ecdl m1 - predavački priručnik · it-sigurnost (f400) 4 pohr obrada podataka sastavni je dio...

Priručnik za ča © 2014 Srce

IT-sigurnost Windows 7

F400

priručnik za polaznike © 2015 Srce

Ovaj priručnik izradio je autorski tim u sastavu:

Autori: dr. sc. Maja Ćukušić, dr. sc. Mario Jadrić

Recenzent: Kruno Golubić

Urednica: Irena Jandrić

Lektorica: dr. sc. Jasna Novak Milić

Sveučilište u Zagrebu

Sveučilišni računski centar

Josipa Marohnića 5, 10000 Zagreb

[email protected]

ISBN 978-953-7138-63-9 (meki uvez)

ISBN 978-953-7138-64-6 (PDF)

Verzija priručnika: F400-20151210

Ovo djelo dano je na korištenje pod licencom Creative Commons Imenovanje-Nekomercijalno-Dijeli pod istim uvjetima 4.0 međunarodna. Licenca je dostupna na stranici: http://creativecommons.org/licenses/by-nc-sa/4.0/.

Sadržaj

Uvod ........................................................................................................................................................ 1

1. IT-sigurnost ....................................................................................................................................... 3

1.1. Pojam informacijske sigurnosti .................................................................................................... 3 1.2. Izvori i oblici prijetnji informacijskoj sigurnosti ............................................................................. 6 1.3. Vježba: Identificiranje izvora i oblika prijetnji osobnoj informacijskoj sigurnosti ....................... 12 1.4. Organizacijske mjere zaštite informacija ................................................................................... 14 1.5. Osobne mjere zaštite ................................................................................................................ 16 1.6. Načini sigurnosne zaštite datoteka ........................................................................................... 19 1.7. Vježba: Sigurnosna zaštita datoteka ......................................................................................... 27 1.8. Sigurnosno onemogućavanje makronaredbi............................................................................. 28 1.9. Vježba: Sigurnosno onemogućavanje makronaredbi ............................................................... 32

2. Štetan softver .................................................................................................................................. 35

2.1. Pojam i tipovi štetnog softvera .................................................................................................. 35 2.2. Vježba: Prepoznavanje različitih tipova štetnog softvera .......................................................... 39 2.3. Mjere zaštite antivirusnim programom ...................................................................................... 40 2.4. Vježba: Rad s antivirusnim programom .................................................................................... 45

3. Sigurnost mreže .............................................................................................................................. 47

3.1. Pojam i vrste mreže ................................................................................................................... 47 3.2. Razumijevanje funkcije vatrozida .............................................................................................. 55 3.3. Vježba: Mrežni pristup i postavke vatrozida .............................................................................. 60 3.4. Bežična sigurnost ...................................................................................................................... 61 3.5. Vježba: Prepoznavanje različitih tipova bežične sigurnosti i povezivanje na bežičnu mrežu ... 64 3.6. Kontrola pristupa ....................................................................................................................... 65 3.7. Vježba: Odabir i uporaba lozinki ............................................................................................... 67

4. Sigurno pregledavanje weba ......................................................................................................... 69

4.1. Sigurna web-mjesta ................................................................................................................... 70 4.2. Vježba: Prepoznavanje sigurnih web-mjesta ............................................................................ 75 4.3. Kolačići (engl. Cookies) ............................................................................................................. 76 4.4. Vježba: Izbor postavki za preuzimanje/blokiranje kolačića ....................................................... 78 4.5. Automatsko dovršavanje i spremanje pri popunjavanju obrasca .............................................. 79 4.6. Brisanje podataka iz preglednika .............................................................................................. 80 4.7. Softver za kontrolu sadržaja ...................................................................................................... 82 4.8. Sigurno korištenje društvenih mreža ......................................................................................... 88

5. Online komunikacija ....................................................................................................................... 93

5.1. Šifriranje i dešifriranje e-pošte ................................................................................................... 93 5.2. Digitalni potpis ........................................................................................................................... 98 5.3. Lažna i neželjena e-pošta ....................................................................................................... 101 5.4. Vježba: Prepoznavanje i blokiranje neželjene i lažne e-pošte ................................................ 107 5.5. Štetni softver u privicima e-pošte ............................................................................................ 108 5.6. Sigurnosne ranjivosti i mjere zaštite pri korištenju istovremenih poruka................................. 109 5.7. Vježba: Postavke privatnosti i sigurnosti pri korištenju istovremenih poruka .......................... 111

6. Upravljanje sigurnošću podataka ............................................................................................... 113

6.1. Osiguravanje fizičke sigurnosti uređaja .................................................................................. 113 6.2. Procedura za izradu sigurnosne kopije podataka ................................................................... 114 6.3. Obnavljanje i provjera valjanosti sigurnosne kopije podataka ................................................ 117 6.4. Vježba: Izrada i obnavljanje sigurnosne kopije podataka ....................................................... 120 6.5. Sigurno uništavanje podataka ................................................................................................ 121 6.6. Vježba: Prepoznavanje različitih metoda za trajno uništavanje podataka.............................. 123

IT-sigurnost (F400)

1

Uvod

Polaznici će se na ovom tečaju upoznati s pojmovima koji se odnose na sigurnost podataka i informacija, načine zaštite od štetnog softvera i neovlaštenog pristupa, sigurno korištenje mreže te sigurno pregledavanje weba i online komuniciranje. Polaznici će naučiti i kako napraviti rezervne kopije i obnoviti podatke, ali i kako trajno uništiti podatke.

Ovaj priručnik zajedno s odgovarajućim tečajem služi kao pomoć pri uporabi računala na siguran način. Priručnik se sastoji od uvoda i šest poglavlja.

U priručniku se rabe ovi simboli:

kurzivom su istaknute strane riječi i nazivi stranog porijekla

kurzivom su označene i kombinacije tipaka, imena programa i putanje do pojedinih funkcija, a imena su funkcija koje treba izabrati podebljana

podebljano su označeni i važni novi pojmovi koji nisu navedeni u naslovima

u okvirima sa strane navedene su zanimljivosti i napomene.

Na kraju svakog poglavlja nalaze se vježbe ili pitanja za ponavljanje.

IT-sigurnost (F400)

2

IT-sigurnost (F400)

3

1. IT-sigurnost

U ovom poglavlju izložit će se ključni termini važni za razumijevanje IT-sigurnosti, mogućih izvora i oblika prijetnji te mjera organizacijske i osobne zaštite informacijskih resursa.

Po završetku ovog poglavlja polaznik će moći:

razlikovati podatak, informaciju i informacijski sustav

opisati sustav informacijske sigurnosti, izvore i oblike prijetnji te

mjere zaštite informacijske sigurnosti

definirati i dati primjere društvenog inženjeringa i krađe identiteta

zaštititi datoteke i mape enkripcijom i/ili lozinkom u Microsoft

radnom okruženju

prepoznati opasnosti makronaredbi te namjestiti odgovarajuću

razinu zaštite u grupi alata Microsoft Office 2010.

1.1. Pojam informacijske sigurnosti

Odnos podatka, informacije i informacijskih sustava

Da bi se pobliže objasnio i razložio pojam informacijske sigurnosti, potrebno je krenuti od definicije podatka i informacije. S obzirom na to da pristup objašnjavanju tih pojmova teško može biti sveobuhvatan, jer se radi o pojmovima koji su interdisciplinarni te su bili i još uvijek jesu predmetom izučavanja svih znanosti, u nastavku se oni opisuju prije svega poštujući načelo jednostavnosti.

Hrvatski jezični portal (http://hjp.novi-liber.hr/) definira podatak kao „činjenicu za koju se zna da se dogodila, da postoji ili da je istinita“, odnosno to je „činjenica koja se navodi da se njome nešto dokaže (npr. prema najnovijim podacima)“. Na istom portalu moguće je pronaći i definiciju informacije koja se definira kao „obavijest o činjenicama ili izvještaj o nečemu što se dogodilo“, na primjer novost koju prenosi izvjestiteljska agencija, radio ili televizija.

Informacija se može promatrati i kao resurs, pri čemu su njezina obilježja takva da ako se dijeli s drugima ili se prenosi, ona omogućuje stvaranje novih vrijednosti, odnosno novih znanja. Treba reći i to da su resursi kao što su sirovine ili financijski resursi ovisni o informacijama, jer bez posjedovanja informacija o stanju, mjestu i načinu njihova korištenja oni postaju beskorisni.

Nadalje, informacija predstavlja i rezultat obrade podataka, odnosno može se promatrati kao podatak ili podaci u bilo kojem stupnju obrade podataka.

Zanimljivosti i napomene

Podatke i informacije treba promatrati i kao relativnu kategoriju u odnosu na njihove korisnike: informacija je podatak koji za korisnika ima informacijsku vrijednost.

IT-sigurnost (F400)

4

Obrada podataka sastavni je dio svake organizacije u ljudskoj povijesti, od prvobitne zajednice pa do najsloženijih suvremenih organizacija u kojoj pojedinci i skupine razmjenjuju informacije. Sustav zadužen za prikupljanje podataka i njihovu obradu te za pohranjivanje i dostavljanje podataka i informacija njihovim korisnicima naziva se informacijski sustav.

Na ulazu informacijskog sustava nalaze se podaci kojima je u procesu obrade podataka uvećana informacijska vrijednost pa je uobičajeno da se na izlazu iz informacijskog sustava nalaze informacije. Obrada podataka unutar informacijskih sustava tijekom povijesti razvijala se od ručne, mehaničke, elektromehaničke do suvremenih primjena informatičke tehnologije (engl. information technology, IT).

Danas se većina podataka prikuplja, obrađuje i pohranjuje u informatički podržanim informacijskim sustavima koji omogućuju dostavljanje podataka i informacija preko mreže do drugih računala, odnosno korisnika i u najudaljenijim krajevima svijeta.

Pojedinci, poslovne organizacije i vladina tijela prikupljaju velike količine podataka. To mogu biti najrazličitije vrste podatka, od osobnih podataka, do korisničkih profila, financijskih podataka ili znanstvenih istraživanja i vojnih tajni. Potrebno je istaknuti da je danas značajan problem postao ovladavanje tako velikom

količinom podataka i informacija. Navedeni problem poznat je pod terminom informacijska kriza, a prevladava se jedino razvojem novih znanstvenih pristupa, novih tehnika i nove tehnologije.

Informacijska sigurnost

Uloga je informacijske sigurnosti zaštita podataka i informacija bez obzira u kojem se obliku one nalaze, digitalnom ili papirnatom. Osim problema s količinom, pojedince, poslovne organizacije i vladina tijela svakako brine i zaštita podataka i informacija od neovlaštenog pristupa, neovlaštenog uništenja i neovlaštene promjene, što postaje predmetom informacijske sigurnosti.

Informacijska sigurnost za pojedince, poslovne organizacije ili državu označava osiguravanje:

povjerljivosti – da informacije nisu dostupne neovlaštenim korisnicima

dostupnosti (raspoloživosti) – da su informacije i resursi dostupni i uporabljivi za ovlaštene korisnike, tada kada su potrebni

cjelovitosti (integriteta) – da je osigurana točnost i potpunost informacija.

IT-sigurnost (F400)

5

Informacijska sigurnost podrazumijeva poduzimanje preventivnih koraka da bi se zaštitili informacijski resursi i vlastiti kapaciteti od prijetnji, pri čemu posebnu pozornost treba obratiti na vlastite ranjivosti. Zaštita različitih podataka vrlo često je i zakonska obveza ako se radi o podacima koji su klasificirani kao povjerljivi ili tajni (Zakon o informacijskoj sigurnosti) odnosno ako su u pitanju osobni podaci (Zakon o zaštiti osobnih podataka). Zakon o informacijskoj sigurnosti primjenjuje se na državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave te na pravne osobe s javnim ovlastima, koje se u svojem djelokrugu koriste klasificiranim i neklasificiranim podacima, te na pravne i fizičke osobe, koje ostvaruju pristup ili postupaju s klasificiranim i neklasificiranim podacima. Taj zakon informacijsku sigurnost definira kao stanje povjerljivosti, cjelovitosti i raspoloživosti podatka, koje se postiže primjenom propisanih mjera i standarda informacijske sigurnosti te organizacijskom podrškom za poslove planiranja, provedbe, provjere i dorade mjera i standarda.

Sustav informacijske sigurnosti

Dobar sustav sigurnosti podrazumijeva dobru fizičku sigurnost koja je

potrebna da bi se zaštitila fizička imovina kao što su papirnati zapisi i

hardver. Komunikacijska je sigurnost potrebna da bismo zaštitili podatke

prilikom njihova prijenosa. Računalna je sigurnost potrebna da bismo

kontrolirali pristup računalnim sustavima, a mrežna je sigurnost potrebna

za kontrolu sigurnosti lokalnih mreža. Zajedno ti koncepti pružaju

informacijsku sigurnost. Na slici su prikazane različite lokacije i formati

pohrane informacija i neke od mogućnosti njihova prijenosa, koje je

potrebno štititi navedenim mjerama informacijske sigurnosti.

Desktop računala

Informacije na

podatkovnim

serverima

Informacije na

tvrdim

diskovima

Informacije u

papirantom

obliku u

uredima

Informacije pohranjene

na medijima (u uredu ili

kao sigurnosna kopija

na nekoj drugoj lokaciji)

Informacije

koje dolaze

preko fax-

uređaja ili

printera

Izvor: Maiwald, E.: Network security

Sustav informacijske sigurnosti obuhvaća ljude, procese, infrastrukturu,

organizaciju i tehnologiju. U svrhu zaštite podataka Zakon o

informacijskoj sigurnosti predviđa donošenje mjera koje se realiziraju na

fizičkoj, tehničkoj ili organizacijskoj razini, što podrazumijeva sustavan

IT-sigurnost (F400)

6

pristup pri planiranju, implementaciji i nadzoru mjera i standarda

informacijske sigurnosti.

Područja su informacijske sigurnosti za koja se Zakonom propisuju

mjere i standardi informacijske sigurnosti:

sigurnosna provjera

fizička sigurnost

sigurnost podatka

sigurnost informacijskog sustava

sigurnost poslovne suradnje.

Da bi se postigao optimalan izbor bitnih mjera i postupaka,

informacijskom sigurnošću treba sustavno upravljati, stoga se često

govori o sustavu upravljanja informacijskom sigurnošću (engl. ISMS

Information Security Management System), o čemu će više riječi biti u

poglavlju 1.4. „Organizacijske mjere zaštite informacija“.

1.2. Izvori i oblici prijetnji informacijskoj sigurnosti

Izvori prijetnji

Informacijski i računalni sustavi mogu biti izloženi prijetnjama na brojne načine. Incidenti mogu biti namjerni (zlonamjerni) ili se mogu dogoditi slučajno. Međutim, bez obzira na to zašto se određeni incident dogodio, činjenica je da on nanosi štetu pojedincu ili organizaciji. Zbog toga se takvi incidenti često nazivaju napadima bez obzira je li bilo zlonamjernosti ili ne.

Izvore prijetnja informacijskom sadržaju možemo podijeliti:

na višu silu kao izvor prijetnja

na čovjeka s obilježjem namjernosti ili nenamjernosti

na tehničku pogrešku.

Viša sila kao izvor prijetnja obuhvaća prirodne nepogode koje mogu djelovati svojom snagom, npr. potres, poplava, požar i erupcija. Osim prirodnih nepogoda postoje i druge prijetnje koje nije moguće kontrolirati, npr. rat, epidemija i sl. Prevencija te vrste prijetnja moguća je organizacijskim, građevinskim i tehničkim mjerama ovisno o procijenjenoj vjerojatnosti njihova nastanka.

Čovjek s obilježjem namjernosti ili nenamjernosti najčešći je izvor prijetnja informacijskoj sigurnosti. Najveće štete mogu prouzročiti upravo djelatnici, davatelji usluga ili vanjski suradnici koji dobro poznaju organizaciju i funkcioniranje informacijskog sustava. Stoga je ulaganje u radno zadovoljstvo i sigurnost iznimno važno kada se govori o obilježju namjernosti, a kod obilježja nenamjernosti posebnu pozornost treba


Tijekom povijesti, ali i danas, najslabija karika informacijske sigurnosti bili su ljudi, odnosno čovjek s obilježjem namjernosti ili nenamjernosti (koje se javlja zbog neznanja).

IT-sigurnost (F400)

7

usmjeriti programima osvješćivanja zaposlenika o informacijskoj sigurnosti.

Tehnička pogreška kao prijetnja (primjerice kvarovi na informatičkoj opremi i sl. koji mogu prouzročiti gubitak informacijskog sadržaja) najpredvidljivija je pogreška te se sustavnim upravljanjem informacijskom sigurnošću i primjenom odgovarajućih mjera tehničke prirode posljedice njezina nastanka mogu svesti na minimalnu razinu. Oblici prijetnji

Načini na koje se prijetnje iz navedenih izvora mogu realizirati svakim su danom sve brojniji i složeniji. S obzirom na to da ih je nezahvalno sve navoditi, najčešće se grupiraju s obzirom na posljedice koje njihovim djelovanjem nastaju na informacijskom sadržaju:

neautorizirani pristup

neidentificirana i neautorizirana izmjena

uskraćivanje usluge

neprihvaćanje. Realizacija prijetnje u obliku neautoriziranog pristupa nastaje u pokušaju da napadač dođe do informacija kojima nema pravo pristupa. Napadi takve vrste događaju se na bilo kojem mjestu pohrane informacija ili tijekom njihova prijenosa. Riječ je o napadu na povjerljivost informacija.

Neautorizirana izmjena podrazumijeva napad u kojem napadač radi izmjene na informacijskom sadržaju za koji nema prava pristupa. Taj oblik napada također se može dogoditi na bilo kojem mjestu pohrane informacija ili tijekom njihova prijenosa, pri čemu je riječ o napadu koji ugrožava integritet informacija. Taj oblik prijetnje može ostaviti najteže posljedice, posebice kada je riječ o poslovnim sustavima koji svoje odluke temelje na promijenjenom informacijskom sadržaju. Neautorizirana izmjena informacijskog sadržaja najčešće se obavlja izmjenom, umetanjem ili brisanjem podataka. Na primjer, promjenom financijskog izvještaja (informacija je i prije postojala samo je neautoriziranom intervencijom izmijenjena), prebacivanje financijskih sredstava s jednog računa na drugi umetanjem nove transakcije (takva informacija nije postojala prije) te brisanjem povijesnih informacija kao što su kazneni bodovi.

Napadi uskraćivanjem usluge DoS (engl. Denial-of-Service) predstavljaju napade koji uskraćuju korištenje resursa legitimnim korisnicima informacija, informacijskog sustava i resursa. DoS-napadi uglavnom su napadi na računalne sustave i mreže, što ne znači da ne postoje DoS-napadi na informacije u papirnatom obliku, nego da je mnogo lakše provesti napad u elektroničkom okruženju. Moguće je razlikovati napade uskraćivanja pristupa informacijama, aplikacijama, operacijskim sustavima i mrežama.


Nisu svi DoS-napadi na elektroničke informacije namjerni. Na primjer, presijecanje optičkog kabela prilikom građevinskih radova može imati za posljedicu rašireni DoS-incident za korisnike telefonije i Interneta. Također, događa se da prilikom testiranja programskog kôda veliki sustavi u, na primjer, financijskom sektoru postanu nedostupni.


Kvar na tvrdom disku kao izvor prijetnje tehničkog karaktera može dovesti do gubitka svih podataka koji se na njemu nalaze. Međutim, s obzirom na predvidljivost nastanka takve prijetnje i predvidljivost posljedica, primjenom sigurnosnih kontrola (npr. redovitom izradom sigurnosnih kopija) rizik se može svesti na minimalnu razinu.

IT-sigurnost (F400)

8

Neprihvaćanje je napad usmjeren prema neporecivosti informacija, a podrazumijeva pokušaje davanja pogrešnih informacija ili poricanja da su stvarni događaj ili transakcija nastali. Pojavni oblici su maskiranje koje se javlja (kada se napadač ponaša ili predstavlja kao netko drugi) u osobnoj komunikaciji, transakcijama ili komunikaciji među sustavima te poricanje da se dogodila aktivnost / transakcija koja je zabilježena (npr. poricanje transakcije obavljene kreditnom karticom u online kupnji).

Hakiranje, krekiranje i etičko hakiranje

Danas je uobičajeno da pojam „haker“ označava pojedinca koji „provaljuje“ računala, pri čemu treba napomenuti da je taj pojam u prošlosti označavao pojedinca koji se napredno koristi računalima. Upravo je s obzirom na izvore motivacije moguće razlikovati hakere, tj. osobe koji najčešće iz znatiželje provaljuju u sustave bez namjere da nanesu štetu, dok su „krekeri“ osobe s najvišim stupnjem znanja i vještina u korištenju ICT-a, a koji svjesno provaljuju u različite sustave uglavnom da bi si priskrbili korist (npr. neovlašteno kopiranje, mijenjanje ili brisanje osobnih podataka ili poslovne tajne).

Stoga bi za pojedince koji provaljuju u računala prikladniji pojam bio „kreker“ ili „kriminalac“, međutim, u skladu s uobičajenom praksom, pojam „haker“ se ovdje koristiti za pojedince koji upadaju u računalne sustave i(li) pojedince koji nastoje onesposobiti računalne sustave. Radi se o pojedincima s naprednim vještinama i znanjima rada na računalima i mrežama.

Izazov je najčešći izvor motivacije hakera za provaljivanje u računalne sustave, pri čemu je taj izazov to veći što je sustav bolje zaštićen. Hakerima je iznimno važno da prvi uspiju provaliti u određeni sustav ili da provale u najveći broj sustava, pa se može reći da je izazov kao izvor motivacije najčešće povezan s hakerima koji u sustave provaljuju iz zabave, bez namjere da otkriju ili unište specifične informacije.

Drugi izvor motivacije je pohlepa, kao jedan od najstarijih poznatih izvora motivacije za kriminalne aktivnosti, pri čemu ona kod hakiranja uključuje želju za priskrbljivanjem novca, robe, usluga ili informacija. U slučaju provaljivanja u sustav, rizik od hvatanja i osuđivanja je nizak, međutim, rizik za hakere kod krađe brojeva kreditnih kartica, robe ili informacija je vrlo visok. Haker motiviran pohlepom traži informacije i provaljuje u sustave da bi ih prodao ili sebi priskrbio neku drugu korist.

Treći izvor motivacije je maliciozne ili štetne prirode pri čemu hakeri nemaju namjeru kontrolirati sustav u koji provaljuju, nego najčešće sustav čine nedostupnim za korisnike ili njegovim vlasnicima sustava


Uobičajeni profil hakera ima ova obilježja: muškarac između 16 i 35 godina, usamljen i inteligentan tehnički stručnjak. To ne znači da svi hakeri imaju navedena obilježja, međutim različite studije su pokazale da su ona najčešća.

IT-sigurnost (F400)

9

ostavljaju poruke. Često su usmjereni na web-sjedišta specifičnih organizacija.

Osim navedenih izvora motivacije, postoje i hakeri koji svoje aktivnosti obavljaju pokretani etičkim načelima. Ti pojedinci nastoje spriječiti hakere i(li) krekere u njihovim namjerama tako da uklanjaju sigurnosne nedostatke sustava pisanjem programskog kôda koji zatim stavljaju na uvid javnosti. Svoje aktivnosti temelje na razmjeni stručnog znanja i često se udružuju u zajednice slobodnog softvera (engl. open source software). Etički hakeri poštuju kodeks časti koji ih tjera da to što otkriju čuvaju kao tajno ili povjerljivo. Kibernetički kriminal Pod pojmom kibernetički kriminal smatraju se kaznena djela kod kojih je uporaba računala ili računalne mreže bitna za navedeno kazneno djelo, a vezana su:

za povredu tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava

za računalno krivotvorenje

za računalna prijevaru

za dječju pornografiju na računalnom sustavu ili mreži

za širenje rasnog i ksenofobnog materijala pomoću računalnih sustava.

S obzirom na to da djela kibernetičkog kriminala nerijetko prelaze međunarodne granice, iznimno je važna Konvencija o kibernetičkom kriminalu Vijeća Europe koja predstavlja oblik međunarodnog ugovora. Europski centar za kibernetički kriminal pruža operativnu potporu tijelima za izvršenje zakona vezanih za sve oblike kibernetičkog kriminala u državama članicama EU-a i partnerskim zemalja izvan EU-a, na primjer, Centar podržava operacije i istrage koje provode vlasti država članica u području kibernetičkih napada i korištenja štetnih softvera, prijevara u platnom prometu, seksualnog iskorištavanja djece na internetu itd.

Društveni inženjering i krađa identiteta

Društveni inženjering je svaki postupak koji utječe na osobe tako da naprave neku radnju koja može i ne mora biti u njihovu najboljem interesu. Uglavnom se radi o manipulaciji osobama kako bi se provele nedozvoljene radnje ili otkrile povjerljive informacije bez izravnog napada na računalne sustave. Stoga se društveni inženjering može definirati kao netehnički način napada kojim se koriste društveni inženjeri (najčešće hakeri, jer im je katkada lakše iskoristiti ljudsku nepažnju od ranjivosti računalnog sustava), a koji se oslanja na ljudski faktor da bi se zaobišle uhodane sigurnosne procedure.

Najčešće su posljedice nasjedanja na društveni inženjering: odavanje povjerljivih informacija, omogućavanje prijevara te omogućavanje pristupa računalnom i drugim sustavima koji štite informacije. Najčešće su metode društvenog inženjeringa: pecanje (engl. phishing), telefonski pozivi i virenje preko ramena.


Očekivani je pomak kibernetičkog kriminala prema mobilnim tehnologijama u distribuciji i djelovanju štetnog softvera, a kriminalcima sve više postaju zanimljive i usluge računarstva u oblaku.

IT-sigurnost (F400)

10

Pecanje je jedna od najčešćih metoda društvenog inženjeringa kojom napadači nastoje otkriti osjetljive podatke o žrtvama: korisnička imena, lozinke i brojeve kreditnih kratica, PIN-ove i sl. Za otkrivanje osjetljivih podataka napadači se najčešće koriste umetanjem poveznica u poruke e-pošte ili istovremene poruke koje vode na lažne web-stranice.

Slika prikazuje poruku e-pošte s poveznicom na lažnu web-stranicu na kojoj se od primatelja traži unos korisničkog imena i lozinke. S obzirom na to da primatelj poruku dobiva od web-administratora, nasjedanje je na takav jednostavan primjer pecanja čest.

Osim usmjeravanja na lažne web-stranice postoje primjeri pecanja koje primatelja poruke usmjeravaju na pozivanje telefonskog broja (engl. voice phishing ili vishing) te unos podataka o kartici i PIN-u. Napadač najčešće primatelja moli da mu ustupi podatke da bi mu mogao izvršiti uplatu novca na temelju lažne nagrade, provizije i sl. Postoji i inačica u kojoj poveznica u e-pošti vodi na legitimnu

web-stranicu, međutim pop-up prozor koji se na njoj pojavljuje tada može tražiti unos osjetljivih podataka.

Napadači se korištenjem te metode društvenog inženjeringa najčešće predstavljaju kao povjerljive osobe (web-administratori, uprava, osobe iz adresara) ili organizacije (Google, Twitter i sl.).

Telefonski pozivi kao metoda društvenog inženjeringa koristi se najčešće tako da se napadač u telefonskom pozivu predstavlja za lažnu osobu da bi ostvario pristup povjerljivim informacijama ili računalnim sustavima. Poznate su prijevare ostvarene lažnim predstavljanjem preko sustava za telefonske transakcije ili zavaravanjem zaposlenika u tehničkoj podršci organizacije gdje se napadač može predstaviti kao jedan od njih ili povjerljivi dobavljač. Naravno, napadačev je cilj iskoristiti nepažnju i zaobići standardne sigurnosne procedure, pri čemu su iznimno važne govorne vještine napadača kojima treba steći povjerenje žrtve.

Virenje preko ramena najjednostavnija je metoda društvenog inženjeringa. Napadač nastoji neprimjetno, vireći preko ramena, otkriti npr. koju lozinku osoba unosi tijekom prijave u sustav ili PIN koji unosi na bankomatu, u dućanu i sl. Osvrtanje i pokrivanje tipkovnice rukom tijekom unosa podatka neki su od načina zaštite.

Iskopavanje informacija koje su osobe ili organizacije odbacile omogućuje pronalaženje raznovrsnih osjetljivih informacija kao što su ugovori, telefonski imenici, osobni podaci o zaposlenicima i klijentima, različiti zapisi i sl. Na temelju prikupljenih informacija napadač detaljno upoznaje organizaciju, što mu može znatno olakšati provođenje napada.


Budite sumnjičavi prema bilo kojoj poruci e-pošte s hitnim zahtjevima u kojima se traže osobne financijske informacije. Izbjegavajte ispunjavanje obrazaca u porukama e-pošte koje traže osobne financijske informacije ili lozinke.


Pozivi iz kartičarskih kuća, banke, osiguravajućeg društva i sl. često mogu biti podloga za izmišljene situacije. U takvim se slučajevima od žrtve može tražiti da se, na primjer, složi s novim uvjetima poslovanja preko telefona. Napadač koji nagovara žrtvu može već posjedovati neke informacije o žrtvi da bi ostvario povjerenje, koje će tada iskoristiti za dobivanje osjetljivih informacija.

IT-sigurnost (F400)

11

Neovlašteno kopiranje (skimming)

Skimming je jedna od češće korištenih metoda za elektroničku krađu identiteta. Radi se o neovlaštenom kopiranju podataka o kreditnoj kartici, na bankomatu, u restoranu ili na nekoj drugoj lokaciji na kojoj se obavlja uplata, isplata ili plaćanje. Napadači na bankomate instaliraju uređaj, koji je većini korisnika neprimjetan, pa se prilikom umetanja kartice snimaju svi podaci zapisani na kartici. Drugi primjer krađe identiteta je, na primjer, prilikom plaćanja u restoranu, kada vlasnik svoju karticu privremeno ostavlja bez nadzora, čime daje priliku napadaču za neovlašteno kopiranje podataka.

Izgovaranje (pretexting)

Izgovaranje ili pretexting je metoda društvenog inženjeringa čiji je cilj u izmišljenoj situaciji kod sugovornika steći povjerenje, a zatim saznati osjetljive informacije kao što su osobni identifikacijski broj, broj kreditne kartice, lozinke i sl. Napadač koji se pretvara da je netko drugi može se obratiti izravno žrtvi od koje traži osjetljive podatke ili nekoj organizaciji (npr. banci) preko koje može neizravno doći do podataka o žrtvi.


Metoda neovlaštenog kopiranja stvara troškove za vlasnike kreditnih kartica i kartičarske kuće u visini od desetak milijardi dolara godišnje. Bilježi se kontinuirani porast korištenja te metode za krađu identiteta.

IT-sigurnost (F400)

12

1.3. Vježba: Identificiranje izvora i oblika prijetnji osobnoj informacijskoj sigurnosti

Ova je vježba namijenjena utvrđivanju načina na koji osobne informacije i sustavi mogu biti napadnuti, u svrhu stvaranja što bolje informacijske podloge za donošenje odluka o primjeni najprikladnijih mjera zaštite osobne informacijske sigurnosti.

1. Razmislite o vlastitim osobnim informacijama i pokušajte odrediti koje su za Vas najvažnije.

____________________________________________________

2. Navedite mjesta na kojima se nalaze za Vas važne informacije i medije na kojima su zapisane.

____________________________________________________

3. Za svaku prijetnju osobnoj informacijskoj sigurnosti u drugom stupcu navedite kategoriju izvora prijetnje:

viša sila kao izvor prijetnja

čovjek s obilježjem namjernosti ili nenamjernosti

tehnička pogreška.

U trećem stupcu procijenite mogući utjecaj navedene prijetnje na Vaš informacijski sadržaj na ljestvici:

(1) nizak

(2) srednji

(3) visok.

Prijetnja Izvor prijetnje

Procjena utjecaja prijetnje na za Vas

važnu/osobnu informaciju

Požar Viša sila kao izvor

prijetnja (2) srednji

IT-sigurnost (F400)

13

4. Koji aspekt ili aspekti Vama najvažnije ili najvažnijih informacija smatrate ugroženima:

(1) povjerljivost

(2) dostupnost (raspoloživost)

(3) cjelovitost (integritet)?

____________________________________________________

5. Koji bi oblik napada za Vas imao najteže posljedice? Razmotrite neautorizirani pristup, neidentificiranu i neautoriziranu promjenu, uskraćivanje usluge i neprihvaćanje kao oblike prijetnji informacijskom sadržaju.

____________________________________________________

____________________________________________________

6. Navedite najčešće metode društvenog inženjeringa.

____________________________________________________

7. Opišite postupak na koji se odvija pecanje (engl. phishing).

____________________________________________________

8. Jeste li se ikada osobno susreli s nekim oblikom društvenog inženjeringa i krađe identiteta? Ako jeste, kako ste postupili, jeste li prijavili incident?

____________________________________________________

IT-sigurnost (F400)

14

1.4. Organizacijske mjere zaštite informacija

Mjere zaštite podataka i informacija obično se kategoriziraju ovako:

programske mjere zaštite (na razini operacijskog sustava i aplikacija, izrada sigurnosnih kopija, antivirusna zaštita, vatrozid, šifriranje u mrežnoj komunikaciji)

mjere fizičke zaštite (zaštita zgrade i ureda, fizička kontrola pristupa, alarm,videonadzor, protupožarna zaštita itd.)

organizacijske mjere zaštite (podrazumijevaju organizacijsko osposobljavanje za ostvarivanje željene razine informacijske sigurnosti sustava).

Organizacijske mjere zaštite, o čemu će biti riječi u ovom poglavlju, odnose se na donošenje mjera zaštite podataka i informacija na temelju procjene rizika, izrade politika i smjernica koje bi trebale osigurati implementaciju i kontrolu mjera zaštite informacijskih resursa, osvješćivanje zaposlenika o važnosti informacijske sigurnosti itd.

Smjernice i politike pri korištenju ICT-a

Da bi se ostvarila što bolja zaštita informacijskog sadržaja, potrebno je provesti organizacijske mjere zaštite u vidu izrade politike i smjernica pri korištenju ICT-a. Izradu takvih politika i smjernica propisuju različiti standardi. U području informacijske sigurnosti najpoznatiji je ISO standard 27001. Politike, procedure i smjernice pri korištenju ICT-a mogu biti brojne pa se ovdje navode samo neke:

Politika informacijske sigurnosti

Politika pravilne upotrebe ICT-a

Politika kontrole pristupa

Procedura za prijavu incidenata

Procedura za rad u sigurnim područjima.

Informacijska sigurnost važan je aspekt naročito u kontekstu osiguranja kontinuiteta poslovanja. Tada se u fokus postavlja dostupnost informacija i informacijskih resursa korisnicima u trenutku kada su im potrebni. S druge strane, zaštita komercijalno osjetljivih informacija, kao što su detalji o klijentima i financijski podaci, u fokus stavlja potrebu zaštite povjerljivosti i integriteta informacija i informacijskih resursa.

S obzirom na to da je zaštita integriteta, tajnosti i dostupnosti informacija te pravnih i poslovnih interesa organizacije u današnjim uvjetima poslovanja iznimno izražena, pojavila se i potreba za razvojem sustava zaštite cjelokupne informacijske imovine od svih prijetnji, unutarnjih ili vanjskih, namjernih ili slučajnih.

Organizacijsko upravljanje informacijskom sigurnošću korištenjem različitih politika i procedura te korištenjem krovne politike informacijske sigurnosti ima za cilj umanjivanje rizika u odnosu na sigurnost


Aktualna je verzija standarda ISO/IEC 27001:2013, izdana 2013. godine koja je zamijenila inačicu iz 2005. godine.

IT-sigurnost (F400)

15

informacija i osiguranje kontinuiteta poslovanja uz nastojanje da eventualni incidenti, ako i nastanu, imaju što manji utjecaj na organizaciju.

Pristup za uvođenje i upravljanje organizacijskim mjerama zaštite može se uvesti tako da se, na primjer, obuhvati samo pojedina vrsta podataka, npr. osobni podaci zaposlenika i klijenata, ili kao cjeloviti sustav koji obuhvaća sve organizacijske informacijske resurse. Drugi pristup zahtijeva više napora kako bi se poslovni procesi

organizacije unaprijedili te kako bi svi zaposlenici osvijestili važnost informacijske sigurnosti.

Prije spomenuti standard ISO 27001 pruža organizaciji smjernice za sistemski pristup implementaciji sustava upravljanja informacijskom sigurnošću u svrhu zaštite informacijske imovine od svih vrsta prijetnji. U tom smislu ta norma daje smjernice za uspostavu, implementaciju, održavanje i neprestano unaprjeđivanje sustava upravljanja informacijskom sigurnosti (engl. Information Security Management System), pri čemu je cilj osigurati povjerljivost, integritet i dostupnost informacija. Organizacije koje su implementirale normu ISO 27001 zainteresiranim stranama daju do znanja da se rizikom upravlja na odgovarajući način, jer su obvezne periodički prolaziti kroz procese vanjske procjene od strane certificiranih tijela.

Edukacija zaposlenika o važnosti informacijske sigurnosti

Podizanje razine informiranosti i svijesti zaposlenika i korisnika informacijskog sustava o pojmovima informacijske sigurnosti te o mjerama zaštite potrebno je osmisliti i provoditi na razini organizacije. Educirani zaposlenici postaju svjesniji zamki, prijetnji te vlastitih ranjivosti, što umanjuje rizik od nasjedanja na društveni inženjering i nenamjernih djelovanja zaposlenika koja mogu oslabiti cjelokupni sustav informacijske sigurnosti.

Neke su od tehnika provođenja programa edukacije u organizacijama:

klasična edukacija zaposlenika u predavaonicama

distribucija smjernica, politika, pravila informacijske sigurnosti (papirnato, e-poštom, intranetom)

provođenjem e-tečajeva i e-testiranja

prikaz važnih obavijesti ili stvarnih primjera na informacijskim ekranima i sl.


Organizacija implementacijom ovog standarda može imati koristi u smislu bolje zaštitile financijskih podataka, osobnih podataka, intelektualnog vlasništva, poslovnih tajni organizacije ili poslovnih tajni koje su organizaciji povjerene od trećih strana.

IT-sigurnost (F400)

16

1.5. Osobne mjere zaštite

Četiri su osnovna koraka/preporuke pomoću kojih se osiguravaju sigurnost i zaštita osobnog računala na platformi Windows, a koji su s novijim inačicama operacijskih sustava pokriveni ugrađenim funkcijama.

To su:

1. uključiti vatrozid

2. redovito ažurirati programe i operacijski sustav nadogradnjama

3. koristiti se antivirusnim programom i

4. koristiti se zaštitom od špijunskog softvera.

Tablica prikazuje način na koji različite inačice platforme Windows integriraju četiri navedena koraka pomoću kojih se ostvaruje rezidentna sigurnost sustava i podataka.

Vatrozid Automatsko ažuriranje

Antivirusna tehnologija

Protušpijunska tehnologija

Windows 8

Podržano. Automatski uključeno.


Podržano kroz Windows Defender za Windows 8.


Windows 7



Nije podržano. Potrebno je besplatno instalirati Microsoft Security Essentials ili neki drugi antivirusni program.


Windows Vista sa Service Pack 2 (SP2)





Windows XP sa Service Pack 3 (SP3)


Obustavljena je podrška za sustav Windows XP.

Nije podržano. Potrebno je instalirati antivirusni program.

Nije podržano.


Svaki proizvod sustava Windows ima svoj životni ciklus koji završava kada se obustavi podrška za njega. Pri donošenju odluke o trenutku nadogradnje ili o drugim izmjenama softvera preporuča se pogledati tehničke podatke o životnom ciklusu sustava Windows dostupne na poveznici http://windows.microsoft.com/hr-hr/windows/lifecycle.

http://windows.microsoft.com/hr-hr/windows/lifecycle

http://windows.microsoft.com/hr-hr/windows/lifecycle

IT-sigurnost (F400)

17

Vatrozid Automatsko ažuriranje

Antivirusna tehnologija

Protušpijunska tehnologija

Windows Vista bez paketa ažuriranja (SP)


Obustavljena je podrška za sustav Windows Vista. Potrebno je besplatno nadograditi sustav sa Service Pack 2.



Windows XP bez paketa ažuriranja (SP)

Podržano. Nije automatski uključeno.

Obustavljena je podrška za sustav Windows XP.

Nije podržano. Potrebno je instalirati antivirusni program.

Nije podržano.

Među ostalim funkcijama operacijski sustav Microsoft Windows 7 na jednostavan način korisnicima omogućuje postavljanje mjera sigurnosti i zaštite na osobnim računalima. Pravilnim korištenjem tih ugrađenih funkcija operacijskog sustava postiže se smanjivanje rizika od oštećenja datoteka i programa uzrokovanih virusima, špijunskim programima i drugim zlonamjernim programima.

Windows 7 sadrži i značajke za postavljanje sigurnosnih kopiranja i otklanjanje poteškoća te postavljanje filtera odnosno roditeljskog nadzora. Ovdje navedene ugrađene mogućnosti operacijskog sustava koje su dostupne iz središnjeg mjesta za prilagodbu operacijskog sustava nazvanog Upravljačka ploča (Control Panel) predstavit će se detaljnije kroz priručnik, ovisno o kategoriji zaštite.


U priručniku se sigurnost i zaštita osobnog računala prikazuje na inačici operacijskog sustava Windows 7 s instaliranim programom Microsoft Security Essentials koji je dostupan na adresi http://windows.microsoft.com/en-us/windows/security-essentials-download te na popularnim alatima za uredsko poslovanje Microsoft Office 2010.

http://windows.microsoft.com/en-us/windows/security-essentials-download



IT-sigurnost (F400)

18

Pregled stanja sigurnosnih postavki osobnog računala

Na slici su prikazane mogućnosti dostupne kroz odjeljak Sustav i sigurnost.

Prikazane funkcije doprinose poboljšavanju sigurnosti osobnog računala jer korisniku omogućavaju provjeru stanja nekoliko osnovnih sigurnosnih područja na računalu i otklanjanje poteškoća, uključujući:

postavke vatrozida

automatsko ažuriranje operacijskog sustava

postavke programa za stvaranje sigurnosne kopije podataka s računala i sličnih mogućnosti.

Klikom na Akcijski centar korisniku je na raspolaganju pregled stanja sigurnosnih postavki osobnog računala i eventualnih poteškoća u slučaju da Windows otkrije problem u bilo kojem od sigurnosnih područja.

U slučaju da sustav identificira poteškoću, poruka o tome prikazat će se u Akcijskom centru i u programskoj traci u području obavijesti.

Klikom mišem na zastavicu otvara se mogućnost pristupa Akcijskom centru s preporukama za rješavanje problema i uputama (na primjer, Kako odabrati odgovarajuće sigurnosne postavke?).


Unutar akcijskog centra

obuhvaćena su sigurnosna područja kao što su postavke vatrozida, automatskih ažuriranja, zaštite od virusa, postavke internetske sigurnosti, kontrola korisničkih računa, zaštite mrežnog pristupa te sigurnosnog kopiranja i oporavka.

IT-sigurnost (F400)

19

1.6. Načini sigurnosne zaštite datoteka

Sigurnost datoteka

Mogućnosti za postavljanje sigurnosti na razini datoteka u sustavu Windows predstavit će se kroz najčešće operacije: šifriranje (enkripcija), postavljanje lozinki za datoteke i sigurnosne postavke makronaredbi.

Lozinke

S obzirom na to da je primjena lozinki još uvijek najčešći način kojim se ograničava pristup računalnim sustavima, to može biti, i često je, jedna od slabijih točaka zaštite, pa je hakeri često iskorištavaju.

Problem je u primjeni lozinki u tome što se često rabe slabe lozinke koje su prekratke ili jednostavne za pogađanje, što pruža mogućnost hakerima da jednostavno pogađaju lozinku dok ne upadnu u željeni sustav. Naravno, što je lozinka složenija (korištenje kombinacije brojeva, malih i velikih slova, posebnih znakova...) i duža, manja je mogućnost da će je hakeri otkriti slučajnim pogađanjem.

Primjerice, za lozinku od samo dva slova postoji 676 kombinacija za pogađanje, dok za lozinku od osam slova postoji 208 milijuna kombinacija. Naravno, korištenjem kombinacije brojeva i posebnih znakova te produžavanjem lozinke na na primjer 12 znakova, broj kombinacija za pogađanje se povećava.

S obzirom na to da primjena lozinki ne zahtijeva dodatne troškove, njihova se uporaba svakako preporuča. Potrebno je spomenuti da postoje druge mogućnosti osim lozinki, na primjer, pametne kartice, biometrija, enkripcijski uređaji i sl., međutim, oni podrazumijevaju i dodatne troškove za pojedinca ili organizaciju.

Šifriranje (enkripcija)

Šifriranje ili enkripcija je jedan od osnovnih sigurnosnih mehanizama koji se mogu koristiti da bi se zaštitila komunikacija, odnosno informacije koje se razmjenjuju pri komunikaciji. Osim zaštite informacija u tranzitu, enkripcija se može koristiti i da bi se zaštitile pohranjene datoteke.

Enkripcijski sustav pri tome samo provjerava ključeve enkripcijskim algoritmom, ali ne razlikuje legitimne korisnike od nelegitimnih ako se predstave istim ispravnim ključevima. Stoga, ako se govori o organizacijama, treba postojati politika upravljanja ključevima, tj. politika kontrole pristupa da bi se ostvarila što viša razina informacijske sigurnosti.

Šifriranje ili dešifriranje mape ili datoteke

Šifriranje mapa i datoteka najsigurniji je način zaštite od neželjenog pristupa. U tu svrhu koristi se Encrypting File System (EFS), značajka sustava Windows koja se može koristiti za spremanje podataka na tvrdi disk u šifriranom obliku.


Još 1988. godine tadašnji student Robert Morris izradio je štetan softver koji je koristio nekoliko načina za pristup računalnim sustavima: pogađanje slabih lozinki, korištenje kratkog popisa uobičajenih lozinki, pristup bez lozinki (null-lozinka) te lozinki koje

su bile iste kao korisničko ime.

Istu slabost iskoristili su hakeri za pristup većem broju nadzornih kamera kada su se koristili tvornički postavljenim lozinkama. Prijenose s kamera učinili su javno dostupnima sve do promjene lozinke.


Osim EFS (Encrypting File System) za šifriranje

podataka odnosno pojedinačnih datoteka, sustav Windows nudi i mogućnost za BitLocker Drive Encryption. BitLocker omogućuje sigurnu enkripciju cijelog fizičkog diska računala.

BitLocker i BitLocker To Go (samo za prijenosne medije) dostupni su samo u Windows 7 Ultimate verziji.

Detaljnije informacije i tehnički detalji o BitLockeru kao metodi zaštite podataka dostupne su na poveznici http://sistemac.srce.unizg.hr/index.php?id=35&no_cache=1&tx_ttnews%5Btt_news%5D=427.

http://sistemac.srce.unizg.hr/index.php?id=35&no_cache=1&tx_ttnews%5Btt_news%5D=427




IT-sigurnost (F400)

20

Da bi se mapa šifrirala, potrebno je:

1. Klikom desnom tipkom miša na mapu odabrati Svojstva.

2. Na kartici Općenito treba odabrati mogućnost Dodatno.

3. Kod atributa komprimiranja i šifriranja treba označiti Šifriraj sadržaj zbog sigurnosti podataka.

4. Klikom mišem na

mogućnost U redu otvara se mogućnost odabira šifriranja samo za odabranu mapu ili za mapu sa svim podmapama i datotekama. Potvrdom odabira klikom mišem na mogućnost U redu te Primijeni mijenjaju se atributi mape, podmape i datoteka te se mijenja boja prikaza naziva mape u zelenu u programu Windows Explorer.


Windows 7 ne nudi mogućnost postavljanja lozinke na mapu s datotekama. Mape se mogu sakriti ili šifrirati.

Sakrivanje datoteka je metoda kojom se mogu sakriti podaci od svih korisnika računala.

Uključivanje i isključivanje prikaza skrivenih mapa i datoteka dostupno je kroz Upravljačku ploču, zatim Izgled i personalizacija pa Mogućnosti mape. Na kartici Prikaz, u stavci Dodatne postavke treba označiti Pokaži skrivene datoteke, mape i pogone i

potvrditi odabir.

IT-sigurnost (F400)

21

U slučaju da korisnik želi šifrirati samo datoteku (istim postupkom kako je ovdje prikazano, desnim klikom miša na datoteku), prikazat će se Upozorenje o šifriranju koje preporuča da se uz datoteku šifrira i nadređena mapa.

Za dešifriranje mape ili datoteke treba slijediti iste korake, odnosno:

1. Klikom desnom tipkom miša na mapu ili na datoteku odabrati Svojstva. Zatim na kartici Općenito odabrati mogućnost Dodatno.

2. Kod atributa komprimiranja i šifriranja ukloniti znak odabira ispred Šifriraj sadržaj zbog sigurnosti podataka.

3. Nakon toga odabir se potvrđuje na U redu i Primijeni.

Kada se prvi puta postavlja šifriranje mape ili datoteke, automatski se stvara i certifikat za šifriranje. Upozorenje o potrebi izrade sigurnosne kopije javlja se u programskoj traci (prikazana ikona upozorenja s ključem).

Klikom mišem na ikonu otvara se izbornik Šifrirni datotečni sustav kojim je preporučeno odmah izraditi sigurnosnu kopiju certifikata i ključa i to na izmjenjivi medij (na primjer na USB-disk).

Sve dok korisnik ne izradi sigurnosnu kopiju prilikom prijave na računalo sustav Windows podsjećat će na važnost sigurnosnog kopiranja certifikata i ključa, osim ako korisnik odabere mogućnost Nikada nemoj izraditi sigurnosnu kopiju ključa. To se ipak nikako ne preporuča s obzirom na to da se tako može izgubiti pristup šifriranim datotekama.

U nastavku su prikazani koraci izrade sigurnosne kopije certifikata i ključa za šifriranje datoteka.

IT-sigurnost (F400)

22

1. U prikazanom izborniku treba odabrati Odmah izradi sigurnosnu kopiju i tako pokrenuti Čarobnjak za izvoz certifikata.

2. Procedura kopiranja certifikata na disk nastavlja se klikom mišem na Dalje i ponovno potvrdom na Dalje kod odabira datoteke za izvoz.

3. Potrebno je upisati i potvrditi lozinku i kliknuti mišem na Dalje, a zatim dati naziv datoteci za izvoz (na primjer Certifikati), odabrati lokaciju za pohranu (na poseban USB-disk) i nastaviti klikom mišem na Dalje. Klikom mišem na Završi sustav izvozi certifikat na odabranu lokaciju.

Tu istu datoteku (u ovom slučaju naziva Certifikati.pfx, gdje nastavak .pfx označava vrstu datoteke Razmjena osobnih podataka, odnosno Personal File Exchange) moguće je, ako dođe do oštećenja izvornih datoteka uvesti kasnije dvostrukim klikom na datoteku i upisom lozinke.

IT-sigurnost (F400)

23

Zaštita dokumenata, radnih knjiga i prezentacija lozinkom

Kako je prije navedeno, lozinka se ne može postaviti na mapu s datotekama, međutim, zaštita s lozinkom moguća je za pojedinačne datoteke određenih programa kao što su to na primjer dokumenti alata za uredsko poslovanje ili komprimirane datoteke. U sustavu Microsoft Office 2010 lozinke se mogu koristiti da bi se drugi korisnici spriječili u otvaranju ili mijenjanju dokumenata, proračunskih tablica i prezentacija.

U nastavku je prikazano postavljanje lozinke za dokument programa Microsoft Office Word 2010. Po otvaranju datoteke za koju se želi napraviti šifriranje datoteke i postavljanje lozinke za otvaranje u izborniku Datoteka pa u odjeljku Informacije – Zaštiti dokument moguće je odabrati Šifriraj pomoću lozinke.

Nakon što se unese i potvrdi lozinka u dijaloškom okviru i klikom mišem na U redu te se tako dokument spremi.


Treba voditi računa da program ne može dohvatiti zaboravljene lozinke pa

lozinku treba pohraniti na sigurno mjesto.


Na isti se način postavljaju lozinke za otvaranje datoteka u programima Microsoft Office Excel 2010 i Microsoft Office PowerPoint 2010.

IT-sigurnost (F400)

24

U sljedećem pokretanju datoteke sustav traži unos lozinke za otvaranje datoteke.

Za uklanjanje zaštite lozinkom iz dokumenta dokument treba otvoriti, a zatim u izborniku Datoteka, u odjeljku Informacije – Zaštiti dokument odabrati Šifriraj pomoću lozinke. U dijaloškom okviru Šifriranje dokumenta lozinku treba obrisati i spremiti datoteku.

Osim postavljanja lozinki za otvaranje datoteke, moguće je postaviti i lozinku koju korisnik mora znati ako želi mijenjati dokument. Lozinka kojom se korisnicima omogućuju izmjene dokumenata postavlja se u dijaloškom okviru spremanja dokumenta.

Kada je dokument otvoren, u izborniku Datoteka, odabirom Spremi kao, otvara se dijaloški okvir. Na dnu tog okvira klikom mišem na naredbu Alati, dostupna je mogućnost Opće mogućnosti.

IT-sigurnost (F400)

25

Upisom lozinke za izmjenu, potvrdom na naredbu U redu i spremanjem dokumenta pri svakom sljedećem pokretanju korisnika se pita za unos lozinke ili odabir inačice dokumenta Samo za čitanje.

Za uklanjanje zaštite lozinkom za izmjenu potrebno je dokument otvoriti, a zatim u istom izborniku (Datoteka → Spremi kao → Alati → Opće mogućnosti) obrisati lozinku i spremiti datoteku.

Na isti se način postavljaju lozinke za izmjenu datoteka u programima Microsoft Office Excel 2010 i Microsoft Office PowerPoint 2010.

Postavljanjem lozinki mogu se zaštiti i komprimirane datoteke što je prikazano na primjeru jednog od najpopularnijih programa za komprimiranje u .zip i .rar formatu, Win RAR. Iako ovaj način zaštite dokumenata nećemo prikazati u učionici, možete ga isprobati na vlastitom osobnom računalu.

Desnim klikom miša na jednu ili više datoteka uz držanje tipke [Ctrl] na tipkovnici datoteke se dodaju u komprimiranu datoteku odabirom naredbe Add files. Pored odabira formata i drugih mogućnosti, korisniku je na raspolaganju postavljanje lozinke za datoteke odabirom naredbe Set password.


Win RAR je dostupan na adresi http://www.win-rar.com/download.html.

http://www.win-rar.com/download.html

http://www.win-rar.com/download.html

IT-sigurnost (F400)

26

Unosom i potvrdom lozinke naredbom OK postavljaju se lozinke za otvaranje datoteka iz komprimirane mape. Ipak, moguće je vidjeti sadržaj komprimirane mape odnosno atribute datoteka kao što su nazivi, formati i veličine datoteka.

IT-sigurnost (F400)

27

1.7. Vježba: Sigurnosna zaštita datoteka

1. Čemu služi šifriranje ili enkripcija?

___________________________________________________

2. Što je potrebno za šifriranje?

___________________________________________________

3. Kako se mogu šifrirati sve datoteke na tvrdom disku? Kako se mogu šifrirati sve datoteke na prijenosnom disku?

___________________________________________________

4. Koje upozorenje prikazuje sustav pri izmjeni atributa kriptiranja i šifriranja datoteke?

____________________________________________________

5. Po čemu možete znati da je datoteka šifrirana?

____________________________________________________

6. Gdje se preporuča pohraniti sigurnosnu kopiju certifikata za šifriranje?

____________________________________________________

7. Koja je mogućnost korisnicima na raspolaganju klikom mišem na sigurnosnu kopiju certifikata za šifriranje? U kojem slučaju bi ta mogućnost mogla biti iznimno važna?

____________________________________________________

8. Kako se uklanja zaštita datoteke lozinkom u slučaju da postavite lozinku za otvaranje, a kako ako postavite lozinku za mijenjanje dokumenta?

____________________________________________________

9. Kako se može zaštiti proračunska tablica tako da Vas sustav prilikom otvaranja datoteke traži lozinku?

____________________________________________________

____________________________________________________

10. Što se događa ako zaboravite lozinku kojom ste zaštitili dokument iz paketa Office?

____________________________________________________

IT-sigurnost (F400)

28

1.8. Sigurnosno onemogućavanje makronaredbi

Makronaredbe se koriste za automatizaciju zadataka koji se ponavljaju pri izradi dokumenta, a vrlo su korisne za krajnje korisnike s obzirom na uštede u vremenu, smanjenje mogućnosti pogreške i slično (primjeri su automatsko kopiranje podataka iz obrazaca ili ponavljanje formatiranja). Radi se o programskom kôdu koji je moguće i bez poznavanja programskog jezika izraditi u programima Microsoft Office, iako ih najčešće pišu razvojni inženjeri. Makronaredbe su pisane u jeziku Microsoft Visual Basic for Applications, uobičajeno nazvanim VBA, ali za izradu makronaredbe ne treba programirati, nego snimiti niz akcija (pristup snimatelju makronaredbi moguć je kroz izbornik Prikaz → Makronaredbe → Snimi makronaredbu), a prilikom korištenja snimatelja makronaredbi, makronaredba se automatski napiše na temelju akcija korisnika.

Sigurnosne postavke makronaredbi nalaze se u Centru za pouzdanost. Do Centra za pouzdanost dolazi se klikom mišem na izbornik Datoteka, a zatim na Mogućnosti. Na dnu dijaloškog okvira nalazi se Centar za pouzdanost.


Iako su makronaredbe korisne, mogu predstavljati značajan sigurnosni rizik s obzirom na to da mogu sadržavati maliciozan kôd koji može biti štetan za dokumente ili čitav sustav. Stoga bi trebalo onemogućiti makronaredbe iz nepoznatih izvora.

IT-sigurnost (F400)

29

Klikom mišem na naredbu Postavke centra za pouzdanost dolazi se do Postavki makronaredbi.

Mogućnosti su ove:

Onemogući sve makronaredbe bez obavijesti čime se onemogućuju sve makronaredbe u dokumentima, ali i sigurnosna upozorenja.

Onemogući sve makronaredbe osim digitalno potpisanih makronaredbi, što je, uz iznimku određivanja izdavača kao pouzdanih, slično kao prva mogućnost. Naime, ako izdavač nije postavljen kao pouzdan, korisniku se prikaže sigurnosno upozorenje, a nepotpisane se makronaredbe onemogućuju bez obavijesti.

Onemogući sve makronaredbe uz obavijest (ovo je zadana postavka). Ako u datoteci postoje makronaredbe, prikazat će se sigurnosno upozorenje pa korisnik može odlučiti hoće li omogućiti makronaredbe.

Omogući sve makronaredbe (ne preporučuje se). Ta postavka računalo izlaže potencijalno zlonamjernom kôdu te se stoga ne preporučuje.

Centar za pouzdanost provjerava je li programer makronaredbu potpisao digitalnim potpisom, je li digitalni potpis valjan i aktualan (ili je istekao), tko je izdavatelj potvrde povezane s digitalnim potpisom te je li programer koji je potpisao makronaredbu pouzdani izdavač. Ako postoji problem u bilo kojem od ovih uvjeta, makronaredba se po zadanom onemogućava i pojavljuje se traka s porukom o potencijalno nesigurnoj makronaredbi, kako je prikazano na slici.

IT-sigurnost (F400)

30

Da bi se omogućila makronaredba, treba kliknuti mišem na Omogući sadržaj na traci za poruke. U izborniku, u odjeljku Informacije treba kliknuti mišem na Omogući sadržaj da bi se omogućilo izvođenje makronaredbe.

Kada se pojavi dijaloški okvir sa sigurnosnim mogućnostima, makronaredba se može omogućiti (ako dolazi iz pouzdanog izvora) ili se može ostaviti onemogućenom.

U slučaju da je korisnik siguran da je autor dokumenta pouzdan i da makronaredbe imaju valjani potpis, može se u Centru za pouzdanost (kroz Postavke centra za pouzdanost) ili kroz dijaloški okvir odabrati

IT-sigurnost (F400)

31

mogućnost Vjeruj svim dokumentima ovog izdavača, čime se izdavač dodaje u popis pouzdanih izdavača u Centru za pouzdanost. Osim dodavanja Pouzdanih izdavača moguće je postaviti i Pouzdana mjesta (kroz izbornik Mogućnosti → Centar za pouzdanost → Postavke centra za pouzdanost). Odabirom mape na računalu ili na mreži to mjesto se smatra pouzdanim pa se u mapu mogu smjestiti datoteke koje se često koriste, a kojima vjerujete, ali, na primjer, nemaju valjan potpis.

Ako je postavljeno Omogući sve makronaredbe uz obavijest, pri otvaranju dokumenta s makronaredbama korisniku se prikazuje sigurnosno upozorenje: „Onemogućen je dio aktivnog sadržaja. Kliknite ovdje da biste vidjeli dodatne detalje.” Klikom mišem na navedenu poruku otvara se mogućnost izmjena sigurnih postavki te poveznica Dodatno se informirajte o aktivnom sadržaju. Na stranici pomoći koja se tada otvara (prikazano na slici) prikazuje se više detalja o tome zašto se neke datoteke ne mogu označiti kao pouzdane, kako mijenjati postavke pouzdanih dokumenata i slično.


Kada se promijene postavke makronaredbi u Centru za pouzdanost, one se mijenjaju samo za program paketa Office u kojem su postavljene.

Omogućavanje aktivnog sadržaja kao što su makronaredbe na isti se način odvija i u drugim programima paketa Office.


Dokumenti s pouzdanog mjesta pokreću se bez provjere sustava Centra za

pouzdanost.

IT-sigurnost (F400)

32

1.9. Vježba: Sigurnosno onemogućavanje makronaredbi

Ova je vježba namijenjena ponavljanju stečenog znanja i uputi za praktičan rad na mijenjanju postavki za omogućavanje i onemogućavanje makronaredbi u Centru za pouzdanost.

1. Navedite primjer makronaredbe kakav bi Vam mogao olakšati

svakodnevni rad u nekom od alata za uredsko poslovanje paketa Microsoft Office.

2. Pokrenite program Word i onemogućite sve makronaredbe uz obavijest.

3. U mapi F400 pronađite i otvorite mapu Moji tekstovi.

4. Pokrenite datoteku Upitnik.docm i omogućite makronaredbe.

5. Što se događa kada je u postavkama uključena mogućnost Onemogući sve makronaredbe bez obavijesti, a dokument koji pokrećete sadrži makronaredbu?

6. Od četiri različite mogućnosti koje se u Centru za pouzdanost mogu postaviti za makronaredbe, odredite i obrazložite koja je mogućnost najprikladnija osobno za Vas.

7. U mapi F400 pronađite i otvorite mapu Moji izračuni.

8. Pokrenite datoteku Veljaca.xlsm. Sadrži li datoteka makronaredbu? Zašto se pri otvaranju dokumenta Veljaca.xlsm nije prikazalo sigurnosno upozorenje iako je u Centru za pouzdanost Office Worda postavljena mogućnost Onemogući sve makronaredbe uz obavijest?

____________________________________________________

9. U dokumentu programa Office Excel onemogućite sve makronaredbe (ali uz prikaz obavijesti odnosno sigurnosnog upozorenja).

IT-sigurnost (F400)

33

U ovom je poglavlju obrađeno:

Odnos podatka, informacije i informacijskih sustava

Pojam informacijske sigurnosti

Različiti izvori i oblici prijetnji informacijskoj sigurnosti

Organizacijske mjere zaštite informacijskih resursa

Osobne mjere zaštite

Sigurnosna zaštita datoteka

Sigurnosne postavke makronaredbi

IT-sigurnost (F400)

34

IT-sigurnost (F400)

35

2. Štetan softver


definirati pojam te navesti vrste i karakteristike štetnog softvera

pregledati stanje zaštite i upravljati antivirusnim sustavom

ugrađenim u operacijski sustav Windows 7.

2.1. Pojam i vrste štetnog softvera

Štetan softver (engl. malware) može se definirati kao računalni program ili skup instrukcija koje se pokreću na računalu kako bi napadaču bilo omogućeno preuzimanje kontrole nad sustavom. Može se reći da su to i svi programi kojima je cilj izazvati štetu nad podacima i informacijama izmjenama, brisanjem, pružanjem pristupa neovlaštenim osobama ili onemogućavanjem pristupa. Međutim, postoji i štetan softver koji korisnika samo obavještava o svojem postojanju te ga tako ometa u svakodnevnom radu. Stoga se može reći da štetan softver predstavlja sve programe kojima je svrha od korisnika skriveno štetno djelovanje.

Štetan softver pokrenut na računalu može obaviti široki spektar aktivnosti:

izbrisati osjetljive sistemske datoteke s tvrdog diska, što će u potpunosti onesposobiti računalo

zaraziti računalo te se proširiti na sva prijateljska računala

nadzirati i zapisivati tipkanje na tipkovnici

preuzeti informacije o korisniku računala, njegovom ponašanju poput posjećenih web-stranica

preuzeti video ili zvuk s perifernih jedinica priključenih na računalo (video kamera i mikrofon)

preuzeti osjetljive informacije i osobne podatke

pohraniti podatke na računalu poput piratskog softvera, ukradenih podataka, pornografije itd.

Navedeni popis predstavlja samo manji broj aktivnosti koje napadač može napraviti koristeći se štetnim softverom. Kako bi se na primjeren način mogli zaštiti od napada te vrste, u nastavku se daje pregled najpoznatijih vrsta štetnog softvera.

Virusi

Predstavljaju samoreplicirajući kôd koji se širi umetanjem u druge programe i obično zahtijeva ljudsku interakciju da bi se aktivirao. Za viruse je specifično to da se pri pokretanju zaraženog programa prvo pokreće virus, koji tada pokreće program u kojem je nastanjen da bi prikrio svoje postojanje.

IT-sigurnost (F400)

36

Najčešće se širi dijeljenjem softvera ili datoteka između računala. Jedna od osnovnih karakteristika virusa je njegova nesposobnost da funkcionira kao samostalna izvršna datoteka te se širi umetanjem u druge programe kao parazit, a njegov domaćin može biti standardna izvršna .exe datoteka ili datoteka s makronaredbama poput datoteke MS Worda. Iako virusi imaju sposobnost samorepliciranja ili kopiranja u druge datoteke i programe, nužan je okidač koji ih pokreće. Najčešće je to osoba koja pokreće domaćinski program.

Računalni virusi prvi su se put pojavili dok je većina računala koristila operacijski sustav DOS, a datoteke dijelile preko disketa. Nakon toga su uslijedile varijante virusa koje su se umetale u datoteke programa za obradu teksta i izvršavale kao dio makronaredbi.

Crvi

Crvi se prenose računalnom mrežom pri čemu, za razliku od virusa, ne zahtijevaju program-domaćin ili izvršnu datoteku da bi se nastanili. Crv je, kao što mu i samo ime govori, program koji puže od sustava do sustava bez pomoći svojih žrtava. Sam se širi i replicira, potrebno je samo da ga napadač aktivira.

Trojanski konj

Trojanski konj (trojanac) štetan je program koji se lažno predstavlja korisnim karakteristikama i traži od korisnika da ga pokrene. Na primjer, korisnik preko e-pošte može primiti poziv za instalaciju korisnog softvera ili igrice, međutim, pokretanjem takvog softvera na računalu se instalira štetna funkcionalnost ili program, npr. aplikacija za udaljenu kontrolu. Tako može doći do krađe korisničkih podataka, kao što su lozinke, pinovi itd. Mogućnosti širenja su velike, jer napadač cilja na korisnikovo povjerenje prilikom instalacije na prvi pogled benignog softvera.

Backdoor

Štetan softver koji omogućuje neovlašteni pristup zaraženom računalu. Neovlaštena osoba, koja najčešće posjeduje administratorske ovlasti, može bez ograničenja pristupati datotekama (dodavati, brisati, mijenjati). Backdoor samo daje pristup neovlaštenoj osobi, za razliku od trojanskog konja koji se pretvara da je koristan softver. To je ključna razlika između tih dviju vrsta štetnog softvera. Prilikom njihove interpretacije najčešće dolazi do zabune zbog toga što postoje softveri koji su istovremeno trojanci i backdoor. Backdoor-programe često su u sustave ugrađivali programeri da bi im naknadno omogućili pristup u sustav. Međutim, napadači svoje backdoor-softvere uspijevaju pokrenuti i na sustavima koje nisu sami razvijali i održavali.

Špijunski softver (engl. spyware)

Špijunski je softver vrsta štetnog softvera čija je osnovna svrha preuzimanje kontrole nad računalom i sakupljanje osjetljivih korisničkih informacija (lozinke, brojevi kreditnih kartica,


Prilikom instalacija mobilnih aplikacija, čak i sa službenih stranica, treba obratiti pozornost na mogućnost pojave lažnih aplikacija, trojanaca.

IT-sigurnost (F400)

37

PIN-ovi itd.). Širi se najčešće prilikom pregledavanja web-stranica na kojima se nalazi špijunski softver. Zahvaljujući sigurnosnim propustima web-preglednika, ova se vrsta softvera može preuzeti i instalirati na računalo bez znanja korisnika.

Oglašivački softver (engl. adware)

Kada zaraženo računalo prikazuje pop-up reklame ili preusmjerava web-adrese na reklamne stranice, radi se programima s neželjenim oglasima (engl. adware). Ta vrsta softvera najčešće je prisutna u besplatnim aplikacijama koje se preuzimaju s Interneta, međutim oglasi se mogu prikazivati i ometati rad korisnika i kada računalo nije priključeno na Internet.

Rootkit

Rootkit je vrsta štetnog softvera koji napadaču pruža udaljenu kontrolu nad računalom tako da najčešće modificira postojeći operacijski softver kako bi omogućio neometan i prikriven pristup računalu. Tu je vrstu štetnog softvera teško otkriti, a mjere su uklanjanja složene, stoga su mjere prevencije jedino učinkovite.

Botnet

Botnet dolazi od kombinacije engleskih riječi robot i network. Botneti predstavljaju mrežu računala zaraženu štetnim softverom (računalnim virusima, keyloggerima i sl.) koju napadači mogu neovlašteno kontrolirati u svrhu stjecanja financijske dobiti ili napada na web-stranice ili mreže. Kada se to dogodi, zaražena računala mogu obavljati aktivnosti na Internetu bez znanja njihova korisnika.

Keylogger (engl. keystroke logging)

Keylogger je vrsta štetnog softvera koja omogućuje praćenje i snimanje unosa preko tipkovnice bez znanja korisnika. Ta vrsta softvera sama po sebi nije štetna, jer postoje i legitimni programi s istom funkcijom. Najčešće se događa da se neke druge vrste štetnog softvera, na primjer trojanci, koriste funkcionalnosti keyloggera kako bio došli do osjetljivih podataka. Najčešće se širi e-poštom, preko web-preglednika ili drugog štetnog softvera.

Diallers

Diallers su programi za automatsko uspostavljenje telefonske veze. Sama po sebi ta funkcionalnost nije štetna, međutim, u kombinaciji s drugim štetnim softverom, npr. trojancem, za korisnika može rezultirati financijskom štetom. Takav program neovlašteno uspostavlja telefonsku vezu preko modema, tako da je korisnik potpuno nesvjestan interakcije.

U tablici je dan sažet pregled vrsta štetnog softvera i najznačajnijih karakteristika.

Tip štetnog softvera

Najznačajnije karakteristike

Virus

Prilikom izvršavanja sam se replicira umetanjem svoje kopije u druge programe, datoteke ili boot-sektor na tvrdom disku. Zahtijeva ljudsku interakciju za repliciranje, npr. otvaranje datoteke, čitanje e-pošte, pokretanje zaraženog programa i sl.

IT-sigurnost (F400)

38

Crv

Širi se preko mreže, samoreplicirajući, za širenje ne treba ljudsku interakciju.

Trojanski konj

Štetan računalni program koji izgleda kao da ima korisnu ili benignu svrhu. Poziva korisnika da ga pokrene, skrivajući u pozadini svoju štetnu funkcionalnost. Ne može se sam replicirati.

Backdoor Program koji omogućava napadaču zaobilaženje standardnih sigurnosnih kontrola, dajući mu pritom pristup najčešće s administratorskim ovlastima.

Spyware

Štetan softver koji se bez znanja korisnika preuzima i instalira na računalu da bi prikupljao osjetljive informacije za stvaranje ili iznudu dobiti. Najčešće se ne replicira sam.

Adware Sličan kao i spyware, samo što korisniku prikazuje neželjene oglase.

Rootkit

Rootkit ima karakteristike trojanca i backdoor-softvera, uz specifičnost da radi izmjene na postojećem operacijskom softveru.

Botnet Napadači se najčešće koriste botnetima da bi slali spam-poruke, širili viruse, napadali računala i servere (DoS – napadi uskraćivanjem usluge).

Keylogger

Praćenje i snimanje unosa preko tipkovnice bez znanja korisnika; u kombinaciji s drugim štetnim softverom predstavlja opasnost za korisnika.

Diallers Automatsko uspostavljanje telefonske veze; u kombinaciji s drugim štetnim softverom predstavlja opasnost za korisnika.

Usporedba hakiranja, štetnog softvera, društvenog inženjeringa

Na grafikonu se može vidjeti u kakvom su odnosu dosada spomenute tehnike i metode (hakiranje, štetni softver, društveni inženjering), a čija primjena može rezultirati otkrivanjem ili potencijalnim izlaganjem osjetljivih podataka. Broj incidenata koji rezultira otkrivanjem ili potencijalnim izlaganjem podataka koji se pripisuje hakerima raste iznimno brzo. Rast incidenata vezanih za štetan softver raste nešto sporije, ali broj se nije smanjio posljednjih godina. Prekršaji vezani za društveni inženjering, kao što su pecanje preko e-pošte, također je u porastu. U posljednjih nekoliko godina bilježi se jedino smanjivanje broja napada na fizičke kontrole (o kojima će biti više riječi u 6. poglavlju).

Izvor: Verizon Data Breach Investigations Report

IT-sigurnost (F400)

39

2.2. Vježba: Prepoznavanje različitih vrsta štetnog softvera

1. U čemu je razlika između virusa i crva?

2. Kako se računalo može zaraziti štetnim softverom?

3. Kako se štetan softver može sakriti?

4. Kojim se štetnim softverima napadači koriste da bi došli do osobnih ili financijskih podataka?

IT-sigurnost (F400)

40

2.3. Mjere zaštite antivirusnim programom

Paket Microsoft Security Essentials koji je sastavni dio inačice Home operacijskog sustava Windows 7, koristi se za zaštitu od virusa, špijunskog i drugog zlonamjernog softvera. Omogućuje zaštitu kućnih računala i računala u tvrtkama do deset zaposlenika. Pri pokretanju računala i učitavanju operacijskog sustava pokreće se antivirusni softver. Postavljanje mogućnosti antivirusnog programa dostupno je

klikom mišem na ikonu na programskoj traci.

Na kartici Početna stranica prikazani su statusi i termini zakazanog i sljedećeg pregleda računala te je omogućeno pokretanje funkcija pregleda klikom mišem na Odmah pregledaj.

Na kartici Ažuriraj dostupna je naredba Ažuriraj da bi korisnik u bilo kojem trenutku mogao dohvatiti najnovije inačice definicija virusa, špijunskog i zlonamjernog softvera, odnosno datoteka pomoću kojih se prepoznaje zlonamjeran ili potencijalno neželjeni softver. Također su prikazani podaci o inačicama i vremenu ažuriranja definicija virusa i špijunskog softvera.


Na stranicama Microsofta dostupan je popis svih partnera/proizvođača antivirusnog softvera čiji su proizvodi kompatibilni s operacijskim sustavom Windows i sigurni za korištenje.

http://windows.microsoft.com/en-US/windows/antivirus-partners#AVtabs=win7




IT-sigurnost (F400)

41

Kartica Povijest prikazuje sve stavke čije je pokretanje spriječeno, ali koje nisu uklonjene s računala, stavke čije je pokretanje korisnik dopustio te stavke koje su pronađene na računalu, odnosno sve stavke koje su identificirane kao potencijalno štetne.

Kartica Postavke sadrži niz funkcija kojima se upravlja radom antivirusnog programa, a od kojih je najvažnija postavljanje termina pokretanja zakazanih pregleda računala.

Također se može odabrati akcija koju kao zadanu korisnik želi primijeniti prilikom otkrivanja potencijalnih prijetnji na različitim razinama upozorenja. U pretraživanje se mogu uključiti i sve arhivske datoteke te svi izmjenjivi diskovi. Mogućnost zaštita u stvarnom vremenu omogućava uključivanje obavijesti u trenutku kada se zlonamjerni ili potencijalno neželjeni program pokuša instalirati na računalo ili se pokrenuti, što je prikazano na slici u nastavku.


U bilo kojem trenutku korisnik može skenirati određeni pogon, mapu ili datoteku ako sumnja na zarazu štetnim softverom. Desnim klikom mišem na pogon, mapu ili datoteku i odabirom mogućnosti Skeniraj s programom Microsoft Security Essentials.

IT-sigurnost (F400)

42

Klikom mišem na naredbu Očisti računalo u poruci na programskoj traci otvara se Microsoft Security Essentials. Potrebno je ponovno kliknuti mišem na naredbu Očisti računalo da bi se pronašla potencijalna prijetnja na računalu.

Otvaranjem dijaloškog okvira s pojedinostima potencijalne prijetnje prikazuju se otkrivene stavke i preporučene akcije. Klikom mišem na naredbu Prikaži detalje dostupno je više informacija o kategoriji, opisu, preporučenoj akciji i lokaciji otkrivene stavke.

IT-sigurnost (F400)

43

Klikom mišem na poveznicu Dodatne informacije o ovoj stavci možete pronaći na internetu otvara se web-preglednik i učitava se stranica Malware Protection Centre sa specifičnim informacijama o sličnim stavkama i detaljima koji korisniku mogu ukazati na to o kakvoj se potencijalnoj prijetnji radi.

IT-sigurnost (F400)

44

Nakon što se provedu zadane aktivnosti, u ovom slučaju stavljanje stavke u karantenu i brisanju iz karantene, korisniku se prikazuje poruka o uspješnoj primjeni akcija. Nakon toga korisnik može klikom mišem na karticu Povijest pogledati informacije o pronađenim stavkama i poduzetim akcijama.


Cilj je stavljanje stavke u karantenu sigurno pohranjivanje označenih zaraženih datoteka. Datoteke koje se ne mogu očistiti ili ih nije sigurno ili preporučljivo izbrisati treba poslati u karantenu. U karantenu se mogu poslati i datoteke koje su sumnjive, a nisu otkrivene pomoću antivirusne zaštite.

IT-sigurnost (F400)

45

2.4. Vježba: Rad s antivirusnim programom

1. Provjerite u Akcijskom centru je li na računalu uključena zaštita od virusa.

2. Pokrenite Microsoft Security Essentials ili System Center 2012 Endpoint Protection. Kad je bio zadnji pregled računala? Je li uključena zaštita u stvarnom vremenu?

____________________________________________________

3. Ažurirajte definicije virusa i špijunskog softvera.

4. Promijenite raspored i vrstu pregleda. Postavite da se potpuni pregled (Full Scan) pokreće svakoga dana (Daily) u 20 sati i to kada je računalo uključeno, ali se ne koristi (Start the scheduled scan only when my PC is on but not in use).

5. Otvorite mapu F400 te potom pokrenite prečicu eicar.com. Pokretanjem ove prečice otvorit će se web-stranica s koje pokušajte preuzeti datoteke eicar.com i eicar.com.txt. Je li preuzimanje bilo uspješno?

____________________________________________________

6. Koje akcije je antivirusni program pouzeo nakon prepoznavanja potencijalno štetnih stavki?

____________________________________________________

IT-sigurnost (F400)

46


Pojam štetnog softvera (engl. malware)

Vrste štetnog softvera s najznačajnijim karakteristikama

Mjere zaštite antivirusnim programom

IT-sigurnost (F400)

47

3. Sigurnost mreže


definirati pojam mreže i razlikovati različite vrste mreža

povezati se na Internet u operacijskom sustavu Windows 7 te

pregledati i izmijeniti postavke mrežnog mjesta

razlikovati autentikaciju, autorizaciju i pristupna prava

opisati način rada vaztrozida i promijeniti postavke vatrozida

operacijskog sustava Windows 7

procijeniti razinu sigurnosti bežične mreže i spojiti se na sigurnu

bežičnu mrežu

razlikovati kontrolu pristupa lozinkom i biometrijskim sigurnosnim

tehnikama.

3.1. Pojam i vrste mreže

Računalna mreža služi povezivanju računala i drugih hardverskih uređaja preko komunikacijskih kanala da bi se korisnicima olakšala komunikacija i razmjena resursa. Možemo reći da su dva ili više računala povezana u mrežu ako mogu razmjenjivati informacije.

Krajnjim korisnicima priključak na mrežu pruža ove mogućnosti:

dijeljenje datoteka

dijeljenje hardverskih resursa, poput skenera i pisača

korištenje brojnih usluga poput e-pošte, videokonferencije, istovremenih poruka, World Wide Weba, društvenih mreža itd.

lakši pristup i održavanje informacija među umreženim korisnicima itd.

Postoje različite mogućnosti za povezivanje na mrežu pa se mogu razlikovati dvije osnovne skupine tehnologija uspostavljanja telekomunikacijskih veza: materijalne ili ožičene veze (bakrene žice, optički kabeli) i bežične telekomunikacijske veze (radioveze, satelitske veze i mobilne veze).

U slučaju povezivanja preko kabela najpoznatije su varijante povezivanja preko klasične telefonske linije i analognih modema te preko digitalne telefonije i kabelskog interneta, a u slučaju bežičnog povezivanja najpoznatija je varijanta povezivanja

preko elektromagnetskih valova, koja je najširu primjenu našla u uspostavi lokalnih računalnih mreža bez žica (WLAN). Za bežično povezivanje moguće je koristiti se i mobilnim uređajima različitih generacija (2G, 3G, 4G ili LTE).


Internet je nezaštićena mreža pa treba primijeniti različite mjere da bi se zaštitili informacijski resursi i utvrdila autentičnost korisnika prilikom komunikacije.

IT-sigurnost (F400)

48

Lokalna mreža (LAN)

Lokalna računalna mreža (katkad se koristi i izraz područna računalna mreža, engl. Local Area Network, LAN) povezuje računala i druge hardverske uređaje na manjim udaljenostima (do nekoliko stotina metara), na primjer u poslovnoj zgradi, na katu zgrade, u računalnom laboratoriju ili u stanu. Implementacija tih mreža je vrlo raširena naročito stoga što korisnicima pruža pristup perifernim uređajima (skeneri, pisači), zajedničkim bazama podataka ili pristup nekim drugim mrežama. Karakteristika LAN-a je velika brzina prijenosa podataka i komunikacije.

Prostorna mreža (WAN)

Povezivanje prostorno ili geografski udaljenih računala i drugih hardverskih uređaja krije se pod pojmom WAN (engl. Wide Area Network), pri čemu WAN može povezivati i različite manje mreže poput LAN-ova. Povezivanje na velikim udaljenostima najčešće se obavlja preko satelitske veze ili preko optičkih kabela, a koristi se postojeća infrastruktura LAN-ova.

Virtualna privatna mreža (VPN)

Virtualna privatna mreža (engl. Virtual Private Network) omogućava siguran prijenos podataka preko nezaštićene javne mreže. Unutar

VPN-a koriste se slična pravila kao kod lokalnih mreža, pri čemu se sigurnost prijenosa ostvaruje kombinacijom šifriranja, autentikacije i tuneliranja. Tuneliranje je tehnika prijenosa podataka namijenjenih određenoj mreži preko druge mreže, na primjer preko Interneta ili preko komunikacijske

infrastrukture jednog od pružatelja internetskih usluga. Osnovna je razlika u odnosnu na privatne mreže koje se koriste vlastitim ili iznajmljenim vezama za prijenos podataka da VPN preko javne mrežne infrastrukture sigurnim kanalom spaja korisnike na različitim lokacijama.


Iako su veliki fakulteti i sveučilišta još 1960-ih posjedovali prve LAN-ove, smatra se da je prvo komercijalno korištenje LAN-a bilo 1977. godine u banci Chase Manhattan Bank u New Yorku.

IT-sigurnost (F400)

49

Za povezivanje računala s operacijskim sustavom Windows 7 u javnu ili lokalnu mrežu potrebno je pokrenuti središnje mjesto za prilagodbu operacijskog sustava Upravljačka ploča, odjeljak Mreža i internet pa Centar za mreže i zajedničko korištenje.

Korisniku su na raspolaganju ove mogućnost:

Postavljanje nove veze ili mreže: izrada profila mrežnog povezivanja korištenjem „čarobnjaka“ prema bežičnoj mreži, širokopojasnoj (ADSL, kabelski pristup), modemskoj (dial-up), ad hoc ili vezi VPN (Virtual Private Network).

Povezivanje s mrežom: korištenje jednog od izrađenih profila povezivanja s bežičnom, ožičenom, modemskom ili mrežnom vezom VPN.

Odabir osnovne skupine i mogućnosti zajedničkog korištenja: pristup datotekama i pisačima na drugim umreženim računalima ili izmjena postavki zajedničkog korištenja.

Otklanjanje poteškoća: dijagnostika i rješavanje problema s mrežom ili informacije o otklanjanju poteškoća.

Za postavljanje širokopojasnog pristupa mreži (žičnog ili bežičnog) pružatelj usluge korisnicima pripremi korisničko ime i lozinku koje u fazi postavljanja veze treba unijeti u čarobnjak koji se pokreće klikom mišem na Postavljanje nove veze ili mreže.


Ako profil mrežnog pristupa nije postavljen korištenjem prve mogućnosti, ne mogu se koristiti druge. Broj profila nije ograničen.

IT-sigurnost (F400)

50

U nastavku su prikazani koraci postavljanja novog žičnog pristupa mreži.

1. U prikazanom izborniku treba odabrati Povezivanje s internetom.

2. Procedura povezivanja računala s Internetom nastavlja se klikom mišem na Dalje i odabirom vrste veze (Širokopojasni prijenos ili Modemska veza).

3. Otvara se obazac za upis podataka (korisničkog imena i lozinke) koje je korisniku dostavio davatelj internetskih usluga. Klikom mišem na Poveži se računalo se spaja na Internet.

IT-sigurnost (F400)

51

Slično se korisnik može povezati s bežičnom mrežom (tj. u izborniku koji se otvori klikom mišem na Postavljanje nove veze ili mreže odabere se mogućnost Povezivanje s internetom, a kao vrsta veze odabere se Bežično).

U alatnoj traci otvara se pritom popis dostupnih bežičnih mreža koje mogu biti zaštićene ili nezaštićene.

U istom izborniku (Postavljanje nove veze ili mreže) može se odabirom mogućnosti Povezivanje s radnim mjestom postaviti i daljinska veza s radnim mjestom preko virtualne privatne mreže (VPN). U slučaju povezivanja s udaljenim računalom preko VPN-a korisnik treba poznavati ime VPN-poslužitelja koje dodjeljuje mrežni administrator.

Kada se korisnik prvi put poveže s nekom mrežom, treba odabrati i mrežno mjesto. Dostupne su mogućnosti Kućna mreža, Uredska mreža i Javna mreža, a prema odabiru mreže automatski se postavljaju i mogućnosti vatrozida i sigurnosne postavke mreže.


Mrežni administrator je osoba koja upravlja LAN-om ili WAN-om. Odgovoran je za sigurnost mreže, instalaciju nove opreme i programa, praćenje nadogradnji sustava, izradu i provođenje politika sigurnosnog kopiranja i vraćanja kopija podataka na mreži te niza drugih aktivnosti kojima se osigurava ispravan rad računalne mreže.

IT-sigurnost (F400)

52

U slučaju da korisnik želi provjeriti postavke ili izmijeniti mrežno mjesto postavljeno pri prvom odabiru u Centru za mreže i zajedničko korištenje, treba kliknuti mišem na poveznicu prikazanu ispod naziva mreže u odjeljku Prikaz aktivnih mreža.

Kod kućne ili uredske mreže moguće je zajedničko korištenje datoteka i pisača s drugim računalima sa sustavom Windows 7 tako da se izrade ili podese osnovne skupine. Izrada osnovnih skupina moguća je u Centru za mreže i zajedničko korištenje klikom mišem na Odabir osnovne grupe i mogućnosti zajedničkog korištenja. Tu se mogu pregledati i dodatne informacije o osnovnim skupinama, mogu se promijeniti postavke zajedničkog korištenja i otkloniti pogreške u radu s osnovnim skupinama.


Ako se kod postavljanja mrežnog mjesta odabere mogućnost Sve mreže s kojima ću se povezivati ubuduće smatraj javnima i više me ne pitaj, korisniku

se neće prikazati izbornik za odabir mrežnog mjesta. Tom se izborniku može pristupiti na isti način kao kod izmjene odabira mrežnog mjesta, kako je prikazano u tekstu.


U slučaju da korisnik ne treba zajednički koristiti mrežne datoteke ili pisače, najsigurniji je odabir javna mreža.

IT-sigurnost (F400)

53

U lijevom izborniku Centra za mreže i zajedničko korištenje klikom mišem na Promjena naprednih postavki zajedničkog korištenja moguće je uključiti ili isključiti zajedničko korištenje mapa, datoteka, pisača i slično.

IT-sigurnost (F400)

54

U slučaju da korisnik želi pogledati stanje ili izmijeniti postavke veze u Centru za mreže i zajedničko korištenje, treba kliknuti mišem na poveznicu prikazanu ispod vrste pristupa u odjeljku Prikaz aktivnih mreža.

Korisniku se prikazuju detaljni podaci o vezi:

Ako postoji problem u pristupu mreži, u alatnoj će se traci prikazati ikona s indikatorom problema uz poveznicu Otklanjanje poteškoća. Klikom mišem na poveznicu otvara se čarobnjak, gdje se nude različite mogućnosti koje su korisniku na raspolaganju pri pokušaju otklanjanja problema.

IT-sigurnost (F400)

55

3.2. Razumijevanje funkcije vatrozida

Autentikacija, autorizacija, pristupna prava

Autentikacija označava potvrdu identiteta korisnika na mreži i koristi se kao dokaz da je korisnik to za što se u postupku predstavlja da je ili tvrdi da je. Autentikacija se provodi na temelju toga što korisnik zna, posjeduje ili što korisnik uistinu je. Najčešće je korišten postupak na temelju

toga što korisnik zna, na primjer, lozinka, PIN itd. Sigurnost se u tom slučaju ostvaruje na temelju pretpostavke da ako korisnik zna lozinku ili PIN, tada je istina da je on osoba za koju se predstavlja te mu se dopušta ulazak u sustav. Iako je to najčešći postupak autentikacije, treba istaknuti da postoje brojni nedostatci zbog kojih on nije potpuno siguran. Pristup sustavu može se dopustiti i na temelju nečega što korisnik posjeduje, npr. ključ, kartica ili neki uređaj. Autentikacija se provodi na temelju pretpostavke da će samo ovlašteni korisnici imati pristup, odnosno biti u posjedu navedenih stvari. Jedna je od najočitijih manjkavosti tog pristupa mogućnost gubitka kartice ili ključa. Česta je primjena dvostruke autentikacije na temelju toga što korisnik posjeduje (npr. kartica) i toga što zna (npr. PIN). Autentikacija koja se provodi na temelju toga što korisnik je, temelji se na fizičkim karakteristikama korisnika ili na njegovom ponašanju (provodi se preko biometrijskih kontrola).

Nakon što se provede postupak autentikacije, korisniku se daju ovlasti za rad na sustavu (npr. čitanje, pisanje, mijenjanje). Taj se postupak naziva autorizacija korisnika. Razina autorizacije određuje što korisnik smije raditi na mreži, u sustavu, s podacima ili s informacijama. Dodjela pristupnih prava korisnicima uvelike će ovisiti o tome jesu li podaci kojima se daje pristup klasificirani (npr. javno, povjerljivo, poslovna tajna).


Autorizacija se na sustavima Windows provodi korištenjem pristupnih lista kojima se korisnicima ili grupama korisnika daje pristup do razine pojedine datoteke u sustavu.

IT-sigurnost (F400)

56

Vatrozid (engl. Firewall)

Vatrozid je računalni sustav, odnosno kombinacija hardvera i softvera, koji štiti lokalnu mrežu i računala od mogućeg upada (npr. hakera) iz vanjske mreže. Lokalna se mreža i računala ne bi trebali spajati na Internet bez vatrozida.

Osnovne su funkcionalnosti vatrozida:

djeluje kao prolaz za čitav promet (dolazni i odlazni) između lokalne i vanjske mreže

propušta samo autorizirani promet

treba biti otporan na napade.

U svojem osnovnom obliku vatrozid funkcionira sprečavanjem pristupa neovlaštenog mrežnog prometa iz nepouzdane mreže zaštićenoj internoj mreži, što je prikazano na slici. Vatrozid je koristan i u prikupljanju zapisa svih aktivnosti koje prolaze kroz vatrozid, spajaju se ili se pokušavaju spojiti u sustav, pri čemu takvi zapisi mogu poslužiti za otkrivanje sumnjivih i štetnih aktivnosti.

Vatrozid sam po sebi ne jamči sigurnu mrežu. Potrebno ga je ispravno konfigurirati, a njegovo funkcioniranje nadgledati da bi se interna mreža što bolje zaštitila. Jedna od funkcija vatrozida je ograničavanje unutarnjih korisnika (korisnika LAN-a) pri izlasku na vanjsku mrežu. Postavke vatrozida mogu ograničiti interne korisnike u pristupu pojedinim sadržajima na Internetu (pristup se ograničava na temelju URL-a ili web-sadržaja) ili općenito pristup Internetu.

U sustavu Windows 7 prema zadanim je postavkama vatrozid nakon instalacije sustava uključen. Postavke vatrozida, uključivanje ili isključivanje vatrozida te propuštanje programa ili značajki kroz vatrozid mogu se odrediti kroz Upravljačku ploču u odjeljcima Sustav i sigurnost i Vatrozid za Windows.

IT-sigurnost (F400)

57

Za svako od podešenih mrežnih mjesta prikazan je profil, odnosno postavke vatrozida. Kako je prije navedeno, za javne mreže su postavljene određene restrikcije – blokiran je rad određenih programa i servisa da bi se računalo zaštitilo od neovlaštenog pristupa. U slučaju da neki program treba ostvariti komunikaciju kroz vatrozid kada je korisnik spojen na javnu mrežu, a vatrozid sustava Windows je uključen, tražit će se od korisnika dopuštenje za propuštanje programa kroz vatrozid. Propuštanjem programa kroz vatrozid, na primjer, na javnoj mreži, omogućit će rad tog programa na svim mrežama koje su označene kao javne, bez obzira na to odakle se korisnik spaja, što predstavlja određeni sigurnosni rizik.

Ako se ne dopusti izvođenje programa ili servis, često nije moguće pravilno ili uopće koristiti se željenim programom ili značajkom. Preporučeno je programe kojima treba mrežni pristup za ispravan rad dodati u popis dopuštenih programa. U tom slučaju „rupa“ u vatrozidu je otvorena samo tijekom trajanja komunikacije odnosno tijekom korištenja programa. Preporuča se da se programima koji korisniku nisu poznati ne dopušta komunikacija kroz vatrozid.

Da bi se dodao, promijenio ili uklonio program ili priključak s popisa kojem je dopuštena komunikacija kroz vatrozid, u lijevom oknu izbornika Vatrozid za Windows odabere se Propuštanje programa ili značajke kroz Vatrozid za Windows.


U trenutku kada korisnik „propusti“ program ili servis kroz vatrozid, računalo postaje nesigurnije.

Što je više propuštenih programa ili servisa, to je i računalo potencijalno izloženije hakerima ili zlonamjernom softveru koji mogu iskoristiti neki od otvora u vatrozidu za širenje crva, pristup datotekama i sl.

Zbog toga program treba propustiti kroz vatrozid samo kada je to nužno za ispravno funkcioniranje programa te ga treba ukloniti s popisa dopuštenih programa kada korisniku više nisu potrebni, odnosno u slučaju da se programom više neće koristiti.

IT-sigurnost (F400)

58

Nakon odabira mogućnosti Promijeni postavke, za svaki od programa s popisa može se dopustiti ili zabraniti komunikacija kroz vatrozid.

Ako iz naziva nije moguće prepoznati o kakvom programu se radi, klikom mišem na Detalji u donjem dijelu izbornika otvara se poruka s opisom programa ili značajke.

U lijevom oknu izbornika Vatrozid za Windows odabirom mogućnosti Promjena postavki obavijesti ili Uključivanje ili isključivanje vatrozida za Windows korisniku se prikazuje isti izbornik prikazan na slici u nastavku:

IT-sigurnost (F400)

59

Ne preporuča se isključivanje vatrozida za Windows niti za javne mreže niti za mreže na koje se korisnik spaja s posla ili od kuće, dok je dobro u postavkama odrediti da korisnik primi obavijest kada vatrozid blokira neki program. Ako se blokiraju sve ulazne veze, uključujući one na popisu dopuštenih programa, postoji opasnost da neki od programa neće ispravno funkcionirati.

Klikom mišem na Vraćanje zadanih postavki i potvrdom naredbe uklanjaju se sve postavke vatrozida za Windows za sva mrežna mjesta. To može dovesti do prestanka funkcioniranja nekih programa.

Napredne mogućnosti postavljanja vatrozida dostupne su klikom mišem na Dodatne postavke, čime se otvara prozor na engleskom jeziku s nizom dodatnih mogućnosti za podešavanje mogućnosti vatrozida.

IT-sigurnost (F400)

60

3.3. Vježba: Mrežni pristup i postavke vatrozida

1. Pregledajte osnovne informacije o mreži u Centru za mreže i zajedničko korištenje. Kako je računalo na kojem radite spojeno na mrežu (kojom vrstom veze je računalo povezano s mrežom, odnosno koja je vrsta pristupa i mrežno mjesto trenutačno aktivno)?

____________________________________________________

____________________________________________________

____________________________________________________

2. Pregledajte postavke vatrozida u odjeljku Upravljačka ploča, a zatim Vatrozid za Windows. Je li vatrozid uključen? Kakav je status dolaznih veza, a kakav obavijesti o programima koji traže propuštanje kroz vatrozid?

____________________________________________________

____________________________________________________

____________________________________________________

3. Propustite program Daljinska pomoć za javna mrežna mjesta kroz vatrozid.

IT-sigurnost (F400)

61

3.4. Bežična sigurnost

Bežična sigurnost predstavlja zaštitu povjerljivosti, integriteta i dostupnosti informacijskih resursa preko bežične mreže. Bežične mreže postaju sve zastupljenije i u kućanstvima i u organizacijama. Razlog tome je njihova cijena i jednostavnost postavljanja. Međutim, iako bežična tehnologija može pružiti određene uštede, ona otvara i neka sigurnosna pitanja za organizacije i krajnje korisnike, pri čemu treba biti svjestan činjenice da korištenje nezaštićene bežične mreže omogućava prisluškivanje podatkovnog prometa.

Najčešće su vrste bežične sigurnosti Wired Equivalent Privacy (WEP) i Wi-Fi Protected Access (WPA).

WEP je starija metoda zaštite dostupna da bi se podržali stariji uređaji za bežično umrežavanje, iako se njezina uporaba više ne preporuča. Standard 802.11x iz 1999. godine definira WEP kao protokol za zaštitu informacija koje prolaze WLAN-om (bežičnom lokalnom mrežom), pri čemu WEP ima tri osnovne usluge:

autentikacija

povjerljivost

integritet.

Taj standard je u najvećoj mjeri 2003. godine zamijenjen WPA-om, čime se unaprijedila razina sigurnosti postignuta WEP-om. Treba istaknuti da je trenutačno aktualna inačica WPA2, koja se koristi enkripcijom i autentikacijom. Enkripcija korisniku daje potvrdu da mrežni ključ nije izmijenjen, a autentikacija provjerava korisnike kako bi se samo oni s dodijeljenim pravom pristupa mogli koristiti mrežom. Media Access Control (MAC) tehnologija pruža jedinstvenu identifikaciju i kontrolu pristupa računalima IP (engl. Internet Protocol) mreži. Nakon što je bežična mreža osigurana šifriranom lozinkom, sigurnost se može povećati i ograničavanjem pristupa mreži određenih uređaja uređivanjem popisa s pravima pristupa ili MAC-filtriranjem. Nakon što uredi popis s pravima pristupa, bežični uređaji koji nisu na popisu neće se moći priključiti na bežičnu mrežu.

Povezivanje s bežičnim mrežama

Spajanje na bežične mreže je moguće s računala ili prijenosnika na kojem postoji bežični mrežni prilagodnik (engl. adapter) i na kojem su instalirani odgovarajuće upravljački programi.

Klikom mišem na ikonu u alatnoj traci otvara se popis dostupnih bežičnih mreža uz prikaz jačine signala pojedine mreže.

Odabirom mreže, a zatim klikom mišem na Poveži, od korisnika će se tražiti da upiše sigurnosni ključ, ako je mreža zaštićena. Ako se radi o kućnoj bežičnoj mreži, sigurnosni ključ ili pristupni izraz isporučit će davatelj internetskih usluga (ISP), a u drugim slučajevima (posao ili


Preporučeno je povezivanje isključivo s bežičnim mrežama koje zahtijevaju mrežni sigurnosni ključ ili se koriste nekim drugim oblikom zaštite, jer su podaci koji se šalju preko tih mreža šifrirani.


Postoje četiri vrste bežičnih mrežnih tehnologija: 802.11b (brzina do 11 Mb/s, a rabi frekvenciju od 2,4 GHz kao i mnogi kućanski aparati, što može izazvati određene smetnje), 802.11a (brzina do 54 Mb/s, a rabi frekvenciju od 5 GHz pa su smetnje zbog drugih uređaja smanjene, a raspon je signala kraći pa ga lako mogu narušiti zidovi i druge prepreke), 802.11g (brzina do 54 Mb/s, a rabi frekvenciju od 2,4 GHz pa ima iste probleme sa smetnjama kao i 802.11b) i 802.11n (može prenositi podatke brzinom od 150 Mb/s, 300 Mb/s, 450 Mb/s ili 600 Mb/s, rabi više signala i antena radi postizanja veće brzine te može rabiti frekvenciju od 2,4 GHz ili 5,0 GHz).


Danas je metoda zaštite WEP iznimno slaba i smatra se da lozinke kojima se koristi mogu biti krekirane u nekoliko minuta s dostupnim računalima i softverom.

IT-sigurnost (F400)

62

javna mreža) sigurnosni ključ ili pristupni izraz daje mrežni administrator ili netko drugi (javno otisnut na plakatu, računu i sl.).

Moguće je povezivanje i na mrežu koja nema aktiviranu zaštitu, pri čemu se od korisnika ne traži sigurnosni ključ ili pristupni izraz. Nezaštićene bežične mreže mogu se prepoznati po ikoni žutog štita s upozorenjem (uskličnikom), kako je prikazano na slici.

Kako je i naznačeno, ako se povezuje s mrežom koja nema zaštitu, moguće je da netko sa specifičnim znanjima i alatima vidi informacije poslane preko nezaštićene mreže, odnosno da vidi web-mjesta koja korisnik posjećuje, dokumente, ali i korisnička imena i lozinke. Stoga posebno treba paziti da se ne pristupa povjerljivim (poslovnim) podacima niti da se pregledavaju lozinkom zaštićene datoteke ili web-mjesta koja sadrže osobne podatke, npr. bankovne zapise.

Popis preferiranih bežičnih mreža s kojima se korisnik spaja dostupan je kroz Upravljačku ploču, odjeljak Mreža i internet, Upravljanje bežičnim mrežama.

Za pregledavanje svojstva i postavki bežične mreže u Centru za mreže i zajedničko korištenje potrebno je kliknuti mišem na poveznicu s nazivom mreže u odjeljku Prikaz aktivnih mreža, kako je već prikazano.

IT-sigurnost (F400)

63

Osim naziva mreže (SSID), prikazuje se i trajanje povezanosti, brzina mreže te niz drugih podataka. Klikom mišem na Detalji prikazuju se i podaci o sigurnosti bežične mreže i to vrsta zaštite, vrsta šifriranja te mrežni sigurnosni ključ. Ako dođe do promjene ili do pogreške pri upisu vrste zaštite ili sigurnosnog ključa, ovdje se ti podaci mogu promijeniti.


SSID je akronim od Service Set IDentifier, a predstavlja jedinstveni identifikator koji se dodaje zaglavlju paketa koji se šalju preko WLAN-a. Često se na SSID referira i kao na naziv mreže, jer je u osnovi naziv prema kojem se identificira bežična mreža.

IT-sigurnost (F400)

64

3.5. Vježba: Prepoznavanje različitih vrsta bežične sigurnosti i povezivanje na bežičnu mrežu

1. Ima li računalo na kojem radite bežični prilagodnik? Provjerite to u Centru za mreže i zajedničko korištenje klikom mišem na Promjena postavki prilagodnika.

____________________________________________________

2. Po čemu se može prepoznati koje su bežične mreže sigurne, a koje nesigurne? Zašto je to važno?

____________________________________________________

____________________________________________________

____________________________________________________

3. Koje vrste zaštite bežičnih mreža postoje?

____________________________________________________

4. Koje su karakteristike najčešćih vrsta zaštite (WEP i WPA)?

____________________________________________________

5. Što označava kratica MAC?

____________________________________________________

6. Što označava kratica SSID?

____________________________________________________

IT-sigurnost (F400)

65

3.6. Kontrola pristupa

Kao što je već navedeno, kontrola pristupa mrežnom računu provodi se postupkom autentikacije na temelju toga što korisnik zna, posjeduje ili što on uistinu je.

Lozinke

Kada se mrežnom računu pristupa na temelju toga što korisnik zna, odnosno na temelju korisničkog imena i lozinke, treba voditi računa da se oni koriste sukladno uvriježenim i sigurnosnim pravilima kao što su:

lozinke se ne smiju dijeliti i odavati drugim osobama, uključujući i

nadređene

lozinke se ne smiju nigdje zapisivati, posebno ne pored računala

lozinku treba promijeniti u slučaju da postoji sumnja da je

otkrivena

potrebno je odabrati dovoljno snažnu lozinke, na primjer:

o najmanje 12 znakova

o najmanje jedan numerički znak

o najmanje jedno

veliko i najmanje

jedno malo slovo

abecede

o najmanje jedan

specijalni znak

o lozinka nije riječ

iz bilo kojeg

rječnika

o lozinka se ne

temelji na

osobnim

informacijama

(npr. datumi

rođenja, adresa,

ime člana obitelji i sl.)

lozinke treba mijenjati barem svaka tri mjeseca

prilikom inicijalne prijave u neki sustav, lozinku obavezno treba

odmah promijeniti

lozinke nije dobro

pohranjivati u automatski

sustav prijave (npr. u

preglednik)

lozinke koje se koriste u

privatne svrhe ne smiju se

koristiti i u poslovne svrhe.

Proizvođači softvera ili hardvera redovito postavljaju lozinke koje daju privid sigurnosti, ali takve su lozinke često dostupne hakerima, stoga se moraju obavezno promijeniti prilikom prvog korištenja.

IT-sigurnost (F400)

66

Za provjeru snage odabrane lozinke može se koristiti online alat dostupan u Microsoftovu sigurnosnom centru: https://www.microsoft.com/es-xl/security/pc-security/password-checker.aspx

Unosom lozinke korisniku se daje povratna informacija o snazi lozinke na sljedećoj skali: slaba, srednja, jaka, izvrsna, pri čemu se upisane lozinke ne prikupljaju, spremaju ili prosljeđuju. Rezultati daju smjernice o snazi upisane lozinke, ali ne i garanciju njezine sigurnosti. Što znači da lozinke koje su sastavljene na temelju dobre prakse i dalje mogu biti slabe ako ih je korisnik nekamo zapisao, proslijedio e-poštom, nije mijenjao jako dugo i sl.

Biometrijske sigurnosne tehnike

Biometrijske sigurnosne tehnike, kao što je ranije navedeno, jedan su od mehanizama provjere autentičnosti (nešto što korisnik je). Postoje različite vrste biometrijskih skenera koji se koriste za provjeru autentičnosti korisnika pomoću:

otiska prsta

zjenice očiju

geometrije ruke

geometrije lica

glasa i sl.

Uređaji za skeniranje moraju biti prilično sofisticirani da bi otkrili eventualne pokušaje prijevare. Na primjer, skeneri otiska prsta mogu dodatno provjeravati toplinu ili otkucaje srca. Postoji i druga skupina biometrijskih tehnika koja se temelji na prepoznavanju karakteristika ponašanja korisnika, na primjer kako osoba piše na tipkovnici, potpisuje se i sl. Uz prednosti biometrijskih tehnika ove tehnike imaju i svoje nedostatke – visoku cijenu uređaja za skeniranje i korisnike koji često teško prihvaćanju nove tehnologije.

https://www.microsoft.com/es-xl/security/pc-security/password-checker.aspx


IT-sigurnost (F400)

67

3.7. Vježba: Odabir i uporaba lozinki

1. Pružatelj internetskih usluga instalirao Vam je hardver i softver da biste mogli neometano bežično pristupati svojim najdražim web-stranicama i društvenim mrežama. Serviser Vam je postavio i lozinku za pristup mreži da biste mogli bezbrižno surfati. Što je potrebno napraviti prije sljedećeg spajanja na bežičnu mrežu?

____________________________________________________

2. Svako koliko vremena treba mijenjati postavljenu lozinku?

____________________________________________________

3. U Microsoftovu sigurnosnom centru (https://www.microsoft.com/es-xl/security/pc-security/password-checker.aspx) upišite jednu od lozinki kojom se koristite za pristup svojem računu e-pošte i provjerite njezinu snagu. Zapišite rezultat:

____________________________________________________

4. Pokušajte smisliti lozinku na temelju dobre politike lozinki. Možete zamisliti neku frazu, npr.„svako jutro jedno jaje organizmu snagu daje“ te zabilježiti prva slova „sjjjosd“. Trenutačno se radi o lozinci sa šest znakova pa je svakako treba proširiti. Možete dodati i riječ „kokoš“, s tim da prvo slovo bude veliko K, umjesto o upišete nule, a umjesto š, specijalni znak $. Lozinka bi u tom slučaju bila „sjjjosdK0k0$“. Lozinku koju ste sami smislili provjerite u Microsoftovu sigurnosnom centru.

____________________________________________________

5. Navedite sve tehnike kontrole pristupa koje znate.

____________________________________________________

6. Ako se želite povezati s prijateljem na drugoj lokaciji preko javne mrežne infrastrukture sigurnim kanalom, koristit ćete se ovom tehnologijom (zaokružite):

a) LAN

b) WAN

c) VPN

d) WEP

7. Objasnite razliku između autentikacije i autorizacije.

____________________________________________________



IT-sigurnost (F400)

68


Vrste mreže i mrežna administracija

Postavke vatrozida

Osnovni pojmovi bežične sigurnosti

Kontrola pristupa lozinkama i biometrijskim tehnikama

IT-sigurnost (F400)

69

4. Sigurno pregledavanje weba


procijeniti sigurnost web-mjesta uočavanjem vrste protokola

(HTTPS) i provjerom digitalnih certifikata

objasniti ulogu kolačića i upravljati postavkama za kolačiće u

pregledniku Internet Explorer

upravljati postavkama automatskog dovršavanja i popunjavanja

obrazaca u Internet Explorer pregledniku

postaviti roditeljski nadzor u Windows 7 operacijskom sustavu

prepoznati opasnosti društvenih mreža i iskoristiti odgovarajuću

prevenciju i zaštitu u vidu dodatnih provjera i postavki privatnosti.

U sustavu Windows 7 kroz Upravljačku ploču, u dijelu koji se odnosi na Mrežu i internet i odabirom odjeljka Internetske mogućnosti, korisnicima je na raspolaganju niz mogućnosti za podešavanje razine sigurnosti kod pristupa internetskim „zonama“.

Kao zone navode se općenito internetska mjesta, lokalna intranetska mjesta kojima se pristupa internetskim preglednikom i mjesta koja su označena kao pouzdana ili ograničena.

Za svaku od navedenih zona korisnik može pregledati ili promijeniti sigurnosne postavke uz napomenu da se za većinu web-mjesta preporučuje (i zadana je) srednja do visoka razina sigurnosti. Moguća je i prilagodba razine sigurnosti (klikom mišem na Prilagođena razina).

IT-sigurnost (F400)

70

4.1. Sigurna web-mjesta

Pregledavanje weba i poduzimanje određenih aktivnosti na web-mjestima, kao što su financijske transakcije, treba obavljati s posebnom pažnjom. Web nije sigurno mjesto pa tako 85 % ukupnog štetnog softvera, uključujući viruse, crve, špijunski softver, oglašivački softver i trojance, dolazi upravo s weba. Prema skeniranju weba, koje provodi SophosLabs, na dnevno se pronađe 30.000 novih štetnih web-mjesta, pri čemu 80 % njih predstavlja legitimna web-mjesta. Iako se možda čini kako se većina prijetnji s weba krije na pornografskim stranicama, stranicama za kockanje ili stranicama za ilegalno preuzimanje, situacija je zapravo drugačija. Kada bi se štetan softver skrivao samo na navedenim stranicama, problem bi se jednostavno rješavao URL-filterom koji bi blokirao navedene stranice. Na slici koja prikazuje kategorije web-mjesta prema zaraženosti štetnim softverom može se uočiti da su stranice za odrasle zastupljene tek s 2%, a blogovi, web-hosting i poslovna web-mjesta znatno su osjetljivija.

Izvor: TechNewsDaily Pharming

Pharming predstavlja prijevaru prilikom koje se štetni kôd instalira na osobno računalo ili na poslužitelj usmjeravajući korisnike na lažne web-stranice, bez njihova znanja i pristanka. Naziva se još i „pecanje bez mamca“. Dok se kod pecanja ili phishinga žrtvama šalje mail s poveznicom na lažne web-stranice u svrhu prikupljanja osobnih ili financijskih transakcija, kod pharminga korisnik ne treba poduzimati svjesne akcije kao što je otvaranje poveznice. Na primjer, u jednom od oblika pharminga, kôd poslan u poruci e-pošte može promijeniti lokalne datoteke na osobnom računalu pa se računalo korisnika automatski može usmjeravati na lažne web-stranice, čak i ako korisnik u pretraživaču upiše ispravnu web-adresu.


Brojna legitimna web-mjesta bila su napadnuta štetnim softverom Darkleech. Zaraženi web-poslužitelji distribuirali su poprilično štetan softver Nymaim (ransomware) koji je šifrirao

korisničke datoteke i(li) zaključavao računalo te zahtijevao novčanu isplatu za njihovo otključavanje. Taj štetni softver u je Hrvatskoj bio poznat pod nazivima „Policijski virus“, „MUP virus“ ili „FBI“.


Svakodnevno se webom

koristi više od 2,7 milijardi ljudi, koji postavljaju u prosjeku 3 milijarde upita. Dostupno je oko 700 milijuna web-stranica, a njihov broj raste po stopi od 10 % godišnje.

IT-sigurnost (F400)

71

Jednokratne lozinke (engl. one-time password – OTP)

Jednokratne lozinke vrijede za samo jednu prijavu ili transakciju na računalnom sustavu. Njihovom upotrebom izbjegava se niz nedostataka povezanih sa statičkim lozinkama za provjeru autentičnosti. Ta vrsta lozinki nije, na primjer, osjetljiva na ponavljanje napada, jer ako je napadač i uspio snimiti jednokratnu lozinku prilikom njezina unosa, neće ju moći iskoristiti s obzirom da ona nakon prve uporabe postaje nevažeća. Implementacija jednokratne lozinke za provjeru autentičnosti obično podrazumijeva pristup nečemu što osoba posjeduje (npr. čitač kartice, pametna kartica, TAN-kartica i sl.) i nešto što osoba zna (npr. PIN). HTTPS

U slučaju kada je sadržaj ili dio sadržaja na web-mjestima osjetljive prirode (npr. osobni podaci, brojevi kreditnih kartica, korisnička imena i lozinke) ili su na njemu postavljena ograničenja s obzirom na pristup (autentikacija), obično se na takvim mjestima koristi HTTPS. Zapravo se radi o HTTP-u preko SSL-a (engl. Secure Socket Layer) koji radi na portu 443 umjesto porta 80, koji je uobičajen za web-promet, pa HTTPS predstavlja šifriranu verziju HTTP-a. SSL je razvila tvrtka Netscape, kojoj je cilj bio pružiti sigurnost kod prijenosa podataka na Internetu. U Netscapeu su prepoznali potrebu da se razvije proces koji će osigurati tajnost prilikom unosa i prijenosa podataka na webu, jer su smatrali da bi bez takvog postupka mali broj korisnika bio spreman na webu upisivati brojeve svoje kreditne kartice.

SSL radi na principu postavljanja kriptiranog tunela između preglednika i web-poslužitelja kojim se podaci mogu sigurno prenositi. Eventualni napadi prisluškivanjem na povjerljivost podataka između preglednika i web-poslužitelja odbijaju se šifiriranjem podataka. Integritet podataka štiti se algoritmom hashing.

Simbol lokota

Klikom mišem na simbol lokota u adresnoj traci Internet Explorera prikazuju se podaci o digitalnom certifikatu posjećenog web-mjesta.

IT-sigurnost (F400)

72

U konkretnom primjeru prikazani su podaci o izdavaču digitalnog certifikata „Geo Trust Global CA“, identificirano web-mjesto „mail.google.com“, naznaka da je veza s web-poslužiteljem šifrirana te poveznica do digitalnog certifikata. Digitalni certifikat

Digitalnim certifikatom web-mjesta utvrđuje se identitet web-poslužitelja, koji omogućuje uspostavljanje sigurne veze preglednika instaliranog na računalu s web-mjestom. Na slikama je prikazan mogući sadržaj digitalnog certifikata. U svojem najjednostavnijem obliku digitalni certifikati mogu sadržavati ime i adresu pojedinca / osobu, datum isteka certifikata, serijski broj certifikata i javni ključ. Međutim, najvažnije je da digitalni certifikat elektronički potpiše certifikacijsko tijelo koje ga je izdalo koristeći se privatnim ključem. Naravno, digitalni certifikat može sadržavati i druge podatke ovisno o vrsti certifikata.

Preglednik Internet Explorer (IE) provjerava certifikate web-mjesta koje korisnik posjećuju i obavještava o pogrešci ako postoji problem s certifikatom ili njegovim korištenjem. Moguće je da je na certifikatu došlo do pogreške, da je netko presreo vezu između web-preglednika i web-mjesta ili da je identitet web-mjesta lažan. S obzirom da postoji nekoliko mogućnosti zbog kojih IE može javljati pogrešku vezanu za certifikat, daje se njihov pregled u tablici.


Upozorenje o certifikatu može se pojaviti i iz benignih razloga, pa posjetite takvo web-mjesto samo ako ste u potpunosti sigurni u identitet web-mjesta (znate da veza nije bila ugrožena i razumijete sigurnosni rizik).

IT-sigurnost (F400)

73

Upozorenja IE vezana za Digitalni certifikat

Sigurnosni rizik

Certifikat web-mjesta je opozvan

Certifikat web-mjesta je lažan ili ga web-mjesto koristi za prijevare.

Certifikat web-mjesta je istekao

Web-mjesta kojima je istekao rok valjanosti certifikata ne bi trebalo posjećivati, jer mogu predstavljati sigurnosni rizik.

Certifikat web-mjesta nije iz pouzdanog izvora

IE ne prepoznaje certifikacijsku kuću koja je izdala certifikat. Korištenje lažnim certifikatima koje IE ne prepoznaje često je kod web-mjesta na kojima se obavlja krađa identiteta, prikupljanje osjetljivih podataka i sl.

Problem s certifikatom web-mjesta

Moguće je da je certifikat web-mjesta izmijenjen ili nečitljiv IE-u; u svakom slučaju treba izbjegavati posjet takvim stranicama.

U slučaju da korisnik zanemari upozorenje Internet Explorera i pristupi web-mjestu, novo upozorenje neće se prikazivati sve do ponovnog pokretanja IE-a. Navedene provjere certifikata i upozorenja u pregledniku IE ne mogu se isključiti.

Ako se web-mjesto ne koristi protokolom HTTPS i nema certifikat, moguće je provjeriti postoje li određeni sigurnosni problemi. U izborniku

programa Internet Explorer 11 pod nazivom Alati , pa Sigurnost, odabirom mogućnosti Provjeri ovo web-mjesto preglednik radi provjeru (SmartScreen) web-mjesta prema već prijavljenim web-mjestima, a koja se bave krađom identiteta ili sadrže zlonamjeran softver. Ako SmartScreen nije uključen, moguće ga je (i preporučeno uključiti) na istom izborniku.

IT-sigurnost (F400)

74

Ako navedena provjera pronađe web-mjesto u popisu nesigurnih, prikazat će se upozorenje uz obavijest da je mjesto blokirano iz sigurnosnih razloga.

IT-sigurnost (F400)

75

4.2. Vježba: Prepoznavanje sigurnih web-mjesta

1. Što označava HTTPS u adresi web-mjesta?

____________________________________________________

2. Kako se može pregledati digitalni certifikat web-mjesta?

____________________________________________________

3. Jeste li bili u situaciji da ste trebali posjetiti web-mjesto iako je preglednik dojavio pogrešku certifikata? Što ste time riskirali?

____________________________________________________

4. U pregledniku učitajte stranicu https://abc.srce.hr. O kakvom se web-mjestu radi? Do kada vrijedi certifikat i koja mu je namjena?

____________________________________________________

____________________________________________________

https://abc.srce.hr/

IT-sigurnost (F400)

76

4.3. Kolačići (engl. Cookies)

Kolačić je manja datoteka koju web-poslužitelj pohranjuje na računalo korisnika. U pravilu kolačić može dohvatiti / pročitati samo web-poslužitelj koji ga pohrani. Kolačić ima određeni vijek trajanja, a obično istekne u roku od godine dana. Uobičajena je upotreba kolačića za pohranu i memoriranje predmeta za vrijeme kupovine u web-trgovini, odnosno za održavanje popisa predmeta u „košarici“.

Drugi je primjer upotrebe kolačića spremanje lozinki ili drugih podataka za autentikaciju tako da se korisnik ne mora prijavljivati na svakoj stranici. Tako kolačići poboljšavaju iskustvo pregledavanja web-stranica s obzirom na to da pamte preferencije korisnika, ubrzavaju upisivanje podataka i slično.

Međutim, rizik korištenja kolačića proizlazi iz neovlaštenog pristupa sadržajima kolačića. To može biti posebno rizično kada kolačići sadrže lozinke ili druge informacije za autentikaciju, čime pojedinac može dobiti neovlašten pristup stranicama ili podacima korisnika. Još je jedan primjer zlouporabe kolačić koji sadrži podatke o predmetima i cijenama u kojem se može promijeniti cijena predmeta.

Kolačići se mogu u potpunosti blokirati ili se mogu prilagoditi za pojedina web-mjesta.

Prije je prikazano kako pristupiti izborniku Internetske mogućnosti (kroz Upravljačku ploču, odjeljak Mreža i Internet). Isti izbornik dostupan je i kroz preglednik Internet Explorera

(Alati pa Internetske mogućnosti). Postavke kolačića mijenjaju se na kartici Privatnost.

Klizačem je korisniku na raspolaganju određivanje razine postavki kolačića. Da bi se odredilo koje su vrste kolačića blokirane ili


Kolačić može biti pohranjen kao čisti tekst ili može biti šifriran. Razlikuju se i trajni (engl. persistent) kolačići, koji su pohranjeni i dostupni i nakon što korisnik zatvori preglednik, i nepostojani (engl. non-persistent), koji se ne zapisuju na tvrdi disk, ali su učitani u memoriju računala dok god je preglednik otvoren.

IT-sigurnost (F400)

77

dopuštene, treba pomaknuti klizač. Za blokiranje ili dopuštanje određenih web-mjesta treba ažurirati popis koji je dostupan klikom mišem na Mjesta. Na raspolaganju su još i mogućnosti Uvoz, za učitavanje datoteke s preferencama zaštite privatnosti, te Dodatno, za napredne postavke zaštite privatnosti za određene vrste kolačića. Moguće je i vraćanje zadanih postavki klikom mišem na Zadano. Promjene se potvrđuju klikom mišem na U redu.

Ipak, treba biti svjestan da se blokiranjem kolačića može onemogućiti pravilan prikaz nekih stranica. Za dopuštanje kolačića u istom izborniku treba ili izričito navesti mjesto za koje se dopušta upotreba kolačića ili klizačem odabrati nižu razinu koja dopušta kolačiće.

IT-sigurnost (F400)

78

4.4. Vježba: Izbor postavki za preuzimanje/blokiranje kolačića

1. U izborniku Internetske mogućnosti postavite razinu privatnosti na visoku. Što od zadanih mogućnosti podrazumijeva ta razina privatnosti?

____________________________________________________

____________________________________________________

2. Za http://www.srce.unizg.hr dopustite korištenje kolačića bez obzira na postavljenu razinu privatnosti.

3. Promislite i navedite koja razina privatnosti odgovara Vašim navikama pregledavanja internetskih sadržaja i zašto?

____________________________________________________

____________________________________________________

http://www.srce.unizg.hr/

IT-sigurnost (F400)

79

4.5. Automatsko dovršavanje i spremanje pri popunjavanju obrasca

Pamćenje lozinki za web-mjesta i drugih podataka koje korisnici unose u web-obrasce praktično je kada korisnik često posjećuje web-mjesta na koja se mora prijaviti (na primjer, pristup e-pošti). Kod prvog unosa lozinke, ako je tako podešeno, Internet Explorer pitat će korisnika želi li da zapamti korisničko ime i lozinku. Pri sljedećoj posjeti web-mjestu, kada korisnik počne unos korisničkog imena, preglednik će popuniti podatke o računu do kraja. Tako se poboljšava korisničko iskustvo i ubrzava unos podataka u web-obrasce.

Spremanje lozinki je po zadanim postavkama uključeno. Promjena, odnosno isključivanje i podešavanje drugih mogućnosti automatskog dovršavanja i spremanja podataka pri popunjavanju obrazaca dostupno je kroz Internetske mogućnosti, na kartici Sadržaj, odjeljak Samodovršetak (okvir Korisnička imena i lozinke na obrascima).

U istom se izborniku podešava i mogućnost popunjavanja obrazaca pomoću samodovršetka (okvir Obrasci).

Ako je uključeno automatsko dovršavanje obrazaca, pri unosu podataka kao što su adresa e-pošte, broj telefona i slično, štedi se vrijeme s obzirom na to da su podaci već ponuđeni.

Za brisanje povijesti samodovršetka na računalu u istom izborniku treba u odjeljku Samodovršetak odabrati Postavke, a zatim i Izbriši povijest samodovršetka.


Spremanje korisničkih imena i lozinki predstavlja određeni sigurnosni rizik.

Stoga je važno voditi računa o tome da se računalo zaključa kada se ne koristi. U slučaju prijave na web-mjesto na drugom, javnom računalu, treba provjeriti pamti li računalo korisnička imena i lozinke te izbrisati povijest samodovršetaka.

Pored lozinki, treba voditi računa i tome jesu li na računalo kojim se koriste i drugi korisnici upisani i zapamćeni podaci kao što je na primjer broj kreditne kartice.

IT-sigurnost (F400)

80

4.6. Brisanje podataka iz preglednika

Redovito brisanje podataka iz preglednika, kao što su, na primjer, podaci o pregledanim web-mjestima, korisno je radi očuvanja privatnosti korisnika. Posebno je to važno u slučajevima kada više korisnika dijeli računalo ili kada se koristi računalo na javnom mjestu s obzirom da preglednik može biti postavljen tako da pamti lozinke, kolačiće i sl.

Za brisanje povijesti, odnosno drugih podataka iz preglednika, potrebno

je u Internet Exploreru kliknuti mišem na ikonu Alati ( ) pa iz izbornika Sigurnost odabrati Brisanje povijesti pregledavanja.

U ponuđenom izborniku korisnik bira tipove podataka koje želi izbrisati iz memorije te kliknuti na Izbriši. Pri brisanju povijesti pregledavanja moguće je odabrati što se sve briše:

Omiljena mjesta – U slučaju da je označena mogućnost Sačuvaj podatke o omiljenim web-mjestima, neće se izbrisati privremene datoteke i kolačići web-mjesta koja su označena kao omiljena. Tako se omogućava brži rad na mjestima koje korisnik češće posjećuje.

Privremene internetske datoteke i datoteke web-mjesta – Brišu se kopije web-mjesta, multimedijski sadržaji koji su privremeno pohranjeni, preuzeti na osobno računalo. Ti se podaci koriste da bi se pri sljedećim učitavanjima tog sadržaja ili web-mjesta podaci što brže učitali.

Kolačići i podaci s web-mjesta – Brišu se kolačići pohranjeni na računalo.

Povijest – Briše se popis web-mjesta koje je korisnik posjetio.

Povijest preuzimanja – Briše se popis datoteka preuzetih s interneta. Važno je da se ne brišu same datoteke pa je potrebno redovito provjeriti gdje se spremaju datoteke i prema potrebi izbrisati navedene datoteke.

Podaci u obrascima – Brišu se podaci koje je korisnik unio u obrasce kao što su e-mail adresa, adresa za dostavu i slično.

Lozinke – Brišu se pohranjene lozinke koje je korisnik unosio pri prijavama na web-mjesta.

IT-sigurnost (F400)

81

Podaci značajki zaštite od praćenja, ActiveX filtriranja i „Do Not Track“ – Briše se popis web-mjesta koja su isključena iz filtriranja i podaci kojima se preglednik koristi da bi se otkrila web-mjesta koja bi mogla automatski dijeliti detalje o web-posjetama.

Moguće je postaviti i automatsko brisanje povijesti pregledavanja i drugih podataka (privremene internetske datoteke, kolačići, lozinke, podaci u obrascima) svakog puta kada se zatvori preglednik. Postavljanje je moguće kroz izbornik Internetske mogućnosti, na kartici Općenito u odjeljku Povijest pregledavanja označavanjem mogućnosti Izbriši povijest pregledavanja pri izlasku te klikom mišem na Primijeni.

IT-sigurnost (F400)

82

4.7. Softver za kontrolu sadržaja

Postavljanje roditeljskog nadzora

Windows nudi skup kontrola koje omogućuju ograničavanje vremena koje djeca mogu provesti na računalu, vrstu igara koje mogu igrati i određenih programa koje mogu pokretati. Ta mogućnost nije nužno dostupna u svim inačicama sustava Windows. Pomoću značajke roditeljskog nadzora (dostupno kroz Upravljačku ploču, odjeljak Korisnički računi i obiteljska sigurnost pa Roditeljski nadzor) korisnik može upravljati načinom na koji se djeca koriste računalom, uključujući korištenje Interneta.

Za korištenje mogućnosti roditeljskog nadzora korisnik u ulozi administratora treba izraditi novi standardni korisnički račun (ili više njih) za korisnike kojima želi ograničiti vrijeme rada ili pokretanje programa (također dostupno kroz Upravljačku ploču, odjeljak Korisnički računi i obiteljska sigurnost pa Korisnički računi).

Za postavljanje ograničenja u korištenju računala u izborniku Roditeljski nadzor treba odabrati standardni korisnički račun za koji se želi postaviti značajka roditeljskog nadzora. U lijevom oknu zatim se odabere mogućnost Postavljanje roditeljskog nadzora, a zatim se u novom izborniku Nadzor korisnika u odjeljku


Istraživanje o učincima korištenja računala i Interneta na djecu ograničena su i često nisu kontrolirana s obzirom na prisutnost drugih čimbenika, što dovodi do oprečnih rezultata. Međutim, ujednačen je stav i zabrinutost da djeca na Internetu mogu biti izložena eksplicitnom sadržaju, seksualnom iskorištavanju, nasilju i drugim neprimjerenim sadržajima.

IT-sigurnost (F400)

83

Roditeljski nadzor odabere Uključeno, provodi trenutne postavke.

Kad je značajka roditeljskog nadzora uključena, za pojedinog se korisnika mogu prilagoditi sve ili neke od navedenih pojedinačnih postavki:

Vremenska ograničenja

Ta mogućnost omogućuje postavljanje nadzora vremena u kojem se korisnik koristi računalom, odnosno razdoblje u kojem je moguća prijava na računalo. Kroz izbornik se može postaviti jedno ili više razdoblja u svakom danu tjedna. Po isteku razdoblja u kojem je moguća prijava na računalo, kontrola roditeljskog nadzora automatski odjavi korisnika.

Igre

Osim odabira između dviju mogućnosti – mogu li korisnici igrati igre ili ne, uputno je prema standardnoj klasifikaciji igara prema dobi postaviti razinu igara koja je dopuštena. Dodatno je moguće izričito dopustiti ili blokirati pojedine instalirane igre.

IT-sigurnost (F400)

84

Dopusti i blokiraj određene programe

Pored izričitog dopuštanja ili blokiranja pokretanja instaliranih igara, također se mogu blokirati pojedinačni programi. Po odabiru mogućnosti Djeca smiju koristiti samo programe koje dopustim, ažurira se popis instaliranih programa u kojem se pojedinačno označavaju programi čije je izvođenje dopušteno.

U trenutku kad je standardnom korisniku računala nad kojim je aktiviran roditeljski nadzor onemogućeno pokretanje određenog programa ili igre, prikazuje se obavijest da je program blokiran. U tom slučaju standardni

IT-sigurnost (F400)

85

korisnik može zatražiti dopuštenje za pristup programu ili igri, a pristup se može dopustiti unosom podataka o računu.

Filtriranje internetskih sadržaja

Pored prikazanih mogućnosti za roditeljski nadzor na samom računalu, moguće je i filtriranje internetskih sadržaja te izvještavanje o aktivnostima na webu za pojedinačne korisnike. Za korištenje tih naprednijih funkcionalnosti potrebno je instalirati dodatne kontrole, ako već nisu instalirane na računalu. Za instaliranje dodatnih kontrola korisnika se upućuje na web-izvore kroz Upravljačku ploču, zatim Korisnički računi i obiteljska sigurnost pa Roditeljski nadzor. U odjeljku Dodatne kontrole klikom mišem na poveznicu Kako se instaliraju dodatne kontrole? objašnjava se funkcionalnost i način instaliranja kontrola.

Kako bi se te kontrole dodale i postavile, treba ih preuzeti s web-mjesta http://windows.microsoft.com/hr-hr/windows-live/essentials-other.

S obzirom na to da se radi o paketu Windows Essentials, instalacijski paket dolazi i s drugim programima, pored kontrola Obiteljske sigurnosti, pa ih je moguće uključiti ili isključiti iz instalacije.

Pomoću značajke Obiteljska sigurnost može se postaviti filtriranje weba i nadzor aktivnosti za djecu, odnosno mogu se pratiti računalne aktivnosti djece i filtrirati sadržaj koji djeca smiju vidjeti na webu.


Prije instalacije može se klikom mišem na Start i

upisom u okvir za pretraživanje „Obiteljska sigurnost za Windows Live“ provjeriti jesu li navedene kontrole već instalirane.

http://windows.microsoft.com/hr-hr/windows-live/essentials-other

IT-sigurnost (F400)

86

Za korištenje Obiteljske sigurnosti treba izraditi Microsoftov račun i s njim se prijaviti u sustav koji se postavlja prije prvog korištenja.

Prijavom u Obiteljsku sigurnost prikazuju se korisnički računi čije se korištenje Interneta nadzire te se administratora upućuje na web-mjesto http://familysafety.microsoft.com.

Navedenom web-mjestu može se pristupati s bilo kojeg računala te se može pratiti aktivnosti nadziranih korisnika na Internetu, izrađivati izvješća i sl.

http://familysafety.microsoft.com/

IT-sigurnost (F400)

87

Na web-mjestu Obiteljska sigurnost, moguće je među ostalim:

Uključiti izvještavanje o aktivnostima i tako imati pristup detaljnim izvještajima o tome koliko su nadzirani korisnici provodili vremena uz računalo, koja su web-mjesta posjetili (i pokušali posjetiti, a blokirana su) i kojim su se programima koristili.

Postaviti, tj. odabrati filtere za web-mjesta koja su primjerena nadziranim korisnicima. Pri prvoj posjeti razina filtriranja je postavljena na osnovnu razinu, a moguće je odabrati i iznimno strogu (gdje korisnik smije posjetiti samo popis dopuštenih web-mjesta) ili prilagođenu – namijenjeno djeci ili za široku publiku.

Kad je web-mjesto blokirano, korisniku se prikazuje stranica na kojoj

može zatražiti dopuštenje za pristup web-mjestu, što se administratoru –

roditelju prikazuje u izborniku Zahtjevi.

IT-sigurnost (F400)

88

Pored nadziranja internetskih sadržaja na računalu, moguće je korištenjem istog alata postaviti i nadziranje korištenja uređaja Windows Phone i Xbox.

4.8. Sigurno korištenje društvenih mreža

Društvene mreže temelje se na povezivanju i komunikaciji različitih osoba i skupina pa od korisnika za pristup traže određenu količinu osobnih informacija. Brojni su razlozi zbog kojih korisnici društvenih mreža objavljuju informacije koje inače ne bi objavili da kontakt ostvaruju osobno, a ne virtualno. Na primjer, Internet većini korisnika pruža osjećaj anonimnosti, nedostatak fizičke interakcije stvara lažan osjećaj sigurnosti. Korisnici također zaboravljaju da informacije objavljene za prijatelje često postaju dostupne i drugima, a objavljuju se i informacije koje inače ne bi objavili, a sve u svrhu impresioniranja online zajednice.

Dostupnost osobnih informacija na društvenim mrežama pruža online predatorima mogućnost da iskoriste neopreznost pojedinaca (cyberbullying i online grooming objašnjavaju se u nastavku). Osobni podaci mogu se koristiti i za provođenje napada društvenog inženjeringa, pa primjerice napadači lažnim predstavljanjem podatke o mjestu stanovanja, hobijima, prijateljima, mjestima na kojima korisnici provode odmor mogu iskoristiti za stvaranje povjerenja te pridobivanje financijskih informacija ili detaljnijih osobnih podataka.

Za bolju sigurnosnu zaštitu na društvenim mrežama treba:

ograničiti količinu objavljenih osobnih informacija

biti svjestan da objavljene informacije mogu vidjeti i drugi pa

objavljivati samo informacije koje želite podijeliti sa svima

podesiti sigurnosne postavke profila

biti oprezan s dodacima / aplikacijama za igru i zabavu

provjeravati politike privatnosti

redovito ažurirati web-preglednik i operacijski sustav

koristiti se i održavati anti-virusni softver.

IT-sigurnost (F400)

89

Na slici su prikazane sigurnosne postavke jedne od društvenih mreža, LinkedIna (http://www.linkedin.com), najveće svjetske mreže orijentirane na poslovne korisnike koja broji više od 300 milijuna korisnika u 200 zemalja.

Većina mreža omogućava korisnicima da postave koja će razina podataka biti dostupna široj javnosti (kao što su na primjer ime i prezime korisnika), a ostale se informacije mogu skriti ili otkriti drugim tipovima korisnika, npr. određenim skupinama, „vezama“ ili „prijateljima“, ovisno o kojoj se društvenoj mreži radi.

Mnoge društvene mreže uvode različite razine sigurnosnih provjera da bi osigurale da računima pristupa isključivo korisnik. U slučajevima kada se korisnik prijavljuje na mrežu s nepoznate lokacije ili uređaja, ili ako se algoritmima uoči neuobičajeno ponašanje, može se od korisnika tražiti dodatna provjera.

Kao dodatne su provjere uobičajene:

CAPTCHA („Completely Automated Public Turing Test to Tell Computers and Humans Apart“) – Predstavlja uobičajeni sigurnosni test kojim se koriste web-mjesta da bi razlikovala osobu / korisnika od automatiziranog pokušaja prijave na račun od strane računala. CAPTCHA generira niz slučajnih brojeva i slova koji su blago distorzirani. Računalo ne može prepoznati o kojim se znakovima radi, za razliku od korisnika koji ih mogu prepoznati i unijeti te tako proći sigurnosni test. U slučaju kad korisnik zaboravi lozinku i više puta zaredom upiše pogrešnu, sustav pretpostavi da se radi o automatiziranom pokušaju „ulaska“ u račun i prikazuje CAPTCHA-sliku da bi verificiralo da se radi o pravom korisniku.

Verifikacija e-poštom – Pri prijavi na novu društvenu mrežu ili u slučaju neuobičajenog ponašanja na mreži na kojoj je korisnik već prijavljen, može se od korisnika zatražiti verifikacija klikom mišem na poveznicu koja se šalje e-poštom na adresu s kojom je korisnik registriran na mrežu.

http://www.linkedin.com/

IT-sigurnost (F400)

90

Verifikacija u dva koraka – Ponekad se od osobe zatraži više od jednog oblika verifikacije pri prijavi na korisnički račun kao što su ranije spomenuti „znati nešto“ i „imati nešto“. Verifikacija u dva koraka može spriječiti krađu identiteta na društvenim mrežama i neautorizirani pristup osjetljivim podacima. Ozbiljne društvene mreže podržavaju i ovaj oblik verifikacije tako da od korisnika zahtijevaju unos lozinke i numeričkog kôda koji se šalje na mobilni uređaj preko SMS-a u situacijama kada se računu pristupa s nekog drugog uređaja. U tom slučaju, kada se dogodi pokušaj pristupa računu, osoba bi trebala imati i lozinku i mobilni telefon.

Sigurno pregledavanje (HTTPS) društvene mreže - Korištenje sigurnog protokola za pristup web-sadržajima (https:// veza) već je prije predstavljeno. Često društvene mreže za učitavanje stranica koje od korisnika traže pristup osjetljivim podacima (lozinka, broj kreditne kartice ili slično) koriste protokol HTTPS iako je moguće i preporučeno čitavo vrijeme koristiti se tim protokolom pri pregledavanju stranice izmjenom http:// u https://.

Na slici je prikazano podešavanje značajki sigurnosti i privatnosti na društvenoj mreži Twitter. Svakako se preporuča dobro proučiti značajke sigurnosti i privatnosti svake društvene mreže na koju se korisnik pretplati s obzirom na to da ovisno o vrsti mreže možemo o sebi otkriti podatke koji mogu biti iskorišteni za otimanje identiteta, lažno predstavljanje i slično.

IT-sigurnost (F400)

91

Cyberbullying (prevodi se još i kao internetsko zlostavljanje ili kibernetička prijetnja) podrazumijeva korištenje informacijsko-komunikacijskih tehnologija u svrhu namjernog i ponavljajućeg neprijateljskog ponašanja pojedinca ili skupine prema drugoj osobi ili osobama. Manifestira se u rasponu od postavljanja zlonamjernih glasina ili tračeva o osobi na Internetu do osobne identifikacije žrtve i objavljivanja materijala koji ju teško vrijeđaju i ponižavaju.

Online grooming predstavlja proces u kojem se pomoću internetskih komunikacijskih alata kao što su aplikacije za istovremene poruke i društvene mreže nastoji steći povjerenje djece. Grooming je prilično drugačiji od cyberbullyinga iako se sam postupak provodi korištenjem sličnih online komunikacijskih alata. Međutim, sadržaj poruka je potpuno drugačiji. Dok je cyberbullyingu cilj povrijediti i poniziti svoje žrtve, grooming provode pedofili u svrhu seksualnog iskorištavanja djece.


Što su sigurna web-mjesta i kako ih prepoznati

Provjera digitalnog certifikata web-mjesta

Poznavanje pojma kolačić i njihove postavke u web-pregledniku

Postavke samodovršetka i brisanje podataka o pregledavanju weba

Softverski alati za kontrolu sadržaja

Sigurnosni aspekti i postavke pri korištenju društvenih mreža


Prema riječima šefa britanske agencije za zaštitu prava djece Facebook je u Velikoj Britaniji najčešće online mjesto na kojem se odvija grooming. Polovica svih

prijestupa seksualnog iskorištavanja djece odvija se na društvenim mrežama.

IT-sigurnost (F400)

92

IT-sigurnost (F400)

93

5. Online komunikacija


šifrirati i dešifrirati e-poštu korištenjem programa Outlook iz

paketa alata Microsoft Office 2010

prepoznati i koristiti digitalni potpis u online komunikaciji

uočiti, filtrirati i blokirati lažnu i neželjenu e-poštu te štetne

softvere u privicima

prepoznati opasnosti i koristiti mjere zaštite pri korištenju

istovremenih poruka.

5.1. Šifriranje i dešifriranje e-pošte

Šifriranje elektroničke pošte može se definirati kao transformacija izvornih podataka u šifrirani oblik koji može dešifrirati samo korisnik koji zna ključ na temelju kojeg su šifrirani izvorni podaci. Svi primatelji koji nemaju odgovarajući privatni ključ vide besmisleni tekst.

Da bi korisnik mogao slati i primati šifrirane poruke e-pošte, preduvjet je da pošiljatelj i primatelj razmijene svoje digitalne ID-oznake, odnosno certifikate javnih ključeva. Pritom pošiljatelj i primatelj moraju razmijeniti digitalno potpisane poruke da bi se certifikati druge osobe dodali u popis kontakata.

U programu Outlook upravljanje digitalnim ID-oznakama dostupno je kroz izbornik Datoteka, zatim Mogućnosti, Centar za pouzdanost, pa Postavke centra za pouzdanost na kartici Sigurnost e-pošte, a u odjeljku Šifrirana e-pošta moguće je postavljanje mogućnosti Šifriraj sadržaj i privitke izlaznih poruka.

IT-sigurnost (F400)

94

Osim poveznice na čarobnjak za uvoz i izvoz certifikata, korisnik se upućuje na niz uglavnom komercijalnih servisa koji izdaju digitalne ID-oznake, a koji su kompatibilni s programima paketa Office.

U nastavku je prikazano kako se izradom digitalne ID-oznake i njezinim uvozom u Outlook mogu potpisivati i šifrirati pojedinačne poruke e-pošte korištenjem komercijalnog rješenja Symantec.


Jedan od servisa za izdavanje i provjeru digitalnih ID-oznaka je i Symantec. Symantec je osnovan 1982. godine, a danas ima 18.500 zaposlenika u više od 50 zemalja. Pruža rješenja uglavnom na području sigurnog upravljanja podacima.

IT-sigurnost (F400)

95

Generirani i instalirani certifikat dokazuje identitet udaljenom računalu te služi za digitalno potpisivanje i šifriranje poruka e-pošte.

Uvozom navedenog certifikata (u Centru za pouzdanost, kartica Sigurnost e-pošte, mogućnost Uvoz/izvoz) korisniku se omogućava šifriranje pojedinačnih ili svih odlaznih poruka te njihovo digitalno potpisivanje.

IT-sigurnost (F400)

96

Šifriranje pojedinih poruka e-pošte

Ako korisnik ne želi šifrirati svu izlaznu poštu i privitke (kako je prije prikazano kroz izbornik Datoteka, zatim Mogućnosti, Centar za pouzdanost, kartica Sigurnost e-pošte, odjeljak Šifrirana e-pošta) može šifrirati pojedine poruke. Pri izradi nove poruke, na kartici Mogućnosti u skupini Evidentiranje ili Dodatne mogućnosti klikom

mišem na ikonu za svojstva poruke ( ) otvara se novi izbornik za promjene svojstava poruke.

U odjeljku Sigurnost mijenjaju se sigurnosne postavke poruke klikom mišem na Sigurnosne postavke.

IT-sigurnost (F400)

97

U okviru Svojstva sigurnosti, potvrdom okvira Šifriraj sadržaj poruke i privitke sastavljena potvrda poslat će se u šifriranom obliku.

Preporuča se šifriranje pojedinačnih odlaznih poruka s obzirom na to da nemaju svi potencijalni primatelji digitalni ID korisnika da bi mogli dešifrirati poruke, a ako se poruka ipak pošalje u šifriranom formatu, primatelju će biti nečitka. Outlook pri slanju poruke obavještava šalje li se poruka primatelju čije postavke e-pošte ne podržavaju šifriranje i pri tome nudi mogućnost slanja nešifriranih poruka. Slanjem šifrirane poruke šifriraju se i svi privici.

IT-sigurnost (F400)

98

5.2. Digitalni potpis

Digitalni ili elektronički potpis u Zakonu o elektroničkom potpisu definira se kao skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnost potpisanoga elektroničkog dokumenta.

Elektronički potpis je postupak kojim se dokument u elektroničkom obliku označava kao potpisan, pri čemu se sam postupak potpisivanja može obaviti biometrijskim sigurnosnim tehnikama, preko tokena, pametnim karticama i sl.

Da bi elektronički dokument bio prihvaćen, mora se temeljiti na prihvaćanju tehničke ispravnosti dokumenta, nepromjenjivosti sadržaja i vjerodostojnosti izvora, odnosno stvaratelja dokumenta, a to se može potvrditi elektroničkim potpisom.

Hrvatsko zakonodavstvo poznaje i napredni elektronički potpis koji ima istu pravnu snagu kao vlastoručni potpis i otisak pečata na papiru, ako je izrađen u skladu s odredbama Zakona o elektroničkom potpisu, a povezan je isključivo s potpisnikom te ga nedvojbeno identificira.

Za elektroničko potpisivanje dokumenata treba imati digitalni certifikat i aplikativno rješenje koje će omogućiti implementaciju potpisa na dokumente. Digitalni ili elektronički certifikat izdaje nezavisna institucija od povjerenja i autoriteta, koja može pouzdano uspostaviti zaštitu svih korisnika javnih ključeva tako da povezuje identitet korisnika s njegovim javnim ključem.

Krajnji korisnici mogu u Fini pribaviti ove certifikate za elektroničko potpisivanje:

Autentikacijski (normalizirani) certifikat – koristi se za autentikaciju, odnosno enkripciju (zaštitu tajnosti podataka) te za njihovu kombinaciju. Izdaje se na e-kartici Fine, na USB-tokenu ili kao certifikat za aplikacije koji se instalira na serveru na kojemu se nalazi aplikacija.

Potpisni (kvalificirani) certifikat - koristi se za elektroničko potpisivanje dokumenata ili transakcija naprednim elektroničkim potpisom u skladu sa Zakonom o elektroničkom potpisu. Jamči autentičnost, cjelovitost i izvornost te priskrbljuje neporecivost zamjenjujući u cijelosti vlastoručni potpis ili vlastoručni potpis i otisak pečata. Izdaje se na e-kartici Fine ili na USB-tokenu.

O digitalnom potpisu ili digitalnoj ID-oznaci bilo je riječi u prethodnom poglavlju. U programu Outlook, na isti način kao kod postavljanja šifriranja svih ili pojedinačnih poruka, mogu se digitalno potpisati:

sve izlazne poruke (klikom mišem na Datoteka, zatim Mogućnosti, Centar za pouzdanost, kartica Sigurnost e-pošte pa u odjeljku Šifrirana e-pošta označiti Dodaj digitalni potpis izlaznim porukama) ili

pojedinačne poruke (pri izradi nove poruke, na kartici Mogućnosti,

klikom mišem na ikonu za svojstva poruke , u odjeljku Sigurnost mijenjaju se sigurnosne postavke poruke klikom mišem na Sigurnosne postavke… Potvrdom okvira Dodaj digitalni potpis ovoj poruci sastavljenoj će se poruci dodati digitalni potpis).


Važno je znati kako je Financijska agencija za sada jedini registrirani izdavatelj digitalnih certifikata pri Ministarstvu gospodarstva. Više detalja o elektroničkom potpisu i aplikativnim rješenjima za e-poslovanje može se pronaći na stranici http://www.fina.hr.

IT-sigurnost (F400)

99

Ako poruka sadrži digitalni potpis, moguće ga je pogledati klikom mišem

na oznaku .

Za dodatne informacije o potvrdi koja se koristi za digitalno potpisivanje poruke klikom mišem na Pojedinosti prikazuju se svojstva sigurnosti poruke i digitalnog potpisa.

Pored prikazanih načina za upravljanje digitalnim certifikatima i digitalno potpisivanje poruka e-pošte korištenjem digitalnih ID-oznaka koje izdaju komercijalni davatelji usluga, poruke se mogu digitalno potpisivati i digitalnim ID-oznakama koje „izda“ sam korisnik. U nastavku su prikazane dvije digitalne ID-oznake – jedna od vanjskog pružatelja usluge, a druga vlastita koja je izdana upravo u svrhu potpisivanja dokumenata.

Digitalni potpis za PDF-datoteke može se dodati ako se koristi Adobe Acrobat, a potpis može biti vidljiv ili nevidljiv.

IT-sigurnost (F400)

100

U svrhu potpisivanja dokumenta moguće je koristiti i sliku vlastitog potpisa. Ta je mogućnost praktična kad korisnik treba skenirati dokument s vlastitim potpisom i poslati ga digitalnim putem. U tom slučaju može se dodati slika potpisa, digitalni potpis koji „izdaje“ sam korisnik. Dokument se zaključa lozinkom da bi se ograničile promjene u dokumentu (na primjer, brisanjem stranica ili dodavanjem komentara, uređivanjem, dokument gubi status „certificiranog“ dokumenta). Certifikacijski potpis dodaje se dokumentu u obliku plave ikone.

IT-sigurnost (F400)

101

5.3. Lažna i neželjena e-pošta

Lažna e-pošta šalje se na velik broj adresa primatelja pri čemu obično sadrži lažno predstavljanje (identitet) i lažne poveznice da bi se od primatelja prikupili osobni podaci ili izvršila financijska prijevara. To je tipičan primjer metode društvenog inženjeringa poznat pod nazivom pecanje ili phishing.

Primjer je lažna e-pošta u kojoj se pošiljatelj predstavljao za Poreznu upravu koja je napravila pogrešan obračun poreza te je od primatelja tražio osobne podatke kao što su ime, prezime, poštanski broj, datum rođenja, broj kreditne kartice i kontrolni broj kreditne kartice da bi se mogao izvršiti povrat poreza. Po spoznaji o širenju navedene prijevare Ministarstvo financija i Porezne uprave objavilo je obavijest na mrežnim stranicama:

„S obzirom da je riječ o lažnoj adresi e-pošte i da Porezna uprava na taj način od obveznika nikada ne traži osobne podatke niti vrši bilo kakve

uplate ili povrate poreza, obveznike molimo da na adresu e-pošte [email protected]

ne šalju osobne podatke te da takvu primljenu poruku odmah uklone sa svog računala“.

Svakodnevno se susrećemo s poplavom bezvrijedne e-pošte koja može doći u mapu Primljeno programa za primanje i slanje e-pošte. Outlook pomaže pri smanjenju količine neželjene pošte i prepoznavanju lažne pošte pomoću različitih filtera koji automatski provjeravaju ulazne poruke, a one za koje prema pravilima ocijeni da su lažne i neželjene, automatski pohranjuje u mapu Bezvrijedna e-pošta.

Određena opasnost postoji i u primanju poruka u formatu HTML od nepoznatih pošiljatelja s obzirom na to da se određene datoteke zbog svoje veličine i formata (slika, zvuk) „umeću“ kao poveznice do izvornih datoteka koje se nalaze na Internetu. Takav pristup nije nužno uvijek karakterističan za lažne pošiljatelje. On se često koristi i kao metoda za slanje manjih poruka, npr. newslettera, koji troše manje prometa. Ipak, pošiljatelji neželjene e-pošte kod automatskog preuzimanja HTML-sadržaja poruke i učitavanjem navedenih povezanih datoteka tako skupljaju važeće, odnosno „aktivne“ adrese e-pošte, a koje kasnije mogu prodati pošiljateljima neželjene e-pošte. Prema zadanim postavkama Outlook blokira automatsko preuzimanje slika. U slučaju da je moguće procijeniti da se radi o relevantnom ili poznatom pošiljatelju, dodavanjem pošiljatelja na popis sigurnih pošiljatelja može se omogućiti automatsko preuzimanje aktivnog sadržaja kao što je HTML.

Lažne poruke e-pošte često sadrže poveznice na stvarne logotipe i nazive organizacija i njihovih proizvoda (PayPal, Google, Yahoo i sl.) te izgledaju vjerodostojno. Međutim, prelaskom miša preko poveznice ili pregledom adrese e-pošte može se primijetiti da se ne radi o pošti koju je uputio taj pošiljatelj. Ipak, u brojnim slučajevima gotovo je nemoguće primijetiti da poveznice nisu vjerodostojne pa je važno koristiti se


Kroz upute za korištenje programa Microsoft Outlook

korisnike se upozorava da se vjerojatno radi o pokušaju prijevare ako se od korisnika e-poštom traži da:

otkrije osobne podatke nepoznatom izvoru

potvrdi valjanost podataka o računu uz prijetnju zatvaranja računa

proda predmet uz obećanje isplate koja je mnogo veća od vrijednosti predmeta

izvrši izravnu novčanu donaciju.

IT-sigurnost (F400)

102

ugrađenim filterima za bezvrijednu e-poštu programa Outlook. Ako filter ne pronađe dovoljno dokaza da je poruka neželjena (spam), ali pronađe elemente koji upućuju na to da se radi o lažnoj poruci kojom se pokušava krađa identiteta, poruka e-pošte ostaje u mapi Primljeno, ali na poveznice se ne može kliknuti mišem niti se na poruku može odgovoriti bez onemogućavanja automatskog blokiranja.

Poruke koje su poslane u mapu Bezvrijedna pošta pretvaraju se u običan tekst (za razliku od HTML-a), a sve poveznice se onemogućuju.

U članku Zaštita od krađe identiteta i ostalih oblika internetskih prijevara navode se ove najbolje prakse kako bi se izbjeglo nasjedanje na internetske prijevare:

„Nikad ne odgovarajte na poruke e-pošte u kojima se traže vaši osobni podaci. Budite vrlo sumnjičavi prema porukama e-pošte koje dolaze od tvrtke ili osobe koja traži vaše osobne podatke te prema onima u kojima vam se šalju vaši osobni podaci i traži da ih ažurirate ili potvrdite. Umjesto toga, upotrijebite telefonski broj iz nekog prethodnog dopisa da biste nazvali tu tvrtku. Ne zovite broj koji se navodi u poruci e-pošte. Isto tako, nikad ne odajte osobne podatke nekome tko vas je nazvao, a da to niste zatražili.

Nemojte kliknuti veze u sumnjivim porukama e-pošte. Nemojte kliknuti vezu u sumnjivoj poruci e-pošte. Ta veza možda nije vjerodostojna. (...) Veze iz poruka ne kopirajte i ne lijepite ih u preglednik.

Osobne podatke ne šaljite u običnim porukama e-pošte. Obične poruke e-pošte nisu šifrirane i slične su slanju razglednice. Ako za osobne transakcije morate koristiti poruke e-pošte, koristite Outlook da biste digitalno potpisali i šifrirali poruke pomoću sigurnosne značajke S/MIME.

Poslujte samo s poznatim i pouzdanim tvrtkama. (...) Web-mjesto tvrtke bi uvijek trebalo imati izjavu o zaštiti privatnosti u kojoj se navodi da tvrtka neće prosljeđivati vaše ime i podatke nekom drugom.

Provjerite koristi li web-mjesto šifriranje. U adresnoj traci preglednika prije web-adrese umjesto uobičajenog prefiksa http:// trebao bi se nalaziti prefiks https://. (...) Ako sumnjate da web-mjesto nije ono koje bi trebalo biti, istog trena napustite to web-mjesto i prijavite ga. Ne slijedite upute navedene na tom web-mjestu.


Članak „Zaštita od krađe identiteta i ostalih oblika internetskih prijevara“ dostupan je u cijelosti na adresi https://support.office.com/hr-HR/article/Za%C5%A1tita-od-kra%C4%91e-identiteta-i-ostalih-oblika-internetskih-prijevara-f84750b4-2f2c-46c3-89f6-e65f7f8c3546

https://support.office.com/hr-HR/article/Za%C5%A1tita-od-kra%C4%91e-identiteta-i-ostalih-oblika-internetskih-prijevara-f84750b4-2f2c-46c3-89f6-e65f7f8c3546






IT-sigurnost (F400)

103

Nadzirite svoje transakcije. Pregledavajte potvrde narudžbi te izvatke koje dobivate od banaka i izdavača kreditnih kartica kada ih primite da biste bili sigurni da vam se naplaćuju samo transakcije koje ste izvršili.

Za transakcije putem interneta koristite kreditne kartice. U većini zemalja vaša je osobna odgovornost u slučaju zloupotrebe vaše kreditne kartice znatno ograničena. Suprotno tome, ako koristite debitnu karticu, osobno ste odgovorni za plaćanja u visini cjelokupnog iznosa na vašem bankovnom računu. Osim toga, na internetu je bolje koristiti kreditnu karticu s niskim limitom jer to ograničava količinu novca koju lopov može ukrasti u slučaju zloupotrebe kratice.“

Periodički treba pregledati i poruke u mapi Bezvrijedna e-pošta s obzirom na to da se nekad, na temelju određenih strogih pravila, u tu mapu mogu smjestiti i poruke upućene korisniku koje je poslao pouzdani izvor. Da bi se poruke koje nisu lažne ili neželjene prebacile iz mape Bezvrijedna pošta u kojoj su onemogućene određene funkcije (klik mišem na poveznicu ili odgovaranje, prosljeđivanje i slično) treba odabrati poruku (ili više poruka) te klikom mišem desnom tipkom miša pozvati izbornik u kojem u kategoriji Bezvrijedno treba odabrati Nije bezvrijedna pošta.

Tada će se poruke premjestiti u mapu Ulazna pošta. Također će se ponuditi da se pošiljatelj doda popisu Sigurni pošiljatelji kako poruke tog pošiljatelja više ne bi bile upućivane u mapu Bezvrijedna pošta.

Pošiljatelj se može ocijeniti kao pouzdani i na drugi način: desnim klikom mišem na bilo koju poruku tog pošiljatelja. U kategoriji izbornika Bezvrijedno klikne se mišem na Nikad ne blokiraj pošiljatelja, čime se pošiljatelj dodaje na popis Sigurnih pošiljatelja.


Osim periodičke provjere mape Bezvrijedna e-pošta potrebno je povremeno izbrisati poruke iz te mape. U lijevom izborniku, desnim klikom miša na mapu Bezvrijedna pošta prikazuje se izbornik sa stavkom Očisti mapu (premješta poruke u Izbrisane stavke) ili Isprazni mapu (trajno

briše poruke).

IT-sigurnost (F400)

104

Sigurne pošiljatelje i one koje korisnik želi blokirati – Blokirani pošiljatelji mogu se i ručno dodati u popise. Na kartici Polazno u skupini Brisanje klikom mišem na stavku Bezvrijedno, a zatim Mogućnosti bezvrijedne e-pošte otvaraju se kartice na se može:

dodati adrese e-pošte čiji su pošiljatelji sigurni, odnosno čija se pošta nikada neće smatrati bezvrijednom

dodati adrese e-pošte blokiranih pošiljatelja, odnosno pošiljatelja čija će se pošta uvijek smatrati bezvrijednom.

Osim izravnog dodavanja adresa e-pošte, moguće je odrediti i domenu s koje će svi pošiljatelji biti smatrani ili sigurnima ili blokiranima, ovisno o tome kamo se domena dodaje.

Dostupne su još dvije mogućnosti za dodavanje adresa u popis sigurnih pošiljatelja na kartici Sigurni pošiljatelji i to:

Što se blokiranja tiče, osim adresa i domena s kojih dolazi e-pošta, moguće je blokirati i cjelokupne domene najviše razine, odnosno adrese koje dolaze iz specifičnih zemalja.

IT-sigurnost (F400)

105

Kriteriji se filtera za bezvrijednu e-poštu mogu pooštriti odabirom željene razine zaštite od bezvrijedne pošte:

IT-sigurnost (F400)

106

Neželjena pošta često ima iste riječi u naslovu (lottery, viagra i slično) pa se prema tome mogu izraditi određena pravila prema kojima se takve poruke mogu usmjeriti u mapu Bezvrijedna pošta ili izravno u Izbrisane stavke. Postavljanje pravila moguće je u izborniku Polazno, kategorija Premještanje, odabirom Pravila pa Stvori pravilo, gdje se definiraju uvjeti premještanja poruka u mape.

IT-sigurnost (F400)

107

5.4. Vježba: Prepoznavanje i blokiranje neželjene i lažne e-pošte

1. Po čemu se sve može prepoznati da se radi o lažnoj poruci u primjeru na slici?

____________________________________________________

____________________________________________________

2. U programu Microsoft Outlook, na kartici Polazno u skupini Brisanje klikom mišem na stavku Bezvrijedno, a zatim u izborniku Mogućnosti bezvrijedne e-pošte dodajte:

a. adresu e-pošte za koju smatrate da dolazi od sigurnog pošiljatelja

b. domenu za koju smatrate da s nje dolaze poruke od sigurnih pošiljatelja

c. adresu e-pošte čija će se pošta uvijek smatrati bezvrijednom.

3. Pretražite Internet i istražite iz kojih se zemalja (s kojih domena najviše razine) šalje najviše lažnih i neželjenih poruka. Prema tom popisu navedite je li uputno blokirati poruke s tih domena najviše razine. Blokirajte jednu domenu najviše razine jedne zemlje.

____________________________________________________

4. Izradite pravilo prema kojem će se svaka poruka koja u naslovu ima riječ „Pill“ premjestiti u mapu Bezvrijedna pošta.

5. Promislite i navedite koja razina zaštite od bezvrijedne pošte odgovara Vašim navikama primanja i slanja poruka e-pošte i zašto?

____________________________________________________

____________________________________________________

IT-sigurnost (F400)

108

5.5. Štetni softver u privicima e-pošte

Outlook tijekom pretpregleda poruke u oknu za čitanje onemogućuje izvođenje ugrađenog sadržaja u privicima kao što su skripte, makronaredbe ili kontrole ActiveX.

Automatski se blokiraju i privici koji sadrže datoteke koje mogu pokretati programe, čime se pomaže pri sprečavanju širenja virusa iz programskih datoteka (primjeri blokiranih datoteka uključuju izvršne datoteke vrsta .exe, .bat, .com, .vbs, i .js). Onemogućeno je i slanje takvih datoteka (osim ako su komprimirane u datotekama .zip). Određene se vrste datoteka ne blokiraju (na primjer .doc, .xls, .ppt i .txt) .

U akcijskoj traci na samoj poruci istaknuto je upozorenje ako poruka sadrži potencijalno nesigurne privitke, a ujedno se pri otvaranju privitka prikazuje dijaloški okvir u kojem se može procijeniti sigurnost datoteke koja se otvara.

Osim pokretanja izvršnih datoteka, prema zadanim je postavkama onemogućeno pokretanje makrodatoteka koje predstavljaju potencijalni sigurnosni rizik (detaljnije objašnjeno u poglavlju 1.8), a koje mogu rezultirati širenjem virusa, ako makro datoteka sadrži maliciozni kôd. Sigurnosne postavke makronaredbi nalaze se u Centru za pouzdanost. Do Centra za pouzdanost dolazi se klikom mišem na izbornik Polazno, a zatim Mogućnosti. Na dnu dijaloškog okvira nalazi se Centar za pouzdanost.

IT-sigurnost (F400)

109

5.6. Sigurnosne ranjivosti i mjere zaštite pri korištenju istovremenih poruka

Istovremene poruke (engl. instant messaging) sinkroni su (istovremeni)

oblik komunikacije preko Interneta između dviju ili više osoba. Korisnicima omogućuje stvaranje privatnih soba za čavrljanje s drugim osobama, pri čemu se komunikacija odvija tekstnim porukama u stvarnom vremenu. Aplikacije za istovremene poruke upozoravaju korisnike kad je netko od osoba s privatnog popisa dostupan online da bi se s njim prema potrebi mogla započeti komunikacija.

Neke su od popularnih aplikacije za slanje i primanje istovremenih poruka Google Hangouts, ICQ, Skype, Windows Live Messenger, Yahoo! Messenger itd.

Sigurnosni su rizici koji se mogu javiti prilikom korištenja istovremenih poruka:

štetni softver – većina virusa prenosi se prilikom slanja datoteka ili iskorištavanjem ranjivosti u klijentima za istovremene poruke

krađe identiteta i autentikacijske podvale – aplikacije za IM omogućavaju pojedincima stvaranje anonimnih identiteta, koje mogu povezati s lažnim e-mail adresama

prolazak kroz vatrozid – IM-klijenti na različite načine prolaze (tuneliranjem) kroz vatrozid stvarajući tako dodatni rizik za korisnika

curenje informacija – aplikacije za IM jedan su od načina slanja informacija izvan organizacije, jer uglavnom nisu pod nadzorom

spim (engl. Instant Messaging SPAM) – može u većoj mjeri ometati korisnika od spama poslanog e-poštom, jer se uglavnom pojavljuje u obliku pop-up poruke.

Jedan od najpopularnijih programa za istovremene poruke je Skype. U svrhu osiguravanja sigurne komunikacije za klijente i očuvanje njihove privatnosti, Skype omogućava:

enkripciju podataka pomoću 256-bitne AES enkripcije

zaštitu ključeva enkripcije koji se ne otkrivaju ni korisnicima ni trećim stranama i uklanjaju se pri isteku sesije

zaštitu identiteta sudionika konverzacije, čime onemogućava napade „čovjeka u sredini”, odnosno sprječava uplitanje ili čitanje i(li) snimanje bilo kojeg dijela komunikacije.

S obzirom na to da je Skype program za peer-to-peer komunikaciju, najbolje radi kad se korisnicima omogući izravna komunikacija preko Interneta bez blokiranja ili filtera. Vatrozid štiti mrežu od pristupa izvana, čime štiti računalo od potencijalnih napada. Često onemogućava izravnu komunikaciju s drugim korisnicima, čime se može ponešto umanjiti kvaliteta glasovnih poziva preko Skypea. Ipak, Skype dobro radi i kada je iza vatrozida, a ne ometa rad vatrozida na mreži. Nije potrebno posebno propuštanje programa kroz vatrozid.

Skype omogućava i jednostavan prijenos datoteka. U situaciji kad se radi o poslovnoj mreži, preporuča se onemogućiti prijenos datoteka s obzirom na to da to može biti određeni sigurnosni propust. Prijenos datoteka prema zadanim je postavkama uključen.


AES- 256 enkripcija

Advanced Encryption Standard (AES) jedan je od

najčešće korištenih i najsigurniji algoritamama šifriranja. 1997. godine američki Nacionalni institut za standarde i tehnologiju (NIST) objavio je natječaj i predstavio nasljednika starog standarda šifriranja DES iz sedamdesetih godina. Za ilustraciju: dešifriranje 128 bitnog AES ključa najboljim superračunalom trajalo bi dulje od pretpostavljene starosti svemira. Enkripcija AES do danas nije uspješno razbijena. Dakle, AES ostaje preferirani standard enkripcije za javne ustanove, banke i sustave koji zahtijevaju visoku sigurnost.


Windows Live Messenger

koji je dolazio instaliran s operacijskim sustavom Windows prešao je u Skype. Messenger je ukinut u travnju 2013. godine, a u Skype se može prijaviti s Microsoftovim računom.

IT-sigurnost (F400)

110

Preduvjeti su za primanje datoteka preko programa Skype: da je primatelj podijelio kontaktne podatke s pošiljateljem, da nije blokirao pošiljatelja, da je na mreži kada pošiljatelj inicira prijenos datoteke te da prihvati primanje datoteke od pošiljatelja. Dodatno ograničenje je da je datoteka manja od 2 GB.

Dopuštanje ili blokiranje poziva, poruka i oglasa za pojedine korisnike, kao i postavke prikaza mrežnog statusa i informacija o korisniku dostupno je klikom mišem na Alati, odjeljak Mogućnosti pa Privatnost.

Kroz odjeljak Postavke izravnih poruka definira se kamo se spremaju primljene datoteke. Preporuča se pregledavanje primljene datoteke antivirusnim programom. Ako je uključeno pregledavanje u stvarnom vremenu, datoteka će se automatski pregledati prije primanja ili slanja.

IT-sigurnost (F400)

111

5.7. Vježba: Postavke privatnosti i sigurnosti pri korištenju istovremenih poruka

1. Koji se osobni podaci mogu prikazati ili sakriti od drugih korisnika programa Skype?

____________________________________________________

____________________________________________________

2. Koja se mogućnost programa Skype može koristiti za ograničavanje SPIM-poruka?

____________________________________________________

____________________________________________________

3. Kako treba postaviti vatrozid da bi Skype ispravno radio?

____________________________________________________

____________________________________________________

4. Zbog čega prijenos datoteka predstavlja sigurnosni rizik? Kako se može umanjiti taj rizik?

____________________________________________________

____________________________________________________

IT-sigurnost (F400)

112


Šifriranje i dešifriranje elektroničke pošte

Stvaranje i dodavanje digitalnog potpisa za poruke e-pošte i pdf-datoteke

Prepoznavanje i blokiranje neželjene i lažne e-pošte

Štetni softver u privicima e-pošte

Sigurnosne ranjivosti i mjere zaštite pri korištenju istovremenih poruka

IT-sigurnost (F400)

113

6. Upravljanje sigurnošću podataka


izraditi, obnoviti i provjeriti valjanost sigurnosne kopije podataka i slike sustava koristeći vanjske medije, oblak ili servis Windows Backup.

obrisati, trajno obrisati i unišititi podatke.

6.1. Osiguravanje fizičke sigurnosti uređaja

Osiguravanje fizičke sigurnosti uređaja, kao i isticanje važnosti posjedovanja procedure za izradu sigurnosne kopije, oslanja se na važeće standarde za upravljanje informacijskom sigurnošću. Značajke procedure i stvaranje sigurnosne kopije podataka kao i njezino obnavljanje i provjera valjanosti, prezentiraju se kroz standardne funkcije operacijskog sustava.

Postoje različite vrste imovine kojima pojedina organizacija može raspolagati (informacije, softverski paketi, fizička imovina, usluge, osoblje te nematerijalna imovina) stoga je važno da organizacija vodi popise imovine da bi se mogla osigurati njezina učinkovita zaštita. Popisivanje lokacija i dijelova opreme važnije je u kontekstu poslovnih organizacija s obzirom na to da je takav popis važan preduvjet upravljanja sigurnosnim rizicima, pri čemu je važno da se točno zna tko preuzima rizik za, na primjer, gubitak uređaja ili njegovo uništenje.

Osiguranje fizičke sigurnosti uređaja potrebno je radi smanjena rizika od neovlaštenog pristupa informacijama i zaštite od njihova gubitka ili

oštećenja. Pozornost se treba obratiti na smještaj uređaja radi zaštite od prijetnji i opasnosti koje mogu doći iz okruženja, na primjer: potrebno je smanjiti rizike od potencijalnih fizičkih prijetnji poput požara, poplave, potresa, prekida fizičkog napajanja, utjecaja temperature i vlage izolirati uređaje koji trebaju posebnu zaštitu i slično.

Poznavanjem lokacija na kojima su smješteni uređaji s procijenjenim visokim sigurnosnim rizikom moguće je primijeniti neke od mjera fizičke zaštite kao što su određivanje granica fizički sigurnog prostora i kontrole fizičkog pristupa. Pod određivanje granica fizički sigurnog prostora podrazumijeva se postojanje jasno definiranih granica sigurnog prostora u kojem se nalaze uređaji s osjetljivim podacima, postojanje recepcija ili sigurnih ulaza, ugradnja sustava za detekciju provale, pridržavanje pravila protupožarne zaštite i slično. Međutim, sigurno područje može biti i ured koji se zaključava. Na kontroli ulaska u sigurna područja potrebno je evidentirati vrijeme dolaska i odlaska te nadzirati posjetitelje, osim ako nemaju prethodno odobreno dopuštenje za pristup uređajima s osjetljivim podacima. Prava na pristup sigurnim područjima trebaju se redovito ažurirati.

IT-sigurnost (F400)

114

Oprema koja se nalazi u uredima može se dodatno fizički zaštititi zaključavanjem u ormare, montiranjem kablovskih brava kojima se periferna oprema pričvršćuje za računalo ili bravama s lozinkama. Da bi se osigurala neprekidna dostupnost uređaja, potrebno je redovito održavanje, a posebnu važnost treba obratiti na sigurnost uređaja koji se iznose izvan prostora organizacije.

6.2. Procedura za izradu sigurnosne kopije podataka

Sigurnosne kopije su snimke podataka izrađene u određenom trenutku, pohranjene u globalno prihvatljivom formatu i koje se nadziru, odnosno čija se valjanost provjerava dokle god su potrebne korisniku.

Postoji više razina sigurnosnih kopija. Potpuna sigurnosna kopija predstavlja cjelokupnu snimku podataka i osnova je za druge razine sigurnosnog kopiranja. Diferencijalne kopije u odnosu na potpunu sadrže kopije podataka koji su promijenjeni od posljednje potpune sigurnosne kopije. Ta se vrsta obično rabi kada nema puno promjena podataka. Inkrementalna sigurnosna kopija pohranjuje podatke koji su se promijenili od zadnje inkrementalne snimke sigurnosne kopije.

Nakon što se odabere razina sigurnosne kopije, potrebno je izraditi proceduru koja će se koristiti za izradu sigurnosne kopije podataka kao i za njezino obnavljanje u slučaju gubitka podataka. Da bismo bili sigurni da su procedure za izradu sigurnosne kopije i njezino obnavljanje učinkovite, potrebno je detaljno isplanirati postupak oporavka i redovito testirati sustave i medije koji se u tom postupku koriste.

Pri osmišljavanju procedure za izradu sigurnosnih kopija tebalo bi razmotriti:

sigurnosnu razinu za koju je potrebna izrada sigurnosne kopije

izraditi točne i cjelovite popise sigurnosnih kopija i dokumentirati procedure za njihovo obnavljanje

obujam (primjerice potpune sigurnosne kopije ili diferencijalne sigurnosne kopije) i učestalost izrade sigurnosnih kopija, što će ovisiti o sigurnosnim zahtjevima organizacije ili pojedinca

sigurnosne kopije trebaju biti pohranjene na udaljenoj ili izdvojenoj lokaciji da bi se izbjeglo bilo kakvo oštećenje zbog nepogode na glavnoj lokaciji

sigurnosne kopije trebaju se štiti na isti način kao informacije te mediji i uređaji za pohranu na glavnoj lokaciji

mediji za pohranu sigurnosnih kopija trebaju se testirati da bi se u slučaju potrebe osigurala njihova pouzdanost

procedure obnavljanja trebaju se redovito provjeravati i testirati da bi se osigurala njihova učinkovitost i mogućnost pravovremenog izvršavanja

sigurnosne kopije mogu se zaštiti enkripcijom u slučajevima kada je važna povjerljivost.

Ako se pri izradi sigurnosnih kopija koristi neki od medija kao što su traka, CD ili DVD, a koji se mogu prebrisati novim inačicama sigurnosnih kopija, potrebno je odabrati raspored rotacije, odnosno koliko često će


Redovita izrada i testiranje sigurnosnih kopija od iznimne je važnosti da bi se, što je to više moguće, umanjile posljedice eventualnog gubitka podataka. Razvoj procedura olakšava taj postupak i skraćuje vrijeme ponovnog vraćanja podataka.

IT-sigurnost (F400)

115

se sigurnosne kopije podataka prebrisivati. Također, povremeno se mogu izraditi i trajne kopije (mediji koji se ne rotiraju i ne zamjenjuju novijom inačicom) koje korisniku omogućavaju da se vrati dalje u prošlost, ako je potrebno (primjerice, neki virusi ne uzrokuju primjetna oštećenja tjednima).

Savjetuje se da se zadrže sigurnosne kopije ažurirane u svakom trenutku: trodnevne inkrementalne sigurnosne kopije te tjedne i mjesečne potpune sigurnosne kopije. U slučaju da se za pohranu sigurnosnih kopija ne koristi udaljeni servis ili mrežni disk, potrebno je fizičke medije iznijeti izvan glavne lokacije svakog dana ili tjedna.

U posljednjih nekoliko godina aktualna je tehnologija računarstva u oblaku. Ta tehnologija korisnicima omogućuje pohranu podataka i korištenje aplikacija na internetskim poslužiteljima. U kontekstu pohrane podataka i sigurnosnih kopija rizike koji proizlaze iz rukovanja fizičkim medijima i kapacitetima u tom slučaju preuzima pružatelj usluge.

Za pohranu podataka u oblaku (engl. cloud) dostupno je nekoliko popularnih rješenja među kojima korisnik može birati ovisno o količini podataka koju treba pohraniti, platformi kojom se koristi i financijskim uvjetima usluge. Najpoznatiji su Microsoft OneDrive, Dropbox, Google Drive i Box. Navedeni pružatelji usluga daju mogućnost besplatnog korištenja od 2 pa do 15 GB prostora za pohranu podataka u oblaku.

U kontekstu rada na osobnim računalima treba razlikovati izradu sigurnosne kopije ili slike cjelokupnog sustava, podataka pohranjenih u aplikacijama (na primjer web-favorita / povijesti u web-pregledniku, razgovora u aplikacijama za istovremenu komunikaciju i slanje poruka, kao što je na primjer Skype) te vlastitih podataka, odnosno datoteka (tekstne, audio i video datoteke, proračunske tablice i slično).

Stvaranje slike sustava i sigurnosne kopije podataka

Tjedno ili mjesečno treba izraditi potpunu sigurnosnu kopiju podataka koja sadrži kopiju sustava Windows i kopije programa, postavki sustava i datoteka. Slika sustava pohranjuje se na mjesto odvojeno od izvornih programa, postavki i datoteka, najčešće na vanjski tvrdi disk većeg kapaciteta. Takva slika sustava može se koristiti za vraćanje podataka i aplikacija u slučaju kvara tvrdog diska računala.

Za korisnike operacijskog sustava Windows za izradu je sigurnosnih kopija najjednostavnija uporaba servisa Windows Backup. U postavkama tog servisa moguće je definirati kada se stvara slika sustava, a kada samo sigurnosna kopija datoteka, lokacija i raspored pohrane.

Sigurnosne kopije mogu se spremiti na izbrisivi memorijski pogon (USB), CD, DVD ili na tvrdi disk, a slika cjelokupnog sustava mora se spremiti na tvrdi disk. Ako računalo ima više diskovnih pogona (Disk D:, Disk E:


Korisnicima s korisničkim imenom i lozinkom AAI@EduHr na raspolaganju je sustav za udaljeno pohranjivanje podataka MojOblak.

Sustavu se pristupa na adresi: http://mojoblak.srce.hr.

Osim pohrane podataka sustav omogućuje i razmjenu podataka, odnosno suradnju. Djelatnicima ustanova u sustavu AAI@EduHr na raspolaganju je 100 GB prostora, a studentima 20 GB prostora.

http://mojoblak.srce.hr/

IT-sigurnost (F400)

116

itd.), slika sustava za te pogone ne izrađuje se automatski servisom Windows Backup, nego se treba napraviti ručno uz uvjet da su i pogon i medij na koji se pohranjuje slika formatirani za korištenje datotečnog sustava NTFS.

Sigurnosno kopiranje ili vraćanje datoteka dostupno je pokretanjem servisa Start → Upravljačka ploča → Sustav i sigurnost → Sigurnosno kopiranje i vraćanje. Pri prvom pokretanju servisa treba podesiti postavke odabirom naredbe Postavljanje sigurnosnog kopiranja, a naknadne izmjene moguće su odabirom naredbe Promjena postavki.

U prvom koraku treba odabrati kamo se želi spremiti sigurnosna kopija, pri čemu se preporuča pohrana na vanjski tvrdi disk.

U drugom koraku korisniku se daje izbor između zadanih postavki sigurnosnog kopiranja ili samostalnog odabira biblioteka i mapa te hoće li sigurnosna kopija obuhvaćati sliku sustava. Ako se odaberu zadane postavke, Windows će sigurnosno kopirati podatkovne datoteke spremljene u biblioteke na radnu površinu i u zadane mape operacijskog sustava. Također se stvara i slika sustava koja se može koristiti za vraćanje računala u prethodno stanje, ako prestane raditi.

U trećem koraku treba definirati koliko će se često provoditi sigurnosno kopiranje. Promijenjene i nove datoteke nastale nakon zadnjeg sigurnosnog kopiranja dodavat će se u sigurnosnu kopiju prema rasporedu koji odabere korisnik (koliko često, kojim danom i u koje vrijeme). Zakazano se vrijeme može promijeniti i u bilo kojem trenutku korisnik može ručno napraviti sigurnosnu kopiju.

Ove informacije korisniku mogu olakšati odluku o najboljem načinu upravljanja prostorom na disku namijenjenom spremanju sigurnosnih kopija (dostupno odabirom naredbe Upravljanje prostorom):

Sigurnosne se kopije izrađuju u skupinama pod nazivom razdoblja sigurnosnog kopiranja. Windows Backup sprema sigurnosne kopije svih odabranih mapa prilikom prvog izvršavanja, a svako sljedeće sigurnosno kopiranje sprema samo datoteke koje su novije ili promijenjene. Windows povremeno stvara novu, cjelovitu sigurnosnu kopiju.

Prema zadanim se postavkama automatski sprema onoliko slika sustava koliko za to ima prostora, ne zauzimajući pritom više od 30 % prostora na disku. Kad na disku počne ponestajati prostora, Windows briše starije slike sustava. Ako se slika sustava sprema na mrežno mjesto, može se sačuvati samo najnovija inačica.

IT-sigurnost (F400)

117

6.3. Obnavljanje i provjera valjanosti sigurnosne kopije podataka

Važno je da trud uložen u izradu sigurnosne kopije daje željeni rezultat, odnosno da je osiguran integritet podataka koji će pružiti siguran oslonac u slučaju gubitka izvornih podataka. Proceduru obnavljanja podataka stoga treba testirati da bi se pronašle eventualne poteškoće prije nego što se dogodi izvanredna situacija, odnosno potrebno je znati točno vrijeme odziva i sve korake koje treba poduzeti. Da bi se osigurala cjelovitost sigurnosne kopije, povremeno je potrebno testirati sadrže li mediji za pohranu ispravne podatke. Također, potrebno je osigurati da se mediji ne koriste duže od preporučenog roka upotrebe.

Za povrat datoteka iz pune sigurnosne kopije dovoljna je samo puna sigurnosna kopija, a za povrat datoteka iz inkrementalne sigurnosne kopije može biti potreban veći broj medija. Da bi se napravio povrat podataka iz inkrementalne sigurnosne kopije, treba imati posljednju punu sigurnosnu kopiju i sve naknadne diferencijalne i inkrementalne sigurnosne kopije do traženog datuma, tj. vremena. Kod diferencijalne sigurnosne kopije, a za razliku od inkrementalne sigurnosne kopije, za povrat podataka potrebna je samo zadnja puna sigurnosna kopija i željena diferencijalna sigurnosna kopija.

Kad se pregledavaju sigurnosne kopije datoteka u operacijskom sustavu Windows, vidljiva su sva razdoblja sigurnosnog kopiranja označena datumskim rasponima. Ako se korisnik odluči na brisanje sigurnosnih kopija datoteka, važno je uvijek sačuvati najnoviju sigurnosnu kopiju. Izgubljene, oštećene ili nenamjerno promijenjene datoteke mogu se vratiti ako postoje njihove sigurnosne kopije, pri čemu se mogu vratiti pojedinačne datoteke, skupine datoteka ili sve datoteke za koje je napravljena sigurnosna kopija.

IT-sigurnost (F400)

118

Vraćanje datoteka dostupno je pokretanjem servisa Start → Upravljačka ploča → Sustav i sigurnost → Sigurnosno kopiranje i vraćanje. U kategorijii Vrati može se odabrati povrat svih korisničkih datoteka ili odabrati neka drugu sigurnosnu kopiju iz koje će se vratiti datoteke.

Windows Backup pokreće čarobnjak za vraćanje datoteka, a korisniku su odmah ponuđene sigurnosne kopije s datumima izmjena. Po odabiru željene sigurnosne kopije moguće je njezino pregledavanje ili pretraživanje da bi se pronašle datoteke i mape koje korisnik želi vratiti. Korisniku su na raspolaganju naredbe Traži…, Pregledaj datoteke i Pregledaj mape.

Kad korisnik pregledava mape, ne može vidjeti pojedinačne datoteke u mapi pa u slučaju da je potrebno vratiti određenu datoteku, treba odabrati Pregledaj datoteke.

Ako treba pronaći datoteku nakon odabira naredbe Traži… upisuje se dio ili cijeli naziv datoteke. Rezultati pretraživanja mogu se poboljšati i ubrzati ako se u okvir Traži unese lokacija na kojoj se datoteka ili mapa nalaze (na primjer C:\Users\Maja). Kao i kod uobičajenog pretraživanja računala korištenjem zamjenskih znakova, kao što je * (na primjer *.jpg), moguće je pronaći sve datoteke određenog formata (u ovom slučaju JPG) za koje postoji sigurnosna kopija.

Ako se računalo iz nekog razloga (na primjer zbog kvara) vrati u prijašnje stanje pomoću sigurnosne kopije slike sustava, datoteke koju su nastale nakon izrade sigurnosne kopije slike treba posebno vratiti. Naredba Odaberite neku drugu sigurnosnu kopiju iz koje će se vratiti datoteke omogućuje odabir raspona datuma za koje postoje sigurnosne kopije koje sadrže datoteke koje korisnik treba.


Windows automatski

sprema kopije datoteka koje se mijenjaju s pripadajućim točkama vraćanja. Te datoteke nazivaju se prethodnim verzijama, a pomoću njih se mogu vratiti datoteke ili mape koje su slučajno promijenjene, izbrisane ili oštećene. Iako te kopije mogu biti korisne, ne bi se trebale smatrati sigurnosnim kopijama s obzirom na to da se datoteke zamjenjuju novim inačicama.

IT-sigurnost (F400)

119

U slučaju kad korisnik nema sigurnosnu kopiju koja sadrži datoteku koju traži, ponekad se ona može vratiti iz prethodne inačice. Za vraćanje prethodne inačice desnom tipkom miša korisnik klikne na datoteku ili mapu i odabere naredbu Vrati prethodne verzije. U novootvorenom prozoru mapu ili datoteku se prije vraćanja može otvoriti i provjeriti radi li se o željenoj inačici datoteke ili mape. Datoteka ili mapa zamijenit će trenutnu inačicu na računalu, a poništavanje zamjene nije moguće.

IT-sigurnost (F400)

120

6.4. Vježba: Izrada i obnavljanje sigurnosne kopije podataka

1. Čemu služi slika sustava i kako se radi?

____________________________________________________

____________________________________________________

2. Osmislite plan izrade sigurnosne kopije datoteka te lokaciju i raspored pohrane prema mogućnostima sustava Windows prikazanima u poglavlju 6.2. Zapišite detaljan plan sigurnosnog kopiranja koji ste osmislili.

____________________________________________________

____________________________________________________

____________________________________________________

____________________________________________________

3. Što se može vratiti iz sigurnosne kopije podataka i kako?

____________________________________________________

____________________________________________________

4. Kad se koristi vraćanje datoteke iz prethodne inačice?

____________________________________________________

IT-sigurnost (F400)

121

6.5. Sigurno uništavanje podataka

U slučajevima kada ne postoji sigurnosna kopija podataka, mogućnost povratka obrisanih podataka može biti izuzetno korisna. Međutim, u današnjim uvjetima života i poslovanja, kad iznimno veliku količinu osjetljivih i(li) povjerljivih informacija pohranjujemo u elektroničkom obliku, treba se zaštiti tako da informacije ne dođu u „krive ruke“. Situacije kad treba provesti trajno i sigurno brisanje mogu biti ove:

prilikom zamjene računalne opreme, primjerice laptop koji je koristila uprava stavlja se na raspolaganje svim zaposlenicima

prilikom rashodovanja i uklanjanja računalne opreme

prilikom poklanjanja i doniranja računalne opreme

kad je to propisano zakonom i(li) pravilnicima (npr. Zakon o arhivskom gradivu i arhivima).

Brisanjem elektroničkih podataka uklanjaju se pokazivači na sektor diska, čime se pruža mogućnost njihove obnove softverskim alatima. Trajno se brisanje podataka međutim provodi metodom prepisivanja podataka, čime se uspješno uklanjaju podaci na tvrdom disku ili na nekom drugom mediju. Oporavak podataka nakon korištenja te metode nije jednostavan, a u najvećem broju slučajeva on je nemoguć.

Ako se podaci u elektroničkom obliku žele trajno uništiti, bez ikakve mogućnosti njihova oporavka, mogu se koristiti metode kao što su uništavanje pogona ili medija (npr. tvrdog diska), demagnetizacija i sl. Fizičko uništavanje medija na kojem se nalaze podaci svakako je najsigurnija metoda uništavanja, ali nije i najpraktičnija. Dok je korištenje uređaja za rezanje CD- ili DVD-medija jednostavno, uništavanje tvrdih diskova, USB-memorija i memorijskih kartica može predstavljati organizacijski problem pa se takve aktivnosti mogu prepustiti specijaliziranim organizacijama koje daju i garanciju trajne nemogućnosti spašavanja podataka.

Kod metoda trajnog uništavanja opreme, pogoni i mediji stavljaju se izvan funkcije pa su one najprimjerenije prilikom rashodovanja i uklanjanja računalne opreme. Za uništavanje papirnatih dokumenata koji se bacaju ili se trebaju uništiti, kad je to propisano zakonom i(li) pravilnicima, koriste se uništavači (rezači) papira. Za uništavanje su obično zaduženi djelatnici organizacije koji rukuju osjetljivim informacijama.

Uobičajenim brisanjem podataka ili trajnim brisanjem podataka metodom prepisivanja, informacije se uklanjaju, ali mediji mogu i dalje ostati upotrebljivi, što nije slučaj kod trajnog uništenja.


Neki od alata za trajno brisanje podataka su Active KillDisk, Eraser, MediaTools Wipe, SafeErase, HDDErase i Parted Magic.

IT-sigurnost (F400)

122

Kod uobičajenog brisanja podataka operacijski sustav Microsoft Windows datoteke zapravo smješta u Koš za smeće (engl. Recycle Bin) te pruža mogućnost povratka datoteka sve dok se koš ne isprazni. Pristup košu za smeće moguć je najčešće s radne površine (prema zadanim postavkama).

Za vraćanje datoteke iz Koša za smeće treba kliknuti na datoteku (odnosno označiti je) te odabrati mogućnost Vrati ovu stavku. Datoteka će se prikazati u mapi iz koje je izbrisana.

Moguće je vraćanje i svih stavki ili trajno brisanje podataka iz Koša za smeće klikom mišem na Isprazni koš za smeće.

Osim ovdje prikazane jednostavne metode povratka obrisanih podataka, postoje i specijalizirani softverski alati koji omogućuju povrat obrisanih datoteka čak i u slučaju kad su trajno uklonjene iz Koša za smeće.

IT-sigurnost (F400)

123

6.6. Vježba: Prepoznavanje različitih metoda za trajno uništavanje podataka

1. Navedite razliku između brisanja i trajnog uništavanja podataka.

____________________________________________________

____________________________________________________

2. Navedite metode trajnog uništavanja podataka koje poznajete:

____________________________________________________

____________________________________________________

3. Što ćete učiniti ako u operacijskom sustavu Windows nenamjerno pobrišete datoteku koja Vam treba?

____________________________________________________

____________________________________________________

4. Kako biste trajno obrisali podatke s tvrdog diska, ali da disk nakon toga i dalje ostane upotrebljiv?

____________________________________________________

____________________________________________________

5. Podatke s USB-a ste izbrisali koristeći se tipkom [Delete]. Gdje su sve ostali zapisani i kako biste ih trajno obrisali?

____________________________________________________

6. Kojom ćete se metodom trajnog brisanja / uništavanja podataka koristiti u navedenim situacijama:

Situacija Metoda brisanja/uništavanja

Sva stara računala iz uprave tvrtke donirate u humanitarnoj akciji.

Računalnu opremu s osjetljivim podacima šaljete na odlagalište otpada.

Trebate uništiti svu papirnatu dokumentaciju s osobnim i financijskim podacima.

IT-sigurnost (F400)

124


Što treba obuhvaćati procedura za izradu sigurnosne kopije podataka

Kako se radi slika sustava i sigurnosna kopija podataka

Postupak obnove i provjere valjanosti sigurnosne kopije podataka

Brisanje, trajno brisanje i uništavanje podataka

ecdl m1 - predavački priručnik · it-sigurnost (f400) 4 pohr obrada podataka sastavni je dio...

Documents