Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных






НазваниеVii международная научно-практическая конференция студентов, аспирантов и молодых учёных
страница6/50
Дата публикации28.03.2015
Размер3.69 Mb.
ТипДокументы
e.120-bal.ru > Информатика > Документы
1   2   3   4   5   6   7   8   9   ...   50

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ




ВЫЯВЛЕНИЕ ДЕЙСТВИЙ ПО НЕСАНКЦИОИРОВАННОМУ ДОСТУПУ К ЭЛЕМЕНТАМ ДБО


Бурлуцкий Николай Андреевич

Студент

f_l_o_c_k@mail.ru

Савельев Иван Андреевич

к.т.н., доцент

Финансовый Университет при Правительстве РФ

Россия, г. Москва

Savelev_rudn@mail.ru
Аннотация. Проводится анализ защищенности элементов дистанционного банковского обслуживания, в частности, периферийного устройства процессингового центра. Построенные модели угроз и модели нарушителя имеют хороший потенциал для реализации превентивных мер в области информационной безопасности.

Ключевые слова: дистанционное банковское обслуживание, процессинговый центр, экспертные оценки, вычисление приоритетов.

Введение

Развитие экономических процессов в России идет в неразрывной связи с развитием компьютерно-информационных технологий, в том числе и в сфере дистанционного банковского обслуживания. Количество преступлений, связанных с использованием периферийных устройств (ПУ) процессингового центра, возрастает пропорционально их распространению на предприятиях торговли, в офисах и банках.

Несмотря на реализацию превентивных мер, например, таких как, шифрование данных, установка камер наблюдения, сигнализаций не дают высоких результатов, и статистика кражи информации с ПУ не снижаются.

Современный банкомат вполне надежно защищен и от воздействия внешней силы, и от хакерских угроз, но разнообразные попытки взлома устройств для выдачи наличных не прекращаются. Статистика свидетельствует, что физические ограбления банкоматов значительно опережают преступления в банковской сфере в условиях дистанционного банковского обслуживания (ДБО) взаимодействия, при сетевых транзакциях, по сумме наносимого ущерба. Случаи взлома и хищения банкоматов ежедневно попадают в криминальные сводки.

В 2013 г. компания Verizon Business опубликовала очередной отчет о компрометации данных «2010 Data Breach Investigations Report». В основу исследования, проведенного подразделением Verizon RISK Team совместно с United States Secret Service, легли данные за последние 6 лет о более чем 900 взломах различных автоматизированных систем и свыше 900 млн скомпрометированных элементов данных (compromised records).

Целью данной работы является анализ угроз несанкционированного доступа (НСД) к периферийному устройству процессингового центра для выявления наиболее опасных. Для этого необходимо решить следующие задачи:

  1. Провести анализ защищенности ДБО;

  2. Определить уязвимости программных и аппаратных составляющих ПУ;

  3. Построить модель угроз и модель злоумышленника.

  4. Выявить приоритетные уровни угроз ПУ.

Защищенность ДБО

Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей. Одним из элементов ДБО является ATM-banking, на примере которого будут рассматриваться угрозы НСД. [2]

ПУ или автоматическая кассовая машина (automated teller machine — ATM), предназначена:

  • для выдачи и приема наличных денежных средств;

  • для составления документов по операциям с использованием банковских карт;

  • для выдачи информации по счету;

  • осуществления безналичных платежей и т.д.

Основная функция ПУ процессингового центра состоит в выдаче наличных денег. Помимо этого, возможны автоматизированные услуги клиенту:

  • ведение кассового баланса по банковскому счету;

  • депозитное обслуживание — прием вкладов;

  • проведение внешних платежей с печатью платежных документов;

  • удаленное кредитование карточки с лицевого счета на карточный субсчет.

Обязательным элементом каждого ПУ процессингового центра являются:

- IBM-совместимый компьютер с многозадачной операционной системой;

- специальное или комбинированное устройство считывания магнитных, оптических или интеллектуальных карточек; устройство выдачи купюр. [1]

ПУ оснащено процессором, дисплеем, клавиатурой и устройством чтения карт ( ридером), предназначенным для считывания информации с карточки. Для идентификации пользователя карточка помещается в ридер, и с клавиатуры вводится персональный идентификационный номер (ПИН-код), после чего ПУ проводит сеанс авторизации и при успешном его завершении выдает наличные.

Задачи ПУ

Вследствие большого разнообразия команд, обрабатываемых компьютером банкомата, различны и задачи, которые решаются в многозадачном режиме:

  • распознавание банковских карт разных платежных систем;

  • постоянный автоматический контроль всех внутренних и внешних соединений;

  • обработка сигналов от большого числа датчиков;

  • анализ процесса выдачи купюр;

  • реакция на различные механические воздействия;

  • регистрация факта изъятия денег или «забывчивости» клиента;

  • авторизация и проверка правильности введенных паролей.

Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:

• экспертные оценки;

• статистические данные;

• учет факторов, влияющих на уровни угроз и уязвимостей. [3]





Объекты

Уязвимости

1

2

3

4

5

1

ДБК

Потеря БК

Сообщение PIN-кода третьим лицам

Потеря БК вместе с PIN-кодом

Смена PIN-кода на заведомо слабый

Хранение PIN-кода вместе с БК

2

ДБК + БК

Передача БК третьим лицам

Использование БК не по назначению

Сообщение номера БК (PAN но- мера карты) третьим лицам

Сообщение кодов подтверждения / отмены транзакций по БК третьим лицам

Сообщение кодов CVV2,СVC27 третьим лицам

3

БК

Размагничивание данных, хранимых на магнитной полосе БК


Физическое повреждение поверхности БК


Ограниченный срок эксплуатации БК вследствие «слабого» принципа хранения данных

Изменение данных, хранимых на магнитной полосе БК


Отсутствие подписи ДБК на БК


4

БК + ПУ

Скимминговое устройство считывания БК


Накладная клавиатура ввода PIN кода

Видео наблюдение процесса аутентификации – ввода PIN кода БК


Подслушивание нажатий клавиш PIN клавиатуры


Подглядывание процесса аутентификации ввода PIN кода БК


5

ПУ

Подмена терминала


Перехват управления терминалом


Замена устройства считывания БК


Замена клавиатуры ввода PIN кода


Перевод клавиатуры ввода PIN кода в небезопасный режим работы


6

ПУ + ПЦ

Атака типа «Man in the middle»


Атака типа “Replay»


Небезопасная/ устаревшая технология передачи ключей шифрования


Использование не криптостойких ключей шифрования


Использование не сертифицированного шифрующего оборудования


7

ПЦ

Небезопасная передача PIN кода и БК к ДБК


Небезопасная технология первичного ввода ключей шифрования


Небезопасная/ не сертифицированная технология смены ключей шифрования


Не регламентированные интервалы смены ключей шифрования


Уязвимости в физических моду- лях безопасности –HSM


Таблица 1. Соотношения уязвимостей к объектам.
Модель нарушителя

Для обеспечения информационной безопасности в автоматизированных системах управления, построения эффективной системы защиты информации, не достаточно выявить каналы утечки информации, проанализировать возможные угрозы, последствия их реализации и оценить потери. Нужно еще хорошо представлять облик нарушителя.

Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или осознанно использующее для этого различные возможности, методы и средства.

Как правило, при построении модели нарушителя выделяют внутренних и внешних нарушителей, а также учитывают:

–      наличие у нарушителей доступа к штатным средствам (совокупность программного, микропрограммного и технического обеспечения);

–      уровень знаний нарушителей об объектах атак;

–      уровень профессиональной подготовки нарушителей;

–      возможность использования нарушителями различных средств для проведения атак;

–      преследуемые нарушителями цели;

–      возможный сговор нарушителей разных категорий.

На основании предложенных классификационных признаков модель нарушителя будет представлена шестью категориями нарушителей.

1. Субъекты, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к АС. Могут воздействовать на физический уровень стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации или самоутверждения. При этом используют технические средства перехвата без модификации компонентов системы (пассивные средства атак).

2. Зарегистрированные пользователи АС, осуществляющие ограниченный доступ к ресурсам АС с рабочего места. Могут воздействовать на физический, транспортный и прикладной уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации, самоутверждения или случайно. При этом используют технические средства перехвата без модификации компонентов системы (пассивные средства атак), а также штатные средства и недостатки систем защиты для ее преодоления.

3. Зарегистрированные пользователи АС, осуществляющие удаленный доступ к АС по локальным и (или) распределенным каналам передачи данных. Могут воздействовать на физический, сетевой, транспортный и прикладной уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации, самоутверждения или случайно. При этом используют технические средства перехвата без модификации компонентов системы (пассивные средства атак), а также штатные средства и недостатки систем защиты для ее преодоления.

4. Зарегистрированные пользователи с полномочиями системного администратора АС. Могут воздействовать на все уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации, а также с целью вывода из строя АС. При этом используют все средства атак. Возможен сговор с нарушителями пятой и шестой категорий. Не имеют доступа к средствам защиты информации и протоколирования и к части ключевых элементов АС.

5. Внешние нарушители, которыми являются субъекты, осуществляющие воздействие за пределами контролируемой зоны. Могут воздействовать на все уровни с целью хищения информации, самоутверждения, а также вывода из строя АС. При этом используют методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

6. Разработчики прикладного ПО и технических средств и лица, обеспечивающие их поставку, сопровождение и ремонт на защищаемом объекте. Могут воздействовать на все уровни стека протоколов TCP/IP, уровень вредоносного воздействия, уровень технических каналов, уровень закладных устройств с целью хищения информации, а также вывода из строя АС. При этом используют все средства атак. Могут вступать в сговор с нарушителями четвертой и пятой категорий, а также вносить ошибки, программные закладки, вредоносные программы в ПО и технические средства АС и имеют недекларированные возможности.

При построении модели угроз предлагается классифицировать угрозы, источником которых является нарушитель, в соответствии с уровнями воздействия нарушителей, что позволит упростить процедуру взаимодействия моделей угроз и нарушителей, необходимую для построения перечня актуальных угроз.

На основании полученных от модели угроз данных (уровни воздействия нарушителей, на которых существуют угрозы, перечень угроз) осуществляется соотношение угроз с возможностями нарушителя той или иной категории.

Перечень угроз, классифицированных в соответствии с уровнями воздействия нарушителей, представляется в следующем виде: {Уi, L1, L2, L3, L4, L5, L6, L7, L8, L9}, i=[1; N], где N – количество актуальных угроз; Lj – флаг для обозначения j-го уровня воздействия нарушителей, для которого актуальна Уi угроза, j=[1; 9]; L9 – уровень закладных устройств; L8 – уровень системы защиты информации; L7 – уровень технических каналов; L6 – прикладной уровень эталонной модели TCP/IP; L5 – транспортный уровень эталонной модели TCP/IP; L4 – сетевой уровень эталонной модели TCP/IP; L3 – канальный уровень эталон- ной модели TCP/IP; L2 – физический уровень эталонной модели TCP/IP; L1 – уровень вредоносного воздействия.

Методика определения категории нарушителя в общем случае сводится к следующему алгоритму.

1.     Выбирается признак классификации из множества L=(L1, L2, L3, L4, L5, L6, L7, L8, L9).

2.     По значению выбранного j-го признака множество угроз Уi разбивается на подмножества Уij.

3.     Формируется вектор l существования актуальных угроз j-му уровню воздействия нарушителя по следующему правилу: j-й элемент вектора l равен единице, если |Уij|>0, и нулю в ином случае.

4.     С помощью вектора l определяется максимальная категория нарушителя в соответствии с таблицей, начиная с нарушителя первой категории (Н1).
Алгоритм определения наиболее уязвимых каналов по методу Саатиснимок экрана 2014-11-21 в 21

Существует множество процессов и явлений, количественная информация для характеристики которых отсутствует или очень быстро изменяется. В этом случае используются методы экспертных оценок, сущность которых заключается в том, что в основу прогноза закладывается мнение специалиста, основанное на профессиональном, научном и практическом опыте. На основании метода Саати и метода экспертных оценок по указанному алгоритму (рис. 1) получаем следующие данные, оформленные в таблице 2. [4,5] Рис. 1.

Категория

Уровни

L1

L2

L3

L4

L5

L6

L7

L8

L9

Вес

Приоритет

H1

2,5

2,5

2,5

2,5

2,5

2,5

0

0

0

0.06

0.9

H2

0

5

7,5

5

5

7,5

5

5

7,5

0.16

7.6

H3

0

5

7,5

5

5

7,5

5

5

7,5

0,25

11.9

H4

7,5

5

5

7,5

10

2,5

5

2,5

7,5

0.4

21

H5

0

2,5

2,5

2,5

2,5

2,5

2,5

0

0

0.1

1.5

H6

2,5

0

0

0

0

0

0

0

0

0.04

0.04

Вес

0. 018

0.072

0.109

0.163

0.294

0.036

0.05

0.024

0.23







Приоритет

0.27

1.26

2.18

3.26

5.88

0.63

0.75

0.24

3.45







Таблица 2. Значения приоритетов угроз безопасности

Таким образом, по методу Саати наименее защищенным, а в следствие самым уязвимым, оказался транспортный уровень; а среди категории нарушителей – инсайдер с правами доступа уровня администратора. Именно они имеют преимущества по сравнению с другими вариантами по всем интегральным признакам, а так же имеют самые большие весовые коэффициенты.

Заключение

В рамках анализа уязвимостей, задача обеспечения безопасности элементов ДБО является многогранной, а ее комплексное решение требует тщательной проработки всех деталей от логической организации до фактической реализации.

Весь комплекс мер, направленных на обеспечение сетевой безопасности, можно условно разделить на несколько уровней:

• сетевой уровень;

• транспортный уровень;

• уровень приложений.

Каждый из перечисленных уровней может пересекаться с другим в некоторой области или быть полностью интегрирован в него. Поэтому в данном контексте разделение довольно условное, поскольку известны системы, где практически все перечисленные выше уровни являют собой единый неделимый комплекс.

Литература

  1. Лыньков Л.М., Петров А.Ю., Подельщикова Г.В., Прудник А.М. Основные банковские операции и обеспечение безопасности: Учеб. пособие. – Минск.: БГУИР, 2002. – 66 с.

  2. https://ru.wikipedia.org/wiki/Дистанционное_банковское_обслуживание

  3. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность. М.: Компания АйТи; ДМК Пресс, 2005. – 485 с.

  4. Саати Т. Принятие решений. Метод анализа иерархий. - М.: Радио и связь, 1993.

  5. Андронов, А.М., Копытов, Е.А., Гринглаз, Л.Я. Теория вероятностей и математическая статистика: учебник. - СПб.: Питер, 2004. - 461с.



1   2   3   4   5   6   7   8   9   ...   50

Похожие:

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І международная научно-практическая конференция для студентов,...
Хі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І і международная научно-практическая конференция для студентов,...
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І і международная научно-практическая конференция для студентов,...
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І і международная научно-практическая конференция для студентов,...
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconРассказов Д. А. 21
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconМосковский государственный
Международная межвузовская научно-практическая конференция студентов, магистрантов, аспирантов и молодых учёных

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconМосковский государственный
Международная межвузовская научно-практическая конференция студентов, магистрантов, аспирантов и молодых учёных

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных icon«психология и педагогика в современном мире: вызовы и решения» (01. 02. 2014 г.) г. Москва 2013
Международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных icon«современные концепции экономической теории и практики: новые пути исследований и развития»
Международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных icon«психология и педагогика в современном мире: вызовы и решения» (13. 12. 2013 г.) г. Москва 2013
Международная научно-практическая конференция для студентов, аспирантов и молодых ученых






При копировании материала укажите ссылку © 2016
контакты
e.120-bal.ru
..На главную