ТЕРЕНИН Алексей Алексеевич, кандидат технических наук
МЕЛЬНИКОВ Юрий Николаевич, доктор технических наук, профессор
ПОГУЛЯЕВ Вадим Владимирович
Использование цифровых водяных знаков для борьбы с инсайдерами
Источник: журнал "Специальная Техника" № 1 2008 год
Для успешного бизнеса все большее значение приобретают информационные технологии. Ведь с помощью своей информационной системы каждая компания организует все внутренние процессы, взаимодействует с внешними партнерами, контрагентами и клиентами, государственными органами. Обеспечение безопасности и постоянной работоспособности информационной системы является одной из приоритетных задач любой компании для выживания в острой конкурентной борьбе.
Про обеспечение информационной безопасности много уже написано, но в данной статье авторы обращают внимание на один из методов, который может использоваться для защиты от совершения злоумышленных действий, направленных против компании изнутри.
Как показывает статистика, более 80% инцидентов с информационной системой инициируются изнутри корпоративной сети - нарушения совершают собственные сотрудники. Предлагаемый метод прекрасно справляется с внутренней угрозой, впрочем, как и с внешней.
Защита с помощью стеганографии
Предлагаемый метод защиты заключается в сочетании использования электронной цифровой подписи (ЭЦП) и применения стеганографии - встраивания цифровых водяных знаков (ЦВЗ) в защищаемый документ.
Стеганография в переводе с греческого языка означает секретное письмо. Её применение скрывает сам факт наличия сообщения или канала передачи данных. Она известна с древнейших времен. Сейчас в течение последних 20 - 30 лет активно развивается новое её направление - компьютерная стеганография. Это связано с масштабным распространением вычислительных машин и компьютерных сетей. Стеганография дополняет криптографию; она позволяет повысить уровень защиты зашифрованного сообщения.
Службы безопасности сталкиваются или могут столкнуться с проблемой применения стеганографии злоумышленниками для организации скрытых каналов утечки информации из организации. Обычные фотографии могут скрытно содержать сообщения, предназначенные для прочтения внешними получателями. Так как обнаружить наличие скрытого сообщения практически невозможно, приходится идти на жесткие меры в политике безопасности компании и запрещать использование любых файлов музыкального, фото- и видеоформата для нерабочих целей.
Несмотря на развитие и использование статистических анализаторов файлов в целях обнаружения скрытых данных, стеганографические вставки остаются головной болью сотрудников службы безопасности. Возникает вопрос: как можно применить стеганографию в интересах защищающейся стороны? Для ответа на этот вопрос необходимо проанализировать основные принципы стеганографии.
Кратко суть стеганографии можно изложить следующим образом.
Есть данные, которые необходимо «спрятать» в некотором файле так, чтобы после компьютерного преобразования и выдачи результата на экран особенности человеческого восприятия не позволили бы увидеть спрятанные данные или признаки их присутствия. Файл, в который незаметно добавляются данные, получил название «контейнер». Размер контейнера должен значительно превосходить размер скрываемых данных. В качестве контейнера могут использоваться файлы практически всех популярных форматов. Это могут быть аудиоданные, изображение, видеофайл и обычный текст. В нашем случае контейнером служит электронный документ, цифровой водяной знак выступает в роли скрываемых данных.
Для того чтобы электронный документ оставался неизменяемым, могут применяться стеганографические вставки. Данные, которые незаметно добавляются в защищаемый документ, получили название ЦВЗ [1] от аналога, используемого производителями денежных банкнот и прочих ценных бумаг.
Цифровые водяные знаки (или метки) делятся на два типа: видимые и невидимые.
К видимым меткам относят логотипы и надписи. Такой ЦВЗ достаточно просто удалить или заменить другим, используя массу графических или текстовых редакторов. Видимый ЦВЗ не выдерживает изменения самого контейнера. Отметим, что видимый (печатный) цифровой знак не может применяться в качестве вещественного доказательства, поскольку его можно запросто изменить, удалить или подменить. Невидимые ЦВЗ представляют собой встраиваемые искажения, незаметные человеческому глазу. Цифровой водяной знак представляет собой двоичный код логотипа или текста с указанием организации (автора), защищающей документ, и, возможно, времени созда- I ния документа. Логотип можно защитить как торговую марку или получить на него патент. Кроме того, ЦВЗ может содержать управляющую информацию о конфиденциальности и ограничениях использования документа.
В маркировочные данные также полезно включать URL (адрес в Интернете) объекта защиты, электронный адрес и/или другие координаты компании. В настоящее время используют совместно видимый логотип (узнаваемость, репутация и т.п.) и скрытый ЦВЗ. Это позволяет повысить общий уровень защищенности.
Встроенный ЦВЗ дает гарантию того, что файл был создан в определенной системе документооборота. Проверяющей программе предоставляется образец, и по ЦВЗ определяется подлинность принадлежности документа к системе.
В изображении ЦВЗ «рассеиваются» в младших битах цветности, что практически незаметно человеческому глазу, хотя при статистическом анализе они могут быть обнаружены. Для защиты от обнаружения используется «зашумление», приводящее статистические данные к нормальному виду (среднестатистическому). В тексте может использоваться специальная расстановка пробелов или переносов. На более низком уровне ЦВЗ встраиваются в пустоты файлов и дисков, в управляющие элементы файлов, дисков и сетевых пакетов.
Цифровые метки могут встраиваться не только в статические файлы, но и в потоки данных: IP-телефония, видеоконференции, передача данных и т.п. Для маркирования передаваемых данных используется узкополосный сигнал в пределах широкого диапазона частот. Существует важнейшее требование к цифровым знакам, обеспечивающее возможность их применения для охраны авторских прав: при изменении объекта ЦВЗ не должны сильно искажаться. Хороший ЦВЗ должен быть таким, что при его уничтожении прекращает существование и сам документ.
Чтобы технология ЦВЗ обеспечивала защиту, водяные знаки должны отвечать следующим требованиям:
-
индивидуальность алгоритма нанесения ЦВЗ;
-
невидимость метки для пользователей;
-
невозможность извлечения ЦВЗ третьими лицами;
-
возможность обнаружения несанкционированного использования файла, помеченного ЦВЗ;
-
устойчивость к изменениям носителя/контейнера (изменение формата, размеров - масштабирование, сжатие, поворот, фильтрация, спецэффекты, монтаж, аналоговые и цифровые преобразования).
Совместная защита цифровой подписью и ЦВЗ
Перед системой безопасности, использующей ЦВЗ для защиты электронных документов, стоят следующие задачи:
-
обнаружение и предотвращение попыток изменения ЦВЗ злоумышленником;
-
обнаружение и предотвращение изменения (искажения данных) контейнера (электронный документ);
-
обнаружение и предотвращение одновременного изменения и контейнера и ЦВЗ.
Кроме того, как известно, цифровая подпись при применении ее в качестве единственного звена защиты не всегда предоставляет 100%-ной гарантии безопасности [2]. Авторами предлагается следующее решение, объединяющее использование ЭЦП и ЦВЗ, а именно: подписывать весь контейнер с внедрёнными ЦВЗ электронной цифровой подписью на закрытом ключе уполномоченного сотрудника. Полученную подпись передавать на хранение удостоверяющему центру (УЦ), хранящему также и открытые ключи с сертификатами сотрудников. Функции по выдаче сертификатов возлагаются также на удостоверяющие центры согласно Федеральному закону «Об электронной цифровой подписи».
Любая компания может создать подобный удостоверяющий центр в своей сети или воспользоваться услугами внешнего УЦ, предоставляемого третьей, независимой стороной.
Последний вариант особенно актуален для организации взаимного обмена юридически значимыми электронными документами между различными организациями.
В защищаемый файл могут дополнительно встраиваться цифровые метки времени подписания файла. Это позволит организовать внутрикорпоративный контроль использования системы документооборота. Каждый легальный пользователь может с помощью открытого ключа из УЦ проверить подлинность и неизменность электронного документа.
Цифровой водяной знак, скрытый в файле, служит гарантом того, что даже если злоумышленник подпишет файл от своего имени, результаты проверки его подписи и ЦВЗ не совпадут и можно будет установить нарушение. ЦВЗ выступает в качестве дополнительного уровня защиты, который иногда затруднительно даже обнаружить, а тем более обойти.
Сертификаты на открытые ключи подписи могут выдавать и хранить удостоверяющие центры, за которыми подобная функция закреплена согласно Федеральному закону «О цифровой электронной подписи». Сертификат подтверждает, что открытый ключ действительно принадлежит определённому лицу. Кроме этого, на сервере удостоверяющего центра можно организовать хранение цифровых подписей авторов всех созданных документов. Механизм электронной цифровой подписи строится на принципах двухключевой асимметричной криптографии.
Метод защиты ЭЦП заключается в следующем: пользователь системы должен обладать двумя ключами - закрытым и открытым. Зная один ключ, второй за разумное время вычислить невозможно. С помощью закрытого ключа формируется цифровая подпись для любого файла, она представляет собой набор данных фиксированной длины. Открытый ключ является общедоступным, и любой пользователь системы может, обладая открытым ключом, проверяемым файлом и цифровой подписью файла, достоверно установить авторство и факт неизменности файла. Если файл был изменён или подписан другим пользователем, то результат проверки подписи будет отрицательным. Таким образом, ЭЦП содержит (скрепляет) данные о подписываемом файле и авторе, использовавшем закрытый ключ подписи.
Одновременное использование нескольких технических мер защиты - ЦВЗ, ЭЦП и метки времени - значительно затруднит и удорожит осуществление злоумышленных действий, таких, как изменение контейнера, подмена авторства и т.п. Так как средства защиты используются независимо, то преодоление одного из них не позволяет злоумышленнику незаметно и безнаказанно изменить файл в своих целях.
Допустим, злоумышленник, используя дорогостоящую технику, в течение длительного времени сумеет подобрать цифровую подпись к подменённому электронному документу, чтобы выдать его за настоящий. Вложив множество средств, сил и времени, подобрав подпись, нарушитель всё равно будет уличен, так как документ содержал невидимые цифровые метки компании.
Взлом всех технических средств защиты часто становится экономически неоправданным. С другой стороны, вся защита может быть организована программным способом и не составит больших затрат.
Для реализации предложенной системы защиты потребуется использовать центры сертификации и решить проблему надежной и своевременной публикации открытых ключей (PKI, Public Key Infrastructure). Потребуют разрешения некоторые правовые аспекты реализации подобной системы, чтобы используемые файлы и применяемые технические меры были легитимны и принимались к рассмотрению судами, а электронные документы признавались юридически значимыми.
Хотелось бы отметить, что программы, обеспечивающие предложенный подход, уже существуют. Достаточно использовать пакет из программ, встраивающих цифровые водяные знаки и подписывающих файлы электронной подписью. В настоящее время представлено множество подобных программ, как платных, так и бесплатных, в том числе и в Интернете.
Рассмотрим возможные атаки на предложенную систему защиты с использованием ЭЦП. Открытый ключ подписи доступен всем, в том числе и злоумышленнику. Обладая открытым ключом, теоретически можно вычислить закрытый ключ, что позволит подделать подпись легитимного пользователя. Для предотвращения этой угрозы необходимо использовать криптографические ключи длиной, достаточной для заданного времени сохранения конфиденциальности закрытого ключа. В настоящее время эта длина составляет тысячи битов.
Если при генерации пары ключей (закрытый + открытый) используется «слабый» генератор случайных чисел, то злоумышленник может заказать последовательную серию ключей для себя и попытаться предсказать следующие ключи, которые будут выданы пользователям, зарегистрировавшимся после него. Это также даст возможность подделывать подпись легитимного пользователя. Для повышения уровня защиты рекомендуется применять «сильный» алгоритм генерации случайных чисел, отвечающий ряду более жёстких требований.Для генерации случайных чисел нельзя использовать таймер, так как злоумышленник может установить время отправления пакета с большой точностью.
Для генерации случайных чисел необходимо использовать параметры, недоступные злоумышленнику, например номер процесса или другие системные параметры (такие, как идентификационный номер дескриптора). Кроме этого, необходимо применять меры защиты от изучения протокола работы УЦ. Существует возможность подменить сам сервер удостоверяющего центра, организовать атаку отказа обслуживания DOS или подмену DNS-сервера. В настоящее время корректно настроенные сетевые программы должны справляться с отражением подобных атак. Кроме того, реализация подобной угрозы настолько очевидна, что подменённый сервер просуществует всего лишь несколько часов. Против грубой атаки подмены сервера поможет проверка браузером, подтверждающая, что произошло подключение именно к нужному серверу.
Еще одна криптографическая уязвимость - подбор изменений в файле таким образом, чтобы цифровая подпись осталась соответствующей измененному файлу. Возможность этого экспоненциально уменьшается при увеличении длины используемого ключа и длины значения хэш-функции (однонаправленной криптографической функции, которая используется в алгоритмах постановки ЭЦП и в агоритмах проверки ЭЦП). Согласитесь, что перебирать миллиарды вариантов файла большого размера даже компьютеру будет чрезвычайно трудно, поскольку необходимо производить криптографические вычисления, требующие массы времени и процессорных ресурсов. И если это всё-таки удастся сделать, то в файле всё равно останутся неприметные цифровые знаки с информацией об истинном авторе подписи.
Защита от внутренних нарушителей
Пусть о наличии электронных цифровых подписей всем известно. Если не оповещать персонал о применении метода встраивания цифровых водяных знаков во все электронные документы информационной системы, то при успешной попытке подделать подпись или внести несанкционированные изменения в документ проверка ЦВЗ выявит злоумышленное воздействие. По этим действиям (попытка обмана системы ЭЦП) можно судить о преднамеренности деяния, совершённого нарушителем. Сочетание защиты документа при помощи ЭЦП и ЦВЗ позволит установить виновного. Даже если пользователь имел право на своем уровне воспользоваться своим ключом для генерации ЭЦП для неизменного файла, проверка ЦВЗ сообщит о злоумышленном действии, ведь их нарушитель не сможет изменить. Надёжность выявления злоумышленника увеличивается, если ЦВЗ будут содержать идентификаторы пользователей, изменявших или создававших файл. Конечно, если в систему документооборота будет введен электронный документ извне, то это будет сразу выявлено по отсутствию каких-либо цифровых меток в файле.
Как показано выше, предложенная система обладает достаточной стойкостью к возможным атакам, так как использование уязвимостей в этом случае является дорогостоящим и ресурсоёмким. Это позволяет рекомендовать предложенный метод в качестве технической меры защиты электронных документов как от внутренних, так и от внешних нарушителей.
Дальнейшее развитие метода защиты
Для организации более надёжной защиты можно также встраивать ЭЦП в файл-контейнер. «Спрятанное» ЭЦП позволит кроме неизменности документа дополнительно проконтролировать и его авторство.
Дополнительную гарантию безопасности даёт подпись оригинального файла с использованием цифровой метки до встраивания ЦВЗ. Хранить оригинал вместе с подписью следует в надежном месте, недоступном из внешней сети, а в особых случаях - и из внутренней.
Если компания внедрила или готовится внедрить обработку клиентских анкет путём сканирования заполненных форм, тогда данные преобразуются в текстовый вид и в качестве электронного документа попадают в информационную систему предприятия.
Предлагается делать на анкетах незаметные знаки, которые должны распознаваться соответствующей программой и передаваться в систему документооборота. Если распознаваемая форма не содержит меток компании, это является поводом для привлечения внимания сотрудников службы безопасности к поступившему документу.
Литература
1. Генне О.В. Основные положения стеганографии. /Защита информации. Конфидент, N° 3, 2000.
2. Мельников Ю.Н. Электронная цифровая подпись: всегда ли она подлинная. / Банковские технологии, 1995, Ne 5, с. 56 - 62.
Статья опубликована на сайте: 31.08.2011