CC BY
41Аудиторские ведомости. 2022. № 1. С. 140—145. ЛибИ¡оигпа!. 2022;(1): 140—145.
МЕТОДЫ И ТЕХНОЛОГИИ
Научная статья УДК 004.056.53
doi: 10.24411/1727-8058-2022-1-140-145 МЮ^ 2017-0074-1/22-025 MOSURED: 77/27-021-2022-01-225
Актуальные вопросы мониторинга и противодействия киберугрозам в одноранговых сетях
Наталья Васильевна Михайленко1, Светлана Владимировна Мурадян2, Александр Александрович Вихляев3
11 2' 3 Московский университет МВД России имени В.Я. Кикотя, Москва, Россия
1 natamvz@gmail.com
2 lanamuradyan@gmail.com
3 vih.alexander2011@mail.ru
Аннотация. На сегодняшний день одноранговые сети приобретают все более широкое распространение во всем мире. Учитывая их неоспоримые преимущества, такие как скорость, эффективность и устойчивость к кибератакам, вполне объяснимо, почему именно они стали основой построения блокчейн-систем, с помощью которых происходит обмен криптовалютами.
По своему функционалу приоритетными представляются гибридные P2P-сети за счет сочетания максимальной эффективности и децентрализации, позволяющих обеспечивать высокий уровень информационной безопасности при приеме, обработке, хранении и передаче ресурсов между файлообменниками. Несмотря на все видимые преимущества P2P-сетей, необходимо сказать и о возможных киберугрозах, которые возникают при их использовании.
Экономическая привлекательность направляет действия злоумышленников в первую очередь в отношении блокчейн-систем и криптосервисов, основанных на peer-2-peer-взаимодействии. При этом противоправное поведение в сети может носить как персональный, так и технологический аспекты. К персональным можно отнести использование методик социальной инженерии в отношении пользователей (узлов) системы, фишинг и «дроп»-методики. Среди технологических выделяются прямые кибер- и скриптинг-атаки. Наиболее эффективными методиками обеспечения информационной безопасности в рассматриваемой области на сегодняшний день являются криминалистические методики, применяемые в рамках форензика-исследований.
Авторами предложены инновационные способы мониторинга и противодействия киберугрозам в области использования одноранговых сетей, а также выработаны предложения по совершенствованию профилактики противоправного поведения при обеспечении функционирования peer-2-peer-соединений.
Ключевые слова: киберугроза, кибербезопасность, киберправонарушение, хищения, системы «клиент-сервер», одноранговые сети, гибридные сети, блокчейн, P2P-соединения, кибератака, скриптинг-атака, атака по времени, атака Сивиллы, атака повторного воспроизведения, форензика
Для цитирования: Михайленко Н.В., Мурадян С.В., Вихляев А.А. Актуальные вопросы мониторинга и противодействия киберугрозам в одноранговых сетях // Аудиторские ведомости. 2022. № 1. С. 140— 145. Со1: 10.24411/1727-8058-2022-1-140-145.
METHODS AND TECHNOLOGIES
Original article
Topical issues of monitoring and countering cyber threats in peer-to-peer networks
Natalia V. Mikhailenko1, Svetlana V. Muradyan2, Alexander A. Vikhlyaev3
12' 3 Moscow University of Ministry of Internal Affairs of Russia named after V.Ya. Kikot, Moscow, Russia
1 natamvz@gmail.com
2 lanamuradyan@gmail.com
3 vih.alexander2011@mail.ru
© Михайленко Н.В., Мурадян С.В., Вихляев А.А., 2022
Abstract. We recognize, that peer-to-peer networks are becoming more widespread throughout the world. Given their unquestionable advantages, such as speed, efficiency, and resistance to cyberattacks, it is understandable that they have become the basis for the construction of blockchain systems that exchange cryptocurrencies. In terms of functionality, P2P hybrid networks are prioritized through a combination of maximum efficiency and decentralization to ensure a high level of information security in the reception, processing, storage and transfer of resources between file exchangers.
Despite all the obvious advantages of P2P networks, it is necessary to mention possible cyber threats that arise, when they are used. Economic attractiveness directs the actions of attackers, primarily in relation to blockchain systems and crypto services based on peer-2-peer interaction.
Illegal behaviour on the network may have both personal and technological aspects. The personal can include the use of social engineering techniques in relation to system users (nodes), phishing and «drops»-methodology. Among technology, direct cyber and scripting attacks stand out. The forensics techniques used in forwarding research are the most effective information security techniques in this field in our days.
The authors propose innovative ways of monitoring and counteracting cyber threats in the use of peer-to-peer networks, as well as proposals for improving the prevention of illegal behavior, while ensuring the functioning of peer-2-peer connections.
Keywords: cyber threat, cyber security, cyber crime, theft, client-server systems, peer-to-peer networks, hybrid networks, blockchain, P2P-connections, cyberattack, scripting attack, time attack, Sybil attack, replay attack, digital forensics
For citation: Mikhailenko N.V., Muradyan S.V., Vikhlyaev A.A. Topical issues of monitoring and countering cyber threats in peer-to-peer networks // Auditorskiye vedomosti = Audit journal. 2022;(1): 140— 145. (In Russ.). doi: 10.24411/1727-8058-2022-1-140-145.
Использование одноранговых (или реег-2-реег (Р2Р-сетей), пиринговых) сетей имеет высокий потенциал применения в процессе реализации системы взаимодействия между обособленными пользователями сети. Именно они послужили современной альтернативой модели «клиент-сервер».
По своей сути одноранговые сети лежат в основе современных блокчейн-систем, прежде всего, из-за возможности обмена крипто-валютами и цифровыми активами через распределенную сеть, что позволяет осуществлять операции без посредников.
Одноранговые сети состоят из группы взаимосвязанных устройств, обмен данными между которыми формируется за счет упрощенной системы аутентификации пользователей. При этом каждый участник (узел) подобной одноранговой сети является индивидуальным источником информации, обладающим массивом данных, требуемых или запрашиваемых остальными ее клиентами.
Преимуществом одноранговых (в отличие от многоранговых или иерархических) сетей выступает фактическое отсутствие единого сервера, обеспечивающего хранение и обработку данных клиентов. Каждый клиент сети может самостоятельно обращаться к другому клиенту или нескольким клиентам одновременно для совершения определенных сделок или выполнения поисково-информационных запросов.
Хранение информации обеспечивается каждым пользователем сети индивидуально, что решает проблемы оперативности: повышает скорость и возможности обработки соответствующих запросов клиентов.
В свою очередь, рабочее место самого пользователя, использующего ресурсы сети, единовременно выступает сервером и кластером хранения данных для других пользователей Р2Р-соединения.
Используя программные приложения, предназначенные для обмена данными, пользователи могут запрашивать и загружать файлы на другие устройства в сети. Так, после того как пользователь скачал определенный файл, он может выступать в качестве источника распространения.
Таким образом, учитывая те обстоятельства, что каждый узел хранит, передает и получает файлы, Р2Р-сети имеют тенденцию работать быстрее и эффективнее, поскольку их пользовательская база увеличивается. Кроме того, распределенная архитектура делает такие системы очень устойчивыми к различным кибератакам [6].
Отсутствие единого сервера позволяет одноранговым сетям, в отличие от иных более традиционных моделей, быть более стабильными перед выходом системы из строя или возникновением ошибки, связанной с недоступностью данных. Прежде всего, это связано с фактическим отсутствием единой точки отказа.
Наиболее приоритетными по своему функционалу выступают гибридные P2P-сети.
В сравнении с неструктурированными (обеспечивающими соединение случайных пользователей) и структурированными (ориентированными на более сбалансированную архитектуру, позволяющую осуществлять более эффективный поиск файлов, в том числе и среди узкодоступного контента), гибридные P2P-сети выстраиваются по принципу централизованных контактов, когда пользователи сети самостоятельно разрабатывают и поддерживают сервер, обеспечивающий устойчивое соединение между узлами сети.
За счет единовременного применения функционала одноранговых сетей, в сочетании с преимуществами других моделей, гибридные сети способны поддерживать высокую производительность, сочетая в себе максимальную эффективность и децентрализацию, что положительно сказывается на обеспечении информационной безопасности при приеме, обработке, хранении и передаче ресурсов между файлообменниками.
В отличие от традиционных систем «клиент-сервер» P2P-œra позволяют обеспечить большую безопасность данных, прежде всего за счет своей одноранговой структуры. Такие сети низко восприимчивы к DDoS-атакам, а за счет обеспечения в структурированных и гибридных типах сетей высокой степени кон-сенсусности пользователей способны иметь повышенную безопасность от злонамеренной активности.
Несмотря на распределительные мощно -сти, сочетающие в себе принцип децентрализации управления, одноранговые сети имеют ряд недостатков перед некоторыми видами инцидентов, о которых речь пойдет далее.
Как было отмечено ранее, применение одноранговых сетей имеет высокий практический потенциал. Однако структура построения и принципы деятельности одноранговых сетей делают их объектами преступного посягательства. Прежде всего, злонамеренные действия затрагивают вопросы блокчейн-систем и криптосервисов, основанных на peer^-peer-взаимодействии.
Согласно данным официальной статистики [1], только за I квартал 2021 г. злоумышленники похитили 108,3 млн долл. у пользователей различных блокчейн-проектов во всем мире. Наибольшему количеству атак были подвержены криптокошельки и биржи блокчейна Ethereum («Эфириум»). Основная брешь в атаках на указанную разновидность криптовалютных операций связана с возмож-
ностью подключения третьих лиц к транзакциям по каналам P2P-сетей.
В России также отмечается и увеличение атак на 46% на блокчейн-сети в сравнении с показателями 2020 г., что дополнительно отражает актуальность противодействия кибер-правонарушениям в указанном сегменте.
Можно выделить персональные и технологические аспекты противоправного поведения в сети.
К персональным можно отнести использование методик социальной инженерии в отношении пользователей (узлов) системы, фишинг и «дроп»-методики.
Среди технологических выделяются прямые кибер- и скриптинг-атаки [12]. Если современный уровень информационной безопасности позволяет своевременно выявлять прямые кибератаки и успешно противостоять им, то скриптинг представляет собой наиболее вредоносный способ атакующего воздействия, прежде всего из-за возможности сочетания с другими видами атак (например, «внедрения кода», «повторного воспроизведения» или «дроппинга»).
Опасность скриптинга заключается во внедрении в систему программного кода с оперативным или отложенным откликом. Зачастую сочетание указанной методики скрип-тового вброса с доверенных ^-адресов или доменов, которые создал или использует злоумышленник, позволяет внедрять в программное обеспечение жертвы код, который при пользовании (или открытии) определенных ресурсов оперативно или отложенно (по задействовании специального скрипта) передает информацию правонарушителю.
По принципу скриптинга действует кибе-ратака «51%» (при получении доступа к массиву данных более 50% сеть блокчейн считается невалидной).
Кроме того, к наиболее распространенным видам злонамеренной активности можно отнести следующие:
1) атака по времени — представляет собой одну из разновидностей атаки по сторонним каналам, в процессе которой криптосистема компрометируется посредством анализа времени, затрачиваемого на исполнение отдельных криптографических алгоритмов.
Располагая информацией о времени, затрачиваемом пользователями для осуществления различных операций, атакующее лицо может восстановить исходные данные, которые подгружаются в систему. Криптосистемы часто тратят немного разное количество времени на обработку различных входных данных.
Так, время, затрачиваемое на выполнение определенных запросов, может стать источником утечки информации о системе (например, параметры криптографической системы, характеристики процессоров, обслуживающих систему, ее архитекуре или используемых указанной системой алгоритмах).
Объективная контрмера при данном виде атак видится в максимальной синхронизации времени выполнения операций системой.
Другой мерой противодействия может выступать десинхронизация точности измерения временных промежутков, необходимых для выполнения операций системой. Так, ко времени выполнения добавляются задержки случайной длительности, повышая количество требуемых шифротекстов для атакующего;
2) Sybil-атака (атака Сивиллы) — в результате подобной атаки пользователь сети подключается только к сетям, контролируемым злоумышленником.
Указанный вид атаки наиболее характерен для сетей с упрощенной степенью доверия, в которых злоумышленник, пользуясь правами, предоставляемыми пользователем сеанса связи, расширяет количество идентификаторов сети, имеющих сравнительно одинаковую принадлежность. Таким образом, жертва, обращаясь к ресурсам с интересующими его однородными ресурсами, может быть замкнута между узлов-пседвонимов, принадлежащих злоумышленнику.
При этом с ростом децентрализованности сети может расти и количество узлов-псевдонимов.
Противодействие Sybil-атакам может осуществляться несколькими путями [11]: путем прямых и косвенных проверок, взимания платы за регистрацию в одноранговой сети или введения социальных графов;
3) атака повторного воспроизведения — представляет собой атаку на систему аутентификации одноранговой сети путем записи и последующего воспроизведения ранее посланных корректных сообщений или их частей.
Таким образом, любая информация, относящаяся к системе, может быть записана и использована впоследствии для валидной аутентификации [13] (например, постоянный пароль, используемый системой).
Обеспечивается атака за счет скриптов с высоким уровнем отклика, не всегда видимых для пользователей системы. При этом получение доступа к одному клиенту одноранговой сети позволяет при определенных условиях получить доступ к массиву данных другого.
Сочетание указанной атаки с фишинг-механикой наиболее опасно для пользователей Р2Р-соединений. Только по данным официальной статистики число фишинговых сайтов выросло за последних десять лет до рекордных 2 млн, при этом их «отзеркалива-ние» злоумышленниками, в случае установления вредоносного ресурса со стороны федеральных органов исполнительной власти, также существенно осложняет окончательную блокировку подобных ресурсов.
Основным способом противодействия данной угрозе является построение более стойкой системы аутентификации, которая использовала бы индивидуальные оригинальные параметры (ключи), к которым можно отнести метки времени и жизни ключей (по типу, используемому в рамках одноранговой сети TeamViewer) или nonce-вставки, представляющие собой однократно используемые для аутентификации коды, формируемые случайным образом.
Одноранговые сети при всех своих положительных качествах, связанных с возможностями использования дополнительных мощностей и системы децентрализации ресурсов, все же имеют и ряд существенных недостатков, к числу которых можно отнести подверженность некоторым атакам, а также сравнительно высокие риски аутентификации в сети сторонних лиц.
К тому же ряд операций в одноранговых сетях может осуществляться при высокой степени анонимности, что существенно осложняет возможности контроля за операциями, происходящими внутри сети, со стороны федеральных органов исполнительной власти. Безусловно, указанный аспект требует дополнительной проработки. Приоритетным в системе мониторинга будет выступать расширение функционала и ролей подразделений органов внутренних дел и Роспотребнадзора в обеспечении информационной безопасности в киберпространстве.
В заключение необходимо отметить, что одноранговые сети позволяют пользователям осуществлять широкий спектр различных операций при минимальных возможностях возникновения инцидентов. Прежде всего, это достигается высоким порогом аутентификации и доверительных операций в сети, а также применением технологий распределенных реестров и блокчейн-методик. Однако операции и инциденты, происходящие в оверлейных сетях указанного типа, за счет их относительной замкнутости и возможностей анонимного использования сами могут приводить к возникновению инцидентов или способство-
вать совершению противозаконных транзакций и информационному обмену, трудно интерпретируемым действующими системами мониторинга.
Список источников
1. Барабанова А. Хакеры украли более $100 млн из блокчейн-систем в первом квартале // URL: https://www.kommersant.ru/doc/4879812 (дата обращения: 02.10.2021).
2. Вихляев А. А. К вопросу о совершенство -вании методик обработки, хранения, анализа и систематизации «Больших данных» на современном этапе // Государственное управление и развитие России: глобальные угрозы и структурные изменения: сб. ст. междунар. конференц-сессии. 2020. С. 137—141.
3. Михайленко Н.В. Кибернетические угрозы как проблема национальной безопасности // Актуальные проблемы международного сотрудничества в борьбе с преступностью: сб. ст. по итогам Междунар. науч.-практ. конф., приуроченной к 70-летию принятия Генеральной Ассамблеей Организация Объединенных Наций Всеобщей декларации прав человека 1948 года / под общ. ред. Д.Д. Шаля-гина. М.: Московский университет МВД России им. В.Я. Кикотя, 2019. С. 101—105.
4. Михайленко Н.В. Цифровое государственное управление. Современные проблемы и перспективы завтрашнего дня // Государственная служба и кадры. 2020. № 2. С. 171—175.
5. Мурадян С.В. Факторы, обусловливающие рост числа преступлений, совершаемых с использованием криптовалют и способы их нивелирования в России // Актуальные вопросы современной криминологической и уголовно-исполнительной науки: сб. тезисов Междунар. науч.-практ. заочн. конф. памяти докт. ист. наук, проф. А.В. Шаркова от 15.04.2021 г. Минск: Академия МВД, 2021. С. 208—210.
6. Одноранговые сети // URL: https://aca-demy.binance.com/ru/articles/peer-to-peer-net-works-explained (дата обращения 25.09.2021).
7. Русскевич Е.А. Уголовное право и информатизация // Журнал российского права. 2017. № 8 (248). С. 73—80.
8. Русскевич Е.А. Уголовное право и «цифровая преступность»: проблемы и решения: монография. М.: ИНФРА-М, 2019.
9. Сидоренко Э.Л. Криминальное использование криптовалюты: международные оценки // Международное уголовное правосудие и международная юстиция. 2016. № 6. С. 8—10.
10. Сосновская Ю.Н, Михайленко Н.В. Влияние кибернетических угроз на националь-
ную безопасность Российской Федерации // Вестник Всероссийского института повышения квалификации сотрудников Министерства внутренних дел Российской Федерации. 2019. № 1 (49). С. 137-140.
11. Corentin Wallez. Protection against Sybil attacks using proof of work and randomized identifiers // URL:https://perso.telecom-paristech.fr/ ~drossi/teaching/INF570/projects/2012-DhtSe-curity-02-paper.pdf (дата обращения 25.09.2021).
12. Cross-site Scripting (XSS) The Open Web Application Security Project (OWASP) // URL: https://owasp.org/www-community/attacks/xss/ (дата обращения: 20.09.2021).
13. Karlof C. and Wagner D. Secure routing in wireless sensor networks: attacks and countermea-sures (2014) // URL: http://nest.cs .berkeley. edu/ papers/sensor-route-security.pdf (дата обращения 25.09.2021).
References
1. Barabanova A. Hackers stole over $100 million from blockchain systems in the first quarter // URL: https://www.kommersant.ru/ doc/4879812 (Accessed: 02.10.2021).
2. Vikhlyaev A.A. On the issue of improving the methods of processing, storage, analysis and systematization of Big Data at the present stage // Public Administration and Development of Russia: Global Threats and Structural Changes: Sat. Art. intl. conference sessions. 2020, pp. 137—141.
3. Mikhailenko N.V. Cyber threats as a problem of national security // Actual problems of international cooperation in the fight against crime: Sat. Art. following the results of the International scientific-practical. conf. dedicated to the 70th anniversary of the adoption by the General Assembly of the United Nations of the Universal Declaration of Human Rights of 1948 / under the general ed. D.D. Shalyagin. M.: Moscow University of the Ministry of Internal Affairs of Russia. V.Ya. Kikot, 2019, pp. 101—105.
4. Mikhailenko N.V. Digital public administration. Modern problems and prospects for tomorrow // Public service and personnel. 2020. No. 2. Р. 171—175.
5. Muradyan S. V. Factors that determine the growth in the number of crimes committed using cryptocurrencies and ways to level them in Russia // Topical issues of modern criminological and penal science: coll. abstracts of the Intern. scientific-practical. in absentia conf. memory of Dr. ist. sciences, prof. A.V. Sharkov, dated April 15, 2021. Minsk: Academy of the Ministry of Internal Affairs, 2021. Р. 208—210.
6. Peer-to-peer networks // URL: https:// academy.binance.com/en/articles/peer-to-peer-networks-explained (Accessed 09/25/2021).
7. Russkevich E.A. Criminal Law and Informatization // Journal of Russian Law. 2017. No. 8 (248). pp. 73-80.
8. Russkevich E.A. Criminal law and "digital crime": problems and solutions: monograph. M.: INFRA-M, 2019.
9. Sidorenko E.L. Criminal Use of Cryptocur-rency: International Assessments // International Criminal Justice and International Justice. 2016. No. 6. P. 8-10.
10. Sosnovskaya Yu.N, Mikhailenko N.V. Influence of cyber threats on the national security of the Russian Federation // Bulletin of the All-Russian Institute for Advanced Studies of Employ-
ees of the Ministry of Internal Affairs of the Russian Federation. 2019. No. 1 (49). pp. 137-140.
11. Corentin Wallez. Protection against Sybil attacks using proof of work and randomized identifiers // URL: https://perso.telecom-paris-tech.fr/~drossi/teaching/INF570/projects/2012-DhtSecurity-02-paper.pdf (accessed 25.09. 2021).
12. Cross-site Scripting (XSS) The Open Web Application Security Project (OWASP) // URL: https://owasp.org/www-community/attacks/xss/ (accessed 09/20/2021).
13. KarlofC. and Wagner D. Secure routing in wireless sensor networks: attacks and counte-rmeasures (2014) // URL: http://nest.cs.berkeley. edu/papers/sensor-route-security.pdf (accessed 09/25/2021).
Информация об авторах
Н.В. Михайленко — доцент кафедры административной деятельности органов внутренних дел; С.В. Мурадян — доцент кафедры уголовного права;
А.А. Вихляев — преподаватель кафедры административной деятельности органов внутренних дел.
Вклад авторов: все авторы сделали эквивалентный вклад в подготовку публикации. Авторы заявляют об отсутствии конфликта интересов.
Information about the authors
N.V. Mikhailenko — assistant professor of administrative activity of internal affairs agencies chair;
S.V. Muradyan — assistant professor of the department of criminal law;
A.A. Vikhlyaev — educator of administrative activity of internal affairs agencies chair.
Contribution of the authors: the authors contributed equally to this article. The authors declare no conflicts of interests.
Статья поступила в редакцию 17.02.2022; одобрена после рецензирования 28.02.2022; принята к публикации 10.03.2022. The article was submitted 17.02.2022; approved after reviewing 28.02.2022; accepted for publication 10.03.2022.
