Ranjivosti i Prijetnje Informacijskog Sustava

Ranjivosti i prijetnje informacijskog sustava

SEMINARSKI RAD

RANJIVOSTI I PRIJETNJE

INFORMACIJSKOG SUSTAVA

Student: ANĐELKO MARKULIN, 77100465

Mentor: dr.sc. Krunoslav Antoliš

Velika Gorica, lipanj 2011.


1

Sažetak

Današnji informacijski sustavi izloženi su brojnim prijetnjama, kako vanjskim tako i

unutarnjim. Da bi se neka prijetnja mogla realizirati ona mora iskoristiti postojeću ranjivost

informacijskog sustava.

U ovom radu definirat ćemo meĎunarodni i hrvatski pravni okvir za pružanje

informacijske sigurnosti, kao osnovu za uspostavu mehanizma provjere ranjivosti informacijskog

sustava. Taj se mehanizam sastoji od triju segmenata: kontrolnih lista za provjeru sigurnosti

konfiguracije, aplikacija za provjeru ranjivosti informacijskog sustava, te aplikacija za

penetracijsko testiranje informacijskog sustava.

Ključne riječi: prijetnje informacijskog sustava, ranjivost informacijskog sustava, provjera

ranjivosti informacijskog sustava, penetracijsko testiranje informacijskog

sustava

Summary

Modern information systems are subjected to numerous threats, from outside and from

inside. In order to a threat to be executed it needs to use an existing vulnerability of the

information system.

In this paper we will define international and Croatian legal framework for providing

information security, as a basis for developing the mechanism for information system

vulnerability scanning. This mechanism consists of three parts:

. Taj se mehanizam sastoji od triju segmenata: security configuration checklist,

applications for information system vulnerability scanning, and applications for information

system penetration testing.

Ključne riječi: information system threats, information system vulnerability, information

system vulnerability scanning, information system penetration testing


2

Uvod

Informacijski sustavi bilo koje organizacije izloženi su raznim vrstama prijetnji (threat).

Prijetnja može prouzročiti neželjenu situaciju, čija posljedica može biti nanošenje štete resursima

dotične organizacije. Prijetnja mora iskoristiti postojeću ranjivost (vulnerability) informacijskog

sustava da bi se realizirala i rezultirala štetom.

Ranjivosti su manjkavosti softvera (defect), softverske pogreške (bug) ili propusti u

podešavanju softvera (misconfiguration) koje napadač može iskoristiti za narušavanje tajnosti,

integriteta ili raspoloživosti podataka.

Ranjivosti u mrežnim informacijskim sustavima u današnje vrijeme predstavljaju najveći

izvor rizika informacijske sigurnosti, jer one organizaciju i njene resurse izlažu vanjskim

prijetnjama. Nove ranjivosti otkrivaju se svakodnevno, i u trenutku dok ovo pišemo Nacionalna

baza podataka ranjivosti (US National Vulnerability Database) u svom registru ima zabilježeno

46.640 poznatih ranjivosti.

Zbog gore navedenog, organizacije koje ovise o pouzdanosti svojeg informacijskog

sustava moraju često provjeravati svoju izloženost tim ranjivostima – kako bi mogle upravljati

rizicima. Danas upravljanje ranjivostima informacijskog sustava nije više samo tehničko pitanje,

ono je postalo i pravno obvezujuće za mnoge organizacije koje žele ispuniti najnovije uvjete

sukladnosti (compliance regulations), te koje žele poslovati na meĎunarodnom planu.


3

1. Prijetnje i ranjivosti

Prijetnje mogu biti prirodne ili uzrokovane ljudskim djelovanjem, slučajnim ili

namjernim. Potrebno je točno utvrditi karakter svih prijetnji s kojima se suočava naš

informacijski sustav, kao i njihovu razinu i vjerojatnost (velike, srednje i male). Primjeri prijetnji

prikazani su u sljedećoj tablici.

Tablica 1. Strukturirani prikaz primjera prijetnji informacijskom sustavu

Ranjivost je slabost koju je moguće slučajno aktivirati ili namjerno iskoristiti, a

posljedica toga može biti nanošenje štete informacijskom sustavu i poslovnim ciljevima

organizacije. Ranjivosti koje se povezuju s resursima uključuju, izmeĎu ostalog, slabosti fizičke

sigurnosti, organizacije, internih akata, zaposlenika, upravljačke strukture, hardvera, softvera i

informacija. Ranjivost sama po sebi ne nanosi štetu, nego ranjivost možemo definirati kao stanje

ili skup stanja koji može omogućiti nekoj prijetnji da utječe na resurse neke organizacije. Analiza

ranjivosti je procjena slabosti koje identificirane prijetnje mogu iskoristiti.


4

2. Međunarodni pravni okvir za pružanje informacijske sigurnosti

Sa ciljem poboljšanja opće sigurnosti, povećanja učinkovitosti Vladinih agencija,

smanjenja broja slučajeva kraĎe identiteta te zaštite osobne privatnosti, predsjednik Sjedinjenih

američkih država dana 27. kolovoza 2004. godine izdao je "Predsjedničku direktivu o

domovinskoj sigurnosti 12" (Homeland Security Presidential Directive 12 – HSPD-12) pod

nazivom "Politika jedinstvenog identifikacijskog standarda državnih službenika i namještenika"

(Policy for a Common Identification Standard for Federal Employees and Contractors).

Nacionalni institut za standarde i tehnologiju SAD-a (National Institute of Standards and

Technology – NIST) je odgovoran za izradu standarda i smjernica, što uključuje i specifikaciju

minimalnih zahtjeva, za pružanje odgovarajuće informacijske sigurnosti svih organizacijskih

aktivnosti i resursa – osim za sustave nacionalne sigurnosti. Temeljem te Direktive NIST je

2005. godine izradio i objavio "Državni standard za obradu informacija 201-1" (Federal

Information Processing Standard – FIPS 201-1) pod nazivom "Provjera osobnog identiteta

državnih službenika i namještenika" (Personal Identity Verification (PIV) of Federal Employees

and Contractors).

Da bi zadovoljio HSPD-12 i FIPS 201-1, NIST je pokrenuo izradu "Smjernica za

akreditiranje izdavatelja osobnih identifikacijskih kartica" (Guidelines for the Accreditation of

Personal Identity Verification Card Issuers) i objavio ih kao "Specijalnu publikaciju NIST-a

800-79" (NIST Special Publication (SP) 800-79). Ta, i druge važne publikacije mogu se pronaći

ovdje: http://csrc.nist.gov/publications/PubsSPs.html

http://csrc.nist.gov/publications/PubsSPs.html


5

3. Hrvatski pravni okvir za pružanje informacijske sigurnosti

Pojam informacijske sigurnosti, mjere i standardi informacijske sigurnosti, područja

informacijske sigurnosti, te nadležna tijela za donošenje, provoĎenje i nadzor mjera i standarda

informacijske sigurnosti utvrĎeni su Zakonom o informacijskoj sigurnosti ("Narodne novine",

broj 79/2007). Članak 7. tog zakona propisuje:

"Mjere informacijske sigurnosti propisat će se uredbom koju donosi Vlada Republike

Hrvatske, a standardi za provedbu mjera propisat će se pravilnicima koje donose čelnici

središnjih državnih tijela za informacijsku sigurnost."

Navedena Uredba o mjerama informacijske sigurnosti ("Narodne novine", broj 46/2008)

u članku 54. propisuje:

"Kontrola uporabe informacijskih sustava podrazumijeva evidentiranje aktivnosti

korisnika informacijskog sustava.

Pored aktivnosti iz stavka 1. ovog članka, primjenjuju se mjere za spriječavanje

zlouporabe informacijskih sustava kroz instaliranje sustava za otkrivanje neovlaštenog upada u

mrežu, definiranje, pregledavanje i analiziranje zapisnika rada sustava i provođenje analiza

ranjivosti informacijskog sustava."


6

4. Kontrolne liste za provjeru sigurnosti konfiguracije

Kontrolna lista za provjeru sigurnosti konfiguracije (security configuration checklist) još

se naziva i vodičem za postavljanje ograničenja (lockdown guide), vodičem za očvršćivanje

(hardening guide), sigurnosnim vodičem (security guide), vodičem za primjenu tehničke

sigurnosti (security technical implementation guide – STIG), te sustavom mjerila (benchmark).

To je niz uputstava za konfiguriranje IT proizvoda prema odreĎenom operativnom okružju.

Kontrolne liste mogu biti u obliku predložaka (templates) ili automatiziranih skripti, zakrpi

(patch) ili opisa zakrpi, XML (Extensible Markup Language) datoteka, ili drugih procedura.

Smisao kontrolnih listi je da ih svaka organizacija prilagodi prema svojim specifičnim

sigurnosnim i operativnim zahtjevima. Neke kontrolne liste sadrže i upute za provjeru

ispravnosti konfiguracije odreĎenog proizvoda.

Kontrolne liste u pravilu izraĎuju proizvoĎači IT opreme za svoje vlastite proizvode, ali

ih izraĎuju i druge organizacije koje imaju nužne tehničke kompetencije, kao što su sveučilišta,

konzorciji i vladine agencije. Upotreba dobro napisanih, standardiziranih kontrolnih lista može

značajno smanjiti izloženost IT opreme ranjivostima. Kontrolne liste mogu osobito biti od

pomoći malim organizacijama i pojedincima koji imaju ograničena sredstva za zaštitu svojih

sustava.

Sadržaj kontrolne liste

Kontrolna lista za provjeru sigurnosti konfiguracije može sadržavati nešto ili sve od

navedenog:

konfiguracijske datoteke koje automatski verificiraju sigurnosne postavke (npr.

aplikacija, sigurnosni mehanizam koji mijenja postavke, XML datoteke koje sadrže

SCAP, te skripte):

dokumentaciju (npr. tekstualna datoteka) koja korisnika kontrolne liste vodi u ručnom

konfiguriranju IT proizvoda;

dokument koji objašnjava preporučene postupke za sigurno instaliranje i konfiguriranje

ureĎaja;

pisane politike koje postavljaju smjernice za aktivnosti kao što su revizija, mehanizmi

autentikacije (npr. lozinke) i rubna sigurnost (perimeter security).


7

Ne odnose se sve upute u kontrolnim listama na sigurnosne postavke. Kontrolne liste

mogu uključivati i administrativne postupke koji povećavaju sigurnost IT proizvoda. Često su

uspješni napadi na informacijski sustav posljedica lošeg administriranja sustava, kao što je

neprimjena proizvoĎačkih zakrpa ili nemijenjanje početnih lozinki.

U općem slučaju, administrator IT sustava ili krajnji korisnik treba slijediti upute

navedene u kontrolnoj listi da bi konfigurirao proizvod ili sustav na onu razinu sigurnosti koja je

deklarirana u kontrolnoj listi, ili da bi provjerio je li proizvod ili sustav već ispravno

konfiguriran. Administrator sustava će možda trebati izmijeniti kontrolnu listu da bi u nju

uključio lokalne sigurnosne politike.

Primjer ureĎaja ili softvera za koje se koriste sigurnosne kontrolne liste su:

operacijski sustav opće namjene;

uobičajene aplikacije stolnih računala, kao što su klijenti elektroničke pošte, internetski

preglednici, programi za obradu teksta, osobni vatrozid i antivirusni softver;

infrastrukturni ureĎaji kao što su usmjerivači, vatrozidi, sučelja virtualne privatne mreže

(VPN), sustavi za sprečavanje upada (IDS), bežične pristupne točke i telekomunikacijski

sustavi;

aplikacijski serveri kao što su DNS, DHCP, SMTP, web, baze podataka;

ostali mrežni ureĎaji kao što su mobiteli, skeneri, pisači, kopirke i faksevi.

Primjeri kontrolnih lista

Temeljem Saveznog zakona o upravljanju sigurnošću informacija (Federal Information

Security Management Act – FISMA) iz 2002. godine NIST je razvio "Nacionalni program

kontrolnih lista IT proizvoda – Smjernice za korisnike i izraĎivače" NIST (SP) 800-70 rev. 2

(National Checklist Program for IT Products—Guidelines for Checklist Users and Developers),

skraćeno NCP. Prema tom programu NIST je izradio i održava Nacionalni repozitorij kontrolnih

lista (National Checklist Repository - NCR), što je javno dostupni servis koji sadrži informacije

o mnoštvu kontrolnih lista za provjeru sigurnosti konfiguracije za točno odreĎene IT proizvode

ili kategorije IT proizvoda. Repozitorij se nalazi na adresi http://checklists.nist.gov i sadrži

metapodatke koji opisuju svaku kontrolnu listu.

Da bi pronašli odreĎenu kontrolnu listu koja im je potrebna korisnici mogu pregledavati i

pretraživati metapodatke repozitorija korištenjem brojnih kriterija, meĎu kojima su: kategorija

http://checklists.nist.gov/


8

proizvoda, naziv proizvoĎača, organizacija koja ju je izradila. Postojanje takvog centraliziranog

repozitorija olakšava organizacijama pronalaženje važećih i vjerodostojnih verzija kontrolnih

lista i odabir one koje najbolje zadovoljava njihove potrebe.

Tablica 2. Primjer kontrolne liste za Windows Vista i XP (prikazano samo 11 od 229 politika)

U gornjoj tablici prikazan je vrlo kratki izvadak iz jedne od kontrolnih lista, pri čemu

CCE znači Jednoznačno označavanje konfiguracija (Common Configuration Enumeration). Taj

sustav izradila je organizacija MITRE www.mitre.org, a kompletne liste oznaka mogu se

preuzeti ovdje: http://cce.mitre.org/lists/cce_list.html.

NIST radi na usklaĎivanju repozitorija kontrolnih lista s Protokolom o automatizaciji

sigurnosnog sadržaja (Security Content Automation Protocol – SCAP – http://scap.nist.gov), koji

omogućuje automatsku provedbu provjere konfiguracije korištenjem NCP-ovih kontrolnih lista.

Na primjer, repozitorij sadrži kontrolne liste (i pokazivače prema alatima) za kontrolu

konfiguracije sustava koji koriste Konfiguracijski standard za Vladu SAD-a (United States

Government Configuration Baseline – USGCB), te Državni standard za konfiguraciju strolnih

računala (Federal Desktop Core Configuration – FDCC), koji oba koriste SCAP. NCR takoĎer

ima pokazivače na ostale kontrolne liste koje podržavaju SCAP, koje su proizveli proizvoĎači IT

opreme i vladine organizacije. Ažurne informacije o aktivnostima NIST-a nalaze se na

stranicama NIST-ovog Centra za informacije o računalnoj sigurnosti (Computer Security

http://www.mitre.org/

http://cce.mitre.org/lists/cce_list.html

http://scap.nist.gov/


9

Resource Center) utemeljenog pri njegovom Odjelu za računalnu sigurnost (Computer Security

Division) http://csrc.nist.gov.

Kao primjer dokumenta kojim se inicira proces provjere ranjivosti navodimo sljedeći

dokument, kojeg je izradio Zavod za sigurnost informacijskih sustava:

Tablica 3. Izvadak s prve stranice Zahtjeva za provjeru ranjivosti

http://csrc.nist.gov/


10

5. Besplatni alati za provjeru ranjivosti informacijskog sustava

Dok na tržištu postoji cijela jedna grana softverske industrije posvećena prodaji alata za

provjeru ranjivosti mreže i informacijskog sustava, neki od najboljih postojećih alata su

besplatni. Iako komercijalni alati nisu loši, zajednica otvorenog koda (open source community) i

neke tvrtke razvile su odlične alate za testiranje i nude ih bez naknade. Navedimo neke od

najboljih.

Nmap, iako strogo tehnički gledano ovo i nije skener ranjivosti (nego skener mreže i

portova), Nmap je često upravo onaj alat s kojim započinjemo pregled mreže i otkrivanje što se u

njoj nalazi. Ponekad je ranjivost sistema vrlo očigledna – ali je ne vidimo, jer ne gledamo u tom

smjeru. Nmap nam pomaže otkriti upravo takve potencijalne probleme koji su nevidljivi

rutinskom pregledu. Ispočetka je Nmap radio u komandnom modu, i bilo je jako teško naučiti

sve opcije koje je nudio, ali sada postoji grafičko sučelje naziva Zenmap (za Linux, Windows,

Mac OS, BSD, itd.) koje umnogome olakšava upotrebu Nmap-a.

Slika 1. Prikaz dijela skenirane mreže i aktivnih portova na jednom serveru

Microsoft Baseline Security Analyzer (MBSA) je nenadmašan u otkrivanju problema na

Microsoft Windows operacijskim sustavima nastalim zbog nepostojanja sigurnosnih zakrpa.


11

Zbog velikog broja Windows servera automatizirano ažuriranje zakrpa bilo bi vrlo teško

nadzirati i procjenjivati sigurnost na svim računalima u informacijskom sustavu bez jednog

ovakvog alata.

Slika 2. Prikaz administrativnih ranjivosti na jednom serveru (domain controller)

Nessus je vrlo brzi alat, koji omogućuje iznimno veliku širinu i dubinu skeniranja.

Besplatan je sve dok ga se ne koristi u komercijalne svrhe, a poslovne organizacije mogu ga

koristiti uz kupnju licence. Trenutačno provjerava više od 40.000 sigurnosnih propusta,

uključujući i one za iPhone, iPod Touch te Android mobilne aplikacije. Podržava velik broj

operacijskih sustava (Debian, Fedora, Red Hat, SuSE, Ubuntu, FreeBSD, Mac OS, Solaris), a

verzija za Windowse zove se NeWT i podržava Windows XP, Server 2003, Server 2008, Vistu i

Windows 7.


12

Nikto je skener koji se primarno fokusira na sigurnost web servera. U stanju je otkriti više

od 6.400 potencijalno opasnih datoteka/CGI-ja, pronalazi zastarjele verzije na više od 1.000

servera te probleme koji su specifični za neku verziju na više od 270 servera. Nikto može

skenirati veći broj portova na jednom serveru, ili veći broj servera kroz ulazne datoteke

(uključujući i one nastale u Nmap-u).

Postoje još mnogi besplatni alati, zatim alati namijenjeni za otkrivanje specifičnih

ranjivosti, ili pak za točno odreĎene platforme, itd. Kad napravite prvi test ranjivosti na jednom

informacijskom sustavu, trebat ćete proanalizirati rezultate i identificirati ranjivosti i njen izvor.

Dobra ideja je napraviti još jedan test ranjivosti – ali drugim alatom, koji pouzdano prepoznaje

otkrivenu ranjivost, kako bi se nedvojbeno potvrdilo njeno postojanje. Nakon što ste instalirali

zakrpu ili izmijenili konfiguraciju računala te tako (nadajmo se) otklonili ranjivost, ponovno

pokrenite test da biste potvrdili da je ranjivost doista uklonjena, ili pak napravite penetracijski

test.

Slika 3. Prikaz učestalosti visokorizičnih ranjivosti prema vrsti uređaja


13

6. Komercijalni alati za provjeru ranjivosti informacijskog sustava

Bez namjere da bilo koga posebno ističemo, ili "reklamiramo", kao primjer komercijalne

aplikacije namijenjene provjeri ranjivosti informacijskih sustava razmotrit ćemo upotrebu jednog

tipičnog alata.

Outpost 24 je globalna kompanija sa sjedištem u Švedskoj, te uredima u cijelom svijetu.

Njihov alat Outscan spada u skupinu softvera na zahtjev (Software as a Service), što znači da se

koristi izravno s Interneta, bez ikakve instalacije na lokalnom informacijskom sustavu.

Skeniranje mreže korištenjem Outscana obavlja se slanjem mrežnih paketa i

analiziranjem dobivenih odgovora, kako bi se utvrdile karakteristike udaljenog objekta. To se

odvija u sljedećim fazama: otkrivanje sjedišta (host), skeniranje portova, odreĎivanje protokola,

odreĎivanje operativnog sustava te odreĎivanje aplikacije.

U fazi otkrivanja sjedišta šalje se mali broj poruka prema udaljenom objektu kako bi se

vidjelo hoće li biti odziva. Objekt se "napada" u obliku IP adrese ili domenskog naziva (FQDN),

a zatim se šalje mali broj poruka TCP-a, UDP-a, DNS-a, ICMP-a i ARP-a. Šalju se tri TCP

paketa na 30 različitih portova, s meĎusobnim razmakom od 200 milisekundi. Zatim se šalju 4

UDP paketa, prvi na port 500, a sljedeća tri na slučajno odabrane portove u rasponu izmeĎu

50000 i 65000. Paketi se šalju na portove udaljenog objekta s nadom da će pogoditi zatvoreni

port i dobiti ICMP odziv o nedostupnom portu. Tri zahtjeva za ICMP odziv se šalju s razmakom

od 1000 ms. TakoĎer se šalju tri ARP zahtjeva s meĎusobnim razmakom 200 ms. Ako bilo koja

od poruka dobije odgovor, to znači da se objekt nalazi na toj lokaciji i dalje se ne šalju paketi. U

najlošijoj varijanti trebat će 27,8 sekundi da skeniranje u fazi otkrivanja zaključi da objekta nema

ili se ne odaziva.

Kad se pronaĎe odreĎeno sjedište pristupa se fazi skeniranja portova, sa ciljem

pronalaska onih koji su otvoreni. To je donekle deterministički pristup – skenira se jedan po

jedan port s popisa portova, prema unaprijed postavljenoj brzini PPS (paket u sekundi).

Dopuštena su najviše 4 pregleda, pri kome se svaki sljedeći radi na polovici PPS (npr. prvi na

200, drugi na 100, treći na 50 i četvrti na 25 paketa u sekundi). Po definiciji se koristi popis od

5559 TCP portova i 104 UDP portova, ali korisnik može postaviti i skeniranje većeg ili manjeg

broja bilo kojih od njih.


14

Detektiranje protokola je faza u kojoj se kao ulazni podatak uzima popis pronaĎenih

otvorenih portova. Aplikacija se spaja na te portove i traži poklapanja s nekim od 5000 poznatih

servisa. Ako utvrdi poklapanje onda označava port tim servisom, a ako ne utvrdi tada nastavlja

slati poruke na desetak najčešćih protokola. Ako ni tu ne naĎe potpuno poklapanje, što se rijetko

dogaĎa, onda se odreĎuje statistički najsličniji servis.

Tijekom skeniranja protokola prikuplja se veliki broj zabilješki o portovima (banner),

koje se zatim analiziraju i iz njih se utvrĎuje najvjerojatniji operativni sustav udaljenog ureĎaja. I

na kraju, preko TCP, ICMP i UDP poruka odreĎuje se kojim aplikacijama pripadaju odreĎene

poruke.

Kako smo vidjeli, cijeli ovaj proces radi se na relativno niskim brzinama, tako da

prosječno vrijeme da bi aplikacija pronašla dva otvorena servisa po ureĎaju traje 6 minuta, pri

brzini slanja i primanja podataka od 2 megabita po sekundi. Prosječno skeniranje koje uključuje

sve faze poslat će i primiti oko 9 megabajta podataka.


15

7. Penetracijsko testiranje

Penetracijski test je simulacija napada visoko motiviranog i osposobljenog napadača na

informacijski sustav korisnika. Prije nego što nabavimo prvi takav alat i pokrenemo ga, trebali

bismo odrediti koji su ciljevi našeg penetracijskog testiranja. Svrha toga je da se postigne

maksimalna učinkovitost testiranja, tako što ćemo za unaprijed poznati zadatak odabrati

najpogodniji alat. Nije isto testiramo li jednu aplikaciju ili cjeloviti sustav, provjeravamo li jesu li

sve zakrpe instalirane ili analiziramo pravila vatrozida, ispitujemo li kućnu instalaciju ili

računalnu mrežu u tvrtki, radimo li provjeru vlastitog sustava ili po narudžbi treće strane,

provodimo li analizu za interne potrebe ili ćemo o rezultatima nekoga izvijestiti...?

Nakon što smo definirali ciljeve testiranja potrebno je izraditi plan testiranja. U načelu

postoje dvije kategorije penetracijskog testiranja: naslijepo (s nepoznatim ciljem) ili specifično (s

definiranim ciljem). Testiranje naslijepo uključuje skeniranje jedne IP adrese, raspona IP adresa

ili cijele podmreže – a da unaprijed ne znamo kakva su sjedišta na mreži, koja se oprema koristi

(npr. usmjerivači, preklopnici, vatrozidi, web serveri, printeri itd), niti znamo detalje o

operativnim sustavima, platformama ili verzijama aplikacija. Za testiranje s definiranim ciljem

unaprijed će biti detaljno opisano koji se sustavi testiraju i koja vrsta ranjivosti se istražuje. Na

primjer, testiranje IIS web servera na računalu s Windows 2000 za ispitivanje ranjivosti

dodijeljenih privilegija je slučaj definiranog testiranja.

Alati i postupci koje ćemo koristiti ovisit će upravo o tako definiranoj vrsti testiranja. Za

slijepo testiranje možda ćemo upotrijebiti besplatni skener mreže i portova kao što je Nmap. Kad

doznamo što se sve nalazi u mreži uzet ćemo sljedeći alat, na primjer Nessus. Ako koristimo

komercijalne alate vjerojatno ćemo prvo uraditi incijalni snimak, a zatim prema dobivenim

rezultatima možemo pokrenuti specifični test za odreĎenu vrstu zlonamjernog softvera (exploit).

Svoje nalaze moramo oblikovati u pregledni izvještaj, potkrijepljen snimkama ekrana ili

drugim dokazima o ostvarenim penetracijama u informacijski sustav, kako bismo mogli

interpretirati nalaze i preporučiti aktivnosti za otklanjanje ranjivosti.


16

Zaključak

Informacijska tehnologija omogućuje korištenje i upravljanje informacijama, te podržava

i unapreĎuje poslovne procese kako bi se što djelotvornije ostvarivali poslovni ciljevi i postigla

konkurentska prednost organizacije. MeĎudjelovanje informacijske tehnologije, podataka i

postupaka za obradu podataka te ljudi koji prikupljaju i koriste navedene podatke čini

informacijski sustav.

Sigurnost informacijskog sustava je područje informacijske sigurnosti u okviru kojeg se

utvrĎuju mjere i standardi informacijske sigurnosti klasificiranog i neklasificiranog podatka koji

se obraĎuje, pohranjuje ili prenosi u informacijskom sustavu te zaštite cjelovitosti i

raspoloživosti informacijskog sustava u procesu planiranja, projektiranja, izgradnje, uporabe,

održavanja i prestanka rada informacijskog sustava.

Provjera ranjivosti predstavlja jednu od komponenata upravljanja ranjivostima

informacijskog sustava i jedan je od najboljih načina preventivnog djelovanja sa ciljem zaštite

informacijskih sustava od narušavanja osnovnih načela informacijske sigurnosti.


17

Literatura

Clemmer, Lee. The Best Free Vulnerability Scanners. Preuzeto 19. svibnja 2011. s

http://www.brighthub.com/computing/smb-security/articles/43614.aspx

Helsinki University of Technology, Software Business Research Unit (2010). A study of Network

Perimeter Security.

Microsoft Security TechCenter. Microsoft Baseline Security Analyzer. Preuzeto 19. svibnja 2011.

s http://technet.microsoft.com/en-us/security/cc184923

National Institute of Standards and Technology (2008). Guidelines for the Accreditation of

Personal Identity Verification Card Issuers.

National Institute of Standards and Technology (2011). National Checklist Program for IT

Products – Guidelines for Checklist Users and Developers.

National Vulnerability Database. Preuzeto 19. svibnja 2011. s http://nvd.nist.gov

Hrvatska narodna banka (2006). Smjernice za upravljanje informacijskim sustavom u cilju

smanjenja operativnog rizika.

Zavod za sigurnost informacijskih sustava. Preuzeto 19. svibnja 2011. s http://www.zsis.hr

http://www.brighthub.com/computing/smb-security/articles/43614.aspx

http://technet.microsoft.com/en-us/security/cc184923

http://nvd.nist.gov/

http://www.zsis.hr/


18

Pitanja za provjeru naučenoga

1. Što su ranjivosti informacijskog sustava?

Ranjivosti su manjkavosti softvera (defect), softverske pogreške (bug) ili propusti u

podešavanju softvera (misconfiguration) koju napadač može iskoristiti za narušavanje tajnosti,

integriteta ili raspoloživosti podataka.

2. Što su kontrolne liste za provjeru sigurnosti konfiguracije?

Kontrolne liste za provjeru sigurnosti konfiguracije, su dokumenti kojima proizvoĎač

opreme ili druga organizacija s tehničkim kompetencijama definira način konfiguriranja IT

opreme prema odreĎenom operativnom okružju.

3. Što je penetracijski test?

Penetracijski test je simulacija napada visoko motiviranog i osposobljenog napadača na

informacijski sustav korisnika.

Documents

Ranjivosti i Prijetnje Informacijskog Sustava