Скидка на заказ дипломной работы

Анализ моделей и классификация атак скрытых каналов в дипломной работе

Исследование моделей и классификация атак скрытых каналов в дипломной работе. Актуальность дипломов по атакам с использованием скрытых каналов

Проведем анализ моделей реализации атак с использованием скрытых каналов с целью выявления наиболее актуальных угроз автоматизированной системы. Широкое распространение атак использующих уязвимость вида «скрытый канал» можно обосновать широким распространением большого количества программных средств различной направленности, с помощью которых возможно создать необходимый скрытый канал, например:

1) Графические редакторы.

2) Аудио редакторы.

3) Текстовые редакторы.

4) ОС.

5) Сайты, содержащих приложения для создания скрытых каналов и стеганографии.

Для защиты от скрытых каналов в автоматизированной системе необходимо знать способы их реализации и механизмы работы. Наиболее распространенные типы скрытых каналов приведены ниже. Скрытые каналы можно разбить на 4 основных класса, по методу воздействия:

1) Стеганографические (внесение изменений в графику, аудиофайлы, исполняемые файлы).

2) Сетевые (внесение изменений в TCP/IP пакеты).

3) Текстовые манипуляции (словесные манипуляции, замены).

4) Манипуляции с механизмами операционных систем (скрытие данных, незадекларированная передача информации).

5) Манипуляции с открытыми данными (расположение некоторым, не случайным образом, появление в определенной последовательности и др.).

В дипломной работе следует привести перечень факторов, способствующих распространению скрытых каналов в автоматизированных банковских системах:

1) Широкое использование автоматизированных банковских систем (практически любой коммерческий банк имеет системы дистанционного банковского обслуживания).

2) Наличие современных программных и высокопроизводительных аппаратных средств у злоумышленников.

3) Распространенное использование дистанционного банковского обслуживания вплоть до интернет ресурсов с персональными предложениями для каждого клиента.

Схема скрытого канала в общем виде представлена на рисунке 1.

 

Схема скрытого канала

Рисунок 1 – Схема скрытого канала.

 

Широкое распространение в виду простоты организации получили скрытые каналы на основе широко распространенных сетевых протоколах.

Наиболее распространенными являются протоколы TCP/IP и DNS. В протоколе TCP/IP организовать скрытый канал можно используя заголовки пакетов.

В случае с протоколом DNS обмен данных происходит по общей схеме представленной на рисунке 2.

 Общая схема обмена данных в протоколе DNS

Рисунок 2 – Общая схема обмена данных в протоколе DNS.

 

Таким способом реализуется скрытый канал с низкой пропускной способностью. В дипломной работе следует отметить, что обнаружение данного канала весьма затруднено по ряду причин:

1) Канал может быть задействован крайне непродолжительное время.

2) Отобрать данный запрос из сотен, а то и тысяч запросов проходящих через DNS весьма затруднительно.

3) Запрос является по сути обычным, и ничем не выделяется, и с первого взгляда не несет никакой информативной нагрузки.

В дипломной работе следует рассмотреть скрытый канал, который может быть основан на базе протокола HTTP. В протоколе http возможно реализовать скрытый канал связи с помощью get-запросов и с помощью «cookies». В варианте с «cookies» общая схема реализации скрытого канала приведена на рисунке 3.

Общая схема реализации скрытого канала «cookies»

Рисунок 3 – Общая схема реализации скрытого канала «cookies».

 

Использование перестановок. Основная идея: отслеживание последовательностей обращений к определенным ресурсам сети Интернет. Например, если злоумышленник контролирует сайты (определенные разделы сайтов) В1..Вn , то сформированная последовательность обращений Вi1..Bin, являющаяся перестановкой, является кодом передаваемого сообщения. Также могут использоваться гиперссылки внутри определенного документа на другие разделы сайта.

Как видно, скрытые каналы на основе открытых широко распространенных сетевых протоколов, несмотря на то, что являются каналами с низкой пропускной способностью, имеют ряд преимуществ:

1) Крайне низкая стоимость создания.

2) Относительно высокая сложность обнаружения.

Использование данных скрытых каналов оправдано в роли управляющих, при гибридной атаке, с помощью нескольких типов скрытых каналов или в связке с другими типами атак.

Скрытые каналы в графических файлах основываются на внесении некоторого количества изменений в исходный файл. В данном методе необходимо учитывать, что чем больше внесенных изменений, тем проще обнаружить данный канал. В общем случае доля внесенной информации не должна превышать 20-25% от исходной. Если использовать графический файл 1мб, то он способен нести в себе до 200кб внесенных данных. Вероятность обнаружения резко падает в случае использования группы файлов. Также растет пропускная способность данного канала.

Программа позволяет скрыть данные размером до 256мб в множестве файлов с расширениями аудио, видео, графических файлов, а также в файлах flv, swf, pdf. Данный метод может быть применим в реализации скрытых каналов в автоматизированных банких системах, т.к. у каждого банка существует интернет ресурс дистанционного обслуживания, в котором содержиться множество рисунков вплоть до персональных предложений для каждого клиента.

В дипломной работе следует исследовать скрытые каналы в звуковых файлах. Принцип работы полностью повторяет таковой в графических файлах, но т.к. размер аудио файлов значительно превышает размер графики, то значительно возрастает пропускная способность. Так, средний размер mp3файла составляет 5мб, 20% полезной нагрузки составит 1мб скрытно переданных данных, всего в одном файле. При использовании высококачественных аудио файлов форматов LOSSLESS (FLAC) размер передаваемых данных в одном файле может доходить до сотен мегабайт.

Скрытие данных с использованием уязвимостей файловых систем. Любая современная файловая система, будь то ext3 или NTFS, позволяет добавлять к файлам некоторую служебную информацию.

Так, например в файловой системе NTFS можно присвоить файлу атрибут «архивный» или «скрытый», и если присвоить этот атрибут не случайным, а заранее определенным способом, то по характеру распределения можно задать определенное информационное сообщение. Также в файловой системе NTFS введены дополнительные атрибуты, для обеспечения совместимости с MAC OS, используя их также возможно передать информацию.

В этом случае пропускная способность скрытого канала зависит от количества используемых файлов и используемых полей. Но необходимо учитывать, что более полное наполнение файлов разными атрибутами повысит вероятность обнаружения данного канала связи. Также, при сохранении данных файлов в другой файловой системе все скрытые данные будут утеряны. В целом данный канал связи можно использовать больше для управления, нежели для передачи большого количества данных. Данный вид скрытого канала также актален в рамках нашей работы, т.к. банк обменивается с клиентами различной документацией в различных форматах.

Организация скрытого канала в легальном канале связи с помощью видоизменения флага «Идентификация» в пакете TCPv.4

Рисунок 4 – Организация скрытого канала в легальном канале связи с помощью видоизменения флага «Идентификация» в пакете TCPv.4.

 

Сложность обнаружения напрямую зависит от выбора сценария и условий постороннего наблюдателя (например, его расположения). Из недостатков стоит упомянуть тот факт, что данный метод трудно реализовать. Нужно выяснить, какие кодеки использует программа для голосовой связи, подобрать кодеки с наименьшей разницей потери качества речи, при этом дающие больше места для вложения стеганограммы. При сжатии теряется качество передаваемой речевой информации. Общая схема реализации данной атаки представлена на рисунке 5.

Реализация атаки TranSteg

Рисунок 5 – Реализация атаки TranSteg.

 

Интересным направлением в дипломной работе представляется также использование механизмов SCTP-протокола. SCTP (Stream control transport protocol) – транспортный протокол с контролем пакетов, транспортный протокол нового уровня, который заменит TCP и UDP в сетях будущего. Уже сегодня этот протокол реализуется в таких операционных системах как BSD, Linux, HP-UX и SunSolaris, поддерживает сетевые устройства операционной системы CiscoIOS и может быть использован в Windows. SCTP-стеганография использует новые характерные особенности данного протокола, такие как мультипоточность и использование множественных интерфейсов (multi-homing).

На основе сведений об уже реализованных атаках этого типа, есть данные о возможной пропускной способности получаемого скрытого канала при реализации атаки в сети сотовой связи. В течении обычного телефонного разговора средней длительностью 9 минут можно скрытно передать 2,2 Мб несанкционированных данных. При этом голосовые пакеты из G.711 перекодировались в G.726, качество речи (MOS) упало с 4.46 до 3.834, что является практически неразличимым для слуха человека, а дополнительная задержка, которая появилась из-за переконфигурации пакетов, составила в общем, всего 4 мс.

Методы SCTP-стеганографии можно разбить на три группы:

1) Методы, в которых изменяется содержимое SCTP-пакетов.

2) Методы, в которых изменяется последовательность передачи SCTP-пакетов.

3) Методы, которые объединяют два предыдущих, влияют на содержание пакетов, и на их порядок при передаче (гибридный метод).

Методы изменения содержимого SCTP-пакетов основаны на факте, что каждый STCP-пакет состоит из частей, и каждая из этих частей может содержать переменные параметры. Вне зависимости от реализации, статистический анализ адресов сетевых карт, используемых для пересланных блоков, может помочь в обнаружении скрытых связей.

Модификация пакетов с использованием гибридного метода может быть представлена на примере системы HICCUPS (Hidden Communication system for Corrupted networks), которая использует несовершенства передачи данных в сетевом окружении, такие как помехи и шум в среде связи, а также обычную подверженность данных к искажению.

HICCUPS является стеганографической системой с распределением пропускной способности в общественной телекоммуникационной сетевой среде. Беспроводные сети (wi-fi, Bluetooth, wimax), в отличии от проводных(Ethernet), более восприимчивы к возможному искажению данных, и поэтому использование помех и шума в канале связи во время работы системы выглядит стандартно, а значит незаметно. «Прослушка» всех кадров с передающимися данными в среде распространения и возможность повторной отправки поврежденных кадров с неверно откорректированными кодовыми значениями – две самые важные сетевые особенности, абсолютно необходимые для реализации HICCUPS. В частности, беспроводные сети передачи данных в АИС используют воздушную среду распространения и соединение с динамически меняющейся частой ошибок в битах (BER), что обеспечивает возможность искусственно вводить поврежденные кадры в передачу. Данный метод обладает довольно низкой пропускной способностью (зависит от сети), сложной и громоздкой реализацией, но низкой стеганографической стоимостью и довольно высокой сложностью обнаружения. Но тем не менее, вероятность обнаружения есть, ведь если провести анализ кадров с ошибками с (неверной контрольной суммой), то выяснится что в кадрах с ошибками прослеживается логика, периодичность, и это может привести к обнаружению скрытого канала связи.

Метод RSTEG основывается на механизме повторной передачи пакетов, суть которого заключается в том, что: когда отправитель А посылает пакет, то получатель Б, не смотря на получение пакета от А, не отвечает пакетом с флагом подтверждения, следовательно должен сработать механизм повторной отправки пакета, и на этом этапе посылается пакет с внедренной стеганограммой, то есть организуется скрытый канал. Но и в этот раз, получатель принимает пакет и не производит отсылку подтверждения его получения. Пакет высылается повторно еще раз, но в этот раз, уже начальный, без внедренной стеганограммы, и получатель получив его, отсылает подтверждение получения. Сеанс передачи закрывается, в результате чего санкционированные данные были получены адресатом без изменений содержимого, и дополнительно была проведена передача данных по скрытому, несанкционированному каналу, реализуемому в легальном канале связи. Производительность (пропускная способность канала связи, реализуемого с помощью метода RSTEG) зависит от совокупности нескольких факторов, таких как детали процедур связи (в частотности, размер полезной нагрузки пакета, частота, с которой генерируются сегменты и так далее).

Общая схема реализации данной атаки приводится на рисунке 6.

Общая схема реализации атаки с применением метода RSTEG, с использованием протокола SCTP

Рисунок 6 – Общая схема реализации атаки с применением метода RSTEG, с использованием протокола SCTP.

 

RSTEG на основе RTO характеризуется низкойвероятностью обнаружения и низкой возможной пропускной способностью, а SACK обладает максимальной для RSTEG пропускной способностью, нок сожалению более легко обнаруживается в АИС. Применение RSTEG с использованием TCP протокола является обоснованным выбором для IP-сетей. Из недостатков данного метода следует выделить то, что данный метод довольно сложно реализуем, особенно те его вариации, которые основываются на перехвате и исправлении передаваемых санкционированными пользователями АИС пакетов. К тому же в связи с резким ростом количества пересылаемых (ретранслируемых) пакетов или появления не стандартных, не свойственных данному каналу связи задержек, возникающих вследствие передачи стеганограммы могут вызвать подозрения у администраторов АИС.

LACK (Lost Audio Packets Steganography) – метод создания скрытых каналов передачи информации в автоматизированных информационных системах, основанный на внедрении преднамеренных задержек в передаче аудио пакетов. Это ещё один метод, реализуемый посредством VoIP телефонии. Связь через IP-телефонию состоит из двух составляющих: сигнальной (операция дозвона) и разговорной (непосредственно обмен информацией). В обеих составляющих реализации VoIP телефонии происходит передача трафика в обе стороны, участвующие в передаче. Для передачи данных в легальном канале используется сигнальный протокол SIP и RTP (с RTCP, который выступает в роле управляющего протокола). Это означает, что в течение определенного времени (сигнальная фаза вызова), конечные точки SIP (называемые пользовательские SIP агенты) обмениваются некоторыми SIP сообщениями. Обычно SIP сообщения проходят через аналогичные SIP-сервера: прокси или перенаправление, что обеспечивает пользователям возможность поиска друг у друга необходимой информации. После данного этапа начинается непосредственно фаза передачи информации (разговора), где аудио-поток (RTP) идёт в обоих направлениях между абонентом инициировавшим передачу, и абонентом, ответившим на вызов первого. Данный метод имеет определенные преимущества и недостатки. Пропускная способность получается не меньше, а иногда бывает и выше, чем у других алгоритмов, использующих аудио пакеты для организации скрытого канала передачи данных в автоматизированных информационных системах. Но недостатком является то, что при намеренном вызове потерь ухудшается качество связи, что может вызвать подозрение или у обычных пользователей или у администраторов АИС. Исходя из представленных методов стегоанализа LACK, можно заключить, что метод обладает довольно средней сложностью обнаружения, но может быть реализована высокая пропускная способность получающегося скрытого канала связи. Также к недостаткам можно отнести высокую сложность реализации данного метода, и дополнительно может быть не реализуема в некоторых операционных системах. Общая схема реализации атаки с использованием метода LACK представлена на рисунке 7.

Общая схема реализации атаки в сетях VOIP телефонии с использованием метода LACK

Рисунок 7 – Общая схема реализации атаки в сетях VOIP телефонии с использованием метода LACK.

 

Скачать дипломную работу по атакам с использованием скрытых каналов

 

Скачать другие готовые или купить дипломную работу по атакам с использованием скрытых каналов

Заказать дипломную работу по атакам с использованием скрытых каналов или оценить стоимость можно при помощи формы ниже.

Запрос отправлен

В течение 15 минут с Вами свяжется дежурный администратор и сообщит окончательную стоимость работы

Контактные данные дежурного автора:

 

Телефон: 8 (800) 350-91-37

WatsApp, Viber, Telegram: 8 (952) 54-54-600

Группа VK: club.projectit

Skype: a.projectit

Электронная почта: a.projectit@gmail.com

Топ-100