Атаки «салями». Атаки такого рода более всего характерны для систем, работающими с денежными счетами или чеками. Естественно, что наибольшую опасность они представляют именно для банков, но при некотором не затруднительном видоизменении могут быть применены в кассовых системах торговых предприятий или даже в почтовых отделениях, принимающих платежи от населения за коммунальные или другие услуги.
Принцип атак «салями» построен на том факте, что при обработке счетов используются целые единицы (центы, копейки, рубли и т. д.), а при начислении процентов или при расчете уплат при приобретении множества товаров нередко получаются дробные суммы.
Например, 6,5 % годовых от 102, 87 $ за 31 день составит 0, 5495726 $. Любая банковская система округлит эту сумму до 0,55 $. Однако, если пользователь имеет доступ к банковским счетам, или программам их обработки, он может округлить ее в другую сторону – 0, 54 $, а разницу в 1 цент записать на свой счет. Владелец счета вряд ли ее заметит, а если и обратит внимание, то спишет ее на погрешности обработки и не придаст значения. Злоумышленник же получит прибыль в один цент. При обработке 1000 счетов в день его прибыль составит 100 $, т. е. примерно 30 000 $ в год. Но многие банки, или учреждения, работающие с приемом денег обрабатывают еще большее количество счетов в день.
Отсюда и происходит название таких атак – как колбаса салями изготавливается из небольших частей разных сортов мяса, так и счет злоумышленника пополняется за счет различных вкладчиков. Если «доход» злоумышленника составляет 50– 100 $ в день, то для него имеет смысл рисковать. Таким образом, атаки «салями» опасны в основном для крупных банков и других финансовых организаций.
Успех таких атак зависит не от величины сумм, так как для любого счета погрешность атаки одинакова, а от количества счетов (или операций). Таким образом, причинами атак «салями» являются, во-первых, погрешности выполнений, позволяющие трактовать правила округления в ту или иную сторону, а во-вторых, огромные объемы вычислений. Атаки «салями» довольно трудно распознаются, если только злоумышленник не начинает накапливать на одном счете крупные суммы. Остатки денег в кассах торговых учреждений не перечисляются автоматически на счет в банке (они могут просто присваиваться кассиром), потому контроль таких ситуаций должен быть тщательно продуман инженерами безопасности. Необходимо обеспечивать целостность и корректность прикладных программ, периодически выполнять проверочные расчеты с помощью программ, правильность которых не вызывает сомнений.