Canais Ocultos: Como se Defender Contra a Fuga de Informações em Redes (Parte 3)
Este artigo da HEX.TEAM explora a identificação, análise e mitigação de canais ocultos em redes. Ele detalha como avaliar a capacidade de transmissão desses canais e implementar medidas para proteger contra a exfiltração de dados.
MundiX News·12 de maio de 2026·10 min de leitura·👁 9 views
4K+
Cobertura em 30 dias
HEX.TEAM
26,52
Classificação
25
Assinantes
Assinar
f_mike
27 minutos atrás
Canais Ocultos: Como se Defender Contra a Fuga de Informações em Redes (Parte 3)
Simples
5 min
1.4K
Blog da HEX.TEAM
Segurança da Informação
*
Análise
Nas duas primeiras partes desta série, discutimos o problema da fuga de informações por meio de canais ocultos de rede e analisamos vários exemplos reais de construção desses canais ocultos. Hoje, vamos falar sobre como construir o processo de proteção contra a fuga de informações por meio de canais ocultos.
Esquema geral de contramedidas
No âmbito da oposição à fuga de informações por meio de canais ocultos, são fornecidas várias etapas:
Identificação de canais ocultos: primeiro, queremos entender quais canais ocultos podem ser teoricamente construídos no sistema;
Análise de canais ocultos: então, queremos avaliar sua "periculosidade" calculando sua largura de banda;
Tomada de decisão sobre medidas específicas de contramedidas: e com base nessa avaliação, decidir o que fazemos com eles – introduzimos medidas de contramedidas ou talvez não façamos nada, fazendo exigências de auditoria periódica.
Essas etapas também estão no GOST R 53113, que já foi mencionado em artigos anteriores. Agora, vamos falar mais sobre cada etapa.
Identificação de canais ocultos
Nesta fase, ocorre a análise das possibilidades de construção de canais ocultos no sistema. Esta etapa não deve ser confundida com a detecção de canais ocultos. A tarefa de identificação é identificar potenciais canais ocultos que podem ser implementados no sistema em estudo. A tarefa de detecção é encontrar canais ocultos que já estão funcionando no sistema em estudo.
Métodos de identificação – determinação de fluxos de informações implícitos. Na literatura, os métodos de identificação são considerados pela construção de várias estruturas de dados:
Matriz de recursos compartilhados;
Árvore de fluxos de informações ocultos;
Gráfico de fluxos de informações ocultos;
Diagrama de sequência de mensagens.
Ao identificar construindo uma matriz, todos os recursos comuns que podem ser modificados pelo sujeito são listados, e então cada recurso é cuidadosamente verificado quanto ao possível uso para a transmissão de informações. Assim, a matriz de conexões é preenchida. Em seguida, é realizada a matriz de fechamento transitivo, ou seja, todas as possíveis cadeias de interação na matriz são determinadas, graças às quais os caminhos ocultos para a transmissão de informações são detectados.
Outros métodos de identificação funcionam aproximadamente da mesma forma. Tudo isso são abordagens matemáticas rigorosas que exigem uma descrição bastante detalhada do sistema em estudo e um estudo aprofundado dos fluxos de informações dentro dele. Os métodos de identificação não dependem da natureza do canal oculto, não importa se é de rede ou não. Você pode ler sobre a adaptação desses métodos a canais ocultos em redes IP neste artigo.
Após esta etapa, temos uma lista de canais ocultos identificados neste sistema de informação. Agora precisamos passar para a análise desses canais ocultos.
Análise de canais ocultos
A principal tarefa da análise de canais ocultos é determinar a quantidade de informações que podem ser transmitidas usando os canais identificados. O principal objetivo é identificar canais ocultos com alta largura de banda entre todos os identificados, porque é a largura de banda que é a principal métrica de "perigo" do canal oculto.
Mas o que considerar alta ou baixa largura de banda é uma questão em aberto. O valor limite deve ser definido na política de segurança da informação da organização, mas também precisa vir de algum lugar. Aqui, podemos nos basear no "Livro Laranja", já mencionado nas partes anteriores da série. Ele sugere que canais ocultos com uma largura de banda superior a 1 bit/s sejam considerados perigosos. Em algumas fontes, você pode encontrar recomendações para um valor limite de 100 bit/s. No entanto, você não encontrará requisitos estritos em documentos regulatórios. Portanto, esse valor limite é escolhido a critério do departamento de segurança da informação de uma organização específica.
A avaliação da largura de banda de um canal oculto não difere da avaliação da largura de banda de qualquer outro canal de comunicação. Para canais sem ruído, a largura de banda ν pode ser determinada de acordo com a fórmula abaixo, onde N(t) é o número de sequências possíveis de símbolos, ou mensagens, que podem ser transmitidas em um tempo t.
A fórmula é bastante simples, e já a usamos implicitamente no artigo anterior da série ao avaliar a largura de banda de canais ocultos nos exemplos fornecidos.
No entanto, para canais ocultos de rede, o ruído na rede – atrasos e perdas de pacotes – é crítico, e todos os canais ocultos de rede são canais com ruído. Então, podemos considerar outra abordagem para a avaliação, baseada no cálculo da informação mútua das variáveis aleatórias X e Y, que descrevem as características de entrada e saída do canal oculto, respectivamente. Na fórmula abaixo, τ é o tempo médio de transmissão de um pacote.
A informação mútua das variáveis aleatórias X e Y é estimada como a diferença entre a entropia da variável aleatória Y e a entropia condicional da variável aleatória Y em relação à variável aleatória X. Nas fórmulas abaixo, p(xi) é a probabilidade de enviar o símbolo xi, p(yj) é a probabilidade de o receptor reconhecer o símbolo yj, p(yj|xi) é a probabilidade condicional de o receptor reconhecer o símbolo yj ao enviar o símbolo xi.
Agora, para cada um dos canais ocultos identificados, temos uma estimativa de sua largura de banda. É hora de decidir o que faremos com esses canais ocultos.
Implementação de medidas para combater a fuga de informações por meio de canais ocultos
Suponha que um valor de largura de banda do canal oculto seja definido, tal que o funcionamento de canais ocultos com uma largura de banda não superior a ν seja aceitável. Então, todos os canais ocultos identificados serão divididos em dois conjuntos – "não perigosos" e "perigosos".
Para canais ocultos "não perigosos", não devemos implementar nenhuma contramedida. No entanto, devemos realizar uma auditoria periódica desses canais ocultos, porque, no caso de alterações nas características do principal canal de comunicação, a largura de banda do canal de comunicação oculto também pode mudar.
O objetivo das medidas preventivas para combater canais ocultos "perigosos" é limitar sua largura de banda ao valor ν ou "suprimir", em outras palavras, eliminar completamente a possibilidade de sua construção, ou seja, também reduzir sua largura de banda, mas já para zero.
Quanto mais erros ocorrem durante a transmissão de informações e sua posterior decodificação, menor é a largura de banda do canal de comunicação. Portanto, se introduzirmos erros no canal oculto, reduziremos sua largura de banda. Como fazer isso? Por exemplo, se codificarmos informações no comprimento dos pacotes, o meio de proteção pode "alongar" cada pacote em uma certa quantidade, como resultado do qual, no lado do receptor de informações ocultas, receberemos erros. No caso de codificação de informações ocultas nos comprimentos dos intervalos entre pacotes, o meio de proteção pode introduzir atrasos aleatórios antes de enviar cada pacote, o que levará a um resultado semelhante.
A outra maneira é gerar tráfego fictício, que também interromperá o esquema de codificação.
Se falarmos sobre a supressão de um canal oculto, esses são os mesmos métodos, mas no "limite". Ou seja, o meio de proteção adiciona não um valor aleatório ao comprimento do pacote ou ao comprimento do intervalo entre pacotes, mas, por exemplo, envia todos os pacotes do mesmo comprimento ou em intervalos de tempo iguais. Canais ocultos baseados na alteração dos campos de cabeçalho dos pacotes transmitidos eliminam a criptografia do canal de comunicação.
Medidas preventivas para combater canais ocultos de rede potencialmente levam a uma diminuição significativa na largura de banda do canal de comunicação legítimo e à perda de funcionalidade dos protocolos. Nesse caso, pode ser tomada a decisão de não implementar uma medida preventiva de contramedida. Afinal, temos uma lista de canais ocultos identificados – ou seja, aqueles que podem ser construídos dentro de nosso sistema, mas não necessariamente serão construídos. Então, podemos observar o canal de comunicação em modo passivo, e se virmos atividade suspeita durante a observação, implementaremos medidas preventivas.
No âmbito dessa abordagem, são utilizados métodos de detecção de canais ocultos. Este é um tópico grande e bastante complexo, e falaremos sobre ele no próximo artigo da série.
Fique ligado nas atualizações do blog!
Artigos anteriores da série:
Canais ocultos – o inimigo invisível da sua rede
Canais ocultos em ação – exemplos de construção em rede IP
Tags:
Canais Ocultos
Largura de Banda
Tráfego Fictício
Entropia
Segurança de Rede
Hubs:
Blog da HEX.TEAM
Segurança da Informação
+2
3
0
4K+
Cobertura em 30 dias
HEX.TEAM
Site
Telegram
1
Karma
Michael
@f_mike
Usuário
Assinar
O fluxo de Segurança da Informação está disponível 24 horas por dia, 7 dias por semana, graças ao apoio dos amigos do Habr
Habr Cursos para todos
PUBLICIDADE
Prática, Hexlet, SkyPro, cursos do autor — reunimos todos e pedimos descontos. Resta escolher!
Ir
Ir para o fluxo de Segurança da Informação
Comentar
Melhor do dia
Semelhante
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
4K+
Cobertura em 30 dias
HEX.TEAM
26,52
Classificação
25
Assinantes
Assinar
f_mike
27 minutos atrás
Canais Ocultos: Como se Defender Contra a Fuga de Informações em Redes (Parte 3)
Simples
5 min
1.4K
Blog da HEX.TEAM
Segurança da Informação
*
Análise
Nas duas primeiras partes desta série, discutimos o problema da fuga de informações por meio de canais ocultos de rede e analisamos vários exemplos reais de construção desses canais ocultos. Hoje, vamos falar sobre como construir o processo de proteção contra a fuga de informações por meio de canais ocultos.
Esquema geral de contramedidas
No âmbito da oposição à fuga de informações por meio de canais ocultos, são fornecidas várias etapas:
Identificação de canais ocultos: primeiro, queremos entender quais canais ocultos podem ser teoricamente construídos no sistema;
Análise de canais ocultos: então, queremos avaliar sua "periculosidade" calculando sua largura de banda;
Tomada de decisão sobre medidas específicas de contramedidas: e com base nessa avaliação, decidir o que fazemos com eles – introduzimos medidas de contramedidas ou talvez não façamos nada, fazendo exigências de auditoria periódica.
Essas etapas também estão no GOST R 53113, que já foi mencionado em artigos anteriores. Agora, vamos falar mais sobre cada etapa.
Identificação de canais ocultos
Nesta fase, ocorre a análise das possibilidades de construção de canais ocultos no sistema. Esta etapa não deve ser confundida com a detecção de canais ocultos. A tarefa de identificação é identificar potenciais canais ocultos que podem ser implementados no sistema em estudo. A tarefa de detecção é encontrar canais ocultos que já estão funcionando no sistema em estudo.
Métodos de identificação – determinação de fluxos de informações implícitos. Na literatura, os métodos de identificação são considerados pela construção de várias estruturas de dados:
Matriz de recursos compartilhados;
Árvore de fluxos de informações ocultos;
Gráfico de fluxos de informações ocultos;
Diagrama de sequência de mensagens.
Ao identificar construindo uma matriz, todos os recursos comuns que podem ser modificados pelo sujeito são listados, e então cada recurso é cuidadosamente verificado quanto ao possível uso para a transmissão de informações. Assim, a matriz de conexões é preenchida. Em seguida, é realizada a matriz de fechamento transitivo, ou seja, todas as possíveis cadeias de interação na matriz são determinadas, graças às quais os caminhos ocultos para a transmissão de informações são detectados.
Outros métodos de identificação funcionam aproximadamente da mesma forma. Tudo isso são abordagens matemáticas rigorosas que exigem uma descrição bastante detalhada do sistema em estudo e um estudo aprofundado dos fluxos de informações dentro dele. Os métodos de identificação não dependem da natureza do canal oculto, não importa se é de rede ou não. Você pode ler sobre a adaptação desses métodos a canais ocultos em redes IP neste artigo.
Após esta etapa, temos uma lista de canais ocultos identificados neste sistema de informação. Agora precisamos passar para a análise desses canais ocultos.
Análise de canais ocultos
A principal tarefa da análise de canais ocultos é determinar a quantidade de informações que podem ser transmitidas usando os canais identificados. O principal objetivo é identificar canais ocultos com alta largura de banda entre todos os identificados, porque é a largura de banda que é a principal métrica de "perigo" do canal oculto.
Mas o que considerar alta ou baixa largura de banda é uma questão em aberto. O valor limite deve ser definido na política de segurança da informação da organização, mas também precisa vir de algum lugar. Aqui, podemos nos basear no "Livro Laranja", já mencionado nas partes anteriores da série. Ele sugere que canais ocultos com uma largura de banda superior a 1 bit/s sejam considerados perigosos. Em algumas fontes, você pode encontrar recomendações para um valor limite de 100 bit/s. No entanto, você não encontrará requisitos estritos em documentos regulatórios. Portanto, esse valor limite é escolhido a critério do departamento de segurança da informação de uma organização específica.
A avaliação da largura de banda de um canal oculto não difere da avaliação da largura de banda de qualquer outro canal de comunicação. Para canais sem ruído, a largura de banda ν pode ser determinada de acordo com a fórmula abaixo, onde N(t) é o número de sequências possíveis de símbolos, ou mensagens, que podem ser transmitidas em um tempo t.
A fórmula é bastante simples, e já a usamos implicitamente no artigo anterior da série ao avaliar a largura de banda de canais ocultos nos exemplos fornecidos.
No entanto, para canais ocultos de rede, o ruído na rede – atrasos e perdas de pacotes – é crítico, e todos os canais ocultos de rede são canais com ruído. Então, podemos considerar outra abordagem para a avaliação, baseada no cálculo da informação mútua das variáveis aleatórias X e Y, que descrevem as características de entrada e saída do canal oculto, respectivamente. Na fórmula abaixo, τ é o tempo médio de transmissão de um pacote.
A informação mútua das variáveis aleatórias X e Y é estimada como a diferença entre a entropia da variável aleatória Y e a entropia condicional da variável aleatória Y em relação à variável aleatória X. Nas fórmulas abaixo, p(xi) é a probabilidade de enviar o símbolo xi, p(yj) é a probabilidade de o receptor reconhecer o símbolo yj, p(yj|xi) é a probabilidade condicional de o receptor reconhecer o símbolo yj ao enviar o símbolo xi.
Agora, para cada um dos canais ocultos identificados, temos uma estimativa de sua largura de banda. É hora de decidir o que faremos com esses canais ocultos.
Implementação de medidas para combater a fuga de informações por meio de canais ocultos
Suponha que um valor de largura de banda do canal oculto seja definido, tal que o funcionamento de canais ocultos com uma largura de banda não superior a ν seja aceitável. Então, todos os canais ocultos identificados serão divididos em dois conjuntos – "não perigosos" e "perigosos".
Para canais ocultos "não perigosos", não devemos implementar nenhuma contramedida. No entanto, devemos realizar uma auditoria periódica desses canais ocultos, porque, no caso de alterações nas características do principal canal de comunicação, a largura de banda do canal de comunicação oculto também pode mudar.
O objetivo das medidas preventivas para combater canais ocultos "perigosos" é limitar sua largura de banda ao valor ν ou "suprimir", em outras palavras, eliminar completamente a possibilidade de sua construção, ou seja, também reduzir sua largura de banda, mas já para zero.
Quanto mais erros ocorrem durante a transmissão de informações e sua posterior decodificação, menor é a largura de banda do canal de comunicação. Portanto, se introduzirmos erros no canal oculto, reduziremos sua largura de banda. Como fazer isso? Por exemplo, se codificarmos informações no comprimento dos pacotes, o meio de proteção pode "alongar" cada pacote em uma certa quantidade, como resultado do qual, no lado do receptor de informações ocultas, receberemos erros. No caso de codificação de informações ocultas nos comprimentos dos intervalos entre pacotes, o meio de proteção pode introduzir atrasos aleatórios antes de enviar cada pacote, o que levará a um resultado semelhante.
A outra maneira é gerar tráfego fictício, que também interromperá o esquema de codificação.
Se falarmos sobre a supressão de um canal oculto, esses são os mesmos métodos, mas no "limite". Ou seja, o meio de proteção adiciona não um valor aleatório ao comprimento do pacote ou ao comprimento do intervalo entre pacotes, mas, por exemplo, envia todos os pacotes do mesmo comprimento ou em intervalos de tempo iguais. Canais ocultos baseados na alteração dos campos de cabeçalho dos pacotes transmitidos eliminam a criptografia do canal de comunicação.
Medidas preventivas para combater canais ocultos de rede potencialmente levam a uma diminuição significativa na largura de banda do canal de comunicação legítimo e à perda de funcionalidade dos protocolos. Nesse caso, pode ser tomada a decisão de não implementar uma medida preventiva de contramedida. Afinal, temos uma lista de canais ocultos identificados – ou seja, aqueles que podem ser construídos dentro de nosso sistema, mas não necessariamente serão construídos. Então, podemos observar o canal de comunicação em modo passivo, e se virmos atividade suspeita durante a observação, implementaremos medidas preventivas.
No âmbito dessa abordagem, são utilizados métodos de detecção de canais ocultos. Este é um tópico grande e bastante complexo, e falaremos sobre ele no próximo artigo da série.
Fique ligado nas atualizações do blog!
Artigos anteriores da série:
Canais ocultos – o inimigo invisível da sua rede
Canais ocultos em ação – exemplos de construção em rede IP
Tags:
Canais Ocultos
Largura de Banda
Tráfego Fictício
Entropia
Segurança de Rede
Hubs:
Blog da HEX.TEAM
Segurança da Informação
+2
3
0
4K+
Cobertura em 30 dias
HEX.TEAM
Site
Telegram
1
Karma
Michael
@f_mike
Usuário
Assinar
O fluxo de Segurança da Informação está disponível 24 horas por dia, 7 dias por semana, graças ao apoio dos amigos do Habr
Habr Cursos para todos
PUBLICIDADE
Prática, Hexlet, SkyPro, cursos do autor — reunimos todos e pedimos descontos. Resta escolher!
Ir
Ir para o fluxo de Segurança da Informação
Comentar
Melhor do dia
Semelhante
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
