Lingid uuringu teistele osadele
- (Sa oled siin)
See artikkel lõpetab väljaannete sarja, mis on pühendatud panga sularahata maksete infoturbe tagamisele. Siin vaatleme tüüpilisi ohumudeleid, millele viidatakse :
- .
- .
- .
- .
HABRO-HOIATUS!!! Kallid Khabrovites, see pole meelelahutuslik postitus.
Lõike alla peidetud 40+ lehekülge materjali on mõeldud abi tööl või õppimisel pangandusele või infoturbele spetsialiseerunud inimesed. Need materjalid on uurimistöö lõpptoode ja on kirjutatud kuivas ametlikus toonis. Sisuliselt on need sisemiste infoturbe dokumentide lüngad.Noh, traditsiooniline - "Artikli teabe kasutamine ebaseaduslikel eesmärkidel on seadusega karistatav". Produktiivne lugemine!
Teave lugejatele, kes tutvuvad käesoleva väljaandega algava uuringuga.
Millest uuring räägib?
Loed juhendit pangas maksete infoturbe tagamise eest vastutavale spetsialistile.
Esitluse loogika
Alguses sisse и antakse kaitsealuse objekti kirjeldus. Siis sisse kirjeldab turvasüsteemi ehitamist ja räägib ohumudeli loomise vajadusest. IN räägib sellest, millised ohumudelid eksisteerivad ja kuidas need kujunevad. IN и Esitatakse tegelike rünnakute analüüs. и sisaldama ohumudeli kirjeldust, mis on üles ehitatud kõigi eelmiste osade teavet arvesse võttes.
TÜÜPILINE OHTUMUDEL. VÕRGUÜHENDUS
Kaitseobjekt, mille jaoks ohumudelit (ulatust) rakendatakse
Kaitseobjektiks on TCP/IP pinu baasil ehitatud andmevõrkudes toimiva võrguühenduse kaudu edastatavad andmed.
arhitektuur
Arhitektuurielementide kirjeldus:
- "Lõppsõlmed" — kaitstud teavet vahetavad sõlmed.
- "Vahepealsed sõlmed" — andmeedastusvõrgu elemendid: ruuterid, kommutaatorid, juurdepääsuserverid, puhverserverid ja muud seadmed, mille kaudu edastatakse võrguühenduse liiklust. Üldiselt võib võrguühendus toimida ilma vahesõlmedeta (otse lõppsõlmede vahel).
Tipptasemel turvaohud
Lagunemine
U1. Volitamata juurdepääs edastatud andmetele.
U2. Edastatud andmete volitamata muutmine.
U3. Edastatud andmete autorsuse rikkumine.
U1. Volitamata juurdepääs edastatud andmetele
Lagunemine
U1.1. <…>, mis viiakse läbi lõpp- või vahesõlmedes:
U1.1.1. <…> lugedes andmeid, kui need on hosti salvestusseadmetes:
U1.1.1.1. <…> RAM-is.
U1.1.1.1 selgitused.
Näiteks andmetöötluse ajal hosti võrgupinu poolt.
U1.1.1.2. <…> püsimälus.
U1.1.1.2 selgitused.
Näiteks edastatud andmete salvestamisel vahemällu, ajutisi faile või vahetusfaile.
U1.2. <…>, teostatakse andmevõrgu kolmandate osapoolte sõlmedes:
U1.2.1. <…> kõigi hosti võrguliidesesse saabuvate pakettide hõivamise meetodil:
U1.2.1 selgitused.
Kõikide pakettide hõivamiseks lülitatakse võrgukaart promiscuous-režiimi (juhtmega adapterite jaoks valimatu režiim või Wi-Fi-adapterite monitorirežiim).
U1.2.2. <…> sooritades man-in-the-middle (MiTM) ründeid, kuid ilma edastatavaid andmeid muutmata (arvestamata võrguprotokolli teenuse andmeid).
U1.2.2.1. Link: .
U1.3. <…>, mis viiakse läbi teabelekke tõttu tehniliste kanalite (TKUI) kaudu füüsilistest sõlmedest või sideliinidest.
U1.4. <…>, mis viiakse läbi spetsiaalsete tehniliste vahendite (STS) paigaldamisega lõpp- või vahesõlmedesse, mis on ette nähtud teabe salajaseks kogumiseks.
U2. Edastatud andmete volitamata muutmine
Lagunemine
U2.1. <…>, mis viiakse läbi lõpp- või vahesõlmedes:
U2.1.1. <…> lugedes andmeid ja tehes neis muudatusi, kui need on sõlmede salvestusseadmetes:
U2.1.1.1. <…> RAM-is:
U2.1.1.2. <…> püsimälus:
U2.2. <…>, mida teostatakse andmeedastusvõrgu kolmandate osapoolte sõlmedes:
U2.2.1. <…> MiTM-i (man-in-the-middle) rünnakute ja liikluse ümbersuunamise kaudu ründajate sõlme:
U2.2.1.1. Ründajate seadmete füüsiline ühendus põhjustab võrguühenduse katkemise.
U2.2.1.2. Rünnakute läbiviimine võrguprotokollidele:
U2.2.1.2.1. <…> virtuaalsete kohalike võrkude (VLAN) haldamine:
U2.2.1.2.1.1. .
U2.2.1.2.1.2. VLAN-i sätete volitamata muutmine lülitites või ruuterites.
U2.2.1.2.2. <…> liikluse suunamine:
U2.2.1.2.2.1. Ruuterite staatiliste marsruutimistabelite volitamata muutmine.
U2.2.1.2.2.2. Ründajate poolt valemarsruutide teatamine dünaamiliste marsruutimisprotokollide kaudu.
U2.2.1.2.3. <…> automaatne konfiguratsioon:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <…> adresseerimine ja nimede lahendamine:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. Kohalike hostinimefailide (hostid, lmhosts jne) volitamata muudatuste tegemine
U3. Edastatud andmete autoriõiguse rikkumine
Lagunemine
U3.1. Teabe autorsuse määramise mehhanismide neutraliseerimine, näidates autori või andmeallika kohta valeandmeid:
U3.1.1. Edastatud teabes sisalduva teabe muutmine autori kohta.
U3.1.1.1. Edastatud andmete terviklikkuse ja autoriõiguse krüptograafilise kaitse neutraliseerimine:
U3.1.1.1.1. Link: .
U3.1.1.2. Edastatud andmete autoriõiguste kaitse neutraliseerimine, mis on rakendatud ühekordsete kinnituskoodide abil:
U3.1.1.2.1. .
U3.1.2. Teabe muutmine edastatava teabe allika kohta:
U3.1.2.1. .
U3.1.2.2. .
TÜÜPILINE OHUMUDEL. KLIENT-SERVER ARHITEKTUURI ALUSEL EHITATUD INFOSÜSTEEM
Kaitseobjekt, mille jaoks ohumudelit (ulatust) rakendatakse
Kaitseobjektiks on klient-server arhitektuuri baasil ehitatud infosüsteem.
arhitektuur
Arhitektuurielementide kirjeldus:
- "Klient" – seade, millel infosüsteemi kliendiosa töötab.
- "Server" – seade, millel töötab infosüsteemi serveriosa.
- "Andmepood" — osa infosüsteemi serveriinfrastruktuurist, mis on ette nähtud infosüsteemis töödeldavate andmete salvestamiseks.
- "Võrguühendus" — andmevõrku läbiv infovahetuskanal Kliendi ja Serveri vahel. Elemendimudeli täpsem kirjeldus on toodud .
Piirangud
Objekti modelleerimisel seatakse järgmised piirangud:
- Kasutaja suhtleb infosüsteemiga piiratud aja jooksul, mida nimetatakse tööseanssideks.
- Iga tööseansi alguses tuvastatakse, autentitakse ja volitatakse kasutaja.
- Kogu kaitstud teave salvestatakse infosüsteemi serveriossa.
Tipptasemel turvaohud
Lagunemine
U1. Ründajate poolt volitamata toimingute sooritamine seadusliku kasutaja nimel.
U2. Kaitstud teabe volitamata muutmine selle töötlemise ajal infosüsteemi serveriosa poolt.
U1. Ründajate poolt volitamata toimingute sooritamine seadusliku kasutaja nimel
Selgitused
Tavaliselt on infosüsteemides toimingud korrelatsioonis kasutajaga, kes neid sooritas, kasutades:
- süsteemi toimimise logid (logid).
- andmeobjektide spetsiaalsed atribuudid, mis sisaldavad teavet nende loonud või muutnud kasutaja kohta.
Seoses tööseansiga võib selle ohu jagada järgmisteks osadeks:
- <…> sooritatakse kasutaja seansi jooksul.
- <…> käivitatakse väljaspool kasutaja seanssi.
Kasutajaseansi saab käivitada:
- Kasutaja enda poolt.
- Kurjategijad.
Selles etapis näeb selle ohu vahepealne lagunemine välja järgmine:
U1.1. Kasutajaseansi jooksul tehti volitamata toiminguid:
U1.1.1. <…> installinud rünnatud kasutaja.
U1.1.2. <…> ründajate poolt installitud.
U1.2. Väljaspool kasutajaseanssi tehti volitamata toiminguid.
Ründajate poolt mõjutatud infoinfrastruktuuri objektide seisukohast näeb vahepealsete ohtude lagunemine välja järgmine:
elemendid
Ohu lagunemine
U1.1.1.
U1.1.2.
U1.2.
Klient
U1.1.1.1.
U1.1.2.1.
Võrguühendus
U1.1.1.2.
Server
U1.2.1.
Lagunemine
U1.1. Kasutajaseansi jooksul tehti volitamata toiminguid:
U1.1.1. <…> rünnatud kasutaja poolt installitud:
U1.1.1.1. Ründajad tegutsesid Kliendist sõltumatult:
U1.1.1.1.1 Ründajad kasutasid standardseid infosüsteemi juurdepääsutööriistu:
У1.1.1.1.1.1. Ründajad kasutasid Kliendi füüsilisi sisend-/väljundvahendeid (klaviatuur, hiir, monitor või mobiilseadme puuteekraan):
U1.1.1.1.1.1.1. Ründajad tegutsesid perioodidel, mil seanss oli aktiivne, I/O-rajatised olid saadaval ja kasutajat polnud kohal.
У1.1.1.1.1.2. Ründajad kasutasid kliendi juhtimiseks kaughaldustööriistu (standardseid või pahatahtliku koodiga pakutavaid):
U1.1.1.1.1.2.1. Ründajad tegutsesid perioodidel, mil seanss oli aktiivne, I/O-rajatised olid saadaval ja kasutajat polnud kohal.
У1.1.1.1.1.2.2. Ründajad kasutasid kaughaldustööriistu, mille töö on rünnatavale kasutajale nähtamatu.
U1.1.1.2. Ründajad asendasid Kliendi ja Serveri vahelises võrguühenduses olevad andmed, muutes neid selliselt, et neid tajutaks seadusliku kasutaja tegevusena:
U1.1.1.2.1. Link: .
U1.1.1.3. Ründajad sundisid kasutajat sooritama enda määratud toiminguid sotsiaalse manipuleerimise meetodite abil.
Ründajate poolt installitud У1.1.2 <…>:
U1.1.2.1. Ründajad tegutsesid kliendi poolt (И):
U1.1.2.1.1. Ründajad neutraliseerisid infosüsteemi juurdepääsukontrollisüsteemi:
U1.1.2.1.1.1. Link: .
У1.1.2.1.2. Ründajad kasutasid standardseid infosüsteemi juurdepääsutööriistu
U1.1.2.2. Ründajad tegutsesid teistest andmevõrgu sõlmedest, kust sai luua võrguühenduse Serveriga (И):
U1.1.2.2.1. Ründajad neutraliseerisid infosüsteemi juurdepääsukontrollisüsteemi:
U1.1.2.2.1.1. Link: .
U1.1.2.2.2. Ründajad kasutasid infosüsteemile juurdepääsuks ebastandardseid vahendeid.
Selgitused U1.1.2.2.2.
Ründajad võivad installida infosüsteemi standardkliendi kolmanda osapoole sõlme või kasutada mittestandardset tarkvara, mis rakendab kliendi ja serveri vahel standardseid vahetusprotokolle.
U1.2 Volitamata toiminguid tehti väljaspool kasutajaseanssi.
U1.2.1 Ründajad tegid volitamata toiminguid ja seejärel tegid volitamata muudatusi infosüsteemi töölogides või andmeobjektide eriatribuutides, mis näitasid, et nende sooritatud toimingud tegi legitiimne kasutaja.
U2. Kaitstud teabe volitamata muutmine selle töötlemise ajal infosüsteemi serveriosa poolt
Lagunemine
U2.1. Ründajad muudavad kaitstud teavet standardsete infosüsteemi tööriistade abil ja teevad seda seadusliku kasutaja nimel.
U2.1.1. Link: .
U2.2. Ründajad muudavad kaitstud teavet, kasutades andmetele juurdepääsu mehhanisme, mida infosüsteemi tavatöös ette ei näe.
U2.2.1. Ründajad muudavad kaitstud teavet sisaldavaid faile:
U2.2.1.1. <…>, kasutades operatsioonisüsteemi pakutavaid failitöötlusmehhanisme.
U2.2.1.2. <…> provotseerides failide taastamise volitamata muudetud varukoopiast.
U2.2.2. Ründajad muudavad andmebaasi salvestatud kaitstud teavet (И):
U2.2.2.1. Ründajad neutraliseerivad DBMS-i juurdepääsukontrollisüsteemi:
U2.2.2.1.1. Link: .
U2.2.2.2. Ründajad muudavad teavet andmetele juurdepääsuks standardsete DBMS-i liideste abil.
U2.3. Ründajad muudavad kaitstud teavet, muutes seda töötleva tarkvara tööalgoritme volitamata.
U2.3.1. Tarkvara lähtekoodi võidakse muuta.
U2.3.1. Tarkvara masinkoodi võidakse muuta.
U2.4. Ründajad muudavad kaitstud teavet, kasutades ära infosüsteemi tarkvara haavatavusi.
U2.5. Ründajad muudavad kaitstud teavet, kui see edastatakse infosüsteemi serveriosa komponentide (näiteks andmebaasiserveri ja rakendusserveri) vahel:
U2.5.1. Link: .
TÜÜPILINE OHTUMUDEL. PÄÄSUSE JUHTIMISSÜSTEEM
Kaitseobjekt, mille jaoks ohumudelit (ulatust) rakendatakse
Kaitseobjekt, mille jaoks seda ohumudelit rakendatakse, vastab ohumudeli kaitseobjektile: „Tüüpiline ohumudel. Infosüsteem, mis on üles ehitatud klient-server arhitektuurile.
Selles ohumudelis tähendab kasutaja juurdepääsu kontrollsüsteem infosüsteemi komponenti, mis rakendab järgmisi funktsioone:
- Kasutaja tuvastamine.
- Kasutaja autentimine.
- Kasutajate volitused.
- Kasutaja toimingute logimine.
Tipptasemel turvaohud
Lagunemine
U1. Volitamata seansi loomine seadusliku kasutaja nimel.
U2. Kasutajaõiguste volitamata suurendamine infosüsteemis.
U1. Volitamata seansi loomine seadusliku kasutaja nimel
Selgitused
Selle ohu lagunemine sõltub üldiselt kasutatavate kasutajatuvastus- ja autentimissüsteemide tüübist.
Selles mudelis võetakse arvesse ainult kasutaja identifitseerimis- ja autentimissüsteemi, mis kasutab teksti sisselogimist ja parooli. Sel juhul eeldame, et kasutaja sisselogimine on avalikult kättesaadav teave, mis on ründajatele teada.
Lagunemine
U1.1. <…> volituste kahjustamise tõttu:
U1.1.1. Ründajad rikkusid kasutaja mandaate nende salvestamise ajal.
Selgitused U1.1.1.
Näiteks võib volikirjad kirjutada monitori külge kleebitud märkmele.
U1.1.2. Kasutaja edastas juurdepääsu üksikasjad ründajatele kogemata või pahatahtlikult.
U1.1.2.1. Kasutaja rääkis sisenedes volikirjad valjusti.
U1.1.2.2. Kasutaja jagas tahtlikult oma mandaate:
U1.1.2.2.1. <…> töökaaslastele.
Selgitused U1.1.2.2.1.
Näiteks selleks, et nad saaksid seda haiguse ajal asendada.
U1.1.2.2.2. <…> infotaristu objektidel töid tegevatele tööandja töövõtjatele.
U1.1.2.2.3. <…> kolmandatele isikutele.
Selgitused U1.1.2.2.3.
Üks, kuid mitte ainuke võimalus selle ohu realiseerimiseks on sotsiaalse manipuleerimise meetodite kasutamine ründajate poolt.
U1.1.3. Ründajad valisid mandaadid, kasutades toore jõu meetodeid:
U1.1.3.1. <…> kasutades standardseid juurdepääsumehhanisme.
U1.1.3.2. <…> kasutades mandaatide salvestamiseks varem kinni võetud koode (nt parooliräsi).
U1.1.4. Ründajad kasutasid kasutaja mandaatide pealtkuulamiseks pahatahtlikku koodi.
U1.1.5. Ründajad eraldasid kliendi ja serveri vahelisest võrguühendusest mandaadid:
U1.1.5.1. Link: .
U1.1.6. Ründajad eraldasid mandaadid töö jälgimise süsteemide kirjetest:
U1.1.6.1. <…> videovalvesüsteemid (kui töö ajal salvestati klaviatuuri klahvivajutused).
U1.1.6.2. <…> süsteemid töötajate tegevuse jälgimiseks arvutis
Selgitused U1.1.6.2.
Sellise süsteemi näide on .
U1.1.7. Ründajad ohustasid kasutaja mandaate edastusprotsessi vigade tõttu.
Selgitused U1.1.7.
Näiteks paroolide saatmine selge tekstina e-posti teel.
U1.1.8. Ründajad said mandaadid, jälgides kaughaldussüsteemide abil kasutaja seanssi.
U1.1.9. Ründajad said mandaadid tehniliste kanalite (TCUI) kaudu lekkimise tulemusena:
U1.1.9.1. Ründajad jälgisid, kuidas kasutaja sisestas klaviatuurilt mandaate:
U1.1.9.1.1 Ründajad asusid kasutaja vahetus läheduses ja nägid mandaatide sisestamist oma silmaga.
Selgitused U1.1.9.1.1
Sellisteks juhtumiteks on töökaaslaste tegevus või juhtum, kui kasutaja klaviatuur on organisatsiooni külastajatele nähtav.
U1.1.9.1.2 Ründajad kasutasid täiendavaid tehnilisi vahendeid, nagu binoklit või mehitamata õhusõidukit, ning nägid volituste sisenemist läbi akna.
U1.1.9.2. Ründajad eraldasid mandaadid klaviatuuri ja arvutisüsteemi vahelisest raadiosuhtlusest, kui need olid raadioliidese (näiteks Bluetoothi) kaudu ühendatud.
U1.1.9.3. Ründajad püüdsid kinni volikirjad, lekitades need läbi vale elektromagnetilise kiirguse ja häirete kanali (PEMIN).
Selgitused U1.1.9.3.
Rünnakute näited и .
U1.1.9.4. Ründaja püüdis salaja teabe hankimiseks mõeldud spetsiaalsete tehniliste vahendite (STS) abil kinni klaviatuurilt mandaatide sisestamise.
Selgitused U1.1.9.4.
näited .
U1.1.9.5. Ründajad püüdsid kinni klaviatuurilt mandaatide sisestamise, kasutades
kasutaja klahvivajutuse protsessiga moduleeritud Wi-Fi signaali analüüs.
Selgitused U1.1.9.5.
Näide .
U1.1.9.6. Ründajad püüdsid klaviatuurilt mandaatide sisestamise pealt kinni, analüüsides klahvivajutuste helisid.
Selgitused U1.1.9.6.
Näide .
U1.1.9.7. Ründajad püüdsid kiirendusmõõturi näitu analüüsides kinni mobiilseadme klaviatuurilt mandaatide sisestamise.
Selgitused U1.1.9.7.
Näide .
U1.1.10. <…>, mis on varem Kliendisse salvestatud.
Selgitused U1.1.10.
Näiteks võib kasutaja konkreetsele saidile juurdepääsuks salvestada brauserisse sisselogimise ja parooli.
U1.1.11. Ründajad rikkusid mandaate kasutaja juurdepääsu tühistamise protsessis esinevate vigade tõttu.
Selgitused U1.1.11.
Näiteks pärast kasutaja vallandamist jäid tema kontod blokeerimata.
U1.2. <…> juurdepääsukontrollisüsteemi haavatavusi ära kasutades.
U2. Kasutajaõiguste volitamata tõstmine infosüsteemis
Lagunemine
U2.1 <…>, tehes volitamata muudatusi andmetes, mis sisaldavad teavet kasutajaõiguste kohta.
U2.2 <…> juurdepääsukontrollisüsteemi haavatavuste kasutamise kaudu.
U2.3. <…> kasutajate juurdepääsu haldamise protsessi puuduste tõttu.
Selgitused U2.3.
Näide 1. Kasutajale anti töö jaoks rohkem juurdepääsu, kui tal ärilistel põhjustel vaja oli.
Näide 2: Pärast kasutaja üleviimist teisele ametikohale ei tühistatud varem antud juurdepääsuõigusi.
TÜÜPILINE OHTUMUDEL. INTEGRATSIOONI MOODUL
Kaitseobjekt, mille jaoks ohumudelit (ulatust) rakendatakse
Integratsioonimoodul on infoinfrastruktuuri objektide kogum, mis on loodud infosüsteemide vahelise teabevahetuse korraldamiseks.
Arvestades asjaolu, et ettevõtete võrkudes ei ole alati võimalik üht infosüsteemi teisest üheselt eraldada, võib integratsioonimoodulit käsitleda ka ühe infosüsteemi sees olevate komponentide ühendava lülina.
arhitektuur
Integratsioonimooduli üldistatud diagramm näeb välja selline:
Arhitektuurielementide kirjeldus:
- "Exchange Server (SO)" – infosüsteemi sõlm/teenus/komponent, mis täidab andmevahetuse funktsiooni teise infosüsteemiga.
- "Vahendaja" – sõlm/teenus, mis on loodud infosüsteemide interaktsiooni korraldamiseks, kuid mitte nende osaks.
Näited "Vahendajad" võivad olla meiliteenused, ettevõtte teenuse siinid (ettevõtte teenindussiin / SoA arhitektuur), kolmanda osapoole failiserverid jne. Üldiselt ei pruugi integratsioonimoodul sisaldada „Vahendajaid”. - "Andmetöötlustarkvara" – programmide komplekt, mis rakendab andmevahetusprotokolle ja vormingu teisendamist.
Näiteks andmete teisendamine UFEBS-vormingust ABS-vormingusse, sõnumite olekute muutmine edastamise ajal jne. - "Võrguühendus" vastab standardses “Võrguühenduse” ohumudelis kirjeldatud objektile. Mõned ülaltoodud diagrammil näidatud võrguühendused ei pruugi eksisteerida.
Integratsioonimoodulite näited
Skeem 1. ABS ja AWS KBR integreerimine kolmanda osapoole failiserveri kaudu
Maksete teostamiseks laadib volitatud pangatöötaja põhipangandussüsteemist alla elektroonilised maksedokumendid ja salvestab need failiserveri võrgukausta (...SHARE) faili (oma vormingus, näiteks SQL dump). Seejärel teisendatakse see fail konverteriskripti abil UFEBS-vormingus failide komplektiks, mida seejärel CBD tööjaam loeb.
Pärast seda krüpteerib ja allkirjastab volitatud töötaja - automatiseeritud töökoha KBR kasutaja - vastuvõetud failid ning saadab need Venemaa Panga maksesüsteemi.
Kui Venemaa Pangalt laekuvad maksed, dekrüpteerib KBR automatiseeritud töökoht need ja kontrollib elektroonilist allkirja, misjärel salvestab need failiserveris UFEBS-vormingus failide komplektina. Enne maksedokumentide importimist ABS-i teisendatakse need konverteriskripti abil UFEBS-vormingust ABS-vormingusse.
Eeldame, et selles skeemis töötab ABS ühes füüsilises serveris, KBR-i tööjaam töötab spetsiaalses arvutis ja konverteri skript töötab failiserveris.
Vaadeldava diagrammi objektide vastavus integratsioonimooduli mudeli elementidele:
"Vahetusserver ABS-i poolelt" - ABS-server.
"Vahetusserver AWS KBR-i poolelt" – arvutitööjaam KBR.
"Vahendaja" - kolmanda osapoole failiserver.
"Andmetöötlustarkvara" - skripti muundur.
Skeem 2. ABS-i ja AWS-i KBR-i integreerimine maksetega jagatud võrgukausta paigutamisel AWS-i KBR-i
Kõik on sarnane skeemiga 1, kuid eraldi failiserverit ei kasutata, selle asemel paigutatakse CBD tööjaamaga arvutisse võrgukaust (...SHARE) elektrooniliste maksedokumentidega. Konverteri skript töötab ka CBD tööjaamas.
Vaadeldava diagrammi objektide vastavus integratsioonimooduli mudeli elementidele:
Sarnaselt skeemile 1, kuid "Vahendaja" pole kasutatud.
Skeem 3. ABS-i ja automatiseeritud töökoha KBR-N integreerimine IBM WebSphera MQ kaudu ja elektrooniliste dokumentide allkirjastamine "ABS-i poolel"
ABS töötab platvormil, mida CIPF SCAD Signature ei toeta. Väljaminevate elektrooniliste dokumentide allkirjastamine toimub spetsiaalses elektroonilise allkirja serveris (ES Server). Sama server kontrollib Venemaa Pangast saabuvate dokumentide elektroonilist allkirja.
ABS laadib maksedokumentidega faili omas formaadis üles ES serverisse.
ES-server teisendab konverteriskripti abil faili UFEBS-vormingus elektroonilisteks sõnumiteks, mille järel elektroonilised sõnumid allkirjastatakse ja edastatakse IBM WebSphere MQ-le.
KBR-N tööjaam pääseb juurde IBM WebSphere MQ-le ja võtab sealt vastu allkirjastatud makseteateid, mille järel volitatud töötaja - KBR tööjaama kasutaja - krüpteerib need ja saadab Venemaa Panga maksesüsteemi.
Kui Venemaa Pangalt laekuvad maksed, dekrüpteerib automatiseeritud töökoht KBR-N need ja kontrollib elektroonilist allkirja. Edukalt töödeldud maksed dekrüpteeritud ja allkirjastatud elektrooniliste sõnumite kujul UFEBS-vormingus kantakse üle IBM WebSphere MQ-sse, kust need elektroonilise allkirja serverisse vastu võtab.
Elektroonilise allkirja server kontrollib saabunud maksete elektroonilist allkirja ja salvestab need ABS-vormingus faili. Pärast seda laadib volitatud töötaja - ABS-i kasutaja - saadud faili ettenähtud viisil ABS-i üles.
Vaadeldava diagrammi objektide vastavus integratsioonimooduli mudeli elementidele:
"Vahetusserver ABS-i poolelt" - ABS-server.
"Vahetusserver AWS KBR-i poolelt" — arvutitööjaam KBR.
"Vahendaja" – ES-server ja IBM WebSphere MQ.
"Andmetöötlustarkvara" – skriptimuundur, CIPF SCAD-allkiri ES-serveris.
Skeem 4. RBS-serveri ja põhipangandussüsteemi integreerimine spetsiaalse vahetusserveri pakutava API kaudu
Eeldame, et pank kasutab mitut kaugpangasüsteemi (RBS):
- "Interneti-klient-pank" eraisikutele (IKB FL);
- "Internetiklient-pank" juriidilistele isikutele (IKB LE).
Infoturbe tagamiseks toimub kogu interaktsioon ABS-i ja kaugpangandussüsteemide vahel ABS-i infosüsteemi raames töötava spetsiaalse vahendusserveri kaudu.
Järgmisena käsitleme IKB LE RBS-süsteemi ja ABS-i interaktsiooni protsessi.
RBS server, olles saanud kliendilt nõuetekohaselt kinnitatud maksekorralduse, peab selle alusel ABS-is looma vastava dokumendi. Selleks edastab see API abil teabe vahetusserverisse, mis omakorda sisestab andmed ABS-i.
Kliendi kontojääkide muutumisel genereerib ABS elektroonilisi teateid, mis edastatakse vahetusserveri abil kaugpanga serverisse.
Vaadeldava diagrammi objektide vastavus integratsioonimooduli mudeli elementidele:
"Vahetusserver RBS-i poolelt" - IKB YUL RBS-server.
"Vahetusserver ABS-i poolelt" - vahetusserver.
"Vahendaja" - puudub.
"Andmetöötlustarkvara" – RBS serveri komponendid, mis vastutavad vahetusserveri API kasutamise eest, vahetusserveri komponendid, mis vastutavad põhipanganduse API kasutamise eest.
Tipptasemel turvaohud
Lagunemine
U1. Ründajad sisestavad integratsioonimooduli kaudu valeteavet.
U1. Ründajad sisestavad integratsioonimooduli kaudu valeteavet
Lagunemine
U1.1. Õiguspäraste andmete volitamata muutmine võrguühenduse kaudu edastamisel:
U1.1.1 link: .
U1.2. Valeandmete edastamine sidekanalite kaudu seadusliku teabevahetuse osaleja nimel:
U1.1.2 link: .
U1.3. Õiguspäraste andmete volitamata muutmine nende töötlemise ajal Exchange'i serverites või vahendaja kaudu:
U1.3.1. Link: .
U1.4. Exchange'i serverites või vahendajas valeandmete loomine seadusliku börsiosalise nimel:
U1.4.1. Link:
U1.5. Andmete volitamata muutmine andmetöötlustarkvaraga töötlemisel:
U1.5.1. <…> ründajate tõttu, kes teevad andmetöötlustarkvara seadetes (konfiguratsioonis) volitamata muudatusi.
U1.5.2. <…> ründajate tõttu, kes teevad andmetöötlustarkvara täitmisfailides volitamata muudatusi.
U1.5.3. <…> andmetöötlustarkvara interaktiivse juhtimise tõttu ründajate poolt.
TÜÜPILINE OHUMUDEL. KRÜPTOGRAAFILINE TEABE KAITSESÜSTEEM
Kaitseobjekt, mille jaoks ohumudelit (ulatust) rakendatakse
Kaitseobjektiks on infosüsteemi turvalisuse tagamiseks kasutatav krüptograafiline infokaitsesüsteem.
arhitektuur
Iga infosüsteemi aluseks on rakendustarkvara, mis rakendab selle sihtfunktsionaalsust.
Krüptokaitset rakendatakse tavaliselt rakendustarkvara äriloogikast pärit krüptoprimitiivide väljakutsumisega, mis asuvad spetsialiseeritud raamatukogudes – krüptotuumades.
Krüptograafilised primitiivid hõlmavad madala taseme krüptograafilisi funktsioone, näiteks:
- krüpteerida/dekrüpteerida andmeplokk;
- luua/kontrollida andmeploki elektroonset allkirja;
- arvutada andmeploki räsifunktsioon;
- genereerida / laadida / üles laadida võtmeteavet;
- jne
Rakendustarkvara äriloogika rakendab krüptoprimitiivide abil kõrgema taseme funktsionaalsust:
- krüptida fail valitud adressaatide võtmete abil;
- luua turvaline võrguühendus;
- teavitama elektroonilise allkirja kontrollimise tulemustest;
- ja nii edasi.
Äriloogika ja krüptotuuma interaktsiooni saab läbi viia:
- otse, äriloogika abil, kutsudes krüptotuuma dünaamiliste teekide krüptoprimitiive (.DLL Windowsile, .SO Linuxile);
- otse, krüptograafiliste liideste kaudu - ümbrised, näiteks MS Crypto API, Java Cryptography Architecture, PKCS#11 jne. Sel juhul pääseb äriloogika ligi krüpto liidesele ja tõlgib kõne vastavasse krüptotuumikusse, mis seda juhtumit nimetatakse krüptoteenuse pakkujaks. Krüptograafiliste liideste kasutamine võimaldab rakendustarkvaral konkreetsetest krüptoalgoritmidest eemalduda ja olla paindlikum.
Krüptotuumiku korraldamiseks on kaks tüüpilist skeemi:
Skeem 1 – monoliitne krüptotuum
Skeem 2 – jagatud krüptotuum
Ülaltoodud diagrammide elemendid võivad olla kas üksikud ühes arvutis töötavad tarkvaramoodulid või arvutivõrgus suhtlevad võrguteenused.
Skeemi 1 järgi ehitatud süsteemide kasutamisel töötavad rakendustarkvara ja krüptotuum krüptotööriista (SFC) ühes töökeskkonnas, näiteks samas arvutis, kus töötab sama operatsioonisüsteem. Süsteemi kasutaja saab reeglina samas töökeskkonnas käivitada muid programme, sealhulgas pahatahtlikku koodi sisaldavaid programme. Sellistel tingimustel on tõsine privaatsete krüptograafiliste võtmete lekkimise oht.
Riski minimeerimiseks kasutatakse skeemi 2, milles krüptotuum on jagatud kaheks osaks:
- Esimene osa koos rakendustarkvaraga töötab ebausaldusväärses keskkonnas, kus on oht nakatuda pahatahtliku koodiga. Nimetame seda osa "tarkvaraosaks".
- Teine osa töötab usaldusväärses keskkonnas spetsiaalses seadmes, mis sisaldab privaatvõtme salvestusruumi. Edaspidi nimetame seda osa "riistvaraks".
Krüptotuumiku jagamine tarkvara- ja riistvaraosadeks on väga meelevaldne. Turul on süsteeme, mis on ehitatud jagatud krüptotuumaga skeemi järgi, kuid mille “riistvara” osa on esitatud virtuaalse masina pildi kujul - virtuaalne HSM ().
Krüptotuuma mõlema osa interaktsioon toimub nii, et privaatseid krüptovõtmeid ei kanta kunagi tarkvaraosasse ja seetõttu ei saa neid pahatahtliku koodi abil varastada.
Interaktsiooniliides (API) ja krüptotuumiku poolt rakendustarkvarale pakutavate krüptoprimitiivide komplekt on mõlemal juhul samad. Erinevus seisneb nende rakendamise viisis.
Seega toimub jagatud krüptotuumaga skeemi kasutamisel tarkvara ja riistvara koostoime järgmisel põhimõttel:
- Krüptograafilisi primitiive, mis ei nõua privaatvõtme kasutamist (näiteks räsifunktsiooni arvutamine, elektroonilise allkirja kontrollimine jne), teostab tarkvara.
- Privaatvõtit kasutavad krüptograafilised primitiivid (elektroonilise allkirja loomine, andmete dekrüpteerimine jne) teostatakse riistvara abil.
Illustreerime jagatud krüptotuuma tööd elektroonilise allkirja loomise näitel:
- Tarkvaraosa arvutab allkirjastatud andmete räsifunktsiooni ja edastab selle väärtuse krüptotuumade vahelise vahetuskanali kaudu riistvarale.
- Riistvaraosa, kasutades privaatvõtit ja räsi, genereerib elektroonilise allkirja väärtuse ja edastab selle vahetuskanali kaudu tarkvaraosale.
- Tarkvaraosa tagastab saadud väärtuse rakendustarkvarale.
Elektroonilise allkirja õigsuse kontrollimise omadused
Kui vastuvõttev pool saab elektrooniliselt allkirjastatud andmed, peab ta läbi viima mitu kontrollietappi. Elektroonilise allkirja kontrollimise positiivne tulemus saavutatakse ainult siis, kui kõik kontrollietapid on edukalt läbitud.
1. etapp. Andmete terviklikkuse ja andmete autorsuse kontroll.
Lava sisu. Andmete elektrooniline allkiri kontrollitakse vastava krüptoalgoritmi abil. Selle etapi edukas läbimine näitab, et andmeid ei ole allkirjastamise hetkest saadik muudetud ning allkiri on antud privaatvõtmega, mis vastab elektroonilise allkirja kontrollimise avalikule võtmele.
Lava asukoht: krüpto tuum.
2. etapp. Allakirjutanu avaliku võtme usaldusväärsuse kontroll ja elektroonilise allkirja privaatvõtme kehtivusaja kontroll.
Lava sisu. Lava koosneb kahest vahepealsest alamastmest. Esimene on teha kindlaks, kas elektroonilise allkirja kontrollimise avalik võti oli andmete allkirjastamise ajal usaldusväärne. Teine määrab, kas elektroonilise allkirja privaatvõti kehtis andmete allkirjastamise ajal. Üldjuhul ei pruugi nende võtmete kehtivusajad kokku langeda (näiteks elektroonilise allkirja kinnitusvõtmete kvalifitseeritud sertifikaatide puhul). Allakirjutanu avaliku võtme vastu usalduse tekitamise meetodid on määratud suhtlevate osapoolte poolt vastu võetud elektroonilise dokumendihalduse reeglitega.
Lava asukoht: rakendustarkvara / krüptotuum.
3. etapp. Allakirjutanu volituste kontroll.
Lava sisu. Vastavalt kehtestatud elektroonilise dokumendihalduse reeglitele kontrollitakse, kas allakirjutanul oli õigus kaitstavaid andmeid tõendada. Toome näitena volituste rikkumise olukorra. Oletame, et on olemas organisatsioon, kus kõigil töötajatel on elektrooniline allkiri. Sisemine elektrooniline dokumendihaldussüsteem võtab vastu juhilt tellimuse, kuid allkirjastatakse laojuhataja elektroonilise allkirjaga. Järelikult ei saa sellist dokumenti pidada õiguspäraseks.
Lava asukoht: rakendustarkvara.
Kaitseobjekti kirjeldamisel tehtud oletused
- Teabeedastuskanalid, välja arvatud võtmevahetuskanalid, läbivad ka rakendustarkvara, API ja krüptotuumiku.
- Teave avalike võtmete ja (või) sertifikaatide usalduse kohta, samuti teave avaliku võtme omanike volituste kohta paigutatakse avaliku võtme salves.
- Rakendustarkvara töötab krüptotuumiku kaudu avaliku võtmehoidlaga.
Näide CIPF-iga kaitstud infosüsteemist
Eelnevalt esitatud diagrammide illustreerimiseks vaatleme hüpoteetilist infosüsteemi ja tõstame esile kõik sellel olevad struktuurielemendid.
Infosüsteemi kirjeldus
Kaks organisatsiooni otsustasid kehtestada omavahel juriidiliselt olulise elektroonilise dokumendihalduse (EDF). Selleks sõlmisid nad lepingu, milles nägid ette, et dokumendid edastatakse meili teel ning samal ajal tuleb need krüpteerida ja allkirjastada kvalifitseeritud elektroonilise allkirjaga. Dokumentide loomise ja töötlemise vahenditena tuleks kasutada Microsoft Office 2016 paketist pärit Office'i programme ning krüptokaitse vahenditena CIPF CryptoPRO ja krüpteerimistarkvara CryptoARM.
Organisatsiooni infrastruktuuri kirjeldus 1
Organisatsioon 1 otsustas, et paigaldab CIPF CryptoPRO ja CryptoARM tarkvara kasutaja tööjaama – füüsilisse arvutisse. Krüpteerimis- ja elektroonilise allkirja võtmed salvestatakse ruToken võtmemeediumile, mis töötab taastatava võtme režiimis. Kasutaja koostab elektroonilised dokumendid lokaalselt oma arvutis, seejärel krüpteerib, allkirjastab ja saadab need kohalikult installitud meilikliendi abil.
Organisatsiooni infrastruktuuri kirjeldus 2
Organisatsioon 2 otsustas teisaldada krüptimise ja elektroonilise allkirja funktsioonid spetsiaalsesse virtuaalmasinasse. Sel juhul tehakse kõik krüptograafilised toimingud automaatselt.
Selleks korraldatakse spetsiaalses virtuaalmasinas kaks võrgukausta: “...In”, “...Out”. Vastaspoolelt avatud kujul saadud failid paigutatakse automaatselt võrgukausta “…In”. Need failid dekrüpteeritakse ja elektrooniline allkiri kontrollitakse.
Kasutaja paigutab kausta “…Väljas” failid, mis tuleb krüpteerida, allkirjastada ja vastaspoolele saata. Kasutaja valmistab failid ise oma tööjaamas ette.
Krüptimise ja elektroonilise allkirja funktsioonide täitmiseks on virtuaalmasinasse installitud CIPF CryptoPRO, CryptoARM tarkvara ja meiliklient. Virtuaalse masina kõigi elementide automaatne haldamine toimub süsteemiadministraatorite välja töötatud skriptide abil. Skriptide töö logitakse logifailidesse.
Elektroonilise allkirja krüptograafilised võtmed asetatakse mittetaastava JaCarta GOST-võtmega märgile, mille kasutaja ühendab oma kohaliku arvutiga.
Token edastatakse virtuaalmasinasse spetsiaalse USB-over-IP tarkvara abil, mis on installitud kasutaja tööjaama ja virtuaalmasinasse.
Süsteemi kella kasutaja tööjaamas organisatsioonis 1 reguleeritakse käsitsi. Organisatsiooni 2 spetsiaalse virtuaalmasina süsteemikell sünkroonitakse hüperviisori süsteemi kellaga, mis omakorda sünkroonitakse üle Interneti avalike ajaserveritega.
CIPF-i struktuurielementide tuvastamine
Ülaltoodud IT-taristu kirjelduse põhjal tõstame esile CIPF-i struktuurielemendid ja kirjutame need tabelisse.
Tabel - CIPF mudeli elementide vastavus infosüsteemi elementidele
Üksuse nimi
Organisatsioon 1
Organisatsioon 2
Rakendustarkvara
CryptoARM tarkvara
CryptoARM tarkvara
Krüptotuumiku tarkvara osa
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
Krüptotuumik riistvara
ei
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
Avalike võtmete pood
Kasutaja tööjaam:
- HDD;
- tavaline Windowsi sertifikaatide pood.
Hüperviisor:
- HDD.
Virtuaalne masin:
- HDD;
- tavaline Windowsi sertifikaatide pood.
Privaatsete võtmete hoidla
ruToken võtmekandja, mis töötab taastatava võtme režiimis
JaCarta GOST võtmehoidja, mis töötab mitte-eemaldatava võtme režiimis
Avaliku võtme vahetuskanal
Kasutaja tööjaam:
- RAM.
Hüperviisor:
- RAM.
Virtuaalne masin:
- RAM.
Privaatvõtmevahetuskanal
Kasutaja tööjaam:
- USB siin;
- RAM.
ei
Vahetage kanalit krüptotuumade vahel
puudub (pole krüptotuuma riistvara)
Kasutaja tööjaam:
- USB siin;
- RAM;
— USB-over-IP tarkvaramoodul;
— võrguliides.
Organisatsiooni korporatiivne võrgustik 2.
Hüperviisor:
- RAM;
— võrguliides.
Virtuaalne masin:
— võrguliides;
- RAM;
— USB-over-IP tarkvaramoodul.
Avage andmekanal
Kasutaja tööjaam:
— sisend-väljundvahendid;
- RAM;
- HDD.
Kasutaja tööjaam:
— sisend-väljundvahendid;
- RAM;
- HDD;
— võrguliides.
Organisatsiooni korporatiivne võrgustik 2.
Hüperviisor:
— võrguliides;
- RAM;
- HDD.
Virtuaalne masin:
— võrguliides;
- RAM;
- HDD.
Turvaline andmevahetuskanal
Interneti.
Organisatsiooni korporatiivne võrgustik 1.
Kasutaja tööjaam:
- HDD;
- RAM;
— võrguliides.
Interneti.
Organisatsiooni korporatiivne võrgustik 2.
Hüperviisor:
— võrguliides;
- RAM;
- HDD.
Virtuaalne masin:
— võrguliides;
- RAM;
- HDD.
Aja kanal
Kasutaja tööjaam:
— sisend-väljundvahendid;
- RAM;
- süsteemi taimer.
Interneti.
Ettevõtte võrgustik 2,
Hüperviisor:
— võrguliides;
- RAM;
- süsteemi taimer.
Virtuaalne masin:
- RAM;
- süsteemi taimer.
Juhtkäskude edastuskanal
Kasutaja tööjaam:
— sisend-väljundvahendid;
- RAM.
(CryptoARM-i tarkvara graafiline kasutajaliides)
Virtuaalne masin:
- RAM;
- HDD.
(Automatiseerimisskriptid)
Kanal töötulemuste kättesaamiseks
Kasutaja tööjaam:
— sisend-väljundvahendid;
- RAM.
(CryptoARM-i tarkvara graafiline kasutajaliides)
Virtuaalne masin:
- RAM;
- HDD.
(Automatiseerimisskriptide logifailid)
Tipptasemel turvaohud
Selgitused
Ohtude lammutamisel tehtud oletused:
- Kasutatakse tugevaid krüptoalgoritme.
- Krüptoalgoritme kasutatakse turvaliselt õigetes töörežiimides (nt. ei kasutata suurte andmemahtude krüpteerimiseks, võetakse arvesse võtme lubatud koormust jne).
- Ründajad teavad kõiki kasutatud algoritme, protokolle ja avalikke võtmeid.
- Ründajad saavad lugeda kõiki krüptitud andmeid.
- Ründajad suudavad reprodutseerida süsteemi mis tahes tarkvaraelemente.
Lagunemine
U1. Privaatsete krüptograafiliste võtmete rikkumine.
U2. Võltsandmete krüptimine seadusliku saatja nimel.
U3. Krüpteeritud andmete dekrüpteerimine isikute poolt, kes ei ole andmete seaduslikud saajad (ründajad).
U4. Õiguspärase allkirjastaja elektroonilise allkirja loomine valeandmete alusel.
U5. Võltsitud andmete elektroonilise allkirja kontrollimisel positiivse tulemuse saamine.
U6. Elektrooniliste dokumentide ekslik täitmiseks vastuvõtmine seoses probleemidega elektroonilise dokumendivoo korraldamisel.
U7. Volitamata juurdepääs kaitstud andmetele nende töötlemise ajal CIPF-i poolt.
U1. Privaatsete krüptograafiliste võtmete rikkumine
U1.1. Privaatvõtme toomine privaatvõtmehoidlast.
U1.2. Privaatvõtme hankimine krüptotööriista töökeskkonnas olevatelt objektidelt, milles see võib ajutiselt asuda.
Selgitused U1.2.
Objektid, mis võivad ajutiselt salvestada privaatvõtit, hõlmavad järgmist:
- RAM,
- ajutised failid,
- faile vahetada,
- talveunerežiimi failid,
- hetktõmmise failid virtuaalmasinate "kuumast" olekust, sealhulgas peatatud virtuaalmasinate RAM-i sisu failid.
U1.2.1. Privaatvõtmete eraldamine töötavast RAM-ist, külmutades RAM-i moodulid, eemaldades need ja seejärel lugedes andmeid (freeze attack).
Selgitused U1.2.1.
Näide .
U1.3. Privaatvõtme hankimine privaatvõtme vahetuskanalist.
Selgitused U1.3.
Tuuakse näide selle ohu rakendamisest .
U1.4. Krüptotuuma volitamata muutmine, mille tulemusena saavad privaatvõtmed ründajatele teatavaks.
U1.5. Privaatvõtme ohustamine tehnilise teabe lekkekanalite (TCIL) kasutamise tagajärjel.
Selgitused U1.5.
Näide .
U1.6. Privaatvõtme ohustamine teabe salajaseks toomiseks mõeldud spetsiaalsete tehniliste vahendite (STS) kasutamise tagajärjel (“vead”).
U1.7. Privaatvõtmete ohustamine nende säilitamisel väljaspool CIPF-i.
Selgitused U1.7.
Näiteks salvestab kasutaja oma võtmemeediumid töölaua sahtlisse, kust ründajad saavad need hõlpsalt kätte saada.
U2. Võltsandmete krüptimine seadusliku saatja nimel
Selgitused
Seda ohtu arvestatakse ainult saatja autentimisega andmete krüpteerimisskeemide puhul. Selliste skeemide näited on toodud standardimissoovitustes . Teiste krüptograafiliste skeemide puhul seda ohtu ei eksisteeri, kuna krüpteerimine toimub saaja avalike võtmetega ja need on ründajatele üldiselt teada.
Lagunemine
U2.1. Saatja privaatvõtme kahjustamine:
U2.1.1. Link: .
U2.2. Sisendandmete asendamine avatud andmevahetuskanalis.
Märkused U2.2.
Allpool on toodud näited selle ohu rakendamisest. и .
U3. Krüpteeritud andmete dekrüpteerimine isikute poolt, kes ei ole andmete seaduslikud saajad (ründajad)
Lagunemine
U3.1. Krüptitud andmete saaja privaatvõtmete rikkumine.
U3.1.1 link: .
U3.2. Krüpteeritud andmete asendamine turvalises andmevahetuskanalis.
U4. Õiguspärase allkirjastaja elektroonilise allkirja loomine valeandmete all
Lagunemine
U4.1. Õiguspärase allkirjastaja elektroonilise allkirja privaatvõtmete rikkumine.
U4.1.1 link: .
U4.2. Allkirjastatud andmete asendamine avatud andmevahetuskanalis.
Märkus U4.2.
Allpool on toodud näited selle ohu rakendamisest. и .
U5. Võltsitud andmete elektroonilise allkirja kontrollimisel positiivse tulemuse saamine
Lagunemine
U5.1. Ründajad võtavad töötulemuste edastamise kanalis kinni teate elektroonilise allkirja kontrollimise negatiivse tulemuse kohta ja asendavad selle positiivse tulemusega sõnumiga.
U5.2. Ründajad ründavad sertifikaatide allkirjastamise usaldust (SCRIPT – kõik elemendid on nõutavad):
U5.2.1. Ründajad loovad elektroonilise allkirja jaoks avaliku ja privaatvõtme. Kui süsteem kasutab elektroonilise allkirja võtme sertifikaate, siis genereerivad need elektroonilise allkirja sertifikaadi, mis on võimalikult sarnane andmete kavandatud saatja sertifikaadiga, kelle sõnumit soovitakse võltsida.
U5.2.2. Ründajad teevad avaliku võtme hoidlas volitamata muudatusi, andes avalikule võtmele vajaliku usalduse ja volituse.
U5.2.3. Ründajad allkirjastavad valeandmed eelnevalt loodud elektroonilise allkirja võtmega ja sisestavad selle turvalisse andmevahetuskanalisse.
U5.3. Ründajad sooritavad rünnaku, kasutades seadusliku allkirjastaja aegunud elektroonilise allkirja võtmeid (SCRIPT – kõik elemendid on nõutavad):
U5.3.1. Ründajad ohustavad seadusliku saatja elektroonilise allkirja aegunud (praegu mitte kehtivaid) privaatvõtmeid.
U5.3.2. Ründajad asendavad aja edastamise kanalis oleva aja ajaga, mil ohustatud võtmed veel kehtisid.
U5.3.3. Ründajad allkirjastavad valeandmed varem ohustatud elektroonilise allkirja võtmega ja sisestavad need turvalisse andmevahetuskanalisse.
U5.4. Ründajad sooritavad rünnaku, kasutades seadusliku allkirjastaja ohustatud elektroonilise allkirja võtmeid (SCRIPT – kõik elemendid on nõutavad):
U5.4.1. Ründaja teeb avaliku võtme hoidlast koopia.
U5.4.2. Ründajad rikuvad ühe seadusliku saatja privaatvõtmeid. Ta märkab kompromissi, tühistab võtmed ja teave võtme tühistamise kohta paigutatakse avalike võtmete hoidlasse.
U5.4.3. Ründajad asendavad avaliku võtme hoidla varem kopeeritud salvestusega.
U5.4.4. Ründajad allkirjastavad valeandmed varem ohustatud elektroonilise allkirja võtmega ja sisestavad need turvalisse andmevahetuskanalisse.
U5.5. <…> elektroonilise allkirja kontrollimise 2. ja 3. etapi rakendamisel esinevate vigade tõttu:
Selgitused U5.5.
Selle ohu rakendamise näide on toodud .
U5.5.1. Elektroonilise allkirja võtme sertifikaadi usaldusväärsuse kontrollimine ainult selle sertifikaadi usaldusväärsuse järgi, millega see on allkirjastatud, ilma CRL-i või OCSP-kontrollideta.
Selgitused U5.5.1.
Rakenduse näide .
U5.5.2. Sertifikaadi usaldusahela ehitamisel ei analüüsita sertifikaate väljastavaid asutusi
Selgitused U5.5.2.
Näide ründest SSL/TLS-sertifikaatide vastu.
Ründajad ostsid oma e-posti jaoks legitiimse sertifikaadi. Seejärel koostasid nad pettuse saidi sertifikaadi ja allkirjastasid selle oma sertifikaadiga. Kui mandaate ei kontrollita, siis usaldusahela kontrollimisel osutub see õigeks ja vastavalt sellele on ka petturlik sertifikaat õige.
U5.5.3. Sertifikaatide usaldusahela loomisel ei kontrollita vahepealsete sertifikaatide tühistamist.
U5.5.4. CRL-e värskendatakse harvemini kui sertifitseerimisasutus neid väljastab.
U5.5.5. Otsus elektroonilise allkirja usaldamise kohta tehakse enne OCSP vastuse saamist sertifikaadi oleku kohta, saadetakse päringule, mis on tehtud hiljem kui allkirja genereerimise aeg või varem kui järgmine CRL pärast allkirja genereerimist.
Selgitused U5.5.5.
Enamiku CA-de määrustes loetakse sertifikaadi kehtetuks tunnistamise ajaks lähima sertifikaadi tühistamise kohta teavet sisaldava CRL väljastamise aega.
U5.5.6. Allkirjastatud andmete saamisel ei kontrollita, kas sertifikaat kuulub saatjale.
Selgitused U5.5.6.
Rünnaku näide. Seoses SSL-sertifikaatidega: väljakutsutava serveri aadressi vastavust sertifikaadi CN-välja väärtusele ei pruugita kontrollida.
Rünnaku näide. Ründajad rikkusid ühe maksesüsteemis osaleja elektroonilise allkirja võtmed. Pärast seda häkkisid nad sisse teise osaleja võrku ja saatsid tema nimel maksesüsteemi arveldusserverisse ohustatud võtmetega allkirjastatud maksedokumendid. Kui server analüüsib ainult usaldust ega kontrolli vastavust, loetakse petturlikud dokumendid legitiimseks.
U6. Elektrooniliste dokumentide ekslik täitmiseks vastuvõtmine seoses probleemidega elektroonilise dokumendivoo korraldamisel.
Lagunemine
U6.1. Vastuvõttev pool ei tuvasta vastuvõetud dokumentide dubleerimist.
Selgitused U6.1.
Rünnaku näide. Ründajad saavad adressaadile edastatava dokumendi pealtkuulada, isegi kui see on krüptograafiliselt kaitstud, ja seejärel korduvalt saata seda turvalise andmeedastuskanali kaudu. Kui saaja ei tuvasta duplikaate, tajutakse ja töödeldakse kõiki saabunud dokumente erinevate dokumentidena.
U7. Volitamata juurdepääs kaitstud andmetele nende töötlemise ajal CIPF-i poolt
Lagunemine
U7.1. <…> külgkanalite kaudu infolekke tõttu (külgkanali rünnak).
Selgitused U7.1.
Näide .
U7.2. <…> CIPF-is töödeldavale teabele loata juurdepääsu eest kaitsmise neutraliseerimise tõttu:
U7.2.1. CIPF-i toimimine, rikkudes CIPF-i dokumentatsioonis kirjeldatud nõudeid.
U7.2.2. <…>, mis viidi läbi turvaaukude olemasolu tõttu:
U7.2.2.1. <…> kaitsevahendid volitamata juurdepääsu eest.
U7.2.2.2. <…> CIPF ise.
U7.2.2.3. <…> krüptotööriista töökeskkond.
Rünnakute näited
Allpool käsitletud stsenaariumid sisaldavad ilmselgelt infoturbe vigu ja on mõeldud ainult võimalike rünnakute illustreerimiseks.
Stsenaarium 1. Näide ohtude U2.2 ja U4.2 rakendamisest.
Objekti kirjeldus
Tarkvara AWS KBR ja CIPF SCAD Signature installitakse füüsilisse arvutisse, mis pole arvutivõrku ühendatud. FKN vdTokenit kasutatakse võtmekandjana mitte-eemaldatava võtmega töötamise režiimis.
Arveldusreeglid eeldavad, et arveldusspetsialist laadib oma tööarvutist spetsiaalsest turvalisest failiserverist alla selgeteksti (vana KBR-i tööjaama skeem) elektroonilised teated, seejärel kirjutab need teisaldatavale USB-mälupulgale ja edastab KBR-i tööjaama, kus need on krüptitud ja märgid. Pärast seda edastab spetsialist turvalised elektroonilised sõnumid võõrandatud andmekandjale ja seejärel kirjutab need oma tööarvuti kaudu failiserverisse, kust need lähevad UTA-sse ja seejärel Venemaa Panga maksesüsteemi.
Sel juhul on avatud ja kaitstud andmete vahetamise kanaliteks: failiserver, spetsialisti tööarvuti ja võõrandmed.
Rünnak
Volitamata ründajad paigaldavad spetsialisti tööarvutisse kaugjuhtimissüsteemi ja vahetavad maksekorralduste (elektrooniliste teadete) kirjutamise ajal ülekantavale andmekandjale ühe neist sisu selgeteksti. Spetsialist edastab maksekorraldused KBR automatiseeritud töökohale, allkirjastab ja krüpteerib need ilma asendust märkamata (näiteks suure hulga maksekorralduste tõttu lennul, väsimuse jms tõttu). Pärast seda siseneb tehnoloogilise ahela läbinud võltsmaksekorraldus Venemaa Panga maksesüsteemi.
Stsenaarium 2. Näide ohtude U2.2 ja U4.2 rakendamisest.
Objekti kirjeldus
Arvuti, millel on installitud tööjaam KBR, SCAD Signature ja ühendatud võtmekandja FKN vdToken, töötab spetsiaalses ruumis ilma töötajate juurdepääsuta.
Arvutusspetsialist loob ühenduse CBD tööjaamaga kaugjuurdepääsu režiimis RDP protokolli kaudu.
Rünnak
Ründajad püüavad kinni detailid, mille abil arvutusspetsialist loob ühenduse ja töötab CBD tööjaamaga (näiteks oma arvutis oleva pahatahtliku koodi kaudu). Seejärel loovad nad tema nimel ühenduse ja saadavad Venemaa Panga maksesüsteemi võltsitud maksekorralduse.
Stsenaarium 3. Ohu rakendamise näide U1.3.
Objekti kirjeldus
Vaatleme üht hüpoteetilist võimalust ABS-KBR integratsioonimoodulite rakendamiseks uue skeemi (AWS KBR-N) jaoks, kus väljaminevate dokumentide elektrooniline allkiri toimub ABS-i poolel. Sel juhul eeldame, et ABS töötab operatsioonisüsteemi alusel, mida CIPF SKAD signatuur ei toeta, ja vastavalt sellele kantakse krüptograafiline funktsioon üle eraldi virtuaalsesse masinasse - integratsiooni ABS-KBR. moodul.
Võtmekandjana kasutatakse tavalist USB-märki, mis töötab taastatava võtme režiimis. Võtmemeediumi ühendamisel hüperviisoriga selgus, et süsteemis pole vabu USB-porte, mistõttu otsustati USB-märk ühendada võrgu USB-jaoturi kaudu ning virtuaalsesse installida USB-over-IP-klient. masin, mis suhtleks jaoturiga.
Rünnak
Ründajad püüdsid kinni elektroonilise allkirja privaatvõtme USB-jaoturi ja hüperviisori vahelisest sidekanalist (andmed edastati tekstina). Omades privaatvõtit, genereerisid ründajad võltsitud maksekorralduse, allkirjastasid selle elektroonilise allkirjaga ja saatsid täitmiseks KBR-N automatiseeritud töökohta.
Stsenaarium 4. Näide ohtude rakendamisest U5.5.
Objekti kirjeldus
Vaatleme sama vooluringi nagu eelmises stsenaariumis. Eeldame, et KBR-N tööjaamast saabuvad elektroonilised sõnumid jõuavad …SHAREIn kausta ning KBR-N tööjaama ja edasi Venemaa Panga maksesüsteemi saadetud sõnumid lähevad …SHAREouti.
Samuti eeldame, et integratsioonimooduli rakendamisel uuendatakse tühistatud sertifikaatide loendeid ainult krüptograafiliste võtmete uuesti väljastamisel ning ka kausta …SHAREIn saabunud elektroonilisi sõnumeid kontrollitakse ainult terviklikkuse kontrolli ja usaldusväärsuse kontrollimiseks üksuse avalikus võtmes. elektrooniline allkiri.
Rünnak
Ründajad allkirjastasid eelmises stsenaariumis varastatud võtmeid kasutades võltsitud maksekorraldusele, mis sisaldas teavet raha laekumise kohta petturkliendi kontole ja sisestasid selle turvalisse andmevahetuskanalisse. Kuna puudub kinnitus, et maksekorraldus on Venemaa Panga poolt allkirjastatud, võetakse see täitmiseks vastu.
Allikas: www.habr.com