Blogs de l’ICANN

Lisez les blogs de l’ICANN pour vous tenir au courant des dernières activités d’élaboration de politiques, des événements régionaux et bien plus encore.

O que é um canal dissimulado na Internet?

29 août 2016
Par Dave Piscitello

null

Um canal dissimulado é uma técnica de evasão ou ataque usada para transferir informações de forma secreta, não autorizada ou ilícita. O canal dissimulado pode ser usado para extrair ou implantar informações em uma organização. Um canal dissimulado na Internet é o equivalente digital de uma pasta com um compartimento secreto, que pode ser usado por um espião para ocultar documentos confidenciais dos guardas tanto ao entrar quanto ao sair de um local protegido. Um invasor pode usar canais dissimulados na Internet para transmitir documentos confidenciais sem ser notado, nesse caso contornando medidas de segurança de rede em vez de guardas. E assim como o espião pode usar o mesmo compartimento secreto para esconder uma arma ao entrar em um local protegido, um invasor pode usar canais dissimulados na Internet para ocultar uma arma cibernética, por exemplo, o download de malware de um servidor externo para um host dentro da rede privada de uma organização.

O básico sobre os canais dissimulados na Internet

Os canais dissimulados na Internet podem usar protocolos de Internet convencionais de maneiras não convencionais. Os pontos periféricos do canal (o computador infectado e o computador de controle do invasor) devem usar um software de evasão ou ataque que reconheça e processe essas técnicas não convencionais. Esse software pode ser instalado tanto por um usuário quanto por um malware, ou o próprio invasor pode instalá-lo usando uma ferramenta de administração remota (RAT). Os canais dissimulados na Internet são diferentes dos túneis criptografados. Eles transferem informações em texto simples sem serem notados. Embora não exijam métodos ou chaves de criptografia, alguns canais dissimulados utilizam criptografia ou outros métodos para ofuscar os dados.

Vamos analisar duas técnicas. A primeira delas envolve a transmissão de informações de forma encoberta, um caractere de cada vez, no campo de identificação (ID) do cabeçalho de Protocolo da Internet (IP). Alguns usos disseminados dessa técnica multiplicam os valores ASCII de cada caractere por 256 para criar valores de 16 bits para o campo de ID. Para transmitir o acrônimo "ICANN", o emissor enviaria cinco pacotes IP, com o campo de ID codificado da seguinte forma:

Pacote Valor decimal ASCII Campo de ID do IP (multiplicar por 256)
1 71 (“I”) 18176
2 67 (“C”) 17152
3 65 (“A”) 16640
4 78 (“N”) 19968
5 78 (“N”) 19968

Em seguida, o computador receptor decodifica o campo de ID do IP dividindo o valor por 256. Esses valores não são suspeitos, e como o IP tolera pacotes duplicados, é muito provável que esse tráfego não seja detectado. É lento, mas discreto.

Outra técnica envolve a criação de um canal dissimulado que usa a carga útil do protocolo – as informações transferidas entre computadores por um protocolo. Essa técnica anexa dados às mensagens de solicitação e resposta ECHO do ICMP (protocolo de mensagens de controle da Internet). O ECHO costuma ser usado para um serviço chamado ping. Como os administradores de rede costumam usar o ping para testar se um host remoto pode ser alcançado, é provável que o tráfego ECHO do ICMP consiga contornar medidas de segurança como firewalls.

CABEÇALHO MAC
(por exemplo, Ethernet)
Cabeçalho de protocolo da Internet
(Informações de controle de protocolo)
Cabeçalho ICMP
(Solicitação/resposta ECHO)
Carga útil ICMP
(Dados transmitidos de forma encoberta)

Se quiser saber mais sobre essas técnicas, leia IDFAQ do SANS sobre canais dissimulados e Canais dissimulados em ICMP [PDF, 740 KB].

Na sequência: Canais dissimulados no DNS

O protocolo do DNS (Sistema de Nomes de Domínio) tem várias características que o tornam atrativo para o uso de canais dissimulados. Os firewalls permitem o tráfego do DNS nas duas direções. É comum negligenciar ou subestimar o risco do uso do DNS como canal dissimulado, então as organizações ou os provedores de serviços de Internet nem sempre inspecionam o tráfego de DNS em busca de sinais de ataques. Antes que as funções de log-in ou paywall sejam concluídas, às vezes o tráfego do DNS passa para a Internet pública para resolver nomes de domínio, portanto o canal dissimulado do DNS se torna útil para contornar esses controles de acesso.

Em nossa próxima publicação, vamos ver como os canais dissimulados do DNS podem ser usados para extrair dados, contornar paywalls ou fazer download de malware.

Authors

Dave Piscitello