Nuorodos į kitas tyrimo dalis
- (Jūs esate čia)
Šis straipsnis užbaigia leidinių, skirtų banko mokėjimų negrynaisiais pinigais informacijos saugumo užtikrinimui, seriją. Čia apžvelgsime tipinius grėsmės modelius, nurodytus :
- .
- .
- .
- .
HABRO-ĮSPĖJIMAS!!! Mieli chabroviečiai, tai nėra linksmas įrašas.
Daugiau nei 40 puslapių medžiagos, paslėptos po pjūviu, yra skirtos pagalba dirbant ar studijuojant žmonių, besispecializuojančių bankininkystės ar informacijos saugumo srityse. Šios medžiagos yra galutinis tyrimo produktas ir parašytos sausu, oficialiu tonu. Iš esmės tai yra vidaus informacijos saugos dokumentų ruošiniai.Na, tradicinis - „už informacijos iš straipsnio naudojimą neteisėtais tikslais baudžiama pagal įstatymą“. Produktyvus skaitymas!
Informacija skaitytojams, kurie susipažino su šiuo leidiniu prasidedančiu tyrimu.
Apie ką tyrimas?
Skaitote vadovą specialistui, atsakingam už mokėjimų informacijos saugumo užtikrinimą banke.
Pateikimo logika
Pradžioje į и pateikiamas saugomo objekto aprašymas. Tada į aprašoma, kaip sukurti apsaugos sistemą ir kalbama apie būtinybę sukurti grėsmės modelį. IN kalbama apie tai, kokie grėsmių modeliai egzistuoja ir kaip jie formuojasi. IN и Pateikiama realių išpuolių analizė. и yra grėsmės modelio aprašymas, sukurtas atsižvelgiant į informaciją iš visų ankstesnių dalių.
TIPINIS GRĖSMĖS MODELIS. TINKLO PRISIJUNGIMAS
Apsaugos objektas, kuriam taikomas grėsmės modelis (apimtis).
Apsaugos objektas yra duomenys, perduodami per tinklo ryšį, veikiantį duomenų tinkluose, pastatytuose TCP/IP kamino pagrindu.
Architektūra
Architektūrinių elementų aprašymas:
- „Pabaigos mazgai“ — mazgai, keičiantys apsaugotą informaciją.
- "Tarpiniai mazgai" — duomenų perdavimo tinklo elementai: maršrutizatoriai, komutatoriai, prieigos serveriai, įgaliotieji serveriai ir kita įranga, per kurią perduodamas tinklo ryšio srautas. Apskritai tinklo ryšys gali veikti be tarpinių mazgų (tiesiogiai tarp galinių mazgų).
Aukščiausio lygio saugumo grėsmės
Skilimas
U1. Neteisėta prieiga prie perduodamų duomenų.
U2. Neteisėtas perduotų duomenų keitimas.
U3. Perduotų duomenų autorystės pažeidimas.
U1. Neteisėta prieiga prie perduodamų duomenų
Skilimas
U1.1. <…>, atliekami galutiniuose arba tarpiniuose mazguose:
U1.1.1. <…> nuskaitydami duomenis, kol jie yra pagrindinio kompiuterio saugojimo įrenginiuose:
U1.1.1.1. <…> RAM.
U1.1.1.1 paaiškinimai.
Pavyzdžiui, kai duomenis apdoroja pagrindinio kompiuterio tinklo dėklas.
U1.1.1.2. <…> nepastovioje atmintyje.
U1.1.1.2 paaiškinimai.
Pavyzdžiui, kai saugomi perduodami duomenys talpykloje, laikinieji failai arba apsikeitimo failai.
U1.2. <…>, atliekama trečiųjų šalių duomenų tinklo mazguose:
U1.2.1. <…> fiksuojant visus paketus, patenkančius į pagrindinio kompiuterio tinklo sąsają:
U1.2.1 paaiškinimai.
Visų paketų fiksavimas atliekamas perjungiant tinklo plokštę į „promiscuous“ režimą (laidinio adapterio režimas arba monitoriaus režimas „Wi-Fi“ adapteriams).
U1.2.2. <...> vykdant „man-in-the-middle“ (MiTM) atakas, tačiau nekeičiant perduodamų duomenų (neskaičiuojant tinklo protokolo paslaugos duomenų).
U1.2.2.1. Nuoroda: .
U1.3. <…>, atlikta dėl informacijos nutekėjimo techniniais kanalais (TKUI) iš fizinių mazgų ar ryšio linijų.
U1.4. <...>, atliekama įrengiant specialias technines priemones (STS) galiniuose arba tarpiniuose mazguose, skirtuose slaptam informacijos rinkimui.
U2. Neteisėtas perduotų duomenų keitimas
Skilimas
U2.1. <…>, atliekami galutiniuose arba tarpiniuose mazguose:
U2.1.1. <…> skaitydami ir keisdami duomenis, kol jie yra mazgų saugojimo įrenginiuose:
U2.1.1.1. <…> RAM:
U2.1.1.2. <…> nepastovioje atmintyje:
U2.2. <…>, atliekami trečiųjų šalių duomenų perdavimo tinklo mazguose:
U2.2.1. <...> vykdydami „man-in-the-middle“ (MiTM) atakas ir nukreipdami srautą į užpuolikų mazgą:
U2.2.1.1. Dėl fizinio užpuoliko įrangos ryšio nutrūksta tinklo ryšys.
U2.2.1.2. Tinklo protokolų atakų vykdymas:
U2.2.1.2.1. <…> virtualių vietinių tinklų (VLAN) valdymas:
U2.2.1.2.1.1. .
U2.2.1.2.1.2. Neteisėtas VLAN nustatymų keitimas jungikliuose arba maršrutizatoriuose.
U2.2.1.2.2. <…> eismo maršrutas:
U2.2.1.2.2.1. Neteisėtas maršrutizatorių statinių maršruto lentelių keitimas.
U2.2.1.2.2.2. Užpuolikai praneša apie klaidingus maršrutus naudojant dinaminius maršruto parinkimo protokolus.
U2.2.1.2.3. <…> automatinė konfigūracija:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <…> adresavimo ir pavadinimo sprendimas:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. Neleistini vietinių prieglobos vardų failų pakeitimai (hosts, lmhosts ir kt.)
U3. Perduotų duomenų autorių teisių pažeidimas
Skilimas
U3.1. Informacijos autorystės nustatymo mechanizmų neutralizavimas nurodant klaidingą informaciją apie autorių ar duomenų šaltinį:
U3.1.1. Keičiant perduodamoje informacijoje esančią informaciją apie autorių.
U3.1.1.1. Perduotų duomenų vientisumo ir autorystės kriptografinės apsaugos neutralizavimas:
U3.1.1.1.1. Nuoroda: .
U3.1.1.2. Perduotų duomenų autorių teisių apsaugos neutralizavimas, įgyvendinamas naudojant vienkartinius patvirtinimo kodus:
U3.1.1.2.1. .
U3.1.2. Keisti informaciją apie perduodamos informacijos šaltinį:
U3.1.2.1. .
U3.1.2.2. .
TIPINIS GRĖSMĖS MODELIS. INFORMACINĖ SISTEMA, PAGRINDAMA KLIENTO-SERVERIO ARCHITEKTŪROS PAGRINDU
Apsaugos objektas, kuriam taikomas grėsmės modelis (apimtis).
Apsaugos objektas yra informacinė sistema, sukurta kliento-serverio architektūros pagrindu.
Architektūra
Architektūrinių elementų aprašymas:
- "Klientas" – įrenginys, kuriame veikia informacinės sistemos kliento dalis.
- "Serveris" – įrenginys, kuriame veikia informacinės sistemos serverio dalis.
- "Duomenų saugykla" — informacinės sistemos serverių infrastruktūros dalis, skirta informacinės sistemos tvarkomiems duomenims saugoti.
- "Tinklo prisijungimas" — informacijos mainų kanalas tarp Kliento ir Serverio, einantis per duomenų tinklą. Išsamesnis elemento modelio aprašymas pateiktas .
Apribojimai
Modeliuojant objektą nustatomi šie apribojimai:
- Vartotojas sąveikauja su informacine sistema per ribotą laiko tarpą, vadinamą darbo seansu.
- Kiekvienos darbo sesijos pradžioje vartotojas identifikuojamas, autentifikuojamas ir autorizuojamas.
- Visa saugoma informacija yra saugoma informacinės sistemos serverio dalyje.
Aukščiausio lygio saugumo grėsmės
Skilimas
U1. Neteisėtų užpuolikų veiksmų atlikimas teisėto vartotojo vardu.
U2. Neteisėtas saugomos informacijos keitimas ją apdorojant informacinės sistemos serverio dalyje.
U1. Neteisėtų užpuolikų veiksmų atlikimas teisėto vartotojo vardu
Paaiškinimai
Paprastai informacinėse sistemose veiksmai yra koreliuojami su vartotoju, kuris juos atliko naudodamas:
- sistemos veikimo žurnalai (logs).
- specialūs duomenų objektų atributai, kuriuose yra informacijos apie juos sukūrusį ar modifikavusį vartotoją.
Kalbant apie darbo sesiją, ši grėsmė gali būti suskirstyta į:
- <…> atlikta per vartotojo sesiją.
- <…> vykdomas ne vartotojo sesijoje.
Vartotojo sesija gali būti pradėta:
- Pats vartotojas.
- Piktininkai.
Šiame etape tarpinis šios grėsmės skilimas atrodys taip:
U1.1. Naudotojo sesijos metu buvo atlikti neleistini veiksmai:
U1.1.1. <…> įdiegė užpultas vartotojas.
U1.1.2. <…> įdiegė užpuolikai.
U1.2. Neleistini veiksmai buvo atlikti ne vartotojo seanso metu.
Informacinės infrastruktūros objektų, kuriuos gali paveikti užpuolikai, požiūriu, tarpinių grėsmių išskaidymas atrodys taip:
elementai
Grėsmės skilimas
U1.1.1.
U1.1.2.
U1.2.
Klientas
U1.1.1.1.
U1.1.2.1.
Tinklo prisijungimas
U1.1.1.2.
Serveris
U1.2.1.
Skilimas
U1.1. Naudotojo sesijos metu buvo atlikti neleistini veiksmai:
U1.1.1. <…> įdiegė užpultas vartotojas:
U1.1.1.1. Užpuolikai veikė nepriklausomai nuo Kliento:
U1.1.1.1.1 Užpuolikai naudojo standartinius informacinės sistemos prieigos įrankius:
У1.1.1.1.1.1. Užpuolikai naudojo Kliento fizines įvesties/išvesties priemones (klaviatūrą, pelę, monitorių ar mobiliojo įrenginio jutiklinį ekraną):
U1.1.1.1.1.1.1. Užpuolikai veikė tuo metu, kai seansas buvo aktyvus, buvo prieinamos įvesties / išvesties priemonės, o vartotojo nebuvo.
У1.1.1.1.1.2. Užpuolikai naudojo nuotolinio administravimo įrankius (standartinius arba teikiamus kenkėjiško kodo), kad galėtų valdyti Klientą:
U1.1.1.1.1.2.1. Užpuolikai veikė tuo metu, kai seansas buvo aktyvus, buvo prieinamos įvesties / išvesties priemonės, o vartotojo nebuvo.
U1.1.1.1.1.2.2. Užpuolikai naudojo nuotolinio administravimo įrankius, kurių veikimo atakuojamam vartotojui nematoma.
U1.1.1.2. Užpuolikai pakeitė duomenis tinklo ryšyje tarp Kliento ir Serverio, modifikuodami juos taip, kad jie būtų suvokiami kaip teisėto vartotojo veiksmai:
U1.1.1.2.1. Nuoroda: .
U1.1.1.3. Užpuolikai privertė vartotoją atlikti jų nurodytus veiksmus naudodamos socialinės inžinerijos metodus.
У1.1.2 <…> įdiegė užpuolikai:
U1.1.2.1. Užpuolikai veikė iš Kliento (И):
U1.1.2.1.1. Užpuolikai neutralizavo informacinės sistemos prieigos kontrolės sistemą:
U1.1.2.1.1.1. Nuoroda: .
У1.1.2.1.2. Užpuolikai naudojo standartines informacinės sistemos prieigos priemones
U1.1.2.2. Užpuolikai veikė iš kitų duomenų tinklo mazgų, iš kurių buvo galima užmegzti tinklo ryšį su serveriu (И):
U1.1.2.2.1. Užpuolikai neutralizavo informacinės sistemos prieigos kontrolės sistemą:
U1.1.2.2.1.1. Nuoroda: .
U1.1.2.2.2. Užpuolikai naudojo nestandartines prieigos prie informacinės sistemos priemones.
Paaiškinimai U1.1.2.2.2.
Užpuolikai gali įdiegti standartinį informacinės sistemos klientą trečiosios šalies mazge arba naudoti nestandartinę programinę įrangą, kuri įgyvendina standartinius apsikeitimo tarp Kliento ir Serverio protokolus.
U1.2 Neleistini veiksmai buvo atlikti ne vartotojo seanso metu.
U1.2.1 Užpuolikai atliko neleistinus veiksmus ir po to neteisėtai pakeitė informacinės sistemos veiklos žurnalus ar specialius duomenų objektų atributus, nurodydami, kad jų atliktus veiksmus atliko teisėtas vartotojas.
U2. Neteisėtas saugomos informacijos keitimas ją apdorojant informacinės sistemos serverio dalyje
Skilimas
U2.1. Užpuolikai modifikuoja apsaugotą informaciją naudodami standartines informacinės sistemos priemones ir tai daro teisėto vartotojo vardu.
U2.1.1. Nuoroda: .
U2.2. Užpuolikai saugomą informaciją modifikuoja naudodami duomenų prieigos mechanizmus, kurių nenumato įprastas informacinės sistemos veikimas.
U2.2.1. Užpuolikai modifikuoja failus su apsaugota informacija:
U2.2.1.1. <...>, naudojant operacinės sistemos teikiamus failų tvarkymo mechanizmus.
U2.2.1.2. <...> provokuojant failų atkūrimą iš neteisėtos modifikuotos atsarginės kopijos.
U2.2.2. Užpuolikai modifikuoja duomenų bazėje saugomą apsaugotą informaciją (И):
U2.2.2.1. Užpuolikai neutralizuoja DBVS prieigos kontrolės sistemą:
U2.2.2.1.1. Nuoroda: .
U2.2.2.2. Užpuolikai modifikuoja informaciją naudodami standartines DBVS sąsajas, kad pasiektų duomenis.
U2.3. Užpuolikai modifikuoja apsaugotą informaciją neteisėtai modifikuodami ją apdorojančios programinės įrangos veikimo algoritmus.
U2.3.1. Programinės įrangos šaltinio kodas gali būti keičiamas.
U2.3.1. Programinės įrangos mašininis kodas gali būti keičiamas.
U2.4. Užpuolikai modifikuoja apsaugotą informaciją išnaudodami informacinės sistemos programinės įrangos spragas.
U2.5. Užpuolikai modifikuoja apsaugotą informaciją, kai ji perduodama tarp informacinės sistemos serverio dalies komponentų (pavyzdžiui, duomenų bazės serverio ir taikomųjų programų serverio):
U2.5.1. Nuoroda: .
TIPINIS GRĖSMĖS MODELIS. PRIEIGOS KONTROLĖS SISTEMA
Apsaugos objektas, kuriam taikomas grėsmės modelis (apimtis).
Apsaugos objektas, kuriam taikomas šis grėsmės modelis, atitinka grėsmės modelio apsaugos objektą: „Tipinis grėsmės modelis. Informacinė sistema, sukurta kliento-serverio architektūros pagrindu.
Šiame grėsmės modelyje vartotojo prieigos kontrolės sistema reiškia informacinės sistemos komponentą, įgyvendinantį šias funkcijas:
- Vartotojo identifikavimas.
- Vartotojo autentifikavimas.
- Vartotojų įgaliojimai.
- Vartotojo veiksmų registravimas.
Aukščiausio lygio saugumo grėsmės
Skilimas
U1. Neteisėtas seanso sukūrimas teisėto vartotojo vardu.
U2. Neteisėtas vartotojo teisių padidinimas informacinėje sistemoje.
U1. Neteisėtas seanso sukūrimas teisėto vartotojo vardu
Paaiškinimai
Šios grėsmės išskaidymas paprastai priklausys nuo naudojamų vartotojo identifikavimo ir autentifikavimo sistemų tipo.
Šiame modelyje bus atsižvelgta tik į vartotojo identifikavimo ir autentifikavimo sistemą naudojant tekstinį prisijungimo vardą ir slaptažodį. Tokiu atveju manysime, kad vartotojo prisijungimas yra viešai prieinama informacija, kurią žino užpuolikai.
Skilimas
U1.1. <…> dėl kredencialų pažeidimo:
U1.1.1. Užpuolikai pažeidė vartotojo kredencialus juos saugodami.
Paaiškinimai U1.1.1.
Pavyzdžiui, įgaliojimai gali būti užrašyti ant lipniojo lapelio, priklijuoto prie monitoriaus.
U1.1.2. Vartotojas netyčia arba piktybiškai perdavė prieigos duomenis užpuolikams.
U1.1.2.1. Įeidamas vartotojas garsiai ištarė kredencialus.
U1.1.2.2. Vartotojas sąmoningai pasidalijo savo kredencialais:
U1.1.2.2.1. <...> darbo kolegoms.
Paaiškinimai U1.1.2.2.1.
Pavyzdžiui, kad jie galėtų jį pakeisti ligos metu.
U1.1.2.2.2. <...> darbdavio rangovams, atliekantiems darbus informacinės infrastruktūros objektuose.
U1.1.2.2.3. <...> trečiosioms šalims.
Paaiškinimai U1.1.2.2.3.
Viena, bet ne vienintelė galimybė įgyvendinti šią grėsmę yra užpuolikai naudoti socialinės inžinerijos metodus.
U1.1.3. Užpuolikai atrinko kredencialus naudodami brutalios jėgos metodus:
U1.1.3.1. <...> naudojant standartinius prieigos mechanizmus.
U1.1.3.2. <…> naudojant anksčiau perimtus kodus (pvz., slaptažodžių maišą) kredencialams saugoti.
U1.1.4. Užpuolikai naudojo kenkėjišką kodą, kad perimtų vartotojo kredencialus.
U1.1.5. Užpuolikai išgavo kredencialus iš tinklo ryšio tarp Kliento ir serverio:
U1.1.5.1. Nuoroda: .
U1.1.6. Užpuolikai iš darbo stebėjimo sistemų įrašų ištraukė kredencialus:
U1.1.6.1. <…> vaizdo stebėjimo sistemos (jei veikimo metu buvo užfiksuoti klaviatūros klavišų paspaudimai).
U1.1.6.2. <…> sistemos, skirtos darbuotojo veiksmų prie kompiuterio stebėjimui
Paaiškinimai U1.1.6.2.
Tokios sistemos pavyzdys yra .
U1.1.7. Užpuolikai pažeidė vartotojo kredencialus dėl perdavimo proceso trūkumų.
Paaiškinimai U1.1.7.
Pavyzdžiui, slaptažodžių siuntimas aiškiu tekstu el. paštu.
U1.1.8. Užpuolikai gaudavo kredencialus stebėdami vartotojo seansą naudodami nuotolinio administravimo sistemas.
U1.1.9. Užpuolikai gavo kredencialus dėl jų nutekėjimo techniniais kanalais (TCUI):
U1.1.9.1. Užpuolikai stebėjo, kaip vartotojas įvedė kredencialus iš klaviatūros:
U1.1.9.1.1 Užpuolikai buvo arti vartotojo ir savo akimis matė įvestus kredencialus.
Paaiškinimai U1.1.9.1.1
Tokie atvejai apima darbo kolegų veiksmus arba atvejį, kai vartotojo klaviatūra matoma organizacijos lankytojams.
U1.1.9.1.2 Užpuolikai naudojo papildomas technines priemones, tokias kaip žiūronai ar nepilotuojamas orlaivis, ir pro langą matė, kaip įleidžiami įgaliojimai.
U1.1.9.2. Užpuolikai ištraukė kredencialus iš radijo ryšio tarp klaviatūros ir kompiuterio sistemos bloko, kai jie buvo prijungti per radijo sąsają (pavyzdžiui, Bluetooth).
U1.1.9.3. Užpuolikai perėmė kredencialus, nutekėdami juos netikros elektromagnetinės spinduliuotės ir trukdžių kanalu (PEMIN).
Paaiškinimai U1.1.9.3.
Išpuolių pavyzdžiai и .
U1.1.9.4. Užpuolikas sulaikė prisijungimo duomenis iš klaviatūros naudodamas specialias technines priemones (STS), skirtas slaptai gauti informaciją.
Paaiškinimai U1.1.9.4.
pavyzdžiai .
U1.1.9.5. Užpuolikai perėmė prisijungimo duomenis iš klaviatūros naudodami
Wi-Fi signalo, moduliuoto vartotojo klavišo paspaudimo procesu, analizė.
Paaiškinimai U1.1.9.5.
Pavyzdys .
U1.1.9.6. Užpuolikai perėmė prisijungimo duomenis iš klaviatūros, analizuodami klavišų paspaudimų garsus.
Paaiškinimai U1.1.9.6.
Pavyzdys .
U1.1.9.7. Užpuolikai sulaikė kredencialų įvedimą iš mobiliojo įrenginio klaviatūros, analizuodami akselerometro rodmenis.
Paaiškinimai U1.1.9.7.
Pavyzdys .
U1.1.10. <…>, anksčiau išsaugotas Kliente.
Paaiškinimai U1.1.10.
Pavyzdžiui, vartotojas gali išsaugoti prisijungimo vardą ir slaptažodį naršyklėje, kad pasiektų konkrečią svetainę.
U1.1.11. Užpuolikai pažeidė kredencialus dėl vartotojo prieigos panaikinimo proceso trūkumų.
Paaiškinimai U1.1.11.
Pavyzdžiui, atleidus vartotoją, jo paskyros liko atblokuotos.
U1.2. <...> išnaudojant prieigos kontrolės sistemos pažeidžiamumą.
U2. Neteisėtas vartotojo teisių padidinimas informacinėje sistemoje
Skilimas
U2.1 <…> neteisėtai keičiant duomenis, kuriuose yra informacija apie vartotojo teises.
U2.2 <...> naudojant prieigos kontrolės sistemos pažeidžiamumą.
U2.3. <…> dėl vartotojų prieigos valdymo proceso trūkumų.
Paaiškinimai U2.3.
1 pavyzdys. Vartotojui buvo suteikta daugiau prieigos darbui, nei jam reikėjo verslo sumetimais.
2 pavyzdys: vartotoją perkėlus į kitą vietą, anksčiau suteiktos prieigos teisės nebuvo atšauktos.
TIPINIS GRĖSMĖS MODELIS. INTEGRACIJOS MODULIS
Apsaugos objektas, kuriam taikomas grėsmės modelis (apimtis).
Integravimo modulis yra informacinės infrastruktūros objektų rinkinys, skirtas organizuoti informacijos mainus tarp informacinių sistemų.
Atsižvelgiant į tai, kad įmonių tinkluose ne visada įmanoma vienareikšmiškai atskirti vieną informacinę sistemą nuo kitos, integravimo modulis gali būti laikomas ir jungiamąja grandimi tarp komponentų vienos informacinės sistemos viduje.
Architektūra
Apibendrinta integravimo modulio schema atrodo taip:
Architektūrinių elementų aprašymas:
- "Exchange Server (SO)" – informacinės sistemos mazgas / paslauga / komponentas, atliekantis duomenų mainų su kita informacine sistema funkciją.
- "Tarpininkas" – mazgas/paslauga, skirta organizuoti sąveiką tarp informacinių sistemų, bet ne jų dalis.
Pavyzdžiai "Tarpininkai" gali būti el. pašto paslaugos, įmonės paslaugų magistralės (įmonės paslaugų magistralė / SoA architektūra), trečiųjų šalių failų serveriai ir kt. Apskritai integravimo modulyje negali būti „Tarpininkų“. - "Duomenų apdorojimo programinė įranga" – programų rinkinys, įgyvendinantis duomenų mainų protokolus ir formatų konvertavimą.
Pavyzdžiui, duomenų konvertavimas iš UFEBS formato į ABS formatą, pranešimų būsenų keitimas perdavimo metu ir kt. - "Tinklo prisijungimas" atitinka objektą, aprašytą standartiniame „Tinklo ryšio“ grėsmės modelyje. Kai kurių tinklo jungčių, parodytų anksčiau pateiktoje diagramoje, gali nebūti.
Integravimo modulių pavyzdžiai
1 schema. ABS ir AWS KBR integravimas per trečiosios šalies failų serverį
Norėdami atlikti mokėjimus, įgaliotas banko darbuotojas parsisiunčia elektroninius mokėjimo dokumentus iš pagrindinės bankininkystės sistemos ir išsaugo juos į failą (savo formatu, pavyzdžiui, SQL dump) tinklo aplanke (...SHARE) failų serveryje. Tada šis failas konvertuojamas naudojant konverterio scenarijų į UFEBS formato failų rinkinį, kurį vėliau nuskaito CBD darbo stotis.
Po to įgaliotas darbuotojas – automatizuotos darbo vietos KBR vartotojas – gautus failus užšifruoja ir pasirašo bei siunčia į Rusijos banko mokėjimo sistemą.
Kai gaunami mokėjimai iš Rusijos banko, automatizuota KBR darbo vieta juos iššifruoja ir patikrina elektroninį parašą, o po to įrašo į failų serverį UFEBS formato failų rinkinio pavidalu. Prieš importuojant mokėjimo dokumentus į ABS, jie konvertuojami naudojant konverterio scenarijų iš UFEBS formato į ABS formatą.
Darysime prielaidą, kad šioje schemoje ABS veikia viename fiziniame serveryje, KBR darbo stotis – tam skirtame kompiuteryje, o konverterio scenarijus – failų serveryje.
Nagrinėjamos diagramos objektų atitikimas integravimo modulio modelio elementams:
„Mainų serveris iš ABS pusės“ - ABS serveris.
„Exchange serveris iš AWS KBR pusės“ – kompiuterinė darbo vieta KBR.
"Tarpininkas" – trečiosios šalies failų serveris.
"Duomenų apdorojimo programinė įranga" – konverterio scenarijus.
2 schema. ABS ir AWS KBR integravimas įdedant bendrinamą tinklo aplanką su mokėjimais AWS KBR
Viskas panašu į 1 schemą, tačiau atskiras failų serveris nenaudojamas, vietoj to kompiuteryje su CBD darbo stotimi dedamas tinklo aplankas (...SHARE) su elektroniniais mokėjimo dokumentais. Konverterio scenarijus taip pat veikia CBD darbo vietoje.
Nagrinėjamos diagramos objektų atitikimas integravimo modulio modelio elementams:
Panašus į 1 schemą, bet "Tarpininkas" nėra naudojamas.
3 schema. ABS ir automatizuotos darbo vietos KBR-N integravimas per IBM WebSphera MQ ir elektroninių dokumentų pasirašymas „ABS pusėje“
ABS veikia platformoje, kurios nepalaiko CIPF SCAD parašas. Siunčiamų elektroninių dokumentų pasirašymas atliekamas specialiame elektroninio parašo serveryje (ES Server). Tas pats serveris tikrina iš Rusijos banko gaunamų dokumentų elektroninį parašą.
ABS į ES serverį įkelia failą su mokėjimo dokumentais savo formatu.
ES serveris, naudodamas konverterio scenarijų, konvertuoja failą į elektroninius pranešimus UFEBS formatu, po kurio elektroniniai pranešimai pasirašomi ir perduodami į IBM WebSphere MQ.
KBR-N darbo stotis pasiekia IBM WebSphere MQ ir iš ten gauna pasirašytus mokėjimo pranešimus, po kurių įgaliotas darbuotojas - KBR darbo stoties vartotojas - juos užšifruoja ir siunčia į Rusijos banko mokėjimo sistemą.
Kai gaunami mokėjimai iš Rusijos banko, automatizuota darbo vieta KBR-N juos iššifruoja ir patikrina elektroninį parašą. Sėkmingai apdoroti mokėjimai iššifruotų ir pasirašytų elektroninių pranešimų forma UFEBS formatu perkeliami į IBM WebSphere MQ, iš kur juos gauna elektroninio parašo serveris.
Elektroninio parašo serveris patikrina gautų mokėjimų elektroninį parašą ir išsaugo juos ABS formato faile. Po to įgaliotas darbuotojas – ABS vartotojas – nustatyta tvarka įkelia gautą failą į ABS.
Nagrinėjamos diagramos objektų atitikimas integravimo modulio modelio elementams:
„Exchange serveris iš ABS pusės“ - ABS serveris.
„Exchange serveris iš AWS KBR pusės“ — kompiuterinė darbo vieta KBR.
"Tarpininkas" – ES serveris ir IBM WebSphere MQ.
"Duomenų apdorojimo programinė įranga" – scenarijų keitiklis, CIPF SCAD parašas ES serveryje.
4 schema. RBS serverio ir pagrindinės bankininkystės sistemos integravimas per API, kurią teikia specialus mainų serveris
Darysime prielaidą, kad bankas naudoja kelias nuotolinės bankininkystės sistemas (RBS):
- „Interneto klientas-bankas“ fiziniams asmenims (IKB FL);
- „Interneto klientas-bankas“ juridiniams asmenims (IKB LE).
Siekiant užtikrinti informacijos saugumą, visa sąveika tarp ABS ir nuotolinės bankininkystės sistemų vykdoma per tam skirtą mainų serverį, veikiantį ABS informacinės sistemos rėmuose.
Toliau apžvelgsime IKB LE RBS sistemos ir ABS sąveikos procesą.
RBS serveris, gavęs iš kliento tinkamai patvirtintą mokėjimo nurodymą, pagal jį turi sukurti ABS atitinkamą dokumentą. Norėdami tai padaryti, naudodamas API, jis perduoda informaciją mainų serveriui, kuris savo ruožtu įveda duomenis į ABS.
Pasikeitus kliento sąskaitų likučiams, ABS generuoja elektroninius pranešimus, kurie per valiutos keitimo serverį perduodami nuotoliniam bankininkystės serveriui.
Nagrinėjamos diagramos objektų atitikimas integravimo modulio modelio elementams:
„Exchange serveris iš RBS pusės“ – IKB YUL RBS serveris.
„Exchange serveris iš ABS pusės“ – mainų serveris.
"Tarpininkas" - nėra.
"Duomenų apdorojimo programinė įranga" – RBS serverio komponentai, atsakingi už mainų serverio API naudojimą, mainų serverio komponentai, atsakingi už pagrindinės bankininkystės API naudojimą.
Aukščiausio lygio saugumo grėsmės
Skilimas
U1. Užpuolikai įveda klaidingą informaciją per integravimo modulį.
U1. Užpuolikai įveda klaidingą informaciją per integravimo modulį
Skilimas
U1.1. Neteisėtas teisėtų duomenų keitimas, kai jie perduodami tinklo jungtimis:
U1.1.1 nuoroda: .
U1.2. Klaidingų duomenų perdavimas ryšio kanalais teisėto mainų dalyvio vardu:
U1.1.2 nuoroda: .
U1.3. Neteisėtas teisėtų duomenų keitimas juos tvarkant „Exchange“ serveriuose arba tarpininkaujant:
U1.3.1. Nuoroda: .
U1.4. Klaidingų duomenų kūrimas Exchange serveriuose arba tarpininke teisėto mainų dalyvio vardu:
U1.4.1. Nuoroda:
U1.5. Neteisėtas duomenų keitimas, kai jie tvarkomi naudojant duomenų apdorojimo programinę įrangą:
U1.5.1. <…> dėl užpuolikų neleistinų duomenų apdorojimo programinės įrangos nustatymų (konfigūracijos) pakeitimų.
U1.5.2. <…> dėl užpuolikų, neteisėtų pakeitimų duomenų apdorojimo programinės įrangos vykdomuosiuose failuose.
U1.5.3. <…> dėl užpuolikų interaktyvaus duomenų apdorojimo programinės įrangos valdymo.
TIPINIS GRĖSMĖS MODELIS. KRIPTOGRAFINĖS INFORMACIJOS APSAUGOS SISTEMA
Apsaugos objektas, kuriam taikomas grėsmės modelis (apimtis).
Apsaugos objektas – kriptografinė informacijos apsaugos sistema, naudojama informacinės sistemos saugumui užtikrinti.
Architektūra
Bet kurios informacinės sistemos pagrindas yra taikomoji programinė įranga, įgyvendinanti tikslines jos funkcijas.
Kriptografinė apsauga dažniausiai įgyvendinama iškviečiant kriptografinius primityvus iš taikomosios programinės įrangos verslo logikos, kurie yra specializuotose bibliotekose – kriptovaliutų branduoliuose.
Kriptografiniai primityvai apima žemo lygio kriptografines funkcijas, tokias kaip:
- užšifruoti/iššifruoti duomenų bloką;
- sukurti/patikrinti duomenų bloko elektroninį parašą;
- apskaičiuoti duomenų bloko maišos funkciją;
- generuoti / įkelti / įkelti pagrindinę informaciją;
- ir tt
Taikomosios programinės įrangos verslo logika įgyvendina aukštesnio lygio funkcionalumą naudodama kriptografinius primityvus:
- užšifruoti failą naudojant pasirinktų gavėjų raktus;
- sukurti saugų tinklo ryšį;
- informuoti apie elektroninio parašo patikrinimo rezultatus;
- ir tt
Verslo logikos ir kriptovaliutų branduolio sąveika gali būti vykdoma:
- tiesiogiai, verslo logika, iškviečiant kriptografinius primityvus iš dinaminių kriptovaliutų branduolio bibliotekų (.DLL Windows, .SO Linux);
- tiesiogiai, per kriptografines sąsajas – įvynioklius, pavyzdžiui, MS Crypto API, Java Cryptography Architecture, PKCS#11 ir tt Šiuo atveju verslo logika pasiekia kriptovaliutų sąsają ir iškviečia iškvietimą į atitinkamą kriptovaliutų branduolį, kuris šis atvejis vadinamas kriptovaliutų tiekėju. Kriptografinių sąsajų naudojimas leidžia taikomajai programinei įrangai abstrahuotis nuo konkrečių kriptografinių algoritmų ir būti lankstesnė.
Yra dvi tipiškos kriptovaliutų branduolio organizavimo schemos:
1 schema – Monolitinė kriptovaliutos šerdis
2 schema – padalintas kriptovaliutų branduolys
Elementai pirmiau pateiktose diagramose gali būti atskiri programinės įrangos moduliai, veikiantys viename kompiuteryje, arba tinklo paslaugos, sąveikaujančios kompiuterių tinkle.
Naudojant sistemas, sukurtas pagal 1 schemą, taikomoji programinė įranga ir šifravimo branduolys veikia vienoje kriptovaliutų įrankio (SFC) operacinėje aplinkoje, pavyzdžiui, tame pačiame kompiuteryje, kuriame veikia ta pati operacinė sistema. Sistemos vartotojas, kaip taisyklė, gali paleisti kitas programas, įskaitant tas, kuriose yra kenkėjiško kodo, toje pačioje operacinėje aplinkoje. Tokiomis sąlygomis kyla rimta privačių kriptografinių raktų nutekėjimo rizika.
Siekiant sumažinti riziką, naudojama 2 schema, kurioje kriptovaliutų šerdis yra padalinta į dvi dalis:
- Pirmoji dalis kartu su taikomąja programine įranga veikia nepatikimoje aplinkoje, kur kyla pavojus užsikrėsti kenkėjišku kodu. Šią dalį vadinsime „programinės įrangos dalimi“.
- Antroji dalis veikia patikimoje aplinkoje tam skirtame įrenginyje, kuriame yra privataus rakto saugykla. Nuo šiol šią dalį vadinsime „aparatine įranga“.
Kriptografijos branduolio padalijimas į programinės ir techninės įrangos dalis yra labai savavališkas. Rinkoje yra sistemų, sukurtų pagal schemą su padalintu kriptovaliutų branduoliu, tačiau „aparatinės įrangos“ dalis pateikiama virtualios mašinos vaizdo pavidalu - virtualus HSM ().
Abiejų kriptovaliutų šerdies dalių sąveika vyksta taip, kad privatūs kriptografiniai raktai niekada neperkeliami į programinės įrangos dalį ir, atitinkamai, negali būti pavogti naudojant kenkėjišką kodą.
Sąveikos sąsaja (API) ir kriptografinių primityvų rinkinys, kurį taikomajai programinei įrangai teikia kriptovaliutų šerdis, abiem atvejais yra vienodi. Skirtumas yra jų įgyvendinimo būdu.
Taigi, naudojant schemą su padalinta kriptovaliutų šerdimi, programinės įrangos ir aparatinės įrangos sąveika vykdoma tokiu principu:
- Kriptografinius primityvus, kuriems nereikia naudoti privataus rakto (pavyzdžiui, skaičiuoti maišos funkciją, patikrinti elektroninį parašą ir pan.), atlieka programinė įranga.
- Kriptografiniai primityvai, naudojantys privatųjį raktą (sukuriantys elektroninį parašą, iššifruojantys duomenis ir pan.), atliekami aparatinės įrangos.
Iliustruojame padalytos kriptovaliutos šerdies darbą elektroninio parašo kūrimo pavyzdžiu:
- Programinė įranga apskaičiuoja pasirašytų duomenų maišos funkciją ir perduoda šią reikšmę į aparatinę įrangą mainų kanalu tarp kriptovaliutų branduolių.
- Aparatinė dalis, naudodama privatųjį raktą ir maišą, generuoja elektroninio parašo vertę ir perduoda ją programinei daliai mainų kanalu.
- Programinės įrangos dalis grąžina gautą reikšmę taikomajai programinei įrangai.
Elektroninio parašo teisingumo tikrinimo ypatybės
Gavusi elektroniniu būdu pasirašytus duomenis, gavusi šalis turi atlikti kelis patikrinimo veiksmus. Teigiamas elektroninio parašo tikrinimo rezultatas pasiekiamas tik sėkmingai užbaigus visus patikrinimo etapus.
1 etapas. Duomenų vientisumo ir duomenų autorystės kontrolė.
Scenos turinys. Duomenų elektroninis parašas tikrinamas naudojant atitinkamą kriptografinį algoritmą. Sėkmingas šio etapo užbaigimas rodo, kad duomenys nebuvo pakeisti nuo jų pasirašymo momento, taip pat, kad parašas buvo atliktas privačiu raktu, atitinkančiu viešąjį elektroninio parašo tikrinimo raktą.
Scenos vieta: kriptovaliutų šerdis.
2 etapas. Pasitikėjimo pasirašiusio asmens viešuoju raktu ir elektroninio parašo privataus rakto galiojimo laikotarpio kontrolė.
Scenos turinys. Etapas susideda iš dviejų tarpinių pakopų. Pirmasis – nustatyti, ar elektroninio parašo tikrinimo viešasis raktas buvo patikimas duomenų pasirašymo metu. Antrasis nustato, ar elektroninio parašo privatus raktas galiojo duomenų pasirašymo metu. Paprastai šių raktų galiojimo terminai gali nesutapti (pavyzdžiui, elektroninio parašo tikrinimo raktų kvalifikuotų sertifikatų). Pasitikėjimo pasirašančiojo viešuoju raktu nustatymo būdus nustato sąveikaujančių šalių priimtos elektroninių dokumentų valdymo taisyklės.
Scenos vieta: taikomoji programinė įranga / kriptovaliutų branduolys.
3 etapas. Pasirašiusio asmens įgaliojimų kontrolė.
Scenos turinys. Pagal nustatytas elektroninių dokumentų tvarkymo taisykles tikrinama, ar pasirašęs asmuo turėjo teisę patvirtinti saugomus duomenis. Kaip pavyzdį pateikiame valdžios pažeidimo situaciją. Tarkime, yra organizacija, kurioje visi darbuotojai turi elektroninį parašą. Vidinė elektroninių dokumentų valdymo sistema gauna vadybininko užsakymą, tačiau pasirašytą sandėlio vedėjo elektroniniu parašu. Atitinkamai toks dokumentas negali būti laikomas teisėtu.
Scenos vieta: Taikomoji programinė įranga.
Prielaidos, padarytos aprašant apsaugos objektą
- Informacijos perdavimo kanalai, išskyrus raktų mainų kanalus, taip pat eina per taikomąją programinę įrangą, API ir kriptovaliutų branduolį.
- Informacija apie pasitikėjimą viešaisiais raktais ir (ar) sertifikatais, taip pat informacija apie viešųjų raktų savininkų įgaliojimus talpinama viešųjų raktų saugykloje.
- Programinė įranga veikia su viešųjų raktų saugykla per kriptovaliutų branduolį.
Informacinės sistemos, apsaugotos naudojant CIPF, pavyzdys
Norėdami iliustruoti anksčiau pateiktas diagramas, panagrinėkime hipotetinę informacinę sistemą ir išryškinkime visus jos struktūrinius elementus.
Informacinės sistemos aprašymas
Abi organizacijos nusprendė tarpusavyje įvesti teisiškai reikšmingą elektroninių dokumentų valdymą (EDF). Tam jie sudarė sutartį, kurioje numatė, kad dokumentai bus siunčiami elektroniniu paštu, o kartu turi būti užšifruoti ir pasirašyti kvalifikuotu elektroniniu parašu. Kaip dokumentų kūrimo ir apdorojimo įrankiai turėtų būti naudojamos Office programos iš Microsoft Office 2016 paketo, o kaip kriptografinės apsaugos priemonė – CIPF CryptoPRO ir šifravimo programinė įranga CryptoARM.
Organizacijos infrastruktūros aprašymas 1
1 organizacija nusprendė, kad įdiegs CIPF CryptoPRO ir CryptoARM programinę įrangą vartotojo darbo vietoje – fiziniame kompiuteryje. Šifravimo ir elektroninio parašo raktai bus saugomi „ruToken“ raktų laikmenoje, veikiančioje atkuriamo rakto režimu. Vartotojas paruoš elektroninius dokumentus lokaliai savo kompiuteryje, tada šifruos, pasirašys ir išsiųs naudodamas lokaliai įdiegtą el. pašto programą.
Organizacijos infrastruktūros aprašymas 2
2 organizacija nusprendė perkelti šifravimo ir elektroninio parašo funkcijas į tam skirtą virtualią mašiną. Tokiu atveju visos kriptografinės operacijos bus atliekamos automatiškai.
Norėdami tai padaryti, tam skirtoje virtualioje mašinoje yra suskirstyti du tinklo aplankai: "...In", "...Out". Failai, gauti iš sandorio šalies atvira forma, bus automatiškai patalpinti į tinklo aplanką „…In“. Šie failai bus iššifruoti ir elektroninis parašas patikrintas.
Vartotojas įdės failus į aplanką „…Out“, kuriuos reikia užšifruoti, pasirašyti ir išsiųsti kitai šaliai. Vartotojas pats paruoš failus savo darbo vietoje.
Šifravimo ir elektroninio parašo funkcijoms atlikti virtualioje mašinoje įdiegta CIPF CryptoPRO, CryptoARM programinė įranga ir el. Automatinis visų virtualios mašinos elementų valdymas bus vykdomas naudojant sistemos administratorių sukurtus scenarijus. Scenarijų darbas registruojamas žurnalo failuose.
Elektroninio parašo kriptografiniai raktai bus patalpinti ant žetono su neatkuriamu JaCarta GOST raktu, kurį vartotojas prijungs prie savo vietinio kompiuterio.
Žetonas bus persiųstas į virtualią mašiną naudojant specializuotą USB per IP programinę įrangą, įdiegtą vartotojo darbo vietoje ir virtualioje mašinoje.
Sistemos laikrodis vartotojo darbo vietoje 1 organizacijoje bus reguliuojamas rankiniu būdu. 2 organizacijos skirtos virtualios mašinos sistemos laikrodis bus sinchronizuojamas su hipervizoriaus sistemos laikrodžiu, kuris savo ruožtu bus sinchronizuojamas internetu su viešaisiais laiko serveriais.
CIPF struktūrinių elementų identifikavimas
Remdamiesi aukščiau pateiktu IT infrastruktūros aprašymu, išryškinsime CIPF struktūrinius elementus ir surašysime juos į lentelę.
Lentelė – CIPF modelio elementų atitikimas informacinės sistemos elementams
Elemento pavadinimas
1 organizacija
2 organizacija
Taikomoji programinė įranga
CryptoARM programinė įranga
CryptoARM programinė įranga
Programinė įranga yra kriptovaliutų branduolio dalis
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
Kripto pagrindinė aparatinė įranga
ne
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
Viešųjų raktų parduotuvė
Vartotojo darbo vieta:
- HDD;
- standartinė Windows sertifikatų saugykla.
Hipervizorius:
- HDD.
Virtuali mašina:
- HDD;
- standartinė Windows sertifikatų saugykla.
Privati raktų saugykla
ruToken raktų nešiklis, veikiantis atkuriamo rakto režimu
JaCarta GOST raktų laikiklis, veikiantis nenuimamo rakto režimu
Viešojo rakto mainų kanalas
Vartotojo darbo vieta:
- RAM.
Hipervizorius:
- RAM.
Virtuali mašina:
- RAM.
Privatus raktų mainų kanalas
Vartotojo darbo vieta:
- USB magistralė;
- RAM.
ne
Keiskitės kanalu tarp kriptovaliutų branduolių
trūksta (nėra kriptovaliutų pagrindinės aparatinės įrangos)
Vartotojo darbo vieta:
- USB magistralė;
- RAM;
— USB-over-IP programinės įrangos modulis;
- tinklo sąsaja.
Organizacijos korporatyvinis tinklas 2.
Hipervizorius:
- RAM;
- tinklo sąsaja.
Virtuali mašina:
- tinklo sąsaja;
- RAM;
— USB per IP programinės įrangos modulis.
Atidarykite duomenų kanalą
Vartotojo darbo vieta:
— įvesties-išvesties priemones;
- RAM;
- HDD.
Vartotojo darbo vieta:
— įvesties-išvesties priemones;
- RAM;
- HDD;
- tinklo sąsaja.
Organizacijos korporatyvinis tinklas 2.
Hipervizorius:
- tinklo sąsaja;
- RAM;
- HDD.
Virtuali mašina:
- tinklo sąsaja;
- RAM;
- HDD.
Saugus duomenų mainų kanalas
Internetas.
Organizacijos korporatyvinis tinklas 1.
Vartotojo darbo vieta:
- HDD;
- RAM;
- tinklo sąsaja.
Internetas.
Organizacijos korporatyvinis tinklas 2.
Hipervizorius:
- tinklo sąsaja;
- RAM;
- HDD.
Virtuali mašina:
- tinklo sąsaja;
- RAM;
- HDD.
Laiko kanalas
Vartotojo darbo vieta:
— įvesties-išvesties priemones;
- RAM;
- sistemos laikmatis.
Internetas.
2 organizacijos tinklas,
Hipervizorius:
- tinklo sąsaja;
- RAM;
- sistemos laikmatis.
Virtuali mašina:
- RAM;
- sistemos laikmatis.
Valdymo komandų perdavimo kanalas
Vartotojo darbo vieta:
— įvesties-išvesties priemones;
- RAM.
(„CryptoARM“ programinės įrangos grafinė vartotojo sąsaja)
Virtuali mašina:
- RAM;
- HDD.
(Automatizavimo scenarijai)
Darbo rezultatų gavimo kanalas
Vartotojo darbo vieta:
— įvesties-išvesties priemones;
- RAM.
(„CryptoARM“ programinės įrangos grafinė vartotojo sąsaja)
Virtuali mašina:
- RAM;
- HDD.
(Automatizavimo scenarijų žurnalo failai)
Aukščiausio lygio saugumo grėsmės
Paaiškinimai
Prielaidos, padarytos skaidant grėsmes:
- Naudojami stiprūs kriptografiniai algoritmai.
- Kriptografiniai algoritmai yra saugiai naudojami tinkamais veikimo režimais (pvz. nenaudojamas dideliems duomenų kiekiams šifruoti, atsižvelgiama į leistiną rakto apkrovą ir pan.).
- Užpuolikai žino visus naudojamus algoritmus, protokolus ir viešuosius raktus.
- Užpuolikai gali perskaityti visus užšifruotus duomenis.
- Užpuolikai gali atkurti bet kokius sistemos programinės įrangos elementus.
Skilimas
U1. Privačių kriptografinių raktų pažeidimas.
U2. Suklastotų duomenų šifravimas teisėto siuntėjo vardu.
U3. Užšifruotų duomenų iššifravimas, kurį atlieka asmenys, kurie nėra teisėti duomenų gavėjai (užpuolikai).
U4. Teisėto pasirašiusio asmens elektroninio parašo sukūrimas melagingais duomenimis.
U5. Teigiamo rezultato gavimas patikrinus suklastotų duomenų elektroninį parašą.
TU 6. Klaidingas elektroninių dokumentų priėmimas vykdyti dėl problemų organizuojant elektroninių dokumentų valdymą.
U7. Neteisėta prieiga prie saugomų duomenų juos tvarkant CIPF.
U1. Privačių kriptografinių raktų pažeidimas
U1.1. Privataus rakto gavimas iš privačių raktų saugyklos.
U1.2. Privataus rakto gavimas iš objektų, esančių kriptografinio įrankio veikimo aplinkoje, kurioje jis gali laikinai būti.
Paaiškinimai U1.2.
Objektai, kurie gali laikinai saugoti privatųjį raktą, yra šie:
- RAM,
- laikini failai,
- apsikeisti failais,
- užmigdymo failai,
- „karštos“ virtualių mašinų būsenos momentiniai failai, įskaitant pristabdytų virtualių mašinų RAM turinio failus.
U1.2.1. Privačių raktų ištraukimas iš darbinės RAM užšaldant RAM modulius, juos pašalinant ir nuskaitant duomenis (užšaldymo ataka).
Paaiškinimai U1.2.1.
Pavyzdys .
U1.3. Privataus rakto gavimas iš privačiojo rakto mainų kanalo.
Paaiškinimai U1.3.
Bus pateiktas šios grėsmės įgyvendinimo pavyzdys .
U1.4. Neteisėtas kriptovaliutų šerdies modifikavimas, dėl kurio privatūs raktai tampa žinomi užpuolikams.
U1.5. Privataus rakto pažeidimas dėl techninių informacijos nutekėjimo kanalų (TCIL) naudojimo.
Paaiškinimai U1.5.
Pavyzdys .
U1.6. Privataus rakto pažeidimas naudojant specialias technines priemones (STS), skirtas slaptai gauti informaciją („klaidas“).
U1.7. Privačių raktų pažeidimas juos saugojant už CIPF ribų.
Paaiškinimai U1.7.
Pavyzdžiui, vartotojas saugo pagrindines laikmenas darbalaukio stalčiuje, iš kurios užpuolikai gali lengvai jas paimti.
U2. Suklastotų duomenų šifravimas teisėto siuntėjo vardu
Paaiškinimai
Į šią grėsmę atsižvelgiama tik duomenų šifravimo schemose su siuntėjo autentifikavimu. Tokių schemų pavyzdžiai nurodyti standartizacijos rekomendacijose . Kitose kriptografinėse schemose ši grėsmė neegzistuoja, nes šifruojami gavėjo viešieji raktai ir jie paprastai yra žinomi užpuolikams.
Skilimas
U2.1. Pažeidus siuntėjo privatųjį raktą:
U2.1.1. Nuoroda: .
U2.2. Įvesties duomenų pakeitimas atvirame duomenų mainų kanale.
Pastabos U2.2.
Toliau pateikiami šios grėsmės įgyvendinimo pavyzdžiai. и .
U3. Užšifruotų duomenų iššifravimas, kurį atlieka asmenys, kurie nėra teisėti duomenų gavėjai (užpuolikai)
Skilimas
U3.1. Užšifruotų duomenų gavėjo privačių raktų pažeidimas.
U3.1.1 nuoroda: .
U3.2. Užšifruotų duomenų pakeitimas saugiame duomenų mainų kanale.
U4. Teisėto pasirašiusio asmens elektroninio parašo sukūrimas melagingais duomenimis
Skilimas
U4.1. Teisėto pasirašiusio asmens elektroninio parašo privačių raktų pažeidimas.
U4.1.1 nuoroda: .
U4.2. Pasirašytų duomenų pakeitimas atvirame duomenų mainų kanale.
Pastaba U4.2.
Toliau pateikiami šios grėsmės įgyvendinimo pavyzdžiai. и .
U5. Teigiamo rezultato gavimas patikrinus suklastotų duomenų elektroninį parašą
Skilimas
U5.1. Užpuolikai perima pranešimą darbo rezultatų perdavimo kanale apie neigiamą elektroninio parašo patikrinimo rezultatą ir pakeičia jį pranešimu su teigiamu rezultatu.
U5.2. Užpuolikai atakuoja pasitikėjimą pasirašant sertifikatus (SCRIPT – būtini visi elementai):
U5.2.1. Užpuolikai sukuria viešąjį ir privatų elektroninio parašo raktą. Jei sistema naudoja elektroninio parašo rakto sertifikatus, tada jie generuoja elektroninio parašo sertifikatą, kuris yra kuo panašesnis į numatomo duomenų siuntėjo, kurio pranešimą norima suklastoti, sertifikatą.
U5.2.2. Užpuolikai neteisėtai keičia viešųjų raktų saugyklą, suteikdami viešajam raktui reikiamą pasitikėjimo ir įgaliojimų lygį.
U5.2.3. Užpuolikai klaidingus duomenis pasirašo anksčiau sugeneruotu elektroninio parašo raktu ir įterpia jį į saugų duomenų mainų kanalą.
U5.3. Užpuolikai įvykdo ataką naudodami legalaus pasirašiusio asmens elektroninio parašo raktus, kurių galiojimo laikas pasibaigęs (SCRIPT – būtini visi elementai):
U5.3.1. Užpuolikai pažeidžia pasibaigusio galiojimo (šiuo metu negaliojančius) teisėto siuntėjo elektroninio parašo privačius raktus.
U5.3.2. Užpuolikai pakeičia laiką laiko perdavimo kanale tuo laiku, kai pažeisti raktai vis dar galiojo.
U5.3.3. Užpuolikai pasirašo klaidingus duomenis su anksčiau pažeistu elektroninio parašo raktu ir įveda juos į saugų duomenų mainų kanalą.
U5.4. Užpuolikai įvykdo ataką naudodami pažeistus teisėto pasirašiusio asmens elektroninio parašo raktus (SCRIPT – būtini visi elementai):
U5.4.1. Užpuolikas padaro viešųjų raktų saugyklos kopiją.
U5.4.2. Užpuolikai pažeidžia vieno iš teisėtų siuntėjų privačius raktus. Jis pastebi kompromisą, atšaukia raktus, o informacija apie rakto atšaukimą patalpinama į viešųjų raktų saugyklą.
U5.4.3. Užpuolikai pakeičia viešųjų raktų saugyklą anksčiau nukopijuota.
U5.4.4. Užpuolikai pasirašo klaidingus duomenis su anksčiau pažeistu elektroninio parašo raktu ir įveda juos į saugų duomenų mainų kanalą.
U5.5. <...> dėl klaidų vykdant 2 ir 3 elektroninio parašo tikrinimo etapus:
Paaiškinimai U5.5.
Pateikiamas šios grėsmės įgyvendinimo pavyzdys .
U5.5.1. Tikrinama pasitikėjimo elektroninio parašo rakto sertifikatu tik tuo, ar yra pasitikėjimas sertifikatu, su kuriuo jis pasirašytas, be CRL arba OCSP patikrų.
Paaiškinimai U5.5.1.
Įgyvendinimo pavyzdys .
U5.5.2. Kuriant sertifikato patikimumo grandinę, sertifikatus išduodančios institucijos nėra analizuojamos
Paaiškinimai U5.5.2.
Atakos prieš SSL/TLS sertifikatus pavyzdys.
Užpuolikai nusipirko teisėtą sertifikatą savo el. Tada jie sudarė apgaulingą svetainės sertifikatą ir pasirašė jį savo sertifikatu. Jei kredencialai nepatikrinti, tikrinant pasitikėjimo grandinę ji pasirodys teisinga, todėl apgaulingas sertifikatas taip pat bus teisingas.
U5.5.3. Kuriant sertifikatų patikimumo grandinę, tarpiniai sertifikatai nėra tikrinami, ar jie atšaukti.
U5.5.4. CRL atnaujinami rečiau, nei juos išduoda sertifikavimo institucija.
U5.5.5. Sprendimas pasitikėti elektroniniu parašu priimamas prieš gaunant OCSP atsakymą apie sertifikato būseną, siunčiamą pagal užklausą, pateiktą vėliau nei parašo sugeneravimas arba anksčiau nei kitą CRL po parašo sukūrimo.
Paaiškinimai U5.5.5.
Daugumos CA nuostatuose sertifikato atšaukimo laiku laikomas artimiausio CRL, kuriame yra informacija apie sertifikato atšaukimą, išdavimo laikas.
U5.5.6. Gavus pasirašytus duomenis, sertifikatas priklauso siuntėjui netikrinamas.
Paaiškinimai U5.5.6.
Išpuolio pavyzdys. Kalbant apie SSL sertifikatus: serverio, iš kurio skambinama, adreso atitiktis sertifikato CN lauko reikšmei gali būti netikrinama.
Išpuolio pavyzdys. Užpuolikai sukompromitavo vieno iš mokėjimo sistemos dalyvių elektroninio parašo raktus. Po to jie įsilaužė į kito dalyvio tinklą ir jo vardu į mokėjimo sistemos atsiskaitymo serverį išsiuntė sukompromituotais raktais pasirašytus mokėjimo dokumentus. Jei serveris tik analizuoja pasitikėjimą ir netikrina, ar laikomasi reikalavimų, apgaulingi dokumentai bus laikomi teisėtais.
TU 6. Klaidingas elektroninių dokumentų priėmimas vykdyti dėl problemų organizuojant elektroninių dokumentų valdymą.
Skilimas
U6.1. Priimančioji šalis neaptinka gautų dokumentų pasikartojimo.
Paaiškinimai U6.1.
Išpuolio pavyzdys. Užpuolikai gali perimti gavėjui siunčiamą dokumentą, net jei jis yra kriptografiškai apsaugotas, ir pakartotinai siųsti jį saugiu duomenų perdavimo kanalu. Jei gavėjas nenustato dublikatų, visi gauti dokumentai bus suvokiami ir tvarkomi kaip skirtingi dokumentai.
U7. Neteisėta prieiga prie saugomų duomenų juos tvarkant CIPF
Skilimas
U7.1. <…> dėl informacijos nutekėjimo šoniniais kanalais (šoninio kanalo ataka).
Paaiškinimai U7.1.
Pavyzdys .
U7.2. <...> dėl apsaugos nuo neteisėtos prieigos prie CIPF tvarkomos informacijos neutralizavimo:
U7.2.1. CIPF veikimas pažeidžiant CIPF dokumentuose aprašytus reikalavimus.
U7.2.2. <…>, atlikta dėl pažeidžiamumų:
U7.2.2.1. <…> apsaugos nuo neteisėtos prieigos priemonės.
U7.2.2.2. <...> Pats CIPF.
U7.2.2.3. <…> kriptovaliutų įrankio veikimo aplinka.
Išpuolių pavyzdžiai
Toliau aptartuose scenarijuose akivaizdžiai yra informacijos saugumo klaidų ir jie naudojami tik iliustruojant galimas atakas.
1 scenarijus. Grėsmių U2.2 ir U4.2 įgyvendinimo pavyzdys.
Objekto aprašymas
AWS KBR programinė įranga ir CIPF SCAD parašas yra įdiegti fiziniame kompiuteryje, kuris nėra prijungtas prie kompiuterių tinklo. FKN vdToken naudojamas kaip rakto laikiklis dirbant su nenuimamu raktu.
Atsiskaitymų taisyklėse daroma prielaida, kad atsiskaitymų specialistas iš savo darbo kompiuterio parsisiunčia elektroninius pranešimus aiškiu tekstu (senosios KBR darbo stoties schema) iš specialaus saugaus failų serverio, tada įrašo į perkeliamą USB atmintinę ir perkelia į KBR darbo vietą, kur jie yra užšifruoti ir pasirašo. Po to specialistas saugias elektronines žinutes perduoda į svetimą laikmeną, o vėliau per savo darbo kompiuterį įrašo į failų serverį, iš kurio patenka į UTA, o vėliau į Rusijos banko mokėjimo sistemą.
Tokiu atveju atvirų ir saugomų duomenų mainų kanalai bus: failų serveris, specialisto darbo kompiuteris ir svetimos laikmenos.
Ataka
Neleistini užpuolikai specialisto darbo kompiuteryje įdiegia nuotolinio valdymo sistemą ir, rašydami mokėjimo nurodymus (elektroninius pranešimus) į perkeliamąją laikmeną, pakeičia vieno iš jų turinį aiškiu tekstu. Specialistas perveda mokėjimo pavedimus į KBR automatizuotą darbo vietą, pasirašo ir užšifruoja nepastebėdamas pakeitimo (pvz., dėl didelio mokėjimo nurodymų skrydžio metu, nuovargio ir pan.). Po to netikras mokėjimo nurodymas, perėjęs technologinę grandinę, patenka į Rusijos banko mokėjimo sistemą.
2 scenarijus. Grėsmių U2.2 ir U4.2 įgyvendinimo pavyzdys.
Objekto aprašymas
Kompiuteris su įdiegta darbo vieta KBR, SCAD Signature ir prijungtu raktų laikikliu FKN vdToken veikia tam skirtoje patalpoje be personalo prieigos.
Skaičiavimo specialistas prie CBD darbo vietos jungiasi nuotolinės prieigos režimu per KPP protokolą.
Ataka
Užpuolikai perima detales, kurias naudodamas skaičiavimo specialistas prisijungia ir dirba su CBD darbo stotimi (pavyzdžiui, per kenkėjišką kodą savo kompiuteryje). Tada jie prisijungia jo vardu ir išsiunčia netikrą mokėjimo nurodymą į Rusijos banko mokėjimo sistemą.
3 scenarijus. Grėsmės įgyvendinimo pavyzdys U1.3.
Objekto aprašymas
Panagrinėkime vieną iš hipotetinių variantų, kaip įdiegti ABS-KBR integravimo modulius naujai schemai (AWS KBR-N), kurioje siunčiamų dokumentų elektroninis parašas atsiranda ABS pusėje. Tokiu atveju darysime prielaidą, kad ABS veikia operacinės sistemos pagrindu, kurios nepalaiko CIPF SKAD parašas, ir atitinkamai kriptografinės funkcijos perkeliamos į atskirą virtualią mašiną - „ABS-KBR“ integraciją. modulis.
Kaip rakto laikiklis naudojamas įprastas USB prieigos raktas, veikiantis atkuriamo rakto režimu. Prijungiant raktinę laikmeną prie hipervizoriaus, paaiškėjo, kad sistemoje nėra laisvų USB prievadų, todėl buvo nuspręsta USB prieigos raktą prijungti per tinklo USB šakotuvą, o virtualioje vietoje įdiegti USB-over-IP klientą. mašina, kuri susisiektų su centru.
Ataka
Užpuolikai perėmė privatų elektroninio parašo raktą iš ryšio kanalo tarp USB šakotuvo ir hipervizoriaus (duomenys buvo perduoti aiškiu tekstu). Turėdami privatų raktą, užpuolikai sugeneravo netikrą mokėjimo nurodymą, pasirašė jį elektroniniu parašu ir nusiuntė vykdyti į KBR-N automatizuotą darbo vietą.
4 scenarijus. Grėsmių įgyvendinimo pavyzdys U5.5.
Objekto aprašymas
Panagrinėkime tą pačią grandinę kaip ir ankstesniame scenarijuje. Laikysime, kad elektroniniai pranešimai, gaunami iš KBR-N darbo stoties, patenka į …SHAREIn aplanką, o išsiųsti į KBR-N darbo vietą ir toliau į Rusijos banko mokėjimo sistemą – į …SHAREout.
Taip pat darysime prielaidą, kad diegiant integravimo modulį atšauktų sertifikatų sąrašai atnaujinami tik pakartotinai išduodant kriptografinius raktus, o taip pat, kad elektroniniai pranešimai, gauti į …SHAREIn aplanką, tikrinami tik dėl vientisumo ir pasitikėjimo kontrolės viešajame rakte. Elektroninis parašas.
Ataka
Užpuolikai, naudodamiesi ankstesniame scenarijuje pavogtais raktais, pasirašė netikrą mokėjimo nurodymą, kuriame buvo informacija apie pinigų gavimą į apgaulingo kliento sąskaitą ir įvedė juos į saugų duomenų mainų kanalą. Kadangi nėra patikrinimo, ar mokėjimo nurodymą pasirašė Rusijos bankas, jis priimamas vykdyti.
Šaltinis: www.habr.com