ПРЕДОТВРАЩЕНИЕ ФАЛЬСИФИКАЦИИ ЛИЧНЫХ ДАННЫХ В

СОЦИАЛЬНЫХ СЕТЯХ МЕТОДОМ ШИФРОВКИ

Витошка Николай
2021
ПРЕДОТВРАЩЕНИЕ ФАЛЬСИФИКАЦИИ ЛИЧНЫХ ДАННЫХ
В СОЦИАЛЬНЫХ СЕТЯХ МЕТОДОМ ШИФРОВКИ

Витошка Николай
2021

Введение
Социальные сети занимают важное место в жизни современного
человека. Они уже настолько “вписались” в жизнь человека, что не
каждый готов отказаться от таких услуг. Немногие задумываются о
потенциальном вреде, который они могут причинить. Мы остановимся
на таком недостатке современных социальных сетей, как уязвимость к
несанкционированному доступу. Злоумышленники, саботируя работу
системы, могут использовать личные данные чтобы выдать себя за
других людей. Фальсификация личных данных в настоящее время
настолько распространена, что, по данным статистических
исследований, в США она совершается каждые несколько секунд.
Стремится обеспечить защиту должны и пользователи, и владельцы
социальных сетей. В этой работе представлен способ предотвращения
фальсификации личных данных (местоположение, переписки,
паспортные данные и другие личные данные) мошенниками со
стороны сервера(владельца сайта) методом шифровки и дешифровки
конфиденциальной информации и применение такого способа на
практике.
 РАЗДЕЛ 1
ОСНОВНЫЕ ЗНАНИЯ В ОБЛАСТИ КРИПТОГРАФИИ И
СЛУЧАИ ФАЛЬСИФИКАЦИИ И КРАЖИ ДАННЫХ

1.1 Терминология и основные знания в области криптографии

Криптография – это наука, которая занимается поиском и

исследованием математических методов преобразования информации.
Сфера интересов криптоанализа - исследование возможности
расшифровывания информации без знания ключей. криптография дает
возможность преобразовать информацию таким образом, что ее
прочтение (восстановление) возможно только при знании ключа.
В качестве информации, подлежащей шифрованию и
дешифрованию, будут рассматриваться тексты, построенные на
некотором алфавите. Алфавит - конечное множество используемых для
кодирования информации знаков. Текст - упорядоченный набор из
элементов алфавита. Шифрование - преобразовательный процесс:
исходный текст заменяется шифрованным текстом. Дешифрование -
обратный шифрованию процесс. На основе ключа шифрованный текст
преобразуется в исходный. Ключ - информация, необходимая для
беспрепятственного шифрования и дешифрования текстов.
Термины распределение ключей и управление ключами относятся к
процессам системы обработки информации, содержанием которых
является составление и распределение ключей между пользователями.
Электронной (цифровой) подписью называется присоединяемое к
тексту его криптографическое преобразование, которое позволяет при
получении текста другим пользователем проверить авторство и
подлинность сообщения. Криптостойкостью называется
характеристика шифра, определяющая его стойкость к дешифрованию
без знания ключа.
Для современных криптографических систем защиты информации
сформулированы следующие общепринятые требования:
зашифрованное сообщение должно поддаваться чтению
только при наличии ключа;
число операций, необходимых для определения
использованного ключа шифрования по фрагменту
шифрованного сообщения и соответствующего ему
открытого текста, должно быть не меньше общего числа
возможных ключей;
число операций, необходимых для расшифровывания
информации путем перебора всевозможных ключей
должно иметь строгую нижнюю оценку и выходить за
пределы возможностей современных компьютеров(с
учетом возможности использования сетевых
вычислений);
знание алгоритма шифрования не должно влиять на
надежность защиты;
незначительное изменение ключа должно приводить к
существенному изменению вида зашифрованного
сообщения даже при использовании одного и того же
ключа;
структурные элементы алгоритма шифрования должны
быть неизменными;
дополнительные биты, вводимые в сообщение в процессе
шифрования, должен быть полностью и надежно скрыты
 в шифрованном тексте;
длина шифрованного текста должна быть равной длине
исходного текста;
не должно быть простых и легко устанавливаемых
зависимостью между ключами, последовательно
используемыми в процессе шифрования;
любой ключ из множества возможных должен
обеспечивать надежную защиту информации;
алгоритм должен допускать как программную, так и
аппаратную реализацию, при этом изменение длины
ключа не должно вести к качественному ухудшению
алгоритма шифрования.
Методы шифрования данных делят, прежде всего, на
бесключевые, одноключевые и двухключевые.
Как следует из названия, бесключевые алгоритмы шифрования
данных не предполагают использование ключей. Среди этих методов
очень часто применяются функции, использующиеся, например, для
проверки целостности данных при передаче или же для быстрого
поиска в базах данных (системе не придется просматривать всю базу, а
по хэш-коду будет вычислен раздел, в котором необходимо провести
поиск). Популярность эти методы заслужили за счет своей простоты и
низкой потребности ресурсов.
Симметричное(или же одноключевое) шифрование . Его суть
заключается в том, что для зашифровки и расшифровки применяется
один и тот же ключ. Однако главной проблемой данных методов
является проблема безопасной передачи ключа авторизированным
пользователям. В свою очередь, симметричные алгоритмы
подразделяются на блочное и поточное шифрование. В первом случае
данные разделяются на блоки фиксированной длины, которая равна
длине ключа шифрования, затем сегменты шифруется отдельно (для
большей надежности каждый блок можно шифровать собственным
методом зависимым, например, от результата шифрования
предыдущего). Поточное шифрование является частным случаем
блочного, когда длина нашего блока равна 1 биту. Важной проблемой
этих методов является передача ключа, по которому проводится
шифровка/расшифровка данных. В ходе передачи ключ может быть
перехвачен злоумышленниками, и тогда алгоритм шифрования станет
бесполезен. Следующая же группа методов лишена этого недостатка.
В основе двухключевого или асимметричного шифрования лежит
использование двух ключей – открытого и закрытого. Открытый
используется для шифровки информации и не скрывается.
Расшифровка же происходит с помощью закрытого ключа, доступного
только авторизированным пользователям. Вычисление же секретного
ключа из открытого практически не представляется возможным и
потребует огромного количества времени.
Все многообразие существующих одноключевых
криптографических методов можно свести к следующим классам
преобразований:
Подстановки
Гаммирование
Блочные шифры
Подстановка - наиболее простой вид преобразований,
заключающийся в замене символов исходного текста на другие (того
же алфавита) по более или менее сложному правилу. Для обеспечения
высокой криптостойкости требуется использование больших ключей.
Гаммирование заключается в наложении на исходный текст
некоторой псевдослучайной последовательности, генерируемой на
основе ключа.
Блочные шифры представляют собой последовательность (с
возможным повторением и чередованием) основных методов
преобразования, применяемую к блоку (части) шифруемого текста.
Блочные шифры на практике встречаются чаще, чем ´чистые
преобразования того или иного класса в силу их более высокой
криптостойкости. Российский и американский стандарты шифрования
основаны именно на этом классе шифров.
Подстановка Цезаря является самым простым вариантом
подстановки. Его суть заключается в замене одной буквы другой,
находящейся от первой на определённое количество символов. Сам
Гай Юлий Цезарь использовал промежуток между исходной буквой и
буквой шифра в три символа. Это означает, что а менялась на г, б на д
и т.д. Так, сообщение “нас атакуют” в итоге будет выглядеть как “ргф
гхгнцбх”.
Система Вижинера – улучшенная версия Подстановки Цезаря.
Такая система предусматривает ключ. Например: ключ = “увыса”,
шифруемое сообщение = “тайна”. Вычислим номера букв в
шифруемом сообщении: Т – 20, А – 1 и т.д. К каждому номеру
прибавим номер ключа: Т(20) + У(21) = 41(8(Ж)), А(1) + В(3) = Г(4), и
т.д. В итоге мв получаем сообщение: “жгёаб”.

1.2 Случаи кражи данных

23 июня 2020 года стало известно, что эксперты компании
DeviceLock обнаружили утечку данных почти пяти миллионов
пользователей в РФ, предположительно с одного из порталов по
трудоустройству. В базе содержатся контактные данные и фамилии,
имена и отчества пользователей. Основатель и технический директор
компании-разработчика систем борьбы с утечками данных DeviceLock
Ашот Оганесян сообщил, что набор файлов был опубликован 22 июня,
вероятно, что это выгрузка из базы портала SuperJob. Суммарно во
всех файлах содержится пяти миллионов строк, после очистки
которых от дублей остается около 4,8 миллиона строк. Файлы можно
скачать бесплатно. В пресс-службе компании SuperJob сообщили, что
утекшая в сеть база данных пользователей не связана с порталом, в
компании никогда не было утечек, подобные случаи блокируются.
29 апреля стало известно, что на продажу были выставлены
персональные данные россиян, которые оформляли микрозаймы в
2017-2019 годах. В базе содержалось 12 миллионов записей с
паспортными данными, телефонами и сведениями об электронных
кошельках. В пробной бесплатной версии содержались данные 1,8
тысячи человек. Каждого заемщика в базе сопровождала реферальная
ссылка на сайт, который "привел" пользователя, чаще всего встречался
финансовый маркетплейс "Юником24". Роскомнадзор направил
финансовому маркетплейсу запрос о возможной утечке персональных
данных россиян.
16 апреля в открытом доступе была обнаружена база данных
клиентов программы лояльности розничных сетей "К-Руока" и "К-
Раута", которые в России развивала финская Kesko, с 2011 по 2018 год.
Сейчас сети закрыты или сменили владельцев. По словам основателя
обнаружившей утечку компании DeviceLock Ашота Оганесяна, база
содержит более 970 тысяч строк с данными клиентов, включая ФИО,
дату рождения, телефон, электронную почту, город и район
проживания, количество человек в семье и данные об участии в
системах лояльности Kesko и ее партнеров.
20 апреля Московская прокуратура сообщила о начале проверки
информации об утечке данных клиентов розничных сетей "К-Руока" и
"К-Раута", по результатам которой будет решен вопрос о принятии
исчерпывающих мер по устранению нарушений и привлечению
виновных лиц к установленной законом ответственности.
6 февраля СМИ сообщили о продаже в интернете данных более
1,2 миллиона клиентов российских микрофинансовых организаций. В
этой базе присутствовали и данные о клиентах микрофинансовой
организация (МФО) "Займер". В результате проведенной компанией
служебной проверки утечки не было выявлено. В пресс-службе
саморегулируемой организации "МиР", объединяющей крупнейшие
российские МФО, заявили, что данные не имеют высокого уровня
совпадения с имеющимися у компаний данными, что может
свидетельствовать об утечке со стороны стороннего агента.
В начале февраля в ряде Telegram-каналов появилась
информация о том, что в интернете продается база данных клиентов
ритейлера "Лента" из Москвы и Московской области, содержащая
порядка 90 тысяч строк. Роскомнадзор сообщил, что направил
компании запрос. 11 февраля "Лента" выпустила пресс-релиз, в
котором сообщила, что ее внутреннее расследование не выявило
утечек данных клиентов.
1 февраля в Сети были обнаружены данные клиентов кредитного
брокера "Альфа-Кредит", который собирает заявки на кредиты и
помогает выбрать и получить заем в банке. Они содержались в системе
управления базами данных MongoDB с открытым кодом,
используемой некоторыми компаниями для внутренних задач. База
содержала более 44 тысячи записей, в каждой были указаны инициалы
клиента, сумма и вид запрашиваемого кредита, номер телефона, адрес
и регион проживания. По словам основателя компании в сфере IT-
безопасности DeviceLock Ашота Оганесяна, поисковые системы
проиндексировали базу 31 января. Данные клиентов находились в
свободном доступе в течение четырех дней, 4 февраля она была
закрыта.
28 января в ряде Telegram-каналов появилась информация о том,
что в открытом доступе находится база данных со списком участников
программы лояльности алкомаркетов "Красного & Белого". Личные
данные почти 17 миллионов покупателей компании, которым в свое
время оформили там карты лояльности, были опубликованы в
интернете. В связи с информацией об утечке данных клиентов
Роскомнадзор направил запрос в сеть алкомаркетов "Красное &
Белое". Компания провела внутреннюю проверку, в ходе которой
фактов утечки базы данных клиентов выявлено не было.
5 ноября 2019 года СМИ сообщили, что данные примерно 3,5
тысяч держателей кредитных карт Альфа-банка, а также около трех
тысяч клиентов "АльфаСтрахования" оказались выставлены на
продажу. Объявление об этом было опубликовано 31 октября на одном
из специализированных форумов. В ходе внутреннего расследования в
Альфа-банке стало известно о незаконном распространении
информации о 15 пользователях, при этом подчеркивается, что
средствам на их счетах ничто не угрожает. В банке установили, что
случившееся не является следствием нарушения защиты
корпоративной информационной системы.
16 октября независимый исследователь по кибербезопасности,
руководитель проекта Security Discovery Боб Дяченко сообщил в своем
Twitter об обнаруженном сервере онлайн-кредитора, на котором
находились кредитные истории более миллиона россиян, полученные
из бюро кредитных историй (БКИ) "Эквифакс", а также c данными
сотовых операторов. Произошло это в результате ошибки в
конфигурации базы данных на одном из серверов, предположительно
принадлежавшем микрофинансовой организации. Владелец сервера не
реагировал на попытки с ним связаться. Дяченко сообщил о проблеме
в БКИ, после чего база данных была закрыта. В свою очередь
кредитное бюро "Эквифакс" заявило, что информация об утечке
персональных данных из БКИ не соответствует действительности.
4 октября на одном из анонимных интернет-ресурсов появилась
информация о якобы "утечке восьми миллионов данных абонентов
проводного интернета "Билайн". Как рассказали в пресс-службе
"Вымпелкома", в компании незамедлительно создали оперативный
штаб для расследования ситуации. По данным компании, часть
информации в распространенном архиве действительно содержит
данные абонентской базы клиентов фиксированного интернета, однако
значительная часть информации носит устаревший характер и
неактуальна. В "Вымпелкоме" также отметили, что база клиентов
"Билайна" на конец второго квартала 2019 года составляет 2,5
миллиона абонентов, а не восемь миллионов, как заявили
злоумышленники. В компании заверили, что прилагают все усилия,
чтобы подобное не повторялось.
2 октября стало известно о возможной утечке учетных записей по
кредитным картам Сбербанка, которая затронула как минимум 200
клиентов банка. Хотя СМИ сообщили об утечке данных 60 миллион
россиян. В результате внутреннего расследования служба
безопасности банка при взаимодействии с правоохранительными
органами выявила сотрудника банка, руководителя сектора в одном из
бизнес-подразделений банка, который имел доступ к базам данных в
силу выполнения служебных обязанностей и который попытался
осуществить хищение клиентской информации в корыстных целях.
Дополнительно было установлено, что в конце сентября
сотрудник, совершивший преступление, продал несколькими
траншами одной из преступных групп в теневом интернете в
совокупности пять тысяч учетных записей кредитных карт Уральского
банка Сбербанка, значительное количество из которых являются
устаревшими и неактивными.
16 сентября стало известно, что что около 14 миллионов записей
о юридических и физических лицах, включая информацию о покупках
и уплаченных налогах, попали в открытый доступ.
По данным СМИ, утечка произошла через ОФД "Дримкас" –
"утекли" строки с информацией начиная от ИНН, адреса, названия
компании и заканчивая информацией об электронных адресах и
телефонах представителей, а также заключенных сделках,
ассортименте и ценах товара. Также в сеть попали телефоны и
электронная почта трех тысяч пользователей скидочной программы
"Покупай-ка". Оператор фискальных данных "Дримкас" опроверг
утечку данных клиентов. По словам руководителя отдела маркетинга
оператора Эдуард Сайфуллина, вопросы возникли с сервером, который
собирает служебную информацию о техническом состоянии онлайн-
касс.
Например, данные о подключении кассы к интернету, об
успешном или ошибочном результате загрузки обновления
программного обеспечения, версиях программ, количестве
обработанных кассиром товаров.
29 августа стало известно, что в интернете появились
персональные данные более чем 700 тысяч сотрудников РЖД. В
свободном доступе оказались фамилии, имена, отчества, даты
рождения, адреса, номера СНИЛС, должности, фотографии и номера
телефона. В ходе расследования было установлено, что в июне 2019
года житель Краснодарского края 1993 года рождения смог получить
неправомерный доступ к охраняемой законом информации,
находящейся на внутренних ресурсах организации. После этого он
произвел незаконное копирование нескольких сотен тысяч фотографий
и сведений работников ОАО "РЖД" и опубликовал их на одном из
интернет-ресурсов, хостинг которого расположен в Германии. 6
декабря 2019 года ему было предъявлено обвинение в совершении
преступлений, предусмотренных частью 1 статьи 183 УК РФ
(незаконное получение и разглашение сведений, составляющих
коммерческую тайну) и частью 1 статьи 272 УК РФ (неправомерный
доступ к охраняемой законом компьютерной информации).
Обвиняемый, являющийся специалистом в IT-сфере, признал вину в
совершении кибератаки. 13 февраля 2020 года Московское
следственное управление на транспорте СКР завершило
расследование. Дело было передано в суд.
5 августа газета "Коммерсант" написала со ссылкой на данные
компании DeviceLock, что в сети продается база данных клиентов
Бинбанка (в рамках санации был присоединен к "Открытию") в
количестве 70 тысяч строк стоимостью примерно пять рублей за
строку. В пресс-службе банка "Открытие" сообщили, что информация
об утечке базы данных клиентов Бинбанка не соответствует
действительности, подтверждений причастности попавшей в сеть базы
данных конкретно к клиентам Бинбанка нет. В апреле DeviceLock
также сообщала об утечке данных граждан-клиентов Бинбанка,
подававших в свое время заявки на получение кредитной карты Эlixir:
методом подбора можно было получить доступ к ФИО, паспортным
данным, телефону и адресу проживания. Основатель DeviceLock Ашот
Оганесян заявил, что после сообщения компании банк закрыл
уязвимость.
10 июля СМИ сообщили об обнаружении на одном из сайтов,
собирающих утечки данных, базы с адресами электронной почты и
паролями более 450 тысяч аккаунтов пользователей Ozon. Сам
интернет-магазин заявил об отсутствии утечки данных пользователей с
его стороны. Служба информационной безопасности Ozon сразу после
обнаружения базы проверила, есть ли в файле учетные записи
пользователей интернет-магазина, сбросила пароли всех аккаунтов,
относящихся к Ozon.ru. Тогда же – в конце 2018 года – компания
направила пользователям, чьи данные были скомпрометированы,
письма с информацией о сбросе паролей и необходимости обновления
антивирусного ПО. Ozon представил в Роскомнадзор сведения в связи
с сообщениями об утечке персональных данных клиентов. Ведомство
считает, что факт компрометации 30 тысяч клиентских аккаунтов не
привел к фактическому нарушению прав граждан по персональным
данным.
10 июня СМИ сообщили, что данные клиентов ОТП Банка,
Альфа-банка и "Хоум Кредит Банка" оказались в открытом доступе. По
данным издания, в общей сложности базы содержали данные
примерно 900 тысяч россиян. Базы были выложены в конце мая,
данные в них собирались несколько лет назад, но существенная часть
информации по-прежнему была актуальна.
Источник, близкий к ЦБ РФ, заявил РИА Новости, что
информация в СМИ о попадании в сеть данных 900 тысяч россиян
является компиляцией ранее известных инцидентов. В "Хоум Кредит
Банке" опровергали утечку базы данных клиентов и заявляли, что по
факту наличия в сети некорректной информации проводится проверка.
"ОТП Банк" также не зафиксировал попадание персональной
информации его клиентов в сеть. В Альфа-банке заявили, что проводят
проверку после информации об утечке персональных данных его
клиентов.
 14 июня стало известно, что Роскомнадзор внес в реестр
нарушителей прав субъектов персональных данных интернет-форум,
на котором были размещены для платного скачивания базы данных
клиентов российских банков; операторы связи приступили к
блокировке доступа к этому ресурсу на территории РФ.
 РАЗДЕЛ 2
ВЫБОР ОДНОГО ИЗ МЕТОДОВ ШИФРОВАНИЯ ДАННЫХ ДЛЯ
ПРИМЕНЕНИЯ НА ПРАКТИКЕ, ПРОВЕДЕНИЕ
ЭКСПЕРИМЕНТА И АНАЛИЗ ЕГО РЕЗУЛЬТАТОВ

2.1 Выбор метода шифрования данных

Для использования мы выбрали бесключевые алгоритмы из-за

большей простоты использования.
При выборе из двух категорий бесключевого шифрования данных
(хеш-функции и генераторы псевдослучайных чисел) были выбраны
хеш-функции из-за их относительной простоты в использовании и
распространенности.
Хеш-функция — это функция, отображающая сообщения
произвольной длины в последовательности из 0 и 1 ограниченной
длины — значения хеш-функции, или хеш-значения. Значение хеш-
функции представляет собой как бы отпечаток всего сообщения, а роль
его подобна отпечаткам пальцев в процессе идентификации. Для
любой хеш-функции существуют сообщения, имеющие одинаковые
хеш-значения, так как множество сообщений бесконечно, а множество
хеш-значений конечно. Если удается явно построить два различных
сообщения, имеющие совпадающие хеш-значения, иначе говоря,
построить коллизию, то хеш-функция считается
скомпрометированной, что имеет разрушительные последствия для
некоторых криптографических приложений.
Выделяют хеш-функции общего назначения, криптографические
и функции формирования ключа.
 Хеш-функция общего назначения должна удовлетворять
следующим противоречивым требованиям:
хеш-функция должна распределять ключи по ячейкам
хеш-таблицы как можно более равномерно.
хеш-функция должна легко вычисляться.
Однако такие функции не так криптостойки как
криптографические, поэтому отложим хеш-функции общего
назначения.
Криптографические хеш-функции - это класс хеш-функций,
который отвечает 3 параметрам: сопротивление поиску первого
прообраза, сопротивление поиску второго прообраза и стойкость к
коллизиям. Из-за того, что криптографические хеш-функции наиболее
криптоустойчивы, именно они были выбраны для дальнейшего
шифрования.

2.2 Выбор шифра

Мы рассмотрели самые известные шифры из раздела

криптографических хеш-функций, а именно: BLAKE(победитель
конкурса криптографических алгоритмов SHA-3) и семейство шифров
MD.
Алгоритм BLAKE разработан командой из четырех криптографов
из Швейцарии. BLAKE-224 и BLAKE-256 используют 512-битный
блочный шифр, в котором блок представляется 32-битными словами, а
BLAKE-384 и BLAKE-512 используют 1024-битную версию шифра с
64-битными словами. В основе алгоритма лежит конструкция HAIFA.
Конструкция HAsh Iterative FrAmework (HAIFA), предложенная в
2007 году, имеет ряд конструктивных особенностей. Помимо нулей и
информации о длине входного сообщения, входные данные
дополняются r битами, кодирующими длину хеш-суммы. В качестве
аргументов функции сжатия, кроме внутреннего состояния и
очередного блока сообщения, используются количество бит, уже
поступавших на вход функции сжатия на предыдущих итерациях, и
«соль».
Соль — это строка случайных данных, подаваемая на вход хеш-
функции вместе с исходными данными. В случае использования
уникальной соли поиск паролей в таблице становится бессмысленным,
и тогда единственный способ – перебор паролей по словарю или
брутфорс с последующим их хешированием с уникальной солью и
сравнением с имеющимся хеш-значением.
Одной из наиболее широко применяемых является конструкция
Меркля–Дамгарда, лежащая в основе таких известных семейств
криптографических функций, как MD и SHA (Secure Hash Algorithm).
Данная конструкция предполагает, что исходное сообщение разбито на
блоки равной длины. Обработка исходного сообщения представляет
собой последовательное применение функции сжатия к каждому
блоку. Функция сжатия преобразует блок в более короткое сообщение,
которое сохраняется в специально выделенных регистрах памяти.
Из рассмотренных хеш-функций был выбран шифр MD5(Message
Digest 5) из-за большей распространенности. Хэш-функция MD5 была
создана в 1992 г. на основе MD4 и ее безопасность была исследована
большим количеством криптоаналитиков. Первая публикация об
уязвимости MD5 датируется 1993 г. О существовании метода поиска
коллизий впервые было заявлено 17 августа 2004 г. профессором Ван
Сяоюнь. 31 марта 2005 г. Властимил Клима опубликовал улучшенный
метод поиска коллизий, позволяющий выполнить необходимые
расчеты на персональном компьютере.
 Несмотря на обнаруженные уязвимости, MD5 может быть и дальше
использован для формирования цифровых подписей и шифрования
паролей с незначительными изменениями.

2.3 Сборка и установка социальной сети на сервер

Для того, чтобы провести эксперимент внутри социальной сети,

необходимо сначала собрать и установить социальную сеть на сервер.
Для быстрого старта бала выбрана CMS система. CMS
расшифровывается как Content Management System (Система
Управления Содержимым) и используется для быстрого создания
сайтов того или иного типа.
Рассмотрим возможность модифицировать защиту в самых
известных бесплатных CMS(WordPress, InstantCMS, phpBB, myBB и
MediaWiki):
В WordPress конфиденциальные данные отсутствуют из-
за малой гибкости и интерактивности CMS.
PhpBB и myBB схожи по строению, вынесем общий
вывод. Данные системы обладают хорошей
интерактивностью, но гибкость, предоставленная
разработчиками, на очень низком уровне.
Модифицировать такую систему очень сложно.
MediaWiki представляет широкий спектр возможностей
для модификаций, но не имеет раздела личных
сообщений, вся информация, публикуемая на таком сайте
людьми, доступна в общем доступе.
InstantCMS имеет небольшую, но достаточную гибкость
и очень широкую интерактивность. Кроме того, пароли,
вводимые людьми на сайте по стандарту, шифруются
 шифром MD5. Таким образом, мы не только нашли
идеальную CMS для наших целей, но и сократили
затраты времени и усилий на шифровку паролей.
Было решено, что для нашего опыта наиболее подходит CMS
российского производства “InstantCMS”. CMS InstantCMS была
загружена на бесплатный хостинг beget.com.
После загрузки CMS мы получили готовую социальную сеть без
углубленной защиты, то есть злоумышленник, получивший доступ к
данным, может свободно редактировать конфиденциальную
переписку(см. Приложение 1-4).

2.4 Зашифровка и дешифровка личных переписок внутри

социальной сети

Чтобы исправить такой недочет, нужно применить выбранный нами

алгоритм MD5. Как только сообщение создается, мы дублируем его,
оригинал сохраняем в одной записи, а дубликат шифруем при помощи
MD5.
Каждый раз, когда возникает необходимость прочитать сообщение,
оригинальная запись шифруется и сверяется с заранее зашифрованным
дубликатом. Если записи совпадают, сообщение показывается. Если же
записи различаются, значит кто-то отредактировал исходное
сообщение или зашифрованный код, сообщение не отображается.
В целях тестирования новой системы, мы провели атаку на нашу
социальную сеть. В результате, при попытке изменения данных, все
измененные сообщения были удалены системой.

2.5 Анализ эффективности защиты сайта с выполненными

настройками
 Естественно, уровень защиты после применения шифровки
существенно вырос. После применения шифра MD5 злоумышленник,
даже если взломает доступ, не сможет отредактировать сообщение (см.
Приложение 5-8).
Результаты проведенных нами опросов:
Таблица 1. На ваш счёт, будет ли труднее злоумышленникам
получить доступ к сайту после таких изменений?
Злоумышленникам определенно будет 60% голосовавших
труднее отредактировать сообщение
Злоумышленники априори не смогут 35% голосовавших
взломать сайт с такой защитой
Злоумышленники взломают такую 5% голосовавших
систему также легко, как и любую
другую

Таблица 2. Хотели бы вы перейти со своей текущей сети

на сеть с такой системой защиты личных переписок?
Я готов присоединится к такой 85% голосовавших
сети
В зависимости от функционала 10% голосовавших
такой сети
Нет 5% голосовавших
 Заключение

Были исследованы несколько методов шифрования данных,

применимых к задаче защиты личной информации от посторонних. В
выбранной категории методов, хеш-функций, были рассмотрены
различные алгоритмы.
В итоге, был выбран алгоритм MD5, созданный в 1992 году
профессором Рональдом Л. Ривестом из Массачусетского
технологического института. Несмотря на обнаруженные уязвимости,
MD5 может быть и дальше использован для обеспечения
безопасности.
Были также исследованы CMS(Система Управления
Содержимым) на предмет гибкости и модифицируемости. Из 5
вариантов(WordPress, InstantCMS, phpBB, myBB и MediaWiki) был
выбран InstantCMS за хорошую гибкость и интерактивность.
Система была модифицирована таким способом: Как только
сообщение создается, мы дублируем его, оригинал сохраняем в одной
записи, а дубликат шифруем при помощи MD5. Каждый раз, когда
возникает необходимость прочитать сообщение, оригинальная запись
шифруется и сверяется с заранее зашифрованным дубликатом. Если
записи совпадают, сообщение показывается. Если же записи
различаются, значит кто-то отредактировал исходное сообщение или
зашифрованный код, сообщение не отображается.
По результатам тестовой атаки на сайт, такой способ защиты
вполне уместен и пригоден для обеспечения защиты на высоком
уровне.
Также были проведены опросы результаты которых можно
увидеть на Таблице 1 и Таблице 2. Абсолютное большинство считает,
что “Злоумышленникам определенно будет труднее отредактировать
сообщение c такой системой защиты” и “ Я готов присоединится к сети
с такой защитой ”.

Список Литературы

Национальный технический университет "Днепровская

политехника", Кафедра безопасности информации и
телекоммуникаций, Лекция №6 “ § 1.
КРИПТОГРАФИЧЕСКИЕ ХЭШ-ФУНКЦИИ”, лекция6
(nmu.org.ua), 18.02.2021 21:43.
Гугнин В. Н., Сотник Д. В. Криптоанализ MD5 //Вестник
Национального технического университета Харьковский
политехнический институт. Серия: Информатика и
моделирование. – 2005. – №. 46.
Баричев С. Криптография без секретов //М.:" ДИАЛОГ-
МИФИ",-1995. – 1998.
Бородин А. В. КРИПТОГРАФИЧЕСКИЕ СПОСОБЫ
ШИФРОВАНИЯ ИНФОРМАЦИИ //ББК 88 Э-40. – С. 35.
Комарова Ю. А. ХЕШ-ФУНКЦИИ И ИХ ПРИМЕНЕНИЕ //
Прикладная математика и информатика: современные
исследования в области естественных и технических наук. –
2019. – С. 47-49.
Смирнова А. А., Голубев П. А. АНАЛИЗ
РАСПРОСТРАНЕННЫХ ХЕШ-ФУНКЦИЙ,
ПРИМЕНИМЫХ К СЛОВАМ РУССКОГО ЯЗЫКА //Аллея
науки. – 2018. – Т. 1. – №. 11. – С. 206-211.
Авезова Я. Э. Современные подходы к построению хеш-
функций на примере финалистов конкурса SHA-3 //Вопросы
кибербезопасности. – 2015. – №. 3 (11).
Солдатов М. А., Иванова А. Г. ИСПОЛЬЗОВАНИЕ
ГЕНЕРАТОРОВ ПСЕВДОСЛУЧАЙНЫХ ЧИСЕЛ В
ЗАДАЧАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ //
Проблемы информационной безопасности. – 2016. – С. 154.
Богачкова И. А. и др. Задачи поиска коллизий для
криптографических хеш-функций семейства MD как
варианты задачи о булевой выполнимости //
Вычислительные методы и программирование. – 2015. – Т.
16. – С. 61-77.
Грязнов И. А. АЛГОРИТМЫ ШИФРОВАНИЯ //Дни науки
студентов Владимирского государственного университета
имени Александра Григорьевича и Николая Григорьевича
Столетовых. – 2020. – С. 283-288.
Громкие случаи утечек персональных данных в России в
2019-2020 годах - РИА Новости, 23.06.2020 (ria.ru)
Приложения
Приложение 1

Приложение 2

Приложение 3
Приложение 4

Приложение 5
Приложение 6

Приложение 7
Приложение 8