Sigurnost u e-poslovanju ()

Report
Elektronsko poslovanje
Sigurnost u
e-poslovanju
1
Sigurnost u e-poslovanju
• Problemi sigurnosti i zaštite podataka su
svakako jedna od najvećih prepreka bržem
širenju e-poslovanja.
• Za kriminalce, Internet je stvorio čitav niz novih
i veoma unosnih načina krađe od više od
milijardu korisnika Interneta širom sveta, od
proizvoda i usluga do novca i informacija.
• Manje je rizično krasti on-line, sa bezbedne
udaljenosti i gotovo anonimno.
2
Sigurnost u e-poslovanju
• Internet je otvorena mreža, čija struktura i
protokoli ne pružaju dovoljno bezbednosti i
sajber kriminal postaje sve značajniji problem, i
za organizacije i za pojedince.
• On-line prevare sa kreditnim karticama i
phishing su možda najčešći i najpoznatiji oblici
kriminala u e-poslovanju.
• Iako je prosečna vrednost gubitka kod prevara
sa kreditnim karticama po pojedincu relativno
mala, ukupna vrednost je značajna.
3
Sigurnost u e-poslovanju
• Ukupan procenat on-line prevara sa kreditnim
karticama je procenjen na oko 0,9% svih on-line
transakcija karticama, i poslednjih godina je u
opadanju, jer trgovci i izdavaoci kreditnih
kartica unapređuju svoje sigurnosne sisteme.
• Na crnom Internet tržištu se mogu kupiti podaci
o kreditnim karticama, bankovnim računima, email nalozima, ali i celih identiteta i alata za
napade.
• Jedan od najvećih sigurnosnih problema u eposlovanju je nemogućnost pouzdanog
4
utvrđivanja identiteta korisnika.
Sigurnost u e-poslovanju
• Nije svaki oblik sajber kriminala direktno vezan
za novac – u nekim slučajevima cilj je samo da
se naruši ili blokira veb sajt, a ne direktna
krađa novca, robe i usluga.
• Sajber kriminal protiv e-poslovanja je
dinamičan i menja se sve vreme, sa gotovo
svakodnevnim novim rizicima i oblicima
napada, tako da menadžeri moraju da budu
dobro pripremljeni i da prate najnovija
dostignuća u oblasti sistema i tehnika zaštite.
5
Sigurnost u e-poslovanju
• Takođe, u sajber kriminal se sve više i češće
uključuju i države, i sa strane odbrane (posebne
jedinice u ovoj oblasti, kod nas Odeljenje za
borbu protiv visokotehnološkog kriminala), ali i
sa strane napada (u junu 2010. godine je
otkriven crv Stuxnet, kreiran od strane SAD i
Izraela, a sa ciljem da napadne Simensove
upravljačke sisteme na centrifugama za
obogaćivanje uranijuma u Iranu; tajni napadi
Kine na SAD, itd.).
6
Sigurnost u e-poslovanju
7
Zlonamerni softver
• Zlonamerni sofver (često se zove i malware ili
zlonamerni kôd – malicious code) obuhvata čitav
niz pretnji kao što su virusi, crvi, trojanci
(trojanski konji) i bot-ovi.
• U prošlosti je zlonamerni kod je najčešće
korišćen da samo onesposobi računar i bio je
kreiran od strane usamljenih hakera; sada,
međutim, sve češće je rezultat rada
organizovanih grupa sa ciljem krađe osetljivih
ličnih i finansijskih podataka.
8
Zlonamerni softver
• Pretnje često dolaze u sklopu fajlova preuzetih
sa Interneta i ovo je sada jedan od najčešćih
načina da se računar zarazi.
• Autori malware-a takođe sve češće koriste
linkove u okviru e-mailova, koji vode direktno
na preuzimanje zlonamernog kôda ili na veb
sajtove koji sadrže zlonamerni JavaScript kôd.
9
Virusi
• Virus je računarski program koji ima
sposobnost da se umnožava i da se širi na druge
fajlove.
• Uz sposobnost umnožavanja, većina
računarskih virusa nosi i “teret” – koji može biti
bezazlen i prikazivati neku poruku ili sliku ili
pak vrlo destruktivan (uništava fajlove,
formatira hard disk, ili uzrokuje nepravilan rad
programa).
10
Virusi
Računarski virusi se mogu podeliti u nekoliko
kategorija:
• Makro virusi, koji su vezani za određenu
aplikaciju, što znači da virus pogađa samo
aplikaciju (kao što su Microsoft Word, Excel, ili
PowerPoint) za koju je napisan. Kada korisnik
otvori zaraženi dokument u odgovarajućoj
aplikaciji, virus se sam iskopira u šablon
(template) aplikacije, tako da svaki sledeći put
kada se kreira novi dokument, on je već zaražen
makro virusom. Lako se šire kada se dokument
11
šalje e-mailom.
Virusi
• Fajl-virusi obično inficiraju izvršne fajlove, kao
što su *.com, *.exe, *.drv i *.dll fajlovi. Mogu se
aktivirati svaki put kada se zaraženi fajl
izvršava i tada se kopiraju na druge izvršne
fajlove. Takođe se šire putem e-maila ili
prenosom i presnimavanjem fajlova.
• Skript virusi su napisani u nekom skript jeziku,
kao što su VBScript ili JavaScript. Virusi se
aktiviraju jednostavno pozivanjem zaraženih
*.vbs ili *. js fajlova.
12
Virusi
• Primer: Černobil (svakog 26. aprila, na dan
katastrofe, obriše prvi megabajt podataka na
hard disku (koji čuva raspored snimanja
fajlova), čime svi snimljeni podaci postaju
izgubljeni)
13
Crvi
• Virusi se vrlo često kombinuju sa crvima
(worms), koji se danas češće koriste. Umesto da
se širi od fajla do fajla, crv je napravljen tako da
se širi sa računara na računar tj. nije mu
neophodan fajl kao nosilac.
• Crv ne zahteva aktivaciju od strane korisnika ili
programa da bi se umnožavao, a mogu da se vrlo
brzo šire.
• Na primer, Slammer crv, koji je pogađao
poznatu slabost u Microsoft SQL Server softveru
za baze podataka, zarazio je više od 90%
ranjivih računara širom sveta za samo 10 14
minuta od puštanja na Internet.
Trojanci
• Trojanci su na izgled bezazleni, često
maskirani kao besplatan softver, igra,
screensaver ili antivirusna zaštita, ali mogu
tajno otvoriti zaraženi računar za pristup
hakerima.
• Sam po sebi nije virus, jer nema mogućnost
umnožavanja, ali je vrlo često način da virusi ili
drugi zlonamerni softver kao što su bot-ovi uđu
u računarski sistem (npr. mogu sadržati
program koji krade šifre korisnika i šalje ih emailom na određenu adresu).
15
Trojanci
• U maju 2011. trojanac je napao računare za
administraciju poslovanja u Sony-jevom centru
za PlayStation igre i preuzeo lične i podatke o
kreditnim karticama preko 77 miliona
registrovanih korisnika, što se smatra jednom
od najozbiljnijih provala.
• Najpoznatiji trojanac u 2011. god. je bio Zeus.
• Primer: Netsky.P - kombinacija trojanca i crva;
širi se tako što se sam pošalje kao e-mail poruka
svim kontaktima na zaraženom računaru.
16
Bot
• Bot-ovi (skraćeno od robot) su vrsta
zlonamernog softvera koji se tajno instalira na
računar kada je na Internetu. Jednom kada se
instalira, bot reaguje na komande koje mu
spolja šalje haker – napadnuti računar postaje
zombi i izvršava naredbe napadača (npr. šalje emailove), bez znanja vlasnika.
• Procenjuje se da je 10% računara u svetu
zaraženo bot-ovima i da se 90% spam poruka u
svetu i 80% malware-a u svetu generiše na ovaj
način.
17
Bot
• Botnet je skup „zarobljenih“ računara koji se
koriste za zlonamerne aktivnosti kao što su
slanje spama, učešće u DDoS napadima, krađu
informacija sa računara, ili preuzimanje
podataka o Internet saobraćaju za kasniju
analizu.
• Bot-ovi i botnet-i su, pojedinačno gledano,
najznačajnija pretnja Internetu i e-poslovanju,
jer se mogu koristiti za napade velikih razmera i
korišćenjem različitih tehnika.
18
Zlonamerni softver
• Zlonamerni softver je pretnja kako na nivou
klijenata tako i na nivou servera, iako su u
principu mnogo bolje zaštićeni.
• Na nivou servera, zlonamerni kod može da obori
ceo veb sajt, sprečavajući milione ljudi da ga
koriste (ali se ovo relativno retko dešava), ili da
iz baze podataka ukrade podatke o svim
registrovanim korisnicima.
• Mnogo češći zlonamerni napadi se dešavaju na
klijentskom nivou, a šteta se može brzo proširiti
na milione drugih računara povezanih na
19
Internet.
Neželjeni programi
• Neželjeni programi se samostalno instaliraju
na računaru, obično bez saglasnosti korisnika
(ili nesvesne saglasnosti – „I agree“).
• Adware – obično se koristi za prikazivanje
posebnih pop-up reklama kada korisnik poseti
određene sajtove, može biti dosadan, ali se
obično ne koristi za kriminalne aktivnosti.
• Parazit veb pretraživača – program koji
može da prati i menja podešavanja korisnikovog
veb pretraživača, na primer da menja početnu
stranu ili da šalje informacije o tome koje
20
stranice korisnik posećuje.
Neželjeni programi
• Spyware – može se koristiti za špijuniranje tj.
za dobijanje određenih informacija i poverljivih
podataka sa napadnutog računara, kao što su
tasteri koje je korisnik pritisnuo (krađa šifara),
kopija e-mailova ili slika ekrana (screenshot,
PrintScreen);
21
Phishing i krađa identiteta
• Phishing je svaki on-line pokušaj obmane, sa
ciljem da se od žrtve izvuku poverljive
informacije, u cilju sticanja finansijske koristi
• Phishing napadi obično ne uključuju zlonamerni
kôd već se zasnivaju na prevari i lažnom
predstavljanju
• Najpopularnija tehnika za phishing napad je
lažni e-mail („Nigerijsko pismo“)
22
Phishing i krađa identiteta
23
24
Phishing i krađa identiteta
• Koriste se i drugi oblici, npr. lažno
predstavljanje da je napadač eBay, PayPal ili
Vaša banka, koji Vam e-mailom zahtevaju
„verifikaciju naloga“.
• Obično se u e-mailu nalazi link, a klikom na
njega odlazi se na lažni veb sajt (koji je obično
identičan tj. vizuelna kopija originalnog sajta
npr. banke - spoofing) i na kome se očekuje da
korisnik unese poverljive informacije kao što su
brojevi bankovnog računa, kreditne kartice, PIN
kodove, šifre, itd, na navodnu verifikaciju.
25
Phishing i krađa identiteta
26
Phishing i krađa identiteta
• Svakoga dana se pošalje na milione ovakvih email phishing napada, i na žalost, neki ljudi
budu prevareni (moguće je koristiti i SMS,
obavešenja da ste dobili neku veliku nagradu...).
• Napadači prikupljene podatke koriste za vršenje
kriminalnih radnji kao što su kupovina robe na
Vaš račun ili podizanje gotovine sa Vaših
računa ili za neke druge oblike „krađe
identiteta“ (identity theft)
• Phishing napadi su najbrže rastući oblik
kriminala u e-poslovanju, a najčešće se koriste u
27
oblasti finansijskih usluga.
Prevare sa kreditnim karticama
• Krađa podataka o kreditnoj kartici je nešto čega
se korisnici najviše boje pri radu na Internetu.
• Strah da će informacije o kreditnoj kartici biti
ukradene sprečava ili destimuliše mnoge
korisnike da vrše on-line kupovine.
• On-line prevare sa kreditnim karticama su dva
puta češće nego off-line prevare, jer, između
ostalog, nije potrebno lično prisustvo, nema
potpisivanja, nije potreban PIN, itd.
28
Prevare sa kreditnim karticama
• Jedna od čestih prevara je skimming –
očitavanje podataka sa kreditne kartice, i
snimanje unosa PIN koda na bankomatu
• Krađa kartice iz bankomata
• – libanska klopka
29
Uskraćivanje servisa
• „Uskraćivanje servisa“ (Denial of Service - DoS)
je oblik napada u kome napadači preplave veb
sajt lažnim zahtevima koji zaguše veb server
sajta i on nije više u mogućnosti da ostalim
korisnicima prikazuje napadnuti sajt i pruža
usluge
• DoS napadi obično za posledicu imaju
privremeno gašenje sajta, tj. korisnici više nisu
u mogućnosti da ga koriste.
• Za poslovne veb sajtove ovi napadi mogu
finansijski biti vrlo negativni jer dok je sajt
30
ugašen nema trgovine a samim tim ni prihoda.
Uskraćivanje servisa
• Vrlo često su DoS napadi praćeni ucenjivačkim
zahtevom napadača vlasniku da plati određenu
sumu novca kako bi napad bio prekinut.
• „Distribuirano uskraćivanje servisa“
(Distributed Denial of Service - DDoS) je oblik
napada u kome se koriste stotine ili hiljade
zaposednutih računara (bot-ova), kako bi se
ciljana mreža ili sajt napali sa više različitih
strana i tačaka.
31
Unutrašnji napadi
• Najveće finansijske pretnje poslovnim
institucijama dolaze zapravo iz same institucije.
• Bankarski službenici ukradu mnogo više novca
nego pljačkaši banaka – isto je i u e-poslovanju.
• Neke od najvećih diverzija u e-poslovanju,
pružanju usluga, uništavanja sajtova i diverzija
sa ličnim i finansijskim informacijama klijenata
je bile izvršene od strane zaposlenih, u koje je
kompanija imala poverenje i koji su imali
pristup poverljivim informacijama.
32
Unutrašnji napadi
• Posebnu opasnost predstavljaju i bivši
zaposleni, pa se zato vrlo često kada neko iz bilo
kojih razloga napusti posao, menjaju sve šifre u
kompaniji sa kojima je on bio upoznat.
33
Loše dizajniran softver
• Mnoge sigurnosne pretnje dolaze od loše
dizajniranog serverskog i klijentskog softvera,
nekada operativnog sistema, a nekada
aplikativnog softvera, uključujući veb
pretraživače.
• Symatec je identifikovao 500 osetljivih tačaka u
veb pretraživačima – 191 u Google Chrome-u,
119 u Safariju, 100 u Mozila Firefox-u, 59 u
Internet Exploreru – od kojih su neke bile
kritične.
34
Sigurnost društvenih mreža
• Društvene mreže, kao što su Facebook, Twitter i
LinkedIn, pružaju hakerima niz mogućnosti za
kriminalne aktivnosti.
• Preko 40% korisnika društvenih mreža je
napadnuto nekim oblikom malware-a.
• Virusi, preuzimanje sajtova, krađa identiteta,
aplikacije sa malware-om, phishing, spam – se
takođe mogu naći i na društvenim mrežama.
35
Sigurnost mobilnih platformi
• Eksplozija mobilnih uređaja koji imaju pristup
Internetu, od iPhone-a i iPad-a do Androida i
BlackBarry-a, je proširila mogućnosti za hakere.
• Mobilni korisnici drže na svojim mobilnim
uređajima (telefonima) mnogo ličnih podataka,
uključujući i finansijske informacije, čineći ih
odličnim metama za hakere
• Malware za mobilne telefone danas je sličan kao
i malware za PC računare: crvi, virusi (često
skriveni u mobilne aplikacije, često i antivirusne aplikacije), napadi na servere mobilnih
36
provajdera, itd.
Rešenja za probleme sigurnosti
Danas se u principu koriste dve linije odbrane:
• tehnološka rešenja – skup alata, pre svega
softverskih, koji sprečavaju napadače u
njihovim namerama,
• pravna rešenja – zakoni, stroga primena propisa
u oblasti sajber kriminala, kompanijski propisi
u oblasti računarske bezbednosti, itd.
37
Rešenja za probleme sigurnosti
• S obzirom da transakcije u e-poslovanju moraju
da putuju Internetom, koji je javna mreža i
prenos ovih podataka uključuje hiljade rutera i
servera, smatra se da najveće sigurnosne
pretnje se dešavaju na nivou Internet
komunikacije.
• Postoji više alata koji omogućavaju zaštitu
sigurnosti Internet komunikacija, a osnovna je
enkripcija (šifriranje) poruke.
38
Enkripcija
Zbog mogućnosti da neko zlonameran neovlašćeno
prati komunikaciju koja se odvija preko Interneta
i to kasnije zloupotrebi, u savremenom poslovanju
mora postojati mehanizam koji obezbeđuje:
• zaštitu tajnosti informacija (sprečavanje
otkrivanja njihovog sadržaja),
• integritet informacija (sprečavanje neovlašćene
izmene informacija),
• autentičnost informacija (definisanje i proveru
identiteta pošiljaoca).
39
Enkripcija
• Kriprografija je nauka koja se bavi metodama
očuvanja tajnosti informacija.
• Enkripcija je proces transformacije običnog
teksta ili podataka u šifrovani tekst koji ne
može da pročita niko drugi sem pošiljaoca i
primaoca.
• Svrha enkripcije je:
• da zaštiti čuvane informacije,
• da zaštiti prenos informacija.
• Transformacija običnog u šifrirani tekst se vrši
uz pomoć ključa (šifre).
40
Enkripcija simetričnim ključem
• Kod enkripcije simetričnim ključem, i
pošiljalac i primalac koriste isti ključ za
šifrovanje i dešifrovanje poruke.
• Ovaj ključ moraju da međusobno pošalju putem
sigurne komunikacije ili da ga dostave lično.
• Ovaj metod je intenzivno korišćen tokom II
svetskog rata (Enigma).
• Kako bi koristili isti ključ, obe strane ga moraju
poslati preko verovatno nesigurnog medijuma,
gde može biti ukraden i iskorišćen za
dešifrovanje poruka.
41
Enkripcija simetričnim ključem
• Ako je tajni ključ ukraden, ceo sistem enkripcije
gubi smisao.
• Savremeni sistemi za enkripciju su digitalni, pa
su i šifre odnosno ključevi korišćeni za
šifrovanje/dešifrovanje digitalne reči (binarne,
sastavljene od niza 0 i 1)
• Jačina savremenog sistema zaštite se meri
dužinom binarnog ključa koji se koristi za
šifrovanje podataka (56, 128, 256 ili 512
binarnih cifara)
42
Enkripcija javnim ključem
• Whitfiled Diffie i Martin Hellman su 1976.
godine predložili novi način šifrovanja podataka
nazvan kriptografija javnim ključem i ovaj
metod rešava problem razmene ključeva.
• U ovom metodu koriste se dva matematički
povezana digitalna ključa: javni i privatni
(tajni).
• Privatni ključ čuva vlasnik i on je tajni, dok se
javni ključ slobodno distribuira; oba ključa mogu
da se koriste i za šifrovanje i za dešifrovanje
poruka.
43
Enkripcija javnim ključem
• Međutim, ključ kojim je izvršeno šifrovanje ne
može se koristiti i za dešifrovanje iste poruke –
matematički algoritmi kojima se vrši šifriranje
su jednosmerne funkcije i ulaz se ne može dobiti
na osnovu poznavanja izlaza.
• Kriptografija javnim ključem je zasnovana na
ideji nepovratnih matematičkih funkcija.
44
Enkripcija javnim ključem
Originalna poruka
Javni ključ
primaoca
Šifrovana
poruka
Pošiljalac
Tajni ključ
primaoca
Primalac
Internet
45
Enkripcija javnim ključem
Međutim, i u enkripciji javnim ključem nedostaju
neki elementi pune bezbednosti:
• ne može se sa sigurnošću utvrditi ko je pravi
pošiljalac (nema autentikacije pošiljaoca),
• ne može se sa sigurnošću utvrditi da li je poruka
u toku prenosa izmenjena (npr. „Buy“ u „Sell“ ili
iznos).
46
Hash i digitalni potpis
• Kako bi se proverio integritet i poreklo poruke i
obezbedila provera da poruka nije menjana u
toku prenosa, koriste se hash funkcije, kojima se
kreira „izvod“ poruke.
• Hash funkcija je algoritam kojim se dobija
binarni broj fiksne dužine koji se naziva hash ili
izvod poruke; obično je to složen broj, dužine
npr. 128 bitova koji u sebi sadrži koliko u poruci
ima 0 i 1, koliko ima 00 ili 11, itd.
• Hash je jedinstven za svaku poruku.
47
Hash i digitalni potpis
• Hash se šalje primaocu, zajedno sa porukom
(naravno, oba su zajedno šifrovana javnim
ključem primaoca u jedinstvenu poruku); po
prijemu poruke (i dešifrovanja svojim tajnim
ključem), primalac primenjuje hash funkciju na
primljenu poruku i proverava da li je dobijeni
rezultat identičan sa dešifrovanim hash-om.
• Ako jeste, to znači da poruka nije menjana.
48
Hash i digitalni potpis
• Neophodan je još jedan korak: da bi obezbedio
autentikaciju poruke, pošiljalac šifruje ceo blok
već šifriranog teksta još jednom, korišćenjem
svog tajnog ključa. Ovim se dobija tzv. digitalni
potpis (takođe se naziva i e-potpis) ili
„potpisani“ šifrirani tekst, koji se sada može
poslati preko Interneta.
• Digitalni potpis je blizak ručnom potpisu, jer je
jedinstven pošto bi trebalo da samo jedna osoba
poseduje korišćeni tajni ključ.
49
Hash i digitalni potpis
Hash
funkcija
„Izvod“ poruke
Javni ključ
primaoca
Tajni ključ pošiljaoca
(digitalni potpis)
Šifrovani tekst
(sa izvodom poruke)
Originalna
poruka
Potpisan
šifrovani tekst
Primalac
Provera
„izvoda“
Tajni ključ
primaoca
Javni ključ
pošiljaoca
Internet
Autentičan
šifrovan tekst
50
Digitalni koverat
• Enkripcija javnim ključem je računarski
zahtevna i spora; korišćenje simetričnog ključa
je brže, ali ima već navedeni nedostatak slanja
ključa putem nesigurnih veza.
• Jedno od rešenja je da se za šifrovanje i
dešifrovanje većih dokumenata koristi efikasniji
metod simetričnog ključa, a da se enkripcija
javnim ključem koristi samo za šifrovanje i
slanje simetričnog ključa.
• Ova tehnika se naziva digitalni koverat.
51
Digitalni koverat
Diplomatski
izveštaj
Originalna
poruka
Simetrični
ključ sesije
Javni ključ
primaoca
Digitalni
koverat
Šifrovana
poruka
Pošiljalac
Primalac
Diplomatski
izveštaj
Simetrični
ključ sesije
Tajni ključ
primaoca
Internet
52
Digitalni sertifikat
• Međutim, još uvek nije obezbeđena puna
bezbednost: kako možemo da budemo sigurni da
su ljudi i institucije od kojih dobijamo poruke
zaista oni za koje se predstavljaju?
• Digitalni (elektronski) sertifikati, i prateća
infrastruktura javnog ključa (PKI), su pokušaj
da se reši ovaj problem digitalnog identiteta.
53
Digitalni sertifikat
• Digitalni sertifikat je digitalni dokument koji
izdaje pouzdana, nezavisna institucija,
ovlašćena za izdavanje sertifikata i poznata kao
sertifikaciono telo (certification authority - CA),
i on sadrži naziv osobe ili kompanije, njegov
javni ključ, serijski broj digitalnog sertifikata,
datum važenja, datum izdavanja, digitalni
potpis sertifikacionog tela, itd.
• Dakle, osnovni zadatak sertifikata je da poveže
javni ključ sa vlasnikom.
54
Digitalni sertifikat
55
Digitalni sertifikat
Institucija/
pojedinac
Zahtev za
sertifikatom
Internet
Dobijeni
sertifikat
Digitalni sertifikat:
Serijski broj sertifikata
Verzija
Naziv izdavača
Datum važenja
Naziv subjekta
Javni ključ subjekta
Potpis sertifikacionog tela
Ostale informacije
Sertifikaciona
tela
Partner u
transakciji (online
prodavac ili klijent)
56
Digitalni sertifikat
• U našoj zemlji je 2004. godine usvojen Zakon o
elektronskom potpisu, kojim su propisana sva
pravila za korišćenje elektronskog potpisa i
znatno olakšan rad i proširene mogućnosti eposlovanja.
• Takođe, u našoj zemlji trenutno postoje četiri
sertifikaciona tela ovlašćena za izdavanje
kvalifikovanih elektronskih sertifikata:
• Privredna komora Srbije,
• Pošta Srbije,
• MUP Srbije, i
57
• Halcom.
Enkripcija
Za sva do sada navedena rešenja važe sledeća
ograničenja:
• ona štite poruke tokom prenosa, ali nisu
efikasna u zaštiti iznutra tj. od strane
zaposlenih,
• većina tajnih ključeva se čuva na nesigurnim
ličnim ili službenim računarima i laptopovima,
• ne postoji garancija da je osoba koja koristi
računar (i tajni ključ na njemu) zaista vlasnik
računara i ključa (izgubljen ili ukraden laptop).
58
Obezbeđenje kanala komunikacije
• Najčešći način za obezbeđenje kanala
komunikacije je korišćenje SSL-a (Secure Socket
Layer).
• Sigurna sesija na Internetu je ona klijent-server
sesija u kojoj je URL adresa zahtevanog
dokumenta, zajedno sa sadržajem i svim
pratećim elementima koji se razmenjuju,
šifrovani.
• Na primer, broj kreditne kartice koja se šalje sa
forme za unos, putem Interneta, do servera eprodavnice se šalje šifrovan.
59
Obezbeđenje kanala komunikacije
Transakcija korišćenjem SSL protokola uključuje
sledeće aktivnosti:
• Server šalje svoj digitalni sertifikat klijentu,
• Klijent proverava da li je sertifikat izdalo neko
sertifikaciono telo; ako ustanovi da nije, pruža
korisniku mogućnost da odabere da li će
nastaviti transakciju ili će je prekinuti,
• Klijent i server razmenjuju javne ključeve,
• Klijent generiše simetrični ključ koji se koristi
samo u započetoj transakciji,
60
Obezbeđenje kanala komunikacije
• Klijent šifruje generisani simetrični ključ,
korišćenjem serverovog javnog ključa i šalje ga
serveru.
• U daljem toku transakcije server i klijent
koriste taj isti ključ metodom simetrične
enkripcije.
• Svi veb pretraživači imaju u sebi SSL
• u slučaju šifrovane komunikacije u adresi
posećenog sajta se javlja https:// ...
61
Obezbeđenje kanala komunikacije
Zahtev za
sigurnom
sesijom
Web pretraživač
klijenta
Internet
Server
prodavca
Odobrenje
sigurne
sesije
Razmena sertifikata
Sertifikat
klijenta
Ključ sesije
(generiše ga klijent)
Digitalni koverat
Sertifikat
prodavca
Sertifikati razmenjeni.
Obe strane
identifikovane.
Klijent generiše simetrični ključ
sesije i korišćenjem javnog
ključa servera kreira digitalni
koverat. Šalje ga serveru.
Server ga dešifruje
korišćenjem svog privatnog
ključa.
Počinje šifrirana komunikacija,
korišćenjem simetričnog ključa
sesije, koji je generisao klijent
62
Obezbeđenje kanala komunikacije
• Virtuelna privatna mreža (Virutal Private
Network - VPN) omogućava udaljenim
korisnicima da pristupaju lokalnoj računarskoj
mreži kompanije putem Interneta, korišćenjem
niza VPN protokola.
• VPN mreže koriste i autentikaciju i enkripciju
kako bi zaštitili informacije od neovlašćenih
korisnika.
• Udaljeni korisnik se može povezati na LAN
mrežu korišćenjem svog Internet provajdera.
• VPN protokoli zatim obezbeđuju vezu od klijenta
do kompanijske mreže tako da korisnik može 63
da
je koristi kao da je direktno povezan na nju.
Obezbeđenje kanala komunikacije
• Proces povezivanja jednog protokola kroz drugi
naziva se tuneliranje (tunneling), zato što VPN
kreira privatnu vezu dodavanjem nevidiljivog,
šifrovanog omotača oko poruke (kao tunel), kako
bi sakrio njen sadržaj.
• VPN je virtuelna mreža u smislu da se
korisnicima čini kao da je direktna, posebna
linija (veza), a ona je ustvari privremena,
sigurna linija; obično se koristi u komunikaciji
poslovnih partnera (velikih dobavljača ili
kupaca) i zaposlenih koji rade sa neke
64
udaljenosti (npr. sa službenog puta).
Zaštita mreža
• Zaštitni zid (firewall) je hardver ili softver koji
služi za filtriranje komunikacije odnosno
sprečavanje pristupa mreži određenim
zahtevima, u skladu sa definisanom politikom
zaštite.
• Firewall kontroliše saobraćaj ka i od servera i
klijenata, sprečavajući komunikaciju sa
nepouzdanim izvorima i omogućavajući
komunikaciju sa pouzdanim.
65
Zaštita mreža
• Proksi serveri (Proxy servers) su softverski
serveri koji upravljaju celokupnom
komunikacijom od lokalnih klijenata ka
Internetu i obrnuto, ponašajući se kao čuvari
mreže kompanije.
• Proksi serveri se prvenstveno koriste kako bi
internim klijentima ograničili pristup eksternim
Internet serverima (npr. blokiranje Facebook-a),
mada neki proksi serveri rade i kao zaštitni
zidovi.
66
Zaštita mreža
ZAŠTITNI ZID (FIREWALL)
Udaljeni
server
Klijenti
Zaštitni zid
Web server
Udaljeni
klijent
PROKSI SERVER
Interna
mreža
Klijenti
Proksi
server
Eksterna
mreža
Udaljeni
server
Udaljeni
klijent
67
Zaštita servera i klijenata
Vrši se na dva načina:
• Sigurnosna unapređenja operativnog sistema:
najočigledniji način zaštite servera i klijenata je
korišćenje prednosti automatskog ažuriranja
(update) bezbednosnih sistema koje pružaju
Microsoft i Apple (za operativni sistem,
aplikacije, veb pretraživače, itd.)
• Antivirusni softver: najlakši i najjeftiniji način
za sprečavanje pretnji integritetu sistema je
instalacija antivirusnog softvera (Kaspersky,
McAfee, Norton) i njegovo redovno ažuriranje.
68
Elektronsko poslovanje
• Dr Zoran Kalinić
• Kabinet: E-216
• E-mail: [email protected]
69

similar documents