Студенческая конференция IT security for new generation (2008): Тезисы докладов

Студенческая конференция IT security for new generation Тезисы докладов

Москва 28-29 августа 2008 г.

Содержание: 1 Секция Компьютерная преступность ............................................................................4 Стеганографические методы противодействия незаконному тиражированию документов Бушуев А.А. Методика хранения данных авторизованного пользователя Суховей А.А. SQL – инъекция: способы защиты и последствия Югов А.С.

7 9 9

2 Секция Компьютерные угрозы. Угрозы для мобильных устройств .....................11 Компьютерное моделирование вирусных эпидемий Волков А.В., Козик В.А. Современные модели распространения вредоносного кода в беспроводных сетях стандарта IEEE 802.11 Комаров А.А. Использование сценариев автозапуска в Microsoft Windows для распространения вредоносного кода. Autorun-черви Кравченко П.А., Адамов А.С. Cкрытие вредоносного кода методами стеганографии в Web2.0 Мирошниченко С.В., соавторы: Адамов А.С. Мобильные вирусы: функциональные особенности и тенденции развития Ткачев Д.А. Автоматизированная система генерации утилит для удаления вредоносных программ Чувило О.А. соавторы: Адамов А.С., Омельченко А.В., Снегурский А.В.

11 12

12 13 15 16

3 Секция Криптография. Её актуальность в современном обществе ......................19 Разработка системы защищенного документооборота с использованием общедоступных каналов связи Гавриш А.С., Щербакова В.С. О запретах булевых функций Глуско К.Л., Носачёва Т.С., Рожнёв А.Ю. Симметричное шифрование (гаммирование) Гончаров Н.О. Конструирование классических эндоморфных совершенных шифров и их современных аналогов Коновалова С.С. Методы распараллеливания алгоритма возведения длинных чисел в степень по модулю для криптографических систем Полежаев П.Н. Генетический алгоритм генерации сильных ключей для блочных перестановочных шифров Рой К.С. Криптография. Исследование теста Миллера-Рабина в различных реализациях Ярёха А.А.

19 25 26 27

29 34 36

4 Секция Методы обнаружения и предотвращения компьютерных угроз ..............38 Автоматизация анализа банковских троянцев Адамов А.С. Ключевые моменты построения защищенной корпоративной сети передачи информации организации Архипова С.А. Разработка методики оценки ущерба от распространения вирусных технологий на действующих предприятиях Бочарникова М.В., Сапрыкин А.С. Алгоритм контроля целостности информационных объектов локальной вычислительной сети Катасонов В.Ю. Безопасность беспроводных сетей Кожанов Е.А., Степина А.Н. Реализация модели секретности TAKE-GRANT конечными автоматами Мурин Д.М.

IT security conference for new generation

2

38 40

41 42 43 43

Разработка стойкого алгоритма авторизации с использованием usb-донгла Приморский А.А. Компьютерные угрозы Шабашев О.В.

44 45

5 Секция Образовательные проекты (программы и методики обучения) в области компьютерной безопасности ............................................................................46 Учебный курс «Вирусы и средства борьбы с ними» Кудина М.В., cоавторы: Адамов А.С., Куницкий А.В., Омельченко А.В.

46

6 Секция Спам. Методы обнаружения спама с анализом содержимого и без него. Фишинг........................................................................................................................48 Спам. Методы обнаружения спама с анализом содержимого и без него. Фишинг. Исследование эффективности различных методов обнаружения на примере клиентских программ фильтрации спама Баринов А.Е. Методы автоматизации семантического анализа нежелательной массовой почтовой рассылки в сети Интернет на французском языке Ермакова Л.М. Спам. Методы борьбы со спамом. Защита от спама в корпоративных сетях Калинин А.В.

IT security conference for new generation

3

48

49 49

Студенческая конференция по проблемам компьютерной безопасности «IT security conference for new generation» Цель конференции: Объединить специалистов, молодых ученых, исследователей, изучающих проблемы компьютерной безопасности для обмена опытом, развития инноваций и повышения уровня безопасности в сфере информационных технологий. Обеспечить поддержку молодых ученых для развития исследований в области ИБ.

Даты проведения: Заочный тур: 15 апреля – 15 июня 2008 г. Подача работ для участия в конференции до 31 мая 2008 года Оценка работ программным комитетом: до 15 июня 2008 года Очный тур: 28-29 августа 2008 г., г. Москва, офис «Лаборатории Касперского» Организаторы: ЗАО «Лаборатория Касперского». Темы конференции: •

Криптография. Актуальность в современном обществе.

•

Компьютерная преступность.

•

Компьютерные угрозы. Угрозы для мобильных устройств.

•

Спам. Методы обнаружения спама с анализом содержимого и без него. Фишинг.

•

Методы обнаружения и предотвращения компьютерных угроз.

•

Средства анализа и тестирования современных средств защиты.

•

Образовательные проекты (программы и методики обучения) в области компьютерной безопасности.

IT security conference for new generation

4

Программный комитет: 1.

Гребенников Николай Андреевич, Директор исследований и разработки ЗАО «Лаборатория Касперского»

2.

Ершов Игорь Валерьевич, кандидат физико-математических наук, доцент, кафедра информационных систем и технологий, Новосибирский Государственный Архитектурностроительный университет

3.

Ефимова Светлана Николаевна, Руководитель направления по работе с образовательными учреждениями ЗАО «Лаборатория Касперского»

4.

Мельников Николай Викторович, доктор технических наук, профессор, зав.каф. Информационной безопасности, Российский государственный социальный университет

5.

Нестеренко Максим Юрьевич, кандидат технических наук, доцент кафедры математического обеспечения информационных систем, Оренбургский государственный университет

6.

Медведев Николай Викторович кандидат технических наук, доцент, зав.кафедрой информационной безопасности Московский государственный технический университет им. Н.Э. Баумана

7.

Никишин Андрей Касперского»

8.

Новиков Сергей Валерьевич, Менеджер по работе с внешними структурами отдела антивирусных исследований ЗАО «Лаборатория Касперского».

9.

Петров Вячеслав Александрович, кандидат технических наук, доцент, зам.декана факультета «Информационная безопасность», Московский инженерно-физический институт (государственный университет)

Викторович,

Директор

Анти-спам

лаборатории

ЗАО

«Лаборатория

10. Хаханов Владимир Иванович, профессор, доктор технических наук, декан факультета компьютерной инженерии и управления, Харьковский национальный университет радиоэлектроники. 11. Шевченко Станислав Борисович, Заместитель директора департамента исследований и разработки ЗАО «Лаборатория Касперского»

Организационный комитет: 1.

Горелова Анастасия Ивановна, координатор образовательных программ ЗАО «Лаборатория Касперского»

2.

Ефимова Светлана Николаевна, руководитель направления по работе с образовательными учреждениями ЗАО «Лаборатория Касперского»

IT security conference for new generation

5

Итоги конференции: Лучшие работы заочного программного комитета

тура

конференции

по

результатам

оценки

Ф.И.О.

Название работы

Номинация

Гавриш Алексей Сергеевич, Щербакова Виктория Сергеевна

Разработка системы защищенного документооборота с использованием общедоступных каналов связи

Криптография, актуальность современном обществе

Ермакова Магдановна

Лиана

Методы автоматизации семантического анализа нежелательной массовой почтовой рассылки в сети Интернет на французском языке

Спам, методы обнаружения спама с анализом содержимого и без него, фишинг

Пермь

Владимир

Алгоритм контролю цілісності інформаційних об’єктів локальної обчислювальної мережі

Методы обнаружения предотвращения компьютерных угроз

и

Киев

Кожанов Евгений Александрович, Степина Алина Николаевна

Безопасность беспроводных сетей

Методы обнаружения предотвращения компьютерных угроз

и

Самара

Кравченко Павел Андреевич, Адамов Александр Семенович

Использование сценариев автозапуска в Microsoft Windows для распространения вредоносного кода. Autorun-черви

Компьютерные угрозы, угрозы для мобильных устройств

Харьков

Кудина Марина Владимировна, соавторы Адамов Александр Семенович, Куницкий Артем Владимирович, Омельченко Александр Викторович

Учебный курс «Вирусы и средства борьбы с ними»

Образовательные проекты (программы и методики обучения) в области компьютерной безопасности

Харьков

Югов Сергеевич

SQL – инъекция: способы защиты и последствия

Компьютерная преступность

Пермь

Название работы

Номинация

Город

Методы автоматизации семантического анализа нежелательной массовой почтовой рассылки в сети Интернет на французском языке

Спам, методы обнаружения спама с анализом содержимого и без него, фишинг

Пермь

Катасонов Юрьевич

Андрей

Город Оренбург в

Лучший доклад очного тура конференции Ф.И.О. Ермакова Магдановна

Лиана

IT security conference for new generation

6

1Секция

Компьютерная преступность Стеганографические методы противодействия незаконному тиражированию документов Бушуев А.А. Пермский государственный университет г. Пермь [email protected]

Введение В настоящее время актуальной является задача защиты электронных документов от несанкционированного копирования. Данная работа посвящена исследованию возможностей применения стеганографических методов для создания легальных копий, позволяющих не только подтверждать легитимность использования копии, но и определять легальные копии, использованные злоумышленниками для создания контрафактной копии в случае ее обнаружения. Постановка задачи Пусть имеется набор легальных копий, каждая из которых представляет собой строку из нулей и единиц. Каждая копия содержит уникальную подстроку – кодовое слово, – подтверждающую ее легальность и позволяющую однозначно определить ее законного владельца. Легальная копия, таким образом, состоит из двух частей: информационной (сам электронный документ) и контрольной (кодовое слово). Кодовое слово скрывается в информационной части с помощью алгоритмов стеганографии. Расположение информационных разрядов и их содержимое одинаково во всех легальных копиях. Отличия между ними возможны только в контрольных разрядах, т.е. в битах кодовых слов. Злоумышленники обладают некоторым количеством легальных копий. Их цель – создать нелегальную копию, обладающую всеми потребительскими свойствами, которыми обладают легальные копии, так чтобы по ней нельзя было определить, какие легальные копии использовались для её создания. Таким образом, злоумышленники хотят скрыть свое участие в преступлении. Предположения Злоумышленники, сравнивая побитово имеющиеся у них легальные копии, могут выделить некоторые (не обязательно все) контрольные разряды, поскольку содержимое информационных разрядов, а также, возможно, некоторых контрольных разрядов одинаково во всех копиях, имеющихся у злоумышленников. Создавая контрафактную копию, злоумышленники копируют эти совпадающие разряды. Разряды, в которых обнаружились различия, принадлежат кодовым словам. Злоумышленники заполняют их согласно одной из трех стратегий. Стратегия «голосования по принципу большинства» (разряд заполняется значением, встретившимся в нем в наибольшем количестве копий); Стратегия «голосования по принципу меньшинства» (разряд заполняется значением, встретившимся в нем в наименьшем количестве копий); Стратегия «подбрасывания монеты» (разряд заполняется нулем или единицей случайным образом). IT security conference for new generation

7

Цель работы Целью работы является исследование свойств контрафактных копий, сгенерированных с использованием разных «чистых» стратегий, а также разработка алгоритмов криптоанализа этих копий с целью обнаружения легальных копий (всех или некоторых), использованных злоумышленниками. Основные результаты В работе описаны алгоритмы создания кодовых слов для легальных копий и криптоанализа нелегальных копий, сгенерированных с использованием каждой из «чистых» стратегий злоумышленников. Проведен их логический анализ и экспериментальная проверка на многочисленных тестах. Исследован вопрос о том, насколько можно доверять полученным результатам криптоанализа. Исследование показало, что алгоритм криптоанализа нелегальной копии, сгенерированной с помощью стратегии «голосования по принципу большинства», правильно определяет все множество использованных злоумышленниками легальных копий почти в 100% случаев. Только в случае использования злоумышленниками двух легальных копий наблюдается снижение качества анализа – доля правильных ответов может падать, но не ниже 80%. Алгоритм криптоанализа нелегальной копии, сгенерированной на основе стратегии «голосования по принципу меньшинства», всегда правильно определяет все множество использованных злоумышленниками копий, кроме случая, когда злоумышленники используют ровно две легальные копии. В этом случае доля верных анализов составляет 95–100%. Алгоритм криптоанализа нелегальной копии, сгенерированной по стратегии «подбрасывания монеты», в 80–100% случаев верно определяет некоторую часть множества копий, использованных злоумышленниками. Доля ответов алгоритма, правильно назвавших все множество использованных легальных копий, составляет в среднем 55–80%. При этом обнаружилась вполне объяснимая закономерность: чем больше легальных копий имеют злоумышленники, тем менее вероятно определение всего множества использованных копий. Заключение В данной работе: 1.

определена общая методика создания кодовых слов для легальных копий;

2.

определены три «чистые» стратегии злоумышленников;

3.

проанализированы нелегальные копии, получаемые злоумышленниками при использовании каждой из «чистых» стратегий;

4.

определены свойства нелегальных копий, позволяющие проводить их криптоанализ с целью определить набор легальных копий, использованных злоумышленниками;

5.

разработаны алгоритмы криптоанализа нелегальных копий;

6.

изложен логический криптоанализа.

анализ

и

результаты

IT security conference for new generation

8

тестирования

разработанных

алгоритмов

Методика хранения данных авторизованного пользователя Суховей А.А. Морской Государственный Университет им. адм. Г.И. Невельского г. Владивосток [email protected]

2 наиболее распространенные методики: cookie и сессии. Их недостатки и проблемы связанные с ними. Определение основных понятий и обозначений для приведения алгоритма вычисления данных. Собственно алгоритм. 2 переменные, записывающиеся в cookie, смысл их хранения. Верификация пользователя по заданному алгоритму. Недостатки и преимущества метода. Возможность использования хеш-функций. Преимущества их применения. Практическое применение алгоритма.

SQL – инъекция: способы защиты и последствия Югов А.С. Пермский государственный университет г. Пермь [email protected]

В наше время в связи с постоянным увеличением объема обрабатываемой информации появляется необходимость в усовершенствовании методов ее обработки и хранения. Появление компьютеров явилось одним из поворотных моментов в данной сфере. Решением проблемы стали базы данных. А с развитием всемирной паутины и популяризацией баз данных, появились и проблемы, связанные с защитой информации, хранящейся в них. Одним из видов атаки на БД является SQL – инъекция. Для своей реализации данный вид атак не требует ничего, кроме знания SQL и скрипта, который не выполняет никаких проверок данных, поступающих ему на вход. Поэтому он очень популярен. В настоящее время в Интернете можно найти массу «дырявых» сайтов, разработчики которых не уделили нужного внимания этой проблеме. И порой эти сайты принадлежат вполне известным компаниям и организациям. Что же отсюда следует? А следует то, что при таком халатном отношении к возможности SQL – инъекции, компании могут поплатиться за это. Какая-то часть конфиденциальных данных об их клиентах, сотрудниках или же новых разработках может быть похищена. Обработка входных параметров в скрипте является необходимым условием защиты целостности и конфиденциальности информации, хранимой в базе данных. Для защиты могут использоваться различные средства как языка программирования, на котором написан сайт, так и средства web – сервера. Но все же, если подобная атака посчиталась не слишком опасной, и не было предусмотрено методов защиты, то последствия могут быть тяжелыми. Будет неплохо, если атакующий не заинтересован в информации, а просто решил доказать себе или кому-либо еще, что он способен на подобное. Но возможен случай, когда у атакующего есть определенная цель, которую он будет преследовать, получив интересующую его информацию. Именно последний случай представляет наибольшую угрозу.

IT security conference for new generation

9

Казалось бы, что же можно узнать, прочитав таблицу, где самым важным может являться хэш пароля клиента и адрес его электронной почты? Я считаю, что подобные данные могут быть весьма полезны, если рассматривать SQL – инъекцию не как простую единичную атаку, а как первоначальную стадию целой цепочки действий, направленных на достижения заранее намеченного результата. Последствия могут быть разными: от банальной рассылки спама до применения методов социальной инженерии или фишинга. Простая проверка параметров в совокупности с ведением журнала «подозрительных» обращений к базе данных позволяют избежать подобных случаев. Два этих компонента вместе могут послужить серьезным препятствием для атакующего.

IT security conference for new generation

10

2Секция

Компьютерные угрозы. мобильных устройств

Угрозы

для

Компьютерное моделирование вирусных эпидемий Волков А.В., Козик В.А. Новосибирский государственный архитектурно-строительный университет г. Новосибирск [email protected], [email protected]

В начале доклада рассматриваются основные эпидемические модели развития компьютерных эпидемий: SI-model, SIR-model, PDIDR-model и модель Гамильтона. В SI-model предполагается, что произвольный узел сети, состоящей из постоянного количества (N) компьютеров, может находиться только в двух состояниях: уязвимом (S) и инфицированном

(I). S + I = N . Предположим, что на каждом инфицированном узле может существовать только одна копия червя, которая случайным образом выбирает в доступном адресном пространстве потенциальную жертву со средней постоянной скоростью β в единицу времени. Рассматриваются результаты моделирования, показывающие зависимость SI-model от различных характеристик. SIR-model отличается от предыдущей модели наличием действия антивируса. Соответственно, сетевые узлы существуют в трех состояниях: уязвимом (S), зараженном (I) и невосприимчивом

(вылеченном) (R). S + I + R = N . Узлы оказываются неуязвимыми только после излечения от инфекции. В модель, помимо скорости заражения, введена скорость "иммунизации" в единицу времени γ. В докладе приведены также две модификации данной модели. Первая учитывает, что "иммунитет" посредством установки антивирусного ПО, межсетевых экранов и "заплат" приобретают не только инфицированные узлы (I), но и уязвимые (S), вторая – что в сети постоянно появляются новые узлы, уязвимые по умолчанию, благодаря которым повторные эпидемические вспышки могут происходить с завидной регулярностью. PSIDR-model более реальна, так как в ней с момента появления вируса в сети до обнаружения его сигнатуры проходит некоторый период времени π, а также эта модель отличается от предыдущих введением числа обнаруженных вирусов. До обнаружения вируса развитие идет по SI-model, далее вступает PSIDR-model. В модели Гамильтона компьютерная сеть моделируется ориентированным графом, а скорость распространения вредоносной программы связано с длиной гамильтонова пути на том участке моделирующего графа, в котором еще возможно распространение. Предыдущие модели показывают немедленное угасание вспышки инфекции, однако, согласно этой модели, отдельные образцы вредоносного кода могут не только сохраниться, но и заразить большую часть доступных для заражения узлов. В заключительной части доклада сравниваются результаты моделирования в среде Simulink 6.5 эволюции вредоносных программ по SIR-model с реальными статистическими данными, взятыми с viruslist.com. Также приведено теоретическое развитие абстрактного мобильного вируса по SIRмодели при определенных условиях. На основе проделанной работы были сделаны выводы о работоспособности данной модели, выявленных недостатках и об ее пригодности для моделирования распространения, как компьютерных эпидемий, так и мобильной вирусной инфекции.

IT security conference for new generation

11

Современные модели распространения вредоносного кода в беспроводных сетях стандарта IEEE 802.11 Комаров А.А. Московский институт радиотехники, электроники и автоматики (технический университет) г. Москва [email protected]

Беспроводные сети являются одним из наиболее актуальных современных маркетинговых движков и прекрасной сетевой средой для организации широкомасштабных инфраструктур. Зона радиопокрытия радио-линка в технологически оборудованной Wi-Fi сети может достигать одного километра, образовывая WMAN-сеть, покрывающую город. Между тем беспроводные роутеры и точки доступа постоянно включены и не имеют должного уровня в плане антивирусной базы. Более того, уровень защищённости беспроводных сетей в настоящее время крайне слаб. Данный фактор подвергает клиентов таких сетей быть скомпрометированными, при этом доказательная база при расследовании конкретного инцидента будет практически недоступна из-за высокой мобильности беспроводных технологий. В работе рассмотрены методы распространения и применение вредоносного кода в беспроводных сетяхWi-Fi. В качестве моделей распространения выбраны: •

модель легитимного заражения через ложные точки доступа

•

модель агрессивного заражения

По видам воздействия они имеют абсолютно разное назначение. Первая модель раскрывает угрозу, возникающую при роуминге клиента, вторая – непосредственная модель, концепции которой могут применяться для самостоятельного распространения, как среди точек доступа, так и их клиентов (автономный бот, распространение через драйверы беспроводных адаптеров, upnp). В качестве средства для кражи конфиденциальных данных рассмотрен пример хищения данных для подключения к беспроводной сети (ключей WEP/WPA PMK) на разных платформах. Совокупность перечисленных методов может являться полностью автоматизированным средством для компрометации большого числа клиентов современных WMAN (Wireless Metropolitan Area Network) сетей, базированных на стандарте IEEE 802.11.

Использование сценариев автозапуска в Microsoft Windows для распространения вредоносного кода. Autorun-черви Кравченко П.А., Адамов А.С. Харьковский национальный университет радиоэлектроники г. Харьков [email protected], [email protected]

Данная работа содержит обзор основных существующих уязвимостей оболочки ОС Microsoft Windows, как командной, так и графической ее составляющих, и пример эксплуатации некоторых из этих уязвимостей в виде соответствующего сценария автозапуска, содержащего вредоносный код. Как известно, для автозапуска исполняемых файлов со съемных носителей в Windows используются сценарии autorun.inf. Однако их структура допускает ряд огрешностей, которых достаточно для распространения вредоносного кода путем передачи его в параметры запуска как аргументы к некоему интерпретатору. Известно, что среди стандартно присутствующих в Windows подходящим для такой цели является лишь командный интерпретатор cmd.exe.

IT security conference for new generation

12

Таким образом, возможности внедрения вирусного кода с помощью сценария автозапуска непосредственно зависят от возможностей командного процессора Windows, среди которых следует отметить расширенную обработку, конкатенацию и группировку команд, наличие команд задания ассоциаций именованных типов и расширений и возможность запуска программ в новом окне. Эти возможности позволяют создать рабочий прототип червя, использующий механизм проникновения в систему путем задания ассоциаций и распространяющийся с помощью запоминания значений переменной среды, указывающей на путь к источнику червя, куда он впоследствии копируется. Таким образом, данный прототип червя осуществляет заражение всех съемных носителей, которые были подключены под данной буквой диска с момента его попадания в систему. Отсюда, в частности, следует, что червь не может автоматически распространяться по CD-накопителям. Однако вполне возможно создать модификацию, распространяющуюся при использовании встроенной в Windows XP и выше программы для записи CD. Основными методами борьбы с подобными угрозами являются отключение автозапуска, пакетной обработки команд, запрет доступа к командному интерпретатору и отказ от встроенных средств переноса файлов на съемные носители. Все эти меры имеют свои преимущества и недостатки. Выводы: •

cценарии конфигурации оболочки и автозапуска представляют собой достаточно мощное средство распространения вредоносного кода;

•

уязвимые места в языке командного процессора Windows позволяют организовать перехват управления при обработке оболочкой любых, даже критически важных для системы типов файлов;

•

внедренный таким образом код способен проанализировать запускаемый объект и принять решение о запуске;

•

на данный момент не существует универсального метода борьбы с внедрением вирусного кода путем сценариев автозапуска и командных последовательностей; каждая модификация порождает новые сложности в блокировке потенциала вируса.

Cкрытие вредоносного кода методами стеганографии в Web2.0 Мирошниченко С.В., соавторы: Адамов А.С. Харьковский национальный университет радиоэлектроники г. Харьков [email protected], [email protected] Можно ли создать вирус, который не вызовет никаких подозрений о своем присутствии? Существует ли универсальный способ, позволяющий обходить абсолютно все существующее на данный момент защитное ПО, даже если сделать данный способ открытым общественности? Есть ли возможность незаметно как для человека, так и для «искусственного интеллекта» выполнить произвольный код на удаленной машине? Если да, то это должно быть больше, чем уязвимость, исправляемая заменой нескольких байт кода либо введением дополнительных проверок в исходном коде какой-либо программы. И такой способ должен существовать! Сама идея скрывать код (не обязательно вредоносный, назовем его X-код) в мультимедиа-носителях пришла автору около двух месяцев назад, с тех пор была изучена и успешно реализована. Эта технология и позволила открыть искомый «путь в обход»! Найденный метод представляет собой набор условий, совместное выполнение которых гарантирует успешное внедрение и выполнение произвольного кода. Во-первых, передавать X-код по сети следует в скрытом виде, например, зашифрованным, но об этом позже. Далее, можно использовать популярную в руткитах технологию — хранение кода исключительно в оперативной памяти, без сохранения на жесткий диск — так исключаются проверки IT security conference for new generation

13

сканеров доступа, а работающая проверка памяти еще не реализована ни в одном антивирусе. Единственный недостаток — при перезагрузке код стирается. Во-вторых, самый интересный момент — если передавать код зашифрованным, то факт наличия криптованной строки может насторожить как защитное ПО, так и опытного пользователя (например, имеется встраиваемый модуль для браузера Mozilla Firefox, который выдает предупреждение, если скрипт работает с криптованной строкой). Поэтому автор выбрал другое решение — скрытие X-данных в мультимедиа-контейнерах, чем занимается наука стеганография. Существует стереотип, что стеганографирование применяется только для скрытия какого-либо сообщения, данных, которые нежелательно распространять, но требуется безопасно передать по открытым каналам без риска расшифровки. Автор же заставил метод работать в целях пронести код мимо клиентского/серверного защитного ПО к программе-загрузчику (действие загрузки рисунка или аудио-видео файла из сети уже давно не подходит под подозрительные действия). Далее код извлекается из контейнера прямо в оперативную память и выполняется. Таким образом, кратко описана схема исполнения X-кода на удаленной машине. Для простой и быстрой программной реализации этого метода было решено применить подручные средства: •

Загрузчик и контейнер (BMP-файл) с кодом находятся на web-сервере.

•

Внедрение выполняется посредством браузера пользователя — посетить «ядовитую» страничку).

•

Загрузчик написан на ActionScript в Adobe Flash — наиболее удобный инструмент для данной задачи, тем более что в данной роли используется в youtube.com (проигрыватель в зависимости от передаваемого параметра загружает с сервера нужный ролик), vkontakte.ru, интернет-аудио-магазинах и пр.

•

Сам X-код написан на JavaScript.

•

Программа стеганографирования X-кода в рисунок написана на C++.

(единственное,

Шифруем код:

Загружаем страницу в браузере — и получаем результаты выполнения кода:

IT security conference for new generation

14

что

требуется

от

Простой пример, используемый для демонстрации, уже несет в себе опасность кражи личных данных (логинов и паролей, данных автозаполнения) через cookie, несанкционированного показа рекламы, подмены содержимого окна, рассылки спама (недавний вирус, атакующий vkontakte.ru), а также эксплуатирования уязвимостей, таких как XSS (например, внедрение собственного кода, отправив сообщение на форум). Таким образом, автор добился поставленной цели — создал способ, как «провести» любой код «мимо» антивирусов, брандмауэров и других защитных программ, даже наиболее бдительных. На данный момент нет существующих методов борьбы с этим способом, ибо это не просто уязвимость, а противопоставление машинных алгоритмов человеческой логике скрытия информации, и выиграть эту борьбу можно лишь тогда, когда компьютеры станут умнее человека. Или когда кто-то создаст метод противодействия.

Мобильные вирусы: функциональные особенности и тенденции развития Ткачев Д.А. Новосибирский государственный архитектурно-строительный университет г. Новосибирск [email protected]

Со времени появления первого вируса для мобильных платформ прошло несколько лет. За это время вирусы из концепт-разработок переросли в инструмент для получения прибыли и извлечения иной пользы для злоумышленника. Это объясняется как техническими и программными особенностями мобильных устройств, так и относительно низкой информированностью пользователей. Опираясь на социологические исследования можно утверждать, что в данный момент используются две операционные системы с широкими возможностями API. Произошла консолидация рынка. Что в сочетании с массовым распространением и большим уровнем продаж смартфонов и коммуникаторов привело к большей привлекательности мобильных платформ для злоумышленников. С расширением функциональных возможностей карманных устройств, происходит перенос методов атак пользователей десктоп-систем на относительно новые мобильные платформы. Самой распространенным методом для заражения мобильного устройства вирусным кодом является выдача злонамеренного программного обеспечения за полезное и безопасное. В работе рассматриваются две различающихся модификации этого приема заражения пользовательского устройства. В последнее время злоумышленниками, распространяющими вирусы для мобильных платформ, используются методы распространения, которые раньше использовались только для вирусов на PC платформу. В мая 2008 года впервые для распространения мобильных вирусов использовалась спам рассылка по ICQ. Происходит смещение тенденций поведения злонамеренных кодов от дропперов, которых в прошедших годах было подавляющее большинство, к spyware вирусам, которые становятся более заметны в общей массе мобильных зловредов. Это подтверждает приведенный обзор особенностей ярких представителей мобильных вирусов, которые были выявлены за текущий год (TrojanSMS.J2ME.SMSFree.d, Worm.SymbOS.Beselo.a, Trojan.SymbOS.Fonzi.a, TrojanSMS.SymbOS.Gpiares.a, Trojan-SMS.J2ME.SMSi.a, Trojan-Spy.SymbOS.Kiazh.a, Worm.WinCE.InfoJack.a, Trojan-SMS.J2ME.Swapi.c). В настоящее время со стабильной регулярностью появляются зловреды нацеленные на получение прибыли их создателями путем отправки SMS сообщений на платные premium номера. Причем охват данной атаки уже не ограничивается только Java2ME приложениями (SMS.J2ME.SMSFree, TrojanSMS.J2ME.Cool_SMS, Trojan-SMS.J2ME.Smarm). В ближайшее время можно ожидать появление вирусов, которые будут нацелены на хищение конфиденциальной информации, а точнее uin номеров ICQ и паролей к ним. Так как такой класс троянов не может долго оставаться не развитым, если для этого имеются все необходимые условия.

IT security conference for new generation

15

Сейчас ощущается недостаток программных средств, обеспечивающих надежность и безопасность использования устройства на одной из мобильных платформ (Windows mobile, Symbian). Несмотря на то, что такие устройства (которые уже нельзя называть просто телефонами) по своим функциональным особенностям приближаются к настольным ПК, такой класс программного обеспечения как брандмауэры полностью отсутствует, а антивирусное ПО было представлено очень слабо. Но сейчас ситуация с мобильными антивирусами изменяется в лучшую сторону, как полноте баз сигнатур, так и по качеству самого антивирусного обеспечения. На основании информации антивирусной индустрии за первый квартал 2008 года можно сделать некоторые выводы: •

С массовый распространением платформы от Google (Android) и открытием SDK для iPhone начнется новый этап развития мобильных вирусов. Но массовые случаи заражения устройств функционирующих на данных платформах будет не раньше второй половины 2009 года. Принцип подписанных приложений наверняка не преградит путь для распространения вирусов на iPhone, так как число взломанных телефонов очень велико уже сейчас, и законы reverse engineering работают для всех платформ.

•

Возник новый для мобильных устройств класс вирусов downloader’ов (Worm.WinCE.InfoJack.a, функционирующий под Windows CE).

•

В ближайшее время можно ожидать бурное развития спам рассылок на мобильные устройства. По статистике около 26,1% японцев получают спам не реже 1 раза в день (по данным McAfee Research). А так как уровень развития технологий в Японии обгоняет общемировой примерно на год-полтора, то в ближайший год данная угроза станет более чем актуальна для большинства Европейских стран.

Большинство пользователей считают проблему мобильных вирусов надуманной, но это далеко не так. Всего за менее чем 4 года было создано более 400 вирусов и их модификаций для мобильных устройств, и появление новых сэмплов является стабильным и методичным процессом, поток которых будет только увеличиваться с каждым месяцем. Пользователям мобильных помощников необходимо ответственно подходить к обеспечению информационной безопасности, так как от этого зависит не только хорошее техническое и программное состояние устройства, но и целостность конфиденциальных данных, утеря или порча которых может привести, в том числе и к большим финансовым потерям.

Автоматизированная система генерации утилит для удаления вредоносных программ Чувило О.А. соавторы: Адамов А.С., Омельченко А.В., Снегурский А.В. Харьковский национальный университет радиоэлектроники г. Харьков [email protected] Как правило, после уничтожения вредоносной программы на зараженном компьютере остается много «мусора»: созданные вредоносной программой невредоносные файлы, ключи системного реестра, записи в конфигурационных системных файлах и т. д., что может привести к нарушениям работы операционной системы. Также далеко не все антивирусные программные продукты содержат процедуры лечения вирусов. Автоматизированная система генерации утилит для удаления вредоносных программ была разработана с целью автоматизации работы аналитика и повышения скорости создания утилиты служащей для удаления конкретной вредоносной программы, а также результатов ее работы. Проект состоит из конструктора и шаблона утилиты. В формате .ini файла на вход конструктора подается скрипт созданный автоматически либо вручную. Данный скрипт содержит последовательность действий, которые необходимо выполнить для удаления вредоносной IT security conference for new generation

16

программы, а также их параметры. Конструктор выполняет преобразование скрипта в последовательность входных команд, после чего записывает ее в конец исполняемого файла шаблона утилиты.

Рисунок 1 - Структура проекта При запуске созданная программа производит чтение последовательности записанных конструктором команд и выполняет их. Проект имеет модульную структуру, что позволяет легко расширять его функциональность. данный момент реализованы следующие модули:

На

•

модуль работы с системным реестром;

•

модуль работы с файловой системой;

•

модуль с процессами;

•

модуль выгрузки инжекта;

•

модуль работы со службами;

•

сигнатурный сканер для поиска оригинальных файлов вредоносных программ и их копий.

Система включает следующие файлы: ConScript.exe – исполняемый файл конструктора; GUI.exe – шаблон утилиты; <название вредоноса>_remover.exe - утилита для удаления; script.ini – скрипт для генерации утилиты. Внешний вид утилиты имеет следующий вид:

IT security conference for new generation

17

Рисунок 2 – Внешний вид утилиты

IT security conference for new generation

18

3Секция

Криптография. Её актуальность в современном обществе Разработка системы защищенного документооборота с использованием общедоступных каналов связи Гавриш А.С., Щербакова В.С. Оренбургский государственный аграрный университет г. Оренбург [email protected], [email protected]

К разработке системы защищенного документооборота В настоящее время актуальными являются вопросы использования систем электронного документооборота. Они получают распространение в государственных, муниципальных, коммерческих и других организациях. Широкое распространение территориально распределённых информационных систем с использованием общедоступных каналов связи требует обеспечения защиты передаваемых данных, поскольку раскрытие финансовой или коммерческой информации может привести к материальным убыткам для организации и/или потере ее конкурентоспособности. Одним из основных методов защиты документооборота при передаче информации по общедоступным каналам связи является криптографический метод. В данной работе рассматривается вариант создания системы защищенного оборота документов. Целью данной работы является разработка распределенных информационных системах.

структуры

системы

защиты

информации

в

Разрабатываемая система представляются нам в следующем виде: •

- система представляет собой программное обеспечение, установленное на клиентских рабочих местах;

•

- формирование и хранение документов осуществляется на клиентских рабочих машинах;

•

- по перечню документов, хранящихся на каждой машине, формируется единая база сведений о документах, которой клиенты обмениваются друг с другом по мере создания документов;

•

- обмен информацией между клиентами осуществляется по протоколу SMTP/POP3;

•

- для защиты от навязывания ложной информации и обеспечения целостности документов используется механизм аутентификации клиентов;

•

- для получения необходимого документа, клиент отправляет запрос и, подтвердив права доступа, получает требуемую информацию;

•

- для работы в системе пользователь должен авторизоваться;

IT security conference for new generation

19

•

- процесс обмена документами и аутентификации должен проходить «прозрачно» для пользователей системы.

Общая схема системы защищенного документооборота представлена на рисунке 1.

Клиент 1

Электронный почтовый ящик 1

Электронный почтовый ящик 3

Клиент 3

Клиент 2

Электронный почтовый ящик 2

Электронный почтовый ящик i

Клиент i

Рисунок 1 Общая схема системы защищенного документооборота Рассмотрим схему документооборота. У каждого пользователя на компьютере устанавливается программное обеспечение для связи со своим почтовым сервером. В базе данных каждого клиента имеется информация о почтовых ящиках остальных пользователей системы и документах, хранимых в распределенной системе. При необходимости работы с каким либо документом, расположенным на другом компьютере системы, на него отправляется запрос, получив который, владелец документа отправляет его получателю в зашифрованном виде, предварительно проверив его права. Таким образом, обеспечивается: •

распределенное хранение документов;

•

конфиденциальность при передаче за счет шифрования;

•

аутентификация клиентов при взаимодействии.

Для разработки клиентского приложения был разработан укрупненный алгоритм работы программы, в соответствии с требуемыми функциями. Общий вид алгоритма представлен на рисунке 2.

IT security conference for new generation

20

начало

Авторизация пользователя

Отправка метки остальным клиентам о своем статусе (онлайн)

Загрузка БД документов

Проверка сообщений об изменении БД документов

да

БД изменилась?

Обновление БД

нет

Работа в системе

Поступил запрос?

да Взять документ

Зашифровать

нет

Продолжить работу

Отправить

Рис 2. Общий вид алгоритма IT security conference for new generation

21

Для реализации описанной системы было реализовано клиентское программное обеспечение, экранная форма которого представлена на рисунке 3.

Рисунок 3 – Экранная форма клиентского программного обеспечения системы Шифрование сообщений происходит с использованием алгоритмов RC6 и RSA. Текст сообщения шифруется по симметричному алгоритму RC6. Ключ для RC6 шифруется по алгоритму RSA. Использование такой схемы шифрования позволяет усилить безопасность, в то же время, не проиграв значительно в быстродействии; а также значительно упрощает обмен ключами между пользователями. Криптосистема RSA была выбрана, как самая популярная криптосистема с открытым ключом. RSA обладает хорошим запасом прочности, поскольку его безопасность основа на сложности факторизации чисел (не существует на данный момент алгоритмов разложения на множители, которые могли бы определить значение закрытого ключа за приемлемое время). Также RSA обеспечивает возможность электронной цифровой подписи, что делает его весьма универсальным средством. Пример реализации RSA в среде Borland Delphi 7 имеет следующий вид: var p,q,n,k,c: real; e,m: real; mult: real; begin

IT security conference for new generation

22

p:=StrToFloat(Edit3.Text); q:=StrToFloat(Edit4.Text); {открытый ключ e} e:=StrToFloat(Edit6.Text); m:=StrToFloat(Edit1.Text) {-/-/-/-} {m^e} Edit7.Text:=FloatToStr(exp(e*ln(m))); mult:=StrToFloat(Edit7.Text); {-/-/-/-} c:=round(Int(mult)) mod round (Int(n)); edit8.Text:=FloatToStr(c); end; Алгоритм RC6 является симметричным блочным алгоритмом и участником финала конкурса AES. Обладает хорошим запасом прочности и доступен в реализации. В алгоритме используются несколько операций: •

сложение по модулю 232;

•

вычитание по модулю 232;

•

умножение по модулю 232;

•

побитовое сложение;

•

сдвиги влево/вправо на w-bit.

В программе была использована спецификация алгоритма 32/20/32. Пример реализации фрагмента алгоритма RC6 (расширение ключа) имеет следующий вид: procedure Key_Schedule; var key: string; j,v,s: byte; A,B,i,i1,x,y: longword; L: array [0..31] of longword; begin {получаем ключ} for x:=0 to 31 do begin randomize; y:=random(9); key:=key + IntToStr(y); L[x]:=y; end;

IT security conference for new generation

23

{-/-/-/-} Form1.Edit1.Text:=key; SK[0]:=P32; for i:=1 to 43 do begin SK[i]:=SK[i-1] + Q32; A:=0; B:=0; j:=0; v:=132; for s:=1 to v do begin i1:=i; A:=(SK[i1] + A + B) shl 3; SK[i1]:=A; B:=(L[j] + A + B) shl (A+B) B:=L[j]; i1:=(i1 + 1) mod 44; j:=(j + 1); end; end; end; Q32 и P32 - константы, SK – массив подключей. В данной работе была представлена общая структура системы защищенного документооборота и программа, реализующая часть функций. Направлением дальнейшей работы является расширение функциональности разрабатываемого программного обеспечения для выполнения остальных задач системы.

IT security conference for new generation

24

О запретах булевых функций Глуско К.Л., Носачёва Т.С., Рожнёв А.Ю. Уральский государственный университет путей сообщения г. Екатеринбург [email protected]

В криптоанализе запрет является одной из важных характеристик булевой функции [1]. Если функция, по которой работает автомат, имеет запрет, то некоторые комбинации битов в канале связи не могут появиться. Это значит, что комбинации битов в канале связи неравноправны, неравновероятны, и злоумышленник-криптоаналитик этим может воспользоваться, к тому же сокращается количество вариантов перебора ключей-комбинаций. В работе исследованы булевы функции на наличие или отсутствие запрета. В результате проделанной работы были проанализированы булевы функции двух, трех и четырех переменных. Предложен критерий отсутствия запрета функции. Среди функций двух переменных функций с запретом нет. Для функций трёх переменных справедливо утверждение: нелинейные по крайним переменным уравновешенные булевы функции трех переменных имеют запрет. В качестве примера рассмотрена функция majority [3], которая имеет вид: (1) Интересна она тем, что применяется в стандарте связи GSM в системе шифрования A5/1 [2] в блоке нелинейного усложнения "Stop and Go"мобильных телефонов. Эта функция обладает свойствами уравновешенности и самодвойственности. После проверки ее на запрет длины 5, обнаружилось, что для данной функции имеется 4 варианта запрета такой длины: 01001, 10110, 01101, 10010. В книге [2] приведена критика системы шифрования A5/1. Нахождение запрета у функции majority выявляет еще одну криптографическую слабость алгоритма A5/1. •

Функция majority – представитель класса симметрических булевых функций, т.е. булевых функций от n переменных, значение которых остается неизменным при любой перестановке их аргументов.

Теорема 1. Среди симметрических булевых функций не имеют запрета только линейные функции [4]. Заметим также, что в книге [1] на с. 425 в качестве задачи 9.67 предложено доказать, что функция (2) не имеет запрета. Но оказалось, что функция не сильно равновероятна. Значит, она имеет запрет. При проверке данной функции на запрет длины 6, оказалось что он существует, и имеет вид 001111. Видимо, в условие задачи вкралась опечатка. Необходимо отметить, что если в данной функции заменить несущественный член 1, а также добавить существенную переменную x2, то функция примет вид (3) Данная функция сильно равновероятна, а также сильно уравновешена при l=2, причем это подходит для системы уравнений любой длины. Таким образом, доказано, что данная функция не имеет запрета. Теперь можно сказать, что для того, чтобы доказать сильную уравновешенность (т.е. отсутствие запрета) необходимо анализировать не всю систему уравнений, а только два последних уравнения.

IT security conference for new generation

25

Таким образом, если свойство сильной уравновешенности выполняется для первых трех уравнений системы, то оно будет выполняться для системы любой длины. Это следует из того, что для доказательства сильной уравновешенности нас интересуют только два последних уравнения. Утверждение. Сильная уравновешенность при l=2 влечёт за собой отсутствие запрета (т.е. сильную уравновешенность для любого l), если это выполняется для n=3.

Список использованных источников 1.

Логачев О.А., Сальников А.А., Ященко В.В. Булевы функции в теории кодирования и криптологии. М.:МЦНМО, 2004. 470 с.

2.

Асосков А.В., Иванов М.А., Мирский А.А., Рузин А.В., Сланин А.В., Тютвин А.Н. Поточные шифры. М: КУДИЦ-ОБРАЗ, 2003. 336 с.

3.

Глуско Кр.Л., Рожнёв А.Ю., Титов С.С. О запретах булевой функции majority. Сборник научных трудов «Молодежь – будущее атомной промышленности России». Снежинск: СГФТА, 2007. 82-86 с.

4.

Глуско Кр.Л., Носачёва Т.С., Рожнёв А.Ю. О следах и запретах булевых функций. Научные труды Междунар. научно-практич. конф. «СВЯЗЬ-ПРОМ 2008». - Екатеринбург : ЗАО «Компания РеалМедиа», 2008. - 407-410 с.

Симметричное шифрование (гаммирование) Гончаров Н.О. Московский государственный технический университет им. Н.Э.Баумана г. Москва [email protected]

1.Теоретическая часть: Симметричное шифрование остаётся самым актуальным и криптографически гарантированными методом защиты информации, и поэтому целью работы выбрано исследование симметричного шифрования – одного из самых высокопроизводительных методов для защиты информации, изучение известных блочных шифраторов, общей схемы, принципов работы. Разработано программное обеспечение по реализации алгоритма шифрования, основанного на гаммировании (блок-схема и программа на языке программирования QBASIC-gammir1(версия1) и программа на языке объектноориентированого программирования Visual Basic-gammir2(версия2)). Планируется дальнейшая работа над проектом. 2. Методы проведения исследования: Для достижения цели исследования автором использовались общенаучные (теоретические и эмпирические) методы. Из теоретических методов применялись: анализ известных данных о методах симметричного шифрования(метод классического шифрования Шеннона; блочные шифраторы американский шифратор DES (Data Encryption Standard) и отечественный стандарт ГОСТ 28147-89, IDEA (International Data Encryption Algorithm), CAST, Шифр Skipjack, RC2 и RC4 и др.), изучение специальной литературы, синтез полученных данных для получения представлений об эффективности данного метода; сравнение классических шифров, выявление основных достоинств и недостатков, конкретизация общих методов и схемы симметричного шифрования, обобщение полученных данных. Из эмпирических методов использовались: изучение симметричного шифрования на примере работ Шеннона и др, опытно-экспериментальная работа по разработке реализации алгоритма шифрования, основанного на гаммировании (разработка блок-схемы и программы на языке программирования QBASIC- gammir1(версия1) и программы на языке объектно-ориентированого программирования Visual Basic-gammir2(версия2)).

IT security conference for new generation

26

3. Литература: 1.

A.B. Аграновский, Р.А. Хади. Практическая криптография (серия «Аспекты защиты»), М.: Солон-Пресс, 2002.

2.

Т.Л. Партыка, И.И. Попов. Информационная безопасность. М.: Форум-Инфра-М, 2007.

3.

Шеннон К., Теория связи в секретных системах, в кн.: Шеннон К. Э., Работы по теории информации и кибернетике, М.: ИЛ, 1963.

4.

У.Диффи и М.Э.Хеллман. Новые направления в криптографии,1976 г

5.

Брюс Шнайер.Прикладная криптография, 2е изд, изд.Триумф,2002г

6.

О современной криптографии. В. М. Сидельников, д. ф.-м. н., профессор, академик Академии криптографии РФ, зав. Лабораторией МГУ по математическим проблемам криптографии. Опубликовано на сайте: Cryptography.Ru

7.

Крис Сасаки.( перевод с англ.Ю.Суслов). Лучшие сверхсекретные шифры.М.: АСТ: Астрель, 2007.

8.

С.В. Глушаков А.С.Сурядный. Программирование на Visual Basic 6.0 Х.: Фалио, 2004.

9.

И.Сафонов. Visual Basic в задачах и примерах. С-П.: «БХВ», 2007.

4. Стартовый файл: gammir1.exe (исходный код : gammir1.bas) и gammir2.exe

Конструирование классических эндоморфных совершенных шифров и их современных аналогов Коновалова С.С. Уральский государственный университет путей сообщения г. Екатеринбург [email protected]

В современном мире для обеспечения конфиденциальности информации ограниченного доступа применяются шифры, которые являются стойкими к дешифрованию только с практической точки зрения. Клодом Шенноном в 40-х годах 20 века было введено понятие совершенного шифра, который является теоретически стойким. В данной работе в качестве объекта исследования взяты классические эндоморфные совершенные шифры и их современные аналоги – U(L)-стойкие шифры, O(L)-стойкие шифры. Предмет исследования – комбинаторные конструкции данных шифров. Цель работы – расширить знания о классических эндоморфных совершенных шифрах и их современных аналогах. Используемые методы – математические и криптографические преобразования, геометрические построения, геометрическая методика исследования конструкций совершенных шифров, комбинаторные вычисления, построение аналогий и проведение сравнений. В работе найдены следующие решения трех задач о трех конструкциях совершенных шифров, поставленных западными криптографами в 1987 году. 1.

Является ли сильно совершенный билинейный шифр, построенный с помощью конструкции 1, мультипликативным шифром? Ответ: Да. Конструкция 1 задает мультипликативный шифр определенного вида. Попытка выйти за рамки линейных совершенных шифров с помощью конструкции ЛРП не увенчалась успехом, поэтому дополнительное усложнение шифра с помощью изотопии на самом деле может быть легко раскрыто злоумышленником.

IT security conference for new generation

27

2.

Является ли любой сильно совершенный билинейный шифр мультипликативным шифром? Ответ: Нет. Существуют билинейные немультипликативные совершенные шифры. При этом разработана геометрическая методика исследования конструкций совершенных шифров. Она состоит в том, что для построения линейных совершенных шифров можно использовать не алгебраические, а геометрические конструкции; например, полуполя, не сводящиеся к полям. Применение этой методики позволяет конкретизировать проблему построения таких шифров, расширять их класс и изучать свойства конечных плоскостей.

3.

Является ли любой сильно совершенный линейный шифр билинейным шифром? Ответ: Нет. Существуют линейные, но не билинейные совершенные шифры. В том числе к таким шифрам относится шифр на основе конечной плоскости системы Холла.

Решение данных трех задач позволило уточнить связи между различными конструкциями линейных совершенных шифров. Также в работе получен целый ряд следующих серьезных результатов по эндоморфным O(L)- и U(L)стойким шифрам. Установлена связь O(L)-стойких шифров с конечными плоскостями для схемой разделения секрета (L, 2L–1).

L = 2, а также с пороговой

Построены массивы зашифрования для O(2)-, U(2)-, O(3)-, U(3)-стойких шифров. Найден целый класс O(3)-стойких шифров на основе дробно-линейных подстановок в почти-полях. Получены условия для проверки линейных шифров на совершенность, а линейных и циклических шифров – на O(2)- и U(2)-стойкость. Доказана одна теорема о взаимосвязи линейных, другая – циклических –O(2)- и U(2)-стойких шифров. Созданы основания для построения обобщенной теоремы о взаимосвязи U(2)- и O(2)-стойких шифров, содержащих инволюцию. Доказано несуществование массивов CPA1(3, λ, λ) с формулой y = ix+j при λ > 5, что, вместе с другими отрицательными результатами, позволит сократить перебор вариантов уравнений зашифрования при построении U(L)- и O(L)-стойких шифров. Исследованы конкретные VW-системы – система Холла, почти-поля, не сводящиеся к полям, группы Матьё – для возможности построения O(L)- и U(L)-стойких шифров на их основе. В том числе доказана невозможность построения O(3)-стойких шифров на основе системы Холла определенного вида, а также определены частные случаи выделения U(2)-стойких шифров из O(2)-стойких для систем Холла и почти-полей. Найдены изоморфизмы, переводящие элементы группы М9, являющейся подгруппой группы Матьё М11, в элементы почти-поля К(9). Развитие существующих методов и привлечение более тонких комбинаторных, алгебраических, геометрических свойств и приемов может привести к эффективным критериям существования совершенных шифров и их современных аналогов, применимым на практике; к исследованию более имитостойких совершенных шифров. Полученные выводы означают, что необходимо выходить за обычные рамки, в пределах которых исследуются совершенные шифры, устанавливать новые связи между понятиями с целью повышения защиты информации, сохранения ее конфиденциальности и целостности, что особенно важно для критичной информации (например, коротких, но очень важных сообщений), используемой в корпоративных сетях железнодорожного транспорта. Результаты работы имеют научную и методическую ценность, так как расширяют существующую теорию совершенных шифров.

IT security conference for new generation

28

Методы распараллеливания алгоритма возведения длинных чисел в степень по модулю для криптографических систем Полежаев П.Н. Оренбургский государственный университет г. Оренбург [email protected]

Введение В современном мире большое значение имеет защита информации, передаваемой по открытым каналам связи. В этом случае применяют различные криптографические схемы шифрования. В связи с широким распространением многоядерных процессоров и необходимостью использования затратных по времени, но криптостойких, криптографических систем для защиты информации, возникает необходимость распараллеливания последних для систем с общей памятью. Перечислим основные подходы к распараллеливанию асимметричных криптосистем: 1.

Распараллеливание на уровне реализации длинной арифметики (распараллеливание арифметических операций для CRT-представления длинных чисел).

2.

Распараллеливание на уровне реализации методов шифрования, дешифрования и генерации ключей (распараллеливание трудоемкого алгоритма возведения в степень по модулю, алгоритма генерации псевдослучайных чисел).

3.

Распараллеливание на уровне блоков шифртекста (распараллеливание по независимым блокам).

Операция возведения длинных чисел в степень по модулю является фундаментальной, т.к. используется во многих криптографических системах (RSA, Эль-Гамаля, Диффи-Хеллмана) и других областях криптологии (алгоритмы проверки чисел на простоту, алгоритмы факторизации и дискретного логарифмирования), алгебры и теории чисел. Данная операция является очень трудоемкой по времени, и поэтому именно ее распараллелить, что и было сделано в данной работе.

имеет смысл

Бинарный метод возведения в степень по модулю и варианты его распараллеливания В источниках /1,2/ приводится обзор последовательных алгоритмов возведения в степень по модулю, а также выполняется анализ возможности разработки их параллельных версий. Наиболее подходящими для распараллеливания являются – бинарный и алгоритмы.

2 n -арный

(как его обобщение)

Пусть необходимо вычислить

r = b p mod m p для чисел b , Пусть

(1) и

m

длины k бит.

p = pk −1... p1 p0 = p0 20 + p1 21 + ... + pk −1 2k −1

двоичной

системе

счисления

(

pi ∈ {0,1} ),

- представление показателя степени в тогда

формула

(1)

примет

вид:

b mod m = (...((((b mod m) mod m)((b mod m) mod m)) mod m)... p0

p

20

21

p1

k −1

...((b pk −1 mod m) 2 mod m)) mod m

(2)

IT security conference for new generation

29

Бинарный метод заключается в последовательном возведении в квадрат основания для вычисления j

(b mod m) 2 mod m

и умножения результата на полученное значение при всех

pj =1

.

Данный метод может быть распараллелен несколькими способами. Первый способ распараллеливания заключается в последовательном вычислении всех значений j

(b mod m) 2 mod m

(

j = 0, 1, ..., k − 1 ),

p =1

а затем – параллельное умножение по модулю m всех

j полученных значений, для которых , с помощью каскадной схемы умножения. Очевидно, что основным недостатком данного алгоритма является большая доля последовательных вычислений (оценку времени см. в таблице 1).

Второй вариант распараллеливания предлагает на каждой итерации цикла, проходящего по всем битам

(b mod m)

показателя 2

j +1

степени

( j

j = 0, 1, ..., k − 1 ),

mod m = ((b mod m) mod m) mod m 2

вычисление

очередного

2

2j

(b mod m) mod m

выполнять параллельно с умножением по

pj =1

. Основной недостаток – дисбаланс загрузки модулю результата на при ядер процессоров, т.к. в среднем число единичных бит показателя степени составляет половину его длины, то в половине случаев у потока, выполняющего умножение результата на очередную степень основания, не будет работы, и он будет ожидать другой поток для перехода к следующей итерации цикла. Также данный вариант распараллеливания не масштабируется. Рассмотрим третий вариант распараллеливания. Пусть необходимо вычислить (1), причем m = rt , где r и t - простые числа. Последнее условие всегда выполняется, например, для алгоритмов шифрования и дешифрования криптосистемы RSA. Также возможно обобщение, если модуль удается представить в виде произведения двух и более попарно взаимно простых чисел. Любое число и

t

x ∈ [0, m − 1]

может быть однозначно представлено своими остатками от деления на

r

/2/:

x = ( q, w) , где q ≡ x(mod r )

и

w ≡ x (mod t )

(3)

Представление (3) называется (q,w)-представлением числа представлением.

x , представлением в остатках или CRT-

Операции сложения, вычитания и умножения чисел, представленных в остатках, могут выполняться покомпонентно. Таким образом, если требуется производить большое количество умножений по модулю, как в алгоритме возведения в степень, то можно использовать умножение в остатках. Во-первых, оно в силу независимости компонент, позволяет выполнять операцию параллельно. Во-вторых, т.к. нахождение представления в остатках можно выполнить в самом начале и восстановить результат в конце, то можно получить приблизительно хорошее ускорение работы алгоритма без учета распараллеливания. Основным недостатком данного алгоритма является отсутствие масштабируемости. Анализ параллельных алгоритмов возведения в степень по модулю По таблице 1 видно, что лучшую временную сложность имеет бинарный метод с параллельными вычислениями для (q,w)- представления чисел. Для оценки ускорения и эффективности параллельных алгоритмов возведения в степень по модулю были созданы их программные реализации, распараллеливание осуществлялось с помощью OpenMP 2.0. Замеры времени работы производились с помощью Intel VTune Performance Analyzer. На рисунке 1 приведен график зависимости ускорений параллельных алгоритмов от длины в битах. По графикам видно, что наилучшее ускорение имеет бинарный метод с параллельными вычислениями для (q,w)- представления чисел, которое асимптотически приближается к теоретическому пределу 2.

IT security conference for new generation

30

Таблица 1 – Временная сложность параллельных алгоритмов возведения в степень по модулю ( c - количество ядер вычислительной системы) Название алгоритма

Среднее время работы

O ( 2k 3 +

Бинарный метод с каскадной схемой параллельного умножения

k3 ) c

Бинарный метод с параллельным умножением и возведением в квадрат

O ( 2k 3 ) , при условии c≥2

Бинарный метод с параллельными вычислениями для (q,w)представления чисел

O(k 3 ) , при условии c ≥ 2

2.00 1.80 1.60 1.40 1.20 1.00 0.80 0.60 0.40 0.20 0.00

1.33

1.17

1.15

Бинарный метод с параллельным умножением и возведением в квадрат

1.23

1.22

1.13

1.03

1.92 1.42

1.86

1.53

Бинарный метод с каскадной схемой параллельного умножения

0.77

0

Бинарный метод с параллельными вычислениями для (q,w)представления чисел

1024

2048

3072

4096

Рисунок 1 – График зависимости ускорений параллельных алгоритмов от длины в битах

2 n -арный алгоритм возведения длинных чисел в степень по модулю Используется представление показателя степени в системе счисления с основанием n 0

2n :

n l −1

n 1

b p mod m = b p0 ( 2 ) + p1 ( 2 ) +...+ pl −1 ( 2 ) mod m , ⎡k ⎤ l=⎢ ⎥ ⎢ n ⎥ – количество 2 n -ичных цифр в представлении показателя степени. где

(4)

Тогда формулу возведения в степень можно переписать следующим образом: n

n

n

b p mod m = (...((b pl −1 ) 2 b pl −2 ) 2 ...) 2 b p0 mod m .

(5)

Алгоритм вычисления заключается в следующем: 1.

Сначала с помощью последовательного умножения на основание сохраняются значения

2.

t

b mod m

для всех

0≤t <2

n

b

вычисляются

и

.

Затем используется следующая итерационная формула: n

rl = 1, ri−1 = (ri 2 ⋅ (b pi −1 mod m)) mod m, i = l ,...,1 . IT security conference for new generation

31

(6)

r0

3.

- искомый результат вычислений.

2k 3 Θ( 2 k + + (2 n − 1)2k 2 ) n 3

Оценка времени работы для данного метода –

Данный алгоритм имеет смысл распараллеливать на основе представления чисел в виде остатков по некоторому набору модулей.

2 n -арный алгоритм с представлением чисел в остатках по малым модулям p1 , p2 ,..., ps

Пусть

- набор целых чисел, удовлетворяющих условиям:

∀i, j = 1, s i ≠ j ⇒ НОД ( pi , p j ) = 1 Любое число

x ∈ [0, P − 1]

;

∀i = 1, s 0 < pi < 216 ;

s

s

i =1

i =1

P = ∏ pi > 4(m∑ pi ) 2

. (7)

может быть однозначно представлено своими остатками от деления на

pi : x = ( x1 ,..., xs ) , где xi ≡ x(mod pi ) .

(8)

Теорема 1 (Китайская теорема об остатках в явном виде). Пусть

p1 , p2 ,..., ps

- попарно взаимно

s

простые

положительные

целые

числа,

обозначим

P = ∏ pi i =1

.

P w< pi 2, m представление числа w в остатках по модулям , причем w = ( w1 ,...,ws ) ). число (модуль, по которому мы хотим найти значение сравнения s

t = ∑ li ( i =1

hi P ≡ 1(mod pi ) l ≡ ( wi hi ) mod pi pi , i

( w1 ,...,ws )

Обозначим

-

положительное целое Пусть

hi

- решение

. Обозначим

s

l P mod m) − ( P mod m)round (∑ i ) pi i =1 pi ,

(9)

s

тогда числа.

w ≡ t (mod m )

и

t ≤ m∑ pi i =1

. Функция round осуществляет округление до ближайшего целого

Данная теорема дает возможность восстанавливать по представлению числа

p

w

в остатках по

модулям i его обычный вид и вычислять остаток от его деления на заданный модуль большая часть вычислений может быть эффективно распараллелена.

m , причем

n

Тогда модифицированный вариант 2 -арного алгоритма с представлением чисел в остатках по малым модулям будет заключаться в следующем: 1.

Перевод числа параллельно).

b mod m

в представление в остатках по модулям

IT security conference for new generation

32

pi

(осуществляется

Предварительные вычисления b mod m для всех 0 ≤ t < 2 с помощью покомпонентного умножения по модулю m на основе теоремы 1 (большая часть вычислений осуществляется параллельно). t

2.

3.

n

Затем используется формула (6). На каждой итерации вычисление

ri 2

n

и умножение

pi −1

mod m осуществляется покомпонентно, причем не берется получившегося значения на b остаток по модулю m. Остаток по модулю m берется только для получившегося значения n

ri 2 ⋅ (b pi−1 mod m)

, при этом используется теорема 1. На каждой итерации большая часть вычислений осуществляется также параллельно. Также заметим, что используемые значения вычисляться перед 1-м этапом чисел), либо могут браться

k = 512, 1024, 2048, 4096 .

p1 , p2 ,..., ps , P , P mod m

и

hi

могут либо

k

n

2 -арного алгоритма для заданного значения (длины в битах уже «зашитые» значения для распространенных значений

В результате расчетов была получена следующая оценка времени работы данного алгоритма для случая дополнительных вычислений перед 1-м этапом алгоритма:

16 O((2 n +1 + − 2)k 2 + n

(16 +

256 2 16 2 ) s k + sk n n ) c .

Полученная оценка отражает неплохую масштабируемость алгоритма, при правильном выборе и c можно получить неплохое ускорение.

(10)

n, s

Заключение Рассмотрен ряд вариантов распараллеливания бинарного метода, из которых наиболее подходящий – на основе (q,w) представления чисел. Он дает значительное ускорение, но он абсолютно не масштабируется. Он также показывает ранее недооцененную возможность эффективного распараллеливания на уровне реализации длинной арифметики. n

Распараллеливание 2 -арного алгоритма на основе представления чисел в остатках по малым модулями дает возможность получить значительное ускорение и масштабируемость. Дальнейшие направления продолжения работы: •

Распараллелить бинарный метод с CRT-представлением с малыми модулями, оценить его ускорение и масштабируемость (на кластере ОГУ).

•

Сократить количество умножений, путем использования метода движущегося окна в связке с параллельной CRT арифметикой.

Список используемых источников 1.

Нестеренко М.Ю. Полежаев П.Н. Подходы к распараллеливанию алгоритмов с открытым ключом // Математика. Информационные технологии. Образование: Материалы региональной научно-практической конференции в двух частях. Часть 1. – Оренбург: ГОУ ОГУ, 2006.

2.

Нестеренко М.Ю. Полежаев П.Н. Разработка параллельного алгоритма возведения длинных чисел в степень по модулю для криптосистемы RSA //Материалы шестого международного научно-практического семинара «Высокопроизводительные вычисления на кластерных системах». Том 2. /Под ред. проф. Р.Г. Стронгина. Санкт-Петербург, 2007. – с.105-112.

3.

Вельшенбах М. Криптография на Си и С++ в действии. – М.: Триумф, 2004. – 464 с.

4.

Фергюсон Н., Шнайер Б. Практическая криптография. – М.: Вильямс, 2005. – 424 с.

IT security conference for new generation

33

Генетический алгоритм генерации сильных ключей для блочных перестановочных шифров Рой К.С. Пермский государственный университет г. Пермь [email protected]

При использовании фиксированной перестановки в блочной схеме шифрования возможна ситуация, когда в полученном шифр-тексте имеются фрагменты осмысленного текста, что облегчает задачу криптоанализа. В данной работе предложен генетический алгоритм для автоматической генерации качественных перестановок (сильных ключей). Исходными данными для алгоритма является открытый текст, для зашифрования которого требуется подобрать сильный ключ. Рассмотрены два типа операторов скрещивания и несколько вариантов принудительного завершения работы алгоритма. Для каждой особи вычислялись частоты биграмм в тексте, полученном в результате зашифрования исходного открытого текста с помощью данной особи. Рассматривалось два варианта приспособленности особи. 1)Более приспособленной считалась особь, у которой эти частоты больше всего отличались от эталонных частот тех же биграмм в произвольном осмысленном тексте. 2) Более приспособленной считалась та особь, у которой эти частоты были одинаковыми у всех встреченных биграмм. Результатом работы алгоритма являлась наиболее приспособленная особь, сгенерированная за все время работы алгоритма. Защита конфиденциальной информации становится все более актуальной проблемой, в решении которой благодаря развитию вычислительной техники возрастает роль математических методов и быстрых алгоритмов. Будем рассматривать блочную схему шифрования, где секретным ключом является перестановка длины n, с помощью которой осуществляется перестановка букв в каждом блоке открытого текста. Процесс блочного шифрования довольно прост [1]. Открытый текст разбивается на блоки некоторой фиксированной длины n. Далее к каждому блоку применяется ключ-

перестановка (a1,а2,а3,…,аn), где ai ∈ {1,2,3,…,n} (ai ≠ aj), которая «перемешивает» буквы в блоке. Таким образом зашифрованный текст представляет собой последовательность зашифрованных блоков. Если длина текста не делится нацело на длину блока, то в конец текста дописывается недостающее количество букв. Например, в качестве недостающих символов можно взять начальный фрагмент открытого текста, чтобы не дать злоумышленнику дополнительных шансов для успешного взлома. В данной работе рассматривается проблема генерации сильных ключей для блочной схемы шифрования. Под сильным ключом здесь понимается такая перестановка, при использовании которой в зашифрованном тексте не остается осмысленных «читабельных» фрагментов. Очевидно, что наличие таких фрагментов облегчает злоумышленнику поиск секретного ключа и дальнейшее расшифрования перехваченного шифр-текста. Поэтому, сильный ключ для зашифрования одного текста может оказаться совершенно неподходящим для зашифрования другого текста. В данной работе сделана попытка разработать алгоритм автоматической генерации сильных ключей, не требующей вмешательства человека. Качество сгенерированного ключа можно оценить, основываясь на известном свойстве статистической устойчивости биграмм в произвольном осмысленном тексте [2]. Более точно: если в шифр-тексте, полученном с помощью данного ключа, частоты встречаемости биграмм далеки от среднестатистических частот биграмм в осмысленных текстах, то есть основания считать такой ключ сильным. Поскольку при таком подходе качество ключа для заданного открытого текста удается выразить числом, то возникает задача комбинаторной оптимизации функционала, заданного на пространстве всех перестановок длины n. Для решения подобных задач можно использовать генетические алгоритмы [3]. В начале работы генетического алгоритма моделируется процесс создания начальной популяции, состоящей из заданного количества особей. Приспособленность каждой особи можно вычислить по определенным правилам. Далее моделируется процесс естественного отбора и скрещивания, в ходе которого постепенно формируется популяция особей, имеющих высокую степень приспособленности.

IT security conference for new generation

34

В разработанном генетическом алгоритме поиска сильного ключа для заданного открытого текста прежде всего генерируется популяция из m особей, каждая из которых кодирует какую-либо перестановку (a1,а2,а3,…,аn) элементов множества {1, 2, 3, …, n}. Между особью и перестановкой существует взаимнооднозначное соответствие. Способ кодирования подобран таким образом, чтобы упростить применение генетических операторов скрещивания и мутации. Для сравнения эффективности работы алгоритма использовался одноточечный и равномерный кроссинговер. Количество особей, отобранных для скрещивания, и сам принцип отбора варьировался. Например, рассматривался вариант, когда вероятность участия особи в скрещивании зависела от её приспособленности: чем выше приспособленность, тем выше шансы особи участвовать в формировании новой популяции. Приспособленность особи вычислялась на основе следующей нескольких фитнесс-функций

W ( Р ) = ∑ Tij ( Р ) − Eij ij

,

W ( Р ) = ∑ (Tij ( Р ) − Eij )

2

ij

W ( Р) = min Tij ( Р) − Eij ij

, ,

где Тij(Р)– частота биграммы ij в шифр-тексте, полученном в результате зашифрования заданного открытого текста с помощью перестановки Р, а Еij – частоты биграмм в некотором «эталонном» среднестатистическом осмысленном тексте на том же языке, которые, как известно, обладают статистической устойчивостью (также рассматривался второй вариант, т.е. тот, где частоты биграмм были бы одинаковыми в тексте, зашифрованном сильным ключом, в этом случае, все Еij равны). Чем больше значение фитнесс-функции для данной особи, тем более приспособленной она считается и тем «сильнее» будет соответствующий ей ключ. В процессе работы генетического алгоритма происходит поиск и скрещивание особей с максимальными значениями фитнесс-функции. Особи, участвующие в скрещивании, а также их наиболее приспособленные потомки участвуют в формировании новой популяции. К некоторым из потомков применяется оператор мутации. Вероятность мутации является параметром алгоритма, определяется на начальном этапе и в ходе эволюции не меняется. Процесс отбора, скрещивания и мутации повторяется циклически. Остановка работы алгоритма может произойти по одной из следующих причин: •

истекло время, выделенное для работы алгоритма;

•

число популяций достигло заданной величины;

•

максимум фитнесс-функции внутри популяции не меняется на протяжении определенного числа поколений;

•

максимум фитнесс-функции внутри популяции не меняется на протяжении определенного времени;

•

максимум фитнесс-функции внутри популяции изменился в процентном выражении на заданную величину по отношению к максимуму фитнесс-функции внутри первоначальной популяции.

Таким образом, на вход разработанному алгоритму подается осмысленный текст (на русском языке), а на выходе получается особь, имеющая максимальную приспособленность среди всех особей, сгенерированных алгоритмом за все время его работы. В результате мы получаем сильный ключ и зашифрованный с его помощью текст. В настоящее время ведется тестирование алгоритма, подбор оптимальных значений входных параметров, оценка качества ключей, генерируемых алгоритмом для различных исходных открытых текстов. Литература 1.

Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. – М.: Издательство «Триумф», 2002. – 816 с.

IT security conference for new generation

35

2.

Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии: Учебное пособие. – М.: Издательство «Гелиос АРВ», 2001. – 480 с.

3.

Гладков Л.А., Курейчик В.В., Курейчик В.М. Генетические алгоритмы. – М.: ФИЗМАТЛИТ, 2006. – 320 с.

Криптография. Исследование теста Миллера-Рабина в различных реализациях Ярёха А.А. Северо-восточный государственный университет г. Магадан [email protected]

Проблемой защиты информации путем ее преобразования занимается криптология. Криптология разделяется на два направления — криптографию и криптоанализ. Криптография занимается поиском и исследованием методов преобразования информации с целью скрытия ее содержания. Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей. Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи, установление подлинности передаваемых сообщений, хранение информации на носителях в зашифрованном виде. Особенностью современной криптографии является широкое использования стандартов обеспечения безопасности информации. Разработаны общедоступные стандарты шифрования DES, ГОСТ 2814789, AES, стандарт цифровой подписи DSS, стандарты электронной цифровой подписи ГОСТ Р 34.1094 и ГОСТ Р 34.10-2001 и так далее. Современные системы шифрования так или иначе используют длинные числа для усложнения взлома криптосистемы вследствие трудности и долговременности математических преобразований с этой целью. Поэтому стандартные типы в 16 и 32 бита не подходят. Существуют библиотеки для работы с длинными числами. Самой быстрой и известной является библиотека GMP (GNU MP). Существуют также библиотеки LidIA, разработанная в Техническом университете Дармштадта, PARI, разработанная Генри Коэном (Henri Cohen). В библиотеке GMP, FLINT/C существуют функции проверки числа на простоту, которые использует алгоритм Миллера-Рабина. В дальнейшем мы хотим воплотить этот алгоритм на языке ассемблер для процессора Intel Pentium IV с целью получения соответствующего или даже лучшего результата. В библиотеке GMP функция проверки на простоту называется mpz_probab_prime_p(mpz_t n, int reps), принимающая длинное число формата этой библиотеки и количество проводимых тестов МиллераРабина. Функция возвращает число типа int, 0 – число составное, 1 – число вероятно простое, 2 – число простое. Достаточно 5-10 тестов для того, чтобы с большой вероятностью сказать,что число простое. В работе использовалось именно 10 тестов при написании небольшого приложения с использованием GMP. В библиотеке FLINT/C тест реализован в функции prime_l(CLINT n_l, unsigned no_of_smallprimes, unsigned iterations); n_l – тестируемое число, no_of_smallprimes – число простых чисел в методе пробного деления (просто делить тестируемое число на массив первых известных простых чисел)

IT security conference for new generation

36

iterations – число итераций теста. Попробовав проверить 44-е число Мерсенна на простоту, мы столкнулись с проблемой, которую еще предстоит решить. Библиотека GMP выдает ошибку на этапе работы функции присваивания числовому типу этой библиотеки из строки символов. Библиотека FLINT/C на введенное число выдает результат 0, то есть тестируемое число составное, но нам известно обратное, что говорит о том, что функция перевода из строки цифр в числовой тип данной библиотеки не работает с числами такой длинны. Вероятно, могла быть допущена какая-либо ошибка в составлении программ, потому что мог быть упущен какой-либо нюанс, который повлиял на результат, но при отладке было выявлено, что ошибки наступают в результате работы функций библиотеки. Поэтому можем предположить, что эти библиотеки не предназначены для работы с числами такой длины в таком виде, потому что в компетентности авторов библиотек сомневаться не приходится. Здесь остается поле для дальнейшей работы и корректировка программы с учетом описанных нюансов.

IT security conference for new generation

37

4Секция

Методы обнаружения и предотвращения компьютерных угроз Автоматизация анализа банковских троянцев Адамов А.С. Харьковский национальный университет радиоэлектроники г. Харьков [email protected]

Сегодня невозможно представить всемирную сеть без Интернет-банкинга, позволяющего клиенту управлять своим банковским счетом через сеть Интернет. Данный вид банковского обслуживания дает возможность проводить любые банковские операции из любой точки мира, при этом обеспечивая высокую скорость обслуживания. Однако использование удаленного способа доступа к счету требует от пользователя компьютерной грамотности для обеспечения необходимого уровня безопасности. В данном контексте существует ряд проблем, которые необходимо решить для защиты пользователей от виртуального мошенничества. Во-первых, обеспечить безопасность транзакций и пересылки данных между клиентом и банком. Во-вторых, повысить уровень подготовки пользователя с целью его защиты от потери конфиденциальных данных вследствие действия вредоносных программ и атак злоумышленника. Основные методы используемые злоумышленниками для перехвата информации: •

фишинг (изменение файла hosts, модификация DNS, установка сетевых драйверов);

•

установка ловушек и дополнительных компонентов в Интернет браузер с целью перехвата вводимых на странице банка пользователем данных;

•

фальшивые всплывающие окна для ввода конфиденциальных данных;

•

TAN-граббинг и др.

Для борьбы с самым распространенным видом перехвата данных – протоколированием ввода данных с клавиатуры (кейлоггинг) – стали применяться специальные визуальные компоненты, так называемые «виртуальные клавиатуры». Однако, ответом на использованием данные систем безопасности на страницах банков стало создание программ, использующих муляжи окон для их отображения поверх оригинальных компонентов для ввода данных. В настоящее время большая часть банковских троянцев использует описанный механизм отображения ложных всплывающих окон, в которых содержаться поля для ввода конфиденциальных данных, такие как: логин, пароль, номер счета клиента (рис. 1).

IT security conference for new generation

38

Рисунок 1 – Примеры фальшивых троянских окон Данные троянские программы, находясь в памяти, отслеживают заголовки окон Интернет браузера и URL адреса для того, чтобы определить момент открытия пользователем страницы банковского клиента и наложить свою форму на оригинальный компонент ввода данных банка. С целью анализа такого рода вредоносных программ, использующих технологию всплывающих окон, была разработана программа-эмулятор «Банкеров». В его основе лежит генерация пустых страниц в Интернет браузере с необходимыми заголовками и строками адреса банка с целью вызвать срабатывание троянца. В случае отображения троянской «фальшивки», эмулятор делает снимок экрана и сохраняет его в файле на диске. Имея в базе достаточное количество адресов банковских Интернет клиентов возможно протестировать вредоносные действия троянской программы в отношении того или иного банка. Данная технология позволяет определить список банков-жертв в случае, если сканируемые адреса и заголовки окон, которые содержаться в теле троянца, зашифрованы и их расшифровка затруднена использованием сложного криптоалгоритма, что является нормой в последнее время.

IT security conference for new generation

39

Ключевые моменты построения защищенной корпоративной сети передачи информации организации Архипова С.А. Российский государственный социальный университет г. Москва [email protected]

Цель данной работы – охватить ключевые моменты в разработке единой концепции безопасности корпоративной сети передачи информации организации. Шаг первый: оценка информационных рисков. Применение ИТ в деловых процессах – это не только уменьшение затрат и времени, но и определенный набор рисков. В организации любого размера и масштаба циркулируют документы и иная информация, подлежащая защите от несанкционированного доступа. Для построения эффективной защиты от возможных угроз этой информации необходимым шагом является оценка информационных рисков. Имеются риски, которые можно полностью исключать, а есть риски, полное исключение которых приведет к снижению эффективности бизнеса в целом. Шаг второй: аудит. Как правило, проведение общего аудита информационной безопасности организации состоит из двух частей: информационного и технического обследования. Он состоит из двух этапов. Информационное обследование: проводится с целью выявления существующих информационных задач и потоков в сети и подготовки исходных данных по ее оптимизации. Цель технического обследования – определение состава и архитектуры компьютерной сети, конфигурации средств вычислительной техники, поиске и анализе уязвимостей технических элементов автоматизированной системы(сети) для выявления дефектов в системе защиты от внешних сетевых угроз. Шаг третий: начальный этап разработки концепции информационной безопасности организации. При разработке концепции необходимо учитывать основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий. Шаг четвертый: основные требования к построению системы защиты корпоративной сети передачи информации. Построение системы обеспечения безопасности корпоративной сети передачи информации и ее функционирование должны осуществляться в соответствии со следующими основными принципами: законность, системность, комплексность, непререрывность, своевременность, преемственность и непрерывность совершенствования, разумная достаточность, персональная ответственность, минимизация полномочий, взаимодействие и сотрудничество, гибкость системы защиты, открытость алгоритмов и механизмов защиты, простота применения средств защиты, научная обоснованность и техническая реализуемость, специализация и профессионализм, обязательность контроля. Шаг пятый: контроль целостности информационных ресурсов. Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться рядом средств. В целях защиты информации и программ от несанкционированного уничтожения или искажения проводится ряд мероприятий. Шаг шестой: оперативный контроль и регистрация событий безопасности. Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций.

IT security conference for new generation

40

Разработка методики оценки ущерба от распространения вирусных технологий на действующих предприятиях Бочарникова М.В., Сапрыкин А.С. Национальный технический университет "Харьковский политехнический институт", Харьковский национальный университет радиоэлектроники г. Харьков [email protected]; [email protected]

В данной работе классифицируются составляющие информационной безопасности предприятий, показатели, влияющие на нее и показатели, характеризующие ущерб от вирусной активности на компьютерные сети предприятия. Разработаны критерии оценки экономического ущерба с учетом неопределенности и рисков их сопровождающих. Вначале составляется модель информационной безопасности, состоящая из классификации различных видов атак (вирусы, троянцы, черви, финансовое мошенничество, кража конфиденциальных данных, фишинг и др.) и перечня финансово-экономических показателей, характеризующих деятельность исследуемых предприятий (показатели рентабельности, затрат, коэффициенты ликвидности, финансовой устойчивости, фондоотдачи, производительности труда и др.). Проводиться анализ воздействия существующих угроз на изменение этих показателей в критериях оценки абсолютной и сравнительной эффективности. Метод

оценки

сравнительной

эффективности

первоначальном виде рассчитывается, как

(например,

изменения

себестоимости),

в

(S1 − S0) + E(K0 − K1) , где S1,S0 и К1К0 – базовый и

измененный показатели себестоимости, капитальных вложений, Е – коэффициент сравнительной эффективности капитальных вложений. В соответствии с методикой учета случайных рисков определяются пределы изменения расчетных показателей, которые зависят от параметров закона распределения (математического ожидания m и среднеквадратического отклонения σ ), которые можно определить с помощью математического аппарата линеаризации функций случайных величин. На основе статистических данных, полученных от предприятий, подвергшихся компьютерным атакам, определяются не только показатели чувствительности, но и строятся модели математических зависимостей, которые позволяют разработать универсальную методику подсчета будущих угроз и потерь с наибольшей долей вероятности. Используя такие показатели, как NPV (чистый приведенный доход), IRR (внутренняя норма рентабельности), PP (срок окупаемости), оценки экономической эффективности определяем целесообразность внедрения проектов информационной безопасности. Оценка экономической эффективности сравниваемых вариантов проводится по интегральному критерию затрат за период оценки

τ:

τ

τ = ∑ ( К + C − A )β Зинт t t t t → min, t =1 Kt – капитальные вложения по варианту в каждом t-м порядковом году периода оценки себестоимость по варианту, At – амортизационные отчисления на реновацию, учета фактора времени методом сложных процентов.

βt

τ , Ct –

- коэффициент

На основе рекомендуемой методики можно дать качественную оценку экономического ущерба предприятия от распространения компьютерных атак с учет вероятностного характера производства и рисков в области информационной безопасности.

IT security conference for new generation

41

Алгоритм контроля целостности информационных объектов локальной вычислительной сети Катасонов В.Ю. Национальный авиационный университет г. Киев [email protected]

Інформація давно перестала бути просто необхідним для виробництва допоміжним ресурсом або побічним проявом різноманітної діяльності. Вона набула значну матеріальну цінність, яка чітко визначається реальним прибутком, що отримується при її використанні, або розміром втрат, які несе володар інформації. Однак створення індустрії перероби інформації породжує цілий ряд слоних проблем. Однією з таких проблем є надійне забезпечення захищеності інформації, що циркулює та оброблюється в локальних обчислювальних мережах. В свою чергу однією з основних властивостей захищеності інформації є її цілісність, забезпечення якої дозволяє з певною гарантією стверджувати про можливість запобігти несанкціонованій модифікації чи знищенню програмних засобів або інформації комп’ютерних систем. В зв’язку зі швидким розвитком інформаційних технологій та їх проникненням в усі галузі людської діяльності зросла кількість злочинів, що направлені проти інформаційної безпеки. Велику зацікавленість з боку кібер- злочинців визиває діяльність державних структур, комерційних підприємств та науково - освітніх закладів. Ціллю є викрадення, розголошення конфіденційної інформації, заплямування ділової репутації, порушення працездатності і, як наслідок, конфіденційності, доступності і цілісності інформаційних ресурсів організації. Дані дії завдають величезної моральної та матеріальної шкоди. Ризикують не тільки величезні компанії, але й приватні користувачі. За допомогою різноманітних засобів та методів, як програмних, так і апаратних, злочинці отримують доступ до персональних даних, номерів банківських рахунків, кредитних карток, паролів, виводять комп’ютер з ладу, тощо. В подальшому такий комп’ютер може використовуватися як частина зомбі-мережі: мережі інфікованих комп’ютерів, що використовуються для проведення атак на сервери, розсилки спаму, збору конфіденційної інформації, розповсюдження нових вірусів або троянських програм. На сьогоднішній день усіма признається той факт, що інформація є цінним добутком і підлягає охороні. У той же час інформація повинна бути доступною для визначеного кола користувачів, наприклад, співробітникам, клієнтам і партнерам підприємства. Таким чином постає питання створення комплексної системи інформаційної безпеки. Ця система повинна враховувати всі можливі джерела загроз: людський, технічний та стихійний фактори, й використовувати весь комплекс захисних заходів, таких як фізичні, адміністративні та програмно-технічні заходи захисту. В даній роботі представлений алгоритм забезпечення цілісності інформаційних об’єктів локальної обчислювальної мережі.

IT security conference for new generation

42

Безопасность беспроводных сетей Кожанов Е.А., Степина А.Н. Саратовский государственный социально-экономический университет г. Саратов [email protected]; [email protected]

Беспроводные технологии дают человеку большую мобильность и удобство для доступа к информационным потокам. Среди беспроводных технологий можно особо выделить ту их часть, которая активно внедряется в качестве мобильного, простого и удобного решения для корпоративных и домашних сетей. Это сети стандарта IEEE 802.11, также известные как WLAN (Wireless Local Area Network - Беспроводная Локальная Сеть) сети. Внедрение таких сетей идет одновременно с непрекращающейся информацией об их ненадежности. Существует множество средств защиты протоколов IEEE 802.11 таких как: аутентификация, шифрования трафика, привязка к MAC-адресам. Но все они не являются достаточно надежными, чтобы полностью полагаться на них. Поэтому в своей работе мы решили рассмотреть альтернативный способ защиты беспроводных сетей. Проанализировав стандартные средства защиты, пришли к выводу, что в основном они направлены на то, чтобы не дать злоумышленнику возможности подключиться к сети. Такое положение дел привело к необходимости создания защиты последнего уровня, т.е. создания таких условий, при которых атакующий не сможет работать с сетью, даже если он смог к ней подключится. Наш метод защиты основан на модификации принципа работы сетевого протокола, так как его можно изменить по своему усмотрению. Для защиты канала передачи мы решили ввести дополнительный уровень и возложить на него функции защиты информации проходящей через него. Данный метод универсален, его возможно реализовать в виде модуля ядра для операционных систем семейства UNIX, или в виде фильтр-драйвера для операционных систем MS Windows. К его достоинствам можно отнести то, что разработать такой модуль может программист средней квалификации, в нем можно применить любой алгоритм шифрования, что делает беспроводную сеть уникальной, он легок в установки и не требует администрирования.

Реализация модели секретности TAKE-GRANT конечными автоматами Мурин Д.М. Ярославский государственный университет им. П.Г. Демидова г. Ярославль [email protected]; [email protected]

В современном мире человека с детства окружают новые технологии. Их влияние на человека за последние годы возросло многократно, многие уже не представляют жизни без сотового телефона, ноутбука, выхода в интернет. Телекоммуникационные технологии и сети передачи данных позволили связать людей из самых отдаленных уголков земли. Многие люди и не представляют сколько на самом деле посредников между собеседниками. Сложность вычислительной техники и ощущение полной свободы в сети порождают ложные чувства безопасности и спокойствия. Жажда общения превышает чувство осторожности. Человек привык доверять свои самые сокровенные тайны машинам.

IT security conference for new generation

43

В настоящее время в электронных информационных хранилищах, персональных компьютерах, сетях хранятся значительные объемы данных о людях (персональные данные), компаниях и организациях (экономическая, коммерческая информация), государствах. Далеко не вся важная, ценная, а иногда и критичная, информация, должным образом, хранится и защищается. Кто же может ей воспользоваться? В глобальном смысле ответить на этот вопрос не представляется возможным. Однако существуют методы, позволяющие в случае конкретной информационной системы определить, кто (и каким образом) может заполучить права на интересующую нас информацию. Одним из таких механизмов является рассматриваемая в работе классическая модель секретности TAKE-GRANT. В данной модели вопрос возможности приобретения множества прав доступа α сущностью X на сущность Y сводится к определению истинности предиката “Возможен Доступ”( α , X, Y). В доступных автору источниках модель TAKE-GRANT описывается и исследуется на языке теории графов. В представленной работе мы предлагаем теоретико-автоматный подход к описанию и исследованию модели TAKE-GRANT. В работе построен автомат, позволяющий определить истинность предиката “Возможен Доступ”( α , X, Y) и определить пути утечки прав, приведена оценка сложности алгоритма решающего эту задачу, показана возможность не только теоретического, но и практического применения изложенного подхода.

Разработка стойкого алгоритма авторизации с использованием usb-донгла Приморский А.А. Московская финансово- промышленная академия г. Москва [email protected]

Введение Одной из главных компьютерных угроз является обход авторизации при физическом доступе к компьютеру. Под авторизацией здесь понимается процесс проверки необходимых параметров и предоставление определённых полномочий (прав доступа) лицу или группе лиц на выполнение некоторых действий в различных системах с ограниченным доступом. Процесс авторизации обычно состоит из идентификации пользователя с последующими действиями по разрешению/запрещению некоторых действий при работе с системой. Говоря об идентификации, процесс может быть реализован разными способами, наиболее распространённые из которых — это запрос у пользователя пары логин/пароль, некого уникального ключа или идентификация по биометрическим данным. При создании какой-либо информационной системы приходится сталкиваться с выбором способа идентификации.

IT security conference for new generation

44

Способы идентификации пользователя

Тру дое мко сть вне дре ния

Биометрические системы

Системы с уникальным ключом

Логин / пароль Стойкость ко взлому Анализ способов идентификации Самая простая и дешёвая реализация состоит в использовании пары логин/пароль. Плюсами такой системы является отсутствие внедрения какой-либо техники и относительная простота программирования. Но при всех плюсах есть и серьёзный недостаток — «человеческий фактор» ставит под угрозу политику безопасности: пользователь может выбрать легко подбираемый пароль, может хранить его в небезопасном месте или забыть его вовсе (реализации систем восстановления пароля — ещё одна область, ошибки в проектировании которой могут быть использованы для получения неправомерного доступа). Идентификация с помощью биометрии намного более надёжна, а также исключает возможность потери или того, что пользователь забудет свой уникальный идентификатор, которыми служат, например, отпечатки пальцев, сетчатка глаза, тембр голоса и т.п. Минусом данного способа является, например, то, что внедрение требует существенных материальных средств. В качестве «золотой середины» выступает способ идентификации с помощью уникального ключа. Сейчас повсеместно используются такие системы, где в качестве ключа выступает магнитная карта, пластиковая карта с RFID-чипом или USB-донгл. По стоимости внедрения последний вариант кажется наиболее приемлемым, поскольку при всей дешевизне карточек-«болванок» считывающее оборудование стоит довольно дорого. Кроме вышеперечисленных достоинств использования USBдонгла как носителя уникального ключа можно отметить и то, что он даёт более широкие возможности для программирования его для работы в качестве идентификатора.

Компьютерные угрозы Шабашев О.В. Серпуховской военный институт ракетных войск г. Серпухов [email protected]

1.

Общий обзор существующих угроз безопасности информации. Внешние и внутренние угрозы.

2.

Мифы о безопасности. Как преодолеть сложившиеся стереотипы.

3.

Фазы жизни компьютерных угроз. Двухвекторная модель атак.

4.

Технологии защиты от сетевых атак. Personal Firewall. IDS и IPS. BOEP.

5.

Защита на уровне приложений. Antivirus. Virus Prevention System. Application Control.

6.

Выводы и предложения по улучшению качества защиты информации на ПЭВМ.

IT security conference for new generation

45

5Секция

Образовательные проекты (программы и методики обучения) в области компьютерной безопасности Учебный курс «Вирусы и средства борьбы с ними» Кудина М.В., cоавторы: Адамов А.С., Куницкий А.В., Омельченко А.В. Харьковский национальный университет радиоэлектроники г. Харьков [email protected]

Курс «Вирусы и средства борьбы с ними» содержит лекционные и лабораторные занятия. В лекционном курсе тщательным образом подобран материал для ознакомления студентов с современными угрозами в сети Интернет, понятием и классификацией вредоносных программ, видами сетевых атак и способами защиты от всех видов угроз. Среди прочих рассмотрен актуальный вопрос – мошенничество в сети Интернет. На первых лекциях происходит знакомство с предметной областью вопроса. История создания вредоносных программ. Антивирусные системы и современные тенденции их развития. Сравнительный анализ антивирусов. Пути заражения компьютеров. Классификация вредоносных программ. Антивирусные технологии будущего поколения. Также в цикле лекций затронута актуальнейшая проблема мошенничества в сети Интернет. Рассмотрены самые распространенные методы обмана, которыми пользуются виртуальные мошенники: фишинг, банкинг. Освещены вопросы безопасности в социальных сетях и мошенничество в онлайн-играх. В последнее время наблюдается тенденция роста атак на мобильные системы. В нашем курсе мы постарались осветить и эту проблему, упомянув о методах защиты в мобильных системах. Особое внимание уделено вопросам защиты почтовых систем, шлюзов и антиспам технологиям. Также в рамках курса «Вирусы и средства борьбы с ними» мы постарались собрать максимально полезную, интересную и актуальную информацию о технологиях, которые используются вредоносным ПО: 1.

новое направление в скрытии информации - основы стеганографии;

2.

методы обфускации вредоносных программ;

3.

техники реверс-инжиниринга для вредоносных программ;

4.

технологии скрытия вредоносной активности в системе, руткит технологии;

5.

принципы использования эксплойтов;

6.

ботсети.

На лабораторных работах студенты учатся защищать ПК с помощью антивирусных продуктов и без них. Приобретают навыки работы с дизассемблером, а также опыт распаковки и расшифровки исполняемых файлов. IT security conference for new generation

46

В лабораторной работе № 1 «Антивирус Касперского для Windows Workstations» учащиеся устанавливают Антивирус Касперского Windows Workstations на ОС Microsoft XP Professional; знакомятся с назначением и функциями данного приложения; с его интерфейсом, с основными принципами работы. Лабораторная работа № 2 «Основные признаки присутствия вредоносных программ и методы по устранению последствий вирусных заражений» посвящена приобретению навыков обнаружения на компьютере вредоносных программ, изучению основных методов по устранению последствий вирусных инцидентов без использования антивирусного программного обеспечения. Также студенты знакомятся с определением вируса и вредоносных программ, с типами вредоносных программ и их описанием, с жизненными циклами различных типов вредоносных программ, с действиями червей при заражении компьютера, с возможностями лечения компьютеров без использования антивирусного программного обеспечения. Лабораторная работа № 3 «Исследование уязвимостей Интернет браузеров в контексте новых веб технологий». Данная работа актуальна в свете встраивания вредоносных скриптов в популярные сайты. Предназначена для ознакомления студентов с содержанием современных угроз безопасности в Интернет; с сущностью понятия программной уязвимости; с принципами встраивания вредоносного кода в скрипты; с механизмом активации вредоносного кода, находящегося в скрипте программного обеспечения. В лабораторной работе № 4 «Основы работы с дизассемблером» изложены основы статического анализа программ с помощью дизассемблеров с целью обнаружения присутствия вредоносной составляющей. Студенты изучают основные приемы дизассемблирования приложений. Знакомятся с методами и средствами анализа программ; с интерфейсом и возможностями интерактивного дизассемблера IDA Pro; с базовыми приемами анализа Win32-программ. В лабораторной работе № 5 «Технологии распаковки исполняемого кода» учащиеся получают навыки определения наличия упаковщика исполняемых файлов и его идентификации. Изучают особенности некоторых упаковщиков исполняемых файлов и методы распаковки\упаковки; методику восстановления распакованных файлов. Данный курс будет включен в учебную программу Харьковского национального университета радиоэлектроники с осеннего семестра 2008 года. С 2009 года планируется добавить его в программу международного факультета. Он позволяет научить студентов защищать компьютерные системы и сети от проникновения вредоносных программ, производить анализ вредоносного кода методами реверс-инжиниринга. Также в курсе рассматриваются современные угрозы, присутствующие на данный момент в сети Интернет, в том числе различные виды мошенничества, кражи конфиденциальных данных, и многое другое.

IT security conference for new generation

47

6Секция

Спам. Методы обнаружения спама с анализом содержимого и без него. Фишинг

Спам. Методы обнаружения спама с анализом содержимого и без него. Фишинг. Исследование эффективности различных методов обнаружения на примере клиентских программ фильтрации спама Баринов А.Е. Южно-уральский государственный университет г. Челябинск [email protected]

В последнее время стали учащаться случаи жалоб пользователей Сети Интернет на то, что в их адрес приходит все больше и больше непрошеной корреспонденции рекламного характера. Такие письма называются в Сети спамом. Борьба со спамом является одной из актуальнейших проблем настоящего времени. В своей работе посвященной исследованию методов борьбы со спамом на примере клиентских программ и программных пакетов я рассмотрел наиболее распространенные разновидности спама, способы его распространения, способы сбора адресов электронной почты, причиняемый спамом вред, идеологические, превентивные, фильтрационные, юридические аспекты борьбы со спамом. Более подробно рассмотрены методы борьбы со спамом с анализом содержимого. Проведен сравнительный анализ различных клиентских программ и программных продуктов, предназначенных для борьбы со спамом. Для сравнительного анализа на компьютер с предустановленной операционной системой Windows XP Professional SP2 был установлен почтовый клиент The Bat! 3.99.29 и поочерёдно устанавливались клиентские программы и программные пакеты, предназначенные для борьбы со спамом(Kaspersky Internet Security 7.0.1.325, DrWeb 4.44, Panda Internet Security 2008 12.01.00, Mail Washer 2.0.40b, Mozilla Thunderbird 2.0.0.14) Проверка проводилась на выборке из 4129 писем с реально существующего почтового ящика одной из крупных фирм в период с 17.03.2008 по 16.05.2008. При ручном анализе было выявлено 78% писем как спам. В результате данного сравнительного анализа были подведены определённые итоги и вынесены рекомендации. Также в моей работе были рассмотрены новые виды спама и были предложены методы борьбы с ними. Описан фишинг и методы борьбы с ним. Проведен сравнительный анализ методов борьбы с фишингом.

IT security conference for new generation

48

Методы автоматизации семантического анализа нежелательной массовой почтовой рассылки в сети Интернет на французском языке Ермакова Л.М. Пермский государственный университет г. Пермь [email protected]

Мы живем в мире высоких технологий. Но у любого положительного явления есть обратная сторона. Так, например, быстрый рост популярности электронных средств коммуникации, в том числе электронной почты, а также низкая стоимость их использования приводит к увеличивающемуся потоку несанкционированных массовых рассылок. По различным оценкам в настоящее время от 40 до 90% всех электронных сообщений в интернет являются спамом. Спам - это анонимные незапрошенные массовые рассылки электронной почты. Пользователь может получить спам на любом языке. Поэтому важно правильно отсортировать иноязычную корреспонденцию. Данная работа посвящена методам выявления спам-сообщений на французском языке по их лингвистическим характеристикам. На основе сравнительного и описательного анализов были выявленные характерные признаки спама, произведено сравнение с легальной почтой. Полученные результаты позволяют утверждать, что франко-язычный спам обладает как универсальными, так и уникальными характеристиками. При этом признаки не равнозначны, т.к. есть вероятность того, что эта характеристика может встретиться в легальной переписке. В результате была построена математическая модель, которая дает точный результат в достаточно большом проценте случаев на имеющемся материале. Традиционные методы кластеризации (дискриминантный анализ) не позволяет решить проблему отделения спама от легальной корреспонденции, поэтому была реализована нейронная сеть с применением алгоритма обратного распространения ошибки.

Спам. Методы борьбы со спамом. Защита от спама в корпоративных сетях Калинин А.В. Пермский государственный университет г. Пермь [email protected] Сегодня электронная почта - незаменимый и наиболее удобный способ обмена информацией. Но здесь мы сталкиваемся с проблемой спама. Спам - это анонимные незапрошенные массовые рассылки электронной почты. Спам забивает каналы передачи данных, отнимает массу времени у пользователей. Именно поэтому сейчас актуальна проблема спама. Целью этого исследования является классификация тематик нежелательной рассылки на основе статистического анализа данных, предоставленных различными ресурсами сети Интернет, и классификация методов фильтрации нежелательных электронных сообщений. На основании классифицируемых данных автор данной работы дает некоторые практические рекомендации борьбы со спамом в корпоративных сетях.

IT security conference for new generation

49

Авторский указатель 1.

Адамов Александр Семенович

2.

Архипова Светлана Александровна

3.

Баринов Андрей Евгеньевич

4.

Бочарникова Марина Владимировна

5.

Бушуев Александр Александрович

6.

Волков Артем Валерьевич

7.

Гавриш Алексей Сергеевич

8.

Глуско Кристина

9.

Гончаров Николай Олегович

10. Ермакова Лиана Магдановна 11. Калинин Антон Витальевич 12. Катасонов Володимир Юрьевич 13. Кожанов Евгений Александрович 14. Козик Валентина Александровна 15. Комаров Андрей Андреевич 16. Коновалова Светлана Сергеевна 17. Кравченко Павел Андреевич 18. Кудина Марина Владимировна 19. Куницкий Артем Владимирович 20. Мирошниченко Сергей Владимирович 21. Мурин Дмитрий Михайлович 22. Носачёва Татьяна 23. Омельченко Александр Викторович 24. Полежаев Петр Николаевич 25. Приморский Андрей Андреевич 26. Рожнёв Алексей 27. Рой Константин Сергеевич 28. Сапрыкин Александр Сергеевич 29. Снегурский Александр Владимирович 30. Степина Алина Николаевна 31. Суховей Александр Александрович 32. Ткачев Дмитрий Александрович 33. Чувило Олег Александрович 34. Шабашев Олег Викторович 35. Щербакова Виктория Сергеевна 36. Югов Андрей Сергеевич 37. Ярёха Александр Анатольевич

IT security conference for new generation

50