Pautan ke bahagian lain kajian
- (Anda berada di sini)
Artikel ini melengkapkan siri penerbitan yang dikhaskan untuk memastikan keselamatan maklumat pembayaran bukan tunai bank. Di sini kita akan melihat model ancaman biasa yang dirujuk dalam :
- .
- .
- .
- .
HABRO-AMARAN!!! Khabrovites yang dihormati, ini bukan siaran yang menghiburkan.
40+ halaman bahan yang tersembunyi di bawah potongan bertujuan untuk membantu dengan kerja atau belajar orang yang pakar dalam perbankan atau keselamatan maklumat. Bahan-bahan ini adalah hasil akhir penyelidikan dan ditulis dalam nada yang kering dan formal. Pada dasarnya, ini adalah kosong untuk dokumen keselamatan maklumat dalaman.Nah, tradisional - "Penggunaan maklumat daripada artikel untuk tujuan yang menyalahi undang-undang boleh dihukum oleh undang-undang". Bacaan yang produktif!
Maklumat untuk pembaca yang membiasakan diri dengan kajian bermula dengan penerbitan ini.
Apakah kajian itu?
Anda sedang membaca panduan untuk pakar yang bertanggungjawab untuk memastikan keselamatan maklumat pembayaran di bank.
Logik Persembahan
Pada permulaan dalam и penerangan tentang objek yang dilindungi diberikan. Kemudian masuk menerangkan cara membina sistem keselamatan dan membincangkan keperluan untuk mencipta model ancaman. DALAM bercakap tentang model ancaman yang wujud dan bagaimana ia terbentuk. DALAM и Analisis serangan sebenar disediakan. и mengandungi penerangan tentang model ancaman, dibina dengan mengambil kira maklumat daripada semua bahagian sebelumnya.
MODEL ANCAMAN TYPICAL. SAMBUNGAN RANGKAIAN
Objek perlindungan yang model ancaman (skop) digunakan
Objek perlindungan ialah data yang dihantar melalui sambungan rangkaian yang beroperasi dalam rangkaian data yang dibina berdasarkan timbunan TCP/IP.
seni bina
Penerangan elemen seni bina:
- "Nod Akhir" — nod bertukar maklumat yang dilindungi.
- "Nod perantaraan" — elemen rangkaian penghantaran data: penghala, suis, pelayan akses, pelayan proksi dan peralatan lain — melalui mana trafik sambungan rangkaian dihantar. Secara umum, sambungan rangkaian boleh berfungsi tanpa nod perantaraan (terus antara nod akhir).
Ancaman keselamatan peringkat atasan
Penguraian
U1. Akses tanpa kebenaran kepada data yang dihantar.
U2. Pengubahsuaian tanpa kebenaran data yang dihantar.
U3. Pelanggaran kepengarangan data yang dihantar.
U1. Akses tanpa kebenaran kepada data yang dihantar
Penguraian
U1.1. <…>, dijalankan pada nod akhir atau pertengahan:
U1.1.1. <…> dengan membaca data semasa berada dalam peranti storan hos:
U1.1.1.1. <…> dalam RAM.
Penjelasan untuk U1.1.1.1.
Contohnya, semasa pemprosesan data oleh susunan rangkaian hos.
U1.1.1.2. <…> dalam ingatan tidak meruap.
Penjelasan untuk U1.1.1.2.
Contohnya, apabila menyimpan data yang dihantar dalam cache, fail sementara atau menukar fail.
U1.2. <…>, dijalankan pada nod pihak ketiga rangkaian data:
U1.2.1. <…> dengan kaedah menangkap semua paket yang tiba di antara muka rangkaian hos:
Penjelasan untuk U1.2.1.
Tangkapan semua paket dijalankan dengan menukar kad rangkaian kepada mod promiscuous (mod promiscuous untuk penyesuai berwayar atau mod monitor untuk penyesuai wi-fi).
U1.2.2. <…> dengan melakukan serangan man-in-the-middle (MiTM), tetapi tanpa mengubah suai data yang dihantar (tidak mengira data perkhidmatan protokol rangkaian).
U1.2.2.1. Pautan: .
U1.3. <…>, dilakukan kerana kebocoran maklumat melalui saluran teknikal (TKUI) daripada nod fizikal atau talian komunikasi.
U1.4. <…>, dijalankan dengan memasang cara teknikal khas (STS) pada hujung atau nod perantaraan, bertujuan untuk pengumpulan maklumat rahsia.
U2. Pengubahsuaian tanpa kebenaran data yang dihantar
Penguraian
U2.1. <…>, dijalankan pada nod akhir atau pertengahan:
U2.1.1. <…> dengan membaca dan membuat perubahan pada data semasa berada dalam peranti storan nod:
U2.1.1.1. <…> dalam RAM:
U2.1.1.2. <…> dalam ingatan tidak meruap:
U2.2. <…>, dijalankan pada nod pihak ketiga rangkaian penghantaran data:
U2.2.1. <…> dengan melakukan serangan man-in-the-middle (MiTM) dan mengalihkan trafik ke nod penyerang:
U2.2.1.1. Sambungan fizikal peralatan penyerang menyebabkan sambungan rangkaian terputus.
U2.2.1.2. Menjalankan serangan ke atas protokol rangkaian:
U2.2.1.2.1. <…> pengurusan rangkaian tempatan maya (VLAN):
U2.2.1.2.1.1. .
U2.2.1.2.1.2. Pengubahsuaian tetapan VLAN pada suis atau penghala tanpa kebenaran.
U2.2.1.2.2. <…> penghalaan lalu lintas:
U2.2.1.2.2.1. Pengubahsuaian tanpa kebenaran jadual penghalaan statik penghala.
U2.2.1.2.2.2. Pengumuman laluan palsu oleh penyerang melalui protokol penghalaan dinamik.
U2.2.1.2.3. <…> konfigurasi automatik:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <…> pengalamatan dan resolusi nama:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. Membuat perubahan tanpa kebenaran pada fail nama hos tempatan (hos, lmhosts, dll.)
U3. Pelanggaran hak cipta data yang dihantar
Penguraian
U3.1. Peneutralan mekanisme untuk menentukan pengarang maklumat dengan menunjukkan maklumat palsu tentang pengarang atau sumber data:
U3.1.1. Mengubah maklumat tentang pengarang yang terkandung dalam maklumat yang dihantar.
U3.1.1.1. Peneutralan perlindungan kriptografi ke atas integriti dan kepengarangan data yang dihantar:
U3.1.1.1.1. Pautan: .
U3.1.1.2. Peneutralan perlindungan hak cipta data yang dihantar, dilaksanakan menggunakan kod pengesahan sekali:
U3.1.1.2.1. .
U3.1.2. Menukar maklumat tentang sumber maklumat yang dihantar:
U3.1.2.1. .
U3.1.2.2. .
MODEL ANCAMAN TYPICAL. SISTEM MAKLUMAT DIBINA ATAS ASAS SENIBINA PELAYANAN KLIEN
Objek perlindungan yang model ancaman (skop) digunakan
Objek perlindungan ialah sistem maklumat yang dibina berdasarkan seni bina pelayan-pelanggan.
seni bina
Penerangan elemen seni bina:
- "Pelanggan" – peranti di mana bahagian pelanggan sistem maklumat beroperasi.
- "Pelayan" – peranti di mana bahagian pelayan sistem maklumat beroperasi.
- "Simpanan data" — sebahagian daripada infrastruktur pelayan sistem maklumat, direka untuk menyimpan data yang diproses oleh sistem maklumat.
- "Sambungan rangkaian" — saluran pertukaran maklumat antara Pelanggan dan Pelayan yang melalui rangkaian data. Penerangan yang lebih terperinci tentang model elemen diberikan dalam .
Sekatan
Apabila memodelkan objek, sekatan berikut ditetapkan:
- Pengguna berinteraksi dengan sistem maklumat dalam tempoh masa yang terhad, dipanggil sesi kerja.
- Pada permulaan setiap sesi kerja, pengguna dikenal pasti, disahkan dan diberi kuasa.
- Semua maklumat yang dilindungi disimpan pada bahagian pelayan sistem maklumat.
Ancaman keselamatan peringkat atasan
Penguraian
U1. Melakukan tindakan yang tidak dibenarkan oleh penyerang bagi pihak pengguna yang sah.
U2. Pengubahsuaian tanpa kebenaran maklumat yang dilindungi semasa pemprosesannya oleh bahagian pelayan sistem maklumat.
U1. Melakukan tindakan yang tidak dibenarkan oleh penyerang bagi pihak pengguna yang sah
Penjelasan
Biasanya dalam sistem maklumat, tindakan dikaitkan dengan pengguna yang melaksanakannya menggunakan:
- log operasi sistem (log).
- atribut khas objek data yang mengandungi maklumat tentang pengguna yang mencipta atau mengubah suainya.
Berhubung dengan sesi kerja, ancaman ini boleh diuraikan kepada:
- <…> dilakukan dalam sesi pengguna.
- <…> dilaksanakan di luar sesi pengguna.
Sesi pengguna boleh dimulakan:
- Oleh pengguna itu sendiri.
- Malefactors.
Pada peringkat ini, penguraian pertengahan ancaman ini akan kelihatan seperti ini:
U1.1. Tindakan yang tidak dibenarkan telah dilakukan dalam sesi pengguna:
U1.1.1. <…> dipasang oleh pengguna yang diserang.
U1.1.2. <…> dipasang oleh penyerang.
U1.2. Tindakan yang tidak dibenarkan telah dilakukan di luar sesi pengguna.
Dari sudut pandangan objek infrastruktur maklumat yang boleh dipengaruhi oleh penyerang, penguraian ancaman perantaraan akan kelihatan seperti ini:
Item
Penguraian ancaman
U1.1.1.
U1.1.2.
U1.2.
Pelanggan
U1.1.1.1.
U1.1.2.1.
Sambungan rangkaian
U1.1.1.2.
pelayan
U1.2.1.
Penguraian
U1.1. Tindakan yang tidak dibenarkan telah dilakukan dalam sesi pengguna:
U1.1.1. <…> dipasang oleh pengguna yang diserang:
U1.1.1.1. Penyerang bertindak secara bebas daripada Klien:
U1.1.1.1.1 Penyerang menggunakan alat capaian sistem maklumat standard:
У1.1.1.1.1.1. Penyerang menggunakan cara input/output fizikal Pelanggan (papan kekunci, tetikus, monitor atau skrin sentuh peranti mudah alih):
U1.1.1.1.1.1.1. Penyerang beroperasi dalam tempoh masa semasa sesi aktif, kemudahan I/O tersedia dan pengguna tidak hadir.
У1.1.1.1.1.2. Penyerang menggunakan alat pentadbiran jauh (standard atau disediakan oleh kod hasad) untuk mengawal Klien:
U1.1.1.1.1.2.1. Penyerang beroperasi dalam tempoh masa semasa sesi aktif, kemudahan I/O tersedia dan pengguna tidak hadir.
U1.1.1.1.1.2.2. Penyerang menggunakan alat pentadbiran jauh, yang operasinya tidak dapat dilihat oleh pengguna yang diserang.
U1.1.1.2. Penyerang menggantikan data dalam sambungan rangkaian antara Pelanggan dan Pelayan, mengubah suainya sedemikian rupa sehingga ia dianggap sebagai tindakan pengguna yang sah:
U1.1.1.2.1. Pautan: .
U1.1.1.3. Penyerang memaksa pengguna untuk melakukan tindakan yang mereka tentukan menggunakan kaedah kejuruteraan sosial.
У1.1.2 <…> dipasang oleh penyerang:
U1.1.2.1. Penyerang bertindak daripada Klien (И):
U1.1.2.1.1. Penyerang meneutralkan sistem kawalan akses sistem maklumat:
U1.1.2.1.1.1. Pautan: .
У1.1.2.1.2. Penyerang menggunakan alat akses sistem maklumat standard
U1.1.2.2. Penyerang beroperasi dari nod lain rangkaian data, dari mana sambungan rangkaian ke Pelayan boleh diwujudkan (И):
U1.1.2.2.1. Penyerang meneutralkan sistem kawalan akses sistem maklumat:
U1.1.2.2.1.1. Pautan: .
U1.1.2.2.2. Penyerang menggunakan cara bukan standard untuk mengakses sistem maklumat.
Penjelasan U1.1.2.2.2.
Penyerang boleh memasang pelanggan standard sistem maklumat pada nod pihak ketiga atau boleh menggunakan perisian bukan standard yang melaksanakan protokol pertukaran standard antara Pelanggan dan Pelayan.
U1.2 Tindakan yang tidak dibenarkan telah dilakukan di luar sesi pengguna.
U1.2.1 Penyerang melakukan tindakan yang tidak dibenarkan dan kemudian membuat perubahan tanpa kebenaran pada log operasi sistem maklumat atau atribut khas objek data, menunjukkan bahawa tindakan yang mereka lakukan telah dilakukan oleh pengguna yang sah.
U2. Pengubahsuaian tanpa kebenaran maklumat yang dilindungi semasa pemprosesannya oleh bahagian pelayan sistem maklumat
Penguraian
U2.1. Penyerang mengubah suai maklumat yang dilindungi menggunakan alat sistem maklumat standard dan melakukan ini bagi pihak pengguna yang sah.
U2.1.1. Pautan: .
U2.2. Penyerang mengubah suai maklumat yang dilindungi dengan menggunakan mekanisme capaian data yang tidak disediakan oleh operasi biasa sistem maklumat.
U2.2.1. Penyerang mengubah suai fail yang mengandungi maklumat yang dilindungi:
U2.2.1.1. <…>, menggunakan mekanisme pengendalian fail yang disediakan oleh sistem pengendalian.
U2.2.1.2. <…> dengan mencetuskan pemulihan fail daripada salinan sandaran yang diubah suai tanpa kebenaran.
U2.2.2. Penyerang mengubah suai maklumat yang dilindungi yang disimpan dalam pangkalan data (И):
U2.2.2.1. Penyerang meneutralkan sistem kawalan capaian DBMS:
U2.2.2.1.1. Pautan: .
U2.2.2.2. Penyerang mengubah suai maklumat menggunakan antara muka DBMS standard untuk mengakses data.
U2.3. Penyerang mengubah suai maklumat yang dilindungi dengan pengubahsuaian tanpa kebenaran algoritma operasi perisian yang memprosesnya.
U2.3.1. Kod sumber perisian tertakluk kepada pengubahsuaian.
U2.3.1. Kod mesin perisian tertakluk kepada pengubahsuaian.
U2.4. Penyerang mengubah suai maklumat yang dilindungi dengan mengeksploitasi kelemahan dalam perisian sistem maklumat.
U2.5. Penyerang mengubah suai maklumat yang dilindungi apabila ia dipindahkan antara komponen bahagian pelayan sistem maklumat (contohnya, pelayan pangkalan data dan pelayan aplikasi):
U2.5.1. Pautan: .
MODEL ANCAMAN TYPICAL. SISTEM KAWALAN AKSES
Objek perlindungan yang model ancaman (skop) digunakan
Objek perlindungan yang digunakan model ancaman ini sepadan dengan objek perlindungan model ancaman: “Model ancaman biasa. Sistem maklumat yang dibina pada seni bina pelayan-pelanggan.”
Dalam model ancaman ini, sistem kawalan capaian pengguna bermaksud komponen sistem maklumat yang melaksanakan fungsi berikut:
- Pengenalan pengguna.
- Pengesahan pengguna.
- Keizinan pengguna.
- Mengelog tindakan pengguna.
Ancaman keselamatan peringkat atasan
Penguraian
U1. Penubuhan sesi tanpa kebenaran bagi pihak pengguna yang sah.
U2. Peningkatan tanpa kebenaran dalam keistimewaan pengguna dalam sistem maklumat.
U1. Penubuhan sesi tanpa kebenaran bagi pihak pengguna yang sah
Penjelasan
Penguraian ancaman ini secara amnya bergantung pada jenis sistem pengenalan dan pengesahan pengguna yang digunakan.
Dalam model ini, hanya sistem pengenalan dan pengesahan pengguna menggunakan log masuk teks dan kata laluan akan dipertimbangkan. Dalam kes ini, kami akan menganggap bahawa log masuk pengguna ialah maklumat yang tersedia secara umum yang diketahui oleh penyerang.
Penguraian
U1.1. <…> disebabkan oleh kompromi kelayakan:
U1.1.1. Penyerang telah menjejaskan kelayakan pengguna semasa menyimpannya.
Penjelasan U1.1.1.
Contohnya, bukti kelayakan boleh ditulis pada nota melekit yang dilekatkan pada monitor.
U1.1.2. Pengguna secara tidak sengaja atau berniat jahat menyampaikan butiran akses kepada penyerang.
U1.1.2.1. Pengguna menyebut bukti kelayakan itu dengan kuat semasa mereka masuk.
U1.1.2.2. Pengguna sengaja berkongsi bukti kelayakannya:
U1.1.2.2.1. <…> kepada rakan sekerja.
Penjelasan U1.1.2.2.1.
Sebagai contoh, supaya mereka boleh menggantikannya semasa sakit.
U1.1.2.2.2. <…> kepada kontraktor majikan yang melaksanakan kerja pada objek infrastruktur maklumat.
U1.1.2.2.3. <…> kepada pihak ketiga.
Penjelasan U1.1.2.2.3.
Satu, tetapi bukan satu-satunya pilihan untuk melaksanakan ancaman ini ialah penggunaan kaedah kejuruteraan sosial oleh penyerang.
U1.1.3. Penyerang memilih bukti kelayakan menggunakan kaedah kekerasan:
U1.1.3.1. <…> menggunakan mekanisme capaian standard.
U1.1.3.2. <…> menggunakan kod yang dipintas sebelum ini (contohnya, cincang kata laluan) untuk menyimpan bukti kelayakan.
U1.1.4. Penyerang menggunakan kod hasad untuk memintas bukti kelayakan pengguna.
U1.1.5. Penyerang mengekstrak bukti kelayakan daripada sambungan rangkaian antara Pelanggan dan Pelayan:
U1.1.5.1. Pautan: .
U1.1.6. Penyerang mengekstrak bukti kelayakan daripada rekod sistem pemantauan kerja:
U1.1.6.1. <…> sistem pengawasan video (jika ketukan kekunci pada papan kekunci dirakam semasa operasi).
U1.1.6.2. <…> sistem untuk memantau tindakan pekerja di komputer
Penjelasan U1.1.6.2.
Contoh sistem sedemikian ialah .
U1.1.7. Penyerang menjejaskan kelayakan pengguna kerana kecacatan dalam proses penghantaran.
Penjelasan U1.1.7.
Contohnya, menghantar kata laluan dalam teks yang jelas melalui e-mel.
U1.1.8. Penyerang memperoleh kelayakan dengan memantau sesi pengguna menggunakan sistem pentadbiran jauh.
U1.1.9. Penyerang memperoleh kelayakan hasil daripada kebocoran mereka melalui saluran teknikal (TCUI):
U1.1.9.1. Penyerang memerhatikan cara pengguna memasukkan bukti kelayakan dari papan kekunci:
U1.1.9.1.1 Penyerang terletak berdekatan dengan pengguna dan melihat kemasukan kelayakan dengan mata kepala mereka sendiri.
Penjelasan U1.1.9.1.1
Kes sedemikian termasuk tindakan rakan sekerja atau kes apabila papan kekunci pengguna kelihatan kepada pelawat organisasi.
U1.1.9.1.2 Penyerang menggunakan cara teknikal tambahan, seperti teropong atau kenderaan udara tanpa pemandu, dan melihat kemasukan bukti kelayakan melalui tingkap.
U1.1.9.2. Penyerang mengekstrak bukti kelayakan daripada komunikasi radio antara papan kekunci dan unit sistem komputer apabila ia disambungkan melalui antara muka radio (contohnya, Bluetooth).
U1.1.9.3. Penyerang memintas bukti kelayakan dengan membocorkannya melalui saluran sinaran dan gangguan elektromagnet palsu (PEMIN).
Penjelasan U1.1.9.3.
Contoh serangan и .
U1.1.9.4. Penyerang memintas kemasukan bukti kelayakan dari papan kekunci melalui penggunaan cara teknikal khas (STS) yang direka untuk mendapatkan maklumat secara rahsia.
Penjelasan U1.1.9.4.
contoh .
U1.1.9.5. Penyerang memintas input bukti kelayakan dari papan kekunci menggunakan
analisis isyarat Wi-Fi yang dimodulasi oleh proses ketukan kekunci pengguna.
Penjelasan U1.1.9.5.
Contoh .
U1.1.9.6. Penyerang memintas input bukti kelayakan dari papan kekunci dengan menganalisis bunyi ketukan kekunci.
Penjelasan U1.1.9.6.
Contoh .
U1.1.9.7. Penyerang memintas kemasukan bukti kelayakan daripada papan kekunci peranti mudah alih dengan menganalisis bacaan pecutan.
Penjelasan U1.1.9.7.
Contoh .
U1.1.10. <…>, sebelum ini disimpan pada Klien.
Penjelasan U1.1.10.
Sebagai contoh, pengguna boleh menyimpan log masuk dan kata laluan dalam penyemak imbas untuk mengakses tapak tertentu.
U1.1.11. Penyerang menjejaskan bukti kelayakan kerana kecacatan dalam proses untuk membatalkan akses pengguna.
Penjelasan U1.1.11.
Contohnya, selepas pengguna dipecat, akaunnya kekal dinyahsekat.
U1.2. <…> dengan mengeksploitasi kelemahan dalam sistem kawalan capaian.
U2. Peningkatan tanpa kebenaran keistimewaan pengguna dalam sistem maklumat
Penguraian
U2.1 <…> dengan membuat perubahan tanpa kebenaran pada data yang mengandungi maklumat tentang keistimewaan pengguna.
U2.2 <…> melalui penggunaan kelemahan dalam sistem kawalan capaian.
U2.3. <…> disebabkan oleh kekurangan dalam proses pengurusan akses pengguna.
Penjelasan U2.3.
Contoh 1. Pengguna diberi lebih banyak akses untuk bekerja daripada yang diperlukannya atas sebab perniagaan.
Contoh 2: Selepas pengguna dipindahkan ke kedudukan lain, hak akses yang diberikan sebelum ini tidak dibatalkan.
MODEL ANCAMAN TYPICAL. MODUL INTEGRASI
Objek perlindungan yang model ancaman (skop) digunakan
Modul integrasi ialah satu set objek infrastruktur maklumat yang direka untuk mengatur pertukaran maklumat antara sistem maklumat.
Memandangkan hakikat bahawa dalam rangkaian korporat tidak selalu mungkin untuk memisahkan satu sistem maklumat dengan yang lain dengan jelas, modul integrasi juga boleh dianggap sebagai pautan penghubung antara komponen dalam satu sistem maklumat.
seni bina
Gambar rajah umum modul integrasi kelihatan seperti ini:
Penerangan elemen seni bina:
- "Pelayan Pertukaran (SO)" – nod / perkhidmatan / komponen sistem maklumat yang menjalankan fungsi bertukar data dengan sistem maklumat lain.
- "Pengantara" – nod/perkhidmatan yang direka untuk mengatur interaksi antara sistem maklumat, tetapi bukan sebahagian daripadanya.
Contoh "Perantara" mungkin terdapat perkhidmatan e-mel, bas perkhidmatan perusahaan (bas perkhidmatan perusahaan / seni bina SoA), pelayan fail pihak ketiga, dsb. Secara umum, modul penyepaduan mungkin tidak mengandungi "Perantara". - "Perisian pemprosesan data" – satu set program yang melaksanakan protokol pertukaran data dan penukaran format.
Contohnya, menukar data daripada format UFEBS kepada format ABS, menukar status mesej semasa penghantaran, dsb. - "Sambungan rangkaian" sepadan dengan objek yang diterangkan dalam model ancaman "Sambungan rangkaian" standard. Beberapa sambungan rangkaian yang ditunjukkan dalam rajah di atas mungkin tidak wujud.
Contoh modul integrasi
Skim 1. Integrasi ABS dan AWS KBR melalui pelayan fail pihak ketiga
Untuk melaksanakan pembayaran, pekerja bank yang diberi kuasa memuat turun dokumen pembayaran elektronik daripada sistem perbankan teras dan menyimpannya ke dalam fail (dalam formatnya sendiri, contohnya dump SQL) pada folder rangkaian (...SHARE) pada pelayan fail. Kemudian fail ini ditukar menggunakan skrip penukar ke dalam set fail dalam format UFEBS, yang kemudiannya dibaca oleh stesen kerja CBD.
Selepas ini, pekerja yang diberi kuasa - pengguna KBR tempat kerja automatik - menyulitkan dan menandatangani fail yang diterima dan menghantarnya ke sistem pembayaran Bank of Russia.
Apabila pembayaran diterima daripada Bank of Russia, tempat kerja automatik KBR menyahsulitnya dan menyemak tandatangan elektronik, selepas itu ia merekodkannya dalam bentuk satu set fail dalam format UFEBS pada pelayan fail. Sebelum mengimport dokumen pembayaran ke dalam ABS, ia ditukar menggunakan skrip penukar daripada format UFEBS kepada format ABS.
Kami akan menganggap bahawa dalam skema ini, ABS beroperasi pada satu pelayan fizikal, stesen kerja KBR beroperasi pada komputer khusus, dan skrip penukar berjalan pada pelayan fail.
Surat-menyurat objek gambar rajah yang dipertimbangkan dengan unsur-unsur model modul penyepaduan:
"Tukar pelayan dari sisi ABS" – pelayan ABS.
"Pelayan pertukaran dari pihak AWS KBR" – stesen kerja komputer KBR.
"Pengantara" – pelayan fail pihak ketiga.
"Perisian pemprosesan data" – skrip penukar.
Skim 2. Penyepaduan ABS dan AWS KBR apabila meletakkan folder rangkaian kongsi dengan pembayaran pada AWS KBR
Semuanya serupa dengan Skim 1, tetapi pelayan fail yang berasingan tidak digunakan; sebaliknya, folder rangkaian (...SHARE) dengan dokumen pembayaran elektronik diletakkan pada komputer dengan stesen kerja CBD. Skrip penukar juga berfungsi pada stesen kerja CBD.
Surat-menyurat objek gambar rajah yang dipertimbangkan dengan unsur-unsur model modul penyepaduan:
Sama seperti Skim 1, tetapi "Pengantara" tidak digunakan.
Skim 3. Integrasi ABS dan KBR-N tempat kerja automatik melalui IBM WebSphera MQ dan menandatangani dokumen elektronik "di sisi ABS"
ABS beroperasi pada platform yang tidak disokong oleh Tandatangan CIPF SCAD. Menandatangani dokumen elektronik keluar dijalankan pada pelayan tandatangan elektronik khas (ES Server). Pelayan yang sama menyemak tandatangan elektronik pada dokumen yang masuk dari Bank of Russia.
ABS memuat naik fail dengan dokumen pembayaran dalam formatnya sendiri ke Pelayan ES.
Pelayan ES, menggunakan skrip penukar, menukar fail kepada mesej elektronik dalam format UFEBS, selepas itu mesej elektronik ditandatangani dan dihantar ke IBM WebSphere MQ.
Stesen kerja KBR-N mengakses IBM WebSphere MQ dan menerima mesej pembayaran yang ditandatangani dari sana, selepas itu pekerja yang diberi kuasa - pengguna stesen kerja KBR - menyulitkannya dan menghantarnya ke sistem pembayaran Bank of Russia.
Apabila pembayaran diterima daripada Bank of Russia, KBR-N tempat kerja automatik menyahsulitnya dan mengesahkan tandatangan elektronik. Pembayaran yang berjaya diproses dalam bentuk mesej elektronik yang dinyahsulit dan ditandatangani dalam format UFEBS dipindahkan ke IBM WebSphere MQ, dari mana ia diterima oleh Pelayan Tandatangan Elektronik.
Pelayan tandatangan elektronik mengesahkan tandatangan elektronik pembayaran yang diterima dan menyimpannya dalam fail dalam format ABS. Selepas ini, pekerja yang diberi kuasa - pengguna ABS - memuat naik fail yang terhasil ke ABS mengikut cara yang ditetapkan.
Surat-menyurat objek gambar rajah yang dipertimbangkan dengan unsur-unsur model modul penyepaduan:
"Tukar pelayan dari sisi ABS" – pelayan ABS.
"Pelayan pertukaran dari pihak AWS KBR" — stesen kerja komputer KBR.
"Pengantara" – Pelayan ES dan IBM WebSphere MQ.
"Perisian pemprosesan data" – penukar skrip, Tandatangan CIPF SCAD pada Pelayan ES.
Skim 4. Integrasi Pelayan RBS dan sistem perbankan teras melalui API yang disediakan oleh pelayan pertukaran khusus
Kami akan menganggap bahawa bank menggunakan beberapa sistem perbankan jauh (RBS):
- "Internet Client-Bank" untuk individu (IKB FL);
- "Internet Client-Bank" untuk entiti sah (IKB LE).
Untuk memastikan keselamatan maklumat, semua interaksi antara ABS dan sistem perbankan jauh dijalankan melalui pelayan pertukaran khusus yang beroperasi dalam rangka kerja sistem maklumat ABS.
Seterusnya, kami akan mempertimbangkan proses interaksi antara sistem RBS IKB LE dan ABS.
Pelayan RBS, setelah menerima pesanan pembayaran yang disahkan sewajarnya daripada pelanggan, mesti mencipta dokumen yang sepadan dalam ABS berdasarkannya. Untuk melakukan ini, menggunakan API, ia menghantar maklumat ke pelayan pertukaran, yang seterusnya, memasukkan data ke dalam ABS.
Apabila baki akaun pelanggan berubah, ABS menjana pemberitahuan elektronik, yang dihantar ke pelayan perbankan jauh menggunakan pelayan pertukaran.
Surat-menyurat objek gambar rajah yang dipertimbangkan dengan unsur-unsur model modul penyepaduan:
"Pelayan pertukaran dari pihak RBS" – Pelayan RBS IKB YUL.
"Tukar pelayan dari sisi ABS" – pelayan pertukaran.
"Pengantara" - tidak hadir.
"Perisian pemprosesan data" – Komponen Pelayan RBS yang bertanggungjawab untuk menggunakan API pelayan pertukaran, komponen pelayan pertukaran yang bertanggungjawab untuk menggunakan API perbankan teras.
Ancaman keselamatan peringkat atasan
Penguraian
U1. Suntikan maklumat palsu oleh penyerang melalui modul integrasi.
U1. Suntikan maklumat palsu oleh penyerang melalui modul integrasi
Penguraian
U1.1. Pengubahsuaian tanpa kebenaran data yang sah apabila dihantar melalui sambungan rangkaian:
U1.1.1 Pautan: .
U1.2. Penghantaran data palsu melalui saluran komunikasi bagi pihak peserta pertukaran yang sah:
U1.1.2 Pautan: .
U1.3. Pengubahsuaian tanpa kebenaran data yang sah semasa pemprosesannya pada Pelayan Pertukaran atau Perantara:
U1.3.1. Pautan: .
U1.4. Penciptaan data palsu pada Pelayan Pertukaran atau Perantara bagi pihak peserta pertukaran yang sah:
U1.4.1. Pautan:
U1.5. Pengubahsuaian data tanpa kebenaran apabila diproses menggunakan perisian pemprosesan data:
U1.5.1. <…> disebabkan penyerang membuat perubahan tanpa kebenaran pada tetapan (konfigurasi) perisian pemprosesan data.
U1.5.2. <…> disebabkan penyerang membuat perubahan tanpa kebenaran pada fail boleh laku perisian pemprosesan data.
U1.5.3. <…> disebabkan oleh kawalan interaktif perisian pemprosesan data oleh penyerang.
MODEL ANCAMAN TYPICAL. SISTEM PERLINDUNGAN MAKLUMAT KRIPTOGRAFI
Objek perlindungan yang model ancaman (skop) digunakan
Objek perlindungan ialah sistem perlindungan maklumat kriptografi yang digunakan untuk memastikan keselamatan sistem maklumat.
seni bina
Asas mana-mana sistem maklumat adalah perisian aplikasi yang melaksanakan fungsi sasarannya.
Perlindungan kriptografi biasanya dilaksanakan dengan memanggil primitif kriptografi daripada logik perniagaan perisian aplikasi, yang terletak di perpustakaan khusus - teras kripto.
Primitif kriptografi termasuk fungsi kriptografi peringkat rendah, seperti:
- menyulitkan/menyahsulit blok data;
- mencipta/mengesahkan tandatangan elektronik bagi blok data;
- hitung fungsi cincang bagi blok data;
- menjana / memuatkan / memuat naik maklumat utama;
- dan lain-lain
Logik perniagaan perisian aplikasi melaksanakan fungsi peringkat lebih tinggi menggunakan primitif kriptografi:
- menyulitkan fail menggunakan kekunci penerima yang dipilih;
- mewujudkan sambungan rangkaian selamat;
- memaklumkan tentang hasil pemeriksaan tandatangan elektronik;
- dan sebagainya.
Interaksi logik perniagaan dan teras crypto boleh dijalankan:
- secara langsung, dengan logik perniagaan memanggil primitif kriptografi daripada perpustakaan dinamik kernel kripto (.DLL untuk Windows, .SO untuk Linux);
- secara langsung, melalui antara muka kriptografi - pembalut, contohnya, MS Crypto API, Java Cryptography Architecture, PKCS#11, dsb. Dalam kes ini, logik perniagaan mengakses antara muka kripto, dan ia menterjemahkan panggilan ke teras crypto yang sepadan, yang dalam kes ini dipanggil penyedia kripto. Penggunaan antara muka kriptografi membolehkan perisian aplikasi mengasingkan diri daripada algoritma kriptografi tertentu dan menjadi lebih fleksibel.
Terdapat dua skim tipikal untuk mengatur teras kripto:
Skim 1 – Teras crypto monolitik
Skim 2 – Pisahkan teras crypto
Unsur-unsur dalam rajah di atas boleh sama ada modul perisian individu yang dijalankan pada satu komputer atau perkhidmatan rangkaian yang berinteraksi dalam rangkaian komputer.
Apabila menggunakan sistem yang dibina mengikut Skim 1, perisian aplikasi dan teras kripto beroperasi dalam persekitaran operasi tunggal untuk alat kripto (SFC), contohnya, pada komputer yang sama, menjalankan sistem pengendalian yang sama. Pengguna sistem, sebagai peraturan, boleh menjalankan program lain, termasuk yang mengandungi kod hasad, dalam persekitaran operasi yang sama. Di bawah keadaan sedemikian, terdapat risiko serius kebocoran kunci kriptografi peribadi.
Untuk meminimumkan risiko, skema 2 digunakan, di mana teras crypto dibahagikan kepada dua bahagian:
- Bahagian pertama, bersama-sama dengan perisian aplikasi, beroperasi dalam persekitaran yang tidak dipercayai di mana terdapat risiko jangkitan dengan kod berniat jahat. Kami akan memanggil bahagian ini sebagai "bahagian perisian".
- Bahagian kedua berfungsi dalam persekitaran yang dipercayai pada peranti khusus, yang mengandungi storan kunci peribadi. Mulai sekarang kami akan memanggil bahagian ini "perkakasan".
Pembahagian teras kripto kepada bahagian perisian dan perkakasan adalah sangat sewenang-wenangnya. Terdapat sistem di pasaran yang dibina mengikut skema dengan teras crypto dibahagikan, tetapi bahagian "perkakasan" yang dibentangkan dalam bentuk imej mesin maya - HSM maya ().
Interaksi kedua-dua bahagian teras kripto berlaku sedemikian rupa sehingga kunci kriptografi peribadi tidak pernah dipindahkan ke bahagian perisian dan, dengan itu, tidak boleh dicuri menggunakan kod berniat jahat.
Antara muka interaksi (API) dan set primitif kriptografi yang disediakan kepada perisian aplikasi oleh teras kripto adalah sama dalam kedua-dua kes. Perbezaannya terletak pada cara pelaksanaannya.
Oleh itu, apabila menggunakan skema dengan teras crypto yang dibahagikan, interaksi perisian dan perkakasan dijalankan mengikut prinsip berikut:
- Primitif kriptografi yang tidak memerlukan penggunaan kunci persendirian (contohnya, mengira fungsi cincang, mengesahkan tandatangan elektronik, dsb.) dilakukan oleh perisian.
- Primitif kriptografi yang menggunakan kunci persendirian (membuat tandatangan elektronik, menyahsulit data, dsb.) dilakukan oleh perkakasan.
Mari kita gambarkan kerja teras kripto yang dibahagikan menggunakan contoh mencipta tandatangan elektronik:
- Bahagian perisian mengira fungsi cincang data yang ditandatangani dan menghantar nilai ini kepada perkakasan melalui saluran pertukaran antara teras crypto.
- Bahagian perkakasan, menggunakan kunci persendirian dan cincang, menjana nilai tandatangan elektronik dan menghantarnya ke bahagian perisian melalui saluran pertukaran.
- Bahagian perisian mengembalikan nilai yang diterima kepada perisian aplikasi.
Ciri-ciri menyemak ketepatan tandatangan elektronik
Apabila pihak yang menerima menerima data yang ditandatangani secara elektronik, ia mesti menjalankan beberapa langkah pengesahan. Keputusan positif menyemak tandatangan elektronik dicapai hanya jika semua peringkat pengesahan berjaya diselesaikan.
Peringkat 1. Kawalan integriti data dan kepengarangan data.
Kandungan pentas. Tandatangan elektronik data disahkan menggunakan algoritma kriptografi yang sesuai. Penyiapan peringkat ini dengan jayanya menunjukkan bahawa data tidak diubah suai sejak saat ia ditandatangani, dan juga tandatangan dibuat dengan kunci persendirian yang sepadan dengan kunci awam untuk mengesahkan tandatangan elektronik.
Lokasi pentas: teras kripto.
Peringkat 2. Kawalan kepercayaan terhadap kunci awam penandatangan dan kawalan tempoh sah kunci persendirian tandatangan elektronik.
Kandungan pentas. Peringkat ini terdiri daripada dua subperingkat pertengahan. Yang pertama adalah untuk menentukan sama ada kunci awam untuk mengesahkan tandatangan elektronik telah dipercayai pada masa menandatangani data. Yang kedua menentukan sama ada kunci persendirian tandatangan elektronik itu sah pada masa menandatangani data. Secara umum, tempoh sah kunci ini mungkin tidak bertepatan (contohnya, untuk sijil kelayakan kunci pengesahan tandatangan elektronik). Kaedah untuk mewujudkan kepercayaan terhadap kunci awam penandatangan ditentukan oleh peraturan pengurusan dokumen elektronik yang diterima pakai oleh pihak yang berinteraksi.
Lokasi pentas: perisian aplikasi / teras kripto.
Peringkat 3. Kawalan kuasa penandatangan.
Kandungan pentas. Selaras dengan peraturan pengurusan dokumen elektronik yang ditetapkan, ia diperiksa sama ada penandatangan mempunyai hak untuk mengesahkan data yang dilindungi. Sebagai contoh, mari kita berikan situasi pelanggaran kuasa. Katakan ada organisasi di mana semua pekerja mempunyai tandatangan elektronik. Sistem pengurusan dokumen elektronik dalaman menerima pesanan daripada pengurus, tetapi ditandatangani dengan tandatangan elektronik pengurus gudang. Sehubungan itu, dokumen sedemikian tidak boleh dianggap sah.
Lokasi pentas: perisian aplikasi.
Andaian yang dibuat apabila menerangkan objek perlindungan
- Saluran penghantaran maklumat, kecuali saluran pertukaran utama, juga melalui perisian aplikasi, API dan teras kripto.
- Maklumat tentang kepercayaan terhadap kunci awam dan (atau) sijil, serta maklumat tentang kuasa pemilik kunci awam, diletakkan dalam stor kunci awam.
- Perisian aplikasi berfungsi dengan stor kunci awam melalui kernel crypto.
Contoh sistem maklumat yang dilindungi menggunakan CIPF
Untuk menggambarkan rajah yang dibentangkan sebelum ini, mari kita pertimbangkan sistem maklumat hipotesis dan serlahkan semua elemen struktur di atasnya.
Penerangan tentang sistem maklumat
Kedua-dua organisasi memutuskan untuk memperkenalkan pengurusan dokumen elektronik (EDF) yang penting di sisi undang-undang antara mereka. Untuk melakukan ini, mereka menandatangani perjanjian di mana mereka menetapkan bahawa dokumen akan dihantar melalui e-mel, dan pada masa yang sama mereka mesti disulitkan dan ditandatangani dengan tandatangan elektronik yang layak. Program pejabat daripada pakej Microsoft Office 2016 harus digunakan sebagai alat untuk mencipta dan memproses dokumen, dan CIPF CryptoPRO dan perisian penyulitan CryptoARM harus digunakan sebagai cara perlindungan kriptografi.
Penerangan tentang infrastruktur organisasi 1
Organisasi 1 memutuskan bahawa ia akan memasang perisian CIPF CryptoPRO dan CryptoARM pada stesen kerja pengguna - komputer fizikal. Penyulitan dan kunci tandatangan elektronik akan disimpan pada media kekunci ruToken, beroperasi dalam mod kunci boleh diperoleh semula. Pengguna akan menyediakan dokumen elektronik secara tempatan pada komputernya, kemudian menyulitkan, menandatangani dan menghantarnya menggunakan klien e-mel yang dipasang secara tempatan.
Penerangan tentang infrastruktur organisasi 2
Organisasi 2 memutuskan untuk memindahkan penyulitan dan fungsi tandatangan elektronik ke mesin maya khusus. Dalam kes ini, semua operasi kriptografi akan dilakukan secara automatik.
Untuk melakukan ini, dua folder rangkaian disusun pada mesin maya khusus: “...In”, “...Out”. Fail yang diterima daripada rakan niaga dalam bentuk terbuka akan diletakkan secara automatik dalam folder rangkaian “…In”. Fail ini akan dinyahsulit dan tandatangan elektronik akan disahkan.
Pengguna akan meletakkan fail dalam folder "...Keluar" yang perlu disulitkan, ditandatangani dan dihantar kepada rakan niaga. Pengguna akan menyediakan sendiri fail di stesen kerjanya.
Untuk melaksanakan fungsi penyulitan dan tandatangan elektronik, CIPF CryptoPRO, perisian CryptoARM dan klien e-mel dipasang pada mesin maya. Pengurusan automatik semua elemen mesin maya akan dijalankan menggunakan skrip yang dibangunkan oleh pentadbir sistem. Kerja skrip dilog masuk fail log.
Kunci kriptografi untuk tandatangan elektronik akan diletakkan pada token dengan kunci JaCarta GOST yang tidak boleh diperolehi, yang pengguna akan sambungkan ke komputer setempatnya.
Token akan dimajukan ke mesin maya menggunakan perisian USB-over-IP khusus yang dipasang pada stesen kerja pengguna dan pada mesin maya.
Jam sistem pada stesen kerja pengguna dalam organisasi 1 akan dilaraskan secara manual. Jam sistem mesin maya khusus dalam Organisasi 2 akan disegerakkan dengan jam sistem hipervisor, yang seterusnya akan disegerakkan melalui Internet dengan pelayan waktu awam.
Pengenalpastian elemen struktur CIPF
Berdasarkan penerangan infrastruktur IT di atas, kami akan menyerlahkan elemen struktur CIPF dan menulisnya dalam jadual.
Jadual - Surat-menyurat elemen model CIPF kepada elemen sistem maklumat
Nama Item
Organisasi 1
Organisasi 2
Perisian aplikasi
perisian CryptoARM
perisian CryptoARM
Bahagian perisian teras kripto
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
Perkakasan teras kripto
tidak
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
Kedai Kunci Awam
Stesen kerja pengguna:
- HDD;
- kedai sijil Windows standard.
Hipervisor:
- HDD.
Mesin maya:
- HDD;
- kedai sijil Windows standard.
Storan kunci peribadi
pembawa kunci ruToken beroperasi dalam mod kunci boleh diperoleh semula
Pembawa kunci JaCarta GOST beroperasi dalam mod kunci tidak boleh tanggal
Saluran pertukaran kunci awam
Stesen kerja pengguna:
- RAM.
Hipervisor:
- RAM.
Mesin maya:
- RAM.
Saluran pertukaran kunci peribadi
Stesen kerja pengguna:
- bas USB;
- RAM.
tidak
Pertukaran saluran antara teras crypto
tiada (tiada perkakasan teras kripto)
Stesen kerja pengguna:
- bas USB;
- RAM;
— Modul perisian USB-over-IP;
- antara muka rangkaian.
Rangkaian korporat organisasi 2.
Hipervisor:
- RAM;
- antara muka rangkaian.
Mesin maya:
- antara muka rangkaian;
- RAM;
— Modul perisian USB-over-IP.
Buka Saluran Data
Stesen kerja pengguna:
— input-output bermakna;
- RAM;
- HDD.
Stesen kerja pengguna:
— input-output bermakna;
- RAM;
- HDD;
- antara muka rangkaian.
Rangkaian korporat organisasi 2.
Hipervisor:
- antara muka rangkaian;
- RAM;
- HDD.
Mesin maya:
- antara muka rangkaian;
- RAM;
- HDD.
Saluran pertukaran data yang selamat
Internet.
Rangkaian korporat organisasi 1.
Stesen kerja pengguna:
- HDD;
- RAM;
- antara muka rangkaian.
Internet.
Rangkaian korporat organisasi 2.
Hipervisor:
- antara muka rangkaian;
- RAM;
- HDD.
Mesin maya:
- antara muka rangkaian;
- RAM;
- HDD.
Saluran masa
Stesen kerja pengguna:
— input-output bermakna;
- RAM;
- pemasa sistem.
Internet.
Rangkaian organisasi korporat 2,
Hipervisor:
- antara muka rangkaian;
- RAM;
- pemasa sistem.
Mesin maya:
- RAM;
- pemasa sistem.
Kawalan saluran penghantaran arahan
Stesen kerja pengguna:
— input-output bermakna;
- RAM.
(Antara muka pengguna grafik perisian CryptoARM)
Mesin maya:
- RAM;
- HDD.
(Skrip automasi)
Saluran untuk menerima hasil kerja
Stesen kerja pengguna:
— input-output bermakna;
- RAM.
(Antara muka pengguna grafik perisian CryptoARM)
Mesin maya:
- RAM;
- HDD.
(Fail log skrip automasi)
Ancaman keselamatan peringkat atasan
Penjelasan
Andaian yang dibuat semasa menguraikan ancaman:
- Algoritma kriptografi yang kuat digunakan.
- Algoritma kriptografi digunakan dengan selamat dalam mod operasi yang betul (cth. tidak digunakan untuk menyulitkan jumlah data yang besar, beban yang dibenarkan pada kunci diambil kira, dsb.).
- Penyerang mengetahui semua algoritma, protokol dan kunci awam yang digunakan.
- Penyerang boleh membaca semua data yang disulitkan.
- Penyerang boleh mengeluarkan semula mana-mana elemen perisian dalam sistem.
Penguraian
U1. Kompromi kunci kriptografi peribadi.
U2. Menyulitkan data palsu bagi pihak pengirim yang sah.
U3. Penyahsulitan data yang disulitkan oleh orang yang bukan penerima data yang sah (penyerang).
U4. Penciptaan tandatangan elektronik penandatangan yang sah di bawah data palsu.
U5. Mendapatkan hasil positif daripada menyemak tandatangan elektronik data palsu.
U6. Kesilapan penerimaan dokumen elektronik untuk pelaksanaan disebabkan masalah dalam mengatur aliran dokumen elektronik.
U7. Akses tanpa kebenaran kepada data yang dilindungi semasa pemprosesannya oleh CIPF.
U1. Kompromi kunci kriptografi peribadi
U1.1. Mendapatkan semula kunci persendirian daripada stor kunci persendirian.
U1.2. Mendapatkan kunci persendirian daripada objek dalam persekitaran operasi alat kripto, di mana ia mungkin berada buat sementara waktu.
Penjelasan U1.2.
Objek yang boleh menyimpan kunci peribadi buat sementara waktu termasuk:
- RAM,
- fail-fail sementara,
- tukar fail,
- fail hibernasi,
- fail syot kilat keadaan "panas" mesin maya, termasuk fail kandungan RAM mesin maya yang dijeda.
U1.2.1. Mengekstrak kunci peribadi daripada RAM yang berfungsi dengan membekukan modul RAM, mengalih keluarnya dan kemudian membaca data (serangan beku).
Penjelasan U1.2.1.
Contoh .
U1.3. Mendapatkan kunci peribadi daripada saluran pertukaran kunci peribadi.
Penjelasan U1.3.
Contoh pelaksanaan ancaman ini akan diberikan .
U1.4. Pengubahsuaian tanpa kebenaran teras kripto, akibatnya kunci persendirian diketahui oleh penyerang.
U1.5. Kompromi kunci persendirian akibat penggunaan saluran kebocoran maklumat teknikal (TCIL).
Penjelasan U1.5.
Contoh .
U1.6. Kompromi kunci persendirian akibat penggunaan cara teknikal khas (STS) yang direka untuk mendapatkan semula maklumat secara rahsia ("pepijat").
U1.7. Kompromi kunci persendirian semasa penyimpanannya di luar CIPF.
Penjelasan U1.7.
Sebagai contoh, pengguna menyimpan media utamanya dalam laci desktop, yang mana ia boleh diambil dengan mudah oleh penyerang.
U2. Menyulitkan data palsu bagi pihak pengirim yang sah
Penjelasan
Ancaman ini hanya dipertimbangkan untuk skim penyulitan data dengan pengesahan penghantar. Contoh-contoh skim tersebut ditunjukkan dalam cadangan penyeragaman . Untuk skim kriptografi lain, ancaman ini tidak wujud, kerana penyulitan dilakukan pada kunci awam penerima, dan ia secara amnya diketahui oleh penyerang.
Penguraian
U2.1. Mengkompromi kunci peribadi pengirim:
U2.1.1. Pautan: .
U2.2. Penggantian data input dalam saluran pertukaran data terbuka.
Nota U2.2.
Contoh pelaksanaan ancaman ini diberikan di bawah. и .
U3. Penyahsulitan data yang disulitkan oleh orang yang bukan penerima data yang sah (penyerang)
Penguraian
U3.1. Kompromi kunci peribadi penerima data yang disulitkan.
U3.1.1 Pautan: .
U3.2. Penggantian data yang disulitkan dalam saluran pertukaran data yang selamat.
U4. Mencipta tandatangan elektronik penandatangan yang sah di bawah data palsu
Penguraian
U4.1. Kompromi kunci peribadi tandatangan elektronik penandatangan yang sah.
U4.1.1 Pautan: .
U4.2. Penggantian data yang ditandatangani dalam saluran pertukaran data terbuka.
Nota U4.2.
Contoh pelaksanaan ancaman ini diberikan di bawah. и .
U5. Mendapatkan hasil positif daripada menyemak tandatangan elektronik data palsu
Penguraian
U5.1. Penyerang memintas mesej dalam saluran untuk menghantar hasil kerja tentang hasil negatif daripada menyemak tandatangan elektronik dan menggantikannya dengan mesej dengan hasil yang positif.
U5.2. Penyerang menyerang amanah dalam menandatangani sijil (SKRIP - semua elemen diperlukan):
U5.2.1. Penyerang menjana kunci awam dan peribadi untuk tandatangan elektronik. Jika sistem menggunakan sijil kunci tandatangan elektronik, maka mereka menjana sijil tandatangan elektronik yang sama mungkin dengan sijil penghantar data yang dimaksudkan yang mesejnya ingin dipalsukan.
U5.2.2. Penyerang membuat perubahan tanpa kebenaran pada stor kunci awam, memberikan kunci awam mereka menjana tahap kepercayaan dan kuasa yang diperlukan.
U5.2.3. Penyerang menandatangani data palsu dengan kunci tandatangan elektronik yang dijana sebelum ini dan memasukkannya ke dalam saluran pertukaran data yang selamat.
U5.3. Penyerang melakukan serangan menggunakan kunci tandatangan elektronik yang telah tamat tempoh tandatangan yang sah (SKRIP - semua elemen diperlukan):
U5.3.1. Penyerang berkompromi dengan tamat tempoh (tidak sah pada masa ini) kunci persendirian tandatangan elektronik pengirim yang sah.
U5.3.2. Penyerang menggantikan masa dalam saluran penghantaran masa dengan masa di mana kunci yang terjejas masih sah.
U5.3.3. Penyerang menandatangani data palsu dengan kunci tandatangan elektronik yang telah terjejas sebelum ini dan menyuntiknya ke dalam saluran pertukaran data yang selamat.
U5.4. Penyerang melakukan serangan menggunakan kunci tandatangan elektronik yang terjejas oleh penandatangan yang sah (SKRIP - semua elemen diperlukan):
U5.4.1. Penyerang membuat salinan stor kunci awam.
U5.4.2. Penyerang menjejaskan kunci peribadi salah satu penghantar yang sah. Dia menyedari kompromi itu, membatalkan kunci dan maklumat tentang pembatalan kunci diletakkan di stor kunci awam.
U5.4.3. Penyerang menggantikan stor kunci awam dengan yang telah disalin sebelum ini.
U5.4.4. Penyerang menandatangani data palsu dengan kunci tandatangan elektronik yang telah terjejas sebelum ini dan menyuntiknya ke dalam saluran pertukaran data yang selamat.
U5.5. <…> disebabkan adanya ralat dalam pelaksanaan pengesahan tandatangan elektronik peringkat ke-2 dan ke-3:
Penjelasan U5.5.
Contoh pelaksanaan ancaman ini diberikan .
U5.5.1. Menyemak amanah dalam sijil kunci tandatangan elektronik hanya dengan kehadiran amanah dalam sijil yang dengannya ia ditandatangani, tanpa semakan CRL atau OCSP.
Penjelasan U5.5.1.
Contoh pelaksanaan .
U5.5.2. Apabila membina rantaian amanah untuk sijil, pihak berkuasa yang mengeluarkan sijil tidak dianalisis
Penjelasan U5.5.2.
Contoh serangan terhadap sijil SSL/TLS.
Penyerang membeli sijil yang sah untuk e-mel mereka. Mereka kemudian membuat sijil tapak palsu dan menandatanganinya dengan sijil mereka. Sekiranya kelayakan tidak diperiksa, maka apabila menyemak rantaian amanah ia akan menjadi betul, dan, dengan itu, sijil penipuan juga akan betul.
U5.5.3. Apabila membina rantaian amanah sijil, sijil perantaraan tidak disemak untuk pembatalan.
U5.5.4. CRL dikemas kini kurang kerap daripada yang dikeluarkan oleh pihak berkuasa pensijilan.
U5.5.5. Keputusan untuk mempercayai tandatangan elektronik dibuat sebelum respons OCSP tentang status sijil diterima, dihantar atas permintaan yang dibuat lewat daripada masa tandatangan dijana atau lebih awal daripada CRL seterusnya selepas tandatangan dijana.
Penjelasan U5.5.5.
Dalam peraturan kebanyakan CA, masa pembatalan sijil dianggap sebagai masa pengeluaran CRL terdekat yang mengandungi maklumat tentang pembatalan sijil.
U5.5.6. Apabila menerima data yang ditandatangani, sijil kepunyaan pengirim tidak disemak.
Penjelasan U5.5.6.
Contoh serangan. Berhubung dengan sijil SSL: surat-menyurat alamat pelayan yang dipanggil dengan nilai medan CN dalam sijil mungkin tidak disemak.
Contoh serangan. Penyerang menjejaskan kunci tandatangan elektronik salah seorang peserta sistem pembayaran. Selepas itu, mereka menggodam rangkaian peserta lain dan, bagi pihaknya, menghantar dokumen pembayaran yang ditandatangani dengan kunci yang dikompromi ke pelayan penyelesaian sistem pembayaran. Jika pelayan hanya menganalisis kepercayaan dan tidak menyemak pematuhan, maka dokumen penipuan akan dianggap sah.
U6. Kesilapan penerimaan dokumen elektronik untuk pelaksanaan disebabkan masalah dalam mengatur aliran dokumen elektronik.
Penguraian
U6.1. Pihak yang menerima tidak mengesan pertindihan dokumen yang diterima.
Penjelasan U6.1.
Contoh serangan. Penyerang boleh memintas dokumen yang dihantar kepada penerima, walaupun ia dilindungi secara kriptografi, dan kemudian menghantarnya berulang kali melalui saluran penghantaran data yang selamat. Jika penerima tidak mengenal pasti pendua, maka semua dokumen yang diterima akan dilihat dan diproses sebagai dokumen yang berbeza.
U7. Akses tanpa kebenaran kepada data yang dilindungi semasa pemprosesannya oleh CIPF
Penguraian
U7.1. <…> disebabkan kebocoran maklumat melalui saluran sisi (serangan saluran sisi).
Penjelasan U7.1.
Contoh .
U7.2. <…> disebabkan peneutralan perlindungan terhadap akses tanpa kebenaran kepada maklumat yang diproses di CIPF:
U7.2.1. Pengendalian CIPF yang melanggar keperluan yang diterangkan dalam dokumentasi untuk CIPF.
U7.2.2. <…>, dijalankan kerana terdapat kelemahan dalam:
U7.2.2.1. <…> cara perlindungan terhadap akses yang tidak dibenarkan.
U7.2.2.2. <…> CIPF sendiri.
U7.2.2.3. <…> persekitaran operasi alat kripto.
Contoh serangan
Senario yang dibincangkan di bawah jelas mengandungi ralat keselamatan maklumat dan hanya berfungsi untuk menggambarkan kemungkinan serangan.
Senario 1. Contoh pelaksanaan ancaman U2.2 dan U4.2.
Penerangan tentang objek
Perisian AWS KBR dan CIPF SCAD Signature dipasang pada komputer fizikal yang tidak disambungkan ke rangkaian komputer. FKN vdToken digunakan sebagai pembawa kunci dalam mod bekerja dengan kunci tidak boleh tanggal.
Peraturan penyelesaian mengandaikan bahawa pakar penyelesaian dari komputer kerjanya memuat turun mesej elektronik dalam teks yang jelas (skim stesen kerja KBR lama) daripada pelayan fail selamat khas, kemudian menulisnya ke pemacu kilat USB yang boleh dipindahkan dan memindahkannya ke stesen kerja KBR, di mana ia disulitkan dan tanda. Selepas ini, pakar memindahkan mesej elektronik selamat ke medium terasing, dan kemudian, melalui komputer kerjanya, menulisnya ke pelayan fail, dari mana mereka pergi ke UTA dan kemudian ke sistem pembayaran Bank of Russia.
Dalam kes ini, saluran untuk bertukar-tukar data terbuka dan dilindungi akan termasuk: pelayan fail, komputer kerja pakar dan media asing.
Serang
Penyerang yang tidak dibenarkan memasang sistem kawalan jauh pada komputer kerja pakar dan, pada masa menulis pesanan pembayaran (mesej elektronik) ke medium boleh pindah, menggantikan kandungan salah satu daripadanya dalam teks yang jelas. Pakar memindahkan pesanan pembayaran ke tempat kerja automatik KBR, menandatangani dan menyulitkannya tanpa menyedari penggantian (contohnya, disebabkan oleh sejumlah besar pesanan pembayaran dalam penerbangan, keletihan, dll.). Selepas ini, pesanan pembayaran palsu, setelah melalui rantaian teknologi, memasuki sistem pembayaran Bank Rusia.
Senario 2. Contoh pelaksanaan ancaman U2.2 dan U4.2.
Penerangan tentang objek
Komputer dengan stesen kerja KBR, SCAD Signature dan pembawa kunci bersambung FKN vdToken beroperasi di dalam bilik khusus tanpa akses daripada kakitangan.
Pakar pengiraan menyambung ke stesen kerja CBD dalam mod akses jauh melalui protokol RDP.
Serang
Penyerang memintas butiran, menggunakan mana pakar pengiraan menyambung dan bekerja dengan stesen kerja CBD (contohnya, melalui kod hasad pada komputernya). Kemudian mereka menyambung bagi pihaknya dan menghantar pesanan pembayaran palsu kepada sistem pembayaran Bank of Russia.
Senario 3. Contoh pelaksanaan ancaman U1.3.
Penerangan tentang objek
Mari kita pertimbangkan salah satu pilihan hipotetikal untuk melaksanakan modul penyepaduan ABS-KBR untuk skim baharu (AWS KBR-N), di mana tandatangan elektronik dokumen keluar berlaku di sebelah ABS. Dalam kes ini, kami akan menganggap bahawa ABS beroperasi berdasarkan sistem pengendalian yang tidak disokong oleh CIPF SKAD Signature, dan, oleh itu, fungsi kriptografi dipindahkan ke mesin maya yang berasingan - integrasi "ABS-KBR" modul.
Token USB biasa yang beroperasi dalam mod kunci boleh diperoleh semula digunakan sebagai pembawa kunci. Apabila menyambungkan media utama ke hipervisor, ternyata tidak ada port USB percuma dalam sistem, jadi diputuskan untuk menyambungkan token USB melalui hab USB rangkaian, dan memasang klien USB-over-IP pada maya. mesin, yang akan berkomunikasi dengan hab.
Serang
Penyerang memintas kunci peribadi tandatangan elektronik dari saluran komunikasi antara hab USB dan hipervisor (data dihantar dalam teks yang jelas). Mempunyai kunci peribadi, penyerang menghasilkan pesanan pembayaran palsu, menandatanganinya dengan tandatangan elektronik dan menghantarnya ke tempat kerja automatik KBR-N untuk dilaksanakan.
Senario 4. Contoh pelaksanaan ancaman U5.5.
Penerangan tentang objek
Mari kita pertimbangkan litar yang sama seperti dalam senario sebelumnya. Kami akan menganggap bahawa mesej elektronik yang datang dari stesen kerja KBR-N berakhir dalam folder …SHAREIn, dan yang dihantar ke stesen kerja KBR-N dan seterusnya ke sistem pembayaran Bank of Russia pergi ke …SHAREout.
Kami juga akan menganggap bahawa apabila melaksanakan modul penyepaduan, senarai sijil yang dibatalkan dikemas kini hanya apabila kunci kriptografi dikeluarkan semula, dan juga bahawa mesej elektronik yang diterima dalam folder …SHAREIn disemak hanya untuk kawalan integriti dan kawalan kepercayaan dalam kunci awam Tandatangan elektronik.
Serang
Penyerang, menggunakan kunci yang dicuri dalam senario sebelumnya, menandatangani pesanan pembayaran palsu yang mengandungi maklumat tentang penerimaan wang ke dalam akaun pelanggan penipuan dan memperkenalkannya ke dalam saluran pertukaran data yang selamat. Memandangkan tiada pengesahan bahawa pesanan pembayaran telah ditandatangani oleh Bank of Russia, ia diterima untuk dilaksanakan.
Sumber: www.habr.com