發信人: chjong@csie.nctu.edu.tw (=?big5?Q?=C1=E9=A9=F7=BF=AB?= Chang-Ha) 日期: Mon, 27 May 2002 04:16:17 +0000 (UTC) 標題: [文件]隱藏通道之使用 信群: tw.bbs.comp.security 看板: 來源: :24044, chjong@ccbsd7.csie.nctu.edu.tw 組織: Computer Science & Information Engineering NCTU 作者 ============================================ 鍾昌翰 chjong@csie.nctu.edu.tw 本文歡迎自由於各種媒體散布 標題 ============================================ 隱藏通道(Covert Channel)之使用 本文 ============================================ 隱藏通道(Covert Channel)為透過一通訊通道,將要傳送資訊經過某種方式編碼傳送,而 此通訊通道並不是為此通訊而設計。交大謝續平教授在多年前有研究使用資訊理論 (Information Theory)的方法估算資訊量(Entropy)而達到偵測隱藏通道的方法。隱藏通 道較為大家所熟知的是浮水印技術,此為將數據資料經過編碼放入多媒體檔案之中,而達 到傳送不被發現有其傳送的事實。 早期的使用如Unix的/tmp可以用來在不同使用者之間傳送資料,而達到竊取資料的目的。 舉例來說,使用者John能夠使用FTP傳送檔案,但不能存取到某個機密檔案;而使用者Mary 可以存取到這個機密檔案,但是不能夠FTP。若Mary與John共謀,且若Mary能夠將此機密 檔案傳送給John,則可借由John之FTP能力而將機密檔案傳出。若John與Mary之間沒有正規 的通訊管道如talk,email等等,但若他們可以有可共用的存取空間/tmp,Mary可以將機密 檔案存到/tmp,且讓John可以讀取,則機密檔案就可順利傳送給John。但若/tmp下的檔案 設計為不能給除自己之外的使用者讀取,則John與Mary依然可以通訊:在同一目錄下不能 有兩個同名的檔案,若Mary已建立某檔案,則John就不能建立同名檔案,利用此特性,將 機密檔案用某種方式編碼,就能夠夠順利的偷走機密檔案。例如以一簡單編碼而言,若此 檔案第S個Bit為1,Mary則建立/tmp/bit_S的檔案。John只要去建立/tmp/bit_S檔案,若 建立成功就知到第S個Bit為0,反之為1。編碼的方式可以參考Information Theory(或稱 Coding)相關理論,此外在以隱藏通到為目標之編碼,應該要支援資料的驗證。 以下兩個問題之解法為作者所推測,目前尚無實驗證實 Q1:若某Intranet與Internet使用防火牆隔開,使得內外只有Web相通,如何隱藏通訊(如某單 位進行通訊管制,但是內部背叛人員想外對外通訊)? A1:有一法為類似前述之在/tmp建立檔案來使用隱藏通道之方法。HTTP Proxy可以視為是一 個可以儲存資訊之裝置。若某個Internet Object(如圖檔)被Proxy處理過而儲存在HTTP Proxy之中,則再次透過此Proxy 去存取此Internet Object的回應時間將會比較短。因此 資訊就可以用此法來傳送。 Q2:若某Intranet與Internet使用防火牆隔開,而Intranet內部主機A並沒有擁有連外之權 限,如何向外傳送訊息? A2:可以從主機A向外發送大量封包,則防火牆之忙著處理大量封包, 而使得其反應速度變慢。若防火牆之配置不為Screened-subnet (依Stallings書中之分法, 為兩台防火牆),這時從外向此單位進行如Ping等動作,則可能會有回應快慢之差別,就可 以用來將資訊由內向外傳送。 -- "There is no security vulnerability, until you find it" ◇ 鍾昌翰, Chang-Han Jong chjong@csie.nctu.edu.tw ◇ .