Upload
md1011
View
575
Download
0
Embed Size (px)
Citation preview
Raunalna sigurnostProf. Dr. sc. Miroslav Baa [email protected] 098 55 22 35
Raunalna sigurnostPut u pakao poploen je dobrim namjerama kineska
Raunalna sigurnostUvodna razmatranja Naruavanje sustava sigurnosti Naruavanje sigurnosti osoblja Fizika i operacijska sigurnost Propusti i posljedice zbog nepotivanja propisa iz podruja sigurnosti Novi oblici iskoritavanja podataka Zatita podataka i zakljuna razmatranja by Prof. Dr. sc. Miroslav Baa 3
Sigurnost Sigurnost ovjeka Organizacije Drutva i drave
Sigurnost informacijskog sustava (C-I-A) Confidentiality Povjerljivost (Podatak je povjerljiv kada nerazumljiv svima osim onima koji su autorizirani za njegovo koritenje) Integrity Integritet (Podatak ima integritet tako dugo dok je identian stanju koje je nastalo nakon to je zadnji autorizirani korisnik zavrio s njim) Availability Raspoloovost (Podatak je raspoloiv kada je dostupan autoriziranim korisnicima u dogovorenim formatu i razumnom vremenskom terminu)
by Prof. Dr. sc. Miroslav Baa
4
Neki osnovni pojmovi Identifikacija (Identification) Tko si ti ? Usporedba 1:N
Autentikacija (Authentication) Autorizacija (Autorization) to ti je dozvoljeno ?
Da li si ti onaj za kojeg se predstavlja ? Usporedba 1:1
Odgovornost (Accountability) ira definicija sigurnosti
Tko to radi i tko je za to zaduen Tajnost Osobna procjena koji tip sigurnosti je potreban dati e put u odabiru specifinih sigurnosnih tehnika
by Prof. Dr. sc. Miroslav Baa
5
Kako to izgleda u stvarnosti
800 korisnika
Poinitelji izrauju kopije
Poinitelji Podiu novacby Prof. Dr. sc. Miroslav Baa 6
Tajnost i povjerljivost Siguran sustav ne smije dozvoliti nikome da pristupi informaciji (podatku) osim autoriziranim osobama. Tajnost osigurava pristup tono odreenim podacima samo korisnicima koji imaju dozvolu za te podatke, a prema unaprijed jasnim pravilima koritenja, Razine tajnosti ovise o institucijama (potrebe nacionalne sigurnosti, strogo povjerljive poslovne informacije)
Povjerljivost osigurava zatitu osobnih podatka kao i povjerljivih organizacijskih podataka.by Prof. Dr. sc. Miroslav Baa 7
Tonost, integritet, autentinost Sigurni sustav mora rukovoditi kontinuitetom integriteta informacija koji su u njemu pohranjeni. Preciznost ili integritet znai da sustav ne smije ugroziti informacije niti dozvoliti neautorizirana zlodjela ili sluajne promjene. U mrenom okruenju autentikacija predstavlja nain verifikacije originalnog podatka determinirajui primatelja ili poiljatelja.by Prof. Dr. sc. Miroslav Baa 8
Raspoloivost Siguran sustav mora odravati informacije raspoloivima za korisnike. To konkretno znai da komponente sustava moraju biti uinkovite i da je sustav sposoban brzo se i u potpunosti povratiti u sluaju bilo kakovih potekoa. DoS-suprotnost raspoloivosti Denial of Service (Uskraivanje usluga)by Prof. Dr. sc. Miroslav Baa 9
Politika organizacije Nedovoljna organizacijska sigurnost Veliki propusti maksimalna teta Nunost kvalitetnog organiziranja sigurnosti
Definiranje potrebnih odgovornosti Temeljni korak u cilju smanjenja mogueg rizika Nuno je imenovati nositelje pojedinih aktivnosti kao i njihove konkretne ciljeveby Prof. Dr. sc. Miroslav Baa 10
Outsourcing & trea strana Obaveze tree strane Davanje informacija treoj strani Zakonski osnov (Zakon o zatiti osobnih podataka) Mogunost iskoritavanja podataka (Obavezno potpisivanje ugovora o nainu koritenja podataka) Posebno voditi rauna o serviserima, dobavljaima kao i ostalim suradnicima po potrebi
Postupanje u sluaju outsourcinga Zatita informacija u skladu s radnim mjestom (Ugovor o zabrani zapoljavanja u istoj ili slinoj djelatnosti, posebno u konkurentskim tvrtkama).by Prof. Dr. sc. Miroslav Baa 11
Identitet Digitalni identitet Jedniznanost osoba, ureaja ili njihove kombinacije Mnogi se dijelovi sustava baziraju i pozivaju na jednoznanost identiteta, njegovu dokazivost i neporecivost kako bi osigurali funkcionalnost sustava uz poveanje ili zadravanje postojeeg sranja sigurnosti
Identitet osobe/dokumenta Identitet dokumenta Osigurava jednoznanost prijenosa sadraja Osigurava mogunost zaklanjanja dijela ili cijelog sadraja Osigurava mogunost provjere identiteta i subjekta u komunikacijskom procesuby Prof. Dr. sc. Miroslav Baa 12
PKI Infrastruktura digitalnog potpisa Digitalni se potpisi i njihova verifikacija kreiraju s pomou kriptografskog sustava Temelji se na sustavu od dva kljua Tajni klju poznat je jedino potpisniku i rabi se za kreiranje digitalnog potpisa Javni klju poznat je irem krugu osoba i njime se koristi primatelj u svrhu verifikacije
Problem Povjerenje primatelja poruke u injenicu da li je javni klju primatelja zaista poiljateljev?by Prof. Dr. sc. Miroslav Baa 13
PKI CertifikacijaDavatelj usluga certificiranja3
Repozitorij certifikata
1
2
5
6
Osoba poiljatelj
4
Primatelj
1. Osoba (poiljatelj) podnosi zahtjev za izdavanje elektronikog certifikata 2. Davatelj usluga certificiranja provjerava identitet osobe i izdaje elektroniki certifikat 3. Davatelj usluga certificiranja objavljuje certifikat u repozitoriju certifikata 4. Poiljatelj elektroniki potpisuje poruku svojim privatnim kljuem i alje je primatelju 5. Primatelj prima poruku, provjerava elektroniki potpis javnim kljuem poiljatelja, te u repozitoriju certifikata provjerava status i valjanost certifikata poiljatelja 6. Repozitorij vraa primatelju rezultat provjere statusa poiljateljevog certifikataby Prof. Dr. sc. Miroslav Baa 14
Raunalna sigurnostUvodna razmatranja Naruavanje sustava sigurnosti Naruavanje sigurnosti osoblja Fizika i operacijska sigurnost Propusti i posljedice zbog nepotivanja propisa iz podruja sigurnosti Novi oblici iskoritavanja podataka Zatita podataka i zakljuna razmatranja by Prof. Dr. sc. Miroslav Baa 15
Prijetnja Svaka sila ili sredstvo koji moe ponititi ili smanjiti uinkovitost sustava odnosno graniiti ili onemoguiti ispunjenje cilja Potencijalni uzok neeljenog dogaaja koji moe imati za posljedicu tetu za sustav ili organizaciju Potencijal nekog izvora prijetnje da iskoristi (sluajno ili namjerno) ranjivost sustavaby Prof. Dr. sc. Miroslav Baa 16
Podijela prijetnji Prirodne pojave (vatra, poplava, ekoloko zagaenje, potresi, erupcije, zraenja, vremenske nepogode, vlage, vruine i dr.), Namjerno djelovanje ovjeka (sabotaa, pijunaa, ratna razaranja, otkrivanje informacija, kraa, prijevara i dr.), Sluajno djelovanje ovjeka (nepanja, neznanje, nemar i dr.), Tehnike prijetnje (nestanak elektrine energije, kvarovi ureaja i opreme, tehnike nesree, loa kvaliteta, neprimjeren operacijski sustav, statiki elektricitet, praina i dr.), Organizacijske prijetnje (neodgovarajue procedure, organizacija i struktura, nemotivirinaost, ergonimija, radna nekultura i dr.).
by Prof. Dr. sc. Miroslav Baa
17
Ranjivost Mogunost da prijetnja iskoristi potencijalne slabosti sustava sigurnosti Potrebno ju je posebno definirati i pratiti kroz sve organizacijske aspekte
by Prof. Dr. sc. Miroslav Baa
18
Podijela ranjivostiFizike ranjivosti (zgrade, prostor) Prirodne ranjivosti (nepogode...) Strojne i programske ranjivosti Ranjivosti medija Nesavrenost strojne podrke (elektromagnetsko zraenje) Komunikacijska ranjivost (mrea, Bluetooth...) Ranjivost osoblja by Prof. Dr. sc. Miroslav Baa 19
Napad, provala, upad Napad Svaki aktivni i neaktivni interes poinitelja koji se bave kriminalnim aktivnostima
Provala Kada poinitelj svojim aktivnostima uspije probiti sigurnosne mehanizme sustava s ciljem ostvarenja sebi ili drugome materijalne koristi ili poinjenja tete
Upad Svi elementi kao kod napada uz izostanak ostvarenja materijalne koristi ili poinjenja teteby Prof. Dr. sc. Miroslav Baa 20
Podjela Prema nainu djelovanja Kraa, gubitak, otkrivanje, prekid usluga, pomjena podataka)
Prema mjestu nastanka Unutarnje, vanjske
Prema mjestu djelovanja Nositelji podataka, ljudski izvori, ureaji, oprema
Prema karakteru Namjerni, nenamjerni
Prema izvoru i dr.by Prof. Dr. sc. Miroslav Baa 21
Napadi Raunalni sustavi u vlasnitvu dravnih institucija Raunalni sustavi u vlasnitvu velikih gospodarskih subjekata Raunalni sustav u vlasnitvu financijskih institucija Raunalni sustav u dravnim institucijama i organizacijama Raunalni sustav u vlasnitvu drugih organizacija i osobaby Prof. Dr. sc. Miroslav Baa 22
Osnovne slabe toke Strojna podrka Programska podrka Komunikacije Podaci
by Prof. Dr. sc. Miroslav Baa
23
Raunalni kriminal Prema D. Krapac: Raunalni kriminal oznaava sve sluajeve zloupotrebe elektronikog raunala Kategorizacija: Prema volji poinitelja (sluajni, najerni) Prema uinku poinitelja (aktivni, pasivni) Prema mjestu napada (unutarnji, vanjski) Prema cilju napada Prema metodi napadaby Prof. Dr. sc. Miroslav Baa 24
Populacija poiniteljaFiziko-sigurnosni problemi 19%
Virusi 4%
Vanjski napadai 3%
Ljudske pogreke 55%
Mrzovoljni zaposlenici 9%
Nepoteni zaposlenici 10%
by Prof. Dr. sc. Miroslav Baa
25
Poinitelji-naobrazbaSloenost izobrazbe 1 2 3 4 5 6 7 8 9 10 11 12 13 Bez raunalne izobrazbe Osnovna kola, poznaje pojam raunalo Srednja kola, raunalni korisnik Zavrena srednja kola, koristi i poznaje operacijske sustave i Internet Zavrena srednja kola, uz poznavanje operacijskih sustava i interenta poznaje programiranje Fakultet, dobar korisnik, poznavanje OS-a (Win) Fakultet, dobar korisnik, poznavanje OS-a (Win) Interenta, programiranje, poznavanje UNIX-a Fakultet, administrator, napredni Internet korisnik, poznavanje OS-a (Win) & UNIX, programiranje MSc, Internet expert, programiranje, srednja razina poznavanja UNIX Post MSc, Interent expert, programiranje, napredni UNIX PhD, sve navedeno, poznat hackerskoj zajednici PhD, sve navedeno, kriminalni dosije by Prof. Dr. sc. Miroslav Baa Pismeno dijete Amater Amater Amater Hacker Expert hacker Profesor hacker Raunalni kriminalac Svevinji 26 Kvalifikacija Alias
Poinitelj-financiranjeRazina 0 1 2 3 4 5 6 7 8 9 Troak napada 0 10 100 1 000 10 000 100 000 1 000 000 10 000 000 100 000 000 1 000 000 000 Suradnja Osoba Osoba Osoba Osoba Osoba/par Osoba/par Par/grupa Grupa/drava Grupa/drava Drava/vie drava
by Prof. Dr. sc. Miroslav Baa
27
Poinitelj-trajanjeRazina 0 1 2 3 4 5 6 7 8 Utroak vremena Manje od sekunde Sekunde Minute Sati Dani Tjedni Godine Desetljea ivotni vijek
by Prof. Dr. sc. Miroslav Baa
28
Digitalni dokaz Ameriko zakonodavstvo Bilo koji podatak koji moe potvrditi da je poinjeno djelo ili koji moe ukazati na povezanost izmeu djela i poinitelja, ili djela i rtve. Predstavlja kombinaciju razliitih informacija (tekst, slika, audio, video) Cybertrailby Prof. Dr. sc. Miroslav Baa 29
by Prof. Dr. sc. Miroslav Baa
30
Rukovanje s digitalnim dokazima Prepoznavanje dokaza Prepoznati strojnu podrku koja sadri informacije Nuno ga je sauvati u originalnom obliku Potrebno je voditi rauna da se svi dokazi prikupe
Imenovati voditelja baze dokaza Dokumentirati cijeli postupak Opisno Slikovno
Rekonstrukcija dokazaby Prof. Dr. sc. Miroslav Baa 31
Prevencija Konstantna i stuno utemeljena edukacija Sustavi zatite raunalnih sustava Analiza rizika Sigurnosne mjere za osoblje Operacijska sigurnost
by Prof. Dr. sc. Miroslav Baa
32
Model opeg djelovanjaKANJAVANJE OTKRIVANJE Vjetaenja eksperata Rukovanje s dokazima Prikupljanje dokaza Biljeenje tragova
Prezentacija na sudu
Aktivnosti nakon presude
Istraga i pravosudi progon
Tretiranje i praenje upada
Mjere otkrivanja
Tim za rukovoenje kriznim situacijama
Procjena rizika i analiza prijetnji
Planiranje naina za borbu protiv ra. krim.
Fizika sigurnost
Operacijska sigurnost
Sigurnost osoblja
Komunikacijska sigurnost
PREVENCIJA
by Prof. Dr. sc. Miroslav Baa
33
Sigurnost is-a kroz ivotni ciklusR aanje R ast Maksimum S tagnacija Odumiranje
Analiza osjetljivosti
Utvrivanje sigurnosnih karakterstika
Uvoenje sigurnosnih mjera
Upravljanje mjerama
Ukljuivanje sigurnosnih zahtjeva u specifikacije sustava
Testiranje sigurnosnih mjera
Osiguranje funkcionalnosti
R azvoj ili nabava
Akreditacija sustava sigurnosti
Periodine analize i provjere
by Prof. Dr. sc. Miroslav Baa
34
Analiza osjetljivosti Kakve e informacije odnosno podatke obraivati sustav Kakve mogu biti posljedice uslijed sigurnosnih propusta Koji zakonski akti definiraju aspekt sigurnosti Na koje je prijetnje sustav posebno osjetljiv Kakve su sigurnosne karakterstike korisnika Koji su interni sigurnosni aktiby Prof. Dr. sc. Miroslav Baa 35
Faze rasta Utvrivanje sigurnosnih zahtjeva Definiranje zahtjeva koji se iskazuju kroz traene tehnike karakterstike sustava, kao i druge sigurnosne zahtjeve
Ukljuvanje sigurnosnih zahtjeva u specifikacije sustava Ukljuivanje u dokumentaciju svih sigurnosnih zahtjeva
Razvoj ili nabava Sustav se realiziraby Prof. Dr. sc. Miroslav Baa 36
Faze maksimuma Uvoenje sigurnosnih mjera Potrebno je ukljuit odgovarajue sigurnosne kontrole i aspekte kako bi se smanjio mogui rizik
Testiranje sigurnosnih mjera Ispitivanje pojedinih dijelova sustava i cijelog sustava Sigurnosno certificiranje-provjeriti da li svi sigurnosni mehanizmi odgovaraju specifikacijama sigurnosnih zahtjeva
Akreditacija sustava sigurnostiby Prof. Dr. sc. Miroslav Baa 37
Faza stagnacije Upravljanje mjerama Pokriva podruje svih sigurnosnih aktivnosti ije je svakodnevno provoenje preduvjet odravanju funkcionalnosti sustava
Osiguranje funkcionalnosti Daje naznake da li susta djeluje u skladu s trenutnim sigurnosnim zahtjevima, a obuhvaa provjeru korisnika kao i provjeru tehnikih sigurnosnih mehanizama
Periodine analize i provjere Poticaj za promjene u sustavuby Prof. Dr. sc. Miroslav Baa 38
Upravljanje sigurnou
by Prof. Dr. sc. Miroslav Baa
39
Upravljanje sigurnou
by Prof. Dr. sc. Miroslav Baa
40
Rizik Sigurnosni rizik je mogunost nastupanja neeljenog dogaaja a koji ima negativan utjeca na povjerljivost, integritet i raspoloivost raunalnog sustava Proces upravljanja rizikom: Procjena rizika Umanjivanje rizika Ispitivanje i analizaby Prof. Dr. sc. Miroslav Baa 41
Stanje sigurnosti
by Prof. Dr. sc. Miroslav Baa
42
Procjena rizika Procjena rizika sastoji se od devet koraka: Identifikacja i klasifikacija Identifikacija prijetnji Identifikacija ranjivosti Analiza postojeih kontrola Analiza posljedica Odreivanje rizika Preporuke za umanjivanje Dokumentacijaby Prof. Dr. sc. Miroslav Baa 43
Mogua klasifikacija ranjivostiVjerojatnost Visoka Opis Izvor prijetnje je posebno motiviran za iskoritavanje ranjivosti s obzirom na mogunost dolaska do povjerljivih podataka. Postojee sigurnosne kontrole nisu dovoljne ili sadre slabosti koje se mogu iskoristiti. Izvor prijetnje je djelomino motiviran. Postoje mogunosti za iskoritavanje ranjivosti ali postojee kontrole to oteavaju. Izostanak motivacije za iskoritavanje ranjivosti. Sigurnosne konrole kvalitetno su implementirane i iskortavanje ranjivosti je oteano
Srednja
Niska
by Prof. Dr. sc. Miroslav Baa
44
Mogua klasifikacija potencijalnih gubitakaGubitak Visok Opis Iskoritavanje ranjivosti moe rezultirati: Trajnim gubitkom Trajnim unitenjem resursa Ozbiljnim ugroavanjem poslovnih ciljeva i misije organizacije Ozbiljnim ugroavanjem ljudskih resursa Iskoritavanje ranjivosti moe rezultirati: Djelominim gubitkom Djelominim unitenjem resursa Djelominim naruavanjem poslovnih ciljeva i misije organizacije Djelominim ugroavanjem ljudskih resursa Iskoritavanje ranjivosti moe rezultirati: Manjim gubitkom Manjim oteenjem resursa Primjetnim naruavanjem poslovnih ciljeva i misije organizacijeby Prof. Dr. sc. Miroslav Baa 45
Srednji
Nizak
Odreivanje sigurnosnog rizika Rizik je funkcija: Vrijednosti Ranjivosti Prijetnji vjerojatnosti Ostvarenja Posljedica (P1)
R=f{V,R,P,O,P1} Kvantitativni pristup Ranjivosti, prijetnje i posljedice u sluaju realizacije se promatraju kao tzv faktor izloenosti FI koji se izraava postotkom gubitka vrijednosti resursa Vjerojatnost koja ovisi o ranjivostima i prijetnjama se promatra u zadanom vremenskom periodu pa se sukladno tomu provodi i kvantifikacija rizika u tom vremenskom periodu
R=V*EFP1,R,P*OR,Pby Prof. Dr. sc. Miroslav Baa 46
Primjer mogueg odreivanja rizika Vjerojatnost (1.0 vrlo vjerojatno; 0.5 vjerojatno; 0.1 vrlo malo vjerojatno) Gubitci (100 iznimno veliki gubitak; 50 srednji gubitak; 10 maleni gubitak) Skala rizika (1-10 niski; 11-50 srednji; 51-100 visoki)Vjerojatnost realizacije Visoka (1.0) Srednja (0,5) Niska (0.1) Posljedice/Gubitci Male Nizak 10 x 1.0 = 10 Nizak 10 x 0.5 = 5 Srednje Srednji 50 x 1.0 = 50 Srednji 50 x 0.5 = 25 Velike Visoki 100 x 1.0 = 100 Srednji 100 x 0.5 = 50 Nizak 100 x 0.1 = 10
Nizak Nizak 10 x 0.1by Prof. Dr. sc. Miroslav Baa = 5 =1 50 x 0.1
47
Naini reakcije na pojavu rizika Umanjivanje rizika Transfer rizika Prihvaanje rizika Odbacivanje rizika (preputanje sudbini !!!)
by Prof. Dr. sc. Miroslav Baa
48
Metodologija rukovanja rizicimaOdreivanje prioritetnih akcija Evaluacija preporuenih sigurnosnih kontrola Analiza dobivenog i uloenog Odabir sigurnosnih kontrola Podjela odgovornosti Izrada plana za implementaciju sigurnosnih kontrola Implementacija kontrola by Prof. Dr. sc. Miroslav Baa 49
Raunalna sigurnostUvodna razmatranja Naruavanje sustava sigurnosti Naruavanje sigurnosti osoblja Fizika i operacijska sigurnost Propusti i posljedice zbog nepotivanja propisa iz podruja sigurnosti Novi oblici iskoritavanja podataka Zatita podataka i zakljuna razmatranja by Prof. Dr. sc. Miroslav Baa 50
Naruavanje sigurnosti osoblja Prevencija ljudskih pogreaka, krea, prijevara ili zlouporabe opreme Sigurnost u definiranju poslovnih obveza i dodijeli resursa Provjera osoblja Ugovor o radu Sporazumi o povjerljivosti
Edukacija zaposlenika Reakcija na sigurnosne incidente i propuste Edukacija o incidentima Informiranje o: Sigurnosnim incidentima Sigurnosnim slabostima Programskim pogrekama
Disciplinski postupci
by Prof. Dr. sc. Miroslav Baa
51
Sigurnost u definiranju poslovnih obveza i dodijeli resursa Sigurnosne dunosti i odgovornosti moraju se dokumentirati One moraju ukljuiti: Sve openite odgovornosti za implementaciju i odravanje sigurnosne politike Sve specifine odgovornosti za zatitu pojedinih dijelova imovine ili za izvrenje posebnih sigurnosnih procesa i aktivnostiby Prof. Dr. sc. Miroslav Baa 52
Provjera osoblja Prilikom aplikacije osobe za zaposlenje potrebno je nainiti: Provjeru dostupnosti preporuka kako poslovnih tako i osobnih Provjeru ivotopisa (radi potpunosti i tonosti) Provjeru steenih akademskih i profesionalni kvalifikacija (u institucijama koje su izdale uvjerenja) Neovisnu provjeru identiteta (putna isprava ili slino)
Prilikom aplikacije osobe za zaposlenje poeljno je nainiti: Provjeru kreditne sposobnosti aplikanta Sklonost aplikanta igrama na sreu Socijalni ivot aplikantaby Prof. Dr. sc. Miroslav Baa 53
Ugovor o radu Naznaiti odgovornost zaposlenika za sigurnost informacija Potrebno je difinirati vremensko trajanje odgovornosti Samo za vrijeme trajanja radnog vremena Nakon radnog vremena
Potrebno je definirati prostorno trajanje odgovornosti Potrebno je definirati sankcije koje e se poduzeti ako zaposlenik postupi suprotno sigurnosnim zahtjevima
Pravne odgovornosti i prava zaposlenika potrebno je objasniti i implementirati u Ugovor o radu Zakon o zatiti osobnih podataka Zakon o zatiti autorskih prava Potrebno je implementirati i klasifikaciju, te upravljanje podacima zaposleniku
by Prof. Dr. sc. Miroslav Baa
54
Sporazum o povjerljivosti Daju do znanja da je neki podatak/informacija povjerljiva odnosno tajna Predstavlja dio Ugovora o radu Povremeno osoblje kao i korisnici s tree strane moraju potpisati takav sporazum prije nego li dobiju prao pristupa podacima ili opremi Sporazume o povjerljivosti potrebno je posebno analizirati kada Nastupe promjene u uvjetima zapoljavanja ili sklapanja Ugovora Kada zaposlenici naputaju organizaciju Prije isteka Ugovoraby Prof. Dr. sc. Miroslav Baa 55
Edukacija zaposlenika Korisnici moraju biti svjesni problema i prijetnji vezanih uz raunalnu sigurnost te moraju biti osposobljeni u sklopu normalnog obavljanja radnih zadataka doprinijeti sigurnosnoj politici organizacije Korisnici moraju biti uvjebani koristiti sigurnosne postupke Svi zaposlenici i korisnici trebaju proi odgovarajui trening te moraju prihvatiti odgovarajue dopune organizacijskih postupaka i politikaby Prof. Dr. sc. Miroslav Baa 56
Reakcija na sigurnosne incidente i propuste Umanjiti tetu koja nastaje djelovanjem sigurnosnih incidenata odnosno propustima Opaati i uiniti na tim incidentima
Incidenti koji utjeu na sigurnost moraju biti prijavljeni slubenim komunikacijskim nainom, to je prije mogue Korisnici trebaju biljeiti i izvjeivati o uoenim ili moguim sigurnosnim slabostima ili prijetnjama te to izvjee im prije prijaviti slubenim komunikacijskim nainom Korisnici trebaju biljeiti i izvjeivati o uoenim ili moguim slabostima ili prijatnjama sustav ili servisima te to izvjee im prije prijaviti slubenim komunikacijskim nainom
by Prof. Dr. sc. Miroslav Baa
57
Reakcija na sigurnosne incidente i propuste Nuna je uspostava procedure izvjeivanja o programskim pogrekama. Posebno se moraju razmotriti Simptomi problema Izolacija raunala Trenutno izvjeivanje rukovoditelja sigurnosti
Nuno je omoguiti praenje i kvantifikacju tipova, obuja i trokova incidenta i pogreke, iz njih je mogue UITI ! Potrebno je uvesti formalne disciplinske postupkke za zaposlenike koji se ne ponaaju sukladno sigurnosnim politikama i procedurama organizacijeby Prof. Dr. sc. Miroslav Baa 58
Naruavanje sigurnosti osoblja Ispitivanje ili pogaanje korisnike zaporke Lano predstvljanje (maskiranje) Socijalni inenjering Uznemiravanje Piratstvo programske podrke
by Prof. Dr. sc. Miroslav Baa
59
Ispitivanje ili pogaanje korisnike zaporke Kako promijeniti zaporku% passwd Changing password for mbaca. Old password: TomCaT18 New password: tOMcAt20 Retype new password: tOMcAt20 %
by Prof. Dr. sc. Miroslav Baa
60
Pomou tipkovnice Treba imati na umu da zaporka od pet slova sastavljena iskuljuivo od malih slova ima otprilike 8x10^6 moguih kombinacija, dok zaporka sastavljena od velikih i malih slova i deset znamenaka ima 776x10^6 kombinacija Korisnik koji za kreiranje zaporke koristi skoro sve karaktere moe kreirati oko 43 000 000 000 000 000 zaporkiby Prof. Dr. sc. Miroslav Baa 61
Nikada ne koristiti !!!! osobno ime, ime suprunika ili roditelja, ime djeteta ili kunog ljubimca, ime bliskih prijatelja ili radnih kolega, ime neposrednog rukovoditelja, bilo ije ime, ime operacijskog sustava koji se koristi na raunalu, naziv posluitelj raunala na koje je spojeno korisniko raunalo, broj telefona ili registarska oznaka vozila, dio MBG-a, broja tekueg ili iro rauna i sl., bilo iji datum roenja, bilo kakva informacija koja se lako moe dobiti o korisniku (npr. adresa stanovanja), bilo ije korisniko ime, rijei iz rjenika (hrvatskog, engleskog i sl.), zemljopisni pojmovi, zaporke svih istih karaktera, jednostavni slijed tipki na tipkovnici (npr. qwertzu)by Prof. Dr. sc. Miroslav Baa 62
Naruavanje sigurnosti osoblja Ispitivanje ili pogaanje korisnike zaporke Lano predstvljanje (maskiranje) Socijalni inenjering Uznemiravanje Piratstvo programske podrke
by Prof. Dr. sc. Miroslav Baa
63
Lano predstavljanje (maskiranje) Kada osoba koristi identitet druge osobe s ciljem da na taj nain pristupi raunalnoj infrastrukturi, govorimo o lanom predstavljanju ili maskiranju. Potrebno je sprijeiti mogue kompromitacije dokazivanja korisnikog identiteta kroz: Neto to osoba zna Neto to osoba ima Neto to osoba jestby Prof. Dr. sc. Miroslav Baa 64
Kako sprijeiti Uprava mora osigurati slijedee korake: Osigurati dostatan nain zatite osobnih podataka i podataka o osobi Oformiti odjel za nadzor Analiza datoteka, Promatranje, Izvjea legalnih korisnika, Osiguranje dokaza, Voenje interne istrage, Ukljuivanje slubenh institucija (prema potrebi).
Uvoenje biometrijskih sustavaby Prof. Dr. sc. Miroslav Baa 65
Zakon o zatiti osobnih podataka Osobni podatak svaka informacija koja se odnosi na identificiranu fiziku osobu ili fiziku osobu koja se moe identificirati; osoba koja se moe identificirati je osoba iji se identitet moe utvrditi izravno ili neizravno, posebno na osnovi jednog ili vie obiljeja specifinih za njezin fiziki, psiholoki, menatlni, gospodarski, kulturni ili socijalni identitet Obrada osobnih podataka svaka radnja ili skup radnji izvrenih na osobnim podacima, bilo automatskim sredstvima ili ne...
by Prof. Dr. sc. Miroslav Baa
66
Korisnik fizika ili pravna osoba, dravno ili drugo tijelo kojem se osobni podaci mogu dati na koritenje radi obavljanja redovitih poslova u okviru njegove zakonom utvrene djelatnosti Privola ispitanika slobodno dano i izriito oitovanje volje ispitanika kojom on izraava svoju suglasnost s obradom njegovih osobnih podataka u odreene svrheby Prof. Dr. sc. Miroslav Baa 67
to se smije ? Osobni podaci smiju se prikupljati i dalje obraivati: Uz privolu ispitanika ili U sluajevima odreenim zakonom
Bez privole ispitanika osobni podaci smiju se prikupljati i dalje obraivati: U svrhu izvravanja zakonskih obveza voditelja zbirke osobnih podataka, ili U svrhu zatite ivota ili tjelesnog integriteta ispitanika ili druge osobe u sluaju kada ispitanik fiziki ili pravno nije dao svoj pristanak, ili Ako je obrada podataka nuna radi ispunjenja zadataka koji se izvravaju u javnom interesu ili u izvravanju javnih ovlasti koje ima voditelj zbirke osobnih podataka, ili Ako je ispitanik sam objavio te podatke.
by Prof. Dr. sc. Miroslav Baa
68
Naruavanje sigurnosti osoblja Ispitivanje ili pogaanje korisnike zaporke Lano predstvljanje (maskiranje) Socijalni inenjering Uznemiravanje Piratstvo programske podrke
by Prof. Dr. sc. Miroslav Baa
69
Socijalni inenjering Poinitelj manipulira drugim osobama koritenjem informacija o njima a u svrhu krae podataka ili potkopavanja sigurnosti sustava Iskoritavanje razliitih javnih podataka o osobama Razliito od ucjene i bilo kakovog drugog oblika kontakta rtve i poiniteljaby Prof. Dr. sc. Miroslav Baa 70
Filozofija umjetnost i znanost nagovaranja ljudi da ispune zahtjeve napdaa Filozofija socijalnog inenjeringa Uvjeravanje Lano predstavljanje Stvaranje odgovarajue situacije Morana odgovornosti elja za pomaganjemby Prof. Dr. sc. Miroslav Baa 71
Kako Naini izvravanja: Telefonski inenjering Pretraivanje smea Socijalni inenjering putem interneta Zavirivanje Forenzika analza Reverzni socijalni inenjering
by Prof. Dr. sc. Miroslav Baa
72
Zatita Sigurnosna politika Edukacija Prijava incidenta Kontrola pristupa Fizika sigurnost Vierazinska sigurnost
by Prof. Dr. sc. Miroslav Baa
73
Naruavanje sigurnosti osoblja Ispitivanje ili pogaanje korisnike zaporke Lano predstvljanje (maskiranje) Socijalni inenjering Uznemiravanje Piratstvo programske podrke
by Prof. Dr. sc. Miroslav Baa
74
Uznemiravanje Slanje prijeteih poruka odnosno iznoenje poluistina ili neistina o osobama Cyberstalking- djelo u kojemu poinitelj samovoljno, zlobno i kontinuirano slijedi ili ometa druge osobe a koje izaziva strah kod te osobe za vlastiti ivot ili strah od ozljeivanja Poinitelj kompromitiranjem, uznemiravanjem ili bilo kakovim drugim nainom iskoritava slabosti korisnika. Poinitelj: potencijalno svaka osoba Detekcija: promatranje, prislukivanje Dokaz: poruka inkriminirajueg sadraja
by Prof. Dr. sc. Miroslav Baa
75
Kako ? Poinje online i nastavlja se offline Poinje offline i nastavlja se online Napastovanje putem poruka Poinje on line i nastavlja se online Napadaju se raunala ili zaporke Koristi se identitet osobe kako bi se ista dikreditirala ili joj se nanijelo zloby Prof. Dr. sc. Miroslav Baa 76
Osnovni elementiOn line uznemiravanje je u porastu Najvei rizik predstavljaju offline prijetnej Zatita osobnih podataka je klju zatite Nesvjesno dajemo jako veliki broj informacija On line uznemiravanje i napastovanje vrlo lako i jednostavno prerastu u off line uznemiravanje i napastovanje Policija ne prepoznaje ovo kazneno djelo a zakonodavac ga ne sankcionira (u pravilu dok se ne dogodi tragedija) by Prof. Dr. sc. Miroslav Baa 77
Klasifikacija Romantina/ljubavna, odbaeni, nogirani ljubavnici, razvodi (realni ili imaginarno) Osveta za realni ili imaginarni in ili namjeru Mrnja, netolerancija ili netrpeljivost Uenje nekoga ponaanju ili zakonu (realno ili imaginarno) Sluajni napadi, rtva se nala u krivo vrijeme na krivom mjestu Uznemiravanja i napastovanje poznatih i slavnihby Prof. Dr. sc. Miroslav Baa 78
to (ne)uiniti Ne dijeliti osobne informacije online Ne popunjavati profile ili obrasce sa osobnim informacijama na web stranicama Ne koristiti provokativna imena ili e-mail adrese Ne ulaziti u on line flert ako niste spremni na poslijedice Ne dijelite vau zaporku Kada idete na cyberdate koristite posebnu e-mail adresu Koristite dobar anti-virus program Ne odgovarajte cyberstalker-u Snimite svu komunikacijsku korespodenciju na raunalo Ako postoje indicije/indikacje da poinitelj ima vae offline informacije JAVITE POLICIJI! Ako poinitelj prijeti fiziki vama ili vaim blinjima JAVITE POLICIJI! Cyberstalking je ozbiljan zloin TRETIRAJTE GA OZBILJNO!
by Prof. Dr. sc. Miroslav Baa
79
Primjer (RH) RH: Veernji list 13. sijenja 2004. godine
Crna legija poziva na ubojstvo ime Luina. ak 55 posto anketiranih ubilo bi Luina besplatno, a 18 posto bi ga samo ubilo. Kako s veleizdajnicima i Da li biste za novanu naknadu ubili imu Luina, dva su okantna pitanja koja su nedavno osvanula na web stranicama Crne legije, tonije, na adresi www.crnalegija.com. Preciznije, anketa s pitanjima i rezultatima na linku je koji nosi ime Jure Francetia. Tko je poktrenuo stranicu? Na taj morbidan poziv na ubojstvo donedavnog ministra unutarnjih poslova, prema podacima s iste internetske liste, glasovale su 1944 osobe, koje su odgovorile na tri ponuena odgovora. ak 354 osobe ili njih 18 posto ubilo bi Luina. No vie od tog odgovora okira odgovor na slijedeu ponuenu opciju jer bi ak 55 posto ili 1076 onih koji su glasovali, to uinilo besplatno! Zrno razuma pokazalo je 26 posto anketiranih (514) osoba koji su kazali da ne bi ubili Luina. Inae, zanimljivo je da su i pitanje i ponueni odogovori prepuni pravopisnih pogreaka, a tko je pokrenuo stranicu zasad je nepoznanica. ..
by Prof. Dr. sc. Miroslav Baa
80
Primjer (svijet) CyberAngels, SafetyED i WHOA svakoga tjedna zaprime oko 400 zahtjeva za pomo od strane rtvi cyberstalkinga, to je preko 20 000 djela svake godine Devet od deset rukovoditelja ita e-mail zaposlenika 92 % rukovoditelja provjerava to rade njihovi zaposlenici na Internetu i nadziru njihov e-mail, 26 % ini to bez ikakovog posebnog razloga
by Prof. Dr. sc. Miroslav Baa
81
NYPD Od sijenja 1996 do kolovoza 2000. : 196 sluaja cyberstalkinga, 80% mukarci; 20% ene 74% bijelci, 13% azijati, 8% hispanjolci, 5% crnci Najstariji 53 godine, najmlai 10 godina, prosjek 24 godine rtve 52% ene 35% mukarci 85% bijelci 6% azijati 5% crnci 4% hispanjolci Najstarija rtva 62 godine, najmlaa 10 godine, prosjek 32 godine
U 92 % sluejeva kao glavna metoda cyberstalkinga koritena je elektronika pota
by Prof. Dr. sc. Miroslav Baa
82
Statistika (WHOA)God rtve % M% N%Poinitelji
2000 353 87 13 0 27 68 0 5
2001 256 79,3 16 4,7 32,5 58,6 0 8,9
2002 218 71 28 1 35 52 0 13
2003 198 70 27 3 38 52,5 0 9,5
2004 196 69 18 13 23,5 52,5 0 24
2005 443 67 25 8 21,5 43,5 2,5 32,5
2006 372 70 28,5 1,7 27,5 36,5 0 272
Ukup 2036 1500 452 87 571 1044 13 12,2
%
73,5 22,5 4 28 51,5 1 19,5
% M% Gru % N%
by Prof. Dr. sc. Miroslav Baa
83
Statistika (WHOA)God 2000 353Starost rtve
2001 256
2002 218
2003 198
2004 196
2005 443
2006 372
Ukup 2036
%
Ispod 18 %
0 54 27 19 62,5
0 44,6 26,2 6,3 22,9
0 50 36 2 12
0 63,5 25 6 5,5
0 48 27 23 2
1 38 25 30 6
0 40 29 28,5 2,5
4 946 563 383 140
0,25 46,5 27,5 18,5 7,25
18-30 % 31-40 % 41+ % N%Rasna pripadnost
Bijelci Latino Afro Asia Dom Ind N
55 1,5 0,5 1 1 1 0
60,6 2,7 1,6 4 2 0,8 28,3
77 4,5 3,5 3 1,5 1,5 9
75 6 5 2 1,5 0,5 10
78 3,5 3 3 1 1 10
73 5,5 4 4 2,5 1 10
76,5 4 2,5 6 1,5 0 9,5
424 78 56 70 32 14 362
70 3,75 2,75 3,5 1,5 0,75 17,17 84
by Prof. Dr. sc. Miroslav Baa
Statistika (WHOA)God Brak S% B% R% V% O% U% N% 40,7 28,1 5,9 2 1,2 0 22,1 48 32 7 5 2 0,5 5,5 40,5 33 10 8 2 1,5 5 44 28,5 11 5,5 4,5 1 4,5 37,5 31,5 11,5 4 2,5 1,5 11,5 46 29,5 10,5 6 2,5 0,5 5 713 510 162 91 40 14 513 35 25 8 4,5 2 0,75 24,75 2000 353 2001 256 2002 218 2003 198 2004 196 2005 443 2006 372 Ukup 2036 %
by Prof. Dr. sc. Miroslav Baa
85
Statistika (WHOA)God 2000 353Odnos s rtvom
2001 256
2002 218
2003 198
2004 196
2005 443
2006 372
Ukup 2036
%
Da % Ne % N%Ako DA
47 53 0
45,3 44,3 10,4
59 41 0
58 42 0
45 54 0
49,5 50,5 0
48,5 51,5 0
1014 993 29
50 48,5 1,5
Bivi % Prijatelj % Posao % Online % kola % Online ex Obitelj % Drugo %
25,5 28 0 0 0 0 25,5 21
28 16 9 28 1,5 0 4 13
57 20 9 7,25 5 0 2,75 0
53,5 9 6 20 6,5 0 5 0
33,5 10,5 11,5 26,5 4 5,5 3,25 1,25
47 12 6,5 25 5 0 2,5 0
350 146 64 165 32 17 69 170
34,5 14,5 6,25 16,5 3,25 1,5 7 16,5 86
by Prof. Dr. sc. Miroslav Baa
Naruavanje sigurnosti osoblja Ispitivanje ili pogaanje korisnike zaporke Lano predstvljanje (maskiranje) Socijalni inenjering Uznemiravanje Piratstvo programske podrke
by Prof. Dr. sc. Miroslav Baa
87
Zakon o autorskom pravu i srodnim pravima 8. poglavljelanak 107. Raunalni program je zatien kao jezino djelo po ovom Zakonu ako je izvoran u smislu da predstavlja vlastitu intelektualnu tvorevinu svog autora. Pojam raunalni program obuhvaa izraaj raunalnog programa u bilo kojem obliku ukljuujui i pripremni dizajnerski materijal. Ideje i naela na kojima se zasniva bilo koji element raunalnog programa, ukljuujui i ona na kojima se zasnivaju njegova suelja, nisu zatiena autorskim pravom.by Prof. Dr. sc. Miroslav Baa 88
Osnovni pokazateljiRH 1994. 90%; 2002. 62%; 2006. 55% Poinitelj: potencijalno svaka osoba Detekcija: promatranje, svjedoenje Dokazi: fotografiranje zaslona monitora, sadraj medija za pohranu podatak, kopije, forenzika analiza Tipovi poinitelja: Amateri Profesionalci Industrijski piratiby Prof. Dr. sc. Miroslav Baa 89
Vrste piratezacije Kopiranje krajnjeg korisnika: Kopiranje i distribucija programske podrke bez novane naknade
Kloniranje tvrdog diska Poinitelj/distributer raunalne opreme kopira i instalira neovlateno programsku podrku na tvrdi disk raunala kojega prodaju
Skidanje programske podrke s inerneta Uitavanje programske podrke s piratskih web stranica
Koritenje programske podrke sa posluitelja Legalan proces u sluaju da korisnik posjeduje licencu za svaku kopiju programske podrke
Kopiranje posuene programske podrke Poinitelj iznajmljuje legalnu programsku podrku te ju kopira na svoje raunaloby Prof. Dr. sc. Miroslav Baa 90
Pokazatelji Jedna od dvije programske podrke koje se globalno koriste je ilegalna Smanjenjem broja nelegalne programske podrke Otvaranje novih radnih mjesta Poveanje poreza
Njemaka Godnji dom njemakog parlamenta Bundestag, prihvatio je kontrovezni zakon o autorskom pravu koji zabranjuje svako kopiranje glazbe i filmova ak i za vlastitu upotrebu.by Prof. Dr. sc. Miroslav Baa 91
Primjer glazbene industrije Prvo suenje zbog file-sharinga (04.10.2007) Zbog krenja autorskih prava i koritenja raznih file-sharing servisa pomou kojih je omogueno krenje ovih prava, amerika udruga glazbenih industrija je prije etiri godine podigla tube protiv 26.000 osoba. U utorak je poelo prvo suenje i to protiv 30-godinje majke dvoje djece. Veina tuenih se nagodila bez suda, plaajui nekoliko tisua dolara amerikoj glazbenoj industriji, no mlada majka je odluna dokazati svoju nevinost na sudu Minnesoti, javlja Fox News. Capitol Records Inc., Warner Bros. Records Inc. i Sony BMG su samo neke od tvrtki koje trae vie od 1,2 milijuna amerikih dolara zbog krenja prava i dijeljenja 1,702 pjesme s korisnicima Interneta uz pomou programa poput Kazaae i Napstera. BOL
by Prof. Dr. sc. Miroslav Baa
92
I odmah nakon toga presuda O poetku suenja protiv 32-godinje majke zbog dijeljenja glazbenih datoteka preko file-sharing servisa ve smo je pisano 04.10.2007. Brzo i efikasno ameriko sudstvo je donijelo presudu od enormnih 220,000 amerikih dolara zbog dokazano podijeljene 24 pjesme - tonije 9,250 dolara po pjesmi. Jammie Thomas, kako se okrivljenica zove, kriva je jer je stavila dostupno 1,702 pjesme, ali je tuiteljstvo uspjelo dokazati da je podijelila samo 24 pjesme. Zbog loeg imovinskog stanja i razloga to je okrivljena mlada majka dvoje djece, odvjetnici velikih glazbenih kompanija poput Capitol Recordsa, Warner Bros.Recordsa i Sonya su dozvolili Jammie da plaa kaznu etvrtinom svoje plae, najvjerojatnije do kraja ivota, javlja BBC. BOL 07.10.2007.
by Prof. Dr. sc. Miroslav Baa
93
Raunalna sigurnostUvodna razmatranja Naruavanje sustava sigurnosti Naruavanje sigurnosti osoblja Fizika i operacijska sigurnost Propusti i posljedice zbog nepotivanja propisa iz podruja sigurnosti Novi oblici iskoritavanja podataka Zatita podataka i zakljuna razmatranja by Prof. Dr. sc. Miroslav Baa 94
Fizika sigurnost i sigurnost okoline Nuno je onemoguiti neautorizirani pristup, oteenja i upade u prostore kao i podatke Raunalna infrastruktura nuna za obradu podataka mora biti smjetena u sigurnom podruju, s odgovarajuim nadzorom Primjerena zatita mora biti u skladu s identificiranim rizicima hladni pogon Identian sustav za sluaj pada Dovoljno udaljen da je nemogue unititi ga u isto vrijeme kada i radniby Prof. Dr. sc. Miroslav Baa 95
Zone odgovornosti Sigurnost podruja Podruje fizike sigurnosti Fizika kontrola ulaska Osiguranje ureda, soba i proizvodnih pogona Rad u sigurnosnim podrujima Podruja izolirane dostave i utovara Smjetaj i zatita opreme Opskrba elektrinom energijom Odravanje opreme Sigurnost opreme izvan tvrtke Sigurno rashodovanje opreme
Sigurnost opreme
Opa kontrola Politika praznog stola/zaslona monitora Uklanjanje imovine
by Prof. Dr. sc. Miroslav Baa
96
Sigurnost podruja Fizika sigurnost Moe se ostvariti stvaranjem nekoliko fizikih barijera oko poslovnog prostora i jedinica za obradu podataka. Koristi e za zatitu podruja koje sadri raunalnu infrastrukturu
Fizika kontrola ulaska Koriste se kako bi samo ovlateno osoblje imalo pristup
Osiguravanje ureda, soba i proizvodnih pogona Zakljuani uredi ili nekoliko soba unutar podruja fizike sigurnosti, ormari na zakljuavanje, sefovi. Voditi rana o poarima, poplavama, eksplozijama, te drugim prirodnim i ljudski uzrokovanim katastrofama
Rad u sigurnosnim podrujima Dodatne kontrole i smjernice osoblja i treih strana, kao i njihovih ativnosti
Podruja izolirane dostave i utovara Moraju biti kontrolirana, izolirana od raunalne infrastruktureby Prof. Dr. sc. Miroslav Baa 97
Sigurnost opreme Smjetaj i zatita opreme Smjestiti ili zatititi na nain da se reduciraju rizici prijetnji i opasnositi kako iz okoline tako i od strane neovlatenog pristupa
Opskrba energijom Kontinuirana opskrba energijom
Odravanje opreme Korektno, kako bi se osigurala njezina kontinuirana dostupnost i integritet
Sigurnost opreme izvan tvrtke Upotreba bilo kakve opreme izvan prostora tvrtke, treba biti odobrena od strane rukovodstva
Sigurnosno rashodovanje Sve dijelove opreme koji sadre medije za pohranu treba provjeriti kako vi se osiguralo da su se prije rashodovanja uklonile sve informacijeby Prof. Dr. sc. Miroslav Baa 98
Opa kontrola Podaci i oprema moraju biti zatieni od otkrivanja svog sadraja neovlatenim osobama Politika praznog stola/zaslona monitora Papirii, zabiljeke, ko za smee,
Uklanjanje imovine Izdatnice, povratnice, nalozi
by Prof. Dr. sc. Miroslav Baa
99
Operacijska sigurnost Naini poveanja svjesti meu potencijalnim rtvama od moguih djela Nani sprjeavanja u poinjenju djela
by Prof. Dr. sc. Miroslav Baa
100
Planiranje Kljuni elementi: Izdvojiti vrijedne podatke i opremu Odrediti metode i tehnike koje bi se mogle koristiti za pribavljanje tih podataka i opreme Razviti operacijske postupke koju su u stanju reagirati na metode i tehnike Ukljuiti zaposlenike
by Prof. Dr. sc. Miroslav Baa
101
Slamanje fizike sigurnosti Prislukivanje inih komunikacija Uskraivanje ili degradacija usluge Kopanje po smeu
by Prof. Dr. sc. Miroslav Baa
102
Prislukivanje inih komunikacija Telefonske linije, kabovi za povezivanje raunla Prislukivanje elektinog odailjanja Poinitelji: Komunkacijski tehniari, zaposlenici, bivi zaposlenici, agenti
Detekcija: Prislukivanje, promatranje, pronalazak ukradenih nformacija
Dokazi: Mediji za pohranu podataka, glasovno snimanje, datoteke pristupa raunaluby Prof. Dr. sc. Miroslav Baa 103
Uskraivanje ili degradacija usluge Fiziki razlozi Pale Eksplozija
Iskljuivanje napajanja, klimatizacije i sl. Atribut namjernosti/nenamjernosti DDoS (Distributed Denial of Service) Uskraivanje usluge legalnim korisnicima koje isti primaju od strane davatelja (Interent) usluga
Elektronika pota est oblik napadaby Prof. Dr. sc. Miroslav Baa 104
DDoS Razlikujemo nekoliko DDoS napada i to: destruktivni napad-brisanje podataka koji se nalaze na tvrdom disku posluitelj raunala, pretrpavanje prostora na tvrdom disku posluitelj raunala, preoptereivanje procesora posluitelj raunala, te mrene napade-odnosno uskraivanje usluga pruatelja usluga.by Prof. Dr. sc. Miroslav Baa 105
by Prof. Dr. sc. Miroslav Baa
106
TFN Project TFN Project. TFN (Tribe Flood Network) nainjen je na principu klijent/posluitelj tehnologije, a implementira se kao alat za distribuirano uskraivanje usluga. Pretrpavanje diskovnog prostora #!/bin/ksh if (( $# != 1 )) then print -u2 usage: $0 exit 1 fi typeset -i index=1 dindex=0 typeset t_prefix=unlikely_frame_prefix fname=$(basename $1) cd $(dirname $1) # go to the directory containg the problem while (( dindex < index )) do for entry in $(ls la $fname) do [[ $entry == @( . | . . ) ]] && continue if [[ -d $fname/$entry ]] then rmdir - $fname/$entry 2>/dev/null && continue mv $fname/$entry ./$t_prefix.$index let index+=1 else rm f - $fname/$entry fi done rmdir $fname let dindex+=1 fname=$t_prefix.$dindex done
by Prof. Dr. sc. Miroslav Baa
107
Spam Ova vrsta napada koristi sustav elektronike pote kao cilj napada, te se kroz njega alje veliki broj istih ili razliitih poruka s ciljem da ciljno raunalo prestane s radom Mnoge markentike i reklamne agencije koristei usluge osoba/organizacija ija je osnovna djelatnost pronalaenje e-mail adresa (bilo putem novinskih grupa, web servisa, informacijskih servisa i sl.), reklamiraju i izvjeuju veliki broj korisnika o svojim proizvodima i uslugama. S obzirom na koliinu odnosno na veliki broj takvih poruka, moe doi do prestanka rada raunalnog sustava. Bez obzira da li je do prekida rada raunalnog sustava dolo s namjerom ili bez nje radi se o nekoj vrsti nedoputene aktivnosti te krenju odreenih prava i sloboda osobe/korisnika (dolaze nam poruke koje ne elimo primati, a ujedno nas i ometaju u svakodnevnom radu sa sustavima elektronike pote). Koliko je spam u biti opasan moda najbolje govore podaci: 2002 spam 1 korisni mail 11, 2003 spam 1 korisni mail 2,5.
by Prof. Dr. sc. Miroslav Baa
108
Kopanje po smeu Legalan napad (nije zakonski zabranjen) Smee klasino Elektroniko
Poinitelj: svaka osoba sa pristupom kou za smee, korisnici sustava Detekcija: promatranje, ispitivanje operacisjkog sustava (zaostali podaci) Dokazi: mediji nastali kao rezultat obrade podataka.by Prof. Dr. sc. Miroslav Baa 109
Slamanje operacijske sigurnosti Premetanje i prijevare sa podacima Spoofing Njukanje za zaporkama Pretraivanje Privilegirani pristup
by Prof. Dr. sc. Miroslav Baa
110
Premetanje i prijevare s podacima Lani unos podataka
Mjerenje radnih sati ID broj 1111 2222 3333 4444 4444 Ime i prezime Marko Markovi Ivo Ivi Josip Josipovi Pettar Perii Pe ar Per Sati 50 55 50 42 42 ID broj 1111 2222 3333 4444 4444
Platni sustav Sati 50 50 55 42 42 Plaa 2500 2500 3000 1800 1800
by Prof. Dr. sc. Miroslav Baa
111
Spoofing Predstavlja prijevaru kod koje napada stvara lanu sliku o sebi i na taj nain vara rtvu, Najei oblici spoofinga su: IP Spoofing, Login Spoofing, Web Spoofing, E-mail Spoofing, i DNS Spoofing.
by Prof. Dr. sc. Miroslav Baa
112
Napad je mogu u fizikom i elektronikom obliku, Ako se o napadu govori u fizikom svijetu, najbolje ga je promatrati kroz primjer bankomata. Zamislite da doete do bankomata koji je postavljen na zid velike robne kue. Potreban vam je novac te stoga u bankomat stavljate korisniku karticu i unosite osobni identifikacijski broj odnosno zaporku. Meutim na vae iznenaenje, bankomat vam ne isplauje novac, ve vam javlja kako je na raunu nemate vie novca, i da e kartica ostati u bankomatu, a da ete je moi dobiti sutra u vaoj poslovnici banke.by Prof. Dr. sc. Miroslav Baa 113
U elektronikom svijetu napad je gotovo identian, zamislite da ste otili na Internet stranicu vae banke u elji da nainite nekoliko novanih transakcija. Upisali ste Internet adresu vae banke (barem ste tako vi mislili) te upisali korisniko ime i zaporku. Nakon upisivanja korisnikog imena i zaporke dobili ste obavijest da je nemogue pristupiti sadraju web stranice. Ponovno ste upisali Internet adresu i sada ste bez problema uz upisivanje korisnikog imena i zaporke dobili eljene informacije. to se je dogodilo? Upisivanjem Internet adrese vae banke na primjer http://www.banka.hr, vi ste upisali krivu Internet adresu http://www.baka.hr, ali ste dobili gotovo identian sadraj kao na originalnog web stranici. Lukavi poinitelji su na vrlo jednostavan nain doli do vaeg korisnikog imena i zaporke te su u mogunosti sada sebe prikazati kao legalnog korisnika vaeg bankovnog rauna.
by Prof. Dr. sc. Miroslav Baa
114
IP spoofing je napad, odnosno tehnika koja se koristi s ciljem ostvarivanja neautoriziranog pristupa na odreenom raunalu, na nain da poinitelj alje poruke napadnutom raunalu preko odreene IP adrese, ime uvjerava napadnuto raunalo da je poruka stigla iz provjerenog izvora.
by Prof. Dr. sc. Miroslav Baa
115
Login Spoofing predstavlja jedan od najeih oblika, a svodi se na lano predstavljanje putem vrlo slinih maski za unos korisnikih imena i zaporki pri ulazu u raunalni sustav. Kod ovog napada rtva uope nije svjesna da nije pristupla eljenom sustavu, te da su podaci o njezinom korisnikom imenu i zaporci poznati poinitelju.
by Prof. Dr. sc. Miroslav Baa
116
Razlika izmeu Web Spoofinga i Login Spoofinga samo je u mediju koji se napada. Naime kod Web Spoofinga korisnik zabunom odabire pogrenu Web stranicu pri emu nije niti svjestan da se nalazi na mjestu na kojem ne eli biti. Oiti primjer ovakvog napada je u zamjeni slova unutar Web adrese stranice.
by Prof. Dr. sc. Miroslav Baa
117
Kod ovog napada poinitelji se koriste slabostima SMTP protokola koji se koristi za slanje elektronike pote, te neposrednom promjenom podataka od koga je elektronika pota poslana, kako bi dobili odgovor od primatelja.
by Prof. Dr. sc. Miroslav Baa
118
DNS Spoofing Kod ovog napada poinitelji se koriste nainom na koji se pretrauju brojane adrese raunala na Internetu pomou njihovog simbolikog ekvivalenta. DNS omoguava traenje brojanih Internet adresa pomou njihovog simbolikog ekvivalenta. U trenutku komunikacije izmeu ovlatenog raunalnog sustava i DNS posluitelj raunala, poinitelj nastoji presresti komunikaciju i poslati lane podatke u raunalni sustav koji namjerava napasti. Nakon to u tome uspije, komunikacija se preusmjerava u njegovo raunalo te je poinitelj u mogunosti prikupiti podatke. DNS spoofing je termin koji se koristi kada je posluitelj prihvatio i koristi informacije koje je dobio od strane klijenta koji ne posjeduje autorizaciju informacijeby Prof. Dr. sc. Miroslav Baa 119
Njukanje za zaporkama Njukala za zaporkama (Password Sniffers) u mogunosti su pratiti sav promet na podrujima koje pokriva raunalna mrea. Poinitelji postavljaju ove ureaje koristei sustave u koje posebno ele prodrijeti, posebice u telefonske sustave ili u sustave davatelja mrenih usluga. Ovi programi su raunalni programi koji jednostavno prikupljaju prvih 128 ili vie bitova svake mrene veze na raunalnoj mrei koja se nadzire. Drugi dodatni raunalni programi koji se nalaze u sklopi njukala iz prikupljenih informacija izdvajaju vane dijelove (poput korisnikog imena i zaporke) te prikrivaju rad i postojanje njukala. (Neke nepotvrene informacije govore da je 1994. godine u svijetu ovim napadom bilo obuhvaeno vie od 100 000 Web stranica.)by Prof. Dr. sc. Miroslav Baa 120
by Prof. Dr. sc. Miroslav Baa
121
Pretraivanje Ovom tehnikom poinitelj pokree raunalni program ija je osnovna zadaa isprobavanje odreene liste informacija, s ciljem pogaanja prave informacije, Raunalna aplikacija pokree serije podataka te ih ispituje jedan za drugim biljeei pri tome pozitivne odgovore. Raunalna aplikacija u toku sat vremena moe ostvariti i do stotinu uspjenih poziva. Napad se odvija kroz dva koraka: U prvom koraku raunalo ispituje liste podataka, traei meu njima na primjer brojeve modema organizacije koju se napada. U toku nekoliko sati raunalo ispita zadanu seriju telefonskih brojeva te izdvoji desetak brojeva koji odgovaraju modemskim vezama. U drugom koraku poinitelj sam poziva te brojeve te iskuava svoje manje ili vie uspjene provalnike aktivnosti.
by Prof. Dr. sc. Miroslav Baa
122
Privilegirani pristup Korisnici unutar raunalnog sustava imaju u biti povlateniji pristup nego li ga ustvari trebaju, Poinitelji: zlonamjerni uljezi, agenti, programeri, Detekcija: gubitak podataka ili prijenos financijskih ili drugih sredstava, usporedba datoteka sa prijanjim kopijama,
Dokazi: posjedovanje raunalnog programa za skeniranje, posjedovanje inkriminirajuih informacija, nedokumentirane transakcije.by Prof. Dr. sc. Miroslav Baa 123
Pitanja ?