Разработка подсистемы аутентификации удалённых пользователей для предотвращения фишинг-атак Текст научной статьи по специальности «Компьютерные и информационные науки»

из тестовой выборки. Это, конечно, может оказаться совсем не так, но, к сожалению, другого способа оценить качество классификации пока нет. Общепринятыми характеристиками качества классификации являются точность и полнота. Точность вычисляется как отношение числа правильных положительных предсказаний классификатора (когда документу была присвоена какая-либо категория) к общему числу положительных предсказаний. Полнота - это отношение числа правильных положительных предсказаний к числу документов, которым должна была быть присвоена категория. У классификаторов с высокой точностью обычно низкая полнота и наоборот.

Библиографический список

1. Азанов Е. Text mining explained [Электронный ресурс]. - URL: http://krondix.blogspot.com/ search/label / text%20mining%2 0explained (дата обращения: 01.11.2010).

2. Сокирко А. Семантические словари в автоматической обработке текста : (по материалам системы ДИАЛИНГ) [Электронный ресурс]. -URL: http://www.aot.ru/docs/sokirko/sokirko-candid-1.html (дата обращения: 05.10.2010).

3. Тузов В. А. Основные направления исследований, основанные на семантическом анализе текстов [Электронный ресурс]. - URL: http:// www.apmath.spbu.ru/ru/info/tuzov/onapr.html (дата обращения: 10.10.2010).

4. Text mining [Электронный ресурс]. - URL: http://en.wikipedia.org/wiki/Text_mining (дата обращения: 01.11.2010).

разработка подсистемы аутентификации удалённых пользователей для предотвращения фишинг-атак

© Байкурин Вил Бариевич

доктор физико-математических наук, профессор, заведующий кафедрой «Программное обеспечение вычислительной техники и автоматизированных систем», руководитель учебно-научного центра по проблемам информационной безопасности Саратовского региона - СГТУ, Саратовский государственный техническийуниверситет.

@ (845-2) 798-606, И baiburinvb@rambler.ru

© Гукенков Артём Александрович

кандидат физико-математических наук, доцент кафедры «Программное обеспечение вычислительной техники и автоматизированных систем», сотрудник учебно-научного центра по проблемам информационной безопасности Саратовского региона - СГТУ, Саратовский государственный технический университет.

Ш (845-2) 798-608, Ш agubenkov@mail.ru

Фишинг (англ. phishing) — вид интернет-мошенничества, целью

которого является получение доступа к конфиденциальным данным пользователей, таким как логины и пароли доступа, номера банковских карт и т. д. По данным агентства Gartner, ежегодно миллионы пользователей становятся жертвами фишинг-атак.

Ключевые слова: протокол аутентификации, алгоритм хеширования, одноразовый пароль.

Для нахождения эффективных способов защиты от фишинга в 2008 г. была создана ассоциация APWG (Anti-Phishing Working Group - Рабочая группа по вопросам антифишинга). Результаты деятельности APWG, приведённые в ежегодном отчёте «Глобальное исследование явления фишинга» [1], показывают, что в последние годы наблюдался почти экспоненциальный рост количества атак данного типа. Так, если в 2008 г. было выявлено 104 283 фишинг-атаки, то в 2009 г. было зарегистрировано уже 182 395 подобных случаев. По данным APWG, в первой половине 2009 г. число случаев фишинга колебалось от 30 до 37 тыс. в месяц. Число обнаруженных за месяц фишинговых сайтов за тот же период выросло с 27 до 49 тыс.

В последнем отчёте группы экспертов Anti-Phishing Working Group говорится, что международная преступная организация, известная как Avalanche, была ответственна за 66% фишинговых атак конца 2009 г. [2]. Мошенники из Avalanche активно использовали бренды почти четырёх десятков крупнейших банков, а также нескольких крупных Интернет-провайдеров и регистраторов доменов.

Самыми популярными у фишеров являются сайты финансовых компаний, составляющие более половины «сайтов-обманок». Согласно представленным данным, 65% поддельных ресурсов стилизованы злоумышленниками под сайты банковских организаций, 27% - представляются онлайновыми аукционами. Отмечается

значительный рост поддельных сайтов VoIP-сервисов и социальных сетей [3].

Разновидности фишинг-атак

Для реализации фишинг-атак обычно используются:

- специально сфабрикованные e-mail сообщения,

- социальные сети,

- поддельные веб-сайты.

Для успешной реализации почтовых фишинг-атак применяются технологии социальной инженерии. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей, банков, прочих сервисов. В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам.

Почтовые фишинг-атаки наиболее просты в реализации. В типичном фишинг-письме (рис. 1) пользователь получает уведомление от отдела безопасности системы Mail.ru, где сообщается о взломе его аккаунта, для защиты которого требуется отправить СМС с кодом на короткий номер. Отправив такое сообщение, пользователь может потерять от 150 до 500 р.

Основной целью фишерских атак на социальные сети является сбор информации для создания баз данных электронных адресов.

От: ргоТес!@согр mail.ru <protect@corp.mail.nj> Дата: 22 декабря 2007 г 14.40 Кому: <>

Тема: К вашему почтовому ящику хотепи получить доступ зпоумышленники! Вас беспокоит отдел безопасности системы Mail.ru!

Информируем Вас о том, что ваш аккаунт в нашей почтовой системе пытались взломать, или же Вы пытались войти, используя неверный пароль множество раз. 11иеьмо написано нашим сотрудником, нас волнуют проблемы наших пользователей и мы стараемся им помогать! Если Вы не пытались войти в свой ящик, используя неверный пароль, то как можно быстрее заблокируйте атаку на свой ящик, выполнив следующее:

1)Найлите мобильный телефон с поддержкой смс сообщений.

2)Пошлиге бесплатное сообщение с кодом 00598520982 на номер 1717.

Данное число уникально, зарезервировано специально для вас. Оно будет действовать в течение 10 минут, начиная с прочтения письма.

После 10 минут данное число будет уничтожено и Вы больше не сможете защитить свой аккаунт, включив Взлом-Защиту,

С уважением. Роман Отдел безопасности системы Mail.Ru.

Рис. 1. Пример фишингового письма

Злоумышленники рассылают пользователям социальной сети сообщение, в котором указан неверный адрес сайта: http://vkontaktp.ru (отличие только в последнем символе). При переходе по данной ссылке пользователь попадает на страницу, интерфейс которой в точности копирует оригинальный сайт (рис. 2). Однако данный сайт, несмотря на полную внешнюю схожесть с оригинальным, предназначен исключительно для того, чтобы собирать идентификационные данные других пользователей. Введённые логин и пароль сохраняются в базе у злоумышленников, а пользователь будет переадресован на подлинный сайт социальной сети.

В исследовании британской организации СРР говорится, что киберпреступники в 2009 г. отправили 3,7 млрд фишинговых писем [5]. По данным СРР, 55% этих сообщений составляют фальшивые банковские письма, целью которых является получение информации о кредитных картах пользователей, а также их паролей к интерфейсу интернет-банкинга. Каждый четвёртый британец, принявший участие в исследовании, признался, что его хотя бы раз обманывали фишеры.

Объёмы онлайнового банковского мошенничества в 2009 г. выросли на 132%, в том числе появились поддельные веб-сайты некоторых

8 Контакте | Добро пожаловать Windows Internet Екр1огег

ш ' )□ http: tf vkontaktp, ru/idS6«78Z - | | 11 X | [поиск Тг.-с Sc jih" Р - 1

П Б Контакте 1 Дсбро пожаловать ® * ® • Ö - [ч" С тракта Cegenc - "

га контакте

E-mail или Логин;

ре гнет ра ция

Пароль:

Забыли пароль'

Добро пожаловать

ВКонтакте — универсальное средство поиска знакомых.

Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте. Нас уже 107 905 062,

ВКонтакте - самый посещаемьбй сайт во всем русскоязычном Интернете. С помощью этого сайта Вы можете:

« Найти людей, с которыми Вы когда-либо учились, работали или отдыхали,

■ Узнать больше о людях, которые Нас окружают, и найти новых друзей.

■ Всегда оставаться б контакте с теми, кто Ваи дорог.

Регистрация

Имя: Фамилий:

Рис. 2. Страница поддельного сайта социальной сети

Учётные данные пользователей социальных сетей имеют у злоумышленников повышенный спрос. В 2009 г. многие пользователи социальной сети «ВКонтакте» уже стали жертвами фишинг-атак, их реквизиты для доступа к аккаунтам были выложены в открытый доступ. Текстовый файл размером около четырёх Мбт содержал информацию более чем о 140 тыс. учётных записей [4, с. 8].

Для кражи номеров кредитных карт преступники копируют сайты банков, интернет-магазинов или платёжных систем. При этом используются похожие доменные имена и аналогичный дизайн, а содержание указывает на их якобы принадлежность соответствующим финансовым организациям. Далее посетителям данных сайтов сообщаются заведомо ложные банковские реквизиты и контактная информация.

российских банков [6]. Для противодействия возможному мошенничеству Банк России разместил список реальных URL-адресов российских кредитных учреждений на официальном сайте http://www.cbr.ru/credit/CO_SitesFuU.asp.

В настоящее время активно развиваются два направления защиты от фишинг-атак - это технологии анти-фишиговых фильтров и технологии одноразовых паролей.

Технологии анти-фишинговых фильтров

В большинстве современных браузеров (Internet Explorer, Opera, Firefox) уже присутствуют встроенные средства защиты от фи-шинга. Для проверки легитимности сайта они обращаются к онлайновой базе поддельных веб-адресов. Пользователь может сам передать сведения о любом подозрительном сайте для последующей проверки.

В состав сигнатур угроз некоторых антивирусов также включены известные в настоящее время сайты, которые используются для реализации фишинг-атак. В базе антивируса Касперского по состоянию на декабрь 2010 г. содержится информация о 155 602 фишинговых сайтах. Специалисты Лаборатории Касперского дополняют этот перечень адресами, предоставляемыми APWG.

Исследователи антивирусной компании PandaLabs подсчитали, что еженедельно в Интернете появляется более 57 000 поддельных URL-адресов [7].

Фишинговые сайты обычно создаются всего на 24-48 ч и так же быстро исчезают, поэтому информация о них может просто не успеть появиться в централизованной базе данных.

Поскольку анти-фишинговые фильтры не могут обеспечить абсолютной защиты, то более надёжным методом противодействия фишинг-атакам является применение систем аутентификации удалённъх пользователей, применяющих одноразовые пароли.

Обзор современнъх технологий одноразовъж паролей

Введение одноразовых паролей позволяет выполнить только одну процедуру аутентификации в течение ограниченного промежутка времени, что полностью решает проблему перехвата информации. Даже если злоумышленник украдёт пароль, то он не сможет воспользоваться им для получения доступа.

Технологии ОТР (One-Time Password) были разработаны в рамках инициативы Open Authentication, выдвинутой компанией VeriSign в 2004 г. Для генерации одноразовых паролей обычно используются аппаратные USB-токены (рис. 3).

В настоящее время существует несколько технологий аутентификации на базе одноразо-

Рис. 3. Генераторы одноразовых паролей RSA SecurID и eToken NG-OTP

вых паролей, наиболее широкое распространение из которых получили методы синхронизации по времени и синхронизации по событию [8].

Метод синхронизации по времени. Генератор одноразовых паролей SecurID, разработанный компанией RSA Security, представляет собой брелок-токен с экраном и встроенным таймером (рис. 3). В токен встроена батарейка, заряда которой хватает на несколько лет. На экране регулярно, обычно раз в минуту, меняется цифровой код, получаемый в результате шифрования текущего времени с помощью ключа пользователя. Сервер просит пользователя ввести код, который показан на экране. Если пароль пользователя соответствует тому, что ожидает удалённый сервер, то он производит авторизацию пользователя.

Метод синхронизации по событию. В качестве примера реализации этой технологии можно привести продукт компании Aladdin - eToken NG-OTP (рис. 3). Принципиальное отличие заключается в том, что пароль на экране RSA SecurID изменяется через заранее заданные промежутки времени (синхронизация по времени), а в продукте eToken NG смена одноразового пароля производится по нажатию кнопки (синхронизация по событию).

Но такой способ аутентификации также не лишён недостатков, например, токен можно передать другому пользователю. Любой, кто разберёт токен, может попытаться выяснить, как произвести расчёты, хотя это потребует очень высокой квалификации.

Разработка генератора одноразовъж паролей для мобильного телефона

Альтернативным вариантом реализации технологии одноразовых паролей является специализированное Java-приложение для мобильного телефона. По сравнению с аппаратными токенами, предлагаемый вариант обладает следующими преимуществами:

- не требуется оснащение пользователей дорогостоящими аппаратными токенами (от 40$ за шт.);

- отсутствует возможность оставить токен в USB-порте чужого компьютера;

- частое использование телефона повышает вероятность быстрого обнаружения потери (или подмены) токена;

- в случае потери токена им невозможно будет воспользоваться без знания PIN-кода.

Во время регистрации пользователю выдаётся секретный ключ (PIN) и присваивается уникальный счётчик (K), которые используются в качестве входных значений в алгоритме генерации и проверки одноразовых паролей (рис. 4).

Рис. 4. Алгоритм аутентификации

При вычислении шестизначного одноразового пароля используется криптографическая хеш-функция MD5:

Password = Trunc (MD5(PIN+K), 6),

где PIN - секретный ключ и K - счётчик генераций. После каждой удачной генерации (аутентификации) счётчик увеличивается на единицу. Алгоритм генерации одноразовых паролей на стороне клиента реализован в виде Java-приложения (рис. 5). После нажатия на кнопку «Ok» выполняется генерация очередного шестизначного пароля.

Рис. 5. Интерфейс клиентской части

В разработанной системе применяется двухфакторная аутентификация: для входа в систему удалённый пользователь должен в ответ на приглашение, сгенерированное серверной частью, ввести с клавиатуры составной пароль из своего РШ-кода (принцип «что я знаю») и цифрового кода, отображаемого в данный момент на дисплее мобильного телефона (принцип

«что я имею»). Затем этот пароль отсылается на сервер, где и выполняется проверка подлинности пользователя.

Поскольку применяется только ответ, алгоритмы серверной и клиентской части идентичны. Серверная часть может быть реализована как Windows-приложение, так и в форме Web-приложения.

Подсистема аутентификации является достаточно надёжной, поскольку сгенерированный пароль является уникальным и может использоваться только один раз. Комплекс устойчив к воздействию broteforœ-атак «полным перебором». В данном случае этот тип атаки не имеет смысла, так как после каждой попытки аутентификации счётчик генераций на сервере увеличивается, что приводит к автоматической смене подбираемого пароля. Конструктивной особенностью используемого алгоритма хеширования MD5 является невозможность «разложения» пароля на составляющие, с целью выявления секретного ключа или значения счётчика, а также комбинирующей функции.

Наиболее интересно применение технологии одноразовых паролей в таких областях, как электронная коммерция, включая интернет-банкинг, а также для организации защиты ключевых пользователей (системных администраторов, администраторов безопасности). Данный подход может использоваться для аутентификации при удалённом доступе с рабочего места, имеющего низкий уровень доверия, например при работе в интернет-кафе.

Библиографический список

1. Anti-Phishing Working Group. Global Phishing Survey [Электронный ресурс]. - URL: http://www. antiphishing.org (дата обращения: 22.12.2010).

2. APWG: Глобальное исследование явления фишинга [Электронный ресурс]. - URL: http:// www.securitylab.ru/news/380626.php (дата обращения: 22.12.2010).

3. Malware domain list [Электронный ресурс]. -URL: http://www.malwaredomainlist.com/mdl. php (дата обращения: 22.12.2010).

4. Захаров А. Проваленная явка / / Компьютерра. - 2009. - №29.

5. В 2009 году было разослано 3,7 миллиарда фишинговых писем [Электронный ресурс]. -URL: http://www.securitylab.ru/news/395050. php (дата обращения: 22.12.2010).

6. ЦБ предупреждает о фальшивых сайтах банков [Электронный ресурс].- URL: http://www. securitylab.ru/ news/38i700.php (дата обращения: 22.12.2010).

7. Еженедельно фишеры создают 57 000 поддельных сайтов [Электронный ресурс]. - URL:

http://www.securitylab.ru/news/397656.php (дата обращения: 22.12.2010).

8. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире [Текст]. - СПб.: Питер, 2003. - 368 с. - ISBN 5-318-00193-9.

9. Губенков А. А. Информационная безопасность [Текст] : учеб. пособие / А. А. Губенков, В. Б. Байбурин. - М.: Новый издательский дом, 2005. - 128с. - ISBN 5-9643-0091-Х.

взаимодействие правоохранительных органов и общественных организаций в противодействии компьютерному контрафакту

© Гурьянов Константин Валентинович

кандидат технических наук, доцент, начальник факультета подготовки научно-педагогических кадров, Саратовский юридический институт МВД России.

@ (845-2) 379-322, Н gur_57@mail.ru

© Шатило Ярослав Сергеевич

кандидат технических наук, доцент, профессор Академии военных наук, доцент кафедры информатики и применения компьютерных технологий в раскрытии преступлений, Саратовский юридический институт МВД России.

@ (845-2) 379-110, Н shatl55@mail.ru

В статье рассматривается одна из основополагающих составляющих вопроса в совершенствовании правового механизма защиты прав авторов компьютерной интеллектуальной собственности—привлечение широких слоёв населения, общественных организаций к противодействию производству и распространению компьютерного контрафакта.

Ключевые слова: компьютерный контрафакт, интеллектуальная собственность, организация противодействия.

Раскрытие и расследование нарушений авторских прав в сфере производства и оборота контрафактных экземпляров компьютерного программного обеспечения и программных продуктов - компьютерного контрафакта - проблема многоаспектная и многогранная как с политической точки зрения, так и с точки зрения совершенствования общественных отношений, повышения роли общественных организаций, общественных объединений право-

обладателей, юридических, консультационных фирм, специализирующихся на защите прав интеллектуальной собственности.

Рассматривая вопрос противодействия распространению и обороту компьютерного контрафакта, условимся, что под компьютерным контрафактом будем подразумевать экземпляры компьютерного (информационного) программного обеспечения (ПО) или программной продукции (ПП), неправомерно