deliverable 2 - ecesmecesm.net/sites/default/files/handbook ii.pdfeuropean commission tempus...

544088-TEMPUS-1-2013-1-SI-TEMPUS-JPHES

Deliverable 2.4

European Commission Tempus Project:


This project has been funded with support from the European Commission.

This publication [communication] reflects the views only of the author, and

the Commission cannot be held responsible for any use which may be

made of the information contained therein.

| PROJECT COORDINATOR: University of Maribor | | Slomškov trg 15, SI-2000 Maribor | ecesm.net |

| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

INTRODUCTION

The Handbook II is prepared in accordance with training evets organized in Montenegro within activity 2.3. It provides aditional learning materials which extend basic knowldge gathered during the training. The Handbok II is prapared on Montenegrin language due to expected massive distribution and use in Montenegro. The content is logically divided in the form of five chapters; each chapter independently describes specific topics within cyber security and cyber defense field.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

CONTENT / SADRŽAJ

INTRODUCTION ................................................................................................................................................. 2

CONTENT / SADRŽAJ .......................................................................................................................................... 3

Zlonamjerni programi ........................................................................................................................................ 7

UVOD ............................................................................................................................................................. 7

HAKERSKI NAPAD I HAKER ............................................................................................................................. 9

ZLONAMJERNI PROGRAMI .......................................................................................................................... 11

VIRUSI .......................................................................................................................................................... 12

CRVI ............................................................................................................................................................. 14

TROJANSKI KONJ .......................................................................................................................................... 15

BACKDOOR .................................................................................................................................................. 16

ROOTKIT ....................................................................................................................................................... 16

SPYWARE ..................................................................................................................................................... 17

ADWARE ...................................................................................................................................................... 18

DIALER ......................................................................................................................................................... 18

HOAX ........................................................................................................................................................... 18

SPAM ........................................................................................................................................................... 19

RANSOMWARE ............................................................................................................................................ 19

SCAREWARE ................................................................................................................................................. 19

KEYLOGGER .................................................................................................................................................. 19

Noviji korisni pojmovi .................................................................................................................................. 20

ZOMBI RAČUNAR ..................................................................................................................................... 20








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

BOTNET MREŽA ....................................................................................................................................... 20

ZERO DAY RANJIVOST .............................................................................................................................. 20

ANTIVIRUSNA ZAŠTITA ................................................................................................................................ 20

Reaktivna zaštita ...................................................................................................................................... 22

Heuristička/proaktivna zaštita ................................................................................................................. 22

ZAKLJUČAK ................................................................................................................................................... 24

Bezbjednost mreže .......................................................................................................................................... 25

MREŽE .......................................................................................................................................................... 25

TERMINOLOGIJA ...................................................................................................................................... 25

ADMINISTRACIJA ..................................................................................................................................... 29

ZAŠTITNI ZID ............................................................................................................................................ 30

NAČINI POVEZIVANJA NA MREŽU ........................................................................................................... 31

SIGURNOST BEŽIČNIH MREŽA ..................................................................................................................... 34

KONTROLA PRISTUPA .................................................................................................................................. 35

KLJUČNI POJMOVI – PITANJA ZA SAMOSTALNU PROVJERU ZNANJA ......................................................... 37

Sigurno korišdenje weba .................................................................................................................................. 39

RAZUMIJEVANJE ONLAJN AKTIVNOSTI, KUPOVINE ILI FINANSIJSKIH TRANSAKCIJA,

KOJE SE VRŠE PREKO SIGURNIH VEB STRANICA .......................................................................................... 40

IDENTIFIKOVANJE SIGURNIH VEB SAJTOVA: HTTPS, LOCK SYMBOL I SL. .................................................... 41

RAZUMIJEVANJE VRSTA SAJBER NAPADA ................................................................................................... 43

Cyber špijunaža ........................................................................................................................................ 43

Haking ...................................................................................................................................................... 44

Cyber sabotaža ........................................................................................................................................ 44

Sajber terorizam ...................................................................................................................................... 45

Cyber ratovanje ....................................................................................................................................... 46

Cyber prevara .......................................................................................................................................... 47








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Krađa Internet usluga .............................................................................................................................. 47

Industrijska špijunaža .............................................................................................................................. 48

Internet aukcije ........................................................................................................................................ 49

Proizvodnja i distribucija nedozvoljenih i štetnih sadržaja ...................................................................... 49

Nadgledanje E-pošte i pradenje E-konferencija ...................................................................................... 50

Prisluškivanje ........................................................................................................................................... 50

Spam ........................................................................................................................................................ 50

Phishing ................................................................................................................................................... 51

Analiza kolačida (cookies) ........................................................................................................................ 52

RAZUMIJEVANJE TERMINA DIGITALNOG SERTIFIKATA. PROVJERA VALJANOSTI

DIGITALNOG SERTIFIKATA ........................................................................................................................... 53

RAZUMIJEVANJE TERMINA JEDNOKRATNE LOZINKE .................................................................................. 54

IZBOR ODGOVARAJUDIH PODEŠAVANJA ZA OMOGUDAVANJE I ONEMOGUDAVANJE AUTOMATSKOG

UNOSA I AUTOMATSKOG ČUVANJA PODATAKA PRILIKOM POPUNJAVANJA OBRASCA ............................ 54

IZBOR ODGOVARAJUDIH PODEŠAVANJA ZA DOZVOLU ILI BLOKIRANJE KOLAČIDA (COOKIES) ................... 55

RAZUMIJEVANJE SVRHE, FUKNCIJE I VRSTA PROGRAMA ZA KONTROLU SADRŽAJA: PROGRAMI ZA

INTERNET FILTRIRANJE, PROGRAMI ZA RODITELJSKU KONTROLU ............................................................. 57

RAZUMIJEVANJE PRIVATNOSTI PODATAKA NA DRUŠTVENIM MREŽAMA ................................................. 57

RAZUMIJEVANJE PODEŠAVANJA PRIVATNOSTI NA NALOZIMA DRUŠTVENIH MREŽA ............................... 58

RAZUMIJEVANJE POTENCIJALNIH OPASNOSTI PRI KORIŠDENJU DRUŠTVENIH MREŽA KAO ŠTO SU:

UZNEMIRAVANJE PUTEM INTERNETA, LAŽNI IDENTITETI, ZARAŽENI LINKOVI ILI PORUKE I SL. ................ 59

Komunikacije ................................................................................................................................................... 60

OSNOVE SIGURNOSTI U RAČUNARSKIM SISTEMIMA .................................................................................. 60

Kriptografski algoritam ............................................................................................................................ 61

Simetrični kriptoalgoritmi ........................................................................................................................ 63

PUBLIC KEY INFRASTRUCTURE (PKI)- INFRASTUKTURA JAVNOG KLJUČA ................................................... 69

Digitalni sertifikati ....................................................................................................................................... 70








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Put do sertifikata ..................................................................................................................................... 70

Sertifikaciona tijela .................................................................................................................................. 70

KRIPTOVANJE DOKUMENATA I E-MAIL PORUKA ......................................................................................... 71

Enkripcija dokumenta .............................................................................................................................. 72

Kreiranje digitalnog potpisa dokumenta ................................................................................................. 75

Enkripciju dokumenta i digitalan potpis dokumenta .............................................................................. 77

Provjera sertifikata i digitalnog potpisa ................................................................................................... 79

Enkripcija i digitalno potpisivanje e-maila ............................................................................................... 80

Upravljanje sigurnošdu podataka .................................................................................................................... 83

UPRAVLJANJE SIGURNOŠDU PODATAKA ..................................................................................................... 83

Prepoznati načine za obezbjeđivanje fizičke sigurnosti uređaja - korišdenje brava za kablove, kontrola

pristupa i sl. ................................................................................................................................................. 83

Prepoznati važnost procedure pravljenja kopije podataka u slučaju gubljenja podataka, finansijskih

izveštaja, istorije pretraživanja i sl. ............................................................................................................. 85

Identifikovati karakteristike pravljenja kopije podataka kao što su: frekventnost, lokacija za čuvanje

podataka, zakazivanje pravljenja kopije. .................................................................................................... 86

Pravljenje sigurnosne kopije podataka ........................................................................................................ 87

Kreiranje nove rezervne kopije čitavog sistema .......................................................................................... 90

TRAJNO UNIŠTAVANJE PODATAKA .............................................................................................................. 91

Razumijeti razlog za trajno brisanje podataka sa diskova ili uređaja. ..................................................... 91

Razlikovati brisanje i trajno uništavanje podataka .................................................................................. 92








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Apstrakt: Zlonamjerni programi su naširoko rasprostranjene sajber prijetnje koje se lako izvršavaju, dok je odbrana informaciono komunikacionih sistema protiv njih disproporcionalno teška. Oni nanose ogromnu štetu kako pojedincima tako i kompanijama, jer postaju sve sofisticiraniji i složeniji i prilagođavaju se novim mehanizmima zaštite. Naš prevashodni cilj je razumijejevanje prirode zlonamjernih programa i antivirusne zaštite kao jednog od veoma bitnih mehanizama u odbrani od zlonamjernih programa. Navedene su vrste zlonamjernih programa i njihove opšte karakteristike. Osim toga, opisani su principi rada zlonamjernih programa, metode širenja i posljedice koje mogu imati na inficirani sistem. Središte razmatranja su osnovni tipovi zlonamjernih programa. Kao odgovor na zlonamjerne programe, razvijene su različiti mehanizmi i tehnike odbrane, koje stvaraju preduslove za siguran rad informaciono komunikacionih sistema. Kao prva i neophodna linija odbrane od zlonamjernih programa namede se antivirusna zaštita koja ne garantuje apsolutnu bezbjednost ali predstavlja obavezan način osnovne zaštite od zlonamjernih programa.

Kako se moderno društvo u ogromnoj mjeri oslanja na veoma važne funkcije informaciono komunikacione infrastrukture, one predstavljaju najvažnije mete za sajber napade. Sve vedim korišdenjem ovih resursa, dolazi do povedanja obima sigirnosnih problema i raznolikosti sajber napada. Nove prijetnje i ranjivosti otkrivaju se svakog dana i one karaterišu mnoge sisteme, ostavljajudi pogodan teren za izvršenje napada od strane različtih profila napadača.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Primjenom savremenih informacionih tehnologija i promjenom bezbjednosne dinamike u prvi plan su istaknute prijetnje poput terorizma, ilegalnih migracija, transnacionalnog organizovanog kriminala, kao i sajber kriminala koji se tretiraju kao savremeni izazovi bezbjednosti.

Sajber bezbjednost, kao jedan od novijih pravaca istraživanja u sferi bezbjednosti, posljedica je tehnološkog razvoja i odraz je novog pogleda na svijet. Ona se javlja ne samo kao jedan od vidova (oblika) bezbjednosti, ved i kao presjek svih drugih vidova bezbjednosti u kojima

informacione tehnologije zauzimaju važno mesto. O značaju sajber bezbednosti govori i činjenica da je ona postala jedna od osnovnih komponenata nacionalne bezbednosti, koja je kao takva tretirana i u Crnoj Gori.

Tretirajudi sajber bezbjednosti i analizirajudi savremene prijetnje, jasan je trend koji ukazuje na rast sposobnosti zlonamjernih programa kojima se mogi kamuflirati napadi. Široka rasprostranjenost naprednih botnet mreža i exploit kit izvornih kodova omogudavaju stvaranja inovativnih i raznolikih napada koji de se svakako reflektovati na globalnu sajber bezbjednost a samim tim i na Crnu Goru. Napredne uporne prijetnje (APT), jedan od najvažnijih sofisticiranih primjera upotrebe stealth tehnologije kroz moderne maliciozne kodove koji za krajnji cilj imaju krađu podataka od pojedinca, kompanija i na samom kraju od vitalnih vladinih institucija. Rastuda popularnost »internet stvari« (npr., mobilnih uređaja, aplikacija, socijalnih mreža, i njihova međusobna interakcija) umnogome usložnjava bezbjednost u sajber prostoru. Nove prijetnje nastaju s novim tehnologijama kao što su Near Field Communications (NFC) integrisane u platformama mobilnih uređaja. Maliciozni softver na android platformama nastavlja da raste i evoluira i postaje sve pametniji. Inovativno korištenje GPS usluga može povezati naš digitalni i fizički život ali takođe otvaraju nove mogudnosti za ugrožavanje bezbjednosti i privatnosti.

Prijetnja po bezbjednost nekom informaciono komunikacionom sistemu je svaki događaj koji može dovesti do narušavanja povjerljivosti, integriteta i raspoloživosti podataka. Prema klasifikaciji NIST-a (National Institute of Standards and Technology) jedna od najznačajnijih prijetnji su zlonamjerni programi koje koriste hakeri za izvršavanje različitih oblika hakerskih napada.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

U cilju potpunijeg sagledavanja kompleksnosti zlonamjernih programa neophodno je definisati pojam hakerskog napada i hakera, toliko ustaljenih pojmova u ovlasti sajber bezbjednosti.

HAKERSKI NAPAD je neautorizovani, nasilni pristup, odnosno pokušaj pristupa informacionom ili komunikacionom sistemu.

Karakteristike hakerskog napada:

• neautorizovani i brižljivo planirani pristup, • nasilan pristup, što označava probijanje zaštite sistema, • pristup se realizuje kroz upad u sistem, • hakerski napad zahtijeva visoko profesionalno znanje, • hakerski napad može počiniti jedna osoba ili grupa, • mjesto provale, po pravilu, je udaljeno od mesta gde se sam haker nalazi, • haker se ponaša kao autorizovani korisnik, • za oruđe su mu potrebni programi i znanje, objekat su sistemi i njihov sadržaj, a posledice

raznovrsne; • motivacija je specifična i raznovrsna, • internacionalizacija.

Vrsta i podjele:

• amaterski i profesionalni • dobronamjerni, maliciozni • pojedinačni ili grupni • eksterni i interni • organizovani ili stihijski

HAKER je osoba koja ima znanje, sposobnosti i želje da u potpunosti neovlašdeno koristi tuđe kompjuterske i komunikacione sisteme. To je osoba koja uživa u istraživanju detalja informacionih programabilnih sistema i u njihovom maksimalnom iskorišdavanju, nasuprot vedini korisnika koji više vole da znaju samo ono što im je potrebno.

Vrste hakera:








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Hakeri »Bijele kape« (White hat hackers) – bave se zaštitom sistema i mreža računara. Trude se da poboljšaju zaštitu sistema da ne bi došlo do »provaljivanja« u njih i nanošenja štete. Strogo se pridržavaju pravila hakerske etike u korišdenju informacija i modi. Po pravilu se »iznajmljuju« od kompanija da bi »provalili« u računar, a zatim obavijestili vlasnika na koji način je to urađeno i kako popraviti određenu manjkavost bezbjednosti.

Hakeri »Crne kape« (Black hat hackers) – gledano totalno su suprotni »bijelim kapama«. Trude se da »slome« svaki vid zaštite računara. Princip da sve informacije treba da budu slobodne daje im opravdanje da provaljuju u tuđe sisteme. Preziru bavljenje računarima iz materijalnih razloga, kao i industriju koja zarađuje novac na poboljšanju bezbjednosti računara. U njihove aktivnosti spada i generisanje zlonamjernih programa koji nanose štetu korisnicima računara.

Hakeri »Sive kape« (Gray hat hackers) – jesu nešto između »crnih« i »bijelih« kapa. Vedinom su to hakeri koji su u mladosti tokom učenja na računarima kršili etiku, da bi kasnije to svoje stečeno znanje primjenjivali po svim njenim pravilima. Takav je, na primjer, njemački haker Mixter koji se u javnosti deklarisao kao »siva kapa« koja je od nedavno posto »bijela kapa« jer je shvatio da je, »prekoračivši zakonske granice ispao naivan pred njemačkim pravosudnim zvaničnicima«. Ove vrste hakera preplidu se i ima ih i među »crnim« i među »bijelim kapama«.

Phreakers - Ova kovanica nastala je spajanjem riječi »telefon« (phone) i »provala«. (breaking). Logično, u pitanju su hakeri čija je uska specijalnost krađa telefonskih impulsa, obavljanje međunarodnih poziva na račun drugog lica i sve one aktivnosti koje te tiču telefonskog saobradaja.

Crackers - Naziv potiče od reči »crack« što znači pukotina ili naprslina. Glavna preokupacija crackera jeste bezbjednost sistema računara. Njihove glavne aktivnosti tiču se »provaljivanja« u tuđe računare. To obuhvata zaobilaženje svih zaštita u jednom sistemu i pronalaženje načina da se neometano pristupi podacima sa njega. Dakle, za sve što uključuje provlačenje između »rupa« u sistemima nadležni su crackeri.

Haktivisti - Predstavljaju ljude koji koriste svoje hakersko umjede radi promovisanja političkih ideologija. Grupi HFG (Hack For Girls) nije se previše dopalo loše predstavljanje njihovog idola Kevina Mitnicka, pa su autoru ostavili poruku na web stranici NYT. Uz poruku, haktivistii su postavili i komentare u samom kodu stranice koje su mogli da pročitaju samo oni koji su znali kako se to radi. Komentari su isključivali svakog ko nije profesionalac. Njihovom daljom analizom utvrđeno je da ti komentari imaju krajnje političku konotaciju.

Larval and Newbies - Ove grupe su veoma slične po svojim karakteristikama. I jedni i drugi imaju ograničeno znanje u korišdenju računara, a samim tim i problem sa socijalizacijom u okviru








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

hakerske potkulture. Zbog svog ograničenog znanja često krše etiku, a da toga i nisu svjesni. Njihova jedina želja je da nauče dovoljno kako bi se dokazali u svijetu hakera.

Script kiddies - Oni imaju ograničeno znanje što se tiče računara i nisu socijalizovani u okviru hakerske potkulture. Međutim, osnovna razlika je što larval hakeri imaju želju da unaprijede svoje znanje i naprave nešto sami, dok kod script kiddiesa apsolutno ne postoji nikakva želja da se napreduje u edukativnom smislu. To su uglavnom tinejdžeri, četrnaestogodišnjaci koji nisu željni ni dokazivanja ni profita, ved imaju čisto vandalske pobude. Njihova meta su svi korisnici računara, bez određenog razloga. Oni nikada ne naprave sami aplikaciju, ved koriste ono što su drugi odavno napravili. Zbog nedostatka znanja i lenjosti, nemaju svoje mesto u hakerskoj zajednici.

Sve gore navedene kategorije hakera uglavnom koriste zlonamjerne programe za izvršavanje svojih aktivnosti.

Vjerovatno najčuvenija grupa prijetnji koja pripada oblasti sajber i informacione bezbjednosti jesu zlonamjerni programi.

Zlonamjerni program (MALWARE), je softver koji je dizajniran da se infiltrira u kompjuterski sistem, bez informisanja i pristanka njegovog vlasnika. Predstavlja opšti termin za različite oblike neprijateljskog, nametljivog, ili dosadnog softvera ili programskog koda. UOdluka da li de se softver smatrati malicioznim, tj. zlonamjernim, se zasniva, na namjeri njegovog tvorca prija nego na njegovim funkcijama.

Vrste zlonamjernih programa:

• Virusi • Crvi • Trojanski konj • Backdoor • Rootkit • Spyware • Adware • Dialer • Spoofing • Phishing








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

• Pharming • Hoax • Spam

Osobine različitih vrsta malicioznih programa se u velikom broju kombinuju, tako da je ponekad veoma teško odrediti kojoj vrsti pripada neki maliciozni softver.

Virusi predstavljaju najčuveniju vrstu malicioznog softvera i vedina ljudi ih u potpunosti poistovjeduje sa terminom zlonamjernog programa.

Virus u stvari predstavlja zlonamjerni program koji se pri izvršavanju pokušava replicirati, kopirati samog sebe unutar drugog izvršnog koda (executable code). Virusi se umnožavaju i šire unutar jednog računara i to je njihova karakteristična osobina po kojoj se izdvajaju od ostalih zlonamjernih programa.

Kompjuterski virusi su slični biološkim virusima, jer nijesu zasebni entiteti i moraju koristiti host-a (domadina, a to je neki drugi program ili dokument) kako bi se dalje prenosili. Mnogi virusi se skrivaju u kodu legitimnih softverskih programa tj. programi bivaju zaraženi. Kada se host program pokrene, izvršava se i kod virusa, tako da se virus učitava u memoriju računara. Odatle, kod virusa može da dopre do ostalih programa na sistemu i tako ih zarazi – kada pronađe program, virus dodaje i svoj kod, a zaraženi program može prenijeti virus i na druge računare. Vedina virusa, pored replikacije, vrši i neke druge operacije, od kojih je vedina destruktivna. Na primjer, virus može da izbriše određene fajlove sa računara, može da prepiše boot sektor hard diska, tako da disk postane nedostupan, izazove slanje e-mail poruka itd.

Dakle osnovne karakteristike virusa su:

• Zlonamjerni program koji se ne može samostalno replicirati - Neophodno je izvršiti program.

• Replikacija se vrši preko fajl sistema ili preko mreže - Samo pokretanje programa može proširiti infekciju - Pravi virus samostalno ne vrši propagaciju - Za propagaciju se koristi: mail, zaraženi fajl, program itd.

• Mogu ali ne moraju izazvati probleme - Neki virusi su potpuno neprimjetni, neki od njih su dosadni








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Tipovi virusa:

• Boot Sector virusi - potreban mu je OS; • Programski virusi - kao djelovi aplikacija; • Script virusi - OS i djelovi pretraživača; • Makro virusi - tipični za Microsoft Office; • Složeni virusi - Izuzetno kompleksni virusi.

Zaštita:

Danas postoji ogroman broj različitih virusa, a najbolja zaštita je peduzimanje maksimalnih mjera opreza prilikom preuzimanja fajlova sa Interneta i otvaranja e-mail attachment-a, kreiranje rezervnih kopija svih bitnih podataka, ažuriranje programa (preuzimanje i instaliranje zakrpa) i, naravno, upotreba i redovno ažuriranje nekog od brojnih antivirusnih programa koji postoje na tržištu. Dakle Antivirusna zaštita je najbolji i najefikasniji način zaštite.

Detekcija virusa:

• Promjena veličine fajla ili »data/time stamp« • Kompjuter usporeno startuje ili radi • Trošenje memorije ili povedana količina bad sektora • Neočekivane i učestale sistemske greške

Primjeri poznatih virusa:

Chernobyl virus - Inficirao milion računara i nanio štetu vedu od 250 miliona dolara. Potpuno brisanje podataka sa hard sdiskova i prepisivanje BIOS čipova, činedi kompjutere neupotrebljivim.

StuxNet - napad na iranska nuklearna postrojenja SCADA (Siemens) 30.000 računara.

Flame - sofisticirani kompjuterski virus koji je špijunirao kompjutere u Iranu. Jedan od najsofisticiranijih zlonamjernih programa.

Gauss - virus koji je napadao libanske banke. Nagađa se kako su SAD i Izrael putem Gaussa pratili bankovne transakcije iz razloga što su otkrili kako libanonske banke služe Hezbollahu za pranje novca.

Duqu - sličan StuxNet-u sakupljanje informacija raznih agencija i korporacija.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Crv (worm) je naziv za zlonamjerni program koji se samostalno replicira i inficira računar, sposoban je samostalno tražiti nove sisteme domadine i inficirati ih putem mreže. Crv se kopira sa jedne mašine na drugu, obično bez eksplicitne akcije korisnika, oni su samostalni, samostalno djeluju i šire se. Osnovni medijum širenja crva je mreža za razliku od virusa. Dvije najčešde metode širenja crva su elektronska pošta (e-mail) i iskorištavanje sigurnosnih slabosti i propusta na računarskim konekcijama na mrežu ili na Internet. Šire se preko mreže (automatskim slanjem e-mail, IRC ili instant poruka). Isporučuju destruktivne sadržaje ili samo zagušuju mrežu samopropagiranjem. Najskriveniji su tzv. mrežni crvi. Najčešde koriste propuste u Web serverima i browserima. Dok funkcionišu, ovi programi postoje samo u sistemskoj memoriji tako da ih je teže identifikovati. Crvi skeniraju mrežu kompanije ili Internet, tražedi drugi računar sa specifičnim propustom po pitanju zaštite. Brzo se repliciraju, a mreža zaražena crvom može da se obori za nekoliko sati.

Tipovi crva:

Crvi se mogu podeliti na nekoliko osnovnih kategorija, u zavisnosti od načina propagacije:

• Email crvi • Instant messaging crvi • IRC crvi • File sharing crvi • Internet crvi

Zaštita:

Za razliku od virusa, najefikasniji mehanizmi odbrane od crva su Firewall-i i IDS/IPS sistemi. Oni su u osnovi dobar vid zaštite za veliki broj crva ali ne pomažu mnogo ukoliko crv uđe u sistem.

Primjeri poznatih virusa:

Klez

• Jedan od najizdržljivijih crva; • Ranjivosti u Outlook i Outlook Express; • Slao bi kopije samog sebe svima iz e-mail adresara; • Zaustavljao je procese, uništavao datoteke.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slammer, poznat kao »SQL Slammer« i »Sapphire«

• Najbrže širedi crv ikada; • Onemogudavao pristup Internetu velikim područjima za manje od 10 minuta; • Iskorištavao je poznati propust u SQL bazi podataka;

Trojanski konj ili »trojanac« je bilo kakav program koji ima naizgled neku bezopasnu ili korisnu funkciju, dok ustvari sadrži i neku skrivenu malicioznu funkcionalnost.

Osnovne karakteristike trojanskih konja su:

Glavni cilj da napadaču omogudi pristup sistemskim datotekama; Softver koji se pretvara da bude nešto sasvim drugo Ne replicira se i nije ga briga za replikaciju; Opasniji od virusa i crva; Antivirus programi ih često ne uspijevaju prepoznati.

Tipovi trojanskih konja:

• Šaljivi trojanci kao Icon Dance koji bi minimizirao sve otvorene programe i počeo brzo ispremještati sve ikone na radnoj površini; ili NVP Trojanac koji bi na Macintosh računarima izmijenio sistemske datoteke tako da se kada korisnik tipka nekakav tekst, samoglasnici ne prikazuju.

• Destruktivni trojanci koji mogu obrisati čitav hard disk ili selektivno brisati ili modifikovati određene datoteke. Iako najopasniji, sama njihova priroda ograničava njihovo širenje, obično otkrivaju svoju prisutnost, najčešde nekom porukom. Isto tako, ako obrišu čitav tvrdi disk, izbrišu i sami sebe.

• Trojanci koji otuđuju lozinke i druge osjetljive informacije. To je ustvari i najčešda upotreba trojanskih konja. Poznati primjer je ProMail Trojanac.

• Trojanci koji omogudavaju udaljeni pristup (Remote access Trojan, RAT) Najpoznatiji takav trojanac je Back Orifice (BO), tako nazvan s ciljem ismijavanja Microsoftovog Back Office programa.

Primjer poznatog trojanca:








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

• TURLA – UROBUROS – SNAKE – »Epic Turla« - prva do sada otkrivena operacija koja je uspjela prodrijeti do podataka obavještajnih službi i za nju je najvjerovatnije odgovorna neka država. Turla je na ciljane računare dospio preko zaraženih web sajtova, a cijelo vrijeme je tražio dokumente koji su sadržavali termine kao što su »NATO«, »EU energetski dijalog« i »Budimpešta«.

Zadnja vrata (Backdoor ili Back door) – zlonamjerni program koji otvara zadnja vrata, zadnji ulaz u neku aplikaciju, sistem ili mrežu. Oni su originalno stvoreni od strane programera, da im omogude specijalan pristup njihovim programima, obično da bi mogli prepraviti kod u slučaju neke greške.

Backdoor najčešde instaliraju virusi, crvi ili trojanski konji (bez znanja vlasnika) i koji služi da tredim osobama omogudava nesmetan i od vlasnika neovlašden pristup računaru.

Bacdoor koristi slabosti operativnog sistema, zaštitnog zida ili antivirusnog programa i vrlo često blokira njihov rad da bi mogao nesmetano da deluje.

Netcat je program koji često koriste administratori mreža i mnogi obični korisnici. Može se koristiti za prenošenje datoteka preko mreže, traženje otvorenih priključnih tačaka ili ranjivosti na sistemima. Veoma je funkcionalan.

Za DES (Data Encryption Standard) se pretpostavlja da je NSA backdoor.

Alati za dobijanje administratorskih ovlašdenja (rootkit), stvoreni su da bi zamijenili standardne Unix alate verzijama koje su korisniku davale korijenske (root), odnosno privilegije Super-korisnika, pri tome omogudavajudi da njihova aktivnost ostane nevidljiva ostalim korisnicima.

Rootkit čini jedan ili više programa dizajniranih za skrivanje dokaza da je napadnuti sistem ugrožen. Napadači ga koriste kako bi zamijenili osnovne izvršne fajlove (fajlove koje se uobičajeno koriste za izvođenje određenih radnji na računaru) u svrhu skrivanja zlonamjernih procesa i instaliranih, zlonamjernih fajlova.

Obično svoje postojanje na sistemu skrivaju izbjegavanjem standardnog sigurnosnog skeniranja ili mehanizama poput antivirusnih i anti-spyware alata.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Oni predstavljaju idealan način da hakeri prikriju svoje zlokobne aktivnosti. Postoji nekoliko besplatnih Rootkit alata, uključujudi Hacker Defender, NT Rootkit, GINA Trojan i HE4Hook.

Tipovi Rootkitova:

• Persistent Rootkits - aktiviraju se prilikom svakog novog pokretanja računara. Izvršni kod takvih programa mora biti trajno sačuvan – najčešde u Registry-u ili fajl sistemu.

• Memory-Based Rootkits - nastanjuje se u radnoj memoriji. • User-mode Rootkits - prilikom korisničkog pretraživanja direktorijuma i datoteka, rootkiti

menjaju konačan ispis na način da izostave sve podatke vezanje za njih same. • Kernel-mode Rootkits – najmodnija kategorija, čak mogu mijenjati neke strukture samog

jezgra. Skrivanja od korisnika je brisanje vlastitih procesa iz ukupne liste aktivnih procesa.

Spyware je programski kod koji sakuplja informacije o nekoj osobi ili organizaciji bez njihova znanja i saglasnosti. Informacije se sakupljaju i periodično šalju na određenu lokaciju.

Prenosi se:

Korišdenjem e-mail-a; Iskorištavanjem ranjivosti web pregledača; Upotrebom inficirane FLASH memorije.

Strane obavještajne službe koriste ICT za prikupljanje informacija i špijunažu. Države takođe mogu napadati strane rivale u cilju dezinformisanja, destabilizacije, zastrašivanja ili čak potpunog sajber rata.

»Shady RAT« je jedan od poznatijih primjera spywera. McAfee ga je otkrio u avgustu 2011. godine. Operacija je trajala pet godina i došlo je do krađe intelektualnog vlasništva više od 70 državnih agencija, multinacionalnih korporacija i drugih organizacija iz 14 zemalja. On pripada kategoriji APT (Advanced Persistent Threat) - napredne uporne prijetnje.

Unutar sajber zajednice izraz APT se koristi za opisivanje sofisticiranih sajber napada koji traju duži vremenski period, a usmjereni su protiv vlada, kompanija i političkih aktivista. Ljudi koji upravljaju samom prijetnjom koriste cijeli niz tehnika za sakupljanje podataka. One mogu uključivati tehnologije i tehnike koje se koriste za upade u informaciono-komunikacione sistema, ali ne uključuju i uobičajene načine skupljanja podataka (primjer presrijetanje telefonskih poziva i satelitske snimke). Napadači su izuzetno prilagodljivi, pa tako po potrebi mogu razviti napredne








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

alate za izvođenje napada. Oni posebnu pažnju posveduju specifičnom zadatku. APT napadi često koriste dotad nepoznate propuste u računarsko komunikacionim sistemima, programima. APT napadi obično se odvijaju u nekoliko faza.

Reklamni programi (adware) su najčešde različiti oblici besplatnih (freeware) programa koji od korisnika, u zamjenu za besplatno korišdenje, zahtijevaju izvođenje sponzorskih oglasa tokom rada programa.

Programi se obavljaju u pozadini i neke poslove kojih korisnik nije svjestan. Sakupljaju informacije o korisniku, njegovim navikama u surfovanju Internetom i korišdenju računara. Informacije se sakupljaju sa ciljem da se na temelju tako formiranog profila korisniku prikazuju upravo one vrste oglasa koje bi ga mogle interesovati.

Birač (dialer) je u osnovi program instaliran na računarU kao dio operativnog sistema koji omogudava spajanje na Internet putem analogne modemske veze. Oni tiho, u pozadini inicijaliziraju modem i ostvaruju pozive dok korisnik ne sumnjajudi ništa pregleda Internet, tako da baš i nije mogude primijetiti njihovu aktivnost, prije nego stigne telefonski račun.

Hoax u prevodu znači prevara, obmana i to je upravo ono što jeste. Ne sadrži nikakav maliciozan kod i osnovni cilj je prosljeđivanje iste što vedem broju korisnika nakon prijema. Takve prevare dijele se u dvije osnovne grupe – lažna obavještenja o virusima (virus hoax) i lančana pisma. Primjer je »Teddy Bear«. Poruka govori o opasnosti od zaraze strašnim Teddy Bear virusom. Navodi detaljno kako pronadi konkretnu datoteku koju je potrebno ručno izbrisati da bi se riješili virusa. Drugi primjer su molbe za novčanu pomod za bolesne, porodice otetih i slično, koje apeluju na saosjedanje. Prilike za zaradu samo prosljeđivanjem primljene poruke na što više adresa, prijetnje o gubitku novca ili lošoj sredi ako se poruka ne proslijedi.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Spam se najčešde kratko definiše kao neželjena elektronska pošta koja se masovno šalje velikoj količini korisnika. Dakle, riječ je o neželjenim e-mail porukama koje obično sadrže reklame za neke nove i neke sumnjive proizvode, usluge sumnjive legalnosti, ponude za brzu zaradu, ponude za rad kod kude islično.

Statistike kažu da je oko 70 – 80% čitave elektronske pošte koja se razmjenjuje zapravo spam i da jedan od 36 e-mailova sadrži virus ili neku drugu vrstu malicioznog koda.

Ransomware je vrsta malicioznog programa ili koda koji otima i šifruje datoteke žrtve, da bi zatim napadač iznuđivao novac u zamjenu za ključ dešifrovanja koda.

Scareware je vrsta softvera isključivo stvorena zbog uznemiravanja korisnika čiji računar napadne. Primer je mali program koji u dijaloškom okviru korisniku postavi pitanje o formatiranju diska pri čemu je onemogudeno da kliknete na dugme »Ne«.

Keylogger je program ili uređaj koji služi za pradenje unosa znakova preko tastatura. Naziva se i keystroke logger, key logger ili system monitor. Takvi alati prate i bilježe svaku tipku koju korisnik pritisne. Mogude ih je podijeliti u dvije grupe:

• Softverske • Hardverske








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Zombi računar je računar povezan na internet koji je zaposjednut od strane hakera, računarskog virusa ili trojanca i koji služi za obavljanje zlonamjernih akcija sa velike udaljenosti a da se to ne primjeduje.

Botnet mreža je mreža kompjutera koju kontrolišu sajber kriminalci koristedi Trojance ili druge zlonamjerne programe pretvarajudi ih u zombi ili robot računare.

Botnet ili armija zombi računara. Kriminalci koriste kolektivnu snagu ovih eksterno kontrolisanih mreža za kriminalne aktivnosti uključujudi za generisanje spam e-mail-ova, korišdenje Distributed Denial of Service (DDoS) napada, brisanje podataka ili krađu identiteta. Prijetnje od botneta rastu rapidno.

Zero day ranjivost je sigurnosni propust u računarskoj aplikaciji koji je otkriven i poznat je napadačima prije nego što za njega zna proizvođač i javnost. Za takvu ranjivost proizvođač još nije objavio zakrpe koje uklanjaju problem. Izraz »zero day« ili »nulti dan« nastao je kao vremenska oznaka ranjivosti. Zero day napad se obično javlja prije prvog ili nultog dana svjesnosti proizvođača o ranjivosti, što znači da proizvođač još nije imao priliku popraviti sigurnosni propust kojeg napadač koristi za pokretanje napada.

Zaštita informaciono komunikacionih sistema od malicioznih programa je kompleksan zadatak, koji se odnosi kako na samu antivirusnu zaštitu, tako i na komunikacije. Zaštitu treba sprovoditi u odnosu na vektore prodora zlonamjernih programa u informaciono-komunikacione sisteme, na nivou firewalla, na nivou servera elektronske pošte i na nivou korisničkih radnih stanica i fajl servera. Zbog veoma izraženih potreba za administracijom antivirusnog softvera velikog broja radnih stanica, u računasrkim mrežema treba primanjivati objedinjene, centralizovane sisteme








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

daljinskog upravljanja, koji se u zavisnosti od veličine i složenosti mreže mogu organizovati u više nivoa hijerarhije.

Osnovni principi zaštite:

• Kompletan softver mora biti redovno ažuriran i nadograđivan; • Redovno vođenje sigurnosne politike i promjena lozinki; • Korišdenje poznatih i licenciranih antivirus programa koji su redovno ažurirani; • Pažljivo i ograničeno korišdenje linkova na Web stranicama; • Pažljivost u radu sa attachment-ima i razmjenom file-ova; • Izbjegavajte koriščenje i instaliranje piratskog softvera.

Antivirusni programi predstavljaju programe koji sprečavaju upadanje virusa i drugih malicioznih programa i infekciju računarskih i informacionih sistema. Njihov osnovni zadatak u okviru informaciono komunikacionog sistema je:

• Ukazivanje na pokušaje probijanja sigurnosti računarskog sistema; • Detekcija prisutnosti zlonamjernih programa unutar računarskog sistema; • Uništavanje virusa i drugih malicioznih programa.

Oni djeluju na način što skeniraju fajlove koji su pokrenuti u potrazi za računarskim kodom koji bi odao prisustvo zlonamjernih programa u jednom računarskom sistemu. Antivirusni programi rade na principu upoređivanja »kodova« koje pronađu unutar potencijalno zaraženog fajla sa kodovima koje imaju u svoj bazi kodova virusa (uzoraka virusa).

U slučaju da prilikom skeniranja sistema antivirusni program naiđe na zlonamjerni program, on pokušava da zabrani pokretanje istog. U slučaju da su fajlovi ved zaraženi, antivirusni programi pokušavaju da »očiste« zaražene fajlove. Ako to nije mogude, oni tada pristupaju brisanju zaraženog fajla, osim u slučajevima kada se radi o sistemskim fajlovima čijim bi brisanjem došlo do oštedenja OS. U ovim slučajevima zaraženi sistemski fajlovi se smještaju u »Karantin« odnosno sigurnu zonu iz koje ne mogu vršiti dalju infekciju odnosno propagaciju malicioznog koda. Antivirusni programi takođe omogudavaju skeniranje posebnih foldera ili samih specifičnih diskova i na taj način omogudavaju brže vrijeme skeniranja i redukcije resursa sistema. U tom cilju postoji mogudnost zakazivanja skeniranja sistema. Obično se to radi u vrijema kada se sistem ne koristi, odnosno kada nijesu neophodne visoke performanse sistema iz razloga što antivirusni programi troše rasurse i usporavaju rad sistema.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Vrlo je važno pomenuti da univerzalan, u potpunosti siguran antivirsni program još uvijek ne postoji a vrlo je mala vjerovatnoda da bude napravljen iz razloga što niko sa preciznošdu ne zna tačan broj računarskih virusa koji danas postoje i koji nastaju. Ipak, to ne znači da najvede kompanije koje proizvode antivirusne programe i druge programe zaštite računarskih sistema odustaju. Kada se govori o »radu« antivirusnih programa, može se redi da postoje dva osnovna načina (smjera) na koja se vrši pretraživanje računarskih sistema od strane antivirusnih programa, a to su: reaktivna zaštita i proaktivna zaštita.

Osnova reaktivne zaštite je baza koja identifikuje viruse. Ova baza podataka je kreirana od strane proizvođača antivirus softvera za ispravke štete koje virus nanese. Ovo sistem generalno odmah preuzima čim se pojavi.

Sa ovim modom, antivirus program uočava viruse sopstvenom inteligencijom. Program kontinuirano prati rad računara, i ako se promeni ponašanje nekog programa, ili veličina neke datoteke, ili ako se neki važni programi konektuju na Internet, osim ako program nije naveden na korisnika. Ova metoda je efikasna, jer u vedini slučajeva, mnogo vremena prođe kad se virus pojavi i posle toga ažurira sistem. Cilj heurističke zaštite je da se dobije na vremenu i zaštite računarski sistemi pravovremeno.

Neki od najpoznatijih antivirusnih programa su:

• NOD32 • Kaspersky • Symantec Norton Antivirus • Avast • Avira • AVG Antivirus • McAfee • F – Secure antivirus itd.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Prilikom izbora antivirusnog programa koji de se koristiti za zaštitu informaciono komunikacionog sistema potrebno je znati da ne postoji najbolji od gore pomenutih antivirusnih programa i da svaki od njih posjeduje određene prednosti i mane u radu. Međutim, neophodno je apostrofirati da se koristi isključivo licencirani antivirusni program. Kvalitet jednog antivirusnog programa najčešde se ocjenjuje na osnovu nekoliko parametara kao što su:

• Brzine skeniranja računarskog sistema • Sposobnosti da otkrije viruse • Jednostavnost instalacije antivirusnog programa • Uticaj na performanse sistema • Podešavanje antivirusnog programa i • Ažuriranja liste virusa

U praksi postoji par savjeta kojih se korisnici pridržavaju prilikom efikasnog korišdenja antivirusnih programa. To su:

• Obavezna instalacija nekog od antivirusnih programa - mada ne postoji apsolutna zaštita od virusa, instaliranjem i pravilnim podešavanjem nekih od antivirusnih programa znatno se smanjuje mogudnost zaraze računarskog sistema.

• Redovno ažuriranje antivirusnih definicija (update). • Podešavanje antivirusnog programa da automatski skenira sve foldere. Provjeravanjem

svih foldera, ne sami izvršnih, zaštita je potpuna i time se onemogudava širenje virusa. • Potrebno je obratiti pažnju da se uključi skeniranje kompresovanih foldera (winzip, winrar

folderi) (opcija »Scan Compressed Files«). • Skeniranje svih fajlova koji dolaze sa Interneta. Prije svega prethodno pomenutog,

obavezno se aktivira skeniranje svih odlaznih i dolaznih e-mail poruka. E-mail je trenutno najčešdi način širenja virusa. Takođe mnogobrojne web stranice sadrže softvere koji mogu biti zaraženi. Zato de i skeniranje svih datoteka kopiranih sa Interneta pomodi u zaštiti.

• Povremeno (periodično) skeniranje čitavog hard – diska računara. Redovna provjera (skeniranje) hard – diska računara na kome se nalaze svi podaci (fajlovi i folderi). Proces skeniranja može potrajati i zavisi od veličine hard – diska i broja fajlova i foldera koji se u njemu nalaze.

U vedim i kompanijskim mrežama primjenjuje se mrežna antivirusna zaštita. U računarskoj mreži gdje svaki računar predstavlja dio mreže, nije dobro riješenje vršiti instalaciju pojedinačnih (desktop) verzija antivirusnih programa. Iz razloga što kasnije, kada se javi potreba za ažuriranjem virusnih definicija to se mora raditi ručno, na svakom računaru pojedinačno. Upotreba mrežnih








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

antivirusnih programa ima kao osnovni cilj povedanje stepena automatizacije informacionog sistema.

Zlonamjerni programi nanose ogromnu štetu kako pojedincima tako i kompanijama. Postoje adekvatni alati i mehanizmi za prevenciju i odbranu od pojedinih zlonamjernih programa, ali je u poslednje vrijeme situacija komplikovanija zbog njihove složenosti i sofisticiranosti. Konzistentno rešenje posebno za APT je i dalje nedostižno. Antivirusna zaštita samo je jedan od neophodnih mehanizama u borbi protiv zlonamjernih programa. Napadači su uspeli da otkriju druge ranjivosti protokola i što je još gore, iskoristili su odbrambene mehanizme u cilju razvijanja novih i sofisticiranijih napada. Oni otkrivaju metode za prevazilaženje ovih mehanizama zaštite ili ih koriste za stvaranje lažnih alarma i za izazivanje katastrofalnih posledica. Ne postoji apsolutna zaštita informaciono komunikacionih sistema. Shodno tome, adekvatne protivmjere treba preduzeti na svim nivoima uz poštovanje metodologije i sigurnosnih procedura. Svi oni koji uživaju u tajnama i mogudnostima savremenih informacionih tehnologija nastavide svoje »druženje« sa zlonamjernim programima, činedi ovu igru uzbudljivijom i tragajudi za adekvatnim odbrambenim mehanizmima.

AUTOR: Dejan Tomovid; Agencija za nacionalnu bezbjednost, Univerzitet Donja Gorica








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Abstrakt: U modulu 7 IT sigurnost su navedeni koncepti i veštine koje se odnose na razumevanje bezbednog korišdenja IKT u svakodnevnom životu. Nastavni plan obuhvata korišdenje relevantnih tehnika i aplikacija za održavanje bezbedne konekcije na mrežu, bezbedno i sigurno korišdenje interneta, kao i upravljanje podacima i informacijama na odgovarajudi način.

Kandidat bi trebalo da: Razume ključne koncepte koji se odnose na važnost bezbednosti informacija i podataka, fizičku sigurnost, privatnost i krađu identiteta; Zaštiti računar, uređaj ili mrežu od zlonamernih programa i neovlašdenih pristupa; Razume razne vrste mreža, konekcija i specifična pitanja vezana za mrežu uključujudi i zaštitni zid (firewall)

U modulu 7, Poglavlju 3 obrađuje se tema bezbjednost mreže. Nastavnim planom i programom obuhvadena su uvodna razmatranja u razumjevanju mreža, terminologija mreža, administracija, načini povezivanja, osnovi sigurnosti mreža, kao i zaštite mreža i kontrola pristupa.

Kako spoznati računarske mreže? Šta je to mreža? Kakve sve mreže postoje i šta znače skradenice kao što su LAN, MAN, WAN, VPN itd. Šta je to topologija mreže? Ima li ovdje pravila? Ovo su samo neka od pitanja koja se namedu kada se pomisli na računarske mreže.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Dakle, pod mrežom, u najširem smislu,podrazumjevamo skup aktivnih mrežnih uređaja (fizičkih ili virtuelnih) koji vrše međusobnu komunikaciju (razmjenu podataka) posredsvom nekog spojnog puta. Pri čemu pod komunikacijom podrazumjevamo razmjenu podataka između najmanje jednog emitera i jednog prijemnika na međusobno razumljivom jeziku. Da bi se uspostavio red u ovoj oblasti i da bi uređaji različitih proizvođača mogli međusobno da komuniciraju i grade mreže različitih nivoa složenosti bilo je neophodno izvršiti standardizaciju. Zato je Internacionalna Standardizaciona Organizacija (ISO) donijela odluku da usvoji čitav set standarda, među kojima i sam model mreže Open Source Interconnection (OSI)1. Po ovom ISO OSI modelu sva mrežna komunikacija je strukturirana u 7 slojeva:

1. Sloj fizičkog linka 2. Sloj data tj. podatkovnog linka 3. Sloj mreže 4. Transportni sloj 5. Sloj sesije 6. Sloj prezentacije 7. Sloj aplikacije

1 ISO OSI 7 Layer Model - https://en.wikipedia.org/wiki/OSI_model

https://en.wikipedia.org/wiki/OSI_model








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Kao što se vidi na slici, svakom sloju je tačno definisano koju vrstu podataka nosi i kako rukuje njima. Bitno je primjetiti da je definisana i komunikacija među slojevima i da je ona povjerena tzv. kapiji, odnosno gateway-ju. Dakle, gateway predstavlja komunikacionu spunu među slojevima.

S ovako postavljenim modelom omogudena je izgradnja svih vrsta mreža od najjednostavnijih do najkompleksinijh, sa raznim protokolima, na različitim slojevima, uz zadržavanje funkcionalnosti.

Ono što je bitno zapamtiti je da komunikacija postoji samo ako svi učesnici razumiju isti jezik, odnosno komunikacioni protokol.

Mreže možemo razvrstavati po različitim kriterijumima i kategorijama: po standardima/ protokolima na određim slojevima, npr. na fizičkom sloju na žične, optičke i bežične mreže; zatim po virtuelizaciji na virtuelne i fizičke mreže; prema dostupnosti na javne, privatne i virtualne privatne mreže (VPN); prema kompleksosti na: SOHO2, srednje kompleksne i enterprise mreže; prema prostornoj raširenosti na LAN, MAN i WAN, prema topologiji na bus, zvijezde, prsten, itd.dakle mogude je vršiti klasifikaciju i kategorizaciju mreža po mnogo osnova.

Dakle, na početku poglavlja smo se pitali šta znače skradenice LAN, MAN, WAN i VPN? Prve tri skradenice, u stvari, su proistekle iz klasifikacije mreža prema prostornoj raširenosti.

LAN je lokalna mreža (Local Area Network) koja, bez obzira na svoju kompleksnost, pokriva prostor jednog ili nekoliko bliskih susjednih objekata, među kojima se, po pravilu, komunikacija odvija u istom adresnom opsegu. Specijalan slučaj LAN-a je VLAN tj. virtuelna lokalna mreža. VLAN je logička mreža u okviru fizičke LAN mreže. Ovakve mreže se uspostavljaju u cilju uštede resursa i segmentacije mreže tj. odvajanja saobradaja na logičkom nivou uz upotrebu jedinstvene infrastrkuture. Na primjer, u jednoj LAN mreži, mogude je napraviti posebne logičke VLAN mreže za video nadzor, za konrolu

2SOHO označava small office - home office odnosno jednostavnu mrežu male kancelarije ili kudnu mrežu








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

pristupa, za pristup internetu, za zatvorenu kompanijsku intranet mrežu, za audio i video konferencije i sl. pri čemu svaka VLAN funkcioniše nezavnisno od ostalih kao da ima svoju sopstvenu fizičku infrastrukturu.

MAN predstavlja mrežu koja pokriva vede područje npr. veličine grada (Metropolitan Area Network), dakle mrežu koja je prostorno rašrenija od LAN, ali manja od WAN, tj. locirana je na vedem prodručju, npr. vriše kancelarija, ispostava i skladišta jedne kompanije na teritori grada.

WAN je mreža koja je rasprostranjena na vedem geografskom području, sve do globalnih razmjera (Wide Area Network). Ovakve mreže mogu biti javne i privatne. Po pravilu se saobradaj na ovako velikom području obavlja posredsvom više mrežnih usmjerivača, odnosno rutera.

Šta je onda i čemu služi VPN?

VPN3 skradenica označava logičku privatnu mrežu (Virtual Private Network). Ovakve mreže se uspostavljaju s ciljem proširenja lokalne mreže na velike udaljenosti, posredstvom druge nosede, najčešde javne, mreže kreiranjem tunela. Na ovaj način je mogude u lokalnu mrežnu integrisati sve udaljene poslovnice, gdje god prostorno bile, uz očuvanje privatnosti i sigurnosti podataka, a bez značajnih ulaganja u vlastitu mrežnu infrastrukturu.

3VPN - https://en.wikipedia.org/wiki/Virtual_private_network

https://en.wikipedia.org/wiki/Virtual_private_network








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Topologija mreže4

Bez obzira o kojoj veličini mreže govorimo, mrežne uređaje moramo međusobno da povežemo. Način organizacije mrežnih uređaja u mrežu nazivamo topologijom. Topologija može da prikazuje fizičku ili logičku mrežnu strukturu. Fizička topologija prikazuje način povezivanja i razmještaj mrežnih uređaja, dok logička prikazuje kako je odganizovan protok podataka neobazirudi se na fizičku topologiju. Na ovaj način je mogude dokumentovati mrežu, što olakšava sve faze životnog ciklusa mreže, od dizajna, preko implementacije, monitoringa, revizije, do intervencija itd.

Administracija mreže je vrlo kompleksan kontinuiran proces sačinjen od niza mjera i postpaka usmjerenih na održavanje mreže u dobroj formi. Administracija mreže, u izvjesnoj mjeri, počinje još u fazi dizajna, proteže se kroz implementaciju i dokumentovanje mreže, te kasnije prelazi u fazu održavanja u dobroj

4Topologija mreže - https://en.wikipedia.org/wiki/Network_topology

https://en.wikipedia.org/wiki/Network_topology








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

formi (preventivno i korektivno održavanje). Po uspostavljanju mreže i puštanju u rad, administrator je zadužen za održavanje mreže i mrežnih servisa tako da ne dolazi do prekida u komunikaciji, te vrši permanentni monitoring kako bi preventivno, proaktivno i reaktivno reagovao na mogude probleme.

Važno je zapamtiti da je mrežni administrator naš prijatelj i anđeo čuvar. Zato je od presudne važnosti, prilikom nastanka bilo kakvog mrežnog incidenta ili uočavanja neouobičajenih i/ili sumljivih dešavanja, dati mrežnom administratoru što više preciznih podataka o uočenom problemu.

Zaštitni zid (firewall) je mrežna komponenta čija je primarna fukcija filtriranje dolaznog i odlaznog saobradaja u cilju zaštite integriteta unutrašnje (lokalne) mreže od napada iz spoljnog svijeta (interneta) bazirana na unaprijed definisanim pravilima.

Zaštitni zid može biti realizovan na više načina i na različitim nivoima. Može biti implementiran kao samostalni hardverski uređaj, integrisana komponenta drugog tzv. security appliance-a5, a može biti i softverski6 (služe za ličnu zaštitu jednog korisničkog uređaja), odnosno virtuelizoavan7.

5Security applianceje uređaj koji u sebi objedinjava više od jedne mrežne funkcionalnosti npr. router, switch, firewall, IDP, itd. 6Primjeri softverskih zaštitnih zidova koji se koriste na Windows platformi su: ZoneAlarm www.zonealarm.com, Comodo Firewall www.comodo.com, TinyWall tinywall.pados.hu, kao i generički MSWindows firewall ugrađen u operativni sistem ili sastavni dio nekog softverskog paketa za zaštitu korisničkih mrežnih uređaja.

http://www.zonealarm.com/

http://www.comodo.com/

http://tinywall.pados.hu/








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Kroz istoriju zaštitni zidovi su permanentno razvijani i danas su stigli do četvrte generacije. Međutim, bez obzira na generaciju zaštitni zid nije svemogud; njegova uspješnost u odbrani mreže od napada tj. učinkovitost odbrane zavise od ljudskog faktora, politika, kao i od znanja korisnika mreže, administratora i napadača/hakera.

Kako se povezati? Koje su nam opcije za uvezivanje na mrežu?

Krajnji korisnik se na mrežu može povezati na više načina, ali uvijek preko neke pristupne tačke. Pristupna tačka predstavlja mjesto gdje se mrežni interfejs korisnika povezuje na mrežnu infrastrukturu8 posredstvom nekog spojnog puta9 i bridge uređaja10. Tako se korisnik na mrežu može spojiti modemom za komutiranu (PSTN/ISDN/ADSL11) ili iznajmljenu telefonsku liniju, preko koaksialne kablovske mreže i otičkih vlakana, odnosno ethernet priključka žično; ili posredsvom operatera mobilne telefonije GSM G2 – LTE-a, posredsvom satelitskih operatera, Wi-Fi i sličnih konekcija bežično.

Šta to dobijamo povezivanjem?

Povezivanje u računarske mreže donosi pregršt benefita, kao što su:

Dijeljenje resursa

Dijeljenje podataka

7Za mrežnu zaštitu postoji veliki broj tzv. sofverskih ili virtuelnih appliance-a, najčešde izrađenih oko UNIX ili Linux kernala - https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions 8Mrežnu infrastrukturu čini sva aktivna i pasivna mrežna oprema koja posreduje u komunikaciji između krajnjih korinika. Može biti vrlo jednostavna i izuzetno kompleksna. 9Spojni put je ISO – OSI sloj 1 i može biti raznolik: mobilni (od GSM-a 2G do LTE), Wimax, Wi-Fi, različiti mikrotalasni linkovi, bakarni upredeni ili koaksijalni i optički kablovi, pa i radio talasi u etru na UHF/VHF/HF/MF i drugim opsezima frekventnog spektra. 10Bridge uređaj služi da napravi most između dvije različite arhitekture na ISO – OSI fizičkom sloju i sloju linka podataka. Najčešde je to uređaj koji neki ISO – OSI layer 1-2 privod prevodi na Ethernet interfejs ulaznog uređaja naše mreže (router/firewall), ili spaja dva fizička mrežna segmenta u jedinstvenu mrežu. 11PSTN – Public Switched Telephone Network tj. javna telefonska mreža ; ISDN – Integrated Services Digital Network tj. digitalizovana komunikacija preko telefonskih parica. Oba koncepta su ved tehnološki prevaziđena i zamjenio ih je istoj fizičkoj infrastrukturi koncept ADSL – Asymmetric Digital Subscriber Line, koji pruža mnogo vede brzine prenosa podataka.

https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Dijeljenje pristupa internetu

Bržu i kvalitetniju međusobnu komunikaciju učesnika mreže (tekstom, glasom i živom slikom)

Savremenu kolaboraciju

Moderne alate za edukaciju i obuku

Bogatstvo sadržaja za pretraživanje

Sisteme za daljinsko očitavanje

Sisteme za upravljanje na daljinu

Savremene sisteme za kontrolu pristupa i tehnički nadzor objekata

Smanjenje operativnih troškova kroz optimizaciju postupaka itd.

Naspram svih ovih benefita stoji jedan hendikep. U pitanju je izloženost sistema spoljnim uticajima tj. napadima i kompromitovanju podataka. Svaki sistem spojen na javnu mrežu izložen je spoljnim uticajima, pa kako nema sigurne brave i neprobojnog sefa, nema ni 100% sigurne mreže! U načelu, kako je ved rečeno, nema perfektnog uređaja za zaštitu mreže i ne postoji jedinstven proizvod, odnosno rješenje koje se može primjeniti i zauvijek riješiti problem izloženosti. Dakle, zaštita mreža je kontinuirani ciklični proces, procjene rizika i prijetnji, pronalaženja odgovarajudeg mehanizma za proaktivno i/ili reaktivno djelovanje, implementacija tih mehanizama, monitoring / provjera, analiza i unapređenje i ulazak u novi ciklus. Ovaj proces je i standardizovan od strane svih vodedih svjetskih standardizacionih organizacija. Tako je Intarnacionalna Standardizaciona Organizacija donijela npr. standard ISO 27001 kojim se definišu procedure u domenu upravljanja informacionom sigurnošdu. Drugi standard koji se primjenjuje nad mrežama, ali i mnogim drugim oblastima gdje je bitno upravljanje rizicima i prijetnjama je standard ISO 3100.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Jako bitno je razumjeti da ne posti apsolutna sigurnost mreže, ali i da svima nije potreban isti nivo sigurnosti, jer iste prijetnje nemaju isti uticaj na različite sisteme i organizacije. Takođe je jako bitno napomenuti da se moraju cijeniti rizici od ugrožavanja i iz spoljašnjeg svijeta i iz vlastite mreže i organizacije. Kada je riječ o ugrožvanja iznutra moramo razlikovati namjerno ugrožvanje i lošu bezbjednosnu kulturu.

U zavisnosti od spojnog puta tj. vrste priključka mogude su primjene različitih metoda napada:

• hvatanja sadržaja, njihova analiza i dalja eksploatacija; • mogude su infiltracije u mrežu kroz instalaciju zlonamjernog koda kod rajnjeg korisnika uz

njegovo posredovanje (aktiviranje attachment-a, koda postavljenog u neku sliku ili ispod tzv.

• action button-a i sl.) ili bez posredovanja (iskorištavanje propusta nekog programskog paketa ili operativnog sistema),

• infiltracija kroz propuste u kodu operativnog sistema odnosno firmware-a aktivne mrežne opreme

• nedozvoljen fizički pristup mrežnoj opremi i mrežnim uređajima • nedozvoljen pristup autorizacionim i drugim podacima i sl.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Povezivanjem na prežu postajemo izloženi i različitim načinima ugrožavanja privatnosti metodama prikupljanja podataka, kako statičnim tzv. Digitalni ID, tako i dinamičkim o našem ponašanju, navikama, potrebama i sl. tzv Digitalni karakter. Ovi podaci se kasnije mogu koristiti za ciljane prevare u kojima smo mi žrtve, kao i za prevare drugih navođenjem da pomisle da im prevara stiže od njima bliskog, odnosno poznatog lica. Glavni odgovor na ovu prijetnju je povedanje svijesti i znanja o potencijalnim metodama napada i povedanje bezbjednosne kulture, zašta je potrebno sprovoditi obuke, konsultacije, seminare, ali i donositi bezbjednosne politike i mjere i insistirati na njihovom sprovođenju.

Bežične mreže su danas jako rasprostranjene. Mogu se nadi na skoro svakom koraku: kafei, restorani, javne zdravstvene ustanove, stadioni, školske ustanove, javne ustanove, parkovi, autobuske i željezničke stanice, aerodromi, luke, pa i u sredstvima javnog prevoza od Taxi vozila, preko autobusa i vozova do brodova i aviona. Ovo bogatstvo pristupnih tačaka je mač sa dvije oštrice.

Ne rijetko se dešava da je na nekoj tzv. besplatnoj i otvorenoj pristupnoj tački neko ko osluškuje nezaštidenu komunikaciju i prikuplja podatke12. Na ovaj način možete hakeru omoguditi da prikupi podatke o vama, listu vaših kontakata, poruke koje šaljete itd. Ovakve pristupne tačke uglavnom treba izbjegavati sa aspekta sigurnosti, ili im pristupati oprezno i uz upotrebu nekog od softvera za kriptovanje podataka između vašeg uređaja i servera i ili SSH/SSL portova za pristup određenim servisima.

Dakle, zaključak je da je bolje koristiti pristup sigurnim mrežama, gdje god je to mogude, a takođe, u vlastitoj mreži, omoguditi pristup samo kroz sigurnu mrežnu pristupnu tačku. Sigurna mreža? Naravno, to ne postoji! Ali, postoji mogudnost da štitimo saobradaj u etru između našeg korisničkog uređaja i pristupne tačke upotrebom nekog od standarda i algoritama za tu namjenu. Danas su u upotrebi WEP, WPA1 i WPA2 standardi sa unaprijed dodjeljenim statičkim ključem (PSK13) ili u Enterprise varijanti sa dinamički dodjeljenim ključem posredstvom RADIUS servera. WEP je prevaziđen, i poželjno je tretirati ga jednako i otvorenu mrežu bez kriptovanja. Ovaj algoritam je mogude provaliti u jako kratkom vremenskom periodu, čime se u potpunosti

12Blog Ben Miller's blog on Wi-Fi sniffing. Surveys, analysis, security and whatever else. http://www.sniffwifi.com/ 13PSK – Pre-shared key

http://www.sniffwifi.com/








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

omogudava pristup žrtvi kao kod legitimnog pristupa, tako da je danas ovaj način zaštite samo lažna sigurnost sa mogudim vrlo negativnim posljedicama. Preporuka je da se koristi WPA2 ili WPA1 enkripcija zavisno od toga koji tip kriptovanja podržavaju uređaji. Naravno potrebno je da PSK, koji se koristi u vedini slučajeva, bude blizu slučajno generisanog i ne baš kratak, ali ni predugačak. Preporučljivo je koristiti dužine od 8 do 1214 karaktera

Kada je riječ o pristupnim tačkama (AP) naše mreže postavlja se pitanje da li je dovoljna zaštita upotreba enkripcija između pristupnog uređaja i AP ili je potrebno primjeniti dodatne mehanizme? Svakako odgovor na ovo pitanje treba da sugeriše glavni administrator mreže odnosno IT direktor, a na menadžmentu je da donese odluku o nivou zaštite, odnosno nivou prihvatljivog riziga. Dodatno se možemo primjenom nekoliko naprednih kontrolnih mehanizama:

• MAC filterning, odnosno MAC ACL15 • Captive portal16 čijom se primjenom obezbjeđuje da se sav mrežni saobradaj preusmjerava

na portal. U ovom slučaju neophodno je ulogovati se, najčešde upotrebom korisničkog imena i lozinke, a u bolje obezbjeđenim mrežama i dodatnim instrumentima zaštite kao što je OTP17, kako bi se dobila dozvolu za korištenjem mrežnih resursa.

Takođe, neophodno je koristit mehanizme kontinuiranog monitoringa saobradaja u vlastitoj mreži, njegovu analizu, te koristiti napredne mogudnosti IDP18-a i firewall-a.

Kontrola pristupa predstavlja sigurnosni mehanizam kojim se pristup resursima odobrava samo autorizovanim licima. Na ovaj način štitimo asete od neovlaštenog pristupa i mjenjanja. Kontrolu pristupa treba sprovoditi na svim nivoima i nad svim asetima. Dakle, potrebno je vršiti kontrolu pristupa na fizičkom nivou (pristup objektima u kojima su datacentri, pristup samim datacentrima, pristup sistemima napajanja i sistemima klimatizacije datacentara, pristup mrežnoj aktivnoj i

14http://www.zdnet.com/article/how-long-does-a-wpa-key-need-to-be/ 15ACL predstavlja kontrolne pristupne liste, koje mogu biti bazirane na tzv. labavoj i tvrdoj administraciji. U labavoj je dozvoljen pristup svim uređajima prema MAC-u, osim onih koji su eksplicitno zabranjeni, dok je u tvrdoj administraciji zabranjen pristup svim MAC osim onih kojima je pristup eksplicitno odobren. 16Captive portal - https://en.wikipedia.org/wiki/Captive_portal 17OTP – jednokratno definisana lozinka, https://en.wikipedia.org/wiki/One-time_password 18IDP – intrusion detection and prevention, https://en.wikipedia.org/wiki/Intrusion_prevention_system

http://www.zdnet.com/article/how-long-does-a-wpa-key-need-to-be/

https://en.wikipedia.org/wiki/Captive_portal

https://en.wikipedia.org/wiki/One-time_password

https://en.wikipedia.org/wiki/Intrusion_prevention_system








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

pasivnoj opremi), mrežnom nivou (prijavljivanje na mrežu i upotreba mrežnih resursa i servisa) i aplikativnom nivou (kontrola u samim aplikacijama).

Metode kontrole se na svim nivoima zasnivaju na primjeni sličnih politika i metoda, i svode se na utvrđivanje identiteta subjekta koji želi da pristupi nekom resursu i odobravanja ili neodobravanja pristupa u skladu sa ovlaštenjima subjekta nad traženim resursom/objektom.

Identifikacija korisnika se može vršiti na osnovu dokumenta/iskaznice (NFC, RFID, čip i druge kartice) koji nosi sertifikat identiteta subjekta, unošenjem PIN-a odnosno passworda, čitanjem biometrijskih podataka (skeniranje rožnjače, otiska prsta, karakteristika anatomske građe itd.), kao i kombinacijom navedenih metoda.

U svakom navedenom slučaju u kome je subjekat/korisnik onaj koji generiše pristupni kod neophodno je poznatavati osnovne principe i načine kreiranja ključnih riječi (PIN-a odnosno passworda). Time se izbjegavaju dvije izuzetno negativne pojave: kreiranje trivijalnih s jedne, odnosno suviše kompleksnih ključnih riječi s druge strane.

Pozitivna praksa nam govori da je jako važno ispravno kreirati ključnu riječ, tako da je možemo pamtiti, a ne zapisivati, a da nije previše jednostavna za pogađanje, i daje nekoliko smjernica kojih se treba pridržavati:

• Kada god i gdje god je mogude treba kreirati lozinku (password) umjesto PIN-a • Ako se kreira PIN treba izbjegavati ponavljanje cifara (5555, 1188, 1999, 8887 i sl), kao i

sekvencijalne PIN-ove (1234, 2345, 9876 i sl.) • Lozinka treba da sadrži alfanumeričke znake, dakle velika i mala slova i brojeve i znakove • Treba izbjegavati vlastita imena, toponime, imena kudnih ljubimaca, kao i objekata koji se

lako mogu asocirati sa nosiocem lozinke (marka automobila, telefona i sl.), takođe je poželjno izbjegavati karakteristične datume (rođendane, godišnjice i sl.) i brojeve (matični broj, broj identifikacionog dokumenta, tablice automobila, broj telefona i sl.)

• Lozinka treba da ima između 5 i 12 karaktera dužine • Lozinku treba redovno mjenjati • Poželjno je kreirati nekoliko (ne previše) lozinki za različite namjene, npr. lozinka za

društvene mreže, lozinka za razne portale, lozinka za ličnu poštu i lozinka za poslovne siteme i lozinka za elektonsko bankarstvo. Ove lozinke mogu biti unaprijed definisana varijacija osnovne lozinke, tako da se uvijek mogu lako izvesti izvesti iz nje.

• Lozinka je lična stvar i ne treba je saopštavati nikome, niti je zapisivati na ceduljice u imenik telefona i druge potsjetnike








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

• Lozinku ne treba unosti u prisustvu drugih lica i u prostorijama koje su pokrivene kamerama na taj način da je mogude čitati odnosno lako pogoditi koji se sadržaj unosi

Dakle, poželjno je da se lozinka kreira kombinacijom dvije riječi srednje dužine, uz upotrebu barem jednog znaka interpunkicje, broja i kombinacijom velikih i malih slova. Evo jednog takvog primjera: riječi krasta i plata uz par brojeva i znakova interpunkcije mogu kreirati nekoliko različitih loziki zamjenom samo jednog karaktera i tako osigurati dobre lozinke duži vremenski period, kao na primjer KraP1aTasta$, pLaSt#A.T.A i sl.

Još bolje je omoguditi tzv. dvofaktorsku kontrolu pristupa, odnosu upotrebu osnovne i dodatne identifikacije, kao na primjer: Otisak prsta + PIN, kartica + PIN, lozinka + OTP19 i sl. što podiše kontrolu pristupa na viši nivo i omogudava mnogo bolju konrolu pristupa.

1. Šta je komunikacija? 2. Šta je računarska mreža? Ko sve može učestvovati u mrežnoj komunikaciji? 3. Šta je topologija mreže? Koje su prednosti i mane pojedinih topologija? 4. Zašto je donijet ISO OSI model i koje su njegove osnovne karakteristike? 5. Koji uređaj odvaja LAN od MAN mreže? 6. Koja je uloga mrežnih administratora? 7. Koja je osnovna namjena zaštitnog zida? 8. Koje su prednosti umrežavanja, a koje mane? 9. Čemu smo sve izloženi kod umrežavanja? 10. Da li postoji sigurna mreža? 11. Kojim smo rizicima izloženi prilikom bežičnog spajanja na otvorenu mrežu? 12. Koji protokoli/algoritmi se koriste za enkripciju sadržaja između bežičnog klijenta i

pristupne tačke (AP)?

19 One Time Password je tehnika kojom se generiše jednokratni, kratkotrajni kod kao dodatak osnovnoj lozinki. OTP može biti implementiran kao kombinacija serverskih kodova usaglašenih sa tzv. tokenima na čijim ekranima se očitavaju kodovi, sofverski impelentirana kombinacija kombinacija serverskih kodova s aplikaciom za smartphone, kombinacija serverskih kodova distribuiranih putem SMS-a ili čak u vidu papirne matrice kodova koji se mogu samo jednom upotrebiti. Ovo posljednje je najlošija praksa i treba je izbjegavati.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

13. Koje metode se koriste za poboljšanje sigurnosti mreža? 14. Kako se može kontrolisati pristup mrežnim resursima? 15. Koje su napredne tehnike za kontolu pristupa mrežnim resursima?

Autor: Igor Vujačić, Vosjka Crne Gore, Institut savremenih tehnologija Crne Gore








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Abstrakt: U priručniku su date osnove potrebne za razumijevanje bezbjedne trgovine na internetu sa aspekta bezbjednosti podataka korisnika i njihovu privatnost. Dat je osvrt na načešde korišdene sajber napade, uz njihov kratak opis i karakteristike. Time se omogudava bolje razumijevanje i zaštita od napada. Opisani su bezbjedni načini pretraivanja Interneta kao i čuvanje podataka na lokalnom i serverskom nivou. Uveden je i pojašnjen pojam kolačida, njihova svrha i načini ina koje se može kontrolisati količina podataka koja se u njima čuva. Pojašnjen je kredibilitet sajtova i autentifikacija i uveden je pojam digitalnog sertifikata. Osim toga definisan je pojam jednokratne lozinke i načini i razlozi njene upotrebe. Velika količina ličnih podataka ostaje sačuvana u računaru tokom krstarenja po internetu pa je shodno tome dat osvrt na načine brisanja ličnih podataka o radu na Interntu. Opisani su programi za kontrolu sadržaja i ukazano je na njihovu svrhu, funkciju i vrstu. Jedan od velikih problema upotrebe Interneta je i nepravilna ili nedovoljno savjesna upotreba društvenih mreža. Dat je osvrt na probleme privatnosti na društvenim mrežama i na koji način bi trebalo da se podese ti aspekti na društvenim mrežama radi smanjenja mogunosti zloupotrebe. Takođe, upotreba društvenih mreža za sobom povlači razne opasnosti i zloupotrebe i dat je osvrt na moguda opasna djelovanja sa društvenih mreža i na načine njihove prevencije.

Ključni pojmovi: online aktivnosti, sajber napad, lozinka, digitalni sertifikat, kolačid, automatski unos podataka, društvene mreže, privatnost








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Online kupovina (ili online shopping) je proces u kojem kupci kupuju usluge i proizvode direktno od trgovca u realnom vremenu putem Interneta.

Kada poslujete na mreži možda dete u jednom trenutku morati zatražiti ili dati korisničke podatke – na primjer, ako se prijavljujete za bilten ili vršite kupovinu.

»SSL« (Secure Sockets Layer) tehnologija predstavlja šifriranje podataka koji putuju između web-preglednika i web-poslužitelja koja pomaže u zaštiti korisničkih podataka. Web-adrese koje su zaštidene SSL protokolom započinju izrazom https:, a ne izrazom http: pa zato neki SSL protokol nazivaju i »HTTPS«.

Prednosti SSL protokola

Upotreba SSL protokola omogudava viši nivo privatnosti i sigurnosti od nešifrirane internetske veze. On smanjuje opasnost da trede strane presretnu i zloupotrijebe podatke. Brojni posjetioci web-lokacija smatraju da je dijeljenje podataka o pladanju i ostalih ličnih podataka sigurnije ako koriste SSL vezu.

Slika 1.1: Upotreba SSL protokola, kriptovanje podataka i zaštita privatnosti.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Na vedini web-preglednika se prikazuje ikona katanca kada se uspostavi SSL veza. Kao primjer pogledajte pokazatelje SSL veze na pregledniku Chrome

Slika 2.1: Stranica zaštidena SSL protokolom, katanac kao oznaka protokola.

Najjednostavniji način provjere upotrebe SSL protokola je unos web-adrese koju želite provjeriti u preglednik s izrazom https:// na početku, na primjer, https://adwords.google.com. Ako se u pregledniku prikaže ikona katanca, kliknite je za dodatne informacije o sigurnosti veze. Ako se ikona katanca ne prikaže, stranica nije zaštidena SSL protokolom.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slika 2.2: Stranica koja nije zaštidena SSL protokolom.

Napominjemo da brojne web-lokacije koriste SSL protokol samo na određenim stranicama na kojima se prenose osjetljivi podaci, poput šifre ili broja kreditne kartice.

Slika 2.3: Stranica za online kupovinu koja nije zaštidena SSL protokolom.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slika 2.4: Stranica za online kupovinu na kojoj se vrši pladanje zaštidena SSL protokolom, https nas upuduje na sigurnu vezu.

Još 2000. godine Ujedinjene nacije su na svom Desetom kongresu za suzbijanje kriminala i postupanju prema prestupnicima podijelile cyber-kriminal na dvije sub-kategorije:

Cyber-kriminal u užem smislu – svako nezakonito ponašanje usmjereno na elektronske operacije sigurnosti kompjuterskih sistema i podataka koji se u njima obrađuju

Cyber-kriminal u širem smislu – svako nezakonito ponašanje vezano za ili u odnosu na kompjuterski sistem i mrežu, uključujudi i takav kriminal kakvo je nezakonito posjedovanje, nuđenje i distribuiranje informacija preko kompjuterskih sistema i mreža

Osnovno obilježje špijunaže je odavanje tajne, a osnovni oblik je saopštavanje, predaja ili činjenje dostupnim povjerljivih podataka. Pri tome špijunaža može biti motivisana vojnim, političkim ili ekonomskim razlozima, zbog čega se mnoge zemlje preko svojih tajnih službi angažuju u otkrivanju političkih, vojnih, ekonomskih i službenih tajni drugih zemalja.

Cyber špijunaža je akt ili praksa dobijanja tajne bez odobrenja nosioca informacija (licnih, osjetljivih, vlasničkih ili tajnog karaktera), od pojedinaca, konkurenata, rivala, grupa, vlade i neprijatelja za ličnu ekonomsku, političku ili vojnu prednost koristedi nelegalne metode na








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

internetnu, mrežama ili pojedinačnim računarima. Cyber špijunaža je metod koji se koristi preko interneta. Za izvodenje cyber špijunaže uglavnom se koriste špijunski programi (RAT, Keyloger,...), trojanski konji (specijlni trojanci napravljeni da špijuniraju korisnika), virusi...

Tokom godina bilo je mnogo slučajeva cyber špijunaže, ali svakako jedan od najvecih je »Shady RAT«. Ovu operaciju je otkrila kompanija McAfee u Avgustu 2011. godine. Operacija »Shady RAT« trajala je pet godina i došlo je do krade intelektualnog vlasništva više od 70 državnih agencija, multinacionalnih korporacija i drugih organizacija iz 14 zemalja.

Haking kao pojava postao je stvarni problem tek u poslednjoj deceniji 20 -og vijeka, naročito usljed njegovog naglog razvoja.

Haking je takav pristup kompjuterskom ili komunikacionom sistemu za koje ne postoji dozvola njegovog korišcenja.

Osnovno obilježje hakinga je narušavanje sistema zaštite i neovlašceni upadi u tuđe informacione sisteme, što je u klasičnom smislu ekvivalentno upadu u tude objekte.

Osnovne karakteristike hakinga su:

• Neautorizovan i brižljivo planiran pristup; • Nasilan pristup, jer je u pitanju probijanje zaštite sistema; • Pristup se realizuje kroz upad u sistem, pri čemu se termin »upad« koristi za označavanje

raznih metoda i tehnika provaljivanja u sistem; • Upadi u sistem baziraju se na visokom profesionalnom znanju; • Mjesto upada je po pravilu udaljeno od mjesta gdje se nalazi napadač; • Činjenjem hakinga napadač, po pravilu, istovremeno čini i druga djela: špijunažu, prevaru,

pronevjeru, krađu usluga, sabotažu, distribuciju virusa i razne druge manipulacije;

Sabotaža je prikriveno i podmuklo delovanje, cime se nanosi šteta drugima, a cyber sabotaža podrazumjeva uništenje ili oštecenje kompjutera i drugih uredaja za obradu podataka u okviru kompjuterskih sistema, ili brisanje, mijenjanje, odnosno sprečavanje korišcenja informacija sadržanih u memoriji informatickih uređaja. Najcešci vidovi cyber sabotaže su oni koji djeluju destruktivno na operativno-informativne mehanizme i korisničke programe, prije svega, one koji








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

imaju funkciju čuvanja podataka. To se najčešce realizuje korišcenjem standardnih uslužnih programa, sopstvenih programa ili korišcenjem tehnika kao što su logička bomba, trojanci, sporedna vrata ili virusi. Saboteri mogu imati različite motive, koji mogu biti politickog, ekonomskog, vojnog službenog ili privatnog karaktera.

Pokušaj da se aktivno preduhitre sve vedi upadi kompjuterskih provalnika -hakera u važne kompjuterske sisteme, administrativne, korporacijske i vojne jeste i nova cyber-strategija SAD, koja, izmedu ostalog, hakerski napad na kompjuterske sisteme u SAD smatra činom rata, zbog čega de Pentagon biti spreman da po potrebi uzvrati i tradicionalnom vojnom silom.

Ovo je svakako u funkciji upozorenja, jer se polazi od osnovanog uvjerenja da veliki hakerski napadi na ključne kompjuterske sisteme nisu mogudi bez neke vrste institucionalne podrške država iz kojih ti upadi dolaze. Čak i u slučaju da hakeri nisu dio ratne mašinerije neke države, ona de, ako napad dolazi sa njene teritorije, biti proglašena odgovornom na sličan način kao što bi bila odgovorna ako bi sa njenog tla bio organizovan neki teroristički napad. Paralela je utočište koje je talibanski režim u Avganistanu pružao »Al-Kaidi«, što je bio razlog za američku intervenciju i okupaciju ove zemlje poslije terorističke diverzije od 11. septembra 2001.

Sajber terorizam obično podrazumijeva napade na kompjuterske sisteme ili mreže iza kojih stoje neki politički ciljevi. Često su namijenjeni za zastrašivanje vlade ili građana neke države ili izazivanje ekonomskog gubitka. Pod sajber terorizmom podrazumevaju se i fizicki napadi I uništavanje važnih kompjuterskih sistema i infrastruktura.

Postoje tri osnovna načina na koje teroristi mogu da koriste računare za koordinisanje, planiranje i izvršavanje svojih aktivnosti u ostvarivanju svojih ciljeva:

Korišcenje racunara kao alata. Terorističke grupe koriste internet za propagiranje svojih ideja preko web sajtova i prikupljanje finansijskih sredstava, obično u vidu dobrotvornih priloga, kao i prikupljanje i razmjenu obavještajnih podataka,

Teroristi mogu da koriste računare u planiranju i organizovanju svojih programa rada. Oni u računarima drže svoje finansijske knjige, terorističke planove, potencijalne ciljeve, dnevnike prismotre, planove napada...

Cyber-teroristi mogu da koriste računare za neovlašcen pristup vladinim i privatnim informacionim sistemima u cilju izazivanja ozbiljnih, čak i katastrofalnih posljedica.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Razvojem racunarske tehnologije, teroristicke organizacije su dobile novo oružje zaostvarivanje svojih ciljeva. Terorističke grupe koriste računare i Internet za širenje svojih ideja.

Oni koriste veb sajtove za regrutovanje novih članova kao i za prikupljanje sredstava. Kriminalci čak pomodu svojih tehničkih vještina kradu informacije sa kreditnih kartica, kako bi finansirali terorističke aktivnosti. Vrlo je teško boriti se protiv sajber terorizma, jer novi, napredni alati za sajber kriminal onemogudavaju identifikaciju terorista tokom njihovih napada.

Cyber ratovanje je podvrsta informacionog ratovanja, koja se odvija u cyber prostoru. Na cyber prostor može uticati bilo koja grupa koja posjeduje računare koji se mogu povezati u postojede računarske mreže. Internet napadi neke grupe mogu biti usmjereni na namjerno ubacivanje dezinformacija na neke internet forume, enciklopedije, blogove i web stranice slicnog karaktera ili mogu biti strogo usmjereni prema mrežnoj sabotaži tj. internet terorizmu.

Objekat cyber napada mogu da budu informacioni resursi, odnosno njihov potencijalni cilj može da bude sve što povezuju, pokredu i opslužuju kompjuteri: vojni kompjuterski sistemi, sistemi državne uprave, sistemi za kontrolu vazdušnog i željeznickog saobracaja, sistemi za snabdijevanje gasom, vodom i električnom energijom i slično. S obzirom na to koliko takvih sistema ima, posebno u informaciono razvijenim zemljama, za koje i kakve funkcije se koriste i kolika je njihova osjetljivost na poramedaje i destrukciju, činjenica je da informacioni ambijent nudi teroristima pravo bogatstvo izbora veoma atraktivnih i visoko vrijednih ciljeva.

Nekada je cyber ratovanje podrazumjevalo samo međusobno bockanje »zaradenih«država: testirali su se kapacitet, procenjivala se infrastruktura, tražile su se sigurnosne rupe. Sa vedom integracijom ključnih sistema za upravljanje (ekonomskih, vojnih, komunikacionih) stvorili su se uslovi i za pravi cyber rat.

Iako razmjere ovog nevidljivog sukoba nisu poznate, jasno je da su najistaknutiji akteri Amerika i Kina. To nije samo digitalni rat dvije države, ved su u sukob uvučene i najvede svjetske internet kompanije kao što su Facebook, Google,...

Dublji sloj ovih sukoba daleko je od očiju javnosti. Ciljevi su poznati, ali sofisticirane tehnike koje se razvijaju drže se u tajnosti. Američki Pentagon ulaže ogromna finansijska sredstva ne samo u cilju razvijanja defanzivnog štita protiv hakerskih napada ved i za razvoj ofanzivnih tehnika.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Cyber prevara se odnosi na bilo koju prevaru pri čijem izvršenju se lice koje u namjeri pribavljanja protivpravne imovinske koristi za sebe ili drugoga iskoristi jednu ili više komponenti Interneta kao što su chat rooms (sobe za daskanje), veb stranice (Web sites), elektronska pošta (e-mail) da bi se stvorili uslovi za lažno prikazivanje ili prikrivanje činjenica kojim bi se neko lice dovelo u zabludu ili u njoj održavalo, da bi to lice učinilo nešto na štetu svoje ili tuđe imovine tako što bi na primjer sprovelo neku finansijsku transakciju ili prenijelo neke podatke nekoj finansijskoj instituciji koja je meta napada.

Broj oblika prevara, kao i način njihove realizacije je praktično neograničen i u praksi se susredu kako one vrlo primitivne i grube, tako i one prevare kod kojih učinioci ispoljavaju veliki stepen vještine i rafiniranosti. Ono što karakteriše cyber prevare je da one daleko dopiru zbog veličine Interneta kao tržista, da se brzo šire jer sa Internetom kao medijem sve se dešava mnogo brže, i niski su troškovi izvodjenja ovakvih vrsta prevara.

Cyber prevaranti zloupotrebljavaju upravo one karakteristike Cyber-prostora koje doprinose rastu elektronske trgovine: anonimnost, distanca izmedu prodavca i kupca i trenutna priroda transkacija. Uz to, oni koriste prednost činjenice da prevara preko Interneta ne zahtjeva pristup do nekog sistema za isplatu, kao što to zahtjeva svaka druga vrsta prevara i što je digitalno tržište jos uvek nedovoljno uredjeno i kao takvo konfuzno za potrošace, što za njih predstavlja skoro idealne uslove za prevaru.

Najpoznatija prevara je naravno Nigerijska prevara. Po istraživanju holandske agencije Ultrascan koja se ved gotovo dvije decenije bavi istragama i analizom internet prevara, nigerijska email prevara je u toku 2009. godine u Hrvatskoj odnela gotovo milion dolara, a preko milion dolara u Srbiji i Crnoj Gori za isti period, dok su širom svijeta prevaranti napravili zapanjujuci profit od 9.3 milijarde dolara samo u prošloj godini.

Krađa računarskih usluga, odnosno neovlašceno korišcenje sistema, je veoma rasprostranjena pojava u oblasti informacione tehnologije, a cilj joj je da se za obavljanje privatnih poslova koriste tuđi računarski resursi.

Ozbiljne prijetnje dolaze od strane hakera, čije su česte mete računarski sistemi telefonskih kompanija. Upadom u ove sisteme hakeri, između ostalog, obezbjeđuju besplatno korišcenje telefonskih usluga za pristup drugim računarima širom sveta. U novije vrijeme brojni su napadi na








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

kudne bežicne mreže. Mnogi koriste internet usluge od drugog pretplatnika tako da on nije svjestan toga. Na internetu se mogu nadi razni tutorijali kako izvesti ovaj napad i on ne zahtjeva veliko tehničko znanje.

Piratstvo softvera je korišdenje ili umnožavanje i distribucija softvera i programa koji nisu nabavljeni na legalan nacin. Tu se podrazumijeva da pojedinci ilegalno kopiraju koriste ili preprodaju tudje softvere. Softver može biti ekstremno vrijedan pri čemu onaj ko ima softver polaže ili podrazumijeva izvjesna vlasnička prava koja se ne razlikuju od prava na druge vrste dobara. Ilegalno kopiranje softvera je akt koji lišava vlasnika određenih legalnih prava, jer svaka ilegalna kopija ima potencijal lišavanja zakonitog vlasnika odredžđene dobiti ili drugih pogodnosti koje je mogao ostvariti da ilegalna kopija nije bila napravljena.

U vrijeme velike konkurencije i stalnih inovacija, posjedovanje prave informacije u pravo vrijeme osigurava kompaniji vodedi položaj na tržištu i stvara održivu konkurentsku prednost.

Otvara se i mogucnost stvaranja velike baze podataka sa ciljem održavanja i povedavanja tržišnog učešca, kao i profita. Bitno je u pravo vrijeme otkriti šta konkurenti rade i šta namjeravaju raditi. U tu svrhu pribjegava se industrijskoj špijunaži. Razlog je jednostavan. Ekonomska špijunaža iziskuje mnogo manje troškove nego što je potrebno za ulaganje u sektor istraživanja I razvoja, štedi na angažovanju specijalizovanih stručnih kadrova i smanjuje tehnološki jaz u odnosu na konkurenciju. Ekonomska industrijska špijunaža predstavlja skup dobro planiranih I veoma stručno izvedenih aktivnosti u cilju pribavljanja povjerljivih ekonomskih informacija, koje su od koristi za poslovne projekte firme ili zaštitu ekonomskih interesa svoje države.

Metode dobijanja informacija privatnog i komercijalnog tipa mogu se klasifikovati prema mogudim kanalima oticanja informacija:

• Akusticka kontrola prostorije, automobila, neposredno coveka; • Kontrola i prisluškivanje telefonskih veza, preuzimanje faks-veze i modemske veze, mobilne

i radioveze; • Preuzimanje kompjuterske informacije, uključujudi i radiozračenje kompjutera,

nesankcionisano ulaženje u baze podataka i slicno; • Tajno fotografisanje i snimanje, specijalna optika; • Vizuelno pradenje objekta; • Nesankcionisano dobijanje informacija o ličnosti putem potkupljivanja ili ucjene službenika

odgovarajucih službi;








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

• Potkupljivanje ili ucjenjivanje saradnika, poznanika, službenika ili rodaka, upoznatih sa prirodom posla;

Industrijska špijunaža često obuhvata tehnologiju ili robu koja ima i civilnu i vojnu primjenu. Zbog bezbjednosnih razloga, američke obavještajne službe kontrolišu izvoz osjetljive tehnologije pojedinim zemalja. Zbog toga mnoge američke kompanije moraju biti vrlo pažljive I štititi se od špijunaže, dok pokušavaju plasirati svoju robu i probiti se na nova tržišta. Između ostalog, posebna opasnost vreba od insajdera, koji su spremni da prodaju poslovne tajne kompanije drugima. Takođe veliku opasnost predstavlja internet i njegova upotreba bez adekvatnih zaštitnih softvera u okviru preduzeda.

Metode i postupci industrijske špijunaže su na primjer: »trojanski konj«, izdaja, provala, korupcija, krađa industrijske tajne, prisluškivanje razgovora i telefonskih i drugih komunikacija I slično. Postoje takođe i neopreznosti u području bezbjednosti industrijske tajne koje dovode do njenog otkrivanja (površnost kadrova, otkrivanje tajne neoprezom, komercijalna hvalisavost, tehničke konferencije i savjetovanja i sl.). Da bi se zaštitile poslovne tajne, preduzimaju se, pored postojedih zakonskih propisa i mjera, posebne bezbjednosne aktivnosti. Donose se sigurnosni programi koji su preventivno usmjereni na sve mogude krizne tačke, o čemu brinu menadžeri bezbjednosti.

Aukcijske prevare na internetu danas su jedne od najučestalijih prevara izvršenih preko interneta. Aukcija je proces kupovine i prodaje raznih stvari po principu ko da više (licitacija) gdje ponuđač najviše cijene dobija. Danas je Internet preuzeo proces aukcija u pravom smislu te riječi.

Online aukcije su se pokazale kao vrlo unosan posao. Mnogi žive tako što kupuju I prodaju preko online aukcija. Milioni online aukcija dešavaju se svakodnevno i na njime se širom svijeta nudi najraznovrsnija roba. Prodavci imaju svoj kutak koji mogu da posjete milioni ljudi, a kupci imaju mogudnost da nabave sve što im je potrebno. Online aukcije pružaju mnogima mogudnost izvršenja najraznovrsnijih prevara. Ove aukcije uključuju prevare kao što su neisporučivanje robe, lažno predstavljanje, prodaja robe sa crnog tržišta i dr. Najpoznatiji aukcijski sajt u svijetu je eBay.com.

U ovu grupu sajber krimniala spadaju dječija pornografija, pedofilija, vjerske sekte, širenje rasističkih, nacističkih i sličnih ideja i stavova, zloupotreba žena i djece, manipulacija zabranjenim proizvodima, supstancama i robom (droga, ljudski organi, oružje). Postoji veliki broj sajtova koji








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

neupuenim posjetiocima izgledaju sasvim regularno ali u poddomenu kriju neki od zabranjenih sadržaja. Obično se tim sadržajima može pristupiti po preporuci ili tako što su se informacije o sajtu dobile na nekom od foruma ili društvenih mreža. Sadržaj na ovim sajtovima se ne uklapa u moralne i etičke norme savremenog društva i distribucija i korišdenje takvog sadržaja je zakonski kažnjivo.

Nadgledanje se najcešce vrši uz pomod nekih softverskih alata kao što su keylogger i spyware. Spyware su softveri najcešce ugradjeni i kamuflirani u neke druge softvere a zadatak im je da bez znanja korisnika šalju podatke na unaprijed odredjene adrese.

Keylogger-i su programi koji pamte sve što korisnik ukuca preko tastature. Oni mogu i da snimaju screenshot korisnika, kao i da peuzimaju e-mail, razgovore, e-konferencije i dr. sa racunara na kom je instaliran. Vedina modernih keylogger-a se smatra legalnim softverom. Programeri i prodavci nude dugacku listu slučajeva u kojima je upotreba keylogger-a pravna i odgovarajuca.

Prisluškivanje (sniffovanje) je veoma popularna tehnika među hakerima, dokonim administratorima, kriminalcima, za sticanje potrebnih informacija. Sem toga računari komuniciraju putem kablova koji oko sebe stvaraju elektromagnetsko polje. Signale koji se šalju moguce je hardverski snimati i zatim kasnije analizirati.

Danas se sve manje koristi telnet kao servis za daljinsko pristupanje zbog njegove nesigurnosti. Umesto njega danas se koristi SSH (secure shell) servis koji za razliku od telneta enkriptuje cjelokupan saobracaj u komunikaciji izmedu korisnika i servera.

Pored prisluškivanja telnet sesija mogude je prisluškivati i sve ostale TCP/IP sesije koje ne koriste metode kriptovanja. Samim tim znači da je jedan od servisa koji je i doprineo velikoj popularizaciji interneta, e-mail, takode ugrožen.

Spam je anonimna, neočekivana, masovna elektronska pošta. Ovu poštu u ogromnim količinama šalju spameri koji zarađuju novac od malog procenta primaoca koji kupe proizvod koji se reklamira u spam poruci. Spam se takođe koristi za phishing (obmanu) i širenje štetnog koda.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Tokom poslednje decenije, korišcenje i slanje spam poruka se raširilo. U početku, spam se slao direktno korisnicima kompjutera i bilo ga je lako blokirati, ali u godinama koje su uslijedile, brzo širenje interneta je omogudilo spamerima da jeftino i brzo šalju masovnu poštu, I to onda kada su otkrili da modemima individualnih korisnika može pristupiti bilo ko, sa bilo kog mjesta u svijetu, zbog toga što oni uopšte nisu bili zašticeni. Drugim riječima, internet konekcije korisnika koji ništa ne sumnjaju mogu biti iskorišcene za spamovanje znatno vedeg obima.

To se dešavalo sve dok proizvođadi hardvera nisu počeli da osiguravaju svoje uređaje, a filteri postajali sve vještiji u blokiranju spama. Pa ipak, spamerske tehnike su se uvijek razvijale, ne samo u pogledu slanja spama, ved i kao odgovor na razvoj filtera. Rezultat je tekuda bitka između spamera i onih koji nastoje da ih spriječe, konstantno nastojedi da budu korak ispred u borbi sa spamom koji izaziva zakrčenje na autoputu informacija.

Prema izveštaju SpamCop-a prosecan broj spam poruka u jednoj sekundi je 16,4 dok je maksimalan broj spam poruka u sekundi iznosio 45,2 poruke.

Phishing je oblik sajber-kriminala zasnovan na metodama društvenog inžinjeringa. Naziv phishing je namjerna greška u pisanju riječi fishing (pecanje), a podrazumijeva krađu podataka sa kompjutera korisnika i kasnije korišdenje tih podataka za krađu korisnikovog novca.

Sajber-kriminalci stvaraju savršene kopije komercijalnih web sajtova finansijskih insitucija. Oni potom nastoje da namame korisnike, koji naravno ništa ne sumnjaju, na sajt kako bi u lažnim formularima na sajtu ostavili svoje login podatke, šifru, broj kreditne kartice, PIN itd.

Ove podatke sakupljaju phisher-i koji ih kasnije koriste za neovlašceni pristup korisničkim nalozima.

Neke finansijske institucije sada koriste grafičke tastature, gdje korisnik bira tastere pomodu miša umjesto da koristi tastere na pravoj tastaturi. Ovo onemogudava phisher-e da sakupljaju povjerljive podatke »hvatanjem« unosa preko tastature, ali nema pomodi protiv takozvanih screenscaper metoda gdje Trojanac pravi trenutni snimak korisnikovog ekrana I prosljeđuje ga serveru kontrolisanom od strane autora Trojanca.

Postoji nekoliko razlicitih načina na koji se korisnici mogu odvesti na lažni web sajt:

• Spam e-mailovi, koji nalikuju prepisci sa legitimnom finansijskom institucijom. • Agresivnije profilisanje, preciznije ciljana varijanta prethodno navedene metode:

sajberkriminalci usmjeravaju phishing scam (prevaru) na korisnike nekog sajta (recimo Facebook) tražeci od njih da potvrde šifre, na primer.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

• Instaliranje Trojanca koji mijenja host fajlove, tako da kada žrtva pokušava da pregleda sajt banke, ona biva preusmjerena na lažni sajt.

• Pharming (preusmjeravanje na lažni sajt), takode poznat kao DNS poisoning.

Kolačidi su jedna od mnogih kompjuterskih tehnologija koje su napravile revoluciju u krstarenju internetom. To su mali tekstualni fajlovi koji se nalaze u računaru. Imaju više namjena, a prvenstvena namjena im je da identifikuju korisnika koji posjecuje neku web stranu.

Kada korisnik poželi da otvori neku web stranu, njegov browser šalje serveru HTTP (HyperText Transfer Protocol) zahtjev prema specifikaciji protokola. U odgovoru server vrada zahtjevanu stranu, kojoj prethodi mali paket teksta HTTP odziv. U slučaju da server želi da snimi kolačid na korisnikov računar, odziv de u sebi sadržati i takav zahtjev. Ako browser ima mogudnost korišcenja kolačida (a svi novi browseri imaju) i ako je uključeno korišcenje kolačida, server ce snimiti kolačid na računar i koristide ga pri sljededem otvaranju te strane.

Naravno, pri sljededim posjetama server može da promijeni vrijednosti koje kolačid sadrži, tacnije da ga ažurira ako je potrebno. Browser samo prima i šalje kolačide u neizmijenjenom obliku.

Informacije koje sadrži kolačid prvenstveno zavise od servera. Neke web strane mogu da prilagode prikaz prema korisnikovoj želji. Ako kolačid u sebi ne sadrži datum, onda je to takozvani »Session Cookie«, što znači da traje samo dok se ne zatvori browser. U ostalim slučajevima trajanje im je do datuma koji je upisan u njima.

Postoje dva tipa kolačida: »First Party«i »Third Party«. Prvi potiču sa istog servera čije strane korisnik posjeduje. U drugom slučaju, kolačidi dolaze s nekog servera sa strane koji na prvom sajtu ima ugrađen (engl. embedded) neki sadržaj. Korisnik može da izabere koji kolačid de da koristi a koji ne.

Loše strane kolačida su »zasluga« kompanija za oglašavanje, koje upotrebljavaju kolačide za istraživanje tržišta i programiranje ciljnog tržišta. Svako ko brine o svojoj privatnosti treba da zna da li može da je zaštiti ili ne. Kao i u drugim slučajevima, i sa kolačidima treba praviti kompromis – šta se dobija a šta gubi ako se kolačidi onemogude ili im se ograniči upotreba.

Dakle, to je individualna stvar. Kod različitih sajtova upotreba kolačida različito se manifestuje. Kod nekih se ne gubi apsolutno ništa ako se isključe, a kod drugih nijedna strana nede se modi otvoriti.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Server obično zahtjeva postavljanje više od jednog kolačida. To mogu biti kolačidi samo sa servera cija se strana otvara ili kolačidi i sa drugog, eksternog servera (ili više njih). Postoji mogucnost krađe kolačida preko nekog skript jezika (JavaScript ili JScript).

Skript sakuplja kolačide iz korisnikovog browsera i šalje ih na adresu zainteresovanog servera. Zatim zlonamjerni korisnik može da analizira kolačide i samim tim ugrozi korisnikovu privatnost.

Digitalni (elektronski) sertifikat (digital certificate) je elektronski dokument koji izdaje Sertifikacioni autoritet (Certification Authority - CA). Digitalni sertifikat može da se shvati kao digitalna lična karta, jer sadrži podatke o korisniku sertifikata i podatke o izdavaocu sertifikata. To je uvjerenje kojim se potvrđuje veza između podataka za verifikaciju elektronskog potpisa i identiteta potpisnika, koji je izdat od strane akreditovanog sertifikacionog tijela.

U okviru digitalnog sertifikata koji se izda korisniku nalazi se pored ostalog i korisnikov javni kriptografski ključ (Public Key), koji je par njegovom tajnom kriptografskom ključu (Private Key). Sertifikacioni autoritet garantuje tačnost podataka u sertifikatu tj. garantuje da javni ključ koji se nalazi u sertifikatu pripada korisniku čiji su podaci navedeni u tom istom sertifikatu. Zbog toga, ostali korisnici na Internetu ukoliko imaju povjerenje u Sertifikacioni autoritet, mogu da budu sigurni da određeni javni ključ zaista pripada korisniku koji je vlasnik pripadajudeg tajnog ključa.

Digitalni sertifikat je elektronski dokumenat koji je javno dostupan na Internetu. Zbog toga što se u okviru sertifikata nalaze javni ključevi korisnika sertifikata, distribucijom sertifikata se distribuiraju i javni ključevi. Iz tog razloga, omogudena je pouzdana razmjena javnih ključeva posredstvom Interneta između korisnika koji se nikada nisu sreli, uz mogudnost verifikovanja identiteta korisnika.

Digitalni sertifikat je nemogude falsifikovati jer je potpisan tajnim kriptografskim ključem (Private Key) sertifikacionog tijela. Za verifikovanje valjanosti digitalnog sertifikata koristi se javni ključ tj. sertifikat sertifikacionog tela.

Pouzdani sertifikat je važedi na korisničkom nalogu, na računaru koji ga navodi kao važedi. Ako se potpis otvori na drugom računaru ili na drugom nalogu, potpis de možda izgledati kao nevažedi zato što taj nalog možda nema povjerenja u izdavača sertifikata. Isto tako, da bi potpis bio važedi,

integritet šifrovanja potpisa mora biti nepromijenjen. To znači da potpisani sadržaj nije neovlašdeno izmijenjen i da sertifikat potpisa nije istekao niti je opozvan.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Jednokratna lozinka je validna za samo jednu sesiju ili transakciju na računarskom sistemu ili drugom digitalnom uređaju. Jednokratna lozinka prevazilazi veliki broj nedostataka od kojih pate tradicionalne statične lozinke.

Najvažnija prednost jednokratne lozinke je što u poređenju sa statičkim lozinkama su otporne na ponovljene napade. Ovo znači da potencijalni napadač koji uspije da otkrije ved upotrebljenu jednokratnu lozinku nede modi da je zloupotrijebi. Druga prednost je da korisnik koji koristi istu ili sličnu lozinku na više sistema nede na svima biti ugrožen ukoliko neko sazna njegovu lozinku.

Puno puta vam se ponudi opcija automatskog popunjavanja obrazaca i čuvanja podataka. Ova opcija omogudava veliko olakšavanje kod popunjavanja formi koje zahtjevaju naše lične podatke poput imena, adrese, pola, i drugih servisnih informacija koje se na kraju uvijek završe i podacima o kredintoj kartici. Jednim klikom ste u mogudnosti da unesete sve tražene podatke, koji su prije toga sačuvani i nalaze se u kolačidu u vašem pregledniku.

Iako je vrlo zgodna opcija sa aspekta sigurnosti je jako loše rješenje. Naime, ukoliko naiđete na neku prevaru gdje vam je ponuđena lažna forma, automatskim popunjavanjem dete odati sve vaše podatke prije nego i posumnjate na formu. Sa druge strane, neke podatke koji vam ne mogu štetiti možete sačuvati i omoguditi da automatska popuna djelimično popuni formu koju želite.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slika 6.1:Način omogudavanja ili sprječavanja automatskog popunjavanja formi.

Na primjeru Chrome web preglednika je pokazano kako podesiti upravljanje kolačičima.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slika 7.1: Podešavanja nivoa privatnosti »kolačida«.

Slika 7.2: Podešavanja nivoa privatnosti u Chrome veb pregledniku.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Kontrola i blokiranje neželjenog sadržaja se koriste često u kompanijama gdje se radnicima žele uskratiti neki sadržaji, kao youtube i društvene mreže, i na taj način se želi poboljšati produktivnost. Ovakvi programi imaju mogudnost pradenja rada na računarima i obavještavanja o tome koji su programi korišdeni. Osim toga oni mogu imati uvid i u sami saobradaj pa time mogu preneti informacije o sadržaju, mogu prikazati posjedene internet stranice ili čak i sadržaj e-mailova ili drugih vidova komunikacije. Program može slati obavještenja administratoru kada neki korisnik pokrene neki zabranjeni program ili posjeti neku neželjenu veb adresu. Takođe postoje mogudnosti da se filtrira sadržaj na internetu. Naime sav sadržaj koji u sebi sadrži neku riječ ili riječi može biti blokiran i nede biti prikazan na računaru korisnika koji je zahtijevao taj sadržaj.

Često se postavlja pitanje o etičkoj i moralnoj pozadini ovakvih programa. Vedina proizvođača ovih programa opravdanje nalazi u činjenici da je sajber prostor sve više zagađen raznoraznim činiocima i da je ovo jedan od načina da roditelji zaštite djecu od raznih djelovanja sa interneta. Sa druge strane poslodavni pronalaze opravdanje u činjenici da postoje radnici koji zloupotrebljavaju resurse i vrijeme na poslu u privatne svrhe, koje nekad mogu biti i nelegalne.

Svi podaci koje postavimo na društvenim mrežama su javno dostupni. Korisnici često ne razmišljaju i ostave sve podatke vidljivima. Ukoliko su vaši podaci vidljivi svima jasno je da se može nadi neko ko de pronadi način da te podatke zloupotrijebi.

Najčešde zloupotrebe podataka se dešavaju pri tako zvanoj krađi identiteta. U tim slučajevima počinilac koristi vaše podatke da kreira profil kojim de se predstavljati kao vi. Kreiranje takvih profila može imati višetruke posledice po žrtvu. Naime, obično se takav profil koristi radi kaljanja kredibiliteta žrtve, radi neprimjerenog ponašanja na društvenoj mreži. Cilj je da se ljudima sa kojima niste prijatelji na društvenoj mreži, a imate kontakt u ličnom ili poslovnom životu, prikažete kao potpuno drugačija osoba od one koja ste stvarno.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Time se može narušiti ugled, kredibilitet i čast osobe koja je žrtva. Najčešde žrtve i ne znaju šta se dešava a ljudi u čijim očima gube kredibilitet nisu svjesni da gledaju lažan profil iza koga stoji neka druga osoba.

Jedan od načina da se zaštitie je da što više, ili sve privatne podatke sakrijete od očiju javnosti. Sve društvene mreže to omogudavaju. Osim toga, ukoliko imate profil na društvenoj mreži jako je bitno da taj profil bude u skladu sa vašim ličnim životom i da ako ved postavljate informacije, budete svjesni da su svima dostupne i da svi mogu vidjeti šta radite.

Tokom bitisanja na društvenoj mreži jako je važno imati u vidu njenu namjenu i svrhu. U realnom životu poštujemo određene kriterijume pri izboru prijatelja. Isto tako treba imati određene krterijume prilikom odabira prijatelja na društvenim mrežama.

Fizička odvojenost između vas i vaših prijatelja na društvenoj mreži vam donekle uliva osjedaj sigurnosti zbog koga se »sprijateljite« sa ljudima sa kojima nikad ne biste u stvarnom životu. Jako je bitno imati u vidu da radoznalost koju osjetite kad neko poželi da vam bude »prijatelj« ne treba uvijek zadovoljiti. Naime, svi ti »prijatelji« imaju pristup vašim podacima koje ste postavili na mrežu. Ukoliko ste lične podatke i sakrili, treba imati u vidu da de strpljivi posmatrač saznati o vama sve što ste sakrili i čak i mnogo više samo pomno pratedi aktivnosti vas i vaših pravih prijatelja.

Dakle treba imati u vidu važnost podataka koji se nalaze na društvenoj mreži, i važnost podataka koje neko od vaših prijatelja iz stvarnog života, koji je istovremeno sa vama »prijatelj« na društvenoj mreži, može otkriti.

Naravno, sve ovo ima smisla ukoliko neko ima interes u krađi vaših ličnih podataka i njihovoj zloupotrebi.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Jedna od svrha pravljenja lažnih profila na društvenim mrežama radi širenja zaraženih linkova i poruka. Ukoliko se neko »sprijatelji« sa vama i stekne vaše povjerenje, velike su šanse da otvorite poruku od takve osobe. Ta poruka obično sadrži zaraženi fajl ili link, klikom na koji dete posjetiti neku nevažnu veb stranicu, ali dete tom prilikom zaraziti vaš računar. Zaraza ne mora da bude maliciozna ali može da služi za širenje propagandnog materijala, spam-a i slično.

Česta pojava je da se lažni profil koristi za uznemiravanje putem interneta. Na taj način počinilac krije svoj identitet a uznemirava žrtvu krijudi se iza druge osobe. Često je cilj uznemiravanja da se stvori napetost između osobe koja uznemirava i osobe koja je uznemiravana. Postoje primjeri gdje je žrtva za počinioca smatrala upravo osobu sa profila sve do momenta dok nadležne službe nisu preuzele slučaj i utvrdile da se radilo o krađi identiteta. Na taj način se može izazvati netrpeljivost između osoba, ili grupa, po raznim osnovama.

Autor: mr Mladen Bukilid, Univerzitet Mediteran








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Abstrakt: Priručnik obrađuje osnove sigurnosti u računarskim sistemima. Objašnjeni su tipovi kriptografskih algoritama kao i standardi simetričnog kriptovanja. Prikazani su načini upotrebe kriptografije uz sve prednosti i eventualne nedostatke. Kao neizostavni dio kriptografije stavljen je naglasak na infrastrukturu javnog ključa. Pojašnjeni su digitalni sertifikat, načini dobijanja sertifikata i sertifikaciona tijela. Na kraju su definisani načini enkripcije uz upotrebu digitalnog potpisa i provjeru sertifikata.

Ključni pojmovi: Kriptografija, digitalni sertifikat, javni ključ, sertifikaciono tijelo, kriptovanje, enkripcija, digitalni potpis.

Sredinom osamdesetih godina dvadesetog vijeka razvoj jeftinih i snažnih mikroprocesora te brzih računarskih mreža omogudila je razvoj decentralizovanih sistema i pomjeranje od centralizovanih računarskih sistema. Decentralizovani sistemi sastoje se od vedeg broja samostalnih računara povezanih nekom vrstom računarske mreže s ciljem dijeljenja zajedničkih resursa i informacija. Međusobno umreženi računari, uz priladno oblikovanu programsku podršku, obavljaju određene zadatke bitno efikasnije nego li je to slučaj sa centralizovanim računarima. Razlog tome je raspodjela obavljanja različitih podprocesa na različitim računarima. Osnovne karakteristike decentralizovanih sistema uključuju *44]:

1. Dijeljenje resursa; 2. Otvorenost 3. Istovremenost; 4. Skalabilnost; 5. Pouzdanost; 6. Transparentnost.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Komunikacija između entiteta decentralizovanog računarskog sistema *5+ često uključije razmjenu sigurnosno osjetljivih podataka. Da bi se podaci zaštitili prilikom prenosa i tako ostvario siguran i ispravan rad sistema potrebno je koristiti određene sigurnosne mehanizme. Aspektima sigurnosti u računarskim sistemima bave se kriptologija i kriptografija.

Kriptologija je grana matematike koja se bavi načelima i implementacijom kriptografskih metoda. Kriptologija se bavi primjenom matematičkih modela u postupcima kriptiranja i dekriptiranja podataka [5+. Primjena kriptografskih metoda omogudava sigurno prikupljanje i prenos sigurnosno osjetljivih podataka preko nesigurnih mreža na način da sprečava pristup informaciji svima osim onome kome je informacija izvorno namjenjena. U procesu kriptiranja i dekriptiranja koristi se kriptografski algoritam koji odgovara nekoj matematičkoj funkciji. Kriptografski algoritam u postupku kriptiranja podataka radi u kombinaciji s određenim ključem.

To znači da korištenje istog algoritma u kombinaciji sa različitim ključem na istom dokumentu daje različite kriptirane izlazne dokumente.

Sigurnost kriptiranih podataka zavisi isključivo o snazi kriptografskog algoritma i o tajnosti ključa. Kriptografski algoritmi, korišteni ključevi i protokoli zajednički sačinjavaju kriptografski sistem (eng. cryptosystem).

Kriptiranje informacija prije prenosa nesigurnim mrežama osigurava se tajnost povjerljivih podataka. Prenošeni podaci su kriptirani pa ukoliko na neki način i postanu fizički dostupni neovlaštenim osobama, još uvijek su nerazumljivi te kao takvi su neupotrebljivi. Sigurna komunikacija osim tajnosti podataka uključuje još autetifikaciju i očuvanje integriteta podataka. Autentifikacija podrazumjeva provjeru indetiteta osoba, odnosno programskih sistema koji međusobno komuniciraju. Postupkom autentifikacije se utvrđuje da su sudionici komunikacije upravo oni za koje se predstavljaju. Očuvanje integriteta poruke podrazumjeva sprečavanje mogudnosti zlonamjerne izmejne sadržaja poruke u toku prenosa.

Zavisno od načina korišdenja ključa razlikuju se simetrična i asimetrična kriptografija. Simetrična kriptografija naziva se još i konvencionalna kriptografija. U simetričnoj se kriptografiji isti ključ koristi i za kriptiranje i za dekriptiranje podataka. Ovakav ključ naziva se tajni ključ i moraju ga posjedovati i osoba koja šalje i osoba koja prima poruku. Prednost simetrične kriptografije leži u brzini procesa kriptiranja i dekriptiranja. Osnovni problem prisutan kod simetrične kriptografije jeste problem sigurne distribucije tajnog ključa. Da bi pošiljaoc i primaoc mogli komunicirati








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

moraju dogovoriti i razmjeniti tajni ključ. U koliko se nalaze na fizički odvojenim lokacijama javlja se problem sigurne razmjene ključeva između entiteta koji sudjeluju u komunikaciji. U koliko neovlaštena osoba u trenutku razmjene presretne tajni ključ u mogudnosti je čitati, modificirati i kriptovati originalne poruke. Problem sigurne razmjene ključeva riješen je konceptom asimetrične kriptografije. Razlika u odnosu na simetričnu kriptografiju je u tome što se u asimetričnoj kriptografiji koristi par ključeva: javni ključ i privatni ključ. Javni ključ slobodno se distribuira i dostupan je svima, dok se privatni ključ čuva i tretira kao tajna. Sve poruke kriptirane javnim ključem mogu biti dekriptirane isključivo pripadajudim privatnim ključem (važi i obrnuto). Ovakav način kriptiranja osigurava činjenicu da poruka može biti dekriptirana isključivo od strane onog kome je ona upudena. Temeljno svojstvo asimetrične kriptografije jeste nemogudnost matematičkog izvođenja privatnog ključa na temelju poznavanja javnog ključa. Osnovna prednost korištenja javnog ključa jeste eliminacija problema sigurne razmjene tajnih ključeva koji je postojao u simetričnoj kriptografiji. Distribuiraju se javni ključevi, dok se privatni ključevi ne prenose pa nijesu podložni mogudnosti presretanja. Najvedi nedostatak asimetrične kriptografije leži u činjenici da je asimetrična kriptografija oko 104 puta sporija od simetrične kriptografije.

Određeni kriptografski sistemi koriste kombinaciju simetrične i asimetrične kriptografije. Ovakvi kriptografski sistemi nazivaju se hibridni kriptografskim sistemima i objedinjuju brzinu kriptiranja i dekriptiranja simetrične kriptografije te sigurnu distribuciju ključeva karakterističnu za asimetričnu kriptografiju. Kriptiranje podataka u hibridnim kriptografskim sistemima odvija se u nekoliko koraka ilustrovanih na slici 1.1.

Prije samog postupka kriptiranja, podaci koji se kriptiraju često se podvrgavaju postupku kompresije. Sažimanjem podataka, osim skradivanja vremena prenosa postiže se i veda sigurnost podataka. Naime, vedina tehnika namjenjenih neovlaštenom dekriptiranju bez korištenja ključa temelji se na pronalaženjuponavljajudih uzoraka u izvornom, nekriptiranom tekstu. Kompresijom se s manjuje broj ponavljajudih uzoraka te se na taj način postiže veda otpornost na tehnike neovlaštenog dekriptiranja. Sljededi korak uključuje generisanje ključa sesije (eng.session key). Ključ sesije je tajni simetrični ključ koji se koristi jednokratno u toku jedne sesije, a predstavljen je slučajnim brojem generiranja na temelju slučajnih parametara kao što su pokreti miša. Ključ sesije koristi se kao tajni ključ za brzo i pouzdano simetrično kriptiranje izvornih podataka. Rezultat ove faze je kriptirani izvorni podataka. Zadnja faza postupka kriptiranja jeste kriptiranje ključa sesije korištenjem javnog ključa primaoca. Ovako kriptirani izvorni podatak i ključ sesije zajedno se šalju primaocu. Dekriptiranje primjene poruke odvija se u suprotnom smjeru od procesa kriptiranja. Primaoc prvo dekriptira ključ sesije korištenjem svog privatnog ključa.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slika 1.1 Postupak kriptiranja u hibridnom kriptografskom sistemu

Nakon toga dobivenim ključem sesije dekriptira kriptiranu poruku te dobija izvorni podatak. Korištenje kombinacije simetričnog i asimetričnog kriptiranja postiže se jednostavnost distribucije ključeva prisutna kod asimetrične kriptografije i brzina kriptiranja i dekriptiranja karakteristična za simetričnu kriptografiju. Hibridni sistemi odlikuju se dobrim performansama i sigurnom distribucijom ključeva bez negativnih posljedica na sigurnost kao primarni zadatak.

Simetrični algoritmi su brzi pa se mogu koristiti za šifrovanje vedih datoteka ili implementaciju u kriptosisteme datoteka. Najpoznatiji simetrični kriptoalgoritmi su DES (Data Encryption Standard), AES (Advanced Encryption Standard).

DES (Data Encryption Standard)

Januara 1977. godine, Američka vlada je prihvatila kombinovano šifrovanje koje je razvio IBM kao zvaničan standard za javne informacije. Taj standard za šifrovanje podataka, široko je prihvaden u industriji za zaštitu osjetljivih proizvoda. U svom prvobitnom obliku standard nije više dovoljno bezbjedan, ali njegove modifikacije jesu.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Na slici 1.2-a DES je prikazan šematski. Osnovni tekst se šifruje u blokovima od po 64 bita, dajudi 64 – bitne blokove šifrovanog teksta. Algoritam, čiji parametri dobijaju konkretne vrijednosti pomodu 56 – bitnog ključa, sadrži 19 zasebnih koraka obrade podataka.

Prvi korak je transponovanje 64 – bitnog osnovnog teksta bez upotrebe ključa. Posljednji korak je tačna inverzija ovog transponovanja. U pretposljednjem koraku 32 bita na lijevom kraju zamjenjuju mjesta s 32 bita na desnom kraju. Ostalih 16 koraka funkcionalno su jednaki, ali vrijednosti parametara dobijaju korišdenjem različitih funkcija ključa. Algoritam je tako projektovan da se šifrovanje i dešifrovanje obavljaju istim ključem, što je bitno svojstvo svih algoritama za šifrovanje simetričnim ključem. Pri dešifrovanju se prolaze isti koraci obrnutim redom.

Rad jednog od ovih međukoraka je prikazan na slici 1.2 -b. U svakom koraku ulaze dva 32 – bitna signala i iz njega izlaze, takođe, dva 32 – bitna signala. Lijevi izlazni signal je kopija desnog ulaznog signala. Desni izlazni signal je rezultat isključive disjunkcije po bitovima lijevog ulaznog signala i funkcije desnog ulaznog signala i ključa za taj korak, Ki. Sva složenost zavisi od ove funkcije.

Početno transponovanje

Iteracija 2

Iteracija 16

32 – bitno premještanje

Inverzno transponovanje

Iteracija 1

56 –

bitn

i klju

č

64 – bitni šifrovan tekst

64 – bitni osnovni tekst

Li-1Ө f(Ri-1, Ki)

32 bita

Li

32 bita

Ri

Ri-1Li-1

a) b)

Slika 1.2 Standard za šifrovanje podataka. a)Opšta šema. b) Detalj jedne iteracije








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Funkcija ima četiri uzastopna koraka. Prvo se konstruiše 48-bitni broj E razvijanjem 32 – bitnog signala Ri-1 prema fiksnim pravilima transponovanja i udvajanja. Drugo, E i Ki se podvrgavaju iključivoj disjunkciji. Dobijeni rezultat se razvrstava u 8 grupa po 6 bitova i svaka grupa uvodi u drugu S – kutiju. svaki od 64 moguda ulaza u S – kutiju preslikava se na 4 – bitni izlaz. Konačno se ovih 8 x 4 bitova propuštaju kroz P – kutiju.

U svakoj od 16 iteracija koristi se drugi ključ. Prije nego što algoritam počne da se izvršava, na ključ se primjenjuje 56 – bitno transponovanje. Neposredno prije svake iteracije ključ se dijeli u dvije 28 – bitne jedinice i svaka se rotira ulijevo za broj bitova koji zavisi od rednog broja iteracije. Ki se izvodi iz ovakvog rotiranja ključa još jednim 56 – bitnim transponovanjem. U svakoj rundi se izvlači i permutuje drugačiji 48 – bitni podskup 56 – bitnog broja.

Tehnika koja se ponekada koristi za ojačanje DES-a naziva se »izbjeljivanje«. Ona obuhvata isključivu disjunkciju proizvoljnog 64 – bitnog ključa sa svakim blokom osnovnog teksta prije nego što uđe DES i isključivu disjunkciju drugog 64 – bitnog ključa s rezultujudim šifrovanim tekstom prije slanja. Izbeljivanje se lako može poništiti kada se ove operacije izvedu obrnutim redom (ako primalac ima dva ključa z aizbeljivanje). Pošto ova tehnika u stvari produžava ključ, njegovo pogađanje duže traje. Imajte na umu da se isti ključ za izbeljivanje koristi za svaki blok (postoji samo jedan ključ za izbeljivanje).

Trostruki DES

IBM je još 1979. shvatio da je ključ za algoritam DES prekratak i smislio je način da ga efektivno produži trostrukim šifrovanjem (Tuchman, 1979). Primjenjena metoda, koja je u međuvremenu uključena u Međunarodni standard 8732. prikazana je na slici 1.3. Tu se koriste dva ključa i tri koraka. U prvom koraku se osnovni tekst šifruje na uobičajen način algoritmom DES uz ključ K1. U drugom koraku, DES se izvršava u režimu dešifrovanja, uz ključ K2. U tredem koraku se ponavlja DES šifrovanje, uz ključ K1.

E EDP C

K1 K1K2

D DEC

K1 K1K2

a) b)

Slika 1.3 a) Trostruko šifrovanje algoritma DES. b) Dešifrovanje








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Sistem šifrovanja, dešifrovanja i ponovnog šifrovanja izabran je zbog kompatibilnosti s postojedim DES sistemima s jednim ključem. Funkcije za šifrovanje i dešifrovanje su preslikavanja između skupova 64 – bitnih brojeva. S gledišta kriptografa, oba preslikavanja su iste vrijednosti. Kada umjesto sistema EEE (eng. Encrypt Encrypt Encrypt – šifrovanje šifrovanje šifrovanje) koristi sistem EDE (eng Encrypt Decrypt Encrypt – šifrovanje dešifrovanje šifrovanje), računar koji komunicira uz trostruko šifrovanje može da uspostavi vezu i s računarom koji koristi jednostruko šifrovanje tako što de jednostavno izjednačiti K1 i K2.

AES (Advanced Encryption Standard)

Kako se DES primicao kraju svog korisnog vijeka, čak i uz trostuko šifrovanje, Nacionalni institut za standarde i tehnologiju (eng. National Institute of Standards and Tehnology, NIST) agencija Američkog ministarstva trgovine koja odobrava standarde u ime vlade SAD, odlučila je da je vladi neophodan nov kriptografski standard za javnu upotrebu. NIST je bio svestan nedoumica oko primjene DES-a i dobro je znao da de – ako samo objavi nov standard – svako ko se pomalo razumije u kriptografiju odmah pretpostaviti da je NASA u njega ugradila »mala vrata« da bi mogla da čita sve što je tim standardom šifrovano. U takvim okolnostima niko ne bi koristio standard i on bi najvjerovatnije tiho nestao sa scene.

Zbog toga se NIST opredijelio za pristup, iznenađujude za vladine institucije: organizovao je kriptografsko nadmetanje. Januara 1997, upuden je poziv istraživačima širom svijeta da podnesu prijedloge za nov standard koji bi se zvao Napredni standard za šifrovanje (eng. Advanced Encryption Standard - AES). Pravila konkursa su bila sljededa:

1. Algoritam mora raditi kao simetričan blok-šifra, 2. Cio projekat mora biti javan, 3. Moraju se podržavati ključevi dužine 128, 192 i 256 bitova, 4. Treba predvidjeti i softversku i hardversku realizaciju, 5. Algoritam mora biti javan ili se licencirati bez uslovljavanja.

Podneto je petnaest ozbiljnih prijedloga koji su prikazani na javnim skupovima, a prisutni ohrabrivani da im traže slabe tačke.

Oktobra 2000, NIST je objavio da je i on glasao za Rijande (Joana Daemena i Vincenta Rijmena)l, a novembra 2001. Rijandel je postao standard Američke vlade pod imenom Federal Information Procesing Standard FIPS 197. Rijendael podržava ključeve i blokove veličine 128 do 256 bitova ukoracima po 32 bita. Dužina ključa i dužina bloka mogu se birati nezavisno. Međutim, AES nalaže da veličina bloka mora biti 128 bitova, a da dužine ključa moraju biti 128, 192 ili 256 bitova. Nije








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

vjerovatno da de iko koristiti ključ dužine 192 bita, pa AES de facto postoji u dvije varijante: 128 – bitni blok sa 128 – bitnim ključem i 128 – bitni blok sa 256 – bitnim ključem.

Dužina ključa od 128 bitova omogudava 2128 = 3 x 1038 različitih ključeva. Ako bi NSA izgradila mašinu s milijardom paralelnih procesa, od kojih bi svaki mogao da za jednu pikosekundu provjeri jedan ključ, i tada bi joj trebalo oko 1010 godina da provjeri sve ključeve. S matematičkog stanovišta, Rijandel se zasniva na teoriji polja koju je postavio Galoa (Galois), što mu daje izvjesna provjerljiva bezbjednosna svojstva. Međutim, algoritam s emože posmatrati i kao C kod, bez zalaženj au matematiku. Slično DES-u, i Rijandel koristi supstituisanje i permutovanje, a i vedi broj rundi. Broj rundi zavisi od veličine ključa i bloka, počev od 10 za 128 – bitne ključeve i 128 – bitne blokove, pa do 14 z anajduži ključ ili najvedi blok. Međutim, za razliku od DES-a, u svim operacijama se radi s cijelim bajtovima da bi se omogudilo i hardversko i softversko realizovanje algoritma.

Funkcija Rijandel ima tri parametra. To su plaintext, niz od 16 bajtova koji sadrži ulazne podatke (osnovni tekst), ciphertext, niz od 16 bajtovau koji se vradašifrovan tekst i key, 16 – bitni ključ. Tokom izračunavanja, tekude stanje se čuva u nizu bajtova state, čija je veličina NROWS_NCOLS. Za 128- bitne blokove, ovaj niz je veličine 4 x 4 bajta. U 16 bajtova se može uskladištiti čitav 128 – bitni blok podataka. Algoritam je projektovan s namjerom da bude ne samo bezbjedan, ved i brz. Kada se dobro realizuje na računaru od 2 GHz, trebalo bi da dostigne brzinu šifrovanja 700 Mb/s, što je dovoljno za šifrovanje preko 100 MPEG -2 video sekvenci u realnom vremenu. Hardverske realizacije rade još brže.

Značajna prednost asimetrične kriptografije očituje se i kroz mogudnosti korištenja digitalnihpotpisa. Digitalni potpisi koriste se za potvrđivanje autentičnosti izvora i osiguranje integriteta prenošenih podataka. Digitalni potpisi koriste se i za sprečavanje nepriznavanja slanja poruke, jer se pomodu digitalnog potpisa jednoznačno može odrediti ko je uputio poruku. Digitalni potpisi imaju karakteristike i namjenu kao i klasični ručni potpisi, uz dodatnu funkciju očuvanja integriteta poruke. Algoritam kreiranja digitalnog potpisa koristi kriptiranje privatnim ključem pošiljioca.

Ovako kriptirani podaci mogu se dekriptirati isključivo korištenjem pripadajudeg javnog ključa. Primatelj koristi javni ključ pošiljioca da bi potvrdio autentičnost poruke.

Opisani postupak digitalnog potpisivanja poruke relativno je spor postupak koji rezultira izrazito velikom izlaznom porukom, najmanje dvostruko vedom od izvorne. Poboljšanje postupka digitalnog potpisivanja uključuje korištenje matematičkih metoda za sažimanje izvornih poruka pri








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

čemu se koristi tzv. hash funkcija. Hash funkcija je jednosmjerna funkcija koja ulaznu poruku varijabilne dužine transformira u niz bitova fiksne dužine. Navedena funkcija ima svojstvo da i najmanja promjena na ulaznoj poruci rezultira promjenom u izlaznom nizu bitova.

Slika 1.4 Korištenje hash funkcije u postupku kreiranja digitalnog potpisa

Rezultat fiksne dužine koji daje hash funkcija kriptira se privatnim ključem čime se kreira digitalni potpis izvornog dokumenta. Opisani postupak ilustrovan je na slici 1.4. Kako se digitalni potpis generira nad fiksnom i relativno malom količinom podataka postupak digitalnog potpisivanja seznatno ubrzava. Digitalno potpisani rezultat hash funkcije zajedno s izvornim dokumentom prosljeđuju se primaocu koji koristedi javni ključ pošiljeoca potvrđuje autentičnost primljenog dokumenta. Na temelju primljenog dokumenta primaoc izračunava rezultat hash funkcije i upoređuje ga s primljenim nizom bitova. Ukoliko su ova dva niza bitova identični zaključuje se da podaci nijesu modifikovani u toku prenosa. Dokle god se koristi sigurna hash funkcije ne postoji

License

License

Izvorna poruka

kriptiranje

Digitalno

potpisani rezultat

hash funkcijeIzvorna poruka +

digitalno

potpisani rezultat

hash funkcije

Privatni

ključ pošiljitelja

License

Hash funkcija

Rezultat hash

funkcijeLicense








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

mogudnost modifikacije izvorne poruke, kao ni korištenje potpisa s jednog dokumenta uz neki drugi dokument, jer i najmanja primjena u izvornoj poruci uzrokuje negativan rezultat u postupku provjere digitalnog potpisa.

Problem koji je prisutan u konceptu asimetrične kriptografije je taj što korisnici javnih ključeva moraju voditi računa da dotični javni ključ u istinu pripada osobi, odnosno sistemu s kojim se želi komunicirati. U okruženju u kojem se slobodno distribuiraju javni ključevi postoji mogudnost da treda osoba, lažno se predstavljajudi podmetne krivotvoreni javni ključ te tako ostavri neovlašten pristup tajnim podacima. S toga je veoma važno sa sigurnošdu utvrditi pripadnost javnog ključa određenom entitetu, što u slučaju fizičke dislociranosti učesnika komunikacije ne predstavlja trivijalan problem. Kako bi se pojednosatvilo utvrđivanje valjanosti javnih ključeva, odnosno nedvosmislena povezanost javnog ključa i njegovog vlasnika, koriste se digitalni sertifikati. Digitalni sertifikat sastoji se od javnog ključa, podataka sertifikata te jednog ili više digitalnih potpisa. Najpoznatiji format digitalnog sertifikata poznat je pod nazivom X.509. Digitalni potpisi služe kao potvrda da je valjanost podataka koji se nalaze u sertifikatu potvrđena od strane nezavisnog entiteta. Postoji nekoliko organizacija koje izdaju potvrđene digitalne sertifikate i sertifikati potvrđeni od ovih organizacija smatraju se valjanim. Neke organizacije imaju vlastiti sistem izdavanja digitalnih sertifikata kako bi bili u mogudnosti autentifikovati svoje zaposlene, mrežne uređaje i druge entitete involvirane u razmjenu podataka. Postoji i mogudnost samopotpisivanja digitalnih sertifikata (eng. self signed certificate). U tom slučaju određeni entitet potpisivanjem digitalnog sertifikata vlastitim privatnim ključem garantuje za valjanost svog javnog ključa. Ovakav princip predstavlja najjednostavniji način kreiranja digitalnih sertifikata u samostojedim sistemima.

Elektronski način poslovanja onemogudio je tradicionalne metode provjere identiteta i otvorio vrata mnogim problemima. Neki od najčešdih bezbjednosnih problema poslovanja putem interneta su prisluškivanje podataka, mijenjanje podataka, izmišljanje podataka, itd. Sistem javnih ključeva (eng. Public Key Infrastructure ili skradeno PKI) osmišljen je da bi ponudio rješenje ovih problema. Infrastuktura javnog ključa (PKI) omoguduje ambijent za pouzdanu primjenu elektronskog poslovanja i najčešde se bazira na kombinovanoj primjeni asimetričnih i simetričnih kriptografskih sistema. Faktori povjerenja u sigurnu komunikaciju podataka koji se realizuju kroz sistem PKI su:








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

• Autentifikacija, znači proveru identiteta strana koje komuniciraju. • Neporečivost, znači da nijedna strana ne može da porekne svoje učešde u komunikaciji i

sadržaj razmijenjenih informacija. • Povjerljivost, znači osiguranje privatnosti informacija tako da one budu čitljive samo onom

kome su namijenjene. • Zaštita tajnosti(Integritet) podataka, znači da podaci ne mogu da se oštete, promijene ili

zamijene tokom transporta, a da se to ne primijeti.

Digitalni sertifikat je struktura podataka koja za cilj ima pouzdano povezivanje javnog ključa sa podacima o njegovom nosiocu, obezbeđujudi na taj način provjeru identiteta pri, na primjer, digitalnom potpisivanj. Sertifikat može biti samopotpisani (nekvalifikovani) ili kvalifikovani – oni su u tehničkom pogledu jednaki, ali samopotpisani može da vam izda bilo ko, a to možete uraditi i sasvim sami. Uglavnom se koriste interno, ili se pravna snaga dobija potpisivanjem posebnog obavezujudeg ugovora sa korisnikom (kao u e-banking sistemima). Daleko značajniji je kvalifikovani digitalni sertifikat, koji po Zakonu o digitalnom potpisu i pripadajudim podzakonskim aktima može da izda samo sertifikaciono tijelo koje ispunjava određene zakonske uslove i ima dozvolu za rad. Kvalifikovani digitalni sertifikat sa odgovarajudim parom ključeva se može upotrijebiti za kreiranje »kvalifikovanog digitalnog potpisa« elektronskog dokumenta, koji je po pravnoj snazi ekvivalentan papirnom dokumentu potpisanom na klasičan način – olovkom i pečatom.

Proces izdavanja digitalnog sertifikata počinje u tzv. registracionom autoritetu (registration authority, kratko RA). RA je »istureno odeljenje« nekog sertifikacionog tijela i obično ih ima više jer pokrivaju neku teritoriju, recimo državu. Tu se predaje zahtev za izdavanje koji sadrži lične podatke podnosioca. U RA se zatim vrši provjera predatih podataka i, ako ona pokaže da je sve u redu, prelazi se na pripremu zahtjeva za izdavanje.

Sertifikaciono tijelo (ili kratko CA) je entitet koji digitalno potpisuje primljene zahtjeve za digitalne sertifikate. Ono je neophodno u procesu izdavanja digitalnih sertifikata, jer predstavlja instituciju








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

kojoj se vjeruje. Napravimo paralelu sa ličnim kartama – mi u stvari ne vjerujemo samoj ličnoj karti, kao komadu specijalnog papira, ved tijelu (država/MUP) koje ju je izdalo i na osnovu tog povjerenja smatramo da su podaci o nosiocu u njoj tačni. Zahvaljujudi podatku u samom digitalnom sertifikatu o tijelu koje ga je izdalo, kreira se »lanac sertifikata« koji (ako krenete u provjeru) vodi do »glavnog« tijela kome se vjeruje. Za normalan rad javnog CA tijela neophodan je i skup aplikacija koje omogudavaju upravljanje životnim vijekom samog sertifikata. Pored navedenih, moraju da obezbijede i različite evidencije i publikovanje informacija, zatim funkcije opoziva i pauziranja sertifikata, kao i obnavljanja. Kada ved nešto digitalno potpišete, potrebno je da se ispravnost originalne datoteke i njenog digitalnog potpisa može provjeriti. Zato CA tijela mogu objaviti podatke o izdatim digitalnim sertifikatima, mada to nije obavezno. Obavezno je objavljivanje informacija svih CA tijela o svim njihovim izdatim sertifikatima koji su pauzirani ili opozvani, što se radi kroz liste opozvanih sertifikata – Certificate Revocation List, tj. CRL. U normalnim okolnostima, pri svakoj upotrebi digitalnog sertifikata vrši se provjera njegove ispravnosti – prvo se provjerava rok važnosti koji je upisan u sam sertifikat, zatim se provjere podaci o CA koje je izdalo digitalni sertifikat potpisnika, a na kraju i da li se sertifikat nalazi na CRL-u. CRL je ekstremno važan sigurnosni mehanizam, koji omogudava da se neki sertifikat maltene trenutno opozove i time spriječi njegov korisnik u vršenju nedozvoljenih operacija, bez obzira na to gdje se na svijetu nalazi.

U narednom dijelu teksta bide prikazane procedure za Enkripciju dokumenta i dodavanje digitalnog potpisa na dokumentu, kao i slanje digitalno potpisanog e-maila. Neophodno je da posjedujete Token sa digitalnim certifikatom (ili neki drugi medijum), koji je povezan na vašem računaru. Za svo vrijeme korištena digitalnog certifikata potrebno je da računar bude priključen na Internet. Pretpostavimo d asmo kreirali jedan Word dokument pod nazivom Opis usluga i da se on nalazi na Desctop računara. Desnim klikom na željini dokument možete da izaberete sljedede opcije (Slika 3.1):

Slika 3.1








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

1. Enkripciju dokumenta, 2. Digitalan potpis u dokumentu i 3. Enkripciju i digitalni potpis dokumenta.

Desnim klikom na željini dokument (primjer word okument pod nazivom »Upustvo«) izaberete opciju Encrypt File. Dobija se forma kao na Slici 3.2. Izaberete opciju Next. Sljededi korak je prikazan na Slici 3.3. Čekiramo opciju Encrypt the files for other people in addition to myself, ovom opcijom biramo kome želimo da dozvolimo rada sa dokumenom. Izaberite opciju Next i dobijemo sliku 3.4

Slika 3.2 Slika 3.3

Na slici 3.4 izaberemo opciju Add i dodajemo korisnike kojima želimo da dozvolimo pristup našim enkriptovanim dokumentima. Ti korisnici se moraju nalaziti u bazi,tj. da je i za njih kreiran digitalni entitet








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slika 3.4 Slika 3.5

Kad dodamo korisnike kojima želimo da omogucimo pristup dokumentima, idemo na opciju Next i postupak enkriptovanja dokumenta je zavrsen (Slika 3.6).

Slika 3.6 Slika3.7








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Na kraju čekiramo opciju Delete the original files on finish (Slika 3.7), a to znači da de se izbrisati originalani dokument i ostade na desctop-u samo enkriptovan dokument. Prikaz enkriptovanog document (kao i digitalno potpisanog) prikazan je na slici 3.8.

Slika 3.8

Ukoliko želimo da otvorimo enkriptovani dokument, prilikom otvaranja pojavide se forma u kojoj je neophodno da upisemo svoj PIN koji je došao sa zaduženjem Token-a, slika 3.9. Kada upišemo PIN kod, prikazade se poruka kao na Slici 3.10. Potvrdom ove poruke, bide omogudeno otvaranje dokumenta (Slika xx).








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slika 3.9 Slika 3.10

Ukoliko želimo dokument koji smo napisali u Word-u pod nazivom »Opis usluga« da digitalno potpišemo (Slika 3.11), potrebno je da desnim klikom dođemo na željeni dokument i da izaberemo opciju Digitally Sing File…. Potvrdom Digitally Sing File dobija se forma kao na Slici 3.12.









| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Potvrdom opcije Next sa Slike 3.12, dobija se foma kao na Slici 3.13. Ova forma prikazuje validaciju certifikata, a takođe prikazuje i korišteni Hash Algoritam. Potvrdom opcije Next, dobijamo formu kao na Slici 3.14. U ovoj formi je potrebno unijeti PIN kod našeg tokena.


Poslije upisivanja PIN koda, dobija se forma kao na slici 3.15. Na kraju postupka, ako nije ved čekirana opcija, potvrdimo opciju Delete the original files on finish, i potvrdimo Finish.

Otvaranje dokumenta može se izvršiti i desnim klikom na dokument i odabirom opcije Decrypt,Verify and Open – Slika 3.16.









| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Potvrđivanjem opcije Decrypt,Verify and Open dobijamo poruku kao na Slici 3.17. Potvrdom na opciju Yes dobija se forma kao na Slici 3.18. Potvrdom opcije Yes otvara se željeni dokument.


Desnim klikom na željini dokument izaberete opciju Encrypt and Digitally Sing File, Slika 3.19.

Slika 3.19

Procedura je ista kao i za sam postupak enkripcije ili digitalnog potpisa (Slika 3.20 – Slika 3.25).








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |










| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |


Desnim klikom na dokument izaberemo opciju Properties da bi provjerili validnost sertifikata ili vlasnika digitalnog potpisa, Slika 3.26.

Slika 3.26








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Možemo ida zaberemo »karticu« Security Status i provjerimo ko je potpisnik dokumenta (Slika 3.27). Za više informacija o Sertifikatu idemo na Details (Slika 3.28), gdje se nalaze sve informacije o digitalnom potpisu i sertifikatu (Slika 3.29).


Da bi poslali e-mail sa enkriptovanim fajlom (dokumentom), ili e-mail sa digitalnim potpisom i enkripcijom, neophodno je da računar bude priključen na Internet i da Token bude povezan sa računarom (Token - medijum za posjedovanje digitalnog certifikata).

Prilikom povezivanja Tokena sa računarom dobidete poruku za logovanje Slika 3.29. Ako je status kao na slici treba unijeti trazeni PIN za vaš token:








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slika 3.29

Prilikom kreiranja novog e-maila u desnom gornjem uglu se nalaze opcije Encrypt I Sing, kojima mozemo kriptovati I digitalno potpisati kreirani e-mail.

Slika 3.30








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Slika 3.31

Prilikom slanja poruke ili attchementa potrebna je autentifikacija na Tokenu, Slika 3.32:

Slika 3.32

Autor: doc.dr Srđan Jovanovski, Univerzitet Mediteran








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Abstrakt: Priručnik se bavi upravljanjem sigurnosti podataka. Definiše načine za prepoznavanje načina za fizičko obezbjeđivanje uređaja, važnosti procedura pravljenja rezervnih kopija podataka. Osim čuvanja podataka pažnja je posvedena i načinima bezbjednog i trajnog uklanjanja podataka.

Ključni pojmovi: sigurnost podataka, fizička sigurnost, pravljenje kopijepodataka, trajno brisanje podataka.

Fizička bezbjednost, sigurnost mreže i bezbjednost računarskih sistema su krucijalni faktori koje treba uzeti u obzir da bi se osigurala bezbjednost podataka kao i spriječili pokušaji neovlašdenog pristupa, promjene, otkrivanja ili uništavanja podataka. Sigurnost podataka je jako važna kako bi se zaštitile sve informacije koje su bitne za određenu organizaciju. Posebno treba voditi računa na koji se način uništavaju podaci. Da bi znali koji su podaci važni za našu organizaciju mora se sprovesti procjena rizika kao i klasifikacija podataka. Zakonska regulativa, standardi ISO 27002, ISO 27001,ISO 27003, ISO 22301 su najbolji vodiči na koji način treba upravljati sa osjetljivim informacijama.

Prepoznati načine za obezbjeđivanje fizičke sigurnosti uređaja - korišdenje brava za kablove, kontrola pristupa i sl. Specijalisti koji se bave tehničkim aspektima bezbjednosti podataka često zanemaruju važnost fizičke sigurnosti. Pojam fizičke sigurnosti se odnosti na fizički pristup informatičkoj opremi (računarima, serverima, ruterima, svičevima, fajervolu) koja se nalazi u prostorijama organizacije kojoj pristupaju njeni zaposleni. Ključni računarski sistemi organizacije bi trebali da se čuvaju u odvojenim prostorijama u kojima je ograničen pristup samo na ovlašdene zaposlene iz sektora informacionih tehnologija. Te prostorije po pravilu bi trebalo da budu odvojene od prostorija gdje borave ostali zaposleni, zaštidene sa protivpožarnim, protivprovalnim sistemima kao i sistemima monitoringa, klima uređajima, elektrostatičkim podom. Ulaz i izlaz iz prostorija moraju biti strogo kontrolisani i nadzirani. U tu svrhu se koriste video kamere, magnetne kartice, biometrijski čitači








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

koji pružaju zaštitu od neovlašdenog ulaza, a kasnije i forenziku u slučaju havarije, krađe ili nekog neželjenog događaja.

Fizička sigurnost podataka zahtjeva:

• Kontrola pristupa zgradi, prostorijama i objektima u kojima se čuvaju podaci, serveri, kompjuteri ili mediji,

• kontrola uklanjanja i pristupa medijumima, ili štampanog materijala u prostorijama, • Kontrola prenosnih računara (Lap top), korišdenjem brava sa kablom, zaključavanje isl. • transport osjetljivih podataka samo u izuzetnim okolnostima, čak i ako se radi o popravci,

npr: hard disk koji sadrži osetljive podatke je otkazao i mora biti popravljen kod ovlašdenog servisera može uzrokovati kršenje bezbjednosti jer dati podaci mogu biti kopirani, ukradeni isl.

Bezbjednost mreže znači:

• Uvijek treba koristiti zaštitni zid (firewall), • Implementacija IPS i IDS sistema (sistemi za detekciju i odbijanje napada), • Implementacija monitoring sistema za pradenje mrežnih performansi. • osjetljive podatke ne bi smjeli čuvati na serverima, računarima koji su direktno povezani na

spoljnu mrežu (internet), • Nadogradnja operativnih sistema i mrežnih uređaja mora biti strogo kontrolisana, • Za sve urađaje u mreži treba odrediti vlasnike (zaposlene koji su odgovorni za njihovu

instalaciju, konfiguraciju i održavanje).

Sigurnost računarskih sistema i podataka mogu uključivati:

• korišdenje antivirusne zaštite, • zaključavanje kompjuterskih sistema sa lozinkom i instalacija zaštitnog zida (firewall), • zaštita servera od strujnog udara i korišdenje neprekidnog izvora napajanja (UPS) sistema,

automatskih agregata, • sprovođenje zaštita lozinkom i kontrolisan pristup, datotekama sa podacima, • kontrola pristupa osjetljivim podacima kroz implementaciju sistema za šifrovanje

(enkripciju), • Zabrane slanja povjerljivih podataka putem e-maila bez prethodnog ih šifrovanja, • Zabrane unošenja prenosnih medija u kompjuterski sistem, računarsku mrežu bez

predhodnog odobrenja od strane lica zaduženih za bezbjednost informacionog sistema, • uništavanje podataka na konzistentan način korišdenjem algoritama za brisanje.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Prepoznati važnost procedure pravljenja kopije podataka u slučaju gubljenja podataka, finansijskih izveštaja, istorije pretraživanja i sl.

Izrada rezervnih kopija podataka je jedan od najbitnijih elemenata upravljanja podacima. Redovan back-up može zaštititi osjetljive podatke od slučajnog ili zlonamjernog gubitka, i može se koristiti kako bi se izgubljeni podaci povratili. Slučajni ili zlonamjerni gubitak podataka podrazumijeva:

• hardverske greške ili otkazi, • softverske greške, • infekcije podataka virusima ili zlonamjerne aktivnosti hakera, • nestanak struje • ljudske namjerne ili nenamjerne greške koje nastaju promjenom ili brisanjem podataka.

Izbor back-up procedure koju treba koristiti zavisi od lokalnih okolnosti, vrijednosti podataka i procjene rizika po same podatke. Za vedinu organizacija vršenje procjene rizika po informacije daje jasnu indiciju na koji način treba iste čuvati. Kreiranje rezervne kopije podataka nije dovoljno da bi se osigurali protiv gubitka podataka. Da bi ste smanjili šanse da izgubite podatke pratite ove smjernice: Zamislite katastrofu. Šta ako je vaš kancelarijski računar - koji je držao jedinu kopiju podataka uništen zbog požara, poplave ili krađe? Koji su to podaci koji vam trebaju sa računara kako bi nesmetano nastavili vaše dalje poslovanje? Koji su to izvještaji koje ste spremali a niste dostavili nadređenom u slučaju njegovog nestanka? To de vam pomodi da identifikujete koje podatke bi trebalo da postavljate u proceduru za pravljenje rezervne kopije. Kreirajte svoj rezervni plan. Trebalo bi da čuvate najmanje 3 kopije vaših podataka na različitim loakacijama. Primarna kopija vaših podataka de se najverovatnije nalaziti na vašem računaru na particiji na kojoj nije operativni sistem (Particija D:,E: itd). Drugi primjerak kopije podataka napravite lokalno dostupnim (na spoljnom disku, CD-u, DVD-ju), a tredi primjerak u spoljnoj lokaciji, kao što je onlajn servis za skladištenje. Kod finansijskih organizacija kopije podatake se skladište na udaljenim lokacijama koje su povezane sa primarnom lokacijom na kojoj se odvija poslovanje organizacije, i u slučaju katastrofe (zemljotres, poplava, požar idr.) na primarnoj lokaciji, takve organizacije su u mogudnosti da nastave svoje poslovanje sa minimalnim ili bez gubitka podataka.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Identifikovati karakteristike pravljenja kopije podataka kao što su: frekventnost, lokacija za čuvanje podataka, zakazivanje pravljenja kopije. Backup predstavlja sliku svih ili određenih podataka koji se nalaze na određenom računarskom sistemu. Koristi se kako bi podaci za koje smatramo da su bitni po organizaciju bili dostupni onda kada ih trebamo u slučaju namjernog ili nenamjernog uništenja, zaraze virusima ili fizičkog oštedenja diskova ili sistema na kojima se čuvaju. Rezervne kopije podataka mogu biti: datoteke, fajlovi, baze podataka, programi kao i cijelokupni sistemi. Postoji nekoliko metoda izrade rezervne kopije koje zastupljenih u skoro svakom programu za tu namjenu, a to su:

• Puna kopija (Full backup, Normal backup) – rezervna kopija svih podataka koji su odabrani. Za povratak podataka dovoljan je samo puni bekap, odnosno povratak podataka ne zavisi o prethodnih kopija. Ova vrsta izrade kopije je vremenski najzahtjevnija, ali je zbog sveobuhvatnosti i najjednostavnija za povratak.

• Inkrementalna kopija (Incremental backup) – rezervna kopija svih podataka koje su se promijenile od zadnje izrade pune, diferencijalne ili inkrementalne rezervne kopije. Da bi se napravio povratak podataka potrebno je imati posljednju punu kopiju (Full backup) i sve naknadne diferencijalne i inkrementalne rezervne kopije. Ova metoda izrade kopija je vremenski najnezahtjevnija jer se kopiraju samo promijenjeni podaci od posljednje izrade rezervne kopije. Kod ove metode veoma je bitno voditi računa o pravilnom označavanju medijuma na kojima su sačuvani podaci.

• Diferencijalna sigurnosna kopija (Differential backup) – rezervna kopija svih podataka koje su se promijenile od zadnjeg punog bekapa (Full backup). Za razliku od inkrementalne rezervne kopije, za povratak podataka potrebna je zadnja puna rezervna kopija i odabrana diferencijalna kopija.

Rezervne kopije podatka se mogu čuvati na prenosnim medijima (CD, DVD, optički diskovi, USB diskovi, magnetne trake idr.). Kako širokopojasni pristup internetu postaje rasprostranjeniji pravljenje rezervnih kopija na daljinu postaje sve popularniji vid čuvanja podataka. Sve više organizacija imaju kao riješenje čuvanje rezervnih kopija podataka na udaljenim lokacijama iz razloga prirodnih katastrofa (zemljotres, poplava, isl) kao i namjernih i nenamjernih vanrednih događaja požar, sabotaža, krađa. Te udaljene lokacije se zovu alternativne ili bekap








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

lokacije koje su u mogudnosti da povrate sve podatke koje su procijenjene kao kritične za organizaciju.

Izrada rezervne kopije podataka u operativnom sistemu Windows 720

Ovom vježbom bidete u mogudnosti da napravite rezervne kopije podataka na:

1. Drugoj particiji diska, 2. Spoljnem disku, CD, DVD-u, 3. Mrežnom disku.

Ovom vježbom bidete u mogudnosti da napravite rezervne kopije podataka na:

Drugoj particiji diska,

Spoljnem disku, CD, DVD-u,

Mrežnom disku.

Otvorite opciju »Pravljenje rezervnih kopija i vraćanje u prethodno stanje« tako što dete kliknuti na dugme »Start«, izabrati stavku Kontrolna tabla, izabrati stavku Sistem i održavanje, a zatim izabrati stavku Pravljenje rezervnih kopija i vraćanje u prethodno stanje, kao što je prikazano na slikama:

20 http://windows.microsoft.com/sr-latn-rs/windows7/back-up-your-files

http://windows.microsoft.com/sr-latn-rs/windows7/back-up-your-files








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Kliknite na dugme

Pojavide se meni kao na slici

Izaberite stavku

Zatim izaberite stavku

Sistem i održavanje








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Ako nikada ranije niste koristili program »Windows rezervne kopije«, kliknite na dugme Podesi pravljenje rezervne kopije i sledite korake u čarobnjaku. Obavezna je dozvola administratora. Ako vam bude zatražena administratorska lozinka ili njena potvrda, otkucajte lozinku ili je potvrdite.

Ako ste ved kreirali rezervnu kopiju, možete sačekati izvršavanje redovnog pravljenja rezervne kopije ili možete ručno kreirati novu rezervnu kopiju tako što dete kliknuti na dugme Napravi rezervnu kopiju odmah. Obavezna dozvola administratora Ako vam bude zatražena administratorska lozinka ili njena potvrda, otkucajte lozinku ili je potvrdite.

Napomene

Preporučujemo da ne pravite rezervnu kopiju datoteka na istom čvrstom disku na kojem je instaliran operativni sistem Windows.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Uvjek skladištite medijume za rezervne kopije (spoljne čvrste diskove, DVD-ove ili CD-ove) na bezbjednom mjestu, kako neovlašdene osobe ne bi imale pristup vašim datotekama. Preporučujemo mjesto obezbjeđeno u slučaju požara, odvojeno od računara. Mogli biste razmisliti i o šifrovanju podataka rezervne kopije.

Kada kreirate prvu rezervnu kopiju, program »Windows rezervne kopije« de narednim rezervnim kopijama dodavati nove ili promenjene informacije. Ako rezervne kopije čuvate na čvrstom disku ili lokaciji na mreži, program »Windows rezervne kopije« de automatski kreirati novu rezervnu kopiju čitavog sistema kada to bude potrebno. Ako rezervne kopije čuvate na CD-ovima ili DVD-ovima i ne možete da pronađete postojedi disk sa rezervnom kopijom ili ako želite da kreirate novu rezervnu kopiju svih datoteka na računaru, možete kreirati rezervnu kopiju čitavog sistema. Evo kako da kreirate rezervnu kopiju čitavog sistema:

Otvorite opciju »Pravljenje rezervnih kopija i vraćanje u prethodno stanje« tako što dete kliknuti na dugme StartSlika dugmeta »Start«, izabrati stavku Kontrolna tabla, izabrati stavku Sistem i održavanje, a zatim izabrati stavku Pravljenje rezervnih kopija i vraćanje u prethodno stanje.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

U lijevom oknu izaberite stavku »Kreiranje nove rezervne kopije čitavog sistema«, zatim izaberite gdje želite da sačuvate vaše podatke. Opcije koje de vam se prikazati su: na lokalnom disku (On a hard disk), na DVD/CD-u (On one or more DVD-s) ili na nekom mrežnom mjestu (on a network location).

Kliknite na dugme »Na hard disku« ukoliko želite da čuvate podatke na lokalnom disku.

Kliknite na dugme »Na jednom ili višeDVD-ja« ukoliko želite da čuvate podatke na DVD-ju.

Kliknite na dugme »Na mreži« ukoliko želite da čuvate podatke na mreži.

Kada podaci koji su osjetljivi za organizaciju više nisu potrebni, oni moraju biti na odgovarajudi način uništeni. Veliki broj organizacija koje žele sačuvati tajnost, povjerljivost i integritet svojih podataka koristi hardverske i softverske alate kako bi bili sigurni da njihovi podaci nede biti zloupotrebljeni. Rizik po podatke prilikom prodaje računara, otpisa i rashodovanja, odlaganja








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

računara, odnošenja na popravku, krađe su veliki i samim tim mogu dovesti do toga da povjerljivi podaci dospiju u pogrešne ruke. Podaci mogu biti: kopirani, izmijenjeni, izbrisani od strane neovlašdenih lica.

Brisanje podataka

Brisanje svih podataka na čvrstom disku i formatiranje nije dovoljno kako bi se osiguralo da su podaci kompletno obrisani. Brisanje podataka pomodu komandi sa tastatura (Delete, Shift Delete) u Windows operativnom sistemu de samo ukloniti prečice do datoteka činedi ih nevidljivim za korisnike.

Podatak u suštini postaje nevidljiv za operativni sistem. Podatak još uvek postoji ali operativni sistem jednostavno ne zna kako da ga nađe. Izbrisani podaci i dalje de boraviti na čvrstom disku i jednostavnom pretragom softvera po internetu mogu se dobiti mnoge opcije za oporavak sistema, softvere koji de omoguditi da se podaci povrate na jednostavan i brz način.

Formatiranje hard diska je malo sigurnije u smislu brisanja podataka nego brisanje pomodu komandi. Formatiranje diska ne briše podatke na disku, ved samo njihove adresne tabele, što čini malo težim povradaj podataka. Međutim kompjuterski specijalisti de biti u stanju da oporave vedinu ili sve podatke koji su bili na disku. Za neke organizacije i individualne korisnike, formatiranje diska može biti nešto što smatramo dovoljno sigurnim, u zavisnosti, naravno, od vrste podataka i informacija koje se čuvaju na računaru.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Trajno uništavanje podataka

Trajno uništavanje podataka podrazumijeva bespovratno uništavanje svih podataka sa optičkog, magnetnog ili bilo kojeg drugog medijuma. Trajno brisanje je mogude uraditi na više načina od kojih su najviše poznati metodi: Sanitization - upisivanje novog sadržaja preko postojedih lokacija na disku i demagnetizacija.

Sanitization - je specifičan način na koji se uništavaju podaci na hard disku ili nekom drugom uređaju za skladištenje korišdenjem softvera koji upisuje novi sadržaj preko postojedeg.

Demagnetizacija je postupak trajnog brisanja podataka djelovanjem magnetnog polja na digitalne podatke koji funkcionišu na principu magnetnog zapisa. Demagnetizacija se radi upotrebom posebnog hardvera.

Brisanje podataka se ne može u potpunosti raditi na fleš zasnovana medijima, kao što su Solid State diskovi i USB fleš diskovi, ovi uređaji mogu čuvati ostatke podataka koji su nepristupačni za tehnike brisanja, a podaci mogu biti preuzeti iz pojedinačnih fleš memorijskih čipova unutar samog uređaja.

Ako želite biti sasvim sigurni da ne postoji nijedna mogudnost za bilo kakvo rekonstruisanje bilo kog podatka najsigurnije rješenje je fizičko uništavanje medijuma. To uništavanje sprovode spicijalizovane kompanije koje mogu obaviti datu aktivnost na više načina: pulverzacija, paljenje i polivanje kisjelinom.








| Phone: +386 2 220 71 05|Fax: +386 2 220 72 72 |

Za podatke u formi papira, registratore, knjige, kreditne kartice, CD/DVD druge plastične medije najbolji način uništavanja podataka je korišdenjem šredera, takav uređaj sječe podatke uzdužno i poprečno na veoma tanke i kratke rezane ostatke, koje je kasnije nemogude spojiti. Poželjno je da tokom samog procesa sječenja zaposleni ili klijent prisustvuje fizičkom uništenju podataka.

Autor: doc.dr Adis Balota, Univerzitet Mediteran

deliverable 2 - ecesmecesm.net/sites/default/files/handbook ii.pdfeuropean commission tempus...

Documents