Проблемы выявления скрытой передачи информации по сетям
Алексей Николаев, специалист по защите информации ОАО "Концерн Вега"
Инсайдер – лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании, а также лицо, добывающее конфиденциальную информацию о деятельности компании и использующее ее в целях личного обогащения.
В сфере информационных технологий компании сталкиваются с рядом проблем безопасности. Одной из таких проблем является возможность попадания конфиденциальной информации в локальные вычислительные сети (ЛВС) компаний, предполагающие доступ к ресурсам сети Интернет, что приводит к появлению рисков, связанных с возможностью утечки этой информации.
Уровень материального ущерба компаний (как потенциально возможного, так и фактического ущерба) от скрытой утечки информации весьма высок. Он также приводит и к ущербу репутации пострадавших компаний. По мнению специалистов, утрата 20% информации, являющейся конфиденциальной, в 60 случаях из 100 приводит к банкротству компании. Притом многие исследовательские компании отмечают – более 80% всех инцидентов, связанных с нарушением информационной безопасности, вызваны внутренними угрозами. Источниками таких угроз, повлекших за собой нарушение конфиденциальности информации, являются инсайдеры.
Результаты исследований Результаты анализа инцидентов за 9-й месяц 2008 г., представленные компанией InfoWatch, показали, что утечки с использованием сетей, в том числе Интернета, составили 41% от всех умышленных инцидентов (табл. 1). Преднамеренные причины утечки составили 36,9% за тот же месяц, и это при том, что 13,3% утечек по своему статусу не определены (табл. 2).
Такая статистика говорит о том, что существует весьма актуальная проблема скрытой передачи конфиденциальной информации по сети.
Основные каналы утечки конфиденциальной информации Опыт показывает, что скрытую передачу информации обнаружить сложней. Как правило, канал утечки информации путем ее скрытой передачи обнаруживается только после его длительной эксплуатации инсайдером. Таким образом, наиболее опасной угрозой можно считать скрытую утечку конфиденциальной информации, которая может быть весьма продолжительной.
В случае когда объединение компьютеров в ЛВС предполагает подключение этой сети к внешним сетям, возникает ряд возможностей образования скрытых каналов утечки конфиденциальной информации.
Основные каналы утечки конфиденциальной информации, характерные для таких сетей:
- несанкционированное копирование конфиденциальной информации на внешние носители, ее вынос за пределы контролируемой зоны;
- вывод на печать конфиденциальной информации и ее вынос на распечатанных документах за пределы контролируемой зоны;
- несанкционированная передача конфиденциальной информации по сети во внешние сети за пределы контролируемой зоны;
- хищение носителей конфиденциальной информации.
Способы скрытой передачи информации Борьба с намеренными утечками – задача весьма сложная. Эффективность такой борьбы в основном заведомо ниже, чем борьбы со случайными утечками, в силу того что предстоит противодействовать злонамеренным ухищрениям инсайдеров, на вооружении которых имеется ряд интересных возможностей скрытой передачи, а также программных и даже аппаратных средств ее реализации.
Все большую опасность приобретают следующие способы скрытой передачи информации:
- возможность скрытого канала утечки информации возникает при использовании инсайдерами анонимных https- и других защищенных проксисерверов: туннелирование, которое позволяет злоумышленнику, используя разрешенный протокол, передавать по нему конфиденциальную информацию, минуя межсетевой экран;
- стеганографические способы сокрытия информации в различных файлах путем камуфлирования;
- шифрование инсайдером конфиденциальной информации перед ее отправкой;
- использование инсайдером вредоносных программ для реализации скрытой передачи информации.
Варианты закрытия каналов утечки информации - изолирование ЛВС для работы с конфиденциальной информацией;
- использование системы удаленного и локального мониторинга рабочих станций пользователей;
- использование средств криптографической и антивирусной защиты информации;
- применение средств контентного анализа передаваемых данных как во внешнюю сеть, так и из внешней сети в ЛВС компании;
- применение средств контроля доступа к внешним носителям.
Решения проблемы Можно воспользоваться возможностью детектировать наличие в общем потоке данных зашифрованности и стеганографической закамуфлированности конфиденциальной информации для того, чтобы обнаружить скрытые каналы утечки информации и перекрыть их на основе полученных результатов. Однако существует проблема выбора оптимального уровня производительности компьютера при реализации такого контроля и анализа в режиме реального времени – нужна большая производительность анализаторов трафика. Суть в том, что такие алгоритмы могут значительно задерживать передачу информации, что очень негативно сказывается на бизнесе компании. На все 100% контролировать внешнюю сеть весьма затруднительно. А на локальном уровне такой глубокий контроль приводит к ряду неудобств, связанных с необходимостью использования скрытых видеокамер, кейлоггеров, удаленного мониторинга, закрытия портов, а в такой обстановке сотрудникам уже становится работать как минимум неудобно.
Одно только частичное решение проблемы путем контроля и анализа трафика не является панацеей. Проще изолировать локальную сеть с обработкой конфиденциальной информации, чем контролировать передачу информации на внешние серверы. Поэтому будет надежней, если в компании будет предусмотрена и реализована специально выделенная изолированная локальная сеть для обработки конфиденциальной информации в рамках контролируемой зоны, а для работы с открытой информацией – внешняя сеть, которая имеет подключение к Интернету. Мониторинг компьютеров внешней сети осуществляет администратор безопасности, который будет контролировать с использованием различных средств защиты компьютеры сотрудников, работающих в такой сети. Таким образом, эффективнее наряду с другими способами защиты использовать комплексный подход с изолированием сегмента ЛВС для обработки конфиденциальной информации и применять при этом средства для борьбы с инсайдерами для внешнего сегмента компании, что позволит сократить угрозы и минимизировать риски утечки информации.
Скрытая передача конфиденциальной информации злоумышленником с использованием самых разнообразных средств – большая угроза безопасности компании.
Таблица 1. Распределение по носителям для умышленных утечек (9-й мес. 2008 г.)
Носители | Количество | Доля |
Мобильные носители информации | 14 | 15% |
Стационарный компьютер или диск | 13 | 14% |
Сеть (в том числе Интернет) | 38 | 41% |
Paper document | 2% | |
Другое | 6 | 7% |
Не установлено | 21% |
Таблица 2. Причины утечки информации (9-й мес. 2008 г.)
Причина утечки | Количество инцидентов | Доля от общего количества |
Намеренные | 92 | 36,9% |
Случайные | 124 | |
Не установлено | 33 | 13,3% |
***
Комментарий эксперта
Евгений Мельников, начальник отдела информационной безопасности департамента ИТ ГК ЗАО "Тандер" Евгений Иванов, Анна Орехова, специалисты по информационной безопасности департамента ИТ ГК ЗАО "Тандер"
Утечка информации, а равно ее хищение (несанкционированное копирование) является серьезной проблемой информационной безопасности в организации любого масштаба. В случаях, если она произошла, необходимо выявить ее канал и не допустить повторение инцидента.
***
Скрытая передача информации
При скрытой передаче информации скрывается сам факт ее передачи. Обнаружить такой канал утечки очень непросто. А значит, злоумышленник может вновь и вновь использовать его в своих целях. Возможностей скрыто передавать информацию бесконечно много, достаточно просто проявить фантазию. Организовать скрытую передачу информации может как злоумышленник извне, так и сотрудник компании. Совсем не обязательно обладать правами администратора, достаточно иметь доступ к информации, желание ее продать и человека, готового ее купить.
Можно привести простой пример. Два пользователя договариваются, что, если слово в сообщении содержит нечетное количество букв, передается бит, равный 1, а если четное – 0. В случае когда в роли злоумышленника выступает администратор, возможно внедрение программы-закладки, которая будет скрытым образом передавать информацию или позволит управлять сетью извне.
Бывает и так, что разработчики программного обеспечения внедряют в код недокументированные функции, исполнение которых может привести к нарушению целостности корпоративной информации.
***
Способы организации скрытых каналов
В последнее время все чаще можно услышать о так называемых скрытых каналах передачи данных. Само это понятие существует с 1973 г., где скрытым называется канал, который не проектировался и не предполагался для передачи информации в электронной системе обработки данных. Для организации скрытого канала необходимо наличие закладки в программном или аппаратном обеспечении.
Один из способов организации скрытого канала – перестановка сетевых пакетов определенным образом. При этом на основе заранее оговоренных признаков передается последовательность бит.
Еще один способ организации скрытого канала – использование алгоритмов электронной цифровой подписи. С.В. Белим и А.М. Федосеев в 2007 г. провели исследование и доказали возможность создания скрытых каналов в рамках алгоритма электронной цифровой подписи ГОСТ Р 34.10–2001.
Ранее в работах зарубежных авторов показана реализация скрытых каналов для цифровых подписей Онга-Шнорра-Шамира, Эль-Гамаля, ESIGN и DSA.
Конечно, простые пользователи, желающие продать информацию конкурентам, будут искать более простые способы ее хищения. Но в рамках информационной безопасности (защиты коммерческой тайны организации) данная проблема актуальна. Так как большая часть используемого аппаратного и программного обеспечения является импортным, то вероятность внедрения закладок увеличивается. Используя скрытый канал, злоумышленник может не только получить доступ к конфиденциальной (служебной) информации, но и внедрить вредоносный код или передать команду на исполнение.
В России о разработке научной методологии организации борьбы со скрытыми каналами в информационных сетях было заявлено в конце 2006 г. Российские ученые разработали математическую модель построения скрытых каналов, оценки их пропускной способности и методов борьбы с ними.
В августе 2006 г. независимый эксперт по вопросам информационной безопасности Роберт Мерфи представил программный продукт VoodooNet. Здесь для скрытой передачи информации используется протокол IPv6. Многие продукты обеспечения безопасности не контролируют данные, передаваемые по этому протоколу, тогда как этот стандарт поддерживается программным обеспечением маршрутизаторов. Для решения проблемы скрытой передачи информации данным способом необходимо использовать сетевые устройства, контролирующие данные, передаваемые по протоколу IPv6.
Еще одним способом скрытой передачи информации является передача данных на основе хаотической синхронизации. А. Короновский, О. Москаленко, П. Попов, А. Храмов в 2008 г. предложили новый способ, характеризующийся устойчивостью к шумам и флуктуациям в канале связи.
Заключение
Итак, подведем итоги. В условиях жесткой конкурентности используются любые способы и методы добывания информации, разглашение которой может нанести компании массу проблем, начиная с проверок правоохранительными органами, потери доверия клиентов, инвесторов и кредиторов.
В рамках кризиса проблема утечки конфиденциальной (служебной) информации только возрастает. Все это требует пристального внимания администраторов безопасности, а также научного подхода к проблеме. Необходимо внедрение организационных методов (разработка регламентов обеспечения информационной безопасности с обязательным доведением до всех сотрудников организации), проверка устанавливаемого программного обеспечения на наличие недекларируемых возможностей, экранирование сети, наличие грамотно настроенной системы антивирусной защиты, а также постоянный контроль пользователей по использованию средств хранения информации (использование мобильных устройств).
***
Дмитрий Козырев, эксперт ООО "ИНФОРИОН"
Стеганография – наука о сокрытии данных. Как метод, используемый при передаче данных, стеганография скрывает само наличие передаваемой информации. В отличие от криптографических методов, когда сообщение передается зашифрованным текстом, методы стеганографии позволяют встраивать скрываемую информацию в распространенные типы сообщений так, чтобы невозможно было заподозрить (обнаружить) существование инкапсулированной информации.
В настоящее время существует множество утилит и средств для реализации стеганографического сокрытия информации. В связи с этим остро возникает проблема обнаружения передачи скрытой информации в каналах связи и, в частности, обнаружение утечек конфиденциальных данных. В большинстве случаев при сокрытии передаваемой информации используются известные универсальные алгоритмы стеганографии. Но при всей их простоте существует множество реализаций методов внедрения, да и малейшие изменения алгоритмов существенно затрудняют поиск и обнаружение скрытой информации.
Современные специализированные методы обнаружения стеганографического сокрытия информации основаны на обнаружении отклонения статистических характеристик наблюдаемой информации (типов файлов, сообщений) от ее ожидаемой модели. Общий недостаток статистических методов стегоанализа состоит в том, что построение точной математической модели контейнера – возможного носителя скрытой информации – является исключительно сложной и в настоящее время нерешенной задачей. Кроме того, основным ограничением существующих методов является то, что все они позволяют обнаруживать скрытую информацию постфактум.
Методы обнаружения инкапсулированной информации требуют высоких затрат, вычислительных ресурсов, и с учетом объема потенциальных объектов анализа их реализация весьма затруднительна. На практике такие методы на сегодняшний день не реализованы ни одним производителем систем DLP, а вопрос поиска информации, скрытой стеганографическими методами, остается открытым. Таким образом, и на сегодняшний день задача обнаружения утечек конфиденциальных данных в скрытых каналах передачи данных является по-прежнему актуальной.
Список литературы
Information Security №1, февраль-март 2009