Криптовирология

Взлом компьютеров
Эта статья является частью серии статей о
История
Фрикинг Криптовирология Взлом бытовой электроники Список хакеров
Хакерская культура и этика
Хакерский манифест Черная шляпа Серая шляпа белая шляпа Хакерское пространство Хакатон Хактивизм Создатель культуры
Конференции
Брифинги Black Hat Конгресс Хаоса Коммуникации DEF CON Хакеры на планете Земля Security_BSides ShmooCon Саммеркон
Компьютерное преступление
Преступное ПО Список компьютерных преступников Скрипт kiddie
Инструменты для взлома
ОС для криминалистики Уязвимость Использовать Полезная нагрузка Социальная инженерия Кали
Сайты практики
HackThisSite Зона-H
Вредоносное ПО
Руткит Черный ход троянский конь Вирус Червь Шпионское ПО Программы-вымогатели Логическая бомба Ботнет Журнал нажатий клавиш HIDS Веб-оболочка RCE
Компьютерная безопасность
Безопасность приложений Сетевая безопасность Безопасность облачных вычислений
Группы
Анонимный Компьютерный Клуб Хаоса Домашний компьютерный клуб (несуществующий) Легион Судьбы (несуществующий) Мастера обмана (несуществующие) LulzSec (несуществующий) Красные и синие команды
Публикации
2600: Ежеквартальный журнал The Hacker Хакерские новости Гайки и вольт Phrack
v т е

Криптовирология - это область, изучающая, как использовать криптографию для разработки мощного вредоносного программного обеспечения . Эта область родилась с наблюдением, что криптография с открытым ключом может использоваться для нарушения симметрии между тем, что аналитик антивирусной защиты видит в отношении вредоносного ПО, и тем, что видит злоумышленник. Антивирусный аналитик видит открытый ключ, содержащийся в вредоносной программе, тогда как злоумышленник видит открытый ключ, содержащийся в вредоносной программе, а также соответствующий закрытый ключ (вне вредоносной программы), поскольку злоумышленник создал пару ключей для атаки. Открытый ключ позволяет вредоносной программе выполнять односторонние операции с лазейкой на компьютере жертвы, отменить которые может только злоумышленник.

Обзор [ править ]

Эта область охватывает скрытые атаки вредоносного ПО, при которых злоумышленник надежно крадет личную информацию, такую как симметричные ключи, закрытые ключи, состояние ГПСЧ и данные жертвы. Примеры таких скрытых атак - асимметричные бэкдоры . Асимметричный бэкдор это бэкдор ( например , в криптосистемах ) , который может быть использован только атакующим, даже после того, как он будет найден. Это контрастирует с традиционным бэкдором, который является симметричным, то есть любой, кто его обнаружит, может его использовать. Клептография, подполе криптовирологии, изучает асимметричные бэкдоры в алгоритмах генерации ключей, алгоритмах цифровой подписи, обмене ключами, генераторах псевдослучайных чисел, алгоритмах шифрования и других криптографических алгоритмах. NIST Dual EC DRBGГенератор случайных битов имеет асимметричный бэкдор. Алгоритм EC-DRBG использует клептограмму с дискретным логарифмом из клептографии, которая по определению делает EC-DRBG криптотрояном. Как и программа-вымогатель, криптотроян EC-DRBG содержит и использует открытый ключ злоумышленника для атаки на хост-систему. Криптограф Ари Джулс указал, что АНБ эффективно организовало клептографическую атаку на пользователей алгоритма генерации псевдослучайных чисел Dual EC DRBG и что, хотя специалисты по безопасности и разработчики тестируют и внедряют клептографические атаки с 1996 года, «вам будет трудно найти тот, который реально используется до сих пор ». ^[1] Из-за общественного протеста по поводу этой криптовирологической атаки NIST исключил алгоритм EC-DRBG из стандарта NIST SP 800-90. ^[2]

Атаки с скрытой утечкой информации, осуществляемые криптовирусами, криптотроянами и криптовалютными червями, которые по определению содержат и используют открытый ключ злоумышленника, являются одной из основных тем в криптовирологии. При «похищении пароля, в котором невозможно отказать», криптовирус устанавливает криптотрояна, который асимметрично шифрует данные хоста и тайно передает их. Это делает его доступным для всех, никем не заметным (кроме атакующего), ^{[ необходима цитата ]} и доступным для расшифровки только злоумышленником. Злоумышленник, уличенный в установке криптотрояна, утверждает, что является жертвой вируса. ^{[ необходима цитата ]}Наблюдавший за приемом скрытой асимметричной трансляции злоумышленник является одним из тысяч, если не миллионов получателей, и не предоставляет никакой идентифицирующей информации. Криптовирологическая атака обеспечивает «сквозное отрицание». Это скрытая асимметричная трансляция данных жертвы. Криптовирология также включает в себя использование извлечения частной информации (PIR), чтобы позволить криптовирусу искать и красть данные хоста, не раскрывая искомые данные, даже когда криптотроянец находится под постоянным наблюдением. ^[3] По определению, такой криптовирус несет в своей собственной кодовой последовательности запрос злоумышленника и необходимую логику PIR для применения запроса к хост-системам.

История [ править ]

Первая криптовирусная атака, изобретенная Адамом Л. Янгом и Моти Юнгом , получила название «криптовирусное вымогательство» и была представлена на конференции IEEE Security & Privacy в 1996 году. ^[4] В этой атаке криптовирус, крипточервь или криптотроян содержит открытый ключ злоумышленника и гибридно шифрует файлы жертвы. Вредоносная программа предлагает пользователю отправить асимметричный зашифрованный текст злоумышленнику, который расшифрует его и вернет содержащийся в нем симметричный ключ дешифрования за определенную плату. Симметричный ключ необходим жертве для расшифровки зашифрованных файлов, если нет возможности восстановить исходные файлы (например, из резервных копий). В документе IEEE 1996 г. предсказывалось, что злоумышленники-вымогатели однажды потребуют электронные деньги , задолго до этого.Биткойн даже существовал. Много лет спустя СМИ переименовали шифровальщик в вымогательство . В 2016 году криптовирологические атаки на поставщиков медицинских услуг достигли уровня эпидемии, что побудило Министерство здравоохранения и социальных служб США опубликовать информационный бюллетень о программах-вымогателях и HIPAA . ^[5] В информационном бюллетене говорится, что когда электронная защищенная медицинская информация зашифрована с помощью программы-вымогателя, произошло нарушение, и поэтому атака представляет собой раскрытиеэто не разрешено HIPAA по причине того, что злоумышленник взял под контроль информацию. Конфиденциальные данные могли никогда не покинуть организацию-жертву, но взлом мог позволить отправить данные незамеченными. Калифорния приняла закон, определяющий, что внедрение программ-вымогателей в компьютерную систему с целью вымогательства является нарушением закона. ^[6]

Примеры [ править ]

Вирус тремора [ править ]

Хотя в прошлом вирусы в дикой природе использовали криптографию, единственной целью такого использования криптографии было избежать обнаружения антивирусным программным обеспечением . Например, вирус тремора ^[7] использовал полиморфизм как защитную технику, пытаясь избежать обнаружения антивирусным программным обеспечением. Хотя криптография действительно помогает в таких случаях увеличить долговечность вируса, возможности криптографии в полезной нагрузке не используются. Половинный вирус ^[8] был одним из первых вирусов, которые, как известно, зашифровали зараженные файлы.

Tro_Ransom.A вирус [ править ]

Примером вируса, который информирует владельца зараженной машины о необходимости заплатить выкуп, является вирус по прозвищу Tro_Ransom.A. ^[9] Этот вирус просит владельца зараженной машины отправить 10,99 доллара на указанный счет через Western Union .
Virus.Win32.Gpcode.ag - классический криптовирус. ^[10] Этот вирус частично использует версию 660-битного RSA и шифрует файлы с множеством различных расширений. Он инструктирует владельца машины отправить указанный почтовый идентификатор по электронной почте, если владелец желает использовать дешифратор. Если с ним свяжутся по электронной почте, пользователю будет предложено заплатить определенную сумму в качестве выкупа в обмен на дешифратор.

CAPI [ править ]

Было показано , что при использовании только 8 различных вызовов в Microsoft «s Cryptographic API (CAPI), cryptovirus может удовлетворить все свои потребности шифрования. ^[11]

Другое использование вредоносных программ с поддержкой криптографии [ править ]

Помимо криптовирусного вымогательства, существуют и другие потенциальные возможности использования криптовирусов ^[3], такие как выхватка паролей, которые нельзя отрицать, криптовалюты, получение частной информации и безопасная связь между различными экземплярами распределенного криптовируса.

Ссылки [ править ]

^ Ларри Greenemeier (18 сентября 2013). «Усилия АНБ по уклонению от технологии шифрования нарушили стандарт криптографии США» . Scientific American.
^ «NIST удаляет алгоритм криптографии из рекомендаций по генератору случайных чисел» . Национальный институт стандартов и технологий . 21 апреля 2014 г.
^ a b А. Янг, М. Юнг (2004). Вредоносная криптография: раскрытие криптовирологии . Вайли. ISBN 0-7645-4975-8.
^ А. Янг, М. Юнг. «Криптовирология: угрозы безопасности и меры противодействия вымогательству». IEEE симпозиум по безопасности и конфиденциальности, 6-8 мая 1996 года . С. 129–141. IEEEExplore: Криптовирология: угрозы безопасности и меры противодействия, основанные на вымогательстве
^ «ИНФОРМАЦИЯ: Программы-вымогатели и HIPAA» (PDF) . HHS . Проверено 22 июля +2016 .
^ SB-1137, который вносит поправки в раздел 523 Уголовного кодекса.
^ "Описание Tremor | F-Secure Labs" . www.f-secure.com .
^ «Риск обнаружен» . www.broadcom.com .
^ «Sophos Security Labs: предотвращение угроз вредоносных программ в реальном времени» .
^ "Securelist" . securelist.com .
^ А. Янг. «Криптовирусное вымогательство с использованием Microsoft Crypto API». Международный журнал по информационной безопасности, том 5, выпуск 2, апрель 2006 года . С. 67–76. SpringerLink: криптовалютное вымогательство с использованием Microsoft Crypto API

Внешние ссылки [ править ]

Cryptovirology Labs - сайт поддерживается Адамом Янгом и Моти Юнгом
Статьи по криптографии и криптовирологии на VX Heavens Архивировано 03 февраля 2015 года на Wayback Machine Компьютерные вирусы
Cryzip Trojan шифрует файлы и требует выкупа
Может ли вирус привлечь предприятие к суду?
Студенческий доклад под названием Супергерви и криптовирология.
Следующее поколение Вирус: обзор (cryptoviruses) от Angelo PE Rosiello

[sci_amer_klepto-1] Ларри Greenemeier (18 сентября 2013). «Усилия АНБ по уклонению от технологии шифрования нарушили стандарт криптографии США» . Scientific American.

[nist_abandonment-2] «NIST удаляет алгоритм криптографии из рекомендаций по генератору случайных чисел» . Национальный институт стандартов и технологий . 21 апреля 2014 г.

[Young_and_yung_book-3] А. Янг, М. Юнг (2004). Вредоносная криптография: раскрытие криптовирологии . Вайли. ISBN 0-7645-4975-8.

[Young_and_Yung_96-4] А. Янг, М. Юнг. «Криптовирология: угрозы безопасности и меры противодействия вымогательству». IEEE симпозиум по безопасности и конфиденциальности, 6-8 мая 1996 года . С. 129–141. IEEEExplore: Криптовирология: угрозы безопасности и меры противодействия, основанные на вымогательстве

[hhsfactsheet-5] «ИНФОРМАЦИЯ: Программы-вымогатели и HIPAA» (PDF) . HHS . Проверено 22 июля +2016 .

[6] SB-1137, который вносит поправки в раздел 523 Уголовного кодекса.

[7] "Описание Tremor | F-Secure Labs" . www.f-secure.com .

[8] «Риск обнаружен» . www.broadcom.com .

[9] «Sophos Security Labs: предотвращение угроз вредоносных программ в реальном времени» .

[10] "Securelist" . securelist.com .

[11] А. Янг. «Криптовирусное вымогательство с использованием Microsoft Crypto API». Международный журнал по информационной безопасности, том 5, выпуск 2, апрель 2006 года . С. 67–76. SpringerLink: криптовалютное вымогательство с использованием Microsoft Crypto API