Автор: Gdsf | 93006 | 12.05.2018 20:30 |
Вот пример угрозы из БДУ ФСТЭК:
УБИ №8: Угроза восстановления аутентификационной информации Угроза заключается в возможности подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе. Источник: Внешний нарушитель с низким потенциалом Объект воздействия №1: Системное программное обеспечение Объект воздействия №2: микропрограммное обеспечение Объект воздействия №3: учётные данные пользователя Как ее прочесть для каждого объекта воздействия? Я предполагаю что читать надо как-то так: если на объект воздействия 1 совершить атаку в соответствии с угрозой 1, то у защищаемой информации нарушатся следующие свойства: конфа, целостность, доступность Если учесть, что защищаемая информация в нашем случае это аутентификационная информация, то получаются следующие варианты прочтения данной угрозы: для 1 объекта: если на "системное программное обеспечение" совершить атаку в соответствии с угрозой "подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе", то у аутентификационной информации нарушатся следующие свойства: конфа, целостность, доступность для 2 объекта: если на "микропрограммное обеспечение" совершить атаку в соответствии с угрозой "подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе", то у аутентификационной информации нарушатся следующие свойства: конфа, целостность, доступность для 3 объекта: если на "учётные данные пользователя" совершить атаку в соответствии с угрозой "подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе", то у аутентификационной информации (учетных данных) нарушатся следующие свойства: конфа, целостность, доступность В третьем случае получается какой-то бред. Что я не правильно делаю: может я не правильно понимаю что есть защищаемые данные? |
Автор: malotavr | 93007 | 13.05.2018 01:41 |
Вы прям заставляете прокачивать скилл чтения мыслей, ибо что именно имели в виду авторы, ведомо только им одним.
Судя по формулировкам ("время подбора ... определяется ... объёмом ... хеш-кода", "могут быть получены одинаковые результаты – хеш-коды"), они имели в виду восстановлении пароля по его хеш-значению. Восстановление может быть интерактивным (последовательными попытками аутентификации, тогда объект воздействия - программа, точнее - вычислительный процесс на ее основе) или поиском уже рассчитанного хеш-значения в Радужных таблицах (тогда объекта воздействия, строго говоря, нет, но можно считать им само восстанавливаемое хеш-значение, то бишь "учетные данные"). В любом случае, читать угрозы нужно следующим образом: 1. Просматриваем перечень угроз и выкидываем те, что заведомо не подходят 2. Берем угрозу, которая, судя по названию, потенциально может быть актуальной и пытаемся понять, какой способ ее реализации авторы имели в виду. Если ваша субъективная оценка описания варьируется от "непонятно" до "лютый бред", угрозу выкидываем. 3. Угрозы, описание которых вам понятны и которые вы считаете актуальными, включаем в моель угроз. 4. Самостоятельно формулируем недостающие угрозы, придерживаясь того стиля описания, который использован в БДУ. |
Автор: oko | 93015 | 13.05.2018 11:13 |
*в сторону*
При брут-форсе (по словарю, по хэш, иначе) "доступность" и "целостность" не могут нарушаться! Потому что не оказывается воздействий на конечный объект (нарушитель только узнает требуемую ИОД, т.е. нарушает "конфиденциальность", а не искажает ее и не блокирует доступ к ней)... Другой вопрос, если подобная атака влечет за собой срабатывание защитного механизма (например, блокировка доступа после N неверных попыток). Но авторами БДУ такая ситуация вряд ли рассматривалась (судя по формулировке), ага... |
Автор: Gdsf | 93016 | 13.05.2018 11:21 |
to malotavr
"Судя по формулировкам ("время подбора ... определяется ... объёмом ... хеш-кода", "могут быть получены одинаковые результаты – хеш-коды"), они имели в виду восстановлении пароля по его хеш-значению. Восстановление может быть интерактивным (последовательными попытками аутентификации, тогда объект воздействия - программа, точнее - вычислительный процесс на ее основе) или поиском уже рассчитанного хеш-значения в Радужных таблицах (тогда объекта воздействия, строго говоря, нет, но можно считать им само восстанавливаемое хеш-значение, то бишь "учетные данные")." Хм, а что же в таком случае будет выступать защищаемой информацией: учетные данные? |
Автор: Dfg | 93022 | 13.05.2018 14:29 |
Автор: oko | 93026 | 13.05.2018 18:13 |
to Dfg
А я по части конфиденциальности апеллировал не к БДУ. К БДУ был опус про доступность и целостность при блокировке атаки, ага... |
Автор: malotavr | 93447 | 16.05.2018 23:10 |
> Хм, а что же в таком случае будет выступать защищаемой информацией: учетные данные?
В своих моделях угроз я пишу "получение несанкционированного доступа к информационной системе от имени зарегистрированного пользователя путем подбора его идентификатора и пароля" :) Т.е. защищаемая информация - та, что в ИС, а учетные данные - это атрибуты безопасности, слабость которых позволяет реализовать угрозу. Т.е. то, что в УБИ.8 названо угрозой, с моей точки зрения - один из способов реализации совсем другой угрозы. |
Автор: Gdsf | 93479 | 18.05.2018 00:06 |
to malotavr
Я тоже так решил делать, цель - защищаемая информация, та, что обрабатывается в ИС, а то что для нее используется другая информация (учетные данные), так это просто вектор реализации угрозы, перевалочный пункт, посредством которого достигают цели. |
Автор: oko | 93480 | 18.05.2018 01:59 |
to Gdsf
Верно лишь отчасти. Никто никогда идентификаторы (аутентификаторы) наравне с полноценной ИОД не ставил, но... Если дверь банковского сейфа - единственный рубеж для грабителя, то ключ от этой двери должен стоить весьма дорого... *в сторону* С другой стороны, такие нюанс - чистой воды перфекционизм. Эх, когда-нибудь у меня дойдут руки до подобной четко выверенной и идеальной модели. Когда-нибудь, ага... |
Просмотров темы: 5762