Links għal partijiet oħra tal-istudju
- (Int hawn)
Dan l-artikolu jikkompleta s-serje ta 'pubblikazzjonijiet iddedikati biex tiġi żgurata s-sigurtà tal-informazzjoni ta' pagamenti bankarji mhux fi flus kontanti. Hawnhekk se nħarsu lejn il-mudelli ta' theddid tipiċi msemmija fihom :
- .
- .
- .
- .
HABRO-TWISSIJA!!! Għeżież Khabrovites, din mhix kariga divertenti.
L-40+ paġna ta 'materjali moħbija taħt il-qatgħa huma maħsuba biex għajnuna fix-xogħol jew studju nies li jispeċjalizzaw fis-sigurtà bankarja jew tal-informazzjoni. Dawn il-materjali huma l-prodott finali tar-riċerka u huma miktuba f'ton xott u formali. Essenzjalment, dawn huma vojt għal dokumenti interni tas-sigurtà tal-informazzjoni.Ukoll, tradizzjonali - "l-użu ta' informazzjoni mill-artiklu għal skopijiet illegali huwa punibbli bil-liġi". Qari produttiv!
Informazzjoni għall-qarrejja li jsiru familjari mal-istudju li jibda b'din il-pubblikazzjoni.
X'inhu l-istudju dwar?
Qed taqra gwida għal speċjalista responsabbli biex jiżgura s-sigurtà tal-informazzjoni tal-pagamenti f'bank.
Loġika tal-preżentazzjoni
Fil-bidu fi и tingħata deskrizzjoni tal-oġġett protett. Imbagħad ġewwa jiddeskrivi kif tinbena sistema ta' sigurtà u titkellem dwar il-ħtieġa li jinħoloq mudell ta' theddid. IN jitkellem dwar liema mudelli ta’ theddid jeżistu u kif huma ffurmati. IN и Analiżi ta' attakki reali hija pprovduta. и ikun fihom deskrizzjoni tal-mudell tat-theddida, mibnija b'kont meħud ta' informazzjoni mill-partijiet preċedenti kollha.
MUDELL TA' THEDIDA TIPIKA. KONNESSJONI NETWORK
Oġġett ta' protezzjoni li għalih huwa applikat il-mudell ta' theddid (ambitu).
L-oġġett tal-protezzjoni huwa data trażmessa permezz ta' konnessjoni tan-netwerk li topera f'netwerks tad-data mibnija fuq il-bażi tal-munzell TCP/IP.
arkitettura
Deskrizzjoni tal-elementi arkitettoniċi:
- "Tmiem Nodes" — nodi li jiskambjaw informazzjoni protetta.
- "Nodi intermedji" — elementi ta’ netwerk ta’ trażmissjoni tad-dejta: routers, swiċċijiet, servers ta’ aċċess, servers prokura u tagħmir ieħor — li permezz tagħhom jiġi trażmess it-traffiku tal-konnessjoni tan-netwerk. B'mod ġenerali, konnessjoni tan-netwerk tista 'taħdem mingħajr nodi intermedji (direttament bejn nodi tat-tarf).
Theddid tas-sigurtà tal-ogħla livell
Dekompożizzjoni
U1. Aċċess mhux awtorizzat għal data trażmessa.
U2. Modifika mhux awtorizzata tad-dejta trażmessa.
U3. Ksur tal-awtur tad-data trażmessa.
U1. Aċċess mhux awtorizzat għal data trażmessa
Dekompożizzjoni
U1.1. <…>, imwettqa fin-nodi finali jew intermedji:
U1.1.1. <...> billi taqra d-dejta waqt li tkun fl-apparat tal-ħażna ospitanti:
U1.1.1.1. <…> fir-RAM.
Spjegazzjonijiet għal U1.1.1.1.
Pereżempju, waqt l-ipproċessar tad-dejta mill-munzell tan-netwerk tal-host.
U1.1.1.2. <…> f'memorja mhux volatili.
Spjegazzjonijiet għal U1.1.1.2.
Pereżempju, meta taħżen data trażmessa f'cache, fajls temporanji jew fajls ta' tpartit.
U1.2. <…>, imwettqa fuq nodi ta' partijiet terzi tan-netwerk tad-dejta:
U1.2.1. <...> bil-metodu li jinqabdu l-pakketti kollha li jaslu fl-interface tan-netwerk tal-host:
Spjegazzjonijiet għal U1.2.1.
Il-qbid tal-pakketti kollha jitwettaq billi l-kard tan-netwerk taqleb għal mod promisku (mod promisku għal adapters bil-fili jew modalità monitor għal adapters wi-fi).
U1.2.2. <...> billi twettaq attakki man-in-the-middle (MiTM), iżda mingħajr ma timmodifika d-dejta trażmessa (mingħajr ma tingħadd id-dejta tas-servizz tal-protokoll tan-netwerk).
U1.2.2.1. Link: .
U1.3. <…>, imwettqa minħabba tnixxija ta' informazzjoni permezz ta' kanali tekniċi (TKUI) minn nodi fiżiċi jew linji ta' komunikazzjoni.
U1.4. <…>, imwettqa bl-installazzjoni ta' mezzi tekniċi speċjali (STS) fit-tarf jew in-nodi intermedji, maħsuba għall-ġbir sigriet ta' informazzjoni.
U2. Modifika mhux awtorizzata tad-dejta trażmessa
Dekompożizzjoni
U2.1. <…>, imwettqa fin-nodi finali jew intermedji:
U2.1.1. <...> billi taqra u tagħmel bidliet fid-dejta waqt li tkun fl-apparat tal-ħażna tan-nodi:
U2.1.1.1. <...> fir-RAM:
U2.1.1.2. <...> f'memorja mhux volatili:
U2.2. <…>, imwettqa fuq nodi ta' partijiet terzi tan-netwerk tat-trażmissjoni tad-dejta:
U2.2.1. <...> billi twettaq attakki man-in-the-middle (MiTM) u tirriindirizza t-traffiku lejn in-nodu tal-attakkanti:
U2.2.1.1. Il-konnessjoni fiżika tat-tagħmir tal-attakkanti tikkawża li tinqasam konnessjoni tan-netwerk.
U2.2.1.2. It-twettiq ta' attakki fuq protokolli tan-netwerk:
U2.2.1.2.1. <...> ġestjoni ta' netwerks lokali virtwali (VLAN):
U2.2.1.2.1.1. .
U2.2.1.2.1.2. Modifika mhux awtorizzata tas-settings tal-VLAN fuq swiċċijiet jew routers.
U2.2.1.2.2. <...> rotta tat-traffiku:
U2.2.1.2.2.1. Modifika mhux awtorizzata tat-tabelli statiċi tar-routing tar-routers.
U2.2.1.2.2.2. Tħabbir ta' rotot foloz minn attakkanti permezz ta' protokolli ta' routing dinamiċi.
U2.2.1.2.3. <…> konfigurazzjoni awtomatika:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <...> indirizzar u riżoluzzjoni tal-isem:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. Tagħmel bidliet mhux awtorizzati fil-fajls tal-ismijiet tal-hosts lokali (hosts, lmhosts, eċċ.)
U3. Ksur tad-drittijiet tal-awtur ta' data trażmessa
Dekompożizzjoni
U3.1. In-newtralizzazzjoni tal-mekkaniżmi għad-determinazzjoni tal-awtur tal-informazzjoni billi tiġi indikata informazzjoni falza dwar l-awtur jew is-sors tad-dejta:
U3.1.1. Tibdel l-informazzjoni dwar l-awtur li tinsab fl-informazzjoni trażmessa.
U3.1.1.1. In-newtralizzazzjoni tal-protezzjoni kriptografika tal-integrità u l-awtur tad-dejta trażmessa:
U3.1.1.1.1. Link: .
U3.1.1.2. In-newtralizzazzjoni tal-protezzjoni tad-drittijiet tal-awtur ta' data trażmessa, implimentata bl-użu ta' kodiċi ta' konferma ta' darba:
U3.1.1.2.1. .
U3.1.2. Tibdil tal-informazzjoni dwar is-sors tal-informazzjoni trażmessa:
U3.1.2.1. .
U3.1.2.2. .
MUDELL TA' THEDIDA TIPIKA. SISTEMA TA' INFORMAZZJONI MIBNIA FUQ IL-BAŻI TAL-ARKITETTURA KLIJENT-SERVER
Oġġett ta' protezzjoni li għalih huwa applikat il-mudell ta' theddid (ambitu).
L-oġġett ta' protezzjoni huwa sistema ta' informazzjoni mibnija fuq il-bażi ta' arkitettura klijent-server.
arkitettura
Deskrizzjoni tal-elementi arkitettoniċi:
- "Klijent" – apparat li fuqu topera l-parti klijent tas-sistema tal-informazzjoni.
- "Server" – apparat li fuqu topera l-parti tas-server tas-sistema tal-informazzjoni.
- "Aħżen tad-dejta" — parti mill-infrastruttura tas-server ta' sistema ta' informazzjoni, iddisinjata biex taħżen data pproċessata mis-sistema ta' informazzjoni.
- "Konnessjoni tan-netwerk" — kanal ta' skambju ta' informazzjoni bejn il-Klijent u s-Server li jgħaddi min-netwerk tad-dejta. Deskrizzjoni aktar dettaljata tal-mudell tal-element hija mogħtija fi .
Restrizzjonijiet
Meta timmudella oġġett, jiġu stabbiliti r-restrizzjonijiet li ġejjin:
- L-utent jinteraġixxi mas-sistema ta' informazzjoni f'perjodi ta' żmien finiti, imsejħa sessjonijiet ta' xogħol.
- Fil-bidu ta’ kull sessjoni ta’ xogħol, l-utent jiġi identifikat, awtentikat u awtorizzat.
- L-informazzjoni kollha protetta hija maħżuna fuq il-parti tas-server tas-sistema tal-informazzjoni.
Theddid tas-sigurtà tal-ogħla livell
Dekompożizzjoni
U1. It-twettiq ta' azzjonijiet mhux awtorizzati minn attakkanti f'isem utent leġittimu.
U2. Modifika mhux awtorizzata ta 'informazzjoni protetta matul l-ipproċessar tagħha mis-server parti tas-sistema ta' informazzjoni.
U1. It-twettiq ta' azzjonijiet mhux awtorizzati minn attakkanti f'isem utent leġittimu
Spjegazzjonijiet
Tipikament fis-sistemi tal-informazzjoni, l-azzjonijiet huma korrelatati mal-utent li wettaqhom bl-użu:
- zkuk tal-operat tas-sistema (logs).
- attributi speċjali ta' oġġetti tad-dejta li fihom informazzjoni dwar l-utent li ħoloqhom jew immodifikahom.
Fir-rigward ta’ sessjoni ta’ xogħol, din it-theddida tista’ tiġi dekomposta fi:
- <…> imwettaq fis-sessjoni tal-utent.
- <…> esegwit barra s-sessjoni tal-utent.
Tista' tinbeda sessjoni tal-utent:
- Mill-utent innifsu.
- Malefatturi.
F'dan l-istadju, id-dekompożizzjoni intermedja ta 'din it-theddida se tidher bħal din:
U1.1. Twettqu azzjonijiet mhux awtorizzati f'sessjoni tal-utent:
U1.1.1. <…> installat mill-utent attakkat.
U1.1.2. <…> installat mill-attakkanti.
U1.2. Twettqu azzjonijiet mhux awtorizzati barra mis-sessjoni tal-utent.
Mil-lat ta 'oġġetti ta' infrastruttura ta 'informazzjoni li jistgħu jiġu affettwati minn attakkanti, id-dekompożizzjoni ta' theddid intermedju se tidher bħal din:
Elementi
Id-dekompożizzjoni tat-theddida
U1.1.1.
U1.1.2.
U1.2.
Klijent
U1.1.1.1.
U1.1.2.1.
Konnessjoni tan-netwerk
U1.1.1.2.
Server
U1.2.1.
Dekompożizzjoni
U1.1. Twettqu azzjonijiet mhux awtorizzati f'sessjoni tal-utent:
U1.1.1. <...> installat mill-utent attakkat:
U1.1.1.1. L-attakkanti aġixxew b'mod indipendenti mill-Klijent:
U1.1.1.1.1 L-attakkanti użaw għodod standard ta' aċċess għas-sistema tal-informazzjoni:
U1.1.1.1.1.1. L-attakkanti użaw il-mezzi fiżiċi ta’ input/output tal-Klijent (tastiera, maws, monitor jew touch screen ta’ apparat mobbli):
U1.1.1.1.1.1.1. L-attakkanti operaw matul perjodi ta 'żmien meta s-sessjoni kienet attiva, faċilitajiet I/O kienu disponibbli, u l-utent ma kienx preżenti.
У1.1.1.1.1.2. L-attakkanti użaw għodod ta' amministrazzjoni mill-bogħod (standard jew ipprovduti b'kodiċi malizzjuż) biex jikkontrollaw il-Klijent:
U1.1.1.1.1.2.1. L-attakkanti operaw matul perjodi ta 'żmien meta s-sessjoni kienet attiva, faċilitajiet I/O kienu disponibbli, u l-utent ma kienx preżenti.
U1.1.1.1.1.2.2. L-attakkanti użaw għodod ta 'amministrazzjoni mill-bogħod, li t-tħaddim tagħhom huwa inviżibbli għall-utent attakkat.
U1.1.1.2. L-attakkanti bidlu d-dejta fil-konnessjoni tan-netwerk bejn il-Klijent u s-Server, immodifikawha b'tali mod li kienet pperċepita bħala l-azzjonijiet ta 'utent leġittimu:
U1.1.1.2.1. Link: .
U1.1.1.3. L-attakkanti ġiegħlu lill-utent iwettaq l-azzjonijiet li speċifikaw bl-użu ta 'metodi ta' inġinerija soċjali.
У1.1.2 <...> installat mill-attakkanti:
U1.1.2.1. L-attakkanti aġixxew mill-Klijent (И):
U1.1.2.1.1. L-attakkanti nnewtralizzaw is-sistema ta 'kontroll tal-aċċess tas-sistema ta' informazzjoni:
U1.1.2.1.1.1. Link: .
У1.1.2.1.2. L-attakkanti użaw għodod standard ta' aċċess għas-sistema tal-informazzjoni
U1.1.2.2. L-attakkanti operaw minn nodi oħra tan-netwerk tad-dejta, li minnhom setgħet tiġi stabbilita konnessjoni tan-netwerk mas-Server (И):
U1.1.2.2.1. L-attakkanti nnewtralizzaw is-sistema ta 'kontroll tal-aċċess tas-sistema ta' informazzjoni:
U1.1.2.2.1.1. Link: .
U1.1.2.2.2. L-attakkanti użaw mezzi mhux standard ta’ aċċess għas-sistema ta’ informazzjoni.
Spjegazzjonijiet U1.1.2.2.2.
L-attakkanti jistgħu jinstallaw klijent standard tas-sistema ta 'informazzjoni fuq node ta' parti terza jew jistgħu jużaw softwer mhux standard li jimplimenta protokolli ta 'skambju standard bejn il-Klijent u s-Server.
U1.2 Twettqu azzjonijiet mhux awtorizzati barra mis-sessjoni tal-utent.
U1.2.1 L-attakkanti wettqu azzjonijiet mhux awtorizzati u mbagħad għamlu bidliet mhux awtorizzati fir-reġistri tal-operat tas-sistema tal-informazzjoni jew attributi speċjali tal-oġġetti tad-dejta, li jindikaw li l-azzjonijiet li wettqu twettqu minn utent leġittimu.
U2. Modifika mhux awtorizzata ta 'informazzjoni protetta matul l-ipproċessar tagħha mis-server parti tas-sistema ta' informazzjoni
Dekompożizzjoni
U2.1. L-attakkanti jimmodifikaw informazzjoni protetta billi jużaw għodod standard tas-sistema tal-informazzjoni u jagħmlu dan f'isem utent leġittimu.
U2.1.1. Link: .
U2.2. L-attakkanti jimmodifikaw informazzjoni protetta billi jużaw mekkaniżmi ta' aċċess għad-dejta mhux ipprovduti mill-operat normali tas-sistema tal-informazzjoni.
U2.2.1. L-attakkanti jimmodifikaw fajls li fihom informazzjoni protetta:
U2.2.1.1. <…>, bl-użu tal-mekkaniżmi tal-immaniġġjar tal-fajls ipprovduti mis-sistema operattiva.
U2.2.1.2. <...> billi tipprovoka r-restawr ta' fajls minn kopja ta' backup modifikata mhux awtorizzata.
U2.2.2. L-attakkanti jimmodifikaw informazzjoni protetta maħżuna fid-database (И):
U2.2.2.1. L-attakkanti jinnewtralizzaw is-sistema tal-kontroll tal-aċċess tad-DBMS:
U2.2.2.1.1. Link: .
U2.2.2.2. L-attakkanti jimmodifikaw l-informazzjoni billi jużaw interfaces standard tad-DBMS biex jaċċessaw id-dejta.
U2.3. L-attakkanti jimmodifikaw informazzjoni protetta permezz ta' modifika mhux awtorizzata tal-algoritmi operattivi tas-softwer li jipproċessaha.
U2.3.1. Il-kodiċi tas-sors tas-softwer huwa soġġett għal modifika.
U2.3.1. Il-kodiċi tal-magna tas-softwer huwa soġġett għal modifika.
U2.4. L-attakkanti jimmodifikaw informazzjoni protetta billi jisfruttaw il-vulnerabbiltajiet fis-softwer tas-sistema tal-informazzjoni.
U2.5. L-attakkanti jimmodifikaw l-informazzjoni protetta meta tiġi trasferita bejn il-komponenti tal-parti tas-server tas-sistema tal-informazzjoni (pereżempju, server tad-database u server tal-applikazzjoni):
U2.5.1. Link: .
MUDELL TA' THEDIDA TIPIKA. SISTEMA TA' KONTROLL TA' AĊĊESS
Oġġett ta' protezzjoni li għalih huwa applikat il-mudell ta' theddid (ambitu).
L-oġġett ta' protezzjoni li għalih jiġi applikat dan il-mudell ta' theddida jikkorrispondi mal-oġġett ta' protezzjoni tal-mudell ta' theddida: “Mudell ta' theddida tipika. Sistema ta’ informazzjoni mibnija fuq arkitettura klijent-server.”
F'dan il-mudell ta' theddida, sistema ta' kontroll ta' aċċess għall-utent tfisser komponent ta' sistema ta' informazzjoni li timplimenta l-funzjonijiet li ġejjin:
- Identifikazzjoni tal-utent.
- Awtentikazzjoni tal-utent.
- Awtorizzazzjonijiet tal-utent.
- Logging azzjonijiet tal-utent.
Theddid tas-sigurtà tal-ogħla livell
Dekompożizzjoni
U1. Stabbiliment mhux awtorizzat ta' sessjoni f'isem utent leġittimu.
U2. Żieda mhux awtorizzata fil-privileġġi tal-utent f'sistema ta' informazzjoni.
U1. Stabbiliment mhux awtorizzat ta' sessjoni f'isem utent leġittimu
Spjegazzjonijiet
Id-dekompożizzjoni ta' din it-theddida ġeneralment tiddependi fuq it-tip ta' sistemi ta' identifikazzjoni u awtentikazzjoni tal-utent użati.
F'dan il-mudell, se tiġi kkunsidrata biss sistema ta' identifikazzjoni u awtentikazzjoni tal-utent li tuża login u password tat-test. F'dan il-każ, se nassumu li l-login tal-utent huwa informazzjoni disponibbli pubblikament magħrufa mill-attakkanti.
Dekompożizzjoni
U1.1. <…> minħabba kompromess tal-kredenzjali:
U1.1.1. L-attakkanti kkompromettew il-kredenzjali tal-utent waqt li ħażnuhom.
Spjegazzjonijiet U1.1.1.
Pereżempju, il-kredenzjali jistgħu jinkitbu fuq nota li twaħħal mwaħħla mal-monitor.
U1.1.2. L-utent aċċidentalment jew malizzjuż għadda d-dettalji tal-aċċess lill-attakkanti.
U1.1.2.1. L-utent tkellem il-kredenzjali b'leħen għoli hekk kif daħlu.
U1.1.2.2. L-utent intenzjonalment qasam il-kredenzjali tiegħu:
U1.1.2.2.1. <…> lill-kollegi tax-xogħol.
Spjegazzjonijiet U1.1.2.2.1.
Per eżempju, sabiex ikunu jistgħu jissostitwixxuh waqt il-mard.
U1.1.2.2.2. <…> lill-kuntratturi ta’ min iħaddem li jwettqu xogħol fuq oġġetti ta’ infrastruttura ta’ informazzjoni.
U1.1.2.2.3. <…> lil partijiet terzi.
Spjegazzjonijiet U1.1.2.2.3.
Waħda, iżda mhux l-unika għażla għall-implimentazzjoni ta 'din it-theddida hija l-użu ta' metodi ta 'inġinerija soċjali mill-attakkanti.
U1.1.3. L-attakkanti għażlu kredenzjali bl-użu ta’ metodi ta’ forza bruta:
U1.1.3.1. <…> bl-użu ta' mekkaniżmi ta' aċċess standard.
U1.1.3.2. <...> bl-użu ta' kodiċijiet interċettati qabel (pereżempju, hashes tal-password) għall-ħażna tal-kredenzjali.
U1.1.4. L-attakkanti użaw kodiċi malizzjuż biex jinterċettaw il-kredenzjali tal-utent.
U1.1.5. L-attakkanti estratt kredenzjali mill-konnessjoni tan-netwerk bejn il-Klijent u s-Server:
U1.1.5.1. Link: .
U1.1.6. L-attakkanti estratt kredenzjali minn rekords ta 'sistemi ta' monitoraġġ tax-xogħol:
U1.1.6.1. <…> sistemi ta' sorveljanza bil-vidjo (jekk it-tasti tat-tasti fuq it-tastiera ġew irreġistrati waqt it-tħaddim).
U1.1.6.2. <…> sistemi għall-monitoraġġ tal-azzjonijiet tal-impjegati fuq il-kompjuter
Spjegazzjonijiet U1.1.6.2.
Eżempju ta' sistema bħal din huwa .
U1.1.7. L-attakkanti kkompromettew il-kredenzjali tal-utent minħabba difetti fil-proċess tat-trażmissjoni.
Spjegazzjonijiet U1.1.7.
Per eżempju, tibgħat passwords f'test ċar permezz ta 'email.
U1.1.8. L-attakkanti kisbu kredenzjali billi jimmonitorjaw sessjoni ta' utent bl-użu ta' sistemi ta' amministrazzjoni mill-bogħod.
U1.1.9. L-attakkanti kisbu kredenzjali bħala riżultat tat-tnixxija tagħhom permezz ta 'kanali tekniċi (TCUI):
U1.1.9.1. L-attakkanti osservaw kif l-utent daħħal il-kredenzjali mit-tastiera:
U1.1.9.1.1 L-attakkanti kienu jinsabu qrib l-utent u raw id-dħul tal-kredenzjali b'għajnejhom.
Spjegazzjonijiet U1.1.9.1.1
Każijiet bħal dawn jinkludu l-azzjonijiet tal-kollegi tax-xogħol jew il-każ meta t-tastiera tal-utent tkun viżibbli għall-viżitaturi tal-organizzazzjoni.
U1.1.9.1.2 L-attakkanti użaw mezzi tekniċi addizzjonali, bħal trombi jew vettura tal-ajru bla ekwipaġġ, u raw id-dħul tal-kredenzjali minn tieqa.
U1.1.9.2. L-attakkanti estratt kredenzjali minn komunikazzjonijiet bir-radju bejn it-tastiera u l-unità tas-sistema tal-kompjuter meta kienu konnessi permezz ta 'interface tar-radju (per eżempju, Bluetooth).
U1.1.9.3. L-attakkanti interċettaw kredenzjali billi ħarġuhom permezz tal-kanal ta 'radjazzjoni u interferenza elettromanjetika falza (PEMIN).
Spjegazzjonijiet U1.1.9.3.
Eżempji ta' attakki и .
U1.1.9.4. L-attakkant interċetta d-dħul tal-kredenzjali mit-tastiera permezz tal-użu ta 'mezzi tekniċi speċjali (STS) iddisinjati biex jiksbu informazzjoni b'mod sigriet.
Spjegazzjonijiet U1.1.9.4.
eżempji .
U1.1.9.5. L-attakkanti interċettaw l-input ta 'kredenzjali mit-tastiera bl-użu
analiżi tas-sinjal Wi-Fi modulat mill-proċess ta 'keystroke ta' l-utent.
Spjegazzjonijiet U1.1.9.5.
Eżempju .
U1.1.9.6. L-attakkanti interċettaw l-input tal-kredenzjali mit-tastiera billi janalizzaw il-ħsejjes tat-tasti.
Spjegazzjonijiet U1.1.9.6.
Eżempju .
U1.1.9.7. L-attakkanti interċettaw id-dħul tal-kredenzjali mit-tastiera ta’ apparat mobbli billi analizzaw il-qari tal-aċċellerometru.
Spjegazzjonijiet U1.1.9.7.
Eżempju .
U1.1.10. <…>, ssejvjat qabel fuq il-Klijent.
Spjegazzjonijiet U1.1.10.
Pereżempju, utent jista' jiffranka login u password fil-browser biex jaċċessa sit speċifiku.
U1.1.11. L-attakkanti kkompromettew il-kredenzjali minħabba difetti fil-proċess għar-revoka tal-aċċess tal-utent.
Spjegazzjonijiet U1.1.11.
Pereżempju, wara li utent tkeċċa, il-kontijiet tiegħu baqgħu żblokkati.
U1.2. <…> billi tisfrutta l-vulnerabbiltajiet fis-sistema tal-kontroll tal-aċċess.
U2. Elevazzjoni mhux awtorizzata tal-privileġġi tal-utent f'sistema ta' informazzjoni
Dekompożizzjoni
U2.1 <...> billi tagħmel bidliet mhux awtorizzati fid-dejta li jkun fiha informazzjoni dwar il-privileġġi tal-utent.
U2.2 <…> permezz tal-użu ta’ vulnerabbiltajiet fis-sistema ta’ kontroll tal-aċċess.
U2.3. <…> minħabba nuqqasijiet fil-proċess tal-ġestjoni tal-aċċess tal-utent.
Spjegazzjonijiet U2.3.
Eżempju 1. Utent ingħata aktar aċċess għax-xogħol milli kien meħtieġ għal raġunijiet ta' negozju.
Eżempju 2: Wara li utent ġie trasferit għal pożizzjoni oħra, drittijiet ta' aċċess mogħtija qabel ma ġewx revokati.
MUDELL TA' THEDIDA TIPIKA. MODULU TA' INTEGRAZZJONI
Oġġett ta' protezzjoni li għalih huwa applikat il-mudell ta' theddid (ambitu).
Modulu ta' integrazzjoni huwa sett ta' oġġetti ta' infrastruttura ta' informazzjoni mfassla biex jorganizzaw l-iskambju ta' informazzjoni bejn is-sistemi ta' informazzjoni.
Meta wieħed iqis il-fatt li fin-netwerks korporattivi mhux dejjem ikun possibbli li sistema ta' informazzjoni waħda minn oħra tiġi separata mingħajr ambigwità, il-modulu ta' integrazzjoni jista' jitqies ukoll bħala rabta ta' konnessjoni bejn il-komponenti fi ħdan sistema ta' informazzjoni waħda.
arkitettura
Id-dijagramma ġeneralizzata tal-modulu ta 'integrazzjoni tidher bħal din:
Deskrizzjoni tal-elementi arkitettoniċi:
- "Exchange Server (SO)" – nodu/servizz/komponent ta' sistema ta' informazzjoni li twettaq il-funzjoni ta' skambju ta' data ma' sistema ta' informazzjoni oħra.
- "Medjatur" – nodu/servizz iddisinjat biex jorganizza l-interazzjoni bejn is-sistemi tal-informazzjoni, iżda mhux parti minnhom.
Eżempji "Intermedjarji" jista 'jkun hemm servizzi ta' email, karozzi tal-linja tas-servizz tal-intrapriżi (bus tas-servizz tal-intrapriża / arkitettura SoA), servers ta 'fajls ta' partijiet terzi, eċċ. B'mod ġenerali, il-modulu ta 'integrazzjoni jista' ma jkunx fih "Intermedjarji". - "Softwer għall-ipproċessar tad-dejta" – sett ta' programmi li jimplimentaw protokolli ta' skambju ta' data u konverżjoni tal-format.
Pereżempju, il-konverżjoni tad-dejta mill-format UFEBS għall-format ABS, il-bdil tal-istatus tal-messaġġ waqt it-trażmissjoni, eċċ. - "Konnessjoni tan-netwerk" jikkorrispondi għall-oġġett deskritt fil-mudell standard tat-theddida "Konnessjoni tan-netwerk". Xi wħud mill-konnessjonijiet tan-netwerk murija fid-dijagramma ta' hawn fuq jistgħu ma jeżistux.
Eżempji ta' moduli ta' integrazzjoni
Skema 1. Integrazzjoni ta' ABS u AWS KBR permezz ta' server ta' fajls ta' parti terza
Biex tesegwixxi ħlasijiet, impjegat tal-bank awtorizzat iniżżel dokumenti ta' ħlas elettroniku mis-sistema bankarja ewlenija u jiffrankahom f'fajl (fil-format tiegħu stess, pereżempju dump SQL) fuq folder ta' netwerk (...SHARE) fuq file server. Imbagħad dan il-fajl jiġi kkonvertit bl-użu ta 'skript tal-konvertitur f'sett ta' fajls fil-format UFEBS, li mbagħad jinqraw mill-istazzjon tax-xogħol tas-CBD.
Wara dan, l-impjegat awtorizzat - l-utent tal-post tax-xogħol awtomatizzat KBR - jikkodifika u jiffirma l-fajls riċevuti u jibgħathom lis-sistema ta 'ħlas tal-Bank tar-Russja.
Meta l-pagamenti jaslu mill-Bank tar-Russja, il-post tax-xogħol awtomatizzat tal-KBR jiddeċifrahom u jiċċekkja l-firma elettronika, u wara jirreġistrahom fil-forma ta 'sett ta' fajls fil-format UFEBS fuq server ta 'fajls. Qabel ma jiġu importati d-dokumenti tal-ħlas fl-ABS, huma kkonvertiti bl-użu ta 'skript tal-konvertitur mill-format UFEBS għall-format ABS.
Aħna se nassumu li f'din l-iskema, l-ABS jopera fuq server fiżiku wieħed, l-istazzjon tax-xogħol KBR jopera fuq kompjuter dedikat, u l-iskrittura tal-konvertitur taħdem fuq server tal-fajls.
Korrispondenza tal-oġġetti tad-dijagramma kkunsidrata mal-elementi tal-mudell tal-modulu tal-integrazzjoni:
"Server tal-iskambju min-naħa tal-ABS" – Server ABS.
"Server tal-iskambju min-naħa tal-AWS KBR" – workstation tal-kompjuter KBR.
"Medjatur" – file server ta’ parti terza.
"Softwer għall-ipproċessar tad-dejta" – skript tal-konvertitur.
Skema 2. Integrazzjoni ta' ABS u AWS KBR meta tpoġġi folder ta' netwerk kondiviż b'pagamenti fuq l-AWS KBR
Kollox huwa simili għall-Iskema 1, iżda server ta 'fajls separat ma jintużax; minflok, folder tan-netwerk (...SHARE) b'dokumenti ta' ħlas elettroniku jitqiegħed fuq kompjuter b'workstation tas-CBD. L-iskrittura tal-konvertitur jaħdem ukoll fuq l-istazzjon tax-xogħol tas-CBD.
Korrispondenza tal-oġġetti tad-dijagramma kkunsidrata mal-elementi tal-mudell tal-modulu tal-integrazzjoni:
Simili għall-Iskema 1, iżda "Medjatur" mhux użat.
Skema 3. Integrazzjoni ta' ABS u post tax-xogħol awtomatizzat KBR-N permezz ta' IBM WebSphera MQ u iffirmar ta' dokumenti elettroniċi "fuq in-naħa ABS"
L-ABS topera fuq pjattaforma li mhix appoġġata mill-Firma tas-CIPF SCAD. L-iffirmar tad-dokumenti elettroniċi li joħorġu jitwettaq fuq server tal-firem elettroniċi speċjali (ES Server). L-istess server jiċċekkja l-firma elettronika fuq dokumenti deħlin mill-Bank tar-Russja.
ABS itella' fajl bid-dokumenti tal-ħlas fil-format tiegħu stess lis-Server ES.
Is-server ES, bl-użu ta' skript ta' konvertitur, jikkonverti l-fajl f'messaġġi elettroniċi fil-format UFEBS, u wara l-messaġġi elettroniċi jiġu ffirmati u trażmessi lil IBM WebSphere MQ.
L-istazzjon tax-xogħol KBR-N jaċċessa l-IBM WebSphere MQ u jirċievi messaġġi ta 'ħlas iffirmati minn hemm, u wara impjegat awtorizzat - utent tal-istazzjon tax-xogħol KBR - jikkodifikahom u jibgħathom lis-sistema ta' ħlas tal-Bank tar-Russja.
Meta l-pagamenti jaslu mill-Bank tar-Russja, il-post tax-xogħol awtomatizzat KBR-N jiddeċifrahom u jivverifika l-firma elettronika. Ħlasijiet ipproċessati b'suċċess fil-forma ta 'messaġġi elettroniċi decrypted u ffirmati fil-format UFEBS huma trasferiti lil IBM WebSphere MQ, minn fejn jiġu riċevuti mis-Server tal-Firem Elettroniċi.
Is-server tal-firma elettronika jivverifika l-firma elettronika tal-pagamenti riċevuti u jiffrankahom f'fajl f'format ABS. Wara dan, l-impjegat awtorizzat - l-utent ABS - itella 'l-fajl li jirriżulta lill-ABS bil-mod preskritt.
Korrispondenza tal-oġġetti tad-dijagramma kkunsidrata mal-elementi tal-mudell tal-modulu tal-integrazzjoni:
"Server tal-iskambju min-naħa tal-ABS" – Server ABS.
"Server tal-iskambju min-naħa tal-AWS KBR" — workstation tal-kompjuter KBR.
"Medjatur" – ES server u IBM WebSphere MQ.
"Softwer għall-ipproċessar tad-dejta" – konvertitur tal-iskript, Firma CIPF SCAD fuq is-Server ES.
Skema 4. Integrazzjoni tas-Server RBS u s-sistema bankarja ewlenija permezz tal-API pprovduta minn server tal-kambju dedikat
Se nassumu li l-bank juża diversi sistemi bankarji remoti (RBS):
- "Internet Client-Bank" għal individwi (IKB FL);
- "Internet Client-Bank" għal entitajiet legali (IKB LE).
Sabiex tiġi żgurata s-sigurtà tal-informazzjoni, l-interazzjoni kollha bejn l-ABS u s-sistemi bankarji remoti titwettaq permezz ta’ server ta’ skambju dedikat li jopera fi ħdan il-qafas tas-sistema ta’ informazzjoni ABS.
Sussegwentement, se nikkunsidraw il-proċess ta 'interazzjoni bejn is-sistema RBS ta' IKB LE u l-ABS.
Is-server tal-RBS, wara li jkun irċieva ordni ta' ħlas iċċertifikata kif suppost mingħand il-klijent, għandu joħloq dokument korrispondenti fl-ABS ibbażat fuqu. Biex tagħmel dan, billi tuża l-API, tittrasmetti informazzjoni lis-server tal-iskambju, li, imbagħad, idaħħal id-dejta fl-ABS.
Meta l-bilanċi tal-kont tal-klijent jinbidlu, l-ABS jiġġenera notifiki elettroniċi, li jiġu trażmessi lis-server bankarju remot bl-użu tas-server tal-kambju.
Korrispondenza tal-oġġetti tad-dijagramma kkunsidrata mal-elementi tal-mudell tal-modulu tal-integrazzjoni:
"Server tal-iskambju min-naħa tal-RBS" – Server RBS ta' IKB YUL.
"Server tal-iskambju min-naħa tal-ABS" – server tal-iskambju.
"Medjatur" - assenti.
"Softwer għall-ipproċessar tad-dejta" – Komponenti tas-server RBS responsabbli għall-użu tal-API tas-server tal-kambju, komponenti tas-server tal-kambju responsabbli għall-użu tal-API tal-banking ċentrali.
Theddid tas-sigurtà tal-ogħla livell
Dekompożizzjoni
U1. Injezzjoni ta 'informazzjoni falza minn attakkanti permezz tal-modulu ta' integrazzjoni.
U1. Injezzjoni ta 'informazzjoni falza minn attakkanti permezz tal-modulu ta' integrazzjoni
Dekompożizzjoni
U1.1. Modifika mhux awtorizzata tad-dejta leġittima meta tiġi trażmessa fuq konnessjonijiet tan-netwerk:
U1.1.1 Link: .
U1.2. Trażmissjoni ta' data falza permezz ta' kanali ta' komunikazzjoni f'isem parteċipant leġittimu fl-iskambju:
U1.1.2 Link: .
U1.3. Modifika mhux awtorizzata tad-dejta leġittima waqt l-ipproċessar tagħha fuq Exchange Servers jew l-Intermedjarju:
U1.3.1. Link: .
U1.4. Ħolqien ta' data falza fuq is-Servers tal-Iskambju jew l-Intermedjarju f'isem parteċipant leġittimu fl-iskambju:
U1.4.1. Link:
U1.5. Modifika mhux awtorizzata tad-dejta meta tiġi pproċessata bl-użu ta’ softwer għall-ipproċessar tad-dejta:
U1.5.1. <…> minħabba attakkanti li jagħmlu bidliet mhux awtorizzati fis-settings (konfigurazzjoni) tas-softwer għall-ipproċessar tad-dejta.
U1.5.2. <...> minħabba attakkanti li jagħmlu bidliet mhux awtorizzati f'fajls eżekutibbli ta' softwer għall-ipproċessar tad-dejta.
U1.5.3. <…> minħabba l-kontroll interattiv tas-softwer għall-ipproċessar tad-dejta mill-attakkanti.
MUDELL TA' THEDIDA TIPIKA. SISTEMA TA' PROTEZZJONI TA' INFORMAZZJONI KRIPTOGRAFIKA
Oġġett ta' protezzjoni li għalih huwa applikat il-mudell ta' theddid (ambitu).
L-oġġett tal-protezzjoni huwa sistema ta 'protezzjoni ta' informazzjoni kriptografika użata biex tiżgura s-sigurtà tas-sistema ta 'informazzjoni.
arkitettura
Il-bażi ta 'kwalunkwe sistema ta' informazzjoni hija softwer ta 'applikazzjoni li jimplimenta l-funzjonalità fil-mira tiegħu.
Il-protezzjoni kriptografika ġeneralment tiġi implimentata billi ssejjaħ primittivi kriptografiċi mill-loġika tan-negozju tas-softwer tal-applikazzjoni, li jinsabu f'libreriji speċjalizzati - crypto cores.
Il-primittivi kriptografiċi jinkludu funzjonijiet kriptografiċi ta' livell baxx, bħal:
- encrypt/decrypt blokka ta' data;
- toħloq/tivverifika firma elettronika ta' blokk tad-dejta;
- ikkalkula l-funzjoni tal-hash tal-blokka tad-dejta;
- jiġġeneraw / tagħbija / ittella 'informazzjoni ewlenija;
- eċċ
Il-loġika tan-negozju tas-softwer tal-applikazzjoni timplimenta funzjonalità ta 'livell ogħla bl-użu ta' primittivi kriptografiċi:
- kriptaġġ tal-fajl billi tuża ċ-ċwievet tar-riċevituri magħżula;
- tistabbilixxi konnessjoni tan-netwerk sigura;
- jinforma dwar ir-riżultati tal-verifika tal-firma elettronika;
- eċċ.
L-interazzjoni tal-loġika tan-negozju u l-qalba tal-kripto tista 'titwettaq:
- direttament, bil-loġika tan-negozju li ssejjaħ primittivi kriptografiċi minn libreriji dinamiċi tal-kernel kripto (.DLL għall-Windows, .SO għal Linux);
- direttament, permezz ta 'interfaces kriptografiċi - tgeżwir, pereżempju, MS Crypto API, Java Cryptography Architecture, PKCS#11, eċċ F'dan il-każ, il-loġika tan-negozju taċċessa l-interface kripto, u tittraduċi s-sejħa għall-qalba kripto korrispondenti, li f' dan il-każ jissejjaħ crypto provider. L-użu ta 'interfaces kriptografiċi jippermetti li s-softwer tal-applikazzjoni jastratta 'l bogħod minn algoritmi kriptografiċi speċifiċi u jkun aktar flessibbli.
Hemm żewġ skemi tipiċi għall-organizzazzjoni tal-qalba tal-kripto:
Skema 1 – qalba kripto monolitika
Skema 2 – Qasam il-qalba tal-kripto
L-elementi fid-dijagrammi ta' hawn fuq jistgħu jkunu jew moduli ta' softwer individwali li jaħdmu fuq kompjuter wieħed jew servizzi ta' netwerk li jinteraġixxu fi ħdan netwerk tal-kompjuter.
Meta tuża sistemi mibnija skont l-Iskema 1, is-softwer tal-applikazzjoni u l-qalba kripto joperaw f'ambjent operattiv wieħed għall-għodda kripto (SFC), pereżempju, fuq l-istess kompjuter, li jħaddem l-istess sistema operattiva. L-utent tas-sistema, bħala regola, jista 'jmexxi programmi oħra, inklużi dawk li fihom kodiċi malizzjuż, fl-istess ambjent operattiv. Taħt kundizzjonijiet bħal dawn, hemm riskju serju ta 'tnixxija ta' ċwievet kriptografiċi privati.
Biex timminimizza r-riskju, tintuża l-iskema 2, li fiha l-qalba kripto hija maqsuma f'żewġ partijiet:
- L-ewwel parti, flimkien mas-softwer tal-applikazzjoni, topera f'ambjent mhux fdat fejn hemm riskju ta 'infezzjoni b'kodiċi malizzjuż. Aħna se nsejħu din il-parti l-"parti tas-softwer".
- It-tieni parti taħdem f'ambjent fdat fuq apparat iddedikat, li fih ħażna ta 'ċavetta privata. Minn issa 'l quddiem se nsejħu din il-parti "ħardwer".
Id-diviżjoni tal-qalba kripto f'partijiet ta 'softwer u hardware hija arbitrarja ħafna. Hemm sistemi fis-suq mibnija skond skema b'qalba kripto diviża, iżda l-parti "ħardwer" tagħha hija ppreżentata fil-forma ta 'immaġni ta' magna virtwali - HSM virtwali ().
L-interazzjoni taż-żewġ partijiet tal-qalba kripto sseħħ b'tali mod li ċwievet kriptografiċi privati qatt ma jiġu trasferiti għall-parti tas-softwer u, għalhekk, ma jistgħux jinsterqu bl-użu ta 'kodiċi malizzjuż.
L-interface tal-interazzjoni (API) u s-sett ta 'primittivi kriptografiċi pprovduti lis-softwer tal-applikazzjoni mill-qalba tal-kripto huma l-istess fiż-żewġ każijiet. Id-differenza tinsab fil-mod kif jiġu implimentati.
Għalhekk, meta tuża skema b'qalba kripto diviża, l-interazzjoni tas-softwer u l-ħardwer titwettaq skont il-prinċipju li ġej:
- Il-primittivi kriptografiċi li ma jeħtiġux l-użu ta 'ċavetta privata (per eżempju, il-kalkolu ta' funzjoni ta 'hash, verifika ta' firma elettronika, eċċ.) huma mwettqa mis-softwer.
- Il-primittivi kriptografiċi li jużaw ċavetta privata (il-ħolqien ta 'firma elettronika, id-deċifrar tad-dejta, eċċ.) huma mwettqa minn hardware.
Ejja nuru x-xogħol tal-qalba kripto diviża billi tuża l-eżempju tal-ħolqien ta 'firma elettronika:
- Il-parti tas-softwer tikkalkula l-funzjoni tal-hash tad-dejta ffirmata u tittrasmetti dan il-valur lill-ħardwer permezz tal-kanal tal-iskambju bejn il-qlub kripto.
- Il-parti tal-ħardwer, bl-użu taċ-ċavetta privata u l-hash, tiġġenera l-valur tal-firma elettronika u tittrażmettih lill-parti tas-softwer permezz ta 'kanal ta' skambju.
- Il-parti tas-softwer tirritorna l-valur riċevut lis-softwer tal-applikazzjoni.
Karatteristiċi ta 'verifika tal-korrettezza ta' firma elettronika
Meta l-parti li tirċievi tirċievi data ffirmata elettronikament, trid twettaq diversi passi ta' verifika. Riżultat pożittiv tal-verifika ta' firma elettronika jinkiseb biss jekk l-istadji kollha tal-verifika jitlestew b'suċċess.
Stadju 1. Kontroll tal-integrità tad-dejta u l-awtur tad-dejta.
Kontenut tal-istadju. Il-firma elettronika tad-dejta tiġi vverifikata bl-użu tal-algoritmu kriptografiku xieraq. It-tlestija b'suċċess ta' dan l-istadju tindika li d-dejta ma ġietx modifikata mill-mument li ġiet iffirmata, u wkoll li l-firma saret b'ċavetta privata li tikkorrispondi għaċ-ċavetta pubblika għall-verifika tal-firma elettronika.
Post tal-palk: qalba kripto.
Stadju 2. Kontroll tal-fiduċja fiċ-ċavetta pubblika tal-firmatarju u kontroll tal-perjodu ta’ validità taċ-ċavetta privata tal-firma elettronika.
Kontenut tal-istadju. L-istadju jikkonsisti f'żewġ substadji intermedji. L-ewwel huwa li jiġi ddeterminat jekk iċ-ċavetta pubblika għall-verifika tal-firma elettronika kinitx fdata fil-ħin tal-iffirmar tad-dejta. It-tieni tiddetermina jekk iċ-ċavetta privata tal-firma elettronika kinitx valida fil-ħin tal-iffirmar tad-dejta. B'mod ġenerali, il-perjodi ta' validità ta' dawn iċ-ċwievet jistgħu ma jikkoinċidux (pereżempju, għal ċertifikati kwalifikati ta' ċwievet ta' verifika tal-firem elettroniċi). Il-metodi biex tiġi stabbilita fiduċja fiċ-ċavetta pubblika tal-firmatarju huma ddeterminati mir-regoli tal-ġestjoni tad-dokumenti elettroniċi adottati mill-partijiet li qed jinteraġixxu.
Post tal-palk: softwer tal-applikazzjoni / qalba kripto.
Stadju 3. Kontroll tal-awtorità tal-firmatarju.
Kontenut tal-istadju. Skont ir-regoli stabbiliti tal-ġestjoni tad-dokumenti elettroniċi, jiġi vverifikat jekk il-firmatarju kellux id-dritt li jiċċertifika d-data protetta. Bħala eżempju, ejjew nagħtu sitwazzjoni ta 'ksur ta' awtorità. Ejja ngħidu li hemm organizzazzjoni fejn l-impjegati kollha għandhom firma elettronika. Is-sistema interna ta 'ġestjoni tad-dokumenti elettroniċi tirċievi ordni mill-maniġer, iżda ffirmata bil-firma elettronika tal-maniġer tal-maħżen. Għaldaqstant, tali dokument ma jistax jitqies leġittimu.
Post tal-palk: Softwer ta' applikazzjoni.
Suppożizzjonijiet magħmula meta jiddeskrivu l-oġġett tal-protezzjoni
- Il-kanali ta 'trażmissjoni ta' informazzjoni, bl-eċċezzjoni ta 'kanali ta' skambju ewlenin, jgħaddu wkoll minn softwer ta 'applikazzjoni, API u qalba kripto.
- Informazzjoni dwar il-fiduċja fiċ-ċwievet pubbliċi u (jew) iċ-ċertifikati, kif ukoll informazzjoni dwar is-setgħat tas-sidien taċ-ċwievet pubbliċi, tinsab fil-maħżen taċ-ċwievet pubbliċi.
- Is-softwer tal-applikazzjoni jaħdem mal-maħżen taċ-ċavetta pubblika permezz tal-kernel kripto.
Eżempju ta' sistema ta' informazzjoni protetta bl-użu tas-CIPF
Biex nispjegaw id-dijagrammi ppreżentati qabel, ejja nikkunsidraw sistema ta 'informazzjoni ipotetika u nenfasizzaw l-elementi strutturali kollha fuqha.
Deskrizzjoni tas-sistema ta' informazzjoni
Iż-żewġ organizzazzjonijiet iddeċidew li jintroduċu ġestjoni tad-dokumenti elettroniċi (EDF) legalment sinifikanti bejniethom. Biex jagħmlu dan, huma daħlu fi ftehim li fih stipulaw li d-dokumenti jiġu trażmessi bl-email, u fl-istess ħin iridu jiġu encrypted u ffirmati b’firma elettronika kwalifikata. Programmi tal-Uffiċċju mill-pakkett Microsoft Office 2016 għandhom jintużaw bħala għodda għall-ħolqien u l-ipproċessar ta 'dokumenti, u CIPF CryptoPRO u s-softwer ta' encryption CryptoARM għandhom jintużaw bħala mezz ta 'protezzjoni kriptografika.
Deskrizzjoni tal-infrastruttura tal-organizzazzjoni 1
L-Organizzazzjoni 1 iddeċidiet li tinstalla s-softwer CIPF CryptoPRO u CryptoARM fuq il-workstation tal-utent - kompjuter fiżiku. Il-kriptaġġ u ċ-ċwievet tal-firma elettronika se jinħażnu fuq il-midja taċ-ċavetta ruToken, li joperaw fil-modalità taċ-ċavetta li tista 'tinkiseb. L-utent se jipprepara dokumenti elettroniċi lokalment fuq il-kompjuter tiegħu, imbagħad jikkripta, jiffirma u jibgħathom billi juża klijent tal-email installat lokalment.
Deskrizzjoni tal-infrastruttura tal-organizzazzjoni 2
L-Organizzazzjoni 2 iddeċidiet li tmexxi l-funzjonijiet tal-kriptaġġ u l-firma elettronika għal magna virtwali ddedikata. F'dan il-każ, l-operazzjonijiet kriptografiċi kollha se jsiru awtomatikament.
Biex tagħmel dan, żewġ folders tan-netwerk huma organizzati fuq il-magna virtwali ddedikata: "...In", "...Out". Fajls riċevuti mill-kontroparti f'forma miftuħa jitqiegħdu awtomatikament fil-folder tan-netwerk “…Fi”. Dawn il-fajls se jiġu decrypted u l-firma elettronika tiġi vverifikata.
L-utent se jpoġġi fajls fil-folder "...Out" li jeħtieġ li jiġu encrypted, iffirmati u mibgħuta lill-kontroparti. L-utent se jipprepara l-fajls huma stess fuq il-workstation tiegħu.
Biex twettaq funzjonijiet ta 'kodifikazzjoni u firma elettronika, CIPF CryptoPRO, softwer CryptoARM u klijent tal-email huma installati fuq il-magna virtwali. Il-ġestjoni awtomatika tal-elementi kollha tal-magna virtwali se titwettaq bl-użu ta 'skripts żviluppati mill-amministraturi tas-sistema. Ix-xogħol ta 'skripts huwa illoggjat fil-fajls log.
Ċwievet kriptografiċi għall-firma elettronika se jitqiegħdu fuq token b'ċavetta JaCarta GOST li ma tistax tiġi rkuprata, li l-utent se jgħaqqad mal-kompjuter lokali tiegħu.
It-token se jintbagħat lill-magna virtwali billi tuża softwer speċjalizzat USB-over-IP installat fuq il-workstation tal-utent u fuq il-magna virtwali.
L-arloġġ tas-sistema fuq il-workstation tal-utent fl-organizzazzjoni 1 se jiġi aġġustat manwalment. L-arloġġ tas-sistema tal-magna virtwali ddedikata fl-Organizzazzjoni 2 se jkun sinkronizzat mal-arloġġ tas-sistema tal-hypervisor, li min-naħa tiegħu se jkun sinkronizzat fuq l-Internet ma 'servers tal-ħin pubbliku.
Identifikazzjoni ta' elementi strutturali tas-CIPF
Ibbażat fuq id-deskrizzjoni ta 'hawn fuq tal-infrastruttura tal-IT, aħna se nenfasizzaw l-elementi strutturali tas-CIPF u niktbuhom f'tabella.
Tabella - Korrispondenza ta' elementi tal-mudell tas-CIPF ma' elementi tas-sistema ta' informazzjoni
Isem tal-oġġett
Organizzazzjoni 1
Organizzazzjoni 2
Softwer ta' applikazzjoni
Softwer CryptoARM
Softwer CryptoARM
Parti tas-softwer tal-qalba tal-kripto
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
Hardware tal-qalba tal-kripto
ebda
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
Aħżen Ċavetta Pubblika
Workstation tal-utent:
- HDD;
- maħżen standard taċ-ċertifikati tal-Windows.
Iperviżur:
- HDD.
Magna virtwali:
- HDD;
- maħżen standard taċ-ċertifikati tal-Windows.
Ħażna privata taċ-ċavetta
trasportatur taċ-ċavetta ruToken li jopera fil-modalità taċ-ċavetta li tista' tiġi rkuprata
Trasportatur taċ-ċavetta JaCarta GOST li jopera fil-modalità taċ-ċavetta li ma titneħħax
Kanal tal-iskambju taċ-ċavetta pubblika
Workstation tal-utent:
- RAM.
Iperviżur:
- RAM.
Magna virtwali:
- RAM.
Kanal ta 'skambju ta' ċavetta privata
Workstation tal-utent:
— USB bus;
- RAM.
ebda
Kanal ta 'skambju bejn il-qlub kripto
nieqes (l-ebda hardware tal-qalba kripto)
Workstation tal-utent:
— USB bus;
- RAM;
— Modulu tas-softwer USB-over-IP;
- interface tan-netwerk.
Netwerk korporattiv tal-organizzazzjoni 2.
Iperviżur:
- RAM;
- interface tan-netwerk.
Magna virtwali:
— interface tan-netwerk;
- RAM;
— Modulu tas-softwer USB-over-IP.
Kanal tad-Data Miftuħa
Workstation tal-utent:
— mezzi input-output;
- RAM;
- HDD.
Workstation tal-utent:
— mezzi input-output;
- RAM;
- HDD;
- interface tan-netwerk.
Netwerk korporattiv tal-organizzazzjoni 2.
Iperviżur:
— interface tan-netwerk;
- RAM;
- HDD.
Magna virtwali:
— interface tan-netwerk;
- RAM;
- HDD.
Kanal sikur għall-iskambju tad-dejta
Internet.
Netwerk korporattiv tal-organizzazzjoni 1.
Workstation tal-utent:
- HDD;
- RAM;
- interface tan-netwerk.
Internet.
Netwerk korporattiv tal-organizzazzjoni 2.
Iperviżur:
— interface tan-netwerk;
- RAM;
- HDD.
Magna virtwali:
— interface tan-netwerk;
- RAM;
- HDD.
Kanal tal-ħin
Workstation tal-utent:
— mezzi input-output;
- RAM;
- timer tas-sistema.
Internet.
Netwerk korporattiv ta' organizzazzjoni 2,
Iperviżur:
— interface tan-netwerk;
- RAM;
- timer tas-sistema.
Magna virtwali:
- RAM;
- timer tas-sistema.
Kanal tat-trasmissjoni tal-kmand tal-kontroll
Workstation tal-utent:
— mezzi input-output;
- RAM.
(Interface grafika għall-utent tas-softwer CryptoARM)
Magna virtwali:
- RAM;
- HDD.
(skripts tal-awtomazzjoni)
Kanal biex jirċievi riżultati tax-xogħol
Workstation tal-utent:
— mezzi input-output;
- RAM.
(Interface grafika għall-utent tas-softwer CryptoARM)
Magna virtwali:
- RAM;
- HDD.
(Log files ta' skripts ta' awtomazzjoni)
Theddid tas-sigurtà tal-ogħla livell
Spjegazzjonijiet
Assunzjonijiet li saru meta t-theddidiet tad-dekompożizzjoni:
- Jintużaw algoritmi kriptografiċi b'saħħithom.
- L-algoritmi kriptografiċi jintużaw b'mod sigur fil-modi korretti ta' tħaddim (eż. ma jintużax għall-kriptaġġ ta’ volumi kbar ta’ data, it-tagħbija permissibbli fuq iċ-ċavetta titqies, eċċ.).
- L-attakkanti jafu l-algoritmi, il-protokolli u ċ-ċwievet pubbliċi kollha użati.
- L-attakkanti jistgħu jaqraw id-dejta kollha kriptata.
- L-attakkanti huma kapaċi jirriproduċu kwalunkwe element tas-softwer fis-sistema.
Dekompożizzjoni
U1. Kompromess ta' ċwievet kriptografiċi privati.
U2. Kriptaġġ ta' data falza f'isem il-mittent leġittimu.
U3. Id-dekriptaġġ ta' dejta kriptata minn persuni li mhumiex riċevituri leġittimi tad-dejta (attakkanti).
U4. Ħolqien ta' firma elettronika ta' firmatarju leġittimu taħt data falza.
U5. Il-ksib ta' riżultat pożittiv mill-iċċekkjar tal-firma elettronika ta' data falsifikata.
U6. Aċċettazzjoni żbaljata ta' dokumenti elettroniċi għall-eżekuzzjoni minħabba problemi fl-organizzazzjoni tal-fluss tad-dokumenti elettroniċi.
U7. Aċċess mhux awtorizzat għal data protetta matul l-ipproċessar tagħhom mis-CIPF.
U1. Kompromess ta' ċwievet kriptografiċi privati
U1.1. Irkupru taċ-ċavetta privata mill-maħżen taċ-ċavetta privata.
U1.2. Il-ksib ta’ ċavetta privata minn oġġetti fl-ambjent operattiv tal-kripto-għodda, li fiha tista’ tgħix temporanjament.
Spjegazzjonijiet U1.2.
Oġġetti li jistgħu jaħżnu temporanjament ċavetta privata jinkludu:
- RAM,
- fajls temporanji,
- tpartit fajls,
- fajls ta' ibernazzjoni,
- Fajls ta 'snapshot ta' l-istat "taħraq" ta 'magni virtwali, inklużi fajls tal-kontenut tar-RAM ta' magni virtwali waqfa qasira.
U1.2.1. L-estrazzjoni taċ-ċwievet privati minn RAM tax-xogħol billi tiffriża moduli RAM, tneħħihom u mbagħad taqra d-dejta (attakk tal-iffriżar).
Spjegazzjonijiet U1.2.1.
Eżempju .
U1.3. Ksib ta 'ċavetta privata minn kanal ta' skambju ta 'ċavetta privata.
Spjegazzjonijiet U1.3.
Se jingħata eżempju ta' l-implimentazzjoni ta' din it-theddida .
U1.4. Modifika mhux awtorizzata tal-qalba tal-kripto, li bħala riżultat tagħha ċwievet privati jsiru magħrufa mill-attakkanti.
U1.5. Kompromess ta' ċavetta privata bħala riżultat tal-użu ta' kanali ta' tnixxija ta' informazzjoni teknika (TCIL).
Spjegazzjonijiet U1.5.
Eżempju .
U1.6. Kompromess ta' ċavetta privata bħala riżultat ta' l-użu ta' mezzi tekniċi speċjali (STS) iddisinjati għall-irkupru ta' informazzjoni b'mod sigriet (“bugs”).
U1.7. Kompromess taċ-ċwievet privati waqt il-ħażna tagħhom barra s-CIPF.
Spjegazzjonijiet U1.7.
Pereżempju, utent jaħżen il-midja ewlenija tiegħu f'kexxun tad-desktop, li minnu jistgħu faċilment jiġu rkuprati mill-attakkanti.
U2. Kriptaġġ ta' data falza f'isem mittenti leġittimu
Spjegazzjonijiet
Din it-theddida titqies biss għal skemi ta' encryption tad-dejta b'awtentikazzjoni tal-mittent. Eżempji ta' skemi bħal dawn huma indikati fir-rakkomandazzjonijiet ta' standardizzazzjoni . Għal skemi kriptografiċi oħra, din it-theddida ma teżistix, peress li l-encryption titwettaq fuq iċ-ċwievet pubbliċi tar-riċevitur, u huma ġeneralment magħrufa mill-attakkanti.
Dekompożizzjoni
U2.1. Li tikkomprometti ċ-ċavetta privata tal-mittent:
U2.1.1. Link: .
U2.2. Sostituzzjoni ta' data ta' input f'kanal miftuħ ta' skambju ta' data.
Noti U2.2.
Eżempji ta' l-implimentazzjoni ta' din it-theddida huma mogħtija hawn taħt. и .
U3. Id-dekriptaġġ ta' dejta kriptata minn persuni li mhumiex riċevituri leġittimi tad-dejta (attakkanti)
Dekompożizzjoni
U3.1. Kompromess taċ-ċwievet privati tar-riċevitur tad-dejta kriptata.
U3.1.1 Link: .
U3.2. Sostituzzjoni ta' dejta kriptata f'kanal ta' skambju ta' dejta sikur.
U4. Il-ħolqien ta' firma elettronika ta' firmatarju leġittimu taħt data falza
Dekompożizzjoni
U4.1. Kompromess taċ-ċwievet privati tal-firma elettronika ta' firmatarju leġittimu.
U4.1.1 Link: .
U4.2. Sostituzzjoni ta' data ffirmata f'kanal ta' skambju ta' data miftuħ.
Nota U4.2.
Eżempji ta' l-implimentazzjoni ta' din it-theddida huma mogħtija hawn taħt. и .
U5. Il-ksib ta' riżultat pożittiv mill-iċċekkjar tal-firma elettronika ta' data falsifikata
Dekompożizzjoni
U5.1. L-attakkanti jinterċettaw messaġġ fil-kanal għat-trażmissjoni tar-riżultati tax-xogħol dwar riżultat negattiv ta 'verifika ta' firma elettronika u jibdluh b'messaġġ b'riżultat pożittiv.
U5.2. L-attakkanti jattakkaw il-fiduċja fl-iffirmar taċ-ċertifikati (SKRIPT - l-elementi kollha huma meħtieġa):
U5.2.1. L-attakkanti jiġġeneraw ċavetta pubblika u privata għal firma elettronika. Jekk is-sistema tuża ċertifikati taċ-ċavetta tal-firma elettronika, allura dawn jiġġeneraw ċertifikat tal-firma elettronika li jkun simili kemm jista' jkun għaċ-ċertifikat tal-mittent maħsub tad-dejta li jridu jiffalsjaw il-messaġġ tiegħu.
U5.2.2. L-attakkanti jagħmlu bidliet mhux awtorizzati fil-maħżen taċ-ċavetta pubblika, u jagħtu ċ-ċavetta pubblika li jiġġeneraw il-livell meħtieġ ta 'fiduċja u awtorità.
U5.2.3. L-attakkanti jiffirmaw dejta falza b'ċavetta tal-firma elettronika ġġenerata qabel u daħħalha fil-kanal sigur tal-iskambju tad-dejta.
U5.3. L-attakkanti jwettqu attakk billi jużaw ċwievet tal-firem elettroniċi skaduti ta' firmatarju legali (SKRIPT - l-elementi kollha huma meħtieġa):
U5.3.1. L-attakkanti jikkompromettu ċwievet privati skaduti (mhux validi bħalissa) tal-firma elettronika ta' mittent leġittimu.
U5.3.2. L-attakkanti jissostitwixxu l-ħin fil-kanal tat-trażmissjoni tal-ħin bil-ħin li fih iċ-ċwievet kompromessi kienu għadhom validi.
U5.3.3. L-attakkanti jiffirmaw dejta falza b'ċavetta tal-firma elettronika li qabel kienet kompromessa u injettaha fil-kanal sikur tal-iskambju tad-dejta.
U5.4. L-attakkanti jwettqu attakk billi jużaw ċwievet tal-firma elettronika kompromessi ta' firmatarju legali (SKRIPT - l-elementi kollha huma meħtieġa):
U5.4.1. L-attakkant jagħmel kopja tal-maħżen taċ-ċavetta pubblika.
U5.4.2. L-attakkanti jikkompromettu ċ-ċwievet privati ta' wieħed mill-mittenti leġittimi. Huwa jinnota l-kompromess, jirrevoka ċ-ċwievet, u l-informazzjoni dwar ir-revoka taċ-ċwievet titqiegħed fil-maħżen taċ-ċwievet pubbliku.
U5.4.3. L-attakkanti jissostitwixxu l-maħżen taċ-ċavetta pubblika b'wieħed ikkupjat qabel.
U5.4.4. L-attakkanti jiffirmaw dejta falza b'ċavetta tal-firma elettronika li qabel kienet kompromessa u injettaha fil-kanal sikur tal-iskambju tad-dejta.
U5.5. <…> minħabba l-preżenza ta' żbalji fl-implimentazzjoni tat-2 u t-3 stadju tal-verifika tal-firma elettronika:
Spjegazzjonijiet U5.5.
Jingħata eżempju ta' l-implimentazzjoni ta' din it-theddida .
U5.5.1. Iċċekkjar tal-fiduċja f'ċertifikat taċ-ċavetta tal-firma elettronika biss bil-preżenza ta 'fiduċja fiċ-ċertifikat li miegħu huwa ffirmat, mingħajr kontrolli CRL jew OCSP.
Spjegazzjonijiet U5.5.1.
Eżempju ta' implimentazzjoni .
U5.5.2. Meta tinbena katina ta 'fiduċja għal ċertifikat, l-awtoritajiet tal-ħruġ taċ-ċertifikati ma jiġux analizzati
Spjegazzjonijiet U5.5.2.
Eżempju ta' attakk kontra ċertifikati SSL/TLS.
L-attakkanti xtraw ċertifikat leġittimu għall-email tagħhom. Imbagħad għamlu ċertifikat tas-sit frawdolenti u ffirmawh biċ-ċertifikat tagħhom. Jekk il-kredenzjali ma jiġux iċċekkjati, allura meta tiċċekkja l-katina ta 'fiduċja tirriżulta li hija korretta, u, għalhekk, iċ-ċertifikat frawdolenti jkun korrett ukoll.
U5.5.3. Meta tinbena katina ta 'fiduċja taċ-ċertifikat, iċ-ċertifikati intermedji ma jiġux iċċekkjati għar-revoka.
U5.5.4. Is-CRLs jiġu aġġornati inqas frekwenti milli jinħarġu mill-awtorità taċ-ċertifikazzjoni.
U5.5.5. Id-deċiżjoni li tiġi fdata firma elettronika ssir qabel ma tiġi riċevuta tweġiba tal-OCSP dwar l-istatus taċ-ċertifikat, mibgħuta fuq talba li ssir aktar tard mill-ħin li ġiet ġġenerata l-firma jew aktar kmieni mis-CRL li jmiss wara li tkun ġiet iġġenerata l-firma.
Spjegazzjonijiet U5.5.5.
Fir-regolamenti tal-biċċa l-kbira tal-CAs, il-ħin tar-revoka taċ-ċertifikat huwa meqjus bħala l-ħin tal-ħruġ tal-eqreb CRL li jkun fih informazzjoni dwar ir-revoka taċ-ċertifikat.
U5.5.6. Meta tirċievi data ffirmata, iċ-ċertifikat jappartjeni lill-mittent ma jiġix iċċekkjat.
Spjegazzjonijiet U5.5.6.
Eżempju ta' attakk. Fir-rigward taċ-ċertifikati SSL: il-korrispondenza tal-indirizz tas-server imsejjaħ mal-valur tal-qasam CN fiċ-ċertifikat ma tistax tiġi kkontrollata.
Eżempju ta' attakk. L-attakkanti kkompromettew iċ-ċwievet tal-firma elettronika ta' wieħed mill-parteċipanti fis-sistema ta' ħlas. Wara dan, huma hacked fin-netwerk ta 'parteċipant ieħor u, f'ismu, bagħtu dokumenti ta' ħlas iffirmati b'ċwievet kompromessi lis-server tas-saldu tas-sistema ta 'ħlas. Jekk is-server janalizza biss il-fiduċja u ma jiċċekkjax għall-konformità, allura dokumenti frawdolenti jitqiesu leġittimi.
U6. Aċċettazzjoni żbaljata ta' dokumenti elettroniċi għall-eżekuzzjoni minħabba problemi fl-organizzazzjoni tal-fluss tad-dokumenti elettroniċi.
Dekompożizzjoni
U6.1. Il-parti li tirċievi ma tiskoprix duplikazzjoni tad-dokumenti riċevuti.
Spjegazzjonijiet U6.1.
Eżempju ta' attakk. L-attakkanti jistgħu jinterċettaw dokument li qed jiġi trażmess lil riċevitur, anki jekk ikun protett kriptografikament, u mbagħad jibagħtu ripetutament fuq kanal ta' trażmissjoni ta' data sigur. Jekk ir-riċevitur ma jidentifikax duplikati, allura d-dokumenti kollha riċevuti jiġu pperċepiti u pproċessati bħala dokumenti differenti.
U7. Aċċess mhux awtorizzat għal data protetta matul l-ipproċessar tagħhom mis-CIPF
Dekompożizzjoni
U7.1. <…> minħabba tnixxija ta' informazzjoni permezz ta' kanali tal-ġenb (attakk tal-kanal tal-ġenb).
Spjegazzjonijiet U7.1.
Eżempju .
U7.2. <…> minħabba n-newtralizzazzjoni tal-protezzjoni kontra aċċess mhux awtorizzat għall-informazzjoni pproċessata fuq is-CIPF:
U7.2.1. Operazzjoni tas-CIPF bi ksur tar-rekwiżiti deskritti fid-dokumentazzjoni għas-CIPF.
U7.2.2. <…>, imwettqa minħabba l-preżenza ta’ vulnerabbiltajiet fi:
U7.2.2.1. <…> mezzi ta' protezzjoni kontra aċċess mhux awtorizzat.
U7.2.2.2. <…> CIPF innifsu.
U7.2.2.3. <...> l-ambjent operattiv tal-kripto-għodda.
Eżempji ta' attakki
Ix-xenarji diskussi hawn taħt ovvjament fihom żbalji fis-sigurtà tal-informazzjoni u jservu biss biex juru attakki possibbli.
Xenarju 1. Eżempju tal-implimentazzjoni tat-theddid U2.2 u U4.2.
Deskrizzjoni tal-oġġett
Is-softwer AWS KBR u CIPF SCAD Signature huma installati fuq kompjuter fiżiku li mhuwiex konness man-netwerk tal-kompjuter. FKN vdToken jintuża bħala trasportatur taċ-ċavetta fil-mod ta 'ħidma b'ċavetta li ma tistax titneħħa.
Ir-regolamenti tas-saldu jassumu li l-ispeċjalista tas-saldu mill-kompjuter tax-xogħol tiegħu jniżżel messaġġi elettroniċi f'test ċar (skema tal-istazzjon tax-xogħol KBR l-antik) minn server ta 'fajls sikur speċjali, imbagħad jiktebhom fuq USB flash drive trasferibbli u jittrasferihom għall-istazzjon tax-xogħol KBR, fejn huma encrypted u sinjali. Wara dan, l-ispeċjalista jittrasferixxi messaġġi elettroniċi siguri lill-mezz aljenat, u mbagħad, permezz tal-kompjuter tax-xogħol tiegħu, jiktebhom lil server ta 'fajls, minn fejn imorru għall-UTA u mbagħad għas-sistema ta' ħlas tal-Bank tar-Russja.
F'dan il-każ, il-kanali għall-iskambju tad-dejta miftuħa u protetta se jinkludu: server tal-fajls, kompjuter tax-xogħol ta 'speċjalista, u midja aljenata.
Attakk
Attakkanti mhux awtorizzati jinstallaw sistema ta 'kontroll mill-bogħod fuq il-kompjuter tax-xogħol ta' speċjalista u, fil-ħin tal-kitba ta 'ordnijiet ta' ħlas (messaġġi elettroniċi) għal mezz trasferibbli, jissostitwixxu l-kontenut ta 'wieħed minnhom f'test ċar. L-ispeċjalista jittrasferixxi l-ordnijiet tal-ħlas lill-post tax-xogħol awtomatizzat KBR, jiffirmahom u jikkriptahom mingħajr ma jinnota s-sostituzzjoni (pereżempju, minħabba numru kbir ta 'ordnijiet ta' ħlas fuq titjira, għeja, eċċ.). Wara dan, l-ordni ta 'ħlas falza, wara li għaddiet mill-katina teknoloġika, tidħol fis-sistema ta' ħlas tal-Bank tar-Russja.
Xenarju 2. Eżempju tal-implimentazzjoni tat-theddid U2.2 u U4.2.
Deskrizzjoni tal-oġġett
Kompjuter b'workstation KBR installat, SCAD Signature u trasportatur taċ-ċavetta konness FKN vdToken jopera f'kamra apposta mingħajr aċċess mill-persunal.
L-ispeċjalista tal-kalkolu jgħaqqad mal-istazzjon tax-xogħol tas-CBD f'modalità ta 'aċċess remot permezz tal-protokoll RDP.
Attakk
L-attakkanti jinterċettaw id-dettalji, li jużawhom l-ispeċjalista tal-kalkolu jgħaqqad u jaħdem mal-workstation tas-CBD (per eżempju, permezz ta 'kodiċi malizzjuż fuq il-kompjuter tiegħu). Imbagħad jgħaqqdu f'ismu u jibagħtu ordni ta 'ħlas falza lis-sistema ta' ħlas tal-Bank tar-Russja.
Xenarju 3. Eżempju ta' implimentazzjoni ta' theddid U1.3.
Deskrizzjoni tal-oġġett
Ejja nikkunsidraw waħda mill-għażliet ipotetiċi għall-implimentazzjoni tal-moduli ta 'integrazzjoni ABS-KBR għal skema ġdida (AWS KBR-N), li fiha l-firma elettronika tad-dokumenti li joħorġu sseħħ fuq in-naħa tal-ABS. F'dan il-każ, se nassumu li l-ABS jopera fuq il-bażi ta' sistema operattiva li mhix appoġġata mill-Firma CIPF SKAD, u, għaldaqstant, il-funzjonalità kriptografika tiġi trasferita għal magna virtwali separata - l-integrazzjoni "ABS-KBR" modulu.
Token USB regolari li jopera fil-modalità taċ-ċavetta li tista 'tiġi rkuprata jintuża bħala trasportatur taċ-ċavetta. Meta tqabbad il-midja ewlenija mal-hypervisor, irriżulta li ma kienx hemm portijiet USB ħielsa fis-sistema, għalhekk ġie deċiż li tgħaqqad it-token USB permezz ta 'hub USB tan-netwerk, u tinstalla klijent USB-over-IP fuq il-virtwali magna, li tikkomunika mal-buttun.
Attakk
L-attakkanti interċettaw iċ-ċavetta privata tal-firma elettronika mill-kanal ta 'komunikazzjoni bejn il-hub USB u l-hypervisor (id-dejta ġiet trażmessa f'test ċar). Wara li ċ-ċavetta privata, l-attakkanti ġġeneraw ordni ta 'ħlas falza, iffirmawha b'firma elettronika u bagħtuha lill-post tax-xogħol awtomatizzat KBR-N għall-eżekuzzjoni.
Xenarju 4. Eżempju tal-implimentazzjoni tat-theddid U5.5.
Deskrizzjoni tal-oġġett
Ejja nikkunsidraw l-istess ċirkwit bħal fix-xenarju preċedenti. Se nassumu li l-messaġġi elettroniċi li ġejjin mill-workstation KBR-N jispiċċaw fil-folder …SHAREIn, u dawk mibgħuta lill-workstation KBR-N u aktar fis-sistema ta 'ħlas tal-Bank of Russia jmorru għal …SHAREout.
Se nassumu wkoll li meta nimplimentaw il-modulu ta’ integrazzjoni, listi ta’ ċertifikati revokati jiġu aġġornati biss meta ċ-ċwievet kriptografiċi jerġgħu jinħarġu, u wkoll li l-messaġġi elettroniċi riċevuti fil-folder …SHAREIn jiġu ċċekkjati biss għall-kontroll tal-integrità u l-kontroll tal-fiduċja fiċ-ċavetta pubblika tal- Firma Elettronika.
Attakk
L-attakkanti, bl-użu taċ-ċwievet misruqa fix-xenarju preċedenti, iffirmaw ordni ta 'ħlas falza li fiha informazzjoni dwar l-irċevuta ta' flus fil-kont tal-klijent frawdolenti u introduċewha fil-kanal ta 'skambju ta' data sigur. Peress li m'hemm l-ebda verifika li l-ordni tal-ħlas kienet iffirmata mill-Bank tar-Russja, hija aċċettata għall-eżekuzzjoni.
Sors: www.habr.com