2007年2月13日

[selinux-users:01843] Re: CovertChannel Analyze


 みやもとです。

Kazuki Omo said:
> 面@LIDSの人ですがセキュリティ全般もやってます。
> FYI/備忘録を兼ねてです。
> 以前から興味があったCovert Channel(隠しチャネル)解析ですが、
> この辺の話は例のレインボーシリーズの中の"Light Pink"として

> 1993年に出ていたのですね。
> http://www.fas.org/irp/nsa/rainbow/tg030.htm
> です。古い情報だけど、面白そうです。

 かなーり前ですが、まとめてみたものが以下にあったりします(汗)。

 Covert Channel and Encrypted Traffic
  〜偽装通信とその見破り方へのアプローチ〜
http://www.todo.gr.jp/~wakatono/cakeoff20050528_CovertChannel.pdf

 習作ではありますが、Optionフィールドに隠した場合の見え方(covert_tcp.cを
改造してみた)ですとか、偽装通信のパケットダンプがどう見えるか?とかの話や
見つけ方のアプローチをまとめてたりします。

 偽装って、概念はともかく実装はごろごろしてたりするんで、偽装通信を行える
余地を減らしていくなどして監査対象を絞らないと、なかなか見つけづらいです。

 あと、これは私の解釈ですが、偽装通信は「通信を見つけにくくする」ためのアプ
ローチであり、本当に内容を見られない(偽装とバレても解析を困難とする)ため
には、偽装してまでも送る内容を暗号化する、という手段は取られると考えるべき
でしょう。もしくは偽装後のパケットを(パケットそのものに手を加えることなく)
暗号化する、IPsecトンネルモードみたいなアプローチを取るのでは、という感じ
ですかね。

--
宮本 久仁男 ( Kunio Miyamoto ), PMP
Microsoft MVP (Windows - Security , 2004/10 - 2007/9)
E-mail: wakatono@xxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/
wakatonoの戯れメモ : http://d.hatena.ne.jp/wakatono/


投稿者 xml-rpc : 2007年2月13日 11:24
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/54167
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。