- Covert Channels
-
In der IT-Sicherheit ist ein covert channel ein parasitärer Kommunikationskanal, welcher Bandweite von einem legitimierten Kommunikationskanal benutzt, um Informationen zu übermitteln.
Inhaltsverzeichnis
Eigenschaften
Alle covert channels benötigen Bandweite (Informationskapazität) von einem legitimierten Kommunikationskanal. Dadurch verringern sie die Bandbreite des legitimierten Kanals. Der covert channel versteckt sich geschickt in dem legitimierten und ist somit schwer bis gar nicht zu entdecken.
Ein Beispiel ist die Steganographie, bei welcher wenige Details eines Bildes geändert werden, um weitere Informationen (Text) in dem originalen Datensatz (Das Bild) einzubringen. Die zusätzliche Information ist für den Benutzer auf den ersten Blick nicht erkennbar.
- Ein Unterart der Steganographie benutzt das low-order bit jedes Pixels, um die versteckte Nachricht im Bild unterzubringen. Nur genau diese Bits bilden die Nachricht ab, alle anderen Bits bilden das legitime Bild ab. Diese subtile Änderung kann nur erkannt werden, wenn explizit danach gesucht wird.
- Das Hintergrundrauschen in Tondateien kann ebenfalls weitere Signale verbergen; dies kann als Watermarking verwendet werden, um Tondateien eindeutig zuzuordnen.
Die Bandweite
Da jeder covert channel Bandweite (Informationskapazität) von dem legitimen Kommunikationskanal benutzt, ist ein covert channel einfacher zu detektieren, wenn er mehr Bandweite benutzt.
- Ein Steganographie-System, welches auf dem low-order bit basiert, benötigt wenig Informationskapazität im Vergleich zur benötigten Informationskapazität eines Bildes.
- Ein Steganographie-System, welches auf dem high-order bit basiert, benötigt viel Informationskapazität und kann somit von einem Benutzer von Auge erkannt werden.
TCSEC
Die Trusted Computer Security Evaluation Criteria (TCSEC) ist eine Zusammenstellung von Kriterien, welche für sicherheitskritische Systeme verwendet werden. Diese Kriterien garantieren sicherheitsrelevante Eigenschaften eines Computersystems. Unter diese fallen auch die covert channels, wobei diese hier auf sicherheitskritische Systeme angelegt sind.
Ein covert channel bezieht innerhalb der TCSEC-Kriterien auf den Informationsfluss von höher eingestuften compartments (Klassifikation einer Information) zu tiefer eingestuften compartments (Klassifikation einer Information), siehe hier auch Mandatory Access Control.
Es werden folgende covert-channel-Typen unterschieden:
- Speicherkanal (Storage channel) – Kommunikation über gespeicherte Daten.
- Zeitkanal (Timing channel) – Information werden über zeitliche Abfolgen informationstechnischer Verarbeitungen übertragen.
Ein Computersystem, welches die Klassifikation B2 nach TCSEC besitzt, muss auf die Speicherkanäle analysiert worden sein und ab B3 auch auf Zeitkanäle.
Gegenmaßnahmen
Die Möglichkeit, dass covert channels in einem Computersystem vorhanden sind, kann weder ausgeschlossen, noch sinnvoll verhindert werden. Es wird immer Möglichkeiten geben, einen Gastkanal zu benutzen.
Als Beispiel kann hier das Öffnen und Schließen einer Datei dienen: ein Programm öffnet und schließt nach zeitlichen Kriterien, ein anderes Programm überwacht diese Datei und interpretiert die Zeitabstände als eine binäre Information. Benutzern wird es unmöglich sein, ein solches Verhalten zu erkennen.
Wikimedia Foundation.