Построение эффективных методов криптографической защиты программ от компьютерных вирусов тема диссертации и автореферата по ВАК РФ 05.13.17, кандидат технических наук Булыгин, Юрий Сергеевич

1.1. ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

1.1.1. Актуальность темы

По данным ежегодного обзора компьютерных преступлений и безопасности инстатута информационной безопасности ФБР США в течение последних 6 лет наибольшая доля всех компьютерных преступлений приходится на компьютерные вирусы и сетевые черви, и по оценкам ежегодного отчета исследовательского института в области стратегического и финансового управления информационными технологиями Computer Economics, суммарный финансовый ущерб от атак компьютерных вирусов в 2004г. составил $17.8 млрд. Значительное число атак приходится на антивирусное программное обеспечение и системы обнаружения вторжений. Прежде всего атаки направлены на нейтрализацию обнаружения и устранения компьютерных вирусов путем модификации кода антивирусных программ и баз шаблонов атак. Второй серьезной угрозой является выпуск и распространение нелицензионных программ путем той же модификации содержимого программы либо непосредственно лицензионных данных, используемых программой для контроля срока ее использования. И наконец, большую опасность представляет встраивание шпионских и других вредоносных программ в программное обеспечение. Данные угрозы являются причинами внедрения методов криптографических защиты программ от компьютерных вирусов.

1.1.2. Цель работ и задачи исследования

Целью работы является построение механизмов криптографической защиты программных продуктов, предохраняющих от компьютерных вирусов. Для достижения поставленной цели необходимо решить следующие задачи:

1. Проанализировать требования, предъявляемые к системам криптографической защиты программных продуктов, предохраняющих от компьютерных вирусов.

2. Проанализировать математические модели, описывающие распространения компьютерных вирусов и сетевых червей.

3. Предложить эффективные механизмы защиты программных продуктов, предохраняющих от компьютерных вирусов, на основе криптографических алгоритмов и протоколов.

1.1.3. Методы исследования

В процессе исследований были использованы основные положения и методы криптографии и теории кодирования, комбинаторного анализа, теории вероятностей и стохастических процессов, дифференциального анализа, анализа алгоритмов и структур данных, системного анализа.

1.1.4. Научная новизна

1. Предложен механизм защиты открытых ключей или их сертификатов программных продуктов на основе "бесключевого" трехпроходного протокола Шамира обмена секретом. Проанализированы условия применимости данного протокола.

2. Предложена модель разбиения множества файлов программных продуктов на целостные подмножества (наборы). На основе модели предложены механизм хранения электронной цифровой подписи (ЭЦП) и открытых ключей, используемых криптографической системой защиты.

3. Предложена модель и получена аналитическая оценка времени заражения заранее составленного списка уязвимой популяции.

4. Исследована модель полного дублирования заражения, используемая компьютерными вирусами для повышения уровня заражения уязвимой популяции, и получена аналитическая оценка числа узлов, оставшихся неза-раженными после эпидемии.

5. Предложена модель эволюции эпидемии биологических и компьютерных вирусов, учитывающая иммунизацию после заражения, вакцинацию, потерю иммунитета и гибель от заражения.

1.1.5. Практическая ценность работы

1. Сформулированны и обоснованны свойства системы криптографической защиты программ, предохраняющих от компьютерных вирусов.

2. Предложенный механизм защиты открытых ключей и их сертификатов от подмены может быть использован в программных продуктах, непрерывно взаимодействующих с сервером аутентификации, таких как приложения для мобильных терминалов (в том числе сетей 3G), антивирусные приложения, системы обнаружения вторжений, непрерывного мониторинга безопасности, распределенного обнаружения и сбора информации о распространении компьютерных вирусов, а также управления сетями.

3. Предложенный механизм обновления криптографических алгоритмов позволяет проектировать системы криптографической защиты программ, функционирующих в различных странах, в которых приняты и сертифицированы различные стандарты криптографических алгоритмов.

4. Предложеный механизм хранения ЭЦП файлов программ, открытых ключей или их сертификатов позволяют обновлять их после смены криптографических алгоритмов и секретных ключей производителя.

5. Предложенные математические модели и полученные аналитические результаты эволюции эпидемии позволяют прогнозировать и предотвращать эпидемии компьютерных вирусов, в том числе использующих технологию заражения по заранее составленному списку уязвимой популяции.

1.1.6. Реализация и внедрение результатов работы

Предложенные в диссертации методы криптографической защиты программ внедрены и используются в антивирусных приложениях и приложениях обнаружения вторжений ЗАО "Лаборатория Касперского" (г. Москва), что подтверждается актом внедрения.

Результаты работы по анализу и полученным аналитическим оценкам механизмов распространения компьютерных вирусов учитываются при создании Концепции информационной безопасности сетей связи третего поколения Российской Федерации, разрабатываемой в рамках НИР "Исследование и разработка механизмов обеспечения информационной безопасности сетей связи третего поколения" (шифр: "Безопасность 3G", генеральный исполнитель: ФГУП "НТЦ "Атлас" ФСБ России", заказчик: Ассоциация операторов сетей связи третьего поколения "Ассоциация 3G").

Результаты диссертации используются также в учебном процессе при проведении семинаров в рамках курса "Защита информации" в Московском физико-техническом институте (государственном университете).

1.1.7. Апробация работы

Основные результаты работы докладывались и обсуждались на следующих российских и международных конференциях: the 8th International Symposium on Communication Theory and Applications - ISCTA'05, Ambleside, UK, 2005.

XLIV, XLV, XLVIII ежегодные научные конференции МФТИ, Москва

Долгопрудный, 2001,2002,2005.

Основные результаты обсуждались на научных семинарах кафедры радиотехники МФТИ (ГУ). Применение результатов обсуждалось на технологических заседаниях Департамента инновационных технологий ЗАО "Лаборатория Касперского". Отдельные результаты обсуждались на заседаниях Временной проблемной комиссии по вопросам НИР "Безопасность 3G".

1.1.8. Публикации

По теме диссертации подготовлено 8 работ, из них 3 статьи опубликованы в научных журналах и сборниках научных статей, 3 тезисов докладов на научных конференциях, 2 статьи находятся в печати.

1.1.9. Основные положения, выносимые на защиту

1. Модель разбиения файлов программного продукта на наборы и основанный на ней механизм хранения криптографических примитивов.

2. Механизм защиты открытых ключей и их сертификатов, основанный на применении "бесключевых" коммутирующих функций шифрования, в частности трехпроходного протокола Шамира.

3. Математическая модель и оценки время заражения уязвимой популяции компьютерными вирусами, использующими предварительно составленные списки уязвимых узлов.

4. Метод полного дублирования заражения в заранее составленном списке уязвимых узлов.

5. Математическая модель эволюции эпидемий компьютерных и биологических вирусов, учитывающая иммунизацию, вакцинацию, потерю иммунитета и смерть после заражения.

1.1.10. Структура и объем работы

Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы из 79 наименований. Основная часть работы изложена на 113 страницах машинописного текста.

6. ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ РАБОТЫ

1. Определен и обоснован необходимый набор свойств системы криптографической защиты программ, предохраняющих от компьютерных вирусов.

2. Предложена модель разбиения множества файлов программных продуктов на наборы, целостность которых необходимо обеспечивать, и базирующиеся на ней механизмы хранения и обновления ЭЦП файлов программ, открытых ключей или их сертификатов. Предложен механизм обновления криптографических алгоритмов в программных продуктах.

3. Предложен метод защиты открытых ключей или их сертификатов от подмены во время функционирования программных продуктов, использующий "бесключевое" коммутативное шифрование. В качестве реализации предложено использование трехпроходного протокола Шамира обмена секретом, в частности алгоритм Мэсси-Омуры.

4. Предложена математическая модель для оценки угрозы эпидемии компьютерных вирусов, использующих технологию заражения заранее составленного списка уязвимой популяции, позволяющая оценить время заражения уязвимой популяции из N узлов как число дискретных шагов Л (к, N) заражения дерева степени К.

5. Получена аналитическая оценка числа узлов т(<т), оставшихся незараженными после эпидемии компьютерных вирусов, использующих модель полного дублирования заражения (Рис. 5.7). Технология полного дублирования заражения позволяет существенно повысить уровень заражения уязвимой популяции (Рис. 5.8) по сравнению с заражением без дублирования (Рис. 5.6(a)).

6. Разработана и внедрена криптографическая система защиты программных продуктов, предохраняющих от компьютерных вирусов, на базе предложенных методов и математических моделей.

1. Menezes A., van Oorschot V., and Vanstone S. Handbook of Applied Cryptography//CRC Press, Inc. — 1997

2. Шнайер Б. Прикладная криптография. Второе издание // Издательство ТРИУМФ — Москва — 2002

3. Stallings, W. Cryptography and Network Security: Principles and Practice. Second Edition // New Jersey: Prentice Hall — 1999

4. Hellman M. Software Distribution System // US Patent № 4,658,093 — Apr. 14, 1987

5. Atallah M. J., Bryant E. D., and Stytz M. R. A Survey of Anti-Tamper Technologies // The Journal of Defense Software Engineering — 2004

6. Aucsmith D. Tamper Resistant Software: An Implementation // In: Proceedings of the First International Information hiding Workshop. — IHW'96, Vol. 1174, 1997, pp. 317-333

7. Devanbu P. Т., Fong P. W.-L., Stubblebine S. G. Techniques for Trusted Software Engineering// In: Proceedings of the 20th International Conference on Software Engineering— Kyoto, Japan, 1998, pp. 126-135

8. Microsoft Corporation Using Catalog files// SDK Documentation Tutorial — http://msdn.microsoft.com/library/default.asp?url=/workshop/ delivery/download/overview/catalog.asp

9. ГОСТ 34.10-94/2001 // Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

10. Булыгин Ю. С., Ефремов А. А. Об особенностях хранения электронной подписи в программных продуктах // Информационные процессы (ИП-ПИ РАН) 2005 - Том 5, № 5, стр. 443-447 - http: //www. j ip. т/2005/ 443-447.pdf

11. Булыгин Ю. С. Принципы управления криптографическими методами безопасности распределенных объектных технологий // XLIV научная конференция МФТИ — Москва-Долгопрудный, 2001, стр. 18-19

12. Булыгин Ю. С. Контроль использования функциональности программного комплекса распределенной архитектурой лицензирования // XLV научная конференция МФТИ — Москва-Долгопрудный, 2002, стр. 85

13. Булыгин Ю. С. Аспекты лицензирования: структура и защита лицензионных данных // Проблемы информационной безопасности. Компьютерные системы 2005 - № 1, стр. 23-28

14. Jakobsson М., and Reiter М. К. Discouraging Software Piracy Using Software Aging// DRM 2001 — Springer-Verlag Berlin Heidelberg, LNCS 2320, pp. 1-12,

15. Rivest, R. The MD5 Message Digest Algorithm//RFC 1321. MIT LCS and RSA Data Security — April 1992

16. Ellison, C., and Schneier, B. Ten Risks of PKI: What You're not Being Told about Public Key Infrastructure // Computer Security Journal, vol. XVI, no. 1, pp. 1-8 — 2000

17. Rivest, R., Shamir, A., and Adleman, L. A method for Obtaining Digital Signatures and Public Key Cryptosystems // Communications of the ACM, vol. 21, no. 2, pp. 120-126 — February 1978

18. ITU-T Recommendation X.509 Information Technology Open Systems Interconnection - The Directory: Authentication Framework // ISO/lEC 9594-8, 1993 Edition

19. Шнайер Б. Хаанский бальзам // пер. Асанов С. — http://www. cryptopro.ru/CryptoPro/documentation/hanaanbalz.htm

20. Bulygin, Yu. Protecting public keys from forgery via "unkeyed" commutative encryption // In: Proceedings of the 8th International Symposium on Communication Theory and Applications — Ambleside, UK, 2005, pp. 83-86

21. Massey J. L., and Omura J. K. Method and apparatus for maintaining the privacy of digital messages conveyed by public transmission // U.S. Patent № 4,567,600 —Jan. 28, 1986

22. Massey J. L. Contemporary Cryptology: An Introduction // In: Contemporary Cryptology: The Science of Information Integrity, G.J. Simmons, ed., IEEE Press — 1992, pp. 1-39

23. Hamblin J. Elliptic Curve Ciyptography// 1999

24. Wagner L. Algebro-Geometric Attack Methods in Elliptic Curve Cryptography// Honours Thesis, Department of Mathematics The University of Queensland — 2002

25. Zimmermann P. An Introduction to Cryptography // Network Associates, Inc. — 1990-1998

26. Entrust Technologies Limited. Trusted Public-Key Infrastructures // August 2000

27. Lee В., and Kim K. Software Protection Using Public Key Infrastructure // In: Proceedings of the 1999 Symposium on Cryptography and Computer Security — SCIS'99, Kobe, Japan — January 1999

28. Вентцель Е. С., Овчаров Л. А. Теория стохастических процессов и их инженерные приложения // 3-е изд. перераб. и доп. — Издательский дом "Академия" — Москва — 200331 . Murray J. D. Mathematical Biology: I. An Introduction // Springer-Verlag — 2003

29. Kermack W. O., and McKendrick A. J. A Contribution to the Mathematical Theoiy of Epidemics // Proc. Roy. Soc. Lond. A 115, pp. 700-721 — May 13, 1927

30. Anderson, R. M. and May, R. M. Population Biology of Infectious Diseases: Part I. // Nature 280, pp. 361 -367 — 1979

31. Anderson, R. M. and May, R. M. The Transmission Dynamics of Human Immunodeficiency Virus (HIV) // Philosophical Transactions of the Royal Society of London, В 321, No. 1207, pp. 565-607 — 1988

32. Anderson, R. M. and Infection dynamics on scale-free networks // Phys. Rev. E. 64,066112 — Nov. 19,2001

33. Moreno Y., Pastor-Satorras R., and Vespignani A. Epidemic outbreaks in complex heterogeneous networks // preprint arXive:cond-mat/0107276 — Jul. 30, 2001

34. Boguna M. and Pastor-Satorras R. Epidemic spreading in correlated complex networks // preprint arXive:cond-mat/0205621 — May 29,2002

35. Boguna M., Pastor-Satorras R., and Vespignani A. Epidemic spreading in complex networks with degree correlations // preprint arXive:cond-mat/0301149 — Jan. 10, 2003

36. Barthelemy M., Barrat A., Pastor-Satorras R., and Vespignani A. Velocity and hierarchical spread of epidemic outbreaks in scale-free networks // Phys. Rev. Lett. 92, No. 17 — Apr. 27,2004 — preprint arXive:cond-mat/0311501

37. Pastor-Satorras RM and Vespignani A. Epidemic Spreading in Scale-Free Networks// Phys. Rev. Lett. 86, No. 14 — Apr. 2, 2001

38. Pastor-Satorras R., and Vespignani A. Epidemic dynamics and endemic states in complex networks // Phys. Rev. E. 63, 066117 — May 22, 2001

39. Boguna M., Pastor-Satorras R., and Vespignani A. Absence of Epidemic Threshold in Scale-Free Networks with Degree Correlations // Phys. Rev. Lett. 90, No. 2 —Jan. 15, 2003

40. Pastor-Satorras R., and Vespignani A. Immunization of complex networks // preprint arXiv:cond-mat/0107066 — Apr. 11, 2002

41. Pastor-Satorras R., and Vespignani A. Epidemics and immunization in scale-free networks // WILEY-VCH Verlag Berlin GmbH — Sep. 13, 2005preprint arXiv:corid-mat/020260

42. Newman M. E. J. Properties of highly clustered networks // Phys. Rev. E. 68, 026121 — Aug. 21, 2003 — preprint arXive:cond-mat/0303183

43. Newman M. E. J., Forrest S., and Balthrop J. Email networks and the spread of computer viruses // Phys. Rev. E. 66, 035101(R) — Sep. 10,2002

44. Szendro В., and Csanyi G. Polynomial epidemics and clustering in contact networks // Bio. Lett. 04Ы0007, Proceedings of the Royal Society London В1. Feb. 20,2004

45. Aiello О. E. and da Silva M. A. A. Dynamical Monte Carlo method for stochastic epidemic models//preprint arXive:cond-mat/0208089 — Jan. 13, 2003

46. Joo J. Behavior of susceptible-infected-susceptible epidemics on heterogeneous networks with saturation // preprint arXive:cond-mat/0402065 — Apr. 24, 2004

47. Joo J. Pair Approximation of the stochastic susceptible-infected-recovered-susceptible epidemic model on the hypercubic lattice // preprint arXive:q-bio.PE/0404035 — Apr. 26, 2004

48. Vazquez A. Dergee correlations and clustering hierarchy in networks: measures, origin and consequences // Ph.D. Thesis, International School for Advanced Studies — Oct. 2002

49. Vazquez A., and Barabasi A.-L. Non-Poisson Contact Processes in Virus Spreading // DIMACS Computational and Mathematical Epidemiology Seminar 2004 2005 — Jan. 2005 — http://dimacs.rutgers.edu/ SpecialYears/2002Epid/EpidSeminarSlides/vazquez.pdf

50. Vazquez A., and Moreno Y. Resilience to damage of graphs with degree correlations // Phys. Rev. E. 67, 015101 (R) — Jan. 6,2003

51. Dezso Z., and Barabasi A. Halting viruses in scale-free networks // preprint arXive:cond-mat/0107420 — Mar. 24, 2002

52. Moreno Y., and Vazquez A. Disease Spreading in Structured Scale-Free Networks//preprint arXive:cond-mat/0210362 — Oct. 17, 2002

53. Moreno Y., Gomez J. В., and Pacheco A. F. Epidemic Incidence in Correlated Complex Networks // Phys. Rev. E. 68, 035103(R) — Sep. 19, 2003 — preprint arXive:cond-mat/0309462.

54. Volz E. SIR dynamics in structured populations with heterogeneous connectivity // Journal of Mathematical Biology — Sep. 15, 2005 — preprint arXive:physics/0508160

55. Zheng D., Hui P.M., Trimper S., and Zheng B. Epidemics and Dimensionality in Hierarchical Networks // preprint arXive:cond-mat/0308502 — Nov. 23,2004

56. Liu J., Tang Y., and Yang Z. R. The spread of disease with birth and death on networks // preprint arXive:q-bio.PE/0402042 — Jun. 29, 2004

57. Zanette D. H., and Kuperman M. Effects of immunization in small-world epidemics // preprint arXive:cond-mat/0109273 — Sep. 14, 2001

58. Dammer S. M., and Hinrichsen H. Epidemic spreading with immunization and mutations // preprint arXive:cond-mat/0303467 — Mar. 21, 2003

59. Hayashi Y., Minoura M., and Matsukubo J. Recoverable prevalence in growing scale-free networks and the effective immunization // preprint arXive:cond-mat/0305549 — Aug. 6, 2003

60. Masuda N., and Konno N. Multi-state epidemic processes on complex networks // preprint arXive:cond-mat/0504329 — Apr. 13, 2005

61. Ben-Nairn E., and Krapivsky P. L. Size of Outbreaks Near the Epidemic Threshold //preprint arXive:q-bio.PE/0402001 — Feb. 1, 2004

62. Vojnovic M. and Ganesh A. On the Race of Worms, Alerts and Patches // Microsoft Research Limited — Technical Report MSR-TR-2005-13 — February 2005

63. Булыгин Ю. С. Развитие технологий распространения компьютерных червей // XLVIII научная конференция МФТИ — Москва-Долгопрудный, 2005, стр. 4

64. Bulygin, Yu. The Conqueror Worm: a hero of the play // Submitted to the 21st IFIP TC-11 International Information Security Conference (SEC 2006) Karlstad, Sweden, 2006

65. Overton M. Bots and Botnets: Risks, Issues and Prevention // 15th International Virus Bulletin Conference 2005 — Dublin, Ireland — Sep. 2005 — http://arachnid.homeip.net/papers/VB2005-Botsand Botnets-1.0.2.pdf

66. Kaspersky Lab The Changing Threat: From Pranksters to Professionals // Kaspersky Lab White Paper — 2005 — http://www.kasperskyusa.com/ promotions/wpindex.php

67. Weaver N. Warhol Worms: The Potential for Very Fast Internet Plagues // http://www.cs.berkeley.edu/~nweaver/warhol.html

68. Staniford S., Paxson V., and Weaver N. How to Own the Internet in Your Spare Time // 11th USENIX Security Symposium (Security'02) — San Francisco, С A — Aug. 2002 — pp. 149—167 — http://www.icir.org/ vern/papers/cdc-usenix-sec02/

69. Staniford S., Paxson V., and Weaver N. Top Speed of Flash Worms // 2nd ACM Workshop on Rapid Malcode (WORM) — 2004 — http: //www. caida. org/outreach/papers/2004/topspeedworms/topspeed-worm04.pdf

70. Shannon С., Moore D. The Spread of the Witty Worm // IEEE Security & Privacy — vol. 2, no. 4. — Jul./Aug. 2004 — http://www.caida.org/ outreach/papers/2004/witty/mal.xml

71. Viruslist.com //http://www.viruslist.com/en/analysis

72. Moore D., Paxson V., Savage S., Shannon C., Staniford S., and Weaver

73. N. Inside the Slammer Worm // IEEE Security & Privacy — vol. 1, no. 4 — Jul./Aug. 2003 — http://www.computer.org/security/vln4/j4wea.htm

74. Moore D., Paxson V., Savage S., Shannon C., Staniford S., and Weaver

75. N. The Spread of the Sapphire/Slammer Worm // http://www.caida.org/ outreach/papers/2003/sapphire/sapphire.html

76. Vogt T. Simulating and optimising worm propagation algorithms // Sep.2003 (Updated on Feb. 2004) — http://web.lemuria.org/security/ WormPropagation.pdf

77. Bulygin, Yu. Catching viruses in CORBA // Submitted to the Black Hat Europe 2006 Briefings — Amsterdam, the Netherlands, 2006