Freitag, 21. Juni 2013

Novel Approaches for Network Covert Storage Channels

I just noticed that the university library published the electronic version of my dissertation.

Steffen Wendzel: Novel Approaches for Network Covert Storage Channels [pdf], PhD thesis, University of Hagen, 2013.

Presentation Slides  (in German)

Keywords: covert channel, verdeckter Kanal, Steganografie, Netzwerksicherheit

Abstract (English):
 
Since the late 1980's a large number of techniques to embed covert channels into network protocols were discovered. Covert channels enable a policy-breaking communication while they are additionally hard to detect. While it must be considered non-trivial to counter covert channels in networks, it can be considered trivial to evaluate network protocols in order to find possible ways to embed hidden information in these protocols. This thesis therefore, does not aim on presenting new covert channels in network protocols (except from exemplary channels in BACnet).

Today, covert channels are a useful technique for the development of botnets since these channels can make botnet traffic hard to detect. For this reason, it is an attractive goal for botnet developers to enhance existing covert channel techniques. As this gives leeway for the introduction of additional features into covert channels and enhancement of their invisibility.
Therefore, the research community must also aim on improving covert channels since it would otherwise be unfeasible to find means to counter such novel techniques introduced by botnet developers.
On the other hand, covert channels must be considered as dual-use betterment as they, for instance, can enable journalists to transfer illicit information in networks with censorship without facing detection.

Within the last decade, new covert channels with internal control protocols (so called micro protocols) arose. These micro protocols are placed in the hidden data of the channel and can be considered a powerful technique as they introduce new features such as dynamic routing or reliability. In general, micro protocols control a covert channel but their purpose depends on its given utilization. For instance, a micro protocol used within a botnet could signal a botnet command, such as, to send a Spam mail while the actual hidden payload can comprise a fragment of the Spam message to be sent.

This thesis is the first to discuss the need for improved micro protocol designs as the detectability of a covert channel highly depends on the used micro protocol: If a micro protocol causes anomalies, the detection of a covert channel raises.


The first part (Chapters 3 and 4) of this thesis introduces two approaches for the design and development of micro protocols. The first approach decreases the size of a micro protocol header to minimize the number of bits to be modified in a network packet --- if less bits are required to be modified by the covert channel, the channel will cause fewer anomalies. The second approach ensures the conformity of the micro protocol to the utilized network protocol: If the micro protocol does not violate rules of the utilized protocol, it will also cause less anomalies.
Therefore, the existing covert channel terminology is extended.

The initial connection establishment phase (NEL phase) of network covert channels is enhanced by using these micro protocols and it helps overcoming the two-army problem initially discovered in this thesis.

Covert channels (with or without micro protocols) can utilize various network protocols simultaneously. We call the family of such covert channels protocol switching covert channels. A problem with these channels is the lack of a means to limit their bitrate. This thesis presents the first approach to limit the maximum error-free bitrate of protocol switching covert channels. The approach has been evaluated and can be considered to be applicable in practice.


The second part (Chapter 5) of this thesis discusses the presence of covert and side channels in building automation systems. Their potential for adversaries, which lies in the observation of events and persons in buildings. And finally, in building automation-based data exfiltration to bypass the protection means of a (better protected) enterprise network.

A distinction of such covert channels into  high-level covert channels (based on the interaction with the building) and low-level covert channels (based on the utilization of building automation network protocols) is proposed.
Furthermore, a prevention means to counter high-level covert (and side) channels in building automation systems as well as a prevention technique for BACnet-based covert channels is also presented and evaluated.


Abstract (German):

Ende der 80er Jahre wurden die ersten verdeckten Kanäle (covert channels) für Netzwerke vorgestellt. Dabei handelt es sich um Kanäle, die eine Policy-brechende Kommunikation realisieren und deren Detektion und Verhinderung als schwierig zu betrachten ist. Daten verdeckter Kanäle werden dabei meist in ungenutzten Bereichen von Netzwerkpaketen untergebracht. In den beiden folgenden Jahrzehnten erschienen diverse Arbeiten, die weitere verdeckte Kanäle -- insbesondere für TCP/IP -- aufzeigen konnten. Durch diese vorhergehenden Arbeiten kann es heute als einfach betrachtet werden, neue verdeckte Kanäle in weiteren Netzwerkprotokollen zu finden. Gegenstand dieser Dissertation ist deshalb nicht die Vorstellung neuer verdeckter Kanäle innerhalb von Netzwerkprotokollen (mit exemplarischer Ausnahme von BACnet), sondern die generelle Verbesserung und Unterbindung derselben.

Heute finden verdeckte Kanäle insbesondere bei Botnetzen Anwendung. Mithilfe dieser Technologie ist es Botnetzen möglich, unentdeckt zu kommunizieren und Angriffe zu koordinieren. Die Weiterentwicklung verdeckter Kanäle seitens der Angreifer (etwa Botnetzentwickler) kann primär das Ziel verfolgen, diese Kanäle funktionsreicher und schwieriger detektierbar zu gestalten. Aus diesem Grund muss die Forschung ebenfalls das Ziel verfolgen, verdeckte Kanäle zu verbessern. Nur wenn dies gelingt, können rechtzeitig Gegenmaßnahmen entwickelt werden, um verdeckte Kanäle zu verhindern. Gleichzeitig sind verdeckte Kanäle als Dual-Use-Gut zu betrachten und können etwa Journalisten eine schwer detektierbare Übertragung regimekritischer Informationen in zensierten Netzwerken ermöglichen.

Ein neuerer Ansatz, verdeckte Kanäle zu verbessern, besteht in der Einbettung von Steuerprotokollen (sog. Mikroprotokollen). Dabei handelt es sich um Protokolle, deren Headerbereiche in den versteckten Daten des Kanals untergebracht werden. Mikroprotokolle erweitern einen verdeckten Kanal um Features wie Reliability, Kompatibilität zu alten Protokollversionen oder dynamisches Routing. Im angesprochenen Kontext von Botnetzen können Mikroprotokolle nicht nur den verdeckten Kanal steuern, sondern auch Befehle für einen Bot beinhalten (etwa einen Befehl zum Versenden einer Spam-Nachricht) während der eigentliche (ebenfalls versteckt übertragene) Payload (etwa ein Fragment einer Spam-Mail) abhängig vom jeweiligen Befehl interpretiert wird.

Diese Arbeit zeigt erstmals auf, dass Mikroprotokolle besondere Ansprüche hinsichtlich ihrer Verdecktheit erfüllen müssen -- eine Anforderung, die bei anderen Netzwerkprotokollen nicht gegeben ist. Je mehr Anomalien ein Mikroprotokoll im Netzwerkverkehr verursacht, umso wahrscheinlicher ist die Detektion eines verdeckten Kanals.

Im ersten Teil (Kapitel 3 und 4) dieser Arbeit werden erstmals Ansätze für die Entwicklung solcher Mikroprotokolle vorgestellt. Zum einen wird dabei die Größe des Mikroprotokolls minimiert: Durch eine geringere Protokollgröße müssen entsprechend weniger Bits im ausgenutzten Netzwerkprotokoll manipuliert werden, wodurch weniger Anomalien im Netzwerkverkehr entstehen. Zum anderen wird ein Verfahren vorgestellt, dass die Konformität eines Mikroprotokolls zum ausgenutzten Netzwerkprotokoll sicherstellt und dadurch ebenfalls Anomalien verhindert.
Für die exakte Auseinandersetzung mit der Thematik wird die bestehende Terminologie des Forschungsgebietes verfeinert.

Ebenfalls erst einige Jahre alt ist die Idee, verdeckte Kanäle adaptiv zu gestalten, sie also automatisch an sich ändernde Netzwerkumgebungen anzupassen. In diesem Kontext stellt die vorliegende Arbeit ein Zwei-Armeen-Problem in der Initialisierungsphase von verdeckten Kanälen vor, der so genannten Network Environment Learning Phase. Für dieses Problem werden Lösungsvorschläge diskutiert.

Verdeckte Kanäle mit Mikroprotokollen können Verbindungen über mehrere Kanäle hinweg simultan realisieren. Solche Kanäle, die ihr Übertragungsprotokoll transparent wechseln können, nennen sich Protocol Hopping Covert Channels. Die Bitraten-Limitierung dieser Protocol Hopping Covert Channels und der verwandten Protocol Channels (die versteckte Informationen durch die Verwendung bestimmter Protokolle signalisieren) war bisher nicht möglich. Diese Dissertation stellt erstmals ein Verfahren zur Limitierung beider Kanaltypen vor und evaluiert dessen Effizienz und Nutzen.


Der zweite Teil (Kapitel 5) behandelt erstmals verdeckte Kanäle und Seitenkanäle in der Gebäudeautomation. Dabei wird das Schadpotential solcher Kanäle betrachtet. Dieses Schadpotential liegt insbesondere in der Überwachung von Personen und im Umgehen von Sicherheitsmechanismen der TCP/IP-Netze einer Organisation.
Es wird zudem gezeigt, dass zwei verschiedene Arten von verdeckten Kanälen in der Gebäudeautomation existieren: High- und Low-Level-Kanäle. Erstere werden über die Interaktion mit den Sensoren und Aktoren im Gebäude realisiert, letztere sind typische Netzwerkkanäle, die insbesondere ungenutzte Bereiche in Netzwerkpaketen ausnutzen. Weiterhin werden verschiedene Methoden zur Vermeidung von High- und Low-Level-Kanälen präsentiert und analysiert.

Donnerstag, 20. Juni 2013

Hiding Privacy Leaks in Android Applications Using Low-Attention Raising Covert Channels

A new paper of Jean-Francois Lalande and me got accepted:

Jean-Francois Lalande, Steffen Wendzel: Hiding Privacy Leaks in Android Applications Using Low-Attention Raising Covert Channels, Proc. Int. Workshop on Emerging Cyberthreats and Countermeasures held in conjunction with the ARES conference, 2013 (to appear).

Abstract:
Covert channels enable a policy-breaking communication not foreseen by a system’s design. Recently, covert channels in Android were presented and it was shown that these channels can be used by malware to leak confidential information (e.g., contacts) between applications and to the Internet. Performance aspects as well as means to counter these covert channels were evaluated. In this paper, we present novel covert channel techniques linked to a minimized footprint to achieve a high covertness. Therefore, we developed a malware that slowly leaks collected private information and sends it synchronously based on four covert channel techniques. We show that some of our covert channels do not require any extra permission and escape well know detection techniques like TaintDroid. Experimental results confirm that the obtained throughput is correlated to the user interaction and show that these new covert channels have a low energy consumption – both aspects contribute to the stealthiness of the channels. Finally, we discuss concepts for novel means capable to counter our covert channels and we also discuss the adaption of network covert channel features to Android-based covert channels.

Keywords: Smartphone Security; Android; Covert Channels; Privacy; Information Hiding