Александр еременко, аспирант сибади: «я занимаюсь исследованиями более четырех лет, но мне до сих пор не скучно»

Ежегодно количество преступлений в сфере высоких технологий увеличивается. В 2009 году было зарегистрировано 5,5 тысячи киберпреступлений, а за 9 месяцев 2010 – около 7,5 тысячи. Об этом

заявил в своем докладе начальник Бюро специальных технических мероприятий (одно из подразделений управления «К») МВД РФ Борис МИРОШНИКОВ. По словам МИРОШНИКОВА, среди противоправных действий

в сети Интернет лидирует взлом компьютерных систем с целью доступа к информации. Аспирант кафедры информационной безопасности СибАДИ Александр ЕРЕМЕНКО знает, как защитить персональные

сведения: он работает над созданием технологии сокрытия информации в медиафайлах с шифрованием на основе динамических характеристик рукописных паролей. О том, что это за технология, как она

работает и можно ли ее обмануть, ученый рассказал корреспонденту «КВ» Максиму ДУБОВСКОМУ. — АЛЕКСАНДР, ЧТО ВЫ ИЗОБРЕЛИ И КАК ВАШЕ ИЗОБРЕТЕНИЕ РАБОТАЕТ? — У нас возникла идея повысить

защищенность информационных ресурсов и информации вообще. В последнее время стали очень популярны так называемые облачные сервисы, используя их, человек может работать с информацией через

окно браузера: создавать, сохранять и редактировать документы он-лайн. В качестве примера «облачного сервиса» можно привести почту gmail. Часто люди забывают, что информация после попадания

в «облако» становится неконтролируемой: документы хранятся там годами, даже если их удалить. Известны случаи, когда в результате ошибок программного обеспечения компании Google, создателя

gmail, почта и документы пользователей становились доступны посторонним лицам. Если эти документы содержат конфиденциальную информацию или сведения, которые являются коммерческой тайной,

кто-то может ими воспользоваться. Мы предлагаем технологию, которая объединит в себе методы криптографии (науки, изучающей методы обеспечения конфиденциальности и аутентичности информации),

биометрии (распознавание людей по поведенческим или физическим чертам) и стеганографии (наука о скрытой передаче информации путем сохранения в тайне самого факта передачи. — Прим. «КВ»).

Способы комбинирования были известны и ранее, например, использовались криптография и стеганография. Мы предлагаем добавить и биометрические характеристики. — КАКИЕ? — Мы хотим использовать

динамические характеристики письма: при воспроизведении пароля оценивается скорость написания, давление на графический планшет, угол наклона. Эти характеристики используются при создании

ключей, которыми будет шифроваться информация. Мы предлагаем создавать и генерировать эти ключи только в момент проведения криптографических операций – допустим, пользователь расписался на

планшете, создались ключи, после этого информация зашифровывается и помещается в стегаконтейнер, например в картинку или аудиофайл, и передается другому пользователю. Даже если злоумышленник

получит доступ к этим документам, он не будет знать, что скрытая информация вообще существует, даже если он сможет ее извлечь, она будет зашифрована личным ключом пользователя, который

связан с его биометрическими характеристиками. — ТО ЕСТЬ ВЗЛОМАТЬ НЕ ПОЛУЧИТСЯ? — Защищенность возрастает в несколько раз. Чтобы получить доступ к информации, скрытой таким образом, придется

выкрасть биометрические характеристики пользователя. — А СКОРОСТЬ ПИСЬМА И УГОЛ НАКЛОНА У ВСЕХ РАЗНЫЕ? — Да, конечно. Нами создана система идентификации личности по динамике написания

паролей. Сейчас мы выделили новое направление – создание ключей на основе этой информации. Еще одно применение, которое я вижу для нашего изобретения – создание электронной цифровой подписи:

можно создать такое приложение, в котором будет подписываться электронный документ, причем привычным способом, и защитить его от несанкционированных исправлений. — ЭТИ РАБОТЫ ВЕДУТСЯ ТОЛЬКО

СИБАДИ? — Конкуренты есть как в России, так и за рубежом. Но они занимаются идентификацией личности, создавать же криптографические ключи по динамике подписи пока никто не пытался. По

крайней мере патентный поиск таких организаций не выявил. — ПАТЕНТНЫЙ ПОИСК ПРОВЕДЕН, А СВИДЕТЕЛЬСТВО О РЕГИСТРАЦИИ УЖЕ ВЫДАНО? — Еще нет, мы смотрели, есть ли аналогии в этой области. По

другим направлениям, например отпечаткам пальцев, такие патенты есть, в нашем еще никто ничего не открыл. Вот мы и решили работать в этой области, тем более что есть уже наработки по

идентификации, определены параметры, которые наиболее информативно описывают динамику подписи. — АЛЕКСАНДР, НЕ ТАК ДАВНО РАЗГОРЕЛСЯ СКАНДАЛ, СПРОВОЦИРОВАННЫЙ WIKILEAKS. ДОКУМЕНТЫ, КОНЕЧНО,

БЫЛИ ДОБЫТЫ БЕЗ ПОМОЩИ ВЗЛОМА. НО КАК ВЫ СЧИТАЕТЕ, НУЖНО ЛИ СЕГОДНЯ ЗАЩИЩАТЬ ИНФОРМАЦИЮ? — Безусловно нужно, если у вас нет желания, чтобы документы стали достоянием общественности. АССАНЖ,

скорее всего использовал методы социальной инженерии: подкуп, личные связи и другие способы получения информации. Необходимо постоянно повышать уровень защиты, потому что регулярно

появляются новые способы взлома, повышаются производительные мощности компьютеров. — ВАШ МЕТОД МОЖЕТ ДАТЬ 100%-Ю ГАРАНТИЮ ЗАЩИТЫ ИНФОРМАЦИИ? — 100% гарантии никто не даст. — СКОЛЬКО В

ПРОЦЕНТНОМ ОТНОШЕНИИ СОСТАВЛЯЕТ НАДЕЖНОСТЬ ВАШЕГО МЕТОДА — 99, 98 %? — Мы не производили расчетов в процентном отношении. Могу сказать лишь, что по сравнению с обычными методами надежность

нашего выше на порядок. Допустим, мы получили криптографические ключи, нам их нужно где-то сохранить. На практике перед администратором или пользователем встает дилемма: хранить ключи в

открытом доступе и зашифровывать их паролем или хранить на защищенных носителях. Отсюда вытекает еще одна: легкий пароль несложно взломать, если пароль трудный, его нелегко запомнить. Мы же

предлагаем не хранить ключи, а генерировать их в тот момент, когда это нужно пользователю. — НА КАКОЙ СТАДИИ СЕЙЧАС НАХОДЯТСЯ РАБОТЫ ПО СОЗДАНИЮ ЭТОЙ СИСТЕМЫ? — Сейчас мы ведем обзор

методов, с помощью которых можно получать постоянные ключи из биометрических характеристик человека. — А ЕСЛИ ЧЕЛОВЕК ДОЛГОЕ ВРЕМЯ НЕ ЗАХОДИЛ НА КАКОЙ-НИБУДЬ ПОЧТОВЫЙ СЕРВЕР, У НЕГО НЕ

ВОЗНИКНЕТ ПРОБЛЕМ С ИДЕНТИФИКАЦИЕЙ? — Динамика подписи со временем может изменяться, более того, она зависит от психофизиологического состояния человека, поэтому нужно еще провести некоторые

исследования. Думаю, в дальнейшем мы эти трудности разрешим. — КАК ВЫ СЧИТАЕТЕ, ЛЮДИ БУДУТ ЗАИНТЕРЕСОВАНЫ В ТОМ, ЧТОБЫ КУПИТЬ ВАШУ РАЗРАБОТКУ? — Безусловно, эта технология представляется

очень перспективной. — ЗА СКОЛЬКО ПРОДАВАТЬ БУДЕТЕ, ЕЩЕ НЕ ДУМАЛИ? — Это вопрос будущего, все будет зависеть от конечных испытаний, от реакции общественности. Мне кажется, что спрос будет

большим. — РАЗВЕ ОБЩЕСТВЕННОСТЬ МОЖЕТ ПЛОХО ВСТРЕТИТЬ ТАКУЮ СИСТЕМУ? — Все зависит от реализации: будет ли работа с этой системой удобной для людей. Также не менее важный момент — получит ли

графическое оборудование широкое распространение: сейчас для введения графической информации в память компьютера используются планшеты, в ближайшее время их заменят сенсорные экраны. Если

стоимость оборудования снизится, наша технология будет востребованной. Ведь для использования нашей системы безопасности компаниям придется покупать дополнительное оборудование, а

графический планшет, который измеряет угол наклона пера, стоит около 15 тысяч рублей. Если же широкое распространение получатсенсорные мониторы и их цена будет приемлемой, думаю, наша

программа будет пользоваться спросом. — В ОДНОЙ ТЕЛЕПЕРЕДАЧЕ ВЕДУЩИЕ ПЫТАЛИСЬ ОБМАНУТЬ СКАНЕР ОТПЕЧАТКОВ ПАЛЬЦЕВ. ДЛЯ НИХ ЭТО ОСОБОГО ТРУДА НЕ СОСТАВИЛО. С ВАШЕЙ СИСТЕМОЙ ТАКОГО НЕ

ПРОИЗОЙДЕТ? — У нас на кафедре такие работы тоже велись. Студент с помощью муляжа пальца смог обмануть сканер. Говорят, что сейчас появились такие сканеры, которые измеряют температуру,

влажность и пульсацию. Наверное, можно обойти и такой сканер. Воспроизвести же динамику подписи практически невозможно. — А ЧТО ЕСЛИ ХАКЕР НЕОДНОКРАТНО НАБЛЮДАЛ ЗА ТЕМ, КАК ЧЕЛОВЕК ПИШЕТ? —

Ну и что, динамику он не сможет воспроизвести. Скорость письма, давление, угол наклона пера воспроизвести в совокупности практически невозможно. — СКОЛЬКО ВРЕМЕНИ ВАМ ПОНАДОБИТСЯ, ЧТОБЫ

ЗАКОНЧИТЬ РАБОТУ НАД СВОИМ ПРОЕКТОМ? — Вообще программа У.М.Н.И.К. подразумевает финансирование в течение двух лет. Я думаю, за год мы сможем создать прототип системы. Второй год можно

посвятить испытаниям, доработке, если будут выявлены какие-нибудь недостатки. Это очень интересная тема. Я занимаюсь исследованиями в этой области более четырех лет, но мне до сих пор не

скучно. В дальнейшем мы планируем совершенствовать нашу систему, находить какие-то новые варианты. Ведь совершенству нет предела. — ДЕНЕГ, КОТОРЫЕ ВЫДЕЛЯЕТ ФОНД, ХВАТИТ ДЛЯ ТОГО, ЧТОБЫ

ЗАВЕРШИТЬ РАБОТУ НАД ПРОЕКТОМ? — Если бы пришлось покупать оборудование, этих денег могло бы не хватить, но в рамках других проектов уже куплена необходимая техника. С этим проблем не должно

возникнуть. В дальнейшем мы планируем совершенствовать нашу систему, находить какие-то новые варианты. Ведь совершенству нет предела. — ХОДЯТ СЛУХИ, ЧТО СПЕЦСЛУЖБЫ ОТСЛЕЖИВАЮТ ПЕРЕПИСКУ

ГРАЖДАН. В ВАШЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ ДЛЯ НИХ ЛАЗЕЙКИ НЕ ПРЕДУСМОТРЕНЫ? — Я считаю, что разработчики не должны так делать. Если оставлять в таких системах лазейки для правоохранительных

органов, их рано или поздно найдут злоумышленники. Необходимо быть честными с покупателями нашей системы. БИОГРАФИЯ Александр Валериевич родился 10 августа 1984 года в Омске. В 2001 окончил

школу с серебряной медалью и поступил в Сибирскую государственную автомобильно-дорожную академию на факультет «Информационные системы в управлении». В 2006 году окончил вуз и поступил в

аспирантуру. В настоящее время готовится к защите кандидатской диссертации на тему «Повышение надежности идентификации пользователей ПЭВМ по динамике написания паролей».