Криптовирология - Cryptovirology - Wikipedia

Криптовирология это область, которая изучает, как использовать криптография разрабатывать мощные вредоносное ПО. Поле родилось с наблюдением, что криптография с открытым ключом может использоваться для нарушения симметрии между тем, что антивирус аналитик видит вредоносное ПО и то, что видит злоумышленник. Антивирусный аналитик видит открытый ключ, содержащийся в вредоносной программе, тогда как злоумышленник видит открытый ключ, содержащийся в вредоносной программе, а также соответствующий закрытый ключ (вне вредоносной программы), поскольку злоумышленник создал пару ключей для атаки. Открытый ключ позволяет вредоносному ПО выполнять люк односторонний операции на компьютере жертвы, отменить которые может только злоумышленник.

Обзор

Область охватывает скрытые атаки вредоносного ПО, в которых злоумышленник надежно крадет личную информацию, такую ​​как симметричные ключи, закрытые ключи, ГПСЧ состояние и данные жертвы. Примеры таких скрытых атак асимметричны. бэкдоры. An асимметричный бэкдор это бэкдор (например, в криптосистема ), который может использовать только злоумышленник, даже после того, как он будет обнаружен. Это контрастирует с традиционным бэкдором, который является симметричным, т.е., любой, кто его найдет, может им воспользоваться. Клептография, подраздел криптовирологии, изучает асимметричные бэкдоры в алгоритмах генерации ключей, алгоритмах цифровой подписи, обмене ключами, генераторах псевдослучайных чисел, алгоритмах шифрования и других криптографических алгоритмах. NIST Двойной ЭК DRBG Генератор случайных битов имеет асимметричный бэкдор. Алгоритм EC-DRBG использует клептограмму с дискретным логарифмом из клептографии, которая по определению делает EC-DRBG криптотрояном. Как и программа-вымогатель, криптотроян EC-DRBG содержит и использует открытый ключ злоумышленника для атаки на хост-систему. Криптограф Ари Джулс указал, что NSA эффективно организовало клептографическую атаку на пользователей алгоритма генерации псевдослучайных чисел Dual EC DRBG и что, хотя специалисты по безопасности и разработчики тестируют и внедряют клептографические атаки с 1996 года, «вам будет трудно найти такую. используется до сих пор ».[1] Из-за общественного протеста по поводу этой криптовирологической атаки NIST отменил алгоритм EC-DRBG из стандарта NIST SP 800-90.[2]

Атаки с скрытой утечкой информации, осуществляемые криптовирусами, криптотроянами и криптовалютными червями, которые по определению содержат и используют открытый ключ злоумышленника, являются одной из основных тем в криптовирологии. При «похищении пароля, в котором невозможно отказать», криптовирус устанавливает криптотрояна, который асимметрично шифрует данные хоста и тайно передает их. Это делает его доступным для всех, никем не заметным (кроме злоумышленника),[нужна цитата ] и расшифровывается только злоумышленником. Злоумышленник, уличенный в установке криптотрояна, утверждает, что является жертвой вируса.[нужна цитата ] Наблюдавший за приемом скрытой асимметричной трансляции злоумышленник является одним из тысяч, если не миллионов получателей, и не предоставляет никакой идентифицирующей информации. Криптовирологическая атака обеспечивает «сквозное отрицание». Это скрытая асимметричная трансляция данных жертвы. Криптовирология также включает использование поиск частной информации (PIR), чтобы криптовирусы могли искать и красть данные хоста, не раскрывая искомые данные, даже когда криптотроян находится под постоянным наблюдением.[3] По определению, такой криптовирус несет в своей собственной кодовой последовательности запрос злоумышленника и необходимую логику PIR для применения запроса к хост-системам.

История

Первая криптовирологическая атака, изобретенная Адамом Л. Янгом и Моти Юнг, называется «криптовирусным вымогательством» и был представлен на конференции IEEE Security & Privacy в 1996 году.[4] В этой атаке криптовирус, крипточервь или криптотроян содержит открытый ключ злоумышленника и гибридное шифрование файлы жертвы. Вредоносная программа предлагает пользователю отправить асимметричный зашифрованный текст злоумышленнику, который расшифрует его и вернет содержащийся в нем симметричный ключ дешифрования за определенную плату. Симметричный ключ нужен жертве для расшифровки зашифрованных файлов, если нет возможности восстановить исходные файлы (например, из резервных копий). В документе IEEE 1996 г. предсказывалось, что злоумышленники-вымогатели однажды потребуют электронные деньги, задолго до Биткойн даже существовал. Много лет спустя СМИ переименовали криптовирусное вымогательство как программа-вымогатель. В 2016 году криптовирологические атаки на поставщиков медицинских услуг достигли уровня эпидемии, что побудило США Департамент здравоохранения и социальных служб выпустить информационный бюллетень о программах-вымогателях иHIPAA.[5]В информационном бюллетене говорится, что когда защищенная электронная медицинская информация зашифрована с помощью программы-вымогателя, происходит нарушение, и поэтому атака представляет собой раскрытие это не разрешено HIPAA по причине того, что злоумышленник взял под контроль информацию. Конфиденциальные данные могли никогда не покинуть организацию-жертву, но взлом мог позволить отправить данные незамеченными. Калифорния приняла закон, определяющий, что внедрение программ-вымогателей в компьютерные системы с целью вымогательства является нарушением закона.[6]

Примеры

Вирус тремора

Хотя в прошлом вирусы в дикой природе использовали криптографию, единственной целью такого использования криптографии было избежать обнаружения антивирусное программное обеспечение. Например, вирус тремора[7] использовал полиморфизм как защитную технику, пытаясь избежать обнаружения антивирусным ПО. Хотя криптография действительно помогает в таких случаях увеличить долговечность вируса, возможности криптографии не используются в полезной нагрузке. Половина вирус[8] был одним из первых известных вирусов, зашифровавших зараженные файлы.

Tro_Ransom.A вирус

Примером вируса, который информирует владельца зараженной машины о необходимости заплатить выкуп, является вирус по прозвищу Tro_Ransom.A.[9] Этот вирус просит владельца зараженной машины отправить 10,99 доллара на указанный счет через Вестерн Юнион.
Virus.Win32.Gpcode.ag классический криптовирус.[10] Этот вирус частично использует 660-битную версию. ЮАР и шифрует файлы с множеством разных расширений. Он инструктирует владельца машины отправить указанный почтовый идентификатор по электронной почте, если владелец желает использовать дешифратор. Если с ним свяжутся по электронной почте, пользователю будет предложено заплатить определенную сумму в качестве выкупа в обмен на дешифратор.

CAPI

Было продемонстрировано, что использование всего 8 различных вызовов Microsoft с Криптографический API (CAPI), криптовирус может удовлетворить все его потребности в шифровании.[11]

Другое использование вредоносных программ с поддержкой криптографии

Помимо криптовирусного вымогательства, есть и другие потенциальные применения криптовирусов,[3] такие как запрещенный выхват паролей, криптовалюты,поиск частной информации, а также в защищенной связи между различными экземплярами распределенного криптовируса.

Рекомендации

  1. ^ Ларри Гринмайер (18 сентября 2013 г.). «Усилия АНБ по уклонению от технологии шифрования нарушили стандарт шифрования США». Scientific American.
  2. ^ «NIST удаляет алгоритм криптографии из рекомендаций по генератору случайных чисел». Национальный институт стандартов и технологий. 21 апреля 2014 г.
  3. ^ а б А. Янг, М. Юнг (2004). Вредоносная криптография: раскрытие криптовирологии. Вайли. ISBN  0-7645-4975-8.
  4. ^ А. Янг, М. Юнг. «Криптовирология: угрозы безопасности и меры противодействия вымогательству». Симпозиум IEEE по безопасности и конфиденциальности, 6–8 мая 1996 г.. С. 129–141. IEEEExplore: Криптовирология: угрозы безопасности и меры противодействия вымогательству
  5. ^ «ИНФОРМАЦИЯ: Программы-вымогатели и HIPAA» (PDF). HHS. Получено 22 июля 2016.
  6. ^ SB-1137, который вносит поправки в раздел 523 Уголовного кодекса.
  7. ^ Описания вирусов F-Secure: Tremor
  8. ^ Ответ безопасности Symantec: One_Half
  9. ^ Анализ безопасности Sophos: Troj_Ransom.A
  10. ^ Список вирусов: Virus.Win32.Gpcode.ag
  11. ^ Молодой. «Криптовирусное вымогательство с использованием Microsoft Crypto API». Международный журнал информационной безопасности, том 5, выпуск 2, апрель 2006 г.. С. 67–76. SpringerLink: криптовалютное вымогательство с использованием Microsoft Crypto API

внешняя ссылка