1 / 69

Sigurnost u e- poslovanju

Elektronsko poslovanje. Sigurnost u e- poslovanju. Sigurnost u e- poslovanju. Problemi sigurnosti i zaštite podataka su svakako jedna od najvećih prepreka bržem širenju e- poslovanja .

oded
Download Presentation

Sigurnost u e- poslovanju

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Elektronskoposlovanje Sigurnost u e-poslovanju

  2. Sigurnost u e-poslovanju • Problemisigurnostiizaštitepodatakasusvakakojedna od najvećihpreprekabržemširenju e-poslovanja. • Zakriminalce, Internet je stvoriočitavniznovihiveomaunosnihnačinakrađe od više od milijardukorisnikaInternetaširomsveta, od proizvodaiusluga do novcaiinformacija. • Manjeje rizičnokrasti on-line, sabezbedneudaljenostiigotovoanonimno.

  3. Sigurnost u e-poslovanju • Internet je otvorenamreža, čijastrukturaiprotokoli ne pružajudovoljnobezbednostiisajberkriminalpostajesveznačajniji problem, izaorganizacijeizapojedince. • On-line prevaresakreditnimkarticamai phishing sumoždanajčešćiinajpoznatijioblicikriminala u e-poslovanju. • Iako je prosečnavrednostgubitkakodprevarasakreditnimkarticamapopojedincurelativno mala, ukupnavrednost je značajna.

  4. Sigurnost u e-poslovanju • Ukupanprocenat on-line prevarasakreditnimkarticama je procenjennaoko 0,9% svih on-line transakcijakarticama, iposlednjihgodina je u opadanju, jertrgovciiizdavaocikreditnihkarticaunapređujusvojesigurnosnesisteme. • Na crnom Internet tržištu se mogukupitipodaci o kreditnimkarticama, bankovnimračunima, e-mail nalozima, aliicelihidentitetaialatazanapade. • Jedan od najvećihsigurnosnihproblema u e-poslovanju je nemogućnostpouzdanogutvrđivanjaidentitetakorisnika.

  5. Sigurnost u e-poslovanju • Nijesvakiobliksajberkriminaladirektnovezanzanovac – u nekimslučajevimacilj je samo da se narušiiliblokiravebsajt, a ne direktnakrađanovca, robe iusluga. • Sajberkriminalprotiv e-poslovanja je dinamičanimenja se svevreme, sagotovosvakodnevnimnovimrizicimaioblicimanapada, tako da menadžerimoraju da bududobropripremljenii da prate najnovijadostignuća u oblastisistemaitehnikazaštite.

  6. Sigurnost u e-poslovanju • Takođe, u sajberkriminal se sveviše i češćeuključuju i države, i sastraneodbrane (posebnejedinice u ovojoblasti, kodnasOdeljenje za borbuprotivvisokotehnološkogkriminala), ali i sastranenapada (u junu 2010. godine je otkrivencrvStuxnet, kreiran od strane SAD i Izraela, a saciljem da napadneSimensoveupravljačkesistemenacentrifugamaza obogaćivanjeuranijuma u Iranu; tajninapadiKinena SAD, itd.).

  7. Sigurnost u e-poslovanju

  8. Zlonamernisoftver • Zlonamernisofver (često se zove i malware ilizlonamernikôd– malicious code) obuhvatačitavnizpretnjikaoštosuvirusi, crvi, trojanci (trojanskikonji) i bot-ovi. • U prošlosti je zlonamerni kod je najčešće korišćen da samo onesposobi računar i bio je kreiran od strane usamljenih hakera; sada, međutim, sve češće je rezultat rada organizovanih grupa sa ciljem krađe osetljivih ličnih i finansijskih podataka.

  9. Zlonamernisoftver • Pretnječestodolaze u sklopufajlovapreuzetihsaInternetaiovo je sadajedan od najčešćihnačina da se računarzarazi. • Autorimalware-a takođesvečešćekoristelinkove u okviru e-mailova, kojivodedirektnonapreuzimanjezlonamernogkôdailinavebsajtovekojisadržezlonamerni JavaScript kôd.

  10. Virusi • Virus je računarski program kojiimasposobnost da se umnožavai da se širinadrugefajlove. • Uzsposobnostumnožavanja, većinaračunarskihvirusanosii “teret” – kojimožebitibezazleniprikazivatinekuporukuilislikuilipakvrlodestruktivan (uništavafajlove, formatira hard disk, iliuzrokujenepravilan rad programa).

  11. Virusi Računarskivirusi se mogupodeliti u nekolikokategorija: • Makrovirusi, kojisuvezanizaodređenuaplikaciju, štoznači da virus pogađasamoaplikaciju (kaoštosu Microsoft Word, Excel, ili PowerPoint) zakoju je napisan. Kadakorisnikotvorizaraženidokument u odgovarajućojaplikaciji, virus se samiskopira u šablon (template) aplikacije, tako da svakisledeći put kada se kreiranovidokument, on je većzaraženmakrovirusom. Lako se širekada se dokumentšalje e-mailom.

  12. Virusi • Fajl-virusiobičnoinficirajuizvršnefajlove, kaoštosu *.com, *.exe, *.drvi *.dllfajlovi. Mogu se aktiviratisvaki put kada se zaraženifajlizvršavaitada se kopirajunadrugeizvršnefajlove. Takođe se šireputem e-mailailiprenosomipresnimavanjemfajlova. • Skriptvirusisunapisani u nekomskriptjeziku, kaoštosu VBScript ili JavaScript. Virusi se aktivirajujednostavnopozivanjemzaraženih *.vbsili *. jsfajlova.

  13. Virusi • Primer: Černobil (svakog 26. aprila, nadankatastrofe, obrišeprvimegabajtpodatakana hard disku (kojičuvarasporedsnimanjafajlova), čimesvisnimljenipodacipostajuizgubljeni)

  14. Crvi • Virusi se vrločestokombinujusacrvima (worms), koji se danasčešćekoriste. Umesto da se širi od fajla do fajla, crv je napravljentako da se širisaračunaranaračunartj. nije mu neophodanfajlkaonosilac. • Crv ne zahtevaaktivaciju od stranekorisnikailiprograma da bi se umnožavao, a mogu da se vrlobrzošire. • Na primer, Slammer crv, koji je pogađaopoznatuslabost u Microsoft SQL Server softveruzabazepodataka, zarazio je više od 90% ranjivihračunaraširomsvetazasamo 10 minuta od puštanjana Internet.

  15. Trojanci • Trojancisunaizgledbezazleni, čestomaskiranikaobesplatansoftver, igra, screensaver iliantivirusnazaštita, alimogutajnootvoritizaraženiračunarzapristuphakerima. • Sam posebinije virus, jernemamogućnostumnožavanja, ali je vrločestonačin da virusiilidrugizlonamernisoftverkaoštosu bot-oviuđu u računarskisistem (npr. mogusadržati program kojikradešifrekorisnikaišaljeih e-mailomnaodređenuadresu).

  16. Trojanci • U maju 2011. trojanac je napaoračunarezaadministracijuposlovanja u Sony-jevomcentruza PlayStation igreipreuzeoličneipodatke o kreditnimkarticamapreko 77 milionaregistrovanihkorisnika, što se smatrajednom od najozbiljnijihprovala. • Najpoznatijitrojanac u 2011. god. je bio Zeus. • Primer: Netsky.P - kombinacijatrojancaicrva; širi se takošto se sampošaljekao e-mail porukasvimkontaktimanazaraženomračunaru.

  17. Bot • Bot-ovi (skraćeno od robot) suvrstazlonamernogsoftverakoji se tajnoinstaliranaračunarkada je naInternetu. Jednomkada se instalira, bot reagujenakomandekoje mu spoljašaljehaker – napadnutiračunarpostajezombiiizvršavanaredbenapadača (npr. šalje e-mailove), bezznanjavlasnika. • Procenjuje se da je 10% računara u svetuzaraženo bot-ovimai da se 90% spam poruka u svetui 80% malware-a u svetugenerišenaovajnačin.

  18. Bot • Botnet je skup „zarobljenih“ računarakoji se koristezazlonamerneaktivnostikaoštosuslanjespama, učešće u DDoSnapadima, krađuinformacijasaračunara, ilipreuzimanjepodataka o Internet saobraćajuzakasnijuanalizu. • Bot-ovii botnet-isu, pojedinačnogledano, najznačajnijapretnjaInternetuie-poslovanju, jer se mogukoristitizanapadevelikihrazmeraikorišćenjemrazličitihtehnika.

  19. Zlonamernisoftver • Zlonamernisoftver je pretnjakakonanivouklijenatatakoinanivouservera, iakosu u principumnogoboljezaštićeni. • Na nivouservera, zlonamernikodmože da oboriceovebsajt, sprečavajućimilioneljudi da gakoriste (ali se ovorelativnoretkodešava), ili da izbazepodatakaukradepodatke o svimregistrovanimkorisnicima. • Mnogočešćizlonamerninapadi se dešavajunaklijentskomnivou, a šteta se možebrzoproširitinamilionedrugihračunarapovezanihnaInternet.

  20. Neželjeni programi • Neželjeniprogramise samostalnoinstalirajunaračunaru, običnobezsaglasnostikorisnika (ilinesvesnesaglasnosti – „I agree“). • Adware – obično se koristizaprikazivanjeposebnih pop-up reklamakadakorisnikposetiodređenesajtove, možebitidosadan, ali se obično ne koristizakriminalneaktivnosti. • Parazitvebpretraživača– program kojimože da pratiimenjapodešavanjakorisnikovogvebpretraživača, na primer da menjapočetnustranuili da šaljeinformacije o tome kojestranicekorisnikposećuje.

  21. Neželjeni programi • Spyware– može se koristitizašpijuniranjetj. zadobijanjeodređenihinformacijaipoverljivihpodatakasanapadnutogračunara, kaoštosutasterikoje je korisnikpritisnuo (krađašifara), kopija e-mailovailislikaekrana (screenshot, PrintScreen);

  22. Phishing i krađa identiteta • Phishing je svaki on-line pokušajobmane, saciljem da se odžrtveizvukupoverljiveinformacije, u ciljusticanjafinansijskekoristi • Phishing napadiobično ne uključujuzlonamernikôdveć se zasnivajunaprevari i lažnompredstavljanju • Najpopularnijatehnikaza phishing napad je lažni e-mail („Nigerijskopismo“)

  23. Phishing i krađa identiteta

  24. Phishing i krađa identiteta • Koriste se idrugioblici, npr. lažnopredstavljanje da je napadač eBay, PayPal iliVašabanka, kojiVam e-mailomzahtevaju „verifikacijunaloga“. • Obično se u e-mailunalazi link, a klikomnanjegaodlazi se nalažnivebsajt (koji je običnoidentičantj. vizuelnakopijaoriginalnogsajtanpr. banke - spoofing) inakome se očekuje da korisnikunesepoverljiveinformacijekaoštosubrojevibankovnogračuna, kreditnekartice, PIN kodove, šifre, itd, nanavodnuverifikaciju.

  25. Phishing i krađa identiteta

  26. Phishing i krađa identiteta • Svakogadana se pošaljenamilioneovakvih e-mail phishing napada, inažalost, nekiljudibuduprevareni (moguće je koristitii SMS, obavešenjada stedobilinekuvelikunagradu...). • Napadačiprikupljenepodatkekoristezavršenjekriminalnihradnjikaoštosukupovina robe naVašračunilipodizanjegotovinesaVašihračunailizanekedrugeoblike „krađeidentiteta“ (identity theft) • Phishing napadisunajbržerastućioblikkriminala u e-poslovanju, a najčešće se koriste u oblastifinansijskihusluga.

  27. Prevare sa kreditnim karticama • Krađapodataka o kreditnojkartici je neštočega se korisnicinajvišebojepriradunaInternetu. • Strahda ćeinformacije o kreditnojkarticibitiukradenesprečavailidestimulišemnogekorisnike da vrše on-line kupovine. • On-line prevaresakreditnimkarticamasudvaputačešćenego off-line prevare, jer, izmeđuostalog, nijepotrebnoličnoprisustvo, nemapotpisivanja, nijepotreban PIN, itd.

  28. Prevare sa kreditnim karticama • Jednaodčestihprevara je skimming – očitavanje podataka sa kreditne kartice, i snimanje unosa PIN koda na bankomatu • Krađa kartice iz bankomata • – libanska klopka

  29. Uskraćivanje servisa • „Uskraćivanjeservisa“ (Denial of Service - DoS) je obliknapada u komenapadačipreplavevebsajtlažnimzahtevimakojizaguševeb server sajtai on nijeviše u mogućnosti da ostalimkorisnicimaprikazujenapadnutisajtipružausluge • DoSnapadiobičnozaposledicuimajuprivremenogašenjesajta, tj. korisnicivišenisu u mogućnosti da gakoriste. • Zaposlovnevebsajtoveovinapadimogufinansijskibitivrlonegativnijerdok je sajtugašennematrgovine a samimtimniprihoda.

  30. Uskraćivanje servisa • VrločestosuDoSnapadipraćeniucenjivačkimzahtevomnapadačavlasniku da platiodređenusumunovcakako bi napad bio prekinut. • „Distribuiranouskraćivanjeservisa“ (Distributed Denial of Service - DDoS) je obliknapada u kome se koristestotineilihiljadezaposednutihračunara (bot-ova), kako bi se ciljanamrežailisajtnapalisavišerazličitihstranaitačaka.

  31. Unutrašnji napadi • Najvećefinansijskepretnjeposlovniminstitucijamadolazezapravoiz same institucije. • Bankarskislužbeniciukradumnogovišenovcanegopljačkašibanaka – isto je i u e-poslovanju. • Neke od najvećihdiverzija u e-poslovanju, pružanjuusluga, uništavanjasajtovaidiverzijasaličnimifinansijskiminformacijamaklijenata je bile izvršene od stranezaposlenih, u koje je kompanijaimalapoverenjeikojisuimalipristuppoverljiviminformacijama.

  32. Unutrašnji napadi • Posebnuopasnostpredstavljajuibivšizaposleni, pa se zatovrločestokadanekoizbilokojihrazloganapustiposao, menjajusvešifre u kompanijisakojima je on bio upoznat.

  33. Loše dizajniran softver • Mnogesigurnosnepretnjedolaze od lošedizajniranogserverskogiklijentskogsoftvera, nekadaoperativnogsistema, a nekadaaplikativnogsoftvera, uključujućivebpretraživače. • Symatec je identifikovao 500 osetljivihtačaka u vebpretraživačima – 191 u Google Chrome-u, 119 u Safariju, 100 u Mozila Firefox-u, 59 u Internet Exploreru – od kojihsuneke bile kritične.

  34. Sigurnost društvenih mreža • Društvenemreže, kaoštosu Facebook, Twitter i LinkedIn, pružajuhakerimanizmogućnostizakriminalneaktivnosti. • Preko 40% korisnikadruštvenihmreža je napadnutonekimoblikommalware-a. • Virusi, preuzimanjesajtova, krađaidentiteta, aplikacijesa malware-om, phishing, spam – se takođemogunaćiinadruštvenimmrežama.

  35. Sigurnost mobilnih platformi • EksplozijamobilnihuređajakojiimajupristupInternetu, od iPhone-a iiPad-a do AndroidaiBlackBarry-a, je proširilamogućnostizahakere. • Mobilnikorisnicidrženasvojimmobilnimuređajima (telefonima) mnogoličnihpodataka, uključujućiifinansijskeinformacije, činećiihodličnimmetamazahakere • Malware zamobilnetelefonedanas je sličankaoi malware za PC računare: crvi, virusi (čestoskriveni u mobilneaplikacije, čestoi anti-virusneaplikacije), napadinaserveremobilnihprovajdera, itd.

  36. Rešenja za probleme sigurnosti Danas se u principukoristedvelinijeodbrane: • tehnološkarešenja – skupalata, pre svegasoftverskih, kojisprečavajunapadače u njihovimnamerama, • pravnarešenja – zakoni, strogaprimenapropisa u oblastisajberkriminala, kompanijskipropisi u oblastiračunarskebezbednosti, itd.

  37. Rešenja za probleme sigurnosti • S obzirom da transakcije u e-poslovanjumoraju da putujuInternetom, koji je javnamrežaiprenosovihpodatakauključujehiljaderuteraiservera, smatra se da najvećesigurnosnepretnje se dešavajunanivou Internet komunikacije. • Postojivišealatakojiomogućavajuzaštitusigurnosti Internet komunikacija, a osnovna je enkripcija (šifriranje) poruke.

  38. Enkripcija Zbog mogućnosti da neko zlonameran neovlašćeno prati komunikaciju koja se odvija preko Interneta i to kasnije zloupotrebi, u savremenom poslovanju mora postojati mehanizam koji obezbeđuje: • zaštitu tajnosti informacija (sprečavanje otkrivanja njihovog sadržaja), • integritet informacija (sprečavanje neovlašćene izmene informacija), • autentičnost informacija (definisanje i proveru identiteta pošiljaoca).

  39. Enkripcija • Kriprografija je nauka koja se bavi metodama očuvanja tajnosti informacija. • Enkripcija je proces transformacije običnog teksta ili podataka u šifrovani tekst koji ne može da pročita niko drugi sem pošiljaoca i primaoca. • Svrha enkripcije je: • da zaštiti čuvane informacije, • da zaštiti prenos informacija. • Transformacija običnog u šifrirani tekst se vrši uz pomoć ključa (šifre).

  40. Enkripcija simetričnim ključem • Kod enkripcije simetričnim ključem, i pošiljalac i primalac koriste isti ključ za šifrovanje i dešifrovanje poruke. • Ovaj ključ moraju da međusobno pošalju putem sigurne komunikacije ili da ga dostave lično. • Ovaj metod je intenzivno korišćen tokom II svetskog rata (Enigma). • Kako bi koristili isti ključ, obe strane ga moraju poslati preko verovatno nesigurnog medijuma, gde može biti ukraden i iskorišćen za dešifrovanje poruka.

  41. Enkripcija simetričnim ključem • Ako je tajni ključ ukraden, ceo sistem enkripcije gubi smisao. • Savremeni sistemi za enkripciju su digitalni, pa su i šifre odnosno ključevi korišćeni za šifrovanje/dešifrovanje digitalne reči (binarne, sastavljene od niza 0 i 1) • Jačina savremenog sistema zaštite se meri dužinom binarnog ključa koji se koristi za šifrovanje podataka (56, 128, 256 ili 512 binarnih cifara)

  42. Enkripcija javnim ključem • Whitfiled Diffie i Martin Hellman su 1976. godine predložili novi način šifrovanja podataka nazvan kriptografija javnim ključem i ovaj metod rešava problem razmene ključeva. • U ovom metodu koriste se dva matematički povezana digitalna ključa: javni i privatni (tajni). • Privatni ključ čuva vlasnik i on je tajni, dok se javni ključ slobodno distribuira; oba ključa mogu da se koriste i za šifrovanje i za dešifrovanje poruka.

  43. Enkripcija javnim ključem • Međutim, ključ kojim je izvršeno šifrovanje ne može se koristiti i za dešifrovanje iste poruke – matematički algoritmi kojima se vrši šifriranje su jednosmerne funkcije i ulaz se ne može dobiti na osnovu poznavanja izlaza. • Kriptografija javnim ključem je zasnovana na ideji nepovratnih matematičkih funkcija.

  44. Enkripcija javnim ključem

  45. Enkripcija javnim ključem Međutim, i u enkripciji javnim ključem nedostaju neki elementi pune bezbednosti: • ne može se sa sigurnošću utvrditi ko je pravi pošiljalac (nema autentikacije pošiljaoca), • ne može se sa sigurnošću utvrditi da li je poruka u toku prenosa izmenjena (npr. „Buy“ u „Sell“ ili iznos).

  46. Hash i digitalni potpis • Kako bi se proverio integritet i poreklo poruke i obezbedila provera da poruka nije menjana u toku prenosa, koriste se hash funkcije, kojima se kreira „izvod“ poruke. • Hash funkcija je algoritam kojim se dobija binarni broj fiksne dužine koji se naziva hash ili izvod poruke; obično je to složen broj, dužine npr. 128 bitova koji u sebi sadrži koliko u poruci ima 0 i 1, koliko ima 00 ili 11, itd. • Hash je jedinstven za svaku poruku.

  47. Hash i digitalni potpis • Hash se šalje primaocu, zajedno sa porukom (naravno, oba su zajedno šifrovana javnim ključem primaoca u jedinstvenu poruku); po prijemu poruke (i dešifrovanja svojim tajnim ključem), primalac primenjuje hash funkciju na primljenu poruku i proverava da li je dobijeni rezultat identičan sa dešifrovanim hash-om. • Ako jeste, to znači da poruka nije menjana.

  48. Hash i digitalni potpis • Neophodan je još jedan korak: da bi obezbedio autentikaciju poruke, pošiljalac šifruje ceo blok već šifriranog teksta još jednom, korišćenjem svog tajnog ključa. Ovim se dobija tzv. digitalni potpis (takođe se naziva i e-potpis) ili „potpisani“ šifrirani tekst, koji se sada može poslati preko Interneta. • Digitalni potpis je blizak ručnom potpisu, jer je jedinstven pošto bi trebalo da samo jedna osoba poseduje korišćeni tajni ključ.

  49. Hash i digitalni potpis

More Related