Определение атаки на отказ от обязательств
Эта атака направлена против возможности идентификации информации, другими словами, это попытка дать неверную информацию о реальном событии или транзакции.
Маскарад
Маскарад - это выполнение действий под видом другого пользователя или другой системы. Такая атака реализуется при связи через персональные устройства, при осуществлении финансовых операций или при передаче информации от одной системы к другой.
DoS-атаки против интернета
Целью DoS-атак обычно является отдельная компьютерная система или линия связи, но иногда они направлены против всего интернета! В 2002 г. произошла атака на серверы корневых имен интернета. Они были буквально "завалены" запросами на разрешение имен. Запросов было так много, что некоторые компьютеры вышли из строя. Но атака не имела полного успеха, так как многие серверы не потеряли работоспособность, и интернет продолжал функционировать. Если бы удалось вывести из строя все серверы, то интернет стал бы недоступным по большинству разрешенных имен.
Отрицание события
Отрицание события - это отказ от факта совершения операции. Например, человек делает покупку в магазине при помощи кредитной карты. Когда приходит счет, он заявляет компании, предоставившей ему кредитную карту, что никогда не делал этой покупки.
Как выполняются атаки на отказ от обязательств
Атаки выполняются по отношению к информации, хранящейся в виде бумажных документов или в электронном виде. Сложность реализации атаки зависит от мер предосторожности, принятых в организации.
Документы
Злоумышленник выдает себя за другого человека, используя чужие документы. Это легче делать, если документ напечатан, а не написан от руки.
Злоумышленник отрицает факт свершения сделки. Если на контракте или квитанции кредитной карты имеется подпись, он заявит, что это не его подпись. Естественно, планируя такую атаку, он постарается, чтобы подпись выглядела неправдоподобно.
Информация в электронном виде
Атаки на отказ от обязательств выполняются гораздо успешнее, если информация представлена в электронном виде.
Ведь электронный документ может создать и отправить кто угодно. В поле "от" ("from") адреса электронной почты легко изменить имя отправителя, подлинность которого не проверяется службой электронной почты.
Это справедливо и для информации, передаваемой компьютерными системами. Система может назначить себе любой IP-адрес и замаскироваться под другую систему.
Примечание
Мы привели упрощенный пример. Система сможет назначить IP-адрес другой системы, если находится в том же самом сегменте сети. В интернете сделать подобную замену очень сложно, так как это не позволит установить подключение.
В электронной среде гораздо легче отрицать факт свершения какого-либо события, ведь на цифровых документах и квитанциях кредитной карты нет рукописной подписи.
Если документ не имеет цифровой подписи (см. в лекции 12), то невозможно доказать его принадлежность определенному человеку. Но даже если подпись имеется, всегда можно сказать, что она украдена или что раскрыт пароль, защищающий ключ. Таким образом, очень трудно связать конкретного человека с конкретным событием - намного легче отрицать это.
В электронной среде легче отказаться от выполнения операции с кредитной картой, ведь на ней нет подписи, совпадающей с подписью ее владельца. Некоторые доказательства можно поискать, если товары отправлены по адресу владельца кредитной карты. А если их отправили в другое место? Как доказать, что владелец кредитной карты и есть тот человек, который купил товар?