Обучающиеся магистерской программы «Разработка безопасных систем и сетей» нашли слабые места в криптосистемах, предложили способы по улучшению защиты больших графов и выяснили, что во «ВКонтакте» под видом аудиозаписей можно хранить файлы любого типа и размера.
Студенты ИТ-вуза завершили исследования по кибербезопасности в рамках подготовки к летним индустриальным проектам. «Исследовательский проект — одно из условий, которое студент должен выполнить, чтобы завершить программу обучения. Для этого мы советуем брать актуальные научно-исследовательские проблемы и работать над ними. Но в будущем мы планируем взяться за проблемы, которые реально существуют в индустрии, и позволить студентам поработать над их решением. Так студенты познакомятся с реальными условиями работы в индустрии», — объясняет руководитель программы магистратуры «Разработка безопасных систем и сетей» Рашид Хуссейн.
Хранение файлов в соцсети под видом аудиозаписей
Артём Бахтин, Анатолий Тыкушин и Тимур Самигуллин работали над приложением, которое под видом аудиозаписей сохраняет в соцсетях файлы любого типа и размера. Студенты сталкивались с подобными возможностями на других ресурсах: файловые системы реализовывали на основе сервиса хостинга картинок Imgur, системы управления версиями Git и сети Bittorrent.
«Мы выяснили, что функционал хранения MP3-файлов и во «ВКонтакте» можно использовать не по назначению. Это позволяет сделать личную страницу файловым хранилищем», — объясняет Артём Бахтин.
Студенты разработали приложение, которое интегрируется в стандартный просмотрщик файлов операционной системы, и работа с такими файлами выглядит так, как если они бы хранились локально. С помощью приложения можно синхронизировать файлы между несколькими устройствами без доплаты за увеличение объёма хранимых данных, что бывает у других сервис-провайдеров.
Чтобы воспользоваться системой, необходимо установить на устройства, где требуется синхронизация файлов, специальное приложение на «Гитхабе». Сейчас оно работает только на компьютерах с операционной системой Linux. Приложение конвертирует MP3-файлы, то есть занимается их пре- и постобработкой. Загруженные данные выглядят как простые аудиозаписи с шумом и не представляют ценности для третьих лиц без алгоритма извлечения информации из этого формата. Но, по словам студентов, алгоритм восстановления не слишком сложный, и заинтересованные лица могут его восстановить, поэтому лучше спрятать такие файлы настройками приватности в соцсети.
«Мы сделали прототип и трудно рассчитывать на надежное хранение файлов, потому что это использование соцсетей не по назначению. Перед использованием необходимо проверить, не является ли это нарушением пользовательского соглашения сайта. В противном случае файлы будут удалены без предупреждения. Проект не разрабатывался для использования другими пользователями, для этого надо привести код в надлежащий вид», — добавляет Артём.
«Проект интересный — студенты показали, что существующий сервис имеет другую сторону медали. Они доказали верность своей теории о свободном хранилище, и соцсеть может рассматривать это как дополнительный вид обслуживания», — прокомментировал проект профессор Рашид Хуссейн.
Сложные водяные знаки для защиты от злоумышленников
Михаил Болдырев и Эмиль Мельников усложнили водяные знаки, защищающие большие графы, в проекте Graph Watermarking. Граф (или сеть) — структура данных, где вершины — участники сети, а рёбра — взаимодействия между участниками. В социальной сети вершинами будут люди, а рёбрами — подписки одного человека на другого.
В цифровом пространстве легко замести следы и тяжело найти виновника утечки информации, поэтому графы помечаются водяными знаками. Они выступают в роли индивидуальных идентификаторов каждого, кто получил данную информацию. Студенты придумали новый метод встраивания водяного знака, более устойчивого к атакам. Изучение наложений водяных знаков на графы началось недавно, по этой теме выпущено две научные статьи в 2015 и в 2016 годах. Но предыдущие исследователи не предусмотрели защиту водяного знака на отдельных больших кластерах графа. Метод студентов Университета Иннополис не позволяет злоумышленникам при атаках на отдельные фрагменты графов разрушить водяной знак настолько, чтобы виновник себя не рассекретил.
«С таким водяным знаком можно спокойно отдать граф другим лицам для работы и не беспокоиться, что его опубликуют в интернете. Если кто-то попытается это сделать, то будет тут же обнаружен», — добавляет Эмиль Мельников.
Исследования слабых мест криптосистем для защиты секретных файлы от мошенников
В рамках проекта Backdooring asymmetric crypto-algorithms Богдан Ванеев, Надежда Трофлянина и Айдар Сабиров исследовали, как злоумышленники взламывают криптосистемы через встраивание специальных закладок. «Это подвергает под удар все распределенные системы, чья безопасность основана на криптографии, например, банки», — комментирует Богдан Ванеев.
Студенты рассмотрели публичные источники с описанием алгоритмов встраивания закладок, оценили их на сложность внедрения и обнаружения и предложили методы улучшения алгоритмов.
«Обычно для руководителей компаний криптосистемы — чёрный ящик, в котором неизвестно что происходит. Злоумышленник изменяет структуру алгоритмов шифрования, получает данные о клиентах компании, и это почти невозможно заметить. Алгоритмы закладок спроектированы так, чтобы их нельзя было обнаружить, но мы выяснили, что это возможно через анализ исходного кода. Поэтому наше исследование пригодится компаниям для защиты секретных данных», — отмечает Богдан.
Студенты Булат Сайфуллин и Олег Илин исследовали нейрокриптографию, где вместо сложных математических функций используются нейронные сети, устойчивые к атакам квантовых компьютеров.
Студенты изучили, как злоумышленники могут получить ключи шифрования в нейрокриптографии и выяснили, что если сделать скорость обучения компонентов нейронной сети случайной и скрыть информацию о состоянии нейронной сети в полученных ключах, то у мошенников не остается шансов перехватить ключи шифрования.
«Сейчас я работаю над двумя статьями, где отражены результаты двух научных проектов наших студентов — Backdooring asymmetric crypto-algorithms и Graph Watermarking. Написание статьи на основании студенческих проектов занимает много времени, так как текст должен быть написан в научно-техническом ключе. Надеюсь, мы сможем подать эти статьи для публикации в научном журнале», — добавил Рашид Хуссейн.
Комментарии (6)
LionZXY
15.03.2017 23:42+1Как-то слабенько… Использование ВК как хранилище файлов. И что в этом нового? Зачем использовать аудиозаписи? Можно использовать и документы, к тому же, в техподдержке разрешают использовать ВК как собственное хранилище бекапов. А вот с аудио может что-то и произойти, если ВК вдруг решит обрабатывать аудио.
icoz
16.03.2017 00:06+1Забавно. Только про графы совсем непонятно. Зачем водяные знаки, кому отдавать, кому это надо? Суть происходящего?
Да и про нейрокрипто можно было чуть поразвернутее. А то выглядит как «что-то поисследовали, получили прям вооот такие результаты, до чего вся научная общественность не додумалась!» Пафоса много, громких слов много, сути мало.l4l
16.03.2017 20:38Водяные знаки — это же про сохранение копирайта.
Например гугл данные о графе переходов между видео на ютубе выкладывает e.g под лицензией GPL
А нехороший вася пупкин из %компания_нейм% делает коммерческий продукт на основе этих данных (возможно как-нибудь отфильтровав). И как гугл сможет доказать в суде, что это его данные, а не вася пупкин их где-то сам насобирал?
modestguy
Вот ведь… даже как-то и мысли в голове не было, о том, что можно хранить любые данные под видом mp3-шек :)