Informaciona i sajber bezbednost u postupku

Овај пројекат финансираЕвропска унија

Превенција и борба против корупције

Informaciona i sajber bezbednost u postupku

uzbunjivanja

Predavači: Ivana Tepčević, Adel Abusara

Datum: 3. decembar 2020.



Informaciona ili ‘sajber’ bezbednost?

Informaciona bezbednost se odnosi na kontekst zaštite poverljivosti, integriteta i dostupnosti informacija

Sajber bezbednost podrazumeva širi pristup i dodatno obuhvata i pitanja zaštite mreža, infrastrukture kao i korisnika



Kada pričamo o okviru informacione bezbednosti u Srbiji..

..mislimo na sajber bezbednost



Zaokruženi pristup informacionoj bezbednosti podrazumeva:

Tehnologijeprimenu adekvatnih tehnologija za prevenciju i detekciju napada, kao i minimizaciju njihovog uticaja i posledica (tzv. otpornost odnosno resilience)

Procese uspostavljanje sistema, odnosno okvira, sajber bezbednosti kroz različite politike, procedure, protokole i prakse

Ljude podizanje kapaciteta i (ključno!) svesti



Zakon o informacionoj bezbednosti i zaštita uzbunjivača

Zakon o informacionoj bezbednosti propisuje obaveze zaposlenih u državnoj administraciji koji koriste IKT sistem da imaju svest o značaju zaštite podataka, kao i adekvatan nivo obrazovanja i sposobnosti.

U ovom kontekstu, ovo se odnosi na:

- zaštitu podataka (o uzbunjivanju)- zaštitu podataka (o uzbunjivaču)

u digitalnom okruženju.



Anonimnost?

Ova karikatura je iz 1993. godine.

Da li je ovo tačna izjava danas?

Možemo li da budemo anonimni na internetu?

New Yorker, 1993.

*Na internetu niko ne zna da si pas.



Zakon o uzbunjivačima

..ostavlja mogućnost anonimnog prijavljivanja

Međutim, ukoliko uzbunjivač koristi bilo koji vid tehnologije za komunikaciju sa odgovornim licem, možemo li da garantujemo potpunu anonimnost?



Komunikacija sa uzbunjivačem

Načini komunikacije:

- razmenom štampanih dokumenata

- telefonom - elektronskom poštom



Komunikacija sa uzbunjivačem

Načini komunikacije:

- razmenom štampanih dokumenata

- telefonom - elektronskom poštom

Tragovi koji ostaju:

- nevidljivi žigovi na štampanim dokumentima

- podaci o korišćenju štampača, skenera, i sl.

- zapisi o elektronskoj komunikaciji (meta-podaci)



Digitalni tragovi

Digitalni tragovi su digitalni zapisi o našim digitalnim aktivnostima, komunikaciji putem interneta i digitalnim uređajima kojima se može ući u trag.

Korisnički

nalogLokacija

Podaci o

pristupu web-

stranici i

sadržaju

Nevidljivi

markeri na

dokumentima

Podaci o

fotografiji ili

video zapisu

Pseudonim

Podaci o

pristupu mreži

ili uređaju

ImeElektronski

zapis o

komunikaciji

Obrazac

ponašanja



Digitalni tragovi

Obrazac

ponašanja

Nevidljivi

markeri na

dokumentima

Podaci o

pristupu

web-

stranici

Podaci o

pristupu

mreži ili

uređaju

Podaci o

fotografiji ili

video

zapisu

Elektronski

zapis o

komunikaciji

Lokacija

Lokacija koju

je zabeležila

aplikacija koju

koristite

Koje ste web-

stranice

posetili i na

šta ste kliknuli

Podaci o

korisničkom

nalogu sa kog

je štampan

dokument

Pikseli na

fotografiji koji

ukazuju na

vreme i

lokaciju

Kada ste

koristili mejl ili

štampač i šta

ste radili

Podaci o

vremenu,

trajanju i

odredištu

poziva

Koje

aplikacije

obično

koristite

Ime

Ime i prezime

pod kojim ste

se registrovali

za e-uslugu

Korisnički

nalog

Korisnički

nalog koji ste

kreirali

Pseudonim

Kako se

predstavljate

na

društvenim

mrežama



Digitalni tragovi

..su otisci (engl. digital footprints) koje ostavljamo za sobom korišćenjem tehnologije

Ovo znači da za sobom ostavljamo tragove dok pretražujemo internet, ostavljamo komentare na portalima, ‘twitujemo’, ‘lajkujemo’, ‘šerujemo’, šaljemo mejlove i popunjavamo aplikacije za posao, skeniramo, štampamo, zovemo..

..jednom rečju, svakom prilikom kada u svom analognom životu koristimo digitalne alate



Tragovi koje mislimo da smo ostavili i tragovi koje smo zaista

ostavili

Šta društvene mreže znaju o nama?

https://www.youtube.com/watch?v=JAO_3EvD3DY

https://www.youtube.com/watch?v=JAO_3EvD3DY



Digitalni tragovi

Da li su digitalni tragovi nužno loši?

Ne.

Na osnovu naših izbora, obrazaca ponašanja i podataka koje ostavljamo za sobom, dobijamo i pristup prilagođenim sadržajima, lakše je uspostaviti kontakt sa nama i u slučajevima kada je nama to važno (npr. ‘regruteri’ nas mogu naći na osnovu radnog iskustva).

Da li postoji potpuna anonimnost?

Ne.

Izuzetno je teško sakriti sve digitalne tragove koje stvaramo. Prosečan pojedinac nema vremena ni kapaciteta da se ovim bavi, niti ima pristup svim alatima i tehnologijama koje ovo zahteva.



Šta nam preostaje?

Poverljivost.

Poverljivost podrazumeva da je identitet uzbunjivača poznat najmanje jednoj osobi kao direktna posledica prijavljivanja informacije.

Nakon otkrivanja identiteta uzbunjivača, poverljivost koja se uspostavlja između odgovornog lica i uzbunjivača je od presudnog značaja, kako za samog uzbunjivača i njegovu/njenu bezbednost, tako i za ceo postupak uzbunjivanja.



Poverljivost i poverenje

Situacija u kojoj uzbunjivač prijavljuje nepravilnosti u radu svoje institucije ili organizacije zaposlenom u istoj je osetljiva.

Polazni nivo poverenja između uzbunjivača i odgovornog lica u instituciji je drugačiji od odnosa poverenja između uzbunjivača i npr. istraživačkog novinara.

Garancija poverljivosti je ključna za izgradnju poverenja.



Zaključak

Neophodno je obezbediti poverljivost komunikacije između uzbunjivača i ovlašćenog lica kako bi se osigurala adekvatna zaštita identiteta uzbunjivača.

Uzbunjivač mora da bude jasno obavešten o adekvatnim načinima dalje komunikacije isto kao što treba da bude obavešten o mogućnostima zaštite identiteta.



Zaključak

Linija između našeg identiteta u fizičkom i digitalnom svetu je izuzetno tanka i kontinuirano se smanjuje. Postojanje svesti o tome šta sve i kako može ukazati na identitet uzbunjivačaje ključno.



Rizici informacione bezbednosti

ENISA Threat Landscape 2020https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends

https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends



Brojke• 20 miliona phishing sajtova samo u 2020. godini. • više od 90% svih malvera (zlonamernih softvera) u 2020. godini

isporučeno je putem imejla• 50% zlonamernih imejl dodataka (attachment) ima Office

ekstenzije (.doc, .dot, .ppt, .xsl itd.)• Najskuplji napad u oblasti sajber bezbednosti - Not Petya

ransomware koštao je svet više od 10 milijardi dolara• 2016. godine, u jednom od najvećih curenja informacija ikada, više

od 3 milijarde Yahoo naloga je hakovano• Najviše napada u 2019, a posebno u 2020. godini ciljalo je sektor

zdravstva• više od 80% zaposlenih širom sveta prijavljuje nedostatak znanja i

veština u oblasti sajber bezbednosti



Ko su mete napada?

Svi.

• Države• Državne institucije• Kompanije svih veličina i industrija• Bolnice• Škole• Pojedinci



Ljudi kao najslabija karika?

Često čujemo kliše da su zaposleni u organizacijama ili institucijama ‘najslabija karika’.

Ljudi su napadači, zaposleni u napadnutim kompanijama, državni službenici, ucenjena fizička lica, roditelji dece čiji su nalozi hakovani…

Kako se postaje ‘prva linija odbrane’?The Cyber Security Hub

*U ovom uglu, imamo fajervolove, enkripciju,

anti-virus softver, itd. A u ovom uglu je Dejv.

(„Ljudska greška“, natpis na majici)



Sajber higijena

Podrazumeva niz praksi i koraka koje svaki korisnik računara i mobilnih uređaja treba da primenjuje bi se bilo koji računarski sistem održao zdravim i poboljšala bezbednost u digitalnom, ali i analognom svetu

Poređenje sa higijenom u analognom svetu i automatizacijom pranja ruku je namerna



Šifre

● Osnovna “slaba tačka” pristupa računaru ili sistemu

● Paradoks korišćenja šifara

● Alternative?



Dobre i loše šifre (1)









Šifre i načini za njihovo “probijanje”

• ‘Brute force’ napad – isprobavanje različitih kombinacija korisničkih naloga i šifri dok se uspešno ne uđe u sistem

• ‘Dictionary’ napad – varijanta brute force-a – često uspešan kao posledica korišćenja čestih šifara

• ‘Key logger’ napad – program koji beleži karaktere otkucane na tastaturi

• Targetirani OSINT napad – zasnovan na korišćenju javno dostupnih informacija o targetiranoj osobi, npr.:

■ [ime deteta/brata/sestre/roditelja][godina rođenja]

■ [ime rodnog grada][godina rođenja]



Nismo samo mi krivi...

...curenje naših ličnih podataka (među kojima su i šifre) je i posledica hakovanja velikih kompanija



https://haveibeenpwned.com/



Šta raditi?

Tri opcije:

• Jake šifre koje imaju smisla samo nama

• Multi-faktorska autentifikacija

• Password manager-i



Kako napraviti dobru, jaku šifru

Predlozi za kreiranje jakih šifara

https://www.youtube.com/watch?v=3JzMEnaPe2U&list=PLu3SRKKRGlcMH3adCtRBwjW8ku9ZtO3hL&index=3

https://www.youtube.com/watch?v=3JzMEnaPe2U&list=PLu3SRKKRGlcMH3adCtRBwjW8ku9ZtO3hL&index=3



Multi-faktorska autentifikacijaMulti-faktorska autentifikacija podrazumeva korišćenje više faktora prilikom autentifikacija kao dodatnih nivoa zaštite.

Ovi različiti faktori obuhvataju širok spektar alata: od šifara i PIN-ova, preko tokena i kartica, do korišćenja biometrije.

Različiti faktori multi-faktorske autentifikacije se najčešće grupišu u tri kategorije:

• nešto što znam• nešto što imam• nešto što jesam



Multi-faktorska autentifikacija



Korišćenje javnog WiFi interneta (1)

Ukratko: nikad. Baš nikad.

• Ranjivost WPA2 standarda za enkripciju daje mogućnost svakome ko je pored vas da se ‘postavi’ između vas i mreže i skine sve podatke koje šaljete

• Ako baš, baš, baš morate da je koristite, ne činite to bez uključenog VPNa

• Ako nemate VPN, a baš morate da koristite internet, i nemate dovoljno “svog”, obavezno proverite sa vlasnikom institucije koja je postavila mrežu (kafić, pekara, restoran itd.) koja je tačno njihova mreža



Korišćenje javnog WiFi interneta (2)

● U tom slučaju, nikako ne idite na sajtove koji nisu bezbedni, odnosno koji nisu https, odnosno koji nemaju zeleni katanac pored imena sajta (oznaka za enkriptovanu komunikaciju)

● Internet danas više nije skup - ako morate da radite u kafiću ili slično, radije kupite paket sa dosta interneta



Društveni inženjering

Društveni inženjering (eng. social engineering), poznatiji u našem

prevodu kao socijalni inženjering, je ne-tehnički skup metoda obmane

koji se zasniva na ljudskoj interakciji.

Zloupotrebom različitih ljudskih emocija - straha, znatiželje, pohlepe,

kreiranja osećaja hitnosti, želje da pomognemo, i sl. - metodom

društvenog inženjeringa ‘žrtva’ se prevarom navodi da zaobiđe

uobičajene, uspostavljene bezbednosne procedure.

Društveni inženjering predstavlja mešavinu psihologije, pre svega

bihejviorizma i “umetnosti” prevare.



Društveni inženjering

Društveni inženjering (ili psihološka manipulacija) je niz tehnika kojim

pojedinac zloupotrebljava poverenje drugog pojedinca tj. služi se

prevarom navodeći ga da uradi nešto što nije u njegovom interesu, npr.

obelodani privatne ili poslovne informacije koje ne bi smeo da deli ili

dozvoli pristup resursima koji napadaču inače nisu dostupni.

Tehnički gledano, društveni inženjering:

• Koristi digitalne tragove kao osnovu za kreiranje napada

• Najčešće se dešava u kombinaciji sa “klasičnim” primerima sajber

kriminala (tzv. “hakovanje”)

• Obično uključuje različite varijante krađe identiteta



“Phishing”

● Generičko ime za razne vrste prevara, koje se zasnivaju na pokušaju da se ubedi primalac maila da je sadržaj maila legitiman i da treba da uradi šta se u mailu traži - klikne na hiperlink, proveri podatke o nekom korisničkom nalogu, otvori attachment, i tome slično.

● Poreklo reči: “Fishing” i “Phreaking”● Najčešće, mailovi “dolaze” od banaka, pružaoca raznih usluga

(internet provajderi, Google, Netflix, Amazon, HBO) itd.● COVID situacija kao generator novih inventivnih vrsta phishinga



Trendovi: Ranjive grupe

Generalno, uglavnom mladi i stari, a među mladima, više devojčice nego dečaci

• Za mlade mail više nije legitiman način komunikacije, već razne aplikacije (Twitch, Tik Tok itd.). Preko njih se koriste razne vrste društvenog inženjeringa

* Operacija Armagedon Odeljenja za visokotehnološki kriminal MUP R. Srbije

• Za starije sugrađane se koriste SMSishing i Vishing

* Iskustva iz Bugarske



Zaključak

Opet: linija između digitalnog i analognog sveta praktično nestaje - ono što radimo u jednom ima implikacije u drugom.

Različiti su načini na koje nas napadači u digitalnom svetu ciljaju, ali isto tako, postoje i različite linije odbrane. Ključna je zdrav razum i svest o načinu na koji treba da se ponašamo.

I za kraj - zaštita uzbunjivača u digitalnom svetu počinje od zaštite nas samih i naših podataka, i obrnuto.



Hvala na pažnji!

Documents

Informaciona i sajber bezbednost u postupku