مقدمة

محاولات إخفاء حقيقة نقل المعلومات لها تاريخ طويل. تسمى طرق إخفاء حقيقة نقل المعلومات إخفاء المعلومات. تاريخيًا، تم استخدام الحبر "غير المرئي" ونقاط الصور وما إلى ذلك في إخفاء المعلومات. وقد حصل هذا الاتجاه على حياة ثانية في عصرنا بسبب استخدام شائعشبكات البيانات. لتسليط الضوء على تقنيات إخفاء المعلومات المرتبطة بها التقديم الإلكترونيالبيانات، ظهر هذا المصطلح إخفاء المعلومات بالكمبيوتر. ومع ذلك، في عمل شناير، كانت طرق إخفاء المعلومات للإرسال عبر قنوات الاتصال تسمى القنوات السرية (قنوات مموهة). ومع هذا ظهر مصطلح "القناة السرية". تم تقديم مفهوم القناة السرية لأول مرة بواسطة لامبسون في عام 1973. تسمى القناة مخفية إذا لم تكن مصممة أو مخصصة لنقل المعلومات في نظام معالجة البيانات الإلكترونية. وبالتالي، فإن مصطلح القنوات السرية يشير أكثر إلى الاتصالات داخل الكمبيوتر. يقدم عمل تساي التعريف التالي للقناة السرية. إذا تم إعطاؤنا نموذجًا لسياسة أمنية غير تقديرية M وتنفيذها I(M) في نظام التشغيل، فإن أي اتصال محتمل بين موضوعين I(Sh) وI(Si) في I(M) يسمى قناة سرية إذا كان هذا الاتصال بين الموضوعين Sh و Si غير مسموح به في النموذج M.
نظرًا لأن جميع المصطلحات المذكورة أعلاه تتعلق بـ انتقال سريتختلف المعلومات في الفروق الدقيقة في التطبيقات، وسوف نقوم، دون فقدان العمومية، بتسمية طرق النقل السري لقنوات المعلومات السرية. سوف نعود إلى الشروط الأصلية في تلك حالات خاصة، عندما يكون اختيار القنوات المقابلة مستمدًا من السياق.

تدفق المعلومات

يمكن العثور على أبسط طريقة لتحديد تدفق المعلومات في TCSEC (الكتاب البرتقالي، 1985). إذا كان الموضوع S لديه حق الوصول للقراءة إلى كائن O، فإن تدفق المعلومات ينتقل من O إلى S. إذا كان لدى S حق الوصول للكتابة إلى O، فسيتم توجيه تدفق المعلومات من S إلى O. الإغلاق المتعدي لسلاسل الوصول (حتى بدون وقت) ) هو تدفق معلومات معقد.

مثال 1
على سبيل المثال، تمت كتابة المستند D إلى الملف O بواسطة المستخدم U1، وقام المستخدم U2 بقراءة المستند D في الملف O. وبالتالي، تم تمرير المعلومات الموجودة في المستند D من المستخدم U1 إلى المستخدم U2 باستخدام تدفقين للمعلومات:
· نظمت U1 تدفق المعلومات من نفسها إلى O باستخدام عملية الكتابة.
· نظم U2 تدفق المعلومات من O إلى نفسه باستخدام عملية القراءة.
يتم تقديم تعريف أكثر دراية لتدفق المعلومات من خلال متوسط ​​المعلومات المتبادلة. الكائن يا في نظام معلوماتيمثل مجموعة محدودة من الإدخالات الصالحة في لغة معينةوحالة الكائن O هي سجل محدد من هذه المجموعة المحدودة والموجودة في نظام المعلومات في هذه اللحظةالوقت بالاسم O. دع X و Y يكونان كائنين في نظام المعلومات ويفترض أنه في لحظة معينة من الزمن يتم تحديد حالات الكائنات X و Y من خلال توزيع الاحتمال المشترك P(x, y) على مجموعة محدودة من أزواج

دعونا نشير

وبالمثل

متوسط ​​المعلومات المتبادلة للكائنات X و Y هو الكمية

تعريف. تدفق المعلومات بين الكائنات X و Y موجود إذا كان متوسط ​​المعلومات المتبادلة I(X,Y)>0.
يمكن إثبات أن وجود تدفق المعلومات يعادل شرط وجود زوج (x,y) بحيث

من الواضح أنه إذا كان هناك تدفق للمعلومات من X إلى Y، فهناك نفس تدفق المعلومات من Y إلى X.

مثال 2
دع الملف O1 يكون نسخة من الملف O2. ثم P(x,y)=0 لـ x لا يساوي y. إذا كان احتمال الحالة x للكائن O1 لا يساوي 0، واحتمال الحالة y للكائن O2 لا يساوي 0، فمن التعريف المكافئ لتدفق المعلومات يترتب على ذلك أن هناك تدفق معلومات من الكائن O1 إلى الكائن O2.
لاحظ أن هذا التعريفالتدفق يعادل تحديد توزيع مشترك على مجموعات الحالة للكائنات X وY، بشرط أن تكون القياسات المستحثة على X وY غير مستقلة.
دعونا نفكر في تعريف آخر لتدفق المعلومات. في بعض الأعمال للتحليل القنوات المخفيةتم تقديم مفهوم التبعية. من وجهة نظر تحليلنا، فإن أي اعتماد يولد قناة لنقل البيانات. لذلك، فإننا نعتبر مفهوم التبعيات أحد طرق تعريف تدفق المعلومات.
تعريف. يمكن اعتبار تدفق المعلومات من الكائنات (S) إلى الكائن T تدفقًا ثلاثيًا (T، (S)، G)، حيث تغير T حالتها إذا تغير (S) حالتها بشرط أن التعبير المنطقييتم تقييم G على أنه صحيح.

مثال 3
عند تسجيل الدخول إلى النظام، يذكر المستخدم اسم المستخدم الخاص به AND ويدخل كلمة المرور الخاصة به P. يتم تحويل كلمة المرور هذه، بعد التشفير، إلى سجل K(P)، والذي يتم مقارنته بالقيمة الموجودة في جدول كلمات المرور المقابلة لاسم المستخدم المحدد AND . في في هذه الحالةقيمة المتغير T، تساوي 1 إذا كان مسموحًا للمستخدم بتسجيل الدخول إلى النظام، و0 بخلاف ذلك، تعتمد على المتغيرين المدخلين I وP عند استيفاء الشرط المنطقي الموجود في السطر المقابل من جدول كلمة المرور K (P) كلمة المرور المدخلة تتطابق مع الإدخال المتوفر هناك . في هذه الحالة، يأخذ المتغير S قيمة اسم المستخدم AND، ويأخذ المتغير S1 قيمة كلمة المرور K، ويطابق الشرط المنطقي G مطابقات الإدخالات في جدول كلمات المرور.
وهذا التعريف يشمل جميع الأنواع اتصالات وظيفيةحيث تكون قيمة T دالة لمجموعة معينة من المتغيرات والتي تشمل (S).
تعميم هذا المخطط هو نموذج تدفق المعلومات كآلة ذات حالة محدودة، حيث يرسل مصدر الرسالة كلمة إدخال إلى مدخلات الجهاز، ويرى متلقي الرسالة تسلسل إخراج الجهاز. التعميمات التالية هي نموذج القناة كآلة آلية احتمالية ونموذج الآلة الحتمية ذات المدخلات العشوائية.

السياسات الأمنية

سنتبع التعريف المقبول عمومًا لسياسة الأمان (SP) الوارد في معيار TCSEC.
تعريف. سياسة الأمان هي مجموعة من القواعد واللوائح والممارسات التي تحكم إدارة المعلومات القيمة وحمايتها وتوزيعها.
يتم التعبير عن العديد من السياسات الأمنية من خلال تدفقات المعلومات. على سبيل المثال، تنقسم جميع تدفقات المعلومات في النظام (بما في ذلك المحتملة منها) إلى مجموعتين فرعيتين منفصلتين: التدفقات المسموح بها والتدفقات التي لم يتم حلها. ويجب أن يدعم نظام الأمان بعد ذلك التدفقات المسموح بها ويمنع التدفقات المحظورة. تتضمن سياسات هذه الفئة سياسات الأمان متعددة المستويات (MLS).
يتم قبول MLS من قبل جميع الدول المتقدمة في العالم. وفي العمل المكتبي السري اليومي، يلتزم القطاع العام الروسي أيضًا بهذه السياسة.
شبكة قيمة SC هي أساس سياسة MLS. مجموعة مرتبة خطيًا من التصنيفات الأمنية "غير مصنفة"< "секретно" < "совершенно секретно" является простейшим примером такой решетки ценности. В более общем случае к грифам конфиденциальности добавляются подмножества тематических категорий из заданного набора категорий. В этом случае также получается решетка ценностей, в которой некоторые элементы упорядочены. Например, приведем сравнение двух элементов такой решетки: "секретно, кадры, финансы" < "совершенно секретно, кадры, финансы, материальное обеспечение". Классификация مصادر المعلوماتعبارة عن تعيين من مجموعة كائنات النظام O إلى مجموعة العقد SC لشبكة القيمة. أي أن كل كائن في النظام يتم تصنيفه حسب مستوى الأمان ومجموعة متنوعة من الفئات المواضيعية. العرض مع: O -->SC يعتبر محددًا. إذا كانت c(Y) أكبر من أو تساوي c(X)، فإن Y كائن أكثر قيمة من X.
تعريف. تعتبر سياسة MLS تدفق المعلومات X-->Y مسموحًا به فقط إذا كانت c(Y) أكبر من أو تساوي c(X) في شبكة SC.
وبالتالي، فإن سياسة MLS تتعامل مع تعدد تدفقات المعلومات في النظام وتقسمها إلى مسموح بها وغير مصرح بها. حالة بسيطة. ومع ذلك، فإن هذه البساطة تتعلق بتدفقات المعلومات، والتي يوجد عدد كبير منها في النظام. ولذلك، فإن التعريف أعلاه ليس بناءا. أود الحصول على تعريف بناء في لغة الوصول. دعونا نفكر في فئة من الأنظمة ذات نوعين من طرق الوصول القراءة والكتابة (على الرغم من أنه قد يكون هناك طرق وصول أخرى، ولكنها إما لا تحدد تدفق المعلومات أو يتم التعبير عنها من خلال الكتابة والقراءة). دع العملية S، أثناء حل مشكلتها، تصل بشكل تسلسلي إلى الكائنات O1، O2،...، Ol (قد ينشأ بعضها أثناء حل المشكلة). يترك

ثم من تعريف MLS يتبع ذلك إذا تم استيفاء الشروط

سوف تسير تدفقات المعلومات المقابلة التي يحددها الوصول للقراءة في الاتجاه الذي تسمح به سياسة MLS، ومتى

سوف تتدفق التدفقات المحددة بواسطة حق الوصول للكتابة في الاتجاه المسموح به. وبالتالي، نتيجة لتنفيذ المهمة من خلال العملية S، فإن تدفقات المعلومات المرتبطة بها تلبي سياسة MLS. يعد هذا التحليل النوعي كافيًا لتصنيف جميع العمليات تقريبًا وتحديد ما إذا كان يجب الالتزام بسياسات MLS أم لا. إذا تم انتهاك سياسة MLS في أي مكان، فلن يُسمح بالوصول المقابل. علاوة على ذلك، فإن حل السلسلة (1) لا يعني على الإطلاق أن الموضوع S لا يمكنه إنشاء كائن O بحيث يكون c(S)>c(O). ومع ذلك، لا يستطيع كتابة المعلومات هناك. عندما يتم نقل التحكم، يتم مقاطعة تدفق المعلومات من أو إلى العملية S (على الرغم من أن العمليات الأخرى يمكنها كتابة أو قراءة المعلومات إليها كما لو كانت كائنًا). علاوة على ذلك، إذا تم استيفاء قواعد اتجاه التدفق للقراءة والكتابة، فسيتم ملاحظة MLS، وإذا لم يكن الأمر كذلك، فلن تتمكن العملية المقابلة من الوصول. وهكذا، نأتي إلى التحكم في التدفق من خلال التحكم في الوصول. ونتيجة لذلك، نحصل على فئة معينة من الأنظمة الوصف البناءسياسات MLS.
تعريف. في نظام به وصولان للقراءة والكتابة، يتم تحديد سياسة MLS بواسطة القواعد التاليةوصول

يعد الهيكل الشبكي مفيدًا جدًا في تنظيم دعم سياسة MLS. في الواقع، يجب أن تكون هناك سلسلة متتالية من تدفقات المعلومات

إذا كان كل من التدفقات مسموحًا به، فإن خصائص الشبكة تسمح لنا بالقول إن التدفق من طرف إلى طرف O1-->Ok مسموح به. في الواقع، إذا تم السماح بتدفق المعلومات في كل خطوة، إذن

ثم من خلال خاصية العبور للشبكة

وهذا يعني أن التدفق من طرف إلى طرف مسموح به.
سياسة MLS في الأنظمة الحديثةيتم تنفيذ الحماية من خلال مراقبة التفويض (أو، كما يقال أيضًا، من خلال سياسة التفويض). جهاز تحكم إلزامي يرضي البعض متطلبات إضافية، يسمى مراقب الضرب. يُطلق على التحكم الإلزامي أيضًا اسم إلزامي، نظرًا لأن كل طلب من موضوع إلى كائن يمر عبره، إذا كان الموضوع والكائن محميين بواسطة نظام أمان. يتم تنظيم الرقابة الإلزامية بالطريقة الآتية. يحتوي كل كائن O على تسمية تحتوي على معلومات حول الفئة c(O). يحتوي كل موضوع أيضًا على ملصق يحتوي على معلومات حول فئة الوصول c(S) الموجودة به. يقارن التحكم الإلزامي التسميات ويلبي طلب القراءة الخاص بالموضوع S بالكائن O if

ويمنح طلب الكتابة إذا

وبعد ذلك، وفقًا لما ورد أعلاه، تقوم مراقبة التفويض بتنفيذ سياسة MLS. ومع ذلك، فإن تسميات الحساسية ليست كذلك الطريقة الوحيدةإدارة تدفق المعلومات في أنظمة الكمبيوتر.
في نظام ذي سياسة أمنية متعددة المستويات، حيث يتم تقليل تدفقات المعلومات إلى الوصول، فإن التدفقات تكون أكثر من النوع العاممن تلك التي تمت مناقشتها في الفقرة 2، والتي قد تنتهك سياسة أمان MLS. على سبيل المثال، أي تدفق معلومات بين الشبكة المتباينة أو العقد من أعلى إلى أسفل الموجودة ولكن لا يتم التعبير عنها من خلال الوصول للقراءة والكتابة سوف ينتهك سياسة أمان MLS حتى لو تم تنفيذ التحكم الإلزامي بالوصول بشكل صحيح. في أبسط الحالات، والتي سنستأنفها أكثر، إذا تم تقسيم النظام وفقًا لها على الأقل، إلى مستويين مرتفع ومنخفض وقد اعتمد النظام سياسة أمنية متعددة المستويات تسمح بتدفق المعلومات من الأسفل إلى الأعلى (من الأقل إلى الأعلى) وتمنع التدفق من الأعلى إلى الأسفل، ثم يمكن للمهاجم استخدام قناة مخفية للنقل المعلومات من وكيل البرامج والأجهزة في البيئة العالية إلى وكيل البرامج والأجهزة في البيئة المنخفضة. وفي الوقت نفسه، يجب أن تحمي القناة السرية الدخيل من نظام أمني يدعم سياسة متعددة المستويات تعتمد على تحديد التدفقات من خلال عمليات الوصول للقراءة والكتابة. أي أن القناة المخفية يجب أن تكون غير مرئية لمراقب المكالمات ونظام التدقيق والمحلل الذي يفحص أمان النظام وما إلى ذلك.
يُسمح بالتدفقات في MLS فقط بين العقد المماثلة من الأسفل إلى الأعلى. تحمي هذه السياسة سرية المعلومات. بنفس طريقة السياسة متعددة المستويات، يتم تعريف سياسة حماية سلامة Baiba؛ والتدفقات الوحيدة المسموح بها في هذه السياسة هي جميع التدفقات الهبوطية بين العقد المماثلة.
لنفترض أنه لا يوجد تهديد للانتهاكات الأمنية وأن الغرض الوحيد من السياسة الأمنية هو الحماية من انتهاكات سلامة المعلومات. دعونا، كما كان من قبل، تتضمن المعلومات شبكة القيم SC. في هذا الصدد، أي تدفق معلومات X-->Y يمكن أن يؤثر على سلامة الكائن Y. إذا كان هناك المزيد في Y معلومات قيمةمما هو عليه في X، فإن مثل هذا التدفق، إذا تم انتهاك سلامة Y، سوف يتسبب في ضرر أكبر من التدفق في الاتجاه المعاكس من كائن أكثر قيمة Y إلى كائن أقل قيمة X. اقترح بايبا ما يلي كسياسة أمنية لـ حماية النزاهة.
تعريف. في سياسة بايبا، يُسمح بتدفق المعلومات X-->Y إذا وفقط

ويمكن إثبات أن هذه السياسة تعادل ما يلي في فئة واسعة من الأنظمة.
تعريف. بالنسبة للأنظمة التي تتمتع بإمكانية الوصول للكتابة والقراءة، تسمح سياسة Baiba بالوصول في الحالات التالية:

ومن الواضح أن السيطرة الإلزامية مناسبة أيضًا لتنفيذ هذه السياسة. بنفس الطريقة كما كان من قبل، عند إجراء التحكم الإلزامي في الوصول للقراءة والكتابة، من الممكن انتهاك سياسة Baiba باستخدام القنوات السرية (تدفقات المعلومات من نوع أكثر عمومية).
بالإضافة إلى هذه السياسات، ينبغي تسمية فئة من سياسات أمن الاتصالات التي يجب فيها عدم اعتراض أو تشويه تدفق المعلومات المنقولة من المرسل إلى المتلقي في ظل افتراضات مختلفة تتعلق بقدرات العدو على تشويه تدفق المعلومات أو اعتراض جزء من المعلومات. المعلومات المنقولةأو العكس، من خلال محاولات التدخل في تدفق المعلومات المرسلة. وينبغي أن يشمل ذلك عددًا من مخططات إخفاء المعلومات، حيث تتمثل المهمة الرئيسية فيها في إنشاء تدفق معلومات "غير مرئي" للمراقب، مع مجموعة معينة من القدرات.
مثال آخر هو الحالة التي تبيع فيها الشركة المصنعة نظام كمبيوتر لمعالجة البيانات لمستخدم، وتقوم الشركة المصنعة ببناء وكيل برامج وأجهزة لتحليل البيانات التي تتم معالجتها من قبل المشتري. هذا النظاميمكن القيام بذلك بطريقة يتوافق فيها وكيل البرامج والأجهزة مع المستوى الأعلى، وتتم عملية الحوسبة القانونية على المستوى المنخفض. لكي يتمكن الوكيل من نقل المعلومات خارج النظام، من الضروري بناء قناة مخفية بين المستويين العلوي والسفلي مع إمكانية الوصول إلى بيئة خارجية(على سبيل المثال، على شبكة الإنترنت). وبالمثل، يجب أن يتلقى الوكيل تعليمات من المستوى الأدنى سرًا، نظرًا لأن رسائل الإدخال لعملية الحوسبة المشروعة والوكيل تأتي عبر نفس القناة.
دعونا نلخص بإيجاز استنتاجات هذا القسم. لدعم السياسة الأمنية، يتم استخدام آليات الحماية لمنع انتهاك السياسة الأمنية. تتمثل إحدى طرق انتهاك السياسة الأمنية في إنشاء تدفقات معلومات مخفية لا تكتشفها أنظمة الأمان. في حالة السياسة متعددة المستويات، تقوم القنوات السرية بتمرير المعلومات من طبقات الخصوصية العليا إلى الطبقة السفلية بحيث لا تستطيع آليات الحماية منع انتهاك سياسة حماية الخصوصية. في سياسة بيبا، يمكن لقناة مخفية من المستوى الأدنى إلى المستوى الأعلى إرسال أمر إلى حصان طروادة لتدمير أو تعديل مصادر المعلومات، والتي يتم حماية سلامتها هذه السياسة.
وفي هذا الصدد، تنشأ مشكلة تحليل القنوات المخفية حيثما تنشأ قيود على تدفق المعلومات. يتضمن أي تحليل من هذا القبيل حل أربع مشاكل مترابطة:
1. تحديد القنوات المخفية.
2. التقييم عرض النطاقالقنوات الخفية وتقييم الخطر الذي يشكله عملها الخفي؛
3. عزل الإشارة أو استقبال أي معلومات مرسلة عبر القنوات السرية.
4. التصدي لتنفيذ القناة السرية وصولاً إلى تدميرها.

أمثلة على القنوات المخفية

تقليديا، توصف القنوات السرية بأنها قنوات ذاكرة أو قنوات زمنية. يعرّف عمل كيميرر القنوات السرية في الذاكرة بأنها تلك القنوات التي يتم من خلالها نقل المعلومات من خلال وصول الكتابة للمرسل وقراءة المتلقي إلى نفس الموارد أو الكائنات. تتميز القناة السرية المتغيرة بمرور الوقت بوصول المرسل والمستقبل إلى نفس العملية أو السمة المتغيرة بمرور الوقت.
كما في السابق، سنفترض أن النظام مقسم إلى مستويين على الأقل مرتفع ومنخفض وأن النظام قد اعتمد سياسة أمنية متعددة المستويات تسمح بتدفق المعلومات من الأسفل إلى الأعلى (من الأدنى إلى الأعلى) وتمنع التدفق من الأعلى إلى الأعلى قاع. يمكن للمهاجم استخدام قناة سرية لنقل المعلومات من وكيل الأجهزة والبرامج في البيئة العالية إلى وكيل الأجهزة والبرامج في البيئة المنخفضة. وفي الوقت نفسه، يجب أن تحمي القناة السرية الدخيل من نظام أمني يدعم سياسات متعددة المستويات.
إن أبسط قناة ذاكرة مخفية هي القدرة على عرض أسماء الدلائل والملفات التي تم إنشاؤها على المستوى العالي على المستوى المنخفض. في هذه الحالة، يمكن نقل المعلومات في أسماء الملفات التي تم تحديدها وفقًا لرمز متفق عليه مسبقًا، وفي سمات الملف التي يمكن تشفير المعلومات فيها، وأحجام الملفات، وتواريخ تعديل الملف، وما إلى ذلك. وأخيرًا، فإن وجود ملف يحمل اسمًا معينًا يحمل معه القليل من المعلومات افضل مستوىإلى الأسفل.
مثال آخر لقناة الذاكرة هو تشفير المعلومات في الإعدادات المحفوظة لأي موارد الاستخدام الشائعموضوعات المستويات العليا والدنيا. الإعدادات التي تم إجراؤها على المستوى العالي يمكن ملاحظتها على المستوى المنخفض، وبالتالي، يمكن أن تحمل المعلومات المعبر عنها في رمز متفق عليه مسبقًا.
بدأ النظر بجدية إلى قنوات الوقت السرية لأول مرة في عام 1976، عندما أظهر ميلين، أحد مبدعي نظام التشغيل الآمن Multics، لزملائه قناة زمنية سرية تم تنفيذها على أجهزة معزولة عالية ومنخفضة. تم توصيل كلا الجهازين ببعضهما الموارد المشتركةلم يكن هناك ROM أو قنوات أو اتصالات أخرى بينهما. كانت هناك أحصنة طروادة في الأنظمة الفرعية العالية والمنخفضة. على المستوى العالي، يقوم حصان طروادة، عند الضغط على الحروف الموجودة على لوحة المفاتيح، بتعديل الفترات الزمنية المزدحمة لمكتبة ROM باستخدام رمز خاص. تم فحص أوقات إشغال المكتبة من قبل المستوى الأعلى مع الطلبات المقدمة إلى المكتبة " حصان طروادة"مستوى منخفض. أتاحت قناة الوقت المخفية الناتجة طباعة المعلومات الواردة في الوقت الفعلي من خلال القناة المخفية من لوحة المفاتيح للنظام الفرعي عالي المستوى.
دعونا نلقي نظرة على مثال آخر لقناة زمنية مخفية. لنفترض أنه في دائرة البرامج والأجهزة التي تنفذ الواجهة RS 232 بين المستوى المنخفض والعالي، لا يوجد جهاز إرسال على المستوى العالي ولا يوجد جهاز استقبال على المستوى المنخفض. وفي الوقت نفسه، لنقل البايتات من المستوى الأدنى إلى المستوى الأعلى، يقوم جهاز المستوى العلوي بتعيين إشارة الاستعداد لتلقي المعلومات. يتم إرسال البايت التالي فقط عند ضبط إشارة الاستقبال. ثم يعتبر التأخير في ضبط الإشارة بعد البايتة المرسلة التالية مؤقتًا المستويات الدنياوبالتالي يمكن نقل المعلومات من وكيل البرنامج الثابت في المستوى الأعلى إلى وكيل البرنامج الثابت في المستوى الأدنى. وللقيام بذلك، يقوم الوكيل الموجود في المستوى الأعلى بتشفير الرسالة بفواصل زمنية لتأخير الإشارة ذات أطوال مختلفة، ويقوم الوكيل الموجود في المستوى الأدنى بقراءة هذه الرسائل باستخدام مؤقت.
يتم إنشاء قناة مخفية لنقل المعلومات عبر الإنترنت عن طريق كتابة رسالة بدلاً من ذلك آخر قطعةالصورة الرقمية، والتي تنتقل كما رسالة قانونية. نظرًا لأن الجزء الأخير له تأثير ضئيل على جودة الصورة، يتم إخفاء إرسال المعلومات عن الشخص الذي يجري الاعتراض ويسمح بنقل الصور القانونية فقط. إحدى الطرق المعروفة لمكافحة طريقة إخفاء المعلومات هذه هي تغيير تنسيق الصورة، على سبيل المثال، باستخدام الضغط. هذه الطريقةتدمير قناة مخفية من النوع المحدد.
مثال آخر لقناة سرية في مشكلة مشابهة هو القناة السرية في بروتوكول TCP/IP. يتم استخدام حقل ISN في بروتوكول TCP لتنظيم الاتصال بالعميل السيرفر المتحكم. حجم هذا الحقل هو 32 بت. باستخدام هذا الحقل في 5 حزم، تم نقل كلمة Hello سرًا.
ومن الجدير بالذكر بشكل خاص مثالين للقنوات الزمنية التي تستخدم القدرة على تغيير مدة العمل في العمل المعالج المركزي. في المثال الأول، يقوم مرسل المعلومات بتغيير وقت انشغال وحدة المعالجة المركزية خلال كل جزء من الوقت المخصص لعمله. على سبيل المثال، لإرسال 0 و1، يقوم طول الوقت بتشفير 1 والآخر بتشفير 0. وفي حالة أخرى، يستخدم المرسل الفترات الزمنية بين عمليات الوصول إلى المعالج

نماذج القنوات السرية وتحليلها

تُستخدم نماذج القنوات السرية لتطوير طرق تحديد القنوات السرية أو، على العكس من ذلك، لتبرير استحالة تحديد هذه القنوات. تعتمد الطريقة التقليدية لتحديد القنوات السرية على نموذج التبعية. كما هو محدد أعلاه، التبعيات هي ثلاثة توائم (T، (S)، G)، حيث يتم تحديد التغيير في المعلمة T من خلال التغيير في المعلمات الأولية (S)، عندما يأخذ التعبير المنطقي G القيمة الحقيقية.
في مثال القناة السرية الذي تمت مناقشته سابقًا، باستخدام حامل RS-232، يتم تقييم الحالة G على أنها صحيحة عند ظهور بايت ثابت أثناء الإرسال. في هذه الحالة، S هو وقت التأخير لضبط الإشارة حول إمكانية استقبال البايتة التالية. يقيس وكيل المستوى الأدنى وقت التأخير لضبط الإشارة على المؤقت T فقط عندما يتم إرسال بايت يحول التعبير المنطقي G إلى صحيح. إن البحث عن هذه القناة المخفية من قبل الراصد بناء على زمن تأخير الإشارة أصعب بكثير مما كان عليه في المثال السابق. ومع ذلك، باستخدام الأساليب الإحصائية يمكن التعرف على حقيقة هذا الإرسال.
ترتبط بشكل وثيق بطريقة التبعية طريقة البحث عن القنوات المخفية بناءً على مصفوفة من الموارد المشتركة. تفترض هذه الطريقة أن النظام موصوف بالكامل بالمتغيرات a، b، c، d، ... ويتم تحليل عمليات OP1 في المصفوفة على النحو التالي. تتوافق صفوف المصفوفة مع سمات الموارد المشتركة (في مثالنا، a، b، c، d، ...). تتوافق أعمدة المصفوفة مع عمليات النظام (OP1 في مثالنا). تتوافق القيم الموجودة في خلايا المصفوفة مع إجراءات المشغل على السمة المقابلة. ثم المصفوفة في مثالنا سوف تأخذ الشكل.
الموارد المشتركة OP1
الكتابة
خبز
العقيدة
الرهبة
توضح هذه المصفوفة تدفقات المعلومات المحتملة بين المتغيرات. وقد تم إنشاء حزم البرامج التطبيقية لتحليل هذه المصفوفات.
السؤال التالي الذي يطرح نفسه في مثل هذه المشاكل هو ما إذا كان من الممكن إنشاء قنوات مخفية "غير مرئية" للموضوع المسيطر. ثبت في أعمال A. Grusho أنه إذا كان العدو يعرف مخطط التحكم في نظام الحماية، فإنه إذا تم استيفاء شروط معينة، فمن الممكن بناء قناة مخفية للتحكم في وكيل البرامج والأجهزة في الحماية النظام، غير مرئية لنظام الحماية. بيئة الكمبيوتر. في هذه الحالة، يُفهم "الاختفاء" بالمعنى المطلق، أي إثبات استحالة تحديد مثل هذه القناة بأي طريقة أو وسيلة. وبالمثل، في عمل A. Grusho، بشرط أن يعرف العدو نظام الأمان، يتم إثبات إمكانية بناء قناة سرية "غير مرئية" عندما يتواصل عملاء البرامج والأجهزة مع بعضهم البعض في بيئة مفتوحة. النتائج التي تم الحصول عليها في هذا العمل هي أيضًا ذات طبيعة مطلقة، أي أنه ثبت أنه لا يمكن اكتشاف القناة المخفية بأي طريقة أو وسيلة.
عند استخدام أسلوب التبعية، يجب ملاحظة ما يلي:

• يعد الجهاز المقترح وبعض تطبيقاته (على سبيل المثال، طريقة مصفوفة الموارد المشتركة (SRM)) أداة بناءة للبحث في القنوات السرية؛
• لا يمكن وصف جميع القنوات السرية باستخدام هذه الطريقة.

على وجه الخصوص، هناك قنوات إحصائية مخفية لا يتم الكشف عنها بواسطة طريقة اكتشاف التبعية. على سبيل المثال، إذا كان T وS مرتبطين الاعتماد الإحصائي، فإن طريقة التبعية قد لا تكشف عن علاقة حتمية بين هذه المعلمات. لنفترض في المثال الذي تمت مناقشته مسبقًا لقناة سرية ذات واجهة RS-232 أحادية الاتجاه، أن الحالة G لا تزال تتوافق مع مظهر البايت الثابت في الإرسال. في الحالات التي تكون فيها G صحيحة، يقوم الوكيل عند المستوى العالي بإنشاء متغير عشوائي بتوزيع P1 إذا أراد تمرير واحد إلى الأسفل. إذا أراد الوكيل إرسال صفر أو لم يرسل رسالة على الإطلاق، فإن التأخير في ضبط الإشارة يحدث وفقًا للتوزيع P0. يقوم وكيل المستوى الأدنى بتجميع قيم زمن الوصول المتوسطة فقط عند إرسال البايت المحدد أعلاه. يتم تحديد واحد أو صفر بواسطة وكيل ذو مستوى أدنى باستخدام معيار إحصائي. في هذه الحالة، لا يعرف الشخص المتحكم، الذي يراقب تأخيرات الإشارة المحددة في المستوى العلوي، عند أي بايت يحدث التغيير في توزيع وقت التأخير. ولذلك، فإن قدرة الشخص المسيطر على تحديد هذه القناة أقل بكثير من قدرة العامل ذي المستوى الأدنى على التعرف عليها إشارة مرسلة. واحد من أهم المهامتحليل القنوات السرية هو تقدير قدرتها. يتم حساب سعة القنوات السرية باستخدام طرق نظرية المعلومات. غالبًا ما يتم قياس سعة القناة السرية بنسبة كمية المعلومات المنقولة سرًا إلى كمية المعلومات في عملية أو حاوية إخفاء الإرسال السري المشروعة. على سبيل المثال في وضعها الطبيعي الصورة الرقميةتحتوي على 2.5 ميغابت من المعلومات، ويمكن نقل 100 بت فقط من الرسالة المخفية بأمان عن طريق معالجة البت الأخير. ومن ناحية أخرى، فإن القناة المخفية لنسخ الملف محل الاهتمام سرًا إلى قرص مرن لها إنتاجية مساوية لحجم الملف المنسوخ.
نظرًا لحقيقة أن القنوات السرية عادةً ما تكون ذات سعة صغيرة، فقد يعتقد المرء أنها لا تشكل تهديدًا. في كثير من الأحيان، في مثل هذه الحالات، يتم تعيين عتبة الإنتاجية، والتي تعتبر القناة أدناه غير خطيرة. ومع ذلك، لا ينبغي لنا أن ننسى أن تقديرات السعة مقاربة بطبيعتها وأن النهج المرتبط بتقييد السعة قد يتبين أنه غير فعال في تطبيقات حقيقية.

محاربة القنوات الخفية

يعد اعتراض المعلومات المرسلة عبر القنوات السرية أمرًا صعبًا للغاية. يبدو أن الصعوبات التكنولوجية الوحيدة التي تنشأ هنا تتعلق بتسجيل وتحليل العمليات سريعة الحدوث في أنظمة الكمبيوتر. وفي الوقت نفسه، ثبت أنه من الممكن للشركة المصنعة إنشاء إشارات مرجعية في أنظمة الأجهزة التي يمكنها التواصل مع بعضها البعض "بشكل غير مرئي" لمعظم أدوات الأمان.
وفي حالة استخدام أساليب إخفاء المعلومات، يبدو حل مشكلة تحديد الرسائل المخفية أكثر تفاؤلا. من الأمثلة على الاكتشاف الناجح للإدراجات المخفية هو استخدام قناة سرية في حقل ISN بروتوكول TCP، المذكور أعلاه.
معظم على نحو فعالالمعركة ضد القنوات الخفية هي تدميرها. على سبيل المثال، في الأمثلة المذكورة أعلاه لإصدار القنوات المخفية للمعلومات عند استخدام واجهة RS-232، يتم التضمين بين المستويات العالية والمنخفضة لجهاز يقوم بترجمة البايتات وتأخير الإشارة بشكل عشوائي في المستوى العلوي، والمرئي في المستوى الأدنى، يسمح لك بتدمير أي قناة مخفية حتمية تمامًا في الوقت المناسب وإفساد القناة المخفية بشكل كبير قناة إحصائية. يتم استخدام أساليب مماثلة بنجاح للحماية من القنوات السرية أثناء النقل السري للمعلومات عبرها الأنظمة المفتوحة.
مشكلة "التأثير الخفي" تقترب من موضوع تدفق المعلومات المخفية. لشرح المشكلة، دعونا نركز على القنوات السرية غير الموجودة فعليًا. لشرح هذا الوضع المتناقض، فكر في نظام من مستويين يتوافق فيه المستوى العالي مع نظام فرعي تحليلي يقوم بتطوير خيارات لحل معين. المستوى المنخفض يتوافق مع النظام الفرعي لجمع المعلومات من المصادر المفتوحة و الشبكات المفتوحة. دع النظامين الفرعيين المنخفض والعالي متصلان عبر قناة أحادية الاتجاه من المنخفض إلى الأعلى، مما يسمح بتكرار البيانات التي تم جمعها في المستوى الأدنى في المستوى الأعلى. دع الكائن Y ينتمي إلى المستوى الأعلى، والكائن X ينتمي إلى المستوى المنخفض. دع التوزيع المشترك للحالات (x، y) للكائنات Y وX لا يساوي منتج الاحتمالات المستحثة PX(x) وPY(y). ثم، كما ذكرنا سابقًا، وفقًا للنظرية الرياضية للاتصالات، هناك تدفق للمعلومات من X إلى Y، والذي يتم قياسه بمتوسط ​​المعلومات المتبادلة I(X, Y). ولكن يوجد نفس تدفق المعلومات بالضبط من Y إلى X، مقاسًا بنفس القيمة. في حالة القناة أحادية الاتجاه، فإن هذا التناظر له تفسير بسيط للغاية. في المستوى الأدنى، من خلال تكرار الكائن X إلى المستوى الأعلى، من المعروف أنه يوجد في المستوى العلوي كائن Y له نفس الحالة تمامًا مثل X. إذا كان بعض الكائنات Z مرتبطًا بالكائن Y في المستوى العلوي، و ومن المعروف أن هناك كائنًا بهذا النوع من الاتصال، ومن ثم ينشأ تدفق المعلومات بشكل طبيعي بين X و Z. علاوة على ذلك، فإن تدفق المعلومات هذا متماثل أيضًا، مما يعني أنه من الممكن الحصول على بعض المعلومات حول كائن المستوى الأعلى دون الحاجة إلى قناة مادية من Z إلى X. من أجل فهم جوهر هذه القنوات بشكل أفضل، تخيل أنه في المستوى الأعلى يتم اتخاذ قرار سري باستخدام بعض خوارزمية معروفةيعتمد فقط على المعلومات المنسوخة من المستوى الأدنى. بمعرفة ذلك، يمكن للعدو في المستوى الأدنى الحصول على نفس الحل تمامًا من نفس المعلومات باستخدام نفس الخوارزمية. لضابط أمن المعلوماتوهذا يعني أن المعلومات السرية للمستوى الأعلى أصبحت معروفة في المستوى الأدنى، وهو ما يمكن تفسيره على أنه وجود قناة مخفية ما تنقل المعلومات من المستوى الأعلى إلى المستوى الأدنى وترفع السرية عن المعلومات بشكل غير مصرح به. يتم تحديد حقيقة وجود هذه القناة من خلال تناسق تدفق المعلومات من كائنات المستوى الأدنى إلى المستوى العلوي. في الحالة العامة، نفس المنطق يقودنا إلى حقيقة أنه في المستوى الأدنى تصبح بعض الخصائص الاحتمالية للقرار المتخذ في المستوى الأعلى معروفة. وبهذه الطريقة يتم تفسير الحقيقة المتناقضة المتمثلة في وجود قناة مخفية من المستوى الأعلى إلى المستوى الأدنى، على الرغم من عدم وجود هذه القناة فعليا. هناك استنتاجان مهمان يتبعان هذا المثال. الاستنتاج الأول هو أن السياسة متعددة المستويات ليست ضمانة للأمن، حيث أن المعلومات السرية على المستوى الأعلى يمكن أن تصبح معروفة على المستوى الأدنى، بغض النظر عن كيفية تنفيذ السياسة متعددة المستويات. الاستنتاج الثاني هو أن التفسير الاحتمالي الأكثر عمومية لتدفق المعلومات لا يسمح ببساطة بتقسيم مجموعة تدفقات المعلومات إلى مسموح بها وغير مسموح بها.

إيلينا تيمونينا، أستاذ مشارك في قسم الرياضيات و حماية البرمجياتمعلومات من كلية حماية المعلومات في الجامعة الروسية الحكومية للعلوم الإنسانية.

2 القضاء على القنوات المخفية

3 إخفاء البيانات في نموذج OSI

4 إخفاء البيانات في بيئة LAN

5 إخفاء البيانات في حزمة بروتوكول TCP/IP

ملحوظات

مقدمة

قناة مخفية- هذا قناة الاتصالوإرسال المعلومات باستخدام طريقة غير مخصصة أصلاً لهذا الغرض.

تحصل القناة السرية على اسمها من حقيقة أنها مخفية عن أنظمة التحكم في الوصول حتى لأنظمة التشغيل الآمنة، لأنها لا تستخدم آليات نقل مشروعة مثل القراءة والكتابة، وبالتالي لا يمكن اكتشافها أو التحكم فيها بواسطة آليات أمان الأجهزة. والتي تشكل أساس أنظمة التشغيل الآمنة. في الأنظمة الحقيقية، يكاد يكون من المستحيل اكتشاف القناة السرية، وغالبًا ما يمكن اكتشافها من خلال مراقبة أداء النظام؛ بالإضافة إلى ذلك، فإن عيوب القنوات السرية هي انخفاض نسبة الإشارة إلى الضوضاء سرعات منخفضةنقل البيانات (بترتيب عدة بتات في الثانية). ويمكن أيضًا إزالتها يدويًا من الأنظمة المحمية بدرجة عالية من الموثوقية باستخدام استراتيجيات تحليل القنوات السرية المعمول بها.

غالبًا ما يتم الخلط بين القنوات السرية واستغلال القنوات المشروعة، والذي يهاجم الأنظمة شبه الآمنة ومنخفضة الثقة باستخدام مخططات مثل إخفاء المعلوماتأو حتى أقل دوائر معقدة، مصمم لإخفاء الأشياء المحظورة داخل الأشياء التي تحتوي على معلومات قانونية. مثل هذا الاستغلال للقنوات المشروعة باستخدام مخططات إخفاء البيانات لا يعد قنوات سرية ويمكن منعه من خلال أنظمة موثوقة آمنة للغاية.

يمكن للقنوات السرية المرور عبر المحمية نظام التشغيل، ويلزم اتخاذ تدابير خاصة للسيطرة عليها. الطريقة الوحيدة المثبتة لمراقبة القنوات السرية هي ما يسمى بتحليل القنوات السرية. وفي الوقت نفسه، يمكن لأنظمة التشغيل الآمنة أن تمنع بسهولة إساءة الاستخدام (أو الاستخدام غير القانوني) للقنوات القانونية. في كثير من الأحيان تحليل القنوات القانونية ل أشياء مخفيةتم تحريفها باعتبارها الإجراء الناجح الوحيد ضد الاستخدام غير القانوني للقنوات القانونية. لأنه في الممارسة العملية هذا يعني الحاجة إلى التحليل عدد كبير منالبرمجيات، في عام 1972 تبين أن مثل هذه التدابير غير فعالة. ومن دون معرفة ذلك، يعتقد الكثيرون أن مثل هذا التحليل يمكن أن يساعد في إدارة المخاطر المرتبطة بالقنوات القانونية.

1.1. معيار TCSEC

TCSEC هي مجموعة من المعايير التي وضعتها وزارة الدفاع الأمريكية.

تعريف لامبسون قناة سريةتمت إعادة صياغته في TCSEC للإشارة إلى طرق نقل المعلومات من طبقة أكثر أمانًا إلى طبقة أقل أمانًا. في بيئة الحوسبة المقسمة، من الصعب عزل عملية واحدة تمامًا عن التأثيرات التي قد تحدثها عملية أخرى على الكمبيوتر بيئة التشغيل. يتم إنشاء قناة سرية من خلال عملية إرسال تعدل بعض الحالات (مثل مساحة فارغة، توفر بعض الخدمات، مهلة بدء التشغيل، وما إلى ذلك)، والتي يمكن اكتشافها من خلال عملية الاستلام.

تحدد المعايير نوعين من القنوات السرية:

• قناة الذاكرة المخفية - تتفاعل العمليات لأنه يمكن للمرء أن يكتب المعلومات بشكل مباشر أو غير مباشر إلى منطقة معينة من الذاكرة، ويمكن للآخر قراءتها. عادة ما يعني ذلك أن العمليات مع على مستويات مختلفةالأمن لديه حق الوصول إلى بعض الموارد (على سبيل المثال، بعض قطاعات القرص).
• قناة زمنية مخفية - تقوم إحدى العمليات بإرسال المعلومات إلى أخرى، وتعديلها استخدام الخاص موارد النظام(على سبيل المثال، وقت وحدة المعالجة المركزية) بحيث تؤثر العملية في الوقت الحالىالاستجابة التي لاحظتها العملية الثانية.

تتطلب المعايير، المعروفة أيضًا باسم الكتاب البرتقالي، تصنيف تحليل قناة الذاكرة الكامنة كمتطلب لنظام الفئة B2 وتحليل القناة الكامنة الزمنية كمتطلب لنظام الفئة B3.

2. القضاء على القنوات المخفية

لا يمكن القضاء على إمكانية وجود قنوات سرية بشكل كامل، ولكن يمكن تقليلها بشكل كبير من خلال تصميم النظام وتحليله بعناية.

يمكن أن يصبح اكتشاف القنوات السرية أكثر صعوبة باستخدام خصائص وسط الإرسال للقنوات المشروعة، والتي لا يتم مراقبتها أو التحقق منها من قبل المستخدمين. على سبيل المثال، يمكن لبرنامج أن يفتح ويغلق ملفًا بطريقة محددة ومتزامنة يمكن فهمها من خلال عملية أخرى على أنها سلسلة من البتات، وبالتالي تشكيل قناة سرية. نظرًا لأنه من غير المحتمل أن يحاول المستخدمون الشرعيون العثور على نمط في فتح الملفات وإغلاقها، نوع مماثليمكن أن تظل القناة السرية غير مكتشفة لفترة طويلة.

وهناك حالة مماثلة هي تقنية "طرق المنفذ". عادةً، عند نقل المعلومات، لا يكون توقيت الطلبات مهمًا ولا تتم مراقبته، ولكن عند استخدام طرق المنافذ، يصبح مهمًا.

3. إخفاء البيانات في نموذج OSI

قام هاندل وسانفورد بمحاولة لتوسيع المنظور والتركيز على القنوات السرية في النموذج العام بروتوكولات الشبكة. يأخذون كأساس لتفكيرهم نموذج الشبكة OSI ثم قم بتوصيف عناصر النظام التي يمكن استخدامها لإخفاء البيانات. يتمتع النهج المتبع بمزايا مقارنة بمنهج هاندل وسانفورد لأن الأخير يأخذ في الاعتبار معايير تتعارض مع بعض بيئات وبنيات الشبكات المستخدمة. كما أنه لم يتم تطوير مخطط اختزال موثوق به.

ومع ذلك، تثبيت المبادئ العامةلإخفاء البيانات في كل طبقة من الطبقات السبع لنموذج OSI. بالإضافة إلى اقتراح استخدام حقول رأس البروتوكول المحجوزة (والتي يسهل اكتشافها)، اقترح هاندل وسانفورد أيضًا إمكانية توجيه الوقت فيما يتعلق بتشغيل CSMA/CD في الطبقة المادية.

ويحدد عملهم قيمة القناة السرية وفقا للمعايير التالية:

• قابلية الكشف: يجب أن يكون المتلقي الذي يقصد الإرسال فقط هو القادر على إجراء قياسات للقناة السرية.
• عدم القدرة على التمييز: يجب أن تكون القناة السرية غير قابلة للتحديد.
• عرض النطاق الترددي: عدد بتات البيانات المخفية لكل استخدام للقناة.

كما تم تقديم تحليل القنوات السرية، لكنه لا يعالج مشاكل مثل: التفاعل باستخدام الطرق المذكورة بين عقد الشبكة، تقدير سعة الارتباط، تأثير إخفاء البيانات على الشبكة. وبالإضافة إلى ذلك، لا يمكن تبرير قابلية تطبيق الأساليب بشكل كامل في الممارسة العملية نموذج OSIلا يوجد على هذا النحو في الأنظمة الحالية.

4. إخفاء البيانات في بيئة LAN

أول من قام بتحليل القنوات السرية في البيئة الشبكات المحلية، كانت جيرلنج. ويركز عمله على شبكات المنطقة المحلية (LAN)، حيث يتم تحديد ثلاث قنوات سرية واضحة - اثنتان في الذاكرة وواحدة في الوقت المناسب. يظهر أمثلة حقيقية المشارب الممكنةالبث للقنوات السرية البسيطة في جامعة الدول العربية. بالنسبة لبيئة LAS الخاصة، قدم المؤلف مفهوم المعترض الذي يراقب تصرفات جهاز إرسال معين على الشبكة المحلية. الأطراف التي تقوم بالبث السري هي المرسل والمعترض. معلومات مخفيةوبحسب جيرلنج، يمكن أن ينتقل بإحدى الطرق التالية:

• مراقبة العناوين التي يصل إليها جهاز الإرسال. إذا كان عدد العناوين التي يمكنه الوصول إليها هو 16، فهناك احتمالية الإرسال السري بالحجم رسالة سرية 4 بت. وصنف المؤلف هذه الميزة ضمن قنوات الذاكرة السرية، لأنها تعتمد على المحتوى المرسل.
• تعتمد قناة سرية أخرى واضحة على حجم الإطار الذي يرسله جهاز الإرسال. إذا كان هناك 256 نروىنرالإطار، ثم الرقم معلومات سرية، التي تم الحصول عليها عن طريق فك تشفير حجم إطار واحد، سيكون 8 بت. كما صنف المؤلف هذه القناة ضمن قنوات الذاكرة المخفية.
• الطريقة الثالثة، المؤقتة، تعتمد على الفرق بين أوقات الإرسال. على سبيل المثال، الفرق الفردي يعني "0"، والفرق الزوجي يعني "1". يتم حساب الوقت اللازم لنقل كتلة من البيانات كدالة لسرعة حوسبة البرنامج وسرعة الشبكة وحجمها كتلة الشبكةوتكاليف وقت البروتوكول. بافتراض أنه يتم إرسال كتل ذات أحجام مختلفة إلى الشبكة المحلية (LAN)، يتم حساب متوسط ​​استهلاك وقت البرنامج وتقدير عرض النطاق الترددي للقنوات السرية أيضًا.

5. إخفاء البيانات في حزمة بروتوكول TCP/IP

اتخذ رولاند نهجًا أكثر تحديدًا. بالتركيز على رؤوس IP وTCP لحزمة بروتوكول TCP/IP، يستنتج رولاند الطرق الصحيحةالتشفير وفك التشفير باستخدام مجال تعريف IP ومجال TCP رقم البدايةرقم التسلسل والتأكيد. يتم تنفيذ هذه الطرق في تطبيق بسيط مكتوب لأنظمة Linux التي تعمل بالإصدار 2.0 من النواة. يثبت رولاند ببساطة فكرة وجود قنوات سرية في TCP/IP، بالإضافة إلى استخدامها. وبناء على ذلك، يمكن تقييم عمله باعتباره اختراقا عمليا في هذا المجال. تعتبر أساليب التشفير وفك التشفير التي اعتمدها أكثر واقعية مقارنة بالأعمال المقترحة سابقًا. يتم تحليل هذه الأساليب مع الأخذ في الاعتبار آليات الأمان مثل جدار الحماية NAT.

ومع ذلك، فإن عدم إمكانية اكتشاف طرق النقل السرية هذه أمر مشكوك فيه. على سبيل المثال، في حالة إجراء عمليات على حقل الرقم التسلسلي لرأس TCP، يتم اعتماد مخطط يتم فيه إرسال الأبجدية سرًا في كل مرة، ولكن مع ذلك يتم تشفيرها بنفس الرقم التسلسلي. علاوة على ذلك، لا يمكن تنفيذ استخدام حقل الرقم التسلسلي، وكذلك حقل التأكيد، بالرجوع إلى ترميز ASCII للأبجدية الإنجليزية، على النحو المقترح، نظرًا لأن كلا الحقلين يأخذان في الاعتبار استلام بايتات البيانات المتعلقة بشبكة محددة الحزم.

قناة مخفية

قناة مخفيةهي قناة اتصال ترسل المعلومات باستخدام طريقة لم تكن مخصصة أصلاً لهذا الغرض.

السمات المميزة

تحصل القناة السرية على اسمها من حقيقة أنها مخفية عن أنظمة التحكم في الوصول حتى لأنظمة التشغيل الآمنة، لأنها لا تستخدم آليات نقل مشروعة مثل القراءة والكتابة، وبالتالي لا يمكن اكتشافها أو التحكم فيها بواسطة آليات أمان الأجهزة. والتي تشكل أساس أنظمة التشغيل الآمنة. في الأنظمة الحقيقية، يكاد يكون من المستحيل اكتشاف القناة السرية، وغالبًا ما يمكن اكتشافها من خلال مراقبة أداء النظام؛ بالإضافة إلى أن عيوب القنوات السرية هي انخفاضها إشارة إلى نسبة الضوضاءومعدلات نقل بيانات منخفضة (في حدود عدة بتات في الثانية). ويمكن أيضًا إزالتها يدويًا من الأنظمة المحمية بدرجة عالية من الموثوقية باستخدام استراتيجيات تحليل القنوات السرية المعمول بها.

غالبًا ما يتم الخلط بين القنوات السرية واستغلال القنوات المشروعة، والذي يهاجم الأنظمة شبه الآمنة ومنخفضة الثقة باستخدام مخططات مثل إخفاء المعلومات أو حتى مخططات أقل تعقيدًا مصممة لإخفاء الأشياء المحظورة داخل أشياء تحتوي على معلومات قانونية. مثل هذا الاستغلال للقنوات المشروعة باستخدام مخططات إخفاء البيانات لا يعد قنوات سرية ويمكن منعه من خلال أنظمة موثوقة آمنة للغاية.

يمكن للقنوات السرية اختراق أنظمة التشغيل الآمنة وتتطلب إجراءات خاصة للتحكم فيها. الطريقة الوحيدة المثبتة لمراقبة القنوات السرية هي ما يسمى بتحليل القنوات السرية. وفي الوقت نفسه، يمكن لأنظمة التشغيل الآمنة أن تمنع بسهولة إساءة الاستخدام (أو الاستخدام غير القانوني) للقنوات القانونية. غالبًا ما يتم تحريف تحليل الأشياء المخفية للقنوات القانونية باعتباره الإجراء الناجح الوحيد ضد الاستخدام غير القانوني للقنوات القانونية. وبما أن هذا يعني عمليًا الحاجة إلى تحليل كمية كبيرة من البرامج، فقد ثبت أن هذه التدابير غير فعالة في عام 1972. ومن دون معرفة ذلك، يعتقد الكثيرون أن مثل هذا التحليل يمكن أن يساعد في إدارة المخاطر المرتبطة بالقنوات القانونية.

معيار TCSEC

تعريف لامبسون قناة سريةتمت إعادة صياغته في TCSEC للإشارة إلى طرق نقل المعلومات من طبقة أكثر أمانًا إلى طبقة أقل أمانًا. في بيئة الحوسبة المقسمة، من الصعب عزل عملية واحدة تمامًا عن التأثيرات التي قد تحدثها عملية أخرى على بيئة التشغيل. يتم إنشاء قناة سرية من خلال عملية الإرسال، والتي تعدل بعض الحالات (مثل المساحة الحرة، وتوافر بعض الخدمات، ومهلة بدء التشغيل، وما إلى ذلك)، والتي يمكن اكتشافها من خلال عملية الاستلام.

تحدد المعايير نوعين من القنوات السرية:

• قناة الذاكرة المخفية - تتفاعل العمليات لأنه يمكن للمرء أن يكتب المعلومات بشكل مباشر أو غير مباشر إلى منطقة معينة من الذاكرة، ويمكن للآخر قراءتها. ويعني هذا عادةً أن العمليات ذات مستويات الأمان المختلفة يمكنها الوصول إلى بعض الموارد (على سبيل المثال، بعض قطاعات القرص).
• قناة زمنية سرية - ترسل إحدى العمليات معلومات إلى أخرى عن طريق تعديل استخدامها لموارد النظام (مثل وقت وحدة المعالجة المركزية) بطريقة تؤثر هذه العملية على وقت الاستجابة الفعلي الذي تلاحظه العملية الثانية.

المعايير، والمعروفة أيضًا باسم كتاب برتقالي، تتطلب تصنيف تحليل قناة الذاكرة الكامنة كمتطلب لنظام الفئة B2، وتحليل قناة الوقت الكامنة كمتطلب للفئة B3.

القضاء على القنوات المخفية

لا يمكن القضاء على إمكانية وجود قنوات سرية بشكل كامل، ولكن يمكن تقليلها بشكل كبير من خلال تصميم النظام وتحليله بعناية.

يمكن أن يصبح اكتشاف القنوات السرية أكثر صعوبة باستخدام خصائص وسط الإرسال للقنوات المشروعة، والتي لا يتم مراقبتها أو التحقق منها من قبل المستخدمين. على سبيل المثال، يمكن لبرنامج أن يفتح ويغلق ملفًا بطريقة محددة ومتزامنة يمكن فهمها من خلال عملية أخرى على أنها سلسلة من البتات، وبالتالي تشكيل قناة سرية. وبما أنه من غير المرجح أن يحاول المستخدمون الشرعيون العثور على نمط في فتح الملفات وإغلاقها، فإن هذا النوع من القنوات السرية يمكن أن يظل غير مكتشف لفترة طويلة.

وهناك حالة مماثلة هي تقنية "طرق المنفذ". عادةً، عند نقل المعلومات، لا يكون توقيت الطلبات مهمًا ولا تتم مراقبته، ولكن عند استخدام طرق المنافذ، يصبح مهمًا.

إخفاء البيانات في نموذج OSI

حاول هاندل وسانفورد توسيع المنظور والتركيز على القنوات السرية في نموذج بروتوكول الشبكة العام. يأخذون كأساس لتفكيرهم نموذج شبكة OSIومن ثم تحديد عناصر النظام التي يمكن استخدامها لإخفاء البيانات. يتمتع النهج المتبع بمزايا مقارنة بمنهج هاندل وسانفورد لأن الأخير يأخذ في الاعتبار معايير تتعارض مع بعض بيئات وبنيات الشبكات المستخدمة. كما أنه لم يتم تطوير مخطط اختزال موثوق به.

ومع ذلك، فقد تم وضع مبادئ عامة لإخفاء البيانات في كل طبقة من الطبقات السبع لنموذج OSI. بالإضافة إلى اقتراح استخدام حقول رأس البروتوكول المحجوزة (والتي يمكن اكتشافها بسهولة)، اقترح هاندل وسانفورد أيضًا إمكانية وجود قنوات زمنية فيما يتعلق بتشغيل CSMA/مؤتمر نزع السلاحعلى المستوى الجسدي.

ويحدد عملهم قيمة القناة السرية وفقا للمعايير التالية:

• قابلية الكشف: يجب أن يكون المتلقي الذي يقصد الإرسال فقط هو القادر على إجراء قياسات للقناة السرية.
• عدم القدرة على التمييز: يجب أن تكون القناة السرية غير قابلة للتحديد.
• عرض النطاق الترددي: عدد بتات البيانات المخفية لكل استخدام للقناة.

كما تم تقديم تحليل للقنوات السرية، لكنه لم يأخذ في الاعتبار مشاكل مثل: التفاعل باستخدام الطرق المذكورة بين عقد الشبكة، وتقدير سعة القناة، وتأثير إخفاء البيانات على الشبكة. بالإضافة إلى ذلك، لا يمكن تبرير إمكانية تطبيق الأساليب بشكل كامل في الممارسة العملية، نظرًا لأن نموذج OSI غير موجود على هذا النحو في الأنظمة التشغيلية.

إخفاء البيانات في بيئة LAN

كان Girling أول من قام بتحليل القنوات السرية في بيئة الشبكة المحلية. ويركز عمله على شبكات المنطقة المحلية (LAN)، حيث يتم تحديد ثلاث قنوات سرية واضحة - اثنتان في الذاكرة وواحدة في الوقت المناسب. يوضح هذا أمثلة حقيقية لعروض النطاق الممكنة للقنوات السرية البسيطة في نظام LAS. بالنسبة لبيئة LAS الخاصة، قدم المؤلف مفهوم المعترض الذي يراقب تصرفات جهاز إرسال معين على الشبكة المحلية. الأطراف التي تقوم بالبث السري هي المرسل والمعترض. ويمكن نقل المعلومات المخفية، بحسب جيرلنج، بإحدى الطرق التالية:

• مراقبة العناوين التي يصل إليها جهاز الإرسال. إذا كان عدد العناوين التي يمكنه الوصول إليها هو 16، فهناك إمكانية الإرسال السري بحجم رسالة سرية يبلغ 4 بت. وصنف المؤلف هذه الميزة ضمن قنوات الذاكرة السرية، لأنها تعتمد على المحتوى المرسل.
• تعتمد قناة سرية أخرى واضحة على حجم الإطار الذي يرسله جهاز الإرسال. إذا كان هناك 256 حجم إطار مختلف، فإن كمية المعلومات السرية التي يتم الحصول عليها عن طريق فك تشفير حجم إطار واحد ستكون 8 بت. كما صنف المؤلف هذه القناة ضمن قنوات الذاكرة المخفية.
• الطريقة الثالثة، المؤقتة، تعتمد على الفرق بين أوقات الإرسال. على سبيل المثال، الفرق الفردي يعني "0"، والفرق الزوجي يعني "1". يتم حساب الوقت اللازم لنقل كتلة من البيانات كدالة لسرعة حوسبة البرنامج وسرعة الشبكة وحجم كتلة الشبكة وتكاليف وقت البروتوكول. بافتراض أنه يتم إرسال كتل ذات أحجام مختلفة إلى الشبكة المحلية (LAN)، يتم حساب متوسط ​​استهلاك وقت البرنامج وتقدير عرض النطاق الترددي للقنوات السرية أيضًا.

إخفاء البيانات في حزمة بروتوكول TCP/IP

اتخذ رولاند نهجًا أكثر تحديدًا. من خلال التركيز على رؤوس IP وTCP لحزمة بروتوكول TCP/IP، يستمد رولاند تقنيات التشفير وفك التشفير المناسبة باستخدام حقل تعريف IP ورقم تسلسل بدء TCP وحقول رقم تسلسل الإقرار. يتم تنفيذ هذه الطرق في تطبيق بسيط مكتوب لأنظمة Linux التي تعمل بالإصدار 2.0 من النواة.

يثبت رولاند ببساطة فكرة وجود قنوات سرية في TCP/IP، بالإضافة إلى استخدامها. وبناء على ذلك، يمكن تقييم عمله باعتباره اختراقا عمليا في هذا المجال. تعتبر أساليب التشفير وفك التشفير التي اعتمدها أكثر واقعية مقارنة بالأعمال المقترحة سابقًا. يتم تحليل هذه الأساليب مع الأخذ في الاعتبار آليات الأمان مثل جدار الحماية NAT.

ومع ذلك، فإن عدم إمكانية اكتشاف طرق النقل السرية هذه أمر مشكوك فيه. على سبيل المثال، في حالة إجراء عمليات على حقل الرقم التسلسلي لرأس TCP، يتم اعتماد مخطط يتم فيه إرسال الأبجدية سرًا في كل مرة، ولكن مع ذلك يتم تشفيرها بنفس الرقم التسلسلي.

علاوة على ذلك، لا يمكن تنفيذ استخدام حقل الرقم التسلسلي، وكذلك حقل التأكيد، فيما يتعلق أسكي-تشفير الأبجدية الإنجليزية، كما هو مقترح، حيث يأخذ كلا الحقلين في الاعتبار استلام بايتات البيانات المتعلقة بحزم شبكة محددة.

هناك الجوانب المهمة التالية لإخفاء البيانات في مجموعة بروتوكولات TCP/IP:

• يتم تحديد القنوات السرية في بيئة الشبكة.
• يتم الحصول على طرق تشفير وفك تشفير مرضية للمرسل والمستقبل، على التوالي.
• ولا يؤخذ في الاعتبار تأثير استخدام شبكة الاتصالات المخفية ككل.

ملحوظات

أنظر أيضا

روابط

• Gray-World - فريق تطوير العالم الرمادي: برامج ومقالات
• مركز عمليات الشبكة Steath – نظام الدعم اتصال مخفي

القنوات المخفية

أحد التحديات المرتبطة باستخدام إخفاء المعلومات هو عرض النطاق الترددي. من السهل إخفاء بعض المعلومات؛ يعد إخفاء رسالة بريد إلكتروني بأكملها أكثر صعوبة. لنتأمل هنا مثالاً للاستخدام المعقول تمامًا لرابط البيانات المخفي: يجب على أليس وبوب مناقشة ما إذا كان إجراء معين "آمنًا" أو "تهديدًا". هذه معلومة واحدة إنهم يتبادلون الوصفات بانتظام عبر البريد الإلكتروني واتفقوا على أن العبارة الرئيسية "تكرار الوصفة" ستكون مؤشر الرسالة. إذا كانت الرسالة تشير إلى إمكانية تكرار الوصفة، فهذا يعني أن الإجراء آمن. إذا نص على أنه لا يمكن تكرار الوصفة، فإن الإجراء المقابل يكون خطيرًا. أي وصفة بدون كلمة رئيسية لا تحتوي على رسالة مخفية.

يعمل هذا النوع من الأنظمة لأن الرسالة السرية أصغر بكثير من الرسالة التي تخفيها، وتسمى بشكل عام قناة مخفية (قناة مموهة)(على غرار القناة السرية الموضحة في الفصل الثامن). القنوات السرية قديمة قدم أجهزة الكمبيوتر، وقد استخدمها دائمًا مبرمجون عديمو الضمير "لتنزيل" المعلومات دون موافقة المستخدمين. تخيل أنك مبرمج تقوم بإعداد تقرير عن عملاء البنك، وتريد أن تضع يديك على ملف بالأرقام الفردية (PINs). لم يكن مسموحًا لك بالتحقق من البيانات الحقيقية، ولكن تم تكليفك بكتابة الكود للحصول على تقرير عن قاعدة البيانات التي تحتوي على أرقام التعريف الشخصية. ويمكنك الاطلاع على التقارير التي تم عملها من قبل. يقوم برنامج إنشاء التقرير بإضافة مسافات بعد بيانات كل عميل، من 0 إلى 9، بما يتوافق مع رقم واحد من رقم التعريف الشخصي (PIN) الخاص به. اسمح لمنشئ التقرير الآن باستخدام الرقم الأول في اليوم الأول، والرقم الثاني في اليوم الثاني، وهكذا حتى تكتمل الحلقة ونعود إلى الرقم الأول. هذا كل شيء. إذا تمكن المبرمج من المساعدة في إنشاء تقرير إلكتروني خلال أربعة أيام، فسوف يتمكن من استعادة كافة الأرقام الفردية. (في الواقع، يحتوي على أربعة أشكال محتملة لكل رقم، اعتمادًا على الرقم الذي استخدمه منشئ التقرير. ومن السهل معرفة ماهيته.) لن يرى أي شخص ينظر إلى التقارير أي شيء ضار فيها، وقد فازوا حتى الآن لا تتحقق من الكود المستخدم لإنشاء التقرير (وكم مرة يحدث ذلك؟)، ولن يعلم أحد أن الأرقام الفردية قد تم الكشف عنها.

هناك قصة عن جندي لم يُسمح له بتحديد مكان تمركزه. لم يكن لديه حرف أول متوسط ​​وأرسل سلسلة من الرسائل إلى صديقته باستخدام العديد من الأحرف الأولى الوسطى في التوقيع؛ وبهذه الطريقة أخبر الجميع بمكان وجوده.

الآن بعد أن حصلت على الفكرة العامة، يمكنك التفكير في جميع الطرق الممكنة لإدخال القنوات السرية في المستندات: اختيار الخطوط وأحجام الخطوط، ووضع البيانات والرسومات على الصفحة، واستخدام مرادفات مختلفة في النص، وما إلى ذلك. تسمح العديد من بروتوكولات التشفير استخدم اختيار المعلمات لإنشاء قناة سرية: اختيار البتات العشوائية للحشو أو البتات غير المستخدمة من الحقول. طالما أنك لست جشعًا جدًا وتوافق على جمع المعلومات بملعقة صغيرة، فليس من الصعب تنظيم قناة مخفية في النظام.

يمكنك تسريب أي شيء تريده. الأرقام الفردية هي مثال جيد. مثال آخر هو مفاتيح التشفير. يعد إنشاء جهاز تشفير يقوم بتسريب المعلومات الأساسية عبر قناة مخفية طريقة رائعة لمهاجمة شخص ما.

تم اكتشاف القنوات السرية التي أدخلها المبرمجون عديمو الضمير في جميع أنواع البرامج بمرور الوقت. لطالما كان هناك اشتباه في قيام منظمات استخباراتية، مثل وكالة الأمن القومي، بتشغيل قنوات سرية لتسريب معلومات حول مفاتيح معدات التشفير المباعة لحكومات أجنبية. وتؤكد هذه الفضيحة الأخيرة التي تورطت فيها الشركة السويدية Crypto AG. القنوات الجانبية، التي تمت مناقشتها في سياق الفصل 14، والذي ناقش مقاومة اختراق الأجهزة، يمكن اعتبارها قنوات سرية فعلية.