web-dev-qa-db-ja.com

コバートチャネルエクスプロイトとBell-LaPadula MACモデル

Mandatory Access Control(MAC)と有名なBell-LaPadulaモデルに頭を抱えています。このモデルで言及されている1つの制限は、隠れチャネルの悪用です。私が学んだ1つの例は、データベースオブジェクトサイズに関するものです。

  • クリアランスの高い対象者がデータを追加または削除します
  • クリアランスの低い被験者は、サイズ変更のパターンをチェックします。
  • 複数のオブジェクトを使用することで、隠れチャネルの帯域幅を増やすことができます

ただし、悪意のあるユーザーにとってのこの例の利点も、それがどのように実行されるかも理解していません。秘密チャネルが一般にどのように機能するかは理解していますが、なぜこのMACメソッドの落とし穴として特に強調されているのか、おそらくBibaモデルとは対照的には理解できません。

次に、私の質問では、Bell-LaPadulaモデルを使用してデータベースで秘密チャネルがどのように利用されるかについての説明が必要です。おそらく、関連する例の説明またはより良い例の説明が必要です。

3
Jonathan

あなたの質問を正しく理解している場合、例に示されているポイントは、書き込まれているデータへの直接読み取りアクセスがなくても、理論的に情報を漏らす可能性のある隠れチャネルを作成できることです。

私がスパイであり、Top-Secretデータへのアクセス権を持つ高度なセキュリティクリアランスを取得できたとしましょう。どういうわけかこのデータをコピーして政府に送りたいです。 BLPセキュリティシステムでは、データupしか書き込めません。つまり、データを書き込もうとしてセキュリティレベルを下げることはできません。同様に、(セキュリティクリアランスSecretを含む)後輩のスパイは、Top-Secretに書き込まれたデータを読み取ることができません。

あなたの例によれば、ここで確立できる秘密のチャネルは、 サイドチャネル攻撃 のような形式です。セキュリティクリアランスのコラボレーターSecretはデータを読み取ることはできませんが、ファイルについて保存されているmeta-dataにアクセスできますか、極秘情報が格納されているデータベーステーブル。このデータには実際の機密情報が含まれていないため、機密性が低い可能性があります。トップシークレットのスパイは、データへの変更のパターンを作成でき、それ自体が秘密のメッセージにデコードします。

簡単な例として、彼らが morse-code に同意し、それがデータベーステーブルの列Aに変更されるとします== dot;列Bに変更==ダッシュ;スパイは、テーブルへの一連の書き込みを作成できます。これは、下位レベルのコラボレーターによってメッセージにデコードされます。クリアランスレベルの必要性が低いコラボレーターはすべて、テーブルの列AおよびBへの変更のタイムスタンプにアクセスできます。通常、この(タイムスタンプデータ)自体は分類されていないと見なすか、実際のセキュリティ値がないと割り引かれます。

7
Yoav Aner