Tadqiqotning boshqa qismlariga havolalar
- (Siz shu yerdamisiz)
Ushbu maqola bank naqd pulsiz to'lovlarning axborot xavfsizligini ta'minlashga bag'ishlangan nashrlar seriyasini yakunlaydi. Bu erda biz eslatib o'tilgan odatiy tahdid modellarini ko'rib chiqamiz :
- .
- .
- .
- .
HABRO-Ogohlantirish!!! Hurmatli Xabrovitlar, bu qiziqarli post emas.
Kesim ostida yashiringan 40+ sahifalar uchun mo'ljallangan ish yoki o'qishda yordam berish bank yoki axborot xavfsizligiga ixtisoslashgan odamlar. Ushbu materiallar tadqiqotning yakuniy mahsuloti bo'lib, quruq, rasmiy ohangda yozilgan. Aslida, bu ichki axborot xavfsizligi hujjatlari uchun blankalardir.Xo'sh, an'anaviy - "maqoladagi ma'lumotlardan noqonuniy maqsadlarda foydalanish qonun bilan jazolanadi". Samarali o'qish!
Tadqiqot bilan tanish bo'lgan o'quvchilar uchun ma'lumot ushbu nashrdan boshlanadi.
Tadqiqot nima haqida?
Siz bankda to'lovlarning axborot xavfsizligini ta'minlash uchun mas'ul bo'lgan mutaxassis uchun qo'llanmani o'qiyapsiz.
Taqdimot mantiq
Boshida in и himoyalangan obyektning tavsifi berilgan. Keyin ichkariga xavfsizlik tizimini qanday yaratishni tavsiflaydi va tahdid modelini yaratish zarurati haqida gapiradi. IN qanday tahdid modellari mavjudligi va ular qanday shakllanganligi haqida gapiradi. IN и Haqiqiy hujumlar tahlili taqdim etiladi. и barcha oldingi qismlardan olingan ma'lumotlarni hisobga olgan holda tuzilgan tahdid modelining tavsifini o'z ichiga oladi.
TOPIK TAHDIQ MODELI. TARMOQGA ULANISH
Tahdid modeli (ko'lami) qo'llaniladigan himoya ob'ekti
Himoya ob'ekti TCP/IP stek asosida qurilgan ma'lumotlar tarmoqlarida ishlaydigan tarmoq ulanishi orqali uzatiladigan ma'lumotlardir.
arxitektura
Arxitektura elementlarining tavsifi:
- "Yakuniy tugunlar" - himoyalangan ma'lumotlarni almashish tugunlari.
- "Oraliq tugunlar" — maʼlumotlarni uzatish tarmogʻining elementlari: marshrutizatorlar, kommutatorlar, kirish serverlari, proksi-serverlar va boshqa uskunalar — ular orqali tarmoqqa ulanish trafigini uzatadi. Umuman olganda, tarmoq ulanishi oraliq tugunlarsiz (to'g'ridan-to'g'ri oxirgi tugunlar o'rtasida) ishlashi mumkin.
Yuqori darajadagi xavfsizlik tahdidlari
Parchalanish
U1. O'tkazilgan ma'lumotlarga ruxsatsiz kirish.
U2. O'tkazilgan ma'lumotlarni ruxsatsiz o'zgartirish.
U3. O'tkazilgan ma'lumotlarning mualliflik huquqini buzish.
U1. O'tkazilgan ma'lumotlarga ruxsatsiz kirish
Parchalanish
U1.1. <…>, yakuniy yoki oraliq tugunlarda amalga oshiriladi:
U1.1.1. <…> maʼlumotlarni asosiy xotira qurilmalarida oʻqish orqali:
U1.1.1.1. <…> RAMda.
U1.1.1.1 uchun tushuntirishlar.
Masalan, xostning tarmoq stekida ma'lumotlarni qayta ishlash paytida.
U1.1.1.2. <…> doimiy xotirada.
U1.1.1.2 uchun tushuntirishlar.
Masalan, uzatilgan ma'lumotlarni keshda saqlashda vaqtinchalik fayllar yoki fayllarni almashtirish.
U1.2. <…>, ma'lumotlar tarmog'ining uchinchi tomon tugunlarida amalga oshiriladi:
U1.2.1. <…> xostning tarmoq interfeysiga kelgan barcha paketlarni olish usuli bilan:
U1.2.1 uchun tushuntirishlar.
Barcha paketlarni qo'lga olish tarmoq kartasini nopok rejimga o'tkazish orqali amalga oshiriladi (simli adapterlar uchun noxush rejim yoki Wi-Fi adapterlari uchun monitor rejimi).
U1.2.2. <…> odam-in-the-middle (MiTM) hujumlarini amalga oshirish orqali, lekin uzatilgan ma'lumotlarni o'zgartirmasdan (tarmoq protokoli xizmati ma'lumotlarini hisobga olmaganda).
U1.2.2.1. Havola: .
U1.3. <…>, jismoniy tugunlardan yoki aloqa liniyalaridan texnik kanallar (TKUI) orqali ma'lumotlarning chiqib ketishi tufayli amalga oshiriladi.
U1.4. <…>, maxfiy ma'lumotlarni yig'ish uchun mo'ljallangan oxirgi yoki oraliq tugunlarga maxsus texnik vositalarni (STS) o'rnatish orqali amalga oshiriladi.
U2. O'tkazilgan ma'lumotlarni ruxsatsiz o'zgartirish
Parchalanish
U2.1. <…>, yakuniy yoki oraliq tugunlarda amalga oshiriladi:
U2.1.1. <…> tugunlarning saqlash qurilmalarida bo'lganida ma'lumotlarni o'qish va o'zgartirishlar kiritish orqali:
U2.1.1.1. <…> RAMda:
U2.1.1.2. <…> doimiy xotirada:
U2.2. <…>, ma'lumotlarni uzatish tarmog'ining uchinchi tomon tugunlarida amalga oshiriladi:
U2.2.1. <…> odam-in-the-middle (MiTM) hujumlarini amalga oshirish va trafikni tajovuzkorlar tuguniga yo'naltirish orqali:
U2.2.1.1. Buzg'unchilar uskunasining jismoniy ulanishi tarmoq ulanishining uzilishiga olib keladi.
U2.2.1.2. Tarmoq protokollariga hujumlarni amalga oshirish:
U2.2.1.2.1. <…> virtual mahalliy tarmoqlarni boshqarish (VLAN):
U2.2.1.2.1.1. .
U2.2.1.2.1.2. Kalitlar yoki marshrutizatorlardagi VLAN sozlamalarini ruxsatsiz o'zgartirish.
U2.2.1.2.2. <…> transport marshruti:
U2.2.1.2.2.1. Routerlarning statik marshrutlash jadvallarini ruxsatsiz o'zgartirish.
U2.2.1.2.2.2. Dinamik marshrutlash protokollari orqali tajovuzkorlar tomonidan noto'g'ri marshrutlarni e'lon qilish.
U2.2.1.2.3. <…> avtomatik konfiguratsiya:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <…> manzillash va nomni aniqlash:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3. Mahalliy xost nomi fayllariga ruxsatsiz o'zgartirishlar kiritish (xostlar, lmhosts va boshqalar).
U3. O'tkazilgan ma'lumotlarga mualliflik huquqining buzilishi
Parchalanish
U3.1. Muallif yoki ma'lumotlar manbai to'g'risida noto'g'ri ma'lumotlarni ko'rsatish orqali ma'lumotlarning muallifligini aniqlash mexanizmlarini zararsizlantirish:
U3.1.1. O'tkazilgan ma'lumotlarda muallif haqidagi ma'lumotlarni o'zgartirish.
U3.1.1.1. O'tkazilgan ma'lumotlarning yaxlitligi va muallifligining kriptografik himoyasini zararsizlantirish:
U3.1.1.1.1. Havola: .
U3.1.1.2. Bir martalik tasdiqlash kodlari yordamida amalga oshirilgan uzatilgan ma'lumotlarning mualliflik huquqini himoya qilishni neytrallash:
U3.1.1.2.1. .
U3.1.2. O'tkazilgan ma'lumot manbasi haqidagi ma'lumotlarni o'zgartirish:
U3.1.2.1. .
U3.1.2.2. .
TOPIK TAHDIQ MODELI. KLIENT-SERVER ARXITEKTURASI ASOSIDA TURILGAN AXBOROT TIZIMI
Tahdid modeli (ko'lami) qo'llaniladigan himoya ob'ekti
Himoya ob'ekti - mijoz-server arxitekturasi asosida qurilgan axborot tizimi.
arxitektura
Arxitektura elementlarining tavsifi:
- "Mijoz" – axborot tizimining mijoz qismi ishlaydigan qurilma.
- "Server" – axborot tizimining server qismi ishlaydigan qurilma.
- "Ma'lumotlar do'koni" — axborot tizimi tomonidan qayta ishlangan maʼlumotlarni saqlash uchun moʻljallangan axborot tizimining server infratuzilmasining bir qismi.
- "Tarmoq ulanishi" — maʼlumotlar tarmogʻi orqali oʻtuvchi Mijoz va Server oʻrtasida axborot almashish kanali. Element modelining batafsil tavsifi maqolada keltirilgan .
Cheklovlar
Ob'ektni modellashtirishda quyidagi cheklovlar o'rnatiladi:
- Foydalanuvchi ish sessiyalari deb ataladigan cheklangan vaqt oralig'ida axborot tizimi bilan o'zaro ta'sir qiladi.
- Har bir ish sessiyasining boshida foydalanuvchi identifikatsiyalanadi, autentifikatsiya qilinadi va avtorizatsiya qilinadi.
- Barcha himoyalangan ma'lumotlar axborot tizimining server qismida saqlanadi.
Yuqori darajadagi xavfsizlik tahdidlari
Parchalanish
U1. Qonuniy foydalanuvchi nomidan tajovuzkorlar tomonidan ruxsatsiz harakatlarni amalga oshirish.
U2. Axborot tizimining server qismi tomonidan qayta ishlash jarayonida himoyalangan ma'lumotlarni ruxsatsiz o'zgartirish.
U1. Qonuniy foydalanuvchi nomidan tajovuzkorlar tomonidan ruxsatsiz harakatlarni amalga oshirish
Izohlar
Odatda axborot tizimlarida harakatlar ularni amalga oshirgan foydalanuvchi bilan bog'liq:
- tizim operatsiyalari jurnallari (jurnallar).
- ularni yaratgan yoki o'zgartirgan foydalanuvchi haqidagi ma'lumotlarni o'z ichiga olgan ma'lumotlar ob'ektlarining maxsus atributlari.
Ish seansiga nisbatan bu tahdidni quyidagilarga ajratish mumkin:
- <…> foydalanuvchi sessiyasida amalga oshiriladi.
- <…> foydalanuvchi sessiyasidan tashqarida bajariladi.
Foydalanuvchi seansini boshlash mumkin:
- Foydalanuvchining o'zi tomonidan.
- Jinoyatchilar.
Ushbu bosqichda ushbu tahdidning oraliq parchalanishi quyidagicha ko'rinadi:
U1.1. Foydalanuvchi seansida ruxsatsiz harakatlar amalga oshirildi:
U1.1.1. <…> hujum qilingan foydalanuvchi tomonidan oʻrnatilgan.
U1.1.2. <…> tajovuzkorlar tomonidan oʻrnatilgan.
U1.2. Ruxsatsiz harakatlar foydalanuvchi sessiyasidan tashqarida amalga oshirildi.
Hujumchilar ta'sir qilishi mumkin bo'lgan axborot infratuzilmasi ob'ektlari nuqtai nazaridan, oraliq tahdidlarning parchalanishi quyidagicha ko'rinadi:
Elementlar
Tahdidning parchalanishi
U1.1.1.
U1.1.2.
U1.2.
Xaridor
U1.1.1.1.
U1.1.2.1.
Tarmoq ulanishi
U1.1.1.2.
Server
U1.2.1.
Parchalanish
U1.1. Foydalanuvchi seansida ruxsatsiz harakatlar amalga oshirildi:
U1.1.1. <…> hujumga uchragan foydalanuvchi tomonidan o'rnatilgan:
U1.1.1.1. Hujumchilar mijozdan mustaqil ravishda harakat qilishdi:
U1.1.1.1.1 Buzg'unchilar standart axborot tizimiga kirish vositalaridan foydalanganlar:
U1.1.1.1.1.1. Buzg'unchilar Mijozning jismoniy kiritish/chiqish vositalaridan (klaviatura, sichqoncha, monitor yoki mobil qurilmaning sensorli ekrani) foydalanganlar:
U1.1.1.1.1.1.1. Hujumchilar seans faol bo'lgan, kiritish-chiqarish vositalari mavjud bo'lgan va foydalanuvchi mavjud bo'lmagan vaqtlarda ishlagan.
U1.1.1.1.1.2. Buzg'unchilar mijozni boshqarish uchun masofaviy boshqaruv vositalaridan (standart yoki zararli kod tomonidan taqdim etilgan) foydalanganlar:
U1.1.1.1.1.2.1. Hujumchilar seans faol bo'lgan, kiritish-chiqarish vositalari mavjud bo'lgan va foydalanuvchi mavjud bo'lmagan vaqtlarda ishlagan.
U1.1.1.1.1.2.2. Buzg'unchilar masofadan boshqarish vositalaridan foydalangan, ularning ishlashi hujum qilingan foydalanuvchiga ko'rinmas.
U1.1.1.2. Buzg'unchilar Mijoz va Server o'rtasidagi tarmoq ulanishidagi ma'lumotlarni almashtirdilar va ularni qonuniy foydalanuvchining harakatlari sifatida qabul qilinadigan tarzda o'zgartirdilar:
U1.1.1.2.1. Havola: .
U1.1.1.3. Hujumchilar foydalanuvchini ijtimoiy muhandislik usullaridan foydalangan holda o'zlari ko'rsatgan harakatlarini bajarishga majbur qilishgan.
U1.1.2 <…> tajovuzkorlar tomonidan o'rnatilgan:
U1.1.2.1. Hujumchilar mijozdan harakat qilishdi (И):
U1.1.2.1.1. Hujumchilar axborot tizimining kirishni boshqarish tizimini zararsizlantirishdi:
U1.1.2.1.1.1. Havola: .
U1.1.2.1.2. Hujumchilar standart axborot tizimiga kirish vositalaridan foydalanganlar
U1.1.2.2. Buzg'unchilar serverga tarmoq ulanishini o'rnatish mumkin bo'lgan ma'lumotlar tarmog'ining boshqa tugunlaridan ishlagan (И):
U1.1.2.2.1. Hujumchilar axborot tizimining kirishni boshqarish tizimini zararsizlantirishdi:
U1.1.2.2.1.1. Havola: .
U1.1.2.2.2. Hujumchilar axborot tizimiga kirishning nostandart vositalaridan foydalangan.
Tushuntirishlar U1.1.2.2.2.
Buzg'unchilar uchinchi tomon tuguniga axborot tizimining standart mijozini o'rnatishi yoki Mijoz va Server o'rtasida standart almashinuv protokollarini amalga oshiradigan nostandart dasturiy ta'minotdan foydalanishi mumkin.
U1.2 Ruxsatsiz harakatlar foydalanuvchi seansidan tashqarida amalga oshirildi.
U1.2.1 Hujumchilar ruxsat etilmagan harakatlarni amalga oshirgan va keyin axborot tizimining ishlash jurnallariga yoki ma'lumotlar ob'ektlarining maxsus atributlariga ruxsatsiz o'zgartirishlar kiritgan, bu ular amalga oshirgan harakatlar qonuniy foydalanuvchi tomonidan amalga oshirilganligini ko'rsatmoqda.
U2. Axborot tizimining server qismi tomonidan qayta ishlash jarayonida himoyalangan ma'lumotlarni ruxsatsiz o'zgartirish
Parchalanish
U2.1. Buzg'unchilar himoyalangan ma'lumotni standart axborot tizimi vositalaridan foydalangan holda o'zgartiradilar va buni qonuniy foydalanuvchi nomidan amalga oshiradilar.
U2.1.1. Havola: .
U2.2. Buzg'unchilar himoyalangan ma'lumotni axborot tizimining normal ishlashi bilan ta'minlanmagan ma'lumotlarga kirish mexanizmlaridan foydalangan holda o'zgartiradilar.
U2.2.1. Buzg'unchilar himoyalangan ma'lumotlarni o'z ichiga olgan fayllarni o'zgartiradilar:
U2.2.1.1. <…>, operatsion tizim tomonidan taqdim etilgan fayllarni qayta ishlash mexanizmlaridan foydalangan holda.
U2.2.1.2. <…> ruxsatsiz o'zgartirilgan zahira nusxasidan fayllarni tiklashni qo'zg'atish orqali.
U2.2.2. Buzg'unchilar ma'lumotlar bazasida saqlangan himoyalangan ma'lumotlarni o'zgartiradilar (И):
U2.2.2.1. Hujumchilar DBMSga kirishni boshqarish tizimini zararsizlantiradi:
U2.2.2.1.1. Havola: .
U2.2.2.2. Buzg'unchilar ma'lumotlarga kirish uchun standart DBMS interfeyslari yordamida ma'lumotlarni o'zgartiradilar.
U2.3. Buzg'unchilar himoyalangan ma'lumotni qayta ishlovchi dasturiy ta'minotning ishlash algoritmlarini ruxsatsiz o'zgartirish orqali o'zgartiradilar.
U2.3.1. Dasturiy ta'minotning manba kodi o'zgartirilishi mumkin.
U2.3.1. Dasturiy ta'minotning mashina kodi o'zgartirilishi mumkin.
U2.4. Hujumchilar axborot tizimi dasturiy ta'minotidagi zaifliklardan foydalangan holda himoyalangan ma'lumotlarni o'zgartiradilar.
U2.5. Hujumchilar himoyalangan ma'lumotni axborot tizimining server qismining komponentlari (masalan, ma'lumotlar bazasi serveri va dastur serveri) o'rtasida uzatilganda o'zgartiradilar:
U2.5.1. Havola: .
TOPIK TAHDIQ MODELI. KIRISHNI BOSHQARISH TIZIMI
Tahdid modeli (ko'lami) qo'llaniladigan himoya ob'ekti
Ushbu tahdid modeli qo'llaniladigan himoya ob'ekti tahdid modelining himoya ob'ektiga mos keladi: "Odatiy tahdid modeli. Mijoz-server arxitekturasida qurilgan axborot tizimi”.
Ushbu tahdid modelida foydalanuvchi kirishini boshqarish tizimi quyidagi funktsiyalarni amalga oshiradigan axborot tizimining tarkibiy qismini anglatadi:
- Foydalanuvchi identifikatsiyasi.
- Foydalanuvchi autentifikatsiyasi.
- Foydalanuvchi ruxsatlari.
- Foydalanuvchi harakatlarini qayd qilish.
Yuqori darajadagi xavfsizlik tahdidlari
Parchalanish
U1. Qonuniy foydalanuvchi nomidan ruxsatsiz sessiya tashkil etish.
U2. Axborot tizimida foydalanuvchi imtiyozlarini ruxsatsiz oshirish.
U1. Qonuniy foydalanuvchi nomidan ruxsatsiz sessiya tashkil etish
Izohlar
Ushbu tahdidning parchalanishi odatda foydalanuvchi identifikatsiyalash va autentifikatsiya tizimlarining turiga bog'liq bo'ladi.
Ushbu modelda faqat matnli login va parol yordamida foydalanuvchi identifikatsiyasi va autentifikatsiya tizimi ko'rib chiqiladi. Bunday holda, foydalanuvchi logini tajovuzkorlarga ma'lum bo'lgan hamma uchun ochiq ma'lumot deb hisoblaymiz.
Parchalanish
U1.1. <…> hisob maʼlumotlari buzilganligi sababli:
U1.1.1. Hujumchilar foydalanuvchining hisob ma’lumotlarini saqlash vaqtida buzib kirishgan.
Tushuntirishlar U1.1.1.
Misol uchun, hisobga olish ma'lumotlari monitorga yopishtirilgan yopishqoq qog'ozga yozilishi mumkin.
U1.1.2. Foydalanuvchi tasodifiy yoki qasddan kirish ma'lumotlarini tajovuzkorlarga uzatdi.
U1.1.2.1. Foydalanuvchi kirish ma'lumotlarini baland ovozda gapirdi.
U1.1.2.2. Foydalanuvchi o'z hisob ma'lumotlarini ataylab baham ko'rdi:
U1.1.2.2.1. <…> ishdagi hamkasblarga.
Tushuntirishlar U1.1.2.2.1.
Masalan, kasallik paytida uni almashtirishlari uchun.
U1.1.2.2.2. <…> axborot infratuzilmasi ob'ektlarida ishlarni bajaruvchi ish beruvchining pudratchilariga.
U1.1.2.2.3. <…> uchinchi shaxslarga.
Tushuntirishlar U1.1.2.2.3.
Ushbu tahdidni amalga oshirishning yagona varianti emas, balki tajovuzkorlar tomonidan ijtimoiy muhandislik usullaridan foydalanish.
U1.1.3. Hujumchilar qo'pol kuch usullaridan foydalangan holda hisob ma'lumotlarini tanladilar:
U1.1.3.1. <…> standart kirish mexanizmlaridan foydalanish.
U1.1.3.2. <…> hisobga olish maʼlumotlarini saqlash uchun avval ushlangan kodlardan (masalan, parol xeshlari) foydalanish.
U1.1.4. Buzg'unchilar foydalanuvchi hisob ma'lumotlarini to'xtatish uchun zararli koddan foydalangan.
U1.1.5. Buzg'unchilar Mijoz va Server o'rtasidagi tarmoq ulanishidan hisob ma'lumotlarini chiqarib olishdi:
U1.1.5.1. Havola: .
U1.1.6. Hujumchilar ish monitoringi tizimlari yozuvlaridan hisob ma'lumotlarini chiqarib olishdi:
U1.1.6.1. <…> video kuzatuv tizimlari (agar ish paytida klaviaturadagi tugmalar bosilgan bo'lsa).
U1.1.6.2. <…> kompyuterda xodimlarning harakatlarini kuzatish tizimlari
Tushuntirishlar U1.1.6.2.
Bunday tizimga misol qilib keltirish mumkin .
U1.1.7. Hujumchilar uzatish jarayonidagi kamchiliklar tufayli foydalanuvchi hisob ma’lumotlarini buzib tashlagan.
Tushuntirishlar U1.1.7.
Masalan, parollarni elektron pochta orqali aniq matnda yuborish.
U1.1.8. Hujumchilar masofaviy boshqaruv tizimlaridan foydalangan holda foydalanuvchi sessiyasini kuzatish orqali hisob ma’lumotlarini qo‘lga kiritdi.
U1.1.9. Hujumchilar texnik kanallar (TCUI) orqali sizib chiqishlari natijasida hisob ma'lumotlarini qo'lga kiritdilar:
U1.1.9.1. Buzg'unchilar foydalanuvchi hisob ma'lumotlarini klaviaturadan qanday kiritganini kuzatdilar:
U1.1.9.1.1 Hujumchilar foydalanuvchiga yaqin joyda joylashgan va hisob ma'lumotlari kiritilishini o'z ko'zlari bilan ko'rgan.
Tushuntirishlar U1.1.9.1.1
Bunday holatlarga ishdagi hamkasblarning xatti-harakatlari yoki foydalanuvchi klaviaturasi tashkilotga tashrif buyuruvchilarga ko'rinadigan holatlar kiradi.
U1.1.9.1.2 Hujumchilar durbin yoki uchuvchisiz uchish apparati kabi qo'shimcha texnik vositalardan foydalanganlar va deraza orqali hisobga olish ma'lumotlarining kiritilishini ko'rgan.
U1.1.9.2. Buzg'unchilar radio interfeysi (masalan, Bluetooth) orqali ulanganda klaviatura va kompyuter tizim bloki o'rtasidagi radioaloqadan hisob ma'lumotlarini chiqarib olishdi.
U1.1.9.3. Hujumchilar soxta elektromagnit nurlanish va interferentsiya (PEMIN) kanali orqali hisob ma'lumotlarini o'tkazib yuborgan.
Tushuntirishlar U1.1.9.3.
Hujumlarga misollar и .
U1.1.9.4. Buzg'unchi maxfiy ravishda ma'lumot olish uchun mo'ljallangan maxsus texnik vositalar (STS) yordamida klaviaturadan hisob ma'lumotlarini kiritishni to'xtatdi.
Tushuntirishlar U1.1.9.4.
misollar .
U1.1.9.5. Hujumchilar klaviaturadan hisob ma'lumotlarini kiritishni to'xtatdilar
foydalanuvchi tugmalarini bosish jarayoni bilan modulyatsiyalangan Wi-Fi signalini tahlil qilish.
Tushuntirishlar U1.1.9.5.
misol .
U1.1.9.6. Buzg'unchilar klaviaturadan hisob ma'lumotlarini kiritishni klavishlarni bosish tovushlarini tahlil qilish orqali ushlab qolishgan.
Tushuntirishlar U1.1.9.6.
misol .
U1.1.9.7. Hujumchilar akselerometr ko‘rsatkichlarini tahlil qilish orqali mobil qurilma klaviaturasidan hisob ma’lumotlarini kiritishni to‘xtatib qolishgan.
Tushuntirishlar U1.1.9.7.
misol .
U1.1.10. <…>, avval Mijozda saqlangan.
Tushuntirishlar U1.1.10.
Misol uchun, foydalanuvchi ma'lum bir saytga kirish uchun brauzerda login va parolni saqlashi mumkin.
U1.1.11. Buzg'unchilar foydalanuvchi ruxsatini bekor qilish jarayonidagi kamchiliklar tufayli hisob ma'lumotlarini buzdi.
Tushuntirishlar U1.1.11.
Misol uchun, foydalanuvchi ishdan bo'shatilgandan so'ng, uning akkauntlari bloklanmagan holda qoldi.
U1.2. <…> kirishni boshqarish tizimidagi zaifliklardan foydalanish orqali.
U2. Axborot tizimida foydalanuvchi imtiyozlarini ruxsatsiz oshirish
Parchalanish
U2.1 <…> foydalanuvchi imtiyozlari haqidagi maʼlumotlarni oʻz ichiga olgan maʼlumotlarga ruxsatsiz oʻzgartirishlar kiritish orqali.
U2.2 <…> kirishni boshqarish tizimidagi zaifliklardan foydalanish orqali.
U2.3. <…> foydalanuvchi ruxsatini boshqarish jarayonidagi kamchiliklar tufayli.
Tushuntirishlar U2.3.
1-misol. Foydalanuvchiga ish uchun talab qilinganidan ko'ra ko'proq ruxsat berilgan.
2-misol: Foydalanuvchi boshqa lavozimga o'tkazilgandan so'ng, ilgari berilgan kirish huquqlari bekor qilinmadi.
TOPIK TAHDIQ MODELI. INTEGRATION MODULI
Tahdid modeli (ko'lami) qo'llaniladigan himoya ob'ekti
Integratsiya moduli - axborot tizimlari o'rtasida axborot almashinuvini tashkil etish uchun mo'ljallangan axborot infratuzilmasi ob'ektlari to'plami.
Korporativ tarmoqlarda bir axborot tizimini boshqasidan aniq ajratish har doim ham mumkin emasligini hisobga olsak, integratsiya modulini bitta axborot tizimidagi komponentlar o‘rtasidagi bog‘lovchi bo‘g‘in sifatida ham ko‘rish mumkin.
arxitektura
Integratsiya modulining umumlashtirilgan diagrammasi quyidagicha ko'rinadi:
Arxitektura elementlarining tavsifi:
- "Exchange Server (SO)" - boshqa axborot tizimi bilan ma'lumot almashish funktsiyasini bajaradigan axborot tizimining tugun / xizmat / komponenti.
- "vositachi" - axborot tizimlari o'rtasidagi o'zaro aloqani tashkil qilish uchun mo'ljallangan, lekin ularning bir qismi bo'lmagan tugun/xizmat.
Misollar "vositachilar" elektron pochta xizmatlari, korporativ xizmat avtobuslari (korxona xizmat avtobusi / SoA arxitekturasi), uchinchi tomon fayl serverlari va boshqalar bo'lishi mumkin. Umuman olganda, integratsiya modulida "Oraliqchilar" bo'lmasligi mumkin. - "Ma'lumotlarni qayta ishlash dasturi" - ma'lumotlar almashinuvi protokollarini va formatni o'zgartirishni amalga oshiradigan dasturlar to'plami.
Masalan, ma'lumotlarni UFEBS formatidan ABS formatiga o'tkazish, uzatish paytida xabar holatini o'zgartirish va hokazo. - "Tarmoq ulanishi" standart "Tarmoq ulanishi" tahdid modelida tasvirlangan ob'ektga mos keladi. Yuqoridagi diagrammada ko'rsatilgan tarmoq ulanishlarining ba'zilari mavjud bo'lmasligi mumkin.
Integratsiya modullariga misollar
Sxema 1. ABS va AWS KBR ning uchinchi tomon fayl serveri orqali integratsiyasi
To‘lovlarni amalga oshirish uchun vakolatli bank xodimi asosiy bank tizimidan elektron to‘lov hujjatlarini yuklab oladi va ularni fayl serveridagi tarmoq papkasida (...SHARE) faylga (o‘z formatida, masalan, SQL dump) saqlaydi. Keyin ushbu fayl konvertor skripti yordamida UFEBS formatidagi fayllar to'plamiga aylantiriladi, keyinchalik ular CBD ish stantsiyasi tomonidan o'qiladi.
Shundan so'ng, vakolatli xodim - KBR avtomatlashtirilgan ish joyining foydalanuvchisi - olingan fayllarni shifrlaydi va imzolaydi va ularni Rossiya Bankining to'lov tizimiga yuboradi.
Rossiya Bankidan to'lovlar qabul qilinganda, KBRning avtomatlashtirilgan ish joyi ularni parolini hal qiladi va elektron imzoni tekshiradi, shundan so'ng ularni fayl serverida UFEBS formatidagi fayllar to'plami shaklida qayd etadi. To'lov hujjatlarini ABSga import qilishdan oldin ular konvertor skripti yordamida UFEBS formatidan ABS formatiga o'zgartiriladi.
Biz taxmin qilamizki, bu sxemada ABS bitta jismoniy serverda ishlaydi, KBR ish stantsiyasi maxsus kompyuterda ishlaydi va konvertor skripti fayl serverida ishlaydi.
Ko'rib chiqilayotgan diagramma ob'ektlarining integratsiya moduli modeli elementlariga mos kelishi:
"ABS tomonidan server almashinuvi" - ABS serveri.
"AWS KBR tomonidan serverni almashish" - KBR kompyuter ish stantsiyasi.
"vositachi" – uchinchi tomon fayl serveri.
"Ma'lumotlarni qayta ishlash dasturi" - konvertor skripti.
Sxema 2. AWS KBRda toʻlovlar bilan umumiy tarmoq papkasini joylashtirishda ABS va AWS KBR integratsiyasi
Hammasi 1-sxemaga o'xshaydi, lekin alohida fayl serveri ishlatilmaydi, buning o'rniga CBD ish stantsiyasi bo'lgan kompyuterda elektron to'lov hujjatlari bilan tarmoq papkasi (...SHARE) joylashtirilgan. Konverter skripti CBD ish stantsiyasida ham ishlaydi.
Ko'rib chiqilayotgan diagramma ob'ektlarining integratsiya moduli modeli elementlariga mos kelishi:
1-sxemaga o'xshash, ammo "vositachi" ishlatilmayapti.
Sxema 3. IBM WebSphera MQ orqali ABS va avtomatlashtirilgan ish joyi KBR-N integratsiyasi va elektron hujjatlarni “ABS tomonida” imzolash.
ABS CIPF SCAD Signature tomonidan qo'llab-quvvatlanmaydigan platformada ishlaydi. Chiquvchi elektron hujjatlarni imzolash maxsus elektron imzo serverida (ES Server) amalga oshiriladi. Xuddi shu server Rossiya Bankidan kelgan hujjatlardagi elektron imzoni tekshiradi.
ABS o'z formatida to'lov hujjatlari bilan faylni ES serveriga yuklaydi.
ES serveri konvertor skriptidan foydalanib, faylni UFEBS formatidagi elektron xabarlarga aylantiradi, shundan so'ng elektron xabarlar imzolanadi va IBM WebSphere MQ ga uzatiladi.
KBR-N ish stantsiyasi IBM WebSphere MQ ga kiradi va u erdan imzolangan to'lov xabarlarini oladi, shundan so'ng vakolatli xodim - KBR ish stantsiyasining foydalanuvchisi ularni shifrlaydi va Rossiya bankining to'lov tizimiga yuboradi.
Rossiya Bankidan to'lovlar qabul qilinganda, avtomatlashtirilgan ish joyi KBR-N ularni parolini hal qiladi va elektron imzoni tekshiradi. UFEBS formatida shifrlangan va imzolangan elektron xabarlar ko'rinishidagi muvaffaqiyatli qayta ishlangan to'lovlar IBM WebSphere MQ-ga o'tkaziladi va u erdan Elektron imzo serveri tomonidan qabul qilinadi.
Elektron imzo serveri qabul qilingan to‘lovlarning elektron imzosini tekshiradi va ularni ABS formatidagi faylda saqlaydi. Shundan so'ng, vakolatli xodim - ABS foydalanuvchisi - olingan faylni belgilangan tartibda ABS ga yuklaydi.
Ko'rib chiqilayotgan diagramma ob'ektlarining integratsiya moduli modeli elementlariga mos kelishi:
"ABS tomonidan server almashinuvi" - ABS serveri.
"AWS KBR tomonidan serverni almashish" — KBR kompyuter ish stantsiyasi.
"vositachi" – ES serveri va IBM WebSphere MQ.
"Ma'lumotlarni qayta ishlash dasturi" – skript konvertori, ES serveridagi CIPF SCAD imzosi.
Sxema 4. RBS Server va asosiy bank tizimining ajratilgan almashinuv serveri tomonidan taqdim etilgan API orqali integratsiyasi
Biz bank bir nechta masofaviy bank tizimlaridan (RBS) foydalanadi deb taxmin qilamiz:
- Jismoniy shaxslar uchun "Internet-mijoz-bank" (IKB FL);
- Yuridik shaxslar uchun "Internet-mijoz-bank" (IKB LE).
Axborot xavfsizligini ta'minlash maqsadida ABS va masofaviy bank tizimlari o'rtasidagi barcha o'zaro aloqalar ABS axborot tizimi doirasida faoliyat yurituvchi ajratilgan almashinuv serveri orqali amalga oshiriladi.
Keyinchalik, IKB LE ning RBS tizimi va ABS o'rtasidagi o'zaro ta'sir jarayonini ko'rib chiqamiz.
Mijozdan tegishli tarzda tasdiqlangan to'lov topshirig'ini olgan RBS serveri uning asosida ABSda tegishli hujjat yaratishi kerak. Buning uchun API yordamida u ma'lumotlarni almashuv serveriga uzatadi, bu esa o'z navbatida ma'lumotlarni ABS ga kiritadi.
Mijozning hisobidagi qoldiqlar o'zgarganda, ABS elektron bildirishnomalarni ishlab chiqaradi, ular almashinuv serveri yordamida masofaviy bank serveriga uzatiladi.
Ko'rib chiqilayotgan diagramma ob'ektlarining integratsiya moduli modeli elementlariga mos kelishi:
"Serverni RBS tomonidan almashish" – IKB YULning RBS serveri.
"ABS tomonidan server almashinuvi" - almashish serveri.
"vositachi" - yo'q.
"Ma'lumotlarni qayta ishlash dasturi" – Exchange server API’dan foydalanish uchun mas’ul bo‘lgan RBS Server komponentlari, asosiy bank API’sidan foydalanish uchun mas’ul bo‘lgan almashuv server komponentlari.
Yuqori darajadagi xavfsizlik tahdidlari
Parchalanish
U1. Integratsiya moduli orqali tajovuzkorlar tomonidan noto'g'ri ma'lumotlarning kiritilishi.
U1. Integratsiya moduli orqali tajovuzkorlar tomonidan noto'g'ri ma'lumotlarning kiritilishi
Parchalanish
U1.1. Tarmoq ulanishlari orqali uzatilganda qonuniy ma'lumotlarni ruxsatsiz o'zgartirish:
U1.1.1 Havola: .
U1.2. Birjaning qonuniy ishtirokchisi nomidan noto'g'ri ma'lumotlarni aloqa kanallari orqali uzatish:
U1.1.2 Havola: .
U1.3. Exchange serverlarida yoki vositachida qonuniy ma'lumotlarni qayta ishlash jarayonida ruxsatsiz o'zgartirish:
U1.3.1. Havola: .
U1.4. Birjaning qonuniy ishtirokchisi nomidan birja serverlarida yoki vositachida noto'g'ri ma'lumotlar yaratish:
U1.4.1. Havola:
U1.5. Ma'lumotlarni qayta ishlash dasturidan foydalangan holda ishlov berishda ma'lumotlarni ruxsatsiz o'zgartirish:
U1.5.1. <…> tajovuzkorlar ma'lumotlarni qayta ishlash dasturlari sozlamalariga (konfiguratsiyasiga) ruxsatsiz o'zgartirishlar kiritganligi sababli.
U1.5.2. <…> tajovuzkorlar ma'lumotlarni qayta ishlash dasturining bajariladigan fayllariga ruxsatsiz o'zgartirishlar kiritganligi sababli.
U1.5.3. <…> tajovuzkorlar tomonidan ma'lumotlarni qayta ishlash dasturining interaktiv nazorati tufayli.
TOPIK TAHDIQ MODELI. KRIPTOGRAFIK MA'LUMOTLARNI HIMOYA QILISh TIZIMI
Tahdid modeli (ko'lami) qo'llaniladigan himoya ob'ekti
Himoya ob'ekti - axborot tizimining xavfsizligini ta'minlash uchun foydalaniladigan kriptografik axborotni himoya qilish tizimi.
arxitektura
Har qanday axborot tizimining asosi uning maqsadli funksionalligini amalga oshiradigan amaliy dasturiy ta'minotdir.
Kriptografik himoya odatda ixtisoslashtirilgan kutubxonalarda - kripto yadrolarida joylashgan amaliy dasturiy ta'minotning biznes mantig'idan kriptografik primitivlarni chaqirish orqali amalga oshiriladi.
Kriptografik primitivlar past darajadagi kriptografik funktsiyalarni o'z ichiga oladi, masalan:
- ma'lumotlar blokini shifrlash/shifrini yechish;
- ma'lumotlar blokining elektron imzosini yaratish/tasdiqlash;
- ma'lumotlar blokining xesh funktsiyasini hisoblash;
- asosiy ma'lumotlarni yaratish / yuklash / yuklash;
- va hokazo.
Amaliy dasturiy ta'minotning biznes mantig'i kriptografik primitivlardan foydalangan holda yuqori darajadagi funksionallikni amalga oshiradi:
- tanlangan qabul qiluvchilarning kalitlari yordamida faylni shifrlash;
- xavfsiz tarmoq ulanishini o'rnatish;
- elektron imzoni tekshirish natijalari to'g'risida xabardor qilish;
- va h.k.
Biznes mantig'i va kripto yadrosining o'zaro ta'siri quyidagicha amalga oshirilishi mumkin:
- to'g'ridan-to'g'ri, kripto yadrosining dinamik kutubxonalaridan kriptografik primitivlarni chaqiruvchi biznes mantig'i orqali (Windows uchun .DLL, Linux uchun .SO);
- to'g'ridan-to'g'ri kriptografik interfeyslar orqali - o'ramlar, masalan, MS Crypto API, Java Cryptography Architecture, PKCS#11 va boshqalar. bu holat kripto provayderi deb ataladi. Kriptografik interfeyslardan foydalanish amaliy dasturiy ta'minotni ma'lum kriptografik algoritmlardan mavhumlashtirishga va yanada moslashuvchan bo'lishiga imkon beradi.
Kripto yadrosini tashkil qilishning ikkita tipik sxemasi mavjud:
Sxema 1 – Monolitik kripto yadrosi
2-sxema - Kripto yadrosini bo'lish
Yuqoridagi diagrammalardagi elementlar bitta kompyuterda ishlaydigan individual dasturiy modullar yoki kompyuter tarmog'ida o'zaro aloqada bo'lgan tarmoq xizmatlari bo'lishi mumkin.
1-sxema bo'yicha tuzilgan tizimlardan foydalanilganda, amaliy dasturiy ta'minot va kripto-yadro kriptovalyuta (SFC) uchun bitta operatsion muhitda, masalan, bir xil operatsion tizimda ishlaydigan bitta kompyuterda ishlaydi. Tizim foydalanuvchisi, qoida tariqasida, bir xil operatsion muhitda boshqa dasturlarni, shu jumladan zararli kodni o'z ichiga olgan dasturlarni ishga tushirishi mumkin. Bunday sharoitda shaxsiy kriptografik kalitlarning sizib chiqib ketishining jiddiy xavfi mavjud.
Xavfni minimallashtirish uchun 2-sxema qo'llaniladi, unda kripto yadrosi ikki qismga bo'linadi:
- Birinchi qism, amaliy dasturiy ta'minot bilan birgalikda, zararli kod bilan zararlanish xavfi mavjud bo'lgan ishonchsiz muhitda ishlaydi. Biz bu qismni "dasturiy ta'minot qismi" deb ataymiz.
- Ikkinchi qism ishonchli muhitda maxsus kalit xotirasini o'z ichiga olgan maxsus qurilmada ishlaydi. Bundan buyon biz ushbu qismni "apparat" deb ataymiz.
Kripto yadrosining dasturiy va apparat qismlariga bo'linishi juda o'zboshimchalik bilan amalga oshiriladi. Bozorda bo'lingan kripto yadrosi bo'lgan sxema bo'yicha qurilgan tizimlar mavjud, ammo ularning "apparat" qismi virtual mashina tasviri - virtual HSM shaklida taqdim etiladi ().
Kripto yadrosining ikkala qismining o'zaro ta'siri shunday bo'ladiki, shaxsiy kriptografik kalitlar hech qachon dasturiy ta'minot qismiga o'tkazilmaydi va shunga mos ravishda zararli kod yordamida o'g'irlanmaydi.
O'zaro ta'sir interfeysi (API) va kripto yadrosi tomonidan amaliy dasturiy ta'minotga taqdim etilgan kriptografik primitivlar to'plami ikkala holatda ham bir xil. Farqi ularni amalga oshirish usulida.
Shunday qilib, bo'lingan kripto yadroli sxemadan foydalanganda dasturiy ta'minot va apparatning o'zaro ta'siri quyidagi printsipga muvofiq amalga oshiriladi:
- Shaxsiy kalitdan foydalanishni talab qilmaydigan kriptografik primitivlar (masalan, xesh-funktsiyani hisoblash, elektron imzoni tekshirish va boshqalar) dasturiy ta'minot tomonidan amalga oshiriladi.
- Maxfiy kalitdan foydalanadigan kriptografik primitivlar (elektron imzo yaratish, ma'lumotlarni shifrlash va h.k.) apparat vositalari tomonidan amalga oshiriladi.
Elektron imzo yaratish misolidan foydalanib, bo'lingan kripto yadrosining ishini ko'rsatamiz:
- Dasturiy ta'minot qismi imzolangan ma'lumotlarning xesh funktsiyasini hisoblab chiqadi va bu qiymatni kripto yadrolari orasidagi almashinuv kanali orqali apparatga uzatadi.
- Uskuna qismi shaxsiy kalit va xesh yordamida elektron imzoning qiymatini hosil qiladi va uni almashinuv kanali orqali dasturiy qismga uzatadi.
- Dasturiy ta'minot qismi qabul qilingan qiymatni amaliy dasturiy ta'minotga qaytaradi.
Elektron imzoning to'g'riligini tekshirish xususiyatlari
Qabul qiluvchi tomon elektron imzolangan ma'lumotlarni olganida, u bir nechta tekshirish bosqichlarini bajarishi kerak. Elektron imzoni tekshirishning ijobiy natijasiga tekshirishning barcha bosqichlari muvaffaqiyatli yakunlangan taqdirdagina erishiladi.
Bosqich 1. Ma'lumotlar yaxlitligini va ma'lumotlar muallifligini nazorat qilish.
Sahna mazmuni. Ma'lumotlarning elektron imzosi tegishli kriptografik algoritm yordamida tekshiriladi. Ushbu bosqichning muvaffaqiyatli yakunlanishi ma'lumotlar imzolangan paytdan boshlab o'zgartirilmaganligini, shuningdek, imzo elektron imzoni tekshirish uchun ochiq kalitga mos keladigan yopiq kalit bilan tuzilganligini ko'rsatadi.
Sahnaning joylashuvi: kripto yadrosi.
2-bosqich. Imzolovchining ochiq kalitiga ishonchni nazorat qilish va elektron imzo yopiq kalitining amal qilish muddatini nazorat qilish.
Sahna mazmuni. Bosqich ikkita oraliq pastki bosqichdan iborat. Birinchisi, ma'lumotlarni imzolash vaqtida elektron imzoni tekshirish uchun ochiq kalit ishonchli yoki ishonchli ekanligini aniqlash. Ikkinchisi, elektron imzoning shaxsiy kaliti ma'lumotlarni imzolash vaqtida haqiqiyligini aniqlaydi. Umuman olganda, ushbu kalitlarning amal qilish muddatlari mos kelmasligi mumkin (masalan, elektron imzoni tekshirish kalitlarining malakali sertifikatlari uchun). Imzolovchining ochiq kalitiga ishonchni o'rnatish usullari o'zaro hamkorlik qiluvchi tomonlar tomonidan qabul qilingan elektron hujjat aylanishi qoidalari bilan belgilanadi.
Sahnaning joylashuvi: amaliy dasturiy ta'minot / kripto yadrosi.
3-bosqich. Imzolovchining vakolatini nazorat qilish.
Sahna mazmuni. Elektron hujjat aylanishining belgilangan qoidalariga muvofiq, imzolovchining himoyalangan ma'lumotlarni tasdiqlash huquqiga ega ekanligi tekshiriladi. Misol tariqasida hokimiyatni buzish holatini keltiramiz. Aytaylik, barcha xodimlarning elektron imzosi bo'lgan tashkilot bor. Ichki elektron hujjat aylanishi tizimi boshqaruvchidan buyruq oladi, lekin ombor boshlig'ining elektron imzosi bilan imzolanadi. Shunga ko'ra, bunday hujjat qonuniy deb hisoblanishi mumkin emas.
Sahnaning joylashuvi: amaliy dasturiy ta'minot.
Himoya ob'ektini tavsiflashda qilingan taxminlar
- Axborot uzatish kanallari, kalit almashinuv kanallari bundan mustasno, amaliy dasturlar, API va kripto yadrosi orqali ham o'tadi.
- Ochiq kalitlarga va (yoki) sertifikatlarga ishonch to'g'risidagi ma'lumotlar, shuningdek ochiq kalit egalarining vakolatlari to'g'risidagi ma'lumotlar ochiq kalitlar do'konida joylashgan.
- Ilova dasturiy ta'minoti kripto yadrosi orqali ochiq kalitlar do'koni bilan ishlaydi.
CIPF yordamida himoyalangan axborot tizimiga misol
Oldin taqdim etilgan diagrammalarni ko'rsatish uchun faraziy axborot tizimini ko'rib chiqamiz va undagi barcha strukturaviy elementlarni ajratib ko'rsatamiz.
Axborot tizimining tavsifi
Ikki tashkilot o'zaro yuridik ahamiyatga ega elektron hujjat aylanishini (EDF) joriy etishga qaror qilishdi. Buning uchun ular hujjatlar elektron pochta orqali uzatilishini va shu bilan birga ular shifrlangan va malakali elektron imzo bilan imzolanishi kerak bo'lgan shartnoma tuzdilar. Hujjatlarni yaratish va qayta ishlash vositalari sifatida Microsoft Office 2016 paketidagi ofis dasturlari, kriptografik himoya vositasi sifatida esa CIPF CryptoPRO va CryptoARM shifrlash dasturidan foydalanish kerak.
Tashkilot infratuzilmasining tavsifi 1
1-tashkilot CIPF CryptoPRO va CryptoARM dasturlarini foydalanuvchining ish stantsiyasiga - jismoniy kompyuterga o'rnatishga qaror qildi. Shifrlash va elektron imzo kalitlari olinadigan kalit rejimida ishlaydigan ruToken kalit muhitida saqlanadi. Foydalanuvchi o'z kompyuterida mahalliy elektron hujjatlarni tayyorlaydi, keyin ularni shifrlaydi, imzolaydi va mahalliy o'rnatilgan elektron pochta mijozi yordamida yuboradi.
Tashkilot infratuzilmasining tavsifi 2
Tashkilot 2 shifrlash va elektron imzo funktsiyalarini maxsus virtual mashinaga ko'chirishga qaror qildi. Bunday holda, barcha kriptografik operatsiyalar avtomatik ravishda amalga oshiriladi.
Buning uchun maxsus virtual mashinada ikkita tarmoq papkasi tashkil etilgan: "...In", "...Out". Ochiq shaklda kontragentdan olingan fayllar avtomatik ravishda "...In" tarmoq papkasiga joylashtiriladi. Ushbu fayllar shifrdan chiqariladi va elektron imzo tekshiriladi.
Foydalanuvchi shifrlanishi, imzolanishi va kontragentga yuborilishi kerak bo'lgan fayllarni "...Out" jildiga joylashtiradi. Foydalanuvchi o'z ish stantsiyasida fayllarni o'zi tayyorlaydi.
Shifrlash va elektron imzo funktsiyalarini bajarish uchun virtual mashinada CIPF CryptoPRO, CryptoARM dasturiy ta'minoti va elektron pochta mijozi o'rnatilgan. Virtual mashinaning barcha elementlarini avtomatik boshqarish tizim ma'murlari tomonidan ishlab chiqilgan skriptlar yordamida amalga oshiriladi. Skriptlarning ishi jurnal fayllariga kiritilgan.
Elektron imzo uchun kriptografik kalitlar olinmaydigan JaCarta GOST kaliti bo'lgan tokenga joylashtiriladi, foydalanuvchi uni mahalliy kompyuteriga ulaydi.
Token foydalanuvchining ish stantsiyasida va virtual mashinada o'rnatilgan maxsus USB-over-IP dasturidan foydalangan holda virtual mashinaga yo'naltiriladi.
1-tashkilotdagi foydalanuvchining ish stantsiyasidagi tizim soati qo'lda sozlanadi. Tashkilot 2da ajratilgan virtual mashinaning tizim soati gipervisor tizim soati bilan sinxronlashtiriladi, bu esa o'z navbatida Internet orqali umumiy vaqt serverlari bilan sinxronlashtiriladi.
CIPF ning strukturaviy elementlarini aniqlash
AT infratuzilmasining yuqoridagi tavsifiga asoslanib, biz CIPF ning strukturaviy elementlarini ajratib ko'rsatamiz va ularni jadvalga yozamiz.
Jadval - CIPF modeli elementlarining axborot tizimi elementlariga mos kelishi
Mavzu nomi
Tashkilot 1
Tashkilot 2
Amaliy dasturiy ta'minot
CryptoARM dasturi
CryptoARM dasturi
Kripto yadrosining dasturiy qismi
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
Kripto yadroli apparat
yo'q
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
Umumiy kalitlar doʻkoni
Foydalanuvchining ish stantsiyasi:
- qattiq disk;
- standart Windows sertifikatlari do'koni.
Gipervayzer:
- qattiq disk.
Virtual mashina:
- qattiq disk;
- standart Windows sertifikatlari do'koni.
Shaxsiy kalitlarni saqlash
ruToken kalit tashuvchisi olinadigan kalit rejimida ishlaydi
JaCarta GOST kalit tashuvchisi olinmaydigan kalit rejimida ishlaydi
Ochiq kalit almashish kanali
Foydalanuvchining ish stantsiyasi:
- Operativ xotira.
Gipervayzer:
- Operativ xotira.
Virtual mashina:
- Operativ xotira.
Shaxsiy kalit almashish kanali
Foydalanuvchining ish stantsiyasi:
- USB avtobus;
- Operativ xotira.
yo'q
Kripto yadrolari o'rtasida almashinuv kanali
etishmayotgan (kripto yadro uskunasi yo'q)
Foydalanuvchining ish stantsiyasi:
- USB avtobus;
- Operativ xotira;
— USB-over-IP dasturiy moduli;
- tarmoq interfeysi.
Tashkilotning korporativ tarmog'i 2.
Gipervayzer:
- Operativ xotira;
- tarmoq interfeysi.
Virtual mashina:
— tarmoq interfeysi;
- Operativ xotira;
— USB-over-IP dasturiy moduli.
Ma'lumotlar kanalini oching
Foydalanuvchining ish stantsiyasi:
— kiritish-chiqarish vositalari;
- Operativ xotira;
- qattiq disk.
Foydalanuvchining ish stantsiyasi:
— kiritish-chiqarish vositalari;
- Operativ xotira;
- qattiq disk;
- tarmoq interfeysi.
Tashkilotning korporativ tarmog'i 2.
Gipervayzer:
— tarmoq interfeysi;
- Operativ xotira;
- qattiq disk.
Virtual mashina:
— tarmoq interfeysi;
- Operativ xotira;
- qattiq disk.
Xavfsiz ma'lumotlar almashinuvi kanali
Internet.
Tashkilotning korporativ tarmog'i 1.
Foydalanuvchining ish stantsiyasi:
- qattiq disk;
- Operativ xotira;
- tarmoq interfeysi.
Internet.
Tashkilotning korporativ tarmog'i 2.
Gipervayzer:
— tarmoq interfeysi;
- Operativ xotira;
- qattiq disk.
Virtual mashina:
— tarmoq interfeysi;
- Operativ xotira;
- qattiq disk.
Vaqt kanali
Foydalanuvchining ish stantsiyasi:
— kiritish-chiqarish vositalari;
- Operativ xotira;
- tizim taymer.
Internet.
Tashkilotning korporativ tarmog'i 2,
Gipervayzer:
— tarmoq interfeysi;
- Operativ xotira;
- tizim taymer.
Virtual mashina:
- Operativ xotira;
- tizim taymer.
Buyruqlarni uzatish kanalini boshqarish
Foydalanuvchining ish stantsiyasi:
— kiritish-chiqarish vositalari;
- Operativ xotira.
(CryptoARM dasturining grafik foydalanuvchi interfeysi)
Virtual mashina:
- Operativ xotira;
- qattiq disk.
(Avtomatlashtirish skriptlari)
Ish natijalarini olish uchun kanal
Foydalanuvchining ish stantsiyasi:
— kiritish-chiqarish vositalari;
- Operativ xotira.
(CryptoARM dasturining grafik foydalanuvchi interfeysi)
Virtual mashina:
- Operativ xotira;
- qattiq disk.
(Avtomatlashtirish skriptlarining jurnal fayllari)
Yuqori darajadagi xavfsizlik tahdidlari
Izohlar
Tahdidlarni ajratishda qilingan taxminlar:
- Kuchli kriptografik algoritmlardan foydalaniladi.
- Kriptografik algoritmlar to'g'ri ishlash rejimlarida xavfsiz tarzda qo'llaniladi (masalan. katta hajmdagi ma'lumotlarni shifrlash uchun ishlatilmaydi, kalitdagi ruxsat etilgan yuk hisobga olinadi va hokazo).
- Hujumchilar ishlatiladigan barcha algoritmlar, protokollar va ochiq kalitlarni bilishadi.
- Buzg'unchilar barcha shifrlangan ma'lumotlarni o'qiy oladi.
- Buzg'unchilar tizimdagi har qanday dasturiy ta'minot elementlarini qayta ishlab chiqarishlari mumkin.
Parchalanish
U1. Shaxsiy kriptografik kalitlarning buzilishi.
U2. Qonuniy jo'natuvchi nomidan soxta ma'lumotlarni shifrlash.
U3. Ma'lumotlarning qonuniy qabul qiluvchisi bo'lmagan shaxslar (hujumchilar) tomonidan shifrlangan ma'lumotlarni dekodlash.
U4. Noto'g'ri ma'lumotlar ostida qonuniy imzolovchining elektron imzosini yaratish.
U5. Soxta ma'lumotlarning elektron imzosini tekshirishdan ijobiy natija olish.
U6. Elektron hujjat aylanishini tashkil etishdagi muammolar tufayli elektron hujjatlarni ijroga noto‘g‘ri qabul qilish.
U7. CIPF tomonidan qayta ishlash jarayonida himoyalangan ma'lumotlarga ruxsatsiz kirish.
U1. Shaxsiy kriptografik kalitlarning buzilishi
U1.1. Shaxsiy kalit do'konidan shaxsiy kalit olinmoqda.
U1.2. Kripto-asbobning vaqtincha yashashi mumkin bo'lgan operatsion muhitidagi ob'ektlardan shaxsiy kalitni olish.
Tushuntirishlar U1.2.
Shaxsiy kalitni vaqtincha saqlashi mumkin bo'lgan ob'ektlar quyidagilarni o'z ichiga oladi:
- Operativ xotira,
- vaqtinchalik fayllar,
- fayllarni almashtirish,
- kutish holatidagi fayllar,
- virtual mashinalarning "issiq" holatining suratlari, shu jumladan to'xtatilgan virtual mashinalarning RAM tarkibidagi fayllar.
U1.2.1. RAM modullarini muzlatish, ularni olib tashlash va keyin ma'lumotlarni o'qish (muzlatish hujumi) orqali ishlaydigan operativ xotiradan shaxsiy kalitlarni chiqarib olish.
Tushuntirishlar U1.2.1.
misol .
U1.3. Shaxsiy kalit almashish kanalidan shaxsiy kalitni olish.
Tushuntirishlar U1.3.
Ushbu tahdidni amalga oshirishga misol keltiriladi .
U1.4. Kripto yadrosini ruxsatsiz o'zgartirish, buning natijasida shaxsiy kalitlar tajovuzkorlarga ma'lum bo'ladi.
U1.5. Texnik ma'lumotlarning oqishi kanallaridan (TCIL) foydalanish natijasida shaxsiy kalitning buzilishi.
Tushuntirishlar U1.5.
misol .
U1.6. Ma'lumotni yashirincha olish uchun mo'ljallangan maxsus texnik vositalardan (STS) foydalanish natijasida shaxsiy kalitning buzilishi ("xatolar").
U1.7. CIPFdan tashqarida saqlash vaqtida shaxsiy kalitlarning buzilishi.
Tushuntirishlar U1.7.
Misol uchun, foydalanuvchi o'zining asosiy mediasini ish stoli tortmasida saqlaydi, ulardan tajovuzkorlar ularni osongina olishlari mumkin.
U2. Qonuniy jo'natuvchi nomidan soxta ma'lumotlarni shifrlash
Izohlar
Ushbu tahdid faqat jo'natuvchining autentifikatsiyasi bilan ma'lumotlarni shifrlash sxemalari uchun ko'rib chiqiladi. Bunday sxemalarga misollar standartlashtirish bo'yicha tavsiyalarda ko'rsatilgan . Boshqa kriptografik sxemalar uchun bu tahdid mavjud emas, chunki shifrlash qabul qiluvchining ochiq kalitlarida amalga oshiriladi va ular odatda tajovuzkorlarga ma'lum.
Parchalanish
U2.1. Yuboruvchining shaxsiy kalitini buzish:
U2.1.1. Havola: .
U2.2. Ochiq ma'lumotlar almashinuvi kanalida kirish ma'lumotlarini almashtirish.
Eslatmalar U2.2.
Ushbu tahdidni amalga oshirish misollari quyida keltirilgan. и .
U3. Ma'lumotlarning qonuniy qabul qiluvchisi bo'lmagan shaxslar (hujumchilar) tomonidan shifrlangan ma'lumotlarni dekodlash
Parchalanish
U3.1. Shifrlangan ma'lumotlarni qabul qiluvchining shaxsiy kalitlarini buzish.
U3.1.1 Havola: .
U3.2. Xavfsiz ma'lumotlar almashinuvi kanalida shifrlangan ma'lumotlarni almashtirish.
U4. Noto'g'ri ma'lumotlar ostida qonuniy imzolovchining elektron imzosini yaratish
Parchalanish
U4.1. Qonuniy imzolovchining elektron imzosining shaxsiy kalitlarini buzish.
U4.1.1 Havola: .
U4.2. Ochiq ma'lumotlar almashinuvi kanalida imzolangan ma'lumotlarni almashtirish.
Eslatma U4.2.
Ushbu tahdidni amalga oshirish misollari quyida keltirilgan. и .
U5. Soxta ma'lumotlarning elektron imzosini tekshirishdan ijobiy natija olish
Parchalanish
U5.1. Hujumchilar elektron imzoni tekshirishning salbiy natijasi to'g'risidagi ish natijalarini uzatish uchun kanaldagi xabarni ushlab, uni ijobiy natijali xabar bilan almashtiradilar.
U5.2. Hujumchilar sertifikatlarni imzolashda ishonchga hujum qiladilar (SCRIPT - barcha elementlar talab qilinadi):
U5.2.1. Hujumchilar elektron imzo uchun ochiq va maxfiy kalitni yaratadilar. Agar tizim elektron imzo kaliti sertifikatlaridan foydalansa, u holda ular xabarini qalbakilashtirishni istagan ma'lumotlarni jo'natuvchining sertifikatiga iloji boricha o'xshash elektron imzo sertifikatini yaratadilar.
U5.2.2. Buzg'unchilar ochiq kalitlar do'koniga ruxsatsiz o'zgartirishlar kiritib, ochiq kalitga kerakli darajadagi ishonch va vakolatlarni yaratadilar.
U5.2.3. Buzg'unchilar oldindan yaratilgan elektron imzo kaliti bilan noto'g'ri ma'lumotlarni imzolaydi va uni xavfsiz ma'lumot almashish kanaliga kiritadi.
U5.3. Hujumchilar qonuniy imzolovchining muddati o'tgan elektron imzo kalitlari yordamida hujumni amalga oshiradilar (SCRIPT - barcha elementlar talab qilinadi):
U5.3.1. Hujumchilar qonuniy jo'natuvchining elektron imzosining muddati o'tgan (hozirda yaroqsiz) shaxsiy kalitlarini buzishadi.
U5.3.2. Hujumchilar vaqtni uzatish kanalidagi vaqtni buzilgan kalitlar hali ham amalda bo'lgan vaqt bilan almashtiradilar.
U5.3.3. Buzg'unchilar noto'g'ri ma'lumotlarni avval buzilgan elektron imzo kaliti bilan imzolaydi va ularni xavfsiz ma'lumot almashish kanaliga kiritadi.
U5.4. Hujumchilar huquqni imzolagan shaxsning buzilgan elektron imzo kalitlari yordamida hujumni amalga oshiradilar (SCRIPT - barcha elementlar talab qilinadi):
U5.4.1. Buzg'unchi ochiq kalit do'konining nusxasini yaratadi.
U5.4.2. Buzg'unchilar qonuniy jo'natuvchilardan birining shaxsiy kalitlarini buzishadi. U murosaga e'tibor beradi, kalitlarni bekor qiladi va kalitni bekor qilish haqidagi ma'lumot ochiq kalitlar do'koniga joylashtiriladi.
U5.4.3. Buzg'unchilar ochiq kalitlar do'konini avvaldan ko'chirilgan bilan almashtiradilar.
U5.4.4. Buzg'unchilar noto'g'ri ma'lumotlarni avval buzilgan elektron imzo kaliti bilan imzolaydi va ularni xavfsiz ma'lumot almashish kanaliga kiritadi.
U5.5. <…> elektron imzoni tekshirishning 2 va 3-bosqichlarini amalga oshirishda xatolar mavjudligi sababli:
Tushuntirishlar U5.5.
Ushbu tahdidni amalga oshirish misoli keltirilgan .
U5.5.1. Elektron imzo kaliti sertifikatiga ishonchni CRL yoki OCSP tekshiruvlarisiz faqat u imzolangan sertifikatga ishonch mavjudligi bilan tekshirish.
Tushuntirishlar U5.5.1.
Amalga oshirish misoli .
U5.5.2. Sertifikat uchun ishonchli zanjirni qurishda sertifikat berish vakolatlari tahlil qilinmaydi
Tushuntirishlar U5.5.2.
SSL/TLS sertifikatlariga qarshi hujumga misol.
Hujumchilar o'zlarining elektron pochtalari uchun qonuniy sertifikat sotib olishdi. Keyin ular soxta sayt sertifikatini tayyorladilar va uni sertifikatlari bilan imzoladilar. Agar hisob ma'lumotlari tekshirilmasa, ishonch zanjirini tekshirishda u to'g'ri bo'lib chiqadi va shunga mos ravishda soxta sertifikat ham to'g'ri bo'ladi.
U5.5.3. Sertifikat ishonchli zanjirini qurishda oraliq sertifikatlar bekor qilish uchun tekshirilmaydi.
U5.5.4. CRLlar sertifikatlashtirish organi tomonidan chiqarilganidan kamroq tez-tez yangilanadi.
U5.5.5. Elektron imzoga ishonish to'g'risidagi qaror OCSPdan sertifikatning holati to'g'risida javob olishdan oldin qabul qilinadi, imzo yaratilgan vaqtdan kechroq yoki imzo yaratilgandan keyingi keyingi CRLdan oldinroq qilingan so'rov bo'yicha yuboriladi.
Tushuntirishlar U5.5.5.
Aksariyat CA qoidalarida sertifikatni bekor qilish vaqti sertifikatning bekor qilinganligi haqidagi ma'lumotlarni o'z ichiga olgan eng yaqin CRL berilgan vaqt hisoblanadi.
U5.5.6. Imzolangan ma'lumotlarni qabul qilishda sertifikat jo'natuvchiga tegishli ekanligi tekshirilmaydi.
Tushuntirishlar U5.5.6.
Hujumga misol. SSL sertifikatlariga nisbatan: chaqirilgan server manzilining sertifikatdagi CN maydoni qiymatiga mos kelishi tekshirilmasligi mumkin.
Hujumga misol. Hujumchilar to‘lov tizimi ishtirokchilaridan birining elektron imzo kalitlarini buzib tashlagan. Shundan so'ng, ular boshqa ishtirokchining tarmog'iga buzib kirishdi va uning nomidan to'lov tizimining hisob-kitob serveriga buzilgan kalitlar bilan imzolangan to'lov hujjatlarini jo'natishdi. Agar server faqat ishonchni tahlil qilsa va muvofiqlikni tekshirmasa, soxta hujjatlar qonuniy deb hisoblanadi.
U6. Elektron hujjat aylanishini tashkil etishdagi muammolar tufayli elektron hujjatlarni ijroga noto‘g‘ri qabul qilish.
Parchalanish
U6.1. Qabul qiluvchi tomon olingan hujjatlarning takrorlanishini aniqlamaydi.
Tushuntirishlar U6.1.
Hujumga misol. Hujumchilar qabul qiluvchiga uzatilayotgan hujjatni, hatto u kriptografik jihatdan himoyalangan bo‘lsa ham, ushlab qolishi va keyin uni xavfsiz ma’lumotlarni uzatish kanali orqali qayta-qayta yuborishi mumkin. Agar qabul qiluvchi dublikatlarni aniqlamasa, unda barcha olingan hujjatlar turli hujjatlar sifatida qabul qilinadi va qayta ishlanadi.
U7. CIPF tomonidan qayta ishlash jarayonida himoyalangan ma'lumotlarga ruxsatsiz kirish
Parchalanish
U7.1. <…> yon kanallar orqali ma'lumotlarning sizib chiqishi (yon kanal hujumi).
Tushuntirishlar U7.1.
misol .
U7.2. <…> CIPF-da qayta ishlangan ma'lumotlarga ruxsatsiz kirishdan himoyalanishni zararsizlantirish tufayli:
U7.2.1. CIPF ning CIPF hujjatlarida tavsiflangan talablarni buzgan holda ishlashi.
U7.2.2. <…>, quyidagilarda zaifliklar mavjudligi sababli amalga oshiriladi:
U7.2.2.1. <…> ruxsatsiz kirishdan himoya qilish vositalari.
U7.2.2.2. <…> CIPFning o'zi.
U7.2.2.3. <…> kripto-vositaning ishlash muhiti.
Hujumlarga misollar
Quyida muhokama qilingan stsenariylar axborot xavfsizligi xatolarini o'z ichiga oladi va faqat mumkin bo'lgan hujumlarni tasvirlash uchun xizmat qiladi.
Stsenariy 1. U2.2 va U4.2 tahdidlarini amalga oshirish misoli.
Ob'ektning tavsifi
AWS KBR dasturiy ta'minoti va CIPF SCAD Signature kompyuter tarmog'iga ulanmagan jismoniy kompyuterga o'rnatilgan. FKN vdToken olinmaydigan kalit bilan ishlash rejimida kalit tashuvchi sifatida ishlatiladi.
Hisob-kitob qoidalariga ko'ra, hisob-kitob bo'yicha mutaxassis o'z kompyuteridan aniq matnli elektron xabarlarni (eski KBR ish stantsiyasining sxemasi) maxsus xavfsiz fayl serveridan yuklab oladi, so'ngra ularni uzatiladigan USB flesh-diskiga yozadi va ularni KBR ish stantsiyasiga o'tkazadi, qaerda ular shifrlangan va belgilar. Shundan so'ng, mutaxassis xavfsiz elektron xabarlarni begonalashtirilgan vositaga o'tkazadi, so'ngra o'zining ishchi kompyuteri orqali ularni fayl serveriga yozadi, u erdan UTA ga, keyin esa Rossiya Bankining to'lov tizimiga o'tadi.
Bunday holda, ochiq va himoyalangan ma'lumotlarni almashish uchun kanallar quyidagilarni o'z ichiga oladi: fayl serveri, mutaxassisning ishchi kompyuteri va begonalashtirilgan ommaviy axborot vositalari.
Ataka
Ruxsatsiz tajovuzkorlar mutaxassisning ish kompyuteriga masofadan boshqarish tizimini o'rnatadilar va to'lov topshiriqlarini (elektron xabarlarni) o'tkazuvchan vositaga yozish vaqtida ulardan birining mazmunini aniq matn bilan almashtiradilar. Mutaxassis to'lov topshiriqnomalarini KBR avtomatlashtirilgan ish joyiga o'tkazadi, ularni almashtirishni sezmasdan imzolaydi va shifrlaydi (masalan, parvozda to'lov topshiriqnomalarining ko'pligi, charchash va h.k.). Shundan so'ng, texnologik zanjirdan o'tib, soxta to'lov topshirig'i Rossiya Bankining to'lov tizimiga kiradi.
Stsenariy 2. U2.2 va U4.2 tahdidlarini amalga oshirish misoli.
Ob'ektning tavsifi
KBR, SCAD Signature va ulangan kalit tashuvchisi FKN vdToken o'rnatilgan ish stantsiyasiga ega kompyuter maxsus xonada xodimlar kirishisiz ishlaydi.
Hisoblash bo'yicha mutaxassis RDP protokoli orqali masofaviy kirish rejimida CBD ish stantsiyasiga ulanadi.
Ataka
Hujumchilar tafsilotlarni tutib olishadi, ular yordamida hisob-kitob mutaxassisi CBD ish stantsiyasiga ulanadi va ishlaydi (masalan, uning kompyuteridagi zararli kod orqali). Keyin ular uning nomidan ulanishadi va Rossiya Banki to'lov tizimiga soxta to'lov topshirig'ini yuborishadi.
Stsenariy 3. Tahdidni amalga oshirish misoli U1.3.
Ob'ektning tavsifi
Yangi sxema (AWS KBR-N) uchun ABS-KBR integratsiya modullarini amalga oshirishning faraziy variantlaridan birini ko'rib chiqaylik, unda chiquvchi hujjatlarning elektron imzosi ABS tomonida joylashgan. Bunday holda, biz ABS CIPF SKAD Signature tomonidan qo'llab-quvvatlanmaydigan operatsion tizim asosida ishlaydi deb taxmin qilamiz va shunga mos ravishda kriptografik funksiya alohida virtual mashinaga - "ABS-KBR" integratsiyasiga o'tkaziladi. modul.
Kalit tashuvchisi sifatida olinadigan kalit rejimida ishlaydigan oddiy USB token ishlatiladi. Kalit mediani gipervisorga ulashda tizimda bo'sh USB portlari yo'qligi ma'lum bo'ldi, shuning uchun USB tokenini tarmoq USB hubi orqali ulash va virtual kompyuterga USB orqali IP mijozini o'rnatishga qaror qilindi. markaz bilan aloqa qiladigan mashina.
Ataka
Hujumchilar elektron imzoning shaxsiy kalitini USB hub va gipervizor o'rtasidagi aloqa kanalidan tutib olishdi (ma'lumotlar aniq matnda uzatildi). Maxfiy kalitga ega bo'lgan tajovuzkorlar soxta to'lov topshirig'ini yaratdilar, uni elektron imzo bilan imzoladilar va KBR-N avtomatlashtirilgan ish joyiga bajarish uchun yubordilar.
Stsenariy 4. Tahdidlarni amalga oshirishga misol U5.5.
Ob'ektning tavsifi
Oldingi stsenariyda bo'lgani kabi bir xil sxemani ko'rib chiqaylik. Faraz qilamizki, KBR-N ish stantsiyasidan kelayotgan elektron xabarlar …SHAREIn papkasida, KBR-N ish stantsiyasiga va keyinchalik Rossiya Bankining to'lov tizimiga yuborilganlar esa …SHAREout papkasiga tushadi.
Shuningdek, integratsiya modulini amalga oshirishda bekor qilingan sertifikatlar ro‘yxati faqat kriptografik kalitlar qayta chiqarilganda yangilanadi, shuningdek, …SHAREIn papkasida qabul qilingan elektron xabarlar faqat ochiq kalitda yaxlitlik va ishonch nazorati uchun tekshiriladi, deb taxmin qilamiz. elektron imzo.
Ataka
Hujumchilar avvalgi stsenariyda o‘g‘irlangan kalitlardan foydalanib, firibgar mijozning hisob raqamiga pul tushganligi haqidagi ma’lumotlarni o‘z ichiga olgan soxta to‘lov topshiriqnomasini imzolagan va uni xavfsiz ma’lumotlar almashinuvi kanaliga kiritgan. To'lov topshirig'i Rossiya Banki tomonidan imzolanganligini tekshirish yo'qligi sababli, u ijro uchun qabul qilinadi.
Manba: www.habr.com