Ежегодно количество преступлений в сфере высоких технологий увеличивается. В 2009 году было зарегистрировано 5,5 тысячи киберпреступлений, а за 9 месяцев 2010 – около 7,5 тысячи. Об этом заявил в своем докладе начальник Бюро специальных технических мероприятий (одно из подразделений управления «К») МВД РФ Борис МИРОШНИКОВ. По словам МИРОШНИКОВА, среди противоправных действий в сети Интернет лидирует взлом компьютерных систем с целью доступа к информации. Аспирант кафедры информационной безопасности СибАДИ Александр ЕРЕМЕНКО знает, как защитить персональные сведения: он работает над созданием технологии сокрытия информации в медиафайлах с шифрованием на основе динамических характеристик рукописных паролей. О том, что это за технология, как она работает и можно ли ее обмануть, ученый рассказал корреспонденту «КВ» Максиму ДУБОВСКОМУ.
— Александр, что вы изобрели и как ваше изобретение работает?
— У нас возникла идея повысить защищенность информационных ресурсов и информации вообще. В последнее время стали очень популярны так называемые облачные сервисы, используя их, человек может работать с информацией через окно браузера: создавать, сохранять и редактировать документы он-лайн. В качестве примера «облачного сервиса» можно привести почту gmail. Часто люди забывают, что информация после попадания в «облако» становится неконтролируемой: документы хранятся там годами, даже если их удалить. Известны случаи, когда в результате ошибок программного обеспечения компании Google, создателя gmail, почта и документы пользователей становились доступны посторонним лицам. Если эти документы содержат конфиденциальную информацию или сведения, которые являются коммерческой тайной, кто-то может ими воспользоваться. Мы предлагаем технологию, которая объединит в себе методы криптографии (науки, изучающей методы обеспечения конфиденциальности и аутентичности информации), биометрии (распознавание людей по поведенческим или физическим чертам) и стеганографии (наука о скрытой передаче информации путем сохранения в тайне самого факта передачи. — Прим. «КВ»). Способы комбинирования были известны и ранее, например, использовались криптография и стеганография. Мы предлагаем добавить и биометрические характеристики.
— Какие?
— Мы хотим использовать динамические характеристики письма: при воспроизведении пароля оценивается скорость написания, давление на графический планшет, угол наклона. Эти характеристики используются при создании ключей, которыми будет шифроваться информация. Мы предлагаем создавать и генерировать эти ключи только в момент проведения криптографических операций – допустим, пользователь расписался на планшете, создались ключи, после этого информация зашифровывается и помещается в стегаконтейнер, например в картинку или аудиофайл, и передается другому пользователю. Даже если злоумышленник получит доступ к этим документам, он не будет знать, что скрытая информация вообще существует, даже если он сможет ее извлечь, она будет зашифрована личным ключом пользователя, который связан с его биометрическими характеристиками.
— То есть взломать не получится?
— Защищенность возрастает в несколько раз. Чтобы получить доступ к информации, скрытой таким образом, придется выкрасть биометрические характеристики пользователя.
— А скорость письма и угол наклона у всех разные?
— Да, конечно. Нами создана система идентификации личности по динамике написания паролей. Сейчас мы выделили новое направление – создание ключей на основе этой информации. Еще одно применение, которое я вижу для нашего изобретения – создание электронной цифровой подписи: можно создать такое приложение, в котором будет подписываться электронный документ, причем привычным способом, и защитить его от несанкционированных исправлений.
— Эти работы ведутся только СибАДИ?
— Конкуренты есть как в России, так и за рубежом. Но они занимаются идентификацией личности, создавать же криптографические ключи по динамике подписи пока никто не пытался. По крайней мере патентный поиск таких организаций не выявил.
— Патентный поиск проведен, а свидетельство о регистрации уже выдано?
— Еще нет, мы смотрели, есть ли аналогии в этой области. По другим направлениям, например отпечаткам пальцев, такие патенты есть, в нашем еще никто ничего не открыл. Вот мы и решили работать в этой области, тем более что есть уже наработки по идентификации, определены параметры, которые наиболее информативно описывают динамику подписи.
— Александр, не так давно разгорелся скандал, спровоцированный Wikileaks. Документы, конечно, были добыты без помощи взлома. Но как вы считаете, нужно ли сегодня защищать информацию?
— Безусловно нужно, если у вас нет желания, чтобы документы стали достоянием общественности. АССАНЖ, скорее всего использовал методы социальной инженерии: подкуп, личные связи и другие способы получения информации. Необходимо постоянно повышать уровень защиты, потому что регулярно появляются новые способы взлома, повышаются производительные мощности компьютеров.
— Ваш метод может дать 100%-ю гарантию защиты информации?
— 100% гарантии никто не даст.
— Сколько в процентном отношении составляет надежность вашего метода — 99, 98 %?
— Мы не производили расчетов в процентном отношении. Могу сказать лишь, что по сравнению с обычными методами надежность нашего выше на порядок. Допустим, мы получили криптографические ключи, нам их нужно где-то сохранить. На практике перед администратором или пользователем встает дилемма: хранить ключи в открытом доступе и зашифровывать их паролем или хранить на защищенных носителях. Отсюда вытекает еще одна: легкий пароль несложно взломать, если пароль трудный, его нелегко запомнить. Мы же предлагаем не хранить ключи, а генерировать их в тот момент, когда это нужно пользователю.
— На какой стадии сейчас находятся работы по созданию этой системы?
— Сейчас мы ведем обзор методов, с помощью которых можно получать постоянные ключи из биометрических характеристик человека.
— А если человек долгое время не заходил на какой-нибудь почтовый сервер, у него не возникнет проблем с идентификацией?
— Динамика подписи со временем может изменяться, более того, она зависит от психофизиологического состояния человека, поэтому нужно еще провести некоторые исследования. Думаю, в дальнейшем мы эти трудности разрешим.
— Как вы считаете, люди будут заинтересованы в том, чтобы купить вашу разработку?
— Безусловно, эта технология представляется очень перспективной.
— За сколько продавать будете, еще не думали?
— Это вопрос будущего, все будет зависеть от конечных испытаний, от реакции общественности. Мне кажется, что спрос будет большим.
— Разве общественность может плохо встретить такую систему?
— Все зависит от реализации: будет ли работа с этой системой удобной для людей. Также не менее важный момент — получит ли графическое оборудование широкое распространение: сейчас для введения графической информации в память компьютера используются планшеты, в ближайшее время их заменят сенсорные экраны. Если стоимость оборудования снизится, наша технология будет востребованной. Ведь для использования нашей системы безопасности компаниям придется покупать дополнительное оборудование, а графический планшет, который измеряет угол наклона пера, стоит около 15 тысяч рублей. Если же широкое распространение получатсенсорные мониторы и их цена будет приемлемой, думаю, наша программа будет пользоваться спросом.
— В одной телепередаче ведущие пытались обмануть сканер отпечатков пальцев. Для них это особого труда не составило. С вашей системой такого не произойдет?
— У нас на кафедре такие работы тоже велись. Студент с помощью муляжа пальца смог обмануть сканер. Говорят, что сейчас появились такие сканеры, которые измеряют температуру, влажность и пульсацию. Наверное, можно обойти и такой сканер. Воспроизвести же динамику подписи практически невозможно.
— А что если хакер неоднократно наблюдал за тем, как человек пишет?
— Ну и что, динамику он не сможет воспроизвести. Скорость письма, давление, угол наклона пера воспроизвести в совокупности практически невозможно.
— Сколько времени вам понадобится, чтобы закончить работу над своим проектом?
— Вообще программа У.М.Н.И.К. подразумевает финансирование в течение двух лет. Я думаю, за год мы сможем создать прототип системы. Второй год можно посвятить испытаниям, доработке, если будут выявлены какие-нибудь недостатки.
Это очень интересная тема. Я занимаюсь исследованиями в этой области более четырех лет, но мне до сих пор не скучно. В дальнейшем мы планируем совершенствовать нашу систему, находить какие-то новые варианты. Ведь совершенству нет предела.
— Денег, которые выделяет Фонд, хватит для того, чтобы завершить работу над проектом?
— Если бы пришлось покупать оборудование, этих денег могло бы не хватить, но в рамках других проектов уже куплена необходимая техника. С этим проблем не должно возникнуть. В дальнейшем мы планируем совершенствовать нашу систему, находить какие-то новые варианты. Ведь совершенству нет предела.
— Ходят слухи, что спецслужбы отслеживают переписку граждан. В вашей системе безопасности для них лазейки не предусмотрены?
— Я считаю, что разработчики не должны так делать. Если оставлять в таких системах лазейки для правоохранительных органов, их рано или поздно найдут злоумышленники. Необходимо быть честными с покупателями нашей системы.
Биография
Александр Валериевич родился 10 августа 1984 года в Омске. В 2001 окончил школу с серебряной медалью и поступил в Сибирскую государственную автомобильно-дорожную академию на факультет «Информационные системы в управлении». В 2006 году окончил вуз и поступил в аспирантуру. В настоящее время готовится к защите кандидатской диссертации на тему «Повышение надежности идентификации пользователей ПЭВМ по динамике написания паролей».