Options
2013
Doctoral Thesis
Title
Novel approaches for network covert storage channels
Abstract
Since the late 1980's a large number of techniques to embed covert channels into network protocols were discovered. Covert channels enable a policy-breaking communication while they are additionally hard to detect. While it must be considered non-trivial to counter covert channels in networks, it can be considered trivial to evaluate network protocols in order to nd possible ways to embed hidden information in these protocols. This thesis therefore, does not aim on presenting new covert channels in network protocols (except from exemplary channels in BACnet). Today, covert channels are a useful technique for the development of botnets since these channels can make botnet trac hard to detect. For this reason, it is an attractive goal for botnet developers to enhance existing covert channel techniques. As this gives leeway for the introduction of additional features into covert channels and enhancement of their invisibility. Therefore, the research community must also aim on improving covert channels since it would otherwise be unfeasible to nd means to counter such novel techniques introduced by botnet developers. On the other hand, covert channels must be considered as dual-use betterment as they, for instance, can enable journalists to transfer illicit information in networks with censorship without facing detection. Within the last decade, new covert channels with internal control protocols (so called micro protocols) arose. These micro protocols are placed in the hidden data of the channel and can be considered a powerful technique as they introduce new features such as dynamic routing or reliability. In general, micro protocols control a covert channel but their purpose depends on its given utilization. For instance, a micro protocol used within a botnet could signal a botnet command, such as, to send a Spam mail while the actual hidden payload can comprise a fragment of the Spam message to be sent. This thesis is the rst to discuss the need for improved micro protocol designs as the detectability of a covert channel highly depends on the used micro protocol: If a micro protocol causes anomalies, the detection of a covert channel raises. The rst part (Chapters 3 and 4) of this thesis introduces two approaches for the design and development of micro protocols. The rst approach decreases the size of a micro protocol header to minimize the number of bits to be modied in a network packet
;
Ende der 80er Jahre wurden die ersten verdeckten Kanäle (covert channels) für Netzwerke vorgestellt. Dabei handelt es sich um Kanäle, die eine Policy-brechende Kommunikation realisieren und deren Detektion und Verhinderung als schwierig zu betrachten ist. Daten verdeckter Kanäle werden dabei meist in ungenutzten Bereichen von Netzwerkpaketen untergebracht. In den beiden folgenden Jahrzehnten erschienen diverse Arbeiten, die weitere verdeckte Kanäle { insbesondere für TCP/IP { aufzeigen konnten. Durch diese vorhergehenden Arbeiten kann es heute als einfach betrachtet werden, neue verdeckte Kanäle in weiteren Netzwerkprotokollen zu finden. Gegenstand dieser Dissertation ist deshalb nicht die Vorstellung neuer verdeckter Kanäle innerhalb von Netzwerkprotokollen (mit exemplarischer Ausnahme von BACnet), sondern die generelle Verbesserung und Unterbindung derselben. Heute finden verdeckte Kanäle insbesondere bei Botnetzen Anwendung. Mithilfe dieser Technologie ist es Botnetzen möglich, unentdeckt zu kommunizieren und Angriffe zu koordinieren. Die Weiterentwicklung verdeckter Kanäle seitens der Angreifer (etwa Botnetzentwickler) kann primär das Ziel verfolgen, diese Kanäle funktionsreicher und schwieriger detektierbar zu gestalten. Aus diesem Grund muss die Forschung ebenfalls das Ziel verfolgen, verdeckte Kanäle zu verbessern. Nur wenn dies gelingt, können rechtzeitig Gegenmaßnahmen entwickelt werden, um verdeckte Kanäle zu verhindern. Gleichzeitig sind verdeckte Kanäle als Dual-Use-Gut zu betrachten und können etwa Journalisten eine schwer detektierbare Übertragung regimekritischer Informationen in zensierten Netzwerken ermöglichen. Ein neuerer Ansatz, verdeckte Kanäle zu verbessern, besteht in der Einbettung von Steuerprotokollen (sog. Mikroprotokollen). Dabei handelt es sich um Protokolle, deren Headerbereiche in den versteckten Daten des Kanals untergebracht werden. Mikroprotokolle erweitern einen verdeckten Kanal um Features wie Reliability, Kompatibilität zu alten Protokollversionen oder dynamisches Routing. Im angesprochenen Kontext von Botnetzen können Mikroprotokolle nicht nur den verdeckten Kanal steuern, sondern auch Befehle für einen Bot beinhalten (etwa einen Befehl zum Versenden einer Spamnachricht) während der eigentliche (ebenfalls versteckt übertragene) Payload (etwa ein Fragment einer Spam-Mail) abhängig vom jeweiligen Befehl interpretiert wird. Diese Arbeit zeigt erstmals auf, dass Mikroprotokolle besondere Ansprüche hinsichtlich ihrer Verdecktheit erfüllen müssen { eine Anforderung, die bei anderen Netzwerkprotokollen nicht gegeben ist. Je mehr Anomalien ein Mikroprotokoll im Netzwerkverkehr verursacht, umso wahrscheinlicher ist die Detektion eines verdeckten Kanals. Im ersten Teil (Kapitel 3 und 4) dieser Arbeit werden erstmals Ansätze für die Entwicklung solcher Mikroprotokolle vorgestellt. Zum einen wird dabei die Größe des Mikroprotokolls minimiert: Durch eine geringere Protokollgröße müssen entsprechend weniger Bits im ausgenutzten Netzwerkprotokoll manipuliert werden, wodurch weniger Anomalien im Netzwerkverkehr entstehen. Zum anderen wird ein Verfahren vorgestellt, dass die Konformität eines Mikroprotokolls zum ausgenutzten Netzwerkprotokoll sicherstellt und dadurch ebenfalls Anomalien verhindert. Für die exakte Auseinandersetzung mit der Thematik wird die bestehende Terminologie des Forschungsgebietes verfeinert. Ebenfalls erst einige Jahre alt ist die Idee, verdeckte Kanäle adaptiv zu gestalten, sie also automatisch an sich ändernde Netzwerkumgebungen anzupassen. In diesem Kontext stellt die vorliegende Arbeit ein Zwei-Armeen-Problem in der Initialisierungsphase von verdeckten Kanälen vor, der so genannten Network Environment Learning Phase. Für dieses Problem werden Lösungsvorschläge diskutiert. Verdeckte Kanäle mit Mikroprotokollen können Verbindungen über mehrere Kanäle hinweg simultan realisieren. Solche Kanäle, die ihr Übertragungsprotokoll transparent wechseln können, nennen sich Protocol Hopping Covert Channels. Die Bitraten- Limitierung dieser Protocol Hopping Covert Channels und der verwandten Protocol Channels (die versteckte Informationen durch die Verwendung bestimmter Protokolle signalisieren) war bisher nicht möglich. Diese Dissertation stellt erstmals ein Verfahren zur Limitierung beider Kanaltypen vor und evaluiert dessen Effizienz und Nutzen. Der zweite Teil (Kapitel 5) behandelt erstmals verdeckte Kanäle und Seitenkanäle in der Gebäudeautomation. Dabei wird das Schadpotential solcher Kanäle betrachtet. Dieses Schadpotential liegt insbesondere in der Überwachung von Personen und im Umgehen von Sicherheitsmechanismen der TCP/IP-Netze einer Organisation. Es wird zudem gezeigt, dass zwei verschiedene Arten von verdeckten Kanälen in der Gebäudeautomation existieren: High- und Low-Level-Kanäle. Erstere werden über die Interaktion mit den Sensoren und Faktoren im Gebäude realisiert, letztere sind typische Netzwerkkanäle, die insbesondere ungenutzte Bereiche in Netzwerkpaketen ausnutzen. Weiterhin werden verschiedene Methoden zur Vermeidung von High- und Low-Level- Kanälen präsentiert und analysiert.
Thesis Note
Zugl.: Hagen, Univ., Diss., 2013