Embed Size (px)
Citation preview
VELEUČILIŠTE VELIKA GORICA
IVICA ČUČEK
DRUŠTVENE MREŽE KAO VEKTORI NAPADA ZA CILJANE NAPADE
DIPLOMSKI RAD
Velika Gorica, 2016.
VELEUČILIŠTE VELIKA GORICA
Informacijski sustavi
DRUŠTVENE MREŽE KAO VEKTORI NAPADA ZA CILJANE NAPADE
DIPLOMSKI RAD
Mentor: Student:mr.sc. Marinko Žagar Ivica Čuček, 77130628
Velika Gorica, 2016.
VELEUČILIŠTE VELIKA GORICA
Velika Gorica,
ZADATAK DIPLOMSKOG RADA
Pristupnik: Ivica Čuček
Matični broj: 77130677130628 27
Studij: Informacijski sustavi
Naslov rada: Društvene mreže kao vektori napada za ciljane napade
Znanstveno područje: tehničke znanosti Znanstveno
polje: računarstvo
Teze rada ili opis zadatka:
1. Društvene mreže 21 stoljeća - opis društvenih mreža, tehnologija koju koriste2. Prijetnje na društvenim mrežama kao vektor napad na ciljane napade - opisati prijetnje na društvenim mrežama za korisnike i za poslovne subjekte3. Sigurnost na društvenim mrežama u cilju ostvarivanja sigurnosti na ostalim komercijalnim servisima - opisati načine na koji se način može podići sigurnost na društvenim mrežama, opisati pojedine slučajeve i objasniti ih, te na koji način je društvena mreža podigla sigurnost korisnika, isto tako na koji način su komercijalni servisi podigli sigurnost, poput, banaka, Gmail, Amazon i sl.4. Napadi i sigurnost u praksi- pokazati primjerom na koji način je moguće izvesti napad na društvenu mrežu i/ili komercijalni servis ili tvrtku putem SQL injection i/ili xxs napada
Mentor: Pročelnik studija:
Komentor: (ako je određen)
Datum uručenja zadatka: Datum predaje završnog rada:
Voditelj Odsjeka za studentska pitanja:
Društvene mreže kao vektori napada za ciljane napade
VELEUČILIŠTE VELIKA GORICA
Sažetak
U ovom diplomskom radu opisane su popularne društvene mreže u 21. stoljeću, koje
se svakodnevno koriste. Isto tako opisane su sve prijetnje na društvenim mrežama s kojima
se korisnici svakodnevno susreću. Opisan je popularni „Honan hack“, na koji način su hakeri
iskoristili sigurnosne propuste u komercijalnim servisima, kako bi preuzeli kontrolu nad
Twitter računom samog novinara Honan-a. Isto tako analiziran je sam proces hakiranja, tako
da se utvrde sami razlozi hakiranja, način na koji su hakeri iskoristili sigurnosne propuste u
komercijalnim servisima i kako su se ti propusti prelili na druge komercijalne servise, a koji su
bili lančano vezani jedni s drugim. Opisane su mogućnosti hakiranja poput „Honan hack-a“ u
kojem mogu hakeri napraviti puno veće štete, pa čak koristiti u terorističke svrhe. Opisana je
tehnika SQL injection, s kojim hakeri mogu napasti samu web aplikaciju društvene mreže,
odnosno komercijalnog servisa, na način da iskoriste propust u projektiranju i kodiranju same
web aplikacije, odnosno direktno napadati bazu podataka u kojoj su pohranjeni svi podaci
vezani uz samo web aplikaciju.
Ključne riječi
Društvene mreže, Internet, Hakiranje, SQL injection, Web aplikacije, Baza podataka,
Facebook.
Social networks as vectors of attack for targeted attacks
Abstract
This thesis describes the popular social network in the 21st century, which are used
daily. Also described are all threats to the social networks with which users face every day.
Described the popular "Honan hack," how hackers take advantage of vulnerabilities in
commercial services, in order to take control of the Twitter account only journalists Honan's.
Also analyzed is the very process of hacking, so to determine the reasons for the hacking,
the way in which hackers take advantage of vulnerabilities in commercial services and that
these omissions spilled over to other commercial services, which were chained linked with
each other. It describes the possibilities of hacking like "Honan hack" in which hackers can
do a lot more damage, and even used in terrorist attacks. The described technique is SQL
injection, with which hackers can attack the very web application social networks or
commercial services, so as to take advantage of a flaw in the design and coding web
applications themselves, or directly attack a database that stores all data related to the web
application.
KEY words
Social networks, Internet, Hacking, SQL injection, Web applications, Databases,
Facebook.
SADRŽAJ
1. Uvod..................................................................................................................................12. Društvene mreže 21. stoljeća...........................................................................................2
2.1. Povijest društvenih mreža..........................................................................................22.2. Popularne društvene mreže danas.............................................................................5
2.2.1. MySpace.................................................................................................................52.2.2. LinkedIn...................................................................................................................62.2.3. Facebook................................................................................................................72.2.4. Twitter...................................................................................................................10
3. Prijetnje na društvenim mrežama kao vektor napad na ciljane napade..........................113.1. Kategorije prijetnji na društvenim mrežama.............................................................13
3.1.1. Računalni crvi na društvenim mrežama................................................................133.1.2. „Phishing“..............................................................................................................143.1.3. Trojanski konji.......................................................................................................153.1.4. Curenje podataka..................................................................................................153.1.5. Skraćivanje linkova...............................................................................................153.1.6. Botnet-s.................................................................................................................163.1.7. Advanced persistent threat...................................................................................163.1.8. Lažno predstavljanje.............................................................................................173.1.9. Povjerenje.............................................................................................................183.1.10. Ransomware.......................................................................................................18
4. Sigurnost na društvenim mrežama u cilju ostvarivanja sigurnosti na ostalim komercijalnim servisima..........................................................................................................19
4.1. „Honan Hack“...........................................................................................................204.1.1. Analiza „Honan Hack“...........................................................................................24
4.2. Opasnosti „Etičkog hakiranja“...................................................................................264.3. Sigurnost društvenih mreža i komercijalnih servisa u Republici Hrvatskoj...............27
5. Napadi i sigurnost u praksi..............................................................................................305.1. SQL injection............................................................................................................31
5.1.1. Napadi SQL injection............................................................................................325.1.2. Metode napada.....................................................................................................345.1.3. "Sljepi" SQL injection............................................................................................35
5.2. Metode za prevenciju SQL injection.........................................................................365.2.1. Provjera unesenih podataka.................................................................................365.2.2. Statički upiti...........................................................................................................375.2.3. Najniže privelegije.................................................................................................375.2.4. Provjera koda........................................................................................................385.2.5. Web aplication gateway........................................................................................385.2.6. SQL driver proxy...................................................................................................385.2.7. MISC metoda........................................................................................................38
6. Zaključak.........................................................................................................................397. Literatura.........................................................................................................................418. Skraćenice......................................................................................................................439. Popis slika.......................................................................................................................44
1. Uvod
U vremenu kojem živimo veliku ulogu u svakodnevnom životu imaju društvene mreže.
Društvene mreže nesvjesno koristimo u svakodnevnoj komunikaciji, s prijateljima,
poznanicima, poslovnim partnerima, ljudima koje ni ne poznajemo, ljudima koji su na drugoj
strani planete, pa čak i s onima koji sjede svega čak samo jedan metar od nas. Društvene
mreže nisu samo komunikacija na verbalnoj razini, odnosno putem dopisivanja, već to je i
indirektna komunikacija izražavanja vlastitih stavova, misli, dijeljenja događaja, trenutaka u
životu koji nam se događaju, putovanja koja putujemo i sl.
Kako su društvene mreže neosporno dio našeg svakodnevnog života, te nas prate na
gotovo na svakom koraku. Moramo upoznati same društvene mreže, na koji način utječu na
naše živote. Društvene mreže u velikoj količini zaokupljuju naše vrijeme, te postoji bojazan
da ta navika postaje ovisnost pojedinih korisnika. Tema ovog diplomskog rada neće biti ta
opasnost od stvaranja ovisnosti o društvenim mrežama. Sam diplomski rad će se fokusirati
na ostale opasnosti, kojima se izlažu sami korisnici koji koriste društvene mreže. To su
opasnosti koje vrebaju na društvenim mrežama na same podatke korisnika, odnosno
korištenje tih podataka radi provođenja hakerskih napada, i nanošenja štete samom
korisniku, kao i ostalim komercijalnim servisima koje sam korisnik koristi. Ta prijetnja na
društvenim mrežama je stvarna i realna, stoga je potrebno istražiti koje su to sve opasnosti i
na koji način vrebaju samog korisnika. Istraživanjem takvih opasnosti važno je kako bi se
podignula sama sigurnost na društvenim mrežama, kao i na ostalim komercijalnim servisima
koje korisnici koriste. Isto tako na taj način podiže se svijest samih korisnika, koji svojim
svijesnijim načinom korištenja mogu zaštiti svoj identitet na društvenim mrežama, kao i
povjerljive podatke. Isto tako važno je da samim istraživanjem opasnosti podigne se svijest i
samih komercijalnih servisa, da sigurnosne propuste u što kraćem vremenu isprave. Kako
zlonamjerni napadači – hakeri u što manjoj mjeri mogu napraviti štetu samim korisnicima, a i
komercijalnim servisima. Idealno bi bilo da se te prijetnje otklone i prije nego je bilo kakva
šteta nanesena.
1
2. Društvene mreže 21. stoljeća
2.1. Povijest društvenih mrežaPovijest društvenih mreža počinje s godinom kada se stvorila potreba povezivanja
računala u mrežu, tj. kada su korisnici na računalima po prvi puta počeli međusobno
komunicirati, razmjenjivali podatke i sl. Tako je davane 1969 godine stvorena mreža
ARPANET1 (Advanced Research Projects Agency Network) koja je bila preteča današnjeg
interneta. ARPANET je razvila Američko Ministarstvo Obrane s osnovnim ciljem da se
povežu računala sveučilišta i istraživačkih centra. Prvo uspješna poslana poruka putem
ARPANET-a poslana je 22:30 on 29. listopada 1969, iako je poruka bila samo text „login“. ,
možemo smatrati da je to prvi pokušaj komunikacije, tj. nečega što će kasnijim razvojem
stvoriti sve uvjete za stvaranje društvenih mreža. Pa tako, godine 1971 god poslan je i prvi e-
mail, 1973 god. poslana je prva datoteka FTP (File Transfer Protocol) protokolom, a 1977
godine pomoću NVP (Network Voice Protocol) protokola uspostavljena je glasovna
komunikacija. Godine 1980. pojavljuje se USENET kojim se omogućava korisnicima putem
tematskih grupa da otvoreno sudjeluju u raspravama o različitim temama , iznose svoje misli,
znanja i ideja. Pojavom WWW (Worldwide Web) 1990 godine u Ženevi stvara se zadnja
pretpostavka za stvaranje društvenih mreža kakve danas poznajemo, s pojavom WWW-a
stvara se mogućnost da se informacijama pristupa s pomoću miša, tj. kliktanjem linkova.
Tako godine 1995 nastaje Classmates.com na kojoj se moglo potražiti svoje bivše školske
kolege i s njima uspostaviti kontakt.
Prva prava društvena mreža, na kojoj se osim pretraživanja i komuniciranja, dodavati
prijatelje, pripadnike obitelji pojavljuje se 1997 godine SixDegrees.com2. SixDegrees.com je
samo ime dobila po teoriji o „Six degrees of separation“3, koja govori o šest stupnjevima
razdvojenosti tj. da se do svih ljudi na svijetu može doći u šest koraka. Npr. Jedan čovjek
može poznavati 100 ljudi, a svaki od tih 100 ljudi može poznavati još 100 ljudi, pa taku u šest
koraka možemo doći do svih ljudi na svijetu. Iako je mreža povezivala 3,5 milijuna korisnika,
ona je propala zbog velikih troškova poslovanja, skupih servera i činjenice da se ta mreža
jednostavno prerano pojavila. Nažalost, širokopojasni brzi internet nije pratio brzi napredak
mreže, pa je ovako glomazan sustav učinilo jako sporim, a i malo tko je imao digitalni
fotoaparat, pa uz mnoge profile nije postojala slika.1 https://en.wikipedia.org/wiki/ARPANET2 https://en.wikipedia.org/wiki/SixDegrees.com3 https://en.wikipedia.org/wiki/Six_degrees_of_separation
2
Iako samim početkom 21. stoljeća jedna od pionira društvenih mreža se ugasila,
samo dvije godine kasnije, odnosno 2003 god. dolazi do pravog buma društvenih mreža. Pa
tako jedna i danas popularnih društvenih mreža pojavljuje se Myspace.com4, koja je svoju
najveću popularnost dostiže od 2005 do 2008 godine. Ali sredinom 2008 godine po broju
korisnika prestiže je Facebook, i nadalje mreža bilježi pad popularnosti. Danas Myspace.com
jako je popularna među glazbenicima, gdje glazbenici mogu besplatno objavljivati svoj rad, i
komunicirati i pratiti tko su im fanovi.
Slika 1. Facebook prestiže MySpace5 po broju korisnika
Te iste 2003 godine, lansirana je LinkedIn6 društvena mreža, koja je svoju publiku
našla u poslovnim korisnicima. LinkedIn je društvena mreža kojoj je osnovni cilj da spaja
poslovne korisnike. Na taj način korisnici objavljuju svoje životopise, ostvaraju kontakte s
ostalim korisnicima prema zajedničkim poslovnim vještinama, poznanstvima i sl. Isto tako
korisnici ostvaruju kontakte s mogućim poslodavcima, kontakte s znanstveno istraživačkim
ustanovama radi doškolovanja i/ili certificiranja i sl.. Isto tako poslodavci mogu ostvarivati
kontakte s mogućim zaposlenicima, pretraživati bazu životopisa, oglašavati za slobodna
radna mjesta i sl. Danas, LinkedIn je najpopularnija platforma za pretraživanje poslovnih
korisnika koji nude ili traže posao, certificiranje u poslovnom svijetu.
4 https://en.wikipedia.org/wiki/Myspace5 https://tctechcrunch2011.files.wordpress.com/2008/10/facebook-myspace-sept.png6 https://en.wikipedia.org/wiki/LinkedIn
3
Godini dana kasnije, tj. 2004 godine pojavljuje se danas najpopularnija i najveća
društvena mreža Facebook7, koja je brojila u travnju 2016 godine 1.650.000.0008 aktivnih
korisnika. Društvenu mrežu Facebook osnovao je student Havarda, Mark Zuckerberg. U
početku mreža je bila dostupna i namijenjena samo studentima Havarda, kasnije društvenu
mrežu Facebook koriste ostala sveučilišta u Americi, a nakon toga društvena mreža
Facebook postaje dostupna svima. Broj korisnika društvene mreže sljedećih godina stalno je
u rastu, pa tako 2005 imaju 5,5 milijuna korisnika, 5 godina kasnije 2010 godine ta brojka se
penje na 500 milijuna, sve do današnjih 1,65 milijardi korisnika. Facebook je danas
društvena mreža koja služi svim dobnim skupinama, od školarcima, studenata, mladih,
korisnika srednje dobi pa do djeda i baka. Facebook je platforma koja služi za dopisivanje,
druženje, oglašavanje, prodaju, video komunikaciju i još mnog drugih mogućnosti. Facebook
je dostupan ne samo na osobnim računalima, već i na pametnim telefonima, tako da korisnici
u bilo kojem trenutku mogu pristupiti informacijama, dopisivanju gotovo svugdje i bilo kada.
Nije neuobičajena pojava da mnogi poslovni subjekti svojim zaposlenicima zabranjuju za
vrijeme radnog vremena pristup društvenoj mreži Facebook.
Godine 2006 pojavljuje se još jedna danas jako popularna društvena mreža, Twitter.
Društvena mreža Twitter inspirirana je velikom popularnošću SMS-a9 (Short Message
Service) na GSM telefonima, kojim se moglo poslati 160 znakova. Tako, Twitter je društvena
mreža za mikro-bloging tj. namjena je za slanje kratkih poruka do 140 znakova, koji su
prema imenu mreže nazvani tweet-owima. Društvena mreža zbog svoje specifične
mogućnosti, slanja samo 140 znakova, pomoću kojih se šalje kratka i jasna poruka, jako je
popularna među mlađom generacijom. Godine 2016, Twitter ima oko 332 milijuna aktivnih
korisnika.
7 https://hr.wikipedia.org/wiki/Facebook8 https://en.wikipedia.org/wiki/Facebook9 https://hr.wikipedia.org/wiki/SMS
4
2.2. Popularne društvene mreže danas
2.2.1. MySpaceMySpace je jedna od najpopularnijih društvenih mreža današnjice, koja okuplja oko
50 milijuna aktivnih korisnika. To je društvena mreža koja se specijalizirana u pogledu
umrežavanja glazbenika, umjetnika i sl., koji je koriste za predstavljanje svojih pjesama,
umjetničkih djela, i umrežavanje s njihovom publikom. Na taj način se umjetnici mogu
predstaviti svojoj publici, a i proširiti samu publiku. Tako na društvenoj mreži nalazi se oko
14.2 milijuna10 umjetnika, koji dijele oko 53 milijuna pjesama.
MySpace za svoj pogon koristi Microsoft platformu11, i to:
Windows operacijski sustav Windows server 2003
IIS web poslužitelj
ASP.NET 2.0 platformu
SQL server
Da bi društvena mreža MySpace funkcionirala u pogonu ima 4500+ web servera Windows 2003/IIS 6.0/APS.NET.,
1200+ cache servera koje pogone 64-bit Windows 2003 s
500+ servera s bazom podataka koje pogoni 64-bit Windows i SQL Server 2005.
Na taj načina MySpace procesuira oko 1,5 bilijuna pregleda stranica, odnosno obradi
2,3 milijuna korisnika istovremeno tijekom dana.
10 http://expandedramblings.com/index.php/myspace-stats-then-now/2/11 http://highscalability.com/myspace-architecture
5
2.2.2. LinkedInLinkedIn je još jedna društvena mreža, posebno dizajnirana za poslovnu zajednicu.
Osnovni misija LinkedIn društvene mreže je uspostava kontakata s korisnicima koje
poznavanju poslovno, svakodnevno u profesionalnom životu, i stvaranje novih kontakata s
korisnicima iz istog ili sličnog poslovnog interesa. Danas LinkedIn ima preko 400 milijuna
korisnika u preko 200 zemalja, sjedište LinkedIn-a je u Mountain View, Californija.
LinkedIn je društvena mreža koja nije u potpunosti besplatna. Osnovno članstvo omogućuje
korisnicima uspostavu kontakata samo s korisnicima s kojima ste radili, poznajete
profesionalno ili ste zajedno školovali u istoj obrazovnoj ustanovi. Premium članstvo LinkedIn
društvene mreže omogućuje puno veće mogućnosti, pa tako i pristup svim kontaktima u
LinkedIn bazi, što omogućava pretraživanja dostupnih talenata, pretraživanja dostupnih
poslova i sl.
LinkedIn društvena mreža za svoj pogon koristi12:
Solaris operacijski sustav (pokreće ga Sun x86 platforma i Sparc)
Tomcat and Jett aplikaijski serveri
Oracle i My SQL baze podataka
Lucene za pretraživanje
Java i c++
LinkedIn društvena mreža koristi „Cloud“ server koji cashira cjelokupni graf LinkedIn
mreže u memoriji. Sam cache je implementiran s c++ programskim jezikom, kojemu se
pristupa pomoću JNI. LinkedIn se odlučio za korištenje c++ programskog jezika umjesto
Jave u tom slučaju iz razloga jer se na taj način koristi minimalno moguće RAM memorije.
Cloud cashira cjelokupnu LinkedIn mrežu, ali svaki korisnik mora vidjeti tu mrežu s svog
gledišta. Jako je računalski skupo to računati stalno, stoga je LinkedIn računa jednom za
svaki put kada korisnik započne svoju sesiju i drži ju cachirano u memoriji za svakog
korisnika.
12 http://hurvitz.org/blog/2008/06/linkedin-architecture
6
2.2.3. FacebookIako je Facebook društvena mreža započela svoj život kao društvena mreža
namijenjena studentima Sveučilišta Harvard-a, ona se danas proširila izvan sveučilišta, izvan
Amerike i prisutna je doslovno u cijelome svijetu. Društvena mreža Facebook je danas
najveća društvena mreža s najviše korisnika. Facebook nije društvena mreža koja se
specijalizirala za specifične korisnike ili određene interese poput MySpace-a i LinkedIn-a,
ona je jednostavno društvena mreža za sve korisnike i za sve uzraste. I doista, Facebook
danas koriste svi uzrasti od baki i djedova, tata i mama, do studenata i djece starije od 13
godina. Danas Facebook broji preko 1,65 milijardi korisnika što je više od 22% cjelokupne
populacije ljudi na planeti Zemlja.
Facebook je u potpunosti besplatna društvena mreža, i ono što je potrebno da bi se
registrirali je e-mail adresa i da ste stariji od 13 godina. Jednom registrirani možete uređivati
svoj profil, dodavanjem slika, informacije, poput gdje radite, statusa veze, omiljenih filmova,
knjiga, hobija i još mnogo više. Na taj način korisnici se povezuju s ljudima u svojoj okolici
koje poznaju, i naravno stvaraju se nova poznanstva. Korisnici putem Facebook mreže mogu
komunicirati slanjem poruka, video poziva, dijeljenjem sadržaja treće strane poput članaka iz
novina. Slati pozivnice prijateljima za određene društvene događaje, stvarati javne ili privatne
interesne grupe, igranje igara, igranje društvenih igara i sl.. Glavna prednost Facebook su
brojne aplikacije koje se mogu dodavati u profile, tako je moguće imati virtualne kućne
ljubimce, darivati prijatelje s virtualnim darovima, slati virtualne zagrljaje, čestitke, djelati
fotografije, video uratke i još mnogo toga. Možemo reći da je Facebook gotovo svemoguć,
pogotovo u tom virtualnom druženju, u virtualnim aktivnostima koje nas zakupljuju i
zadržavaju ispred ekrana računala, laptopa ili telefona.
7
Društvena mreža Facebook za svoj pogon koristi sljedeću tehnologiju13, u osnovi to je
LAMP14. LAMP se sastoji od:
Linux15 operacijskog sustava, to je operacijski sustav sličan Unix-u, s Linux
kernelom. Osnovna značajka Linux operacijskog sustava je što dolazi pod GPL3
licencom što omogućava slobodno i besplatno korištenje samog operacijskog
sustava. Linux omogućava i slobodu razvoja i nadogradnje samog Linux
operacijskog sustava od strane Facebook-a.
Apache je najčešće korišteni web poslužitelj na internetu, s udjelom od 60%16.
Poput Linuxa, Apache je besplatan i slobodan web poslužitelj, kojeg može svako
koristiti, razvijati i distribuirati ali pod Apache Licencom17.
My SQL je besplatna, otvorenog koda relacijska baza podataka, bazirana na SQL
programskom jeziku
PHP je programski jezik namijenjen za programiranje dinamičnih web stranica.
PHP isto tako je besplatan i slobodna za korištenje i distribuciju.
Osim LAMP-a kao osnove za pogon Facebook-a, Facebook kako najveća web stranica na
svijetu koristi i sljedeće:
Memcached – tehnologija koju koriste velike web stranice, a služi kao memorijski
sloj između web stranice i My SQL baze podataka, kako bi se ubrzao pristup bazi
podataka
Big Pipe – modul koji je zadužen za parcijalno isporučivanje web stranica
Varnish – http akcelerator koji služi za učitavanje profilnih slika
Thrift – je taj koji povezuje programske jezike kroz svoj framework, te omogućuje
Facebook razvojnom timu da koristite uz PHP i C++ i Javu.
HIPHOP FOR PHP – služi za konverziju PHP koda u C++ koji se kompajlera radi
postizanje boljih performansi.
Hystack – razvio ga je Facebook za pohranu i dohvaćanje objekta, najčešće je
korišten za dohvat fotografija
Cassandra – je distributivni sustav za pohranu bez prekida, a koristi se za
pretraživanje poruka.
Scribe – je jako fleksibilan loging sustav
13 https://www.neuralab.net/facebook-lajka-svoje-servere-i-tehnologiju-cloud-review/14 https://en.wikipedia.org/wiki/LAMP_(software_bundle)15 https://hr.wikipedia.org/wiki/Linux16 https://hr.wikipedia.org/wiki/Apache_HTTP_poslu%C5%BEitelj17 https://en.wikipedia.org/wiki/Apache_License
8
Hadoop & Hive – je implementacija s kojom Facebook obrađuje veliki broj
kalkulacija i obradu sirovih podataka. Hadoop je zadužen da na temelju vaših
klikova u stream vijesti pojavljuju bliski prijatelji. Hive je zadužen za dohvaćanje
obrađenih podataka u SQL stilu. Hadop & Hive su projekti otvorenog koda, koje
koriste i ostala velika web sjedišta poput Twitter-a i Yahoo-a.
GateKeeper – je sustav kojeg Facebook koristi za implementaciju određenih
promjena određenim korisnicima, A/B testiranja, testiranja promjena preko
zaposlenika. „Crna lansiranja“ koja se rade na način da se određene
implementacije puštaju u rad bez promjene na korisničkom sučelju. Na taj način
se otkivaju graške u kodu na razini aplikacije ili same baze podataka.
XHProf – služi za sam monitoring svake funkcije u PHP-u, ukoliko se otkriju
određene graške dijelovi Facebook-a se mogu staviti izvan funkcije, a sve kako bi
korisnici mogli pristupiti osnovnim funkcionalnostima Facebook-a.
9
2.2.4. TwitterTwitter je društvena mreža koja je svoju popularnost stekla specifičnim slanjem
kratkih poruka do 140 znakova, i dijeljenim među ostalim korisnicima na društvenoj mreži
unutar iste sfere interesa. Registrirani korisnici na društvenoj mreži mogu slati i čitati tweet-
ove, dok neregistrirani korisnici mogu samo čitati poruke.
Društvena mreža Twitter svoje poslovanje oslanja na tehnologiju otvorenog koda. U
početku je Twitter koristio Ruby on Rails Framework za web sučelje, a za bazu podataka
koristila se My SQL baza podataka. Kako je broj tweet-ova rastao postalo je problem čitanja i
pisanja iz baza podataka. Postalo je jasno da će biti potrebno redizajnirati cijeli sustav. Tako
je Twitter u 2011 godini prešao sa Ruby on Rails na Javu. Sam prijelaz na Javu i korištenje
JVM-a društvenoj mreži Twitter povećale su se performanse s nekakvih 200 – 300 zahtjeva
po hostanom računalu po sekundi na 10 000 – 20 000 zahtjeva po hostanom računalu po
sekundi. Svaki tweet registriran je pod jedinstvenom ID-u, za tu zadaću Twitter koristi
Snowflake. Isto tako svaki tweet dodaju se Geo lokacijski podaci s kojeg mjesta je poslan
pomoću Rockdove-a. Slanjem tweet-a prije spremanja u bazu podataka provjerava se dali je
tweet spam, ako nije t.co skraćuje URL, sprema se u bazu podataka koristeći Gizzard, i
korisnik dobiva informaciju o uspješnom slanju svoga tweeta-a. Tako spremljeni tweet u bazu
podataka šalje se u pretraživač preko Firehose API-a.
10
3. Prijetnje na društvenim mrežama kao vektor napad na ciljane napadeDruštvene mreže dizajnirane su s ciljem da okupljaju ljude da se druže, komuniciraju,
razmjenjuju informaciju u nekom virtualnom svijetu, bez potrebe za fizičkim kontaktom, i bez
potrebe za premošćivanjem vremenskih razlika, savladavanjem udaljenosti među gradovima
pa čak među kontinentima. Sve te prednosti, omogućile su brži, jednostavniji i jeftiniji prijenos
informacija, omogućile su razvitak društva, pojedinaca i još mnogobrojne prednosti. Svaki
izum, svaka nova tehnologija ili tehničko unapređenje unaprjeđuje samo društvo, potaknuti
na razvitak i boljitak pojedinca, društva i samog čovječanstva, tako je moguće i svaki izum,
novu tehnologiju i tehničko unapređenje koristiti i u ne časne svrhe. Iz povijesti možemo
izvući primjere u kojima je čovjek u nastojanju da unaprijedi čovječanstvo novim izumom,
tehnologijom ili tehničkim unapređenjem, taj isti izum, tehnologija ili tehničko unapređenje
korišteni su osim za ono što su napravljeni, korišteni su baš u suprotne svrhe od onih kojih je
izumljeni, napravljeni. Društvene mreže kao takve nisu iznimka, upravo društvene mreže
zbog svoje specifičnosti su pogodno tlo za one koji namjeravaju napraviti neku nečasnu
radnju, poput krađe, stvaranja štete i sličnih radnji. Korisnici na društvenim mrežama
objavljuju informacije o sebi, poput datuma rođenja, slike svojih ljubimaca, svojim omiljenim
stvarima, jelima, o svojim trenutnim radnjama, poput ljetovanja na kojem se nalaze, poslu
koji rade i sl.. Sve te informacije koje su na prvi pogled bezazleno objavljene, mogu poslužiti
napadačima da prikupe informacije koje je moguće poslužiti za daljni napad. Tako je moguće
iz jedne objavljene slike zaključiti da ste na ljetovanju i da vam je kuća ili stan prazan, to
omogućava provalnicima da mogu lagodno u bilo koje doba dana da Vam opljačkaju stan,
ukradu neke vrijedne predmete poput novca, dragulja, zlata i sl., ili ukradu službeni laptop
koji koristite za posao. Iz Vašeg obavljenog profila na društvenim mrežama koji je uredno
popunjen s svim informacijama, poput datuma rođenja, mjesta rođenja, završene škole,
omiljenog hobija i sl., da napadači kombinacijom tih informacija dođu do Vaše lozinke. Kako
su „sigurne“ lozinke poput „M1a5!/1a8r3“ kombinacija malih i velikih slova, brojeva i znakova
dosta teško pamte, korisnici obično koriste jednostavnije lozinke koje su njima lako pamtljive
poput „josip2510“. Takva lozinka je vrlo lako pamtljiva jer sadrži ime korisnika i njegov datum
rođenja, ali isto tako lako je takvu lozinku rekonstruirati iz podataka koji su dostupni na
Vašem profilu. I kad Vi odmarate na zasluženom odmoru, kradljivci koji su opljačkali vaš dom
i među ostalim stvarima ukrali Vaš službeni laptop, mogu s službenog laptopa skinuti
svakakve informacije o Vašoj firmi, o bankovnim računima, i sl. Često tvrtke koriste VPN18
(Virtual Private Network) pomoću čega se računalom vežete na privatnu mrežu tvrtke gdje
imate direktan pristup svim podacima, ovisno o dozvolama i poslu koje radite, tako kradljivac
18 https://hr.wikipedia.org/wiki/VPN
11
Vašeg laptopa ima pristup mreži i podacima tvrtke u kojoj radite. Pa je moguće da napravi
štetu u vidu brisanja podataka u Vašoj tvrtki u kojoj radite, krađa podataka vrijednih za posao
tvrtke, ili nanošenje štete krađom pristupa bankovnim računima i prebacivanja novčanih
sredstava s bankovnog računa tvrtke.
12
3.1. Kategorije prijetnji na društvenim mrežamaPrijetnje na društvenim mrežama možemo svrstati u nekoliko kategorija, s obzirom na
prijetnju.
3.1.1. Računalni crvi na društvenim mrežamaDanas u IT svijetu postoji trend da se aplikacije „sele“ iz personalnog računala u tzv.
„oblak“, na taj način svakome u svakom trenutku dostupna je aplikacija putem weba, bez da
ju je potrebno instalirati na lokalno računalo. Dodatna prednost kod takvih aplikacija je, da
nije potrebno kupovati cijelu aplikaciju i istu instalirati na lokalno računalo, i brinuti kroz
nekoliko godina o nadogradnji na najnoviju verziju, već se plaća vrijeme korištenja takve
aplikacije u „oblaku“, a o nadogradnji i drugim rizicima poput instalacije sigurnosnih grešaka,
propusta i sl. brine sam proizvođač aplikacije. Isto tako takve aplikacije nisu vezane samo na
jednu platformu, poput MS Windowsa, Gnu/Linuxa ili Mac operacijskog sustava, već se
izvode unutar internetskog preglednika i rade na svim operacijskim sustavima. Nažalost,
osim aplikacije koje svakodnevno koristimo u svrhu produktivnog rada, tako su se pojavile
aplikacije koje nanose štetu, a posebno dobar medij za širenje koriste društvene mreže.
Tako jedna grupa aplikacija koja koristi društvene mreže za širenje su računalni crvi,
značajka računalnih crva je u tome da se samostalno umnožavaju u cilju širenja na druga
računala putem mreže. Jedan takav poznati računalni crv je Koobface19 koji je napadao MS
Windows, OS X i Linux operacijske sustave, a za svoje širenje koristio je korisnike na
društvenim mrežama poput Facebook-a, MySpace, Twitter, ali i ostalih servisa poput Skype-
a, Gmail-a, Yahoo Mail-a i sl.
Koobface se širio putem društvenih mreža slanjem poruke na Facebook-u od
korisnika na kojem je računalo bilo zaraženo ostalim korisnicima s liste prijatelja. Poruka je
sadržavala naslova poput „Pogledaj ovu skrivenu kameru“, a sadržavala je link koji je bio
maskiran kao nadogradnja za Adobe Flash, a koji je potreban za pokretanje istog videa. Ako
je korisnik tu nadogradnju skinuo i pokrenuo zapravo se instalirao računalni crv Koobface.
Koobface nakon uspješne instalacije, odnosno nakon što je zarazio računalo na isti način se
je dalje širio s zaraženog računala. Glavna uloga Koobface računalnog crva bila je skupljanje
informacije na zaraženom računalu, posebno korisničkih informacije poput korisničkog imena
i lozinka za Facebook, Skype i ostale platforme društvenim mreža. Osim toga skupljao je
ostale osjetljive podatke, poput financijskih izvještaja, brojeva bankovnih računa i sl..
19 https://en.wikipedia.org/wiki/Koobface
13
3.1.2. „Phishing“„Phishing“20 dolazi od engleske riječi "fishing" koja znači „pecanje“. Sama riječ
„Phishing“ imala bi značenje „pecanje informacija o korisniku na društvenim mrežama s
mamcem“. „Phishing“ je prijetnja na društvenim mrežama koja se širi putem elektronske
pošte, odnosno putem instant poruka na društvenim mrežama, a zapravo se radi o tome da
se korisniku putem poruke pošalje link koji sliči na internetski servis koji svakodnevno koristi.
Otvaranjem toga linka otvara se web stranica koja ima slični URL, web stranica je identična
internetskom servisu, ali zapravo uopće nema nikakve veze s stvarnim servisom. Takva web
stranica traži identifikaciju korisnika putem korisničkog imena i lozinke, ukucavanjem
korisničkog imena i lozinke zapravo događa se krađa identiteta korisnika. Krađom identiteta
korisnika na društvenoj mreži, potencijalni napadač dobiva pristup korisničkom računu, s
obzirom da korisnički račun na društvenim mrežama sadržava e-mail adresu kao korisničko
ime, i kako je praksa korisnika da koriste iste lozinke za više internetskih servisa, na taj način
potencijalni napadač ima pristup i servisu elektronske pošte poput Gmail-a. Pristupom
servisu Gmail-a potencijalni napadač stječe pristup svim ostalim servisima koji koriste tu e-
mail adresu, koristeći istu lozinku ili kroz proceduru resetiranja lozinke.
Slika 2. Primjer „Phishing-a“ Facebook stranice
20 https://en.wikipedia.org/wiki/Phishing
14
3.1.3. Trojanski konjiTrojanski konji su još jedna prijetnja na društvenim mrežama, to su mali računalni
programi koji se instaliraju na računalo na način da prevare korisnika o svojoj namjeni. Npr.
Korisnik misli da je to neki računalni program za uređivanje slika ili nešto slično, a zapravo se
radi o trojanskom konju. Trojanski konji21 dobili su od tuda i naziv, prema trojanskom konju u
kojem su bili skriveni vojnici kako bi osvojili drevni grčki grad Troju.
Zeus - je popularni trojanski konji koji je svoj novi život baš uz pomoć društvenih
mreža. Zeus-ova glavna uloga je bila pohrana korisničkih imena, lozinki, brojeva računa i
ostalih podataka za pristup online bankovnim računima. Te povjerljive informacije Zeus je
slao hakerima koji su pomoću tih podataka neovlašteno prenosili novčana sredstva s računa
žrtava. Zeus trojanski konj širio se jednako među individualnim korisnicima kao i poslovnim
korisnicima.
3.1.4. Curenje podatakaDruštvene mreže su stvorene kako bi korisnici na društvenim mrežama u virtualnom
svijetu dijelili podatke o sebi, pogotovo podatke koji su osjetljive prirode za pojedinca, poput
statusu veze i sl. Ali neki korisnici dijele previše podataka o sebi, pogotovo podataka koji se
tiču svog posla koji rade. Pa tako dijele informacije o svojoj organizaciji, a da pritom ne
pomišljaju o riziku za svoju organizaciju. Korisnici dijele informacije o projektima na kojima
rade, o novim proizvodima, financijskim transakcijama i sl. Svaka takvo dijeljenje takvih
informacije, ma koliko ona se činila nedužnima mogu dovesti do velikih šteta za organizaciju,
kako financijskih tako i ugleda same organizacije na tržištu.
3.1.5. Skraćivanje linkovaKorisnici na društvenim mrežama kao i same društvene mreže za dijeljenje linkova
koji vode do neke vijesti na informativnom portalu ili slično koriste servise za skraćivanje
takvih linkova. Uobičajeno je da takvi linkovi na informativnim portalima su dosta dugački i
nepregledni, stoga je zgodno skratiti ih tako da je takvim linkovima lakše manipulirati,
pogotovo na društvenoj mreži Twitter na kojoj je postavljanje postova ograničeno s brojem
znakova. Korisnici za skraćivanje takvih linkova koriste servise poput bit.ly, goo.gl ili slično.
Npr. tako skraćeni linkovi se sastoje od osnovice „goo.gl“ i dodatka od 6 na više znakova
engleske abecede, te je nemoguće korisniku pretpostaviti na koji portal će ga taj link odvesti.
Stoga je lako moguće da se iza takvog linka krije poveznica koja vodi do prijetnje poput
računalnog crva ili slično.
21 https://en.wikipedia.org/wiki/Trojan_horse_(computing)
15
3.1.6. Botnet-sBotnet-s22 je mreža računala međusobno povezana na internetu koja međusobno
komuniciraju i međusobno koordiniraju zajedničke akcije. Takva mreža računala koriste
napadači u svrhu slanja mnoštva neželjene pošte (spam), ili DDOS napada. Mnoga takva
računala u Botnet-s mreži su tzv. zombi računala, to su računala na koja je instalirana
aplikacije bez znanja i dozvole vlasnika, takve aplikacije na zombi računalima instalirane su
pomoću trojanski konja, virusa ili sličnih neželjenih aplikacije. Standardna komunikacija i
upravljanje takvim računalima je pomoću IRC kanala ili ostalih aplikacija poput P2P. Ali u
novije vrijeme napadači koriste korisničke račune društvenih mreža, poput Twitter-a. Twitter
intenzivno radi na zatvaranju takvih korisničkih računa, ali zbog lakoće pristupa takva praksa
će se zasigurno nastaviti.
3.1.7. Advanced persistent threatAdvanced persistent threat23 je skup tajnih i neprekidnih procesa računalnih hakiranja.
Advanced persistent threat često za ciljeve za napade koriste organizacije i nacije radi
poslovnih i političkih motiva. Advanced persistent threat je proces hakiranja koji koristi
softicirane tehnike pomoću zlonamjernih programa za iskorištavanje ranjivosti mete, zahtjeva
visoki stupanj pokrivenosti odabrane mete tijekom dužeg vremenskog perioda, kontinuirano
praćenje i skupljanje bitnih podataka.
Advanced persistent threat je proces koji prolazi kroz ove korake: Definiranje cilja napada
Pronalaženje i organiziranje pomagača u procesu
Izgradnja potrebnih alata
Istraživanje infrastrukture i zaposlenika cilja
Testiranje nedostataka
Deployment
Početni upadi
Uspostava vanjskih konekcija
Poširivanje pristupa i dobivanje kredibiliteta
Jačanje uporišta
Izvlačenje podataka
Skrivanje traga i ostati neotriven
22 https://en.wikipedia.org/wiki/Botnet23 https://en.wikipedia.org/wiki/Advanced_persistent_threat
16
Društvene mreže pružaju prijetnji Advanced persistent threat-u ogroman izvor
podataka. Pomoću društvenih mreža napadači skupljaju podatake koje korisnici samostalno i
samovoljno dijele, a da pri tome uopće na pomišljaju na rizik kojemu su izloženi. To je rizik
kojemu su izloženi kao pojedinci, da se njima direktno nanese šteta. Isto tako to je rizik da
kao pojedinac koji je član neke organizacije da bude nesvjesno prijetnja cijeloj organizaciji.
Tj. da nesvjesno djeleći podatke o sebi, ili poslu koji radi na društvenim mrežama postane
meta, kako bi se naštetilo cijeloj organizaciji. Na taj način, preko pojedinca potencijalni
napadači dolaze do svog glavnog cilja, a to je sama organizacija u svrhu da se njoj nanese
šteta, krađom podataka, pristupa osjetljivim informacijama, pristup financijama ili šteta
uništenja informacijskog sustava, koji je ključan za funkcioniranje organizacije. Takve štete
mogu napraviti nepopravljivu štetu za organizaciju, pa tako pojedine organizacije prestaju s
radom. Osim materijalne štete, krađa podataka, uništenje informacijskog sustava, nastaje i
nematerijalna šeta poput gubitka povjerenja klijenata.
3.1.8. Lažno predstavljanjeDruštvene mreže su virtualni svijet u kojem korisnici virtualno razmjenjuju informacije,
međusobno komuniciraju i sl., stoga je vrlo lako se lažno predstavljati. Lažno se predstavljati
za neku drugu osobu ili organizaciju, dijeliti lažne informacije, slike i sl., a sve u cilju
prikupljanja većeg broja prijatelja ili sljedbenika. Vrlo je lako predstavljati se za neku
popularnu osobu, poput pjevača, glumca ili sl., i skupljati puno like-ova, sljedbenika, prijatelja
i sl.. Vrlo je popularno da i sami obožavatelji popularne osobe, glumca ili sl. naprave profil o
toj osobi na društvenoj mreži u cilju da komuniciranja s ostalim obožavateljima, objavljujući
slike, pjesme i sl., stoga korisnik na društvenoj mreži je čak i svjestan da se ta osoba lažno
predstavlja, ali svejedno postaje pratitelj i prijatelj s takvim profilom. Stoga zlonamjerni
napadači vrlo lako mogu dobiti povjerenje korisnika društvenih mreža, pogotovo kad se radi
o popularnom pjevaču ili se organizira potpora pojedinom događaju ili osobi. Odnosno takvi
profili često su i meta takvih zlonamjernih napadača da preuzmu takve profile. Cilj
zlonamjernih napadača je da se skupi što više sljedbenika i prijatelja, kako bi se stvorio što
veći krug korisnika društvenih mreža. Takvi profili služe za prikupljanje informacija o
korisnicima društvenih mreža radi preuzimanje njihovih profila, a sve u svrhu nanošenja šteta
samim korisnicima društvenih mreža ili trećoj strani, a to su organizacije. Pomoću takvih
profila zlonamjerni napadači šire zlonamjerne aplikacije poput, računalnih crva, trojanskih
konja, ili Phishing-a.
17
3.1.9. PovjerenjeZajednička značajka svim navedenim prijetnjama je ogromno, neograničeno
povjerenje korisnika prema društvenim mreža, prema svojim prijateljima i sljedbenicima. U
stvarnom svijetu čovjek je socijalno biće, i u njegovoj naravi je da se druži i da stječe
poznanstva i prijatelje. Pravi prijatelji su ti koji će ti pomoći u teškim situacijama kada ti je
neophodna pomoć poput teške bolesti, prirodnim nepogodama poput poplave, požara i sl.
Društvene mreže su virtualni svijet u kojem korisnici društvenih mreža imaju prijatelje iz
stvarnog svijeta, ali i stječu prijatelje s obzirom na zajednički interes, poput zajedničkog
hobija ili sporta. Stoga korisnici na društvenim mrežama svojim prijateljima imaju ogromno
povjerenje, te vjeruju prijateljima na svaku poruku, sliku ili link koji se dijeli pomoću
društvenih mreža. Sam korisnik nema spoznaje dali je profil prijatelja hakiran, te dali je neko
drugi preuzeo upravljanje tim profilom i šalje poruke, slike i linkove s zlonamjernim
aplikacijama. Ili je prijatelj samo proslijedio takvu poruku ili link od svog prijatelja ne znajući
stvaran sadržaj u toj poruci ili link-u.
3.1.10. RansomwareRansomware24 je još jedna prijetnji na društvenim mrežama. To je specifična prijetnja
koja je našla pogodno tlo na društvenim mrežama za širenje. Ransomware je zlonamjerni
kod koji šifrira korisničke podatke na korisničkom računalu ili jednostavno zaključava
korisničko računalo, a sve u svrhu kako korisnik ne bi imao pristup računalu ili ga ne bi
mogao koristit. Sama riječ Ransomware sastoji se od dvije komponente Ransom koji znači
otkupnina i Malware što znači zlonamjerni program. I upravo je u toj prvoj riječi opisana
specifičnost Ransomware prijetnje, jer kada se zlonamjerni program zaključa računalo ili
šifrira podatke, isti zlonamjerni program traži od korisnika da otkupi pristup svom računalu ili
podacima. Visina otkupnine nisu relativno velike, kreću se od cca 5-200$, odnosno česta je
uporaba i virtualnih valuta poput Bitcoin-a. Stoga korisniku kojem su kriptirani podaci ili
zaključano računalo u čestim slučajevima itekako je voljan platiti kako bi dobio pristup svojim
podacima ili svojem računalo. Najčešće žrtve su privatni korisnici i male tvrtke, koje svoje
podatke imaju spremljene na lokalnom računalu, i ne rade sigurnosne kopije podataka. U
većim tvrtkama to je toliki slučaj, jer većinu svojih podataka drže na serverima, i dodatno
rade se sigurnosne kopije, iako ni one nisu potpuno isključene. Jedan od uspješnih
Ransomware-a je CryptoWall koji se je pojavio 2014 godine, prema podacima FBI-a iz 2015
god. iznos koji je ukraden iznosi 18 miljuna $.
24 https://en.wikipedia.org/wiki/Ransomware
18
4. Sigurnost na društvenim mrežama u cilju ostvarivanja sigurnosti na ostalim komercijalnim servisima
Kako su društvene mreže postale svakodnevnica u životima milijuna ljudi, koji ih
svakodnevno koriste, kojima su društvene mreže postale dio digitalnog života. Digitalnog
života jer na društvenim mrežama imamo pohranjene sve one informacije iz svakodnevnog
života, slike, poruke i neke ostale informacije, a koje mogu biti povjerljive. To su informacije
koje sadrže osjetljive podatke o našoj privatnosti, informacije o brojevima računa i sl. Kako
na društvenim mrežama postoji veliki broj prijetnji, stoga je vrlo važno da do takvih
informacija na društvenim mrežama ne može bilo tko imati uvid. Odnosno potrebno je brinuti
o sigurnosti korisnika na društvenim mrežama. Sigurnost samih korisnika na društvenim
mrežama potrebno je podignuti kroz edukaciju samih korisnika, tj. potrebno je korisnike
educirati i dati mogućnost da vlastite objave i informacije dijele na odgovoran način, da
pojedine informacije ne budu podijeljene svima javno i svima dostupne. Potrebno je educirati
korisnike na način da prijateljstva na društvenim mrežama o ostalim korisnicima uzimaju
ozbiljno s obzirom na povjerljivost. To je prvi vektor sigurnosti koju društvene mreže moraju
provoditi radi sigurnosti svojih korisnika, drugi vektor sigurnosti je da korisnici imaju dovoljno
pouzdane korisničke podatke i pristupne lozinke za pristup svojim računima na društvenim
mrežama. Isto tako potrebno je korisnicima društvenih mreža osigurati da ukoliko svoje
korisničke podatke poput korisničkog imena i lozinke u slučaju da su zaboravljene, da postoji
pouzdan mehanizam za oporavak i povrat tih korisničkih podataka. Za pristup društvenih
mreža potrebna je valjana elektronička pošta. Ukoliko je zlonamjernom napadaču uspjelo da
provali u elektroničku poštu, onda je narušena i sigurnost društvene mreže kroz mehanizam
oporavka i povratka korisničkih podataka na društvenih mrežama.
19
4.1. „Honan Hack“Novinar Honan bio je žrtva hakiranja hakera pomoću društvenih mreža, odnosno
glavni cilj hakera bilo je preuzimanje Twitter računa kojim se je koristio novinar. Namjera
hakera je bila preuzimanje Twitter računa i nanošenje štete ugleda novinaru, šaljući
rasističke poruke putem Twitter računa novinara.
Na Twitter profilu novinara hakeri su pronašli elektronsku poštu s kojim je novinar
prijavljen na društvenoj mreži Twitter. To je elektronska pošta Google usluge G-mail. Imajući
taj podatak hakeri su prišli radnji probijanja G-mail elektronske pošte. Kroz mehanizam
povrata i obnove korisničkih podataka G-mail servisa hakeri su saznali da elektronska pošta
za slanje kopija pošte je .me elektronska pošta. Podatak da je Elektronska pošta .me servisa
tvrtke Apple postavljena kao elektronska pošta za slanje kopija elektronske pošte, pristup
mehanizmu povrata i obnove korisničkih podataka za taj servis potrebno je samo zadnja
četiri broja kreditne kartice i adresa na koju se šalju računi.
Kako bi dobili zadnja četiri broja kreditne kartice novinara, hakeri su izveli
doista jednostavno smiješan napad na amazon.com servis, koji služi za prodaju artikala
putem web trgovine. Hakeri su nazvali korisničku službu i dodali novu kreditnu karticu na
profil novinara na amazon.com web trgovine, predstavljajući se kao novinar, identificirajući se
njegovim imenom i adresom na koju se šalju računi. Kako je broj lažne kreditne kartice
dodan na račun novinara na amazon.com, hakeri su sljedećim pozivom dodali novu adresu
elektronske pošte identificirajući se putem broja lažne kreditne kartice, a koju su hakeri u
prijašnjem pozivu dodali na račun novinara na amazon.com servisu. Kako je račun novinara
na web trgovini amazon.com bio već u velikoj mjeri kompromitiran dodajući im lažan broj
kreditne kartice i nove adrese elektronske pošte, hakeri su još samo trebali resetirati lozinku
za pristup Amazon računu. Resetiranje lozinke web trgovine Amazon računa novinara hakeri
su napravili kroz mehanizam povratka i obnove korisničkih podataka, na način da je link za
resetiranje poslan na novu adresu elektronske pošte koju su hakeri dodali na račun web
trgovine Amazon račun novinara. Resetiranjem lozinke pomoću linka za resetiranje hakeri su
resetirali lozinku i imali puni pristup računu novinara na web trgovini amazon.com. Pristupom
računu na web trgovini amazon.com hakeri su dobili uvid u sve informacije na tom računu,
što je novinar kupovao i sl, kao i zadnja četiri broja kreditne kartice.
Kako su hakeri imali zadnja četiri broja kreditne kartice na računu web trgovine
amazon.com, hakeri su prišli hakiranju Apple-ovog servisa .me. Hakeri su nazvali Apple
korisničku službu, te se identificirali kao novinar na način da su dali podatke zadnja četiri
broja kreditne kartice i adresu na koju se šalju računi. Apple-u je to bilo dovoljno za
20
verifikaciju identiteta, te su dali hakerima privremenu lozinku za pristup .me servisu.
Privremenu lozinku korisnička služba vjerujući da je to novinar, hakerima je dala verbalno.
Imajući privremenu lozinku za pristup .me servisu, hakeri su istu promijenili da dobiju stalnu
lozinku .me servisu kao i AppleID-u. Imajući pristup .me servisu i AppleID-u, hakeri su imali
pristup svim uređajima koje koristi novinar poput IPhone, IPad, MacBook kao i servisu Icloud
i sl.
Imajući tako pristup .me servisu hakeri su kroz mehanizam povrata i oporavka
korisničkih podataka resetirali lozinku za G-mail uslugu, te preuzeli kontrolu nad G-mail-om.
Sljedeći korak bio je resetiranje lozinke korisničkog računa na društvenoj mreži Twitter,
postupak je bio isti kao i resetiranje lozinke za G-mail. Isto tako hakeri su mogli kroz
mehanizam povratka i oporavka korisničkih podataka zauzeti kontrolu nad korisničkim
računima novinara na ostalim servisima, poput Facebook-a, LinkedIn-a, pristupa bankovnim
računima, pa i servisima koji su vezani za posao poput Dropbox-a i sl.
Ono što su učinili hakeri su izbrisali sve podatke na uređajima Iphone, Ipad i
MacBook, tako su novinaru hakeri u jednom satu izbrisali cjelokupni digitalni digitalni život25.
Tijek samog hakiranja bio je jako brz. Tako je:
16:33 prema zapisu u Apple-u hakeri su nazvali tehničku podršku, predstavljajući se
kao novinar tvrdeći da ne može pristupiti .me računu. Apple je hakeru dao privremenu
lozinku, iako nije odgovorio na postavljena sigurnosna pitanja.
16:50 stigla je elektronska pošta s potvrdom o resetiranju lozinke u .me servis. Kako
novinar i ne koristi svakodnevno taj servis i jako rijetko ga provjerava za novu elektronsku
poštu. Čak i da provjerava redovno pristiglu elektronsku poštu, haker je tu elektronsku poštu
poslao u smeće, i na taj način je jako teško na vrijeme vidjeti takvu poruku i uvidjeti korisniku
da se nešto događa.
16:52 došao je G-mail elektronska pošta u .me poštanski sandučić s linkom za povrat
i oporavak korisničkih podataka, dvije minute kasnije stigla je potvrda o promijenjenoj lozini
za pristup G-mail računu.
17:00 haker je koristeći Icloud kroz alat „Find My“ s udaljene lokacije obrisao sve
podatke na iPhone-u novinara, kao i kroz isti alat obrisani su iPad i MacBook.
17:02 Twitter lozinka je resetirana i postavljena je nova lozinka, nakon toga hakeri su
obrisali i G-mail račun.
25 http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/
21
Slika 3. Slikoviti prikaz Honan Hack-a26
Nakon što su hakeri obrisali sve podatke s iPhone-a, iPad-a i MacBook-a, kao i
obrisali G-mail račun, ne samo da su imali mogućnost kontrole računa, već su spriječili da
novinar povrati pristup. Hakeri su izbrisavši sve to napravili štetu novinaru, nažalost
sigurnosne kopije podataka nisu rađene izvan tih uređaja i usluga, stoga je obrisano
doslovno sve. Obrisane su sve fotografije, fotografije svoje obitelji, novorođenog djeteta,
članova obitelji koji su preminuli, kao i ostalih podataka, poput dokumenata, članaka i sl.
26 http://blog.talkingidentity.com/wp-content/uploads/2012/08/honan_hack1.png
22
Izbrisavši G-mail račun izbrisano je 8 godina elektronske pošte koja je bila na G-mail računu.
Iako brisanje podataka s iPhone-a, iPada i MacBook-a, kao i brisanje G-mail računa i
elektronske pošte nije bio primarni cilj, primarni cilj je bio preuzimanje Twitter računa, ti
podati su izbrisani iz razloga, ne da se nanese takva šteta novinaru, već da se ga spriječi
ponovo preuzimanje svog Twitter računa.
Uvidjevši da nešto ne valja s iPhoneom, jer brisanjem svih podataka iPhone nije bio u
funkciji, a kako je uređaj cijelo vrijeme bi s novinarom bilo je lako uvidjeti da nešto ne valja.
Stoga u 17:10 s novinar je pozvao tehničku službu Apple-a. Razgovor s tehničkom službom
trajao je oko sat i pol. Glavni razlog za to što novinar s tehničkom službom nije mogao riješiti
ništa, bila je kriva identifikacija samog imena novinara od strane Apple tehničke službe.
Tehnička služba Applea je cijelo to vrijeme novinara Honan-a, zamjenom identiteta smatrala
da je to Herman te je cijelo vrijeme tehnička služba gledala krivi .me račun. Stoga novinar
Honan nije mogao se identificirati ni kroz sigurnosna pitanja kao i kroz zadnja četiri broja
kredite kartice i adrese za dostavu računu. Uvidjevši grešku, da cijelo vrijeme tehnička
služba gleda krivi .me račun krive osobe, osobe Herman, a ne Honan, tehnička služba
Apple-a kroz identifikaciju korisnika kroz zadnja četiri broja kreditne kartice i adrese za
dostavu računa identificirala je novinara i povratila mu pristup svom .me računu.
Novinar Honan povratio je pristup i Twitter računu, jako je zanimljivo da ga je jedan
od hakera kontaktirao te je uspostavio komunikaciju s novinarom. U komunikaciji s hakerom
Novinar je saznao način na koji su hakirani računi na Amazonu, Apple-u, G-mail-u i na
posljetku na Twitteru, kako i na koji način su obrisani svi podaci s iPhone-a, iPad-a i
MacBook-a. Prema izjavi samog Hakera, sam razlog hakiranja računa novinara nije bio
prirode nanošenja same štete novinaru, već stjecanje publiciteta. Stjecanje publiciteta samog
Hakera u jednu ruku, ali želja samog Hakera da sigurnosni propusti budu javno prezentirani,
te da se natjera komercijalne servise da uvedu bolje sigurnosne mehanizme kojima bi se
štitili podaci samih korisnika. Isto tako cilj je bio da i sami korisnici uvide sigurnosni rizik
korištenja pojedinih komercijalnih servisa, odnosno povezivanje takvih servisa u lanac.
Povezivanjem komercijalnih servisa u jedan lanac, u kojem se sigurnosni rizik pojedenog
servisa pretvara u sigurnosni propust drugog servisa i tako sve do uspješnog izvođenja
ciljanog napada.
23
4.1.1. Analiza „Honan Hack“Analizu „Honan Hack-a“ potrebno je napraviti kako bi se spriječili takvi i slični propusti
u korištenju društvenih mreža, kao i u korištenju komercijalnih servisa. Analizu treba početi
od najslabije karike, a najslabija karika u „Honan Hack-u“ definitivno je sam Amazon web
trgovina. Na korisnički račun Amazon web trgovine hakeri su jednostavno dodali novu lažnu
kreditnu karticu i to na način da se identificirali pomoću dva podatka Imena i adrese. Ta dva
podatka je jednostavno pronaći o bilo kojoj osobi na internetu, pogotovo na društvenim
mrežama. Kako je podatak o novoj kreditnoj kartici dodan na račun web trgovine Amazon,
hakeri su na temelju te informacije dodali novu informaciju, a to je nova adresa elektronske
pošte. Možemo zaključiti da sigurnosni sustav Amazon-a zakazao već u dva koraka i da ga
je potrebno hitno mijenjati. Na taj način moguće je preuzeti bio koji korisnički račun na
Amazon-u. Isto tako možemo uvidjeti da i sam Apple ima veliki sigurnosni rizik, ono što je
Amazon smatrao da je sasvim sigurno prikazivati zadnja četiri broja kreditne kratice kod
kupnje na Amazonu, Apple je smatrao dovoljno sigurnim da se sam korisnik identificira. Na
taj način je sigurnosni propust jednog komercijalnog servisa postao je sigurnosni propust
drugog komercijalnog servisa. Apsolutna je preporuka i obaveza Amazona i Apple-a da
mijenjaju svoje sigurnosne procedure za identifikaciju korisnika. Da nisu postojali ti
sigurnosni propusti Amazona i Apple-a hakiranje Honan korisničkih računa ne bi uspjelo. Cilj
hakera je bio hakiranje G-mail-a kao bi imao pristup Twitter računu. Sigurnosni rizik Apple-a
tu se prelio na G-mail, i to iz razloga jer je „back up“ elektronska adresa za slanje linka za
resetiranje korisničkih podataka bila postavljena elektronska adresa servisa Apple-a .me.
Kad su hakeri imali kontrolu nad .me elektronskom adresom vrlo lako je bilo resetirati
korisničke podatke za pristup G-mail adresi. Google ima mogućnost postavljanja dodatnog
sigurnosnog vektora za provjeru identiteta, pa tako je moguće postaviti dodatni faktor
identifikacije putem PIN-a. Taj dio krivnje leži na samom novinaru Honan-u, da je dodatni
faktor identifikacije bio postavljen, hakeri ne bi na prvom mjestu došli ni do informacije o
„back up“ elektronskoj adresi za povrat korisničkih informacija za pristup G-mail računu.
Nažalost dodatni vektor identifikacije nije bio postavljen, stoga je od tog trenutka bilo vrlo
jednostavno preuzeti kontrolu bilo koje korisničkog računa Twittera ili druge društvene
mreže, kao i drugih komercijalnih servisa koji su bili povezani s G-mail elektronskom
adresom.
Možemo zaključiti da samo hakiranje Honan Twitter računa proizašlo je od niza
propusta servisa koji su bili međusobno povezani, ali isto tako i propusta od samog korisnika
da pristup, odnosno resetiranje korisničkih podataka bolje osigura. Pogotovo kad je postojala
takva mogućnost na pojedinim servisima. Nažalost korisnici tek kad dožive takvu situaciju,
24
više pažnje posvete zaštiti podataka i samoj sigurnosti na internetu. Također možemo
zaključiti da sami hakeri nisu imali namjeru da naprave neku štetu samom Honan-u, već ima
je bila u prvom redu cilj stjecanja publiciteta, ali i upozoravanje samih komercijalnih servisa
na propuste i prisiljavanje i stih da te iste propuste isprave.
Stoga svi servisi poput društvenih mreža, komercijalni servisi, web trgovine, a i banke
trebale bi koristiti napredne tehnike i metode zaštite svojih korisnika. Naravno da takve
tehnike i metode iziskuju dodatni napor i financijska sredstva, ali se na taj sprečava puno
veća šteta koja se može napraviti. Naravno, postoji i pravna prijetnja, a to su milijunske tužbe
od strane samih korisnika, a i kompanija međusobno. Jedan od dobrih primjera je korištenje
dvo vektorska autentifikacije, tj. osim korištenja korisničkog imena i lozinke, korištenje
generičke lozinke koja se šalje na mobilni telefon i sl.. Naravno, niti jedan sustav nije
apsulutno siguran, ali takav sustav je sigurniji i samim time se smanjuju napadi, jer za
provođenje takvih napada potrebno je puno više znanja i vremena. A samo vrijeme je bitan
faktor, tj. samim korisnicima, a i poslovnim subjektima daje određeno vrijeme da uvide da se
dešava napad i taj napad na vrijeme spriječe.
25
4.2. Opasnosti „Etičkog hakiranja“„Honan Hack“ možemo dijelom svrstati u grupu „Etičkog hakiranja“, naravno „Honan
hack“ je prozračio štetu novinaru Honanu, ali isto tako hakeri su upozorili na propuste
komercijalnih servisa Amazon i Apple. Hakeri pa i sam novinar javno su objavili na koji način
se samo hakiranje odvijalo, takvo javno objavljivanje načina na koji je samo hakiranje
napravljeno imalo je za cilj da se kroz javni medij prozovu sami servisi, i na taj način sami
servisi uvide sigurnosni rizik i da taj rizik isprave. Takva praksa je dobra, u dijelu da se same
servise primora da brzo reagiraju, ali postoji negativna posljedica je ta da sada svi imaju
znanje na koji način je moguće napraviti hakiranje i preuzimanje nečijeg računa na Twitteru,
G-mail-u i sl. Posebno je opasnost da su te informacije dostupne hakerima koji imaju cilj
stvaranje veće štete, pa čak i za postizanje terorističkih napada.
U današnje prijetnja terorističkih napadima postala je stvarnost u svakodnevnom
životu, sama prijetnja nije više nešto što se događa u trećem svijetu, ili na drugom kontinentu
npr. u Americi i sl.. Teroristički napadi su postali ozbiljna prijetnja i Europskoj Uniji, i svi smo
svjedoci nedavnih terorističkih napada u Parizu i Bruxellesu. Ti napadi izvršeni su na način
da su napadači fizički izvršili pucnjave i postavljanje bombi, jedan od ciljeva koji nisu uspjeli
bila je nuklearna elektrana u Belgiji. Eksplozija bombe u takvoj nuklearnoj elektrani imala bi
posljedicu ne samo za Belgiju, veći za cijelu Europu, u materijalnom smislu kao veliki broj
direktnih ljudskih žrtva, ali i kroz niza godina radijacije. Također samo svjedoci da ti isti
teroristi koriste društvene mreže za komuniciranje, promoviranje i prikupljanje podataka o
osobama za ostvarivanje terorističkih napada. Stoga je samo pitanje vremena kada će se
sami teroristički napadi izvoditi se korištenjem društvenih mreža, radi umetanja računalnih
virusa i sl. u svrhu nanošenja štete pa i ubijanja. „Honan hack“ je odličan način na koji se
može preuzeti korisnički računi na komercijalnim servisima poput G-mail-a, Dropbox-a,
Facebook-a i sl., npr. osobe koja radi u nuklearnoj elektrani i radi na održavanju nuklearne
elektrane. Preuzimanjem tih računa hakeri u te račune mogu vrlo lagano sakriti računalnog
crva poput „stuxnet-a“27. Na taj način hakeri bi zarazili prvo osobno računalo, nadalje
prenošenjem podataka pomoću prijenosnih usb memorije, vrlo lako se može zaraziti
računala u nuklearnoj elektrani. Odnosno krajnji cilj Stuxnet računalnog crva je napad na
industrijske sustave kontrole i upravljanja industrijskih postrojenja, u ovom slučaju sustave
kontrole i upravljanja nuklearnom elektranom. Preuzimanjem kontrole i upravljanja nuklearne
elektrane pomoću takvog računalnog crva, posljedice za nuklearnu elektranu bile bi kobne.
Preuzimanjem sustava kontrole i upravljanja nuklearnom elektranom moguće je dovesti do
27 https://en.wikipedia.org/wiki/Stuxnet
26
same eksplozije. Tako za sva živa bića u blizini nuklearne elektrane, kao i posljedice za cijeli
europski kontinent bili bi devastirajući. Stoga je vrlo neophodno za sigurnost na društvenim
mrežama, na komercijalnim servisima, u ovom slučaju i sigurnost samih radnih organizacija,
industrijskih postrojenja potrebno je uzeti ozbiljno, jer posljedice mogu biti katastrofalne.
4.3. Sigurnost društvenih mreža i komercijalnih servisa u Republici Hrvatskoj
Zadnjih godina u Republici Hrvatskoj pojavile su se prijetnje, odnosno napadi na
banke. Ti napadi nisu bili usmjereni direktno na poslužitelje banaka, odnosno krađu podataka
i transfer novaca s računa Banaka. Već ti napadi su ciljali korisnike, tj. korisnička računala
koja su koristila Internet bankarstva. Posebno su toj prijetnji bili izloženi poslovni korisnici, jer
privatni korisnici Internet bankarstva su za verifikaciju u Internet bankarstvu koriste token,
koji generira APPLI1 broj, odnosno lozinku za pristup Internet bankarstvu. Jednom kada je
privatni korisnik logiran na Internet bankarstvo, za svaku transakciju potrebno je pomoću
tokena iz generirati APPLI2 broj. Taj način uporabe je dosta siguran. A kod poslovnih
korisnika princip je donekle sličan, tj. postoji dvo faktorska autentifikacija, ali pomoću USB
stikova ili pametnih kartica. Kako bi poslovni korisnici koristili Internet bankarstvo, potrebno je
priključiti na računalo USB stik ili pametnu karticu, i identificirati se s jednokratnom lozinkom
koju smo postavili kod same instalacije USB stika ili pametne kartice, te korisnik može
započeti s radom. Takva metoda je izložena napadima tzv. "man-in-the-middle“ 28, kojom se
kompromitira sigurnost korisničkog računala, te se iznutra nadgleda, presreće i mijenja
komunikacija, odnosno izvršavaju radnje i nalozi napadača, a ne stvarnog korisnika
računala. Tako imamo primjere poslovnih korisnika kojima se s računa skinulo na tisuće
kuna, a da stvarni korisnik nije imao nikakvo znanje ni nadzor da se s njegovog računala
pristupa Internet bankarstvu i vrše transakcije. Naime navike korisnika nakon uporabe
Internet bankarstva nije bila uzimanje van USB stik ili pametnu karticu iz računala nakon
uporabe Internet bankarstva, odnosno u najčešćim slučajevima USB stik i pametna kratica
su stalno bili na računalo priključeni. Štoviše, takva računala se nisu koristila samo za
Internet bankarstvo, već za svakodnevne poslove, pa i za privatnu zabavu, što rezultira
velikim rizikom zaraze, putem društvenih mreža, mail-a i sl. Takvo korisničko računalo koje je
se zarazilo virusom ili trojanskim konjem poput „Zeus-a“, skupljao je informacije o samim
28 http://www.tportal.hr/gadgeterija/tehnologija/338635/Tko-je-kriv-za-hakerske-napade-banke-ili-korisnici.html
27
navikama korisnika, te je na taj način generiralo potrebne informacije za uspješan napad.
Nakon prikupljenih informacija, zlo namjerna aplikacija je zadavala novčane transfere u
onom iznosu koji je bio specifičan za tog korisnika, te na taj način sam korisnik, a ni banka
nisu mogli primijetiti da se radi o neovlaštenom transferu novaca. Štoviše, transferi su rađeni
i u vrijeme kada je to bilo teško primijeti, poput pred sam kraj radnog vremena i sl.
Takav sličan scenarij dogodio se Zavodu za javno zdravstvo Šibensko-Kninske
županije, kojemu je skinuto s računa nekoliko stotina tisuća kuna, a novac je bio uplaćen na
privatni račun u njemačkoj 29. Transakcija se je dogodila pred kraj radnog vremena oko 15:00
sati, ali pukom srećom djelatnici su otkrili takvu transakciju, i banka je stopirala takvu krađu
novaca. Žrtva takvih napada bila je i tvrtka u Velikoj Gorici, „Gradsko stambeno
gospodarstvo Velike Gorice“, s čijeg računa je u Zagrebačkoj Banci nestalo oko 610 tisuća
kuna. Iz „Gradsko stambeno gospodarstvo Velike Gorice“ tvrde da su koristili sve standarde i
preporuke za zaštitu, tj. koristili su zadnju verziju antivirusnih definicija virusa, kao i
preporuku banke da nakon korištenja se izvadi USB stik ili pametna kartica. Naravno, banka
„pere ruke“ od svega, jer tvrde to nije njihova krivica, jer nisu napadnuti njihovi serveri i
računi, već je napadnuto i zaraženo računalo korisnika, koji nije u vlasništvu banke. Naravno
da se korisnici s tim ne slažu, pogotovo oni koji su koristili zaštitu i preporuke banaka. S
obzirom da je sustav zaštite bankarskih transakcija koji korisnik ima implementiran na svom
računalu je u vlasništvu same banke, kao i način na koji se pristupa transakcijama. Te je
sustave sama razvila ili su to učinili oni koje je angažirala u tu svrhu. Banke su nikako ne
mogu prebaciti svu krivicu na same korisnike. S obzirom da to nisu bili izolirani slučajevi, već
je takvih slučajeva bilo dosta više, i kod ostalih banaka, banke su primorane na
implementaciju i nadogradnju samog sustava.
Nadogradnja sustava Internet bankarstva započela je tek nakon što je
mnogima s računa ukraden novac, i nakon što su mnogi najavili sudske tužbe. U početku su
banke počele pratiti za svaki proslovni subjekt transakcije, te telefonskim pozivom
provjeravale svaku neobičnu i sumnjivu transakciju. Naravno, da je takav način iziskivao
velike resurse same banke, a i pri tome se je i iritiralo same klijente banke. Štoviše, takav
princip ostao je i do danas, doduše u manjoj mjeri. Tako su banke uvele novi način pristupa
Internet bankarstvu i transakcijama, a to je uz korištenje USB stika i pametne kartice, koristi
se i m-token. M-token koristi se za potvrdu i izvršenje same transakcije, jer aplikacija m-
token iz generira APPLI2 broj, koji se upisuje u Internet bankarstvo za provedbu transakcije.
A i sama aplikacija nije instalirana na računalo već na pametni telefon, tj. na drugi uređaj, te
je ta taj način podignuta dodatno sama sigurnost Internet bankarstva.
29 http://www.jutarnji.hr/vijesti/crna-kronika/zavodu-za-javno-zdravstvo-umalo-ukrali-par-stotina-tisuca-kuna/795052/
28
5. Napadi i sigurnost u praksiU prijašnjim poglavljima opisane su društvene mreže koje su u današnje vrijeme
najpopularnije, to su društvene mreže koje okupljaju najviše korisnika. Isto tako opisane su
opasnosti koje vrebaju korisnike na društvenim mrežama. To su opasnosti koje svakodnevno
su prisutne, i svakodnevno prijete sigurnosti samih korisnika društvenih mreža, kao i
poslovnih subjekta. Opisan je „Honan hack“ u kojem je hakiranje izvršeno na način da su
hakeri, pomoću društvenih mreža, kao i ostalih komercijalnih servisa koji su bili povezani
međusobno u lancu. U kojemu jedan sigurnosni propust jednog od komercijalnog servisa
postaje sigurnosna prijetanja ostalih komercijalnih servisa i tako svih komercijalnih servisa u
lancu, kao i društvenih mreža što je u tom slučaju bio i cilj samih hakera. Opisani „Honan
Hack“ u kojem su hakeri preuzeli kontrolu nad Twitter računom, kao i G-mail-om, Apple
računom i Amazon računom, izvršen je na način da su hakeri iskoristili sigurnosne propuste
u identifikaciji samog korisnika, kao i u mehanizmu oporavka i povratka korisničkih podataka
za pristup komercijalnim servisima. Analizom samog hakiranja možemo utvrditi da za samo
hakiranje nije bilo potrebno znanje na koji način su sami komercijalni servisi dizajnirani.
Haker za izvođenja hakiranja nije bilo potrebno istraživanje za popustom u samim web
aplikacijama komercijalnih servisa, tj. u greški dizajniranja koda web aplikacija. Komercijalni
servisi, poput Gmail-a, Amazona, Apple-a kao i društvenih mreža, su zapravo web aplikacije
koje su dizajnirane u nekim od programskih jezika, poput PHP-a, ASP-a, HTML-a, Jave i sl.
Takve web aplikacije da bi funkcionirale optimalno i mogle opsluživati veliku količinu
korisnika, za spremanje svojih podataka koriste relacijske baze podataka, poput My SQL-a,
Oracle baze podataka, MS SQL-a i sl. Kako su te web aplikacije složene, tj. sadrže veliku
količinu kod-a, postoji velika vjerojatnost da kod izrade takvih web aplikacija potkrala greška.
Greška koju potencijalni napadač može iskoristiti za napad, tj. za krađu podataka i nanošenje
same štete komercijalnom servisu. Jedna od takvih opasnosti za web aplikacije koje koriste
baze podataka za spremanje podataka, je tehnika koja se koristi za zaobilaženje sigurnosne
provjere korisnika i izvlačenje podataka iz same baze podataka. To je SQL injection tehnika.
29
5.1. SQL injectionSQL injection je u današnje vrijeme jedna od mnogih tehnika napada na web sjedišta
s kojih napadači žele ukrasti podatke i/ili nanijeti štetu organizacijama, komercijalnim
servisima, kao i društvenim mrežama.
To je vrsta napada koja koristi greške u kodiranju web stranica koje svoje podatke
skladište u bazama podataka. Web aplikacije omogućuju posjetiteljima slanje i primanje
podataka iz baze podataka, baze podataka su srž modernih web aplikacija. U baze podataka
se spremaju svi podaci koji su potrebni za rad web aplikacija, tako kod posjete web aplikacije
od strane korisnike iz baza podataka se dohvaćaju podaci koji se prikazuju putem web
aplikacije korisniku, odnosno putem web preglednika. Podaci koji se dohvaćaju putem web
aplikacije mogu biti od velike važnost, odnosno značaja, pogotovo ako dospiju u ruke onih
koji ih mogu zlorabiti. Pa tako podaci mogu biti korisnička imena, lozinke, brojevi računa,
financijski izvještaji, brojevi računa, statistike kompanije i sl. Tehnikom SQL injection
izbjegava se autentifikacija i autorizacija korisnika pa tako zlonamjerni posjetitelj može
preuzeti kontrolu nad bazom podataka, tj. dobiti neovlašteni pristup, mijenjati podatke i/ili
brisanje podataka. SQL injection je tehnika kojom se putem web aplikacije, odnosno forme
za autorizaciju i autentifikaciju, unosi konstruirani SQL upit. Konstruiranim SQL upitom
napadač komunicira s bazom podataka na način da baza podataka vraća podatke na
postavljeni upit. Pa tako baza podataka može vratiti popis korisnika iz tablice „korisnici“, još
ako se u tablici korisnici nazale korisnička imena i lozinke napadač ima sve informacije o
svim korisnicima i njihovim podacima za logiranje na web aplikaciju. Ako se radi o bazi
aplikacije za Internet trgovinu napadač može dohvatiti imena korisnika, adresa, brojeve
računa, brojeva kartica i sl. Ako napadač dođe u posjed tih podataka može načiniti ogromnu
štetu web trgovini, isto tako svi korisnici te web trgovine su ugroženi da će im novac biti
ukraden s bankovnih računa. Osim same krađe podataka napadač može i izbrisati podatke iz
baze podataka, što je još jedan način nanošenja štete.
Slika 4. Karikirani prikaz SQL injection-a
30
5.1.1. Napadi SQL injectionPrijetnja SQL injection metodom je stvarna, a to pokazuju mnogobrojni primjeri.
Primjeri u kojima su zlonamjerni napadači metodom SQL injection ukrali mnogobrojne
povjerljive podatke, podatke o zaposlenima, podatke o tvrtkama i organizacijama. Na web
sjedištu „http://codecurmudgeon.com/wp/sql-injection-hall-of-shame/“ priložen je popis takvih
napada, u kojemu su popisani napadi s metodom SQL injection. Iz popisa se može zaključiti
kako napadi se događaju svakodnevno, i da napadima su podložni ne samo male tvrtke i
organizacije, već i multinacionalne tvrtke i organizacije koje djeluju na svjetskoj razini. Jedna
takva organizacija koja je doživjela napad je WTO (World Trade Organization), odnosno
svjetska trgovinska organizacija. Naravno, svima je još u sjećanju teroristički napad na WTC
(World Trade Centar) 11. rujna 2001. godine, štoviše mnogi se sjećaju što su u vrijeme
napada radili. Isto tako svi smo svjedoci promjena koji su napadi na WTC donijeli. Od
napada na najjaču naciju na svijetu SAD, do ratova na bliskom istoku itd. Svi se možemo
složiti da svijet od toga dana nije bio više isti. Stoga napad na organizaciju kao što je WTO, i
krađa povjerljivih podataka može biti veliki rizik za takvu organizaciju, i nanijeti velike štete.
Štete samoj organizaciji, kako i zemljama članicama te organizacije. Pa čak i izazivanje
samog rata.
Sam napad na WTO30 napravili su članovi hakerske skupine Anonymous31, napad je
izvršen na stranicu ecampus.wto.org koju WTO koristi za on-line tečajeve o međunarodnim
trgovinskim zakonima i drugim međunarodnim trgovinskim pitanjima. Ukradeni podatci
sadrže personalne podatke o zaposlenima u mnogobrojnim zemljama, pa tako i o Brazilu,
Kini, Francuskoj, Indiji, Indoneziji, Pakistanu, Rusiji, Saudijskoj Arabiji, Šri Lanki i Sjedinjenim
Američkim Državama.
Iz baze podataka WTO-a ukradeno je:
Podaci o administratorima – podaci o 58 administratora koji su sadržavali, ime,
prezime, br. Tel. , adrese elektronske pošte, kao i korisničke za logiranje na web
sjedište
Podaci o zaposlenima – korisniče podatke za logiranje, kao i osobne podatke o
zaposlenima poput, imena, prezimena, adrese elektronske pošte, IP adrese,
nazive radnih mjesta, pozicije na radnim mjestima, mjesta na kojima rade i sl.
Podaci o kandidatima – podatke o kandidatima za zaposlenje u WTO.30 http://securityaffairs.co/wordpress/36528/hacking/anonymous-breached-wto-db.html31 https://hr.wikipedia.org/wiki/Anonymous_(skupina)
31
Iz navedenog možemo zaključiti da je nanesena velika šteta WTO-u, krađom tih
podataka zlonamjerni napadač ostvario je pristup web odredištu s administratorskim
pravima, što mu je omogućivalo da napravi još veću štetu. Štoviše javnom objavom tih
podataka omogućeno je ostalima da naprave štetu. Isto tako djelatnici WTO-a javno su
izloženi prijetnji, kako na internatu tako i u stvarnom životu. I mogu biti upotrijebljeni za nove
terorističke napade od strane samih terorista. Stoga je vrlo važno da takve informacije budu
osigurane, i da takvi propusti budu eliminirani.
Iako je WTO organizacija bila svjesna napada, i da su podaci ukradeni, te je
pokrenula saniranje same štete, tj. implementaciju zaštite. Sam haker koji je izvršio napad,
pohvalio se činjenicom, da iako su izvršene dogradnje na sam sustav, da je ponovo izvršio
napad, te da je bez nekakvih dodatnih prepreka uspio ponovo ukrasti podatke. Naravno da je
to ruganje od strane samog hakera na sigurnosni sustav WTO-a, kao i na mogućnost
reakcije u takvim kritičnim slučajevima od strane administratorske službe koja je zadužene
za odražavanje web sjedišta i sigurnost.
32
5.1.2. Metode napada
Napad SQL injection metodom izvodi se putem korisničkog web preglednika, napad
se izvodi na način da web aplikacija ne obradi korisničke podatke na ispravni način, čime se
napadaču omogućuje izmjena konstrukcije pozadinskog SQL upita. Na taj način izmijenjen
SQL upit može se izvršiti s ovlastima komponenti koja je pokrenula SQL naredbu.
Primjer koda SQL upita:
statement = "SELECT * FROM users WHERE name ='" + userName + "';"
Ovaj SQL kod je dizajniran da dohvati zapise određenih korisnika iz table "users",
definirajući varijablu "userName" kod uputa. Umjesto imena korisnika (npr. Pero) može se
upisati dio SQL koda kojim će se moći dohvatiti imena korisnika. Pa tako se može upisati
'or '1'='1
pa će kod SQL upita izgledati ovako:
SELECT * FROM users WHERE name = '' OR '1'='1';
ako se taj kod SQL upita koristi kod autentifikacije ona će biti omogućena jer
validacija
'1'='1'
biti uvijek biti istinita.
Navedenim primjerom zlonamjerni napadač dobiva određene informacije iz baze
podataka, pa tako iz takve baze podataka osim korisničkog imena moguće je izvući i ostale
povjerljive informacije, pa tako i broj kreditne kartice, adresa, lozinke i sl. A osim dobivanja
informacija iz baze podataka moguće i uništavanje podataka iz baze podataka sljedećim
primjerom.
Dodavanjem sljedećeg koda u SQL upit moguće je izbrisati tablicu "users" kao i
dohvaćanje svih informacija o korisnicima:
a';DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't
Dodavanjem gornjeg koda u SQL upit, SQL upit će izgledati ovako:
SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't';
33
5.1.3. "Sljepi" SQL injectionBlind SQL injection je metoda SQL injectona kada web aplikacija ranjiva na SQL
injection, ali rezultati napada nisu vidljivi zlonamjernom napadaču. Primjer takvog napada je
kada SQL injection prisili bazu podataka da procjeni logički upit na uobičajenom
aplikacijskom zaslonu. Primjer web stranice koja prikazuje recenzije knjiga, a pritom koristi
niz za upit za prikaz točno određene recenzije.
Pa bi tako URL te stranice izgledao :
http://books.example.com/showReview.php?ID=5, a upit koji taj URL šalje je
SELECT * FROM bookreviews WHERE ID = 'Value(ID)';
iz kojeg će baza podataka vratiti podatke stranici koje sadrži recenzija knjige pod
brojem id=5. Taj upit se kompletno izvršava na serveru, pa tako napadač ne zna ništa o
imenu baze podataka, tablicama i kolonama u tablicama pa ni string o upitu na bazu
podataka. Napadač vidi smo URL koji vraća broj recenzije knjige.
Ali napadač može izmijeniti URL.
Pa tako URL
http://books.example.com/showReview.php?ID=5 OR 1=1ihttp://books.example.com/showReview.php?ID=5 AND 1=2
rezultiraju s upitom na bazu podataka
SELECT * FROM bookreviews WHERE ID = '5' OR '1'='1';SELECT * FROM bookreviews WHERE ID = '5' AND '1'='2';
Ako nakon upita '1'='1' pojavi prazna stranica ili error stranica kod korištenja
'1'='2' napadač dolazi do zaključka da je navedena web stranica ranjiva na SQL injection
napade. Pa tako napadač može nastaviti s dizajniraim stringovima kao bi izvršio napad i
doznao ostale informacije iz Baze podataka.
34
5.2. Metode za prevenciju SQL injection
5.2.1. Provjera unesenih podatakaTo je metoda kojom se provjeravaju podaci uneseni u formu za unos podataka, kako
bi se izbjeglo unošenje koda za upit na samu bazu podataka. Pa tako provjerava se dali je
unesen jedan navodnik koji se zamjenjuje s sva navodnika i/ili jedna kosa crta s dvije kose
crte. Isto tako provjeravaju se dali je broj unesenih podataka unutar očekivanog broja. Npr.
za korisničko ime bi duljina bila unutar cca 12 znakova, sve preko 12 znakova web stranica
javlja grešku, jer se vjerojatno radi o dizajniranome SQL upitu.
Primjer PHP koda kojim se provjeravaju uneseni podaci32
// funkcija za provjeru unesenih podatakafunction provjera($var) { $var = addslashes(trim($var)); return $var;}
// Filtriranje varijable lozinka$lozinka= provjera($_POST['lozinka']); $query = "SELECT login, lozinka FROM korisnici WHERE login = '$login' and lozinka = '$lozinka' ";
32 http://php.com.hr/18
35
5.2.2. Statički upiti Ova metoda radi na način da se koriste pripremljeni statički upit, a server sam
dešifrira parametre prema potrebi.
Primjer PHP koda koji koristi MySQLi drajver i pripremljenih izraza33:
<?php$username = $_POST['username'];$password = $_POST['password']; // Konektiranje na bazu podataka MySQL$mysqli = new mysqli('localhost', 'user', 'password'); $stmt = $mysqli->prepare("SELECT * FROM korisnici WHERE username = ? AND password = ? LIMIT 1");// Vrednosti promenjivih se šalju na u upit$stmt->bind_param( $username, $password); // izvršavanje upita$stmt->execute(); if($stmt->affected_rows > 0) { // korisnik je logiran} //... // zatvaranje izraza i upita$stmt->close();?>
5.2.3. Najniže privelegijeOvo je metoda kojom se dozvoljavaju određene privilegije bazi podataka. Pa tako
nikako web stranica koja pristupa podacima iz baze podataka ne bi trebala imati "root"
privilegije. Jer "root" privilegije su najvišeg ranga i one napadaču dozvoljavaju da može činiti
što hoće. Isto tako određenim tablicama nije potrebna privilegija za čitanje/pisanje, zabrana
pristupa određenim sistemskim podacima zapisanim u bazu podataka. Ali problem ove
metode je što mnoge web aplikacije pristupaju bazi podataka preko zajedničkog korisničkog
imena i lozinke, tj. web sjedište provjerava samo dali određeni korisnik ima pristup web
stranici, a ne i bazi podataka. Pa tako napadač će uvijek imati privilegije za insert, delete i
update tablice.
33 http://www.salebab.net/sql-injection-sigurnost-php-aplikacija-5-deo/
36
5.2.4. Provjera koda Pristup ove metode je da se provjerava samog koda web stranice. Sam kod stranice
piše čovjek-programer, te tako postoji ljudski faktor greške u kodu, odnosno ispravka koda
kako bi se spriječili sami SQL napadi. Provjeru koda mogu činiti sam čovjek koji će
provjeravati nečiji rad, nikako svoj rad na kodu. Osim čovjeka postoje i skeneri koji skeniraju
sam kod za provjerom i ispravkom samog koda. A osim skenera koji skeniraju sam kod,
postoji i metoda skenera koji skeniraju sam rad web stranice, tzv. Web aplikacija za
skeniranje ranjivosti.
5.2.5. Web aplication gatewayMetoda koja provjerava sam HTML protokol, pa na temelju toga može blokirati SQL
injection na način da će napadaču vratiti stranicu s greškom. Iako ova metoda je
obećavajuća, postoji problem konfiguracije, iznimno je teško konfigurirati da radi na ispravan
način i da blokira ono što treba blokirati, odnosno neblokirana ono što doista se ne bi trebalo
blokirati.
5.2.6. SQL driver proxyMetoda koja radi slično kao i Web aplication gateway, odnosno ima sličnu funkciju.
Samo što presreće API pozive umjesto mrežne konekcije i nadgleda funkcionalne pozive
bazi podataka umjesto HTTP zahtjeve.
5.2.7. MISC metodaTo je metoda Intrusion Detection System (IDS) koja detaktira u mreži moguće
napade. To je inteligentna mreža koja koristi snort aplikaciju. Snort je mrežna aplikacija koja
se koristi za detekciju i prevenciju mrežni napada, pa tako i SQL injection napada. Problem
IDS tehnoligije je što se ne može koristiti SSL, tj enkripcija prometa podacima.
37
6. Zaključak
Društvene mreže su čovjeku kao društvenom biću, koji ima potrebu za socijalizacijom
i komuniciranjem s ostalim ljudima, pružile veliku mogućnost u tome. Pomoću društvenih
mreža čovjek danas može komunicirati s bilo kime na planeti zemlji i u bilo koje doba i to u
realnom vremenu. Društvene mreže su omogućile čovjeku da premosti sve barijere, barijere
među kontinentima, barijere među vremenskim razlikama, barijere nacionalne i vjerske
pripadnosti. Društvene mrežu su čovjeku omogućile razvoj, u pravcu lakše komunikacije,
stjecanja znanja i vještina, stjecanje poznanstava ljudi cijeloga svijeta, širenju ideja i zamisli i
bezbroj ostalih mogućnosti. Društvene mreže omogućile su čovjeku napredak, i zbog toga je
nezamislivo povratak na staro, nezamislivo je funkcioniranje čovjeka bez društvenih mreža.
Društvene mreže koristi veliki broj ljudi na zemlji, i na društvenim mrežama dijeli se
velika količina informacija o samim korisnicima. Te informacije korisnici dragovoljno i bez ičije
prisile dijele s svojim prijateljima. Nažalost, društvene mreže imaju i tamnu stranu, upravo
zbog lakog dijeljenja tih informacija na društvenim mrežama, te informacije mogu biti
dostupne svakome. Zlo namjerni napadač može te informacije iskoristi da napravi štetu
nama, kao i trećim osobama, poput radnih organizacijama u kojima radimo, kao i
komercijalnim servisima i sl. Zato je iznimne važnosti da se društvene mreže kao vektori
napada za ciljane napade uzmu ozbijno, te da se zaštite sami korisnici na društvenim mreža.
Jako je važno da se educira same korisnike o opasnostima na društvenim mrežama, te da
sami korisnici uvide opasnosti i da se na primjeran način koriste društvene mreže, da
informacije koje objavljuju budu dostupne samo odabranim prijateljima u koje imaju
povjerenja, koja poznaju u stvarnom životu. Korisnici moraju posebno biti svjesni da
informacije koje objavljuju na društvenim mrežama, u radnim organizacijama mogu nehotice
radnu organizaciju u kojoj rade dovesti u mogućnost napada od strane zlonamjernih
napadača. Da se nevinom objavom na društvenim mrežama objave neki od provjerljivih
podataka. Isto tako radne organizacije trebale bi educirati same djelatnike o opasnostima, pa
čak i zabrana korištenja društvenih mreža u krugu radnih organizacija. Posebno ako je riječ o
ranim organizacijama u kojima je sigurnost podataka važna od nacionalne sigurnosti. Poput
radne organizacije nuklearne elektrane opisne u diplomskom radu, u kojem bi putem
društvenih mreža zlonamjerni napadači došli do pristupa računalima unutar nuklearne
elektrane te umetanjem računalnog crva „stuxnet“ mogli izazvati fatalne posljedice za samu
nuklearnu elektranu, svih ljudi u neposrednoj blizini nuklearne elektrane, kao i za cijeli
europski kontinent. Takav scenarij bi bio posebno zanimljiv teroristima, kojima je nažalost cilj
izazvati takve ili slične napade, posebno na europskom kontinentu. Opisanim primjerom
38
„Honan Hacka“, potrebno je korisnicima društvenih mreža, komercijalnih servisa ukazati na
prijetnju povezivanja istih u lanac, da sigurnosni propust jednog u lancu može prouzročiti
sigurnosni propust ostalih u lancu. Naravno najveća odgovornost za tu prijetnju leži u samim
komercijalnim servisima i društvenim mrežama, jer jedino oni mogu te prijetnju i otkloniti.
Takve prijetnje se otklanjanju implementacijom viših sigurnosnih standarada. Isto tako
društvene mreže, komercijalni servisi kao i radne organizacije trebaju posvetiti i pažnju o
sigurnosti samih web aplikacija koje koriste, potrebno je uložiti poseban trud u zaštitu istih,
posebno zaštitu od neovlaštenog pristupa bazama podataka u kojima su spremljeni svi
podaci, podaci korisnika, podaci o financijskim izvještajima kao i o bankovnim računima i sl.
SQL injection je tehnika kojom zlonamjerni napadači izvlače podatke iz baza podataka, stoga
je potrebno posebnu pažnju posvetiti i takvim greškama u projektiranju i održavanju istih web
aplikacija, kao i samih baza podataka.
Iz svega navedenog možemo zaključiti da čovjek korištenjem društvene mreže ima
pristup neograničenoj mogućnosti komunikacija, dijeljenja ideja, zamisli i sl., to je osnovni
temelj za napredak samog čovjeka, čovječanstva, gospodarstva. Ali isto tako treba biti
svjestan na prijetnje na društvenim mrežama, prijetnje prema samom korisniku, lokalnoj
zajednici, radnoj organizaciji kao i cijelom čovječanstvu. Iako to zvuči pomalo nevjerojatno,
ali korištenje društvenih mreža potrebno je uzeti s dozom odgovornosti. Odgovornosti prema
sebi, kao i ostalim korisnicima društvenih mreža.
39
7. Literatura[1] Stuart McClure; Joel Scambray; George Kurtz: Haching exposed 7 – Network Security Secrets
& Solutions, The McGraw-Hill Companies, Inc,2012
[2] Luke Welling, Laura Thomson; PHP i MySQL, Razvoj Aplikacija za web, Sams, 2006.
[3] Stuxnet Information and Removal, http://www.stuxnet.net/, lipanj 2014
[4] Techdroids , Facebook and Website Hacking - Be Safe, eBookIt.com, 2014.
[5] Janczewksi, L., Colarik, A. Cyber Warfare and Cyber Terrorism. New York: IGI Global, 2008.
[6] https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/documents/social_networks_used_as_an_attack_vector_for_targeted_attacks_toolset, 15.05.2016
[7] https://en.wikipedia.org/wiki/ARPANET, 15.05.2016
[8] https://en.wikipedia.org/wiki/SixDegrees.com, 15.05.2016
[9] https://en.wikipedia.org/wiki/Six_degrees_of_separation, 15.05.2016
[10] https://en.wikipedia.org/wiki/Myspace, 15.05.2016
[11] https://en.wikipedia.org/wiki/LinkedIn, 18.05.2016
[12] https://hr.wikipedia.org/wiki/Facebook, 18.05.2016
[13] https://en.wikipedia.org/wiki/Facebook, 18.05.2016
[14] http://expandedramblings.com/index.php/myspace-stats-then-now/2/, 18.05.2016
[15] http://highscalability.com/myspace-architecture, 20.05.2016
[16] http://hurvitz.org/blog/2008/06/linkedin-architecture, 25.05.2016
[17] https://www.neuralab.net/facebook-lajka-svoje-servere-i-tehnologiju-cloud-review/, 25.05.2016
[18] https://en.wikipedia.org/wiki/LAMP_(software_bundle) , 05.06.2016
[19] https://hr.wikipedia.org/wiki/Linux, 05.06.2016
[20] https://hr.wikipedia.org/wiki/Apache_HTTP_poslu%C5%BEitelj, 15.06.2016
[21] https://en.wikipedia.org/wiki/Apache_License, 15.06.2016
[22] https://hr.wikipedia.org/wiki/VPN, 15.06.2016
[23] https://en.wikipedia.org/wiki/Phishing, 15.06.2016
[24] https://en.wikipedia.org/wiki/Trojan_horse_(computing) , 10.06.2016
[25] https://en.wikipedia.org/wiki/Advanced_persistent_threat, 12.06.2016
[26] http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/, 15.06.2016
[27] https://en.wikipedia.org/wiki/Stuxnet, 15.06.2016
[28] http://en.wikipedia.org/wiki/SQL_injection, 18.06.2016
[29] http://www.salebab.net/sql-injection-sigurnost-php-aplikacija-5-deo/, 20.06.2016
[30] http://php.com.hr/18, 20.06.2016
[31] http://securityaffairs.co/wordpress/36528/hacking/anonymous-breached-wto-db.html 25.07.016
[32] https://hr.wikipedia.org/wiki/Anonymous_(skupina) 25.07.2016
[33] https://en.wikipedia.org/wiki/Ransomware (15.06.2016)
40
[34] http://www.tportal.hr/gadgeterija/tehnologija/338635/Tko-je-kriv-za-hakerske-napade-banke-ili-korisnici.html (15.06.2016)
[35] http://www.jutarnji.hr/vijesti/crna-kronika/zavodu-za-javno-zdravstvo-umalo-ukrali-par-stotina-tisuca-kuna/795052/ (15.06.2016)
41
8. Skraćenice
SQL - Structured Query Language – računalni jezik za upravljanje s ralacijskim
bazama podataka
RAM - Random Access Memory - memorija s nasumičnim pristupom
PHP – programski jezik prevenstveno namjenjen za programiranje dinamičnih
web stranica
C++ - programski jezik opće namjene za objektno orijentirano programiranje
API – Aplikacijsko Programsko Sučelje
URL - Uniform Resource Locator – je putanja do određenog sadržaja na internetu
VPN - Virtual Private Network – Virtualna Privatna Meža koja spaja udaljena
računa u virtualnu mrežu koristeći javne komunikacije poput interneta.
SMS - Short Message Service – je usluga slanja kratkih tekstualnih poruka do 160
znaka unutar GSM standarda mobilne telefinije.
GSM - Global System for Mobile Communications – najrašireniji standard za
mobilnu telefoniju.
WTO – World Trade Organizaction
WTC – Worl Trade Centar
42
9. Popis slikaSLIKA 1. FACEBOOK PRESTIŽE MYSPACE PO BROJU KORISNIKA 3SLIKA 2. PRIMJER „PHISHING-A“ FACEBOOK STRANICE 14SLIKA 3. SLIKOVITI PRIKAZ HONAN HACK-A 22SLIKA 4. KARIKIRANI PRIKAZ SQL INJECTION-A 31
43
P O T V R D A
kojom se potvrđuje da je student Ivica Čuček izradio diplomski rad pod naslovom
Društvene mreže kao vektori napada za ciljane napade u skladu s zadanim zadatkom,
tezama i pravilima struke.
Mentor:
mr.sc.Marinko Žagar, pred.
Velika Gorica, _______________
44
IZJAVA
Izjavljujem s punom materijalnom i moralnom odgovornošću da sam ovaj rad samostalno
napravio, te da u njemu nema kopiranih ili prepisanih dijelova teksta tuđih radova, a da nisu
označeni kao citati s napisanim izvorom odakle su preneseni.
Svojim vlastoručnim potpisom potvrđujem da sam suglasan da se ovaj moj rad javno objavi
na Internetu.
U Velikoj Gorici, ______________Ivica Čuček
45
