Создать PDF Рекомендовать Распечатать

Геолокация для аутентификации и защиты данных

Экономическая безопасность | (84) УЭкС, 11(2)/2015 Прочитано: 4626 раз
(5 Голосов:)
  • Автор (авторы):
    Фаткиева Роза Равильевна, Рыжков Сергей Романович
  • Дата публикации:
    12.11.15
  • ВУЗ ИЛИ ОРГАНИЗАЦИЯ:
    Федеральное государственное бюджетное учреждение науки Санкт-Петербургский научный центр Российской академии наук (СПбНЦ РАН)

Геолокация для аутентификации и защиты данных

Geolocation for authentication and data protection

 

  Фаткиева Роза Равильевна

Fatkieva Rosa Ravilievna

  Старший научный сотрудник Федеральное государственное бюджетное учреждение науки

Санкт-Петербургский на учный центр Российской академии наук (СПбНЦ РАН)

  Rikki2@yandex.ru

Рыжков Сергей Романович

Ryzhkov Sergei Romanovitch

аспирант второго года обучения  Федеральное государственное бюджетное учреждение науки Санкт–Петербургский институт информатики и автоматизации Российской академии наук
Ryzhkov@iias.spb.su


Аннотация

Обеспечение безопасности информации, обрабатываемой с применением облачной инфраструктуры требует создания механизмов контроля за миграцией данных, представленный обзор рассматривает различные подходы к классификации атак на облачную инфраструктуру с позиции применения технологий геолокации . Представлен обзор таксономий атак на облачную инфраструктуру. Представлен обзор технологий отслеживания пользователя. Рассмотрена возможность применения технологии геометок, как инструмента контроля территориального перемещения данных на протяжении всего их жизненного цикла.

Аннотация (перевод на англ. язык)

The complex of data and workload within the cloud are in lack of the trusted secure migration control, this review examines the various approaches to the classification of attacks on cloud infrastructure from the perspective of geolocation technologies application. A review of cloud infrastructure attacks taxonomies. A review of user tracking technologies. The possibility of applying geo–tagging technology, as a tool of territorial control the movement of data throughout its lifecycle.


Ключевые слова: облака, облачные вычисления, периметр безопасности, геотегирование.


Ключевые слова ( переводнаангл . язык ): cloud, cloud computing, security perimeter, geo tagging.


Введение

Одним из основных факторов экономической безопасности нашей Родины является доступ к отечественным и зарубежным информационным ресурсам, геополитическое положение страны. Информационная система, построенная с использованием технологий облачных вычислений (далее ИСОТ), состоит из множества различных аппаратно–программных средств, поддерживающих функционирование виртуальной среды. Использование разнотипных средств, зачастую от разных производителей, может повлечь за собой не только сбои в работе виртуальной среды, но и множество различных атак на неё [1]. При этом процесс эволюции как программно–аппаратных средств, так и непосредственно информационной среды можно сравнить с биологической эволюцией: коэволюция атакующих – защищающихся приводит к тому, что для обеспечения безопасности обработки информации облачной инфраструктуры недостаточно установки какого–либо одного средства защиты информации. Из–за повышения вероятности преодоления систем защиты при получении несанкционированного доступа к управлению виртуальной средой возрастает значимость ряда процессов обеспечения информационной безопасности (ИБ). Важным условием для обеспечения ИБ ИСОТ является определение потенциального места проведения атаки с целью её предотвращения. Согласно представленному далее обзору, технология геометок описанная нами ранее [2], перспективна для реализации механизма контроля географического перемещения данных – геоконтроля. Геометки позволяют контролировать «частную собственность» в виртуальной среде.

Основной раздел

1.  Обзор таксономий атак на облачную инфраструктуру

Концепция геоконтроля представлена в работе [3]. Таксономия безопасности облачных вычислений рассматривается в свете количественного анализа актуальных проблем безопасности для облачных вычислений, которые зависят от архитектуры (Таблица 1). Базовая архитектурная классификация содержит сети, хосты, приложения, данные (их безопасность и хранение), управление безопасностью, идентификацией и доступом – все эти элементы напрямую связаны с инфраструктурой и архитектурой реализации облачных решений. Данная таксономия позволяет осуществлять детализированный контроль компонент виртуальной среды в совокупности с возможностями контроля географического перемещения данных:

Рисунок 1. Таксономия по архитектурному признаку

1

Таблица 1.1 Таксономия по архитектурному признаку "Виртуализация"

11

Таблица 1.2 Таксономия по архитектурному признаку "Интерфейсы"

12

Таблица 1.3 Таксономия по архитектурному признаку "Сетевая безопасность"

13

В [4] отмечается, что виртуальность облачных технологий привела к исчезновению традиционного физического периметра на основе контрольных точек, обеспечивавшего конфиденциальность информации.

Наиболее масштабная таксономия ИБ ИСОТ представлена в исследовании [5], однако концепция географического контроля не нашла себе места в классификации по месту проведения атаки. Согласно указанной классификации необходимо разделять защиту сетевых аппаратно-программных компонентов и протоколов.

Часть классификации, связанная с местом реализации атаки, представлена в таблице 2.

Таблица 2. Атаки на информационную систему, построенную с использованием технологий облачных вычислений (ИСОТ) по месту реализации атаки

Вектор атаки на ИСОТ по месту реализации атаки

Атаки на ИСОТ (сторона пользователя)

Атаки на ИСОТ (сторона провайдера)

по информационному признаку

по неавторизованному доступу

 

Доступность

Маскирующийся

Аутентификация

Конфиденциальность

Превышение доступа

Авторизация

Целостность

Подбор пароля

Доступ к основным функциям

Неопровержимость, невозможность отказа от авторства

 

Повышение привилегий

Для ИСОТ основная угроза – это распределённые атаки типа Отказ в обслуживании (Denialofservice, DOS), направленные на сетевую и вычислительную инфраструктуры. Атаки с вектором на доступность направлены на конкретный сегмент сети или вычислительный ресурс, они отличаются большим числом нерегламентированных вычислений и сетевых запросов/ответов, что характерно для распределённых DOS атак.

В работе [6] предложен способ обнаружения подобных атак на ИСОТ. В основе метода модель графов атаки для обнаружения атак и предсказуемости поведения, что повышает точность обнаружения, и не учитывает фазы эксплуатации жертвы. Графы сценария атаки обнаруживают все взаимосвязи между путями атак.

Уязвимость в графе атак означает, что предупреждение, вероятно, указывает на настоящую атаку, количество ложноположительных срабатываний не возрастает. В случае обнаружения уязвимости злоумышленником и при отсутствии обнаружения со стороны сканера уязвимостей, оповещения, будучи настоящими, будут рассматриваться как ложные. Количество ложноотрицательных срабатываний возрастет. В качестве механизма фильтрации срабатываний может выступать функция отбора по специальному логическому выражению фильтра, которое может вернуть Истину - в случае удовлетворения логическому выражению фильтра, либо Ложь в случае неудовлетворения логическому выражению фильтра:

Срабатывание —> [Фильтр] = Истина | Ложь

В [7] предлагается для повышения эффективности обнаружения DDoS атак в ИСОТ, а также уменьшения числа ложных срабатываний оперировать математической теорией очевидностей (свидетельств) Демпстера–Шафера (Dempster–ShaferTheory (DST)). Благодаря правилу комбинации доказательств Демпстерачисло предупреждений будет уменьшаться, а конфликты, появляющиеся из–за наложения информации, предоставленной несколькими датчиками, полностью исключаются.

В [8] представлено комплексное решение для повышения уровня доверия в ИСОТ, при этом администраторы провайдера описаны как инсайдеры. В основе этого решения – мандатный контроль доступа и надежные вычислительные технологии (измеряемая загрузка, аттестации и запечатывания) на базе интегрированных аппаратно-программных средств, реализующих принципы криптографии, межсетевого экранирования, системы разграничения доступа и системы обнаружения вторжений. Такой подход создаёт гарантированную среду и явно связывает зашифрованные виртуальные машины с ранее аттестованными узлами. Возможно, данное решение при использовании технологии геометок позволит контролировать территориальное перемещение данных на протяжении всего их жизненного цикла.

Предлагается создание автоматизированной информационной системы для наблюдения и контроля размещения распределенной обработки данных. В основу системы предлагается онтологическое описание географического ландшафта вычислительной структуры, позволяющей классифицировать угрозы выхода за границу ландшафта, обеспечить требуемый контроль и предоставить удобный интерфейс на основе ГИС.

Например, возможно использовать следующий принцип поиска:

Определяются приблизительные координаты пользователя, относительно этих координат осуществляется поиск в определенном радиусе.

В онлайн базе данных, где хранятся координаты, проводится поиск и выводятся те координаты, которые удовлетворяют условию:

( x - X 1 )2- ( y - Y 1 )2 ? R 2

Где R - радиус поиска, X 1 Y 1 координаты пользователя, xy координаты в зоне поиска. Подобная методика не нова и уже используется для географического контроля пользователей.

2.  Технологии отслеживания пользователя

Благодаря недавно обнародованным данным итальянской HackerTeam (компания, специализирующаяся на разработке систем для проникновения и слежки за пользователями и тесно сотрудничающая с рядом правительственных организаций и правоохранительных органов) выяснилось, что внедряемое ими программное обеспечение HackingTeam’sRemoteControlSystem (RCS) содержит модуль, отвечающий за обнаружение местоположения инфицированного узла. [9]. RCS использует WLAN (wirelessLAN) функции API из стандартной динамической библиотеки WLANAPI.DLL (штатная библиотека ОС начиная с Windows XP SP2) для обнаружения ближайших от жертвы беспроводных сетей (Рис. 2). Такой метод позволяет установить местоположение узла несмотря на возможное использование прокси–серверов или VPN, т.к. определяет местоположение пользователя мобильного устройства по ближайшим точкам доступа Wi–Fi без использования GPS или других систем спутниковой навигации. Задействуются сервисы, аналогичные «Яндекс.Локатор» [10]. В большинстве настольных устройств нет GPS–приемника, поэтому определение местоположения по WiFi и IP – единственный доступный способ. «Яндекс.Локатор» — сервис геолокации, позволяющий определять координаты местоположения пользователя с указанием радиуса погрешности по GSM– и WiFi–сетям, в зоне действия которых находится пользователь.

2

Рисунок 2. Фрагмент кода RCS, отвечающий за геолокацию

Северная Корея, известная своим высоким уровнем безопасности и изолированностью критически важных объектов благодаря провалившейся атаке с использованием червя Stuxnet [11], также ведёт работы по гарантированной цифровой идентификации пользователей.

Аналитик немецкой ИБ – компании ERNW FlorianGrunow, провёл независимое тестирование программного обеспечения Linux–дистрибутива RedStarOS3.0., разрабатываемого в Корейском компьютерном центре (Пхеньян, КНДР), внимание специалиста привлёк нестандартный модуль ядра rtscan, также был обнаружен бинарный файл с именем opprc наряду с другими, имевшими похожий код, один из них (scnprc) замаскирован под антивирус. Исследователь обратил внимание на необычную функцию бинарного файла GPS WatermarkingInformation, наряду с функционалом по созданию «водяных знаков» он выполнял и функции шифрования, на рисунке видны функции добавления водяных знаков в документы, фотографии и даже в аудио файлы (Рис. 3).

3

Рисунок3. Список функций бинарного файла

Исследователь провёл опыт и подключил съёмный носитель информации с документом в формате DOCX к тестовому стенду с установленной RedStarOS; несмотря на то, что файл не открывался предустановленным офисным ПО SogwangOffice, а также не копировался на сам стенд, его контрольная сумма MD5 изменилась. В контейнер DOCX была добавлена уникальная скрытая идентификационная метка, которая позволяет явно идентифицировать пользователя, связав его с файлом и оборудованием [12].

Заключение

Облачные технологии не только изменили понятие платформы, виртуализировав взаимоотношения операционной системы с оборудованием, но и остро поставили задачу по созданию периметра безопасности в облачной среде.

При наличии периметра безопасности на основе геометок, не только поставщик, но и клиент–пользователь могут предотвратить атаки, ограничив разрешённые географические места обработки данных.



Библиографический список

[1]Amoroso E. G. Fundamentals of Computer Security Technology. Prentice Hall PTR, Upper Saddle River, NJ. 1994. 

[2]В. И. Воробьев, С. Р. Рыжков, Р. Р. Фаткиева. «Защита периметра облачных вычислений», Программные системы: теория и приложения, 2015, 6:1(24), c. 61–71.URL http://psta.psiras.ru/read/psta2015_1_61 –71.pdf

[3]«A quantitative analysis of current security concerns and solutions for cloud computing» Gonzalez et al. Journal of Cloud Computing: Advances, Systems and Applications 2012, 1:11 URL http://www.journalofcloudcomputing.com/content/1/1/11

[4]«Analysis of Cloud related Security and risks mitigation» IRACST – International Journal of Advanced Computing, Engineering and Application (IJACEA), Vol. 1, No.2, p. 40–49, 2012

[5]Sanchika Gupta, Padam Kumar «TAXONOMY OF CLOUD SECURITY» International Journal of Computer Science, Engineering and Applications (IJCSEA) Vol.3, No.5, p. 47–67, October 2013

[6]URL http://ijircce.com/upload/2015/february/93_Attack.pdf

[7]URL http://univagora.ro/jour/index.php/ijccc/article/download/170/pdf_14

[8] Citation:Simma, A. (2015). Trusting Your Cloud Provider: Protecting Private Virtual Machines.Magdeburger Journa lzur Sicherheits for schung, 1, 530–539.Retrieved June 17, 2015, URL http://www.sicherheitsforschungmagdeburg.de/publikationen.html

[9]URL http://labs.bromium.com/2015/07/10/government –grade–malware–a–look–at–hackingteams–rat/

[10]URL https://blog.yandex.ru/post/34348/

[11]URL http://www.reuters.com/article/2015/05/29/us –usa–northkorea–stuxnet–idUSKBN0OE2DM20150529

[12]URL http://www.insinuator.net/2015/07/redstar –os–watermarking/

  vakperechen

ОБНОВЛЕННЫЙ СПИСОК ВАК 2016 г.
ОТ 19.04.2016  >> ПРОСМОТРЕТЬ
tass
 
ПО ВОПРОСАМ ПУБЛИКАЦИИ СТАТЕЙ И СОТРУДНИЧЕСТВА ОБРАЩАЙТЕСЬ:
skype SKYPE: vak-uecs
e-mail
MAIL: info@uecs.ru
phone
+7 (928) 340 99 00
 

АРХИВ НОМЕРОВ

(01) УЭкС, 1/2005
(02) УЭкС, 2/2005
(03) УЭкС, 3/2005
(04) УЭкС, 4/2005
(05) УЭкС, 1/2006
(06) УЭкС, 2/2006
(07) УЭкС, 3/2006
(08) УЭкС, 4/2006
(09) УЭкС, 1/2007
(10) УЭкС, 2/2007
(11) УЭкС, 3/2007
(12) УЭкС, 4/2007
(13) УЭкС, 1/2008
(14) УЭкС, 2/2008
(15) УЭкС, 3/2008
(16) УЭкС, 4/2008
(17) УЭкС, 1/2009
(18) УЭкС, 2/2009
(19) УЭкС, 3/2009
(20) УЭкС, 4/2009
(21) УЭкС, 1/2010
(22) УЭкС, 2/2010
(23) УЭкС, 3/2010
(24) УЭкС, 4/2010
(25) УЭкС, 1/2011
(26) УЭкС, 2/2011
(27) УЭкС, 3/2011
(28) УЭкС, 4/2011
(29) УЭкС, 5/2011
(30) УЭкС, 6/2011
(31) УЭкС, 7/2011
(32) УЭкС, 8/2011
(33) УЭкС, 9/2011
(34) УЭкС, 10/2011
(35) УЭкС, 11/2011
(36) УЭкС, 12/2011
(37) УЭкС, 1/2012
(38) УЭкС, 2/2012
(39) УЭкС, 3/2012
(40) УЭкС, 4/2012
(41) УЭкС, 5/2012
(42) УЭкС, 6/2012
(43) УЭкС, 7/2012
(44) УЭкС, 8/2012
(45) УЭкС, 9/2012
(46) УЭкС, 10/2012
(47) УЭкС, 11/2012
(48) УЭкС, 12/2012
(49) УЭкС, 1/2013
(50) УЭкС, 2/2013
(51) УЭкС, 3/2013
(52) УЭкС, 4/2013
(53) УЭкС, 5/2013
(54) УЭкС, 6/2013
(55) УЭкС, 7/2013
(56) УЭкС, 8/2013
(57) УЭкС, 9/2013
(58) УЭкС, 10/2013
(59) УЭкС, 11/2013
(60) УЭкС, 12/2013
(61) УЭкС, 1/2014
(62) УЭкС, 2/2014
(63) УЭкС, 3/2014
(64) УЭкС, 4/2014
(65) УЭкС, 5/2014
(66) УЭкС, 6/2014
(67) УЭкС, 7/2014
(68) УЭкС, 8/2014
(69) УЭкС, 9/2014
(70) УЭкС, 10/2014
(71) УЭкС, 11/2014
(72) УЭкС, 12/2014
(73) УЭкС, 1/2015
(74) УЭкС, 2/2015
(75) УЭкС, 3/2015
(76) УЭкС, 4/2015
(77) УЭкС, 5/2015
(78) УЭкС, 6/2015
(79) УЭкС, 7/2015
(80) УЭкС, 8/2015
(81) УЭкС, 9/2015
(82) УЭкС, 10/2015
(83) УЭкС, 11/2015
(84) УЭкС, 11(2)/2015
(85) УЭкС,3/2016
(86) УЭкС, 4/2016
(87) УЭкС, 5/2016
(88) УЭкС, 6/2016
(89) УЭкС, 7/2016
(90) УЭкС, 8/2016
(91) УЭкС, 9/2016
(92) УЭкС, 10/2016
(93) УЭкС, 11/2016
(94) УЭкС, 12/2016
(95) УЭкС, 1/2017

№ регистрации СМИ: ЭЛ №ФС77-35217 от 06.02.2009 г.   ISSN: 1999-4516