zastita i sigurnos elektronskog poslovanja 1

Sigurnost u e-

poslovanju

Elektronsko poslovanje

1

Ivan Rabrenovic IV1

Sigurnost u e-poslovanju

• Problemi sigurnosti i zaštite podataka su svakako jedna

od najvećih prepreka bržem širenju e-poslovanja.

• Za kriminalce, Internet je stvorio čitav niz novih i

veoma unosnih načina krađe od više od milijardu

korisnika Interneta širom sveta, od proizvoda i usluga

do novca i informacija.

• Manje je rizično krasti on-line, sa bezbedne udaljenosti

i gotovo anonimno.

2


• Internet je otvorena mreža, čija struktura i protokoli ne

pružaju dovoljno bezbednosti i sajber kriminal postaje

sve značajniji problem, i za organizacije i za pojedince.

• On-line prevare sa kreditnim karticama i phishing su

možda najčešći i najpoznatiji oblici kriminala u e-

poslovanju.

• Iako je prosečna vrednost gubitka kod prevara sa

kreditnim karticama po pojedincu relativno mala,

ukupna vrednost je značajna.

3


• Ukupan procenat on-line prevara sa kreditnim

karticama je procenjen na oko 0,9% svih on-line

transakcija karticama, i poslednjih godina je u

opadanju, jer trgovci i izdavaoci kreditnih kartica

unapređuju svoje sigurnosne sisteme.

• Na crnom Internet tržištu se mogu kupiti podaci o

kreditnim karticama, bankovnim računima, e-mail

nalozima, ali i celih identiteta i alata za napade.

• Jedan od najvećih sigurnosnih problema u e-poslovanju

je nemogućnost pouzdanog utvrđivanja identiteta

korisnika.4


• Nije svaki oblik sajber kriminala direktno vezan za

novac – u nekim slučajevima cilj je samo da se naruši

ili blokira veb sajt, a ne direktna krađa novca, robe i

usluga.

• Sajber kriminal protiv e-poslovanja je dinamičan i

menja se sve vreme, sa gotovo svakodnevnim novim

rizicima i oblicima napada, tako da menadžeri moraju

da budu dobro pripremljeni i da prate najnovija

dostignuća u oblasti sistema i tehnika zaštite.

5


• Takođe, u sajber kriminal se sve više i češće uključuju i

države, i sa strane odbrane (posebne jedinice u ovoj

oblasti, kod nas Odeljenje za borbu protiv

visokotehnološkog kriminala), ali i sa strane napada (u

junu 2010. godine je otkriven crv Stuxnet, kreiran od

strane SAD i Izraela, a sa ciljem da napadne Simensove

upravljačke sisteme na centrifugama za obogaćivanje

uranijuma u Iranu; tajni napadi Kine na SAD, itd.).

6


7

Zlonamerni softver

• Zlonamerni sofver (često se zove i malware ili

zlonamerni kôd – malicious code) obuhvata čitav niz

pretnji kao što su virusi, crvi, trojanci (trojanski konji) i

bot-ovi.

• U prošlosti je zlonamerni kod je najčešće korišćen da

samo onesposobi računar i bio je kreiran od strane

usamljenih hakera; sada, međutim, sve češće je rezultat

rada organizovanih grupa sa ciljem krađe osetljivih

ličnih i finansijskih podataka.

8

Zlonamerni softver

• Pretnje često dolaze u sklopu fajlova preuzetih sa

Interneta i ovo je sada jedan od najčešćih načina da se

računar zarazi.

• Autori malware-a takođe sve češće koriste linkove u

okviru e-mailova, koji vode direktno na preuzimanje

zlonamernog kôda ili na veb sajtove koji sadrže

zlonamerni JavaScript kôd.

9

Virusi

• Virus je računarski program koji ima sposobnost da se

umnožava i da se širi na druge fajlove.

• Uz sposobnost umnožavanja, većina računarskih virusa

nosi i “teret” – koji može biti bezazlen i prikazivati

neku poruku ili sliku ili pak vrlo destruktivan (uništava

fajlove, formatira hard disk, ili uzrokuje nepravilan rad

programa).

10

Virusi

Računarski virusi se mogu podeliti u nekoliko kategorija:

• Makro virusi, koji su vezani za određenu aplikaciju, što

znači da virus pogađa samo aplikaciju (kao što su

Microsoft Word, Excel, ili PowerPoint) za koju je

napisan. Kada korisnik otvori zaraženi dokument u

odgovarajućoj aplikaciji, virus se sam iskopira u šablon

(template) aplikacije, tako da svaki sledeći put kada se

kreira novi dokument, on je već zaražen makro

virusom. Lako se šire kada se dokument šalje e-mailom.

11

Virusi

• Fajl-virusi obično inficiraju izvršne fajlove, kao što su

*.com, *.exe, *.drv i *.dll fajlovi. Mogu se aktivirati

svaki put kada se zaraženi fajl izvršava i tada se

kopiraju na druge izvršne fajlove. Takođe se šire putem

e-maila ili prenosom i presnimavanjem fajlova.

• Skript virusi su napisani u nekom skript jeziku, kao što

su VBScript ili JavaScript. Virusi se aktiviraju

jednostavno pozivanjem zaraženih *.vbs ili *. js fajlova.

12

Virusi

• Primer: Černobil (svakog 26. aprila, na dan katastrofe,

obriše prvi megabajt podataka na hard disku (koji čuva

raspored snimanja fajlova), čime svi snimljeni podaci

postaju izgubljeni)

13

Crvi

• Virusi se vrlo često kombinuju sa crvima (worms), koji

se danas češće koriste. Umesto da se širi od fajla do

fajla, crv je napravljen tako da se širi sa računara na

računar tj. nije mu neophodan fajl kao nosilac.

• Crv ne zahteva aktivaciju od strane korisnika ili

programa da bi se umnožavao, a mogu da se vrlo brzo

šire.

• Na primer, Slammer crv, koji je pogađao poznatu

slabost u Microsoft SQL Server softveru za baze

podataka, zarazio je više od 90% ranjivih računara

širom sveta za samo 10 minuta od puštanja na Internet.

14

Trojanci

• Trojanci su na izgled bezazleni, često maskirani kao

besplatan softver, igra, screensaver ili antivirusna

zaštita, ali mogu tajno otvoriti zaraženi računar za

pristup hakerima.

• Sam po sebi nije virus, jer nema mogućnost

umnožavanja, ali je vrlo često način da virusi ili drugi

zlonamerni softver kao što su bot-ovi uđu u računarski

sistem (npr. mogu sadržati program koji krade šifre

korisnika i šalje ih e-mailom na određenu adresu).

15

Trojanci

• U maju 2011. trojanac je napao računare za

administraciju poslovanja u Sony-jevom centru za

PlayStation igre i preuzeo lične i podatke o kreditnim

karticama preko 77 miliona registrovanih korisnika, što

se smatra jednom od najozbiljnijih provala.

• Najpoznatiji trojanac u 2011. god. je bio Zeus.

• Primer: Netsky.P - kombinacija trojanca i crva; širi se

tako što se sam pošalje kao e-mail poruka svim

kontaktima na zaraženom računaru.

16

Bot

• Bot-ovi (skraćeno od robot) su vrsta zlonamernog

softvera koji se tajno instalira na računar kada je na

Internetu. Jednom kada se instalira, bot reaguje na

komande koje mu spolja šalje haker – napadnuti

računar postaje zombi i izvršava naredbe napadača (npr.

šalje e-mailove), bez znanja vlasnika.

• Procenjuje se da je 10% računara u svetu zaraženo bot-

ovima i da se 90% spam poruka u svetu i 80% malware-

a u svetu generiše na ovaj način.

17

Bot

• Botnet je skup „zarobljenih“ računara koji se koriste za

zlonamerne aktivnosti kao što su slanje spama, učešće u

DDoS napadima, krađu informacija sa računara, ili

preuzimanje podataka o Internet saobraćaju za kasniju

analizu.

• Bot-ovi i botnet-i su, pojedinačno gledano,

najznačajnija pretnja Internetu i e-poslovanju, jer se

mogu koristiti za napade velikih razmera i korišćenjem

različitih tehnika.

18

Zlonamerni softver

• Zlonamerni softver je pretnja kako na nivou klijenata

tako i na nivou servera, iako su u principu mnogo bolje

zaštićeni.

• Na nivou servera, zlonamerni kod može da obori ceo

veb sajt, sprečavajući milione ljudi da ga koriste (ali se

ovo relativno retko dešava), ili da iz baze podataka

ukrade podatke o svim registrovanim korisnicima.

• Mnogo češći zlonamerni napadi se dešavaju na

klijentskom nivou, a šteta se može brzo proširiti na

milione drugih računara povezanih na Internet.

19

Neželjeni programi

• Neželjeni programi se samostalno instaliraju na

računaru, obično bez saglasnosti korisnika (ili nesvesne

saglasnosti – „I agree“).

• Adware – obično se koristi za prikazivanje posebnih

pop-up reklama kada korisnik poseti određene sajtove,

može biti dosadan, ali se obično ne koristi za kriminalne

aktivnosti.

• Parazit veb pretraživača – program koji može da prati

i menja podešavanja korisnikovog veb pretraživača, na

primer da menja početnu stranu ili da šalje informacije

o tome koje stranice korisnik posećuje.20

Neželjeni programi

• Spyware – može se koristiti za špijuniranje tj. za

dobijanje određenih informacija i poverljivih podataka

sa napadnutog računara, kao što su tasteri koje je

korisnik pritisnuo (krađa šifara), kopija e-mailova ili

slika ekrana (screenshot, PrintScreen);

21

Phishing i krađa identiteta

• Phishing je svaki on-line pokušaj obmane, sa ciljem da

se od žrtve izvuku poverljive informacije, u cilju

sticanja finansijske koristi

• Phishing napadi obično ne uključuju zlonamerni kôd

već se zasnivaju na prevari i lažnom predstavljanju

• Najpopularnija tehnika za phishing napad je lažni e-

mail („Nigerijsko pismo“)

22


23

24


• Koriste se i drugi oblici, npr. lažno predstavljanje da je

napadač eBay, PayPal ili Vaša banka, koji Vam e-

mailom zahtevaju „verifikaciju naloga“.

• Obično se u e-mailu nalazi link, a klikom na njega

odlazi se na lažni veb sajt (koji je obično identičan tj.

vizuelna kopija originalnog sajta npr. banke - spoofing)

i na kome se očekuje da korisnik unese poverljive

informacije kao što su brojevi bankovnog računa,

kreditne kartice, PIN kodove, šifre, itd, na navodnu

verifikaciju.

25


26


• Svakoga dana se pošalje na milione ovakvih e-mail

phishing napada, i na žalost, neki ljudi budu prevareni

(moguće je koristiti i SMS, obavešenja da ste dobili

neku veliku nagradu...).

• Napadači prikupljene podatke koriste za vršenje

kriminalnih radnji kao što su kupovina robe na Vaš

račun ili podizanje gotovine sa Vaših računa ili za neke

druge oblike „krađe identiteta“ (identity theft)

• Phishing napadi su najbrže rastući oblik kriminala u e-

poslovanju, a najčešće se koriste u oblasti finansijskih

usluga.27

Prevare sa kreditnim karticama

• Krađa podataka o kreditnoj kartici je nešto čega se

korisnici najviše boje pri radu na Internetu.

• Strah da će informacije o kreditnoj kartici biti ukradene

sprečava ili destimuliše mnoge korisnike da vrše on-line

kupovine.

• On-line prevare sa kreditnim karticama su dva puta

češće nego off-line prevare, jer, između ostalog, nije

potrebno lično prisustvo, nema potpisivanja, nije

potreban PIN, itd.

28

Prevare sa kreditnim karticama

• Jedna od čestih prevara je skimming – očitavanje

podataka sa kreditne kartice, i snimanje unosa PIN koda

na bankomatu

• Krađa kartice iz bankomata

• – libanska klopka

29

Uskraćivanje servisa

• „Uskraćivanje servisa“ (Denial of Service - DoS) je

oblik napada u kome napadači preplave veb sajt lažnim

zahtevima koji zaguše veb server sajta i on nije više u

mogućnosti da ostalim korisnicima prikazuje napadnuti

sajt i pruža usluge

• DoS napadi obično za posledicu imaju privremeno

gašenje sajta, tj. korisnici više nisu u mogućnosti da ga

koriste.

• Za poslovne veb sajtove ovi napadi mogu finansijski

biti vrlo negativni jer dok je sajt ugašen nema trgovine

a samim tim ni prihoda.30

Uskraćivanje servisa

• Vrlo često su DoS napadi praćeni ucenjivačkim

zahtevom napadača vlasniku da plati određenu sumu

novca kako bi napad bio prekinut.

• „Distribuirano uskraćivanje servisa“ (Distributed

Denial of Service - DDoS) je oblik napada u kome se

koriste stotine ili hiljade zaposednutih računara (bot-

ova), kako bi se ciljana mreža ili sajt napali sa više

različitih strana i tačaka.

31

Unutrašnji napadi

• Najveće finansijske pretnje poslovnim institucijama

dolaze zapravo iz same institucije.

• Bankarski službenici ukradu mnogo više novca nego

pljačkaši banaka – isto je i u e-poslovanju.

• Neke od najvećih diverzija u e-poslovanju, pružanju

usluga, uništavanja sajtova i diverzija sa ličnim i

finansijskim informacijama klijenata je bile izvršene od

strane zaposlenih, u koje je kompanija imala poverenje i

koji su imali pristup poverljivim informacijama.

32

Unutrašnji napadi

• Posebnu opasnost predstavljaju i bivši zaposleni, pa se

zato vrlo često kada neko iz bilo kojih razloga napusti

posao, menjaju sve šifre u kompaniji sa kojima je on

bio upoznat.

33

Loše dizajniran softver

• Mnoge sigurnosne pretnje dolaze od loše dizajniranog

serverskog i klijentskog softvera, nekada operativnog

sistema, a nekada aplikativnog softvera, uključujući veb

pretraživače.

• Symatec je identifikovao 500 osetljivih tačaka u veb

pretraživačima – 191 u Google Chrome-u, 119 u

Safariju, 100 u Mozila Firefox-u, 59 u Internet

Exploreru – od kojih su neke bile kritične.

34

Sigurnost društvenih mreža

• Društvene mreže, kao što su Facebook, Twitter i

LinkedIn, pružaju hakerima niz mogućnosti za

kriminalne aktivnosti.

• Preko 40% korisnika društvenih mreža je napadnuto

nekim oblikom malware-a.

• Virusi, preuzimanje sajtova, krađa identiteta, aplikacije

sa malware-om, phishing, spam – se takođe mogu naći i

na društvenim mrežama.

35

Sigurnost mobilnih platformi

• Eksplozija mobilnih uređaja koji imaju pristup

Internetu, od iPhone-a i iPad-a do Androida i

BlackBarry-a, je proširila mogućnosti za hakere.

• Mobilni korisnici drže na svojim mobilnim uređajima

(telefonima) mnogo ličnih podataka, uključujući i

finansijske informacije, čineći ih odličnim metama za

hakere

• Malware za mobilne telefone danas je sličan kao i

malware za PC računare: crvi, virusi (često skriveni u

mobilne aplikacije, često i anti-virusne aplikacije),

napadi na servere mobilnih provajdera, itd. 36

Rešenja za probleme sigurnosti

Danas se u principu koriste dve linije odbrane:

• tehnološka rešenja – skup alata, pre svega softverskih,

koji sprečavaju napadače u njihovim namerama,

• pravna rešenja – zakoni, stroga primena propisa u

oblasti sajber kriminala, kompanijski propisi u oblasti

računarske bezbednosti, itd.

37

Rešenja za probleme sigurnosti

• S obzirom da transakcije u e-poslovanju moraju da

putuju Internetom, koji je javna mreža i prenos ovih

podataka uključuje hiljade rutera i servera, smatra se da

najveće sigurnosne pretnje se dešavaju na nivou

Internet komunikacije.

• Postoji više alata koji omogućavaju zaštitu sigurnosti

Internet komunikacija, a osnovna je enkripcija

(šifriranje) poruke.

38

Enkripcija

Zbog mogućnosti da neko zlonameran neovlašćeno prati

komunikaciju koja se odvija preko Interneta i to kasnije

zloupotrebi, u savremenom poslovanju mora postojati

mehanizam koji obezbeđuje:

• zaštitu tajnosti informacija (sprečavanje otkrivanja

njihovog sadržaja),

• integritet informacija (sprečavanje neovlašćene izmene

informacija),

• autentičnost informacija (definisanje i proveru identiteta

pošiljaoca).

39

Enkripcija

• Kriprografija je nauka koja se bavi metodama

očuvanja tajnosti informacija.

• Enkripcija je proces transformacije običnog teksta ili

podataka u šifrovani tekst koji ne može da pročita niko

drugi sem pošiljaoca i primaoca.

• Svrha enkripcije je:

• da zaštiti čuvane informacije,

• da zaštiti prenos informacija.

• Transformacija običnog u šifrirani tekst se vrši uz

pomoć ključa (šifre).

40

Enkripcija simetričnim ključem

• Kod enkripcije simetričnim ključem, i pošiljalac i

primalac koriste isti ključ za šifrovanje i dešifrovanje

poruke.

• Ovaj ključ moraju da međusobno pošalju putem sigurne

komunikacije ili da ga dostave lično.

• Ovaj metod je intenzivno korišćen tokom II svetskog

rata (Enigma).

• Kako bi koristili isti ključ, obe strane ga moraju poslati

preko verovatno nesigurnog medijuma, gde može biti

ukraden i iskorišćen za dešifrovanje poruka.

41

Enkripcija simetričnim ključem

• Ako je tajni ključ ukraden, ceo sistem enkripcije gubi

smisao.

• Savremeni sistemi za enkripciju su digitalni, pa su i

šifre odnosno ključevi korišćeni za

šifrovanje/dešifrovanje digitalne reči (binarne,

sastavljene od niza 0 i 1)

• Jačina savremenog sistema zaštite se meri dužinom

binarnog ključa koji se koristi za šifrovanje podataka

(56, 128, 256 ili 512 binarnih cifara)

42

Enkripcija javnim ključem

• Whitfiled Diffie i Martin Hellman su 1976. godine

predložili novi način šifrovanja podataka nazvan

kriptografija javnim ključem i ovaj metod rešava

problem razmene ključeva.

• U ovom metodu koriste se dva matematički povezana

digitalna ključa: javni i privatni (tajni).

• Privatni ključ čuva vlasnik i on je tajni, dok se javni

ključ slobodno distribuira; oba ključa mogu da se

koriste i za šifrovanje i za dešifrovanje poruka.

43


• Međutim, ključ kojim je izvršeno šifrovanje ne može se

koristiti i za dešifrovanje iste poruke – matematički

algoritmi kojima se vrši šifriranje su jednosmerne

funkcije i ulaz se ne može dobiti na osnovu poznavanja

izlaza.

• Kriptografija javnim ključem je zasnovana na ideji

nepovratnih matematičkih funkcija.

44


45

Originalna poruka

Šifrovana

poruka

Tajni ključ

primaoca

Javni ključ

primaoca

Pošiljalac

Primalac Internet


Međutim, i u enkripciji javnim ključem nedostaju neki

elementi pune bezbednosti:

• ne može se sa sigurnošću utvrditi ko je pravi pošiljalac

(nema autentikacije pošiljaoca),

• ne može se sa sigurnošću utvrditi da li je poruka u toku

prenosa izmenjena (npr. „Buy“ u „Sell“ ili iznos).

46

Hash i digitalni potpis

• Kako bi se proverio integritet i poreklo poruke i

obezbedila provera da poruka nije menjana u toku

prenosa, koriste se hash funkcije, kojima se kreira

„izvod“ poruke.

• Hash funkcija je algoritam kojim se dobija binarni broj

fiksne dužine koji se naziva hash ili izvod poruke;

obično je to složen broj, dužine npr. 128 bitova koji u

sebi sadrži koliko u poruci ima 0 i 1, koliko ima 00 ili

11, itd.

• Hash je jedinstven za svaku poruku.

47


• Hash se šalje primaocu, zajedno sa porukom (naravno,

oba su zajedno šifrovana javnim ključem primaoca u

jedinstvenu poruku); po prijemu poruke (i dešifrovanja

svojim tajnim ključem), primalac primenjuje hash

funkciju na primljenu poruku i proverava da li je

dobijeni rezultat identičan sa dešifrovanim hash-om.

• Ako jeste, to znači da poruka nije menjana.

48


• Neophodan je još jedan korak: da bi obezbedio

autentikaciju poruke, pošiljalac šifruje ceo blok već

šifriranog teksta još jednom, korišćenjem svog tajnog

ključa. Ovim se dobija tzv. digitalni potpis (takođe se

naziva i e-potpis) ili „potpisani“ šifrirani tekst, koji se

sada može poslati preko Interneta.

• Digitalni potpis je blizak ručnom potpisu, jer je

jedinstven pošto bi trebalo da samo jedna osoba

poseduje korišćeni tajni ključ.

49


50

Primalac

Originalna

poruka

Hash

funkcija

„Izvod“ poruke

Javni ključ

primaoca

Tajni ključ pošiljaoca

(digitalni potpis)

Potpisan

šifrovani tekst

Šifrovani tekst

(sa izvodom poruke)

Internet Javni ključ

pošiljaoca Tajni ključ

primaoca Provera

„izvoda“

Autentičan

šifrovan tekst

Digitalni koverat

• Enkripcija javnim ključem je računarski zahtevna i

spora; korišćenje simetričnog ključa je brže, ali ima već

navedeni nedostatak slanja ključa putem nesigurnih

veza.

• Jedno od rešenja je da se za šifrovanje i dešifrovanje

većih dokumenata koristi efikasniji metod simetričnog

ključa, a da se enkripcija javnim ključem koristi samo

za šifrovanje i slanje simetričnog ključa.

• Ova tehnika se naziva digitalni koverat.

51

Digitalni koverat

52

Pošiljalac

Primalac

Originalna

poruka

Simetrični

ključ sesije

Simetrični

ključ sesije

Tajni ključ

primaoca

Javni ključ

primaoca

Šifrovana

poruka

Internet

Diplomatski

izveštaj

Diplomatski

izveštaj

Digitalni

koverat

Digitalni sertifikat

• Međutim, još uvek nije obezbeđena puna bezbednost:

kako možemo da budemo sigurni da su ljudi i institucije

od kojih dobijamo poruke zaista oni za koje se

predstavljaju?

• Digitalni (elektronski) sertifikati, i prateća infrastrutura

javnog ključa (PKI), su pokušaj da se reši ovaj problem

digitalnog identiteta.

53


• Digitalni sertifikat je digitalni dokument koji izdaje

pouzdana, nezavisna institucija, ovlašćena za izdavanje

sertifikata i poznata kao sertifikaciono telo

(certification authority - CA), i on sadrži naziv osobe ili

kompanije, njegov javni ključ, serijski broj digitalnog

sertifikata, datum važenja, datum izdavanja, digitalni

potpis sertifikacionog tela, itd.

• Dakle, osnovni zadatak sertifikata je da poveže javni

ključ sa vlasnikom.

54


55


56

Institucija/

pojedinac Zahtev za

sertifikatom

Dobijeni

sertifikat

Internet Sertifikaciona

tela

Partner u

transakciji (online

prodavac ili klijent)

Digitalni sertifikat:

Serijski broj sertifikata

Verzija

Naziv izdavača

Datum važenja

Naziv subjekta

Javni ključ subjekta

Potpis sertifikacionog tela

Ostale informacije


• U našoj zemlji je 2004. godine usvojen Zakon o

elektronskom potpisu, kojim su propisana sva pravila za

korišćenje elektronskog potpisa i znatno olakšan rad i

proširene mogućnosti e-poslovanja.

• Takođe, u našoj zemlji trenutno postoje četiri

sertifikaciona tela ovlašćena za izdavanje

kvalifikovanih elektronskih sertifikata:

• Privredna komora Srbije,

• Pošta Srbije,

• MUP Srbije, i

• Halcom.57

http://www.digitalnaagenda.gov.rs/FileSystem/SiteDocuments/zakoni/Zakon_o_elektronskom_potpisu.pdf

http://www.pks.rs/Usluge.aspx?tipUslugeID=2

http://www.ca.posta.rs/

http://ca.mup.gov.rs/

http://www.halcom.rs/index.php?section=4

Enkripcija

Za sva do sada navedena rešenja važe sledeća ograničenja:

• ona štite poruke tokom prenosa, ali nisu efikasna u

zaštiti iznutra tj. od strane zaposlenih,

• većina tajnih ključeva se čuva na nesigurnim ličnim ili

službenim računarima i laptopovima,

• ne postoji garancija da je osoba koja koristi računar (i

tajni ključ na njemu) zaista vlasnik računara i ključa

(izgubljen ili ukraden laptop).

58

Obezbeđenje kanala komunikacije

• Najčešći način za obezbeđenje kanala komunikacije je

korišćenje SSL-a (Secure Socket Layer).

• Sigurna sesija na Internetu je ona klijent-server sesija u

kojoj je URL adresa zahtevanog dokumenta, zajedno sa

sadržajem i svim pratećim elementima koji se

razmenjuju, šifrovani.

• Na primer, broj kreditne kartice koja se šalje sa forme

za unos, putem Interneta, do servera e-prodavnice se

šalje šifrovan.

59


Transakcija korišćenjem SSL protokola uključuje sledeće

aktivnosti:

• Server šalje svoj digitalni sertifikat klijentu,

• Klijent proverava da li je sertifikat izdalo neko

sertifikaciono telo; ako ustanovi da nije, pruža

korisniku mogućnost da odabere da li će nastaviti

transakciju ili će je prekinuti,

• Klijent i server razmenjuju javne ključeve,

• Klijent generiše simetrični ključ koji se koristi samo u

započetoj transakciji,

60


• Klijent šifruje generisani simetrični ključ, korišćenjem

serverovog javnog ključa i šalje ga serveru.

• U daljem toku transakcije server i klijent koriste taj isti

ključ metodom simetrične enkripcije.

• Svi veb pretraživači imaju u sebi SSL

• u slučaju šifrovane komunikacije u adresi posećenog

sajta se javlja https:// ...

61


62

Web pretraživač

klijenta

Internet

Zahtev za

sigurnom

sesijom

Odobrenje

sigurne

sesije

Server

prodavca

Sertifikat

klijenta

Sertifikat

prodavca

Razmena sertifikata

Digitalni koverat

Ključ sesije

(generiše ga klijent)

Sertifikati razmenjeni. Obe strane

identifikovane.

Klijent generiše simetrični ključ sesije i korišćenjem javnog

ključa servera kreira digitalni koverat. Šalje ga serveru. Server ga dešifruje korišćenjem svog privatnog ključa.

Počinje šifrirana komunikacija, korišćenjem simetričnog ključa sesije, koji je generisao klijent


• Virtuelna privatna mreža (Virutal Private Network -

VPN) omogućava udaljenim korisnicima da pristupaju

lokalnoj računarskoj mreži kompanije putem Interneta,

korišćenjem niza VPN protokola.

• VPN mreže koriste i autentikaciju i enkripciju kako bi

zaštitili informacije od neovlašćenih korisnika.

• Udaljeni korisnik se može povezati na LAN mrežu

korišćenjem svog Internet provajdera.

• VPN protokoli zatim obezbeđuju vezu od klijenta do

kompanijske mreže tako da korisnik može da je koristi

kao da je direktno povezan na nju.

63


• Proces povezivanja jednog protokola kroz drugi naziva

se tuneliranje (tunneling), zato što VPN kreira privatnu

vezu dodavanjem nevidiljivog, šifrovanog omotača oko

poruke (kao tunel), kako bi sakrio njen sadržaj.

• VPN je virtuelna mreža u smislu da se korisnicima čini

kao da je direktna, posebna linija (veza), a ona je ustvari

privremena, sigurna linija; obično se koristi u

komunikaciji poslovnih partnera (velikih dobavljača ili

kupaca) i zaposlenih koji rade sa neke udaljenosti (npr.

sa službenog puta).

64

Zaštita mreža

• Zaštitni zid (firewall) je hardver ili softver koji služi za

filtriranje komunikacije odnosno sprečavanje pristupa

mreži određenim zahtevima, u skladu sa definisanom

politikom zaštite.

• Firewall kontroliše saobraćaj ka i od servera i klijenata,

sprečavajući komunikaciju sa nepouzdanim izvorima i

omogućavajući komunikaciju sa pouzdanim.

65

Zaštita mreža

• Proksi serveri (Proxy servers) su softverski serveri koji

upravljaju celokupnom komunikacijom od lokalnih

klijenata ka Internetu i obrnuto, ponašajući se kao

čuvari mreže kompanije.

• Proksi serveri se prvenstveno koriste kako bi internim

klijentima ograničili pristup eksternim Internet

serverima (npr. blokiranje Facebook-a), mada neki

proksi serveri rade i kao zaštitni zidovi.

66

Zaštita mreža

67

Klijenti Zaštitni zid Web server Udaljeni

klijent

Udaljeni

klijent

Udaljeni

server

Udaljeni

server

Klijenti

Interna

mreža

Eksterna

mreža

Proksi

server

PROKSI SERVER

ZAŠTITNI ZID (FIREWALL)

Zaštita servera i klijenata

Vrši se na dva načina:

• Sigurnosna unapređenja operativnog sistema:

najočigledniji način zaštite servera i klijenata je

korišćenje prednosti automatskog ažuriranja (update)

bezbednosnih sistema koje pružaju Microsoft i Apple

(za operativni sistem, aplikacije, veb pretraživače, itd.)

• Antivirusni softver: najlakši i najjeftiniji način za

sprečavanje pretnji integritetu sistema je instalacija

antivirusnog softvera (Kaspersky, McAfee, Norton) i

njegovo redovno ažuriranje.

68

Elektronsko poslovanje

• Dr Zoran Kalinić

• Kabinet: E-216

• E-mail: [email protected]

69