Modelo de Evaluación de Canales Ocultos para Establecer una...

Modelo deEvaluaciónde CanalesOcultos paraEstablecer

una Comuni-caciónSegura

Gunnar Wolf

Introducción

Estado delarte

Marcoteórico

Detección derequisitos

Integracióndel modelo

Aplicacióndel modelo

Conclusiones

Modelo de Evaluación de Canales Ocultos paraEstablecer una Comunicación Segura

Gunnar Wolf

Especialidad en Seguridad Informática y Tecnologías de la Información

SEPI � ESIMECU

Proyecto de especialización � 18 de mayo, 2015

1/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Objetivo general

Desarrollo de un modelo descriptivo que permita caracterizar

los distintos canales ocultos de comunicación, y evaluarlos

sobre sus distintos ejes.

Esto permitirá tanto que un administrador pueda compararlos

para necesidades particulares, como auxiliar para que undesarrollador pueda enfocarse en los puntos que necesita paradiseñar una nueva propuesta.

2/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Hipótesis

El desarrollo de un modelo que documente los componentes yprincipales interacciones para la implementación de mecanismos

de comunicación sobre canal oculto contribuirá a su mejorcomprensión y uso, y contribuirá a que los canales ocultos dejende verse desde un punto de vista meramente adversarial para

convertirse en un objeto del estudio formal.

3/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Objetivos particulares (1)

1 Caracterizar escenarios de comunicación legítimaempleando canales ocultos.

2 Realizar una revisión bibliográ�ca de las diferentesimplementaciones de canales ocultos existentes, tanto enla literatura formal cientí�ca/académica como entre lascomunidades de práctica.

1 Explorar y contrastar los distintos espacios de

ocultamiento empleados.2 Determinar la validez de un término único para las

distintas implementaciones.

3 Examinar los fundamentos teóricos sobre los cuales seconstruyen las implementaciones abordadas.

1 Explorar los planteamientos formales respecto al uso decanales de comunicación, espacios de ocultamiento deinformación, estimación de capacidad de canales yautenticación.

4/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Objetivos particulares (2)

4 Analizar y validar la necesidad de este trabajo entre ungrupo amplio de especialistas.

5 Integración de un modelo que permita la descripción ycomparación de los esquemas resultantes del inciso 2.

1 Aplicar el modelo a todos los esquemas presentados,retroalimentándolo de forma iterativa.

6 Desarrollo de una propuesta de canal seguro que ataquea los supuestos planteados en el inciso 1, considerando losaspectos obtenidos del inciso 4.

1 Aplicar el modelo integrado en el inciso 5 a la propuestadesarrollada.

7 Sintetizar la aplicación del modelo a todos los esquemaspresentados (incluyendo al propuesto) en una comparativa

global.

5/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Justi�cación

Existen numerosos esquemas de administración remota deservidores sobre canales cifrados

Pueden resultar insu�cientes para la respuesta a incidentes

Propuesta: Uso de canales ocultos como parte de lagestión completa y proactiva de la seguridad

Presentación de los canales ocultos desde un acercamientono adversarial

Escenarios legítimos ejemplo justi�cando este enfoque:

Administración desde redes públicas o poco con�ables

El administrador inter-jurisdiccional

Gestión de un honeypot

6/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Canales ocultos

Antecedentes

1970s (Lampson; Schaefer) en adelante1990s (NCSC, Serie del Arcoíris)

Port knocking

≈ 2003 (Krzywinsky) � 2006: PopularizaciónCrítica: Izquierdo Manzanares, 2005; deGraaf, 2007Re�namientos

SPA/fwknop (Rash, 2007)Comunicación oculta sobre encabezados (Kundur, 2003;Bo, 2007)

Web knocking (Lebelt, 2005; Bello, 2008; Briganti, 2012)

7/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Ocultamiento esteganográ�co

¾Por qué esteganografía?

Esteganografía sobre objetos binarios vs. texto

8/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Invisibilidad vs. indetectabilidad

¾De quién se oculta la comunicación?

↓

Esteganografía por homoglifos: Invisible, pero trivialmente

detectable (Crenshaw, 2012)

9/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Funciones mímica

SpamMimic (McKellar 2000-2014), basado en las ideaspresentadas por Wayner (1991; 1999; 2009)

10/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Sistema de comunicaciones

Sistema de comunicaciones(Shannon, 1948)

Factores fundamentales de lacomunicación (Hébert, 2011)

11/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Ocultamiento de información, canales subliminales:¾Por qué canal oculto?

Estudio de canales ocultos desde ≈ 1970s (Lampson, 1973)

Enfoque mayormente adversarial

Sistemas en los que el acceso directo está prohibido por

política (Cabuk, 2006)

Imposibilidad de aislar y evitar por completo los canalesocultos (Handel, 1996)

Canales subliminales: De�nición rígida (Simmons, 1983 y1985): Mensaje escondido en la �rma de un mensajecubierta enviado en claro.

¾Qué constituye violación administrativa?¾Y qué acceso legítimo?

12/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Capacidad del canal

Restricción de espacio de comunicación por la naturalezaoculta

Clasi�cación de canales (Wang, 2005)Canal (espacial/temporal) basado en (valores/transiciones)

Ocultamiento máximo: Entropía disponible en el canal

Atributos / tensiones de la buena esteganografía (Codr, 2009)

13/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Autenticación

Contraseñas más frecuentemente utilizadas (Burnett, 2011). Elesquema usuario/contraseña se tiene como débil ya desde

(Morris y Thompson, 1979)

Fortaleza de la autenticación

Espacio de entropía → mínimo absoluto, 72 bits (Smart,2012)

Enfrentando los ataques de reproducción

Sal (Morris y Thompson, 1979), Nonces (Rogaway, 2004)

14/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Aplicación de encuesta

Encuesta sobre las necesidades para la implementación deun canal oculto

Participación abierta, anónimaBusca validar ante un grupo de expertos las hipótesispresentadas

Aplicada a:

Administradores de sistemas (UNAM, Chile)Activistas de privacidad y anonimatoUsuarios de Debian hispanoparlantesCírculo social del autor

97 respuestas completas contabilizadas

15/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Requisitos para la comunicación

¾Qué tan importante le parece cada uno de los siguientesaspectos para la creación de un canal seguro?

16/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Relevancia del trabajo

¾Qué tan de acuerdo está con las siguientes a�rmaciones, en elcontexto de la utilidad para la realización de su trabajo diario u otras

actividades cotidianas?

17/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Fuentes de información

Al desarrollar o implementar una solución relativa a seguridadinformática (. . . ) ¾Qué tan frecuente es que consulte los siguientes

tipos de documentos?

18/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Datos demográ�cos

¾Cuál o cuáles de las siguientes opciones describen mejor suárea de especialización laboral?

19/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Identi�cación personal

Indique si siente pertenencia con alguno (o varios) de los grupospresentados a continuación, o a alguno no contemplado.

20/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

1. Naturaleza del canal

Canal visible (Nominativo)

Técnica de ocultamiento (N)

Fortaleza del ocultamiento (Discretizado)Vector para el ocultamiento (N)

Mecanismo de corrección de errores (D)

Resistencia al ruido (D)

Dúplex (D)

Longevidad (N)

Capacidad (D)

21/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

2. Establecimiento y codi�cación

Inicialización (D)

Acuse de establecimiento (D)Autenticación (D)

Codi�cación y envío de datos (N)

Costo computacional (D)

22/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

3. Reconocimiento y decodi�cación

Identi�cación de mensaje oculto (D)

Evento disparador (D)Autenticación (D)

Decodi�cación del mensaje (N)

Codi�cación de respuestas (N)

Costo computacional (D)

23/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

El problema del con�namiento

Canal visible Técnicaocultamiento

Vectoroculta-miento

Longitud Codi�cación yenvío

Decodi�cacióny respuesta

Bloqueosen acceso aarchivos enel sistemaoperativo

Canal espa-cial basadoen transicio-nes

Conativo Sesión Señalizadopor acceso atres archivoscon bloqueoexclusivo

Señalizadopor acceso atres archivos

24/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

COS sobre IP por almacenamiento


Vectoroculta-miento



ConexionesIP arbitra-rias entrelos partici-pantes

Canal tem-poral basadoen valores

Estética Sesión Mensaje pa-quetizado,codi�cadocon el algo-ritmo elegido,enviando (1)o no (0)mensajes enel tiempo τestablecido

Recibir un nú-mero dado depaquetes, ve-ri�car integri-dad. Se entre-ga a capa su-perior.

25/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

El canal subliminal y las �rmas digitales


Vectoroculta-miento



Comunicaciónabierta y�rmada(compro-bable porterceros)

Esteganografía Fática Señalización El �rmado delmensaje sealtera entredos sub-llavesrelacionadaspara señalizar1 o 0.

Conociendo uy con un men-saje recibido,la sub-llaveelegida indicaun bit.

26/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Capa 1 OSI: Disciplina serial


Vectoroculta-miento



Canal serialpunto apunto

Canal tem-poral basadoen valores

Estética Sesión Basado en lamodulaciónde un �ujo dedatos sobre eltiempo, per-mitiendo (1)o deteniendo(0) el �ujo.

Receptorenvía datosirrelevantes;el emisor losmodula conCTS/RTS, aintervalos de-terminados.Respuestacodi�cadapor el mismoproceso.

27/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Capa 4 OSI: Manipulación del paquete TCP


Vectoroculta-miento



ConexiónTCP/IPcualquiera

Esteganografía Fática Sesión Cada byte sedescomponeen sus bits.Dos bits secodi�can enel encabezadoIP, seis en elTCP. Requie-re privilegiosde adminis-trador.

Interfaz enmodo promis-cuo; registrapaquetescon camposreservados enuso. Requiereprivilegiosde admin.Resp. codif.por el mismoproceso.

28/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Port knocking: Puerto único, mapeo �jo


Vectoroculta-miento



Trá�co nor-mal de red

Esteganografía Conativa Señalización Intentos deconexión(SYN) a puer-tos TCPcerrados ensecuenciapredetermina-da

Identi�car lasecuencia depaquetes conSYN de entrelas con�gura-ciones

29/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Port knocking: Puertos múltiples, mapeo dinámico


Vectoroculta-miento




Esteganografía Conativa Señalización Encabezado�jo, seguidode una seriede golpesque codi�canacorde a lacon�guraciónel puerto aabrir.

Detección desecuencia depaqutes SYN(encabeza-do, puerto,veri�cación,�nalización)en la bitácoradel �rewall.

30/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Autenticación por un solo paquete: fwknop


Vectoroculta-miento




Esteganografía,criptografía

Referencial Señalización Cadena detexto queincluye to-ken, nombrede usuario,timestamp,acción desea-da y otrosdatos, ci-frados yvalidados porhash.

31/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Esteganografía práctica en Internet


Vectoroculta-miento



Una co-nexiónTCP/IPcualquiera

Esteganografía Fática Sesión Bits enviadossecuen-cialmente,empleandoel campoDNF de TCPen paquetescortos.

Captura depaqs. encrudo; buscapaqs. chicosde la conexiónportadora,obtiene ban-dera DNF decada uno,arma el men-saje bit abit.

32/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Webknocking: Golpea diferente


Vectoroculta-miento



SolicitudesWeb(HTTPo HTTPS)

Esteganografía Conativa Señalización No hay envíoposterior, lasolicitud vacodi�cadaen los pará-metros GETo POST dela solicituda la páginamaestra.

No hay envíoposterior, lasolicitud secodi�ca en losparámetrosGET o POSTde la solicituda la páginamaestra.

33/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Escondiendose entre el spam


Vectoroculta-miento



Correo elec-trónico nosolicitado

Esteganografía(función mí-mica)

Emotiva,cona-tiva,refe-rencial,fática

Señalización Separado enbloques, cadauno se pasapor un parserinverso queentrega lacadena querepresentaal árbol deparseo encuestión.

Mensaje en-tregado alparser bloquea bloque; ésteconstruyeun árbolde parseo,obtiene su re-presentaciónnumérica, quees el mensajeoculto.

34/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Comunicación oculta entre servidores HTTP


Vectoroculta-miento



ComunicaciónestándarHTTP

Esteganografía Referencial,conati-va

Señalización Secuenciaaleatoria pormensaje.Ruta entreservidores,sobre paráme-tros y cookiesde solic. Webde terceros(clientes).

No especi�camecanismode deco-di�cación(sólo su es-pacio). Parala respues-ta, empleael mismoesquema.35/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Puertas traseras para atravesar �rewalls


Vectoroculta-miento



Solicitudsobre co-nexiónHTTP

Esteganografía Referencial Señalización Codi�caciónde la solicitudcomo Base64,enviado comoparámetroHTTP

36/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

El ataque a Freenode


Vectoroculta-miento



ConexionesTCP/IPestándar

Esteganografía Conativa,fática

Sesión Comunicaciónpor llave com-partida, RC4.De�ne varioscomandos de4 bytes prees-tableciendoacciones arealizar.

Cifrado porMD4.

37/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Implementación propuesta: HttpSteg


Vectoroculta-miento



SolicitudesWeb(HTTPo HTTPS)

Esteganografía(función mí-mica)

Emotiva,fática,cona-tiva,referen-cial

Señalización El hash y co-mando se pro-cesan por unparser inver-so que entre-ga la cadenaque represen-ta al árbol deparseo.

Mensaje en-tregado alparser, armaun árbol deparseo, ob-tiene su rep.numérica,que es el msj.oculto.

38/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Conclusiones generales

El estudio y desarrollo de los canales ocultos amerita mayoratención en la literatura académica

Área con muchas implementaciones (formales e informales)Clara justi�cación, en lo técnico y en lo social

Se busca hacer las siguientes contribuciones con el modelo:

Facilitar a los administradores de sistemas la comparaciónde implementaciones de canales ocultosPresentar de forma clara y sistematizada los principalespuntos a considerar por investigadores y desarrolladores

39/ 40



Gunnar Wolf

Introducción

Estado delarte

Marcoteórico




Conclusiones

Trabajo a futuro

Hay espacio para análisis más profundo y desarrollosderivados

El tema no es novedoso, pero su tratamiento sí � Y cadavez más necesario

Continuar con la implementación de HttpSteg

Extender al modelo, de meramente descriptivo a indicativopor prioridad de aplicación

40/ 40

Modelo de Evaluación de Canales Ocultos para Establecer una...

Documents

Transcript of Modelo de Evaluación de Canales Ocultos para Establecer una...