Кибербезопасность в 21-м веке

Сергей Кузнецов

Обзор апрельского, 2013 г. номера журнала Computer (IEEE Computer Society, V. 46, No 4, April 2013)

Авторская редакция.
Также обзор опубликован в журнале «Открытые системы»

Темой апрельского номера является информационная безопасность (cybersecurity). Приглашенные редакторы – Шерали Зидалли, Грегорио Мартинез и Хан-Чайх Чао (Sherali Zeadally, University of the District of Columbia, Gregorio Martinez, University of Murcia, Spain, Han-Chieh Chao, National Ilan University, Taiwan) – назвали свою вводную заметку «Обеспечение безопасности киберпространства в 21-м веке» («Securing Cyberspace in the 21st Century»).

Современные технологические достижения вызвали значительное расширение киберпространства, что приводит к изменению способов взаимодействия, сотрудничества и ведения бизнеса отдельных людей, компаний и правительственных органов. В то же время наличие серьезной зависимости общества от различных цифровых инфраструктур, включая Internet, делает эти инфраструктуры стратегическим национальным достоянием, которое нужно оберегать для обеспечения национального благополучия и безопасности.

Каждый день растет число киберугроз от различных злоумышленников, которых теперь не сдерживают географические границы. В течение последнего десятилетия значительно улучшилось состояние дел в областях разработки безопасного программного обеспечения, создания средств защиты информационных систем, пользователей и данных, но и киберпреступники также стали более изощренными. В результате защитникам киберпространства приходится постоянно бороться со злоумышленниками, и эту проблему Национальная академия технических наук США (National Academy of Engineering) включает в состав четырнадцати наиболее важных технических проблем современности.

Информационная безопасность является областью интенсивных исследований, направленных на создание средств защиты киберпространства для обеспечения его устойчивости к киберактакам. Исследовательское сообщество признает, что почти невозможно достичь совершенной безопасности. Высказываются даже мнения, что следует уделять больше внимания поимке и наказанию киберпреступников, чем разработке средств защиты. Тем не менее, продолжается активная деятельность по разработке, реализации и внедрению недорогих, масштабируемых и надежных решений, обеспечивающих защиту от киберугроз.

К наиболее проблемным исследовательским направлениям относится выявление киберактак в реальном времени, после чего должны следовать быстрые действия по защите и восстановлению работоспособности. Требуется выработка целостного подхода, включающего не только технические решения кибербезопасности, но и стратегии и политики, позволяющие установить партнерские отношения между всеми заинтересованными лицами.

Первая регулярная статья тематической подборки написана Павлосом Базарасом, Димитриосом Катсаросом и Леандросом Тассиуласом (Pavlos Basaras, Dimitrios Katsaros, Leandros Tassiulas, University of Thessaly, Greece) и называется «Обнаружение критичных распространителей в сложных динамических сетях» («Detecting Influential Spreaders in Complex, Dynamic Networks»).

В последние десять лет возрастание масштабов социальных и корпоративных сетей, все большая распространенность использования сетей в людских сообществах приводит к тому, что человечество становится «полностью сетевым». Достижения в области информационно-коммуникационной технологии, возможность хранения данных о различных аспектах человеческой деятельности обеспечивают базовые средства анализа сложных сетей. Исследования в этом направлении затрагивают аспекты как теории графов (размеры и стойкость сообществ, устойчивость к атакам, модели роста, связность узлов и т.д.), так и аспекты социологии (например, распространение слухов). Эти исследования привели к появлению вычислительной социологии (computational social science), новой области, направленной на обеспечение возможности сбора и анализа данных для выявления скрытых паттернов в индивидуальных и коллективных активностях.

Обнаружение структурных и топологических свойств сложных сетей требуется в многочисленных областях, включая технологию поисковых систем, разработку самоорганизующихся сетей, обнаружение и сдерживание вспышек заболеваний и т.д. Исследователи в области безопасности также применяют анализ сложных сетей для выявления террористических организаций, изучения способов распространения вирусов и обеспечения устойчивости к кибератакам. При выполнении такого анализа обычно применяется теория графов для определения плотности связей, кратчайших путей, распределений узлов по числу связей и т.д.

В данной статье авторы концентрируются на проблеме критичных распространителей (influential spreader) – узлов в сложных сетях, которые могут быстро распространить сообщения между другими узлами. Заблаговременное обнаружение таких объектов может помочь специалистам в области безопасности предотвратить наращивание повреждений сети при воздействии вредоносного программного обеспечения, а при анализе террористических сетей выявить наиболее опасных преступников.

Для обнаружения критичных распространителей обычно используется k-слойный индекс (k-shell index) – основанная на степени узла мера его «ядерности» (coreness). Однако значительные накладные расходы вычисления этого индекса делают его неприменимым при анализе динамических сетей.

Авторы предлагают альтернативную меру – μ-степенной индекс общности (μ-power community index, μ-PCI), одновременно отражающий свойства и ядерной, и промежуточной центрированности, вычисляемый полностью локальным образом и потому пригодный для анализа любой сети, безотносительно к ее размеру или динамической природе. Эксперименты с применением упомянутых индексов и меры, основанной только на степени узла, показывают преимущества μ-PCI при обнаружении критичных распространителей.

Следующая статья представлена Кристиной Алькараз и Хавье Лопецом (Cristina Alcaraz, Javier Lopez, University of Malaga, Spain) и называется «Глобальная ситуационная осведомленность для защиты критичных инфраструктур» («Wide-Area Situational Awareness for Critical Infrastructure Protection»).

Ситуационная осведомленность (situational awareness, SA) позволяет управляющим системам, ответственным за мониторинг критичных инфраструктур (включая системы управления и сбора данных (supervisory control and data acquisition, SCADA)), обнаруживать злонамеренные происшествия и угрозы, которые возникают в инфраструктуре в данное время. Поскольку подобные ситуации создаются с разными, но вполне конкретными целями, требуется мониторинг для предотвращения, обнаружения или генерации своевременной и эффективной реакции внутренних сбоев или преднамеренных атак.

К сожалению, подавляющее большинство этих инфраструктур распределено по местам, которые минимально контролируются человеком или вовсе им не контролируются. В связи с возрастающей потребности в SA и сокращающимся числом людей, участвующих в работе инфраструктур, авторы предлагают новую парадигму защиты – глобальную ситуационную осведомленность (wide-area situational awareness, WASA), которая предполагает использование Internet для расширения сферы действия систем мониторинга.

Хотя имеются попытки использовать традиционную SA для защиты критически важных инфраструктур от нарушений безопасности и злонамеренных угроз, их сложность и критичность их природы затрудняет подобную адаптацию. Именно подход WASA может обеспечить мониторинг инфраструктур и создать сервисы динамического обнаружения опасных ситуаций и реакции на них.

Авторами статьи «Выявление сканирования на основе семплинга: новая перспектива» («Scan Detection under Sampling: A New Perspective») являются Игнаси Паредес-Олива, Пере Барлет-Роз и Хосеп Соле-Парета (Ignasi Paredes-Oliva, Pere Barlet-Ros, Josep Solé-Pareta, Universitat Politècnica de Catalunya BarcelonaTech).

Мониторинг и анализ трафика важны для обеспечения кибербезопасности, но расширяющийся список приложений и рост киберпреступности все более затрудняют понимание того, что происходит в сети.

Распространенная практика взятия образцов данных вместо перехвата пакетов целиком обостряет эту проблему при наличии высокоскоростных линий связи. При использовании средств мониторинга типа NetFlow операторы сетей имеют обыкновение применять частый семплинг, выбирая, например, один из тысячи образцов для обработки возможных наихудших сценариев или обнаружении сетевых кибератак.

Важнейшим аспектом защиты от кибератак являются методы обнаружения сканирования при наличии семплинга. Сканирование сети часто предвещает другие киберугрозы (например, распространение вирусов-червей). Исследования показывают, что более 80% кибератак включают действия по сканированию. Кроме того, сканирование может создать серьезные угрозы для платформ мониторинга, поскольку этот вид киберугрозы может привести к порождению большого числа новых потоков, в результате чего могут переполниться таблицы потоков.

Предлагалось несколько методов выявления сканирования. В простейшем случае клиент сети подозревается в сканировании, если он в течение фиксированного промежутка времени подключается к абонентам, число которых больше некоторого заданного значения.

Исследования, посвященные оценке эффективности этих методов показывают, что семплинг потоков является наилучшим подходом к выявлению аномалий, и что семплинг пакетов работает плохо. Однако после анализа этих результатов авторы статьи обнаружили, что они являются не вполне корректными и решили еще раз провести сравнение эффективности методов, основанных на семплинге пакетов и семплинге потоков. Полученные результаты показывают, что при некоторых условиях методы обнаружения сканирования на основе семплинга пакетов работают вполне эффективно. Авторы разработали новый метод – онлайновый селективный семплинг, основанный на семплинге пакетов, работающий быстрее ранее известных методов и расходующий на 40% меньше памяти.

Статью «Безопасность киберобъектов в Интернете вещей» («Cyberentity Security in the Internet of Things») написали Хуаншен Нин, Хон Лью и Лоуренс Янг (Huansheng Ning, Hong Liu, Beihang University, China, Laurence T. Yang, Huazhong University of Science and Technology, China, and St. Francis Xavier University, Canada).

Интернет вещей (Internet of Things, IoT) – это привлекательная сетевая парадигма будущего, предполагающая, что каждый физический объект отображается в один или несколько киберобъектов, которые могут взаимодействовать с другими киберобъектами, обеспечивая повсеместную связность.

IoT ставит множество новых проблем перед исследователями средств общей системной безопасности, безопасности сетей и безопасности приложений. На пути к обеспечении кибербезопасности в IoT имеются три основных препятствия:

• Расширение доменов. Отображение физических объектов в киберпространство, наличие сетевых и коммуникационных киберобъектов приводит в тому, что число киберобъектов в Интернете вещей намного превышает число объектов в Internet.
• Динамический цикл активности. Киберобъекты могут одновременно быть бездействующими в одних сценариях и активными в других.
• Неоднородные взаимодействия. Взаимодействия между кибероъектами обладают не только цифровыми и физическими характеристиками, но включают и социальные атрибуты, которые особенно важны для взаимодействий с объектами вне IoT.

Для решения этих проблем авторы предлагают новую системную архитектуру – модульный и повсеместный Интернет вещей (Unit and Ubiquitous IoT, U2IoT). Модулем IoT является единичное приложение, а повсеместный IoT включает взаимосвязанные локальные, национальные и производственные IoT.

Системная архитектура U2IoT состоит из трех уровней: уровня восприятия, сетевого уровня и уровня приложений

Аваис Рашид, Алистейр Бэрон, Пол Рейсон, Коринн Мей-Чахал, Фил Гринвуд и Джеймс Вокердайн (Awais Rashid, Alistair Baron, Paul Rayson, Corinne May-Chahal, c.may-chahal@lancaster.ac.uk, Lancaster University, UK, Phil Greenwood, James Walkerdine, Isis Forensics, Lancaster, UK) представили статью «Кто я? Анализ цифровых личностей при исследовании киберпреступности» («Who Am I? Analyzing Digital Personas in Cybercrime Investigations»).

Цифровые сообщества не только способствуют сближению людей, но также невольно предоставляют преступному миру новые способы онлайнового доступа к потенциальным жертвам. В криминальной тактике в онлайновых социальных сетях ключевую роль играют цифровые личности. Входя в контакт с потенциальными жертвами, один преступник может скрываться под несколькими цифровыми личностями, или группа преступников может совместно пользоваться одной личностью. Кроме того, неустойчивая природа индивидуальности в онлайновой социальной сети означает, что преступники могут относительно легко замаскироваться, чтобы войти в доверие к потенциальным жертвам. Примеры такого преступного использования цифровых личностей включают следующее:

Педофилы, маскирующиеся под молодежь для завоевания доверия своих жертв. Преступник может использовать несколько личностей в ходе взаимодействия, изначально представляясь молодым человеком, а затем вводя другую личность – например, более взрослого родственника. В других случаях преступная группа может совместно использовать одну и ту же личность, так что несколько человек могут в разное время домогаться одной и той же жертвы.

Мошенники на доверии (romance scam operator), использующие цифровые личности соответствующего возраста и пола для установления контактов с несколькими жертвами на онлайновых сайтах знакомств и использования их с целью получения финансовой выгоды.

Радикализация молодежи на онлайновых форумах на основе посылки убедительных сообщений. Иногда преступники в тактических целях используют несколько личностей. Например, одна личность используется для решительной поддержки некоторой радикальной идеи. После этого несколько дней длится пауза, после чего другая личность на форуме заявляет, что исходный герой уехал, чтобы бороться за эту идею.

Однако эффективный полицейский контроль в таких средах чрезвычайно затруднителен – в онлайновых социальных сетях циркулирует огромный объем информации, что делает практически невозможным ее анализ вручную. Соответственно, правоохранительные учреждения не успевают анализировать данные социальных сетей во время расследования киберпреступлений. Обычным делом являются задержки на пять, а то и девять месяцев.

Хотя в таких расследованиях можно применять коммерческие инструменты, такие как EnCase и Internet Evidence Finder, они в основном помогают извлекать данные. Любой анализ этих данных должен выполняться следователем, владеющим только простыми средствами типами поиска по ключевым словам или выявления фраз на основе определяемых пользователем списков слов. Такие методы не масштабируются, и они не опираются на модели обманного поведения или совместного использования онлайновых личностей. Не редки случаи, когда следователи извлекают данные с жестких дисков или из мобильных телефонов с использованием, например, EnCase, а затем вручную анализируют их, чтобы определить, когда было совершено преступление, и одна или несколько цифровых личностей использовались преступником. При наличии большого объема текстовых данных и значительного числа онлайновых участников, которых затрагивает расследование, следователю почти невозможно проанализировать все цифровые личности – возникает огромная когнитивная нагрузка.

Эту проблему позволяет решить описываемый в статье набор инструментальных средств Isis, который поддерживает эффективный и качественный анализ цифровых личностей в онлайновом текстовом общении. Применяемый подход основывается на методах выявления автора заданного текста. Результаты показывают, что можно достаточно точно выявить ключевые атрибуты личности, такие как возраст или пол, даже в тех случаях, когда автор текста намеренно запутывает язык.

При разработке набора инструментальных средств Isis использовались статистические методы из области обработки естественных языков на основе корпусов текстов, а также средства выявления атрибутов автора текста

Последняя статья тематической подборки – «Новый подход к противодействию ботнетам» («A Next-Generation Approach to Combating Botnets») – представлена Адибом Альхомудом, Ирфаном Аваном, Жюлем Фердинандом Пагной Диссо и Мухаммадом Юнасом (Adeeb Alhomoud, Irfan Awan, University of Bradford, UK, Jules Ferdinand Pagna Disso, EADS Innovations Works, Newport, UK, Muhammad Younas, Oxford Brookes University, UK).

Киберпреступность является наиболее прибыльной частью общей преступной деятельности. Компаниям, правительственным организациям и частным лицам по всему миру ежегодно наносится ущерб около 114 миллиардов долларов. Во многих странах обеспечение защиты от кибератак входит в число приоритетных национальных задач. Ботнеты являются одним из основных инструментов киберпреступников, обеспечивая им контроль над миллионами компьютеров. В 2012 г. компании Microsoft совместно с несколькими финансовыми компаниями удалось разрушить гигантский ботнет, в которой использовалось злонамеренное программное обеспечение Zeus. Однако подобные действия слишком дороги и сложны, чтобы можно было предпринять их против всех киберпреступников, контролирующих четверть компьютеров во всем мире.

В качестве части глубокоэшелонированного решения безопасности для корпоративных сетей, управляемых доменами, авторы предлагают архитектуру самовосстанавливающихся систем, позволяющую повысить устойчивость к атакам ботнетов с минимальным нарушением функционирования сетевых сервисов. Авторы продолжают исследовать разные типы ботнетов и извлекать сценарии использования, позволяющие улучшить функциональные характеристики различных компонентов систем. Применяемый модульный подход позволяет изменять существующие и добавлять новые компоненты без изменения исходной архитектуры системы.

Вне тематической подборки в апрельском номере опубликованы две крупные статьи. Первая из них называется «Глобальный розыск раздвигает границы социальной мобилизации» («Global Manhunt Pushes the Limits of Social Mobilization») и написана Иядом Рахваном, Соханом Дзузой, Алексом Разерфордом, Виктором Народицким, Джеймсом МакИнерни, Маттео Венанци, Ноколасом Дженнингсом и Мануэлем Сербианом (Iyad Rahwan, Sohan Dsouza, Alex Rutherford, Masdar Institute of Science & Technology, UAE, Victor Naroditskiy, James McInerney, Matteo Venanzi, Nicholas R. Jennings, University of Southampton, UK, Manuel Cebrian, National ICT Australia and Massachusetts Institute of Technology).

В марте 2012 г. при финансовой поддержке Госдепартамента США было проведено соревнование Tag Challenge. Команды, участвовавшие в соревновании, должны были за 12 часов найти и сфотографировать пять человек в пяти городах, расположенных на двух континентах: в Братиславе, Вашингтоне, Лондоне, Нью-Йорке и Стокгольме.

Каждая команда получила по одной фотографии каждого разыскиваемого человека («подозреваемого») в 8 часов утра в день проведения соревнования. Как показывает рисунок, каждый «подозреваемый» был одет в майку с логотипом соревнования (это не было известно участникам соревнования до начала раздачи фотографий подозреваемых). По условиям соревнования каждый подозреваемый в течение 12 часов должен был передвигаться по своему обычному маршруту.

Команда-победительница (в которую входили авторы статьи) смогла разыскать трех подозреваемых с использованием Web, мобильного приложения и схемы поощрений. Никто из членов команды раньше не бывал в городах подозреваемых.

Местоположение разысканных подозреваемых и время, когда их удалось отыскать

Наконец, заключительная крупная статья апрельского номера представлена Ксяоханом Ма, Жиганом Деном, Мианом Доном и Дином Жоном (Xiaohan Ma, Zhigang Deng, University of Houston, Mian Dong, Lin Zhong, Rice University) и называется «Измерение производительности и энергопотребления трехмерных мобильных игр»(«Characterizing the Performance and Power Consumption of 3D Mobile Games»).

Как показывает статистика Apple App Store, несмотря на быстрый рост числа мобильных приложений новых категорий (например, образовательных приложений), наиболее популярными с большим отрывом остаются игровые приложения.

На рынке игровых приложений для смартфонов сравнительно редки трехмерные игры, очень популярные среди пользователей десктопов и ноутбуков. Одной из причин являются различия в характеристиках этих классов устройств. Например, эффекты рендеринга, такие как сглаживание и несовершенное затенение, могут привести к снижению качества изображений на экране смартфона, поскольку он находится ближе к глазам пользователя, чем экран монитора компьютера. Кроме того, игровые приложения с трехмерной графикой, вообще говоря, потребляют много энергии, что ограничивает возможность их использования на смартфонах, питающихся от батарей.

Для повышения производительности и снижения уровня энергопотребления трехмерных мобильных игр требуется выявить и численно оценить узкие места в конвейере игровой трехмерной графики. Подобная задача решалась для десктопов, но для смартфонов она становится значительно более сложной, поскольку аппаратура поддержки графики в этом случае интегрируется в систему на кристалле (system on chip, SoC), включающую основной процессор, сигнальный процессор и много периферийных контроллеров. Аппаратуру поддержки графики невозможно физически изолировать и оценить.

Чтобы справиться с этими проблемами, авторы статьи использовали для измерения производительности двух игровых бенчмарков (на основе Quake 3 и XRace) пятиступенчатый абстрактный графический конвейер, разработанный под влиянием графического конвейера OpenGL for Embedded Systems (OpenGL ES 2.0). Сравнивались пять версий игр – одна соответствовала исходному коду, а в четырех других выборочно отключались одна или несколько ступеней конвейера. Затем на основе полученных результатов измерения производительности и энергопотребления для смартфонов Motorola Droid, HTC EVO и Motorola Atrix 4G был произведен углубленный количественный анализ узких мест производительности и энергопотребления на разных ступенях конвейера. Этот анализ показал, что основным узким местом для трехмерных мобильных игр является ступень геометрии графического конвейера, и подтвердил, что логика игр существенно влияет на уровень энергопотребления.