Иванов Разрушаюсчие программные воздействия 2011
.pdfПроблема обоснования экономической эффективности подобного проекта сложна и требует отдельного всестороннего исследования. Тем не менее, логично напрашивается вопрос: если такая схема действительно прибыльна, то неужели ее до сих пор не использует никакая из компаний, предоставляющих услуги Интернетразвлечений? Можно только гадать, какой бы разразился скандал, если бы выяснилось, что кто-либо из современных лидеров в области сетевых игр использует излишки ресурсов процессора, например, для подбора секретных ключей криптоалгоритмов.
3.2.4. Безопасный выкуп
Вернемся к рассмотрению криптовируса, «берущего в заложники» какую-либо ценную пользовательскую информацию. Ранее при описании такого криптотрояна намеренно умалчивалась одна немаловажная проблема. Трудность в том, что создатель криптовируса и его жертва, очевидно, совершенно не доверяют друг другу. А раз так, то, следовательно, ни у кого из них нет гарантии честности своего оппонента. Жертве, заплатившей выкуп, остается только уповать на добропорядочность злоумышленника, к чему, правда, нет никаких предпосылок. Значит, жертва будет тянуть время, стараясь добиться уступок со стороны атакующего. Вымогатель же на уступки не пойдет, потому что если жертве удастся вернуть себе «заложника» до выплаты денег, то ни о каком выкупе больше не будет и речи.
Единственный выход из этой, казалось бы, патовой ситуации — превратить обычный криптовирус в симбиотический так, чтобы как злоумышленнику, так и его жертве было бы выгодно «играть по правилам» и проводить выкуп без обмана. Для этого наилучшим образом подходит специально разработанный протокол электронной торговли без третьей доверенной стороны, подробное описание которого содержится в приложении 4.
Протокол построен таким образом, что между разработчиком РПВ и его жертвой инициируется настоящая игра с ненулевой суммой, для которой наиболее оптимальной стратегией является
101
взаимная кооперация. Жертва точно знает, какая именно секретная информация была зашифрована, и всегда может проверить по алгоритму работы криптовируса, что к выкупу предлагается верная криптограмма, а не просто случайная строка байт. Благодаря этому при обмене не возникает проблемы «кота в мешке» и применение первого варианта протокола можно считать вполне достаточным. Технические аспекты реализации первого варианта протокола электронной торговли подробно изложены в работе [12], далее будут затронуты лишь общие моменты и некоторые частные вопросы применения протокола при создании РПВ.
В ходе подготовительной стадии в начале протокола криптовирус обеспечивает необходимые условия для последующего взаимодействия двух заинтересованных сторон. Он, как и раньше, зашифровывает конфиденциальную информацию на случайном ключе по симметричному алгоритму, а сам ключ шифрования — на открытом ключе злоумышленника. Кроме этого, вирус должен уведомить пользователя о факте захвата данных и подробно его проинструктировать обо всех дальнейших действиях во избежание недопонимания сложившейся ситуации. Затем путем некоторых операций в соответствии с протоколом на стороне атакующего подготавливается массив затемненных сообщений, в одном из которых находится требуемый жертве ключ, причем затемнение с сообщений может снять только сама жертва, а злоумышленник не знает номера сообщения с ключом в массиве.
По завершении подготовительной стадии начинается собственно игра, в ходе которой жертве предлагается переслать атакующему некоторую небольшую сумму денег, а атакующему — выслать жертве одно произвольное сообщение из массива. Таким образом, за скромную плату жертва получает шанс выиграть сразу весь «приз» (ключ шифрования), однако, поскольку продажа каждого из сообщений массива равновероятна, этот шанс будет невелик. Если обе стороны согласились с правилами, и жертве не удалось выкупить ключ, то раунд игры может быть повторен еще раз.
102
Криптографический алгоритм, положенный в основу протокола, гарантирует, что ни одна из сторон не сможет обмануть другую. Если кто-либо из участников попытается смошенничать и нарушит правила, то второй участник моментально об этом узнает и предпримет соответствующие меры для наказания нарушителя. В результате оба участника протокола будут вынуждены честно повторять игровые раунды до тех пор, пока жертва не добьется желаемого и не выкупит свой секрет. Возможные исходы одного i-го раунда игры приведены в табл. 3.3.
|
|
|
Таблица 3.3 |
Возможные исходы одного i-го раунда игры |
|||
|
|
Жертва |
|
Атакующий |
1 \ S F(i) - 1 |
|
0 \ S F(i) |
1 \ -1 |
|
0 \ 0 |
|
|
|
||
Игра, описанная в табл. 3.3, имеет ряд условностей. Пусть захваченные криптовирусом данные оцениваются в S рублей. Тогда ВП подготавливает для выкупа 2S сообщений. Злоумышленник и его жертва договариваются, что каждое сообщение будет стоить 1 рубль. Рассмотрим возможные варианты поведения игроков и получаемые ими при этом выигрыши.
Наиболее очевидный способ игры — это играть обоим игрокам по правилам. В этом случае атакующий зарабатывает один рубль за одно сообщение, а результат жертвы будет складываться из выплаты атакующему и возможного выигрыша всей стоимости S. Обозначим через F(i) функцию вероятности выигрыша и определим ее следующим образом:
|
1 |
свероятностью |
1 |
|
|
F(i) = |
|
1≤i ≤ 2S . |
|||
2S +1−i |
|
||||
|
0 |
свероятностью |
2S −i |
|
|
2S +1−i |
|
||||
|
|
|
|
||
Тогда, умножив эту функцию на S, получим прибыль жертвы на итерации i. Вероятность выигрыша определяется из следующих соображений. Игра продолжается до тех пор, пока не будет выкуп-
103
лено единственное полезное сообщение, следовательно, на всех раундах до i-го из массива удалялись сообщения-пустышки. Вероятность выбора одного нужного сообщения из n одинаковых равна
1n . Поскольку на i-й итерации в массиве остается 2S + 1 - i сооб-
щений, вероятность получения сообщения с ключом будет состав-
1
лять 2S +1−i . Нетрудно увидеть, что с каждой новой попыткой
шансы жертвы растут. В конечном итоге, вероятность достигает 1, и жертва все-таки рано или поздно добивается желаемого.
Здесь будет уместным сравнение выкупа ключа с беспроигрышной лотереей. Вопрос лишь в том, сколько лотерейных билетов придется купить. Вплоть до некоторого раунда жертва будет постоянно проигрывать, теряя по небольшой сумме денег, однако затем «выиграет» сразу всю выкупаемую информацию. В среднем для этого потребуется приобрести половину всего массива сообщений, т.е. заплатить S рублей.
Стоит заметить, что злоумышленник, стремящийся получить с жертвы наибольшую сумму денег, будет стараться растянуть игру как можно дольше. Организация протокола гарантирует, что единственным способом продления игры со стороны продавца ключа будет только тщательное соблюдение правил. Если атакующий попытается схитрить и сыграет на каком-либо раунде вторую строку в табл. 3.3, обман будет сразу же раскрыт, и жертва прекратит игру. Атакующий потеряет всю потенциальную прибыль, которую мог бы получить, если бы играл честно. Аналогичная ситуация произойдет, если смошенничает жертва, выбрав в свой очередной ход второй столбец. Выкуп будет сорван, и злоумышленник просто присвоит все деньги, переданные ему в предыдущих раундах.
Особенностью рассматриваемого протокола является недетерминированность суммы выкупа. Создатель криптовируса не знает заранее, сколько именно денег ему удастся получить с каждой жертвы, он способен только управлять математическим ожиданием и дисперсией суммы своей добычи. Аналогично,
104
жертва может лишь приблизительно оценить, во сколько ей обойдется выкуп своих секретных данных. Эта та плата, которую обе стороны платят за гарантии взаимной честности и безопасности обмена.
Выводы
Для заблаговременного выявления и предупреждения потенциальных угроз, которых можно ожидать от РПВ в будущем, специалистам по информационной безопасности следует находиться в курсе современных тенденций в развитии вредоносного ПО и изобретать адекватные средства противодействия им.
Описаны особенности применения во вредоносном ПО последних достижений в различных областях криптологии. Упреждающее исследование подобных тенденций – жизненно важная задача, стоящая перед специалистами по информационной безопасности. Только выработка эффективных методов противодействия вредоносному ПО, использующему стохастические методы при своем функционировании, поможет в будущем удержать ситуацию под контролем и уберечь критически важные информационные системы от новых, пока непредвиденных угроз.
Анализируется недавно зародившееся явление – так называемые симбиотические РПВ, коренным образом меняющие наши привычные представления о вредоносных программах. В ходе изложения отличительных особенностей этой разновидности РПВ приводится ряд гипотетических примеров, которые хоть пока и не реализованы практически, но могут быть построены в любой момент.
105
Контрольные вопросы
1)Как вы понимаете термин «клептография»? Приведите примеры, иллюстрирующие данное понятие.
2)Что такое недоказуемое шифрование?
3)Что такое криптовычисления?
4)Каким образом можно получить запись из базы данных таким образом, чтобы не раскрывать, какая именно запись была получена?
5)Что такое отрицаемое шифрование?
6)Какие программы называют симбиотическими?
7)Приведите примеры симбиотических РПВ.
8)Каким образом можно использовать сетевые РПВ для проведения распределенных вычислений?
9)Предположим, что улучшенный криптотроян применяет плохой генератор случайных чисел и сеансовые ключи k, сформированные на разных компьютерах, оказываются одинаковыми. Какие последствия это может иметь?
10)Какие методы противодействия автоматической рассылке сообщений вы знаете?
11)Пусть в реализацию криптосчетчика вкралась ошибка, и
функция инкремента рассчитывается по формуле ci = ci−1 uin mod n2 . Какое число будет зашифровано в счетчике
после k тактов его работы?
12) Какой результат будет получен на выходе алгоритма ResponseRetriever протокола TPIR, если запрашиваемому тегу ti
будут соответствовать несколько различных векторов данных bi′
G
и bi′′?
13) В чем различие между принципами недоказуемого и отрицаемого шифрования?
14) Какому риску подвергаются вредоносные программы, участвующие в протоколе информационного шантажа, при использовании ими некачественных генераторов случайных чисел?
106
15)Какую роль в протоколе контроля работоспособности узлов распределенных вычислений играет случайный бит b?
16)С какой вероятностью для достижения своих целей в про-
токоле безопасного выкупа жертве придется купить не более k сообщений (1 ≤ k ≤ 2S )?
107
4. ПЕРСПЕКТИВНЫЕ МЕТОДЫ ПРОТИВОДЕЙСТВИЯ ВРЕДОНОСНЫМ ПРОГРАММАМ
4.1. Иммунологический подход к антивирусной защите
4.1.1. Понятие иммунной системы
Нетрудно заметить, что с течением времени технологии, используемые при создании вредоносного программного обеспечения, становятся все более изощренными. Разрушающие программные воздействия (РПВ) все меньше полагаются на те или иные действия (или бездействие) человека, максимально автоматизируя свое поведение. В связи с этим единственная возможность обеспечить своевременный ответ на новые угрозы заключается в исключении конечных пользователей из цепочки реакции на появляющиеся РПВ.
Кроме того, зачастую именно человеческий фактор становится ахиллесовой пятой любого комплекса средств противодействия вредоносным программам. Снятием с оператора системы безопасности большей части рутинной работы можно одновременно добиться как увеличения гибкости и оперативности принятия решений, так и минимизации риска ошибочных действий. Повышение степени автоматизации ведет к росту надежности защиты в целом. По пути все большей автоматизации и интеграции своих продуктов идет большинство производителей антивирусного ПО.
Существующие на данный момент решения по защите компьютерных систем можно сравнить скорее с профилактическими мерами, подобно правилам общей гигиены, или с лекарствами, которые помогают укрепить организм только от определенной болезни. У живых существ от природы есть более совершенное средство, способное справиться с неизвестными заболеваниями, — иммунитет. Технические системы, заимствующие у природы основные прин-
ципы иммунитета, называют искусственными иммунными систе-
мами (англ. AIS – Artificial Immune Systems). Алгоритмы AIS по-
степенно находят применение при распознавании образов, в управ-
108
лении роботизированными комплексами, в некоторых оптимизационных задачах, поиске и устранении неисправностей (в том числе и аппаратных), биоинформатике и многом другом.
Естественная иммунная система представляет собой полностью децентрализованную распределенную структуру, которая реализует многоуровневую защиту организма хозяина от воздействия патогенов (бактерий, вирусов, простейших и червей). Эти организмы вызывают иммунный ответ и поэтому называются антигенами. Основная роль иммунитета заключается в распознавании всех клеток или молекул организма и классификации их как «своих» или «чужих».
Основным типом клеток, участвующих в иммунном ответе и обладающих свойствами специфичности, разнообразия, памяти и ассоциативности, являются лимфоциты. В-лимфоциты, формирующиеся в костном мозге (от англ. Brain – мозг), производят молекулы-антитела определенного вида. Согласно грубой оценке, в организме человека имеется порядка 107 различных типов В-лимфоцитов, каждый из которых производит Y-подобные антитела с контактными областями уникальной пространственной структуры. В связи с этим правомерно утверждать, что каждый из типов В-лимфоцитов «отвечает» за какой-либо один антиген.
При попадании антигена в организм лишь малая часть клеток иммунной системы способна к его распознаванию. Однако связывание с антигеном стимулирует процессы размножения и дифференцировки В-лимфоцитов, приводя к образованию клонов активизированных клеток (или антител). Это происходит в результате действия так называемых Т-лимфоцитов, вырабатывающих особые сигнальные молекулы цитокины, которые возбуждают находящиеся поблизости В-лимфоциты. Помимо этого, Т-лимфоциты способны распознавать и уничтожать те клетки хозяина, которые уже были подвержены заражению.
Подвергнувшись атаке комплиментарных антител, антиген начинает напоминать дикобраза, покрытого многочисленными тонкими иглами с константными областями на концах. Константные области В-лимфоцитов особенно привлекательны для макрофагов –
109
клеток, фагоцитирующих, или переваривающих, атакованные патогены. Процесс обнаружения и уничтожения антигенов в иммунной системе схематично представлен на рис. 4.1.
Рис. 4.1. Процесс обнаружения и уничтожения антигенов
Новые клетки появляются в результате рекомбинации генов в костном мозге, а также в процессе мутаций активированных клеток при их размножении. Несмотря на то, что ежедневно образуется огромное множество новых лимфоцитов, большинство из них так никогда и не вступает во взаимодействие и при отсутствии стимуляции вскоре погибает. Прежде чем новые Т-лимфоциты, полученные при рекомбинации генов, допускаются к тканям организма, они подвергаются отбору в тимусе (от лат. Thymus). В ходе отбора отсеивается свыше 95 % клеток. Удаляются те Т-лимфоциты, которые слишком сильно реагируют на собственные антигены организ- ма-хозяина либо не взаимодействуют с ними вовсе.
Характерно, что в процессе борьбы с патогеном могут также разрушаться и клетки хозяина. Процесс разрушения собственных клеток может выйти из-под контроля и породить аутоиммунные заболевания, например рассеянный склероз, выражающийся в уничтожении здоровых нервных клеток иммунной системой самого организма.
Естественная иммунная система обладает следующими основными свойствами [18]:
она является распределенной и децентрализованной;
110