Professional Documents
Culture Documents
Računarske Mreže PDF
Računarske Mreže PDF
Računarske mreže
„Bezbednost računarskih mreža i osnovi
bezbedne komunikacije“
Beograd, 31.05.2016.
Sadržaj
Privatno komuniciranje u javnom svetu ........................................................................................................................3
1. OSI model .............................................................................................................................................................4
1.1. Aplikacioni sloj ............................................................................................................................................4
1.2. Prezentacioni sloj .........................................................................................................................................4
1.3. Sesijski sloj ..................................................................................................................................................5
1.4. Transportni sloj ............................................................................................................................................5
1.5. Mrežni sloj ...................................................................................................................................................5
1.6. Sloj veze podataka........................................................................................................................................7
1.7. Fizički sloj ....................................................................................................................................................7
2. Vrste napada i strategije prevencije ......................................................................................................................8
2.1. Aktivni napadi ..............................................................................................................................................8
2.1.1. (D)DoS napad ..........................................................................................................................................8
2.1.2. Shellshock napad ................................................................................................................................... 10
2.2. Pasivni napadi ............................................................................................................................................ 11
3. Cloud computing – budućnost komunikacije ...................................................................................................... 12
4. SecaaS (Security-as-a-Service) ........................................................................................................................... 13
5. Zaključak – Apsolutna bezbednost ..................................................................................................................... 14
Reference ..................................................................................................................................................................... 15
2
Privatno komuniciranje u javnom svetu
Uz eksponencijalni porast upotrebe računarskih sistema, u porastu se takođe našla i eksploatacija njihovih
slabosti. U XXI veku, civilizacija se skoro u potpunosti oslanja na računarske sisteme za sve moguće potrebe: od
potreba koje unapređuju naš komfor i kvalitet života, pa do potreba koje potencijalno mogu da spase život čoveka na
operacionom stolu. Međutim, glavna snaga računarskih sistema ne leži u njihovoj procesnoj moći ili količini
podataka koje možemo da sačuvamo na njima, već leži u apsolutnoj interkonekciji. Svaka mašina, od momenta kada
se konektuje na Internet, ulazi u svet koji je uređen kao košnica (u daljem tekstu: hive). Zahvaljujući tom hive-u,
ljudi su u stanju da koriste resurse koji im nisu lokalno raspoloživi ali i da stavljaju resurse koji im jesu lokalno
raspoloživi na raspolaganje potencijalno svakom konektovanom klijentu. Iako je taj trend itekako doprineo razvitku
nauke, kulture i same civilizacije, budući da je sada čitavo znanje svesta na vrhovima naših prstiju, ne možemo da
kažemo da on ne nosi određenu dozu rizika. Naime, osnovni rizik sa kojim se suočavaju korisnici (privatni i
korporativni) je integritet informacija.
Ljudi sistemski imaju problem sa time što stvari koje doprinose njihovom komforu i prosperitetu uzimaju
zdravo za gotovo. U nastavku rada će biti izložen najveći deo opasnosti koje prete od strane zlonamernih napadača,
a sa kojima se suočavaju korisnici svakog dana. Uz opasnosti će biti predstavljene i mitigacione strategije, kao i
Cloud tehnologija i njena sigurnosna pitanja.
3
1. OSI model
Kako bismo se približili bezbednosti računarskih mreža na efikasan način, neophodno je predstaviti njihovu podelu
u okviru OSI (Open Systems Interconnection) modela. OSI model je set standarda koji je donela ISO (International
Standardization Organization) 1981. godine. OSI model je podeljen na 7 funkcionalnih slojeva koji zajedno čine
osnovu računarske komunikacije preko bilo koje mreže.
FTP (File Transfer Protocol): on nudi autentifikovani prenos fajlova između dva računara
kao i pristup direktorijumima. Nema mogućnost udaljenog izvršavanja programa.
TFTP (Trivial File Transfer Protocol): ovo je redukovana varijanta FTP-a; ne nudi
autentifikaciju ili pristup direktorijumima.
DNS (Domain Name System): distribuirana baza podataka koja povezuje simboličke adrese
sa logičkim adresama (odnosno IP adresama). Popularna implementacija ovog sistema je tzv.
BIND (Berkely Internet Name Domain). Ovo je standard za sve sisteme koji su bazirani na
UNIX-u.
SMTP (Simple Mail Transfer Protocol): podržava prenos i prijem elektronske pošte.
SFTP (Secure File Transfer Protocol): protokol koji postepeno zamenjuje FTP. Nudi
povećanu bezbednost jer uključuje snažnu enkripciju i autentifikaciju. Koristi SSH (Secure
Shell) kako bi podržao zaštićen prenos fajlova. SSH je tehnologija za udaljenu administraciju
za UNIX, i zbog autentifikacije i enkriptovanog prenosa podataka, bezbedniji je od svog
prethodnika, Telneta.
MPEG (Moving Picture Experts Group): ovo je standard za kompresiju i kodovanje videa.
JPEG (Joint Photographic Experts Group): standard za grafičke prikaze.
4
HTTP (Hypertext Transfer Protocol): protokol koji se koristi za slanje web strana i
informacija na druge lokacije na Internetu.
TIFF (Tagged Image File Format): format za rad sa bitmapama. Ne podržava vektorsku
grafiku. TIFF nije vezan strogo ni za jednu platformu, a dizajniran je za upotrebu štampača i
skenera.
IP (Internet Protocol): nudi servis interkonekcije računara, time formirajući mreže. On nema
servise integriteta, i ne garantuje uspešnu dostavu paketa. Svakom računaru u mreži se
dodeljuje jedinstvena IP adresa (makar za tu mrežu, ako govorimo o IPv4), i uz pomoć tih
adresa se vrši rutiranje paketa preko mreže. Uloga rutera je da proračuna optimalnu putanju za
primopredaju paketa, i ta putanja ne mora nužno da bude jedinstvena.
OSPF (Open Shortest Path First): protokol rutiranja koji selektira putanju koja je
najefikasnija za prenos podataka od predajnika do prijemnika.
ICMP (Internet Control Message Protocol): protokol koji služi za identifikaciju greški
prilikom prenosa paketa u druge mreže. Jedna od mogućnosti ovog protokola jeste da
verifikuje da ruteri adekvatno prosleđuju podatke prijemnom računaru. Jedan od korisnih
servisa koje ICMP nudi jeste komanda ping koja utvrđuje da li postoji kanal komunikacije
između dva računara ili dve mreže.
5
RIP (Routing Information Protocol): protokol koji regularno šalje ažuriranu topologiju
mreže u kojoj se nalazimo. Ovaj protokol osigurava konstantnu efikasnost u prenosu paketa
kroz mrežu.
ARP (Address Resolution Protocol): protokol koji prevodi logičke adrese u fizičke adrese.
Njegova uloga je da čini deo interfejsa između ostalih slojeva i sloja veze podataka.
RARP (Reverse Adress Resolution Protocol): protokol koji omogućava računaru u LAN-u
da odredi svoju IP adresu na osnovu MAC adrese.
6
1.6. Sloj veze podataka
Drugi sloj OSI modela koduje pakete koji treba da se šalju u bitove, koji se dalje prenose fizičkim slojem. Prilikom
prijema, ovaj postupak je invertovan, odnosno dekoduje bitove u pakete, i dalje ih prosleđuje mrežnom sloju. Drugi
sloj ima servise integriteta poruka i kontrolu prenosa. Takođe, ovo je sloj koji implementira postupak bridge-ovanja.
Sloj veze podataka je podeljen na dva podsloja: sloj medijskog pristupa i sloj logičke veze. Sloj medijskog pristupa
podržava pristup računara paketskim podacima i reguliše dozvole mreže za slanje paketskih podataka. Sloj logičke
veze uspostavlja komunikaciju između učesnika upotrebom fizičkih medija komunikacije. Uz to, vrši konverziju
podataka u bitove za slanje, formatira podatke u frejmove, dodaje headere sa izvorišnim i odredišnim IP adresama,
definiše protokole mrežnog pristupa za prenos i prijem podataka, kontroliše proveru grešaka i sinhronizaciju
frejmova, i podržava Ethernet i token sisteme komunikacije. Sloj veze podataka upotrebljava sledeće protokole:
SLIP (Serial Line Internet Protocol): zastareli protokol koji definiše sekvencu karaktera
koji čine IP pakete na serijskim linijama. Upotrebljava se za point-to-point serijske konekcije
koje upotrebljavaju TCP/IP kao što je dial-up.
PPP (Point-to-Point Protocol): protokol koji se upotrebljava za prenos podataka između dve
tačke. Ovo se postiže enkapsulacijom datagrama drugih protokola. PPP je dizajniran kao
zamena za SLIP, zbog upotrebe sinhronih modema. IP, IPX i DECnet protokoli mogu da rade
sa PPP-om.
7
2. Vrste napada i strategije prevencije
Kada se pomišlja na napade uglavnom se misli odvedu pre svega na tipove napada koji uključuju eksternog
napadača koji pokušava silom da probije firewall organizacije kako bi stekao informacije ili naneo štetu. Međutim, u
zavisnosti od toga kako posmatramo napade, možemo ih klasifikovati u više grupa. Iako se ovaj rad pre svega bavi
zaštitom mreža, moraju se pomenuti i drugi tipovi napada koji, iako ne oštećuju direktno mreže, koriste iste kao alat
u svojim napadima. Napade možemo podeliti prema aktivnosti, odnosno na aktivne i na pasivne napade.
Opis napada: Jedna od češćih varijanti volumetrijskih DoS napada jeste TCP SYN Flooding
Attack, odnosno napad preplavljivanjem TCP zlonamernim zahtevima. Ovaj napad je poznat i kao
„polu-otvoren napad“. Budući da je TCP protokol koji zahteva uspostavljanje konekcije, odnosno
ispunjavanje tzv. three-way handshake-a, to ga ostavlja otvorenim na slabosti. Three-way
1
Izvor: Arbor Networks, 28.04.2015. (https://www.arbornetworks.com/arbor-networks-detects-largest-ever-ddos-
attack-in-q1-2015-ddos-report)
8
handshake se sastoji iz sledećih faza: klijent zahteva konekciju slanjem SYN poruke serveru;
server odgovara sa SYN-ACK porukom; klijent potvrđuje prijem SYN-ACK poruke ACK
porukom. Napad funkcioniše tako što zlonamerni klijent šalje zahtev za konekcijom TCP-u time
što prosledi SYN, nakon čega dobija SYN-ACK. TCP u tom momentu očekuje ACK poruku, ali je
nikad ne dobija; zbog same prirode protokola, TCP ostavlja otvorenu konekciju određen
vremenski period, dok ili ona ne istekne ili server ne dobije ACK poruku, time opterećujući kanal
polu-otvorenim konekcijama. Ovaj napad je najuspešniji ako se radi distribuirano, odnosno, ako se
izvrši DDoS napad. Uspeh napada zavisi od zauzeća servera, shodno tome, slanjem zlonamernih
SYN poruka sa više lokacija opterećenje servera raste izvan sopstvenog kapaciteta, čineći
komunikaciju sa legitimnim klijentima nemogućom ili izuzetno otežanom.
Strategije prevencije: Postoji puno načina za mitigaciju SYN flood napada. Tri rešenja će biti
predstavljena u radu.
1. Povećavanje TCP backlog-a: budući da je osnovni mehanizam napada preplavljivanje
TCP backlog-a, time onemogućavajući legitimne konekcije, jednostavno rešenje bi bilo
fizičko povećavanje tog backlog-a. Ovo rešenje se posmatra kao neefikasno jer napadača
samo dovodi u poziciju da mora direktnom proporcijom da kompenzuje povećani
backlog. Budući da u teorijskoj kriptologiji napadače posmatramo kao korisnike sa
neograničenim resursima i vremenom, ovo rešenje ni kriptološki ne može biti posmatrano
kao održivo.
2. Smanjivanje SYN-RECEIVED timer-a: ova vrsta mitigacione strategije se takođe ne
može posmatrati kao efektivna, jer podrazumeva smanjenje prozora od uspostavljanja
konekcije do njenog isteka odnosno time-out-a. Uz činjenicu da ovo nije efektivna
mitigaciona strategija, ona takođe može da nosi posledice na legitimne korisnike koji
pokušavaju da stupe u komunikaciju, upravo zbog smanjenja tog prozora. Ovo rešenje se
posmatra kao neefikasno jer, kao i u slučaju povećanja TCP backlog-a, napadača dovodi
u poziciju da direktnom proporcijom obim svog napada poveća, i time će učiniti ovu
mitigacionu strategiju nepostojećom.
3. Implementacija SYN cookies (kolačića): kao što je bilo napomenuto, drugi naziv za
SYN flood napad je „polu-otvoren“ napad, zbog karakteristike da ne odgovara na SYN-
ACK poruku od TCP-a. Ovu mitigacionu strategiju je konstruisao Daniel J. Bernstein,
američko-nemački kriptolog i mrežni inženjer. Ona podrazumeva odbacivanje svih
dolazećih SYN zahteva iz memorije nakon što se na njih odgovori sa SYN-ACK. Suština
mitigacione strategije leži u tome da ukoliko napadač koristi polu-otvoren napad, sve
konekcije koje ne odgovore na SYN-ACK uopšte ne nanose posledice na mrežu jer se svi
dolazeći SYN zahtevi odbacuju. Međutim, ukoliko se odgovori na SYN-ACK zahtev,
odnosno ako je konekcija legitimna, zahvaljujući heš vrednostima koje se šalju u okviru
SYN-ACK zahteva, moguće je rekonstruisati inicijalni SYN zahtev klijenta.
Opis napada: HTTP Flood napad je sofisticiran L7 napad. Prilikom regularne online
komunikacije sa web-sajtovima, aplikacijama ili serverima uz upotrebu HTTP protokola, sam
proces možemo
podeliti na dva tipa
zahteva: na POST i
na GET zahteve.
Regularan klijent
će da podnese GET
zahtev, kako bi mu
HTTP dostavio
statičan sadržaj
Primer HTTP GET napada
9
kojem želi da pristupi. POST zahtev će biti podnesen u slučaju da je sadržaj dinamički generisan.
Sam napad može biti izvršen uz pomoć oba zahteva. Napad je kompleksniji, budući da mora biti
prilagođen žrtvi, ali zahteva manje resursa od napadača kako bi postigao efekat. Kada govorimo u
napadu na GET zahtev, napadač mora da sa više klijenata pošalje više zahteva nego što server
može da opsluži. Budući da GET zahtev podrazumeva statičan sadržaj, teže je opteretiti server jer
je njegova uloga samo „dostavljanje“ sadržaja, bez njegove pređašnje obrade. Sa druge strane,
kada posmatramo napad koji uključuje POST zahtev, uočićemo da je on daleko efikasniji, ali i
kompleksniji za implementaciju. POST zahtev podrazumeva generisanje dinamičkog sadržaja
(npr. online forme) koje server mora da procesuira kako bi dostavio rezultat. Opterećivanjem
servera POST zahtevima napadač postiže svoj cilj uz upotrebu minimalne količine resursa, budući
da svaki POST zahtev server mora pojedinačno da procesuira. Zbog te tendencije, serverski resursi
se zauzimaju i dobijamo sličan efekat „polu-otvorenom“ napadu, odnosno onemogućavanje
komunikacije između legitimnih klijenata sa serverom.
Strategija prevencije: Zbog kompleksnosti ovog napada, nemoguće je odrediti jedinstvenu
mitigacionu strategiju. Kompleksnost ovog napada leži u posebnom prilagođavanju napadača
web-sajtu koji želi da napadne. Na osnovu tih informacija, napadač pažljivo konstruiše svoj napad
i lansira ga uz pomoć botneta. Kao što je navedeno, ovaj napad se svodi na zatrpavanje servera
nelegitimnim GET ili POST zahtevima sa raznih IP adresa. Kako bi se korisnik zaštitio od ove
vrste napada, firewall njihovog web-sajta mora da bude posebno konfigurisan za ovu situaciju.
Posebna konfiguracija podrazumeva uočavanje šablona kojim se služi napadač (dakle, ako serijski
rotira IP adrese sa kojih napada, onda blokiranje tih IP adresa). Jedina mitigaciona strategija ovom
napadu jeste upornost, odnosno “izdržavanje” napada, jer što je duže napadač u ofanzivi, tim će se
pre uočiti njihov šablon i sprečiti u potpunosti. Gori slučaj bi bio pojedinačna restrikcija svake od
IP adresa koje napadač koristi, a budući da botneti umeju i po više desetina hiljada IP adresa da
poseduju u svojim redovima, ovu strategiju ne možemo posmatrati kao bilo šta osim očajnički
pokušaj zaštite.
10
Daleko najčešći primer Shellshock napada jeste tzv. Reconnaissance (eng: izviđanje, izviđati)
napad. Ovaj napad podrazumeva izviđanje, odnosno mapiranje servera koji su podložni
Shellshock napadu. Ovu vrstu napada možemo posmatrati i kao pseudo-pasivan napad. Budući da
zbog „magičnog stringa“ mašina izvršava svaku komandu koja mu sledi, reconnaissance napad
koristi komandu ping. Nakon pomenutog stringa, napadač daje komandu ping žrtvi; žrtva nakon te
komande šalje jedan paket sa podacima koje je napadač arbitrarno odredio zarad identifikacije
samog pinga. Uz to se kao odredišna adresa tog pinga stavlja IP adresa servera ili web-stranice
Reconnaissance napad
koju napadač kontroliše, i tu se prikupljaju informacije o ranjivim mašinama. Napadač nakon toga
može da izvrši injekciju stringa na arbitrarno izabran broj mašina, i svaka ranjiva mašina će
pingovati njegov server ili web-sajt, time „flegujući“ samu sebe kao spremnu za žetvu.
Napadač takođe svoju apsolutnu moć može i da iskoristi time što bi lansirao napad koji ima isti
efekat DoS napada, iako se ne može klasifikovati kao isti. Moguće je iskoristiti komandu sleep,
koja server dovodi u stanje hibernacije na 20 sekundi. Za vreme tih 20 sekundi, server ne može da
izvrši nijednu drugu instrukciju. Ovo potpada pod DoS napad od momenta kada on postane
distribuiran, odnosno kada server bude 100% vremena u sleep state-u, što se postiže slanjem
dovoljno velikog broja komandi u regularnim vremenskim intervalima.
11
3. Cloud computing – budućnost komunikacije
Kada posmatramo Cloud computing (računarstvo u oblaku), možemo se složiti da je to tehnologija koja može
doneti velike količine benefita, kako privatnim, tako i korporativnim korisnicima. Međutim, cloud tehnologija ne
nosi svoje benefite bez rizika, rizika koji mnoge sputava u tranziciji sa standardnog, fizičkog storage-a podataka na
online, odnosno cloud storage. U današnjem poslovnom svetu, informacije su sve a pristup konkurentnim
računarskim resursima apsolutna neophodnost. Posledicom Murovog zakona o eksponencijalnom razvoju
procesorskih čipova, mnoge kompanije vrlo često moraju da unapređuju svoje računarske resurse, jer oni postaju
zastareli. Budući da je to veliko finansijsko opterećenje koje mala i srednja preduzeća ne mogu da izdrže bez
posledica, u obzir se uzimaju alternativne opcije, kao što je cloud tehnologija. Glavna mana cloud tehnologije se tiče
integriteta podataka, odnosno, firme bi morale da povere (outsource-uju) svoje IT potrebe i digitalne podatke trećem
licu. Time se povećava lanac pristupa osetljivim podacima, a sa svakom novom karikom u tom lancu (u ovom
slučaju zaposleni vendora cloud usluge koji imaju pristup), rizik kompromitacije tih informacija raste direktnom
proporcijom. Međutim, benefit standardizacije IT usluga koje cloud nudi je ipak prevelik da bi se zanemario, čak i
uprkos navedenom riziku. Cloud tehnologija ima višestruku upotrebnu vrednost: pre svega, moguće je virtuelno
iznajmljivati računarske resurse po platnom programu plati-kako-koristiš (pay-per-use); takođe se uklanja
nekomforni momenat pristupa podacima isključivo sa radnog mesta, budući da je poenta implementacije cloud
tehnologije na Internetu i, na samom kraju, kao jedna od najprimamljivijih prednosti je finansijska pristupačnost
ovoj tehnologiji. Finansijska pristupačnost je zvezda vodilja malim i srednjim preduzećima kada se govori o IT
sektoru, jer je održavanje lokalnog IT sektora izuzetno skupo, jer troškovi uključuju: zaposlene inženjere,
održavanje opreme, fizički prostor u kompaniji koji bi se mogao iskoristiti za dodatno unapređenje njihove
delatnosti i dr.
12
sa njihovim optimalnim iskorišćavanjem. Budući da je ovo problem pravne prirode, on može biti zaobiđen
adekvatno definisanim SLA (Service License Agreement).
DaaS je jedan od najzastupljeniji servisa koji su danas u upotrebi. Ovaj servis podrazumeva pristup
podacima sa bilo koje tačke na planeti koja ima Internet konekciju i njihovo čuvanje.
CaaS je noviji koncept koji podrazumeva komunikacione usluge, uz njihovu zaštitu i alokaciju adekvatnih
resursa za njihovu nesmetanu upotrebu. Audio i video konferencije su samo neke od mogućnosti koje ovaj
servis nudi.
Software kernel je sloj koji je nezaobilazan u svakoj računarskoj tehnologiji. U pitanju je softversko
upravljačko okruženje za fizičke servere u datacentrima. Implementacija softverskoj kernela uglavnom
podrazumeva kernel OS i hipervizor (poznat i kao VMM (Virtual Machine Monitor)).
HaaS (Hardware-as-a-Service): ovaj sloj obuhvata sve fizičke računarske resurse koji se nalaze u
datacentru. Predstavljeni su kao servis jer i oni, takođe, mogu biti iznajmljeni firmi ili korporaciji za
upotrebu. Ovaj servis se tradicionalno nudi u svim outsourcing planovima.
4. SecaaS (Security-as-a-Service)
Kao što je bilo pomenuto u prethodnom poglavlju, glavna mana Cloud computing-a jeste sigurnost. Poveriti
osetljive podatke multimilionske korporacije vendoru je prosto rečeno: „Loše poslovanje!“ Teorijski gledano,
informacija prestaje da bude bezbedna od momenta kada je zna više od jednog čoveka. Budući da C-level menadžeri
(CEO, CIO, CTO, CFO) vole da svojim informacijama nesmetano raspolažu, teorijska bezbednost informacija ne
samo da ne postoji u korporacijama, već je i nadrealno očekivati da će ona postojati. Na kraju svega, integritet
informacija apsolutno mora ostati očuvan, shodno tome moramo uzeti u obzir tendencije pomenutih menadžera, i
na njihovu odgovornost implementirati servise koji će onemogućiti makar spoljne napadačima da bez ozbiljnijih
poteškoća naruše integritet. Kada je u pitanju zaštita informacija, sa kriptološkog aspekta se posmatraju sledeći
servisi: Poverljivost, Integritet, Dostupnost (u daljem tekstu: PID). Kada ova tri servisa postoje, možemo reći da je
komunikacioni kanal relativno ili apsolutno bezbedan, u zavisnosti od načina implementacije. Cloud donosi i četvrti
servis, bez kojeg se o zaštiti informacija ne može govoriti: Lokacija. Fizička lokacija informacija je od izuzetne
važnosti kada je u pitanju cloud tehnologija. Iako postoji PID, zakoni određene države u kojoj se nalazi provajder
mogu da zaobiđu isti, i time naruše integritet komunikacionog medija (u ovom slučaju, Clouda). Jedan od primera bi
bio Patriotski akt u SAD koji omogućava vladi da bez autorizacije vlasnika informacije istom pristupi, u cilju zaštite
nacionalnih interesa.
Dva osnovna sigurnosna problema Cloud tehnologije su DoS napadi i neautorizovan pristup podacima.
Neautorizovan pristup podacima podrazumeva eksploataciju ranjive prirode samog Cloud-a, budući da se fizički
serveri nalaze u prostorijama provajdera, čiji sigurnosni protokoli i pozadinske provere osoblja nisu pod kontrolom
korisnika usluge. Međutim, vendori SecaaS-a vrše pozadinske provere, koje se mogu meriti sa proverama država,
prilikom postavljanja osoblja na osetljive pozicije, tako da je, ukoliko je izabran adekvatan vendor, moguće
zanemariti rizik koji nosi osoblje. Osnovni tehnički problem zaštite Cloud-a jeste izolacija hipervizora od stranog
uticaja. Iako se do sada i dalje nije desila ozbiljnija kompromitacija hipervizora, ona je teorijski moguća. Naime,
moguće je da sa jedne korisničke virtuelne mašine „prisluškivati“ procese koji se dešavaju na drugoj virtuelnoj
mašini, pod uslovom, naravno, da se obe mašine nalaze na istom serveru. Prisluškivanje funkcioniše tako što bi se sa
jedne korisničke mašine prisluškivao hipervizor sa ciljem da se otkrije momenat razmene kriptološkog ključa
između korisnika virtuelne mašine sa samom virtuelnom mašinom.
13
5. Zaključak – Apsolutna bezbednost
Posmatrajući sigurnosne prakse i rizike, dolazimo do zaključka da je svima, kako vendorima, tako i
korisnicima, u interesu da dostignu ideal bezbednosti, odnosno apsolutnu bezbednost. Apsolutna bezbednost nikada
neće biti dostignuta bez onih koji pokušavaju da je naruše i da dotadašnju percepciju apsolutne bezbednosti učine
relativnom. Međutim, ključ apsolutne bezbednosti ne leži u povećavanju stepena enkripcije – to je nešto što se
podrazumeva. Revolucija se postiže radikalnom promenom, ali nije cilj kompanijama i provajderima usluga
revolucija, već napredak. Najsigurniji put do napretka jeste postepenom promenom. Promena koja se predlaže ovim
radom jeste edukacija. Scientia potentia est u prevodu znači „Znanje je moć“. Obrazovanjem zaposlenih, kako
vendora, tako i korisnika možemo postepeno da radimo na tome da isključimo ljudski faktor kao presudan, budući
da je upravo taj faktor doveo na kolena skoro svakog ko je pokušao da svoju informaciju poveravanjem osigura.
14
Reference
„Network Security Fundamentals“ – Eric Cole, Ronald L. Krutz, James W. Conley, Brian Reisman, Mitch Ruebuch,
Dieter Gollman
https://security.radware.com/ddos-knowledge-center/ddospedia/http-flood/
https://www.incapsula.com/ddos/attack-glossary/http-flood.html
https://www.arbornetworks.com/arbor-networks-detects-largest-ever-ddos-attack-in-q1-2015-ddos-report
http://www.calyptix.com/top-threats/ddos-attacks-101-types-targets-motivations
http://www.calyptix.com/top-threats/top-7-network-attack-types-in-2015-so-far
https://www.incapsula.com/ddos/attack-glossary/syn-flood.html
https://blog.cloudflare.com/inside-shellshock/
https://tools.ietf.org/html/rfc4987#section-3
https://blog.sucuri.net/2014/02/layer-7-ddos-blocking-http-flood-attacks.html
„Security Guidance for Critical Areas of Focus in Cloud Computing v3.0“ – Cloud Security Alliance
„Risks in Enterprise Cloud Computing“ – Arnab Dutta et al (2013)
„The Business Perspective of Cloud Computing“ – Stefanie Leimester et al (2010)
15