Криптоанализ и атаки на криптосистемы

Криптоанализ - это наука о дешифровке закодированных сообще­ний при отсутствии знаний о значении ключей. Имеется много крипто-аналитических подходов.

Атака со знанием лишь шифрованного текста (ciphertext-only attack). Это ситуация, когда атакующий не знает ничего о содержании сообщения, и ему приходится работать лишь с самим шифрованным текстом. На практике часто можно сделать правдоподобные предполо­жения о структуре текста, поскольку многие сообщения имеют стан­дартные заголовки. Даже обычные письма и документы начинаются с легко предсказуемой информации. Также часто можно предположить, что некоторый блок информации содержит заданное слово.

Атака со знанием содержимого шифровки (known-plaintext attack). Атакующий знает или может угадать содержимое всего, или части за­шифрованного текста. Задача заключается в расшифровке остального сообщения. Это можно сделать либо путем вычисления ключа шифров­ки, либо минуя это.

Атака с заданным текстом (chosen-plaintext attack). Атакующий имеет возможность получить шифрованный документ для любого нужного ему текста, но не знает ключа. Задачей является нахождение ключа. Не­которые методы шифрования и, в частности, RSA, весьма уязвимы для атак этого типа. При использовании таких алгоритмов надо тщательно следить, чтобы атакующий не мог зашифровать заданный им текст.

Атака с подставкой (Man-in-the-middle attack). Атака направлена на обмен шифрованными сообщениями и, в особенности, на протокол обмена ключами. Идея заключается в том, что когда две стороны обме­ниваются ключами для секретной коммуникации (например, используя шифр Диффи-Хелмана), противник внедряется между ними на линии обмена сообщениями. Далее противник выдает каждой стороне свои ключи. В результате, каждая из сторон будет иметь разные ключи, каждый из которых известен противнику. Теперь противник бу­дет расшифровывать каждое сообщение своим ключом и затем зашиф­ровывать его с помощью другого ключа перед отправкой адресату. Сто­роны будут иметь иллюзию секретной переписки, в то время как на са­мом деле противник читает все сообщения.

Атака с помощью таймера (timing attack). Этот новый тип атак ос­нован на последовательном измерении времен, затрачиваемых на вы­полнение операции возведения в степень по модулю целого числа. Ей подвержены по крайней мере следующие шифры: RSA, Диффи- Хеллман и метод эллиптических кривых.

Имеется множество других криптографических атак и крипто-аналитических подходов. Однако приведенные выше являются наиболее важными для практической разработки систем.

Выбор для конкретных ИС должен быть основан на глубоком ана­лизе слабых и сильных сторон тех или иных методов защиты. Обосно­ванный выбор той или иной системы защиты должен опи­раться на какие-то критерии эффективности. К сожалению, до сих пор не разработаны подходящие методики оценки эффективности крипто-аналитических систем.

Наиболее простой критерий такой эффективности - вероятность раскрытия ключа или мощность множества ключей. По сути это то же самое, что и криптостойкость. Для ее численной оценки можно использовать также и сложность раскрытия шифра путем перебора всех ключей.

Однако этот критерий не учитывает других важных требований к криптосистемам:

• невозможность раскрытия или осмысленной модификации инфор­мации на основе анализа ее структуры;

• совершенство используемых протоколов защиты;

• минимальный объем используемой ключевой информации;

• минимальная сложность реализации (в количестве машинных опе­раций), ее стоимость;

•высокая оперативность.

Для учета стоимости, трудоемкости и объема ключевой информа­ции можно использовать удельные показатели - отношение указанных параметров к мощности множества ключей шифра.

Часто более эффективным при выборе и оценке криптографической системы является использование экспертных оценок и имитационное моделирование.

В любом случае выбранный комплекс криптографических методов должен сочетать как удобство, гибкость и оперативность использова­ния, так и надежную защиту от злоумышленников циркулирующей в ИС информации.

 

Тема 6. Антивирусные средства защиты

 

Компьютерный вирус – программа, которая самостоятельно запускается, многократно копирует свой код, присоединяя его к кодам других программ и мешает корректной работе компьютера и/или разрушает данные.

Основное отличительное свойство вирусной программы – способность к размножению, то есть созданию собственных копий, способных незаметно проникать на другие диски и компьютеры.

Жизненный цикл вируса:

1. Заражение и активизация. Вирус проникает на компьютер из внешнего источника и записывается на жесткий диск. Для активизации вируса его команды должны быть выполнены хотя бы один раз.

2. Размножение. При выполнении своего кода вирусная программа изыскивает возможность создать дополнительную копию себя. Эта копия может быть перемещена в другой файл, послана по электронной почте, передана через локальную сеть.

3. Вредоносное действие. Большинство вирусов вредоносны. Через какое-то время после внедрения на компьютер они начинают тем или иным способом нарушать работу компьютерной системы. Задержка во времени служит для того, чтобы скрыть факт заражения и дать вирусу время на размножение. Способы воздействия вируса: прямая порча данных на жестком диске, нарушение целостности данных, замедление работы системы.

4. Уничтожение.

Свойства вирусов:

1) способность к саморазмножению и эволюции;

2) высокая скорость распространения;

3) избирательность поражённых систем (каждый вирус поражает определённые системы и группы);

4) способность " заражать" " незаражённые" системы;

5) трудность борьбы с вирусами;

6) увеличивается быстрота появлений модификаций и новых поколений вирусов.

Признаки " заражённости":

1) необычная, странная работа компьютера (частые самопроизвольные перезагрузки);

2) некоторые программы не работают или работают неверно;

3) компьютер часто " зависает";

4) работа существенно замедляется;

5) на экран выводятся посторонние сообщения;

6) искажается содержание файлов;

7) появление не существовавших ранее «странных» файлов;

8) не загружается ОС.

Действия вируса над файлами. Вирус может:

1) испортить файл т.е. исказить его содержание. Это тексты программ и документов, файлы баз данных или электронных таблиц.

2) " заразить" файл, т. е. внедриться, приписаться к нему. Такой файл является источником вируса.

 

Классификация вирусов

Вирусы можно разделить на классы по следующим основным признакам:

• среда обитания;

• операционная система (ОС);

• особенности алгоритма работы;

• деструктивные возможности.

1. По среде обитания вирусы можно разделить на:

• файловые;

• загрузочные;

• макро;

• сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые файлы, либо создают файлы-двойники, либо используют особенности организации файловой системы. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной операционной системы: командные файлы (ВАТ), загружаемые драйверы и выполняемые двоичные файлы (EXE, СОМ).

Выделяют следующие свойства файловых вирусов:

1) место внедрения в файл (начало, конец, середина);

2) метод заражения (использование функций FindFirst, FindNext, перехват обращений ОС к файлам и др.);

3) способ внедрения в оперативную память - для резидентных вирусов (в обычную память по фиксированному адресу, в дисковый буфер и др.

4) длина кода и др.

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). «Brain», «Ping-Pong», «Stoned», «Наге».

Макро-вирусы являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро­языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и остальных программ MS Office.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию.

Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая операционная система. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows и т.д. Макро-вирусы заражают файлы форматов Word, Excel, MS Office. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

3. Среди особенностей алгоритма работы вирусов выделяются следующие пункты:

• резидентность;

• использование стелс-алгоритмов;

• самошифрование и полиморфичность;

• использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo». Первый загрузочный стелс-вирус — «Brain».

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Достигается это двумя основными способами - шифрованием основного кода вируса с непостоянным ключом и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса и т.д.

4. По деструктивным возможностям вирусы можно разделить на:

• безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

• опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

• очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков.

 

⇐ Предыдущая12345678910Следующая ⇒

Поделиться:

Популярное:

1. Асимметрические (открытые) криптосистемы
2. Метод коллективной генерации идей (метод “мозговой атаки”)
3. Понятие удалённой атаки через Internet