Проблемы и задачи

Проект решает проблему утечки защищаемых сведений при работе в сети интернет.

Под защищаемыми сведениями тут понимаем все виды конфиденциальной информации (ПДН, коммерческую, профессиональную и иные виды тайны), а так же любые данные и метаданные, размещаемые пользователями приватно (не для публичного использования) в информационных системах Интернета (ИСИ), либо порожденные их действиями при использовании ИСИ или доступе к ИСИ (цифровой след).

Под пользователем понимаем как физических лиц (абоненты), так и организации. Организации состоят из внутренних абонентов (абоненты организации).

Каналами утечки мы считаем:

  1. Владельцев ИСИ (За исключением случая, когда пользователь сам является владельцем ИСИ);
  2. Персонал владельцев ИСИ (в том числе и персонал пользователя — владельца ИСИ по отношению к этому пользователю). Этот персонал делится на два подтипа:
    1. Персонал работа которого требует непосредственного доступа к защищаемым сведениям для исполнения трудовых обязанностей (Например, менеджеру по продажам доступ к данным о ранее совершенных сделках и базе клиентов необходим);
    2. Персонал работа которого непосредственного доступа к защищаемым сведениям не требует, но доступ этот персонал имеет. Это, как правило, технический персонал (Например, администратору баз данных, который обслуживает СУБД, содержащую данные о ранее совершенных сделках и клиентах, доступ к этим данным не нужен, но, фактически такой доступ у него есть);
  3. Провайдеров Интернета и операторов связи, которые обеспечивают передачу данных от абонента к ИСИ и их персонал;
  4. Операторов облачных сервисов и Web-хостингов, на которых размещены ИСИ, и их персонал.

Каналы утечки могут образоваться как в результате намеренных действий так и в результате ошибок, например при конфигурировании систем защиты информации, администрировании СУБД и т.п.

Более подробно постановка проблемы и ее подтверждение приведены, например, вот в этих наших работах:

  • Alexey V. Nenashev, Alexandr Yu. Tolstenko "Video Confrencing Subsystem Of Secure Serverless Internet" 2022 Mathematical Methods in Technologies and Technics. St Petersburg, Russia, doi: 10.52348/2712-8873_MMTT_2022_7_37. >>Article in MMTT
  • Hryaschev V. V., Nenashev A. V. "Efficiency of the implementation of the peer-to-peer distributed system for securable information storage and processing (TheOOL Project)." Modeling of systems and processes . 2021. no. 3. pp. 82-89. DOI: 10.12737/2219-0767-2021-14-3-82-89. >>Article in naukaru.ru

Дополнительно значимость проблемы подтверждает вот этот международный отчет: VERYZON:2022 Data Breach InvestigationsReport

Таким образом мы должны выполнить две основные задачи:

  • Перекрыть каналы утечки 1, 2.б, 3, 4.
  • Сократить, насколько возможно, вероятность утечки через канал 2.а.

При этом разрабатываемая система должна соответствовать следующим требованиям:

  • Совокупная стоимость владения (ССВ) предлагаемой системой должна быть меньше или равной ССВ существующих, аналогичных по функционалу, систем.
  • Риски информационной безопасности (кроме рисков утечки по каналам 1 — 4) должны быть ниже или равны рискам в существующих, аналогичных по функционалу, системах.
  • Реализовывать привычную пользователям существующих ИСИ функциональность со сходным уровнем качества сервиса (QoS)
  • Анализ и перечень возможных рисков информационной безопасности приведен в нашей работе Hryaschev V. V., Nenashev A. V. "Efficiency of the implementation of the peer-to-peer distributed system for securable information storage and processing (TheOOL Project)." Modeling of systems and processes . 2021. no. 3. pp. 82-89. DOI: 10.12737/2219-076 >>Article in naukaru.ru

Продукт

Для выполнения поставленной задачи мы спроектировали и приступили к реализации продукта под рабочим названием TheOoL.net, который объединяет децентрализованные, безопасные и бессерверные севисы: веб-хостинг, среду запуска децентрализованных приложений и платежную систему.

Эти сервисы реализуют оверлейную (работающую поверх Интернет) среду, которая обеспечивает пользователям приватное пространство и операции без "цифрового следа" в сети Интернет и доступное высокоскоростное облако защищенных распределенных вычислений и хранения по оптимальной цене. Одновременно мы обеспечиваем владельцев вычислительных ресурсов возможностью безопасно, автоматически и обезличено предоставлять мощности в аренду владельцам контента через прослойку узлов метаданных и платежную систему TheOoL. Платежная система встроена в TheOoL.net для биллинга при аренде вычислительных ресурсов, который может быть выполнен исключительно через эту платежную систему. Использование платежной системы TheOoL для других целей (например оплаты товаров и/или доступа к контенту через сеть TheOoL.net) технически возможно, но не является приоритетной функцией.

ТЕХНИЧЕСКИЙ КОНЦЕПТ:

TheOoL.net состоит из облака вычислительных ресурсов (серверов) и облака данных (контент и ИСИ размещаемые пользователями), которые абстрагированы друг от друга прослойкой из системы управления метаданными и платежами функционирующей на технологии распределенного реестра (блокчейн TheOoL). В TheOoL.net определены 2 базовых типа аппаратных узлов: абонентские узлы и технические узлы. Технические узлы образуют облако вычислительных ресурсов. Данные и задачи в облаке вычислительных ресурсов защищаются сильной криптографией и распределяются между узлами облака таким образом, чтобы доступ к любому из этих узлов не позволял получить доступ к информации обрабатываемой и хранимой в облаке данных.

Предполагается, что серверы в облако вычислительных ресурсов может подключить любой участник сети TheOoL, который установил на свой сервер программное обеспечение Технического узла TheOoL.

Система на базовом уровне состоит из:

  1. Подсистемы выполнения децентрализованных приложений (DApps) в микросервисной архитектуре. В системе поднимается отдельный набор микросервисов для каждого пользовательского запроса. Серверы для исполнения микросервисов выбираются рандомно. Сведения о результатах работы микросервиса владельцу сервера не доступны. Перед запуском микросервиса сеть убеждается в безопасности его выполнения, для чего проверяется неизменность модулей TheOoL на выбранном сервере. На текущем этапе разработки приемлемы DApps, написанные на Python.
  2. Подсистемы децентрализованного защищенного хранения данных. Мы храним данные в зашифрованном виде по принципу «везде и нигде». Упрощенно это можно описать так: любой законченный набор данных (файл) перед размещением в облаке TheOoL зашифровывается, затем нарезается на блоки стандартного размера (но не менее 2), а затем раскидывается на случайным образом отобранные технические узлы, таким образом, чтобы каждый технический узел содержал не более одного блока, принадлежащего одному файлу. Доступ к данным для пользователя доступен через метаданные, хранимые в индивидуальном наборе поисковых индексов. Подробно см. нашу работу: Alexey V. Nenashev, Alexandr Yu. Tolstenko and Rostislav S. Oleshko "Model of the peer‐to‐peer distributed system for securable information storage and processing without traffic prioritization(TheOoL project)" 2021 Proceedings of the III International Workshop on Modeling, Information Processing and Computing (MIP: Computing-2021) Krasnoyarsk, Russia, doi:10.47813/dnit-mip3/2021-2899-141-150. >>Article in ceur-ws.org
  3. Децентрализованной системы поиска, которая обеспечивает доступ к данным через поисковые индексы трех уровней: индивидуальный (индекс и данные доступны одному конкретному абоненту, остальные не знают об их существовании), групповой (индекс и данные доступны абонентам — членам определенной группы, абоненты - не члены группы не знают об их существовании), публичный (доступен всем абонентам, содержит метаданные для страниц с публичным доступом, при этом сведения о владельце страниц не содержит, они хранятся в инндивидуальном индексе владельца). Доступ к данным абонент получает через доступные ему поисковые индексы. Если индекс скрыт от абонента, такой абонент не только не имеет доступа к данным, зарегистрированном в этом индексе, но и не имеет сведений о существовании таких данных в системе.
  4. Встроенной платежной системы и системы управления метаданными на блокчейне TheOoL с поддержкой фиксированного набора стандартных смарт-контрактов, которые предназначены для обслуживания взаимодействий владельцев контента (заказчиков) и владельцев аппаратных ресурсов (исполнителей). Это необходимо, чтобы обеспечить заказчиков гарантированным доступом к высокопроизводительным вычислительным ресурсам, что выгодно отличает разрабатываемую нами систему от аналогов и предшественников (см. анализ конкурентов).
  5. Технических подсистем, выполняющих автоматические функции поддержания целостности и доступности данных и оптимизации работы облака данных по производительности и надежности.

Программное обеспечение TheOoL при передаче данных в соответствии с сетевой моделью OSI обеспечивает три верхних уровня: прикладной, представительский и сеансовый уровни.

На транспортном уровне передача данных между узлами осуществляется через оверлейный (работающий поверх TCP/IP) протокол I2P который во первых обеспечивает скрытную передачу данных между узлами через сеть маршрутизаторов I2P, которые в общем случае могут не принадлежать сети узлов TheOoL, что осложняет идентификацию трафика узлов TheOoL в общем потоке, а во вторых выполняет дополнительное (повторное) шифрование данных при передаче.

Подробную информацию об архитектуре TheOoL.net можно получить, например вот в этой нашей работе: Alexey V. Nenashev, Alexandr Yu. Tolstenko "Video Confrencing Subsystem Of Secure Serverless Internet" 2022 Mathematical Methods in Technologies and Technics. St Petersburg, Russia, doi: 10.52348/2712-8873_MMTT_2022_7_37 >>Article in MMTT. Другие работы сейчас в стадии публикации.

ПОЛЬЗОВАТЕЛЬСКИЙ ПРОДУКТ.

Для удобства абонентов и владельцев контента (ИСИ) мы разрабатываем набор пользовательских предопределенных DApps, реализующих привычные пользователям Интернет потребительские функции и своства ИСИ:

  • Систему анонимных и приватных аудио-видеоконференций.(Аналог ZOOM и подобных)
  • Децентрализованный анонимный и приватный веб-хостинг.
  • Децентрализованный анонимный и приватный потоковый сервисс (Аналог Utube и подобных).

Основное отличие нашего пользовательского продукта от существующих аналогов — перекрытие каналов утечки, перечисленных выше при сохранении уровня качества сервиса. Других принципиальных отличий от аналогов в открытом интернет нет.

Пользовательские интерфейсы DApps в TheOoL.net исполняются внутри общего интерфейса абонентского узла. Абонентский узел изолируется от программной среды аппаратного устройства абонента средствами виртуализации и оснащен системой защиты от несанкционированного доступа (CНСД), которая обеспечивает блокировку доступа к данным среды TheOoL со стороны программного обеспеспечения, установленного на аппаратном устройстве абонента и не входящего в состав ПО абонентского узла TheOoL. Так же СНСД блокирует доступ к интерфейсам абонентского узла для всех, кроме авторизованного пользователя.