ลิงค์ไปยังส่วนอื่น ๆ ของการศึกษา
- (คุณอยู่ที่นี่ไหม)
บทความนี้จะรวบรวมชุดสิ่งพิมพ์ที่เกี่ยวข้องกับการรับรองความปลอดภัยของข้อมูลการชำระเงินที่ไม่ใช่เงินสดของธนาคาร ที่นี่เราจะดูรูปแบบภัยคุกคามทั่วไปที่อ้างถึงในนี้ :
- .
- .
- .
- .
คำเตือน!!! เรียน Khabrovites นี่ไม่ใช่โพสต์เพื่อความบันเทิง
เนื้อหามากกว่า 40 หน้าที่ซ่อนอยู่ภายใต้การตัดมีวัตถุประสงค์เพื่อ ช่วยในการทำงานหรือการเรียน ผู้ที่เชี่ยวชาญด้านการธนาคารหรือความปลอดภัยของข้อมูล เนื้อหาเหล่านี้เป็นผลงานขั้นสุดท้ายของการวิจัย และเขียนด้วยโทนเสียงที่แห้งและเป็นทางการ โดยพื้นฐานแล้วสิ่งเหล่านี้เป็นช่องว่างสำหรับเอกสารความปลอดภัยของข้อมูลภายในแบบดั้งเดิม - “การใช้ข้อมูลจากบทความเพื่อวัตถุประสงค์ที่ผิดกฎหมายมีโทษตามกฎหมาย”. การอ่านอย่างมีประสิทธิผล!
ข้อมูลสำหรับผู้อ่านที่คุ้นเคยกับการศึกษาโดยเริ่มจากเอกสารฉบับนี้
เป็นการศึกษาเกี่ยวกับอะไร?
คุณกำลังอ่านคำแนะนำสำหรับผู้เชี่ยวชาญที่รับผิดชอบในการรับรองความปลอดภัยของข้อมูลการชำระเงินในธนาคาร
ตรรกะของการนำเสนอ
ในเบื้องต้น и มีการกำหนดคำอธิบายของวัตถุที่ได้รับการป้องกัน แล้วเข้า. อธิบายวิธีการสร้างระบบรักษาความปลอดภัยและพูดถึงความจำเป็นในการสร้างแบบจำลองภัยคุกคาม ใน พูดคุยเกี่ยวกับรูปแบบภัยคุกคามที่มีอยู่และรูปแบบดังกล่าว ใน и มีการวิเคราะห์การโจมตีจริง и มีคำอธิบายของรูปแบบภัยคุกคามซึ่งสร้างขึ้นโดยคำนึงถึงข้อมูลบัญชีจากส่วนก่อนหน้าทั้งหมด
โมเดลภัยคุกคามทั่วไป การเชื่อมต่อเครือข่าย
ออบเจ็กต์การป้องกันที่ใช้โมเดลภัยคุกคาม (ขอบเขต)
วัตถุประสงค์ในการป้องกันคือข้อมูลที่ส่งผ่านการเชื่อมต่อเครือข่ายที่ทำงานในเครือข่ายข้อมูลที่สร้างขึ้นบนพื้นฐานของสแต็ก TCP/IP
สถาปัตยกรรม
คำอธิบายขององค์ประกอบทางสถาปัตยกรรม:
- "จุดสิ้นสุด" — โหนดแลกเปลี่ยนข้อมูลที่ได้รับการป้องกัน
- "โหนดระดับกลาง" — องค์ประกอบของเครือข่ายการส่งข้อมูล: เราเตอร์ สวิตช์ เซิร์ฟเวอร์การเข้าถึง พร็อกซีเซิร์ฟเวอร์ และอุปกรณ์อื่นๆ — ซึ่งการรับส่งข้อมูลการเชื่อมต่อเครือข่ายถูกส่งผ่าน โดยทั่วไป การเชื่อมต่อเครือข่ายสามารถทำงานได้โดยไม่ต้องมีโหนดกลาง (ระหว่างโหนดปลายโดยตรง)
ภัยคุกคามความปลอดภัยระดับบนสุด
การสลายตัว
ยู1 การเข้าถึงข้อมูลที่ส่งโดยไม่ได้รับอนุญาต
ยู2 การแก้ไขข้อมูลที่ส่งโดยไม่ได้รับอนุญาต
ยู3 การละเมิดลิขสิทธิ์การส่งข้อมูล
ยู1 การเข้าถึงข้อมูลที่ส่งโดยไม่ได้รับอนุญาต
การสลายตัว
ยู1.1 <…> ดำเนินการที่โหนดสุดท้ายหรือโหนดกลาง:
ยู1.1.1 <…> โดยการอ่านข้อมูลในขณะที่อยู่ในอุปกรณ์เก็บข้อมูลโฮสต์:
U1.1.1.1. <…> ในแรม
คำอธิบายสำหรับ U1.1.1.1
ตัวอย่างเช่น ในระหว่างการประมวลผลข้อมูลโดยสแต็กเครือข่ายของโฮสต์
U1.1.1.2. <…> ในหน่วยความจำแบบไม่ลบเลือน
คำอธิบายสำหรับ U1.1.1.2
ตัวอย่างเช่น เมื่อจัดเก็บข้อมูลที่ส่งในแคช ไฟล์ชั่วคราว หรือไฟล์สลับ
ยู1.2 <…> ดำเนินการบนโหนดบุคคลที่สามของเครือข่ายข้อมูล:
U1.2.1. <…> โดยวิธีการจับแพ็กเก็ตทั้งหมดที่มาถึงอินเทอร์เฟซเครือข่ายของโฮสต์:
คำอธิบายสำหรับ U1.2.1
การจับแพ็กเก็ตทั้งหมดทำได้โดยการสลับการ์ดเครือข่ายเป็นโหมดที่หลากหลาย (โหมดสำส่อนสำหรับอะแดปเตอร์แบบมีสายหรือโหมดจอภาพสำหรับอะแดปเตอร์ Wi-Fi)
U1.2.2 <…> โดยการโจมตีแบบแทรกกลางการสื่อสาร (MiTM) แต่ไม่แก้ไขข้อมูลที่ส่ง (ไม่นับข้อมูลบริการโปรโตคอลเครือข่าย)
U1.2.2.1. ลิงค์: .
ยู1.3 <…> เกิดขึ้นเนื่องจากข้อมูลรั่วไหลผ่านช่องทางทางเทคนิค (TKUI) จากโหนดทางกายภาพหรือสายการสื่อสาร
ยู1.4 <…> ดำเนินการโดยการติดตั้งวิธีการทางเทคนิคพิเศษ (STS) ที่ส่วนท้ายหรือโหนดกลางซึ่งมีจุดประสงค์เพื่อการรวบรวมข้อมูลที่เป็นความลับ
ยู2 การแก้ไขข้อมูลที่ส่งโดยไม่ได้รับอนุญาต
การสลายตัว
ยู2.1 <…> ดำเนินการที่โหนดสุดท้ายหรือโหนดกลาง:
U2.1.1. <…> โดยการอ่านและทำการเปลี่ยนแปลงข้อมูลในขณะที่อยู่ในอุปกรณ์เก็บข้อมูลของโหนด:
U2.1.1.1. <…> ใน RAM:
U2.1.1.2. <…> ในหน่วยความจำแบบไม่ลบเลือน:
ยู2.2 <…> ดำเนินการบนโหนดบุคคลที่สามของเครือข่ายการส่งข้อมูล:
U2.2.1. <…> โดยการโจมตีแบบแทรกกลางกลาง (MiTM) และเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังโหนดของผู้โจมตี:
U2.2.1.1. การเชื่อมต่อทางกายภาพของอุปกรณ์ของผู้โจมตีทำให้การเชื่อมต่อเครือข่ายเสียหาย
U2.2.1.2. ดำเนินการโจมตีโปรโตคอลเครือข่าย:
U2.2.1.2.1. <…> การจัดการเครือข่ายท้องถิ่นเสมือน (VLAN):
U2.2.1.2.1.1. .
U2.2.1.2.1.2. การแก้ไขการตั้งค่า VLAN บนสวิตช์หรือเราเตอร์โดยไม่ได้รับอนุญาต
U2.2.1.2.2. <…> เส้นทางการรับส่งข้อมูล:
U2.2.1.2.2.1. การปรับเปลี่ยนตารางเส้นทางแบบคงที่ของเราเตอร์โดยไม่ได้รับอนุญาต
U2.2.1.2.2.2. การประกาศเส้นทางปลอมโดยผู้โจมตีผ่านโปรโตคอลการกำหนดเส้นทางแบบไดนามิก
U2.2.1.2.3 <…> การกำหนดค่าอัตโนมัติ:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <…> ที่อยู่และการจำแนกชื่อ:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. การเปลี่ยนแปลงไฟล์ชื่อโฮสต์โลคัลโดยไม่ได้รับอนุญาต (โฮสต์ lmhosts ฯลฯ)
ยู3 การละเมิดลิขสิทธิ์ข้อมูลที่ส่ง
การสลายตัว
U3.1 การทำให้เป็นกลางของกลไกในการพิจารณาผู้เขียนข้อมูลโดยระบุข้อมูลเท็จเกี่ยวกับผู้เขียนหรือแหล่งที่มาของข้อมูล:
U3.1.1. การเปลี่ยนแปลงข้อมูลเกี่ยวกับผู้เขียนที่มีอยู่ในข้อมูลที่ส่ง
U3.1.1.1. การทำให้เป็นกลางของการป้องกันการเข้ารหัสเพื่อความสมบูรณ์และการเป็นเจ้าของข้อมูลที่ส่ง:
U3.1.1.1.1. ลิงค์: .
U3.1.1.2. การทำให้เป็นกลางของการคุ้มครองลิขสิทธิ์ของข้อมูลที่ส่ง ดำเนินการโดยใช้รหัสยืนยันแบบครั้งเดียว:
U3.1.1.2.1. .
U3.1.2 การเปลี่ยนแปลงข้อมูลเกี่ยวกับแหล่งที่มาของข้อมูลที่ส่ง:
U3.1.2.1. .
U3.1.2.2. .
โมเดลภัยคุกคามทั่วไป ระบบสารสนเทศที่สร้างขึ้นบนพื้นฐานของสถาปัตยกรรมไคลเอนต์-เซิร์ฟเวอร์
ออบเจ็กต์การป้องกันที่ใช้โมเดลภัยคุกคาม (ขอบเขต)
วัตถุประสงค์ของการป้องกันคือระบบข้อมูลที่สร้างขึ้นบนพื้นฐานของสถาปัตยกรรมไคลเอนต์ - เซิร์ฟเวอร์
สถาปัตยกรรม
คำอธิบายขององค์ประกอบทางสถาปัตยกรรม:
- "ลูกค้า" – อุปกรณ์ที่ส่วนไคลเอนต์ของระบบสารสนเทศทำงาน
- "เซิร์ฟเวอร์" – อุปกรณ์ที่ส่วนเซิร์ฟเวอร์ของระบบสารสนเทศทำงาน
- "ที่เก็บข้อมูล" — ส่วนหนึ่งของโครงสร้างพื้นฐานเซิร์ฟเวอร์ของระบบข้อมูลที่ออกแบบมาเพื่อจัดเก็บข้อมูลที่ประมวลผลโดยระบบสารสนเทศ
- "การเชื่อมต่อเครือข่าย" — ช่องทางการแลกเปลี่ยนข้อมูลระหว่าง Client และ Server ผ่านเครือข่ายข้อมูล คำอธิบายโดยละเอียดเพิ่มเติมของโมเดลองค์ประกอบมีระบุไว้ใน .
ข้อ จำกัด
เมื่อสร้างแบบจำลองวัตถุ จะมีการตั้งค่าข้อจำกัดต่อไปนี้:
- ผู้ใช้โต้ตอบกับระบบข้อมูลภายในระยะเวลาอันจำกัด เรียกว่าเซสชันการทำงาน
- เมื่อเริ่มต้นเซสชันการทำงานแต่ละเซสชัน ผู้ใช้จะถูกระบุ ตรวจสอบสิทธิ์ และอนุญาต
- ข้อมูลที่ได้รับการป้องกันทั้งหมดจะถูกจัดเก็บไว้ในส่วนเซิร์ฟเวอร์ของระบบข้อมูล
ภัยคุกคามความปลอดภัยระดับบนสุด
การสลายตัว
ยู1 ดำเนินการที่ไม่ได้รับอนุญาตโดยผู้โจมตีในนามของผู้ใช้ที่ถูกต้องตามกฎหมาย
ยู2 การปรับเปลี่ยนข้อมูลที่ได้รับการป้องกันโดยไม่ได้รับอนุญาตในระหว่างการประมวลผลโดยส่วนเซิร์ฟเวอร์ของระบบข้อมูล
ยู1 ดำเนินการที่ไม่ได้รับอนุญาตโดยผู้โจมตีในนามของผู้ใช้ที่ถูกต้องตามกฎหมาย
คำอธิบาย
โดยทั่วไปในระบบสารสนเทศ การกระทำจะสัมพันธ์กับผู้ใช้ที่ดำเนินการโดยใช้:
- บันทึกการทำงานของระบบ (บันทึก)
- คุณลักษณะพิเศษของวัตถุข้อมูลที่มีข้อมูลเกี่ยวกับผู้ใช้ที่สร้างหรือแก้ไข
ในส่วนที่เกี่ยวข้องกับเซสชันการทำงาน ภัยคุกคามนี้สามารถแบ่งออกเป็น:
- <…> ดำเนินการภายในเซสชันผู้ใช้
- <…> ดำเนินการนอกเซสชันผู้ใช้
เซสชันผู้ใช้สามารถเริ่มต้นได้:
- โดยตัวผู้ใช้เอง
- ตัวร้าย.
ในขั้นตอนนี้ การสลายตัวขั้นกลางของภัยคุกคามนี้จะมีลักษณะดังนี้:
ยู1.1 มีการดำเนินการที่ไม่ได้รับอนุญาตภายในเซสชันผู้ใช้:
ยู1.1.1 <…> ติดตั้งโดยผู้ใช้ที่ถูกโจมตี
ยู1.1.2 <…> ติดตั้งโดยผู้โจมตี
ยู1.2 มีการดำเนินการที่ไม่ได้รับอนุญาตนอกเซสชันผู้ใช้
จากมุมมองของออบเจ็กต์โครงสร้างพื้นฐานข้อมูลที่อาจได้รับผลกระทบจากผู้โจมตี การสลายตัวของภัยคุกคามระดับกลางจะมีลักษณะดังนี้:
องค์ประกอบ
การสลายตัวของภัยคุกคาม
U1.1.1.
U1.1.2.
U1.2.
ลูกค้า
U1.1.1.1.
U1.1.2.1.
การเชื่อมต่อเครือข่าย
U1.1.1.2.
เซิร์ฟเวอร์
U1.2.1.
การสลายตัว
ยู1.1 มีการดำเนินการที่ไม่ได้รับอนุญาตภายในเซสชันผู้ใช้:
ยู1.1.1 <…> ติดตั้งโดยผู้ใช้ที่ถูกโจมตี:
U1.1.1.1. ผู้โจมตีกระทำการโดยอิสระจากลูกค้า:
U1.1.1.1.1 ผู้โจมตีใช้เครื่องมือการเข้าถึงระบบข้อมูลมาตรฐาน:
У1.1.1.1.1.1. ผู้โจมตีใช้วิธีการอินพุต/เอาท์พุตทางกายภาพของลูกค้า (แป้นพิมพ์ เมาส์ จอภาพ หรือหน้าจอสัมผัสของอุปกรณ์มือถือ):
U1.1.1.1.1.1.1. ผู้โจมตีดำเนินการในช่วงเวลาที่มีการใช้งานเซสชัน สิ่งอำนวยความสะดวก I/O พร้อมใช้งาน และไม่มีผู้ใช้อยู่
У1.1.1.1.1.2. ผู้โจมตีใช้เครื่องมือการดูแลระบบระยะไกล (มาตรฐานหรือให้โดยโค้ดที่เป็นอันตราย) เพื่อควบคุมไคลเอนต์:
U1.1.1.1.1.2.1. ผู้โจมตีดำเนินการในช่วงเวลาที่มีการใช้งานเซสชัน สิ่งอำนวยความสะดวก I/O พร้อมใช้งาน และไม่มีผู้ใช้อยู่
У1.1.1.1.1.2.2. ผู้โจมตีใช้เครื่องมือการดูแลระบบระยะไกล ซึ่งการดำเนินการดังกล่าวไม่ปรากฏแก่ผู้ใช้ที่ถูกโจมตี
U1.1.1.2. ผู้โจมตีแทนที่ข้อมูลในการเชื่อมต่อเครือข่ายระหว่างไคลเอนต์และเซิร์ฟเวอร์ โดยแก้ไขในลักษณะที่รับรู้ว่าเป็นการกระทำของผู้ใช้ที่ถูกต้องตามกฎหมาย:
U1.1.1.2.1. ลิงค์: .
ยู1.1.1.3 ผู้โจมตีบังคับให้ผู้ใช้ดำเนินการตามที่ระบุโดยใช้วิธีวิศวกรรมสังคม
У1.1.2 <…> ติดตั้งโดยผู้โจมตี:
ยู1.1.2.1 ผู้โจมตีกระทำการจากลูกค้า (И):
U1.1.2.1.1. ผู้โจมตีทำให้ระบบควบคุมการเข้าถึงของระบบข้อมูลเป็นกลาง:
U1.1.2.1.1.1. ลิงค์: .
У1.1.2.1.2. ผู้โจมตีใช้เครื่องมือการเข้าถึงระบบข้อมูลมาตรฐาน
U1.1.2.2. ผู้โจมตีดำเนินการจากโหนดอื่นของเครือข่ายข้อมูล ซึ่งสามารถสร้างการเชื่อมต่อเครือข่ายไปยังเซิร์ฟเวอร์ได้ (И):
U1.1.2.2.1. ผู้โจมตีทำให้ระบบควบคุมการเข้าถึงของระบบข้อมูลเป็นกลาง:
U1.1.2.2.1.1. ลิงค์: .
U1.1.2.2.2. ผู้โจมตีใช้วิธีการที่ไม่ได้มาตรฐานในการเข้าถึงระบบข้อมูล
คำอธิบาย U1.1.2.2.2
ผู้โจมตีสามารถติดตั้งไคลเอนต์มาตรฐานของระบบข้อมูลบนโหนดบุคคลที่สามหรืออาจใช้ซอฟต์แวร์ที่ไม่ได้มาตรฐานซึ่งใช้โปรโตคอลการแลกเปลี่ยนมาตรฐานระหว่างไคลเอนต์และเซิร์ฟเวอร์
U1.2 การกระทำที่ไม่ได้รับอนุญาตเกิดขึ้นนอกเซสชันผู้ใช้
U1.2.1 ผู้โจมตีดำเนินการที่ไม่ได้รับอนุญาต จากนั้นทำการเปลี่ยนแปลงบันทึกการทำงานของระบบข้อมูลหรือคุณลักษณะพิเศษของออบเจ็กต์ข้อมูลโดยไม่ได้รับอนุญาต โดยระบุว่าการกระทำที่พวกเขาทำนั้นดำเนินการโดยผู้ใช้ที่ถูกต้องตามกฎหมาย
ยู2 การปรับเปลี่ยนข้อมูลที่ได้รับการคุ้มครองโดยไม่ได้รับอนุญาตในระหว่างการประมวลผลโดยส่วนเซิร์ฟเวอร์ของระบบข้อมูล
การสลายตัว
ยู2.1 ผู้โจมตีแก้ไขข้อมูลที่ได้รับการคุ้มครองโดยใช้เครื่องมือระบบข้อมูลมาตรฐานและดำเนินการนี้ในนามของผู้ใช้ที่ถูกต้องตามกฎหมาย
U2.1.1. ลิงค์: .
ยู2.2 ผู้โจมตีแก้ไขข้อมูลที่ได้รับการป้องกันโดยใช้กลไกการเข้าถึงข้อมูลที่ไม่ได้ระบุไว้ในการดำเนินการปกติของระบบข้อมูล
U2.2.1. ผู้โจมตีแก้ไขไฟล์ที่มีข้อมูลที่ได้รับการป้องกัน:
U2.2.1.1. <…> โดยใช้กลไกการจัดการไฟล์ที่ระบบปฏิบัติการจัดเตรียมไว้ให้
U2.2.1.2. <…> โดยกระตุ้นให้เกิดการกู้คืนไฟล์จากสำเนาสำรองที่แก้ไขโดยไม่ได้รับอนุญาต
U2.2.2 ผู้โจมตีแก้ไขข้อมูลที่ได้รับการป้องกันซึ่งจัดเก็บไว้ในฐานข้อมูล (И):
U2.2.2.1. ผู้โจมตีทำให้ระบบควบคุมการเข้าถึง DBMS เป็นกลาง:
U2.2.2.1.1. ลิงค์: .
U2.2.2.2 ผู้โจมตีแก้ไขข้อมูลโดยใช้อินเทอร์เฟซ DBMS มาตรฐานเพื่อเข้าถึงข้อมูล
U2.3 ผู้โจมตีแก้ไขข้อมูลที่ได้รับการป้องกันโดยการปรับเปลี่ยนอัลกอริธึมการทำงานของซอฟต์แวร์ที่ประมวลผลโดยไม่ได้รับอนุญาต
U2.3.1. ซอร์สโค้ดของซอฟต์แวร์อาจมีการแก้ไข
U2.3.1. รหัสเครื่องของซอฟต์แวร์อาจมีการแก้ไข
U2.4 ผู้โจมตีแก้ไขข้อมูลที่ได้รับการป้องกันโดยใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ระบบข้อมูล
U2.5 ผู้โจมตีแก้ไขข้อมูลที่ได้รับการป้องกันเมื่อมีการถ่ายโอนระหว่างส่วนประกอบของส่วนเซิร์ฟเวอร์ของระบบข้อมูล (เช่น เซิร์ฟเวอร์ฐานข้อมูลและแอปพลิเคชันเซิร์ฟเวอร์):
U2.5.1. ลิงค์: .
โมเดลภัยคุกคามทั่วไป ระบบควบคุมการเข้าออก
ออบเจ็กต์การป้องกันที่ใช้โมเดลภัยคุกคาม (ขอบเขต)
ออบเจ็กต์การป้องกันที่ใช้โมเดลภัยคุกคามนี้สอดคล้องกับออบเจ็กต์การป้องกันของโมเดลภัยคุกคาม: “โมเดลภัยคุกคามทั่วไป ระบบข้อมูลที่สร้างขึ้นบนสถาปัตยกรรมไคลเอนต์-เซิร์ฟเวอร์”
ในรูปแบบภัยคุกคามนี้ ระบบควบคุมการเข้าถึงของผู้ใช้หมายถึงส่วนประกอบของระบบข้อมูลที่ปรับใช้ฟังก์ชันต่อไปนี้:
- บัตรประจำตัวผู้ใช้
- การรับรองความถูกต้องของผู้ใช้
- การอนุญาตผู้ใช้
- การบันทึกการกระทำของผู้ใช้
ภัยคุกคามความปลอดภัยระดับบนสุด
การสลายตัว
ยู1 การสร้างเซสชันโดยไม่ได้รับอนุญาตในนามของผู้ใช้ที่ถูกต้องตามกฎหมาย
ยู2 เพิ่มสิทธิ์ผู้ใช้ในระบบข้อมูลโดยไม่ได้รับอนุญาต
ยู1 การสร้างเซสชันโดยไม่ได้รับอนุญาตในนามของผู้ใช้ที่ถูกต้องตามกฎหมาย
คำอธิบาย
โดยทั่วไปการสลายตัวของภัยคุกคามนี้จะขึ้นอยู่กับประเภทของการระบุผู้ใช้และระบบการตรวจสอบความถูกต้องที่ใช้
ในโมเดลนี้ จะพิจารณาเฉพาะระบบการระบุตัวตนผู้ใช้และการตรวจสอบความถูกต้องโดยใช้ข้อความเข้าสู่ระบบและรหัสผ่านเท่านั้นที่จะได้รับการพิจารณา ในกรณีนี้ เราจะถือว่าการเข้าสู่ระบบของผู้ใช้นั้นเป็นข้อมูลที่เปิดเผยต่อสาธารณะซึ่งผู้โจมตีทราบ
การสลายตัว
ยู1.1 <…> เนื่องจากการประนีประนอมของข้อมูลรับรอง:
ยู1.1.1 ผู้โจมตีทำลายข้อมูลประจำตัวของผู้ใช้ขณะจัดเก็บข้อมูลเหล่านั้น
คำอธิบาย U1.1.1
ตัวอย่างเช่น ข้อมูลประจำตัวสามารถเขียนลงบนกระดาษโน้ตที่ติดอยู่กับจอภาพได้
ยู1.1.2 ผู้ใช้ส่งรายละเอียดการเข้าถึงไปยังผู้โจมตีโดยไม่ตั้งใจหรือเป็นอันตราย
ยู1.1.2.1 ผู้ใช้พูดข้อมูลประจำตัวออกมาดัง ๆ ขณะที่พวกเขาเข้ามา
U1.1.2.2. ผู้ใช้จงใจแบ่งปันข้อมูลรับรองของเขา:
U1.1.2.2.1. <…> เพื่อเพื่อนร่วมงาน
คำอธิบาย U1.1.2.2.1
เช่นเพื่อให้สามารถทดแทนได้ในระหว่างเจ็บป่วย
U1.1.2.2.2. <…> ให้กับผู้รับเหมาของนายจ้างที่ทำงานเกี่ยวกับวัตถุโครงสร้างพื้นฐานสารสนเทศ
U1.1.2.2.3. <…> ถึงบุคคลที่สาม
คำอธิบาย U1.1.2.2.3
ทางเลือกหนึ่ง แต่ไม่ใช่ทางเลือกเดียวสำหรับการนำภัยคุกคามนี้ไปใช้คือการใช้วิธีการวิศวกรรมสังคมโดยผู้โจมตี
ยู1.1.3 ผู้โจมตีเลือกข้อมูลประจำตัวโดยใช้วิธีการบังคับดุร้าย:
U1.1.3.1. <…> ใช้กลไกการเข้าถึงมาตรฐาน
U1.1.3.2. <…> การใช้รหัสที่ถูกดักไว้ก่อนหน้านี้ (เช่น รหัสผ่านแฮช) เพื่อจัดเก็บข้อมูลประจำตัว
U1.1.4. ผู้โจมตีใช้โค้ดที่เป็นอันตรายเพื่อสกัดกั้นข้อมูลประจำตัวของผู้ใช้
ยู1.1.5 ผู้โจมตีดึงข้อมูลประจำตัวจากการเชื่อมต่อเครือข่ายระหว่างไคลเอนต์และเซิร์ฟเวอร์:
U1.1.5.1. ลิงค์: .
U1.1.6. ผู้โจมตีดึงข้อมูลประจำตัวออกจากบันทึกของระบบติดตามการทำงาน:
ยู1.1.6.1 <…> ระบบกล้องวงจรปิด (หากบันทึกการกดแป้นพิมพ์บนแป้นพิมพ์ระหว่างการทำงาน)
U1.1.6.2. <…> ระบบสำหรับติดตามการกระทำของพนักงานที่คอมพิวเตอร์
คำอธิบาย U1.1.6.2
ตัวอย่างของระบบดังกล่าวคือ .
U1.1.7 ผู้โจมตีบุกรุกข้อมูลรับรองผู้ใช้เนื่องจากข้อบกพร่องในกระบวนการส่งข้อมูล
คำอธิบาย U1.1.7
เช่น การส่งรหัสผ่านในรูปแบบข้อความที่ชัดเจนทางอีเมล
U1.1.8. ผู้โจมตีได้รับข้อมูลรับรองโดยการตรวจสอบเซสชันของผู้ใช้โดยใช้ระบบการดูแลระบบระยะไกล
U1.1.9. ผู้โจมตีได้รับข้อมูลรับรองอันเป็นผลมาจากการรั่วไหลผ่านช่องทางทางเทคนิค (TCUI):
U1.1.9.1. ผู้โจมตีสังเกตว่าผู้ใช้ป้อนข้อมูลรับรองจากแป้นพิมพ์อย่างไร:
U1.1.9.1.1 ผู้โจมตีตั้งอยู่ใกล้กับผู้ใช้และมองเห็นการป้อนข้อมูลประจำตัวด้วยตาของพวกเขาเอง
คำอธิบาย U1.1.9.1.1
กรณีดังกล่าวรวมถึงการกระทำของเพื่อนร่วมงานหรือกรณีที่ผู้เยี่ยมชมองค์กรมองเห็นแป้นพิมพ์ของผู้ใช้
U1.1.9.1.2 ผู้โจมตีใช้วิธีการทางเทคนิคเพิ่มเติม เช่น กล้องส่องทางไกลหรือยานพาหนะทางอากาศไร้คนขับ และมองเห็นการป้อนข้อมูลประจำตัวผ่านหน้าต่าง
U1.1.9.2. ผู้โจมตีดึงข้อมูลรับรองจากการสื่อสารทางวิทยุระหว่างคีย์บอร์ดและยูนิตระบบคอมพิวเตอร์ เมื่อเชื่อมต่อผ่านอินเทอร์เฟซวิทยุ (เช่น บลูทูธ)
U1.1.9.3. ผู้โจมตีสกัดกั้นข้อมูลประจำตัวโดยรั่วไหลผ่านช่องทางรังสีแม่เหล็กไฟฟ้าปลอมและการรบกวน (PEMIN)
คำอธิบาย U1.1.9.3
ตัวอย่างการโจมตี и .
U1.1.9.4. ผู้โจมตีสกัดกั้นการป้อนข้อมูลประจำตัวจากแป้นพิมพ์โดยใช้วิธีการทางเทคนิคพิเศษ (STS) ที่ออกแบบมาเพื่อรับข้อมูลอย่างลับๆ
คำอธิบาย U1.1.9.4
ตัวอย่าง .
U1.1.9.5. ผู้โจมตีสกัดกั้นการป้อนข้อมูลประจำตัวจากแป้นพิมพ์โดยใช้
การวิเคราะห์สัญญาณ Wi-Fi ที่ปรับโดยกระบวนการกดแป้นพิมพ์ของผู้ใช้
คำอธิบาย U1.1.9.5
ตัวอย่าง .
U1.1.9.6. ผู้โจมตีสกัดกั้นการป้อนข้อมูลประจำตัวจากแป้นพิมพ์โดยการวิเคราะห์เสียงของการกดแป้นพิมพ์
คำอธิบาย U1.1.9.6
ตัวอย่าง .
U1.1.9.7. ผู้โจมตีสกัดกั้นการป้อนข้อมูลประจำตัวจากแป้นพิมพ์ของอุปกรณ์เคลื่อนที่โดยการวิเคราะห์การอ่านค่าความเร่ง
คำอธิบาย U1.1.9.7
ตัวอย่าง .
U1.1.10. <…> บันทึกก่อนหน้านี้บนไคลเอนต์
คำอธิบาย U1.1.10
ตัวอย่างเช่น ผู้ใช้สามารถบันทึกข้อมูลเข้าสู่ระบบและรหัสผ่านในเบราว์เซอร์เพื่อเข้าถึงเว็บไซต์เฉพาะได้
U1.1.11. ผู้โจมตีบุกรุกข้อมูลประจำตัวเนื่องจากข้อบกพร่องในกระบวนการเพิกถอนการเข้าถึงของผู้ใช้
คำอธิบาย U1.1.11
ตัวอย่างเช่น หลังจากที่ผู้ใช้ถูกไล่ออก บัญชีของเขายังคงไม่ถูกบล็อก
ยู1.2 <…> โดยใช้ประโยชน์จากช่องโหว่ในระบบควบคุมการเข้าออก
ยู2 การยกระดับสิทธิ์ผู้ใช้โดยไม่ได้รับอนุญาตในระบบข้อมูล
การสลายตัว
U2.1 <…> โดยทำการเปลี่ยนแปลงข้อมูลที่มีข้อมูลเกี่ยวกับสิทธิพิเศษของผู้ใช้โดยไม่ได้รับอนุญาต
U2.2 <…> ผ่านการใช้ช่องโหว่ในระบบควบคุมการเข้าออก
U2.3 <…> เนื่องจากข้อบกพร่องในกระบวนการจัดการการเข้าถึงของผู้ใช้
คำอธิบาย U2.3
ตัวอย่างที่ 1 ผู้ใช้ได้รับสิทธิ์เข้าถึงงานมากกว่าที่จำเป็นด้วยเหตุผลทางธุรกิจ
ตัวอย่างที่ 2: หลังจากที่ผู้ใช้ถูกโอนไปยังตำแหน่งอื่น สิทธิ์การเข้าถึงที่ได้รับก่อนหน้านี้จะไม่ถูกเพิกถอน
โมเดลภัยคุกคามทั่วไป โมดูลบูรณาการ
ออบเจ็กต์การป้องกันที่ใช้โมเดลภัยคุกคาม (ขอบเขต)
โมดูลบูรณาการคือชุดของวัตถุโครงสร้างพื้นฐานข้อมูลที่ออกแบบมาเพื่อจัดระเบียบการแลกเปลี่ยนข้อมูลระหว่างระบบข้อมูล
เมื่อพิจารณาจากข้อเท็จจริงที่ว่าในเครือข่ายองค์กร ไม่สามารถแยกระบบข้อมูลหนึ่งออกจากระบบอื่นได้อย่างคลุมเครือเสมอไป โมดูลการรวมยังถือได้ว่าเป็นการเชื่อมโยงระหว่างส่วนประกอบต่างๆ ภายในระบบข้อมูลเดียว
สถาปัตยกรรม
แผนภาพทั่วไปของโมดูลการรวมมีลักษณะดังนี้:
คำอธิบายขององค์ประกอบทางสถาปัตยกรรม:
- "เซิร์ฟเวอร์แลกเปลี่ยน (SO)" – โหนด / บริการ / ส่วนประกอบของระบบข้อมูลที่ทำหน้าที่แลกเปลี่ยนข้อมูลกับระบบสารสนเทศอื่น
- "คนกลาง" – โหนด/บริการที่ออกแบบมาเพื่อจัดระเบียบปฏิสัมพันธ์ระหว่างระบบสารสนเทศ แต่ไม่ใช่ส่วนหนึ่งของระบบ
ตัวอย่าง "คนกลาง" อาจมีบริการอีเมล, บัสบริการองค์กร (บัสบริการองค์กร / สถาปัตยกรรม SoA), เซิร์ฟเวอร์ไฟล์บุคคลที่สาม ฯลฯ โดยทั่วไป โมดูลการรวมต้องไม่มี "ตัวกลาง" - “ซอฟต์แวร์ประมวลผลข้อมูล” – ชุดโปรแกรมที่ใช้โปรโตคอลการแลกเปลี่ยนข้อมูลและการแปลงรูปแบบ
ตัวอย่างเช่น การแปลงข้อมูลจากรูปแบบ UFEBS เป็นรูปแบบ ABS การเปลี่ยนสถานะข้อความระหว่างการส่ง ฯลฯ - "การเชื่อมต่อเครือข่าย" สอดคล้องกับอ็อบเจ็กต์ที่อธิบายไว้ในโมเดลภัยคุกคาม "การเชื่อมต่อเครือข่าย" มาตรฐาน การเชื่อมต่อเครือข่ายบางส่วนที่แสดงในแผนภาพด้านบนอาจไม่มีอยู่
ตัวอย่างของโมดูลการรวม
โครงการที่ 1 การบูรณาการ ABS และ AWS KBR ผ่านเซิร์ฟเวอร์ไฟล์ของบริษัทอื่น
ในการดำเนินการชำระเงิน พนักงานธนาคารที่ได้รับอนุญาตจะดาวน์โหลดเอกสารการชำระเงินทางอิเล็กทรอนิกส์จากระบบธนาคารหลัก และบันทึกลงในไฟล์ (ในรูปแบบของตัวเอง เช่น SQL dump) บนโฟลเดอร์เครือข่าย (...SHARE) บนไฟล์เซิร์ฟเวอร์ จากนั้นไฟล์นี้จะถูกแปลงโดยใช้สคริปต์ตัวแปลงเป็นชุดของไฟล์ในรูปแบบ UFEBS ซึ่งจากนั้นจะถูกอ่านโดยเวิร์กสเตชัน CBD
หลังจากนั้น พนักงานที่ได้รับอนุญาต - ผู้ใช้สถานที่ทำงานอัตโนมัติ KBR - เข้ารหัสและลงนามในไฟล์ที่ได้รับ และส่งไปยังระบบการชำระเงินของธนาคารแห่งรัสเซีย
เมื่อได้รับการชำระเงินจากธนาคารแห่งรัสเซีย สถานที่ทำงานอัตโนมัติของ KBR จะถอดรหัสและตรวจสอบลายเซ็นอิเล็กทรอนิกส์ หลังจากนั้นจะบันทึกในรูปแบบชุดไฟล์ในรูปแบบ UFEBS บนเซิร์ฟเวอร์ไฟล์ ก่อนที่จะนำเข้าเอกสารการชำระเงินลงใน ABS เอกสารจะถูกแปลงโดยใช้สคริปต์ตัวแปลงจากรูปแบบ UFEBS เป็นรูปแบบ ABS
เราจะสมมติว่าในรูปแบบนี้ ABS ทำงานบนเซิร์ฟเวอร์จริงเครื่องเดียว เวิร์กสเตชัน KBR ทำงานบนคอมพิวเตอร์เฉพาะ และสคริปต์ตัวแปลงทำงานบนเซิร์ฟเวอร์ไฟล์
ความสอดคล้องของออบเจ็กต์ของไดอะแกรมที่พิจารณากับองค์ประกอบของโมเดลโมดูลการรวม:
“เซิร์ฟเวอร์ Exchange จากฝั่ง ABS” – เซิร์ฟเวอร์เอบีเอส
“เซิร์ฟเวอร์ Exchange จากฝั่ง AWS KBR” – เวิร์กสเตชันคอมพิวเตอร์ KBR
"คนกลาง" – ไฟล์เซิร์ฟเวอร์บุคคลที่สาม
“ซอฟต์แวร์ประมวลผลข้อมูล” – สคริปต์ตัวแปลง
โครงการที่ 2 การบูรณาการ ABS และ AWS KBR เมื่อวางโฟลเดอร์เครือข่ายที่ใช้ร่วมกันพร้อมการชำระเงินบน AWS KBR
ทุกอย่างคล้ายกับ Scheme 1 แต่ไม่ได้ใช้ไฟล์เซิร์ฟเวอร์แยกต่างหาก แต่โฟลเดอร์เครือข่าย (...แบ่งปัน) ที่มีเอกสารการชำระเงินทางอิเล็กทรอนิกส์จะถูกวางไว้บนคอมพิวเตอร์ที่มีเวิร์กสเตชันของ CBD สคริปต์ตัวแปลงยังใช้งานได้บนเวิร์กสเตชัน CBD อีกด้วย
ความสอดคล้องของออบเจ็กต์ของไดอะแกรมที่พิจารณากับองค์ประกอบของโมเดลโมดูลการรวม:
คล้ายกับโครงการที่ 1 แต่ "คนกลาง" ไม่ได้ใช้.
โครงการที่ 3 การบูรณาการ ABS และสถานที่ทำงานแบบอัตโนมัติ KBR-N ผ่าน IBM WebSphera MQ และการลงนามในเอกสารอิเล็กทรอนิกส์ “ทางฝั่ง ABS”
ABS ทำงานบนแพลตฟอร์มที่ลายเซ็น CIPF SCAD ไม่รองรับ การลงนามในเอกสารอิเล็กทรอนิกส์ขาออกจะดำเนินการบนเซิร์ฟเวอร์ลายเซ็นอิเล็กทรอนิกส์พิเศษ (ES Server) เซิร์ฟเวอร์เดียวกันจะตรวจสอบลายเซ็นอิเล็กทรอนิกส์ในเอกสารที่เข้ามาจากธนาคารแห่งรัสเซีย
ABS อัปโหลดไฟล์พร้อมเอกสารการชำระเงินในรูปแบบของตัวเองไปยัง ES Server
เซิร์ฟเวอร์ ES ที่ใช้สคริปต์ตัวแปลง แปลงไฟล์เป็นข้อความอิเล็กทรอนิกส์ในรูปแบบ UFEBS หลังจากนั้นข้อความอิเล็กทรอนิกส์จะถูกลงนามและส่งไปยัง IBM WebSphere MQ
เวิร์กสเตชัน KBR-N เข้าถึง IBM WebSphere MQ และได้รับข้อความการชำระเงินที่ลงนามแล้วจากนั้นพนักงานที่ได้รับอนุญาตซึ่งเป็นผู้ใช้เวิร์กสเตชัน KBR จะเข้ารหัสข้อความเหล่านั้นและส่งไปยังระบบการชำระเงินของธนาคารแห่งรัสเซีย
เมื่อได้รับการชำระเงินจากธนาคารแห่งรัสเซีย สถานที่ทำงานอัตโนมัติ KBR-N จะถอดรหัสและตรวจสอบลายเซ็นอิเล็กทรอนิกส์ การชำระเงินที่ประมวลผลสำเร็จในรูปแบบของข้อความอิเล็กทรอนิกส์ที่ถอดรหัสและลงนามในรูปแบบ UFEBS จะถูกโอนไปยัง IBM WebSphere MQ จากที่ที่เซิร์ฟเวอร์ลายเซ็นอิเล็กทรอนิกส์ได้รับ
เซิร์ฟเวอร์ลายเซ็นอิเล็กทรอนิกส์จะตรวจสอบลายเซ็นอิเล็กทรอนิกส์ของการชำระเงินที่ได้รับ และบันทึกไว้ในไฟล์ในรูปแบบ ABS หลังจากนั้น พนักงานที่ได้รับอนุญาต - ผู้ใช้ ABS - อัปโหลดไฟล์ผลลัพธ์ไปยัง ABS ในลักษณะที่กำหนด
ความสอดคล้องของออบเจ็กต์ของไดอะแกรมที่พิจารณากับองค์ประกอบของโมเดลโมดูลการรวม:
“เซิร์ฟเวอร์ Exchange จากฝั่ง ABS” – เซิร์ฟเวอร์เอบีเอส
“เซิร์ฟเวอร์ Exchange จากฝั่ง AWS KBR” — เวิร์กสเตชันคอมพิวเตอร์ KBR
"คนกลาง" – เซิร์ฟเวอร์ ES และ IBM WebSphere MQ
“ซอฟต์แวร์ประมวลผลข้อมูล” – ตัวแปลงสคริปต์, ลายเซ็น CIPF SCAD บนเซิร์ฟเวอร์ ES
โครงการที่ 4 การรวมเซิร์ฟเวอร์ RBS และระบบธนาคารหลักผ่าน API ที่จัดทำโดยเซิร์ฟเวอร์แลกเปลี่ยนเฉพาะ
เราจะถือว่าธนาคารใช้ระบบธนาคารระยะไกล (RBS) หลายระบบ:
- "ลูกค้าอินเทอร์เน็ต - ธนาคาร" สำหรับบุคคล (IKB FL);
- "ลูกค้าอินเทอร์เน็ต - ธนาคาร" สำหรับนิติบุคคล (IKB LE)
เพื่อให้มั่นใจในความปลอดภัยของข้อมูล การโต้ตอบทั้งหมดระหว่าง ABS และระบบธนาคารระยะไกลจะดำเนินการผ่านเซิร์ฟเวอร์แลกเปลี่ยนเฉพาะที่ทำงานภายในกรอบของระบบข้อมูล ABS
ต่อไปเราจะพิจารณากระบวนการโต้ตอบระหว่างระบบ RBS ของ IKB LE และ ABS
เซิร์ฟเวอร์ RBS ซึ่งได้รับคำสั่งชำระเงินที่ได้รับการรับรองอย่างถูกต้องจากลูกค้า จะต้องสร้างเอกสารที่เกี่ยวข้องใน ABS ตามนั้น ในการดำเนินการนี้ โดยใช้ API จะส่งข้อมูลไปยังเซิร์ฟเวอร์แลกเปลี่ยน ซึ่งจะป้อนข้อมูลลงใน ABS
เมื่อยอดคงเหลือในบัญชีของลูกค้าเปลี่ยนแปลง ABS จะสร้างการแจ้งเตือนทางอิเล็กทรอนิกส์ ซึ่งถูกส่งไปยังเซิร์ฟเวอร์ธนาคารระยะไกลโดยใช้เซิร์ฟเวอร์แลกเปลี่ยน
ความสอดคล้องของออบเจ็กต์ของไดอะแกรมที่พิจารณากับองค์ประกอบของโมเดลโมดูลการรวม:
“เซิร์ฟเวอร์ Exchange จากฝั่ง RBS” – เซิร์ฟเวอร์ RBS ของ IKB YUL
“เซิร์ฟเวอร์ Exchange จากฝั่ง ABS” – เซิร์ฟเวอร์แลกเปลี่ยน
"คนกลาง" - ไม่มา.
“ซอฟต์แวร์ประมวลผลข้อมูล” – ส่วนประกอบเซิร์ฟเวอร์ RBS ที่รับผิดชอบในการใช้ Exchange Server API ส่วนประกอบเซิร์ฟเวอร์แลกเปลี่ยนที่รับผิดชอบในการใช้ Core Banking API
ภัยคุกคามความปลอดภัยระดับบนสุด
การสลายตัว
ยู1 การแทรกข้อมูลเท็จโดยผู้โจมตีผ่านโมดูลการรวมระบบ
ยู1 การแทรกข้อมูลเท็จโดยผู้โจมตีผ่านโมดูลการรวมระบบ
การสลายตัว
ยู1.1 การแก้ไขข้อมูลที่ถูกต้องโดยไม่ได้รับอนุญาตเมื่อส่งผ่านการเชื่อมต่อเครือข่าย:
U1.1.1 ลิงค์: .
ยู1.2 การส่งข้อมูลเท็จผ่านช่องทางการสื่อสารในนามของผู้เข้าร่วมการแลกเปลี่ยนที่ถูกต้องตามกฎหมาย:
U1.1.2 ลิงค์: .
ยู1.3 การแก้ไขข้อมูลที่ถูกต้องโดยไม่ได้รับอนุญาตในระหว่างการประมวลผลบนเซิร์ฟเวอร์ Exchange หรือตัวกลาง:
U1.3.1. ลิงค์: .
ยู1.4 การสร้างข้อมูลเท็จบนเซิร์ฟเวอร์ Exchange หรือตัวกลางในนามของผู้เข้าร่วมการแลกเปลี่ยนที่ถูกต้องตามกฎหมาย:
U1.4.1. ลิงค์:
ยู1.5 การแก้ไขข้อมูลโดยไม่ได้รับอนุญาตเมื่อประมวลผลโดยใช้ซอฟต์แวร์ประมวลผลข้อมูล:
ยู1.5.1 <…> เนื่องจากผู้โจมตีทำการเปลี่ยนแปลงการตั้งค่า (การกำหนดค่า) ของซอฟต์แวร์ประมวลผลข้อมูลโดยไม่ได้รับอนุญาต
ยู1.5.2 <…> เนื่องจากผู้โจมตีทำการเปลี่ยนแปลงไฟล์ปฏิบัติการของซอฟต์แวร์ประมวลผลข้อมูลโดยไม่ได้รับอนุญาต
U1.5.3 <…> เนื่องจากการควบคุมซอฟต์แวร์ประมวลผลข้อมูลแบบโต้ตอบโดยผู้โจมตี
โมเดลภัยคุกคามทั่วไป ระบบป้องกันข้อมูลเชิงเข้ารหัส
ออบเจ็กต์การป้องกันที่ใช้โมเดลภัยคุกคาม (ขอบเขต)
วัตถุประสงค์ของการป้องกันคือระบบป้องกันข้อมูลการเข้ารหัสที่ใช้เพื่อรับรองความปลอดภัยของระบบข้อมูล
สถาปัตยกรรม
พื้นฐานของระบบข้อมูลใด ๆ คือแอพพลิเคชั่นซอฟต์แวร์ที่ใช้ฟังก์ชันการทำงานเป้าหมาย
โดยปกติการป้องกันการเข้ารหัสจะดำเนินการโดยการเรียกการเข้ารหัสลับแบบดั้งเดิมจากตรรกะทางธุรกิจของแอปพลิเคชันซอฟต์แวร์ซึ่งอยู่ในไลบรารีเฉพาะ - แกนการเข้ารหัสลับ
การเข้ารหัสลับแบบดั้งเดิมประกอบด้วยฟังก์ชันการเข้ารหัสระดับต่ำ เช่น:
- เข้ารหัส/ถอดรหัสบล็อคข้อมูล
- สร้าง/ตรวจสอบลายเซ็นอิเล็กทรอนิกส์ของบล็อกข้อมูล
- คำนวณฟังก์ชันแฮชของบล็อกข้อมูล
- สร้าง / โหลด / อัพโหลดข้อมูลสำคัญ
- เป็นต้น
ตรรกะทางธุรกิจของแอพพลิเคชั่นซอฟต์แวร์ใช้ฟังก์ชันการทำงานระดับสูงกว่าโดยใช้การเข้ารหัสแบบดั้งเดิม:
- เข้ารหัสไฟล์โดยใช้คีย์ของผู้รับที่เลือก
- สร้างการเชื่อมต่อเครือข่ายที่ปลอดภัย
- แจ้งผลการตรวจสอบลายเซ็นอิเล็กทรอนิกส์
- และอื่น ๆ
การโต้ตอบของตรรกะทางธุรกิจและ crypto core สามารถดำเนินการได้:
- โดยตรงโดยตรรกะทางธุรกิจที่เรียกการเข้ารหัสแบบดั้งเดิมจากไลบรารีไดนามิกของเคอร์เนล crypto (.DLL สำหรับ Windows, .SO สำหรับ Linux);
- โดยตรงผ่านอินเทอร์เฟซการเข้ารหัส - wrappers เช่น MS Crypto API, Java Cryptography Architecture, PKCS#11 เป็นต้น ในกรณีนี้ ตรรกะทางธุรกิจจะเข้าถึงอินเทอร์เฟซการเข้ารหัสลับ และจะแปลการเรียกเป็นแกนการเข้ารหัสลับที่สอดคล้องกัน ซึ่งใน กรณีนี้เรียกว่าผู้ให้บริการ crypto การใช้อินเทอร์เฟซการเข้ารหัสช่วยให้แอพพลิเคชั่นซอฟต์แวร์สามารถแยกออกจากอัลกอริธึมการเข้ารหัสเฉพาะและมีความยืดหยุ่นมากขึ้น
มีแผนทั่วไปสองประการสำหรับการจัดระเบียบแกนเข้ารหัสลับ:
โครงการที่ 1 – แกนเข้ารหัสขนาดใหญ่เสาหิน
โครงการที่ 2 – แยกแกนเข้ารหัสลับ
องค์ประกอบในไดอะแกรมข้างต้นอาจเป็นโมดูลซอฟต์แวร์แต่ละตัวที่ทำงานบนคอมพิวเตอร์เครื่องเดียวหรือบริการเครือข่ายที่มีการโต้ตอบภายในเครือข่ายคอมพิวเตอร์
เมื่อใช้ระบบที่สร้างขึ้นตาม Scheme 1 แอปพลิเคชันซอฟต์แวร์และ crypto core จะทำงานภายในสภาพแวดล้อมการทำงานเดียวสำหรับ crypto tool (SFC) ตัวอย่างเช่น บนคอมพิวเตอร์เครื่องเดียวกันที่ใช้ระบบปฏิบัติการเดียวกัน ตามกฎแล้ว ผู้ใช้ระบบสามารถเรียกใช้โปรแกรมอื่น รวมถึงโปรแกรมที่มีโค้ดที่เป็นอันตราย ภายในสภาพแวดล้อมการทำงานเดียวกันได้ ภายใต้เงื่อนไขดังกล่าว มีความเสี่ยงร้ายแรงต่อการรั่วไหลของคีย์เข้ารหัสลับส่วนตัว
เพื่อลดความเสี่ยง จึงมีการใช้รูปแบบที่ 2 ซึ่งแกนการเข้ารหัสลับแบ่งออกเป็นสองส่วน:
- ส่วนแรกพร้อมกับแอพพลิเคชั่นซอฟต์แวร์ทำงานในสภาพแวดล้อมที่ไม่น่าเชื่อถือซึ่งมีความเสี่ยงที่จะติดไวรัสด้วยโค้ดที่เป็นอันตราย เราจะเรียกส่วนนี้ว่า "ส่วนซอฟต์แวร์"
- ส่วนที่สองทำงานในสภาพแวดล้อมที่เชื่อถือได้บนอุปกรณ์เฉพาะซึ่งมีที่เก็บข้อมูลคีย์ส่วนตัว จากนี้ไปเราจะเรียกส่วนนี้ว่า "ฮาร์ดแวร์"
การแบ่งส่วนของ crypto core ออกเป็นส่วนซอฟต์แวร์และฮาร์ดแวร์นั้นเป็นไปตามอำเภอใจ มีระบบในตลาดที่สร้างขึ้นตามรูปแบบที่มีแกน crypto ที่ถูกแบ่ง แต่ส่วน "ฮาร์ดแวร์" ซึ่งนำเสนอในรูปแบบของอิมเมจเครื่องเสมือน - HSM เสมือน ().
การโต้ตอบของทั้งสองส่วนของ crypto core เกิดขึ้นในลักษณะที่คีย์การเข้ารหัสลับส่วนตัวจะไม่ถูกถ่ายโอนไปยังส่วนของซอฟต์แวร์ และด้วยเหตุนี้จึงไม่สามารถถูกขโมยโดยใช้โค้ดที่เป็นอันตรายได้
อินเทอร์เฟซการโต้ตอบ (API) และชุดของการเข้ารหัสลับเบื้องต้นที่มอบให้กับแอพพลิเคชั่นซอฟต์แวร์โดยแกนเข้ารหัสจะเหมือนกันในทั้งสองกรณี ความแตกต่างอยู่ที่วิธีการนำไปใช้
ดังนั้น เมื่อใช้โครงร่างที่มีแกนเข้ารหัสลับแบบแบ่ง การโต้ตอบของซอฟต์แวร์และฮาร์ดแวร์จะดำเนินการตามหลักการต่อไปนี้:
- ซอฟต์แวร์เข้ารหัสแบบดั้งเดิมที่ไม่จำเป็นต้องใช้คีย์ส่วนตัว (เช่น การคำนวณฟังก์ชันแฮช การตรวจสอบลายเซ็นอิเล็กทรอนิกส์ ฯลฯ)
- การเข้ารหัสแบบดั้งเดิมที่ใช้คีย์ส่วนตัว (การสร้างลายเซ็นอิเล็กทรอนิกส์ การถอดรหัสข้อมูล ฯลฯ) จะดำเนินการโดยฮาร์ดแวร์
เรามาสาธิตการทำงานของแกน crypto ที่ถูกแบ่งโดยใช้ตัวอย่างการสร้างลายเซ็นอิเล็กทรอนิกส์:
- ส่วนของซอฟต์แวร์จะคำนวณฟังก์ชันแฮชของข้อมูลที่ลงนามและส่งค่านี้ไปยังฮาร์ดแวร์ผ่านช่องทางการแลกเปลี่ยนระหว่างแกนเข้ารหัสลับ
- ส่วนฮาร์ดแวร์ที่ใช้คีย์ส่วนตัวและแฮชจะสร้างมูลค่าของลายเซ็นอิเล็กทรอนิกส์และส่งไปยังส่วนซอฟต์แวร์ผ่านช่องทางการแลกเปลี่ยน
- ส่วนซอฟต์แวร์จะส่งกลับค่าที่ได้รับไปยังแอพพลิเคชั่นซอฟต์แวร์
คุณสมบัติการตรวจสอบความถูกต้องของลายเซ็นอิเล็กทรอนิกส์
เมื่อฝ่ายรับได้รับข้อมูลที่ลงนามทางอิเล็กทรอนิกส์ ฝ่ายนั้นจะต้องดำเนินการตรวจสอบหลายขั้นตอน ผลลัพธ์เชิงบวกของการตรวจสอบลายเซ็นอิเล็กทรอนิกส์จะเกิดขึ้นได้ก็ต่อเมื่อการตรวจสอบทุกขั้นตอนเสร็จสมบูรณ์แล้ว
ขั้นตอนที่ 1 การควบคุมความสมบูรณ์ของข้อมูลและการอนุญาตข้อมูล
เนื้อหาของเวที ลายเซ็นอิเล็กทรอนิกส์ของข้อมูลได้รับการตรวจสอบโดยใช้อัลกอริธึมการเข้ารหัสที่เหมาะสม การเสร็จสิ้นขั้นตอนนี้สำเร็จบ่งชี้ว่าข้อมูลไม่ได้รับการแก้ไขนับตั้งแต่เวลาที่ลงนาม และลายเซ็นนั้นถูกสร้างขึ้นด้วยคีย์ส่วนตัวที่สอดคล้องกับคีย์สาธารณะสำหรับการตรวจสอบลายเซ็นอิเล็กทรอนิกส์
ที่ตั้งเวที: แกนการเข้ารหัสลับ
ขั้นตอนที่ 2 การควบคุมความไว้วางใจในกุญแจสาธารณะของผู้ลงนามและการควบคุมระยะเวลาที่มีผลบังคับใช้ของกุญแจส่วนตัวของลายเซ็นอิเล็กทรอนิกส์
เนื้อหาของเวที เวทีประกอบด้วยสองขั้นตอนย่อยระดับกลาง ประการแรกคือการตรวจสอบว่าคีย์สาธารณะสำหรับการตรวจสอบลายเซ็นอิเล็กทรอนิกส์นั้นเชื่อถือได้ในขณะที่ลงนามข้อมูลหรือไม่ ส่วนที่สองกำหนดว่าคีย์ส่วนตัวของลายเซ็นอิเล็กทรอนิกส์นั้นถูกต้องในขณะที่ลงนามข้อมูลหรือไม่ โดยทั่วไป ระยะเวลาที่มีผลบังคับใช้ของคีย์เหล่านี้อาจไม่ตรงกัน (เช่น สำหรับใบรับรองที่ผ่านการรับรองของคีย์การตรวจสอบลายเซ็นอิเล็กทรอนิกส์) วิธีการสร้างความไว้วางใจในกุญแจสาธารณะของผู้ลงนามจะถูกกำหนดโดยกฎของการจัดการเอกสารอิเล็กทรอนิกส์ที่คู่สัญญาทั้งสองฝ่ายนำมาใช้
ที่ตั้งเวที: แอพพลิเคชั่นซอฟต์แวร์ / แกนเข้ารหัส
ขั้นที่ 3 การควบคุมอำนาจของผู้ลงนาม
เนื้อหาของเวที ตามกฎที่กำหนดไว้ของการจัดการเอกสารอิเล็กทรอนิกส์จะมีการตรวจสอบว่าผู้ลงนามมีสิทธิ์รับรองข้อมูลที่ได้รับการคุ้มครองหรือไม่ เป็นตัวอย่าง ให้เรายกสถานการณ์การละเมิดอำนาจ สมมติว่ามีองค์กรหนึ่งที่พนักงานทุกคนมีลายเซ็นอิเล็กทรอนิกส์ ระบบจัดการเอกสารอิเล็กทรอนิกส์ภายในได้รับคำสั่งจากผู้จัดการแต่ลงนามด้วยลายมือชื่ออิเล็กทรอนิกส์ของผู้จัดการคลังสินค้า ดังนั้นเอกสารดังกล่าวจึงไม่ถือว่าถูกต้องตามกฎหมาย
ที่ตั้งเวที: แอพพลิเคชั่นซอฟต์แวร์
สมมติฐานที่เกิดขึ้นเมื่ออธิบายวัตถุแห่งการคุ้มครอง
- ช่องทางการส่งข้อมูล ยกเว้นช่องทางการแลกเปลี่ยนคีย์ ยังส่งผ่านแอพพลิเคชั่นซอฟต์แวร์, API และ crypto core
- ข้อมูลเกี่ยวกับความไว้วางใจในกุญแจสาธารณะและ (หรือ) ใบรับรอง ตลอดจนข้อมูลเกี่ยวกับอำนาจของเจ้าของกุญแจสาธารณะ จะถูกเก็บไว้ในที่เก็บกุญแจสาธารณะ
- แอพพลิเคชั่นซอฟต์แวร์ทำงานร่วมกับที่เก็บกุญแจสาธารณะผ่านเคอร์เนลเข้ารหัส
ตัวอย่างระบบสารสนเทศที่ได้รับการป้องกันโดยใช้ CIPF
เพื่อแสดงแผนภาพที่นำเสนอก่อนหน้านี้ ลองพิจารณาระบบข้อมูลสมมุติและเน้นองค์ประกอบโครงสร้างทั้งหมดที่อยู่ในนั้น
คำอธิบายของระบบสารสนเทศ
ทั้งสององค์กรตัดสินใจที่จะแนะนำการจัดการเอกสารอิเล็กทรอนิกส์ (EDF) ที่มีความสำคัญทางกฎหมายระหว่างกัน ในการดำเนินการนี้ พวกเขาได้ทำข้อตกลงซึ่งกำหนดว่าเอกสารจะถูกส่งทางอีเมล และในขณะเดียวกัน เอกสารเหล่านั้นจะต้องได้รับการเข้ารหัสและลงนามด้วยลายเซ็นอิเล็กทรอนิกส์ที่ผ่านการรับรอง ควรใช้โปรแกรม Office จากแพ็คเกจ Microsoft Office 2016 เป็นเครื่องมือในการสร้างและประมวลผลเอกสาร และควรใช้ CIPF CryptoPRO และซอฟต์แวร์เข้ารหัส CryptoARM เป็นวิธีการป้องกันการเข้ารหัส
คำอธิบายโครงสร้างพื้นฐานขององค์กร 1
องค์กร 1 ตัดสินใจว่าจะติดตั้งซอฟต์แวร์ CIPF CryptoPRO และ CryptoARM บนเวิร์กสเตชันของผู้ใช้ - คอมพิวเตอร์จริง คีย์การเข้ารหัสและลายเซ็นอิเล็กทรอนิกส์จะถูกจัดเก็บไว้ในสื่อคีย์ ruToken ซึ่งทำงานในโหมดคีย์ที่เรียกคืนได้ ผู้ใช้จะเตรียมเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์ จากนั้นเข้ารหัส ลงนาม และส่งโดยใช้โปรแกรมรับส่งเมลที่ติดตั้งในเครื่อง
คำอธิบายโครงสร้างพื้นฐานขององค์กร 2
องค์กร 2 ตัดสินใจย้ายฟังก์ชันการเข้ารหัสและลายเซ็นอิเล็กทรอนิกส์ไปยังเครื่องเสมือนเฉพาะ ในกรณีนี้ การดำเนินการเข้ารหัสทั้งหมดจะดำเนินการโดยอัตโนมัติ
ในการดำเนินการนี้ โฟลเดอร์เครือข่ายสองโฟลเดอร์จะถูกจัดระเบียบบนเครื่องเสมือนเฉพาะ: “...ใน”, “...ออก” ไฟล์ที่ได้รับจากคู่สัญญาในรูปแบบเปิดจะถูกวางลงในโฟลเดอร์เครือข่าย “…ใน” โดยอัตโนมัติ ไฟล์เหล่านี้จะถูกถอดรหัสและลายเซ็นอิเล็กทรอนิกส์จะได้รับการตรวจสอบ
ผู้ใช้จะวางไฟล์ไว้ในโฟลเดอร์ “...ออก” ที่จำเป็นต้องเข้ารหัส ลงนาม และส่งไปยังคู่สัญญา ผู้ใช้จะเตรียมไฟล์ด้วยตนเองบนเวิร์กสเตชันของเขา
เพื่อดำเนินการเข้ารหัสและฟังก์ชันลายเซ็นอิเล็กทรอนิกส์ ซอฟต์แวร์ CIPF CryptoPRO, CryptoARM และไคลเอนต์อีเมลได้รับการติดตั้งบนเครื่องเสมือน การจัดการองค์ประกอบทั้งหมดของเครื่องเสมือนโดยอัตโนมัติจะดำเนินการโดยใช้สคริปต์ที่พัฒนาโดยผู้ดูแลระบบ การทำงานของสคริปต์ถูกบันทึกไว้ในไฟล์บันทึก
คีย์การเข้ารหัสสำหรับลายเซ็นอิเล็กทรอนิกส์จะถูกวางไว้บนโทเค็นด้วยคีย์ JaCarta GOST ที่ไม่สามารถเรียกคืนได้ ซึ่งผู้ใช้จะเชื่อมต่อกับคอมพิวเตอร์ในพื้นที่ของเขา
โทเค็นจะถูกส่งต่อไปยังเครื่องเสมือนโดยใช้ซอฟต์แวร์ USB-over-IP เฉพาะที่ติดตั้งบนเวิร์กสเตชันของผู้ใช้และบนเครื่องเสมือน
นาฬิการะบบบนเวิร์กสเตชันของผู้ใช้ในองค์กร 1 จะถูกปรับด้วยตนเอง นาฬิการะบบของเครื่องเสมือนเฉพาะในองค์กร 2 จะถูกซิงโครไนซ์กับนาฬิการะบบไฮเปอร์ไวเซอร์ ซึ่งในทางกลับกันจะถูกซิงโครไนซ์ผ่านอินเทอร์เน็ตกับเซิร์ฟเวอร์เวลาสาธารณะ
การระบุองค์ประกอบโครงสร้างของ CIPF
ตามคำอธิบายข้างต้นของโครงสร้างพื้นฐานด้านไอที เราจะเน้นองค์ประกอบโครงสร้างของ CIPF และเขียนลงในตาราง
ตาราง - ความสอดคล้องขององค์ประกอบโมเดล CIPF กับองค์ประกอบระบบสารสนเทศ
ชื่อรายการ
องค์กร 1
องค์กร 2
ซอฟต์แวร์ประยุกต์
ซอฟต์แวร์ CryptoARM
ซอฟต์แวร์ CryptoARM
ส่วนซอฟต์แวร์ของแกน crypto
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
ฮาร์ดแวร์หลักของการเข้ารหัสลับ
ไม่
จาการ์ต้า GOST
API
เอ็มเอส คริปโตเอพีไอ
เอ็มเอส คริปโตเอพีไอ
ที่เก็บกุญแจสาธารณะ
เวิร์กสเตชันของผู้ใช้:
- ฮาร์ดดิส;
- ที่เก็บใบรับรอง Windows มาตรฐาน
ไฮเปอร์ไวเซอร์:
- ฮาร์ดดิส
เครื่องเสมือน:
- ฮาร์ดดิส;
- ที่เก็บใบรับรอง Windows มาตรฐาน
การจัดเก็บคีย์ส่วนตัว
ผู้ให้บริการคีย์ ruToken ทำงานในโหมดคีย์ที่เรียกคืนได้
ผู้ให้บริการคีย์ JaCarta GOST ทำงานในโหมดคีย์ที่ไม่สามารถถอดออกได้
ช่องทางการแลกเปลี่ยนคีย์สาธารณะ
เวิร์กสเตชันของผู้ใช้:
- แกะ.
ไฮเปอร์ไวเซอร์:
- แกะ.
เครื่องเสมือน:
- แกะ.
ช่องทางการแลกเปลี่ยนคีย์ส่วนตัว
เวิร์กสเตชันของผู้ใช้:
— บัส USB;
- แกะ.
ไม่
แลกเปลี่ยนช่องทางระหว่างแกน crypto
หายไป (ไม่มีฮาร์ดแวร์หลัก crypto)
เวิร์กสเตชันของผู้ใช้:
— บัส USB;
- แกะ;
— โมดูลซอฟต์แวร์ USB-over-IP
- เชื่อมต่อเครือข่าย.
เครือข่ายองค์กรขององค์กร2.
ไฮเปอร์ไวเซอร์:
- แกะ;
- เชื่อมต่อเครือข่าย.
เครื่องเสมือน:
- เชื่อมต่อเครือข่าย;
- แกะ;
— โมดูลซอฟต์แวร์ USB-over-IP
เปิดช่องทางข้อมูล
เวิร์กสเตชันของผู้ใช้:
— วิธีการเข้า-ออก;
- แกะ;
- ฮาร์ดดิส
เวิร์กสเตชันของผู้ใช้:
— วิธีการเข้า-ออก;
- แกะ;
- ฮาร์ดดิส;
- เชื่อมต่อเครือข่าย.
เครือข่ายองค์กรขององค์กร2.
ไฮเปอร์ไวเซอร์:
- เชื่อมต่อเครือข่าย;
- แกะ;
- ฮาร์ดดิส
เครื่องเสมือน:
- เชื่อมต่อเครือข่าย;
- แกะ;
- ฮาร์ดดิส
ช่องทางการแลกเปลี่ยนข้อมูลที่ปลอดภัย
อินเทอร์เน็ต
เครือข่ายองค์กรขององค์กร1.
เวิร์กสเตชันของผู้ใช้:
- ฮาร์ดดิส;
- แกะ;
- เชื่อมต่อเครือข่าย.
อินเทอร์เน็ต
เครือข่ายองค์กรขององค์กร2.
ไฮเปอร์ไวเซอร์:
- เชื่อมต่อเครือข่าย;
- แกะ;
- ฮาร์ดดิส
เครื่องเสมือน:
- เชื่อมต่อเครือข่าย;
- แกะ;
- ฮาร์ดดิส
ช่องเวลา
เวิร์กสเตชันของผู้ใช้:
— วิธีการเข้า-ออก;
- แกะ;
- ระบบจับเวลา
อินเทอร์เน็ต
เครือข่ายองค์กรขององค์กรที่ 2
ไฮเปอร์ไวเซอร์:
- เชื่อมต่อเครือข่าย;
- แกะ;
- ระบบจับเวลา
เครื่องเสมือน:
- แกะ;
- ระบบจับเวลา
ควบคุมช่องทางการส่งคำสั่ง
เวิร์กสเตชันของผู้ใช้:
— วิธีการเข้า-ออก;
- แกะ.
(อินเทอร์เฟซผู้ใช้แบบกราฟิกของซอฟต์แวร์ CryptoARM)
เครื่องเสมือน:
- แกะ;
- ฮาร์ดดิส
(สคริปต์อัตโนมัติ)
ช่องทางการรับผลงาน
เวิร์กสเตชันของผู้ใช้:
— วิธีการเข้า-ออก;
- แกะ.
(อินเทอร์เฟซผู้ใช้แบบกราฟิกของซอฟต์แวร์ CryptoARM)
เครื่องเสมือน:
- แกะ;
- ฮาร์ดดิส
(ไฟล์บันทึกของสคริปต์อัตโนมัติ)
ภัยคุกคามความปลอดภัยระดับบนสุด
คำอธิบาย
ข้อสันนิษฐานที่เกิดขึ้นเมื่อสลายภัยคุกคาม:
- ใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง
- อัลกอริธึมการเข้ารหัสจะถูกใช้อย่างปลอดภัยในโหมดการทำงานที่ถูกต้อง (เช่น ไม่ได้ใช้สำหรับการเข้ารหัสข้อมูลปริมาณมาก โดยคำนึงถึงโหลดที่อนุญาตของคีย์ ฯลฯ)
- ผู้โจมตีทราบอัลกอริธึม โปรโตคอล และคีย์สาธารณะทั้งหมดที่ใช้
- ผู้โจมตีสามารถอ่านข้อมูลที่เข้ารหัสทั้งหมดได้
- ผู้โจมตีสามารถสร้างองค์ประกอบซอฟต์แวร์ใดๆ ในระบบได้
การสลายตัว
ยู1 การประนีประนอมของคีย์เข้ารหัสลับส่วนตัว
ยู2 การเข้ารหัสข้อมูลปลอมในนามของผู้ส่งที่ถูกต้องตามกฎหมาย
ยู3 การถอดรหัสข้อมูลที่เข้ารหัสโดยบุคคลที่ไม่ใช่ผู้รับข้อมูลที่ถูกต้องตามกฎหมาย (ผู้โจมตี)
ยู4 การสร้างลายเซ็นอิเล็กทรอนิกส์ของผู้ลงนามที่ถูกต้องตามกฎหมายภายใต้ข้อมูลอันเป็นเท็จ
ยู5 ได้รับผลบวกจากการตรวจสอบลายเซ็นอิเล็กทรอนิกส์ของข้อมูลปลอม
U6 การยอมรับเอกสารอิเล็กทรอนิกส์เพื่อดำเนินการผิดพลาดเนื่องจากปัญหาในการจัดลำดับเอกสารอิเล็กทรอนิกส์
ยู7 การเข้าถึงข้อมูลที่ได้รับการคุ้มครองโดยไม่ได้รับอนุญาตในระหว่างการประมวลผลโดย CIPF
ยู1 การประนีประนอมของคีย์เข้ารหัสลับส่วนตัว
ยู1.1 การดึงคีย์ส่วนตัวจากที่เก็บคีย์ส่วนตัว
ยู1.2 การรับคีย์ส่วนตัวจากอ็อบเจ็กต์ในสภาพแวดล้อมการทำงานของเครื่องมือ crypto ซึ่งอาจอยู่ชั่วคราว
คำอธิบาย U1.2
ออบเจ็กต์ที่สามารถจัดเก็บคีย์ส่วนตัวได้ชั่วคราวจะรวมถึง:
- แกะ,
- ไฟล์ชั่วคราว,
- สลับไฟล์,
- ไฟล์ไฮเบอร์เนต,
- ไฟล์สแน็ปช็อตของสถานะ "ร้อน" ของเครื่องเสมือน รวมถึงไฟล์เนื้อหาของ RAM ของเครื่องเสมือนที่หยุดชั่วคราว
U1.2.1. แยกคีย์ส่วนตัวออกจาก RAM ที่ใช้งานได้โดยการแช่แข็งโมดูล RAM ลบออกแล้วอ่านข้อมูล (หยุดการโจมตี)
คำอธิบาย U1.2.1
ตัวอย่าง .
ยู1.3 การรับคีย์ส่วนตัวจากช่องทางการแลกเปลี่ยนคีย์ส่วนตัว
คำอธิบาย U1.3
จะมีการยกตัวอย่างการดำเนินการตามภัยคุกคามนี้ .
ยู1.4 การปรับเปลี่ยน crypto core โดยไม่ได้รับอนุญาต ส่งผลให้ผู้โจมตีรู้จักคีย์ส่วนตัว
ยู1.5 การประนีประนอมของคีย์ส่วนตัวอันเป็นผลมาจากการใช้ช่องทางการรั่วไหลของข้อมูลทางเทคนิค (TCIL)
คำอธิบาย U1.5
ตัวอย่าง .
ยู1.6 การประนีประนอมของคีย์ส่วนตัวอันเป็นผลมาจากการใช้วิธีการทางเทคนิคพิเศษ (STS) ที่ออกแบบมาเพื่อเรียกค้นข้อมูลอย่างเป็นความลับ (“ข้อบกพร่อง”)
ยู1.7 ประนีประนอมกับคีย์ส่วนตัวระหว่างการจัดเก็บนอก CIPF
คำอธิบาย U1.7
ตัวอย่างเช่น ผู้ใช้จัดเก็บสื่อหลักของเขาไว้ในลิ้นชักเดสก์ท็อป ซึ่งผู้โจมตีสามารถดึงข้อมูลได้อย่างง่ายดาย
ยู2 การเข้ารหัสข้อมูลปลอมในนามของผู้ส่งที่ถูกต้องตามกฎหมาย
คำอธิบาย
ภัยคุกคามนี้ได้รับการพิจารณาสำหรับแผนการเข้ารหัสข้อมูลที่มีการตรวจสอบสิทธิ์ผู้ส่งเท่านั้น ตัวอย่างของโครงร่างดังกล่าวระบุไว้ในคำแนะนำในการมาตรฐาน . สำหรับรูปแบบการเข้ารหัสอื่นๆ ภัยคุกคามนี้ไม่มีอยู่ เนื่องจากมีการดำเนินการเข้ารหัสบนคีย์สาธารณะของผู้รับ และโดยทั่วไปผู้โจมตีจะรู้จักภัยคุกคามเหล่านี้
การสลายตัว
ยู2.1 ประนีประนอมคีย์ส่วนตัวของผู้ส่ง:
U2.1.1. ลิงค์: .
ยู2.2 การทดแทนข้อมูลอินพุตในช่องแลกเปลี่ยนข้อมูลแบบเปิด
หมายเหตุ U2.2
ตัวอย่างของการดำเนินการตามภัยคุกคามนี้มีดังต่อไปนี้ и .
ยู3 การถอดรหัสข้อมูลที่เข้ารหัสโดยบุคคลที่ไม่ใช่ผู้รับข้อมูลที่ถูกต้องตามกฎหมาย (ผู้โจมตี)
การสลายตัว
U3.1 การประนีประนอมกับคีย์ส่วนตัวของผู้รับข้อมูลที่เข้ารหัส
U3.1.1 ลิงค์: .
U3.2 การทดแทนข้อมูลที่เข้ารหัสในช่องทางการแลกเปลี่ยนข้อมูลที่ปลอดภัย
ยู4 การสร้างลายเซ็นอิเล็กทรอนิกส์ของผู้ลงนามที่ถูกต้องตามกฎหมายภายใต้ข้อมูลเท็จ
การสลายตัว
ยู4.1 การประนีประนอมกับคีย์ส่วนตัวของลายเซ็นอิเล็กทรอนิกส์ของผู้ลงนามที่ถูกต้องตามกฎหมาย
U4.1.1 ลิงค์: .
ยู4.2 การทดแทนข้อมูลที่ลงนามในช่องทางการแลกเปลี่ยนข้อมูลแบบเปิด
หมายเหตุ U4.2
ตัวอย่างของการดำเนินการตามภัยคุกคามนี้มีดังต่อไปนี้ и .
ยู5 ได้ผลลัพธ์ที่เป็นบวกจากการตรวจสอบลายเซ็นอิเล็กทรอนิกส์ของข้อมูลที่ปลอมแปลง
การสลายตัว
ยู5.1 ผู้โจมตีดักจับข้อความในช่องเพื่อส่งผลการทำงานเกี่ยวกับผลลบของการตรวจสอบลายเซ็นอิเล็กทรอนิกส์และแทนที่ด้วยข้อความที่มีผลเป็นบวก
ยู5.2 ผู้โจมตีโจมตีความไว้วางใจในการลงนามใบรับรอง (SCRIPT - จำเป็นต้องมีองค์ประกอบทั้งหมด):
U5.2.1. ผู้โจมตีจะสร้างคีย์สาธารณะและคีย์ส่วนตัวสำหรับลายเซ็นอิเล็กทรอนิกส์ หากระบบใช้ใบรับรองคีย์ลายเซ็นอิเล็กทรอนิกส์ ระบบจะสร้างใบรับรองลายเซ็นอิเล็กทรอนิกส์ที่คล้ายคลึงกับใบรับรองของผู้ส่งข้อมูลที่ต้องการปลอมแปลงข้อความมากที่สุด
U5.2.2 ผู้โจมตีทำการเปลี่ยนแปลงที่เก็บคีย์สาธารณะโดยไม่ได้รับอนุญาต ทำให้คีย์สาธารณะได้รับความไว้วางใจและอำนาจในระดับที่จำเป็น
U5.2.3 ผู้โจมตีลงนามข้อมูลเท็จด้วยรหัสลายเซ็นอิเล็กทรอนิกส์ที่สร้างขึ้นก่อนหน้านี้ และแทรกลงในช่องทางการแลกเปลี่ยนข้อมูลที่ปลอดภัย
U5.3 ผู้โจมตีทำการโจมตีโดยใช้กุญแจลายเซ็นอิเล็กทรอนิกส์ที่หมดอายุของผู้ลงนามทางกฎหมาย (SCRIPT - จำเป็นต้องมีองค์ประกอบทั้งหมด):
U5.3.1. ผู้โจมตีที่ถูกโจมตีหมดอายุ (ไม่ถูกต้องในปัจจุบัน) คีย์ส่วนตัวของลายเซ็นอิเล็กทรอนิกส์ของผู้ส่งที่ถูกต้องตามกฎหมาย
U5.3.2. ผู้โจมตีจะแทนที่เวลาในช่องส่งสัญญาณเวลาด้วยเวลาที่คีย์ที่ถูกบุกรุกยังคงใช้งานได้
U5.3.3 ผู้โจมตีลงนามข้อมูลเท็จด้วยคีย์ลายเซ็นอิเล็กทรอนิกส์ที่ถูกบุกรุกก่อนหน้านี้ และแทรกลงในช่องทางการแลกเปลี่ยนข้อมูลที่ปลอดภัย
ยู5.4 ผู้โจมตีทำการโจมตีโดยใช้คีย์ลายเซ็นอิเล็กทรอนิกส์ที่ถูกบุกรุกของผู้ลงนามทางกฎหมาย (SCRIPT - จำเป็นต้องมีองค์ประกอบทั้งหมด):
U5.4.1. ผู้โจมตีทำสำเนาของที่เก็บกุญแจสาธารณะ
U5.4.2. ผู้โจมตีประนีประนอมคีย์ส่วนตัวของผู้ส่งที่ถูกต้องตามกฎหมาย เขาสังเกตเห็นการประนีประนอม เพิกถอนคีย์ และข้อมูลเกี่ยวกับการเพิกถอนคีย์ถูกเก็บไว้ในที่เก็บคีย์สาธารณะ
U5.4.3 ผู้โจมตีจะแทนที่ที่เก็บคีย์สาธารณะด้วยที่เก็บคีย์ที่คัดลอกไว้ก่อนหน้านี้
U5.4.4 ผู้โจมตีลงนามข้อมูลเท็จด้วยคีย์ลายเซ็นอิเล็กทรอนิกส์ที่ถูกบุกรุกก่อนหน้านี้ และแทรกลงในช่องทางการแลกเปลี่ยนข้อมูลที่ปลอดภัย
ยู5.5 <…> เนื่องจากเกิดข้อผิดพลาดในการดำเนินการขั้นตอนที่ 2 และ 3 ของการตรวจสอบลายเซ็นอิเล็กทรอนิกส์:
คำอธิบาย U5.5
มีตัวอย่างการดำเนินการตามภัยคุกคามนี้ .
U5.5.1 การตรวจสอบความน่าเชื่อถือในใบรับรองคีย์ลายเซ็นอิเล็กทรอนิกส์เฉพาะเมื่อมีความน่าเชื่อถือในใบรับรองที่ลงนามเท่านั้น โดยไม่มีการตรวจสอบ CRL หรือ OCSP
คำอธิบาย U5.5.1
ตัวอย่างการใช้งาน .
U5.5.2. เมื่อสร้างสายโซ่ความเชื่อถือสำหรับใบรับรอง อำนาจในการออกใบรับรองจะไม่ได้รับการวิเคราะห์
คำอธิบาย U5.5.2
ตัวอย่างการโจมตีใบรับรอง SSL/TLS
ผู้โจมตีซื้อใบรับรองที่ถูกต้องสำหรับอีเมลของตน จากนั้นพวกเขาก็สร้างใบรับรองไซต์ที่หลอกลวงและลงนามด้วยใบรับรองของตน หากไม่ได้ตรวจสอบข้อมูลรับรอง จากนั้นเมื่อตรวจสอบห่วงโซ่ความน่าเชื่อถือก็จะกลายเป็นว่าถูกต้องและด้วยเหตุนี้ใบรับรองที่ฉ้อโกงก็จะถูกต้องเช่นกัน
U5.5.3 เมื่อสร้างห่วงโซ่ความน่าเชื่อถือใบรับรอง ใบรับรองระดับกลางจะไม่ถูกตรวจสอบสำหรับการเพิกถอน
U5.5.4 CRL ได้รับการอัปเดตน้อยกว่าที่ออกโดยหน่วยงานออกใบรับรอง
U5.5.5 การตัดสินใจเชื่อถือลายเซ็นอิเล็กทรอนิกส์จะเกิดขึ้นก่อนที่จะได้รับการตอบสนองของ OCSP เกี่ยวกับสถานะของใบรับรอง ซึ่งส่งตามคำขอที่เกิดขึ้นช้ากว่าเวลาที่สร้างลายเซ็นหรือเร็วกว่า CRL ถัดไปหลังจากสร้างลายเซ็นแล้ว
คำอธิบาย U5.5.5
ในข้อบังคับของ CA ส่วนใหญ่ เวลาของการเพิกถอนใบรับรองถือเป็นเวลาที่ออก CRL ที่ใกล้ที่สุดซึ่งมีข้อมูลเกี่ยวกับการเพิกถอนใบรับรอง
U5.5.6 เมื่อได้รับข้อมูลที่ลงนามแล้ว ใบรับรองที่เป็นของผู้ส่งจะไม่ถูกตรวจสอบ
คำอธิบาย U5.5.6
ตัวอย่างการโจมตี ในส่วนที่เกี่ยวข้องกับใบรับรอง SSL: อาจไม่สามารถตรวจสอบความสอดคล้องของที่อยู่เซิร์ฟเวอร์ที่ถูกเรียกกับค่าของฟิลด์ CN ในใบรับรองได้
ตัวอย่างการโจมตี ผู้โจมตีเจาะระบบคีย์ลายเซ็นอิเล็กทรอนิกส์ของหนึ่งในผู้เข้าร่วมระบบการชำระเงิน หลังจากนั้นพวกเขาก็เจาะเข้าไปในเครือข่ายของผู้เข้าร่วมรายอื่นและส่งเอกสารการชำระเงินที่ลงนามด้วยคีย์ที่ถูกบุกรุกไปยังเซิร์ฟเวอร์การชำระเงินของระบบการชำระเงินในนามของเขา หากเซิร์ฟเวอร์วิเคราะห์ความน่าเชื่อถือเท่านั้นและไม่ตรวจสอบการปฏิบัติตามข้อกำหนด เอกสารที่ฉ้อโกงจะถือว่าถูกต้องตามกฎหมาย
U6 การยอมรับเอกสารอิเล็กทรอนิกส์เพื่อดำเนินการผิดพลาดเนื่องจากปัญหาในการจัดลำดับเอกสารอิเล็กทรอนิกส์
การสลายตัว
U6.1 ฝ่ายรับตรวจไม่พบความซ้ำซ้อนของเอกสารที่ได้รับ
คำอธิบาย U6.1
ตัวอย่างการโจมตี ผู้โจมตีสามารถสกัดกั้นเอกสารที่ส่งไปยังผู้รับได้ แม้ว่าเอกสารนั้นจะมีการป้องกันแบบเข้ารหัส แล้วส่งซ้ำๆ ผ่านช่องทางการรับส่งข้อมูลที่ปลอดภัย หากผู้รับไม่ระบุรายการที่ซ้ำกัน เอกสารที่ได้รับทั้งหมดจะถูกรับรู้และประมวลผลเป็นเอกสารที่แตกต่างกัน
ยู7 การเข้าถึงข้อมูลที่ได้รับการคุ้มครองโดยไม่ได้รับอนุญาตในระหว่างการประมวลผลโดย CIPF
การสลายตัว
ยู7.1 <…> เนื่องจากข้อมูลรั่วไหลผ่านช่องทางด้านข้าง (การโจมตีช่องทางด้านข้าง)
คำอธิบาย U7.1
ตัวอย่าง .
ยู7.2 <…> เนื่องจากการวางตัวเป็นกลางของการป้องกันการเข้าถึงข้อมูลที่ประมวลผลบน CIPF โดยไม่ได้รับอนุญาต:
U7.2.1. การดำเนินงานของ CIPF โดยละเมิดข้อกำหนดที่อธิบายไว้ในเอกสารประกอบสำหรับ CIPF
U7.2.2 <…> ดำเนินการเนื่องจากมีช่องโหว่ใน:
U7.2.2.1. <…> วิธีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
U7.2.2.2 <…> CIPF นั้นเอง
U7.2.2.3 <…> สภาพแวดล้อมการทำงานของเครื่องมือเข้ารหัสลับ
ตัวอย่างการโจมตี
สถานการณ์ที่กล่าวถึงด้านล่างนี้มีข้อผิดพลาดด้านความปลอดภัยของข้อมูลที่เห็นได้ชัด และใช้เพื่อแสดงให้เห็นการโจมตีที่เป็นไปได้เท่านั้น
สถานการณ์ที่ 1 ตัวอย่างของการดำเนินการตามภัยคุกคาม U2.2 และ U4.2
คำอธิบายของวัตถุ
ซอฟต์แวร์ AWS KBR และ CIPF SCAD Signature ได้รับการติดตั้งบนคอมพิวเตอร์จริงที่ไม่ได้เชื่อมต่อกับเครือข่ายคอมพิวเตอร์ FKN vdToken ใช้เป็นพาหะสำคัญในโหมดการทำงานกับคีย์ที่ไม่สามารถถอดออกได้
กฎข้อบังคับในข้อตกลงถือว่าผู้เชี่ยวชาญด้านการชำระเงินจากคอมพิวเตอร์ที่ทำงานของเขาดาวน์โหลดข้อความอิเล็กทรอนิกส์ในรูปแบบข้อความธรรมดา (รูปแบบของเวิร์กสเตชัน KBR เก่า) จากเซิร์ฟเวอร์ไฟล์ที่ปลอดภัยพิเศษ จากนั้นจึงเขียนข้อความเหล่านั้นลงในแฟลชไดรฟ์ USB ที่ถ่ายโอนได้ และถ่ายโอนไปยังเวิร์กสเตชัน KBR ที่ที่พวกเขาถูกเข้ารหัสและลงนาม หลังจากนั้นผู้เชี่ยวชาญจะส่งข้อความอิเล็กทรอนิกส์ที่ปลอดภัยไปยังสื่อแปลกปลอม จากนั้นเขียนข้อความเหล่านั้นไปยังไฟล์เซิร์ฟเวอร์ผ่านคอมพิวเตอร์ที่ทำงานของเขา จากนั้นไปที่ UTA จากนั้นไปยังระบบการชำระเงินของธนาคารแห่งรัสเซีย
ในกรณีนี้ ช่องทางในการแลกเปลี่ยนข้อมูลที่เปิดและได้รับการป้องกันจะรวมถึง: เซิร์ฟเวอร์ไฟล์ คอมพิวเตอร์ที่ทำงานของผู้เชี่ยวชาญ และสื่อที่แยกจากกัน
โจมตี
ผู้โจมตีที่ไม่ได้รับอนุญาตจะติดตั้งระบบควบคุมระยะไกลบนคอมพิวเตอร์ที่ทำงานของผู้เชี่ยวชาญ และในขณะที่เขียนคำสั่งชำระเงิน (ข้อความอิเล็กทรอนิกส์) ลงในสื่อที่สามารถถ่ายโอนได้ จะแทนที่เนื้อหาของหนึ่งในนั้นในรูปแบบข้อความที่ชัดเจน ผู้เชี่ยวชาญโอนคำสั่งการชำระเงินไปยังสถานที่ทำงานอัตโนมัติของ KBR ลงนามและเข้ารหัสโดยไม่สังเกตเห็นการทดแทน (เช่น เนื่องจากมีคำสั่งชำระเงินจำนวนมากบนเที่ยวบิน ความเหนื่อยล้า ฯลฯ) หลังจากนั้นคำสั่งการชำระเงินปลอมที่ผ่านห่วงโซ่เทคโนโลยีจะเข้าสู่ระบบการชำระเงินของธนาคารแห่งรัสเซีย
สถานการณ์ที่ 2 ตัวอย่างของการดำเนินการตามภัยคุกคาม U2.2 และ U4.2
คำอธิบายของวัตถุ
คอมพิวเตอร์ที่ติดตั้งเวิร์กสเตชัน KBR, SCAD Signature และผู้ให้บริการคีย์ที่เชื่อมต่อ FKN vdToken ทำงานในห้องเฉพาะที่ไม่มีเจ้าหน้าที่เข้าถึงได้
ผู้เชี่ยวชาญด้านการคำนวณเชื่อมต่อกับเวิร์กสเตชัน CBD ในโหมดการเข้าถึงระยะไกลผ่านโปรโตคอล RDP
โจมตี
ผู้โจมตีดักจับรายละเอียด โดยใช้ซึ่งผู้เชี่ยวชาญด้านการคำนวณเชื่อมต่อและทำงานร่วมกับเวิร์กสเตชัน CBD (เช่น ผ่านโค้ดที่เป็นอันตรายบนคอมพิวเตอร์ของเขา) จากนั้นพวกเขาก็เชื่อมต่อในนามของเขาและส่งคำสั่งการชำระเงินปลอมไปยังระบบการชำระเงินของธนาคารแห่งรัสเซีย
สถานการณ์ที่ 3 ตัวอย่างการใช้งานภัยคุกคาม U1.3
คำอธิบายของวัตถุ
ลองพิจารณาหนึ่งในตัวเลือกสมมุติสำหรับการนำโมดูลการรวม ABS-KBR ไปใช้สำหรับโครงการใหม่ (AWS KBR-N) ซึ่งลายเซ็นอิเล็กทรอนิกส์ของเอกสารขาออกจะเกิดขึ้นที่ด้าน ABS ในกรณีนี้ เราจะสมมติว่า ABS ทำงานบนพื้นฐานของระบบปฏิบัติการที่ลายเซ็น CIPF SKAD ไม่รองรับ และด้วยเหตุนี้ ฟังก์ชันการเข้ารหัสจึงถูกถ่ายโอนไปยังเครื่องเสมือนที่แยกต่างหาก - การรวม "ABS-KBR" โมดูล.
โทเค็น USB ปกติที่ทำงานในโหมดคีย์ที่เรียกคืนได้จะใช้เป็นตัวพาคีย์ เมื่อเชื่อมต่อสื่อคีย์เข้ากับไฮเปอร์ไวเซอร์ปรากฎว่าไม่มีพอร์ต USB ว่างในระบบดังนั้นจึงตัดสินใจเชื่อมต่อโทเค็น USB ผ่านฮับ USB เครือข่ายและติดตั้งไคลเอนต์ USB-over-IP บนเสมือน เครื่องซึ่งจะสื่อสารกับฮับ
โจมตี
ผู้โจมตีดักจับคีย์ส่วนตัวของลายเซ็นอิเล็กทรอนิกส์จากช่องทางการสื่อสารระหว่างฮับ USB และไฮเปอร์ไวเซอร์ (ข้อมูลถูกส่งในรูปแบบข้อความที่ชัดเจน) เมื่อมีคีย์ส่วนตัว ผู้โจมตีจึงสร้างคำสั่งชำระเงินปลอม ลงนามด้วยลายเซ็นอิเล็กทรอนิกส์ และส่งไปยังที่ทำงานอัตโนมัติ KBR-N เพื่อดำเนินการ
สถานการณ์ที่ 4 ตัวอย่างของการดำเนินการตามภัยคุกคาม U5.5
คำอธิบายของวัตถุ
ลองพิจารณาวงจรเดียวกันกับในสถานการณ์ก่อนหน้า เราจะถือว่าข้อความอิเล็กทรอนิกส์ที่มาจากเวิร์กสเตชัน KBR-N จะจบลงในโฟลเดอร์ …SHAREIn และข้อความที่ส่งไปยังเวิร์กสเตชัน KBR-N และต่อไปยังระบบการชำระเงินของธนาคารแห่งรัสเซียจะไปที่ …SHAREout
นอกจากนี้เรายังจะถือว่าเมื่อใช้โมดูลการรวม รายการใบรับรองที่ถูกเพิกถอนจะได้รับการอัปเดตเมื่อมีการออกคีย์การเข้ารหัสใหม่เท่านั้น และข้อความอิเล็กทรอนิกส์ที่ได้รับในโฟลเดอร์ …SHAREIn จะถูกตรวจสอบเฉพาะสำหรับการควบคุมความสมบูรณ์และการควบคุมความน่าเชื่อถือในคีย์สาธารณะของ ลายเซนต์อิเล็กทรอนิกส์.
โจมตี
ผู้โจมตีใช้กุญแจที่ถูกขโมยไปในสถานการณ์ก่อนหน้านี้ ลงนามในคำสั่งชำระเงินปลอมที่มีข้อมูลเกี่ยวกับการรับเงินเข้าบัญชีของลูกค้าที่ฉ้อโกง และนำมันเข้าสู่ช่องทางการแลกเปลี่ยนข้อมูลที่ปลอดภัย เนื่องจากไม่มีการยืนยันว่าคำสั่งการชำระเงินลงนามโดยธนาคารแห่งรัสเซีย จึงยอมรับสำหรับการดำเนินการ
ที่มา: will.com