Embed Size (px)
Citation preview
1
Sigurnost u e-poslovanju
Elektronsko poslovanjeIvan Rabrenovic IV1
2
Sigurnost u e-poslovanju• Problemi sigurnosti i zaštite podataka su
svakako jedna od najvećih prepreka bržem širenju e-poslovanja.
• Za kriminalce, Internet je stvorio čitav niz novih i veoma unosnih načina krađe od više od milijardu korisnika Interneta širom sveta, od proizvoda i usluga do novca i informacija.
• Manje je rizično krasti on-line, sa bezbedne udaljenosti i gotovo anonimno.
3
Sigurnost u e-poslovanju• Internet je otvorena mreža, čija struktura i
protokoli ne pružaju dovoljno bezbednosti i sajber kriminal postaje sve značajniji problem, i za organizacije i za pojedince.
• On-line prevare sa kreditnim karticama i phishing su možda najčešći i najpoznatiji oblici kriminala u e-poslovanju.
• Iako je prosečna vrednost gubitka kod prevara sa kreditnim karticama po pojedincu relativno mala, ukupna vrednost je značajna.
4
Sigurnost u e-poslovanju• Ukupan procenat on-line prevara sa
kreditnim karticama je procenjen na oko 0,9% svih on-line transakcija karticama, i poslednjih godina je u opadanju, jer trgovci i izdavaoci kreditnih kartica unapređuju svoje sigurnosne sisteme.
• Na crnom Internet tržištu se mogu kupiti podaci o kreditnim karticama, bankovnim računima, e-mail nalozima, ali i celih identiteta i alata za napade.
• Jedan od najvećih sigurnosnih problema u e-poslovanju je nemogućnost pouzdanog utvrđivanja identiteta korisnika.
5
Sigurnost u e-poslovanju• Nije svaki oblik sajber kriminala direktno
vezan za novac – u nekim slučajevima cilj je samo da se naruši ili blokira veb sajt, a ne direktna krađa novca, robe i usluga.
• Sajber kriminal protiv e-poslovanja je dinamičan i menja se sve vreme, sa gotovo svakodnevnim novim rizicima i oblicima napada, tako da menadžeri moraju da budu dobro pripremljeni i da prate najnovija dostignuća u oblasti sistema i tehnika zaštite.
6
Sigurnost u e-poslovanju• Takođe, u sajber kriminal se sve više i češće
uključuju i države, i sa strane odbrane (posebne jedinice u ovoj oblasti, kod nas Odeljenje za borbu protiv visokotehnološkog kriminala), ali i sa strane napada (u junu 2010. godine je otkriven crv Stuxnet, kreiran od strane SAD i Izraela, a sa ciljem da napadne Simensove upravljačke sisteme na centrifugama za obogaćivanje uranijuma u Iranu; tajni napadi Kine na SAD, itd.).
7
Sigurnost u e-poslovanju
8
Zlonamerni softver• Zlonamerni sofver (često se zove i malware
ili zlonamerni kôd – malicious code) obuhvata čitav niz pretnji kao što su virusi, crvi, trojanci (trojanski konji) i bot-ovi.
• U prošlosti je zlonamerni kod je najčešće korišćen da samo onesposobi računar i bio je kreiran od strane usamljenih hakera; sada, međutim, sve češće je rezultat rada organizovanih grupa sa ciljem krađe osetljivih ličnih i finansijskih podataka.
9
Zlonamerni softver• Pretnje često dolaze u sklopu fajlova
preuzetih sa Interneta i ovo je sada jedan od najčešćih načina da se računar zarazi.
• Autori malware-a takođe sve češće koriste linkove u okviru e-mailova, koji vode direktno na preuzimanje zlonamernog kôda ili na veb sajtove koji sadrže zlonamerni JavaScript kôd.
10
Virusi• Virus je računarski program koji ima
sposobnost da se umnožava i da se širi na druge fajlove.
• Uz sposobnost umnožavanja, većina računarskih virusa nosi i “teret” – koji može biti bezazlen i prikazivati neku poruku ili sliku ili pak vrlo destruktivan (uništava fajlove, formatira hard disk, ili uzrokuje nepravilan rad programa).
11
VirusiRačunarski virusi se mogu podeliti u nekoliko kategorija:• Makro virusi, koji su vezani za određenu
aplikaciju, što znači da virus pogađa samo aplikaciju (kao što su Microsoft Word, Excel, ili PowerPoint) za koju je napisan. Kada korisnik otvori zaraženi dokument u odgovarajućoj aplikaciji, virus se sam iskopira u šablon (template) aplikacije, tako da svaki sledeći put kada se kreira novi dokument, on je već zaražen makro virusom. Lako se šire kada se dokument šalje e-mailom.
12
Virusi• Fajl-virusi obično inficiraju izvršne fajlove,
kao što su *.com, *.exe, *.drv i *.dll fajlovi. Mogu se aktivirati svaki put kada se zaraženi fajl izvršava i tada se kopiraju na druge izvršne fajlove. Takođe se šire putem e-maila ili prenosom i presnimavanjem fajlova.
• Skript virusi su napisani u nekom skript jeziku, kao što su VBScript ili JavaScript. Virusi se aktiviraju jednostavno pozivanjem zaraženih *.vbs ili *. js fajlova.
13
Virusi• Primer: Černobil (svakog 26. aprila, na dan
katastrofe, obriše prvi megabajt podataka na hard disku (koji čuva raspored snimanja fajlova), čime svi snimljeni podaci postaju izgubljeni)
14
Crvi• Virusi se vrlo često kombinuju sa crvima
(worms), koji se danas češće koriste. Umesto da se širi od fajla do fajla, crv je napravljen tako da se širi sa računara na računar tj. nije mu neophodan fajl kao nosilac.
• Crv ne zahteva aktivaciju od strane korisnika ili programa da bi se umnožavao, a mogu da se vrlo brzo šire.
• Na primer, Slammer crv, koji je pogađao poznatu slabost u Microsoft SQL Server softveru za baze podataka, zarazio je više od 90% ranjivih računara širom sveta za samo 10 minuta od puštanja na Internet.
15
Trojanci• Trojanci su na izgled bezazleni, često
maskirani kao besplatan softver, igra, screensaver ili antivirusna zaštita, ali mogu tajno otvoriti zaraženi računar za pristup hakerima.
• Sam po sebi nije virus, jer nema mogućnost umnožavanja, ali je vrlo često način da virusi ili drugi zlonamerni softver kao što su bot-ovi uđu u računarski sistem (npr. mogu sadržati program koji krade šifre korisnika i šalje ih e-mailom na određenu adresu).
16
Trojanci• U maju 2011. trojanac je napao računare za
administraciju poslovanja u Sony-jevom centru za PlayStation igre i preuzeo lične i podatke o kreditnim karticama preko 77 miliona registrovanih korisnika, što se smatra jednom od najozbiljnijih provala.
• Najpoznatiji trojanac u 2011. god. je bio Zeus.
• Primer: Netsky.P - kombinacija trojanca i crva; širi se tako što se sam pošalje kao e-mail poruka svim kontaktima na zaraženom računaru.
17
Bot• Bot-ovi (skraćeno od robot) su vrsta
zlonamernog softvera koji se tajno instalira na računar kada je na Internetu. Jednom kada se instalira, bot reaguje na komande koje mu spolja šalje haker – napadnuti računar postaje zombi i izvršava naredbe napadača (npr. šalje e-mailove), bez znanja vlasnika.
• Procenjuje se da je 10% računara u svetu zaraženo bot-ovima i da se 90% spam poruka u svetu i 80% malware-a u svetu generiše na ovaj način.
18
Bot• Botnet je skup „zarobljenih“ računara koji se
koriste za zlonamerne aktivnosti kao što su slanje spama, učešće u DDoS napadima, krađu informacija sa računara, ili preuzimanje podataka o Internet saobraćaju za kasniju analizu.
• Bot-ovi i botnet-i su, pojedinačno gledano, najznačajnija pretnja Internetu i e-poslovanju, jer se mogu koristiti za napade velikih razmera i korišćenjem različitih tehnika.
19
Zlonamerni softver• Zlonamerni softver je pretnja kako na nivou
klijenata tako i na nivou servera, iako su u principu mnogo bolje zaštićeni.
• Na nivou servera, zlonamerni kod može da obori ceo veb sajt, sprečavajući milione ljudi da ga koriste (ali se ovo relativno retko dešava), ili da iz baze podataka ukrade podatke o svim registrovanim korisnicima.
• Mnogo češći zlonamerni napadi se dešavaju na klijentskom nivou, a šteta se može brzo proširiti na milione drugih računara povezanih na Internet.
20
Neželjeni programi• Neželjeni programi se samostalno
instaliraju na računaru, obično bez saglasnosti korisnika (ili nesvesne saglasnosti – „I agree“).
• Adware – obično se koristi za prikazivanje posebnih pop-up reklama kada korisnik poseti određene sajtove, može biti dosadan, ali se obično ne koristi za kriminalne aktivnosti.
• Parazit veb pretraživača – program koji može da prati i menja podešavanja korisnikovog veb pretraživača, na primer da menja početnu stranu ili da šalje informacije o tome koje stranice korisnik posećuje.
21
Neželjeni programi• Spyware – može se koristiti za špijuniranje
tj. za dobijanje određenih informacija i poverljivih podataka sa napadnutog računara, kao što su tasteri koje je korisnik pritisnuo (krađa šifara), kopija e-mailova ili slika ekrana (screenshot, PrintScreen);
22
Phishing i krađa identiteta• Phishing je svaki on-line pokušaj obmane,
sa ciljem da se od žrtve izvuku poverljive informacije, u cilju sticanja finansijske koristi
• Phishing napadi obično ne uključuju zlonamerni kôd već se zasnivaju na prevari i lažnom predstavljanju
• Najpopularnija tehnika za phishing napad je lažni e-mail („Nigerijsko pismo“)
23
Phishing i krađa identiteta
24
25
Phishing i krađa identiteta• Koriste se i drugi oblici, npr. lažno
predstavljanje da je napadač eBay, PayPal ili Vaša banka, koji Vam e-mailom zahtevaju „verifikaciju naloga“.
• Obično se u e-mailu nalazi link, a klikom na njega odlazi se na lažni veb sajt (koji je obično identičan tj. vizuelna kopija originalnog sajta npr. banke - spoofing) i na kome se očekuje da korisnik unese poverljive informacije kao što su brojevi bankovnog računa, kreditne kartice, PIN kodove, šifre, itd, na navodnu verifikaciju.
26
Phishing i krađa identiteta
27
Phishing i krađa identiteta• Svakoga dana se pošalje na milione ovakvih
e-mail phishing napada, i na žalost, neki ljudi budu prevareni (moguće je koristiti i SMS, obavešenja da ste dobili neku veliku nagradu...).
• Napadači prikupljene podatke koriste za vršenje kriminalnih radnji kao što su kupovina robe na Vaš račun ili podizanje gotovine sa Vaših računa ili za neke druge oblike „krađe identiteta“ (identity theft)
• Phishing napadi su najbrže rastući oblik kriminala u e-poslovanju, a najčešće se koriste u oblasti finansijskih usluga.
28
Prevare sa kreditnim karticama
• Krađa podataka o kreditnoj kartici je nešto čega se korisnici najviše boje pri radu na Internetu.
• Strah da će informacije o kreditnoj kartici biti ukradene sprečava ili destimuliše mnoge korisnike da vrše on-line kupovine.
• On-line prevare sa kreditnim karticama su dva puta češće nego off-line prevare, jer, između ostalog, nije potrebno lično prisustvo, nema potpisivanja, nije potreban PIN, itd.
29
Prevare sa kreditnim karticama
• Jedna od čestih prevara je skimming – očitavanje podataka sa kreditne kartice, i snimanje unosa PIN koda na bankomatu
• Krađa kartice iz bankomata • – libanska klopka
30
Uskraćivanje servisa• „Uskraćivanje servisa“ (Denial of Service -
DoS) je oblik napada u kome napadači preplave veb sajt lažnim zahtevima koji zaguše veb server sajta i on nije više u mogućnosti da ostalim korisnicima prikazuje napadnuti sajt i pruža usluge
• DoS napadi obično za posledicu imaju privremeno gašenje sajta, tj. korisnici više nisu u mogućnosti da ga koriste.
• Za poslovne veb sajtove ovi napadi mogu finansijski biti vrlo negativni jer dok je sajt ugašen nema trgovine a samim tim ni prihoda.
31
Uskraćivanje servisa• Vrlo često su DoS napadi praćeni
ucenjivačkim zahtevom napadača vlasniku da plati određenu sumu novca kako bi napad bio prekinut.
• „Distribuirano uskraćivanje servisa“ (Distributed Denial of Service - DDoS) je oblik napada u kome se koriste stotine ili hiljade zaposednutih računara (bot-ova), kako bi se ciljana mreža ili sajt napali sa više različitih strana i tačaka.
32
Unutrašnji napadi• Najveće finansijske pretnje poslovnim
institucijama dolaze zapravo iz same institucije.
• Bankarski službenici ukradu mnogo više novca nego pljačkaši banaka – isto je i u e-poslovanju.
• Neke od najvećih diverzija u e-poslovanju, pružanju usluga, uništavanja sajtova i diverzija sa ličnim i finansijskim informacijama klijenata je bile izvršene od strane zaposlenih, u koje je kompanija imala poverenje i koji su imali pristup poverljivim informacijama.
33
Unutrašnji napadi• Posebnu opasnost predstavljaju i bivši
zaposleni, pa se zato vrlo često kada neko iz bilo kojih razloga napusti posao, menjaju sve šifre u kompaniji sa kojima je on bio upoznat.
34
Loše dizajniran softver• Mnoge sigurnosne pretnje dolaze od loše
dizajniranog serverskog i klijentskog softvera, nekada operativnog sistema, a nekada aplikativnog softvera, uključujući veb pretraživače.
• Symatec je identifikovao 500 osetljivih tačaka u veb pretraživačima – 191 u Google Chrome-u, 119 u Safariju, 100 u Mozila Firefox-u, 59 u Internet Exploreru – od kojih su neke bile kritične.
35
Sigurnost društvenih mreža• Društvene mreže, kao što su Facebook,
Twitter i LinkedIn, pružaju hakerima niz mogućnosti za kriminalne aktivnosti.
• Preko 40% korisnika društvenih mreža je napadnuto nekim oblikom malware-a.
• Virusi, preuzimanje sajtova, krađa identiteta, aplikacije sa malware-om, phishing, spam – se takođe mogu naći i na društvenim mrežama.
36
Sigurnost mobilnih platformi• Eksplozija mobilnih uređaja koji imaju
pristup Internetu, od iPhone-a i iPad-a do Androida i BlackBarry-a, je proširila mogućnosti za hakere.
• Mobilni korisnici drže na svojim mobilnim uređajima (telefonima) mnogo ličnih podataka, uključujući i finansijske informacije, čineći ih odličnim metama za hakere
• Malware za mobilne telefone danas je sličan kao i malware za PC računare: crvi, virusi (često skriveni u mobilne aplikacije, često i anti-virusne aplikacije), napadi na servere mobilnih provajdera, itd.
37
Rešenja za probleme sigurnosti
Danas se u principu koriste dve linije odbrane:• tehnološka rešenja – skup alata, pre svega
softverskih, koji sprečavaju napadače u njihovim namerama,
• pravna rešenja – zakoni, stroga primena propisa u oblasti sajber kriminala, kompanijski propisi u oblasti računarske bezbednosti, itd.
38
Rešenja za probleme sigurnosti
• S obzirom da transakcije u e-poslovanju moraju da putuju Internetom, koji je javna mreža i prenos ovih podataka uključuje hiljade rutera i servera, smatra se da najveće sigurnosne pretnje se dešavaju na nivou Internet komunikacije.
• Postoji više alata koji omogućavaju zaštitu sigurnosti Internet komunikacija, a osnovna je enkripcija (šifriranje) poruke.
39
EnkripcijaZbog mogućnosti da neko zlonameran neovlašćeno prati komunikaciju koja se odvija preko Interneta i to kasnije zloupotrebi, u savremenom poslovanju mora postojati mehanizam koji obezbeđuje:• zaštitu tajnosti informacija (sprečavanje
otkrivanja njihovog sadržaja),• integritet informacija (sprečavanje
neovlašćene izmene informacija),• autentičnost informacija (definisanje i
proveru identiteta pošiljaoca).
40
Enkripcija• Kriprografija je nauka koja se bavi
metodama očuvanja tajnosti informacija.• Enkripcija je proces transformacije običnog
teksta ili podataka u šifrovani tekst koji ne može da pročita niko drugi sem pošiljaoca i primaoca.
• Svrha enkripcije je:• da zaštiti čuvane informacije,• da zaštiti prenos informacija. • Transformacija običnog u šifrirani tekst se
vrši uz pomoć ključa (šifre).
41
Enkripcija simetričnim ključem• Kod enkripcije simetričnim ključem, i
pošiljalac i primalac koriste isti ključ za šifrovanje i dešifrovanje poruke.
• Ovaj ključ moraju da međusobno pošalju putem sigurne komunikacije ili da ga dostave lično.
• Ovaj metod je intenzivno korišćen tokom II svetskog rata (Enigma).
• Kako bi koristili isti ključ, obe strane ga moraju poslati preko verovatno nesigurnog medijuma, gde može biti ukraden i iskorišćen za dešifrovanje poruka.
42
Enkripcija simetričnim ključem• Ako je tajni ključ ukraden, ceo sistem
enkripcije gubi smisao.• Savremeni sistemi za enkripciju su digitalni,
pa su i šifre odnosno ključevi korišćeni za šifrovanje/dešifrovanje digitalne reči (binarne, sastavljene od niza 0 i 1)
• Jačina savremenog sistema zaštite se meri dužinom binarnog ključa koji se koristi za šifrovanje podataka (56, 128, 256 ili 512 binarnih cifara)
43
Enkripcija javnim ključem• Whitfiled Diffie i Martin Hellman su 1976.
godine predložili novi način šifrovanja podataka nazvan kriptografija javnim ključem i ovaj metod rešava problem razmene ključeva.
• U ovom metodu koriste se dva matematički povezana digitalna ključa: javni i privatni (tajni).
• Privatni ključ čuva vlasnik i on je tajni, dok se javni ključ slobodno distribuira; oba ključa mogu da se koriste i za šifrovanje i za dešifrovanje poruka.
44
Enkripcija javnim ključem• Međutim, ključ kojim je izvršeno šifrovanje
ne može se koristiti i za dešifrovanje iste poruke – matematički algoritmi kojima se vrši šifriranje su jednosmerne funkcije i ulaz se ne može dobiti na osnovu poznavanja izlaza.
• Kriptografija javnim ključem je zasnovana na ideji nepovratnih matematičkih funkcija.
45
Enkripcija javnim ključem Originalna poruka
Šifrovana poruka
Tajni ključ primaoca
Javni ključ primaoca
Pošiljalac
Primalac Internet
46
Enkripcija javnim ključemMeđutim, i u enkripciji javnim ključem nedostaju neki elementi pune bezbednosti:• ne može se sa sigurnošću utvrditi ko je pravi
pošiljalac (nema autentikacije pošiljaoca),• ne može se sa sigurnošću utvrditi da li je
poruka u toku prenosa izmenjena (npr. „Buy“ u „Sell“ ili iznos).
47
Hash i digitalni potpis• Kako bi se proverio integritet i poreklo
poruke i obezbedila provera da poruka nije menjana u toku prenosa, koriste se hash funkcije, kojima se kreira „izvod“ poruke.
• Hash funkcija je algoritam kojim se dobija binarni broj fiksne dužine koji se naziva hash ili izvod poruke; obično je to složen broj, dužine npr. 128 bitova koji u sebi sadrži koliko u poruci ima 0 i 1, koliko ima 00 ili 11, itd.
• Hash je jedinstven za svaku poruku.
48
Hash i digitalni potpis• Hash se šalje primaocu, zajedno sa porukom
(naravno, oba su zajedno šifrovana javnim ključem primaoca u jedinstvenu poruku); po prijemu poruke (i dešifrovanja svojim tajnim ključem), primalac primenjuje hash funkciju na primljenu poruku i proverava da li je dobijeni rezultat identičan sa dešifrovanim hash-om.
• Ako jeste, to znači da poruka nije menjana.
49
Hash i digitalni potpis• Neophodan je još jedan korak: da bi
obezbedio autentikaciju poruke, pošiljalac šifruje ceo blok već šifriranog teksta još jednom, korišćenjem svog tajnog ključa. Ovim se dobija tzv. digitalni potpis (takođe se naziva i e-potpis) ili „potpisani“ šifrirani tekst, koji se sada može poslati preko Interneta.
• Digitalni potpis je blizak ručnom potpisu, jer je jedinstven pošto bi trebalo da samo jedna osoba poseduje korišćeni tajni ključ.
50
Hash i digitalni potpis
Primalac
Originalna poruka
Hash funkcija
„Izvod“ poruke Javni ključ primaoca Tajni ključ pošiljaoca (digitalni potpis)
Potpisan šifrovani tekst
Šifrovani tekst (sa izvodom poruke)
Internet Javni ključ pošiljaoca
Tajni ključ primaoca
Provera „izvoda“
Autentičan šifrovan tekst
51
Digitalni koverat• Enkripcija javnim ključem je računarski
zahtevna i spora; korišćenje simetričnog ključa je brže, ali ima već navedeni nedostatak slanja ključa putem nesigurnih veza.
• Jedno od rešenja je da se za šifrovanje i dešifrovanje većih dokumenata koristi efikasniji metod simetričnog ključa, a da se enkripcija javnim ključem koristi samo za šifrovanje i slanje simetričnog ključa.
• Ova tehnika se naziva digitalni koverat.
52
Digitalni koverat
Pošiljalac
Primalac
Originalna poruka
Simetrični ključ sesije
Simetrični ključ sesije
Tajni ključ primaoca
Javni ključ primaoca
Šifrovana poruka
Internet
Diplomatski izveštaj
Diplomatski izveštaj
Digitalni koverat
53
Digitalni sertifikat• Međutim, još uvek nije obezbeđena puna
bezbednost: kako možemo da budemo sigurni da su ljudi i institucije od kojih dobijamo poruke zaista oni za koje se predstavljaju?
• Digitalni (elektronski) sertifikati, i prateća infrastrutura javnog ključa (PKI), su pokušaj da se reši ovaj problem digitalnog identiteta.
54
Digitalni sertifikat• Digitalni sertifikat je digitalni dokument
koji izdaje pouzdana, nezavisna institucija, ovlašćena za izdavanje sertifikata i poznata kao sertifikaciono telo (certification authority - CA), i on sadrži naziv osobe ili kompanije, njegov javni ključ, serijski broj digitalnog sertifikata, datum važenja, datum izdavanja, digitalni potpis sertifikacionog tela, itd.
• Dakle, osnovni zadatak sertifikata je da poveže javni ključ sa vlasnikom.
55
Digitalni sertifikat
56
Digitalni sertifikat Institucija/
pojedinac Zahtev za
sertifikatom
Dobijeni sertifikat
Internet Sertifikaciona
tela
Partner u transakciji (online
prodavac ili klijent)
Digitalni sertifikat: Serijski broj sertifikata Verzija Naziv izdavača Datum važenja Naziv subjekta Javni ključ subjekta Potpis sertifikacionog tela Ostale informacije
57
Digitalni sertifikat• U našoj zemlji je 2004. godine usvojen
Zakon o elektronskom potpisu, kojim su propisana sva pravila za korišćenje elektronskog potpisa i znatno olakšan rad i proširene mogućnosti e-poslovanja.
• Takođe, u našoj zemlji trenutno postoje četiri sertifikaciona tela ovlašćena za izdavanje kvalifikovanih elektronskih sertifikata:
• Privredna komora Srbije,• Pošta Srbije,• MUP Srbije, i • Halcom.
58
EnkripcijaZa sva do sada navedena rešenja važe sledeća ograničenja:• ona štite poruke tokom prenosa, ali nisu
efikasna u zaštiti iznutra tj. od strane zaposlenih,
• većina tajnih ključeva se čuva na nesigurnim ličnim ili službenim računarima i laptopovima,
• ne postoji garancija da je osoba koja koristi računar (i tajni ključ na njemu) zaista vlasnik računara i ključa (izgubljen ili ukraden laptop).
59
Obezbeđenje kanala komunikacije
• Najčešći način za obezbeđenje kanala komunikacije je korišćenje SSL-a (Secure Socket Layer).
• Sigurna sesija na Internetu je ona klijent-server sesija u kojoj je URL adresa zahtevanog dokumenta, zajedno sa sadržajem i svim pratećim elementima koji se razmenjuju, šifrovani.
• Na primer, broj kreditne kartice koja se šalje sa forme za unos, putem Interneta, do servera e-prodavnice se šalje šifrovan.
60
Obezbeđenje kanala komunikacije
Transakcija korišćenjem SSL protokola uključuje sledeće aktivnosti:• Server šalje svoj digitalni sertifikat klijentu,• Klijent proverava da li je sertifikat izdalo
neko sertifikaciono telo; ako ustanovi da nije, pruža korisniku mogućnost da odabere da li će nastaviti transakciju ili će je prekinuti,
• Klijent i server razmenjuju javne ključeve,• Klijent generiše simetrični ključ koji se koristi
samo u započetoj transakciji,
61
Obezbeđenje kanala komunikacije
• Klijent šifruje generisani simetrični ključ, korišćenjem serverovog javnog ključa i šalje ga serveru.
• U daljem toku transakcije server i klijent koriste taj isti ključ metodom simetrične enkripcije.
• Svi veb pretraživači imaju u sebi SSL• u slučaju šifrovane komunikacije u adresi
posećenog sajta se javlja https:// ...
62
Obezbeđenje kanala komunikacije Web pretraživač
klijenta
Internet
Zahtev za sigurnom sesijom
Odobrenje sigurne sesije
Server prodavca
Sertifikat klijenta
Sertifikat prodavca
Razmena sertifikata
Digitalni koverat
Ključ sesije (generiše ga klijent)
Sertifikati razmenjeni. Obe strane
identifikovane.
Klijent generiše simetrični ključ sesije i korišćenjem javnog ključa servera kreira digitalni koverat. Šalje ga serveru. Server ga dešifruje korišćenjem svog privatnog ključa.
Počinje šifrirana komunikacija, korišćenjem simetričnog ključa sesije, koji je generisao klijent
63
Obezbeđenje kanala komunikacije
• Virtuelna privatna mreža (Virutal Private Network - VPN) omogućava udaljenim korisnicima da pristupaju lokalnoj računarskoj mreži kompanije putem Interneta, korišćenjem niza VPN protokola.
• VPN mreže koriste i autentikaciju i enkripciju kako bi zaštitili informacije od neovlašćenih korisnika.
• Udaljeni korisnik se može povezati na LAN mrežu korišćenjem svog Internet provajdera.
• VPN protokoli zatim obezbeđuju vezu od klijenta do kompanijske mreže tako da korisnik može da je koristi kao da je direktno povezan na nju.
64
Obezbeđenje kanala komunikacije
• Proces povezivanja jednog protokola kroz drugi naziva se tuneliranje (tunneling), zato što VPN kreira privatnu vezu dodavanjem nevidiljivog, šifrovanog omotača oko poruke (kao tunel), kako bi sakrio njen sadržaj.
• VPN je virtuelna mreža u smislu da se korisnicima čini kao da je direktna, posebna linija (veza), a ona je ustvari privremena, sigurna linija; obično se koristi u komunikaciji poslovnih partnera (velikih dobavljača ili kupaca) i zaposlenih koji rade sa neke udaljenosti (npr. sa službenog puta).
65
Zaštita mreža• Zaštitni zid (firewall) je hardver ili softver
koji služi za filtriranje komunikacije odnosno sprečavanje pristupa mreži određenim zahtevima, u skladu sa definisanom politikom zaštite.
• Firewall kontroliše saobraćaj ka i od servera i klijenata, sprečavajući komunikaciju sa nepouzdanim izvorima i omogućavajući komunikaciju sa pouzdanim.
66
Zaštita mreža• Proksi serveri (Proxy servers) su softverski
serveri koji upravljaju celokupnom komunikacijom od lokalnih klijenata ka Internetu i obrnuto, ponašajući se kao čuvari mreže kompanije.
• Proksi serveri se prvenstveno koriste kako bi internim klijentima ograničili pristup eksternim Internet serverima (npr. blokiranje Facebook-a), mada neki proksi serveri rade i kao zaštitni zidovi.
67
Zaštita mreža
Klijenti Zaštitni zid Web server Udaljeni klijent
Udaljeni klijent
Udaljeni server
Udaljeni server
Klijenti
Interna mreža
Eksterna mreža
Proksi server
PROKSI SERVER
ZAŠTITNI ZID (FIREWALL)
68
Zaštita servera i klijenataVrši se na dva načina:• Sigurnosna unapređenja operativnog
sistema: najočigledniji način zaštite servera i klijenata je korišćenje prednosti automatskog ažuriranja (update) bezbednosnih sistema koje pružaju Microsoft i Apple (za operativni sistem, aplikacije, veb pretraživače, itd.)
• Antivirusni softver: najlakši i najjeftiniji način za sprečavanje pretnji integritetu sistema je instalacija antivirusnog softvera (Kaspersky, McAfee, Norton) i njegovo redovno ažuriranje.
