مطالعي جي ٻين حصن لاء لنڪ
- (ڇا توهان هتي آهيو)
هي آرٽيڪل مڪمل ڪري ٿو اشاعتن جو سلسلو وقف ٿيل بينڪن جي غير نقد ادائيگي جي معلومات جي حفاظت کي يقيني بڻائڻ لاءِ. هتي اسان ڏسنداسين عام خطرن جا ماڊل جن ۾ حوالو ڏنو ويو آهي :
- .
- .
- .
- .
HABRO-خبردار!!! پيارا خابرواڻيون، هي ڪا تفريحي پوسٽ ناهي.
40+ صفحن جو مواد ڪٽ جي هيٺان لڪايو ويو آهي ڪم يا مطالعي سان مدد ڪريو بئنڪنگ يا معلوماتي سيڪيورٽي ۾ ماهر ماڻهو. اهي مواد تحقيق جي آخري پيداوار آهن ۽ سڪل، رسمي سر ۾ لکيل آهن. ذات ۾، اهي اندروني معلومات سيڪيورٽي دستاويزن لاء خالي آهن.خير، روايتي - "غير قانوني مقصدن لاء آرٽيڪل مان معلومات جو استعمال قانون طرفان قابل سزا آهي". پيداواري پڙهڻ!
پڙهندڙن لاءِ معلومات جيڪي هن اشاعت سان شروع ٿيندڙ مطالعي کان واقف ٿين ٿا.
مطالعي بابت ڇا آهي؟
توهان پڙهي رهيا آهيو هڪ ماهرن لاءِ هڪ گائيڊ جيڪو بينڪ ۾ ادائيگي جي معلومات جي حفاظت کي يقيني بڻائڻ لاءِ ذميوار آهي.
پيش ڪرڻ جي منطق
شروعات ۾ ۾ и محفوظ ٿيل اعتراض جي وضاحت ڏني وئي آهي. پوءِ اندر بيان ڪري ٿو ته هڪ سيڪيورٽي سسٽم ڪيئن ٺاهيو ۽ خطري جي ماڊل ٺاهڻ جي ضرورت بابت ڳالهايو. IN ڪهڙي خطري جا ماڊل موجود آهن ۽ اهي ڪيئن ٺهيل آهن بابت ڳالهائيندو آهي. IN и حقيقي حملن جو تجزيو مهيا ڪيو ويو آهي. и خطري جي ماڊل جي وضاحت تي مشتمل آهي، جيڪو سڀني پوئين حصن مان اڪائونٽ جي معلومات کي گڏ ڪندي ٺاهيو ويو آهي.
عام خطرو ماڊل. نيٽ ورڪ ڪنيڪشن
تحفظ واري شئي جنهن لاءِ خطري جو نمونو (اسڪوپ) لاڳو ڪيو ويو آهي
تحفظ جو مقصد هڪ نيٽ ورڪ ڪنيڪشن ذريعي منتقل ٿيل ڊيٽا آهي جيڪو ڊيٽا نيٽ ورڪ ۾ ڪم ڪري ٿو جيڪو TCP/IP اسٽيڪ جي بنياد تي ٺاهيل آهي.
تعمير
تعميراتي عناصر جي وضاحت:
- "ختم نوڊس" - نوڊس محفوظ معلومات جي تبادلي.
- "وچولي نوڊس" - ڊيٽا ٽرانسميشن نيٽ ورڪ جا عنصر: روٽر، سوئچ، رسائي سرور، پراکسي سرور ۽ ٻيا سامان - جن جي ذريعي نيٽ ورڪ ڪنيڪشن ٽرئفڪ منتقل ڪئي ويندي آهي. عام طور تي، هڪ نيٽ ورڪ ڪنيڪشن ڪم ڪري سگھي ٿو بغير وچولي نوڊس (سڌي طرح آخري نوڊس جي وچ ۾).
اعلي سطحي سيڪيورٽي خطرا
خراب ٿيڻ
يو1. منتقل ٿيل ڊيٽا تائين غير مجاز رسائي.
U2. منتقل ٿيل ڊيٽا جي غير مجاز تبديلي.
U3. منتقل ٿيل ڊيٽا جي ليکڪ جي خلاف ورزي.
يو1. منتقل ٿيل ڊيٽا تائين غير مجاز رسائي
خراب ٿيڻ
U1.1. <…>، فائنل يا وچولي نوڊس تي ڪيو ويو:
U1.1.1. <...> ڊيٽا پڙهڻ سان جڏهن اهو ميزبان اسٽوريج ڊوائيسز ۾ آهي:
U1.1.1.1. <…> رام ۾.
U1.1.1.1 لاءِ وضاحتون.
مثال طور، ميزبان جي نيٽ ورڪ اسٽيڪ طرفان ڊيٽا پروسيسنگ دوران.
U1.1.1.2. <…> غير مستحڪم ياداشت ۾.
U1.1.1.2 لاءِ وضاحتون.
مثال طور، جڏهن ڪيش ۾ منتقل ٿيل ڊيٽا کي محفوظ ڪرڻ، عارضي فائلون يا سوپ فائلون.
U1.2. <…>، ڊيٽا نيٽ ورڪ جي ٽئين پارٽي نوڊس تي ڪيو ويو:
U1.2.1. <…> ميزبان جي نيٽ ورڪ انٽرفيس تي اچڻ واري سڀني پيڪن کي پڪڙڻ جي طريقي سان:
U1.2.1 لاءِ وضاحتون.
نيٽ ورڪ ڪارڊ کي پروميڪيوئس موڊ (وائرڊ اڊاپٽرز لاءِ پروموسڪ موڊ يا وائي فائي ايڊاپٽرز لاءِ مانيٽر موڊ) ۾ تبديل ڪرڻ سان سڀني پيڪن جي ڪيپچر ڪئي ويندي آهي.
U1.2.2. <...> مين-ان-دي-مڊل (MiTM) حملن کي کڻڻ سان، پر منتقل ٿيل ڊيٽا کي تبديل ڪرڻ کان سواء (نيٽ ورڪ پروٽوڪول سروس ڊيٽا کي ڳڻڻ نه).
U1.2.2.1. لنڪ: .
U1.3. <…>، فزيڪل نوڊس يا ڪميونيڪيشن لائينز مان ٽيڪنيڪل چينلز (TKUI) ذريعي معلومات جي رسي جي ڪري.
U1.4. <…>، خاص ٽيڪنيڪل وسيلا (STS) کي انسٽال ڪرڻ ذريعي انجام ڏنو ويو آهي آخر يا وچولي نوڊس تي، معلومات جي ڳجهي گڏ ڪرڻ جو ارادو ڪيو ويو آهي.
U2. منتقل ٿيل ڊيٽا جي غير مجاز تبديلي
خراب ٿيڻ
U2.1. <…>، فائنل يا وچولي نوڊس تي ڪيو ويو:
U2.1.1. <...> ڊيٽا کي پڙهڻ ۽ تبديل ڪرڻ سان جڏهن اهو نوڊس جي اسٽوريج ڊوائيسز ۾ آهي:
U2.1.1.1. <…> رام ۾:
U2.1.1.2. <…> غير مستحڪم ياداشت ۾:
U2.2. <…>، ڊيٽا ٽرانسميشن نيٽ ورڪ جي ٽئين پارٽي نوڊس تي ڪيو ويو:
U2.2.1. <…> مين-ان-دي-مڊل (MiTM) حملن کي کڻڻ ۽ حملي ڪندڙن جي نوڊ ڏانهن ٽرئفڪ کي ريڊائريڪٽ ڪندي:
U2.2.1.1. حملو ڪندڙن جي سامان جو جسماني ڪنيڪشن نيٽ ورڪ ڪنيڪشن کي ٽوڙڻ جو سبب بڻائيندو آهي.
U2.2.1.2. نيٽ ورڪ پروٽوڪول تي حملا ڪرڻ:
U2.2.1.2.1. <…> ورچوئل لوڪل نيٽ ورڪ جو انتظام (VLAN):
U2.2.1.2.1.1. .
U2.2.1.2.1.2. سوئچز يا روٽرز تي VLAN سيٽنگن جي غير مجاز تبديلي.
U2.2.1.2.2. <…> ٽريفڪ جو رستو:
U2.2.1.2.2.1. روٽرز جي جامد روٽنگ جدولن جي غير مجاز تبديلي.
U2.2.1.2.2.2. متحرڪ روٽنگ پروٽوڪول ذريعي حملي ڪندڙن پاران غلط رستن جو اعلان.
U2.2.1.2.3. <…> خودڪار ترتيب:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <…> پتو ۽ نالو حل:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. مقامي ميزبان نالي فائلن ۾ غير مجاز تبديليون ڪرڻ (ميزبان، lmhosts، وغيره)
U3. منتقل ٿيل ڊيٽا جي ڪاپي رائيٽ جي خلاف ورزي
خراب ٿيڻ
U3.1. ليکڪ يا ڊيٽا جي ماخذ بابت غلط معلومات جي نشاندهي ڪندي معلومات جي تصنيف کي طئي ڪرڻ لاءِ ميڪانيزم کي غير جانبدار ڪرڻ:
U3.1.1. منتقل ٿيل معلومات ۾ شامل ليکڪ بابت معلومات تبديل ڪرڻ.
U3.1.1.1. منتقل ٿيل ڊيٽا جي سالميت ۽ تصنيف جي cryptographic تحفظ کي غير جانبدار ڪرڻ:
U3.1.1.1.1. لنڪ: .
U3.1.1.2. منتقل ٿيل ڊيٽا جي ڪاپي رائيٽ جي تحفظ کي غير جانبدار ڪرڻ، هڪ وقت جي تصديق واري ڪوڊ استعمال ڪندي لاڳو ڪيو ويو آهي:
U3.1.1.2.1. .
U3.1.2. منتقل ٿيل معلومات جي ذريعن جي باري ۾ معلومات تبديل ڪرڻ:
U3.1.2.1. .
U3.1.2.2. .
عام خطرو ماڊل. معلومات جو نظام ڪلائنٽ-سرور آرڪيٽيڪچر جي بنياد تي ٺهيل
تحفظ واري شئي جنهن لاءِ خطري جو نمونو (اسڪوپ) لاڳو ڪيو ويو آهي
تحفظ جو اعتراض هڪ معلوماتي نظام آهي جيڪو ڪلائنٽ-سرور آرڪيٽيڪچر جي بنياد تي ٺهيل آهي.
تعمير
تعميراتي عناصر جي وضاحت:
- "ڪلائنٽ" - هڪ ڊوائيس جنهن تي معلومات سسٽم جو ڪلائنٽ حصو هلندي آهي.
- "سرور" - هڪ ڊوائيس جنهن تي معلومات سسٽم جو سرور حصو هلندي آهي.
- "ڊيٽا اسٽور" - انفارميشن سسٽم جي سرور انفراسٽرڪچر جو حصو، معلوماتي سسٽم پاران پروسيس ڪيل ڊيٽا کي ذخيرو ڪرڻ لاءِ ٺهيل آهي.
- "نيٽ ورڪ ڪنيڪشن" - ڪلائنٽ ۽ سرور جي وچ ۾ معلومات جي تبادلي واري چينل ڊيٽا نيٽ ورڪ ذريعي گذري ٿو. عنصر ماڊل جي وڌيڪ تفصيلي وضاحت ڏنل آهي .
پابنديون
جڏهن هڪ اعتراض ماڊلنگ، هيٺيون پابنديون مقرر ڪيون ويون آهن:
- صارف انفارميشن سسٽم سان وقت جي محدود عرصي اندر رابطو ڪري ٿو، ڪم سيشن سڏيو ويندو آهي.
- هر ڪم جي سيشن جي شروعات ۾، صارف جي سڃاڻپ، تصديق ٿيل ۽ بااختيار آهي.
- سڀ محفوظ معلومات انفارميشن سسٽم جي سرور واري حصي تي محفوظ ٿيل آهي.
اعلي سطحي سيڪيورٽي خطرا
خراب ٿيڻ
يو1. جائز استعمال ڪندڙ جي طرفان حملي ڪندڙن پاران غير مجاز ڪارناما انجام ڏيڻ.
U2. انفارميشن سسٽم جي سرور طرفان پروسيسنگ دوران محفوظ معلومات جي غير مجاز ترميم.
يو1. جائز استعمال ڪندڙ جي طرفان حملي ڪندڙن پاران غير مجاز ڪارناما انجام ڏيڻ
وضاحت
عام طور تي معلوماتي سسٽم ۾، ڪارناما استعمال ڪندڙ سان لاڳاپيل آهن جيڪي انهن کي استعمال ڪندي انجام ڏنو:
- سسٽم آپريشن لاگز (لاگ).
- خاص خاصيتون ڊيٽا جي شين جي معلومات تي مشتمل آهي صارف جي باري ۾ معلومات جنهن انهن کي ٺاهيو يا تبديل ڪيو.
ڪم جي سيشن جي سلسلي ۾، هن خطري کي ختم ڪري سگهجي ٿو:
- <…> استعمال ڪندڙ سيشن ۾ ڪيو ويو.
- <…> استعمال ڪندڙ سيشن کان ٻاهر عمل ڪيو ويو.
هڪ صارف سيشن شروع ڪري سگهجي ٿو:
- استعمال ڪندڙ پاڻ طرفان.
- خراب ڪندڙ.
هن مرحلي تي، هن خطري جي وچڙندڙ decomposition هن طرح نظر ايندي:
U1.1. غير مجاز ڪارناما يوزر سيشن ۾ ڪيا ويا:
U1.1.1. <…> حملو ڪندڙ صارف پاران نصب ڪيو ويو.
U1.1.2. <…> حملي ڪندڙن پاران نصب ڪيل.
U1.2. غير مجاز ڪارناما صارف سيشن کان ٻاهر ڪيا ويا.
معلومات جي بنيادي ڍانچي جي نقطي نظر کان، جيڪي حملي ڪندڙن کان متاثر ٿي سگهن ٿا، وچولي خطرن جو خاتمو هن طرح نظر ايندو:
شيون
خطري جي خراب ٿيڻ
U1.1.1.
U1.1.2.
U1.2.
ڪسٽمر
U1.1.1.1.
U1.1.2.1.
نيٽ ورڪ ڪنيڪشن
U1.1.1.2.
سرور
U1.2.1.
خراب ٿيڻ
U1.1. غير مجاز ڪارناما يوزر سيشن ۾ ڪيا ويا:
U1.1.1. <…> حملو ڪندڙ صارف پاران نصب ڪيو ويو:
U1.1.1.1. حملي آورن ڪلائنٽ کان آزاديءَ سان ڪم ڪيو:
U1.1.1.1.1 حملو ڪندڙ معياري معلوماتي سسٽم تائين رسائي جا اوزار استعمال ڪيا:
U1.1.1.1.1.1. حملي آورن ڪلائنٽ جي فزيڪل ان پٽ/آئوٽ پُٽ جو مطلب استعمال ڪيو (ڪي بورڊ، ماؤس، مانيٽر يا موبائل ڊوائيس جي ٽچ اسڪرين):
U1.1.1.1.1.1.1. حملي آور ان عرصي دوران هلندا هئا جڏهن سيشن فعال هو، I/O سهولتون موجود هيون، ۽ صارف موجود نه هو.
U1.1.1.1.1.2. حملي آور استعمال ڪيا ريموٽ انتظامي اوزار (معياري يا بدسلوڪي ڪوڊ پاران مهيا ڪيل) ڪلائنٽ کي منظم ڪرڻ لاءِ:
U1.1.1.1.1.2.1. حملي آور ان عرصي دوران هلندا هئا جڏهن سيشن فعال هو، I/O سهولتون موجود هيون، ۽ صارف موجود نه هو.
U1.1.1.1.1.2.2. حملو ڪندڙ ريموٽ انتظامي اوزار استعمال ڪندا هئا، جن جو آپريشن حملو ڪندڙ صارف کان پوشيده هوندو آهي.
U1.1.1.2. حملي ڪندڙن ڊيٽا کي تبديل ڪيو نيٽ ورڪ ڪنيڪشن ۾ ڪلائنٽ ۽ سرور جي وچ ۾، ان کي اهڙي طرح تبديل ڪيو ويو ته اهو سمجهيو ويو ته هڪ جائز صارف جي عملن جي طور تي:
U1.1.1.2.1. لنڪ: .
U1.1.1.3. حملو ڪندڙ صارف کي مجبور ڪيو ته اهي ڪم ڪن جيڪي انهن بيان ڪيا آهن سوشل انجنيئرنگ طريقا استعمال ڪندي.
У1.1.2 <…> حملي ڪندڙن پاران نصب ٿيل:
U1.1.2.1. حملي آورن ڪلائنٽ کان ڪم ڪيو (И):
U1.1.2.1.1. حملي آورن انفارميشن سسٽم جي رسائي ڪنٽرول سسٽم کي غير جانبدار ڪيو:
U1.1.2.1.1.1. لنڪ: .
U1.1.2.1.2. حملي آورن معياري معلوماتي نظام جي رسائي جا اوزار استعمال ڪيا
U1.1.2.2. حملو ڪندڙ ڊيٽا نيٽ ورڪ جي ٻين نوڊس کان ڪم ڪندا هئا، جن مان سرور سان نيٽ ورڪ ڪنيڪشن قائم ٿي سگهي ٿو (И):
U1.1.2.2.1. حملي آورن انفارميشن سسٽم جي رسائي ڪنٽرول سسٽم کي غير جانبدار ڪيو:
U1.1.2.2.1.1. لنڪ: .
U1.1.2.2.2. حملي آورن انفارميشن سسٽم تائين رسائي لاءِ غير معياري وسيلا استعمال ڪيا.
وضاحتون U1.1.2.2.2.
حملو ڪندڙ هڪ ٽئين پارٽي نوڊ تي معلوماتي سسٽم جي معياري ڪلائنٽ کي انسٽال ڪري سگھن ٿا يا غير معياري سافٽ ويئر استعمال ڪري سگھن ٿا جيڪو ڪلائنٽ ۽ سرور جي وچ ۾ معياري مٽاسٽا پروٽوڪول لاڳو ڪري ٿو.
U1.2 غير مجاز ڪارناما صارف سيشن کان ٻاهر ڪيا ويا.
U1.2.1 حملي آورن غير مجاز ڪارناما ڪيا ۽ پوءِ انفارميشن سسٽم جي آپريشن لاگز ۾ غير مجاز تبديليون ڪيون يا ڊيٽا آبجڪس جي خاص خاصيتن ۾، ظاهر ڪن ٿا ته جيڪي ڪارناما انهن ڪيا آهن اهي هڪ جائز استعمال ڪندڙ طرفان ڪيا ويا آهن.
U2. انفارميشن سسٽم جي سرور طرفان پروسيسنگ دوران محفوظ معلومات جي غير مجاز ترميم
خراب ٿيڻ
U2.1. حملو ڪندڙ معياري معلومات سسٽم اوزار استعمال ڪندي محفوظ معلومات کي تبديل ڪندا آهن ۽ اهو هڪ جائز استعمال ڪندڙ جي طرفان ڪندا آهن.
U2.1.1. لنڪ: .
U2.2. حملو ڪندڙ محفوظ معلومات کي تبديل ڪندا آهن ڊيٽا جي رسائي واري ميڪانيزم کي استعمال ڪندي جيڪي معلومات جي سسٽم جي عام آپريشن لاءِ مهيا نه ڪيا ويا آهن.
U2.2.1. حملو ڪندڙ محفوظ ڪيل معلومات تي مشتمل فائلن کي تبديل ڪندا آهن:
U2.2.1.1. <…>، آپريٽنگ سسٽم پاران مهيا ڪيل فائل هينڊلنگ ميڪانيزم کي استعمال ڪندي.
U2.2.1.2. <…> غير مجاز تبديل ٿيل بيڪ اپ ڪاپي مان فائلن جي بحالي کي ثابت ڪندي.
U2.2.2. حملو ڪندڙ ڊيٽابيس ۾ محفوظ ڪيل معلومات کي تبديل ڪندا آهن (И):
U2.2.2.1. حملو ڪندڙ DBMS رسائي ڪنٽرول سسٽم کي غير جانبدار ڪري ڇڏيندا آهن:
U2.2.2.1.1. لنڪ: .
U2.2.2.2. حملو ڪندڙ ڊيٽا تائين رسائي حاصل ڪرڻ لاءِ معياري ڊي بي ايم ايس انٽرفيس استعمال ڪندي معلومات کي تبديل ڪندا آهن.
U2.3. حملو ڪندڙ محفوظ ڪيل معلومات کي تبديل ڪندا آهن غير مجاز ترميمي سافٽ ويئر جي آپريٽنگ الگورتھم جي جيڪا ان تي عمل ڪري ٿي.
U2.3.1. سافٽ ويئر جو سورس ڪوڊ ترميم جي تابع آهي.
U2.3.1. سافٽ ويئر جي مشين ڪوڊ ترميم جي تابع آهي.
U2.4. حملو ڪندڙ معلومات سسٽم سافٽ ويئر ۾ ڪمزورين کي استحصال ڪندي محفوظ معلومات کي تبديل ڪندا آهن.
U2.5. حملو ڪندڙ محفوظ معلومات کي تبديل ڪندا آهن جڏهن اها معلومات سسٽم جي سرور جي حصن جي حصن جي وچ ۾ منتقل ڪئي ويندي آهي (مثال طور، هڪ ڊيٽابيس سرور ۽ ايپليڪيشن سرور):
U2.5.1. لنڪ: .
عام خطرو ماڊل. رسائي ڪنٽرول سسٽم
تحفظ واري شئي جنهن لاءِ خطري جو نمونو (اسڪوپ) لاڳو ڪيو ويو آهي
حفاظتي اعتراض جنهن لاءِ هن خطري جي ماڊل کي لاڳو ڪيو ويو آهي خطري واري ماڊل جي حفاظتي اعتراض سان ملندڙ جلندڙ آهي: ”عام خطري وارو ماڊل. ڪلائنٽ-سرور آرڪيٽيڪچر تي ٺهيل هڪ معلوماتي نظام.
هن خطري جي ماڊل ۾، صارف جي رسائي ڪنٽرول سسٽم جو مطلب آهي معلوماتي سسٽم جو هڪ حصو جيڪو هيٺين ڪمن کي لاڳو ڪري ٿو:
- استعمال ڪندڙ جي سڃاڻپ.
- استعمال ڪندڙ جي تصديق.
- استعمال ڪندڙ اختيارات.
- لاگ ان استعمال ڪندڙ عملن.
اعلي سطحي سيڪيورٽي خطرا
خراب ٿيڻ
يو1. جائز استعمال ڪندڙ جي طرفان سيشن جو غير مجاز قيام.
U2. انفارميشن سسٽم ۾ صارف جي استحقاق ۾ غير مجاز اضافو.
يو1. جائز استعمال ڪندڙ جي طرفان سيشن جو غير مجاز قيام
وضاحت
هن خطري جو خاتمو عام طور تي استعمال ڪندڙ صارف جي سڃاڻپ ۽ تصديق واري نظام جي قسم تي منحصر هوندو.
هن ماڊل ۾، صرف هڪ صارف جي سڃاڻپ ۽ تصديق واري نظام کي استعمال ڪندي ٽيڪسٽ لاگ ان ۽ پاسورڊ سمجهيو ويندو. انهي صورت ۾، اسان اهو فرض ڪنداسين ته صارف لاگ ان عام طور تي دستياب معلومات آهي جيڪا حملي ڪندڙن کي ڄاڻايل آهي.
خراب ٿيڻ
U1.1. <…> سندن جي سمجھوتي جي ڪري:
U1.1.1. حملي آورن کي محفوظ ڪرڻ دوران استعمال ڪندڙ جي سندن سان ٺاهه ڪيو.
وضاحتون U1.1.1.
مثال طور، سندون لکجي سگھن ٿيون هڪ چپڙي نوٽ تي مانيٽر تي لڳل.
U1.1.2. صارف اتفاقي طور تي يا بدسلوڪي طور تي حملو ڪندڙن تائين رسائي جي تفصيل تي منتقل ڪيو.
U1.1.2.1. صارف داخل ٿيڻ سان ئي سندون بلند آواز سان ڳالهايو.
U1.1.2.2. استعمال ڪندڙ ڄاڻي واڻي سندس سندون شيئر ڪيون:
U1.1.2.2.1. <…> ڪم ڪندڙ ساٿين لاءِ.
وضاحتون U1.1.2.2.1.
مثال طور، انهي ڪري ته اهي بيماري دوران ان کي تبديل ڪري سگهن.
U1.1.2.2.2. <…> انفارميشن انفراسٽرڪچر جي شين تي ڪم ڪندڙ ملازمن جي ٺيڪيدارن کي.
U1.1.2.2.3. <…> ٽئين پارٽين ڏانهن.
وضاحتون U1.1.2.2.3.
هڪ، پر هن خطري کي لاڳو ڪرڻ جو واحد آپشن ناهي حملو ڪندڙن پاران سوشل انجنيئرنگ طريقن جو استعمال.
U1.1.3. حملي آورن برٽ فورس طريقن کي استعمال ڪندي سندون منتخب ڪيون:
U1.1.3.1. <…> معياري رسائي ميڪانيزم استعمال ڪندي.
U1.1.3.2. <...> استعمال ڪندي اڳ ۾ روڪيل ڪوڊس (مثال طور، پاسورڊ هيش) سندون محفوظ ڪرڻ لاءِ.
U1.1.4. حملي ڪندڙن صارف جي سند کي روڪڻ لاءِ بدسلوڪي ڪوڊ استعمال ڪيو.
U1.1.5. حملي ڪندڙن ڪلائنٽ ۽ سرور جي وچ ۾ نيٽ ورڪ ڪنيڪشن مان سندون ڪڍيون:
U1.1.5.1. لنڪ: .
U1.1.6. حملي ڪندڙن ڪم مانيٽرنگ سسٽم جي رڪارڊ مان سندون ڪڍيون:
U1.1.6.1. <…> وڊيو نگراني سسٽم (جيڪڏهن ڪي بورڊ تي ڪي اسٽروڪ آپريشن دوران رڪارڊ ڪيا ويا).
U1.1.6.2. <…> ڪمپيوٽر تي ملازم جي عملن جي نگراني لاءِ سسٽم
وضاحتون U1.1.6.2.
اهڙي نظام جو هڪ مثال آهي .
U1.1.7. حملي آورن ٽرانسميشن جي عمل ۾ خامين جي ڪري صارف جي سندن سان سمجھوتو ڪيو.
وضاحتون U1.1.7.
مثال طور، اي ميل ذريعي صاف متن ۾ پاسورڊ موڪلڻ.
U1.1.8. حملي ڪندڙن ريموٽ انتظامي نظام استعمال ڪندي صارف جي سيشن جي نگراني ڪندي سندون حاصل ڪيون.
U1.1.9. حملي آورن ٽيڪنيڪل چينلز (TCUI) ذريعي سندن ليک جي نتيجي ۾ سندون حاصل ڪيون:
U1.1.9.1. حملي ڪندڙن ڏٺو ته ڪيئن صارف ڪيبورڊ مان سندون داخل ڪيون:
U1.1.9.1.1 حملو ڪندڙ صارف جي ويجهو واقع هئا ۽ انهن پنهنجي اکين سان سندن جي داخلا کي ڏٺو.
وضاحتون U1.1.9.1.1
اهڙن ڪيسن ۾ ڪم ڪندڙ ساٿين جا ڪارناما شامل آهن يا اهو ڪيس جڏهن صارف جو ڪيبورڊ تنظيم ڏانهن ويندڙن کي نظر اچي ٿو.
U1.1.9.1.2 حملي آورن اضافي ٽيڪنيڪل وسيلا استعمال ڪيا، جهڙوڪ دوربين يا اڻ پائلٽ هوائي گاڏي، ۽ ونڊو ذريعي سندن جي داخلا کي ڏٺو.
U1.1.9.2. حملي آورن ڪيبورڊ ۽ ڪمپيوٽر سسٽم يونٽ جي وچ ۾ ريڊيو ڪميونيڪيشن مان سندون ڪڍيون جڏهن اهي ريڊيو انٽرفيس ذريعي ڳنڍيا ويا (مثال طور، بلوٽوٿ).
U1.1.9.3. حملي آورن انهن کي چوري ٿيل برقي مقناطيسي تابڪاري ۽ مداخلت (PEMIN) جي چينل ذريعي ليڪ ڪندي سندن کي روڪيو.
وضاحتون U1.1.9.3.
حملن جا مثال и .
U1.1.9.4. حملي آور خاص ٽيڪنيڪل ذريعن (STS) جي استعمال ذريعي ڪيبورڊ مان سندن جي داخلا کي روڪيو جيڪو ڳجهي طور تي معلومات حاصل ڪرڻ لاءِ تيار ڪيو ويو.
وضاحتون U1.1.9.4.
مثال .
U1.1.9.5. حملي آورن ڪيبورڊ استعمال ڪندي سندن جي ان پٽ کي روڪيو
وائي فائي سگنل جو تجزيو استعمال ڪندڙ جي ڪي اسٽروڪ جي عمل ذريعي ترتيب ڏنل.
وضاحتون U1.1.9.5.
مثال طور .
U1.1.9.6. حملي آورن ڪي اسٽروڪ جي آوازن جو تجزيو ڪندي ڪيبورڊ مان سندن جي ان پٽ کي روڪيو.
وضاحتون U1.1.9.6.
مثال طور .
U1.1.9.7. حملي آورن هڪ موبائل ڊيوائس جي ڪيبورڊ مان سندن جي داخلا کي روڪيو، ايڪسليروميٽر ريڊنگ جو تجزيو ڪندي.
وضاحتون U1.1.9.7.
مثال طور .
U1.1.10. <…>، اڳ ۾ محفوظ ڪيل ڪلائنٽ تي.
وضاحتون U1.1.10.
مثال طور، هڪ صارف هڪ مخصوص سائيٽ تائين رسائي حاصل ڪرڻ لاءِ برائوزر ۾ لاگ ان ۽ پاسورڊ محفوظ ڪري سگهي ٿو.
U1.1.11. صارف جي رسائي کي رد ڪرڻ جي عمل ۾ خامين جي ڪري حملو ڪندڙ سندن سان سمجھوتو ڪيو.
وضاحتون U1.1.11.
مثال طور، هڪ صارف کي برطرف ڪرڻ کان پوء، هن جا اڪائونٽ بند ٿي ويا.
U1.2. <…> رسائي ڪنٽرول سسٽم ۾ ڪمزورين کي استحصال ڪندي.
U2. معلوماتي سسٽم ۾ صارف جي استحقاق جي غير مجاز بلندي
خراب ٿيڻ
U2.1 <…> ڊيٽا ۾ غير مجاز تبديليون ڪندي جنهن ۾ صارف جي استحقاق بابت معلومات شامل آهي.
U2.2 <...> رسائي ڪنٽرول سسٽم ۾ ڪمزورين جي استعمال ذريعي.
U2.3. <...> صارف جي رسائي جي انتظام جي عمل ۾ نقصن جي ڪري.
وضاحتون U2.3.
مثال 1. هڪ صارف کي ڪم لاءِ وڌيڪ پهچ ڏني وئي هئي ان کان به وڌيڪ جو هو ڪاروباري سببن جي ڪري گهربل هجي.
مثال 2: هڪ صارف کان پوءِ ٻئي پوزيشن تي منتقل ڪيو ويو، اڳ ۾ ڏنل رسائي جا حق رد نه ڪيا ويا.
عام خطرو ماڊل. انٽيگريشن ماڊل
تحفظ واري شئي جنهن لاءِ خطري جو نمونو (اسڪوپ) لاڳو ڪيو ويو آهي
هڪ انضمام ماڊل معلومات جي بنيادي ڍانچي جي شين جو هڪ سيٽ آهي جيڪو معلومات جي سسٽم جي وچ ۾ معلومات جي بدلي کي منظم ڪرڻ لاء ٺهيل آهي.
انهي حقيقت تي غور ڪندي ته ڪارپوريٽ نيٽ ورڪن ۾ اهو هميشه ممڪن ناهي ته هڪ انفارميشن سسٽم کي ٻئي کان غير واضح طور تي الڳ ڪرڻ لاء، انضمام ماڊل پڻ سمجهي سگهجي ٿو هڪ انفارميشن سسٽم جي اندر اجزاء جي وچ ۾ ڳنڍيل لنڪ.
تعمير
انضمام جي ماڊل جي عام شڪل هن طرح نظر اچي ٿي:
تعميراتي عناصر جي وضاحت:
- "Exchange Server (SO)" - هڪ معلوماتي سسٽم جو هڪ نوڊ / خدمت / جزو جيڪو ٻئي معلوماتي سسٽم سان ڊيٽا کي مٽائڻ جو ڪم انجام ڏئي ٿو.
- "ثالث" - هڪ نوڊ/خدمت جيڪا معلوماتي سسٽم جي وچ ۾ رابطي کي منظم ڪرڻ لاءِ ٺهيل آهي، پر انهن جو حصو ناهي.
مثالون "وچوليون" اتي ٿي سگھي ٿو اي ميل خدمتون، انٽرپرائز سروس بسون (انٽرپرائز سروس بس / SoA آرڪيٽيڪچر)، ٽئين پارٽي فائل سرور، وغيره. عام طور تي، انضمام جي ماڊل ۾ شامل نه ٿي سگھي ٿي "وچولي". - "ڊيٽا پروسيسنگ سافٽ ويئر" - پروگرامن جو هڪ سيٽ جيڪو لاڳو ڪري ٿو ڊيٽا ايڪسچينج پروٽوڪول ۽ فارميٽ جي تبديلي.
مثال طور، UFEBS فارميٽ مان ڊيٽا کي ABS فارميٽ ۾ تبديل ڪرڻ، ٽرانسميشن دوران پيغام جون حالتون تبديل ڪرڻ وغيره. - "نيٽ ورڪ ڪنيڪشن" معياري "نيٽ ورڪ ڪنيڪشن" خطري جي ماڊل ۾ بيان ڪيل اعتراض سان ملندو آهي. مٿي ڏنل ڊراگرام ۾ ڏيکاريل ڪجھ نيٽ ورڪ ڪنيڪشن موجود نه هوندا.
انضمام ماڊلز جا مثال
اسڪيم 1. ٽئين پارٽي فائل سرور ذريعي ABS ۽ AWS KBR جو انضمام
ادائگي تي عمل ڪرڻ لاءِ، هڪ بااختيار بينڪ ملازم ڪور بينڪنگ سسٽم مان اليڪٽرانڪ ادائيگي جا دستاويز ڊائون لوڊ ڪري ٿو ۽ انهن کي فائل ۾ محفوظ ڪري ٿو (پنهنجي شڪل ۾، مثال طور SQL ڊمپ) نيٽ ورڪ فولڊر (...SHARE) تي فائل سرور تي. ان کان پوء هي فائل هڪ ڪنورٽر اسڪرپٽ استعمال ڪندي UFEBS فارميٽ ۾ فائلن جي هڪ سيٽ ۾ تبديل ڪئي وئي آهي، جيڪي پوء CBD ورڪ اسٽيشن پاران پڙهيا ويندا آهن.
ان کان پوء، بااختيار ملازم - خودڪار ڪم جي جڳهه KBR جو استعمال ڪندڙ - وصول ٿيل فائلن کي انڪرپٽ ۽ سائن ان ڪري ٿو ۽ انهن کي بئنڪ آف روس جي ادائيگي واري نظام ڏانهن موڪلي ٿو.
جڏهن بئنڪ آف روس کان ادائگيون وصول ڪيون وينديون آهن، KBR جو خودڪار ڪم ڪار انهن کي ڊيڪرپٽ ڪري ٿو ۽ اليڪٽرانڪ دستخط چيڪ ڪري ٿو، جنهن کان پوء اهو فائلن جي هڪ سيٽ جي صورت ۾ فائل سرور تي UFEBS فارميٽ ۾ رڪارڊ ڪري ٿو. ادائگي جي دستاويزن کي ABS ۾ درآمد ڪرڻ کان اڳ، اھي تبديل ڪيا ويا آھن ڪنورٽر اسڪرپٽ استعمال ڪندي UFEBS فارميٽ کان ABS فارميٽ ۾.
اسان فرض ڪنداسين ته هن اسڪيم ۾، ABS هڪ جسماني سرور تي هلندي آهي، KBR ورڪ اسٽيشن هڪ وقف ٿيل ڪمپيوٽر تي هلندي آهي، ۽ ڪنورٽر اسڪرپٽ هڪ فائيل سرور تي هلندو آهي.
انٽيگريشن ماڊل ماڊل جي عناصرن سان غور ڪيل آريگرام جي شين جي مطابقت:
"ABS پاسي کان سرور مٽايو" - ABS سرور.
"AWS KBR پاسي کان سرور مٽايو" - ڪمپيوٽر ورڪ اسٽيشن KBR.
"ثالث" - ٽئين پارٽي فائل سرور.
"ڊيٽا پروسيسنگ سافٽ ويئر" - ڪنورٽر اسڪرپٽ.
اسڪيم 2. ABS ۽ AWS KBR جو انٽيگريشن جڏهن AWS KBR تي ادائيگين سان گڏ هڪ شيئر نيٽ ورڪ فولڊر رکڻ
هر شي اسڪيم 1 سان ملندڙ جلندڙ آهي، پر هڪ الڳ فائل سرور استعمال نه ڪيو ويو آهي؛ ان جي بدران، هڪ نيٽ ورڪ فولڊر (...SHARE) اليڪٽرانڪ ادائگي جي دستاويزن سان گڏ ڪمپيوٽر تي رکيل آهي CBD جي ورڪ اسٽيشن سان. ڪنورٽر اسڪرپٽ پڻ ڪم ڪري ٿو سي بي ڊي ورڪ اسٽيشن تي.
انٽيگريشن ماڊل ماڊل جي عناصرن سان غور ڪيل آريگرام جي شين جي مطابقت:
ساڳي طرح اسڪيم 1، پر "ثالث" استعمال نه ڪيو ويو.
اسڪيم 3. IBM WebSphera MQ جي ذريعي ABS ۽ خودڪار ڪم واري هنڌ KBR-N جو انضمام ۽ اليڪٽرانڪ دستاويزن تي دستخط “ABS پاسي”
ABS هڪ پليٽ فارم تي هلندي آهي جيڪا CIPF SCAD دستخط طرفان سهڪار نه ڪئي وئي آهي. ٻاهر نڪرڻ واري اليڪٽرانڪ دستاويزن جي دستخط هڪ خاص اليڪٽرانڪ دستخط سرور (ES سرور) تي ڪيو ويندو آهي. ساڳيو سرور روس جي بئنڪ مان ايندڙ دستاويزن تي اليڪٽرانڪ دستخط چيڪ ڪري ٿو.
ABS هڪ فائل اپ لوڊ ڪري ٿو ادائگي جي دستاويزن سان ان جي پنهنجي فارميٽ ۾ ES سرور ڏانهن.
ES سرور، ڪنورٽر اسڪرپٽ استعمال ڪندي، فائل کي تبديل ڪري ٿو اليڪٽرانڪ پيغامن ۾ UFEBS فارميٽ ۾، جنهن کان پوءِ اليڪٽرانڪ پيغامن کي سائن ڪيو وڃي ٿو ۽ IBM WebSphere MQ ڏانهن منتقل ڪيو وڃي ٿو.
KBR-N ورڪ اسٽيشن IBM WebSphere MQ تائين رسائي ڪري ٿو ۽ اتان کان دستخط ٿيل ادائيگي جا پيغام وصول ڪري ٿو، جنهن کان پوءِ هڪ بااختيار ملازم - KBR ورڪ اسٽيشن جو هڪ صارف - انهن کي انڪرپٽ ڪري ٿو ۽ انهن کي بئنڪ آف روس جي ادائيگي واري نظام ڏانهن موڪلي ٿو.
جڏهن بئنڪ آف روس کان ادائيگيون وصول ڪيون وينديون آهن، خودڪار ڪم ڪار KBR-N انهن کي رد ڪري ٿو ۽ اليڪٽرانڪ دستخط جي تصديق ڪري ٿو. ڪاميابيءَ سان ادائگيون ڊڪرپٽ ٿيل ۽ دستخط ٿيل اليڪٽرانڪ پيغامن جي صورت ۾ UFEBS فارميٽ ۾ منتقل ڪيون وينديون آهن IBM WebSphere MQ، جتان اهي وصول ڪيون وينديون آهن اليڪٽرانڪ دستخط سرور.
اليڪٽرانڪ دستخط سرور وصول ٿيل ادائيگي جي اليڪٽرانڪ دستخط جي تصديق ڪري ٿو ۽ انهن کي ABS فارميٽ ۾ فائل ۾ محفوظ ڪري ٿو. ان کان پوء، بااختيار ملازم - ABS استعمال ڪندڙ - نتيجو فائل اپلوڊ ڪري ٿو ABS کي مقرر ڪيل طريقي سان.
انٽيگريشن ماڊل ماڊل جي عناصرن سان غور ڪيل آريگرام جي شين جي مطابقت:
"ABS پاسي کان سرور مٽايو" - ABS سرور.
"AWS KBR پاسي کان سرور مٽايو" - ڪمپيوٽر ورڪ اسٽيشن KBR.
"ثالث" - ES سرور ۽ IBM WebSphere MQ.
"ڊيٽا پروسيسنگ سافٽ ويئر" - اسڪرپٽ ڪنورٽر، ES سرور تي CIPF SCAD دستخط.
اسڪيم 4. آر بي ايس سرور جو انٽيگريشن ۽ ڪور بينڪنگ سسٽم API ذريعي مهيا ڪيل وقف ايڪسچينج سرور
اسان فرض ڪنداسين ته بينڪ ڪيترن ئي ريموٽ بينڪنگ سسٽم (RBS) کي استعمال ڪري ٿو:
- "انٽرنيٽ ڪلائنٽ-بئنڪ" ماڻهن لاءِ (IKB FL)؛
- "انٽرنيٽ ڪلائنٽ بئنڪ" قانوني ادارن لاءِ (IKB LE).
معلومات جي حفاظت کي يقيني بڻائڻ لاءِ، ABS ۽ ريموٽ بينڪنگ سسٽم جي وچ ۾ سڀ لاڳاپا ABS انفارميشن سسٽم جي فريم ورڪ اندر ڪم ڪندڙ وقف ايڪسچينج سرور ذريعي ڪيا ويندا آهن.
اڳيون، اسان IKB LE ۽ ABS جي RBS سسٽم جي وچ ۾ رابطي جي عمل تي غور ڪنداسين.
آر بي ايس سرور، ڪلائنٽ کان صحيح طور تي تصديق ٿيل ادائيگي جي آرڊر حاصل ڪري، ان جي بنياد تي ABS ۾ هڪ لاڳاپيل دستاويز ٺاهڻ گهرجي. هن کي ڪرڻ لاء، API استعمال ڪندي، اها معلومات مٽائي سرور ڏانهن منتقل ڪري ٿي، جيڪا، موڙ ۾، ڊيٽا کي ABS ۾ داخل ڪري ٿي.
جڏهن ڪلائنٽ جو اڪائونٽ بيلنس تبديل ٿئي ٿو، ABS اليڪٽرانڪ نوٽيفڪيشن ٺاهي ٿو، جيڪي مٽا سٽا سرور استعمال ڪندي ريموٽ بينڪنگ سرور ڏانهن منتقل ڪيا ويا آهن.
انٽيگريشن ماڊل ماڊل جي عناصرن سان غور ڪيل آريگرام جي شين جي مطابقت:
"آر بي ايس جي طرف کان سرور مٽايو" - IKB YUL جو RBS سرور.
"ABS پاسي کان سرور مٽايو" - مٽا سٽا سرور.
"ثالث" - غير حاضر.
"ڊيٽا پروسيسنگ سافٽ ويئر" - آر بي ايس سرور جا حصا بدلي سرور API استعمال ڪرڻ جا ذميوار، مٽا سٽا سرور اجزاء بنيادي بينڪنگ API استعمال ڪرڻ جا ذميوار.
اعلي سطحي سيڪيورٽي خطرا
خراب ٿيڻ
يو1. انٽيگريشن ماڊل ذريعي حملي ڪندڙن پاران غلط معلومات جو انجڻ.
يو1. انٽيگريشن ماڊل ذريعي حملي ڪندڙن پاران غلط معلومات جو انجڻ
خراب ٿيڻ
U1.1. نيٽ ورڪ ڪنيڪشن تي منتقل ٿيڻ دوران جائز ڊيٽا جي غير مجاز ترميم:
U1.1.1 لنڪ: .
U1.2. ڪميونيڪيشن چينلز ذريعي غلط ڊيٽا جي منتقلي هڪ جائز مٽاسٽا شرڪت ڪندڙ جي طرفان:
U1.1.2 لنڪ: .
U1.3. ايڪسچينج سرورز يا وچولي تي پروسيسنگ دوران جائز ڊيٽا جي غير مجاز ترميم:
U1.3.1. لنڪ: .
U1.4. ايڪسچينج سرورز تي غلط ڊيٽا ٺاهڻ يا هڪ جائز مٽاسٽا شرڪت ڪندڙ جي طرفان وچولي:
U1.4.1. لنڪ:
U1.5. ڊيٽا جي غير مجاز ترميمي جڏهن پروسيسنگ ڊيٽا پروسيسنگ سافٽ ويئر استعمال ڪندي:
U1.5.1. <...> حملي ڪندڙن جي ڪري ڊيٽا پروسيسنگ سافٽ ويئر جي سيٽنگن (ترتيب) ۾ غير مجاز تبديليون.
U1.5.2. <...> حملي ڪندڙن جي ڪري ڊيٽا پروسيسنگ سافٽ ويئر جي قابل عمل فائلن ۾ غير مجاز تبديليون.
U1.5.3. <…> حملي ڪندڙن پاران ڊيٽا پروسيسنگ سافٽ ويئر جي انٽرايڪٽو ڪنٽرول جي ڪري.
عام خطرو ماڊل. Cryptographic انفارميشن پروٽيڪشن سسٽم
تحفظ واري شئي جنهن لاءِ خطري جو نمونو (اسڪوپ) لاڳو ڪيو ويو آهي
تحفظ جو اعتراض هڪ cryptographic information protect system آهي جيڪو معلوماتي نظام جي حفاظت کي يقيني بڻائڻ لاءِ استعمال ڪيو ويندو آهي.
تعمير
ڪنهن به معلوماتي سسٽم جو بنياد ايپليڪيشن سافٽ ويئر آهي جيڪو پنهنجي ٽارگيٽ ڪارڪردگي کي لاڳو ڪري ٿو.
Cryptographic تحفظ عام طور تي ايپليڪيشن سافٽ ويئر جي ڪاروباري منطق مان cryptographic primitives کي ڪال ڪندي لاڳو ڪيو ويندو آهي، جيڪي خاص لائبريرين ۾ واقع آهن - crypto cores.
Cryptographic primitives ۾ گھٽ-سطح جي cryptographic افعال شامل آھن، جھڙوڪ:
- ڊيٽا جي هڪ بلاڪ کي انڪرپٽ/ڊيڪريٽ ڪريو؛
- ڊيٽا بلاڪ جي هڪ اليڪٽرانڪ دستخط ٺاهي / تصديق ڪريو؛
- ڊيٽا بلاڪ جي هيش فنڪشن کي ڳڻيو؛
- اهم معلومات ٺاهي / لوڊ / اپ لوڊ ڪريو؛
- ۽ وغيره تي.
ايپليڪيشن سافٽ ويئر جو ڪاروباري منطق cryptographic primitives استعمال ڪندي اعلي سطحي ڪارڪردگي کي لاڳو ڪري ٿو:
- منتخب ٿيل وصول ڪندڙن جي ڪنجين کي استعمال ڪندي فائل کي انڪرپٽ ڪريو؛
- هڪ محفوظ نيٽ ورڪ ڪنيڪشن قائم ڪرڻ؛
- اليڪٽرانڪ دستخط جي چڪاس جي نتيجن بابت ڄاڻ؛
- وغيره
ڪاروباري منطق ۽ crypto core جو تعامل ٿي سگھي ٿو:
- سڌي طرح، ڪاروباري منطق جي ذريعي cryptographic primitives کي متحرڪ لائبريرين مان crypto kernel (.DLL Windows لاءِ، .SO for Linux)؛
- سڌي طرح، cryptographic interfaces ذريعي - wrappers، مثال طور، MS Crypto API، Java Cryptography Architecture، PKCS#11، وغيره. ان صورت ۾، ڪاروباري منطق crypto انٽرفيس تائين رسائي ڪري ٿو، ۽ اهو ڪال کي لاڳاپيل crypto core ڏانهن ترجمو ڪري ٿو، جنهن ۾ هن معاملي کي سڏيو ويندو آهي crypto فراهم ڪندڙ. cryptographic interfaces جو استعمال ايپليڪيشن سافٽ ويئر کي مخصوص cryptographic algorithms کان پري رکڻ ۽ وڌيڪ لچڪدار ٿيڻ جي اجازت ڏئي ٿو.
ڪرپٽو ڪور کي منظم ڪرڻ لاءِ ٻه عام اسڪيمون آهن:
اسڪيم 1 - Monolithic crypto core
اسڪيم 2 - ورهايو crypto core
مٿين تصويرن ۾ عناصر يا ته ٿي سگھي ٿو انفرادي سافٽ ويئر ماڊلز جيڪي ھڪڙي ڪمپيوٽر تي ھلندا آھن يا ھڪڙي ڪمپيوٽر نيٽ ورڪ ۾ رابطي ۾ نيٽ ورڪ خدمتون.
جڏهن اسڪيم 1 جي مطابق ٺهيل سسٽم استعمال ڪن ٿا، ايپليڪيشن سافٽ ويئر ۽ crypto core هڪ واحد آپريٽنگ ماحول ۾ crypto tool (SFC) لاءِ هلن ٿا، مثال طور، ساڳئي ڪمپيوٽر تي، ساڳيو آپريٽنگ سسٽم هلائيندڙ. سسٽم استعمال ڪندڙ، ضابطي جي طور تي، ٻين پروگرامن کي هلائي سگھي ٿو، جن ۾ بدسلوڪي ڪوڊ شامل آهن، ساڳئي آپريٽنگ ماحول ۾. اهڙين حالتن ۾، پرائيويٽ ڪرپٽوگرافڪ چيڪن جي ليڪ ٿيڻ جو هڪ سنگين خطرو آهي.
خطري کي گھٽائڻ لاءِ، اسڪيم 2 استعمال ڪيو ويندو آھي، جنھن ۾ crypto core ٻن حصن ۾ ورهايل آھي:
- پهريون حصو، ايپليڪيشن سافٽ ويئر سان گڏ، هڪ ناقابل اعتماد ماحول ۾ هلندي آهي جتي خراب ڪوڊ سان انفيڪشن جو خطرو آهي. اسان هن حصي کي "سافٽ ويئر حصو" سڏينداسين.
- ٻيو حصو قابل اعتماد ماحول ۾ هڪ وقف ٿيل ڊوائيس تي ڪم ڪري ٿو، جنهن ۾ هڪ خانگي ڪي اسٽوريج شامل آهي. ھاڻي اسان ھن حصي کي ”ھارڊويئر“ سڏينداسين.
سافٽ ويئر ۽ هارڊويئر حصن ۾ crypto ڪور جي ورهاڱي تمام خودمختياري آهي. مارڪيٽ تي سسٽم موجود آهن هڪ اسڪيم جي مطابق ٺهيل هڪ ورهايل crypto ڪور سان، پر "هارڊويئر" جو حصو هڪ مجازي مشين جي تصوير جي صورت ۾ پيش ڪيو ويو آهي - مجازي HSM ().
crypto core جي ٻنهي حصن جو لاڳاپو اهڙي طرح ٿئي ٿو ته نجي ڪرپٽوگرافڪ ڪيز ڪڏهن به سافٽ ويئر جي حصي ڏانهن منتقل نه ٿينديون آهن ۽، مطابق، بدسلوڪي ڪوڊ استعمال ڪندي چوري نه ٿي ڪري سگهجي.
انٽرفيس انٽرفيس (API) ۽ cryptographic primitives جو سيٽ اپليڪشن سافٽ ويئر کي crypto core پاران مهيا ڪيل ٻنهي صورتن ۾ ساڳيو آهي. فرق ان تي عمل ڪرڻ جي طريقي ۾ آهي.
اهڙيء طرح، جڏهن ورهايل crypto ڪور سان هڪ اسڪيم استعمال ڪندي، سافٽ ويئر ۽ هارڊويئر جي وچ ۾ رابطي هيٺ ڏنل اصول مطابق ڪيو ويندو آهي:
- Cryptographic primitives جن کي پرائيويٽ ڪنجي جي استعمال جي ضرورت نه آهي (مثال طور، هڪ هيش فنڪشن کي ڳڻڻ، هڪ اليڪٽرانڪ دستخط جي تصديق ڪرڻ، وغيره) سافٽ ويئر پاران انجام ڏنو ويو آهي.
- Cryptographic primitives جيڪي هڪ خانگي ڪنجي استعمال ڪندا آهن (هڪ اليڪٽرانڪ دستخط ٺاهڻ، ڊيٽا کي ڊريپ ڪرڻ، وغيره) هارڊويئر طرفان انجام ڏنو ويندو آهي.
اچو ته ورهايل crypto core جي ڪم کي بيان ڪريون مثال استعمال ڪندي هڪ اليڪٽرانڪ دستخط ٺاهڻ جو:
- سافٽ ويئر حصو حساب ڪري ٿو هش فنڪشن جي دستخط ٿيل ڊيٽا ۽ هن قيمت کي هارڊويئر ڏانهن منتقلي چينل ذريعي crypto cores جي وچ ۾.
- هارڊويئر حصو، پرائيويٽ ڪيچ ۽ هيش استعمال ڪندي، اليڪٽرانڪ دستخط جي قيمت پيدا ڪري ٿو ۽ ان کي مٽائي چينل ذريعي سافٽ ويئر جي حصي ڏانهن منتقل ڪري ٿو.
- سافٽ ويئر حصو وصول ڪيل قيمت کي واپس ڏئي ٿو ايپليڪيشن سافٽ ويئر ڏانهن.
هڪ اليڪٽرانڪ دستخط جي درستگي کي جانچڻ جا خاصيتون
جڏهن وصول ڪندڙ پارٽي اليڪٽرانڪ طور تي دستخط ٿيل ڊيٽا حاصل ڪري ٿي، ان کي لازمي طور تي ڪيترائي تصديق قدم کڻڻ گهرجن. هڪ اليڪٽرانڪ دستخط جي جانچ ڪرڻ جو هڪ مثبت نتيجو صرف حاصل ڪيو ويندو آهي جيڪڏهن تصديق جي سڀني مرحلن کي ڪاميابي سان مڪمل ڪيو وڃي.
اسٽيج 1. ڊيٽا جي سالميت ۽ ڊيٽا جي مصنفيت جو ڪنٽرول.
اسٽيج جو مواد. ڊيٽا جي اليڪٽرانڪ دستخط جي تصديق ڪئي وئي آهي مناسب cryptographic algorithm استعمال ڪندي. هن اسٽيج جي ڪامياب مڪمل ٿيڻ مان ظاهر ٿئي ٿو ته ڊيٽا کي تبديل نه ڪيو ويو آهي ان وقت کان وٺي جڏهن اهو دستخط ڪيو ويو هو، ۽ اهو پڻ ته دستخط هڪ نجي چاٻي سان ڪيو ويو آهي جيڪو اليڪٽرانڪ دستخط جي تصديق ڪرڻ لاء عوامي چيڪ سان لاڳاپيل آهي.
اسٽيج جي جڳھ: crypto ڪور.
اسٽيج 2. دستخط ڪندڙ جي عوامي ڪنجي ۾ اعتماد جو ڪنٽرول ۽ اليڪٽرانڪ دستخط جي پرائيويٽ ڪنجي جي صحيحيت جي مدت جو ڪنٽرول.
اسٽيج جو مواد. اسٽيج ٻن وچولي سب اسٽيجز تي مشتمل آهي. سڀ کان پهريان اهو طئي ڪرڻ آهي ته ڇا اليڪٽرانڪ دستخط جي تصديق ڪرڻ لاء عوامي چيڪ ڊيٽا جي دستخط جي وقت تي اعتماد ڪيو ويو. ٻيو اهو طئي ڪري ٿو ته ڇا اليڪٽرانڪ دستخط جي نجي چيڪ صحيح هئي ڊيٽا تي دستخط ڪرڻ وقت. عام طور تي، انهن چيڪن جي صحيحيت جي مدت هڪجهڙائي نه ٿي سگھي ٿي (مثال طور، اليڪٽرانڪ دستخط جي تصديق جي چيڪن جي قابل سرٽيفڪيٽ لاء). دستخط ڪندڙ جي عوامي ڪنجي ۾ اعتماد قائم ڪرڻ جا طريقا طئي ٿيل آهن اليڪٽرانڪ دستاويزن جي انتظام جي ضابطن جي ذريعي جيڪي مداخلت ڪندڙ پارٽين پاران منظور ڪيا ويا آهن.
اسٽيج جي جڳھ: ايپليڪيشن سافٽ ويئر / crypto core.
اسٽيج 3. دستخط ڪندڙ جي اختيار جو ڪنٽرول.
اسٽيج جو مواد. برقي دستاويز جي انتظام جي قائم ڪيل ضابطن جي مطابق، اهو چيڪ ڪيو ويو آهي ته ڇا دستخط ڪندڙ کي محفوظ ڊيٽا جي تصديق ڪرڻ جو حق آهي. مثال طور، اچو ته اختيار جي خلاف ورزي جي صورتحال ڏيو. فرض ڪريو اتي ھڪڙو ادارو آھي جتي سڀني ملازمن کي اليڪٽرانڪ دستخط آھي. اندروني اليڪٽرانڪ دستاويز مينيجمينٽ سسٽم مئنيجر کان آرڊر وصول ڪري ٿو، پر گودام مينيجر جي اليڪٽرانڪ دستخط سان دستخط ٿيل. تنهن ڪري، اهڙي دستاويز کي جائز سمجهي نه ٿو سگهجي.
اسٽيج جي جڳھ: ايپليڪيشن سافٽ ويئر.
تحفظ جي اعتراض کي بيان ڪرڻ وقت مفروضا ٺاهيا ويا
- انفارميشن ٽرانسميشن چينلز، اهم مٽاسٽا چينلز جي استثنا سان، پڻ ايپليڪيشن سافٽ ويئر، API ۽ crypto ڪور ذريعي گذري ٿو.
- عوامي چابيون ۽ (يا) سرٽيفڪيٽن تي اعتماد جي باري ۾ معلومات، گڏوگڏ عوامي ڪنجي مالڪن جي طاقتن جي باري ۾ معلومات، عوامي ڪي اسٽور ۾ رکيل آهي.
- ايپليڪيشن سافٽ ويئر ڪم ڪري ٿو عوامي ڪي اسٽور سان crypto kernel ذريعي.
CIPF استعمال ڪندي محفوظ ڪيل معلوماتي نظام جو هڪ مثال
اڳ ۾ پيش ڪيل ڊراگرام کي واضع ڪرڻ لاء، اچو ته هڪ فرضي معلوماتي سسٽم تي غور ڪريون ۽ ان تي سڀني ساختماني عناصر کي اجاگر ڪريون.
انفارميشن سسٽم جي وضاحت
ٻنهي تنظيمن پاڻ ۾ قانوني طور تي اهم اليڪٽرانڪ دستاويز مينيجمينٽ (EDF) متعارف ڪرائڻ جو فيصلو ڪيو. هن کي ڪرڻ لاء، اهي هڪ معاهدو ۾ داخل ٿيا جنهن ۾ انهن بيان ڪيو ته دستاويز اي ميل ذريعي منتقل ڪيا ويندا، ۽ ساڳئي وقت انهن کي انڪوڊ ڪيو وڃي ۽ هڪ قابل برقي دستخط سان دستخط ڪيو وڃي. Microsoft Office 2016 پيڪيج مان Office پروگرامن کي دستاويز ٺاهڻ ۽ پروسيس ڪرڻ لاءِ اوزار طور استعمال ڪيو وڃي، ۽ CIPF CryptoPRO ۽ انڪريپشن سافٽ ويئر CryptoARM استعمال ڪيو وڃي cryptographic تحفظ لاءِ.
تنظيم جي بنيادي ڍانچي جي وضاحت 1
تنظيم 1 فيصلو ڪيو ته اهو انسٽال ڪندو CIPF CryptoPRO ۽ CryptoARM سافٽ ويئر صارف جي ڪم اسٽيشن تي - هڪ جسماني ڪمپيوٽر. انڪريپشن ۽ اليڪٽرانڪ دستخط چابيون ruToken ڪي ميڊيا تي محفوظ ڪيون وينديون، ٻيهر حاصل ڪرڻ واري ڪي موڊ ۾ ڪم ڪندي. استعمال ڪندڙ اليڪٽرانڪ دستاويزن کي مقامي طور تي پنهنجي ڪمپيوٽر تي تيار ڪندو، پوءِ مقامي طور تي نصب ٿيل اي ميل ڪلائنٽ استعمال ڪندي انهن کي انڪريپٽ، سائن ۽ موڪليندو.
تنظيم جي بنيادي ڍانچي جي وضاحت 2
آرگنائيزيشن 2 فيصلو ڪيو ته انڪرپشن ۽ اليڪٽرانڪ دستخط جي ڪمن کي هڪ وقف ورچوئل مشين ڏانهن منتقل ڪيو وڃي. هن معاملي ۾، سڀ cryptographic آپريشن خودڪار طريقي سان ڪيو ويندو.
هن کي ڪرڻ لاء، ٻه نيٽ ورڪ فولڊر سرشار ورچوئل مشين تي منظم ڪيا ويا آهن: "...ان"، "...آئوٽ". کليل فارم ۾ مخالف ڌر کان وصول ڪيل فائلون خودڪار طريقي سان نيٽ ورڪ فولڊر ۾ رکيا ويندا "...ان". انهن فائلن کي ڊسڪ ڪيو ويندو ۽ اليڪٽرانڪ دستخط جي تصديق ڪئي ويندي.
استعمال ڪندڙ فائلن کي "...آئوٽ" فولڊر ۾ رکي ٿو جن کي انڪرپٽ، سائن ان ۽ مخالف ڌر ڏانهن موڪليو وڃي ٿو. استعمال ڪندڙ پنهنجي ڪم اسٽيشن تي فائلون پاڻ تيار ڪندو.
انڪريپشن ۽ اليڪٽرانڪ دستخط جي ڪمن کي انجام ڏيڻ لاء، CIPF CryptoPRO، CryptoARM سافٽ ويئر ۽ هڪ اي ميل ڪلائنٽ نصب ٿيل آهن مجازي مشين تي. ورچوئل مشين جي سڀني عنصرن جو خودڪار انتظام ڪيو ويندو اسڪرپٽ استعمال ڪندي سسٽم منتظمين پاران تيار ڪيل. اسڪرپٽ جو ڪم لاگ فائلن ۾ لاگ ان ٿيل آهي.
اليڪٽرانڪ دستخط لاءِ Cryptographic ڪيز هڪ ٽوڪن تي رکيا ويندا هڪ غير ٻيهر حاصل ڪرڻ جي قابل JaCarta GOST سان، جنهن کي صارف پنهنجي مقامي ڪمپيوٽر سان ڳنڍيندو.
ٽوڪن کي ورچوئل مشين ڏانهن موڪليو ويندو خاص USB-over-IP سافٽ ويئر استعمال ڪندي استعمال ڪندڙ جي ورڪ اسٽيشن تي نصب ڪيل ۽ ورچوئل مشين تي.
تنظيم 1 ۾ صارف جي ڪم اسٽيشن تي سسٽم ڪلاڪ دستي طور تي ترتيب ڏني ويندي. آرگنائيزيشن 2 ۾ وقف ورچوئل مشين جي سسٽم ڪلاڪ کي هائپر وائيزر سسٽم ڪلاڪ سان هم وقت سازي ڪئي ويندي، جنهن جي نتيجي ۾ انٽرنيٽ تي عوامي وقت جي سرورن سان هم وقت سازي ڪئي ويندي.
CIPF جي ساخت جي عناصر جي سڃاڻپ
آئي ٽي انفراسٽرڪچر جي مٿين وضاحت جي بنياد تي، اسان CIPF جي ساخت جي عناصر کي اجاگر ڪنداسين ۽ انهن کي ٽيبل ۾ لکنداسين.
جدول - CIPF ماڊل عناصر جو خطوط معلومات سسٽم عناصر سان
شيءَ جو نالو
تنظيم 1
تنظيم 2
ايپليڪيشن سافٽ ويئر
CryptoARM سافٽ ويئر
CryptoARM سافٽ ويئر
سافٽ ويئر جو حصو crypto core
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
Crypto ڪور هارڊويئر
غير حاضر
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
پبلڪ ڪيچ اسٽور
استعمال ڪندڙ جي ڪم اسٽيشن:
- HDD؛
- معياري ونڊوز سرٽيفڪيٽ اسٽور.
هائپرائزر:
- ايڇ ڊي ڊي.
مجازي مشين:
- HDD؛
- معياري ونڊوز سرٽيفڪيٽ اسٽور.
نجي چاٻي اسٽوريج
ruToken اهم ڪيريئر ٻيهر حاصل ڪرڻ واري ڪي موڊ ۾ ڪم ڪري رهيو آهي
JaCarta GOST اهم ڪيريئر غير هٽائڻ واري ڪي موڊ ۾ ڪم ڪري رهيو آهي
عوامي اهم مٽاسٽا چينل
استعمال ڪندڙ جي ڪم اسٽيشن:
- رام.
هائپرائزر:
- رام.
مجازي مشين:
- رام.
نجي اهم مٽاسٽا چينل
استعمال ڪندڙ جي ڪم اسٽيشن:
- USB بس؛
- رام.
غير حاضر
مٽا سٽا چينل جي وچ ۾ crypto cores
غائب (نه crypto ڪور هارڊويئر)
استعمال ڪندڙ جي ڪم اسٽيشن:
- USB بس؛
- رام؛
- USB-over-IP سافٽ ويئر ماڊل؛
- نيٽ ورڪ انٽرفيس.
تنظيم جو ڪارپوريٽ نيٽ ورڪ 2.
هائپرائزر:
- رام؛
- نيٽ ورڪ انٽرفيس.
مجازي مشين:
- نيٽ ورڪ انٽرفيس؛
- رام؛
- USB-over-IP سافٽ ويئر ماڊل.
کوليو ڊيٽا چينل
استعمال ڪندڙ جي ڪم اسٽيشن:
- ان پٽ-آئوٽ جو مطلب؛
- رام؛
- ايڇ ڊي ڊي.
استعمال ڪندڙ جي ڪم اسٽيشن:
- ان پٽ-آئوٽ جو مطلب؛
- رام؛
- HDD؛
- نيٽ ورڪ انٽرفيس.
تنظيم جو ڪارپوريٽ نيٽ ورڪ 2.
هائپرائزر:
- نيٽ ورڪ انٽرفيس؛
- رام؛
- ايڇ ڊي ڊي.
مجازي مشين:
- نيٽ ورڪ انٽرفيس؛
- رام؛
- ايڇ ڊي ڊي.
محفوظ ڊيٽا ايڪسچينج چينل
انٽرنيٽ.
تنظيم جو ڪارپوريٽ نيٽ ورڪ 1.
استعمال ڪندڙ جي ڪم اسٽيشن:
- HDD؛
- رام؛
- نيٽ ورڪ انٽرفيس.
انٽرنيٽ.
تنظيم جو ڪارپوريٽ نيٽ ورڪ 2.
هائپرائزر:
- نيٽ ورڪ انٽرفيس؛
- رام؛
- ايڇ ڊي ڊي.
مجازي مشين:
- نيٽ ورڪ انٽرفيس؛
- رام؛
- ايڇ ڊي ڊي.
ٽائيم چينل
استعمال ڪندڙ جي ڪم اسٽيشن:
- ان پٽ-آئوٽ جو مطلب؛
- رام؛
- سسٽم ٽائمر.
انٽرنيٽ.
تنظيم جو ڪارپوريٽ نيٽ ورڪ 2،
هائپرائزر:
- نيٽ ورڪ انٽرفيس؛
- رام؛
- سسٽم ٽائمر.
مجازي مشين:
- رام؛
- سسٽم ٽائمر.
ڪنٽرول حڪم ٽرانسميشن چينل
استعمال ڪندڙ جي ڪم اسٽيشن:
- ان پٽ-آئوٽ جو مطلب؛
- رام.
(CryptoARM سافٽ ويئر جو گرافڪ يوزر انٽرفيس)
مجازي مشين:
- رام؛
- ايڇ ڊي ڊي.
(خودڪار اسڪرپٽ)
ڪم جا نتيجا حاصل ڪرڻ لاءِ چينل
استعمال ڪندڙ جي ڪم اسٽيشن:
- ان پٽ-آئوٽ جو مطلب؛
- رام.
(CryptoARM سافٽ ويئر جو گرافڪ يوزر انٽرفيس)
مجازي مشين:
- رام؛
- ايڇ ڊي ڊي.
(آٽوميشن اسڪرپٽس جون فائلون لاگ ان ڪريو)
اعلي سطحي سيڪيورٽي خطرا
وضاحت
خطرن کي ختم ڪرڻ وقت مفروضا ڪيا ويا:
- مضبوط cryptographic algorithms استعمال ڪيا ويا آهن.
- Cryptographic algorithms آپريشن جي صحيح طريقن ۾ محفوظ طور تي استعمال ڪيا ويا آهن (مثال طور. ڊيٽا جي وڏي مقدار کي انڪرپٽ ڪرڻ لاء استعمال نه ڪيو ويو آهي، چاٻي تي جائز لوڊ حساب ۾ ورتو وڃي ٿو، وغيره).
- حملو ڪندڙ سڀ الگورتھم، پروٽوڪول ۽ عوامي چابيون استعمال ڪن ٿا.
- حملو ڪندڙ سڀ انڪوڊ ٿيل ڊيٽا پڙهي سگهن ٿا.
- حملو ڪندڙ سسٽم ۾ ڪنهن به سافٽ ويئر عناصر کي ٻيهر پيدا ڪرڻ جي قابل آهن.
خراب ٿيڻ
يو1. نجي cryptographic چابين جو سمجھوت.
U2. جائز موڪليندڙ جي طرفان جعلي ڊيٽا کي انڪرپٽ ڪرڻ.
U3. انڪريپٽ ٿيل ڊيٽا جي ڊيڪرپشن ماڻهن طرفان جيڪي ڊيٽا جا جائز وصول ڪندڙ نه آهن (حملو ڪندڙ).
U4. غلط ڊيٽا جي تحت هڪ جائز دستخط ڪندڙ جي اليڪٽرانڪ دستخط جي تخليق.
U5. جعلي ڊيٽا جي اليڪٽرانڪ دستخط کي جانچڻ کان مثبت نتيجو حاصل ڪرڻ.
U6. اليڪٽرڪ دستاويزن جي غلط قبوليت جي عمل لاءِ اليڪٽرانڪ دستاويز جي انتظام کي منظم ڪرڻ ۾ مسئلن جي ڪري.
U7. CIPF پاران انهن جي پروسيسنگ دوران محفوظ ڊيٽا تائين غير مجاز رسائي.
يو1. نجي cryptographic چابين جو سمجھوت
U1.1. پرائيويٽ ڪنجي کي پرائيويٽ ڪي اسٽور تان حاصل ڪرڻ.
U1.2. crypto-tool جي آپريٽنگ ماحول ۾ شين مان هڪ خانگي ڪنجي حاصل ڪرڻ، جنهن ۾ اهو عارضي طور تي رهي سگهي ٿو.
وضاحتون U1.2.
شيون جيڪي عارضي طور تي خانگي ڪنجي کي محفوظ ڪري سگھن ٿيون انھن ۾ شامل آھن:
- رام،
- عارضي فائلون،
- فائلون تبديل ڪرڻ،
- hibernation فائلون،
- ورچوئل مشينن جي ”گرم“ حالت جون سنيپ شاٽ فائلون، بشمول بند ٿيل ورچوئل مشينن جي رام جي مواد جون فائلون.
U1.2.1. ڪم ڪندڙ RAM مان خانگي چابيون ڪڍڻ، رام ماڊلز کي منجمد ڪندي، انهن کي هٽائڻ ۽ پوءِ ڊيٽا کي پڙهڻ (منجمد حملو).
وضاحتون U1.2.1.
مثال طور .
U1.3. هڪ خانگي چاٻي جي مٽاسٽا واري چينل مان حاصل ڪرڻ.
وضاحتون U1.3.
ان خطري جي نفاذ جو هڪ مثال ڏنو ويندو .
U1.4. crypto ڪور جي غير مجاز تبديلي، جنهن جي نتيجي ۾ نجي چابيون حملي ڪندڙن کي معلوم ٿي وڃن ٿيون.
U1.5. ٽيڪنيڪل انفارميشن ليڪج چينلز (TCIL) جي استعمال جي نتيجي ۾ هڪ خانگي ڪنجي جو سمجھوتو.
وضاحتون U1.5.
مثال طور .
U1.6. خاص ٽيڪنيڪل ذريعن (STS) جي استعمال جي نتيجي ۾ هڪ خانگي ڪنجي جو سمجھوتو ڳجھي طور تي معلومات حاصل ڪرڻ لاءِ ٺهيل آهي (“بگ”).
U1.7. CIPF کان ٻاهر انهن جي اسٽوريج دوران نجي چابمن جو سمجھوت.
وضاحتون U1.7.
مثال طور، هڪ صارف پنهنجي اهم ميڊيا کي ڊيسڪ ٽاپ دراز ۾ محفوظ ڪري ٿو، جتان انهن کي آساني سان حملو ڪندڙن طرفان ٻيهر حاصل ڪري سگهجي ٿو.
U2. هڪ جائز موڪليندڙ جي طرفان جعلي ڊيٽا کي انڪرپٽ ڪرڻ
وضاحت
اهو خطرو صرف ڊيٽا انڪرپشن اسڪيمن لاءِ سمجهيو ويندو آهي موڪليندڙ جي تصديق سان. اهڙين اسڪيمن جا مثال معيار جي سفارشن ۾ ظاهر ڪيا ويا آهن . ٻين ڪرپٽوگرافڪ اسڪيمن لاءِ، هي خطرو موجود ناهي، ڇو ته انڪرپشن وصول ڪندڙ جي عوامي ڪنجين تي ڪئي ويندي آهي، ۽ اهي عام طور تي حملو ڪندڙن کي سڃاتا ويندا آهن.
خراب ٿيڻ
U2.1. موڪليندڙ جي خانگي چاٻي سان سمجھوتو ڪرڻ:
U2.1.1. لنڪ: .
U2.2. هڪ کليل ڊيٽا ايڪسچينج چينل ۾ ان پٽ ڊيٽا جي متبادل.
نوٽس U2.2.
هن خطري کي لاڳو ڪرڻ جا مثال هيٺ ڏجن ٿا. и .
U3. انڪريپٽ ٿيل ڊيٽا جي ڊڪرپشن انهن ماڻهن طرفان جيڪي ڊيٽا جا جائز وصول ڪندڙ نه آهن (حملو ڪندڙ)
خراب ٿيڻ
U3.1. انڪوڊ ٿيل ڊيٽا جي وصول ڪندڙ جي خانگي چابين جو سمجھوت.
U3.1.1 لنڪ: .
U3.2. هڪ محفوظ ڊيٽا ايڪسچينج چينل ۾ انڪرپٽ ٿيل ڊيٽا جي متبادل.
U4. غلط ڊيٽا جي تحت هڪ جائز دستخط ڪندڙ جي اليڪٽرانڪ دستخط ٺاهڻ
خراب ٿيڻ
U4.1. هڪ جائز دستخط ڪندڙ جي اليڪٽرانڪ دستخط جي خانگي چابين جو ٺاهه.
U4.1.1 لنڪ: .
U4.2. هڪ کليل ڊيٽا ايڪسچينج چينل ۾ دستخط ٿيل ڊيٽا جي متبادل.
نوٽ U4.2.
هن خطري کي لاڳو ڪرڻ جا مثال هيٺ ڏجن ٿا. и .
U5. جعلي ڊيٽا جي اليڪٽرانڪ دستخط کي جانچڻ کان مثبت نتيجو حاصل ڪرڻ
خراب ٿيڻ
U5.1. حملو ڪندڙ چينل ۾ هڪ پيغام کي روڪيندا آهن ڪم جي نتيجن کي منتقل ڪرڻ لاءِ هڪ اليڪٽرڪ دستخط چيڪ ڪرڻ جي منفي نتيجن جي باري ۾ ۽ ان کي تبديل ڪري هڪ پيغام سان مثبت نتيجو سان.
U5.2. حملو ڪندڙ سرٽيفڪيٽن تي دستخط ڪرڻ ۾ اعتماد تي حملو ڪندا آهن (اسڪرپٽ - سڀ عناصر گھربل آھن):
U5.2.1. حملو ڪندڙ هڪ اليڪٽرانڪ دستخط لاءِ عوامي ۽ خانگي چاٻي ٺاهيندا آهن. جيڪڏهن سسٽم استعمال ڪري ٿو اليڪٽرڪ دستخط ڪي سرٽيفڪيٽ، پوء اهي ٺاهيندا آهن هڪ اليڪٽرانڪ دستخط سرٽيفڪيٽ جيڪو ممڪن آهي جيترو ممڪن آهي ڊيٽا جي موڪليندڙ جي سرٽيفڪيٽ سان جنهن جو پيغام اهي جعل ڪرڻ چاهيندا آهن.
U5.2.2. حملو ڪندڙ عوامي ڪيئي اسٽور ۾ غير مجاز تبديليون ڪن ٿا، عوامي ڪنجي ڏيڻ سان اهي ضروري سطح تي اعتماد ۽ اختيار پيدا ڪن ٿا.
U5.2.3. حملو ڪندڙ اڳ ۾ ٺاهيل اليڪٽرانڪ دستخطي چيڪ سان غلط ڊيٽا تي دستخط ڪن ٿا ۽ ان کي محفوظ ڊيٽا ايڪسچينج چينل ۾ داخل ڪن ٿا.
U5.3. حملو ڪندڙ هڪ قانوني دستخط ڪندڙ (اسڪرپٽ - سڀ عناصر گھربل آھن):
U5.3.1. حملو ڪندڙ سمجهوتو ختم ٿي چڪو آهي (في الحال صحيح ناهي) هڪ جائز موڪليندڙ جي اليڪٽرانڪ دستخط جي نجي چابيون.
U5.3.2. حملو ڪندڙ ٽائيم ٽرانسميشن چينل ۾ وقت کي ان وقت سان تبديل ڪندا آهن جنهن وقت سمجھوتي ڪيل چابيون اڃا تائين صحيح هيون.
U5.3.3. حملا ڪندڙ غلط ڊيٽا تي دستخط ڪن ٿا اڳي سمجھوتي ٿيل اليڪٽرانڪ دستخطي چيڪ سان ۽ ان کي محفوظ ڊيٽا ايڪسچينج چينل ۾ داخل ڪن ٿا.
U5.4. حملو ڪندڙ هڪ قانوني دستخط ڪندڙ (اسڪرپٽ - سڀ عناصر گھربل آھن):
U5.4.1. حملو ڪندڙ عوامي ڪي اسٽور جي ڪاپي ٺاهي ٿو.
U5.4.2. حملو ڪندڙ جائز موڪليندڙن مان هڪ جي خانگي ڪنجين کي سمجهوتو ڪندا آهن. هو سمجھوتي کي نوٽيس ڪري ٿو، چاٻين کي رد ڪري ٿو، ۽ اهم رد ڪرڻ بابت معلومات عوامي ڪي اسٽور ۾ رکيل آهي.
U5.4.3. حملو ڪندڙ عوامي ڪي اسٽور کي اڳ ۾ نقل ڪيل هڪ سان تبديل ڪن ٿا.
U5.4.4. حملا ڪندڙ غلط ڊيٽا تي دستخط ڪن ٿا اڳي سمجھوتي ٿيل اليڪٽرانڪ دستخطي چيڪ سان ۽ ان کي محفوظ ڊيٽا ايڪسچينج چينل ۾ داخل ڪن ٿا.
U5.5. <…> اليڪٽرانڪ دستخط جي تصديق جي 2nd ۽ 3rd مرحلن تي عمل درآمد ۾ غلطين جي موجودگي جي ڪري:
وضاحتون U5.5.
ان خطري جي نفاذ جو هڪ مثال ڏنو ويو آهي .
U5.5.1. هڪ اليڪٽرانڪ دستخط جي اهم سرٽيفڪيٽ ۾ اعتماد جي چڪاس صرف سرٽيفڪيٽ ۾ اعتماد جي موجودگي جي ڪري جنهن سان اهو دستخط ٿيل آهي، بغير CRL يا OCSP چيڪن جي.
وضاحتون U5.5.1.
مثال لاڳو ڪرڻ .
U5.5.2. جڏهن هڪ سرٽيفڪيٽ لاءِ اعتماد واري زنجير ٺاهي ، سرٽيفڪيٽ جاري ڪرڻ جي اختيارين جو تجزيو نه ڪيو وڃي
وضاحتون U5.5.2.
SSL/TLS سرٽيفڪيٽ جي خلاف حملي جو هڪ مثال.
حملي آورن پنهنجي اي ميل لاءِ هڪ جائز سرٽيفڪيٽ خريد ڪيو. انهن وري هڪ فريب سائيٽ سرٽيفڪيٽ ٺاهيو ۽ ان کي پنهنجي سرٽيفڪيٽ سان سائن ڪيو. جيڪڏهن سند جي جانچ نه ڪئي وڃي ته پوءِ امانت جي زنجير جي جانچ ڪرڻ وقت اها صحيح نڪرندي، ۽ ان حساب سان جعلي سند به صحيح ٿيندي.
U5.5.3. جڏهن هڪ سرٽيفڪيٽ اعتماد واري زنجير کي تعمير ڪندي، وچولي سرٽيفڪيٽ کي رد ڪرڻ جي جانچ نه ڪئي وئي آهي.
U5.5.4. CRLs کي سرٽيفڪيشن اٿارٽي پاران جاري ڪيل ڀيٽ ۾ گھٽ اپڊيٽ ڪيو ويندو آھي.
U5.5.5. اليڪٽرڪ دستخط تي ڀروسو ڪرڻ جو فيصلو ان کان اڳ ڪيو ويندو آهي جنهن کان اڳ OCSP جواب حاصل ڪيو ويندو آهي سرٽيفڪيٽ جي حيثيت بابت، هڪ درخواست تي موڪليو ويندو آهي جيڪو دستخط پيدا ٿيڻ کان پوءِ يا ايندڙ CRL کان اڳ ۾ دستخط پيدا ٿيڻ کان پوءِ ڪيو ويو هو.
وضاحتون U5.5.5.
اڪثر CAs جي ضابطن ۾، سرٽيفڪيٽ جي منسوخي جي وقت کي ويجھي CRL جي جاري ٿيڻ جو وقت سمجهيو ويندو آهي جنهن ۾ سرٽيفڪيٽ جي منسوخي بابت معلومات هوندي آهي.
U5.5.6. جڏهن دستخط ٿيل ڊيٽا حاصل ڪري، سرٽيفڪيٽ جو تعلق موڪليندڙ سان آهي، چيڪ نه ڪيو ويو آهي.
وضاحتون U5.5.6.
حملي جو مثال. SSL سرٽيفڪيٽن جي سلسلي ۾: سرٽيفڪيشن ۾ CN فيلڊ جي قيمت سان سڏيو ويندو سرور ايڊريس جي چڪاس نه ٿي سگھي.
حملي جو مثال. حملي آورن ادائگي جي نظام جي شرڪت ڪندڙن مان هڪ جي اليڪٽرانڪ دستخطي چابين کي سمجھوتو ڪيو. ان کان پوء، انهن هڪ ٻئي شرڪت ڪندڙ جي نيٽ ورڪ ۾ هيڪ ڪيو ۽، هن جي طرفان، ادائگي جي دستاويز موڪليائين جيڪي سمجھوتي ڪيل چابمن سان دستخط ٿيل ادائگي جي سسٽم جي سيٽلمينٽ سرور ڏانهن. جيڪڏهن سرور صرف اعتماد جو تجزيو ڪري ٿو ۽ تعميل جي جانچ نٿو ڪري، ته پوءِ جعلي دستاويز جائز سمجهيا ويندا.
U6. اليڪٽرڪ دستاويزن جي غلط قبوليت جي عمل لاءِ اليڪٽرانڪ دستاويز جي انتظام کي منظم ڪرڻ ۾ مسئلن جي ڪري.
خراب ٿيڻ
U6.1. وصول ڪندڙ پارٽي وصول ٿيل دستاويزن جي نقل نه ڳولي ٿو.
وضاحتون U6.1.
حملي جو مثال. حملو ڪندڙ هڪ دستاويز کي روڪي سگهي ٿو جيڪو هڪ وصول ڪندڙ ڏانهن منتقل ڪيو پيو وڃي، جيتوڻيڪ اهو cryptographically محفوظ آهي، ۽ پوء بار بار ان کي محفوظ ڊيٽا ٽرانسميشن چينل تي موڪليو. جيڪڏهن وصول ڪندڙ نقلن جي سڃاڻپ نه ڪندو آهي، ته سڀئي وصول ٿيل دستاويز سمجهيا ويندا ۽ مختلف دستاويزن جي طور تي عمل ڪيو ويندو.
U7. CIPF پاران انهن جي پروسيسنگ دوران محفوظ ڊيٽا تائين غير مجاز رسائي
خراب ٿيڻ
U7.1. <…> سائڊ چينلز ذريعي معلومات جي رسي جي ڪري (سائيڊ چينل حملو).
وضاحتون U7.1.
مثال طور .
U7.2. <...> CIPF تي عمل ڪيل معلومات تائين غير مجاز رسائي جي خلاف تحفظ جي غير جانبدار ٿيڻ جي ڪري:
U7.2.1. CIPF جو آپريشن CIPF لاءِ دستاويز ۾ بيان ڪيل ضرورتن جي ڀڃڪڙي ۾.
U7.2.2. <…>، ڪيو ويو ان ۾ ڪمزورين جي موجودگي جي ڪري:
U7.2.2.1. <...> غير مجاز رسائي جي خلاف تحفظ جو مطلب.
U7.2.2.2. <…> CIPF پاڻ.
U7.2.2.3. <…> crypto-tool جو آپريٽنگ ماحول.
حملن جا مثال
هيٺ ڏنل بحث ڪيل منظرنامو واضح طور تي معلومات جي حفاظت جي غلطين تي مشتمل آهي ۽ صرف ممڪن حملن کي بيان ڪرڻ لاءِ پيش ڪن ٿا.
منظر 1. خطرن جي نفاذ جو مثال U2.2 ۽ U4.2.
اعتراض جي وضاحت
AWS KBR سافٽ ويئر ۽ CIPF SCAD دستخط هڪ فزيڪل ڪمپيوٽر تي نصب ٿيل آهن جيڪي ڪمپيوٽر نيٽ ورڪ سان ڳنڍيل نه آهن. FKN vdToken هڪ اهم ڪيريئر جي طور تي استعمال ڪيو ويندو آهي ڪم ڪرڻ جي موڊ ۾ هڪ غير هٽائڻ واري چاٻي سان.
آبادي جا ضابطا فرض ڪن ٿا ته سيٽلمينٽ اسپيشلسٽ پنهنجي ڪم جي ڪمپيوٽر مان اليڪٽرانڪ پيغامن کي صاف متن ۾ ڊائون لوڊ ڪري ٿو (پراڻي KBR ورڪ اسٽيشن جي اسڪيم) هڪ خاص محفوظ فائل سرور کان، پوءِ انهن کي منتقلي لائق USB فليش ڊرائيو تي لکي ٿو ۽ انهن کي KBR ورڪ اسٽيشن ڏانهن منتقل ڪري ٿو، جتي اهي مرڪوز ٿيل آهن ۽ نشانيون. ان کان پوء، ماهر محفوظ اليڪٽرانڪ پيغامن کي ڌار ڌار وچولي ڏانهن منتقل ڪري ٿو، ۽ پوء، پنهنجي ڪم ڪمپيوٽر جي ذريعي، انهن کي فائل سرور ڏانهن لکي ٿو، جتان اهي UTA ڏانهن ويندا آهن ۽ پوء روس جي بئنڪ جي ادائيگي واري نظام ڏانهن.
انهي صورت ۾، کليل ۽ محفوظ ڊيٽا جي تبادلي لاء چينل شامل آهن: هڪ فائيل سرور، هڪ ماهرن جو ڪم ڪمپيوٽر، ۽ اجنبي ميڊيا.
حملو ٿيو
غير مجاز حملو ڪندڙ هڪ ماهر جي ڪم جي ڪمپيوٽر تي ريموٽ ڪنٽرول سسٽم نصب ڪن ٿا ۽، ادائگي جي آرڊر (اليڪٽرانڪ پيغامن) کي منتقلي جي قابل وچولي ۾ لکڻ جي وقت، انهن مان هڪ جي مواد کي صاف متن ۾ تبديل ڪريو. ماهر ادائگي جا آرڊر KBR پاڻمرادو ڪم جي جڳه تي منتقل ڪري ٿو، انهن کي نشانو ۽ انڪرپٽ ڪري ٿو بغير ڪنهن متبادل جي (مثال طور، وڏي تعداد ۾ ادائگي جي آرڊر جي ڪري اڏام تي، ٿڪاوٽ وغيره). ان کان پوء، جعلي ادائگي جي حڪم، ٽيڪنالاجي زنجير جي ذريعي گذري، روس جي بئنڪ جي ادائگي جي نظام ۾ داخل ٿيو.
منظر 2. خطرن جي نفاذ جو مثال U2.2 ۽ U4.2.
اعتراض جي وضاحت
هڪ ڪمپيوٽر هڪ نصب ٿيل ورڪ اسٽيشن KBR، SCAD دستخط ۽ هڪ ڳنڍيل اهم ڪيريئر FKN vdToken سان ڪم ڪري ٿو هڪ وقف ڪمري ۾ عملدار جي رسائي کان سواءِ.
حساب ڪتاب جو ماهر RDP پروٽوڪول ذريعي ريموٽ رسائي موڊ ۾ CBD ورڪ اسٽيشن سان ڳنڍي ٿو.
حملو ٿيو
حملو ڪندڙ تفصيلن کي روڪيندا آهن، جنهن کي استعمال ڪندي ڳڻپيوڪر ماهر سي بي ڊي ورڪ اسٽيشن سان ڳنڍي ۽ ڪم ڪري ٿو (مثال طور، هن جي ڪمپيوٽر تي بدسلوڪي ڪوڊ ذريعي). ان کان پوء اهي هن جي طرفان ڳنڍيندا آهن ۽ هڪ جعلي ادائيگي آرڊر موڪليندا آهن بئنڪ آف روس جي ادائيگي واري نظام کي.
منظر 3. خطري تي عمل درآمد جو مثال U1.3.
اعتراض جي وضاحت
اچو ته هڪ فرضي آپشن تي غور ڪريون ABS-KBR انٽيگريشن ماڊلز کي لاڳو ڪرڻ لاءِ هڪ نئين اسڪيم (AWS KBR-N) لاءِ، جنهن ۾ ABS پاسي کان ٻاهر نڪرندڙ دستاويزن جي اليڪٽرانڪ دستخط ٿئي ٿي. انهي صورت ۾، اسان اهو فرض ڪنداسين ته ABS هڪ آپريٽنگ سسٽم جي بنياد تي هلندي آهي جيڪا CIPF SKAD دستخط سان سهڪار نه ڪئي وئي آهي، ۽، مطابق، cryptographic ڪارڪردگي هڪ الڳ ورچوئل مشين ڏانهن منتقل ڪيو ويو آهي - "ABS-KBR" انضمام. ماڊل
هڪ باقاعده يو ايس بي ٽوڪن جيڪو ٻيهر حاصل ڪرڻ واري ڪي موڊ ۾ ڪم ڪندو آهي هڪ اهم ڪيريئر طور استعمال ڪيو ويندو آهي. جڏهن اهم ميڊيا کي هائپرائزر سان ڳنڍيندي، اهو ظاهر ٿيو ته سسٽم ۾ ڪي به مفت USB بندرگاهن نه هئا، تنهنڪري اهو USB ٽوڪن کي نيٽ ورڪ USB هب ذريعي ڳنڍڻ جو فيصلو ڪيو ويو، ۽ ورچوئل تي USB-over-IP ڪلائنٽ نصب ڪيو. مشين، جيڪو مرڪز سان رابطو ڪندو.
حملو ٿيو
حملي آورن يو ايس بي حب ۽ هائپر وائزر جي وچ ۾ ڪميونيڪيشن چينل مان اليڪٽرانڪ دستخط جي پرائيويٽ ڪنجي کي روڪيو (ڊيٽا واضح متن ۾ منتقل ڪئي وئي). پرائيويٽ ڪنجي هئڻ ڪري، حملي آورن هڪ جعلي ادائيگي جو آرڊر تيار ڪيو، ان کي اليڪٽرانڪ دستخط سان سائن ڪيو ۽ ان کي KBR-N خودڪار ڪم واري جڳهه تي عملدرآمد لاءِ موڪليو.
منظر 4. خطرن جي نفاذ جو مثال U5.5.
اعتراض جي وضاحت
اچو ته ساڳئي سرڪٽ تي غور ڪريو جيئن اڳئين منظر ۾. اسان فرض ڪنداسين ته KBR-N ورڪ اسٽيشن مان ايندڙ اليڪٽرانڪ پيغام ... SHAREIn فولڊر ۾ ختم ٿي ويندا آهن، ۽ جيڪي KBR-N ورڪ اسٽيشن ڏانهن موڪليا ويندا آهن ۽ اڳتي وڌندا آهن بينڪ آف روس جي ادائيگي واري نظام ڏانهن ... SHAREout.
اسان اهو به فرض ڪنداسين ته انٽيگريشن ماڊل کي لاڳو ڪرڻ وقت، سرٽيفڪيٽن جي منسوخي جون لسٽون صرف ان وقت اپڊيٽ ڪيون وينديون آهن جڏهن ڪرپٽوگرافڪ ڪيز ٻيهر جاري ڪيون وينديون آهن، ۽ اهو پڻ ته…SHAREIn فولڊر ۾ مليل اليڪٽرانڪ پيغامن کي صرف انٽيگريٽي ڪنٽرول ۽ عوامي ڪيئي ۾ اعتماد جي ڪنٽرول لاءِ چيڪ ڪيو ويندو آهي. اليڪٽرانڪ دستخط جي.
حملو ٿيو
حملي آور، اڳئين منظر ۾ چوري ڪيل چابيون استعمال ڪندي، جعلي ادائيگي جي آرڊر تي دستخط ڪيو جنهن ۾ فراڊ ڪندڙ ڪلائنٽ جي اڪائونٽ ۾ رقم جي وصولي بابت معلومات شامل هئي ۽ ان کي محفوظ ڊيٽا ايڪسچينج چينل ۾ متعارف ڪرايو. جيئن ته ڪا به تصديق نه آهي ته ادائگي جي آرڊر روس جي بئنڪ طرفان دستخط ڪيو ويو آهي، اهو عمل لاء قبول ڪيو ويو آهي.
جو ذريعو: www.habr.com