Als Teilgebiet des Forschungsfeldes Information Hiding nutzen sogenannte Covert Channels legitime Kommunikationsmechanismen aus, um Informationen unbemerkt zu übertragen und Sicherheitsmaßnahmen zu umgehen. Neben Anwendungen wie der Umgehung von Zensur werden diese zunehmend von Schadsoftware für die Command-and-Control-Kommunikation oder zum Ausschleusen sensibler Daten im Rahmen gezielter Angriffe eingesetzt.
Ein innovativer Ansatz sind History Covert Channels, die Nachrichten als kurze Pointer auf zuvor beobachtete Daten kodieren, wodurch weniger Bits explizit übertragen werden müssen als die Nachricht lang ist. Dieses als Covert-Amplification bezeichnete Prinzip erschwert die Detektion stark. Die Abhängigkeit von beobachtbaren Daten schränkt jedoch die möglichen Einsatzszenarien ein und macht Datenrate sowie Zuverlässigkeit vom verfügbaren Datenvolumen abhängig. Diese Arbeit stellt mit Hash-basierten Amplification Channels (HBAC) ein Konzept vor, bei dem Pointer statt auf konkrete beobachtbare Daten auf beliebige abzählbare zeitliche Events oder statische Elemente referenzieren können. Als zentrale Variante werden intervallbasierte Amplification Channels (IBAC) eingeführt, bei denen Sender und Empfänger Events periodisch selbst erzeugen, wodurch die Abhängigkeit von externen Daten entfällt. Dies verringert die Fehleranfälligkeit gegenüber bestehenden Ansätzen und macht das Verfahren vielseitiger einsetzbar. Bei der Parametrisierung müssen zudem lediglich Netzwerk-Jitter und Clock-Drift berücksichtigt werden. Die Synchronisation erfolgt über ein Master-Slave-Prinzip, wodurch keine gemeinsame absolute Zeitbasis benötigt wird und der Ansatz robust gegenüber konstantem Delay ist. Eine prototypische Implementierung und anschließende Evaluation bestätigten die Praxistauglichkeit des Verfahrens.
Als weiterer Beitrag wurde gezeigt, dass das vorgestellte Konzept auch auf die steganografische Datenspeicherung ausgeweitet werden kann, was anhand einer Implementierung für die Text-Steganografie belegt wurde.
Um die Anzahl der notwendigen Pointer zur Übertragung einer Nachricht weiter zu reduzieren, wurde die IBAC-Implementierung zudem um ein Modul zur Quellkodierung mit den beiden Verfahren ANS und Huffman-Code erweitert. Eine vergleichende Evaluation beider Kodiermethoden zeigte, dass ANS vor allem bei Quellen mit stark schiefer Verteilung und wenigen Symbolen eine deutlich höhere Übertragungsrate erzielen kann. Andernfalls ist Huffman vorzuziehen, da es einfacher zu parametrisieren und flexibler einsetzbar ist.
Rico Böhm-Fernuni Hagen: Entwicklung und Evaluation Hash-basierter Methoden zur Covert-Amplification im Information Hiding
Ulm University Ulm University