НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»

ЗАХІДНИЙ РЕГІОНАЛЬНИЙ НАВЧАЛЬНО-НАУКОВИЙ ЦЕНТР

ЗАХИСТУ ІНФОРМАЦІЇ

69-та СТУДЕНТСЬКА

НАУКОВО-ТЕХНІЧНА

КОНФЕРЕНЦІЯ

(17-18 жовтня 2011 року)

ЗБІРНИК ТЕЗ ДОПОВІДЕЙ

секції кафедр «Захист інформації» та «Безпека інформаційних технологій»

Львів 2011

69-та студентська науково-технічна конференція: збірник тез доповідей секції кафедр

«Захист інформації» та «Безпека інформаційних технологій» / Укл. Ю.Р. Гарасим,

Ю.М. Костів. – Львів, 2011. – 21 с.

Затверджено

на засіданні кафедри

«Захист інформації»

Протокол № 5 від 03.11.2011 р.

Затверджено

на засіданні кафедри

«Безпека інформаційних технологій»

Протокол № 4 від 14.11.2011 р.

Збірник підготовлено за матеріалами роботи підсекції кафедр «Захист інформації» та

«Безпека інформаційних технологій» 69-ої студентської науково-технічної конференції, що

проводилася 17-18 жовтня 2011 року у Національному університеті «Львівська політехніка» і

було підведено підсумки науково-дослідної роботи студентів за 2011 рік. До збірника

увійшли тези доповідей, які присвячені аспектам математичного та інженерного

криптографічного захисту інформації та крипто аналізу; захисту інформації в інформаційно-

комунікаційних системах; технічного захисту інформації; управління інформаційною

безпекою; захисту від витоку інформації по каналах побічного електромагнітного

випромінювання та наведення.

Укладачі: Юрій Романович Гарасим, асистент

Юрій Михайлович Костів, асистент

Відповідальний за випуск: Дудикевич Валерій Богданович, д.т.н., проф.

Максимович Володимир Миколайович, д.т.н., проф.

Рецензенти: Юрій Романович Гарасим, асистент

Юрій Михайлович Костів, асистент

ЗМІСТ

Бакай О. Банківські пластикові картки. Технології захисту та персоналізації 2

Борецький Т. Альтернативні методи обчислення тригонометричних функцій 3

Борня П. Діагностичний аудит захищеності систем ІР-телефонії 4

Брао С. Пристрої апаратного шифрування даних з інтерфейсом USB 5

Каріоті М. Перспективи розвитку нових захищених мереж зв’язку 6

Князєв Д. Вдосконалення систем захисту інформації, що використовують

канали GSM 7

Кремінець В. Засоби виявлення активних радіозакладних пристроїв 8

Крет Т. Створення та впровадження підходу до розроблення системи захисту

інформації в НУ «Львівська політехніка» 9

Лазарєв О. ПЕМВ відеотракту ПК 10

Лесняк О. Розроблення системи шифрування конфіденційної інформації в

корпоративних мережах зв’язку 11

Ляшенко М. Дослідження впливу закритого приміщення на розподіл акустичного

поля в низькочастотному діапазоні 12

Марченко С. Огляд і класифікація кейлогерів 13

Мушинський К. Засоби виявлення помилок в програмному коді 14

Нечипор В. Розроблення методу проектування корпоративних мереж зв’язку, що

мають властивість живучості 15

Полуектова О. Дослідження етапів розроблення експертних систем у сфері захисту

інформації 16

Пуля П. Розроблення RFID-системи контролю доступу на основі

легковагового шифрування 17

Родін С. Шляхи підвищення живучості систем охорони 18

Середницький Б. Актуальність захисту інформації в сфері охорони здоров’я 19

Сорока Ю. Протидія витоку конфіденційної інформації через ПЕМВ 20

Шикеринець С. OWASP – список перевірки вразливостей 21

2

О. Бакай

Науковий керівник – доц. Лах Ю. В.

БАНКІВСЬКІ ПЛАСТИКОВІ КАРТКИ. ТЕХНОЛОГІЇ ЗАХИСТУ ТА

ПЕРСОНАЛІЗАЦІЇ

Банківські пластикові картки призначені для здійснення безготівкової оплати за

товари чи послуги власником картки, а також для отримання ним готівкових грошей зі свого

банківського рахунку в спеціальних банківських автоматах (банкоматах) практично в будь-

якій частині світу. Як носій електронної інформації банківські картки поділяються на картки

з магнітною смугою та картки з чіпом (мікросхемою). Перші називаються магнітними

картками, другі – старт-картами або чіповими картами.

Банківські картки можна також поділити за платіжними системами або асоціаціями

карток (Card Association), в рамках яких відбувається їх обслуговування. Найбільш

поширеними в світі є картки систем VISA, EuroCard/MasterCard i American Express (AMEX).

Одна картка може підтримуватися і обслуговуватися тільки однією платіжною системою.

Емітент кредитної картки – це організація, яка випускає пластикову картку, тобто

надає її в користування своїм клієнтам.

При видачі пластикової картки клієнтові здійснюється її персоналізація – на картку

наноситься ідентифікаційна інформація (ім’я власника, номер картки, термін дії картки і ін.)

на магнітну стрічку заноситься закодована ідентифікаційна інформація.

Основним матеріалом виготовлення пластикових карток є полівінілхлорид (ПВХ).

Для захисту поверхні карток може застосовуватися лакування, або ламінування.

Після виготовлення картки проводиться її персоналізація. На картку або партію

карток наносяться персональні дані: ПІН-код, ембосування, штрих-код, запис магнітної

смуги та додаткові елементи: сама магнітна смуга, смуга для підпису, нумерація і/або

текстова персоналізація, голограма, мікросхема, тиснення фольгою, тощо.

Мікросхема (чіп) – носій інформації з великим об’ємом пам’яті, забезпечує високий

ступінь захисту від фальсифікації.

В Україні, починаючи з 1999 року, успішно працює ТзОВ «Підприємство Пластик

Карта», компанія є членом організації виробників пластикових карток ІСМА (International

Card Manufacturing Association), яка використовує сучасні технології виготовлення

ламінованих карток з пластику ПВХ та їх персоналізації. «Пластик Карта» є першим

українським виробником, що успішно у 2004 році пройшов сертифікацію у міжнародних

системах Visa Int. і MasterCard Int на виробництво міжнародних платіжних карток.

3

Т. Борецький

Науковий керівник – к.т.н., доц. Мороз Л.В.

АЛЬТЕРНАТИВНІ МЕТОДИ ОБЧИСЛЕННЯ ТРИГОНОМЕТРИЧНИХ ФУНКЦІЙ

Чим складніша система, тим більше способів існує для її вдосконалення. В

мікроелектроніці доволі складним завданням є обчислення тригонометричних функцій,

спростити розрахунок яких вдалось Д. Е. Волдеру в 50-х роках ХХ ст. методом, відомим як

алгоритм CORDIC. Завдяки використанню у методі лише логічних зсувів та операцій

додавання і віднімання метод є швидким та невибагливим у апаратній реалізації. Саме тому

цей метод по сьогоднішній день широко використовується, починаючи від простих

мікроконтролерів до комп’ютерних мікропроцесорів. Через доволі поважний вік алгоритму

може скластись враження, що всі існуючі способи удосконалення алгоритму вже вичерпали

себе. Та у даному дослідженні порушено існуючу думку і показано, що це не так.

В дослідженні створено програмні моделі мовою асемблера класичного алгоритму

CORDIC та відомих методів його оптимізації. Крім того, запропоновано новий метод

обчислень, який будемо називати гібридний CORDIC, а також надано результати тестувань

по найбільш важливих параметрах, таких як швидкість та точність обчислень.

Для реалізації алгоритмів вибрано х86 архітектуру процесора, перевагою якої є:

висока швидкодія, великий об’єм пам’яті, можливість оперувати регістрами розрядністю в 32

біти, вбудований сопроцессор для перевірки точності результатів роботи та програмно

доступний лічильник тактів, який використовується для вимірювань швидкодії алгоритму,

що виконується.

У дослідженні проводиться обчислення значень синуса та косинуса для заданого кута

φ, оскільки саме ці тригонометричні функції мають широке практичне застосування.

Обчислення проводяться шляхом перебору усіх можливих вхідних значень кутів та ведення

статистичної таблиці відхилень, отриманого значення від наближеного, яким можна

найбільш точно представити результуюче ірраціональне число у заданій розрядній сітці.

Крім того, проведено аналіз швидкості роботи алгоритму шляхом заміру кількості тактів

процесора, необхідних для його виконання. Слід також відзначити, що за допомогою

CORDIC алгоритму крім синуса та косинуса можна обчислювати їх гіперболічні еквіваленти,

квадратні корені, логарифми.

4

П. Борня

Науковий керівник – асистент Гарасим Ю.Р.

ДІАГНОСТИЧНИЙ АУДИТ ЗАХИЩЕНОСТІ СИСТЕМ IP-ТЕЛЕФОНІЇ

На цей час в технології ІР-телефонії реалізований недостатньо високий рівень захисту

інформації: використовуються вразливі протоколи передавання даних та криптографічні

алгоритми, існують загрози прослуховування викликів, спотворення та підміни інформації,

управління дзвінками, викрадення персональних даних, відмова в обслуговуванні тощо.

Цей аспект зумовлює обмежене застосування технології у захищених корпоративних

мережах зв’язку (ЗКМЗ).

Тому, актуальним є проведення аналізу захищеності таких систем для визначення

реальних загроз в корпоративній мережі зв’язку. Засобом такого аналізу є діагностичний

аудит, який передбачає збір інформації, що дає змогу виявити обладнання IP-телефонії,

визначити тип пристроїв та версії їх програмного забезпечення, а також виявити SIP-

абонентів. Важливими етапами аудиту є моніторинг трафіку, аналіз на відмову в

обслуговуванні, аналіз на наявність вразливостей веб-інтерфейсів і програмного

забезпечення користувачів ПК та іншого VOIP-обладання.

Виходячи з проведеного аналізу, сформульовано вимоги до комплексного захищеного

VoIP- протоколу в конкретній мережі зв’язку.

Захист інформації, яка передається через ЗКМЗ досягається шляхом забезпечення

аспектів конфіденційності, цілісності, доступності та спостережності. Забезпечення

наведених аспектів у технології ІР-телефонії можливе лише за умови використання

криптографічних перетворень – шифрування.

З метою можливості використання IP-телефонії у ЗКМЗ пропонується

використовувати технологію віртуальних приватних мереж (Virtual Private Network, VPN).

Визначено, що для захисту SIP протоколу ефективним є використання TLS (Transport Layer

Security – захист на транспортному рівні), який базується на криптографічному протоколі

SSL (Secure Sockets Layer – захищений рівень сокетів). Проте, при використанні VPN існує

можливість перехоплення даних на ділянці формування VPN–тунелю. Таким чином, виникає

необхідність комплексного захисту інформації у IP-телефонії та ЗКМЗ.

5

С. Брао

Науковий керівник – проф. Максимович В.М.

ПРИСТРОЇ АПАРАТНОГО ШИФРУВАННЯ ДАНИХ З ІНТЕРФЕЙСОМ USB

USB-ключі, або, як їх ще називають, USB-токени, – це персональний засіб

автентифікації та зберігання даних у комп’ютерних системах та мережах. Зовні цей пристрій

являє собою звичайний флеш-носій, але за своїми функціями він багато в чому відповідає

смарт-карті.

Було запропоновано пристрій шифрування з USB-інтерфейсом який має структуру

USB-ключа. Оскільки, в багатьох галузях, де ціна та витрати енергії виходять на перший

план, обчислювальна потужність сконцентрована в малих, недорогих центральних

процесорах, серед яких домінують 8-бітні мікроконтролери, для використання в пристрої був

вибраний малопотужний недорогий мікроконтролер ATmega16.

При виборі алгоритму шифрування, орієнтуючись на розробку недорогого пристрою

на мікроконтролері, для якого визначальними характеристиками буде розмір коду та час

виконання, зосередимо увагу на симетричних шифрах, оскільки їх ідея значно більше

підходить для реалізації в портативних пристроях з врахуванням вказаних критеріїв.

Опираючись на результати порівняння вимог до пам’яті реалізацій алгоритму ГОСТ

28147-89 у варіанті мінімального розміру коду необхідно затрати менший об’єм пам’яті ніж

для всіх інших алгоритмів.

Згідно з отриманими результатами, для використання в розроблюваному пристрої

було вибрано алгоритм ГОСТ 28147-89, який має найвище співвідношення

продуктивність/розмір коду з всіх розглянутих криптоалгоритмів, забезпечуючи при цьому

високий рівень захисту.

6

М. Каріоті

Науковий керівник – асистент Будз Б.Д.

ПЕРСПЕКТИВИ РОЗВИТКУ НОВИХ ЗАХИЩЕНИХ МЕРЕЖ ЗВ’ЯЗКУ

В сучасних телекомунікаційних мережах складно забезпечити мобільний зв’язок на

значній відстані з високою швидкістю передавання даних. Розвиток телекомунікаційних

мереж має такі основні напрямки: застосування високочастотних сигналів та використання

уже розподілених та не повністю використовуваних частот.

В напрямку використання високих частот можна виділити чітке спрямування на ріст

частот сигналів. На даний час частоти в одиниці і кілька десятків гігагерц (за винятком

частоти 2.4 Ггц) застосовуються переважно в супутниковому зв’язку, проте вони складні і

дорогі в індивідуальному застосуванні. Розробляються та розвиваються технології для

подальшого росту частотного діапазону, проте ці технології не можуть застосовуватися для

портативних рухомих споживачів через особливості функціонування та значний вплив

атмосферних умов при передачі інформації. До того ж потрібно прийняти до уваги те, що на

цей час можливості супутникових каналів перевищують потребу на 60 відсотків, що веде до

падіння цін на їх послуги і певну незатребуваність, проте локальні радіомережі є ще мало

розвинені.

Локальні мережі типу Wi-Fi забезпечують лише досить коротку відстань роботи і при

віддаленні від точки доступу погіршується якість сигналу та зменшується швидкість

завантаження файлів. Застосування мереж WiMAX дає забезпечити зв’язок з локальними

мережами Wi-Fi на значній відстані, проте це складно і дорого в реалізації.

Тому виникає значна потреба в застосуванні нових стандартів інформаційних

радіомереж здатних забезпечити швидкісний зв’язок на значній віддалі.

Такий стандарт вийшов з під пера інституту інстититу інженерів з електротехніки та

електроніки під кодовим номером IEEE 802.22 WRAN – стандарт бездротових регіональних

мереж, що описує дворівневу архітектуру (рівень PHY і рівень MAC) з багатоточковим

з’єднанням. Мережа призначена як для роботи з професійними фіксованими базовими

станціями, так і з портативними (або фіксованими) користувацькими терміналами (модеми).

Обмін даними за стандартом здійснюється на «вільних» частотах ОВЧ / УВЧ (VHF / UHF)

телевізійного мовлення, що складає смугу від 54 до 862 МГц. За твердженням розробників,

мережа в основному призначена для використання в малонаселених пунктах, а також

сільській місцевості, де найімовірніше буде достатня кількість вільних каналів в робочій

смузі частот стандарту.

7

Д. Князєв

Науковий керівник – асистент Гарасим Ю.Р.

ВДОСКОНАЛЕННЯ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ, ЩО ВИКОРИСТОВУЮТЬ

КАНАЛИ GSM

В роботі здійснюється аналіз тенденцій розвитку GSM-систем охорони, основних

технічних характеристик стільникових мереж щодо можливості застосування у системах

охорони. Здійснено технічно обґрунтовані висновки про те, що GSM-системи на цей час є

найефективнішими для використання серед інших радіоканальних систем.

З розвитком систем передавання інформації по стільникових мережах переваг у

радіоканальних систем стає все більше, і охоронні GSM-комплекси виходять на новий рівень

якості, надійності, доступності та живучості для користувачів. Експерти вважають, що

ефективним є використання GSM-каналу в поєднанні з іншими каналами передавання

повідомлень (що на даний момент широко реалізується). GSM-системи мають декілька

вагомих переваг:

можливість використання послуг операторів стільникового зв’язку для надання

послуг охорони;

простота і зручність застосування;

доступність стільникового зв’язку переважній більшості громадян;

відсутність необхідності купувати ретранслятори для роботи системи.

Вже зараз використання мереж третього покоління відкриває безліч додаткових

можливостей, значно підвищуючи функціональність GSM-систем охорони. Метою роботи є

формулювання на основі проведених досліджень і розрахунків ряду рекомендацій щодо

покращення технічних характеристик систем безпеки, що використовують GSM-канали,

наведення можливих шляхів розвитку безпровідних систем охорони.

Для досягнення зазначеної мети вирішено такі основні завдання:

здійснено аналіз тенденцій розвитку систем безпеки з точки зору використання різних

каналів зв’язку;

досліджено сучасні системи захисту інформації, що використовують GSM-канал;

визначено суттєві недоліки GSM-каналів зв’язку, а саме, у аспекті завадостійкості і

завадозахищеності;

на основі досліджень розроблено ряд рекомендацій щодо покращення технічних

характеристик систем захисту, що використовують GSM канали зв’язку.

8

В. Кремінець

Науковий керівник – асистент Будз Б.Д.

ЗАСОБИ ВИЯВЛЕННЯ АКТИВНИХ РАДІОЗАКЛАДНИХ ПРИСТРОЇВ

Радіозакладні пристрої займають провідне місце серед засобів технічного шпигунства.

Вони бувають різних конструкцій, від найпростіших до дуже складних (що мають

дистанційне керування, систему накопичення сигналів, систему передачі сигналів в стислому

вигляді короткими серіями).

Для підвищення скритності роботи потужність передавача радіозакладки робиться

невеликою, але достатньою для перехоплення високочутливим приймачем з невеликої

відстані. Мікрофони роблять як вбудованими, так і виносними. Вони бувають двох типів:

акустичними (тобто чутливими до голосів людей) або вібраційними (перетворюють в

електричні сигнали коливання, що виникають від людської мови в різноманітних жорстких

конструкціях). Радіозакладні пристрої найчастіше працюють на високих частотах (понад 300

кГц).

Однак є й такі пристрої, які працюють в низькочастотному діапазоні (50-300 кГц). Як

канал зв’язку вони зазвичай використовують мережі електроживлення або телефонні лінії.

Такі радіозакладні пристрої практично не випромінюють сигнали в навколишній простір,

тобто мають підвищену скритність. Якщо їх вмонтувати в настільну лампу, розетку, трійник,

чи будь-який електроприлад, що працює від мережі змінного струму, то вони, живляться від

мережі, будуть довгий час передавати по ній інформацію в будь-яку точку будівлі і навіть за

його межі.

Для виявлення радіозакладних пристроїв застосовують спеціальні вимірювальні

приймачі, які здійснюють автоматичне сканування діапазону. За їх допомогою здійснюється

пошук і фіксація робочих частот радіозакладок, а також визначається їх місцезнаходження.

Дана процедура досить складна, вона вимагає відповідних теоретичних знань, практичних

навичок роботи з різноманітною, досить складною вимірювальною апаратурою.

Якщо радіозакладки вимкнені у момент пошуку і не випромінюють сигнали, за якими

їх можна виявити радіоприймальною апаратурою, то для їх пошуку застосовують спеціальну

рентгенівську апаратуру і нелінійні детектори з вбудованими генераторами мікрохвильових

коливань низького рівня. Такі коливання проникають крізь стіни, стелі, підлога, меблі,

портфелі, начиння – в будь-яке місце, де може бути захована радіозакладка, мікрофон,

магнітофон. Коли мікрохвильовий промінь стикається з транзистором, діодом або

мікросхемою, промінь відбивається назад до пристрою.

9

Т. Крет

Науковий керівник – асистент Гарасим Ю.Р.

СТВОРЕННЯ ТА ВПРОВАДЖЕННЯ ПІДХОДУ ДО РОЗРОБЛЕННЯ СИСТЕМИ

ЗАХИСТУ ІНФОРМАЦІЇ В НУ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»

Метою роботи є розроблення та впровадження підходу до створення та впровадження

системи захисту інформації (СЗІ), виключення або мінімізація збитків власникам та

користувачам інформації, що циркулює в НУ «Львівська політехніка».

Правовими засадами, що зумовлюють створення СЗІ в організації є НД ТЗІ 1.4-001-

2000 «Типове положення про службу захисту інформації в автоматизованій системі», Закон

України «Про захист персональних даних». Зокрема, законом визначається необхідність

створення підрозділу, який буде відповідати за захист у процесі збору, зберігання та

оброблення персональних даних. Відповідно до ЗУ «Про захист персональних даних», було

визначено такі категорії інформації до яких необхідно застосувати обмеження доступу:

персональні дані, конфіденційна інформація.

Створення та впровадження підходу до розроблення СЗІ здійснювалося на основі:

сімейства Міжнародних стандартів ISO/IEC 27001; Типового положення про службу захисту

інформації в автоматизованій системі (НД ТЗІ 1.4-001-2000); Методичних рекомендацій,

щодо впровадження системи управління інформаційною безпекою та методики оцінки

ризиків відповідно до стандартів НБУ. На основі аналізу структури НУ «Львівська

політехніка» було визначено вразливі місця до яких необхідно застосувати СЗІ.

Відповідно до міжнародного стандарту ISO/IEC TR 13335-3 (Інформаційні технології

– Керівництво з управління ІТ-безпеки – Частина 3: Методи для управління ІТ-безпеки) була

запропонована та реалізована методика оцінки ризиків, яка містить оцінку: активів, загроз,

вразливостей, існуючих та запланованих засобів захисту.

В межах роботи здійснено аналіз сімейства міжнародних стандартів ISO/IEC 27001

щодо можливості застосування для організацій України, зокрема, у вищих навчальних

закладах, а також інші нормативні документи та методичні рекомендації, що стосуються

системи захисту інформації.

На їх основі створено підхід до розроблення та впровадження СЗІ в НУ «Львівська

політехніка». Впровадження даного підходу має бути пріоритетом роботи служби ЗІ, яку

необхідно створити в НУ «Львівська політехніка».

10

О. Лазарєв

Науковий керівник – асистент Будз Б.Д.

ПЕМВ ВІДЕОТРАКТУ ПК

Проблема витоку інформації з обчислювальної техніки через побічні елктромагнітні

випромінювання (ПЕМВ) відома фахівцям вже багато років. Сьогодні практично будь-яка

організація, наприклад комерційна фірма чи державне підприємство, не може існувати, без

ПК, в якому більшість оброблюваної інформації проходить через відеотракт, а його робота,

як і будь-якого іншого електронного пристрою, супроводжується електромагнітними

випромінюваннями.

В загальному випадку ПЕМВ більшості електронної апаратури регламентовані з точки

зору електромагнітної сумісності низкою стандартів. Так, наприклад, згідно публікації N22

CISPR (Спеціальний Міжнародний Комітет з Радіоперешкод) для діапазону 230-1000 Мгц

рівень напруженості електромагнітного поля, випромінюваного обладнанням

обчислювальної техніки, на відстані 10 метрів не повинен перевищувати 37 дБ. Але це лише

виключає вплив одного пристрою на інший, а захист оброблюваної інформації не

враховується. Отже ПЕМВ відеотракту є реальним джерелом загрози.

Сам відеотракт ПК – це сукупність відеокарти, кабеля та монітора з’єднаних між

собою.

З метою аналізу ПЕМВ відеотракту ПК проведено дослідження в якому

досліджувався відеотракт різних конфігурацій і при різних режимах роботи, а саме:

Використані режими роботи відеотракту

ПК:

640х480, (60,70,72 Гц);

800х600, (60,70,72 Гц);

1024х768, (60,70,72) Гц;

Використані варіанти конфігурації

відеотракту ПК:

Відеокарта, кабель, CRT монітор;

Відеокарта, кабель, TFT монітор;

Відеокарта, без кабеля, без

монітора.

На основі даного дослідження можна зробити висновок, що зміна режиму роботи та

зміна конфігурації відеотракту мають значний вплив на його ПЕМВ. Тому доцільно при

можливості під час покупки ПК дослідити ПЕМВ відеотракту та визначити такий, режим і

конфігурацію при якому рівні ПЕМВ будуть найменшими. І після встановлення такого

режиму і конфігурації не змінювати їх під час подальшої роботи.

11

О. Лесняк

Науковий керівник – асистент Гарасим Ю.Р.

РОЗРОБЛЕННЯ СИСТЕМИ ШИФРУВАННЯ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ В

КОРПОРАТИВНИХ МЕРЕЖАХ ЗВ’ЯЗКУ

Надзвичайно багато людей стикаються з проблемою збереження конфіденційної

інформації зручним способом та наявності швидкого доступу до неї в необхідний момент. На

цей час єдиним способом забезпечення конфіденційності інформації є криптографічний

захист. А найкращим способом забезпечення критерію доступності до інформації є

використання мережевих технологій. Тобто поєднавши криптографічний захист і мережеві

технології можна вирішити завдання збереження конфіденційної інформації та надійного

доступу до неї. У роботі проведено аналіз сучасних систем шифрування у корпоративних

мережах зв’язку на основі мережевої моделі «Клієнт-Сервер» та здійснено вибір

інструментарію для її вдосконалення. Роль «клієнта» виконує браузер, який встановлений на

користувацькому ПК, а роль «сервера» виконує веб-ресурс, що розташований на окремому

віддаленому сервері. Шифрування та дешифрування даних відбуватиметься лише на стороні

«Клієнта». При створенні системи шифрування конфіденційної інформації в корпоративній

мережі зв’язку використано такі інструменти: мови веб-програмування РНР, Javascript; мову

розмітки веб-сторінок HTML; високорівневу мову формування запитів до баз даних SQL;

СУБД MySQL; алгоритм симетричного шифрування AES.

На основі обраних інструментів для них було обрано визначено: використовувати

AES алгоритм шифрування для реалізації шифрування/дешифрування; на основі алгоритму

AES написати функції шифрування і дешифрування мовою Javascript, які будуть приймати

такі параметри: функція шифрування приймає відкритий текст, шифроключ та довжину

шифроключа, повертаючи значення шифротексту; функція дешифрування приймає

шифрований текст, шифроключ та довжину шифроключа, і повертає значенням відкритий

текст; HTML використовувати, як основу для написання веб-інтерфейсу; PHP

використовувати для прийняття у функції шифрування значення шифрованого тексту та

передавання для запису в MySQL; РНР використовувати для зчитування з MySQL

шифротексту та передавання до функції дешифрування. Таким чином, використовуючи AES

алгоритм шифрування забезпечується критерій конфіденційності інформації, а

використовуючи модель «клієнт-сервер» забезпечується надійний доступ до неї. Крім цього,

всі криптографічні перетворення здійснюються в браузері користувача, а інформація уже в

зашифрованому вигляді надходить до веб-сервера для зберігання.

12

М. Ляшенко

Науковий керівник – к.т.н., доц. Кеньо Г.В.

ДОСЛІДЖЕННЯ ВПЛИВУ ЗАКРИТОГО ПРИМІЩЕННЯ НА РОЗПОДІЛ

АКУСТИЧНОГО ПОЛЯ В НИЗЬКОЧАСТОТНОМУ ДІАПАЗОНІ

Мовна інформація є одним з основних джерел отримання цінної і секретної

інформації внаслідок її конфіденційності, оперативності, документальності та віртуальності.

Найчастіше інформація, що не підлягає розголосу, передається об’єктом у закритих

приміщеннях, де акустичні хвилі розповсюджуються у всі боки від джерела звуку і

заповнюють весь їх об’єм.

В даній роботі висвітлено актуальність впливу різних фізичних факторів і параметрів

на розподіл акустичного поля на низьких частотах в закритому приміщенні, що може

утворювати і збільшувати канали, по яких може відбуватися витік мовної інформації.

За допомогою системи фізико-технічного моделювання COMSOL Multiphisics 3.5

було здійснено аналіз розподілу акустичного поля на низьких частотах, який проводився на

моделі приміщення з розмірами 4x3x2,7м., та обмеженого жорсткими стінками. Метою

аналізу було виявлення впливу самого приміщення на розподіл акустичного поля.

Для досягнення зазначеної мети було проведено аналіз;

рівнів звукового тиску в точці приймання та в точці джерела звуку;

розподілу акустичного поля на кожній з резонансних частот;

акустичного поля на частоті, яка не дорівнює резонансній;

інтегрального значення рівня тиску в об’ємі приміщення.

В результаті дослідження було виявлено, що саме приміщення вносить свої зміни у

рівні тиску як в точці джерела так і в точці приймання. Рівні тиску в точці приймача є

нижчим, тобто звук згасає. Також досліджено, що у випадку не власної частоти акустичному

полю властива асиметрія, тоді поле вважається дифузним. в такому випадку приміщення

вносить менший вклад в акустичний рівень тиску у всьому приміщенні. Виявлено, що

максимальний тиск на різні поверхні є на одній з власних частот, а також, що джерело звуку

змушує резонувати все повітряне середовище приміщення.

13

С. Марченко

Науковий керівник – асистент Будз Б.Д.

ОГЛЯД І КЛАСИФІКАЦІЯ КЕЙЛОГЕРІВ

Кейлогер – це програмний продукт або апаратний пристрій, що реєструє кожне

натиснення на клавішу клавіатури комп’ютера. Кейлогери бувають двох видів апаратні і

програмні. Програмні кейлогери належать до тієї групи програмних продуктів, які

здійснюють контроль над діяльністю користувача персонального комп’ютера. Апаратні

кейлогери є мініатюрними пристроями, які можуть бути прикріплені між клавіатурою і

комп’ютером або вбудовані в саму клавіатуру. Коли апаратний кейлоггер прикріплюють,

абсолютно не має значення, в якому стані знаходиться комп’ютер – ввімкненому або

вимкненому.

Спочатку кейлогери призначалися виключно для запису інформації про натиснення

клавіш клавіатури, у тому числі і системних клавіш, в спеціалізований журнал реєстрації

(Log-файл), який згодом вивчався людиною, яка встановила кейлогер. Log-файл міг

відправлятися по мережі на мережевий диск, ftp-сервер в мережі Інтернет, по E-mail, тощо.

На сьогодні кейлогери, що зберегли «по-старому» дану назву, виконують ще й багато

додаткових функцій — це перехоплення інформації з вікон програм, перехоплення кліків

миші, перехоплення буфера обміну, «фотографування» знімків екрану і активних вікон,

ведення обліку всіх отриманих та відправлених E-mail, моніторинг файлової активності,

моніторинг системного реєстру, моніторинг черги завдань, відправлених на принтер,

перехоплення звуку з мікрофону та відеозображення з веб-камери, підключених до

комп’ютера тощо.

Методи захисту від несанкціонованого встановлення програмних кейлоггерів:

1) використання анти-шпигунських програмних продуктів або антивірусних

програмних продуктів відомих виробників, з автоматичним оновленням сигнатурних баз;

2) використання анти-шпигунських програмних продуктів або антивірусних

програмних продуктів відомих виробників, які для протидії шпигунським програмним

продуктам використовують так звані евристичні (поведінкові) аналізатори, тобто не

вимагають сигнатурної бази.

Захист від несанкціоновано встановлених апаратних кейлогерів:

1) ретельний зовнішній і внутрішній огляд комп’ютерних систем;

2) використання віртуальних клавіатур при наборі критичної інформації (паролів,

тощо).

14

К. Мушинський

Науковий керівник - асистент Будз Б.Д.

ЗАСОБИ ВИЯВЛЕННЯ ПОМИЛОК В ПРОГРАМНОМУ КОДІ

За останні роки технології створення програмного забезпечення (ПЗ) стали основою

різних розділів комп’ютерних наук. Одним із таких розділів є – тестування програмного

забезпечення на виявлення помилок у коді чи системі.

Основними причинами помилок програмного забезпечення є:

велика складність ПЗ, наприклад, в порівнянні з апаратурою ЕОМ;

неправильний переклад інформації з одного представлення в інше на макро- і

мікрорівнях.

Існує необхідність здійснювати тестування ПЗ. Тестування програмного забезпечення –

це процес, що використовується для виміру якості розроблюваного ПЗ. Зазвичай, поняття

якості обмежується такими поняттями, як коректність, повнота, безпечність. Тестування – це

процес технічного дослідження, який виконується на вимогу замовників, і призначений для

вияву інформації про якість продукту відносно контексту, в якому він має

використовуватись. Необхідно розрізняти тестування програмного забезпечення і

забезпечення якості програмного забезпечення, до якого належать усі складові ділового

процесу, а не тільки тестування.

Одним з таких видів тестування є – Stress-Testing. Це тестування яке оцінює надійність

програмного забезпечення в умовах перевищення нормального функціонування цієї системи.

В загальному Stress-Testing виявляє стійкість системи, доступність її, а також використання в

нормальних умовах. Необхідність Stress-Testing диктується наступними факторами:

більшість програмного забезпечення розробляється для загального користування і не

приймаються реальні ситуації і навантаження на програмне забезпечення;

ціна відмови системи може коштувати дуже дорого для підприємства;

більшість помилок неможна виявити за допомогою інших видів тестування;

тестування виробником може бути недостатнім для виявлення стабільності системи;

Основні критерії використання Stress-Testing:

загальні дослідження поведінки системи при пікових навантаженнях;

дослідження вузьких місць системи або окремих компонент при диспропорційних

навантаженнях;

тестування ємкості системи.

15

В. Нечипор

Науковий керівник – асистент Гарасим Ю.Р.

РОЗРОБЛЕННЯ МЕТОДУ ПРОЕКТУВАННЯ КОРПОРАТИВНИХ МЕРЕЖ ЗВ’ЯЗКУ,

ЩО МАЮТЬ ВЛАСТИВІСТЬ ЖИВУЧОСТІ

В умовах цілковитої інформатизації усіх аспектів людської діяльності, зокрема

виробничої, актуальним завданням при проектуванні системи захисту інформації захищеної

корпоративної мережі зв’язку (СЗІ ЗКМЗ) є забезпечення надійності, живучості та

відмовостійскості її функціонування.

В процесі експлуатації СЗІ ЗКМЗ зазнають негативного впливу детермінованих та

стохастичних чинників дестабілізації (ЧД), що здатні зумовити різного роду пошкодження:

від виходу з ладу окремого елемента до повної втрати роботоздатності СЗІ. Для забезпечення

живучості СЗІ, яка проявляється у можливості виконання системою базового набору

функцій, визначеного для конкретного рівня деградації, під впливом сукупності ЧД, та

стійкості до виходу з ладу окремих компонентів СЗІ ЗКМЗ, розробниками на етапі

проектування закладається функціональна та апаратна надлишковість. Введення резервних

точок сполучення для розширення варіативності адресації сигналів та розроблення такої

топології мережі, в якій класична модульно-замінна структура мережі доповнюється

розподілом обов’язків вийшовшого з ладу елемента поміж елементів з функціонально-

близькими завданнями сприяє збільшенню живучості системи та стійкості до чинників

дестабілізації. Очевидною є прямопропорційна залежність між кількістю резервних шляхів

з’єднання та живучістю системи захисту.

Метою роботи є розроблення методу, який на етапі проектування та експлуатації СЗІ

ЗКМЗ, що має властивість живучості, дає змогу системі під впливом чинників дестабілізації

підтримувати рівень роботоздатності за рахунок реконфігурації та реорганізації

міжкомпонентних зв’язків таким чином, щоб підтримувалась кількість шляхів проходження

сигналу у межах функціональної необхідності.

Під час аналізу системи враховуються:

вимоги до окремих видів ресурсів системи та їх взаємозв’язків;

вимоги до функціональних можливостей компонентів системи;

характер чинників дестабілізації та їх наслідків;

Для спрощення аналізу системи її зводять до дводольного графу, що дає змогу

перейти до аналізу зв’язності графів в задачах оцінки ймовірностей формування

роботоздатної структури у випадку впливу чинників дестабілізації.

16

О. Полуектова

Науковий керівник – асистент Гарасим Ю.Р.

ДОСЛІДЖЕННЯ ЕТАПІВ РОЗРОБЛЕННЯ ЕКСПЕРТНИХ СИСТЕМ У СФЕРІ

ЗАХИСТУ ІНФОРМАЦІЇ

На сьогоднішній день склалась певна технологія розроблення експертних систем, що

містить у собі 6 етапів: ідентифікація проблемної сфери, концептуалізація проблемної сфери,

формалізація бази знань, реалізація бази знань, тестування бази знань та дослідна

експлуатація. Ці етапи справедливі і при розробленні експертних систем у сфері захисту

інформації. Етапи створення ЕС у сфері захисту інформації зображені на рис. 1:

Ідентифікація проблемної області

Концептуалізація проблемної області

Формалізація бази знань (БЗ)

Реалізація БЗ

Тестування БЗ

Дослідна експлуатація

Вимоги

Модель

Структура

Коди

Переформулювання

Переформулювання

Перепроектування

Уточнення

Рис. 1 Етапи створення експертних систем у сфері захисту інформації.

На етапі ідентифікації визначаються задачі, учасники процесу розроблення та їх ролі,

ресурси і цілі. На етапі концептуалізації експерт та інженер знань виділяють ключові

поняття, відношення і характеристики, необхідні для опису процесу вирішення задачі. Етап

формалізації полягає у вираженні на деякій формальній мові всіх ключових понять і

відношень, які були виявлені на етапі концептуалізації. Метою етапу реалізації є створення

одного або декількох прототипів ЕС, яка вирішує необхідні задачі. Спеціалісти у сфері ЕС

виділяють три аспекти етапу тестування:

тестування вихідних даних;

логічне тестування бази знань;

концептуальне тестування прикладної системи.

На етапі експлуатації перевіряється придатність ЕС для кінцевого користувача.

17

П. Пуля

Науковий керівник – асистент Гарасим Ю.Р.

РОЗРОБЛЕННЯ RFID-СИСТЕМИ КОНТРОЛЮ ДОСТУПУ НА ОСНОВІ

ЛЕГКОВАГОВОГО ШИФРУВАННЯ

Мітки RFID (Radio Frequency IDentification) поступово замінюють звичайні штрих-

коди, які досить широко застосовувалися ще до недавнього часу. Це технологія

автоматичного безконтактного вводу даних зумовлює швидке зчитування інформації з радіо-

міток на відстані та без прямої видимості за допомогою стаціонарних та мобільних

зчитувачів. Інтегрована мікросхема мітки зберігає дані про об’єкт маркування і забезпечує

необхідну кількість запису та зчитування. RFID-технології все частіше застосовують у

закордонних паспортах та у системах контролю та управління доступом (СКУД). Проте, із

зростанням популярності використання пасивних RFID-міток мають декілька недоліків. Дані

мітки не мають жодного алгоритму шифрування і при попаданні у відповідне

електромагнітне поле передають у ефір свій унікальний ідентифікаційний номер, що

належить до персональних даних власника, які за вимогами законодавства України

необхідно захищати. Отже, використання RFID-міток є актуальним і досить перспективним

на цей час у сфері захисту інформації.

Метою роботи є вдосконалення захисту RFID-систем, що працюють із пасивними

мітками. В роботі здійснюється аналіз різновидів та принципів застосування RFID-міток. На

основі проведеного аналізу сучасних рішень визначено недоліки та переваги методу

радіочастотної ідентифікації, розроблено концептуальну модель і реалізовано апаратну

частину зчитувача, який відрізняється від існуючих економічною ефективністю та не

поступається технічними характеристиками для СКУД з картками, що працюють на тактовій

частоті 125 кГц. Також проаналізовано основні алгоритми легковагового шифрування,

визначено їх недоліки, можливість використання у системах з обмеженими ресурсами та

створено модифікований алгоритм, який можна застосовувати для захисту даних між

зчитувачем та міткою.

В подальшому планується тестування даної системи на наявність помилок першого та

другого роду, пошук та аналіз вразливостей модифікованого криптоалгоритму з подальшим

їх усуненням. Створення можливості інтеграції даної системи керування та управління

доступом із GSM сповіщувачами для покращення обслуговування та ведення підсиленого

контролю за системою. Забезпечити можливість об’єднання зчитувачів в мережу та

під’єднання до бази даних користувачів (наприклад, Active Directory).

18

С. Родін

Науковий керівник – д.т.н., проф. Хома В.В.

ШЛЯХИ ПІДВИЩЕННЯ ЖИВУЧОСТІ СИСТЕМ ОХОРОНИ

В даній статті коротко викладено аналіз вразливості сучасних систем охорони та

запропоновано шлях підвищення живучості – технологія розширеного спектру та

обґрунтовано доцільність її застосування.

Основне призначення охоронної сигналізації полягає у виявленні спроб

несанкціонованого проникнення на об’єкт та оперативному й гарантованому повідомленні

служб безпеки. Вирішення даного завдання можливе лише при належному оснащенні об’єкта

охорони сучасними технічними засобами охоронної сигналізації. Важливим аспектом є

забезпечення живучості самої системи охорони від спроб фізичного пошкодження чи

несанкціонованої деактивації. На сьогодні рівень вразливості різних елементів систем

охорони є неоднаковим, а живучість системи загалом визначається живучістю найбільш

вразливого компонента. Разом з тим спостерігається стійка тенденція запровадження

найновіших досягнень у сфері мікроелектроніки і зв’язку у сучасні системи охорони.

Метою даної роботи є запропонування шляху для підвищення живучості систем

охорони, проаналізувавши та врахувавши вразливості сучасних систем охорони. Цей шлях

також повинен враховувати сучасні тенденції розвитку систем охорони та перспективні

проблеми з котрими вони можуть зіткнутися в майбутньому. Обґрунтувати доцільність

вибраного шляху та навести його переваги.

Для досягнення зазначеної мети поставлено такі основні завдання:

проаналізувати вразливості сучасних систем охорони;

визначити найвразливішу складову;

визначити шлях для підвищення живучості;

провести порівняння, показати переваги запропонованого шляху і обґрунтувати

доцільність його застосування.

Розширення спектра сигналу дозволить підвищити живучість, завадостійкість,

відмовостійкість, енергоефективність охоронних систем за рахунок рознесення енергії

сигналу по всій виділеній смузі частот. Застосування технології розширеного спектра у

системах охорони дадуть серйозні переваги. Тому існує перспектива їх застосування,

оскільки для сучасних бездротових охоронних систем такі аспекти як підвищена

завадостійкість і протистояння впливу навмисних завад, робота в середовищі із множинним

доступом, енергоефективність мають ключове значення.

19

Б. Середницький

Науковий керівник – асистент Тимошик Н.П.

АКТУАЛЬНІСТЬ ЗАХИСТУ ІНФОРМАЦІЇ В СФЕРІ ОХОРОНИ ЗДОРОВ’Я

Дана робота присвячена проблемі захисту інформації в сфері медицини. У ній

проаналізовано можливі загрози розкриття персональної інформації пацієнтів, розглянуто

стандарти з вимогами щодо безпечної організації діяльності відповідних установ і

запропоновано шляхи захисту цієї інформації. Розглянуто використання мобільних пристроїв

і програм, які впроваджуються в галузь медицини.

Діяльність в сфері охорони здоров’я спрямована на активне використання

електронних записів про хвороби пацієнтів і надання медичної допомоги з використанням

комп’ютерних мереж. Це зумовлено збільшенням об’єму даних, які опрацьовуються. З

поширенням мережевих технологій в охороні здоров’я, першочерговим завданням постала

необхідність реалізувати заходи безпеки для захисту конфіденційних даних пацієнтів. Проте

багато організацій охорони здоров’я не поспішають включати адекватну технологію безпеки

у своїх мережних інфраструктурах. При проведенні оцінювання рівня безпеки, в діяльності

організацій охорони здоров’я, консультантами з ІБ було визначено, що галузь охорони

здоров’я має найвищий відсоток Інтернет вразливостей. Наприклад, відсоток вразливості

Web-серверів в даній галузі становить 61,07%, в той час, як середнє значення у інших

галузях рівне 27,37%. Тому підвищення рівня захисту інформації в сфері охорони здоров’я є

одним з першочергових завдань.

Метою даної роботи є дослідження захисту інформації в сфері охорони здоров’я,

виявлення можливих наслідків, пов’язаних з порушенням безпеки в даній галузі. А також

довести, що ця галузь потребує уваги в плані підвищення рівня захищеності даних, оскільки

даному питанню не надається високого значення.

Керівництво сучасних медичних закладів зустрічаються з проблемою обробки великої

кількості даних. Дану проблему вирішують комп’ютерні технології, які спрощують роботу з

великою кількістю інформації, дозволяють набагато швидше реагувати на різноманітні

інциденти, пов’язані із здоров’ям людини. Проте така інформація є конфіденційною і

вимагає надійного захисту. Розглянуті в роботі загрози і методи протидії їм дозволяють

правильно організувати процес контролю над цими даними і захистити їх.

20

Ю. Сорока

Науковий керівник – асистент Будз Б.Д.

ПРОТИДІЯ ВИТОКУ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ ЧЕРЕЗ ПЕМВ

В доповіді проводиться аналіз причин виникнення ПЕМВ. Розглядаються методи

протидії витоку конфіденційної інформації через канали ПЕМВ, які можна поділити на три

групи :

1) організаційні:

встановлення контрольованої зони

розміщення пристрою в межах КЗ.

2) технічні:

електромагнітне зашумлення;

використання захищених ПК;

конструкторське дороблення;

екранування.

3) організаційно-технічні.

Наводяться приклади підходів, для забезпечення захисту інформації: використання

захищеного комп’ютера, екранованої кімнати, генератора електромагнітного шуму.

Розглянуті можливі варіанти розміщення комп’ютера, на якому циркулює конфіденційна

інформація, на території підприємства. При досліджені комп’ютера встановлюється радіус в

середині якого можливе перехоплення інформації за допомогою засобів технічної розвідки

(зона R2). Якщо цей радіус виходить за межі контрольованої зони то вживаються заходи для

захисту комп’ютера.

Вибір заходів проводимо згідно економічної доцільності. Якщо можливим є

переміщення комп’ютера всередину контрольованої зони таким чином, щоб зона R2 не

виходила за межі контрольованої зони – виконуємо такий захід. У випадку коли таку

операцію зробити неможливо, вдаємось до екранування. При цьому необхідно визначити

який вид екранування доцільніше буде використати (приміщення чи самого ПК та його

вузлів), відповідно до об’єму, роду інформації та операцій що над нею виконуються. Канали

ПЕМВ відомі давно, але на цей час вони найбільш перспективні для використання з метою

несанкціонованого отримання конфіденційної інформації, оскільки на ринку достатньо

відносно недорогого, портативного і чутливого вимірювального обладнання, яке необхідне

для перехоплення, а також достатньо кваліфікованих безробітних спеціалістів, які можуть

реалізувати таку загрозу.

21

C. Шикеринець

Науковий керівник – асистент Тимошик Н.П.

OWASP - СПИСОК ПЕРЕВІРКИ ВРАЗЛИВОСТЕЙ

У даній статті здійснюється огляд та порівняльний найбільш ймовірних загроз для веб

програм користувачів. Проведений порівняльний аналіз 10 вразливостей за певним

переліком критеріїв, який розроблявся спеціально для порівняння та оцінки.

Проблема небезпеки програмного забезпечення зростає з кожним роком та підриває

фінансову, оборонну, енергетичну, інформаційну та інші важливі інфраструктури будь-якої

держави. Оскільки наша інформаційна інфраструктура стає все більш складнішою та

взаємопов’язанішою з усіма сферами життя, труднощі в досягненні безпеки програм

зростають небезпечними шаленими темпами. Ми більше не можемо дозволити собі

миритися з такими простими проблемами безпеки, які представлені в OWASP Top-10.

Метою даної роботи є підвищенням обізнаності про безпеку програм шляхом

визначення деяких найбільш важливих ризиків, що стоять перед організаціями. OWASP Top

10 проект посилається на велику кількість стандартів, книг і організацій, у тому числі

MITRE, PCI DSS, DISA, FTC, і багатьох інших.

Для досягнення зазначеної мети поставлено такі основні завдання:

проаналізувати 10 найбільших вразливостей;

визначити критерії порівняння та встановити їх міру;

зробити і перевірити результати обчислення вразливостей для декількох сфер та

порівняти з реальними даними.

Дана робота демонструє тільки 10 найбільших вразливостей і не варто зупиняти свою

увагу тільки на них, оскільки зловмисники використовують все більш нові і вишуканіші

способи атак, які є складними для виявлення.

22

НАУКОВЕ ВИДАННЯ

69-та СТУДЕНТСЬКА

НАУКОВО-ТЕХНІЧНА

КОНФЕРЕНЦІЯ

(17-18 жовтня 2011 року)

ЗБІРНИК ТЕЗ ДОПОВІДЕЙ

секції кафедр «Захист інформації» та «Безпека інформаційних технологій»

Укладачі: Юрій Романович Гарасим, асистент

Юрій Михайлович Костів, асистент

Редактор

Комп’ютерне складання

Юрій Романович Гарасим, асистент