Кибербезопасность в XXI веке

Редактировать статьи по теме кибербезопасности приглашены Шерали Зидалли (Sherali Zeadally), Грегорио Мартинез (Gregorio Martinez) и Хан-Чайх Чао (Han-Chieh Chao), которые назвали свою вводную заметку «Обеспечение безопасности киберпространства в XXI веке» (Securing Cyberspace in the 21st Century). Современные достижения в технологиях вызвали значительное расширение киберпространства, что привело к изменению способов взаимодействия, ведения бизнеса и сотрудничества отдельных людей, компаний и правительственных организаций. В то же время наличие серьезной зависимости общества от различных цифровых инфраструктур, включая Интернет, делает эти инфраструктуры стратегическим национальным достоянием, которое нужно оберегать для обеспечения благополучия и безопасности нации. Каждый день растет число киберугроз от злоумышленников, которых теперь не сдерживают географические границы — защитникам киберпространства приходится постоянно бороться с хакерами, и эту проблему Национальная академия технических наук США включает в состав четырнадцати наиболее важных технических проблем современности.

Информационная безопасность как область интенсивных исследований направлена на создание средств защиты киберпространства для обеспечения его устойчивости к киберактакам. Исследовательское сообщество признает, что почти невозможно достичь совершенной безопасности — высказываются мнения, что следует уделять больше внимания поимке и наказанию киберпреступников, чем разработке средств защиты. Тем не менее продолжается активная деятельность по разработке, реализации и внедрению недорогих, масштабируемых и надежных решений, обеспечивающих защиту от киберугроз.

К наиболее проблемным исследовательским направлениям относится выявление атак в реальном времени, после чего должны следовать быстрые действия по защите и восстановлению работоспособности. Требуется выработка целостного подхода, включающего не только технические решения, но и стратегии и политики, позволяющие установить партнерские отношения между всеми заинтересованными лицами.

Первую регулярную статью тематической подборки написали Павлос Базарас (Pavlos Basaras), Димитриос Катсарос (Dimitrios Katsaros), Леандрос Тассиулас (Leandros Tassiulas). Она называется «Обнаружение критичных распространителей в сложных динамических сетях» (Detecting Influential Spreaders in Complex, Dynamic Networks). В последние десять лет возрастание масштабов социальных и корпоративных сетей и проникновение сетей в сообщества людей приводят к тому, что человечество становится «полностью сетевым». Достижения в области информационно-коммуникационной технологии, возможность хранения данных о различных аспектах человеческой деятельности обеспечивают базовые средства анализа сложных сетей. Исследования в этом направлении затрагивают как аспекты из теории графов (размеры и стойкость сообществ, устойчивость к атакам, модели роста, связность узлов и т. д.), так и аспекты социологии (например, распространение слухов). Эти исследования привели к появлению вычислительной социологии — новой области, направленной на обеспечение сбора и анализа данных для выявления скрытых паттернов в индивидуальных и коллективных активностях. Обнаружение структурных и топологических свойств сложных сетей требуется в многочисленных областях, включая технологию поисковых систем, разработку самоорганизующихся сетей, обнаружение и сдерживание вспышек заболеваний и т. д. Исследователи в области безопасности также применяют анализ сложных сетей для выявления террористических организаций, изучения способов распространения вирусов и обеспечения устойчивости к кибератакам.

В данной статье авторы концентрируются на проблеме критичных распространителей (influential spreader) — узлов в сложных сетях, которые способны быстро распространить сообщения между другими узлами. Заблаговременное обнаружение таких объектов может помочь специалистам в области безопасности предотвратить эскалацию повреждений в сети при воздействии вредоносного программного обеспечения, а при анализе террористических сетей — выявить наиболее опасных преступников. Для обнаружения критичных распространителей обычно используется k-слойный индекс (k-shell index) — основанная на степени узла мера его «ядерности» (coreness). Однако значительные накладные расходы для вычисления этого индекса делают его неприменимым при анализе динамических сетей.

Авторы предлагают альтернативную меру — μ-степенной индекс общности (μ-power community index, μ-PCI), одновременно отражающий свойства и ядерной, и промежуточной центрированности, вычисляемый полностью локальным образом и потому пригодный для анализа любой сети, безотносительно к ее размеру или динамической природе. Эксперименты с применением этих индексов и меры, основанной только на степени узла, показывают преимущества μ-PCI при обнаружении критичных распространителей.

Следующую статью «Глобальная ситуационная осведомленность для защиты критичных инфраструктур» (Wide-Area Situational Awareness for Critical Infrastructure Protection) представили Кристина Алькараз (Cristina Alcaraz) и Хавье Лопец (Javier Lopez). Ситуационная осведомленность (Situational Awareness, SA) позволяет управляющим системам, ответственным за мониторинг критичных инфраструктур, включая системы управления и сбора данных (Supervisory Control And Data Acquisition, SCADA), обнаруживать злонамеренные происшествия и угрозы, возникающие в данное время в инфраструктуре. Поскольку подобные ситуации создаются с разными, но вполне конкретными целями, требуется мониторинг для предотвращения, обнаружения или генерации своевременной и эффективной реакции на внутренние сбои или преднамеренные атаки. К сожалению, подавляющее большинство этих инфраструктур распределены по местам, которые минимально или вовсе не контролируются человеком. В связи с возрастающей потребности в SA и сокращением числа людей, задействованных в работе инфраструктур, авторы предлагают новую парадигму защиты — глобальную ситуационную осведомленность (Wide-Area Situational Awareness, WASA), которая предполагает использование Сети для расширения сферы действия систем мониторинга.

Предпринимаются попытки использования традиционной SA для защиты критически важных инфраструктур от нарушений безопасности и злонамеренных угроз, но сложность и критичность их природы затрудняют подобную адаптацию. Именно подход WASA может обеспечить мониторинг инфраструктур и создать сервисы динамического обнаружения опасных ситуаций и реакции на них.

Авторами статьи «Выявление сканирования на основе семплинга: новая перспектива» (Scan Detection under Sampling: A New Perspective) являются Игнаси Паредес-Олива (Ignasi Paredes-Oliva), Пере Барлет-Роз (Pere Barlet-Ros) и Хосеп Соле-Парета (Josep Sole-Pareta). Мониторинг и анализ трафика важны для обеспечения кибербезопасности, но расширяющийся список приложений и рост киберпреступности все более затрудняют понимание того, что происходит в сети. Распространенная практика взятия образцов данных вместо перехвата пакетов целиком обостряет эту проблему при наличии высокоскоростных линий связи. При использовании средств мониторинга типа NetFlow операторы сетей имеют обыкновение применять частый сэмплинг (выборочная оценка), выбирая, например, один из тысячи образцов для обработки возможных наихудших сценариев или обнаружения сетевых кибератак.

Важнейшим аспектом защиты от кибератак являются методы обнаружения сканирования при наличии сэмплинга. Сканирование сети часто предвещает другие киберугрозы (например, распространение вирусов-червей) — исследования показывают, что более 80% кибератак включают действия по сканированию. Кроме того, сканирование может создать серьезные угрозы для платформ мониторинга, поскольку этот вид киберугрозы нередко порождает большое число новых потоков, в результате чего могут переполниться таблицы. Предлагалось несколько методов выявления сканирования. В простейшем случае клиент сети подозревается в сканировании, если он в течение фиксированного промежутка времени подключается к абонентам, число которых больше некоторого заданного значения.

Исследования показывают, что сэмплинг потоков является наилучшим подходом к обнаружению аномалий, а сэмплинг пакетов работает плохо, однако после своего анализа авторы статьи обнаружили ошибки и решили еще раз провести сравнение эффективности методов, основанных на сэмплинге пакетов и потоков. Оказалось, что при некоторых условиях методы обнаружения сканирования на основе сэмплинга пакетов работают вполне эффективно. Авторы разработали новый метод — онлайновый селективный сэмплинг, основанный на сэмплинге пакетов, работающий быстрее ранее известных методов и расходующий на 40% меньше памяти.

Статью «Безопасность киберобъектов Интернета вещей» (Cyberentity Security in the Internet of Things) написали Хуаншен Нин (Huansheng Ning), Хон Лью (Hong Liu) и Лоуренс Янг (Laurence Yang). Интернет вещей (Internet of Things, IoT) — привлекательная сетевая парадигма будущего, предполагающая, что каждый физический объект отображается в один или несколько киберобъектов, которые могут взаимодействовать с другими киберобъектами, обеспечивая повсеместную связность. Интернет вещей ставит множество новых проблем перед исследователями средств общей системной безопасности, безопасности сетей и безопасности приложений.

• Расширение доменов. Отображение физических объектов в киберпространство, наличие сетевых и коммуникационных киберобъектов приводят к тому, что число киберобъектов в Интернете вещей намного превышает число объектов в Сети.
• Динамический цикл активности. Киберобъекты могут одновременно быть бездействующими в одних сценариях и активными в других.
• Неоднородные взаимодействия. Взаимодействия между киберобъектами не только обладают цифровыми и физическими характеристиками, но и включают социальные атрибуты, которые особенно важны для взаимодействий с объектами вне IoT.

Для решения этих проблем авторы предлагают новую системную архитектуру — модульный и повсеместный Интернет вещей (Unit and Ubiquitous IoT, U2IoT). Модулем IoT является единичное приложение, а повсеместный IoT включает взаимосвязанные локальные, национальные и производственные IoT (рис. 1).

Рис. 1. Системная архитектура U2IoT, состоящая из трех уровней: уровня восприятия, сетевого уровня и уровня приложений

Аваис Рашид (Awais Rashid), Алистейр Бэрон (Alistair Baron), Пол Рейсон (Paul Rayson), Коринн Мей-Чахал (Corinne May-Chahal), Фил Гринвуд (Phil Greenwood) и Джеймс Вокердайн (James Walkerdine) представили статью «Кто я? Анализ цифровых личностей при исследовании киберпреступности» (Who Am I? Analyzing Digital Personas in Cybercrime Investigations). Цифровые сообщества не только способствуют сближению людей, но и невольно предоставляют преступному миру новые способы онлайн-доступа к потенциальным жертвам. В криминальной тактике в социальных сетях ключевую роль играют цифровые личности — входя в контакт с потенциальными жертвами, один преступник может скрываться под несколькими цифровыми личностями либо группа преступников может совместно выступать под  ником  одной личности. Кроме того, неустойчивая природа индивидуальности в социальной сети означает, что преступники могут относительно легко замаскироваться, чтобы войти в доверие к потенциальным жертвам. Известны примеры такого преступного использования цифровых личностей. Так, педофилы могут маскироваться под молодежь для завоевания доверия своих жертв. Преступник может использовать несколько личностей в ходе взаимодействия, изначально представляясь молодым человеком, а затем вводя другую личность — например, более взрослого родственника. В других случаях преступная группа может совместно использовать одну и ту же личность, так что несколько человек могут в разное время домогаться одной и той же жертвы. «Мошенники на доверии» используют цифровые личности соответствующего возраста и пола для установления контактов с несколькими жертвами на сайтах знакомств, пытаясь таким образом получить финансовую выгоду. Также встречаются попытки радикализации молодежи на форумах на основе посылки убедительных сообщений. Иногда преступники в тактических целях задействуют несколько цифровых личностей. Например, одна личность используется для решительной поддержки некоторой радикальной идеи. После этого несколько дней длится пауза, затем другая личность на форуме заявляет, что исходный герой уехал, чтобы бороться за эту идею.

Однако осуществлять эффективный полицейский контроль в таких средах чрезвычайно затруднительно — в социальных сетях циркулирует огромный объем информации, что делает практически невозможным ее анализ вручную. Соответственно, правоохранительные учреждения не успевают анализировать данные социальных сетей во время расследования киберпреступлений. Обычным делом являются задержки на несколько месяцев. Хотя в таких расследованиях можно применять коммерческие инструменты вроде EnCase и Internet Evidence Finder, они в основном помогают извлекать данные — любой анализ этих данных должен выполняться следователем, владеющим только простыми средствами типа поиска по ключевым словам или выявления фраз на основе определяемых пользователем списков слов. Такие методы не масштабируются и не опираются на модели обманного поведения или совместного использования онлайн-личностей. Нередки случаи, когда следователи извлекают данные с жестких дисков или из мобильных телефонов с применением, например, EnCase, а затем вручную анализируют их, чтобы определить, когда было совершено преступление и использовались ли преступником одна или несколько цифровых личностей. Однако при наличии большого объема текстовых данных и значительного числа онлайн-участников, которых затрагивает расследование, следователю почти невозможно проанализировать все цифровые личности.

Эту проблему позволяет решить описываемый в статье набор инструментальных средств Isis (рис. 2), поддерживающих эффективный и качественный анализ цифровых личностей в текстовом общении. Применяемый подход основывается на методах выявления автора заданного текста. Результаты показывают, что можно достаточно точно выявить ключевые атрибуты личности, такие как возраст или пол, даже в тех случаях, когда автор текста намеренно запутывает язык. При создании набора инструментальных средств Isis использовались статистические методы из области обработки естественных языков на основе корпусов текстов, а также средства выявления атрибутов автора текста.

Рис. 2. Инструментарий Isis

Последнюю статью тематической подборки — «Новый подход к противодействию ботнетам» (A Next-Generation Approach to Combating Botnets) — представили Адиб Альхомуд (Adeeb Alhomoud), Ирфан Аван (Irfan Awan), Жюль Фердинанд Пагна Диссо (Jules Ferdinand Pagna Disso) и Мухаммад Юнас (Muhammad Younas). Киберпреступность является наиболее прибыльной частью незаконной деятельности — компаниям, правительственным организациям и частным лицам по всему миру ежегодно наносится ущерб в размере около 114 млрд долл., поэтому во многих странах обеспечение защиты от кибератак входит в число приоритетных национальных задач. Ботнеты являются одним из основных инструментов киберпреступников, обеспечивающим им контроль над миллионами компьютеров. В 2012 году компании Microsoft совместно с несколькими финансовыми организациями удалось разрушить гигантский ботнет, в котором использовалось злонамеренное программное обеспечение Zeus. Однако подобные действия слишком дороги и сложны, чтобы можно было предпринять их против всех киберпреступников, контролирующих четверть компьютеров во всем мире.

В качестве части глубокоэшелонированного решения безопасности для корпоративных сетей, управляемых доменами, авторы статьи предлагают архитектуру самовосстанавливающихся систем, позволяющую повысить устойчивость к атакам ботнетов с минимальным нарушением функционирования сетевых сервисов. Авторы продолжают исследовать разные типы ботнетов и извлекать сценарии, позволяющие улучшить функциональные характеристики различных компонентов систем. Применяемый модульный подход позволяет модифицировать существующие и добавлять новые компоненты без изменения исходной архитектуры системы.

Вне тематической подборки в апрельском номере опубликованы две крупные статьи. Первая называется «Глобальный розыск раздвигает границы социальной мобилизации» (Global Manhunt Pushes the Limits of Social Mobilization), ее написали Ияд Рахван (Iyad Rahwan), Сохан Дзуза (Sohan Dsouza), Алекс Разерфорд (Alex Rutherford), Виктор Народицкий (Victor Naroditskiy), Джеймс Мак-Инерни (James McInerney), Маттео Венанци (Matteo Venanzi), Николас Дженнингс (Nicholas Jennings) и Мануэль Себриан (Manuel Cebrian). В марте 2012 года при финансовой поддержке Госдепартамента США было проведено соревнование Tag Challenge — команды должны были за 12 часов найти и сфотографировать пять человек в пяти городах, расположенных на двух континентах: в Братиславе, Вашингтоне, Лондоне, Нью-Йорке и Стокгольме. Каждая команда получила по одной фотографии разыскиваемого человека («подозреваемого») в 8 часов утра. Каждый «подозреваемый» был одет в майку с логотипом соревнования (это не было известно участникам соревнования до начала раздачи фотографий подозреваемых). По условиям соревнования каждый подозреваемый в течение 12 часов должен был передвигаться по своему обычному маршруту. Команда-победительница (в которую входили авторы статьи) смогла разыскать трех подозреваемых с использованием Web, мобильного приложения и схемы поощрений. Никто из членов команды раньше не бывал в городах, где находились подозреваемые.

Заключительную крупную статью апрельского номера представили Ксяохан Ма (Xiaohan Ma), Жиган Ден (Zhigang Deng), Миан Дон (Mian Dong) и Лин Жон (Lin Zhong), она называется «Измерение производительности и энергопотребления трехмерных мобильных игр»(Characterizing the Performance and Power Consumption of 3D Mobile Games). Как показывает статистика Apple App Store, несмотря на быстрый рост числа мобильных приложений новых категорий (например, образовательных программ), наиболее популярными с большим отрывом остаются игровые приложения. На этом рынке сравнительно редки трехмерные игры, очень популярные среди пользователей десктопов и ноутбуков. Одной из причин являются различия в характеристиках этих классов устройств. Например, эффекты рендеринга, такие как сглаживание и несовершенное затенение, могут привести к снижению качества изображений на экране смартфона, поскольку он находится ближе к глазам пользователя, чем экран монитора компьютера. Кроме того, игровые приложения с трехмерной графикой, вообще говоря, потребляют много энергии, что ограничивает возможность их использования. Для повышения производительности и снижения уровня энергопотребления трехмерных мобильных игр требуется выявить и численно оценить узкие места в конвейере игровой трехмерной графики. Подобная задача решалась для десктопов, но для смартфонов она становится более сложной, поскольку аппаратура поддержки графики в этом случае интегрируется в систему на кристалле, включающую основной процессор, сигнальный процессор и много периферийных контроллеров. Аппаратуру поддержки графики невозможно физически изолировать и оценить.

Чтобы справиться с этими проблемами, авторы статьи использовали для измерения производительности двух тестовых игр (на основе Quake 3 и XRace) пятиступенчатый абстрактный графический конвейер, разработанный под OpenGL for Embedded Systems. Сравнивались пять версий игр — одна соответствовала исходному коду, а в четырех оставшихся выборочно отключались одна или несколько ступеней конвейера. Затем на основе результатов измерения производительности и энергопотребления, проведенного для смартфонов Motorola Droid, HTC EVO и Motorola Atrix 4G, был произведен углубленный количественный анализ узких мест производительности и энергопотребления на разных ступенях конвейера. Этот анализ показал, что основным узким местом для трехмерных мобильных игр является ступень геометрии графического конвейера, и подтвердил, что логика игр существенно влияет на уровень энергопотребления.

С уважением, Сергей Кузнецов, kuzloc@ispras.ru.