FPZ_RS_PART_1

Raunalna sigurnostProf. Dr. sc. Miroslav Baa [email protected] 098 55 22 35

Raunalna sigurnostPut u pakao poploen je dobrim namjerama kineska

Raunalna sigurnostUvodna razmatranja Naruavanje sustava sigurnosti Naruavanje sigurnosti osoblja Fizika i operacijska sigurnost Propusti i posljedice zbog nepotivanja propisa iz podruja sigurnosti Novi oblici iskoritavanja podataka Zatita podataka i zakljuna razmatranja by Prof. Dr. sc. Miroslav Baa 3

Sigurnost Sigurnost ovjeka Organizacije Drutva i drave

Sigurnost informacijskog sustava (C-I-A) Confidentiality Povjerljivost (Podatak je povjerljiv kada nerazumljiv svima osim onima koji su autorizirani za njegovo koritenje) Integrity Integritet (Podatak ima integritet tako dugo dok je identian stanju koje je nastalo nakon to je zadnji autorizirani korisnik zavrio s njim) Availability Raspoloovost (Podatak je raspoloiv kada je dostupan autoriziranim korisnicima u dogovorenim formatu i razumnom vremenskom terminu)

by Prof. Dr. sc. Miroslav Baa

4

Neki osnovni pojmovi Identifikacija (Identification) Tko si ti ? Usporedba 1:N

Autentikacija (Authentication) Autorizacija (Autorization) to ti je dozvoljeno ?

Da li si ti onaj za kojeg se predstavlja ? Usporedba 1:1

Odgovornost (Accountability) ira definicija sigurnosti

Tko to radi i tko je za to zaduen Tajnost Osobna procjena koji tip sigurnosti je potreban dati e put u odabiru specifinih sigurnosnih tehnika


5

Kako to izgleda u stvarnosti

800 korisnika

Poinitelji izrauju kopije

Poinitelji Podiu novacby Prof. Dr. sc. Miroslav Baa 6

Tajnost i povjerljivost Siguran sustav ne smije dozvoliti nikome da pristupi informaciji (podatku) osim autoriziranim osobama. Tajnost osigurava pristup tono odreenim podacima samo korisnicima koji imaju dozvolu za te podatke, a prema unaprijed jasnim pravilima koritenja, Razine tajnosti ovise o institucijama (potrebe nacionalne sigurnosti, strogo povjerljive poslovne informacije)

Povjerljivost osigurava zatitu osobnih podatka kao i povjerljivih organizacijskih podataka.by Prof. Dr. sc. Miroslav Baa 7

Tonost, integritet, autentinost Sigurni sustav mora rukovoditi kontinuitetom integriteta informacija koji su u njemu pohranjeni. Preciznost ili integritet znai da sustav ne smije ugroziti informacije niti dozvoliti neautorizirana zlodjela ili sluajne promjene. U mrenom okruenju autentikacija predstavlja nain verifikacije originalnog podatka determinirajui primatelja ili poiljatelja.by Prof. Dr. sc. Miroslav Baa 8

Raspoloivost Siguran sustav mora odravati informacije raspoloivima za korisnike. To konkretno znai da komponente sustava moraju biti uinkovite i da je sustav sposoban brzo se i u potpunosti povratiti u sluaju bilo kakovih potekoa. DoS-suprotnost raspoloivosti Denial of Service (Uskraivanje usluga)by Prof. Dr. sc. Miroslav Baa 9

Politika organizacije Nedovoljna organizacijska sigurnost Veliki propusti maksimalna teta Nunost kvalitetnog organiziranja sigurnosti

Definiranje potrebnih odgovornosti Temeljni korak u cilju smanjenja mogueg rizika Nuno je imenovati nositelje pojedinih aktivnosti kao i njihove konkretne ciljeveby Prof. Dr. sc. Miroslav Baa 10

Outsourcing & trea strana Obaveze tree strane Davanje informacija treoj strani Zakonski osnov (Zakon o zatiti osobnih podataka) Mogunost iskoritavanja podataka (Obavezno potpisivanje ugovora o nainu koritenja podataka) Posebno voditi rauna o serviserima, dobavljaima kao i ostalim suradnicima po potrebi

Postupanje u sluaju outsourcinga Zatita informacija u skladu s radnim mjestom (Ugovor o zabrani zapoljavanja u istoj ili slinoj djelatnosti, posebno u konkurentskim tvrtkama).by Prof. Dr. sc. Miroslav Baa 11

Identitet Digitalni identitet Jedniznanost osoba, ureaja ili njihove kombinacije Mnogi se dijelovi sustava baziraju i pozivaju na jednoznanost identiteta, njegovu dokazivost i neporecivost kako bi osigurali funkcionalnost sustava uz poveanje ili zadravanje postojeeg sranja sigurnosti

Identitet osobe/dokumenta Identitet dokumenta Osigurava jednoznanost prijenosa sadraja Osigurava mogunost zaklanjanja dijela ili cijelog sadraja Osigurava mogunost provjere identiteta i subjekta u komunikacijskom procesuby Prof. Dr. sc. Miroslav Baa 12

PKI Infrastruktura digitalnog potpisa Digitalni se potpisi i njihova verifikacija kreiraju s pomou kriptografskog sustava Temelji se na sustavu od dva kljua Tajni klju poznat je jedino potpisniku i rabi se za kreiranje digitalnog potpisa Javni klju poznat je irem krugu osoba i njime se koristi primatelj u svrhu verifikacije

Problem Povjerenje primatelja poruke u injenicu da li je javni klju primatelja zaista poiljateljev?by Prof. Dr. sc. Miroslav Baa 13

PKI CertifikacijaDavatelj usluga certificiranja3

Repozitorij certifikata

1

2

5

6

Osoba poiljatelj

4

Primatelj

1. Osoba (poiljatelj) podnosi zahtjev za izdavanje elektronikog certifikata 2. Davatelj usluga certificiranja provjerava identitet osobe i izdaje elektroniki certifikat 3. Davatelj usluga certificiranja objavljuje certifikat u repozitoriju certifikata 4. Poiljatelj elektroniki potpisuje poruku svojim privatnim kljuem i alje je primatelju 5. Primatelj prima poruku, provjerava elektroniki potpis javnim kljuem poiljatelja, te u repozitoriju certifikata provjerava status i valjanost certifikata poiljatelja 6. Repozitorij vraa primatelju rezultat provjere statusa poiljateljevog certifikataby Prof. Dr. sc. Miroslav Baa 14


Prijetnja Svaka sila ili sredstvo koji moe ponititi ili smanjiti uinkovitost sustava odnosno graniiti ili onemoguiti ispunjenje cilja Potencijalni uzok neeljenog dogaaja koji moe imati za posljedicu tetu za sustav ili organizaciju Potencijal nekog izvora prijetnje da iskoristi (sluajno ili namjerno) ranjivost sustavaby Prof. Dr. sc. Miroslav Baa 16

Podijela prijetnji Prirodne pojave (vatra, poplava, ekoloko zagaenje, potresi, erupcije, zraenja, vremenske nepogode, vlage, vruine i dr.), Namjerno djelovanje ovjeka (sabotaa, pijunaa, ratna razaranja, otkrivanje informacija, kraa, prijevara i dr.), Sluajno djelovanje ovjeka (nepanja, neznanje, nemar i dr.), Tehnike prijetnje (nestanak elektrine energije, kvarovi ureaja i opreme, tehnike nesree, loa kvaliteta, neprimjeren operacijski sustav, statiki elektricitet, praina i dr.), Organizacijske prijetnje (neodgovarajue procedure, organizacija i struktura, nemotivirinaost, ergonimija, radna nekultura i dr.).


17

Ranjivost Mogunost da prijetnja iskoristi potencijalne slabosti sustava sigurnosti Potrebno ju je posebno definirati i pratiti kroz sve organizacijske aspekte


18

Podijela ranjivostiFizike ranjivosti (zgrade, prostor) Prirodne ranjivosti (nepogode...) Strojne i programske ranjivosti Ranjivosti medija Nesavrenost strojne podrke (elektromagnetsko zraenje) Komunikacijska ranjivost (mrea, Bluetooth...) Ranjivost osoblja by Prof. Dr. sc. Miroslav Baa 19

Napad, provala, upad Napad Svaki aktivni i neaktivni interes poinitelja koji se bave kriminalnim aktivnostima

Provala Kada poinitelj svojim aktivnostima uspije probiti sigurnosne mehanizme sustava s ciljem ostvarenja sebi ili drugome materijalne koristi ili poinjenja tete

Upad Svi elementi kao kod napada uz izostanak ostvarenja materijalne koristi ili poinjenja teteby Prof. Dr. sc. Miroslav Baa 20

Podjela Prema nainu djelovanja Kraa, gubitak, otkrivanje, prekid usluga, pomjena podataka)

Prema mjestu nastanka Unutarnje, vanjske

Prema mjestu djelovanja Nositelji podataka, ljudski izvori, ureaji, oprema

Prema karakteru Namjerni, nenamjerni

Prema izvoru i dr.by Prof. Dr. sc. Miroslav Baa 21

Napadi Raunalni sustavi u vlasnitvu dravnih institucija Raunalni sustavi u vlasnitvu velikih gospodarskih subjekata Raunalni sustav u vlasnitvu financijskih institucija Raunalni sustav u dravnim institucijama i organizacijama Raunalni sustav u vlasnitvu drugih organizacija i osobaby Prof. Dr. sc. Miroslav Baa 22

Osnovne slabe toke Strojna podrka Programska podrka Komunikacije Podaci


23

Raunalni kriminal Prema D. Krapac: Raunalni kriminal oznaava sve sluajeve zloupotrebe elektronikog raunala Kategorizacija: Prema volji poinitelja (sluajni, najerni) Prema uinku poinitelja (aktivni, pasivni) Prema mjestu napada (unutarnji, vanjski) Prema cilju napada Prema metodi napadaby Prof. Dr. sc. Miroslav Baa 24

Populacija poiniteljaFiziko-sigurnosni problemi 19%

Virusi 4%

Vanjski napadai 3%

Ljudske pogreke 55%

Mrzovoljni zaposlenici 9%

Nepoteni zaposlenici 10%


25

Poinitelji-naobrazbaSloenost izobrazbe 1 2 3 4 5 6 7 8 9 10 11 12 13 Bez raunalne izobrazbe Osnovna kola, poznaje pojam raunalo Srednja kola, raunalni korisnik Zavrena srednja kola, koristi i poznaje operacijske sustave i Internet Zavrena srednja kola, uz poznavanje operacijskih sustava i interenta poznaje programiranje Fakultet, dobar korisnik, poznavanje OS-a (Win) Fakultet, dobar korisnik, poznavanje OS-a (Win) Interenta, programiranje, poznavanje UNIX-a Fakultet, administrator, napredni Internet korisnik, poznavanje OS-a (Win) & UNIX, programiranje MSc, Internet expert, programiranje, srednja razina poznavanja UNIX Post MSc, Interent expert, programiranje, napredni UNIX PhD, sve navedeno, poznat hackerskoj zajednici PhD, sve navedeno, kriminalni dosije by Prof. Dr. sc. Miroslav Baa Pismeno dijete Amater Amater Amater Hacker Expert hacker Profesor hacker Raunalni kriminalac Svevinji 26 Kvalifikacija Alias

Poinitelj-financiranjeRazina 0 1 2 3 4 5 6 7 8 9 Troak napada 0 10 100 1 000 10 000 100 000 1 000 000 10 000 000 100 000 000 1 000 000 000 Suradnja Osoba Osoba Osoba Osoba Osoba/par Osoba/par Par/grupa Grupa/drava Grupa/drava Drava/vie drava


27

Poinitelj-trajanjeRazina 0 1 2 3 4 5 6 7 8 Utroak vremena Manje od sekunde Sekunde Minute Sati Dani Tjedni Godine Desetljea ivotni vijek


28

Digitalni dokaz Ameriko zakonodavstvo Bilo koji podatak koji moe potvrditi da je poinjeno djelo ili koji moe ukazati na povezanost izmeu djela i poinitelja, ili djela i rtve. Predstavlja kombinaciju razliitih informacija (tekst, slika, audio, video) Cybertrailby Prof. Dr. sc. Miroslav Baa 29


30

Rukovanje s digitalnim dokazima Prepoznavanje dokaza Prepoznati strojnu podrku koja sadri informacije Nuno ga je sauvati u originalnom obliku Potrebno je voditi rauna da se svi dokazi prikupe

Imenovati voditelja baze dokaza Dokumentirati cijeli postupak Opisno Slikovno

Rekonstrukcija dokazaby Prof. Dr. sc. Miroslav Baa 31

Prevencija Konstantna i stuno utemeljena edukacija Sustavi zatite raunalnih sustava Analiza rizika Sigurnosne mjere za osoblje Operacijska sigurnost


32

Model opeg djelovanjaKANJAVANJE OTKRIVANJE Vjetaenja eksperata Rukovanje s dokazima Prikupljanje dokaza Biljeenje tragova

Prezentacija na sudu

Aktivnosti nakon presude

Istraga i pravosudi progon

Tretiranje i praenje upada

Mjere otkrivanja

Tim za rukovoenje kriznim situacijama

Procjena rizika i analiza prijetnji

Planiranje naina za borbu protiv ra. krim.

Fizika sigurnost

Operacijska sigurnost

Sigurnost osoblja

Komunikacijska sigurnost

PREVENCIJA


33

Sigurnost is-a kroz ivotni ciklusR aanje R ast Maksimum S tagnacija Odumiranje

Analiza osjetljivosti

Utvrivanje sigurnosnih karakterstika

Uvoenje sigurnosnih mjera

Upravljanje mjerama

Ukljuivanje sigurnosnih zahtjeva u specifikacije sustava

Testiranje sigurnosnih mjera

Osiguranje funkcionalnosti

R azvoj ili nabava

Akreditacija sustava sigurnosti

Periodine analize i provjere


34

Analiza osjetljivosti Kakve e informacije odnosno podatke obraivati sustav Kakve mogu biti posljedice uslijed sigurnosnih propusta Koji zakonski akti definiraju aspekt sigurnosti Na koje je prijetnje sustav posebno osjetljiv Kakve su sigurnosne karakterstike korisnika Koji su interni sigurnosni aktiby Prof. Dr. sc. Miroslav Baa 35

Faze rasta Utvrivanje sigurnosnih zahtjeva Definiranje zahtjeva koji se iskazuju kroz traene tehnike karakterstike sustava, kao i druge sigurnosne zahtjeve

Ukljuvanje sigurnosnih zahtjeva u specifikacije sustava Ukljuivanje u dokumentaciju svih sigurnosnih zahtjeva

Razvoj ili nabava Sustav se realiziraby Prof. Dr. sc. Miroslav Baa 36

Faze maksimuma Uvoenje sigurnosnih mjera Potrebno je ukljuit odgovarajue sigurnosne kontrole i aspekte kako bi se smanjio mogui rizik

Testiranje sigurnosnih mjera Ispitivanje pojedinih dijelova sustava i cijelog sustava Sigurnosno certificiranje-provjeriti da li svi sigurnosni mehanizmi odgovaraju specifikacijama sigurnosnih zahtjeva

Akreditacija sustava sigurnostiby Prof. Dr. sc. Miroslav Baa 37

Faza stagnacije Upravljanje mjerama Pokriva podruje svih sigurnosnih aktivnosti ije je svakodnevno provoenje preduvjet odravanju funkcionalnosti sustava

Osiguranje funkcionalnosti Daje naznake da li susta djeluje u skladu s trenutnim sigurnosnim zahtjevima, a obuhvaa provjeru korisnika kao i provjeru tehnikih sigurnosnih mehanizama

Periodine analize i provjere Poticaj za promjene u sustavuby Prof. Dr. sc. Miroslav Baa 38

Upravljanje sigurnou


39

Upravljanje sigurnou


40

Rizik Sigurnosni rizik je mogunost nastupanja neeljenog dogaaja a koji ima negativan utjeca na povjerljivost, integritet i raspoloivost raunalnog sustava Proces upravljanja rizikom: Procjena rizika Umanjivanje rizika Ispitivanje i analizaby Prof. Dr. sc. Miroslav Baa 41

Stanje sigurnosti


42

Procjena rizika Procjena rizika sastoji se od devet koraka: Identifikacja i klasifikacija Identifikacija prijetnji Identifikacija ranjivosti Analiza postojeih kontrola Analiza posljedica Odreivanje rizika Preporuke za umanjivanje Dokumentacijaby Prof. Dr. sc. Miroslav Baa 43

Mogua klasifikacija ranjivostiVjerojatnost Visoka Opis Izvor prijetnje je posebno motiviran za iskoritavanje ranjivosti s obzirom na mogunost dolaska do povjerljivih podataka. Postojee sigurnosne kontrole nisu dovoljne ili sadre slabosti koje se mogu iskoristiti. Izvor prijetnje je djelomino motiviran. Postoje mogunosti za iskoritavanje ranjivosti ali postojee kontrole to oteavaju. Izostanak motivacije za iskoritavanje ranjivosti. Sigurnosne konrole kvalitetno su implementirane i iskortavanje ranjivosti je oteano

Srednja

Niska


44

Mogua klasifikacija potencijalnih gubitakaGubitak Visok Opis Iskoritavanje ranjivosti moe rezultirati: Trajnim gubitkom Trajnim unitenjem resursa Ozbiljnim ugroavanjem poslovnih ciljeva i misije organizacije Ozbiljnim ugroavanjem ljudskih resursa Iskoritavanje ranjivosti moe rezultirati: Djelominim gubitkom Djelominim unitenjem resursa Djelominim naruavanjem poslovnih ciljeva i misije organizacije Djelominim ugroavanjem ljudskih resursa Iskoritavanje ranjivosti moe rezultirati: Manjim gubitkom Manjim oteenjem resursa Primjetnim naruavanjem poslovnih ciljeva i misije organizacijeby Prof. Dr. sc. Miroslav Baa 45

Srednji

Nizak

Odreivanje sigurnosnog rizika Rizik je funkcija: Vrijednosti Ranjivosti Prijetnji vjerojatnosti Ostvarenja Posljedica (P1)

R=f{V,R,P,O,P1} Kvantitativni pristup Ranjivosti, prijetnje i posljedice u sluaju realizacije se promatraju kao tzv faktor izloenosti FI koji se izraava postotkom gubitka vrijednosti resursa Vjerojatnost koja ovisi o ranjivostima i prijetnjama se promatra u zadanom vremenskom periodu pa se sukladno tomu provodi i kvantifikacija rizika u tom vremenskom periodu

R=V*EFP1,R,P*OR,Pby Prof. Dr. sc. Miroslav Baa 46

Primjer mogueg odreivanja rizika Vjerojatnost (1.0 vrlo vjerojatno; 0.5 vjerojatno; 0.1 vrlo malo vjerojatno) Gubitci (100 iznimno veliki gubitak; 50 srednji gubitak; 10 maleni gubitak) Skala rizika (1-10 niski; 11-50 srednji; 51-100 visoki)Vjerojatnost realizacije Visoka (1.0) Srednja (0,5) Niska (0.1) Posljedice/Gubitci Male Nizak 10 x 1.0 = 10 Nizak 10 x 0.5 = 5 Srednje Srednji 50 x 1.0 = 50 Srednji 50 x 0.5 = 25 Velike Visoki 100 x 1.0 = 100 Srednji 100 x 0.5 = 50 Nizak 100 x 0.1 = 10

Nizak Nizak 10 x 0.1by Prof. Dr. sc. Miroslav Baa = 5 =1 50 x 0.1

47

Naini reakcije na pojavu rizika Umanjivanje rizika Transfer rizika Prihvaanje rizika Odbacivanje rizika (preputanje sudbini !!!)


48

Metodologija rukovanja rizicimaOdreivanje prioritetnih akcija Evaluacija preporuenih sigurnosnih kontrola Analiza dobivenog i uloenog Odabir sigurnosnih kontrola Podjela odgovornosti Izrada plana za implementaciju sigurnosnih kontrola Implementacija kontrola by Prof. Dr. sc. Miroslav Baa 49


Naruavanje sigurnosti osoblja Prevencija ljudskih pogreaka, krea, prijevara ili zlouporabe opreme Sigurnost u definiranju poslovnih obveza i dodijeli resursa Provjera osoblja Ugovor o radu Sporazumi o povjerljivosti

Edukacija zaposlenika Reakcija na sigurnosne incidente i propuste Edukacija o incidentima Informiranje o: Sigurnosnim incidentima Sigurnosnim slabostima Programskim pogrekama

Disciplinski postupci


51

Sigurnost u definiranju poslovnih obveza i dodijeli resursa Sigurnosne dunosti i odgovornosti moraju se dokumentirati One moraju ukljuiti: Sve openite odgovornosti za implementaciju i odravanje sigurnosne politike Sve specifine odgovornosti za zatitu pojedinih dijelova imovine ili za izvrenje posebnih sigurnosnih procesa i aktivnostiby Prof. Dr. sc. Miroslav Baa 52

Provjera osoblja Prilikom aplikacije osobe za zaposlenje potrebno je nainiti: Provjeru dostupnosti preporuka kako poslovnih tako i osobnih Provjeru ivotopisa (radi potpunosti i tonosti) Provjeru steenih akademskih i profesionalni kvalifikacija (u institucijama koje su izdale uvjerenja) Neovisnu provjeru identiteta (putna isprava ili slino)

Prilikom aplikacije osobe za zaposlenje poeljno je nainiti: Provjeru kreditne sposobnosti aplikanta Sklonost aplikanta igrama na sreu Socijalni ivot aplikantaby Prof. Dr. sc. Miroslav Baa 53

Ugovor o radu Naznaiti odgovornost zaposlenika za sigurnost informacija Potrebno je difinirati vremensko trajanje odgovornosti Samo za vrijeme trajanja radnog vremena Nakon radnog vremena

Potrebno je definirati prostorno trajanje odgovornosti Potrebno je definirati sankcije koje e se poduzeti ako zaposlenik postupi suprotno sigurnosnim zahtjevima

Pravne odgovornosti i prava zaposlenika potrebno je objasniti i implementirati u Ugovor o radu Zakon o zatiti osobnih podataka Zakon o zatiti autorskih prava Potrebno je implementirati i klasifikaciju, te upravljanje podacima zaposleniku


54

Sporazum o povjerljivosti Daju do znanja da je neki podatak/informacija povjerljiva odnosno tajna Predstavlja dio Ugovora o radu Povremeno osoblje kao i korisnici s tree strane moraju potpisati takav sporazum prije nego li dobiju prao pristupa podacima ili opremi Sporazume o povjerljivosti potrebno je posebno analizirati kada Nastupe promjene u uvjetima zapoljavanja ili sklapanja Ugovora Kada zaposlenici naputaju organizaciju Prije isteka Ugovoraby Prof. Dr. sc. Miroslav Baa 55

Edukacija zaposlenika Korisnici moraju biti svjesni problema i prijetnji vezanih uz raunalnu sigurnost te moraju biti osposobljeni u sklopu normalnog obavljanja radnih zadataka doprinijeti sigurnosnoj politici organizacije Korisnici moraju biti uvjebani koristiti sigurnosne postupke Svi zaposlenici i korisnici trebaju proi odgovarajui trening te moraju prihvatiti odgovarajue dopune organizacijskih postupaka i politikaby Prof. Dr. sc. Miroslav Baa 56

Reakcija na sigurnosne incidente i propuste Umanjiti tetu koja nastaje djelovanjem sigurnosnih incidenata odnosno propustima Opaati i uiniti na tim incidentima

Incidenti koji utjeu na sigurnost moraju biti prijavljeni slubenim komunikacijskim nainom, to je prije mogue Korisnici trebaju biljeiti i izvjeivati o uoenim ili moguim sigurnosnim slabostima ili prijetnjama te to izvjee im prije prijaviti slubenim komunikacijskim nainom Korisnici trebaju biljeiti i izvjeivati o uoenim ili moguim slabostima ili prijatnjama sustav ili servisima te to izvjee im prije prijaviti slubenim komunikacijskim nainom


57

Reakcija na sigurnosne incidente i propuste Nuna je uspostava procedure izvjeivanja o programskim pogrekama. Posebno se moraju razmotriti Simptomi problema Izolacija raunala Trenutno izvjeivanje rukovoditelja sigurnosti

Nuno je omoguiti praenje i kvantifikacju tipova, obuja i trokova incidenta i pogreke, iz njih je mogue UITI ! Potrebno je uvesti formalne disciplinske postupkke za zaposlenike koji se ne ponaaju sukladno sigurnosnim politikama i procedurama organizacijeby Prof. Dr. sc. Miroslav Baa 58

Naruavanje sigurnosti osoblja Ispitivanje ili pogaanje korisnike zaporke Lano predstvljanje (maskiranje) Socijalni inenjering Uznemiravanje Piratstvo programske podrke


59

Ispitivanje ili pogaanje korisnike zaporke Kako promijeniti zaporku% passwd Changing password for mbaca. Old password: TomCaT18 New password: tOMcAt20 Retype new password: tOMcAt20 %


60

Pomou tipkovnice Treba imati na umu da zaporka od pet slova sastavljena iskuljuivo od malih slova ima otprilike 8x10^6 moguih kombinacija, dok zaporka sastavljena od velikih i malih slova i deset znamenaka ima 776x10^6 kombinacija Korisnik koji za kreiranje zaporke koristi skoro sve karaktere moe kreirati oko 43 000 000 000 000 000 zaporkiby Prof. Dr. sc. Miroslav Baa 61

Nikada ne koristiti !!!! osobno ime, ime suprunika ili roditelja, ime djeteta ili kunog ljubimca, ime bliskih prijatelja ili radnih kolega, ime neposrednog rukovoditelja, bilo ije ime, ime operacijskog sustava koji se koristi na raunalu, naziv posluitelj raunala na koje je spojeno korisniko raunalo, broj telefona ili registarska oznaka vozila, dio MBG-a, broja tekueg ili iro rauna i sl., bilo iji datum roenja, bilo kakva informacija koja se lako moe dobiti o korisniku (npr. adresa stanovanja), bilo ije korisniko ime, rijei iz rjenika (hrvatskog, engleskog i sl.), zemljopisni pojmovi, zaporke svih istih karaktera, jednostavni slijed tipki na tipkovnici (npr. qwertzu)by Prof. Dr. sc. Miroslav Baa 62



63

Lano predstavljanje (maskiranje) Kada osoba koristi identitet druge osobe s ciljem da na taj nain pristupi raunalnoj infrastrukturi, govorimo o lanom predstavljanju ili maskiranju. Potrebno je sprijeiti mogue kompromitacije dokazivanja korisnikog identiteta kroz: Neto to osoba zna Neto to osoba ima Neto to osoba jestby Prof. Dr. sc. Miroslav Baa 64

Kako sprijeiti Uprava mora osigurati slijedee korake: Osigurati dostatan nain zatite osobnih podataka i podataka o osobi Oformiti odjel za nadzor Analiza datoteka, Promatranje, Izvjea legalnih korisnika, Osiguranje dokaza, Voenje interne istrage, Ukljuivanje slubenh institucija (prema potrebi).

Uvoenje biometrijskih sustavaby Prof. Dr. sc. Miroslav Baa 65

Zakon o zatiti osobnih podataka Osobni podatak svaka informacija koja se odnosi na identificiranu fiziku osobu ili fiziku osobu koja se moe identificirati; osoba koja se moe identificirati je osoba iji se identitet moe utvrditi izravno ili neizravno, posebno na osnovi jednog ili vie obiljeja specifinih za njezin fiziki, psiholoki, menatlni, gospodarski, kulturni ili socijalni identitet Obrada osobnih podataka svaka radnja ili skup radnji izvrenih na osobnim podacima, bilo automatskim sredstvima ili ne...


66

Korisnik fizika ili pravna osoba, dravno ili drugo tijelo kojem se osobni podaci mogu dati na koritenje radi obavljanja redovitih poslova u okviru njegove zakonom utvrene djelatnosti Privola ispitanika slobodno dano i izriito oitovanje volje ispitanika kojom on izraava svoju suglasnost s obradom njegovih osobnih podataka u odreene svrheby Prof. Dr. sc. Miroslav Baa 67

to se smije ? Osobni podaci smiju se prikupljati i dalje obraivati: Uz privolu ispitanika ili U sluajevima odreenim zakonom

Bez privole ispitanika osobni podaci smiju se prikupljati i dalje obraivati: U svrhu izvravanja zakonskih obveza voditelja zbirke osobnih podataka, ili U svrhu zatite ivota ili tjelesnog integriteta ispitanika ili druge osobe u sluaju kada ispitanik fiziki ili pravno nije dao svoj pristanak, ili Ako je obrada podataka nuna radi ispunjenja zadataka koji se izvravaju u javnom interesu ili u izvravanju javnih ovlasti koje ima voditelj zbirke osobnih podataka, ili Ako je ispitanik sam objavio te podatke.


68



69

Socijalni inenjering Poinitelj manipulira drugim osobama koritenjem informacija o njima a u svrhu krae podataka ili potkopavanja sigurnosti sustava Iskoritavanje razliitih javnih podataka o osobama Razliito od ucjene i bilo kakovog drugog oblika kontakta rtve i poiniteljaby Prof. Dr. sc. Miroslav Baa 70

Filozofija umjetnost i znanost nagovaranja ljudi da ispune zahtjeve napdaa Filozofija socijalnog inenjeringa Uvjeravanje Lano predstavljanje Stvaranje odgovarajue situacije Morana odgovornosti elja za pomaganjemby Prof. Dr. sc. Miroslav Baa 71

Kako Naini izvravanja: Telefonski inenjering Pretraivanje smea Socijalni inenjering putem interneta Zavirivanje Forenzika analza Reverzni socijalni inenjering


72

Zatita Sigurnosna politika Edukacija Prijava incidenta Kontrola pristupa Fizika sigurnost Vierazinska sigurnost


73



74

Uznemiravanje Slanje prijeteih poruka odnosno iznoenje poluistina ili neistina o osobama Cyberstalking- djelo u kojemu poinitelj samovoljno, zlobno i kontinuirano slijedi ili ometa druge osobe a koje izaziva strah kod te osobe za vlastiti ivot ili strah od ozljeivanja Poinitelj kompromitiranjem, uznemiravanjem ili bilo kakovim drugim nainom iskoritava slabosti korisnika. Poinitelj: potencijalno svaka osoba Detekcija: promatranje, prislukivanje Dokaz: poruka inkriminirajueg sadraja


75

Kako ? Poinje online i nastavlja se offline Poinje offline i nastavlja se online Napastovanje putem poruka Poinje on line i nastavlja se online Napadaju se raunala ili zaporke Koristi se identitet osobe kako bi se ista dikreditirala ili joj se nanijelo zloby Prof. Dr. sc. Miroslav Baa 76

Osnovni elementiOn line uznemiravanje je u porastu Najvei rizik predstavljaju offline prijetnej Zatita osobnih podataka je klju zatite Nesvjesno dajemo jako veliki broj informacija On line uznemiravanje i napastovanje vrlo lako i jednostavno prerastu u off line uznemiravanje i napastovanje Policija ne prepoznaje ovo kazneno djelo a zakonodavac ga ne sankcionira (u pravilu dok se ne dogodi tragedija) by Prof. Dr. sc. Miroslav Baa 77

Klasifikacija Romantina/ljubavna, odbaeni, nogirani ljubavnici, razvodi (realni ili imaginarno) Osveta za realni ili imaginarni in ili namjeru Mrnja, netolerancija ili netrpeljivost Uenje nekoga ponaanju ili zakonu (realno ili imaginarno) Sluajni napadi, rtva se nala u krivo vrijeme na krivom mjestu Uznemiravanja i napastovanje poznatih i slavnihby Prof. Dr. sc. Miroslav Baa 78

to (ne)uiniti Ne dijeliti osobne informacije online Ne popunjavati profile ili obrasce sa osobnim informacijama na web stranicama Ne koristiti provokativna imena ili e-mail adrese Ne ulaziti u on line flert ako niste spremni na poslijedice Ne dijelite vau zaporku Kada idete na cyberdate koristite posebnu e-mail adresu Koristite dobar anti-virus program Ne odgovarajte cyberstalker-u Snimite svu komunikacijsku korespodenciju na raunalo Ako postoje indicije/indikacje da poinitelj ima vae offline informacije JAVITE POLICIJI! Ako poinitelj prijeti fiziki vama ili vaim blinjima JAVITE POLICIJI! Cyberstalking je ozbiljan zloin TRETIRAJTE GA OZBILJNO!


79

Primjer (RH) RH: Veernji list 13. sijenja 2004. godine

Crna legija poziva na ubojstvo ime Luina. ak 55 posto anketiranih ubilo bi Luina besplatno, a 18 posto bi ga samo ubilo. Kako s veleizdajnicima i Da li biste za novanu naknadu ubili imu Luina, dva su okantna pitanja koja su nedavno osvanula na web stranicama Crne legije, tonije, na adresi www.crnalegija.com. Preciznije, anketa s pitanjima i rezultatima na linku je koji nosi ime Jure Francetia. Tko je poktrenuo stranicu? Na taj morbidan poziv na ubojstvo donedavnog ministra unutarnjih poslova, prema podacima s iste internetske liste, glasovale su 1944 osobe, koje su odgovorile na tri ponuena odgovora. ak 354 osobe ili njih 18 posto ubilo bi Luina. No vie od tog odgovora okira odgovor na slijedeu ponuenu opciju jer bi ak 55 posto ili 1076 onih koji su glasovali, to uinilo besplatno! Zrno razuma pokazalo je 26 posto anketiranih (514) osoba koji su kazali da ne bi ubili Luina. Inae, zanimljivo je da su i pitanje i ponueni odogovori prepuni pravopisnih pogreaka, a tko je pokrenuo stranicu zasad je nepoznanica. ..


80

Primjer (svijet) CyberAngels, SafetyED i WHOA svakoga tjedna zaprime oko 400 zahtjeva za pomo od strane rtvi cyberstalkinga, to je preko 20 000 djela svake godine Devet od deset rukovoditelja ita e-mail zaposlenika 92 % rukovoditelja provjerava to rade njihovi zaposlenici na Internetu i nadziru njihov e-mail, 26 % ini to bez ikakovog posebnog razloga


81

NYPD Od sijenja 1996 do kolovoza 2000. : 196 sluaja cyberstalkinga, 80% mukarci; 20% ene 74% bijelci, 13% azijati, 8% hispanjolci, 5% crnci Najstariji 53 godine, najmlai 10 godina, prosjek 24 godine rtve 52% ene 35% mukarci 85% bijelci 6% azijati 5% crnci 4% hispanjolci Najstarija rtva 62 godine, najmlaa 10 godine, prosjek 32 godine

U 92 % sluejeva kao glavna metoda cyberstalkinga koritena je elektronika pota


82

Statistika (WHOA)God rtve % M% N%Poinitelji

2000 353 87 13 0 27 68 0 5

2001 256 79,3 16 4,7 32,5 58,6 0 8,9

2002 218 71 28 1 35 52 0 13

2003 198 70 27 3 38 52,5 0 9,5

2004 196 69 18 13 23,5 52,5 0 24

2005 443 67 25 8 21,5 43,5 2,5 32,5

2006 372 70 28,5 1,7 27,5 36,5 0 272

Ukup 2036 1500 452 87 571 1044 13 12,2

%

73,5 22,5 4 28 51,5 1 19,5

% M% Gru % N%


83

Statistika (WHOA)God 2000 353Starost rtve

2001 256

2002 218

2003 198

2004 196

2005 443

2006 372

Ukup 2036

%

Ispod 18 %

0 54 27 19 62,5

0 44,6 26,2 6,3 22,9

0 50 36 2 12

0 63,5 25 6 5,5

0 48 27 23 2

1 38 25 30 6

0 40 29 28,5 2,5

4 946 563 383 140

0,25 46,5 27,5 18,5 7,25

18-30 % 31-40 % 41+ % N%Rasna pripadnost

Bijelci Latino Afro Asia Dom Ind N

55 1,5 0,5 1 1 1 0

60,6 2,7 1,6 4 2 0,8 28,3

77 4,5 3,5 3 1,5 1,5 9

75 6 5 2 1,5 0,5 10

78 3,5 3 3 1 1 10

73 5,5 4 4 2,5 1 10

76,5 4 2,5 6 1,5 0 9,5

424 78 56 70 32 14 362

70 3,75 2,75 3,5 1,5 0,75 17,17 84


Statistika (WHOA)God Brak S% B% R% V% O% U% N% 40,7 28,1 5,9 2 1,2 0 22,1 48 32 7 5 2 0,5 5,5 40,5 33 10 8 2 1,5 5 44 28,5 11 5,5 4,5 1 4,5 37,5 31,5 11,5 4 2,5 1,5 11,5 46 29,5 10,5 6 2,5 0,5 5 713 510 162 91 40 14 513 35 25 8 4,5 2 0,75 24,75 2000 353 2001 256 2002 218 2003 198 2004 196 2005 443 2006 372 Ukup 2036 %


85

Statistika (WHOA)God 2000 353Odnos s rtvom

2001 256

2002 218

2003 198

2004 196

2005 443

2006 372

Ukup 2036

%

Da % Ne % N%Ako DA

47 53 0

45,3 44,3 10,4

59 41 0

58 42 0

45 54 0

49,5 50,5 0

48,5 51,5 0

1014 993 29

50 48,5 1,5

Bivi % Prijatelj % Posao % Online % kola % Online ex Obitelj % Drugo %

25,5 28 0 0 0 0 25,5 21

28 16 9 28 1,5 0 4 13

57 20 9 7,25 5 0 2,75 0

53,5 9 6 20 6,5 0 5 0

33,5 10,5 11,5 26,5 4 5,5 3,25 1,25

47 12 6,5 25 5 0 2,5 0

350 146 64 165 32 17 69 170

34,5 14,5 6,25 16,5 3,25 1,5 7 16,5 86




87

Zakon o autorskom pravu i srodnim pravima 8. poglavljelanak 107. Raunalni program je zatien kao jezino djelo po ovom Zakonu ako je izvoran u smislu da predstavlja vlastitu intelektualnu tvorevinu svog autora. Pojam raunalni program obuhvaa izraaj raunalnog programa u bilo kojem obliku ukljuujui i pripremni dizajnerski materijal. Ideje i naela na kojima se zasniva bilo koji element raunalnog programa, ukljuujui i ona na kojima se zasnivaju njegova suelja, nisu zatiena autorskim pravom.by Prof. Dr. sc. Miroslav Baa 88

Osnovni pokazateljiRH 1994. 90%; 2002. 62%; 2006. 55% Poinitelj: potencijalno svaka osoba Detekcija: promatranje, svjedoenje Dokazi: fotografiranje zaslona monitora, sadraj medija za pohranu podatak, kopije, forenzika analiza Tipovi poinitelja: Amateri Profesionalci Industrijski piratiby Prof. Dr. sc. Miroslav Baa 89

Vrste piratezacije Kopiranje krajnjeg korisnika: Kopiranje i distribucija programske podrke bez novane naknade

Kloniranje tvrdog diska Poinitelj/distributer raunalne opreme kopira i instalira neovlateno programsku podrku na tvrdi disk raunala kojega prodaju

Skidanje programske podrke s inerneta Uitavanje programske podrke s piratskih web stranica

Koritenje programske podrke sa posluitelja Legalan proces u sluaju da korisnik posjeduje licencu za svaku kopiju programske podrke

Kopiranje posuene programske podrke Poinitelj iznajmljuje legalnu programsku podrku te ju kopira na svoje raunaloby Prof. Dr. sc. Miroslav Baa 90

Pokazatelji Jedna od dvije programske podrke koje se globalno koriste je ilegalna Smanjenjem broja nelegalne programske podrke Otvaranje novih radnih mjesta Poveanje poreza

Njemaka Godnji dom njemakog parlamenta Bundestag, prihvatio je kontrovezni zakon o autorskom pravu koji zabranjuje svako kopiranje glazbe i filmova ak i za vlastitu upotrebu.by Prof. Dr. sc. Miroslav Baa 91

Primjer glazbene industrije Prvo suenje zbog file-sharinga (04.10.2007) Zbog krenja autorskih prava i koritenja raznih file-sharing servisa pomou kojih je omogueno krenje ovih prava, amerika udruga glazbenih industrija je prije etiri godine podigla tube protiv 26.000 osoba. U utorak je poelo prvo suenje i to protiv 30-godinje majke dvoje djece. Veina tuenih se nagodila bez suda, plaajui nekoliko tisua dolara amerikoj glazbenoj industriji, no mlada majka je odluna dokazati svoju nevinost na sudu Minnesoti, javlja Fox News. Capitol Records Inc., Warner Bros. Records Inc. i Sony BMG su samo neke od tvrtki koje trae vie od 1,2 milijuna amerikih dolara zbog krenja prava i dijeljenja 1,702 pjesme s korisnicima Interneta uz pomou programa poput Kazaae i Napstera. BOL


92

I odmah nakon toga presuda O poetku suenja protiv 32-godinje majke zbog dijeljenja glazbenih datoteka preko file-sharing servisa ve smo je pisano 04.10.2007. Brzo i efikasno ameriko sudstvo je donijelo presudu od enormnih 220,000 amerikih dolara zbog dokazano podijeljene 24 pjesme - tonije 9,250 dolara po pjesmi. Jammie Thomas, kako se okrivljenica zove, kriva je jer je stavila dostupno 1,702 pjesme, ali je tuiteljstvo uspjelo dokazati da je podijelila samo 24 pjesme. Zbog loeg imovinskog stanja i razloga to je okrivljena mlada majka dvoje djece, odvjetnici velikih glazbenih kompanija poput Capitol Recordsa, Warner Bros.Recordsa i Sonya su dozvolili Jammie da plaa kaznu etvrtinom svoje plae, najvjerojatnije do kraja ivota, javlja BBC. BOL 07.10.2007.


93


Fizika sigurnost i sigurnost okoline Nuno je onemoguiti neautorizirani pristup, oteenja i upade u prostore kao i podatke Raunalna infrastruktura nuna za obradu podataka mora biti smjetena u sigurnom podruju, s odgovarajuim nadzorom Primjerena zatita mora biti u skladu s identificiranim rizicima hladni pogon Identian sustav za sluaj pada Dovoljno udaljen da je nemogue unititi ga u isto vrijeme kada i radniby Prof. Dr. sc. Miroslav Baa 95

Zone odgovornosti Sigurnost podruja Podruje fizike sigurnosti Fizika kontrola ulaska Osiguranje ureda, soba i proizvodnih pogona Rad u sigurnosnim podrujima Podruja izolirane dostave i utovara Smjetaj i zatita opreme Opskrba elektrinom energijom Odravanje opreme Sigurnost opreme izvan tvrtke Sigurno rashodovanje opreme

Sigurnost opreme

Opa kontrola Politika praznog stola/zaslona monitora Uklanjanje imovine


96

Sigurnost podruja Fizika sigurnost Moe se ostvariti stvaranjem nekoliko fizikih barijera oko poslovnog prostora i jedinica za obradu podataka. Koristi e za zatitu podruja koje sadri raunalnu infrastrukturu

Fizika kontrola ulaska Koriste se kako bi samo ovlateno osoblje imalo pristup

Osiguravanje ureda, soba i proizvodnih pogona Zakljuani uredi ili nekoliko soba unutar podruja fizike sigurnosti, ormari na zakljuavanje, sefovi. Voditi rana o poarima, poplavama, eksplozijama, te drugim prirodnim i ljudski uzrokovanim katastrofama

Rad u sigurnosnim podrujima Dodatne kontrole i smjernice osoblja i treih strana, kao i njihovih ativnosti

Podruja izolirane dostave i utovara Moraju biti kontrolirana, izolirana od raunalne infrastruktureby Prof. Dr. sc. Miroslav Baa 97

Sigurnost opreme Smjetaj i zatita opreme Smjestiti ili zatititi na nain da se reduciraju rizici prijetnji i opasnositi kako iz okoline tako i od strane neovlatenog pristupa

Opskrba energijom Kontinuirana opskrba energijom

Odravanje opreme Korektno, kako bi se osigurala njezina kontinuirana dostupnost i integritet

Sigurnost opreme izvan tvrtke Upotreba bilo kakve opreme izvan prostora tvrtke, treba biti odobrena od strane rukovodstva

Sigurnosno rashodovanje Sve dijelove opreme koji sadre medije za pohranu treba provjeriti kako vi se osiguralo da su se prije rashodovanja uklonile sve informacijeby Prof. Dr. sc. Miroslav Baa 98

Opa kontrola Podaci i oprema moraju biti zatieni od otkrivanja svog sadraja neovlatenim osobama Politika praznog stola/zaslona monitora Papirii, zabiljeke, ko za smee,

Uklanjanje imovine Izdatnice, povratnice, nalozi


99

Operacijska sigurnost Naini poveanja svjesti meu potencijalnim rtvama od moguih djela Nani sprjeavanja u poinjenju djela


100

Planiranje Kljuni elementi: Izdvojiti vrijedne podatke i opremu Odrediti metode i tehnike koje bi se mogle koristiti za pribavljanje tih podataka i opreme Razviti operacijske postupke koju su u stanju reagirati na metode i tehnike Ukljuiti zaposlenike


101

Slamanje fizike sigurnosti Prislukivanje inih komunikacija Uskraivanje ili degradacija usluge Kopanje po smeu


102

Prislukivanje inih komunikacija Telefonske linije, kabovi za povezivanje raunla Prislukivanje elektinog odailjanja Poinitelji: Komunkacijski tehniari, zaposlenici, bivi zaposlenici, agenti

Detekcija: Prislukivanje, promatranje, pronalazak ukradenih nformacija

Dokazi: Mediji za pohranu podataka, glasovno snimanje, datoteke pristupa raunaluby Prof. Dr. sc. Miroslav Baa 103

Uskraivanje ili degradacija usluge Fiziki razlozi Pale Eksplozija

Iskljuivanje napajanja, klimatizacije i sl. Atribut namjernosti/nenamjernosti DDoS (Distributed Denial of Service) Uskraivanje usluge legalnim korisnicima koje isti primaju od strane davatelja (Interent) usluga

Elektronika pota est oblik napadaby Prof. Dr. sc. Miroslav Baa 104

DDoS Razlikujemo nekoliko DDoS napada i to: destruktivni napad-brisanje podataka koji se nalaze na tvrdom disku posluitelj raunala, pretrpavanje prostora na tvrdom disku posluitelj raunala, preoptereivanje procesora posluitelj raunala, te mrene napade-odnosno uskraivanje usluga pruatelja usluga.by Prof. Dr. sc. Miroslav Baa 105


106

TFN Project TFN Project. TFN (Tribe Flood Network) nainjen je na principu klijent/posluitelj tehnologije, a implementira se kao alat za distribuirano uskraivanje usluga. Pretrpavanje diskovnog prostora #!/bin/ksh if (( $# != 1 )) then print -u2 usage: $0 exit 1 fi typeset -i index=1 dindex=0 typeset t_prefix=unlikely_frame_prefix fname=$(basename $1) cd $(dirname $1) # go to the directory containg the problem while (( dindex < index )) do for entry in $(ls la $fname) do [[ $entry == @( . | . . ) ]] && continue if [[ -d $fname/$entry ]] then rmdir - $fname/$entry 2>/dev/null && continue mv $fname/$entry ./$t_prefix.$index let index+=1 else rm f - $fname/$entry fi done rmdir $fname let dindex+=1 fname=$t_prefix.$dindex done


107

Spam Ova vrsta napada koristi sustav elektronike pote kao cilj napada, te se kroz njega alje veliki broj istih ili razliitih poruka s ciljem da ciljno raunalo prestane s radom Mnoge markentike i reklamne agencije koristei usluge osoba/organizacija ija je osnovna djelatnost pronalaenje e-mail adresa (bilo putem novinskih grupa, web servisa, informacijskih servisa i sl.), reklamiraju i izvjeuju veliki broj korisnika o svojim proizvodima i uslugama. S obzirom na koliinu odnosno na veliki broj takvih poruka, moe doi do prestanka rada raunalnog sustava. Bez obzira da li je do prekida rada raunalnog sustava dolo s namjerom ili bez nje radi se o nekoj vrsti nedoputene aktivnosti te krenju odreenih prava i sloboda osobe/korisnika (dolaze nam poruke koje ne elimo primati, a ujedno nas i ometaju u svakodnevnom radu sa sustavima elektronike pote). Koliko je spam u biti opasan moda najbolje govore podaci: 2002 spam 1 korisni mail 11, 2003 spam 1 korisni mail 2,5.


108

Kopanje po smeu Legalan napad (nije zakonski zabranjen) Smee klasino Elektroniko

Poinitelj: svaka osoba sa pristupom kou za smee, korisnici sustava Detekcija: promatranje, ispitivanje operacisjkog sustava (zaostali podaci) Dokazi: mediji nastali kao rezultat obrade podataka.by Prof. Dr. sc. Miroslav Baa 109

Slamanje operacijske sigurnosti Premetanje i prijevare sa podacima Spoofing Njukanje za zaporkama Pretraivanje Privilegirani pristup


110

Premetanje i prijevare s podacima Lani unos podataka

Mjerenje radnih sati ID broj 1111 2222 3333 4444 4444 Ime i prezime Marko Markovi Ivo Ivi Josip Josipovi Pettar Perii Pe ar Per Sati 50 55 50 42 42 ID broj 1111 2222 3333 4444 4444

Platni sustav Sati 50 50 55 42 42 Plaa 2500 2500 3000 1800 1800


111

Spoofing Predstavlja prijevaru kod koje napada stvara lanu sliku o sebi i na taj nain vara rtvu, Najei oblici spoofinga su: IP Spoofing, Login Spoofing, Web Spoofing, E-mail Spoofing, i DNS Spoofing.


112

Napad je mogu u fizikom i elektronikom obliku, Ako se o napadu govori u fizikom svijetu, najbolje ga je promatrati kroz primjer bankomata. Zamislite da doete do bankomata koji je postavljen na zid velike robne kue. Potreban vam je novac te stoga u bankomat stavljate korisniku karticu i unosite osobni identifikacijski broj odnosno zaporku. Meutim na vae iznenaenje, bankomat vam ne isplauje novac, ve vam javlja kako je na raunu nemate vie novca, i da e kartica ostati u bankomatu, a da ete je moi dobiti sutra u vaoj poslovnici banke.by Prof. Dr. sc. Miroslav Baa 113

U elektronikom svijetu napad je gotovo identian, zamislite da ste otili na Internet stranicu vae banke u elji da nainite nekoliko novanih transakcija. Upisali ste Internet adresu vae banke (barem ste tako vi mislili) te upisali korisniko ime i zaporku. Nakon upisivanja korisnikog imena i zaporke dobili ste obavijest da je nemogue pristupiti sadraju web stranice. Ponovno ste upisali Internet adresu i sada ste bez problema uz upisivanje korisnikog imena i zaporke dobili eljene informacije. to se je dogodilo? Upisivanjem Internet adrese vae banke na primjer http://www.banka.hr, vi ste upisali krivu Internet adresu http://www.baka.hr, ali ste dobili gotovo identian sadraj kao na originalnog web stranici. Lukavi poinitelji su na vrlo jednostavan nain doli do vaeg korisnikog imena i zaporke te su u mogunosti sada sebe prikazati kao legalnog korisnika vaeg bankovnog rauna.


114

IP spoofing je napad, odnosno tehnika koja se koristi s ciljem ostvarivanja neautoriziranog pristupa na odreenom raunalu, na nain da poinitelj alje poruke napadnutom raunalu preko odreene IP adrese, ime uvjerava napadnuto raunalo da je poruka stigla iz provjerenog izvora.


115

Login Spoofing predstavlja jedan od najeih oblika, a svodi se na lano predstavljanje putem vrlo slinih maski za unos korisnikih imena i zaporki pri ulazu u raunalni sustav. Kod ovog napada rtva uope nije svjesna da nije pristupla eljenom sustavu, te da su podaci o njezinom korisnikom imenu i zaporci poznati poinitelju.


116

Razlika izmeu Web Spoofinga i Login Spoofinga samo je u mediju koji se napada. Naime kod Web Spoofinga korisnik zabunom odabire pogrenu Web stranicu pri emu nije niti svjestan da se nalazi na mjestu na kojem ne eli biti. Oiti primjer ovakvog napada je u zamjeni slova unutar Web adrese stranice.


117

Kod ovog napada poinitelji se koriste slabostima SMTP protokola koji se koristi za slanje elektronike pote, te neposrednom promjenom podataka od koga je elektronika pota poslana, kako bi dobili odgovor od primatelja.


118

DNS Spoofing Kod ovog napada poinitelji se koriste nainom na koji se pretrauju brojane adrese raunala na Internetu pomou njihovog simbolikog ekvivalenta. DNS omoguava traenje brojanih Internet adresa pomou njihovog simbolikog ekvivalenta. U trenutku komunikacije izmeu ovlatenog raunalnog sustava i DNS posluitelj raunala, poinitelj nastoji presresti komunikaciju i poslati lane podatke u raunalni sustav koji namjerava napasti. Nakon to u tome uspije, komunikacija se preusmjerava u njegovo raunalo te je poinitelj u mogunosti prikupiti podatke. DNS spoofing je termin koji se koristi kada je posluitelj prihvatio i koristi informacije koje je dobio od strane klijenta koji ne posjeduje autorizaciju informacijeby Prof. Dr. sc. Miroslav Baa 119

Njukanje za zaporkama Njukala za zaporkama (Password Sniffers) u mogunosti su pratiti sav promet na podrujima koje pokriva raunalna mrea. Poinitelji postavljaju ove ureaje koristei sustave u koje posebno ele prodrijeti, posebice u telefonske sustave ili u sustave davatelja mrenih usluga. Ovi programi su raunalni programi koji jednostavno prikupljaju prvih 128 ili vie bitova svake mrene veze na raunalnoj mrei koja se nadzire. Drugi dodatni raunalni programi koji se nalaze u sklopi njukala iz prikupljenih informacija izdvajaju vane dijelove (poput korisnikog imena i zaporke) te prikrivaju rad i postojanje njukala. (Neke nepotvrene informacije govore da je 1994. godine u svijetu ovim napadom bilo obuhvaeno vie od 100 000 Web stranica.)by Prof. Dr. sc. Miroslav Baa 120


121

Pretraivanje Ovom tehnikom poinitelj pokree raunalni program ija je osnovna zadaa isprobavanje odreene liste informacija, s ciljem pogaanja prave informacije, Raunalna aplikacija pokree serije podataka te ih ispituje jedan za drugim biljeei pri tome pozitivne odgovore. Raunalna aplikacija u toku sat vremena moe ostvariti i do stotinu uspjenih poziva. Napad se odvija kroz dva koraka: U prvom koraku raunalo ispituje liste podataka, traei meu njima na primjer brojeve modema organizacije koju se napada. U toku nekoliko sati raunalo ispita zadanu seriju telefonskih brojeva te izdvoji desetak brojeva koji odgovaraju modemskim vezama. U drugom koraku poinitelj sam poziva te brojeve te iskuava svoje manje ili vie uspjene provalnike aktivnosti.


122

Privilegirani pristup Korisnici unutar raunalnog sustava imaju u biti povlateniji pristup nego li ga ustvari trebaju, Poinitelji: zlonamjerni uljezi, agenti, programeri, Detekcija: gubitak podataka ili prijenos financijskih ili drugih sredstava, usporedba datoteka sa prijanjim kopijama,

Dokazi: posjedovanje raunalnog programa za skeniranje, posjedovanje inkriminirajuih informacija, nedokumentirane transakcije.by Prof. Dr. sc. Miroslav Baa 123

Pitanja ?

Documents

FPZ_RS_PART_1