای لمسی میتواند از طریق شتاب سنج دستگاههای سیار رصد شده و با بهره گیری از یک سامانه هوشمند قابل یادگیری منجر به کشف کلیه عبارتهای تایپ شده کاربر شود

هرگاه کانال مخفی شناسایی شود آنگاه میبایست در طراحی و ساخت مانیتور مرجع اصلاحاتی انجام داد. بر همین اساس نیز ﻛﺎﻧﺎﻝﻫﺎﻱ مخفیبه سه دستهی مهاجم23F22، نیمه مهاجم24F23 و غیر مهاجم25F24 تقسیمشدهاند . دسته ی مهاجم نیاز به تغییر سخت افزاری مانیتور مرجع دارد، نیمه مهاجم تغییر نرم افزاری مانیتور مرجع را لازم میکند و دستهی غیر مهاجم بدون نیاز به تغییر نرم افزاری و یا سخت افزاری مانیتور مرجع قابل رفع هستند

در هر کانال مخفی لازم است که در یک طرف فرستنده و در طرف دیگر گیرندهای باشد. بسته به اینکه فرستنده چگونه در حمله شرکت داده می-شود، کانالهای مخفی را به دو دسته ی حملهی اشتراکی2625F و یا دخالتی27F26 تقسیم بندی میکنند . در مدل حمله ی دخالتی حمله کننده اطلاعات را از طریق فرستنده برای گیرنده ارسال میکند. اما ممکن است حالتی پیش بیاید که خود حمله ﻛﻨﻨﺪﻩ مستقیما و بدون دخالت فرستنده اطلاعات را با گیر نده تبادل کند که به آن مدل حملهی اشتراکی گویند

در بعضی کانالهای مخفی، اطلاعات از طریق یک پوشش مخفی28F27به همراه اطلاعات بدون ضرر انتقال مییابند. بر این اساس در یک دسته بندی دیگر، کانالهای مخفی را به دو دستهی با استفاده از پوشش مخفی29F28 و بدون استفاده از پوشش مخفی30F29 تقسیم میکنند. تفاوت این دو دسته در ایننکته نهفته است که برای استفاده از پوشش مخفی نیاز به یک کلید تصادفی در پوشش مخفی داریم. بنابراین دستهی دیگر یا از پوشش مخفی استفاده نمی - کند یا اینکه از یک پوشش مخفی با کلید قطعی و نه تصادفی استفاده می - کند.

ارتباط فرستنده و گیرنده در کانال مخفی میتواند یک طرفه و یا دو طرفه باشد .[13 ,11] در یک دسته بندی دیگر این کانالها را به دو دستهی کانالهای مخفی با نویز و بدون نویز تقسیم میکند .[11] ویژگی دیگری که میتواند در تقسیم بندی کانالهای مخفی به کار رود، قابلیت تشخیص کانال مخفی است. بر این اساس کانالهای مخفی به سه دسته ی قابل تشخیص31F30، غیرقابل تشخیص32F31 و غیر قابل تشخیص ﺑﺼﻮﺭﺕ امن33F32 تقسیم میشوند

همانطور که در این مرور مختصر مشاهده شد معیارهای زیادی برای دسته بندی کانالهای مخفی وجود دارند. این معیارها هر کدام از یک نقطه نظر یا خصیصهی کانال مخفی مطرح شدهاند . به همین ﺩﻟﻴﻞ ممکن است یک کانال مخفی در چند تا از این تقسیم بندیها قرار گیرد. همچنین مشاهده شد که تنوع زیادی در شگردهای مختلف مورد استفاده در ﻛﺎﻧﺎﻝﻫﺎﻱ مخفی وجود دارد و لذا شناسایی و برخورد با آنها از پیچیدگی بالایی برخوردار است. در بخش بعد راهکارهای برخورد با آنها را مرور میکنیم.

-3مقابله با کانالهای مخفی

برخورد با کانالهای مخفی میتواند با دو رویکرد کلی صورت گیرد: پیش بینی در طراحی و یا کشف بعد از بهره برداری غیر مجاز. در رویکرد پیش بینی شده، در هنگام طراحی سامانه سعی میشود از بروز کانال مخفی جلوگیری شود و یا به گونه ای کانالهای احتمالی را محدود کرد که قابلیت بهره برداری نداشته باشند . طراحی در این شیوه در دو مرحله انجام میگیرد. ابتدا تلاش میشود یک بهره برداری مخفی که میتواند اهرم و پایهی کانال مخفی قرار گیرد، شناسایی شود. سپس روشی برای برقراری ارتباط درون کانال ایجاد میشود تا هرگونه بهره برداری به عنوان کانال مخفی بصورت خودکار شناسایی شود 

در رویکرد دوم رفتار کانال مخفی تحلیل میشود. این تحلیل شامل سه مرحله است : شناسایی جریان اطلاعاتی غیرقانونی و مشخص کردن بیشینه ی پهنای باند، رسیدگی به کانال مخفی بر اساس پهنای باند به شیوهای سازگار و در نهایت نشان دادن شواهدی برای اثبات این که کانال مخفی ب ه درستی بررسی شد

نفوذگرانِ طراح کانالهای مخفی دو رویکرد در پیش دارند: مبنا را بر این بگذارند که سیستم برای تشخیص کانال مخفی طراحی و یا به روز رسانی نشده است و یا فرض را بر این بگذارند که سامانه در مقابل مخفی سازی مقاوم سازی شده است. کانالهای مخفیای که به روش اول ساخته میشوند را کانالهای مخفی قابل تشخیص و به کانالهای مخفیای که با رویکرد دوم ساخته شوند کانالهای مخفی غیرقابل تشخیص میگویند

در مقابل کانالهای مخفی اقدامات متعددی میتوان انجام داد:حذف کانال مخفی، محدود کردن پهنای باند کانال، تشخیص، بررس ی و یا ثبت کانال. اگر نتوان یک کانال مخفی را از بین برد، گزینهی بعدی کاهش ظرفیت آن است تا مانع استفادهی مفید از کانال مخفی شود