Mga link sa iba pang bahagi ng pag-aaral
- (Nandito ka)
Kinukumpleto ng artikulong ito ang serye ng mga publikasyon na nakatuon sa pagtiyak ng seguridad ng impormasyon ng mga pagbabayad sa bangko na hindi cash. Dito ay titingnan natin ang karaniwang mga modelo ng pagbabanta na tinutukoy :
- .
- .
- .
- .
HABRO-WARNING!!! Dear Khabrovites, hindi ito nakakaaliw na post.
Ang 40+ na pahina ng mga materyales na nakatago sa ilalim ng hiwa ay nilayon tumulong sa trabaho o pag-aaral mga taong dalubhasa sa pagbabangko o seguridad ng impormasyon. Ang mga materyales na ito ay ang huling produkto ng pananaliksik at nakasulat sa tuyo, pormal na tono. Sa esensya, ito ay mga blangko para sa panloob na mga dokumento ng seguridad ng impormasyon.Well, tradisyonal - "Ang paggamit ng impormasyon mula sa artikulo para sa mga iligal na layunin ay pinarurusahan ng batas". Produktibong pagbabasa!
Impormasyon para sa mga mambabasa na naging pamilyar sa pag-aaral simula sa publikasyong ito.
Tungkol saan ang pag-aaral?
Nagbabasa ka ng gabay para sa isang espesyalista na responsable sa pagtiyak ng seguridad ng impormasyon ng mga pagbabayad sa isang bangko.
Lohika ng presentasyon
Sa simula sa и isang paglalarawan ng protektadong bagay ay ibinigay. Pagkatapos ay sa inilalarawan kung paano bumuo ng isang sistema ng seguridad at pinag-uusapan ang pangangailangang lumikha ng modelo ng pagbabanta. SA pinag-uusapan kung anong mga modelo ng pagbabanta ang umiiral at kung paano ito nabuo. SA и Isang pagsusuri ng mga tunay na pag-atake ay ibinigay. и naglalaman ng isang paglalarawan ng modelo ng pagbabanta, na binuo na isinasaalang-alang ang impormasyon mula sa lahat ng nakaraang bahagi.
TYPICAL THREAT MODEL. KONEKSIYON NG NETWORK
Proteksyon na object kung saan inilapat ang modelo ng pagbabanta (saklaw).
Ang object ng proteksyon ay ang data na ipinadala sa pamamagitan ng isang koneksyon sa network na tumatakbo sa mga network ng data na binuo batay sa TCP/IP stack.
arkitektura
Paglalarawan ng mga elemento ng arkitektura:
- "Mga End Node" — mga node na nagpapalitan ng protektadong impormasyon.
- "Mga intermediate na node" — mga elemento ng isang network ng paghahatid ng data: mga router, switch, access server, proxy server at iba pang kagamitan — kung saan ipinapadala ang trapiko ng koneksyon sa network. Sa pangkalahatan, ang isang koneksyon sa network ay maaaring gumana nang walang mga intermediate na node (direkta sa pagitan ng mga end node).
Mga banta sa pinakamataas na antas ng seguridad
Pagkabulok
U1. Hindi awtorisadong pag-access sa ipinadalang data.
U2. Hindi awtorisadong pagbabago ng ipinadalang data.
U3. Paglabag sa pagiging may-akda ng ipinadalang data.
U1. Hindi awtorisadong pag-access sa ipinadalang data
Pagkabulok
U1.1. <...>, na isinasagawa sa pangwakas o intermediate na mga node:
U1.1.1. <...> sa pamamagitan ng pagbabasa ng data habang ito ay nasa mga host storage device:
U1.1.1.1. <…> sa RAM.
Mga paliwanag para sa U1.1.1.1.
Halimbawa, sa panahon ng pagproseso ng data ng network stack ng host.
U1.1.1.2. <…> sa non-volatile memory.
Mga paliwanag para sa U1.1.1.2.
Halimbawa, kapag nag-iimbak ng ipinadalang data sa isang cache, pansamantalang mga file o swap file.
U1.2. <...>, na isinasagawa sa mga third-party na node ng network ng data:
U1.2.1. <...> sa paraan ng pagkuha ng lahat ng packet na dumarating sa interface ng network ng host:
Mga paliwanag para sa U1.2.1.
Ang pagkuha ng lahat ng mga packet ay isinasagawa sa pamamagitan ng paglipat ng network card sa promiscuous mode (promiscuous mode para sa wired adapters o monitor mode para sa wi-fi adapters).
U1.2.2. <...> sa pamamagitan ng pagsasagawa ng man-in-the-middle (MiTM) na pag-atake, ngunit nang hindi binabago ang ipinadalang data (hindi binibilang ang data ng serbisyo ng network protocol).
U1.2.2.1. Link: .
U1.3. <…>, na isinasagawa dahil sa pagtagas ng impormasyon sa pamamagitan ng mga teknikal na channel (TKUI) mula sa mga pisikal na node o linya ng komunikasyon.
U1.4. <...>, na isinasagawa sa pamamagitan ng pag-install ng mga espesyal na teknikal na paraan (STS) sa dulo o mga intermediate na node, na nilayon para sa lihim na koleksyon ng impormasyon.
U2. Hindi awtorisadong pagbabago ng ipinadalang data
Pagkabulok
U2.1. <...>, na isinasagawa sa pangwakas o intermediate na mga node:
U2.1.1. <…> sa pamamagitan ng pagbabasa at paggawa ng mga pagbabago sa data habang ito ay nasa storage device ng mga node:
U2.1.1.1. <…> sa RAM:
U2.1.1.2. <…> sa non-volatile memory:
U2.2. <...>, na isinasagawa sa mga third-party na node ng network ng paghahatid ng data:
U2.2.1. <…> sa pamamagitan ng pagsasagawa ng man-in-the-middle (MiTM) na pag-atake at pag-redirect ng trapiko sa node ng mga umaatake:
U2.2.1.1. Ang pisikal na koneksyon ng kagamitan ng mga umaatake ay nagdudulot ng pagkasira ng koneksyon sa network.
U2.2.1.2. Nagsasagawa ng mga pag-atake sa mga protocol ng network:
U2.2.1.2.1. <…> pamamahala ng mga virtual na lokal na network (VLAN):
U2.2.1.2.1.1. .
U2.2.1.2.1.2. Hindi awtorisadong pagbabago ng mga setting ng VLAN sa mga switch o router.
U2.2.1.2.2. <…> pagruruta ng trapiko:
U2.2.1.2.2.1. Hindi awtorisadong pagbabago ng mga static na routing table ng mga router.
U2.2.1.2.2.2. Anunsyo ng mga maling ruta ng mga umaatake sa pamamagitan ng mga dynamic na routing protocol.
U2.2.1.2.3. <…> awtomatikong pagsasaayos:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <...> addressing at resolusyon ng pangalan:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. Paggawa ng mga hindi awtorisadong pagbabago sa mga lokal na file ng pangalan ng host (mga host, lmhosts, atbp.)
U3. Paglabag sa copyright ng ipinadalang data
Pagkabulok
U3.1. Neutralisasyon ng mga mekanismo para sa pagtukoy sa may-akda ng impormasyon sa pamamagitan ng pagpahiwatig ng maling impormasyon tungkol sa may-akda o pinagmulan ng data:
U3.1.1. Pagbabago ng impormasyon tungkol sa may-akda na nakapaloob sa ipinadalang impormasyon.
U3.1.1.1. Neutralisasyon ng cryptographic na proteksyon ng integridad at pag-akda ng ipinadalang data:
U3.1.1.1.1. Link: .
U3.1.1.2. Ang pag-neutralize ng proteksyon sa copyright ng ipinadalang data, na ipinatupad gamit ang isang beses na confirmation code:
U3.1.1.2.1. .
U3.1.2. Pagbabago ng impormasyon tungkol sa pinagmulan ng ipinadalang impormasyon:
U3.1.2.1. .
U3.1.2.2. .
TYPICAL THREAT MODEL. IMPORMASYON SYSTEM NA BINUO SA BASE NG CLIENT-SERVER ARCHITECTURE
Proteksyon na object kung saan inilapat ang modelo ng pagbabanta (saklaw).
Ang object ng proteksyon ay isang sistema ng impormasyon na binuo batay sa isang arkitektura ng client-server.
arkitektura
Paglalarawan ng mga elemento ng arkitektura:
- "kliyente" – isang aparato kung saan gumagana ang bahagi ng kliyente ng sistema ng impormasyon.
- "Server" – isang aparato kung saan gumagana ang bahagi ng server ng sistema ng impormasyon.
- "Data store" — bahagi ng imprastraktura ng server ng isang sistema ng impormasyon, na idinisenyo upang mag-imbak ng data na naproseso ng sistema ng impormasyon.
- "Koneksyon sa network" — isang channel ng pagpapalitan ng impormasyon sa pagitan ng Kliyente at ng Server na dumadaan sa network ng data. Ang isang mas detalyadong paglalarawan ng modelo ng elemento ay ibinigay sa .
Paghihigpit
Kapag nagmomodelo ng isang bagay, itinakda ang mga sumusunod na paghihigpit:
- Nakikipag-ugnayan ang user sa sistema ng impormasyon sa loob ng mga takdang panahon, na tinatawag na mga sesyon ng trabaho.
- Sa simula ng bawat sesyon ng trabaho, ang user ay nakikilala, napatotohanan at pinahintulutan.
- Ang lahat ng protektadong impormasyon ay nakaimbak sa bahagi ng server ng sistema ng impormasyon.
Mga banta sa pinakamataas na antas ng seguridad
Pagkabulok
U1. Pagsasagawa ng mga hindi awtorisadong aksyon ng mga umaatake sa ngalan ng isang lehitimong user.
U2. Hindi awtorisadong pagbabago ng protektadong impormasyon sa panahon ng pagproseso nito ng bahagi ng server ng sistema ng impormasyon.
U1. Pagsasagawa ng mga hindi awtorisadong aksyon ng mga umaatake sa ngalan ng isang lehitimong user
Mga Paliwanag
Karaniwan sa mga sistema ng impormasyon, ang mga aksyon ay iniuugnay sa user na nagsagawa ng mga ito gamit ang:
- mga log ng operasyon ng system (mga log).
- mga espesyal na katangian ng mga bagay ng data na naglalaman ng impormasyon tungkol sa user na lumikha o nagbago sa kanila.
Kaugnay ng isang sesyon ng trabaho, ang banta na ito ay maaaring mabulok sa:
- <…> gumanap sa loob ng session ng user.
- <…> isinagawa sa labas ng session ng user.
Maaaring magsimula ng session ng user:
- Sa pamamagitan ng gumagamit mismo.
- Ng mga umaatake.
Sa yugtong ito, ang intermediate decomposition ng banta na ito ay magiging ganito:
U1.1. Ang mga hindi awtorisadong pagkilos ay isinagawa sa loob ng isang session ng user:
U1.1.1. <…> na-install ng inaatakeng user.
U1.1.2. <…> na-install ng mga umaatake.
U1.2. Ang mga hindi awtorisadong pagkilos ay isinagawa sa labas ng session ng user.
Mula sa pananaw ng mga bagay sa imprastraktura ng impormasyon na maaaring maapektuhan ng mga umaatake, ang agnas ng mga intermediate na banta ay magiging ganito:
elemento
Pagkabulok ng banta
U1.1.1.
U1.1.2.
U1.2.
Customer
U1.1.1.1.
U1.1.2.1.
koneksyon sa network
U1.1.1.2.
Server
U1.2.1.
Pagkabulok
U1.1. Ang mga hindi awtorisadong pagkilos ay isinagawa sa loob ng isang session ng user:
U1.1.1. <…> na-install ng inaatakeng user:
U1.1.1.1. Ang mga umaatake ay kumilos nang hiwalay mula sa Kliyente:
U1.1.1.1.1 Gumamit ang mga umaatake ng karaniwang mga tool sa pag-access ng system ng impormasyon:
У1.1.1.1.1.1. Ginamit ng mga umaatake ang pisikal na input/output na paraan ng Kliyente (keyboard, mouse, monitor o touch screen ng isang mobile device):
U1.1.1.1.1.1.1. Ang mga umaatake ay gumana sa mga yugto ng panahon kung kailan aktibo ang session, available ang mga pasilidad ng I/O, at wala ang user.
У1.1.1.1.1.2. Gumamit ang mga umaatake ng mga remote na tool sa pangangasiwa (karaniwan o ibinigay ng malisyosong code) upang pamahalaan ang Kliyente:
U1.1.1.1.1.2.1. Ang mga umaatake ay gumana sa mga yugto ng panahon kung kailan aktibo ang session, available ang mga pasilidad ng I/O, at wala ang user.
U1.1.1.1.1.2.2. Gumamit ang mga umaatake ng mga remote na tool sa pangangasiwa, ang operasyon nito ay hindi nakikita ng inaatakeng gumagamit.
U1.1.1.2. Pinalitan ng mga umaatake ang data sa koneksyon ng network sa pagitan ng Kliyente at ng Server, binago ito sa paraang napagtanto bilang mga aksyon ng isang lehitimong gumagamit:
U1.1.1.2.1. Link: .
U1.1.1.3. Pinilit ng mga umaatake ang user na gawin ang mga pagkilos na tinukoy nila gamit ang mga pamamaraan ng social engineering.
У1.1.2 <…> na-install ng mga umaatake:
U1.1.2.1. Ang mga umaatake ay kumilos mula sa Kliyente (И):
U1.1.2.1.1. Na-neutralize ng mga attacker ang access control system ng information system:
U1.1.2.1.1.1. Link: .
У1.1.2.1.2. Gumamit ang mga umaatake ng karaniwang mga tool sa pag-access ng system ng impormasyon
U1.1.2.2. Ang mga umaatake ay nagpapatakbo mula sa iba pang mga node ng network ng data, kung saan maaaring maitatag ang isang koneksyon sa network sa Server (И):
U1.1.2.2.1. Na-neutralize ng mga attacker ang access control system ng information system:
U1.1.2.2.1.1. Link: .
U1.1.2.2.2. Gumamit ang mga umaatake ng hindi karaniwang paraan ng pag-access sa sistema ng impormasyon.
Mga Paliwanag U1.1.2.2.2.
Ang mga umaatake ay maaaring mag-install ng isang karaniwang kliyente ng sistema ng impormasyon sa isang third-party na node o maaaring gumamit ng hindi karaniwang software na nagpapatupad ng mga karaniwang exchange protocol sa pagitan ng Kliyente at ng Server.
U1.2 Ang mga hindi awtorisadong pagkilos ay isinagawa sa labas ng session ng user.
U1.2.1 Ang mga umaatake ay nagsagawa ng mga hindi awtorisadong aksyon at pagkatapos ay gumawa ng mga hindi awtorisadong pagbabago sa mga log ng pagpapatakbo ng system ng impormasyon o mga espesyal na katangian ng mga bagay ng data, na nagpapahiwatig na ang mga aksyon na kanilang ginawa ay ginawa ng isang lehitimong user.
U2. Hindi awtorisadong pagbabago ng protektadong impormasyon sa panahon ng pagproseso nito ng bahagi ng server ng sistema ng impormasyon
Pagkabulok
U2.1. Binabago ng mga umaatake ang protektadong impormasyon gamit ang mga karaniwang tool ng system ng impormasyon at ginagawa ito sa ngalan ng isang lehitimong user.
U2.1.1. Link: .
U2.2. Binabago ng mga umaatake ang protektadong impormasyon sa pamamagitan ng paggamit ng mga mekanismo ng pag-access ng data na hindi ibinigay ng normal na operasyon ng sistema ng impormasyon.
U2.2.1. Binabago ng mga umaatake ang mga file na naglalaman ng protektadong impormasyon:
U2.2.1.1. <...>, gamit ang mga mekanismo sa paghawak ng file na ibinigay ng operating system.
U2.2.1.2. <...> sa pamamagitan ng pagpukaw sa pagpapanumbalik ng mga file mula sa isang hindi awtorisadong binagong backup na kopya.
U2.2.2. Binabago ng mga umaatake ang protektadong impormasyong nakaimbak sa database (И):
U2.2.2.1. Nineutralize ng mga attacker ang DBMS access control system:
U2.2.2.1.1. Link: .
U2.2.2.2. Binabago ng mga umaatake ang impormasyon gamit ang mga karaniwang interface ng DBMS upang ma-access ang data.
U2.3. Binabago ng mga umaatake ang protektadong impormasyon sa pamamagitan ng hindi awtorisadong pagbabago ng mga operating algorithm ng software na nagpoproseso nito.
U2.3.1. Ang source code ng software ay napapailalim sa pagbabago.
U2.3.1. Ang machine code ng software ay napapailalim sa pagbabago.
U2.4. Binabago ng mga umaatake ang protektadong impormasyon sa pamamagitan ng pagsasamantala sa mga kahinaan sa software ng system ng impormasyon.
U2.5. Binabago ng mga umaatake ang protektadong impormasyon kapag inilipat ito sa pagitan ng mga bahagi ng bahagi ng server ng sistema ng impormasyon (halimbawa, isang database server at isang application server):
U2.5.1. Link: .
TYPICAL THREAT MODEL. ACCESS CONTROL SYSTEM
Proteksyon na object kung saan inilapat ang modelo ng pagbabanta (saklaw).
Ang object ng proteksyon kung saan inilapat ang modelo ng pagbabanta na ito ay tumutugma sa object ng proteksyon ng modelo ng pagbabanta: "Karaniwang modelo ng pagbabanta. Isang sistema ng impormasyon na binuo sa isang arkitektura ng client-server."
Sa modelong pagbabanta na ito, ang isang user access control system ay nangangahulugang isang bahagi ng isang information system na nagpapatupad ng mga sumusunod na function:
- Pagkakakilanlan ng gumagamit.
- Katibayan ng pag aari.
- Mga pahintulot ng user.
- Pag-log ng mga aksyon ng user.
Mga banta sa pinakamataas na antas ng seguridad
Pagkabulok
U1. Hindi awtorisadong pagtatatag ng isang session sa ngalan ng isang lehitimong user.
U2. Hindi awtorisadong pagtaas sa mga pribilehiyo ng user sa isang sistema ng impormasyon.
U1. Hindi awtorisadong pagtatatag ng isang session sa ngalan ng isang lehitimong user
Mga Paliwanag
Ang agnas ng bantang ito ay karaniwang nakadepende sa uri ng user identification at authentication system na ginamit.
Sa modelong ito, tanging isang user identification at authentication system na gumagamit ng text login at password ang isasaalang-alang. Sa kasong ito, ipagpalagay namin na ang pag-login ng user ay pampublikong magagamit na impormasyon na alam ng mga umaatake.
Pagkabulok
U1.1. <…> dahil sa kompromiso ng mga kredensyal:
U1.1.1. Nakompromiso ng mga umaatake ang mga kredensyal ng user habang iniimbak ang mga ito.
Mga Paliwanag U1.1.1.
Halimbawa, ang mga kredensyal ay maaaring isulat sa isang sticky note na nakadikit sa monitor.
U1.1.2. Hindi sinasadya o malisyosong naipasa ng user ang mga detalye ng pag-access sa mga umaatake.
U1.1.2.1. Binibigkas ng user ang mga kredensyal nang malakas nang pumasok sila.
U1.1.2.2. Sinadyang ibahagi ng user ang kanyang mga kredensyal:
U1.1.2.2.1. <…> sa mga kasamahan sa trabaho.
Mga Paliwanag U1.1.2.2.1.
Halimbawa, upang mapalitan nila ito sa panahon ng sakit.
U1.1.2.2.2. <...> sa mga contractor ng employer na nagsasagawa ng trabaho sa mga bagay na imprastraktura ng impormasyon.
U1.1.2.2.3. <…> sa mga third party.
Mga Paliwanag U1.1.2.2.3.
Isa, ngunit hindi lamang ang opsyon para sa pagpapatupad ng banta na ito ay ang paggamit ng mga pamamaraan ng social engineering ng mga umaatake.
U1.1.3. Pinili ng mga umaatake ang mga kredensyal gamit ang mga pamamaraan ng brute force:
U1.1.3.1. <…> gamit ang mga karaniwang mekanismo ng pag-access.
U1.1.3.2. <…> gamit ang mga dating na-intercept na code (halimbawa, mga hash ng password) para sa pag-imbak ng mga kredensyal.
U1.1.4. Gumamit ang mga umaatake ng malisyosong code para maharang ang mga kredensyal ng user.
U1.1.5. Ang mga umaatake ay nakakuha ng mga kredensyal mula sa koneksyon sa network sa pagitan ng Kliyente at ng Server:
U1.1.5.1. Link: .
U1.1.6. Ang mga umaatake ay nakakuha ng mga kredensyal mula sa mga talaan ng mga sistema ng pagsubaybay sa trabaho:
U1.1.6.1. <…> video surveillance system (kung ang mga keystroke sa keyboard ay naitala habang tumatakbo).
U1.1.6.2. <…> mga system para sa pagsubaybay sa mga aksyon ng empleyado sa computer
Mga Paliwanag U1.1.6.2.
Ang isang halimbawa ng ganitong sistema ay .
U1.1.7. Nakompromiso ng mga umaatake ang mga kredensyal ng user dahil sa mga depekto sa proseso ng paghahatid.
Mga Paliwanag U1.1.7.
Halimbawa, ang pagpapadala ng mga password sa malinaw na teksto sa pamamagitan ng email.
U1.1.8. Ang mga umaatake ay nakakuha ng mga kredensyal sa pamamagitan ng pagsubaybay sa session ng isang user gamit ang mga malayuang sistema ng pangangasiwa.
U1.1.9. Ang mga umaatake ay nakakuha ng mga kredensyal bilang resulta ng kanilang pagtagas sa pamamagitan ng mga teknikal na channel (TCUI):
U1.1.9.1. Naobserbahan ng mga umaatake kung paano nagpasok ang user ng mga kredensyal mula sa keyboard:
U1.1.9.1.1 Ang mga umaatake ay matatagpuan malapit sa user at nakita ng kanilang sariling mga mata ang pagpasok ng mga kredensyal.
Mga Paliwanag U1.1.9.1.1
Kasama sa mga naturang kaso ang mga pagkilos ng mga kasamahan sa trabaho o ang kaso kapag ang keyboard ng user ay nakikita ng mga bisita sa organisasyon.
U1.1.9.1.2 Gumamit ang mga umaatake ng karagdagang teknikal na paraan, tulad ng mga binocular o isang unmanned aerial vehicle, at nakita ang pagpasok ng mga kredensyal sa pamamagitan ng isang bintana.
U1.1.9.2. Ang mga umaatake ay nakakuha ng mga kredensyal mula sa mga komunikasyon sa radyo sa pagitan ng keyboard at ng computer system unit kapag sila ay nakakonekta sa pamamagitan ng isang radio interface (halimbawa, Bluetooth).
U1.1.9.3. Hinarang ng mga umaatake ang mga kredensyal sa pamamagitan ng pagtagas sa kanila sa pamamagitan ng channel ng pekeng electromagnetic radiation at interference (PEMIN).
Mga Paliwanag U1.1.9.3.
Mga halimbawa ng pag-atake и .
U1.1.9.4. Hinarang ng attacker ang pagpasok ng mga kredensyal mula sa keyboard sa pamamagitan ng paggamit ng mga espesyal na teknikal na paraan (STS) na idinisenyo upang lihim na makakuha ng impormasyon.
Mga Paliwanag U1.1.9.4.
Mga halimbawa .
U1.1.9.5. Hinarang ng mga umaatake ang input ng mga kredensyal mula sa keyboard na ginagamit
pagsusuri ng signal ng Wi-Fi na binago ng proseso ng keystroke ng user.
Mga Paliwanag U1.1.9.5.
Halimbawa .
U1.1.9.6. Hinarang ng mga umaatake ang input ng mga kredensyal mula sa keyboard sa pamamagitan ng pagsusuri sa mga tunog ng mga keystroke.
Mga Paliwanag U1.1.9.6.
Halimbawa .
U1.1.9.7. Hinarang ng mga umaatake ang pagpasok ng mga kredensyal mula sa keyboard ng isang mobile device sa pamamagitan ng pagsusuri sa mga pagbabasa ng accelerometer.
Mga Paliwanag U1.1.9.7.
Halimbawa .
U1.1.10. <...>, na na-save dati sa Client.
Mga Paliwanag U1.1.10.
Halimbawa, maaaring mag-save ang isang user ng login at password sa browser para ma-access ang isang partikular na site.
U1.1.11. Nakompromiso ng mga umaatake ang mga kredensyal dahil sa mga depekto sa proseso para sa pagbawi ng access ng user.
Mga Paliwanag U1.1.11.
Halimbawa, pagkatapos matanggal ang isang user, nanatiling naka-unblock ang kanyang mga account.
U1.2. <…> sa pamamagitan ng pagsasamantala sa mga kahinaan sa sistema ng kontrol sa pag-access.
U2. Hindi awtorisadong pagtaas ng mga pribilehiyo ng user sa isang sistema ng impormasyon
Pagkabulok
U2.1 <…> sa pamamagitan ng paggawa ng mga hindi awtorisadong pagbabago sa data na naglalaman ng impormasyon tungkol sa mga pribilehiyo ng user.
U2.2 <…> sa pamamagitan ng paggamit ng mga kahinaan sa access control system.
U2.3. <…> dahil sa mga pagkukulang sa proseso ng pamamahala ng access ng user.
Mga Paliwanag U2.3.
Halimbawa 1. Ang isang user ay binigyan ng higit na access para sa trabaho kaysa sa kailangan niya para sa mga kadahilanang pangnegosyo.
Halimbawa 2: Pagkatapos mailipat ang isang user sa ibang posisyon, hindi binawi ang dating nabigyan ng mga karapatan sa pag-access.
TYPICAL THREAT MODEL. MODULE NG INTEGRASYON
Proteksyon na object kung saan inilapat ang modelo ng pagbabanta (saklaw).
Ang integration module ay isang hanay ng mga bagay na imprastraktura ng impormasyon na idinisenyo upang ayusin ang pagpapalitan ng impormasyon sa pagitan ng mga sistema ng impormasyon.
Isinasaalang-alang ang katotohanan na sa mga corporate network ay hindi laging posible na malinaw na paghiwalayin ang isang sistema ng impormasyon mula sa isa pa, ang module ng pagsasama ay maaari ding ituring bilang isang link sa pagitan ng mga bahagi sa loob ng isang sistema ng impormasyon.
arkitektura
Ang pangkalahatang diagram ng integration module ay ganito ang hitsura:
Paglalarawan ng mga elemento ng arkitektura:
- "Exchange Server (SO)" – isang node / serbisyo / bahagi ng isang sistema ng impormasyon na gumaganap ng function ng pagpapalitan ng data sa isa pang sistema ng impormasyon.
- "Tagapamagitan" – isang node/serbisyo na idinisenyo upang ayusin ang pakikipag-ugnayan sa pagitan ng mga sistema ng impormasyon, ngunit hindi bahagi ng mga ito.
Sa pamamagitan ng mga halimbawa "Mga tagapamagitan" maaaring mayroong mga serbisyo sa email, mga bus ng serbisyo sa negosyo (bus ng serbisyo sa negosyo / arkitektura ng SoA), mga server ng file ng third-party, atbp. Sa pangkalahatan, ang integration module ay maaaring hindi naglalaman ng "Mga Intermediary". - "Software sa pagproseso ng data" – isang set ng mga programa na nagpapatupad ng mga protocol ng palitan ng data at conversion ng format.
Halimbawa, ang pag-convert ng data mula sa UFEBS na format sa ABS na format, pagpapalit ng mga status ng mensahe sa panahon ng paghahatid, atbp. - "Koneksyon sa network" tumutugma sa bagay na inilarawan sa karaniwang modelo ng pagbabanta na "Koneksyon sa network". Maaaring wala ang ilan sa mga koneksyon sa network na ipinapakita sa diagram sa itaas.
Mga halimbawa ng integration modules
Scheme 1. Pagsasama ng ABS at AWS KBR sa pamamagitan ng isang third-party na file server
Upang magsagawa ng mga pagbabayad, ang isang awtorisadong empleyado ng bangko ay nagda-download ng mga elektronikong dokumento sa pagbabayad mula sa pangunahing sistema ng pagbabangko at ini-save ang mga ito sa isang file (sa sarili nitong format, halimbawa isang SQL dump) sa isang network folder (...SHARE) sa isang file server. Pagkatapos, ang file na ito ay kino-convert gamit ang isang converter script sa isang set ng mga file sa UFEBS na format, na pagkatapos ay babasahin ng CBD workstation.
Pagkatapos nito, ang awtorisadong empleyado - ang gumagamit ng automated na lugar ng trabaho KBR - ay nag-encrypt at pumirma sa mga natanggap na file at ipinapadala ang mga ito sa sistema ng pagbabayad ng Bank of Russia.
Kapag natanggap ang mga pagbabayad mula sa Bank of Russia, ang automated na lugar ng trabaho ng KBR ay nagde-decrypt sa kanila at sinusuri ang electronic signature, pagkatapos nito ay itinatala ang mga ito sa anyo ng isang set ng mga file sa format na UFEBS sa isang file server. Bago mag-import ng mga dokumento sa pagbabayad sa ABS, kino-convert ang mga ito gamit ang isang converter script mula sa UFEBS na format patungo sa ABS na format.
Ipagpalagay namin na sa scheme na ito, ang ABS ay gumagana sa isang pisikal na server, ang KBR workstation ay gumagana sa isang dedikadong computer, at ang converter script ay tumatakbo sa isang file server.
Ang pagkakatugma ng mga bagay ng itinuturing na diagram sa mga elemento ng modelo ng integration module:
"Exchange server mula sa gilid ng ABS" – server ng ABS.
"Exchange server mula sa bahagi ng AWS KBR" – computer workstation KBR.
"Tagapamagitan" – third-party na file server.
"Software sa pagproseso ng data" – converter ng script.
Scheme 2. Pagsasama ng ABS at AWS KBR kapag naglalagay ng shared network folder na may mga pagbabayad sa AWS KBR
Ang lahat ay katulad ng Scheme 1, ngunit ang isang hiwalay na file server ay hindi ginagamit; sa halip, isang network folder (...SHARE) na may mga elektronikong dokumento sa pagbabayad ay inilalagay sa isang computer na may isang workstation ng CBD. Gumagana rin ang script ng converter sa CBD workstation.
Ang pagkakatugma ng mga bagay ng itinuturing na diagram sa mga elemento ng modelo ng integration module:
Katulad ng Scheme 1, ngunit "Tagapamagitan" hindi ginagamit.
Scheme 3. Pagsasama-sama ng ABS at automated na lugar ng trabaho KBR-N sa pamamagitan ng IBM WebSphera MQ at pagpirma ng mga elektronikong dokumento "sa panig ng ABS"
Gumagana ang ABS sa isang platform na hindi sinusuportahan ng CIPF SCAD Signature. Ang pag-sign ng mga papalabas na electronic na dokumento ay isinasagawa sa isang espesyal na electronic signature server (ES Server). Sinusuri ng parehong server ang electronic signature sa mga papasok na dokumento mula sa Bank of Russia.
Nag-a-upload ang ABS ng file na may mga dokumento sa pagbabayad sa sarili nitong format sa ES Server.
Ang ES server, gamit ang isang converter script, ay nagko-convert ng file sa mga electronic na mensahe sa format na UFEBS, pagkatapos nito ang mga elektronikong mensahe ay nilagdaan at ipinadala sa IBM WebSphere MQ.
Ina-access ng workstation ng KBR-N ang IBM WebSphere MQ at tumatanggap ng mga sign na mensahe ng pagbabayad mula doon, pagkatapos nito ay ini-encrypt sila ng isang awtorisadong empleyado - isang gumagamit ng workstation ng KBR - at ipinapadala sila sa sistema ng pagbabayad ng Bank of Russia.
Kapag natanggap ang mga pagbabayad mula sa Bank of Russia, ang automated na lugar ng trabaho na KBR-N ay nagde-decrypt sa mga ito at bini-verify ang electronic signature. Ang matagumpay na naprosesong mga pagbabayad sa anyo ng mga na-decrypted at nilagdaang mga electronic na mensahe sa format na UFEBS ay inililipat sa IBM WebSphere MQ, kung saan natatanggap ang mga ito ng Electronic Signature Server.
Bine-verify ng electronic signature server ang electronic signature ng mga natanggap na pagbabayad at ini-save ang mga ito sa isang file sa ABS na format. Pagkatapos nito, ina-upload ng awtorisadong empleyado - ang gumagamit ng ABS - ang resultang file sa ABS sa inireseta na paraan.
Ang pagkakatugma ng mga bagay ng itinuturing na diagram sa mga elemento ng modelo ng integration module:
"Exchange server mula sa gilid ng ABS" – server ng ABS.
"Exchange server mula sa bahagi ng AWS KBR" — computer workstation KBR.
"Tagapamagitan" – ES server at IBM WebSphere MQ.
"Software sa pagproseso ng data" – script converter, CIPF SCAD Signature sa ES Server.
Scheme 4. Pagsasama ng RBS Server at ang pangunahing sistema ng pagbabangko sa pamamagitan ng API na ibinigay ng isang nakalaang exchange server
Ipagpalagay namin na ang bangko ay gumagamit ng ilang remote banking system (RBS):
- "Internet Client-Bank" para sa mga indibidwal (IKB FL);
- "Internet Client-Bank" para sa mga legal na entity (IKB LE).
Upang matiyak ang seguridad ng impormasyon, ang lahat ng pakikipag-ugnayan sa pagitan ng ABS at remote banking system ay isinasagawa sa pamamagitan ng isang dedikadong exchange server na tumatakbo sa loob ng framework ng ABS information system.
Susunod, isasaalang-alang natin ang proseso ng pakikipag-ugnayan sa pagitan ng RBS system ng IKB LE at ng ABS.
Ang RBS server, na nakatanggap ng nararapat na sertipikadong order ng pagbabayad mula sa kliyente, ay dapat gumawa ng kaukulang dokumento sa ABS batay dito. Upang gawin ito, gamit ang API, nagpapadala ito ng impormasyon sa exchange server, na, naman, ay pumapasok sa data sa ABS.
Kapag nagbago ang balanse ng account ng kliyente, bumubuo ang ABS ng mga elektronikong abiso, na ipinapadala sa malayong banking server gamit ang exchange server.
Ang pagkakatugma ng mga bagay ng itinuturing na diagram sa mga elemento ng modelo ng integration module:
"Exchange server mula sa RBS side" – RBS server ng IKB YUL.
"Exchange server mula sa gilid ng ABS" – exchange server.
"Tagapamagitan" - wala.
"Software sa pagproseso ng data" – Mga bahagi ng RBS Server na responsable para sa paggamit ng exchange server API, mga bahagi ng exchange server na responsable para sa paggamit ng core banking API.
Mga banta sa pinakamataas na antas ng seguridad
Pagkabulok
U1. Pag-iniksyon ng maling impormasyon ng mga umaatake sa pamamagitan ng integration module.
U1. Pag-iniksyon ng maling impormasyon ng mga umaatake sa pamamagitan ng integration module
Pagkabulok
U1.1. Hindi awtorisadong pagbabago ng lehitimong data kapag ipinadala sa mga koneksyon sa network:
U1.1.1 Link: .
U1.2. Pagpapadala ng maling data sa pamamagitan ng mga channel ng komunikasyon sa ngalan ng isang lehitimong kalahok sa palitan:
U1.1.2 Link: .
U1.3. Hindi awtorisadong pagbabago ng lehitimong data sa panahon ng pagpoproseso nito sa Exchange Servers o Intermediary:
U1.3.1. Link: .
U1.4. Paglikha ng maling data sa Exchange Servers o Intermediary sa ngalan ng isang lehitimong kalahok ng exchange:
U1.4.1. Link:
U1.5. Hindi awtorisadong pagbabago ng data kapag naproseso gamit ang data processing software:
U1.5.1. <…> dahil sa mga umaatake na gumagawa ng hindi awtorisadong mga pagbabago sa mga setting (configuration) ng software sa pagpoproseso ng data.
U1.5.2. <...> dahil sa mga umaatake na gumagawa ng mga hindi awtorisadong pagbabago sa mga executable na file ng software sa pagpoproseso ng data.
U1.5.3. <…> dahil sa interactive na kontrol ng software sa pagpoproseso ng data ng mga umaatake.
TYPICAL THREAT MODEL. CRYPTOGRAPHIC INFORMATION PROTECTION SYSTEM
Proteksyon na object kung saan inilapat ang modelo ng pagbabanta (saklaw).
Ang object ng proteksyon ay isang cryptographic information protection system na ginagamit upang matiyak ang seguridad ng information system.
arkitektura
Ang batayan ng anumang sistema ng impormasyon ay application software na nagpapatupad ng target na pag-andar nito.
Ang proteksyon ng cryptographic ay karaniwang ipinapatupad sa pamamagitan ng pagtawag sa mga cryptographic na primitive mula sa lohika ng negosyo ng software ng application, na matatagpuan sa mga dalubhasang aklatan - mga crypto core.
Kabilang sa mga cryptographic primitive ang mababang antas ng cryptographic function, gaya ng:
- i-encrypt/i-decrypt ang isang bloke ng data;
- lumikha/mag-verify ng isang elektronikong lagda ng isang bloke ng data;
- kalkulahin ang hash function ng data block;
- bumuo / mag-load / mag-upload ng pangunahing impormasyon;
- at iba pa
Ang lohika ng negosyo ng software ng application ay nagpapatupad ng mas mataas na antas ng pag-andar gamit ang mga cryptographic primitives:
- i-encrypt ang file gamit ang mga susi ng mga napiling tatanggap;
- magtatag ng isang secure na koneksyon sa network;
- ipaalam ang tungkol sa mga resulta ng pagsuri sa electronic signature;
- at iba pa.
Ang pakikipag-ugnayan ng lohika ng negosyo at crypto core ay maaaring isagawa:
- direkta, sa pamamagitan ng business logic na tumatawag sa cryptographic primitives mula sa mga dynamic na library ng crypto kernel (.DLL para sa Windows, .SO para sa Linux);
- direkta, sa pamamagitan ng mga cryptographic na interface - mga wrapper, halimbawa, MS Crypto API, Java Cryptography Architecture, PKCS#11, atbp. Sa kasong ito, ina-access ng logic ng negosyo ang crypto interface, at isinasalin nito ang tawag sa kaukulang crypto core, na sa ang kasong ito ay tinatawag na crypto provider. Ang paggamit ng mga cryptographic na interface ay nagbibigay-daan sa software ng application na umiwas mula sa mga partikular na cryptographic algorithm at maging mas flexible.
Mayroong dalawang karaniwang mga scheme para sa pag-aayos ng crypto core:
Scheme 1 – Monolithic crypto core
Scheme 2 – Hatiin ang crypto core
Ang mga elemento sa mga diagram sa itaas ay maaaring mga indibidwal na software module na tumatakbo sa isang computer o mga serbisyo ng network na nakikipag-ugnayan sa loob ng isang computer network.
Kapag gumagamit ng mga system na binuo ayon sa Scheme 1, ang application software at ang crypto core ay gumagana sa loob ng isang operating environment para sa crypto tool (SFC), halimbawa, sa parehong computer, na nagpapatakbo ng parehong operating system. Ang user ng system, bilang panuntunan, ay maaaring magpatakbo ng iba pang mga program, kabilang ang mga naglalaman ng malisyosong code, sa loob ng parehong operating environment. Sa ilalim ng gayong mga kundisyon, may malubhang panganib ng pagtagas ng mga pribadong cryptographic key.
Upang mabawasan ang panganib, ginagamit ang scheme 2, kung saan nahahati ang crypto core sa dalawang bahagi:
- Ang unang bahagi, kasama ang software ng application, ay gumagana sa isang hindi pinagkakatiwalaang kapaligiran kung saan may panganib ng impeksyon sa malisyosong code. Tatawagin natin ang bahaging ito na "bahagi ng software".
- Gumagana ang ikalawang bahagi sa isang pinagkakatiwalaang kapaligiran sa isang nakalaang device, na naglalaman ng pribadong key storage. Mula ngayon ay tatawagin natin ang bahaging ito na "hardware".
Ang paghahati ng crypto core sa mga bahagi ng software at hardware ay napaka-arbitrary. Mayroong mga sistema sa merkado na binuo ayon sa isang pamamaraan na may isang hinati na crypto core, ngunit ang bahagi ng "hardware" na kung saan ay ipinakita sa anyo ng isang imahe ng virtual machine - virtual HSM ().
Ang pakikipag-ugnayan ng parehong bahagi ng crypto core ay nangyayari sa paraang hindi naililipat ang mga pribadong cryptographic key sa bahagi ng software at, nang naaayon, hindi maaaring nakawin gamit ang malisyosong code.
Ang interface ng pakikipag-ugnayan (API) at ang hanay ng mga cryptographic primitive na ibinigay sa software ng application ng crypto core ay pareho sa parehong mga kaso. Ang pagkakaiba ay nakasalalay sa paraan ng pagpapatupad ng mga ito.
Kaya, kapag gumagamit ng isang scheme na may nahahati na crypto core, ang pakikipag-ugnayan ng software at hardware ay isinasagawa ayon sa sumusunod na prinsipyo:
- Ang mga cryptographic primitive na hindi nangangailangan ng paggamit ng pribadong key (halimbawa, pagkalkula ng hash function, pag-verify ng electronic signature, atbp.) ay ginagawa ng software.
- Ang mga cryptographic primitive na gumagamit ng pribadong key (paggawa ng electronic signature, pag-decrypting ng data, atbp.) ay ginagawa ng hardware.
Ilarawan natin ang gawain ng nahahati na crypto core gamit ang halimbawa ng paglikha ng electronic signature:
- Kinakalkula ng bahagi ng software ang hash function ng nilagdaang data at ipinapadala ang halagang ito sa hardware sa pamamagitan ng exchange channel sa pagitan ng mga crypto core.
- Ang bahagi ng hardware, gamit ang pribadong key at hash, ay bumubuo ng halaga ng electronic signature at ipinapadala ito sa bahagi ng software sa pamamagitan ng exchange channel.
- Ibinabalik ng bahagi ng software ang natanggap na halaga sa software ng application.
Mga tampok ng pagsuri sa kawastuhan ng isang elektronikong lagda
Kapag ang tumatanggap na partido ay nakatanggap ng elektronikong nilagdaang data, dapat itong magsagawa ng ilang hakbang sa pag-verify. Ang isang positibong resulta ng pagsuri sa isang elektronikong lagda ay makakamit lamang kung ang lahat ng mga yugto ng pag-verify ay matagumpay na nakumpleto.
Stage 1. Pagkontrol sa integridad ng data at data authorship.
Mga nilalaman ng entablado. Ang electronic signature ng data ay na-verify gamit ang naaangkop na cryptographic algorithm. Ang matagumpay na pagkumpleto ng yugtong ito ay nagpapahiwatig na ang data ay hindi pa nabago mula noong sandaling ito ay nilagdaan, at gayundin na ang lagda ay ginawa gamit ang isang pribadong susi na naaayon sa pampublikong susi para sa pag-verify ng electronic na lagda.
Lokasyon ng entablado: crypto core.
Stage 2. Kontrol ng tiwala sa public key ng signatory at kontrol sa validity period ng private key ng electronic signature.
Mga nilalaman ng entablado. Ang yugto ay binubuo ng dalawang intermediate substages. Ang una ay upang matukoy kung ang pampublikong susi para sa pag-verify ng electronic na lagda ay pinagkakatiwalaan sa oras ng pagpirma sa data. Tinutukoy ng pangalawa kung wasto ang pribadong key ng electronic signature sa oras ng pagpirma sa data. Sa pangkalahatan, maaaring hindi magkatugma ang mga panahon ng bisa ng mga key na ito (halimbawa, para sa mga kwalipikadong certificate ng mga electronic signature verification key). Ang mga pamamaraan para sa pagtatatag ng tiwala sa pampublikong susi ng lumagda ay tinutukoy ng mga patakaran ng pamamahala ng elektronikong dokumento na pinagtibay ng mga nakikipag-ugnayan na partido.
Lokasyon ng entablado: application software / crypto core.
Stage 3. Pagkontrol sa awtoridad ng signatory.
Mga nilalaman ng entablado. Alinsunod sa itinatag na mga patakaran ng pamamahala ng elektronikong dokumento, sinusuri kung ang lumagda ay may karapatan na patunayan ang protektadong data. Bilang halimbawa, magbigay tayo ng sitwasyon ng paglabag sa awtoridad. Ipagpalagay na mayroong isang organisasyon kung saan ang lahat ng mga empleyado ay may elektronikong lagda. Ang panloob na sistema ng pamamahala ng elektronikong dokumento ay tumatanggap ng isang order mula sa tagapamahala, ngunit nilagdaan ng elektronikong pirma ng tagapamahala ng bodega. Alinsunod dito, ang naturang dokumento ay hindi maituturing na lehitimo.
Lokasyon ng entablado: software ng aplikasyon.
Mga pagpapalagay na ginawa kapag inilalarawan ang object ng proteksyon
- Ang mga channel ng paghahatid ng impormasyon, maliban sa mga pangunahing exchange channel, ay dumadaan din sa software ng application, API at crypto core.
- Ang impormasyon tungkol sa pagtitiwala sa mga pampublikong susi at (o) mga sertipiko, pati na rin ang impormasyon tungkol sa mga kapangyarihan ng mga may-ari ng pampublikong susi, ay inilalagay sa pampublikong tindahan ng susi.
- Gumagana ang software ng application sa public key store sa pamamagitan ng crypto kernel.
Isang halimbawa ng isang sistema ng impormasyon na protektado gamit ang CIPF
Upang ilarawan ang naunang ipinakita na mga diagram, isaalang-alang natin ang isang hypothetical na sistema ng impormasyon at i-highlight ang lahat ng mga elemento ng istruktura dito.
Paglalarawan ng sistema ng impormasyon
Nagpasya ang dalawang organisasyon na ipakilala ang legal na makabuluhang electronic document management (EDF) sa pagitan nila. Upang gawin ito, pumasok sila sa isang kasunduan kung saan itinakda nila na ang mga dokumento ay ipapadala sa pamamagitan ng email, at sa parehong oras dapat silang ma-encrypt at mapirmahan gamit ang isang kwalipikadong electronic signature. Ang mga programa sa opisina mula sa pakete ng Microsoft Office 2016 ay dapat gamitin bilang mga tool para sa paggawa at pagproseso ng mga dokumento, at ang CIPF CryptoPRO at encryption software na CryptoARM ay dapat gamitin bilang paraan ng cryptographic na proteksyon.
Paglalarawan ng imprastraktura ng organisasyon 1
Nagpasya ang Organization 1 na i-install nito ang CIPF CryptoPRO at CryptoARM software sa workstation ng user - isang pisikal na computer. Ang mga encryption at electronic signature key ay iimbak sa ruToken key media, na tumatakbo sa retrievable key mode. Ang gumagamit ay maghahanda ng mga elektronikong dokumento nang lokal sa kanyang computer, pagkatapos ay i-encrypt, pipirmahan at ipadala ang mga ito gamit ang isang lokal na naka-install na email client.
Paglalarawan ng imprastraktura ng organisasyon 2
Nagpasya ang Organization 2 na ilipat ang pag-encrypt at mga function ng electronic signature sa isang dedikadong virtual machine. Sa kasong ito, awtomatikong isasagawa ang lahat ng cryptographic na operasyon.
Upang gawin ito, dalawang folder ng network ang nakaayos sa nakalaang virtual machine: “...In”, “...Out”. Ang mga file na natanggap mula sa counterparty sa bukas na anyo ay awtomatikong ilalagay sa folder ng network na "...Sa". Ide-decrypt ang mga file na ito at mabe-verify ang electronic signature.
Ilalagay ng user ang mga file sa folder na "...Out" na kailangang i-encrypt, lagdaan at ipadala sa katapat. Ihahanda mismo ng user ang mga file sa kanyang workstation.
Upang maisagawa ang pag-encrypt at mga elektronikong pag-andar ng lagda, ang CIPF CryptoPRO, CryptoARM software at isang email client ay naka-install sa virtual machine. Ang awtomatikong pamamahala ng lahat ng elemento ng virtual machine ay isasagawa gamit ang mga script na binuo ng mga administrator ng system. Ang gawain ng mga script ay naka-log in sa mga file ng log.
Ang mga cryptographic na key para sa electronic na lagda ay ilalagay sa isang token na may hindi makukuhang JaCarta GOST key, na ikokonekta ng user sa kanyang lokal na computer.
Ipapasa ang token sa virtual machine gamit ang espesyal na USB-over-IP software na naka-install sa workstation ng user at sa virtual machine.
Ang orasan ng system sa workstation ng user sa organisasyon 1 ay manu-manong iasaayos. Ang system clock ng dedikadong virtual machine sa Organization 2 ay i-synchronize sa hypervisor system clock, na siya namang i-synchronize sa Internet sa mga public time server.
Pagkilala sa mga elemento ng istruktura ng CIPF
Batay sa paglalarawan sa itaas ng imprastraktura ng IT, i-highlight namin ang mga elemento ng istruktura ng CIPF at isusulat ang mga ito sa isang talahanayan.
Talahanayan - Pag-uugnay ng mga elemento ng modelo ng CIPF sa mga elemento ng sistema ng impormasyon
Pangalan ng Item
Organisasyon 1
Organisasyon 2
Software ng aplikasyon
CryptoARM software
CryptoARM software
Bahagi ng software ng crypto core
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
Crypto core hardware
hindi
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
Tindahan ng Pampublikong Key
Workstation ng user:
- HDD;
- karaniwang tindahan ng sertipiko ng Windows.
Hypervisor:
- HDD.
Virtual machine:
- HDD;
- karaniwang tindahan ng sertipiko ng Windows.
Pribadong imbakan ng susi
ruToken key carrier na tumatakbo sa retrievable key mode
JaCarta GOST key carrier na tumatakbo sa non-removable key mode
Public key exchange channel
Workstation ng user:
- RAM.
Hypervisor:
- RAM.
Virtual machine:
- RAM.
Pribadong key exchange channel
Workstation ng user:
- USB bus;
- RAM.
hindi
Palitan ng channel sa pagitan ng mga crypto core
nawawala (walang crypto core hardware)
Workstation ng user:
- USB bus;
- RAM;
— USB-over-IP software module;
- interface ng network.
Corporate network ng organisasyon 2.
Hypervisor:
- RAM;
- interface ng network.
Virtual machine:
- interface ng network;
- RAM;
— USB-over-IP software module.
Buksan ang Data Channel
Workstation ng user:
— ibig sabihin ng input-output;
- RAM;
- HDD.
Workstation ng user:
— ibig sabihin ng input-output;
- RAM;
- HDD;
- interface ng network.
Corporate network ng organisasyon 2.
Hypervisor:
- interface ng network;
- RAM;
- HDD.
Virtual machine:
- interface ng network;
- RAM;
- HDD.
Secure na channel ng palitan ng data
Internet.
Corporate network ng organisasyon 1.
Workstation ng user:
- HDD;
- RAM;
- interface ng network.
Internet.
Corporate network ng organisasyon 2.
Hypervisor:
- interface ng network;
- RAM;
- HDD.
Virtual machine:
- interface ng network;
- RAM;
- HDD.
Channel ng oras
Workstation ng user:
— ibig sabihin ng input-output;
- RAM;
- timer ng system.
Internet.
Corporate network ng organisasyon 2,
Hypervisor:
- interface ng network;
- RAM;
- timer ng system.
Virtual machine:
- RAM;
- timer ng system.
Kontrolin ang channel ng paghahatid ng command
Workstation ng user:
— ibig sabihin ng input-output;
- RAM.
(Graphical na user interface ng CryptoARM software)
Virtual machine:
- RAM;
- HDD.
(Mga script ng automation)
Channel para sa pagtanggap ng mga resulta ng trabaho
Workstation ng user:
— ibig sabihin ng input-output;
- RAM.
(Graphical na user interface ng CryptoARM software)
Virtual machine:
- RAM;
- HDD.
(Mag-log file ng mga script ng automation)
Mga banta sa pinakamataas na antas ng seguridad
Mga Paliwanag
Mga pagpapalagay na ginawa kapag nabubulok ang mga banta:
- Malakas na cryptographic algorithm ang ginagamit.
- Ang mga cryptographic algorithm ay ligtas na ginagamit sa mga tamang mode ng operasyon (hal. ay hindi ginagamit para sa pag-encrypt ng malalaking volume ng data, ang pinahihintulutang pag-load sa susi ay isinasaalang-alang, atbp.).
- Alam ng mga umaatake ang lahat ng algorithm, protocol at pampublikong key na ginamit.
- Mababasa ng mga attacker ang lahat ng naka-encrypt na data.
- Nagagawa ng mga attacker na magparami ng anumang elemento ng software sa system.
Pagkabulok
U1. Pagkompromiso ng mga pribadong cryptographic key.
U2. Pag-encrypt ng pekeng data sa ngalan ng lehitimong nagpadala.
U3. Pag-decryption ng naka-encrypt na data ng mga taong hindi lehitimong tatanggap ng data (mga umaatake).
U4. Paglikha ng isang elektronikong lagda ng isang lehitimong lagda sa ilalim ng maling data.
U5. Pagkuha ng positibong resulta mula sa pagsuri sa electronic signature ng pekeng data.
U6. Maling pagtanggap ng mga elektronikong dokumento para sa pagpapatupad dahil sa mga problema sa pag-aayos ng pamamahala ng elektronikong dokumento.
U7. Hindi awtorisadong pag-access sa protektadong data sa panahon ng kanilang pagproseso ng CIPF.
U1. Pagkompromiso ng mga pribadong cryptographic key
U1.1. Kinukuha ang pribadong key mula sa pribadong key store.
U1.2. Pagkuha ng pribadong key mula sa mga bagay sa operating environment ng crypto-tool, kung saan maaari itong pansamantalang naninirahan.
Mga Paliwanag U1.2.
Ang mga bagay na maaaring pansamantalang mag-imbak ng pribadong key ay kinabibilangan ng:
- RAM,
- pansamantalang mga file,
- magpalit ng mga file,
- mga file ng hibernation,
- snapshot file ng "mainit" na estado ng mga virtual machine, kabilang ang mga file ng mga nilalaman ng RAM ng mga naka-pause na virtual machine.
U1.2.1. Pag-extract ng mga pribadong key mula sa gumaganang RAM sa pamamagitan ng pagyeyelo ng mga module ng RAM, pag-alis ng mga ito at pagkatapos ay pagbabasa ng data (pag-freeze ng pag-atake).
Mga Paliwanag U1.2.1.
Halimbawa .
U1.3. Pagkuha ng pribadong key mula sa pribadong key exchange channel.
Mga Paliwanag U1.3.
Ang isang halimbawa ng pagpapatupad ng banta na ito ay ibibigay .
U1.4. Hindi awtorisadong pagbabago ng crypto core, bilang isang resulta kung saan ang mga pribadong key ay kilala ng mga umaatake.
U1.5. Pagkompromiso ng isang pribadong key bilang resulta ng paggamit ng mga technical information leakage channel (TCIL).
Mga Paliwanag U1.5.
Halimbawa .
U1.6. Pagkompromiso ng isang pribadong susi bilang resulta ng paggamit ng mga espesyal na teknikal na paraan (STS) na idinisenyo para sa lihim na pagkuha ng impormasyon ("mga bug").
U1.7. Pagkompromiso ng mga pribadong susi sa panahon ng kanilang imbakan sa labas ng CIPF.
Mga Paliwanag U1.7.
Halimbawa, iniimbak ng isang user ang kanyang pangunahing media sa isang desktop drawer, kung saan madali silang makuha ng mga umaatake.
U2. Pag-encrypt ng pekeng data sa ngalan ng isang lehitimong nagpadala
Mga Paliwanag
Ang banta na ito ay isinasaalang-alang lamang para sa mga scheme ng pag-encrypt ng data na may pagpapatunay ng nagpadala. Ang mga halimbawa ng naturang mga scheme ay ipinahiwatig sa mga rekomendasyon sa standardisasyon . Para sa iba pang mga cryptographic scheme, hindi umiiral ang banta na ito, dahil ginagawa ang pag-encrypt sa mga pampublikong key ng tatanggap, at karaniwang kilala ang mga ito ng mga umaatake.
Pagkabulok
U2.1. Pagkompromiso sa pribadong susi ng nagpadala:
U2.1.1. Link: .
U2.2. Pagpapalit ng data ng input sa isang bukas na channel ng palitan ng data.
Mga Tala U2.2.
Ang mga halimbawa ng pagpapatupad ng banta na ito ay ibinigay sa ibaba. и .
U3. Pag-decryption ng naka-encrypt na data ng mga taong hindi lehitimong tatanggap ng data (mga umaatake)
Pagkabulok
U3.1. Pagkompromiso sa mga pribadong key ng tatanggap ng naka-encrypt na data.
U3.1.1 Link: .
U3.2. Pagpapalit ng naka-encrypt na data sa isang secure na channel ng palitan ng data.
U4. Paglikha ng isang elektronikong lagda ng isang lehitimong lumagda sa ilalim ng maling data
Pagkabulok
U4.1. Pagkompromiso sa mga pribadong susi ng electronic na lagda ng isang lehitimong pumirma.
U4.1.1 Link: .
U4.2. Pagpapalit ng nilagdaang data sa isang bukas na channel ng palitan ng data.
Tandaan U4.2.
Ang mga halimbawa ng pagpapatupad ng banta na ito ay ibinigay sa ibaba. и .
U5. Pagkuha ng positibong resulta mula sa pagsuri sa electronic signature ng pekeng data
Pagkabulok
U5.1. Hinaharang ng mga attacker ang isang mensahe sa channel para sa pagpapadala ng mga resulta ng trabaho tungkol sa negatibong resulta ng pagsuri ng electronic signature at pinapalitan ito ng mensahe na may positibong resulta.
U5.2. Inaatake ng mga umaatake ang tiwala sa pagpirma ng mga sertipiko (SCRIPT - lahat ng elemento ay kailangan):
U5.2.1. Bumubuo ang mga attacker ng pampubliko at pribadong susi para sa isang electronic na lagda. Kung ang system ay gumagamit ng mga electronic signature key certificate, pagkatapos ay bubuo sila ng electronic signature certificate na kasing-pareho hangga't maaari sa certificate ng nilalayong nagpadala ng data na ang mensahe ay gusto nilang pekein.
U5.2.2. Gumagawa ang mga umaatake ng mga hindi awtorisadong pagbabago sa tindahan ng pampublikong susi, na nagbibigay sa pampublikong susi na nabubuo nila ng kinakailangang antas ng tiwala at awtoridad.
U5.2.3. Pinirmahan ng mga attacker ang maling data gamit ang dati nang nabuong electronic signature key at ipinasok ito sa secure na data exchange channel.
U5.3. Ang mga umaatake ay nagsasagawa ng pag-atake gamit ang mga nag-expire na electronic signature key ng isang legal na lumagda (SCRIPT - lahat ng elemento ay kailangan):
U5.3.1. Kinokompromiso ng mga attacker ang mga nag-expire na (kasalukuyang hindi wastong) pribadong key ng electronic signature ng isang lehitimong nagpadala.
U5.3.2. Pinapalitan ng mga umaatake ang oras sa channel ng paghahatid ng oras ng oras kung kailan wasto pa rin ang mga nakompromisong key.
U5.3.3. Pinirmahan ng mga attacker ang maling data gamit ang dating nakompromiso na electronic signature key at ini-inject ito sa secure na data exchange channel.
U5.4. Ang mga umaatake ay nagsasagawa ng pag-atake gamit ang mga nakompromisong electronic signature key ng isang legal na lumagda (SCRIPT - lahat ng elemento ay kailangan):
U5.4.1. Gumagawa ang attacker ng kopya ng public key store.
U5.4.2. Nakompromiso ng mga umaatake ang mga pribadong susi ng isa sa mga lehitimong nagpadala. Napansin niya ang kompromiso, binawi ang mga susi, at ang impormasyon tungkol sa pagbawi ng susi ay inilalagay sa pampublikong tindahan ng susi.
U5.4.3. Pinapalitan ng mga umaatake ang pampublikong tindahan ng susi ng dati nang kinopya.
U5.4.4. Pinirmahan ng mga attacker ang maling data gamit ang dating nakompromiso na electronic signature key at ini-inject ito sa secure na data exchange channel.
U5.5. <…> dahil sa pagkakaroon ng mga error sa pagpapatupad ng ika-2 at ika-3 yugto ng electronic signature verification:
Mga Paliwanag U5.5.
Ang isang halimbawa ng pagpapatupad ng banta na ito ay ibinigay .
U5.5.1. Sinusuri ang tiwala sa isang electronic signature key certificate sa pamamagitan lamang ng pagkakaroon ng trust sa certificate kung saan ito nilagdaan, nang walang CRL o OCSP checks.
Mga Paliwanag U5.5.1.
Halimbawa ng pagpapatupad .
U5.5.2. Kapag nagtatayo ng isang kadena ng tiwala para sa isang sertipiko, ang mga awtoridad ng pagbibigay ng mga sertipiko ay hindi sinusuri
Mga Paliwanag U5.5.2.
Isang halimbawa ng pag-atake laban sa mga SSL/TLS certificate.
Ang mga umaatake ay bumili ng isang lehitimong sertipiko para sa kanilang e-mail. Pagkatapos ay gumawa sila ng isang mapanlinlang na sertipiko ng site at nilagdaan ito gamit ang kanilang sertipiko. Kung ang mga kredensyal ay hindi nasuri, kung gayon kapag sinusuri ang kadena ng tiwala ito ay magiging tama, at, nang naaayon, ang mapanlinlang na sertipiko ay magiging tama din.
U5.5.3. Kapag nagtatayo ng certificate trust chain, ang mga intermediate na certificate ay hindi sinusuri para sa pagbawi.
U5.5.4. Ang mga CRL ay mas madalas na ina-update kaysa sa ibinibigay ng awtoridad sa sertipikasyon.
U5.5.5. Ang desisyon na magtiwala sa isang electronic na lagda ay ginawa bago ang isang tugon ng OCSP tungkol sa katayuan ng sertipiko, na ipinadala sa isang kahilingan na ginawa sa ibang pagkakataon kaysa sa oras na nabuo ang lagda o mas maaga kaysa sa susunod na CRL pagkatapos mabuo ang lagda.
Mga Paliwanag U5.5.5.
Sa mga regulasyon ng karamihan sa mga CA, ang oras ng pagbawi ng sertipiko ay itinuturing na oras ng paglabas ng pinakamalapit na CRL na naglalaman ng impormasyon tungkol sa pagbawi ng sertipiko.
U5.5.6. Kapag tumatanggap ng nilagdaang data, ang sertipiko ay pagmamay-ari ng nagpadala ay hindi nasuri.
Mga Paliwanag U5.5.6.
Halimbawa ng pag-atake. Kaugnay ng mga SSL certificate: maaaring hindi masuri ang sulat ng tinatawag na address ng server na may halaga ng field ng CN sa certificate.
Halimbawa ng pag-atake. Nakompromiso ng mga attacker ang mga electronic signature key ng isa sa mga kalahok sa sistema ng pagbabayad. Pagkatapos nito, na-hack nila ang network ng isa pang kalahok at, sa ngalan niya, nagpadala ng mga dokumento sa pagbabayad na nilagdaan ng mga nakompromisong key sa settlement server ng sistema ng pagbabayad. Kung pinag-aaralan lang ng server ang tiwala at hindi susuriin ang pagsunod, ituturing na lehitimo ang mga mapanlinlang na dokumento.
U6. Maling pagtanggap ng mga elektronikong dokumento para sa pagpapatupad dahil sa mga problema sa pag-aayos ng pamamahala ng elektronikong dokumento.
Pagkabulok
U6.1. Ang tumatanggap na partido ay hindi nakakakita ng pagdoble ng mga natanggap na dokumento.
Mga Paliwanag U6.1.
Halimbawa ng pag-atake. Maaaring harangin ng mga attacker ang isang dokumentong ipinapadala sa isang tatanggap, kahit na ito ay protektado ng cryptographic, at pagkatapos ay paulit-ulit itong ipadala sa isang secure na channel ng paghahatid ng data. Kung hindi matukoy ng tatanggap ang mga duplicate, ang lahat ng natanggap na dokumento ay mapapansin at mapoproseso bilang magkakaibang mga dokumento.
U7. Hindi awtorisadong pag-access sa protektadong data sa panahon ng kanilang pagproseso ng CIPF
Pagkabulok
U7.1. <…> dahil sa pagtagas ng impormasyon sa pamamagitan ng mga side channel (side channel attack).
Mga Paliwanag U7.1.
Halimbawa .
U7.2. <…> dahil sa neutralisasyon ng proteksyon laban sa hindi awtorisadong pag-access sa impormasyong naproseso sa CIPF:
U7.2.1. Ang operasyon ng CIPF na lumalabag sa mga kinakailangan na inilarawan sa dokumentasyon para sa CIPF.
U7.2.2. <…>, na isinasagawa dahil sa pagkakaroon ng mga kahinaan sa:
U7.2.2.1. <…> paraan ng proteksyon laban sa hindi awtorisadong pag-access.
U7.2.2.2. <…> CIPF mismo.
U7.2.2.3. <…> ang operating environment ng crypto-tool.
Mga halimbawa ng pag-atake
Ang mga sitwasyong tinalakay sa ibaba ay malinaw na naglalaman ng mga error sa seguridad ng impormasyon at nagsisilbi lamang upang ilarawan ang mga posibleng pag-atake.
Sitwasyon 1. Isang halimbawa ng pagpapatupad ng mga banta U2.2 at U4.2.
Paglalarawan ng bagay
Ang AWS KBR software at CIPF SCAD Signature ay naka-install sa isang pisikal na computer na hindi nakakonekta sa network ng computer. Ang FKN vdToken ay ginagamit bilang isang pangunahing carrier sa mode ng pagtatrabaho sa isang hindi naaalis na susi.
Ipinapalagay ng mga regulasyon sa pag-areglo na ang espesyalista sa pag-areglo mula sa kanyang computer sa trabaho ay nagda-download ng mga elektronikong mensahe sa malinaw na teksto (scheme ng lumang KBR workstation) mula sa isang espesyal na secure na file server, pagkatapos ay isusulat ang mga ito sa isang naililipat na USB flash drive at inililipat ang mga ito sa KBR workstation, kung saan sila ay naka-encrypt at mga palatandaan. Pagkatapos nito, ang espesyalista ay naglilipat ng mga secure na elektronikong mensahe sa alienated medium, at pagkatapos, sa pamamagitan ng kanyang computer sa trabaho, isinulat ang mga ito sa isang file server, mula sa kung saan sila pumunta sa UTA at pagkatapos ay sa sistema ng pagbabayad ng Bank of Russia.
Sa kasong ito, ang mga channel para sa pagpapalitan ng bukas at protektadong data ay kinabibilangan ng: isang file server, computer ng trabaho ng isang espesyalista, at nakahiwalay na media.
Pag-atake
Ang mga hindi awtorisadong umaatake ay nag-i-install ng isang remote control system sa computer ng trabaho ng isang espesyalista at, sa oras ng pagsulat ng mga order ng pagbabayad (mga elektronikong mensahe) sa isang naililipat na medium, palitan ang mga nilalaman ng isa sa mga ito sa malinaw na teksto. Ang espesyalista ay naglilipat ng mga order ng pagbabayad sa KBR automated na lugar ng trabaho, pinipirmahan at ine-encrypt ang mga ito nang hindi napapansin ang pagpapalit (halimbawa, dahil sa isang malaking bilang ng mga order sa pagbabayad sa isang flight, pagkapagod, atbp.). Pagkatapos nito, ang pekeng order ng pagbabayad, na dumaan sa teknolohikal na kadena, ay pumapasok sa sistema ng pagbabayad ng Bank of Russia.
Sitwasyon 2. Isang halimbawa ng pagpapatupad ng mga banta U2.2 at U4.2.
Paglalarawan ng bagay
Ang isang computer na may naka-install na workstation na KBR, SCAD Signature at isang konektadong key carrier na FKN vdToken ay gumagana sa isang nakatalagang silid na walang access mula sa mga tauhan.
Kumokonekta ang espesyalista sa pagkalkula sa CBD workstation sa remote access mode sa pamamagitan ng RDP protocol.
Pag-atake
Hinaharang ng mga attacker ang mga detalye, kung saan kumokonekta at gumagana ang espesyalista sa pagkalkula sa CBD workstation (halimbawa, sa pamamagitan ng malisyosong code sa kanyang computer). Pagkatapos ay kumonekta sila sa ngalan niya at magpadala ng isang pekeng order ng pagbabayad sa sistema ng pagbabayad ng Bank of Russia.
Sitwasyon 3. Halimbawa ng pagpapatupad ng pagbabanta U1.3.
Paglalarawan ng bagay
Isaalang-alang natin ang isa sa mga hypothetical na opsyon para sa pagpapatupad ng ABS-KBR integration modules para sa isang bagong scheme (AWS KBR-N), kung saan ang electronic signature ng mga papalabas na dokumento ay nangyayari sa gilid ng ABS. Sa kasong ito, ipagpalagay namin na ang ABS ay gumagana sa batayan ng isang operating system na hindi suportado ng CIPF SKAD Signature, at, nang naaayon, ang cryptographic functionality ay inilipat sa isang hiwalay na virtual machine - ang "ABS-KBR" integration modyul.
Ang isang regular na USB token na tumatakbo sa retrievable key mode ay ginagamit bilang key carrier. Kapag ikinonekta ang key media sa hypervisor, lumabas na walang libreng USB port sa system, kaya napagpasyahan na ikonekta ang USB token sa pamamagitan ng USB hub ng network, at mag-install ng USB-over-IP client sa virtual machine, na makikipag-ugnayan sa hub.
Pag-atake
Hinarang ng mga umaatake ang pribadong key ng electronic signature mula sa channel ng komunikasyon sa pagitan ng USB hub at ng hypervisor (ang data ay ipinadala sa malinaw na teksto). Sa pagkakaroon ng pribadong susi, ang mga umaatake ay nakabuo ng isang pekeng order sa pagbabayad, nilagdaan ito gamit ang isang electronic na lagda at ipinadala ito sa KBR-N automated na lugar ng trabaho para sa pagpapatupad.
Sitwasyon 4. Isang halimbawa ng pagpapatupad ng mga pagbabanta U5.5.
Paglalarawan ng bagay
Isaalang-alang natin ang parehong circuit tulad ng sa nakaraang senaryo. Ipagpalagay namin na ang mga elektronikong mensahe na nagmumula sa KBR-N workstation ay mapupunta sa …SHAREIn folder, at ang mga ipinadala sa KBR-N workstation at higit pa sa sistema ng pagbabayad ng Bank of Russia ay mapupunta sa …SHAREout.
Ipagpalagay din namin na kapag ipinapatupad ang integration module, ang mga listahan ng mga binawi na certificate ay ina-update lamang kapag ang mga cryptographic key ay muling ibinigay, at gayundin na ang mga electronic na mensahe na natanggap sa …SHAREIn folder ay sinusuri lamang para sa kontrol ng integridad at kontrol ng tiwala sa pampublikong susi ng Electronic Signature.
Pag-atake
Ang mga umaatake, gamit ang mga susi na ninakaw sa nakaraang senaryo, ay pumirma ng isang pekeng order sa pagbabayad na naglalaman ng impormasyon tungkol sa pagtanggap ng pera sa account ng mapanlinlang na kliyente at ipinakilala ito sa secure na channel ng palitan ng data. Dahil walang pagpapatunay na ang order ng pagbabayad ay nilagdaan ng Bank of Russia, tinatanggap ito para sa pagpapatupad.
Pinagmulan: www.habr.com