zastita i sigurnos elektronskog poslovanja 1
TRANSCRIPT
Sigurnost u e-
poslovanju
Elektronsko poslovanje
1
Ivan Rabrenovic IV1
Sigurnost u e-poslovanju
• Problemi sigurnosti i zaštite podataka su svakako jedna
od najvećih prepreka bržem širenju e-poslovanja.
• Za kriminalce, Internet je stvorio čitav niz novih i
veoma unosnih načina krađe od više od milijardu
korisnika Interneta širom sveta, od proizvoda i usluga
do novca i informacija.
• Manje je rizično krasti on-line, sa bezbedne udaljenosti
i gotovo anonimno.
2
Sigurnost u e-poslovanju
• Internet je otvorena mreža, čija struktura i protokoli ne
pružaju dovoljno bezbednosti i sajber kriminal postaje
sve značajniji problem, i za organizacije i za pojedince.
• On-line prevare sa kreditnim karticama i phishing su
možda najčešći i najpoznatiji oblici kriminala u e-
poslovanju.
• Iako je prosečna vrednost gubitka kod prevara sa
kreditnim karticama po pojedincu relativno mala,
ukupna vrednost je značajna.
3
Sigurnost u e-poslovanju
• Ukupan procenat on-line prevara sa kreditnim
karticama je procenjen na oko 0,9% svih on-line
transakcija karticama, i poslednjih godina je u
opadanju, jer trgovci i izdavaoci kreditnih kartica
unapređuju svoje sigurnosne sisteme.
• Na crnom Internet tržištu se mogu kupiti podaci o
kreditnim karticama, bankovnim računima, e-mail
nalozima, ali i celih identiteta i alata za napade.
• Jedan od najvećih sigurnosnih problema u e-poslovanju
je nemogućnost pouzdanog utvrđivanja identiteta
korisnika.4
Sigurnost u e-poslovanju
• Nije svaki oblik sajber kriminala direktno vezan za
novac – u nekim slučajevima cilj je samo da se naruši
ili blokira veb sajt, a ne direktna krađa novca, robe i
usluga.
• Sajber kriminal protiv e-poslovanja je dinamičan i
menja se sve vreme, sa gotovo svakodnevnim novim
rizicima i oblicima napada, tako da menadžeri moraju
da budu dobro pripremljeni i da prate najnovija
dostignuća u oblasti sistema i tehnika zaštite.
5
Sigurnost u e-poslovanju
• Takođe, u sajber kriminal se sve više i češće uključuju i
države, i sa strane odbrane (posebne jedinice u ovoj
oblasti, kod nas Odeljenje za borbu protiv
visokotehnološkog kriminala), ali i sa strane napada (u
junu 2010. godine je otkriven crv Stuxnet, kreiran od
strane SAD i Izraela, a sa ciljem da napadne Simensove
upravljačke sisteme na centrifugama za obogaćivanje
uranijuma u Iranu; tajni napadi Kine na SAD, itd.).
6
Sigurnost u e-poslovanju
7
Zlonamerni softver
• Zlonamerni sofver (često se zove i malware ili
zlonamerni kôd – malicious code) obuhvata čitav niz
pretnji kao što su virusi, crvi, trojanci (trojanski konji) i
bot-ovi.
• U prošlosti je zlonamerni kod je najčešće korišćen da
samo onesposobi računar i bio je kreiran od strane
usamljenih hakera; sada, međutim, sve češće je rezultat
rada organizovanih grupa sa ciljem krađe osetljivih
ličnih i finansijskih podataka.
8
Zlonamerni softver
• Pretnje često dolaze u sklopu fajlova preuzetih sa
Interneta i ovo je sada jedan od najčešćih načina da se
računar zarazi.
• Autori malware-a takođe sve češće koriste linkove u
okviru e-mailova, koji vode direktno na preuzimanje
zlonamernog kôda ili na veb sajtove koji sadrže
zlonamerni JavaScript kôd.
9
Virusi
• Virus je računarski program koji ima sposobnost da se
umnožava i da se širi na druge fajlove.
• Uz sposobnost umnožavanja, većina računarskih virusa
nosi i “teret” – koji može biti bezazlen i prikazivati
neku poruku ili sliku ili pak vrlo destruktivan (uništava
fajlove, formatira hard disk, ili uzrokuje nepravilan rad
programa).
10
Virusi
Računarski virusi se mogu podeliti u nekoliko kategorija:
• Makro virusi, koji su vezani za određenu aplikaciju, što
znači da virus pogađa samo aplikaciju (kao što su
Microsoft Word, Excel, ili PowerPoint) za koju je
napisan. Kada korisnik otvori zaraženi dokument u
odgovarajućoj aplikaciji, virus se sam iskopira u šablon
(template) aplikacije, tako da svaki sledeći put kada se
kreira novi dokument, on je već zaražen makro
virusom. Lako se šire kada se dokument šalje e-mailom.
11
Virusi
• Fajl-virusi obično inficiraju izvršne fajlove, kao što su
*.com, *.exe, *.drv i *.dll fajlovi. Mogu se aktivirati
svaki put kada se zaraženi fajl izvršava i tada se
kopiraju na druge izvršne fajlove. Takođe se šire putem
e-maila ili prenosom i presnimavanjem fajlova.
• Skript virusi su napisani u nekom skript jeziku, kao što
su VBScript ili JavaScript. Virusi se aktiviraju
jednostavno pozivanjem zaraženih *.vbs ili *. js fajlova.
12
Virusi
• Primer: Černobil (svakog 26. aprila, na dan katastrofe,
obriše prvi megabajt podataka na hard disku (koji čuva
raspored snimanja fajlova), čime svi snimljeni podaci
postaju izgubljeni)
13
Crvi
• Virusi se vrlo često kombinuju sa crvima (worms), koji
se danas češće koriste. Umesto da se širi od fajla do
fajla, crv je napravljen tako da se širi sa računara na
računar tj. nije mu neophodan fajl kao nosilac.
• Crv ne zahteva aktivaciju od strane korisnika ili
programa da bi se umnožavao, a mogu da se vrlo brzo
šire.
• Na primer, Slammer crv, koji je pogađao poznatu
slabost u Microsoft SQL Server softveru za baze
podataka, zarazio je više od 90% ranjivih računara
širom sveta za samo 10 minuta od puštanja na Internet.
14
Trojanci
• Trojanci su na izgled bezazleni, često maskirani kao
besplatan softver, igra, screensaver ili antivirusna
zaštita, ali mogu tajno otvoriti zaraženi računar za
pristup hakerima.
• Sam po sebi nije virus, jer nema mogućnost
umnožavanja, ali je vrlo često način da virusi ili drugi
zlonamerni softver kao što su bot-ovi uđu u računarski
sistem (npr. mogu sadržati program koji krade šifre
korisnika i šalje ih e-mailom na određenu adresu).
15
Trojanci
• U maju 2011. trojanac je napao računare za
administraciju poslovanja u Sony-jevom centru za
PlayStation igre i preuzeo lične i podatke o kreditnim
karticama preko 77 miliona registrovanih korisnika, što
se smatra jednom od najozbiljnijih provala.
• Najpoznatiji trojanac u 2011. god. je bio Zeus.
• Primer: Netsky.P - kombinacija trojanca i crva; širi se
tako što se sam pošalje kao e-mail poruka svim
kontaktima na zaraženom računaru.
16
Bot
• Bot-ovi (skraćeno od robot) su vrsta zlonamernog
softvera koji se tajno instalira na računar kada je na
Internetu. Jednom kada se instalira, bot reaguje na
komande koje mu spolja šalje haker – napadnuti
računar postaje zombi i izvršava naredbe napadača (npr.
šalje e-mailove), bez znanja vlasnika.
• Procenjuje se da je 10% računara u svetu zaraženo bot-
ovima i da se 90% spam poruka u svetu i 80% malware-
a u svetu generiše na ovaj način.
17
Bot
• Botnet je skup „zarobljenih“ računara koji se koriste za
zlonamerne aktivnosti kao što su slanje spama, učešće u
DDoS napadima, krađu informacija sa računara, ili
preuzimanje podataka o Internet saobraćaju za kasniju
analizu.
• Bot-ovi i botnet-i su, pojedinačno gledano,
najznačajnija pretnja Internetu i e-poslovanju, jer se
mogu koristiti za napade velikih razmera i korišćenjem
različitih tehnika.
18
Zlonamerni softver
• Zlonamerni softver je pretnja kako na nivou klijenata
tako i na nivou servera, iako su u principu mnogo bolje
zaštićeni.
• Na nivou servera, zlonamerni kod može da obori ceo
veb sajt, sprečavajući milione ljudi da ga koriste (ali se
ovo relativno retko dešava), ili da iz baze podataka
ukrade podatke o svim registrovanim korisnicima.
• Mnogo češći zlonamerni napadi se dešavaju na
klijentskom nivou, a šteta se može brzo proširiti na
milione drugih računara povezanih na Internet.
19
Neželjeni programi
• Neželjeni programi se samostalno instaliraju na
računaru, obično bez saglasnosti korisnika (ili nesvesne
saglasnosti – „I agree“).
• Adware – obično se koristi za prikazivanje posebnih
pop-up reklama kada korisnik poseti određene sajtove,
može biti dosadan, ali se obično ne koristi za kriminalne
aktivnosti.
• Parazit veb pretraživača – program koji može da prati
i menja podešavanja korisnikovog veb pretraživača, na
primer da menja početnu stranu ili da šalje informacije
o tome koje stranice korisnik posećuje.20
Neželjeni programi
• Spyware – može se koristiti za špijuniranje tj. za
dobijanje određenih informacija i poverljivih podataka
sa napadnutog računara, kao što su tasteri koje je
korisnik pritisnuo (krađa šifara), kopija e-mailova ili
slika ekrana (screenshot, PrintScreen);
21
Phishing i krađa identiteta
• Phishing je svaki on-line pokušaj obmane, sa ciljem da
se od žrtve izvuku poverljive informacije, u cilju
sticanja finansijske koristi
• Phishing napadi obično ne uključuju zlonamerni kôd
već se zasnivaju na prevari i lažnom predstavljanju
• Najpopularnija tehnika za phishing napad je lažni e-
mail („Nigerijsko pismo“)
22
Phishing i krađa identiteta
23
24
Phishing i krađa identiteta
• Koriste se i drugi oblici, npr. lažno predstavljanje da je
napadač eBay, PayPal ili Vaša banka, koji Vam e-
mailom zahtevaju „verifikaciju naloga“.
• Obično se u e-mailu nalazi link, a klikom na njega
odlazi se na lažni veb sajt (koji je obično identičan tj.
vizuelna kopija originalnog sajta npr. banke - spoofing)
i na kome se očekuje da korisnik unese poverljive
informacije kao što su brojevi bankovnog računa,
kreditne kartice, PIN kodove, šifre, itd, na navodnu
verifikaciju.
25
Phishing i krađa identiteta
26
Phishing i krađa identiteta
• Svakoga dana se pošalje na milione ovakvih e-mail
phishing napada, i na žalost, neki ljudi budu prevareni
(moguće je koristiti i SMS, obavešenja da ste dobili
neku veliku nagradu...).
• Napadači prikupljene podatke koriste za vršenje
kriminalnih radnji kao što su kupovina robe na Vaš
račun ili podizanje gotovine sa Vaših računa ili za neke
druge oblike „krađe identiteta“ (identity theft)
• Phishing napadi su najbrže rastući oblik kriminala u e-
poslovanju, a najčešće se koriste u oblasti finansijskih
usluga.27
Prevare sa kreditnim karticama
• Krađa podataka o kreditnoj kartici je nešto čega se
korisnici najviše boje pri radu na Internetu.
• Strah da će informacije o kreditnoj kartici biti ukradene
sprečava ili destimuliše mnoge korisnike da vrše on-line
kupovine.
• On-line prevare sa kreditnim karticama su dva puta
češće nego off-line prevare, jer, između ostalog, nije
potrebno lično prisustvo, nema potpisivanja, nije
potreban PIN, itd.
28
Prevare sa kreditnim karticama
• Jedna od čestih prevara je skimming – očitavanje
podataka sa kreditne kartice, i snimanje unosa PIN koda
na bankomatu
• Krađa kartice iz bankomata
• – libanska klopka
29
Uskraćivanje servisa
• „Uskraćivanje servisa“ (Denial of Service - DoS) je
oblik napada u kome napadači preplave veb sajt lažnim
zahtevima koji zaguše veb server sajta i on nije više u
mogućnosti da ostalim korisnicima prikazuje napadnuti
sajt i pruža usluge
• DoS napadi obično za posledicu imaju privremeno
gašenje sajta, tj. korisnici više nisu u mogućnosti da ga
koriste.
• Za poslovne veb sajtove ovi napadi mogu finansijski
biti vrlo negativni jer dok je sajt ugašen nema trgovine
a samim tim ni prihoda.30
Uskraćivanje servisa
• Vrlo često su DoS napadi praćeni ucenjivačkim
zahtevom napadača vlasniku da plati određenu sumu
novca kako bi napad bio prekinut.
• „Distribuirano uskraćivanje servisa“ (Distributed
Denial of Service - DDoS) je oblik napada u kome se
koriste stotine ili hiljade zaposednutih računara (bot-
ova), kako bi se ciljana mreža ili sajt napali sa više
različitih strana i tačaka.
31
Unutrašnji napadi
• Najveće finansijske pretnje poslovnim institucijama
dolaze zapravo iz same institucije.
• Bankarski službenici ukradu mnogo više novca nego
pljačkaši banaka – isto je i u e-poslovanju.
• Neke od najvećih diverzija u e-poslovanju, pružanju
usluga, uništavanja sajtova i diverzija sa ličnim i
finansijskim informacijama klijenata je bile izvršene od
strane zaposlenih, u koje je kompanija imala poverenje i
koji su imali pristup poverljivim informacijama.
32
Unutrašnji napadi
• Posebnu opasnost predstavljaju i bivši zaposleni, pa se
zato vrlo često kada neko iz bilo kojih razloga napusti
posao, menjaju sve šifre u kompaniji sa kojima je on
bio upoznat.
33
Loše dizajniran softver
• Mnoge sigurnosne pretnje dolaze od loše dizajniranog
serverskog i klijentskog softvera, nekada operativnog
sistema, a nekada aplikativnog softvera, uključujući veb
pretraživače.
• Symatec je identifikovao 500 osetljivih tačaka u veb
pretraživačima – 191 u Google Chrome-u, 119 u
Safariju, 100 u Mozila Firefox-u, 59 u Internet
Exploreru – od kojih su neke bile kritične.
34
Sigurnost društvenih mreža
• Društvene mreže, kao što su Facebook, Twitter i
LinkedIn, pružaju hakerima niz mogućnosti za
kriminalne aktivnosti.
• Preko 40% korisnika društvenih mreža je napadnuto
nekim oblikom malware-a.
• Virusi, preuzimanje sajtova, krađa identiteta, aplikacije
sa malware-om, phishing, spam – se takođe mogu naći i
na društvenim mrežama.
35
Sigurnost mobilnih platformi
• Eksplozija mobilnih uređaja koji imaju pristup
Internetu, od iPhone-a i iPad-a do Androida i
BlackBarry-a, je proširila mogućnosti za hakere.
• Mobilni korisnici drže na svojim mobilnim uređajima
(telefonima) mnogo ličnih podataka, uključujući i
finansijske informacije, čineći ih odličnim metama za
hakere
• Malware za mobilne telefone danas je sličan kao i
malware za PC računare: crvi, virusi (često skriveni u
mobilne aplikacije, često i anti-virusne aplikacije),
napadi na servere mobilnih provajdera, itd. 36
Rešenja za probleme sigurnosti
Danas se u principu koriste dve linije odbrane:
• tehnološka rešenja – skup alata, pre svega softverskih,
koji sprečavaju napadače u njihovim namerama,
• pravna rešenja – zakoni, stroga primena propisa u
oblasti sajber kriminala, kompanijski propisi u oblasti
računarske bezbednosti, itd.
37
Rešenja za probleme sigurnosti
• S obzirom da transakcije u e-poslovanju moraju da
putuju Internetom, koji je javna mreža i prenos ovih
podataka uključuje hiljade rutera i servera, smatra se da
najveće sigurnosne pretnje se dešavaju na nivou
Internet komunikacije.
• Postoji više alata koji omogućavaju zaštitu sigurnosti
Internet komunikacija, a osnovna je enkripcija
(šifriranje) poruke.
38
Enkripcija
Zbog mogućnosti da neko zlonameran neovlašćeno prati
komunikaciju koja se odvija preko Interneta i to kasnije
zloupotrebi, u savremenom poslovanju mora postojati
mehanizam koji obezbeđuje:
• zaštitu tajnosti informacija (sprečavanje otkrivanja
njihovog sadržaja),
• integritet informacija (sprečavanje neovlašćene izmene
informacija),
• autentičnost informacija (definisanje i proveru identiteta
pošiljaoca).
39
Enkripcija
• Kriprografija je nauka koja se bavi metodama
očuvanja tajnosti informacija.
• Enkripcija je proces transformacije običnog teksta ili
podataka u šifrovani tekst koji ne može da pročita niko
drugi sem pošiljaoca i primaoca.
• Svrha enkripcije je:
• da zaštiti čuvane informacije,
• da zaštiti prenos informacija.
• Transformacija običnog u šifrirani tekst se vrši uz
pomoć ključa (šifre).
40
Enkripcija simetričnim ključem
• Kod enkripcije simetričnim ključem, i pošiljalac i
primalac koriste isti ključ za šifrovanje i dešifrovanje
poruke.
• Ovaj ključ moraju da međusobno pošalju putem sigurne
komunikacije ili da ga dostave lično.
• Ovaj metod je intenzivno korišćen tokom II svetskog
rata (Enigma).
• Kako bi koristili isti ključ, obe strane ga moraju poslati
preko verovatno nesigurnog medijuma, gde može biti
ukraden i iskorišćen za dešifrovanje poruka.
41
Enkripcija simetričnim ključem
• Ako je tajni ključ ukraden, ceo sistem enkripcije gubi
smisao.
• Savremeni sistemi za enkripciju su digitalni, pa su i
šifre odnosno ključevi korišćeni za
šifrovanje/dešifrovanje digitalne reči (binarne,
sastavljene od niza 0 i 1)
• Jačina savremenog sistema zaštite se meri dužinom
binarnog ključa koji se koristi za šifrovanje podataka
(56, 128, 256 ili 512 binarnih cifara)
42
Enkripcija javnim ključem
• Whitfiled Diffie i Martin Hellman su 1976. godine
predložili novi način šifrovanja podataka nazvan
kriptografija javnim ključem i ovaj metod rešava
problem razmene ključeva.
• U ovom metodu koriste se dva matematički povezana
digitalna ključa: javni i privatni (tajni).
• Privatni ključ čuva vlasnik i on je tajni, dok se javni
ključ slobodno distribuira; oba ključa mogu da se
koriste i za šifrovanje i za dešifrovanje poruka.
43
Enkripcija javnim ključem
• Međutim, ključ kojim je izvršeno šifrovanje ne može se
koristiti i za dešifrovanje iste poruke – matematički
algoritmi kojima se vrši šifriranje su jednosmerne
funkcije i ulaz se ne može dobiti na osnovu poznavanja
izlaza.
• Kriptografija javnim ključem je zasnovana na ideji
nepovratnih matematičkih funkcija.
44
Enkripcija javnim ključem
45
Originalna poruka
Šifrovana
poruka
Tajni ključ
primaoca
Javni ključ
primaoca
Pošiljalac
Primalac Internet
Enkripcija javnim ključem
Međutim, i u enkripciji javnim ključem nedostaju neki
elementi pune bezbednosti:
• ne može se sa sigurnošću utvrditi ko je pravi pošiljalac
(nema autentikacije pošiljaoca),
• ne može se sa sigurnošću utvrditi da li je poruka u toku
prenosa izmenjena (npr. „Buy“ u „Sell“ ili iznos).
46
Hash i digitalni potpis
• Kako bi se proverio integritet i poreklo poruke i
obezbedila provera da poruka nije menjana u toku
prenosa, koriste se hash funkcije, kojima se kreira
„izvod“ poruke.
• Hash funkcija je algoritam kojim se dobija binarni broj
fiksne dužine koji se naziva hash ili izvod poruke;
obično je to složen broj, dužine npr. 128 bitova koji u
sebi sadrži koliko u poruci ima 0 i 1, koliko ima 00 ili
11, itd.
• Hash je jedinstven za svaku poruku.
47
Hash i digitalni potpis
• Hash se šalje primaocu, zajedno sa porukom (naravno,
oba su zajedno šifrovana javnim ključem primaoca u
jedinstvenu poruku); po prijemu poruke (i dešifrovanja
svojim tajnim ključem), primalac primenjuje hash
funkciju na primljenu poruku i proverava da li je
dobijeni rezultat identičan sa dešifrovanim hash-om.
• Ako jeste, to znači da poruka nije menjana.
48
Hash i digitalni potpis
• Neophodan je još jedan korak: da bi obezbedio
autentikaciju poruke, pošiljalac šifruje ceo blok već
šifriranog teksta još jednom, korišćenjem svog tajnog
ključa. Ovim se dobija tzv. digitalni potpis (takođe se
naziva i e-potpis) ili „potpisani“ šifrirani tekst, koji se
sada može poslati preko Interneta.
• Digitalni potpis je blizak ručnom potpisu, jer je
jedinstven pošto bi trebalo da samo jedna osoba
poseduje korišćeni tajni ključ.
49
Hash i digitalni potpis
50
Primalac
Originalna
poruka
Hash
funkcija
„Izvod“ poruke
Javni ključ
primaoca
Tajni ključ pošiljaoca
(digitalni potpis)
Potpisan
šifrovani tekst
Šifrovani tekst
(sa izvodom poruke)
Internet Javni ključ
pošiljaoca Tajni ključ
primaoca Provera
„izvoda“
Autentičan
šifrovan tekst
Digitalni koverat
• Enkripcija javnim ključem je računarski zahtevna i
spora; korišćenje simetričnog ključa je brže, ali ima već
navedeni nedostatak slanja ključa putem nesigurnih
veza.
• Jedno od rešenja je da se za šifrovanje i dešifrovanje
većih dokumenata koristi efikasniji metod simetričnog
ključa, a da se enkripcija javnim ključem koristi samo
za šifrovanje i slanje simetričnog ključa.
• Ova tehnika se naziva digitalni koverat.
51
Digitalni koverat
52
Pošiljalac
Primalac
Originalna
poruka
Simetrični
ključ sesije
Simetrični
ključ sesije
Tajni ključ
primaoca
Javni ključ
primaoca
Šifrovana
poruka
Internet
Diplomatski
izveštaj
Diplomatski
izveštaj
Digitalni
koverat
Digitalni sertifikat
• Međutim, još uvek nije obezbeđena puna bezbednost:
kako možemo da budemo sigurni da su ljudi i institucije
od kojih dobijamo poruke zaista oni za koje se
predstavljaju?
• Digitalni (elektronski) sertifikati, i prateća infrastrutura
javnog ključa (PKI), su pokušaj da se reši ovaj problem
digitalnog identiteta.
53
Digitalni sertifikat
• Digitalni sertifikat je digitalni dokument koji izdaje
pouzdana, nezavisna institucija, ovlašćena za izdavanje
sertifikata i poznata kao sertifikaciono telo
(certification authority - CA), i on sadrži naziv osobe ili
kompanije, njegov javni ključ, serijski broj digitalnog
sertifikata, datum važenja, datum izdavanja, digitalni
potpis sertifikacionog tela, itd.
• Dakle, osnovni zadatak sertifikata je da poveže javni
ključ sa vlasnikom.
54
Digitalni sertifikat
55
Digitalni sertifikat
56
Institucija/
pojedinac Zahtev za
sertifikatom
Dobijeni
sertifikat
Internet Sertifikaciona
tela
Partner u
transakciji (online
prodavac ili klijent)
Digitalni sertifikat:
Serijski broj sertifikata
Verzija
Naziv izdavača
Datum važenja
Naziv subjekta
Javni ključ subjekta
Potpis sertifikacionog tela
Ostale informacije
Digitalni sertifikat
• U našoj zemlji je 2004. godine usvojen Zakon o
elektronskom potpisu, kojim su propisana sva pravila za
korišćenje elektronskog potpisa i znatno olakšan rad i
proširene mogućnosti e-poslovanja.
• Takođe, u našoj zemlji trenutno postoje četiri
sertifikaciona tela ovlašćena za izdavanje
kvalifikovanih elektronskih sertifikata:
• Privredna komora Srbije,
• Pošta Srbije,
• MUP Srbije, i
• Halcom.57
Enkripcija
Za sva do sada navedena rešenja važe sledeća ograničenja:
• ona štite poruke tokom prenosa, ali nisu efikasna u
zaštiti iznutra tj. od strane zaposlenih,
• većina tajnih ključeva se čuva na nesigurnim ličnim ili
službenim računarima i laptopovima,
• ne postoji garancija da je osoba koja koristi računar (i
tajni ključ na njemu) zaista vlasnik računara i ključa
(izgubljen ili ukraden laptop).
58
Obezbeđenje kanala komunikacije
• Najčešći način za obezbeđenje kanala komunikacije je
korišćenje SSL-a (Secure Socket Layer).
• Sigurna sesija na Internetu je ona klijent-server sesija u
kojoj je URL adresa zahtevanog dokumenta, zajedno sa
sadržajem i svim pratećim elementima koji se
razmenjuju, šifrovani.
• Na primer, broj kreditne kartice koja se šalje sa forme
za unos, putem Interneta, do servera e-prodavnice se
šalje šifrovan.
59
Obezbeđenje kanala komunikacije
Transakcija korišćenjem SSL protokola uključuje sledeće
aktivnosti:
• Server šalje svoj digitalni sertifikat klijentu,
• Klijent proverava da li je sertifikat izdalo neko
sertifikaciono telo; ako ustanovi da nije, pruža
korisniku mogućnost da odabere da li će nastaviti
transakciju ili će je prekinuti,
• Klijent i server razmenjuju javne ključeve,
• Klijent generiše simetrični ključ koji se koristi samo u
započetoj transakciji,
60
Obezbeđenje kanala komunikacije
• Klijent šifruje generisani simetrični ključ, korišćenjem
serverovog javnog ključa i šalje ga serveru.
• U daljem toku transakcije server i klijent koriste taj isti
ključ metodom simetrične enkripcije.
• Svi veb pretraživači imaju u sebi SSL
• u slučaju šifrovane komunikacije u adresi posećenog
sajta se javlja https:// ...
61
Obezbeđenje kanala komunikacije
62
Web pretraživač
klijenta
Internet
Zahtev za
sigurnom
sesijom
Odobrenje
sigurne
sesije
Server
prodavca
Sertifikat
klijenta
Sertifikat
prodavca
Razmena sertifikata
Digitalni koverat
Ključ sesije
(generiše ga klijent)
Sertifikati razmenjeni. Obe strane
identifikovane.
Klijent generiše simetrični ključ sesije i korišćenjem javnog
ključa servera kreira digitalni koverat. Šalje ga serveru. Server ga dešifruje korišćenjem svog privatnog ključa.
Počinje šifrirana komunikacija, korišćenjem simetričnog ključa sesije, koji je generisao klijent
Obezbeđenje kanala komunikacije
• Virtuelna privatna mreža (Virutal Private Network -
VPN) omogućava udaljenim korisnicima da pristupaju
lokalnoj računarskoj mreži kompanije putem Interneta,
korišćenjem niza VPN protokola.
• VPN mreže koriste i autentikaciju i enkripciju kako bi
zaštitili informacije od neovlašćenih korisnika.
• Udaljeni korisnik se može povezati na LAN mrežu
korišćenjem svog Internet provajdera.
• VPN protokoli zatim obezbeđuju vezu od klijenta do
kompanijske mreže tako da korisnik može da je koristi
kao da je direktno povezan na nju.
63
Obezbeđenje kanala komunikacije
• Proces povezivanja jednog protokola kroz drugi naziva
se tuneliranje (tunneling), zato što VPN kreira privatnu
vezu dodavanjem nevidiljivog, šifrovanog omotača oko
poruke (kao tunel), kako bi sakrio njen sadržaj.
• VPN je virtuelna mreža u smislu da se korisnicima čini
kao da je direktna, posebna linija (veza), a ona je ustvari
privremena, sigurna linija; obično se koristi u
komunikaciji poslovnih partnera (velikih dobavljača ili
kupaca) i zaposlenih koji rade sa neke udaljenosti (npr.
sa službenog puta).
64
Zaštita mreža
• Zaštitni zid (firewall) je hardver ili softver koji služi za
filtriranje komunikacije odnosno sprečavanje pristupa
mreži određenim zahtevima, u skladu sa definisanom
politikom zaštite.
• Firewall kontroliše saobraćaj ka i od servera i klijenata,
sprečavajući komunikaciju sa nepouzdanim izvorima i
omogućavajući komunikaciju sa pouzdanim.
65
Zaštita mreža
• Proksi serveri (Proxy servers) su softverski serveri koji
upravljaju celokupnom komunikacijom od lokalnih
klijenata ka Internetu i obrnuto, ponašajući se kao
čuvari mreže kompanije.
• Proksi serveri se prvenstveno koriste kako bi internim
klijentima ograničili pristup eksternim Internet
serverima (npr. blokiranje Facebook-a), mada neki
proksi serveri rade i kao zaštitni zidovi.
66
Zaštita mreža
67
Klijenti Zaštitni zid Web server Udaljeni
klijent
Udaljeni
klijent
Udaljeni
server
Udaljeni
server
Klijenti
Interna
mreža
Eksterna
mreža
Proksi
server
PROKSI SERVER
ZAŠTITNI ZID (FIREWALL)
Zaštita servera i klijenata
Vrši se na dva načina:
• Sigurnosna unapređenja operativnog sistema:
najočigledniji način zaštite servera i klijenata je
korišćenje prednosti automatskog ažuriranja (update)
bezbednosnih sistema koje pružaju Microsoft i Apple
(za operativni sistem, aplikacije, veb pretraživače, itd.)
• Antivirusni softver: najlakši i najjeftiniji način za
sprečavanje pretnji integritetu sistema je instalacija
antivirusnog softvera (Kaspersky, McAfee, Norton) i
njegovo redovno ažuriranje.
68