Lyen ki mennen nan lòt pati nan etid la
- (Ou la a)
Atik sa a konplete seri piblikasyon yo konsakre pou asire sekirite enfòmasyon nan peman bank ki pa lajan kach. Isit la nou pral gade nan modèl menas tipik yo refere yo nan :
- .
- .
- .
- .
HABRO-AVÈTISMAN!!! Chè Khabrovites, sa a se pa yon pòs amizan.
Plis pase 40 paj materyèl kache anba koupe a gen entansyon ede ak travay oswa etid moun ki espesyalize nan bankè oswa sekirite enfòmasyon. Materyèl sa yo se pwodwi final la nan rechèch la epi yo ekri nan yon ton sèk, fòmèl. Nan sans, sa yo se espas vid pou dokiman sekirite enfòmasyon entèn yo.Oke, tradisyonèl - "Itilizasyon enfòmasyon ki soti nan atik la pou rezon ilegal se pini pa lalwa". Lekti pwodiktif!
Enfòmasyon pou lektè ki vin abitye ak etid ki kòmanse ak piblikasyon sa a.
Ki sa etid la sou?
W ap li yon gid pou yon espesyalis ki responsab pou asire sekirite enfòmasyon sou peman nan yon bank.
Lojik nan prezantasyon
Nan kòmansman an nan и yo bay yon deskripsyon objè ki pwoteje a. Lè sa a, nan dekri kijan pou konstwi yon sistèm sekirite epi pale sou nesesite pou kreye yon modèl menas. NAN pale sou ki modèl menas ki egziste ak ki jan yo fòme. NAN и Yo bay yon analiz de atak reyèl. и gen yon deskripsyon nan modèl la menas, bati pran an kont enfòmasyon ki soti nan tout pati anvan yo.
MODÈL MENAS TIPIK. KONEKSYON REZO
Pwoteksyon objè pou ki modèl menas (dimansyon) aplike
Objè pwoteksyon an se done ki transmèt atravè yon koneksyon rezo ki fonksyone nan rezo done bati sou baz pil TCP/IP la.
achitekti
Deskripsyon nan eleman achitekti:
- "Fen nœuds" — nœuds echanje enfòmasyon pwoteje.
- "Nœuds entèmedyè" — eleman nan yon rezo transmisyon done: routeurs, switch, sèvè aksè, serveurs proxy ak lòt ekipman — atravè ki trafik koneksyon rezo transmèt. An jeneral, yon koneksyon rezo ka fonksyone san nœuds entèmedyè (dirèkteman ant nœuds fen).
Menas sekirite siperyè
Dekonpozisyon
U1. Aksè san otorizasyon nan done transmèt.
U2. Modifikasyon done transmèt san otorizasyon.
U3. Vyolasyon patènite done transmèt yo.
U1. Aksè san otorizasyon nan done transmèt
Dekonpozisyon
U1.1. <…>, te fèt nan nœuds final la oswa entèmedyè:
U1.1.1. <…> lè w li done pandan li nan aparèy depo lame yo:
U1.1.1.1. <…> nan RAM.
Eksplikasyon pou U1.1.1.1.
Pou egzanp, pandan pwosesis done pa pile rezo lame a.
U1.1.1.2. <…> nan memwa ki pa temèt.
Eksplikasyon pou U1.1.1.2.
Pou egzanp, lè yo estoke done transmèt nan yon kachèt, dosye tanporè oswa fichye swap.
U1.2. <…>, te pote sou nœuds twazyèm pati nan rezo done a:
U1.2.1. <…> pa metòd pou kaptire tout pake ki rive nan koòdone rezo lame a:
Eksplikasyon pou U1.2.1.
Kaptire tout pake yo te pote soti nan chanje kat rezo a nan mòd promiscuous (mòd promiscuous pou adaptè branche oswa mòd pou kontwole pou adaptè wi-fi).
U1.2.2. <…> pa fè atak moun nan mitan an (MiTM), men san yo pa modifye done yo transmèt (pa konte done sèvis pwotokòl rezo a).
U1.2.2.1. Link: .
U1.3. <…>, te fèt akòz flit enfòmasyon atravè chanèl teknik (TKUI) soti nan nœuds fizik oswa liy kominikasyon.
U1.4. <…>, te pote soti nan enstale mwayen teknik espesyal (STS) sou fen a oswa nœuds entèmedyè, ki fèt pou koleksyon an sekrè nan enfòmasyon.
U2. Modifikasyon done transmèt san otorizasyon
Dekonpozisyon
U2.1. <…>, te fèt nan nœuds final la oswa entèmedyè:
U2.1.1. <…> pa li epi fè chanjman nan done yo pandan li nan aparèy depo yo nan nœuds yo:
U2.1.1.1. <...> nan RAM:
U2.1.1.2. <…> nan memwa ki pa temèt:
U2.2. <…>, te pote sou nœuds twazyèm pati nan rezo transmisyon done:
U2.2.1. <…> pa pote atak moun nan mitan an (MiTM) ak redireksyon trafik nan ne atakan yo:
U2.2.1.1. Koneksyon fizik ekipman atakè yo lakòz yon koneksyon rezo kase.
U2.2.1.2. Fè atak sou pwotokòl rezo:
U2.2.1.2.1. <…> jesyon rezo lokal vityèl (VLAN):
U2.2.1.2.1.1. .
U2.2.1.2.1.2. Modifikasyon san otorizasyon nan anviwònman VLAN sou switch oswa routè.
U2.2.1.2.2. <…> wout trafik:
U2.2.1.2.2.1. Modifikasyon san otorizasyon nan tab routage estatik nan routeurs.
U2.2.1.2.2.2. Anons fo wout pa atakè yo atravè pwotokòl routage dinamik.
U2.2.1.2.3. <…> konfigirasyon otomatik:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <…> adrès ak rezolisyon non:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. Fè chanjman san otorizasyon nan dosye non lame lokal yo (hosts, lmhosts, elatriye)
U3. Vyolasyon copyright done transmèt yo
Dekonpozisyon
U3.1. Netralizasyon mekanis pou detèmine patènite enfòmasyon lè yo endike fo enfòmasyon sou otè a oswa sous done yo:
U3.1.1. Chanje enfòmasyon sou otè a ki nan enfòmasyon transmèt yo.
U3.1.1.1. Netralizasyon pwoteksyon kriptografik entegrite ak patènite done transmèt:
U3.1.1.1.1. Link: .
U3.1.1.2. Netralizasyon pwoteksyon copyright done transmèt yo, aplike lè l sèvi avèk kòd konfimasyon yon sèl fwa:
U3.1.1.2.1. .
U3.1.2. Chanje enfòmasyon sou sous enfòmasyon transmèt:
U3.1.2.1. .
U3.1.2.2. .
MODÈL MENAS TIPIK. SISTÈM ENFÒMASYON BATI SOU BAZ ACHITECTURE KLIY-SÈVÈ
Pwoteksyon objè pou ki modèl menas (dimansyon) aplike
Objè pwoteksyon an se yon sistèm enfòmasyon ki bati sou baz yon achitekti kliyan-sèvè.
achitekti
Deskripsyon nan eleman achitekti:
- "Kliyan" – yon aparèy sou ki pati nan kliyan nan sistèm enfòmasyon an opere.
- "Sèvè" – yon aparèy kote pati sèvè sistèm enfòmasyon an opere.
- "Magazen done" — yon pati nan enfrastrikti sèvè yon sistèm enfòmasyon, ki fèt pou estoke done sistèm enfòmasyon an trete.
- "Koneksyon rezo" — yon kanal echanj enfòmasyon ant Kliyan an ak sèvè a pase atravè rezo done a. Yo bay yon deskripsyon pi detaye sou modèl eleman an .
Restriksyon yo
Lè w ap modelize yon objè, yo mete restriksyon sa yo:
- Itilizatè a reyaji ak sistèm enfòmasyon an nan peryòd tan fini, yo rele sesyon travay.
- Nan kòmansman chak sesyon travay, itilizatè a idantifye, otantifye ak otorize.
- Tout enfòmasyon ki pwoteje yo estoke sou pati sèvè sistèm enfòmasyon an.
Menas sekirite siperyè
Dekonpozisyon
U1. Fè aksyon san otorizasyon pa atakè sou non yon itilizatè lejitim.
U2. Modifikasyon san otorizasyon nan enfòmasyon ki pwoteje pandan pwosesis li yo pa pati nan sèvè nan sistèm enfòmasyon an.
U1. Fè aksyon san otorizasyon pa atakè sou non yon itilizatè lejitim
Eksplikasyon
Tipikman nan sistèm enfòmasyon, aksyon yo korelasyon ak itilizatè a ki fè yo lè l sèvi avèk:
- mòso bwa operasyon sistèm (mòso bwa).
- atribi espesyal nan objè done ki gen enfòmasyon sou itilizatè a ki te kreye oswa modifye yo.
An relasyon ak yon sesyon travay, menas sa a ka dekonpoze an:
- <…> fèt nan sesyon itilizatè a.
- <…> egzekite deyò sesyon itilizatè a.
Ou ka kòmanse yon sesyon itilizatè:
- Pa itilizatè a tèt li.
- Malfektè.
Nan etap sa a, dekonpozisyon entèmedyè menas sa a pral sanble ak sa a:
U1.1. Yo te fè aksyon san otorizasyon nan yon sesyon itilizatè:
U1.1.1. <…> enstale pa itilizatè a atake.
U1.1.2. <…> atakè yo enstale.
U1.2. Yo te fè aksyon san otorizasyon andeyò sesyon itilizatè a.
Soti nan pwen de vi objè enfrastrikti enfòmasyon ki ka afekte pa atakè, dekonpozisyon nan menas entèmedyè pral sanble sa a:
Eleman
Menas dekonpozisyon
U1.1.1.
U1.1.2.
U1.2.
Kliyan
U1.1.1.1.
U1.1.2.1.
Koneksyon rezo
U1.1.1.2.
Sèvè
U1.2.1.
Dekonpozisyon
U1.1. Yo te fè aksyon san otorizasyon nan yon sesyon itilizatè:
U1.1.1. <…> enstale pa itilizatè a atake:
U1.1.1.1. Atakè yo te aji poukont kliyan an:
U1.1.1.1.1 Atakè yo te itilize zouti estanda aksè nan sistèm enfòmasyon:
У1.1.1.1.1.1. Atakè yo te itilize mwayen antre/sòti fizik Kliyan an (klavye, sourit, monitè oswa manyen ekran yon aparèy mobil):
U1.1.1.1.1.1.1. Atakè yo te opere pandan peryòd tan lè sesyon an te aktif, enstalasyon I/O te disponib, epi itilizatè a pa t prezan.
У1.1.1.1.1.2. Atakè yo te itilize zouti administrasyon aleka (estanda oswa kòd move bay) pou jere Kliyan an:
U1.1.1.1.1.2.1. Atakè yo te opere pandan peryòd tan lè sesyon an te aktif, enstalasyon I/O te disponib, epi itilizatè a pa t prezan.
У1.1.1.1.1.2.2. Atakè yo te itilize zouti administrasyon aleka, operasyon an ki envizib pou itilizatè atake a.
U1.1.1.2. Atakè yo ranplase done yo nan koneksyon rezo ant Kliyan an ak sèvè a, modifye li nan yon fason ke li te pèrsu kòm aksyon yo nan yon itilizatè lejitim:
U1.1.1.2.1. Link: .
U1.1.1.3. Atakè yo te fòse itilizatè a fè aksyon yo espesifye lè l sèvi avèk metòd jeni sosyal.
У1.1.2 <…> atakè yo enstale:
U1.1.2.1. Atakè yo te aji nan men kliyan an (И):
U1.1.2.1.1. Atakè yo netralize sistèm kontwòl aksè nan sistèm enfòmasyon an:
U1.1.2.1.1.1. Link: .
У1.1.2.1.2. Atakè yo te itilize zouti estanda aksè nan sistèm enfòmasyon
U1.1.2.2. Atakè yo te opere nan lòt nœuds nan rezo a done, ki soti nan ki te kapab etabli yon koneksyon rezo ak sèvè a (И):
U1.1.2.2.1. Atakè yo netralize sistèm kontwòl aksè nan sistèm enfòmasyon an:
U1.1.2.2.1.1. Link: .
U1.1.2.2.2. Atakè yo te itilize mwayen ki pa estanda pou jwenn aksè nan sistèm enfòmasyon an.
Eksplikasyon U1.1.2.2.2.
Atakè yo ta ka enstale yon kliyan estanda nan sistèm enfòmasyon an sou yon ne twazyèm pati oswa yo ka itilize lojisyèl ki pa estanda ki aplike pwotokòl echanj estanda ant Kliyan an ak sèvè a.
U1.2 Yo te fè aksyon san otorizasyon deyò sesyon itilizatè a.
U1.2.1 Atakè yo te fè aksyon san otorizasyon ak Lè sa a, fè chanjman san otorizasyon nan mòso bwa operasyon sistèm enfòmasyon yo oswa atribi espesyal nan objè done, ki endike ke aksyon yo te fè yo te fèt pa yon itilizatè lejitim.
U2. Modifikasyon san otorizasyon nan enfòmasyon ki pwoteje pandan pwosesis li yo pa pati nan sèvè nan sistèm enfòmasyon an
Dekonpozisyon
U2.1. Atakè yo modifye enfòmasyon ki pwoteje lè l sèvi avèk zouti sistèm enfòmasyon estanda epi fè sa sou non yon itilizatè lejitim.
U2.1.1. Link: .
U2.2. Atakè yo modifye enfòmasyon ki pwoteje lè yo itilize mekanis aksè done yo pa bay operasyon nòmal sistèm enfòmasyon an.
U2.2.1. Atakè yo modifye dosye ki gen enfòmasyon pwoteje:
U2.2.1.1. <…>, lè l sèvi avèk mekanis pou jere fichye sistèm operasyon an.
U2.2.1.2. <…> pa pwovoke restorasyon nan dosye ki soti nan yon kopi backup modifye san otorizasyon.
U2.2.2. Atakè yo modifye enfòmasyon pwoteje ki estoke nan baz done a (И):
U2.2.2.1. Atakè yo netralize sistèm kontwòl aksè DBMS la:
U2.2.2.1.1. Link: .
U2.2.2.2. Atakè yo modifye enfòmasyon lè l sèvi avèk koòdone DBMS estanda pou jwenn aksè nan done yo.
U2.3. Atakè yo modifye enfòmasyon ki pwoteje pa yon modifikasyon san otorizasyon nan algoritm fonksyònman lojisyèl ki trete yo.
U2.3.1. Kòd sous lojisyèl an sijè a modifikasyon.
U2.3.1. Kòd machin nan lojisyèl an sijè a modifikasyon.
U2.4. Atakè yo modifye enfòmasyon pwoteje lè yo eksplwate frajilite nan lojisyèl sistèm enfòmasyon.
U2.5. Atakè yo modifye enfòmasyon ki pwoteje lè yo transfere yo ant eleman nan pati sèvè sistèm enfòmasyon an (pa egzanp, yon sèvè baz done ak yon sèvè aplikasyon):
U2.5.1. Link: .
MODÈL MENAS TIPIK. SISTÈM KONTWÒL AKSÈ
Pwoteksyon objè pou ki modèl menas (dimansyon) aplike
Objè pwoteksyon pou ki modèl menas sa a aplike koresponn ak objè pwoteksyon modèl menas la: “Modèl menas tipik. Yon sistèm enfòmasyon ki bati sou yon achitekti kliyan-sèvè."
Nan modèl menas sa a, yon sistèm kontwòl aksè itilizatè vle di yon eleman nan yon sistèm enfòmasyon ki aplike fonksyon sa yo:
- Idantifikasyon itilizatè.
- Otantifikasyon itilizatè.
- Otorizasyon itilizatè yo.
- Anrejistre aksyon itilizatè yo.
Menas sekirite siperyè
Dekonpozisyon
U1. Etablisman san otorizasyon yon sesyon sou non yon itilizatè lejitim.
U2. Ogmantasyon san otorizasyon nan privilèj itilizatè nan yon sistèm enfòmasyon.
U1. Etablisman san otorizasyon yon sesyon sou non yon itilizatè lejitim
Eksplikasyon
Dekonpozisyon menas sa a pral jeneralman depann de kalite idantifikasyon itilizatè ak sistèm otantifikasyon yo itilize.
Nan modèl sa a, sèlman yon idantifikasyon itilizatè ak sistèm otantifikasyon ki itilize tèks login ak modpas yo pral konsidere. Nan ka sa a, nou pral asime ke koneksyon itilizatè a se enfòmasyon ki disponib piblikman atakè yo konnen.
Dekonpozisyon
U1.1. <…> akòz konpwomi nan kalifikasyon:
U1.1.1. Atakè yo konpwomèt kalifikasyon itilizatè a pandan y ap estoke yo.
Eksplikasyon U1.1.1.
Pou egzanp, kalifikasyon yo ta ka ekri sou yon nòt kolan kole nan monitè a.
U1.1.2. Itilizatè a aksidantèlman oswa malveyan te pase detay aksè yo bay atakè yo.
U1.1.2.1. Itilizatè a te pale kalifikasyon yo byen fò pandan yo te antre.
U1.1.2.2. Itilizatè a fè entansyonèlman pataje kalifikasyon li yo:
U1.1.2.2.1. <…> nan travay kòlèg yo.
Eksplikasyon U1.1.2.2.1.
Pou egzanp, pou yo ka ranplase li pandan maladi.
U1.1.2.2.2. <…> bay kontraktè patwon an k ap fè travay sou objè enfrastrikti enfòmasyon yo.
U1.1.2.2.3. <…> bay twazyèm pati.
Eksplikasyon U1.1.2.2.3.
Youn, men se pa sèlman opsyon pou mete ann aplikasyon menas sa a se itilizasyon metòd jeni sosyal pa atakè yo.
U1.1.3. Atakè yo chwazi kalifikasyon yo lè l sèvi avèk metòd fòs brital:
U1.1.3.1. <…> itilize mekanis aksè estanda.
U1.1.3.2. <…> lè l sèvi avèk kòd entèsepte deja (pa egzanp, hash modpas) pou estoke kalifikasyon.
U1.1.4. Atakè yo te itilize kòd move pou entèsepte kalifikasyon itilizatè yo.
U1.1.5. Atakè yo ekstrè kalifikasyon nan koneksyon rezo ant Kliyan an ak sèvè a:
U1.1.5.1. Link: .
U1.1.6. Atakè yo te retire kalifikasyon yo nan dosye sistèm siveyans travay yo:
U1.1.6.1. <…> sistèm siveyans videyo (si yo te anrejistre frap sou klavye a pandan operasyon an).
U1.1.6.2. <…> sistèm pou kontwole aksyon anplwaye nan òdinatè a
Eksplikasyon U1.1.6.2.
Yon egzanp yon sistèm konsa se .
U1.1.7. Atakè yo konpwomèt kalifikasyon itilizatè yo akòz defo nan pwosesis transmisyon an.
Eksplikasyon U1.1.7.
Pou egzanp, voye modpas nan tèks klè pa imel.
U1.1.8. Atakè yo te jwenn kalifikasyon lè yo siveye sesyon yon itilizatè lè l sèvi avèk sistèm administrasyon aleka.
U1.1.9. Atakè yo te jwenn kalifikasyon kòm rezilta fuit yo atravè chanèl teknik (TCUI):
U1.1.9.1. Atakè yo te obsève ki jan itilizatè a te antre nan kalifikasyon yo nan klavye a:
U1.1.9.1.1 Atakè yo te lokalize tou pre itilizatè a epi yo te wè antre nan kalifikasyon yo ak pwòp je yo.
Eksplikasyon U1.1.9.1.1
Ka sa yo enkli aksyon kòlèg travay yo oswa ka a lè klavye itilizatè a vizib pou vizitè òganizasyon an.
U1.1.9.1.2 Atakè yo te itilize lòt mwayen teknik, tankou longvi oswa yon veyikil ayeryen san ekipe, epi yo te wè kalifikasyon yo antre nan yon fenèt.
U1.1.9.2. Atakè yo te retire kalifikasyon nan kominikasyon radyo ant klavye a ak inite sistèm òdinatè a lè yo te konekte atravè yon koòdone radyo (pa egzanp, Bluetooth).
U1.1.9.3. Atakè yo te entèsepte kalifikasyon yo lè yo te koule yo atravè kanal radyasyon elektwomayetik ak entèferans (PEMIN).
Eksplikasyon U1.1.9.3.
Egzanp atak yo и .
U1.1.9.4. Atakè a entèsepte antre nan kalifikasyon nan klavye a atravè itilizasyon mwayen teknik espesyal (STS) ki fèt pou jwenn enfòmasyon an kachèt.
Eksplikasyon U1.1.9.4.
egzanp .
U1.1.9.5. Atakè yo entèsepte opinyon nan kalifikasyon nan klavye a lè l sèvi avèk
analiz de siyal Wi-Fi modile pa pwosesis frap itilizatè a.
Eksplikasyon U1.1.9.5.
Egzanp .
U1.1.9.6. Atakè yo te entèsepte opinyon kalifikasyon yo nan klavye a nan analize son yo nan frap.
Eksplikasyon U1.1.9.6.
Egzanp .
U1.1.9.7. Atakè yo te entèsepte antre nan kalifikasyon yo nan klavye a nan yon aparèy mobil lè yo analize lekti akseleromètr yo.
Eksplikasyon U1.1.9.7.
Egzanp .
U1.1.10. <…>, deja sove sou Kliyan an.
Eksplikasyon U1.1.10.
Pou egzanp, yon itilizatè ka sove yon login ak yon modpas nan navigatè a pou jwenn aksè nan yon sit espesifik.
U1.1.11. Atakè yo konpwomèt kalifikasyon akòz defo nan pwosesis pou anile aksè itilizatè yo.
Eksplikasyon U1.1.11.
Pa egzanp, apre yon itilizatè te revoke, kont li yo te rete debloke.
U1.2. <…> pa eksplwate frajilite nan sistèm kontwòl aksè a.
U2. Elevasyon san otorizasyon privilèj itilizatè yo nan yon sistèm enfòmasyon
Dekonpozisyon
U2.1 <…> lè w fè chanjman san otorizasyon nan done ki gen enfòmasyon sou privilèj itilizatè yo.
U2.2 <…> atravè itilizasyon vilnerabilite nan sistèm kontwòl aksè a.
U2.3. <…> akòz enpèfeksyon nan pwosesis jesyon aksè itilizatè a.
Eksplikasyon U2.3.
Egzanp 1. Yo te bay yon itilizatè plis aksè pou travay pase li te mande pou rezon biznis.
Egzanp 2: Apre yo te transfere yon itilizatè nan yon lòt pozisyon, dwa aksè yo te akòde anvan yo pa te revoke.
MODÈL MENAS TIPIK. MODIL ENTEGRASYON
Pwoteksyon objè pou ki modèl menas (dimansyon) aplike
Yon modil entegrasyon se yon seri objè enfrastrikti enfòmasyon ki fèt pou òganize echanj enfòmasyon ant sistèm enfòmasyon yo.
Lè nou konsidere lefèt ke nan rezo antrepriz li pa toujou posib pou separe yon sistèm enfòmasyon san anbigwite ak yon lòt, modil entegrasyon an kapab tou konsidere kòm yon lyen ki konekte ant eleman nan yon sistèm enfòmasyon.
achitekti
Dyagram jeneralize modil entegrasyon an sanble sa a:
Deskripsyon nan eleman achitekti:
- "Sèvè echanj (SO)" – yon ne / sèvis / eleman nan yon sistèm enfòmasyon ki fè fonksyon nan echanj done ak yon lòt sistèm enfòmasyon.
- "Medyatè" – yon ne/sèvis ki fèt pou òganize entèraksyon ant sistèm enfòmasyon, men se pa yon pati nan yo.
Egzanp "Entèmedyè" ka gen sèvis imel, otobis sèvis antrepriz (otobis sèvis antrepriz / SoA achitekti), sèvè dosye twazyèm pati, elatriye. An jeneral, modil entegrasyon an pa gendwa genyen "Entèmedyè". - "Lojisyèl tretman done" – yon seri pwogram ki aplike pwotokòl echanj done ak konvèsyon fòma.
Pou egzanp, konvèti done ki soti nan fòma UFEBS nan fòma ABS, chanje estati mesaj pandan transmisyon, elatriye. - "Koneksyon rezo" koresponn ak objè ki dekri nan modèl estanda menas "Koneksyon rezo". Gen kèk nan koneksyon rezo yo montre nan dyagram ki anwo a ka pa egziste.
Egzanp modil entegrasyon
Scheme 1. Entegrasyon ABS ak AWS KBR atravè yon sèvè dosye twazyèm pati
Pou egzekite peman, yon anplwaye bank otorize telechaje dokiman peman elektwonik nan sistèm bankè debaz la epi sove yo nan yon fichye (nan pwòp fòma li, pou egzanp yon pil fatra SQL) sou yon katab rezo (...SHARE) sou yon sèvè fichye. Lè sa a, fichye sa a konvèti lè l sèvi avèk yon script konvètisè nan yon seri fichye nan fòma UFEBS, ki Lè sa a, li pa estasyon travay la CBD.
Apre sa, anplwaye otorize a - itilizatè a nan espas travay la otomatik KBR - ankripte ak siyen dosye yo resevwa epi voye yo nan sistèm nan peman nan Bank Larisi.
Lè peman yo resevwa nan men Bank of Lawisi, espas travay otomatik KBR dekripte yo epi tcheke siyati elektwonik la, apre sa li anrejistre yo nan fòm yon seri dosye nan fòma UFEBS sou yon sèvè dosye. Anvan yo enpòte dokiman peman nan ABS la, yo konvèti lè l sèvi avèk yon script konvètisè soti nan fòma UFEBS nan fòma ABS la.
Nou pral asime ke nan konplo sa a, ABS la opere sou yon sèl sèvè fizik, estasyon travay KBR la opere sou yon òdinatè devwe, ak script konvètisè a kouri sou yon sèvè dosye.
Korespondans objè yo nan dyagram konsidere a ak eleman yo nan modèl modil entegrasyon an:
"Sèvè echanj soti nan bò ABS la" – ABS sèvè.
"Sèvè echanj soti nan bò AWS KBR" – estasyon travay òdinatè KBR.
"Medyatè" – sèvè dosye twazyèm pati.
"Lojisyèl tretman done" - script konvètisè.
Scheme 2. Entegrasyon ABS ak AWS KBR lè w ap mete yon katab rezo pataje ak peman sou AWS KBR.
Tout bagay sanble ak Scheme 1, men yo pa itilize yon sèvè fichye separe, olye de sa, yo mete yon katab rezo (...SHARE) ak dokiman peman elektwonik sou yon òdinatè ki gen yon estasyon travay CBD. Script konvètisè a ap travay tou sou estasyon travay CBD an.
Korespondans objè yo nan dyagram konsidere a ak eleman yo nan modèl modil entegrasyon an:
Menm jan ak Scheme 1, men "Medyatè" pa itilize.
Scheme 3. Entegrasyon ABS ak travay otomatik KBR-N atravè IBM WebSphera MQ ak siyen dokiman elektwonik "sou bò ABS"
ABS opere sou yon platfòm ki pa sipòte pa CIPF SCAD Siyati a. Siyen dokiman elektwonik sortan yo fèt sou yon sèvè espesyal siyati elektwonik (ES Server). Sèvè a menm tcheke siyati elektwonik la sou dokiman k ap vini soti nan Bank la nan Larisi.
ABS telechaje yon dosye ak dokiman peman nan pwòp fòma li nan sèvè ES la.
Sèvè ES la, lè l sèvi avèk yon script konvètisè, konvèti fichye a an mesaj elektwonik nan fòma UFEBS, apre sa mesaj elektwonik yo siyen epi transmèt bay IBM WebSphere MQ.
KBR-N estasyon travay la jwenn aksè IBM WebSphere MQ epi li resevwa mesaj peman ki siyen soti nan la, apre sa yon anplwaye otorize - yon itilizatè nan estasyon travay KBR - ankripte yo epi voye yo nan sistèm peman Bank Larisi la.
Lè yo resevwa peman nan men Bank Larisi, KBR-N nan espas travay otomatik dekripte yo epi verifye siyati elektwonik la. Peman yo trete avèk siksè nan fòm mesaj elektwonik dechifre epi siyen nan fòma UFEBS yo transfere nan IBM WebSphere MQ, kote Sèvè Siyati Elektwonik la resevwa yo.
Sèvè siyati elektwonik la verifye siyati elektwonik peman yo resevwa epi li sove yo nan yon dosye nan fòma ABS. Apre sa, anplwaye otorize a - itilizatè a ABS - Uploads fichye a ki kapab lakòz nan ABS la nan fason ki preskri.
Korespondans objè yo nan dyagram konsidere a ak eleman yo nan modèl modil entegrasyon an:
"Sèvè echanj soti nan bò ABS la" – ABS sèvè.
"Sèvè echanj soti nan bò AWS KBR" - estasyon travay òdinatè KBR.
"Medyatè" – Sèvè ES ak IBM WebSphere MQ.
"Lojisyèl tretman done" – konvètisè script, CIPF SCAD Siyati sou sèvè ES la.
Scheme 4. Entegrasyon sèvè RBS la ak sistèm bankè debaz la atravè API yon sèvè echanj devwe bay.
Nou pral asime ke bank la sèvi ak plizyè sistèm bankè aleka (RBS):
- "Entènèt Kliyan-Bank" pou moun (IKB FL);
- "Entènèt Kliyan-Bank" pou antite legal (IKB LE).
Yo nan lòd yo asire sekirite enfòmasyon, tout entèraksyon ant ABS ak sistèm bankè aleka fèt atravè yon sèvè echanj dedye ki opere nan kad sistèm enfòmasyon ABS la.
Apre sa, nou pral konsidere pwosesis la nan entèraksyon ant sistèm RBS nan IKB LE ak ABS la.
Sèvè a RBS, li te resevwa yon lòd peman byen sètifye nan men kliyan an, dwe kreye yon dokiman korespondan nan ABS la ki baze sou li. Pou fè sa, lè l sèvi avèk API a, li transmèt enfòmasyon nan sèvè echanj la, ki, nan vire, antre done yo nan ABS la.
Lè balans kont kliyan an chanje, ABS la jenere notifikasyon elektwonik, ki transmèt nan sèvè bankè aleka lè l sèvi avèk sèvè echanj la.
Korespondans objè yo nan dyagram konsidere a ak eleman yo nan modèl modil entegrasyon an:
"Sèvè echanj soti nan bò RBS la" – RBS sèvè nan IKB YUL.
"Sèvè echanj soti nan bò ABS la" - echanj sèvè.
"Medyatè" - absan.
"Lojisyèl tretman done" – Konpozan sèvè RBS responsab pou itilize API sèvè echanj, konpozan sèvè echanj responsab pou itilize API bankè debaz la.
Menas sekirite siperyè
Dekonpozisyon
U1. Piki fo enfòmasyon pa atakan atravè modil entegrasyon an.
U1. Piki fo enfòmasyon pa atakan atravè modil entegrasyon an
Dekonpozisyon
U1.1. Modifikasyon done lejitim san otorizasyon lè yo transmèt sou koneksyon rezo a:
U1.1.1 Link: .
U1.2. Transmisyon fo done atravè chanèl kominikasyon sou non yon patisipan echanj lejitim:
U1.1.2 Link: .
U1.3. Modifikasyon done lejitim san otorizasyon pandan pwosesis li yo sou Sèvè Echanj oswa Entèmedyè a:
U1.3.1. Link: .
U1.4. Kreyasyon fo done sou sèvè echanj yo oswa entèmedyè sou non yon patisipan echanj lejitim:
U1.4.1. Link:
U1.5. Modifikasyon done san otorizasyon lè yo trete lè l sèvi avèk lojisyèl pwosesis done:
U1.5.1. <…> akòz atakè yo fè chanjman san otorizasyon nan paramèt (konfigirasyon) lojisyèl tretman done yo.
U1.5.2. <…> akòz atakè yo fè chanjman san otorizasyon nan dosye ègzèkutabl nan lojisyèl tretman done.
U1.5.3. <…> akòz kontwòl entèaktif nan lojisyèl an pwosesis done pa atakè yo.
MODÈL MENAS TIPIK. SISTÈM PWOTEKSYON ENFÒMASYON KRIPTOGRAF
Pwoteksyon objè pou ki modèl menas (dimansyon) aplike
Objè pwoteksyon an se yon sistèm pwoteksyon enfòmasyon kriptografik yo itilize pou asire sekirite sistèm enfòmasyon an.
achitekti
Baz nenpòt sistèm enfòmasyon se lojisyèl aplikasyon ki aplike fonksyonalite sib li yo.
Pwoteksyon kriptografik anjeneral aplike lè w rele primitif kriptografik soti nan lojik biznis nan lojisyèl aplikasyon an, ki sitiye nan bibliyotèk espesyalize - nwayo kriptografik.
Primitiv kriptografik gen ladan fonksyon kriptografik ki ba nivo, tankou:
- ankripte / dechifre yon blòk done;
- kreye/verifye yon siyati elektwonik nan yon blòk done;
- kalkile fonksyon hash nan blòk done a;
- jenere / chaje / telechaje enfòmasyon kle;
- elatriye
Lojik biznis lojisyèl aplikasyon an aplike fonksyonalite pi wo nivo lè l sèvi avèk primitif kriptografik:
- ankripte dosye a lè l sèvi avèk kle moun k ap resevwa yo;
- etabli yon koneksyon rezo an sekirite;
- enfòme sou rezilta tcheke siyati elektwonik la;
- ak sou sa
Ka entèraksyon nan lojik biznis ak nwayo kript dwe fèt:
- dirèkteman, pa lojik biznis rele primitif kriptografik soti nan bibliyotèk dinamik nan nwayo a kriptografik (.DLL pou Windows, .SO pou Linux);
- dirèkteman, atravè koòdone kriptografik - anbalaj, pou egzanp, MS Crypto API, Java Cryptography Architecture, PKCS#11, elatriye. Nan ka sa a, lojik biznis la jwenn aksè nan koòdone kriptografik la, epi li tradui apèl la nan nwayo kriptografik ki koresponn lan, ki nan ka sa a. ka sa a rele founisè kript. Itilizasyon entèfas kriptografik pèmèt lojisyèl aplikasyon abstrè lwen algoritm kriptografik espesifik epi yo dwe pi fleksib.
Gen de konplo tipik pou òganize nwayo kript la:
Scheme 1 - nwayo kripto monolitik
Scheme 2 - Split nwayo kript
Eleman ki nan dyagram ki anwo yo ka swa modil lojisyèl endividyèl k ap kouri sou yon òdinatè oswa sèvis rezo k ap kominike nan yon rezo òdinatè.
Lè w ap itilize sistèm ki bati dapre Scheme 1, lojisyèl aplikasyon an ak nwayo kriptografik la opere nan yon sèl anviwònman fonksyònman pou zouti kriptografik la (SFC), pou egzanp, sou menm òdinatè a, k ap kouri menm sistèm operasyon an. Itilizatè sistèm lan, kòm yon règ, ka kouri lòt pwogram, tankou sa yo ki gen kòd move, nan menm anviwònman an opere. Nan kondisyon sa yo, gen yon risk grav pou flit kle kriptografik prive.
Pou minimize risk la, yo itilize konplo 2, kote nwayo kript la divize an de pati:
- Premye pati a, ansanm ak lojisyèl aplikasyon an, opere nan yon anviwònman ki pa fè konfyans kote gen yon risk pou enfeksyon ak kòd move. Nou pral rele pati sa a "pati lojisyèl".
- Dezyèm pati a travay nan yon anviwònman ou fè konfyans sou yon aparèy devwe, ki gen yon depo kle prive. Depi koulye a nou pral rele pati sa a "pyès ki nan konpitè".
Divizyon nwayo kript la an pati lojisyèl ak pyès ki nan konpitè trè abitrè. Gen sistèm sou mache a ki bati dapre yon konplo ak yon nwayo kripto divize, men pati "pyès ki nan konpitè" yo prezante nan fòm yon imaj machin vityèl - vityèl HSM ().
Entèaksyon tou de pati nwayo kriptografik la rive nan yon fason ke kle kriptografik prive yo pa janm transfere nan pati lojisyèl an epi, kòmsadwa, yo pa ka vòlè lè l sèvi avèk kòd move.
Koòdone entèraksyon an (API) ak seri primitif kriptografik yo bay lojisyèl aplikasyon an pa nwayo kriptografik la se menm bagay la nan tou de ka yo. Diferans lan se nan fason yo aplike.
Kidonk, lè w ap itilize yon konplo ak yon nwayo kript divize, entèraksyon lojisyèl ak pyès ki nan konpitè fèt dapre prensip sa a:
- Primitiv kriptografik ki pa mande pou itilize yon kle prive (pa egzanp, kalkile yon fonksyon hash, verifye yon siyati elektwonik, elatriye) yo fèt pa lojisyèl an.
- Primitif kriptografik ki sèvi ak yon kle prive (kreye yon siyati elektwonik, dechifre done, elatriye) yo fèt pa pyès ki nan konpitè.
Ann ilistre travay nwayo a kripto divize lè l sèvi avèk egzanp pou kreye yon siyati elektwonik:
- Pati nan lojisyèl kalkile fonksyon an hash nan done yo siyen ak transmèt valè sa a nan pyès ki nan konpitè atravè chanèl la echanj ant nwayo kript.
- Pati pyès ki nan konpitè, lè l sèvi avèk kle prive a ak hash, jenere valè siyati elektwonik la epi transmèt li nan pati lojisyèl an atravè yon chanèl echanj.
- Pati lojisyèl an retounen valè a resevwa nan lojisyèl aplikasyon an.
Karakteristik nan tcheke kòrèkteman nan yon siyati elektwonik
Lè pati k ap resevwa a resevwa done ki siyen elektwonikman, li dwe fè plizyè etap verifikasyon. Yon rezilta pozitif nan tcheke yon siyati elektwonik reyalize sèlman si tout etap verifikasyon yo fini avèk siksè.
Etap 1. Kontwòl entegrite done ak patènite done yo.
Sa ki nan etap la. Siyati elektwonik done yo verifye lè l sèvi avèk algorithm kriptografik ki apwopriye a. Fini avèk siksè nan etap sa a endike ke done yo pa te modifye depi moman sa a yo te siyen, epi tou ke siyati a te fèt ak yon kle prive ki koresponn ak kle piblik la pou verifye siyati elektwonik la.
Kote etap la: nwayo kript.
Etap 2. Kontwòl konfyans nan kle piblik siyatè a ak kontwòl peryòd validite kle prive siyati elektwonik la.
Sa ki nan etap la. Etap la konsiste de de etap entèmedyè. Premye a se detèmine si kle piblik la pou verifye siyati elektwonik la te fè konfyans nan moman siyen done yo. Dezyèm lan detèmine si kle prive siyati elektwonik la te valab nan moman siyen done yo. An jeneral, peryòd validite kle sa yo ka pa kowenside (pa egzanp, pou sètifika ki kalifye kle verifikasyon siyati elektwonik). Metòd pou etabli konfyans nan kle piblik siyatè a yo detèmine pa règ yo nan jesyon dokiman elektwonik adopte pa pati yo kominike.
Kote etap la: lojisyèl aplikasyon / nwayo kript.
Etap 3. Kontwòl otorite siyatè a.
Sa ki nan etap la. An akò ak règ yo etabli nan jesyon dokiman elektwonik, yo tcheke si siyatè a te gen dwa sètifye done yo pwoteje. Kòm yon egzanp, ann bay yon sitiyasyon nan vyolasyon otorite. Sipoze gen yon òganizasyon kote tout anplwaye yo gen yon siyati elektwonik. Sistèm jesyon dokiman elektwonik entèn la resevwa yon lòd nan men manadjè a, men li siyen ak siyati elektwonik manadjè depo a. An konsekans, yon dokiman konsa pa kapab konsidere kòm lejitim.
Kote etap la: lojisyèl aplikasyon.
Sipozisyon yo fè lè w ap dekri objè pwoteksyon an
- Chanèl transmisyon enfòmasyon yo, eksepte chanèl echanj kle yo, pase tou nan lojisyèl aplikasyon, API ak nwayo kript.
- Enfòmasyon sou konfyans nan kle piblik ak (oswa) sètifika, osi byen ke enfòmasyon sou pouvwa yo nan mèt kle piblik yo, yo sitiye nan magazen kle piblik la.
- Lojisyèl aplikasyon an travay ak magazen kle piblik la atravè nwayo kript la.
Yon egzanp yon sistèm enfòmasyon pwoteje lè l sèvi avèk CIPF
Pou ilistre dyagram yo prezante anvan an, ann konsidere yon sistèm enfòmasyon ipotetik epi mete aksan sou tout eleman estriktirèl yo sou li.
Deskripsyon sistèm enfòmasyon an
De òganizasyon yo deside prezante jesyon dokiman elektwonik (EDF) legalman enpòtan ant tèt yo. Pou fè sa, yo te antre nan yon akò kote yo te make dokiman yo ta dwe transmèt pa imel, epi an menm tan yo dwe chiffres ak siyen ak yon siyati elektwonik kalifye. Pwogram biwo ki soti nan pake Microsoft Office 2016 yo ta dwe itilize kòm zouti pou kreye ak trete dokiman, epi CIPF CryptoPRO ak lojisyèl chifreman CryptoARM ta dwe itilize kòm mwayen pwoteksyon kriptografik.
Deskripsyon enfrastrikti òganizasyon an 1
Òganizasyon 1 deside ke li ta enstale lojisyèl CIPF CryptoPRO ak CryptoARM sou estasyon travay itilizatè a - yon òdinatè fizik. Kle chifreman ak siyati elektwonik yo pral estoke sou medya kle ruToken, k ap fonksyone nan mòd kle ki ka jwenn. Itilizatè a pral prepare dokiman elektwonik lokalman sou òdinatè li, Lè sa a, ankripte, siyen epi voye yo lè l sèvi avèk yon kliyan imel enstale lokalman.
Deskripsyon enfrastrikti òganizasyon an 2
Òganizasyon 2 deside deplase chifreman ak fonksyon siyati elektwonik yo nan yon machin vityèl dedye. Nan ka sa a, tout operasyon kriptografik yo pral fèt otomatikman.
Pou fè sa, de dosye rezo yo òganize sou machin vityèl dedye a: "...An", "...Deyò". Fichye yo resevwa nan men kontrepati a nan fòm louvri yo pral otomatikman mete nan katab rezo a "... Nan". Dosye sa yo pral dechifre epi yo pral verifye siyati elektwonik la.
Itilizatè a pral mete fichye yo nan katab "...Out" ki bezwen chiffres, siyen epi voye bay kontrepati a. Itilizatè a pral prepare dosye yo tèt yo sou estasyon travay li.
Pou fè fonksyon chifreman ak siyati elektwonik, CIPF CryptoPRO, lojisyèl CryptoARM ak yon kliyan imel yo enstale sou machin vityèl la. Jesyon otomatik nan tout eleman nan machin vityèl la pral fèt lè l sèvi avèk scripts devlope pa administratè sistèm yo. Travay la nan scripts konekte nan dosye boutèy demi lit.
Y ap mete kle kriptografik pou siyati elektwonik la sou yon siy ki gen yon kle JaCarta GOST ki pa ka jwenn, itilizatè a pral konekte ak òdinatè lokal li a.
Yo pral voye jeton an nan machin vityèl la lè l sèvi avèk lojisyèl espesyalize USB-over-IP enstale sou estasyon travay itilizatè a ak sou machin vityèl la.
Revèy sistèm lan sou estasyon travay itilizatè a nan òganizasyon 1 pral ajiste manyèlman. Revèy sistèm nan machin vityèl dedye a nan Òganizasyon 2 pral senkronize ak revèy sistèm hypervisor, ki an vire yo pral senkronize sou entènèt la ak sèvè tan piblik.
Idantifikasyon eleman estriktirèl CIPF
Dapre deskripsyon ki anwo a nan enfrastrikti IT, nou pral mete aksan sou eleman estriktirèl CIPF epi ekri yo nan yon tablo.
Tablo - Korespondans eleman modèl CIPF ak eleman sistèm enfòmasyon
Non eleman
Òganizasyon 1
Òganizasyon 2
Lojisyèl aplikasyon
Lojisyèl CryptoARM
Lojisyèl CryptoARM
Lojisyèl yon pati nan nwayo kript la
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
Krypto nwayo pyès ki nan konpitè
pa gen okenn
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
Magazen kle piblik
Estasyon travay itilizatè a:
- HDD;
- estanda Windows sètifika magazen.
Hypervisor:
- HDD.
Machin vityèl:
- HDD;
- estanda Windows sètifika magazen.
Depo kle prive
ruToken kle konpayi asirans opere nan mòd kle rekiperab
JaCarta GOST kle konpayi asirans opere nan mòd kle ki pa detachable
Chanèl echanj kle piblik
Estasyon travay itilizatè a:
- RAM.
Hypervisor:
- RAM.
Machin vityèl:
- RAM.
Chèn echanj kle prive
Estasyon travay itilizatè a:
- otobis USB;
- RAM.
pa gen okenn
Chanèl echanj ant nwayo kript
manke (pa gen pyès ki nan konpitè nwayo kript)
Estasyon travay itilizatè a:
- otobis USB;
- RAM;
- Modil lojisyèl USB-over-IP;
- koòdone rezo.
Rezo antrepriz nan òganizasyon an 2.
Hypervisor:
- RAM;
- koòdone rezo.
Machin vityèl:
- koòdone rezo;
- RAM;
— Modil lojisyèl USB-sou-IP.
Louvri Data Channel
Estasyon travay itilizatè a:
— antre-sòti vle di;
- RAM;
- HDD.
Estasyon travay itilizatè a:
— antre-sòti vle di;
- RAM;
- HDD;
- koòdone rezo.
Rezo antrepriz nan òganizasyon an 2.
Hypervisor:
- koòdone rezo;
- RAM;
- HDD.
Machin vityèl:
- koòdone rezo;
- RAM;
- HDD.
Sekirize kanal echanj done
Entènèt la.
Rezo antrepriz nan òganizasyon an 1.
Estasyon travay itilizatè a:
- HDD;
- RAM;
- koòdone rezo.
Entènèt la.
Rezo antrepriz nan òganizasyon an 2.
Hypervisor:
- koòdone rezo;
- RAM;
- HDD.
Machin vityèl:
- koòdone rezo;
- RAM;
- HDD.
Chanèl tan
Estasyon travay itilizatè a:
— antre-sòti vle di;
- RAM;
- sistèm revèy.
Entènèt la.
Rezo antrepriz nan òganizasyon 2,
Hypervisor:
- koòdone rezo;
- RAM;
- sistèm revèy.
Machin vityèl:
- RAM;
- sistèm revèy.
Kontwòl kanal transmisyon lòd
Estasyon travay itilizatè a:
— antre-sòti vle di;
- RAM.
(Koòdone itilizatè grafik nan lojisyèl CryptoARM)
Machin vityèl:
- RAM;
- HDD.
(Scripts automatisation)
Chanèl pou resevwa rezilta travay
Estasyon travay itilizatè a:
— antre-sòti vle di;
- RAM.
(Koòdone itilizatè grafik nan lojisyèl CryptoARM)
Machin vityèl:
- RAM;
- HDD.
(Fichiye log nan scripts automatisation)
Menas sekirite siperyè
Eksplikasyon
Sipozisyon yo fè lè menas dekonpoze yo:
- Yo itilize algoritm kriptografik fò.
- Algoritm kriptografik yo itilize an sekirite nan mòd operasyon kòrèk yo (egzanp. pa itilize pou chifreman gwo volim done, se chaj la akseptab sou kle a pran an kont, elatriye).
- Atakè yo konnen tout algoritm, pwotokòl ak kle piblik yo itilize.
- Atakè yo ka li tout done chiffres.
- Atakè yo kapab repwodui nenpòt eleman lojisyèl nan sistèm nan.
Dekonpozisyon
U1. Konpwomi nan kle kriptografik prive.
U2. Chifre fo done sou non moun k ap voye lejitim la.
U3. Dekripte done chiffres pa moun ki pa moun ki resevwa lejitim done yo (atakè).
U4. Kreyasyon yon siyati elektwonik nan yon siyatè lejitim anba done fo.
U5. Jwenn yon rezilta pozitif nan tcheke siyati elektwonik nan done fòje.
U6. Akseptasyon erè nan dokiman elektwonik pou ekzekisyon akòz pwoblèm nan òganize koule dokiman elektwonik.
U7. Aksè san otorizasyon nan done pwoteje pandan pwosesis yo pa CIPF.
U1. Konpwomi nan kle kriptografik prive
U1.1. Rekipere kle prive a nan magazen kle prive a.
U1.2. Jwenn yon kle prive nan objè ki nan anviwònman fonksyònman kriptografik zouti a, kote li ka rete tanporèman.
Eksplikasyon U1.2.
Objè ki ka tanporèman estoke yon kle prive ta gen ladan:
- RAM,
- dosye tanporè,
- echanj fichye yo,
- dosye ibènasyon,
- Fichye snapshot nan eta a "cho" nan machin vityèl, ki gen ladan fichye nan sa ki nan RAM nan machin vityèl an poz.
U1.2.1. Èkstraksyon kle prive nan travay RAM pa konjelasyon modil RAM, retire yo ak Lè sa a, li done yo (atak friz).
Eksplikasyon U1.2.1.
Egzanp .
U1.3. Jwenn yon kle prive nan yon kanal echanj kle prive.
Eksplikasyon U1.3.
Y ap bay yon egzanp sou aplikasyon menas sa a .
U1.4. Modifikasyon san otorizasyon nan nwayo kript la, kòm yon rezilta ki kle prive yo vin konnen atakè yo.
U1.5. Konpwomi nan yon kle prive kòm yon rezilta nan itilizasyon chanèl enfòmasyon teknik leakage (TCIL).
Eksplikasyon U1.5.
Egzanp .
U1.6. Konpwomi nan yon kle prive kòm konsekans itilizasyon mwayen teknik espesyal (STS) ki fèt pou rekipere enfòmasyon an kachèt ("ensèk").
U1.7. Konpwomi nan kle prive pandan depo yo deyò CIPF la.
Eksplikasyon U1.7.
Pou egzanp, yon itilizatè estoke medya kle li yo nan yon tiwa Desktop, kote yo ka fasilman rekipere pa atakè yo.
U2. Chifre fo done sou non yon moun k ap voye lejitim
Eksplikasyon
Menas sa a konsidere sèlman pou konplo chifreman done ak otantifikasyon moun k ap voye. Egzanp plan sa yo endike nan rekòmandasyon normalisation yo . Pou lòt konplo kriptografik, menas sa a pa egziste, paske chifreman fèt sou kle piblik moun k ap resevwa a, epi atakè yo jeneralman konnen yo.
Dekonpozisyon
U2.1. Konpwomèt kle prive moun k ap voye a:
U2.1.1. Link: .
U2.2. Ranplasman done antre nan yon kanal echanj done louvri.
Nòt U2.2.
Yo bay kèk egzanp sou aplikasyon menas sa a anba a. и .
U3. Dekripte done chiffres pa moun ki pa moun ki resevwa lejitim done yo (atakatè)
Dekonpozisyon
U3.1. Konpwomi nan kle prive moun k ap resevwa done chiffres.
U3.1.1 Link: .
U3.2. Ranplasman done chiffres nan yon kanal echanj done sekirite.
U4. Kreye yon siyati elektwonik nan yon siyatè lejitim anba done fo
Dekonpozisyon
U4.1. Konpwomi nan kle prive yo nan siyati elektwonik la nan yon siyatè lejitim.
U4.1.1 Link: .
U4.2. Ranplasman done siyen nan yon kanal echanj done louvri.
Remak U4.2.
Yo bay kèk egzanp sou aplikasyon menas sa a anba a. и .
U5. Jwenn yon rezilta pozitif nan tcheke siyati elektwonik nan done fòje
Dekonpozisyon
U5.1. Atakè yo entèsepte yon mesaj nan kanal la pou transmèt rezilta travay sou yon rezilta negatif nan tcheke yon siyati elektwonik epi ranplase li ak yon mesaj ak yon rezilta pozitif.
U5.2. Atakè yo atake konfyans nan siyen sètifika (SCRIPT - tout eleman yo obligatwa):
U5.2.1. Atakè yo jenere yon kle piblik ak prive pou yon siyati elektwonik. Si sistèm nan sèvi ak sètifika kle siyati elektwonik, Lè sa a, yo jenere yon sètifika siyati elektwonik ki sanble ke posib ak sètifika moun k ap voye done a ki gen entansyon fòje mesaj la.
U5.2.2. Atakè yo fè chanjman san otorizasyon nan magazen kle piblik la, bay kle piblik la yo jenere nivo konfyans ak otorite ki nesesè yo.
U5.2.3. Atakè yo siyen fo done ak yon kle siyati elektwonik ki te deja pwodwi epi mete l nan kanal echanj done sekirite a.
U5.3. Atakè yo fè yon atak lè l sèvi avèk kle siyati elektwonik ekspire yon siyatè legal (SCRIPT - tout eleman yo obligatwa):
U5.3.1. Atakè yo konpwomi kle prive ekspire (ki pa valab kounye a) nan siyati elektwonik yon moun k ap voye lejitim.
U5.3.2. Atakè yo ranplase tan an nan kanal transmisyon tan an ak tan an nan ki kle yo konpwomèt yo te toujou valab.
U5.3.3. Atakè yo siyen fo done ak yon kle siyati elektwonik deja konpwomèt epi enjekte li nan kanal echanj done sekirite a.
U5.4. Atakè yo fè yon atak lè l sèvi avèk kle siyati elektwonik konpwomèt yon siyatè legal (SCRIPT - tout eleman yo obligatwa):
U5.4.1. Atakè a fè yon kopi magazen kle piblik la.
U5.4.2. Atakè yo konpwomèt kle prive youn nan moun k ap voye lejitim yo. Li remake konpwomi a, revoke kle yo, epi enfòmasyon sou revokasyon kle yo mete nan magazen kle piblik la.
U5.4.3. Atakè yo ranplase magazen kle piblik la ak yon sèl ki te deja kopye.
U5.4.4. Atakè yo siyen fo done ak yon kle siyati elektwonik deja konpwomèt epi enjekte li nan kanal echanj done sekirite a.
U5.5. <…> akòz prezans erè nan aplikasyon 2yèm ak 3yèm etap verifikasyon siyati elektwonik yo:
Eksplikasyon U5.5.
Yo bay yon egzanp sou aplikasyon menas sa a .
U5.5.1. Tcheke konfyans nan yon sètifika kle siyati elektwonik sèlman pa prezans nan konfyans nan sètifika ak ki li siyen, san yo pa chèk CRL oswa OCSP.
Eksplikasyon U5.5.1.
Egzanp aplikasyon .
U5.5.2. Lè bati yon chèn konfyans pou yon sètifika, otorite yo nan founi sètifika yo pa analize
Eksplikasyon U5.5.2.
Yon egzanp yon atak kont sètifika SSL/TLS.
Atakè yo te achte yon sètifika lejitim pou imel yo. Lè sa a, yo te fè yon sètifika sit fwod epi yo te siyen li ak sètifika yo. Si kalifikasyon yo pa tcheke, Lè sa a, lè tcheke chèn nan konfyans li pral vin kòrèk, epi, kòmsadwa, sètifika a fwod ap kòrèk tou.
U5.5.3. Lè bati yon chèn konfyans sètifika, sètifika entèmedyè yo pa tcheke pou revokasyon.
U5.5.4. CRL yo mete ajou mwens souvan pase otorite sètifikasyon yo bay yo.
U5.5.5. Yo pran desizyon pou fè konfyans nan yon siyati elektwonik anvan yo resevwa yon repons OCSP sou estati sètifika a, yo voye l sou yon demann ki fèt pita pase lè yo te pwodwi siyati a oswa pi bonè pase pwochen CRL apre siyati a te pwodwi.
Eksplikasyon U5.5.5.
Nan règleman pifò CA yo, yo konsidere lè revokasyon sètifika a se tan emisyon CRL ki pi pre a ki gen enfòmasyon sou revokasyon sètifika a.
U5.5.6. Lè w ap resevwa done siyen, sètifika a fè pati moun k la pa tcheke.
Eksplikasyon U5.5.6.
Egzanp yon atak. An relasyon ak sètifika SSL: korespondans adrès sèvè a rele ak valè jaden CN nan sètifika a pa ka tcheke.
Egzanp yon atak. Atakè yo konpwomèt kle siyati elektwonik youn nan patisipan sistèm peman yo. Apre sa, yo rache nan rezo a nan yon lòt patisipan epi, sou non l ', voye dokiman peman ki siyen ak kle konpwomèt nan sèvè a règleman nan sistèm nan peman. Si sèvè a sèlman analize konfyans epi li pa tcheke pou konfòmite, Lè sa a, dokiman fwod yo pral konsidere kòm lejitim.
U6. Akseptasyon erè nan dokiman elektwonik pou ekzekisyon akòz pwoblèm nan òganize koule dokiman elektwonik.
Dekonpozisyon
U6.1. Pati k ap resevwa a pa detekte kopi dokiman yo resevwa yo.
Eksplikasyon U6.1.
Egzanp yon atak. Atakè yo ka entèsepte yon dokiman ke yo transmèt bay yon moun k ap resevwa, menm si li kriptografikman pwoteje, epi answit voye l sou yon kanal transmisyon done ki an sekirite. Si moun k ap resevwa a pa idantifye kopi, yo pral wè tout dokiman yo resevwa epi yo pral trete yo kòm dokiman diferan.
U7. Aksè san otorizasyon nan done pwoteje pandan pwosesis yo pa CIPF
Dekonpozisyon
U7.1. <…> akòz flit enfòmasyon atravè chanèl bò (atak chanèl bò).
Eksplikasyon U7.1.
Egzanp .
U7.2. <…> akòz netralizasyon pwoteksyon kont aksè san otorizasyon nan enfòmasyon trete sou CIPF:
U7.2.1. Operasyon CIPF an vyolasyon kondisyon ki dekri nan dokiman pou CIPF.
U7.2.2. <…>, fèt akòz prezans nan frajilite nan:
U7.2.2.1. <…> vle di pwoteksyon kont aksè san otorizasyon.
U7.2.2.2. <…> CIPF li menm.
U7.2.2.3. <…> anviwònman fonksyònman zouti kriptografik la.
Egzanp atak yo
Senaryo yo diskite anba a evidamman gen erè sekirite enfòmasyon epi sèvi sèlman pou ilistre atak posib.
Senaryo 1. Yon egzanp aplikasyon menas U2.2 ak U4.2.
Deskripsyon nan objè a
Lojisyèl AWS KBR ak CIPF SCAD Signature yo enstale sou yon òdinatè fizik ki pa konekte ak rezo òdinatè a. FKN vdToken yo itilize kòm yon konpayi asirans kle nan mòd nan travay ak yon kle ki pa detachable.
Règleman règleman an sipoze ke espesyalis règleman an nan òdinatè travay li telechaje mesaj elektwonik nan tèks klè (konplo nan ansyen estasyon travay KBR) soti nan yon sèvè espesyal fichye an sekirite, Lè sa a, ekri yo sou yon kondwi flash USB transfere epi transfere yo nan estasyon travay la KBR, kote yo kode ak siy. Apre sa, espesyalis la transfere mesaj elektwonik an sekirite nan medyòm nan alyene, ak Lè sa a, atravè òdinatè travay li, ekri yo nan yon sèvè dosye, ki soti nan kote yo ale nan UTA ak Lè sa a, nan sistèm peman an nan Bank Larisi.
Nan ka sa a, chanèl yo pou echanje done louvri ak pwoteje yo pral gen ladan: yon sèvè fichye, òdinatè travay yon espesyalis, ak medya etranje.
Atak
Atakè san otorizasyon enstale yon sistèm kontwòl remote sou òdinatè travay yon espesyalis epi, nan moman yo ekri lòd peman (mesaj elektwonik) nan yon mwayen transfere, ranplase sa ki nan youn nan yo nan tèks klè. Espesyalis la transfere lòd peman nan espas travay la otomatik KBR, siyen ak ankripte yo san yo pa remake sibstitisyon an (pa egzanp, akòz yon gwo kantite lòd peman sou yon vòl, fatig, elatriye). Apre sa, fo lòd peman an, li te pase nan chèn teknolojik la, antre nan sistèm peman Bank la nan Larisi.
Senaryo 2. Yon egzanp aplikasyon menas U2.2 ak U4.2.
Deskripsyon nan objè a
Yon òdinatè ak yon estasyon travay enstale KBR, SCAD Signature ak yon konpayi asirans kle ki konekte FKN vdToken opere nan yon chanm devwe san aksè nan men pèsonèl.
Espesyalis nan kalkil konekte ak estasyon travay CBD an nan mòd aksè aleka atravè pwotokòl RDP la.
Atak
Atakè yo entèsepte detay yo, lè l sèvi avèk espesyalis nan kalkil konekte ak travay ak estasyon travay la CBD (pa egzanp, atravè kòd move sou òdinatè l '). Lè sa a, yo konekte sou non l ', li voye yon lòd peman fo nan Bank of Lawisi sistèm peman an.
Senaryo 3. Egzanp aplikasyon menas U1.3.
Deskripsyon nan objè a
Ann konsidere youn nan opsyon ipotetik pou mete ann aplikasyon modil entegrasyon ABS-KBR pou yon nouvo konplo (AWS KBR-N), kote siyati elektwonik dokiman sortan yo fèt sou bò ABS. Nan ka sa a, nou pral sipoze ke ABS la opere sou baz yon sistèm opere ki pa sipòte pa CIPF SKAD Siyati a, epi, kòmsadwa, fonksyonalite kriptografik la transfere nan yon machin vityèl separe - entegrasyon "ABS-KBR" la. modil.
Yo itilize yon siy USB regilye ki fonksyone nan mòd kle rekiperab kòm yon konpayi asirans kle. Lè konekte medya kle yo ak hypervisor la, li te tounen soti ke pa te gen okenn pò USB gratis nan sistèm nan, kidonk li te deside konekte siy la USB atravè yon rezo USB mwaye, epi enstale yon kliyan USB-over-IP sou vityèl la. machin, ki ta kominike ak mwaye a.
Atak
Atakè yo te entèsepte kle prive siyati elektwonik la ki soti nan kanal kominikasyon ant mwaye USB a ak hypervisor (done yo te transmèt nan tèks klè). Lè yo gen kle prive a, atakè yo te jenere yon fo lòd peman, yo te siyen li ak yon siyati elektwonik epi yo te voye li nan espas travay la otomatik KBR-N pou ekzekisyon.
Senaryo 4. Yon egzanp aplikasyon menas U5.5.
Deskripsyon nan objè a
Ann konsidere menm kous la kòm nan senaryo anvan an. Nou pral sipoze ke mesaj elektwonik ki soti nan estasyon travay KBR-N fini nan katab …SHAREIn a, ak sa yo voye nan estasyon travay KBR-N ak pi lwen nan sistèm peman Bank la nan Larisi ale nan …SHAREout.
Nou pral sipoze tou lè n ap aplike modil entegrasyon an, lis sètifika ki revoke yo mete ajou sèlman lè yo rebay kle kriptografik yo, epi tou ke mesaj elektwonik yo resevwa nan katab …SHAREIn yo tcheke sèlman pou kontwòl entegrite ak kontwòl konfyans nan kle piblik la. siyati elektwonik.
Atak
Atakè yo, lè l sèvi avèk kle yo vòlè nan senaryo anvan an, siyen yon lòd peman fo ki gen enfòmasyon sou resi lajan an nan kont kliyan an fwod epi prezante li nan kanal la echanj done sekirite. Depi pa gen okenn verifikasyon ke lòd peman an te siyen pa Bank la nan Larisi, li se aksepte pou ekzekisyon.
Sous: www.habr.com