Linkkejä tutkimuksen muihin osiin
- (Oletko täällä)
Tämä artikkeli täydentää julkaisusarjan, joka on omistettu pankkien muiden kuin käteismaksujen tietoturvan varmistamiseen. Tässä tarkastellaan tyypillisiä uhkamalleja, joihin viitataan :
- .
- .
- .
- .
HABRO-VAROITUS!!! Hyvät habrovilaiset, tämä ei ole viihdyttävä viesti.
Leikkauksen alle piilotetut yli 40 sivua materiaalia on tarkoitettu apua työssä tai opiskelussa pankki- tai tietoturvaan erikoistuneet henkilöt. Nämä materiaalit ovat tutkimuksen lopputuote ja ne on kirjoitettu kuivalla, muodollisella sävyllä. Pohjimmiltaan nämä ovat tyhjiä sisäisiä tietoturva-asiakirjoja.No perinteinen - "artikkelista saatujen tietojen käyttö laittomiin tarkoituksiin on rangaistavaa". Tuottavaa luettavaa!
Tietoa lukijoille, jotka tutustuvat tutkimukseen tästä julkaisusta alkaen.
Mistä tutkimuksessa on kyse?
Luet pankin maksujen tietoturvasta vastaavan asiantuntijan opasta.
Esityksen logiikka
Alussa sisään и annetaan kuvaus suojellusta kohteesta. Sitten sisään kuvataan turvajärjestelmän rakentamista ja puhutaan tarpeesta luoda uhkamalli. SISÄÄN puhuu siitä, mitä uhkamalleja on olemassa ja miten ne muodostuvat. SISÄÄN и Analyysi todellisista hyökkäyksistä tarjotaan. и sisältää kuvauksen uhkamallista, joka on rakennettu ottaen huomioon tiedot kaikista aiemmista osista.
TYYPILLINEN UHKAMALLI. VERKKOYHTEYS
Suojausobjekti, jolle uhkamallia (laajuusaluetta) sovelletaan
Suojauksen kohteena on TCP/IP-pinoon rakennetuissa tietoverkoissa toimivan verkkoyhteyden kautta siirrettävä tieto.
Arkkitehtuuri
Arkkitehtonisten elementtien kuvaus:
- "Loppusolmut" — suojattuja tietoja vaihtavat solmut.
- "Välisolmut" — tiedonsiirtoverkon osat: reitittimet, kytkimet, pääsypalvelimet, välityspalvelimet ja muut laitteet, joiden kautta verkkoyhteysliikenne siirretään. Yleisesti ottaen verkkoyhteys voi toimia ilman välisolmuja (suoraan päätesolmujen välillä).
Huipputason turvallisuusuhat
Hajoaminen
U1. Luvaton pääsy siirrettyihin tietoihin.
U2. Siirrettyjen tietojen luvaton muuttaminen.
U3. Siirrettyjen tietojen tekijänoikeusloukkaus.
U1. Luvaton pääsy siirrettyihin tietoihin
Hajoaminen
U1.1. <…>, suoritetaan viimeisissä tai välisolmuissa:
U1.1.1. <…> lukemalla tietoja, kun ne ovat isäntätallennuslaitteissa:
U1.1.1.1. <…> RAM-muistissa.
Selitykset U1.1.1.1:lle.
Esimerkiksi isännän verkkopinon tietojenkäsittelyn aikana.
U1.1.1.2. <…> haihtumattomassa muistissa.
Selitykset U1.1.1.2:lle.
Esimerkiksi tallennettaessa välimuistiin lähetettyjä tietoja, väliaikaistiedostoja tai swap-tiedostoja.
U1.2. <…>, suoritetaan tietoverkon kolmannen osapuolen solmuissa:
U1.2.1. <…> kaappaamalla kaikki isännän verkkoliittymään saapuvat paketit:
Selitykset U1.2.1:lle.
Kaikkien pakettien sieppaus suoritetaan kytkemällä verkkokortti promiscuous-tilaan (promiscuous-tila langallisille sovittimille tai näyttötila wi-fi-sovittimille).
U1.2.2. <…> suorittamalla man-in-the-middle (MiTM) -hyökkäyksiä, mutta muuttamatta lähetettyä dataa (verkkoprotokollapalveludataa lukuun ottamatta).
U1.2.2.1. Linkki: .
U1.3. <…>, joka johtuu tietovuodosta teknisten kanavien (TKUI) kautta fyysisistä solmuista tai tietoliikennelinjoista.
U1.4. <…>, suoritetaan asentamalla erityisiä teknisiä välineitä (STS) pää- tai välisolmuihin, jotka on tarkoitettu salaiseen tiedonkeruuun.
U2. Siirrettyjen tietojen luvaton muuttaminen
Hajoaminen
U2.1. <…>, suoritetaan viimeisissä tai välisolmuissa:
U2.1.1. <…> lukemalla tiedot ja tekemällä niihin muutoksia, kun ne ovat solmujen tallennuslaitteissa:
U2.1.1.1. <…> RAM-muistissa:
U2.1.1.2. <…> haihtumattomassa muistissa:
U2.2. <…>, suoritetaan tiedonsiirtoverkon kolmannen osapuolen solmuissa:
U2.2.1. <…> suorittamalla man-in-the-middle (MiTM) -hyökkäyksiä ja ohjaamalla liikennettä hyökkääjän solmuun:
U2.2.1.1. Hyökkääjien laitteiden fyysinen yhteys aiheuttaa verkkoyhteyden katkeamisen.
U2.2.1.2. Hyökkäysten suorittaminen verkkoprotokollia vastaan:
U2.2.1.2.1. <…> virtuaalisten paikallisverkkojen (VLAN) hallinta:
U2.2.1.2.1.1. .
U2.2.1.2.1.2. Kytkimien tai reitittimien VLAN-asetusten luvaton muuttaminen.
U2.2.1.2.2. <…> liikenteen reititys:
U2.2.1.2.2.1. Reitittimien staattisten reititystaulukoiden luvaton muuttaminen.
U2.2.1.2.2.2. Hyökkääjien ilmoittaminen vääristä reiteistä dynaamisten reititysprotokollien avulla.
U2.2.1.2.3. <…> automaattinen määritys:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <…> osoitus ja nimiratkaisu:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. Luvattomien muutosten tekeminen paikallisiin isäntänimitiedostoihin (hosts, lmhosts jne.)
U3. Siirrettyjen tietojen tekijänoikeuden loukkaus
Hajoaminen
U3.1. Tiedon tekijän määrittämismekanismien neutralointi ilmoittamalla vääriä tietoja tekijästä tai tietolähteestä:
U3.1.1. Lähetettyjen tietojen tekijää koskevien tietojen muuttaminen.
U3.1.1.1. Siirrettyjen tietojen eheyden ja tekijän salaussuojan neutralointi:
U3.1.1.1.1. Linkki: .
U3.1.1.2. Siirrettyjen tietojen tekijänoikeussuojan neutralointi kertaluonteisilla vahvistuskoodeilla:
U3.1.1.2.1. .
U3.1.2. Siirretyn tiedon lähteen tietojen muuttaminen:
U3.1.2.1. .
U3.1.2.2. .
TYYPILLINEN UHKAMALLI. TIETOJÄRJESTELMÄ, JOKA ON RAKENNETTU ASIAKAS-PALVELINARKKITETUURIN PERUSTA
Suojausobjekti, jolle uhkamallia (laajuusaluetta) sovelletaan
Suojauksen kohteena on asiakas-palvelin-arkkitehtuuriin rakennettu tietojärjestelmä.
Arkkitehtuuri
Arkkitehtonisten elementtien kuvaus:
- "Asiakas" – laite, jolla tietojärjestelmän asiakasosa toimii.
- "Palvelin" – laite, jolla tietojärjestelmän palvelinosa toimii.
- "Tietokauppa" — osa tietojärjestelmän palvelininfrastruktuuria, joka on suunniteltu tallentamaan tietojärjestelmän käsittelemiä tietoja.
- "Verkkoyhteys" — Tietoverkon kautta kulkeva tiedonvaihtokanava Asiakkaan ja Palvelimen välillä. Elementtimallin tarkempi kuvaus on kohdassa .
Rajoitukset
Objektia mallinnettaessa asetetaan seuraavat rajoitukset:
- Käyttäjä on vuorovaikutuksessa tietojärjestelmän kanssa rajallisissa ajanjaksoissa, joita kutsutaan työistunnoiksi.
- Jokaisen työistunnon alussa käyttäjä tunnistetaan, tunnistetaan ja valtuutetaan.
- Kaikki suojatut tiedot on tallennettu tietojärjestelmän palvelinosaan.
Huipputason turvallisuusuhat
Hajoaminen
U1. Hyökkääjien luvaton toimintojen suorittaminen laillisen käyttäjän puolesta.
U2. Suojattujen tietojen luvaton muuttaminen tietojärjestelmän palvelinosan käsittelyn aikana.
U1. Hyökkääjien luvaton toimintojen suorittaminen laillisen käyttäjän puolesta
selitykset
Tyypillisesti tietojärjestelmissä toiminnot korreloidaan käyttäjän kanssa, joka suoritti ne käyttämällä:
- järjestelmän toimintalokit (lokit).
- tietoobjektien erikoisattribuutit, jotka sisältävät tietoja käyttäjästä, joka loi tai muokkasi ne.
Tämä uhka voidaan jakaa työistuntoon liittyen:
- <…> suoritettu käyttäjäistunnon aikana.
- <…> suoritetaan käyttäjän istunnon ulkopuolella.
Käyttäjäistunto voidaan aloittaa:
- Käyttäjän itsensä toimesta.
- Pahantekijät.
Tässä vaiheessa tämän uhan väliaikainen hajoaminen näyttää tältä:
U1.1. Käyttäjäistunnon aikana suoritettiin luvattomat toiminnot:
U1.1.1. <…> hyökkäyksen kohteena olevan käyttäjän asentama.
U1.1.2. <…> hyökkääjien asentama.
U1.2. Käyttäjäistunnon ulkopuolella suoritettiin luvattomia toimia.
Tietoinfrastruktuuriobjektien näkökulmasta, joihin hyökkääjät voivat vaikuttaa, väliuhkien hajoaminen näyttää tältä:
elementit
Uhan hajoaminen
U1.1.1.
U1.1.2.
U1.2.
asiakas
U1.1.1.1.
U1.1.2.1.
Verkkoyhteys
U1.1.1.2.
Server
U1.2.1.
Hajoaminen
U1.1. Käyttäjäistunnon aikana suoritettiin luvattomat toiminnot:
U1.1.1. <…> hyökkäyksen kohteena olevan käyttäjän asentama:
U1.1.1.1. Hyökkääjät toimivat asiakkaasta riippumatta:
U1.1.1.1.1 Hyökkääjät käyttivät tavallisia tietojärjestelmän pääsytyökaluja:
У1.1.1.1.1.1. Hyökkääjät käyttivät Asiakkaan fyysisiä syöttö-/tulostuskeinoja (näppäimistö, hiiri, näyttö tai mobiililaitteen kosketusnäyttö):
U1.1.1.1.1.1.1. Hyökkääjät toimivat ajanjaksoina, jolloin istunto oli aktiivinen, I/O-tilat olivat käytettävissä ja käyttäjä ei ollut paikalla.
У1.1.1.1.1.2. Hyökkääjät käyttivät etähallintatyökaluja (vakiomuotoisia tai haitallisen koodin toimittamia) asiakkaan hallintaan:
U1.1.1.1.1.2.1. Hyökkääjät toimivat ajanjaksoina, jolloin istunto oli aktiivinen, I/O-tilat olivat käytettävissä ja käyttäjä ei ollut paikalla.
U1.1.1.1.1.2.2. Hyökkääjät käyttivät etähallintatyökaluja, joiden toiminta on hyökkääjälle näkymätöntä.
U1.1.1.2. Hyökkääjät vaihtoivat Asiakkaan ja Palvelimen välisessä verkkoyhteydessä olevat tiedot muokkaamalla niitä siten, että ne koettiin laillisen käyttäjän toimiksi:
U1.1.1.2.1. Linkki: .
U1.1.1.3. Hyökkääjät pakottivat käyttäjän suorittamaan määrittämiään toimintoja käyttämällä manipulointimenetelmiä.
Hyökkääjien asentama У1.1.2 <…>:
U1.1.2.1. Hyökkääjät toimivat asiakkaasta (И):
U1.1.2.1.1. Hyökkääjät neutraloivat tietojärjestelmän kulunvalvontajärjestelmän:
U1.1.2.1.1.1. Linkki: .
У1.1.2.1.2. Hyökkääjät käyttivät tavallisia tietojärjestelmän pääsytyökaluja
U1.1.2.2. Hyökkääjät toimivat tietoverkon muista solmuista, joista voitiin muodostaa verkkoyhteys Palvelimeen (И):
U1.1.2.2.1. Hyökkääjät neutraloivat tietojärjestelmän kulunvalvontajärjestelmän:
U1.1.2.2.1.1. Linkki: .
U1.1.2.2.2. Hyökkääjät käyttivät epätyypillisiä keinoja päästäkseen tietojärjestelmään.
Selitykset U1.1.2.2.2.
Hyökkääjät voivat asentaa tietojärjestelmän vakioasiakkaan kolmannen osapuolen solmuun tai käyttää epästandardia ohjelmistoa, joka toteuttaa vakiomuotoisia tiedonsiirtoprotokollia asiakkaan ja palvelimen välillä.
U1.2 Käyttäjäistunnon ulkopuolella suoritettiin luvattomia toimia.
U1.2.1 Hyökkääjät suorittivat luvattomia toimia ja tekivät sitten luvattomia muutoksia tietojärjestelmän toimintalokeihin tai tietoobjektien erityisiin attribuutteihin osoittaen, että heidän suorittamansa toiminnot on suorittanut laillinen käyttäjä.
U2. Suojattujen tietojen luvaton muuttaminen tietojärjestelmän palvelinosan käsittelyn aikana
Hajoaminen
U2.1. Hyökkääjät muokkaavat suojattuja tietoja käyttämällä tavallisia tietojärjestelmän työkaluja ja tekevät tämän laillisen käyttäjän puolesta.
U2.1.1. Linkki: .
U2.2. Hyökkääjät muokkaavat suojattua tietoa käyttämällä tiedonsaantimekanismeja, joita tietojärjestelmän normaali toiminta ei tarjoa.
U2.2.1. Hyökkääjät muokkaavat suojattuja tietoja sisältäviä tiedostoja:
U2.2.1.1. <…> käyttämällä käyttöjärjestelmän tarjoamia tiedostojenkäsittelymekanismeja.
U2.2.1.2. <…> provosoimalla tiedostojen palauttaminen luvatta muokatusta varmuuskopiosta.
U2.2.2. Hyökkääjät muokkaavat tietokantaan tallennettuja suojattuja tietoja (И):
U2.2.2.1. Hyökkääjät neutraloivat DBMS:n kulunvalvontajärjestelmän:
U2.2.2.1.1. Linkki: .
U2.2.2.2. Hyökkääjät muokkaavat tietoja käyttämällä tavallisia DBMS-rajapintoja päästäkseen tietoihin.
U2.3. Hyökkääjät muokkaavat suojattuja tietoja muokkaamalla niitä käsittelevän ohjelmiston toimintaalgoritmeja luvatta.
U2.3.1. Ohjelmiston lähdekoodia voidaan muuttaa.
U2.3.1. Ohjelmiston konekoodia voidaan muuttaa.
U2.4. Hyökkääjät muokkaavat suojattuja tietoja hyödyntämällä tietojärjestelmäohjelmistojen haavoittuvuuksia.
U2.5. Hyökkääjät muokkaavat suojattua tietoa, kun niitä siirretään tietojärjestelmän palvelinosan komponenttien välillä (esimerkiksi tietokantapalvelin ja sovelluspalvelin):
U2.5.1. Linkki: .
TYYPILLINEN UHKAMALLI. PÄÄSYHALLINTAJÄRJESTELMÄ
Suojausobjekti, jolle uhkamallia (laajuusaluetta) sovelletaan
Suojausobjekti, johon tätä uhkamallia sovelletaan, vastaa uhkamallin suojaobjektia: "Tyypillinen uhkamalli. Asiakas-palvelin-arkkitehtuurille rakennettu tietojärjestelmä."
Tässä uhkamallissa käyttäjän kulunvalvontajärjestelmä tarkoittaa tietojärjestelmän osaa, joka toteuttaa seuraavat toiminnot:
- Käyttäjän tunnistaminen.
- Käyttäjän todennus.
- Käyttäjien valtuutukset.
- Käyttäjän toimien kirjaaminen.
Huipputason turvallisuusuhat
Hajoaminen
U1. Istunnon luvaton perustaminen laillisen käyttäjän puolesta.
U2. Tietojärjestelmän käyttäjäoikeuksien luvaton lisääminen.
U1. Istunnon luvaton perustaminen laillisen käyttäjän puolesta
selitykset
Tämän uhan hajoaminen riippuu yleensä käytettävien käyttäjien tunnistus- ja todennusjärjestelmien tyypistä.
Tässä mallissa huomioidaan vain käyttäjän tunnistus- ja todennusjärjestelmä, jossa käytetään tekstiä ja salasanaa. Tässä tapauksessa oletamme, että käyttäjän kirjautuminen on julkisesti saatavilla olevaa tietoa, joka on hyökkääjien tiedossa.
Hajoaminen
U1.1. <…> valtuustietojen vaarantumisen vuoksi:
U1.1.1. Hyökkääjät vaaransivat käyttäjän tunnistetiedot tallentaessaan niitä.
Selitykset U1.1.1.
Valtuustiedot voidaan kirjoittaa esimerkiksi näyttöön kiinnitetylle tarralapulle.
U1.1.2. Käyttäjä on vahingossa tai haitallisesti välittänyt pääsytiedot hyökkääjille.
U1.1.2.1. Käyttäjä puhui kirjautumistiedot ääneen tullessaan.
U1.1.2.2. Käyttäjä jakoi tietonsa tarkoituksella:
U1.1.2.2.1. <…> työtovereille.
Selitykset U1.1.2.2.1.
Esimerkiksi, jotta he voivat korvata sen sairauden aikana.
U1.1.2.2.2. <…> työnantajan urakoitsijoille, jotka tekevät töitä tietoinfrastruktuurin kohteissa.
U1.1.2.2.3. <…> kolmansille osapuolille.
Selitykset U1.1.2.2.3.
Yksi, mutta ei ainoa vaihtoehto tämän uhan toteuttamiseksi on hyökkääjien käyttämä sosiaalisen manipuloinnin menetelmiä.
U1.1.3. Hyökkääjät valitsivat tunnistetiedot raa'alla voimalla:
U1.1.3.1. <…> käyttämällä tavallisia pääsymekanismeja.
U1.1.3.2. <…> käyttämällä aiemmin siepattuja koodeja (esimerkiksi salasanatiivisteitä) valtuustietojen tallentamiseen.
U1.1.4. Hyökkääjät käyttivät haitallista koodia siepatakseen käyttäjien tunnistetiedot.
U1.1.5. Hyökkääjät poimivat tunnistetiedot asiakkaan ja palvelimen välisestä verkkoyhteydestä:
U1.1.5.1. Linkki: .
U1.1.6. Hyökkääjät poimivat tunnistetiedot työnvalvontajärjestelmien tietueista:
U1.1.6.1. <…> videovalvontajärjestelmät (jos näppäimistön näppäimiä on tallennettu käytön aikana).
U1.1.6.2. <…> järjestelmät työntekijöiden toiminnan valvontaan tietokoneella
Selitykset U1.1.6.2.
Esimerkki tällaisesta järjestelmästä on .
U1.1.7. Hyökkääjät vaaransivat käyttäjien tunnistetiedot lähetysprosessin virheiden vuoksi.
Selitykset U1.1.7.
Esimerkiksi salasanojen lähettäminen selkeänä tekstinä sähköpostitse.
U1.1.8. Hyökkääjät saivat tunnistetiedot tarkkailemalla käyttäjän istuntoa etähallintajärjestelmillä.
U1.1.9. Hyökkääjät saivat tunnistetiedot teknisten kanavien (TCUI) kautta tapahtuneen vuotamisen seurauksena:
U1.1.9.1. Hyökkääjät havaitsivat, kuinka käyttäjä syötti tunnistetiedot näppäimistöltä:
U1.1.9.1.1 Hyökkääjät sijaitsivat käyttäjän välittömässä läheisyydessä ja näkivät valtuustietojen syöttämisen omin silmin.
Selitykset U1.1.9.1.1
Tällaisia tapauksia ovat esimerkiksi työtovereiden toimet tai tapaus, jossa käyttäjän näppäimistö on organisaation vieraiden nähtävillä.
U1.1.9.1.2 Hyökkääjät käyttivät teknisiä lisäkeinoja, kuten kiikareita tai miehittämätöntä lentokonetta, ja näkivät valtuustietojen sisäänmenon ikkunasta.
U1.1.9.2. Hyökkääjät poimivat tunnistetiedot näppäimistön ja tietokoneen järjestelmäyksikön välisestä radioyhteydestä, kun he olivat yhteydessä radioliitännän (esimerkiksi Bluetoothin) kautta.
U1.1.9.3. Hyökkääjät sieppasivat valtuustiedot vuotamalla ne väärän sähkömagneettisen säteilyn ja häiriöiden kanavan (PEMIN) kautta.
Selitykset U1.1.9.3.
Esimerkkejä hyökkäyksistä и .
U1.1.9.4. Hyökkääjä sieppasi valtuustietojen syöttämisen näppäimistöltä käyttämällä erityisiä teknisiä keinoja (STS), jotka oli suunniteltu salaa tietojen hankkimiseen.
Selitykset U1.1.9.4.
Примеры .
U1.1.9.5. Hyökkääjät sieppasivat kirjautumistietojen syöttämisen näppäimistöltä käyttämällä
käyttäjän näppäinpainallusprosessin moduloiman Wi-Fi-signaalin analyysi.
Selitykset U1.1.9.5.
Esimerkki .
U1.1.9.6. Hyökkääjät sieppasivat näppäimistöltä syötetyt tunnistetiedot analysoimalla näppäinpainallusten ääniä.
Selitykset U1.1.9.6.
Esimerkki .
U1.1.9.7. Hyökkääjät sieppasivat valtuustietojen syöttämisen mobiililaitteen näppäimistöltä analysoimalla kiihtyvyysanturin lukemia.
Selitykset U1.1.9.7.
Esimerkki .
U1.1.10. <…>, aiemmin tallennettu asiakassovellukseen.
Selitykset U1.1.10.
Käyttäjä voi esimerkiksi tallentaa sisäänkirjautumistunnuksen ja salasanan selaimeen päästäkseen tietylle sivustolle.
U1.1.11. Hyökkääjät vaaransivat kirjautumistiedot käyttäjien pääsyn peruuttamisprosessin virheiden vuoksi.
Selitykset U1.1.11.
Esimerkiksi sen jälkeen, kun käyttäjä irtisanottiin, hänen tilinsä pysyivät estettyinä.
U1.2. <…> hyödyntämällä kulunvalvontajärjestelmän haavoittuvuuksia.
U2. Tietojärjestelmän käyttäjäoikeuksien luvaton korottaminen
Hajoaminen
U2.1 <…> tekemällä luvattomia muutoksia tietoihin, jotka sisältävät tietoja käyttäjän oikeuksista.
U2.2 <…> kulunvalvontajärjestelmän haavoittuvuuksien avulla.
U2.3. <…> käyttäjien pääsynhallintaprosessin puutteista johtuen.
Selitykset U2.3.
Esimerkki 1. Käyttäjälle annettiin enemmän käyttöoikeuksia työhön kuin hän tarvitsi liiketoiminnallisista syistä.
Esimerkki 2: Kun käyttäjä oli siirretty toiseen paikkaan, aiemmin myönnettyjä käyttöoikeuksia ei peruutettu.
TYYPILLINEN UHKAMALLI. INTEGROINTIMODUULI
Suojausobjekti, jolle uhkamallia (laajuusaluetta) sovelletaan
Integrointimoduuli on joukko tietoinfrastruktuuriobjekteja, jotka on suunniteltu järjestämään tiedonvaihtoa tietojärjestelmien välillä.
Ottaen huomioon, että yritysverkoissa ei aina ole mahdollista yksiselitteisesti erottaa tietojärjestelmää toisesta, integraatiomoduulia voidaan pitää myös yhdistävänä linkkinä yhden tietojärjestelmän komponenttien välillä.
Arkkitehtuuri
Integrointimoduulin yleinen kaavio näyttää tältä:
Arkkitehtonisten elementtien kuvaus:
- "Exchange Server (SO)" – tietojärjestelmän solmu/palvelu/komponentti, joka suorittaa tiedonvaihtotehtävän toisen tietojärjestelmän kanssa.
- "Sovittelija" – solmu/palvelu, joka on suunniteltu järjestämään tietojärjestelmien välistä vuorovaikutusta, mutta ei osa niitä.
esimerkkejä "välittäjät" voi olla sähköpostipalveluita, yrityspalveluväyliä (yrityspalveluväylä / SoA-arkkitehtuuri), kolmannen osapuolen tiedostopalvelimia jne. Yleensä integrointimoduuli ei saa sisältää "välittäjiä". - "Tietojenkäsittelyohjelmisto" – joukko ohjelmia, jotka toteuttavat tiedonsiirtoprotokollat ja muotomuunnoksen.
Esimerkiksi tietojen muuntaminen UFEBS-muodosta ABS-muotoon, viestien tilan muuttaminen lähetyksen aikana jne. - "Verkkoyhteys" vastaa vakiotyyppisessä "Verkkoyhteys"-uhkamallissa kuvattua objektia. Joitakin yllä olevassa kaaviossa esitetyistä verkkoyhteyksistä ei ehkä ole olemassa.
Esimerkkejä integrointimoduuleista
Kaavio 1. ABS:n ja AWS:n KBR:n integrointi kolmannen osapuolen tiedostopalvelimen kautta
Maksujen suorittamista varten valtuutettu pankin työntekijä lataa sähköiset maksuasiakirjat ydinpankkijärjestelmästä ja tallentaa ne tiedostoon (omassa muodossaan, esimerkiksi SQL-vedos) tiedostopalvelimen verkkokansioon (...SHARE). Sitten tämä tiedosto muunnetaan muuntimen komentosarjan avulla tiedostojoukoksi UFEBS-muodossa, jotka sitten CBD-työasema lukee.
Tämän jälkeen valtuutettu työntekijä - automatisoidun työpaikan KBR:n käyttäjä - salaa ja allekirjoittaa vastaanotetut tiedostot ja lähettää ne Venäjän pankin maksujärjestelmään.
Kun maksut vastaanotetaan Venäjän pankista, KBR:n automatisoitu työpaikka purkaa ne ja tarkistaa sähköisen allekirjoituksen, minkä jälkeen se tallentaa ne UFEBS-muodossa olevien tiedostojen muodossa tiedostopalvelimelle. Ennen kuin maksuasiakirjat tuodaan ABS:ään, ne muunnetaan muunnosskriptillä UFEBS-muodosta ABS-muotoon.
Oletetaan, että tässä järjestelmässä ABS toimii yhdellä fyysisellä palvelimella, KBR-työasema toimii erillisellä tietokoneella ja muuntimen komentosarja toimii tiedostopalvelimella.
Tarkastelun kaavion objektien vastaavuus integrointimoduulimallin elementteihin:
"Vaihtopalvelin ABS-puolelta" – ABS-palvelin.
"Vaihtopalvelin AWS KBR:n puolelta" – tietokonetyöasema KBR.
"Sovittelija" – kolmannen osapuolen tiedostopalvelin.
"Tietojenkäsittelyohjelmisto" - muunnin skripti.
Kaavio 2. ABS:n ja AWS KBR:n integrointi sijoitettaessa jaettu verkkokansio maksujen kanssa AWS KBR:ään
Kaikki on samanlaista kuin Scheme 1, mutta erillistä tiedostopalvelinta ei käytetä, vaan verkkokansio (...SHARE) sähköisten maksuasiakirjojen kanssa sijoitetaan tietokoneelle, jossa on CBD-työasema. Muunninskripti toimii myös CBD-työasemalla.
Tarkastelun kaavion objektien vastaavuus integrointimoduulimallin elementteihin:
Samanlainen kuin kaavio 1, mutta "Sovittelija" ei käytetty.
Kaavio 3. ABS:n ja automatisoidun työpaikan KBR-N:n integrointi IBM WebSphera MQ:n kautta ja sähköisten asiakirjojen allekirjoittaminen "ABS-puolella"
ABS toimii alustalla, jota CIPF SCAD Signature ei tue. Lähtevien sähköisten asiakirjojen allekirjoitus suoritetaan erityisellä sähköisen allekirjoituspalvelimella (ES Server). Sama palvelin tarkistaa Venäjän pankista saapuvien asiakirjojen sähköisen allekirjoituksen.
ABS lataa tiedoston maksuasiakirjoineen omassa muodossaan ES-palvelimelle.
ES-palvelin muuntaa tiedoston sähköisiksi viesteiksi UFEBS-muodossa, minkä jälkeen sähköiset viestit allekirjoitetaan ja lähetetään IBM WebSphere MQ:lle.
KBR-N-työasema käyttää IBM WebSphere MQ:ta ja vastaanottaa sieltä allekirjoitettuja maksuviestejä, minkä jälkeen valtuutettu työntekijä - KBR-työaseman käyttäjä - salaa ne ja lähettää ne Venäjän keskuspankin maksujärjestelmään.
Kun maksut vastaanotetaan Venäjän pankista, automaattinen työpaikka KBR-N purkaa ne ja tarkistaa sähköisen allekirjoituksen. Onnistuneesti käsitellyt maksut purettujen ja allekirjoitettujen UFEBS-muotoisten sähköisten viestien muodossa siirretään IBM WebSphere MQ -palveluun, josta ne vastaanottaa Electronic Signature Server.
Sähköisen allekirjoituksen palvelin tarkistaa vastaanotettujen maksujen sähköisen allekirjoituksen ja tallentaa ne ABS-muotoiseen tiedostoon. Tämän jälkeen valtuutettu työntekijä - ABS-käyttäjä - lataa tuloksena olevan tiedoston ABS:ään määrätyllä tavalla.
Tarkastelun kaavion objektien vastaavuus integrointimoduulimallin elementteihin:
"Vaihtopalvelin ABS-puolelta" – ABS-palvelin.
"Vaihtopalvelin AWS KBR:n puolelta" — tietokonetyöasema KBR.
"Sovittelija" – ES-palvelin ja IBM WebSphere MQ.
"Tietojenkäsittelyohjelmisto" – komentosarjamuunnin, CIPF SCAD -allekirjoitus ES-palvelimella.
Kaavio 4. RBS-palvelimen ja peruspankkijärjestelmän integrointi erillisen vaihtopalvelimen tarjoaman API:n kautta
Oletetaan, että pankki käyttää useita etäpankkijärjestelmiä (RBS):
- "Internet Client-Bank" yksityishenkilöille (IKB FL);
- "Internet Client-Bank" oikeushenkilöille (IKB LE).
Tietoturvan varmistamiseksi kaikki vuorovaikutus ABS:n ja etäpankkijärjestelmien välillä tapahtuu ABS-tietojärjestelmän puitteissa toimivan dedikoidun vaihtopalvelimen kautta.
Seuraavaksi tarkastelemme IKB LE:n RBS-järjestelmän ja ABS:n välistä vuorovaikutusta.
Asiakkaalta asianmukaisesti varmennetun maksutoimeksiannon saatuaan RBS-palvelimen on luotava sen perusteella ABS:ään vastaava asiakirja. Tätä varten se lähettää API:n avulla tiedot vaihtopalvelimelle, joka puolestaan syöttää tiedot ABS:ään.
Kun asiakkaan tilisaldot muuttuvat, ABS tuottaa sähköisiä ilmoituksia, jotka välitetään pankkipalvelun etäpalvelimelle vaihtopalvelimen avulla.
Tarkastelun kaavion objektien vastaavuus integrointimoduulimallin elementteihin:
"Vaihtopalvelin RBS:n puolelta" – IKB YUL:n RBS-palvelin.
"Vaihtopalvelin ABS-puolelta" – vaihtopalvelin.
"Sovittelija" - puuttuu.
"Tietojenkäsittelyohjelmisto" – RBS-palvelinkomponentit, jotka vastaavat Exchange Server API:n käytöstä, keskuspalvelinkomponentit, jotka vastaavat ydinpankkisovellusliittymän käytöstä.
Huipputason turvallisuusuhat
Hajoaminen
U1. Hyökkääjät syöttävät vääriä tietoja integrointimoduulin kautta.
U1. Hyökkääjät syöttävät vääriä tietoja integrointimoduulin kautta
Hajoaminen
U1.1. Laillisten tietojen luvaton muuttaminen verkkoyhteyksien kautta lähetettäessä:
U1.1.1 linkki: .
U1.2. Väärän tiedon siirtäminen viestintäkanavien kautta laillisen vaihtoon osallistujan puolesta:
U1.1.2 linkki: .
U1.3. Laillisten tietojen luvaton muuttaminen niiden käsittelyn aikana Exchange-palvelimilla tai välittäjällä:
U1.3.1. Linkki: .
U1.4. Väärän tiedon luominen Exchange-palvelimiin tai -välittäjään laillisen vaihto-osallistujan puolesta:
U1.4.1. Linkki:
U1.5. Tietojen luvaton muuttaminen, kun niitä käsitellään tietojenkäsittelyohjelmistolla:
U1.5.1. <…> koska hyökkääjät tekevät luvattomia muutoksia tietojenkäsittelyohjelmiston asetuksiin (kokoonpanoon).
U1.5.2. <…> koska hyökkääjät tekevät luvattomia muutoksia tietojenkäsittelyohjelmistojen suoritettaviin tiedostoihin.
U1.5.3. <…> johtuen hyökkääjien interaktiivisesta tietojenkäsittelyohjelmiston hallinnasta.
TYYPILLINEN UHKAMALLI. KRYPTOGRAAFINEN TIEDON SUOJAUSJÄRJESTELMÄ
Suojausobjekti, jolle uhkamallia (laajuusaluetta) sovelletaan
Suojauksen kohteena on kryptografinen tietojen suojausjärjestelmä, jolla varmistetaan tietojärjestelmän turvallisuus.
Arkkitehtuuri
Kaiken tietojärjestelmän perusta on sovellusohjelmisto, joka toteuttaa sen tavoitetoiminnallisuuden.
Kryptografinen suojaus toteutetaan yleensä kutsumalla sovellusohjelmiston liiketoimintalogiikasta kryptografisia primitiivejä, jotka sijaitsevat erikoiskirjastoissa - kryptoytimissä.
Kryptografiset primitiivit sisältävät matalan tason kryptografisia toimintoja, kuten:
- salata/purkaa tietolohko;
- luoda/tarkistaa tietolohkon sähköinen allekirjoitus;
- laskea tietolohkon hash-funktio;
- luoda / ladata / ladata avaintiedot;
- jne.
Sovellusohjelmiston liiketoimintalogiikka toteuttaa korkeamman tason toimintoja käyttämällä kryptografisia primitiivejä:
- salaa tiedosto käyttämällä valittujen vastaanottajien avaimia;
- muodosta suojattu verkkoyhteys;
- ilmoittaa sähköisen allekirjoituksen tarkastuksen tuloksista;
- ja niin edelleen.
Liiketoimintalogiikan ja kryptoytimen vuorovaikutus voidaan suorittaa:
- suoraan, liiketoimintalogiikalla, joka kutsuu kryptografisia primitiivejä kryptoytimen dynaamisista kirjastoista (.DLL Windowsille, .SO Linuxille);
- suoraan, salausrajapintojen - kääreiden, esimerkiksi MS Crypto API:n, Java Cryptography Architecturen, PKCS#11:n jne. kautta. Tässä tapauksessa liiketoimintalogiikka pääsee salausrajapintaan ja kääntää kutsun vastaavaan kryptoytimeen, joka tätä tapausta kutsutaan kryptopalveluntarjoajaksi. Salausrajapintojen käyttö mahdollistaa sovellusohjelmistojen irtautumisen tietyistä salausalgoritmeista ja olla joustavampia.
Kryptoytimen järjestämiseen on kaksi tyypillistä järjestelmää:
Kaavio 1 – Monoliittinen kryptoydin
Kaavio 2 – Jaettu kryptoydin
Yllä olevien kaavioiden elementit voivat olla joko yksittäisiä ohjelmistomoduuleja, jotka toimivat yhdessä tietokoneessa, tai verkkopalveluita, jotka ovat vuorovaikutuksessa tietokoneverkon sisällä.
Kaavion 1 mukaan rakennettuja järjestelmiä käytettäessä sovellusohjelmisto ja kryptoydin toimivat salaustyökalun (SFC) yhdessä toimintaympäristössä, esimerkiksi samassa tietokoneessa, jossa on sama käyttöjärjestelmä. Järjestelmän käyttäjä voi pääsääntöisesti ajaa muita ohjelmia, myös haitallista koodia sisältäviä, samassa käyttöympäristössä. Tällaisissa olosuhteissa on olemassa vakava riski yksityisten salausavainten vuotamisesta.
Riskin minimoimiseksi käytetään kaaviota 2, jossa kryptoydin on jaettu kahteen osaan:
- Ensimmäinen osa toimii yhdessä sovellusohjelmiston kanssa epäluotettavassa ympäristössä, jossa on vaara saada tartuntaa haitallisella koodilla. Kutsumme tätä osaa "ohjelmistoosaksi".
- Toinen osa toimii luotetussa ympäristössä erillisessä laitteessa, joka sisältää yksityisen avaimen tallennustilan. Tästä lähtien kutsumme tätä osaa "laitteistoksi".
Salausytimen jako ohjelmisto- ja laitteistoosiin on hyvin mielivaltaista. Markkinoilla on järjestelmiä, jotka on rakennettu kaavan mukaan jaetulla kryptoytimellä, mutta joiden "laitteisto"-osa esitetään virtuaalikoneen kuvan muodossa - virtuaalinen HSM ().
Salausytimen molempien osien vuorovaikutus tapahtuu siten, että yksityisiä salausavaimia ei koskaan siirretä ohjelmistoosaan eikä niitä näin ollen voida varastaa haitallisen koodin avulla.
Vuorovaikutusrajapinta (API) ja salausytimen sovellusohjelmistolle tarjoama kryptografisten primitiivien joukko ovat samat molemmissa tapauksissa. Ero on tavassa, jolla ne toteutetaan.
Siten, kun käytetään järjestelmää, jossa on jaettu kryptoydin, ohjelmiston ja laitteiston vuorovaikutus suoritetaan seuraavan periaatteen mukaisesti:
- Ohjelmisto suorittaa salausprimitiivit, jotka eivät vaadi yksityisen avaimen käyttöä (esimerkiksi hash-funktion laskeminen, sähköisen allekirjoituksen tarkistaminen jne.).
- Yksityistä avainta käyttävät kryptografiset primitiivit (sähköisen allekirjoituksen luominen, tietojen salauksen purkaminen jne.) suoritetaan laitteistolla.
Havainnollistetaan jaetun kryptoytimen työtä käyttämällä esimerkkiä sähköisen allekirjoituksen luomisesta:
- Ohjelmisto-osa laskee allekirjoitetun datan hash-funktion ja välittää tämän arvon laitteistolle kryptoytimien välisen vaihtokanavan kautta.
- Laitteisto-osa muodostaa yksityistä avainta ja tiivistettä käyttäen sähköisen allekirjoituksen arvon ja välittää sen ohjelmistoosalle vaihtokanavaa pitkin.
- Ohjelmisto-osa palauttaa vastaanotetun arvon sovellusohjelmistolle.
Sähköisen allekirjoituksen oikeellisuuden tarkistamisen ominaisuudet
Kun vastaanottava osapuoli vastaanottaa sähköisesti allekirjoitetut tiedot, sen on suoritettava useita varmennusvaiheita. Positiivinen tulos sähköisen allekirjoituksen tarkistamisesta saavutetaan vain, jos kaikki varmennusvaiheet on suoritettu onnistuneesti.
Vaihe 1. Tietojen eheyden ja tietojen tekijän valvonta.
Lavan sisältö. Tietojen sähköinen allekirjoitus varmistetaan sopivalla salausalgoritmilla. Tämän vaiheen onnistunut suorittaminen osoittaa, että tietoja ei ole muokattu allekirjoitushetkestä lähtien ja että allekirjoitus on tehty sähköisen allekirjoituksen tarkistamiseen käytettävää julkista avainta vastaavalla yksityisellä avaimella.
Lavan sijainti: krypto-ydin.
Vaihe 2. Allekirjoittajan julkiseen avaimeen kohdistuvan luottamuksen valvonta ja sähköisen allekirjoituksen yksityisen avaimen voimassaoloajan valvonta.
Lavan sisältö. Vaihe koostuu kahdesta välivaiheesta. Ensimmäinen on määrittää, oliko sähköisen allekirjoituksen varmentamiseen tarkoitettu julkinen avain luotettu tietojen allekirjoitushetkellä. Toinen määrittää, oliko sähköisen allekirjoituksen yksityinen avain voimassa tietojen allekirjoitushetkellä. Yleensä näiden avainten voimassaoloajat eivät välttämättä ole samat (esimerkiksi sähköisen allekirjoituksen vahvistusavainten hyväksytyille varmenteille). Menetelmät luottamuksen luomiseksi allekirjoittajan julkiseen avaimeen määräytyvät vuorovaikutuksessa olevien osapuolten hyväksymien sähköisen dokumentinhallinnan sääntöjen mukaisesti.
Lavan sijainti: sovellusohjelmisto / kryptoydin.
Vaihe 3. Allekirjoittajan vallan valvonta.
Lavan sisältö. Sähköisen dokumentinhallinnan vahvistettujen sääntöjen mukaisesti tarkistetaan, oliko allekirjoittajalla oikeus varmentaa suojatut tiedot. Otetaanpa esimerkkinä auktoriteettirikkomustilanne. Oletetaan, että on organisaatio, jossa kaikilla työntekijöillä on sähköinen allekirjoitus. Sisäinen sähköinen asiakirjanhallintajärjestelmä vastaanottaa tilauksen johtajalta, mutta allekirjoitetaan varastopäällikön sähköisellä allekirjoituksella. Näin ollen tällaista asiakirjaa ei voida pitää laillisena.
Lavan sijainti: sovellusohjelma.
Suojauskohdetta kuvattaessa tehdyt oletukset
- Tiedonsiirtokanavat, lukuun ottamatta avaimenvaihtokanavia, kulkevat myös sovellusohjelmiston, API:n ja kryptoytimen kautta.
- Tiedot luottamuksesta julkisiin avaimiin ja (tai) sertifikaatteihin sekä tiedot julkisten avainten omistajien toimivaltuuksista sijoitetaan julkisen avaimen varastoon.
- Sovellusohjelmisto toimii julkisen avaimen kanssa kryptoytimen kautta.
Esimerkki CIPF:llä suojatusta tietojärjestelmästä
Aiemmin esitettyjen kaavioiden havainnollistamiseksi tarkastellaan hypoteettista tietojärjestelmää ja tuodaan esiin kaikki sen rakenteelliset elementit.
Tietojärjestelmän kuvaus
Organisaatiot päättivät ottaa käyttöön keskenään juridisesti merkittävän sähköisen dokumentinhallinnan (EDF). Tätä varten he tekivät sopimuksen, jossa määrättiin, että asiakirjat välitetään sähköpostitse, ja samalla ne tulee salata ja allekirjoittaa laadukkaalla sähköisellä allekirjoituksella. Työkaluina asiakirjojen luomiseen ja käsittelyyn tulee käyttää Microsoft Office 2016 -paketin Office-ohjelmia ja kryptografisena suojauksena CIPF CryptoPRO:ta ja salausohjelmistoa CryptoARM.
Organisaation infrastruktuurin kuvaus 1
Organisaatio 1 päätti asentaa CIPF CryptoPRO- ja CryptoARM-ohjelmistot käyttäjän työasemalle - fyysiselle tietokoneelle. Salaus- ja sähköisen allekirjoituksen avaimet tallennetaan ruToken-avainmediaan, joka toimii noudettavissa olevassa avaintilassa. Käyttäjä valmistelee sähköisiä asiakirjoja paikallisesti tietokoneellaan, salaa, allekirjoittaa ja lähettää ne paikallisesti asennetulla sähköpostiohjelmalla.
Organisaation infrastruktuurin kuvaus 2
Organisaatio 2 päätti siirtää salaus- ja sähköisen allekirjoituksen toiminnot omaan virtuaalikoneeseen. Tässä tapauksessa kaikki salaustoiminnot suoritetaan automaattisesti.
Tätä varten virtuaalikoneeseen järjestetään kaksi verkkokansiota: "...In", "...Out". Vastapuolelta avoimessa muodossa vastaanotetut tiedostot sijoitetaan automaattisesti verkkokansioon ”…In”. Näiden tiedostojen salaus puretaan ja sähköinen allekirjoitus varmistetaan.
Käyttäjä sijoittaa "…Out"-kansioon tiedostot, jotka on salattava, allekirjoitettava ja lähetettävä vastapuolelle. Käyttäjä valmistelee tiedostot itse työasemallaan.
Salaus- ja sähköisen allekirjoituksen toimintojen suorittamiseksi virtuaalikoneeseen asennetaan CIPF CryptoPRO, CryptoARM-ohjelmisto ja sähköpostiohjelma. Virtuaalikoneen kaikkien elementtien automaattinen hallinta suoritetaan järjestelmänvalvojien kehittämien komentosarjojen avulla. Skriptien työ kirjataan lokitiedostoihin.
Sähköisen allekirjoituksen kryptografiset avaimet sijoitetaan tunnukselle, jossa on ei-palautettava JaCarta GOST -avain, jonka käyttäjä yhdistää paikalliseen tietokoneeseensa.
Tunnus välitetään virtuaalikoneeseen käyttämällä käyttäjän työasemalle ja virtuaalikoneeseen asennettua erityistä USB-over-IP-ohjelmistoa.
Järjestelmän kello käyttäjän työasemalla organisaatiossa 1 säädetään manuaalisesti. Organisaatio 2:n erillisen virtuaalikoneen järjestelmäkello synkronoidaan hypervisor-järjestelmän kellon kanssa, joka puolestaan synkronoidaan Internetin kautta julkisten aikapalvelimien kanssa.
CIPF:n rakenneosien tunnistaminen
Yllä olevan IT-infrastruktuurin kuvauksen perusteella korostamme CIPF:n rakenteellisia elementtejä ja kirjoitamme ne taulukkoon.
Taulukko - CIPF-mallin elementtien vastaavuus tietojärjestelmän elementteihin
Kohteen nimi
Organisaatio 1
Organisaatio 2
Sovellusohjelma
CryptoARM ohjelmisto
CryptoARM ohjelmisto
Ohjelmisto osa kryptoytimen
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
Crypto-ydinlaitteisto
ei
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
Julkisen avaimen myymälä
Käyttäjän työasema:
- HDD;
- tavallinen Windows-sertifikaattivarasto.
Hypervisor:
- HDD.
Virtuaalikone:
- HDD;
- tavallinen Windows-sertifikaattivarasto.
Yksityinen avainten säilytys
ruToken-avaimen kantaja, joka toimii noudettavissa olevassa avaintilassa
JaCarta GOST-avainpidike, joka toimii ei-irrotettavassa avaintilassa
Julkisen avaimen vaihtokanava
Käyttäjän työasema:
- RAM.
Hypervisor:
- RAM.
Virtuaalikone:
- RAM.
Yksityinen avainten vaihtokanava
Käyttäjän työasema:
- USB-väylä;
- RAM.
ei
Vaihda kanavaa kryptoytimien välillä
puuttuu (ei kryptoydinlaitteistoa)
Käyttäjän työasema:
- USB-väylä;
- RAM;
— USB-over-IP-ohjelmistomoduuli;
- verkkoliitäntä.
Organisaation yritysverkosto 2.
Hypervisor:
- RAM;
- verkkoliitäntä.
Virtuaalikone:
— verkkoliitäntä;
- RAM;
— USB-over-IP-ohjelmistomoduuli.
Avaa datakanava
Käyttäjän työasema:
— syöttö-tulostusvälineet;
- RAM;
- HDD.
Käyttäjän työasema:
— syöttö-tulostusvälineet;
- RAM;
- HDD;
- verkkoliitäntä.
Organisaation yritysverkosto 2.
Hypervisor:
— verkkoliitäntä;
- RAM;
- HDD.
Virtuaalikone:
— verkkoliitäntä;
- RAM;
- HDD.
Suojattu tiedonsiirtokanava
Internet.
Organisaation yritysverkosto 1.
Käyttäjän työasema:
- HDD;
- RAM;
- verkkoliitäntä.
Internet.
Organisaation yritysverkosto 2.
Hypervisor:
— verkkoliitäntä;
- RAM;
- HDD.
Virtuaalikone:
— verkkoliitäntä;
- RAM;
- HDD.
Aikakanava
Käyttäjän työasema:
— syöttö-tulostusvälineet;
- RAM;
- järjestelmän ajastin.
Internet.
Organisaation 2 yritysverkosto,
Hypervisor:
— verkkoliitäntä;
- RAM;
- järjestelmän ajastin.
Virtuaalikone:
- RAM;
- järjestelmän ajastin.
Ohjauskäskyn lähetyskanava
Käyttäjän työasema:
— syöttö-tulostusvälineet;
- RAM.
(CryptoARM-ohjelmiston graafinen käyttöliittymä)
Virtuaalikone:
- RAM;
- HDD.
(Automaatioskriptit)
Kanava työtulosten vastaanottamiseen
Käyttäjän työasema:
— syöttö-tulostusvälineet;
- RAM.
(CryptoARM-ohjelmiston graafinen käyttöliittymä)
Virtuaalikone:
- RAM;
- HDD.
(Automaatioskriptien lokitiedostot)
Huipputason turvallisuusuhat
selitykset
Uhkia hajotettaessa tehdyt oletukset:
- Käytetään vahvoja salausalgoritmeja.
- Salausalgoritmeja käytetään turvallisesti oikeissa toimintatavoissa (esim. ei käytetä suurten tietomäärien salaukseen, avaimen sallittu kuormitus otetaan huomioon jne.).
- Hyökkääjät tietävät kaikki käytetyt algoritmit, protokollat ja julkiset avaimet.
- Hyökkääjät voivat lukea kaikki salatut tiedot.
- Hyökkääjät pystyvät toistamaan kaikki järjestelmän ohjelmistoelementit.
Hajoaminen
U1. Yksityisten salausavainten vaarantaminen.
U2. Väärennettyjen tietojen salaus laillisen lähettäjän puolesta.
U3. Salattujen tietojen salauksen purku henkilöiden toimesta, jotka eivät ole tietojen laillisia vastaanottajia (hyökkääjät).
U4. Laillisen allekirjoittajan sähköisen allekirjoituksen luominen väärien tietojen perusteella.
U5. Positiivisen tuloksen saaminen väärennettyjen tietojen sähköisen allekirjoituksen tarkistamisesta.
U6. Virheellinen sähköisten asiakirjojen hyväksyminen suoritettaviksi sähköisen asiakirjavirran järjestämisongelmista johtuen.
U7. Luvaton pääsy suojattuihin tietoihin niiden käsittelyn aikana CIPF:n toimesta.
U1. Yksityisten salausavainten vaarantaminen
U1.1. Yksityisen avaimen haku yksityisen avaimen varastosta.
U1.2. Yksityisen avaimen hankkiminen kryptotyökalun käyttöympäristössä olevista objekteista, joissa se voi tilapäisesti oleskella.
Selitykset U1.2.
Objekteja, jotka voivat väliaikaisesti tallentaa yksityisen avaimen, ovat:
- RAM,
- väliaikaiset tiedostot,
- vaihtaa tiedostoja,
- lepotilatiedostot,
- tilannekuvatiedostot virtuaalikoneiden "kuumasta" tilasta, mukaan lukien keskeytettyjen virtuaalikoneiden RAM-muistin sisältötiedostot.
U1.2.1. Yksityisten avainten purkaminen toimivasta RAM-muistista jäädyttämällä RAM-moduulit, poistamalla ne ja lukemalla tiedot (freeze attack).
Selitykset U1.2.1.
Esimerkki .
U1.3. Yksityisen avaimen hankkiminen yksityisen avaimen vaihtokanavasta.
Selitykset U1.3.
Tämän uhan toteuttamisesta annetaan esimerkki .
U1.4. Salausytimen luvaton muuttaminen, jonka seurauksena yksityiset avaimet tulevat hyökkääjien tiedoksi.
U1.5. Yksityisen avaimen vaarantuminen teknisten tietovuotokanavien (TCIL) käytön seurauksena.
Selitykset U1.5.
Esimerkki .
U1.6. Yksityisen avaimen vaarantuminen, joka johtuu erityisten teknisten keinojen (STS) käytöstä, jotka on suunniteltu tietojen salaa hakemiseen ("virheet").
U1.7. Yksityisten avainten vaarantuminen niiden säilytyksen aikana CIPF:n ulkopuolella.
Selitykset U1.7.
Käyttäjä esimerkiksi tallentaa avainmediansa työpöydän laatikkoon, josta hyökkääjät voivat helposti noutaa ne.
U2. Väärennettyjen tietojen salaus laillisen lähettäjän puolesta
selitykset
Tämä uhka otetaan huomioon vain tietojen salausjärjestelmissä, joissa on lähettäjän todennus. Esimerkkejä tällaisista järjestelmistä on esitetty standardointisuosituksissa . Muissa salausjärjestelmissä tätä uhkaa ei ole, koska salaus suoritetaan vastaanottajan julkisille avaimille, ja hyökkääjät tuntevat ne yleensä.
Hajoaminen
U2.1. Lähettäjän yksityisen avaimen vaarantaminen:
U2.1.1. Linkki: .
U2.2. Syöttötietojen korvaaminen avoimessa tiedonvaihtokanavassa.
Huomautukset U2.2.
Alla on esimerkkejä tämän uhan toteuttamisesta. и .
U3. Salattujen tietojen salauksen purkaminen henkilöiden toimesta, jotka eivät ole tietojen laillisia vastaanottajia (hyökkääjät)
Hajoaminen
U3.1. Salattujen tietojen vastaanottajan yksityisten avainten vaarantaminen.
U3.1.1 linkki: .
U3.2. Salatun tiedon korvaaminen suojatussa tiedonsiirtokanavassa.
U4. Laillisen allekirjoittajan sähköisen allekirjoituksen luominen väärien tietojen alla
Hajoaminen
U4.1. Laillisen allekirjoittajan sähköisen allekirjoituksen yksityisten avainten vaarantaminen.
U4.1.1 linkki: .
U4.2. Allekirjoitetun tiedon korvaaminen avoimessa tiedonvaihtokanavassa.
Huomautus U4.2.
Alla on esimerkkejä tämän uhan toteuttamisesta. и .
U5. Positiivisen tuloksen saaminen väärennettyjen tietojen sähköisen allekirjoituksen tarkistamisesta
Hajoaminen
U5.1. Hyökkääjät sieppaavat työtulosten välityskanavassa olevan viestin sähköisen allekirjoituksen tarkastuksen negatiivisesta tuloksesta ja korvaavat sen viestillä, jolla on positiivinen tulos.
U5.2. Hyökkääjät hyökkäävät varmenteiden allekirjoittamiseen (SCRIPT - kaikki elementit vaaditaan):
U5.2.1. Hyökkääjät luovat julkisen ja yksityisen avaimen sähköistä allekirjoitusta varten. Jos järjestelmä käyttää sähköisen allekirjoituksen avainvarmenteita, ne tuottavat sähköisen allekirjoituksen varmenteen, joka on mahdollisimman samanlainen kuin sen tiedon aiotun lähettäjän varmenne, jonka viestiä he haluavat väärentää.
U5.2.2. Hyökkääjät tekevät luvattomia muutoksia julkisen avaimen säilytykseen, jolloin julkiselle avaimelle he luovat tarvittavan luottamuksen ja valtuudet.
U5.2.3. Hyökkääjät allekirjoittavat vääriä tietoja aiemmin luodulla sähköisellä allekirjoitusavaimella ja lisäävät sen suojattuun tiedonvaihtokanavaan.
U5.3. Hyökkääjät suorittavat hyökkäyksen käyttämällä vanhentuneita laillisen allekirjoittajan sähköisiä allekirjoitusavaimia (SCRIPT - kaikki elementit vaaditaan):
U5.3.1. Hyökkääjät vaarantavat laillisen lähettäjän sähköisen allekirjoituksen vanhentuneet (ei tällä hetkellä voimassa olevat) yksityiset avaimet.
U5.3.2. Hyökkääjät korvaavat ajan lähetyskanavassa ajalla, jolloin vaarantuneet avaimet olivat vielä voimassa.
U5.3.3. Hyökkääjät allekirjoittavat vääriä tietoja aiemmin vaarantuneella sähköisen allekirjoituksen avaimella ja syöttävät sen suojattuun tiedonvaihtokanavaan.
U5.4. Hyökkääjät suorittavat hyökkäyksen käyttämällä laillisen allekirjoittajan vaarantuneita sähköisiä allekirjoitusavaimia (SCRIPT - kaikki elementit vaaditaan):
U5.4.1. Hyökkääjä tekee kopion julkisen avaimen varastosta.
U5.4.2. Hyökkääjät vaarantavat yhden laillisen lähettäjän yksityiset avaimet. Hän huomaa kompromissin, peruuttaa avaimet ja tiedot avaimen peruuttamisesta sijoitetaan julkisen avaimen varastoon.
U5.4.3. Hyökkääjät korvaavat julkisten avainten säilytyksen aiemmin kopioidulla.
U5.4.4. Hyökkääjät allekirjoittavat vääriä tietoja aiemmin vaarantuneella sähköisen allekirjoituksen avaimella ja syöttävät sen suojattuun tiedonvaihtokanavaan.
U5.5. <…> sähköisen allekirjoituksen todentamisen 2. ja 3. vaiheen toteutuksessa tapahtuneiden virheiden vuoksi:
Selitykset U5.5.
Tässä annetaan esimerkki tämän uhan toteuttamisesta .
U5.5.1. Sähköisen allekirjoituksen avaimen varmenteen luottamuksen tarkistaminen vain sen varmenteen luottamuksen perusteella, jolla se on allekirjoitettu, ilman CRL- tai OCSP-tarkistuksia.
Selitykset U5.5.1.
Toteutusesimerkki .
U5.5.2. Varmenteen luottamusketjua rakennettaessa ei analysoida varmenteita myöntäviä viranomaisia
Selitykset U5.5.2.
Esimerkki hyökkäyksestä SSL/TLS-varmenteita vastaan.
Hyökkääjät ostivat sähköpostilleen laillisen varmenteen. Sitten he tekivät petollisen sivuston varmenteen ja allekirjoittivat sen sertifikaattillaan. Jos tunnistetietoja ei tarkisteta, luottamusketjua tarkistettaessa se osoittautuu oikeaksi, ja vastaavasti myös petollinen varmenne on oikea.
U5.5.3. Varmenteiden luottamusketjua rakennettaessa välivarmenteita ei tarkisteta mitätöidyksi.
U5.5.4. CRL-luetteloita päivitetään harvemmin kuin varmenneviranomainen julkaisee.
U5.5.5. Päätös luottaa sähköiseen allekirjoitukseen tehdään ennen kuin OCSP-vastaus varmenteen tilasta vastaanotetaan, lähetetään pyynnöstä, joka on tehty myöhemmin kuin allekirjoituksen luomisajankohta tai aikaisemmin kuin seuraava allekirjoituksen luomisen jälkeinen CRL.
Selitykset U5.5.5.
Useimpien varmentajan määräyksissä varmenteen peruuttamisajankohtana pidetään lähimmän varmenteen peruuttamistiedot sisältävän CRL:n myöntämisajankohtaa.
U5.5.6. Allekirjoitettuja tietoja vastaanotettaessa varmennetta lähettäjälle ei tarkisteta.
Selitykset U5.5.6.
Esimerkki hyökkäyksestä. SSL-varmenteiden osalta: kutsutun palvelimen osoitteen vastaavuutta varmenteen CN-kentän arvon kanssa ei ehkä voida tarkistaa.
Esimerkki hyökkäyksestä. Hyökkääjät vaaransivat yhden maksujärjestelmän osanottajan sähköisen allekirjoituksen avaimet. Tämän jälkeen he murtautuivat toisen osallistujan verkkoon ja lähettivät hänen puolestaan vaarantuneilla avaimilla allekirjoitettuja maksuasiakirjoja maksujärjestelmän selvityspalvelimelle. Jos palvelin vain analysoi luottamusta eikä tarkista vaatimustenmukaisuutta, vilpilliset asiakirjat katsotaan laillisiksi.
U6. Virheellinen sähköisten asiakirjojen hyväksyminen suoritettaviksi sähköisen asiakirjavirran järjestämisongelmista johtuen.
Hajoaminen
U6.1. Vastaanottava osapuoli ei havaitse vastaanotettujen asiakirjojen kopioita.
Selitykset U6.1.
Esimerkki hyökkäyksestä. Hyökkääjät voivat siepata vastaanottajalle lähetettävän asiakirjan, vaikka se olisi kryptografisesti suojattu, ja lähettää sen sitten toistuvasti suojatun tiedonsiirtokanavan kautta. Jos vastaanottaja ei tunnista kaksoiskappaleita, kaikki vastaanotetut asiakirjat havaitaan ja käsitellään eri asiakirjoina.
U7. Luvaton pääsy suojattuihin tietoihin niiden käsittelyn aikana CIPF:n toimesta
Hajoaminen
U7.1. <…> sivukanavien kautta tapahtuneen tietovuodon vuoksi (sivukanavahyökkäys).
Selitykset U7.1.
Esimerkki .
U7.2. <…> CIPF:ssä käsiteltyjen tietojen luvattomalta pääsyltä suojauksen neutraloinnin vuoksi:
U7.2.1. CIPF:n toiminta rikkoo CIPF:n dokumentaatiossa kuvattuja vaatimuksia.
U7.2.2. <…>, joka toteutetaan haavoittuvuuksien vuoksi:
U7.2.2.1. <…> keino suojautua luvattomalta käytöltä.
U7.2.2.2. <…> CIPF itse.
U7.2.2.3. <…> kryptotyökalun käyttöympäristö.
Esimerkkejä hyökkäyksistä
Alla käsitellyt skenaariot sisältävät ilmeisesti tietoturvavirheitä ja ovat vain havainnollistavia mahdollisia hyökkäyksiä.
Skenaario 1. Esimerkki uhkien U2.2 ja U4.2 toteutuksesta.
Esineen kuvaus
AWS KBR -ohjelmisto ja CIPF SCAD Signature asennetaan fyysiseen tietokoneeseen, joka ei ole yhteydessä tietokoneverkkoon. FKN vdTokeniä käytetään avaimen kantajana työskentelytilassa ei-irrotettavan avaimen kanssa.
Selvityssäännöissä oletetaan, että selvitysasiantuntija työtietokoneeltaan lataa sähköiset viestit selkeänä tekstinä (vanhan KBR-työaseman kaavio) erityiseltä suojatulta tiedostopalvelimelta, kirjoittaa ne siirrettävälle USB-muistitikulle ja siirtää ne KBR-työasemalle, missä ne on salattu ja kirjoitettu. Tämän jälkeen asiantuntija siirtää suojatut sähköiset viestit vieraantuneelle välineelle ja kirjoittaa ne sitten työtietokoneensa kautta tiedostopalvelimelle, josta ne menevät UTA:lle ja sitten Venäjän pankin maksujärjestelmään.
Tässä tapauksessa avoimen ja suojatun tiedon vaihtokanavia ovat tiedostopalvelin, asiantuntijan työtietokone ja vieraantuneita tietovälineitä.
hyökkäys
Luvattomat hyökkääjät asentavat kauko-ohjausjärjestelmän asiantuntijan työtietokoneelle ja korvaavat yhden niistä sisällön selkeänä tekstinä kirjoitettaessa maksumääräyksiä (sähköisiä viestejä) siirrettävälle välineelle. Asiantuntija siirtää maksumääräykset KBR:n automatisoidulle työpaikalle, allekirjoittaa ja salaa ne huomaamatta vaihtamista (esimerkiksi lennon suuren maksumääräysten, väsymyksen jne. vuoksi). Tämän jälkeen väärennetty maksumääräys, joka on kulkenut teknisen ketjun läpi, tulee Venäjän pankin maksujärjestelmään.
Skenaario 2. Esimerkki uhkien U2.2 ja U4.2 toteutuksesta.
Esineen kuvaus
Tietokone, johon on asennettu työasema KBR, SCAD Signature ja yhdistetty avaimen kantaja FKN vdToken, toimii erillisessä huoneessa ilman henkilökunnan pääsyä.
Laskentaasiantuntija muodostaa yhteyden CBD-työasemaan etäkäyttötilassa RDP-protokollan kautta.
hyökkäys
Hyökkääjät sieppaavat yksityiskohdat, joiden avulla laskentaasiantuntija muodostaa yhteyden CBD-työasemaan ja työskentelee sen kanssa (esimerkiksi haitallisen koodin kautta tietokoneessaan). Sitten he muodostavat yhteyden hänen puolestaan ja lähettävät väärennetyn maksumääräyksen Venäjän keskuspankin maksujärjestelmään.
Skenaario 3. Esimerkki uhan toteutuksesta U1.3.
Esineen kuvaus
Tarkastellaan yhtä hypoteettisista vaihtoehdoista ABS-KBR-integraatiomoduulien toteuttamiseksi uudelle skeemalle (AWS KBR-N), jossa lähtevien asiakirjojen sähköinen allekirjoitus tapahtuu ABS-puolella. Tässä tapauksessa oletetaan, että ABS toimii sellaisen käyttöjärjestelmän pohjalta, jota CIPF SKAD Signature ei tue, ja vastaavasti kryptografinen toiminnallisuus siirretään erilliseen virtuaalikoneeseen - "ABS-KBR" -integraatioon. moduuli.
Tavallista USB-tunnusta, joka toimii palautettavassa avaintilassa, käytetään avaimen kantajana. Kun avainmediaa liitettiin hypervisoriin, kävi ilmi, että järjestelmässä ei ollut vapaita USB-portteja, joten USB-tunnus päätettiin liittää verkon USB-keskittimen kautta ja asentaa virtuaaliseen USB-over-IP-asiakas. kone, joka kommunikoi keskittimen kanssa.
hyökkäys
Hyökkääjät sieppasivat sähköisen allekirjoituksen yksityisen avaimen USB-keskittimen ja hypervisorin välisestä viestintäkanavasta (tiedot välitettiin selkeänä tekstinä). Yksityisen avaimen hallussa hyökkääjät loivat väärennetyn maksumääräyksen, allekirjoittivat sen sähköisellä allekirjoituksella ja lähettivät sen KBR-N automatisoidulle työpaikalle suoritettavaksi.
Skenaario 4. Esimerkki uhkien toteutuksesta U5.5.
Esineen kuvaus
Tarkastellaan samaa piiriä kuin edellisessä skenaariossa. Oletetaan, että KBR-N-työasemalta tulevat sähköiset viestit päätyvät …SHAREIn-kansioon ja KBR-N-työasemaan ja edelleen Venäjän keskuspankin maksujärjestelmään lähetetyt viestit …SHAREoutiin.
Oletetaan myös, että integrointimoduulia toteutettaessa peruutettujen varmenteiden luettelot päivitetään vain salausavaimien uudelleen myöntämisen yhteydessä ja että …SHAREIn-kansioon saapuneet sähköiset viestit tarkistetaan vain eheyden valvonnan ja luottamuksen valvonnan osalta julkisessa avaimessa. Sähköinen allekirjoitus.
hyökkäys
Hyökkääjät allekirjoittivat edellisessä skenaariossa varastettuja avaimia käyttäen väärennetyn maksumääräyksen, joka sisälsi tiedot rahan vastaanottamisesta huijarin asiakkaan tilille ja veivät sen suojattuun tiedonvaihtokanavaan. Koska Venäjän pankin allekirjoittamaa maksumääräystä ei ole varmistettu, se hyväksytään suoritettavaksi.
Lähde: will.com