Polnische Forscher haben einen Weg beschrieben, Informationen im IP-basierten Datenverkehr zur verstecken (
Hiding Information in Retransmissions PDF-Dokument). Dazu provozierten sie sogenannte Retransmissions in TCP-Verbindungen, bei denen der Sender Pakete aufgrund eines Übertragungsfehler erneut abschickt. Allerdings tauschten die Forscher in den Paketen vor der nochmaligen Absendung den Inhalt gegen den zu versteckenden Inhalt aus.
Da der Sender und der Empfänger das Steganografie-Protokoll kennen, lässt sich so ein mehr oder minder verdeckter Kanal etablieren. Die Forscher Wojciech Mazurczyk, Miłosz Smolarczyk und Krzysztof Szczypiorski haben ihre Methode "Retransmission Steganography" (RSTEG) getauft. Grundsätzlich funktioniert der Ansatz auch mit anderen Netzwerkprotokollen.
Die Übertragung geschieht zwar ohne weitere Schutzmaßnahmen, der Ansatz geht aber davon aus, dass die Retransmissions im weiteren Verkehr nicht auffallen – ohnehin sind Retransmissions keine Seltenheit bei der Übertragung von Daten über das Internet. Sollte jemand den Vekehr zwischen Sender und Empfänger beobachten, dürfte er nach Meinung der Autoren Probleme haben, den verdeckten Kanal zu entdecken. Die normalen Retransmissons stellen aber auch eines der Probleme dar: Der Empfänger muss sich auf die Verarbeitung normal zustande gekommener und von ihm provozierter Retransmissions einstellen können, denn in beiden Fällen erhält er Steganografiepakete vom Sender.
Der Bericht stellt zudem verschiedene Methoden vor, wie sich eine Retransmission provozieren lässt und welche Auswirkung dies auf die Bandbreite des verdeckten Kanals hat. Normale Timeouts (Retransmission Timeouts) aufgrund der ausbleibenden Empfangsbestätigung des Empfängers führen erwartungsgemäß zu einer niedrigen Bandbreite, da der Sender den Timeout abwarten muss. Bei Fast Retransmit/Recovery sendet der Empfänger mehrere Bestätigungen (ACK) für ein Datensegment und signalisiert dem Sender, sofort eine Retransmission zu senden. Das erhöht allerdings die Zahl der gesendeten Pakete, da der Sender in der Regel ein komplettes Segment neu sendet. Mit Selective Acknowledgement (SACK) kann der Empfänger dem Sender gezielt mitteilen, welches Paket er erneut gesendet bekommen möchte.
Quelle :
www.heise.de
