Části řešení SOFTWARE CONTROL SERVERu :

Hash "otisk" souboru
Centrální databáze
Uživatelské moduly
Zadávání informací o nových souborech


Otisk prstu / otisk souboru

      Při vyšetřování trestného činu sejmou policisté otisky na místě činu a porovnají je s otisky ze své databáze, případně s otisky podezřelého.  Pokud se otisky na místě činu shodují s otisky podezřelého, tak je velká pravděpodobnost (téměř jistota), že pachatel byl na místě činu nebo držel v ruce konkrétní předmět.

      Stejné principy je možné nastavit i v prostředí počítačů a další elektroniky. V současné době neexistuje jasná povinnost zveřejňovat informace o instalačním souboru / balíčku. Může se tedy stát, že běžný uživatel i IT správce získá z důvěryhodného zdroje instalační soubor / balíček, který je doplněn o Trojského koně. V současné době nemá běžný uživatel a IT administrátor možnost jak by mohl snadno poznat pravý a zfalšovaný instalační balíček / soubor.  Tuto možnost nabízí řešení SOFTWARE CONTROL SERVER.
      Nástroje a postupy pro odlišení originálu a „padělku“ mezi počítačovými soubory existují. Jedná se o matematické (kryptografické) funkce, kterým se říká HASH2(Hašovací funkce). Jedná se o jednosměrné matematické funkce. Takže například z počítačového souboru je možné vypočítat HASH, ale obráceně z HASH není možné vypočítat původní obsah počítačového souboru. S pomocí matematického (kryptografického) algoritmu je možné vytvořit ze souboru jeho nezaměnitelný "otisk". Tomuto řešení se říká hash / hash funkce a pro její tvorbu se používají především algoritmy MD5, SHA-1, SHA-2, SHA-256, SHA-384 a SHA-512. Hašovací funkce je matematická funkce (resp. algoritmus) pro převod vstupních dat do (relativně) malého čísla. Kryptografická hašovací funkce je algoritmus, který je možné použít v aplikacích informačních systémů, jako například autentizace,  zaručení integrity zprávy, případně práve zajištění integrity počítačových souborů. (http://cs.wikipedia.org).

      Hash funkce nemění obsah původního souboru a ani jinak hash algoritmy nezasahují do konkréních souborů. Kontrolní hash souboru je možné kdykoliv opakovaně vytvořit (vypočítat) a je možné porovnat vypočítaný hash u tvůrce SW, u obchodníka i u koncového uživatele. Porovnávání hash z více zdrojů (u tvůrce a u uživatele) je hlavní úloha SOFTWARE CONTROL SERVERu.

     Nabourání důvěryhodnosti jakéhokoliv systému je velká výzva pro hackery a podvodníky. Proto SOFTWARE CONTROL SERVER pracuje při ověření jednotlivých souborů s minimálně dvěma hash funkcemi, přičemž každá znich je vygenerována s použitím jiného algoritmu.  SCS používá otevřené a veřejně přístupné algoritmy.


 

 Centrální databáze

      Centrální databáze je velmi důležitý prvek celého řešení. Jsou (budou) na něho kladeny velké nároky.  Pro odpůrce řešení SCS může být velká výzva zaútočit na tento systém. Již při prvních úvahách jsme si toho byli plně vědomi.  Centrální databáze musí být výkonná a současně odolná proti hackerským útokům.

      Databáze s takovými parametry již v síti Internet pracují a jsou mnoho let odolávají útokům hackerů a jsou více jak 20 let průběžně zdokonalovány. Inspiraci pro databázi SCS je možné nalézt v aplikacích pro provoz DNS serverů.

      

 

 



 Uživatelské moduly

      Dotazy směrem k SCS serverů mohou vycházet z několika různých programů / modulů.  Jedním může být doplněk do prohlížeče, který po zkopírování určitého instalačního

balíčku zašle údaje o souboru na SCS. Zpět dostane odpověď v podobě kontrolní hash a tu (ty) porovná s kontrolní(mi) hash, které modul sám vypočítal. Pokud hash souhlasí, tak se dokončí kopírování souboru do počítače (mobilu, atd.). Pokud kontrolní hash nesouhlasí, tak se dokončení kopírování přeruší nebo bude informován uživatel. To by již záleželo na tvůrci konkrétního plug-inu v prohlížeči, v ftp klientovi, apod.

     Další variantou mohou být kontrolní moduly, které by byly součástí operačních systémů nebo nějakých nových bezpečnostních programů. Tyto moduly by podle nastavených pravidel kontrolovali všechny důležité soubory při startu a při práci operačního systému a při spouštění vybraných programů / aplikací.  průběh kontroly by byl velmi podobný kontrole při stahování programu z Internetu. Tedy kontrolní modul by zaslal informace o souboru na SCS a následně by kontrolní hash porovnal s těmi, které si sám k příslušnému souboru vypočítá.

    Třetí variantou je úplná kontrola systémů, která princip je velmi podobný dnešním úplným antivirovým kontrolám celého systému. Kontrola by probíhala při běhu operačního systému nebo prostřednictvím startu ze zvláštního CD / USB.

    Samostatnou kapitolu představuje off-line kontrola. Tedy kontrola zařízení (počítač, průmyslový nebo řídící prvek, apod.) které není nebo dokonce nesmí být připojen do počítačové sítě. V takovém případě bude ke konrétnímu systému přidán modul, který vypíše údaje o kontrolovaných souborech na obrazovku nebo pošle na tiskárnu. Následně se tyto údaje porovnají se záznamy v SCS.


 

Zadávání dat autory programů

      Již v případě stručného popisu centrální databáze jsem zmínil, že tato databáze je inspirována architekturou DNS. Zadávání dat o jednotlivých souborech je (bude) velmi podobné s tím jak a přes jaké uživatelské rozhraní je možné provádět úpravy v DNS.