Si 1

Sigurnost interneta
Prof.dr.sc. Miroslav Bača

Dr.sc. Petra Grd
Creative Commons
• Slobodno smijete: dijeliti (umnažati, distribuirati i javnosti
priopćavati djelo) i prerađivati djelo, pod slijedećim uvjetima:
• Imenovanje - morate priznati i označiti autorstvo djela na naičin

kako je specificirao autor ili davatelj licence (ali ne na način koji
bi sugerirao da Vi ili vaše korištenje njegova djelat imate njegovu
izravnu podršku)
• Nekomercijalno - ovo djelo ne smijete koristiti u komercijalne

svrhe
• Dijeliti pod istim uvjetima - ako ovo djelo izmijenite,

preoblikujete ili stvarate koristeći ga, preradu možete distribuirati
samo pod licencom koja je ista ili slična ovoj.
Sigurnost interneta 2 Miroslav Bača & Petra Grd

• U slučaju daljnjeg korištenja ili distribuiranja morate
drugima jasno dati da znanja licencne uvjete ovog
djela. Najbolji način da to učinite je linkom na internet
stranicu creativecommons.org. Od svakog od ovih
uvjeta moguće je odstupiti ako dobijete dopuštenje
nositelja autorskog prava.
• Ništa u ovoj licenci ne narušava ili ograničava

autorova moralna prava

Uvod
• CILJ:
• Stjecanje osnovnih znanja i vještina vezanih uz

sigurnost i analizu sigurnosti računala u korištenju u
umreženoj okolini
• NAPOMENA
• Predmetni nastavnik kao ni institucija ne

preuzimaju nikakvu odgovornost u slučaju
samostalnog korištenja stečenog znanja u
svrhu u kojoj to nije dozoljeno zakonskim
propisima!

Informacijska sigurnost
• Zašto sigurnost interneta?
• Internet je krvotok poslovnog sustava
• Internet je krvotok osobnih informacija
• Onaj tko nadzire Internet komunikaciju, nadzire svijet
• Problem
• Danas gotovo da ne postoji uređaj koji se ne spaja na internetsku mrežu
• Računala, telefoni, IoT, automobili ….
• 2015 - dnevna stopa rasta 230 000 malwarea

340000
255000
170000
85000
0
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
Pregled prijava djela po godinama, izvor www.ic3.gov

Tijekom 2014 ukupno je prijavljen gubitak od 800,492,073$. Najveći broj dijela lipanj/srpanj.

Razne pogreške
Crimeware
Unutarnji počinitelji
Fizičke krađe/gubitci
Web napadi
DoS
Cyber špijunaža
PoS
Skiming kartica
0 7,5 15 22,5 30
Data breach investigations report 2015, verizonenterprise.com

Tipovi sigurnosti
• Sigurnost aplikacija
• CSS cross site scripting
• Malware
• …
• Virusi
• Sigurnost mreže
• Hoax
• Cijela okolina
• Spyware
• Neka od rješenja
• Cryptware
• IPsec
• …
• demilitarizirana zona
• Sigurnost aplikacija i usluga
• virtualne privatne mreže
• DoS denial of service
• IDS intrusion detection system
• Zaporke
• …
• Ranjivosti

Osnovni pojmovi
• Povjerljivost (confidentiality)
• Štiti podatke od čitanja ili kopiranja svakom tko nije eksplicitno

autoriziran od strane vlasnika informacije
• Integritet podatka (data integrity)
• Štiti podatke od brisanja ili promjene u bilo kojem smislu, bez

odobrenja vlasnika podatka
• Dostupnost (availability)
• Štiti servise kako ne bi bili degradirani ili učinjeni nedostupnima

bez autorizacije

• Konzistentnost (consistency)
• Uvjeriti se da se sustav ponaša točno onako kako autorizirani korisnik

očekuje
• Kontrola (control)
• Reguliranje pristupa sustavu
• Nadzor (audit)
• I autorizirani korisnici mogu načiniti pogreške ili čak počiniti prekršaj ili
kazneno djelo
• Šira definicija sigurnosti
• Tajnost
• Osobna procjena koji tip sigurnosti je potreban, dati će put u odabiru

specifičnih sigurnosnih tehnika

• Identifikacija
• Tko si ti? 1:N
• Autentikacija
• Da li si onaj za kojeg se predstavljaš? 1:1
• Autorizacija
• Što ti je dozvoljeno?
• Odgovornost
• Tko što radi i tko je za što zadužen

Sigurnost
• Sigurnost
• Čovjeka
• Organizacije
• Društva

• Sigurnost informacijskog sustava
• Confidentiality (povjerljivost) - podatak je povjerljiv

kada je nerazumljiv svima osim onima koji su
autorizirani za njegovo korištenje
• Integrity (integritet) - podatak ima integritet tako dugo

dok je identičan stanju koje je nastalo nakon što je
zadnji autorizirani korisnik završio s njim
• Availability (raspoloživost) - podatak je raspoloživ kada

je dostupan autoriziranim korisnicima u dogovorenom
formatu i razumnom vremenskom roku.

Tajnost, povjerljivost
• Siguran sustav ne smije dozvoliti nikome da pristupi
podatku osim autoriziranoj osobi
• Tajnost osigurava pristup točno određenim

podacima, samo korisnicima koji imaju dozvolu za te
podatke, a prema unaprijed jasnim pravilima
korištenja
• Razine tajnosti ovise o institucijama

• Povjerljivost osigurava zaštitu osobnih podataka kao i
povjerljivih podataka
• Siguran sustav mora rukovoditi kontinuitetom

integriteta podataka
• Integritet znači da sustav ne smije ugorziti

informacije niti dozvoliti neautorizirana djela
odnosno slučajne promjene

Politike
• Nedovoljna organizacijska sigurnost
• Veliki propusti - maksimalna šteta
• Nužnost kvalitetnog organiziranja sigurnosti
• Definiranje potrebnih odgovornosti
• Temeljni koraci u cilju smanjenja mogućeg rizika
• Nužno je imenovati nositelje pojedinih aktivnosti kao i

njihove konkretne ciljeve
• Outsourcing (obaveze)
• Davanje informacija trećoj strani
• Zakonski osnov
• Mogućnost iskorištavnja podataka
• Postupanje u slučaju outsorcinga - zaštita

informacija u skladu s radnim mjestom (restrikcije,
npr rad u konkurentskoj tvrtci nakon odlaska)

• Različite organizacije imaju različite pogleda na sigurnost kao i
na važnost sigurnosti
• Novčarske institucije
• Prednost daju integritetu i nadzoru ispred povjerljivosti i

dostupnosti
• Sigurnosne institucije
• Prednost daju povjerljivosti ispred dostupnosti
• Akademske institucije
• Najvažniji su integritet i dostupnost

Prijetnje, ranjivosti
• Prijetnja je
• svaka sila ili sredstvo koje može poništiti ili smanjiti

učinkovitost sustava, odnosno ograničiti ili onemogućiti
ispunjenje cilja
• potencijalni uzrok neželjenog događaja koji može imati za

posljedicu štetu za sustav ili organizaciju
• Ranjivost
• mogućnost da prijetnja iskoristi potencijalne slabosti sustava

sigurnosti
• Podjela prijetnji
• prirodne pojave (vatra, poplava, ekološko zagađenje, erupcije…)
• namjerno djelovanje čovjeka
• slučajno djelovanje čovjeka
• tehničke prijetnje (nestanak napajanja, kvarovi, statički elektricitet…)
• organizacijske prijetnje (neodgovarajuće procedure, nemotiviranost,

ergonomija, radna nekultura…)
• Prijetnje se mogu grubo podijeliti u tri kategorije
• Prirodne prijetnje
• Fizička sigurnost
• Djelovanje čovjeka

• Djelovanje čovjeka • Target Footprinting
• Mrežne prijetnje • Password attack
• Prikupljanje informacija • DoS
• Sniffing • Neovlašteni pristup
• Spoofing • Eskalaciaj privilegija
• SQL injection • Back door
• ARP poisoning • Aplikacijske prijetnje
• Password-based • Napad na autentikaciju/autorizaciju
• DoS • Konfiguracijsko upravljanje
• Prijetnje poslužitelju • Buffer overflow
• Malware • Kriptografski napadi …

• Podjela ranjivosti
• fizičke ranjivosti (prostor..)
• prirodne ranjivosti
• strojne i programske ranjivosti
• ranjivost medija
• komunikacijska ranjivost
• ranjivost osoblja

• Informacijsko ratovanje
• Korištenje informacijsko komunikacijskih tehnologija za

stjecanje prednosti pred konkrencijom
• Razlikuju se defanzivno i ofenzivno ratovanje
• Defanzivno se odnosi na zaštitu od napada
• Prevencija, detekcija, odgovori, alarmiranje…
• Ofezivno se odnosi na napad
• Napad na web aplikacije, napad na poslužitelje, napad

malwareom, otimanje sjednica…

• IPv6 prijetnje
• U usporedbi sa IPv4 poboljšan je sigurnosni mehanizam
• Prijetnje auto konfiguracijom
• IPv6 omogućuje automatsku konfiguraciju IP mreže što može

prouzrokovati ranjivost na napad ako mreža nije konfigurirana dobro i
osigurana od početka
• Zaštita na temelju “ugleda”
• Postojeća sigurnosna rješenja koriste reputacije IP adresa da filtriraju

poznate izvore zaraze, biti će potrebno vremena da se načini isti koncept
zaštite za IPv6
• Problem razine ograničenja
• Administratori koriste strategiju razine ograničenja kako bi usporili

automatske alate za napade. Nepraktično je ograničavati razinu na 128-bit
adresama

• Nekompatibilnost sa sustavima prijave
• IPv6 koristi 128-bit adrese koje su pohranjene u stringove od

39 brojeva, IPv4 koristi adrese pohranjene u polja od 15
karaktera. Sustavi za prijavu (login) dizajnirani za IPv4 možda
neće pravilno (ili uopće) raditi na IPv6 mrežama
• Defoult IPv6 aktivacija
• IPv6 može biti aktiviran bez znanja administratora što dovodi

do neučinkovitosti kontrola temeljenih na IPv4
• Složeno upravljanje mrežnim zadacima
• Adminsitratori mogu prilagoditi “lako pamtljive” adrese (zadnji

oktet IPv4 adresa) što može dovesti do potencijalnih ranjivosti

• Složenost u upravljanju ranjivostima
• IPv6 128-bit adresni prostor otežava aktivno skeniranje za

neautoriziranim ili ranjivim servisima
• Preopterećenje kontrola perimetra sigurnosti
• IPv6 ima fiksno zaglavlje od 40 byte sa dodatkom rastezljivog

zaglavlja koje se može mijenjati i koje zahtjeva složeno
procesiranje od strane različitih sigurnosnih kotrola sustava
kao što su routeri, sigurnosni gateways, firewalls i IDS
• Prevođenje iz IPv4 u IPv6
• Može rezultirati slabom implementacijom te omogućiti

potencijalni prostor za napad

Napad
• Napad
• svaki aktivni i neaktivni interes počinitelja koji se bave kriminalnim aktivnostima
• Motiv + Metoda + Ranjivost
• Provala
• kada počinitelj svojim aktivnostima uspije probiti sigurnosne mehanizme

sustava s ciljem ostvarenja sebi ili drugome materijalne koristi ili počinjenja
štete
• Upad
• svi elementi kao kod provale uz izostanak ostvarenje materijalne koristi ili štete

• Napadi su usmjereni na ugrožavanje sigurnosti informacija, sustava i
infrastrukture, neke od mogućih podjela su
• prekid
• prekid komunikacije
• sustav postaje nedostupan ili neiskoristiv
• presretanje
• neovlaštena osoba ima pristup sustavu
• izmjena
• neovlaštena osoba mijenja sustav
• proizvodnja
• neovlaštena osoba stvara “proizvedene” podatke

• Prekid • …
• prekid komunikacije • Promjena
• sustav postaje nedostupan ili neiskoristiv • neovlaštena osoba mijenja sustav
• fizičko uništavanje • mijenjanje zapisa u bazi
• ometanje komunikacije • kompromitiranje sustava
• brisanje programa ili podataka • promjene u strojnoj i programskoj

podršci
• uskraćivanje usluga
• …
• …
• Proizvodnja
• Presretanje
• neovlaštena osoba stvara “proizvedene”
• neovlaštena osoba ima pristup sustavu podatke
• prisluškivanje • dodavanje zapisa u bazu
• nadzor komunikacije • IP Spoofing
• snimanje prometa • fake email
• kompromitiranje sustava • ….

• odnosno … napade možemo kategorizirati
• prema načinu djelovanja
• prema mjestu nastanka
• prema mjestu djelovanja
• prema krakteru
• prema izvoru
• …

Razlozi
• Vulnerability Workload Index (NIST)
• Broj koji ukazuje na rizik
• Na dan 02.03.2015. VWI iznosi 7.86
• Na dan 11.01.2016. VWI iznosi 5.36
• izračun: (broj novih ranjivosti ocjenjenih visokim

sigurnosnim rizikom u zadnjih 30 dana + broj novih
ranjivosti ocjenjenih srednjim sigurnosnim rizikom u
zadnjih 30 dana podjeljen s 5 + broj novih ranjivosti
ocjenjenih niskim sigurnosnim rizikom u zadnjih 30
dana podjeljeno s 20) podjeljeno s 30

Hacking
Uvod
• Odnos između hakiranja i etičkog hakiranja mora se promatrati u
kontekstu osnovnih nakana osoba koje provode aktivnosti hakiranja
• Pojam hakiranje označava radnju traženja ranjivosti s ciljem

neautoriziranog pristupa sustavu ili resursima
• Hakiranje se odnosi na iskorištavanje ranjivosti sustava i

kompromitiranja sigurnosnih kontrola kako bi se dobio
neautorizirani ili neprimjereni pristup resursima sustava. Ovaj proces
uključuje modificiranje sustava ili aplikacijskih osobina s ciljem koji
nadilazi originalnu svrhu sustava ili aplikacije.
• Etičko hakiranje uključuje primjenu hakerskih alata, trikova i tehnika

s ciljem identifikacije ranjivosti i poboljšanja sustava sigurnosti.

Efekti na poslovanje
• Kompromitiranje informacija
• Napadači mogu ukrasti poslovne tajne i prodati ih konkurenciji; mogu

kompromitrati financijske informacije te ih proslijediti rivalima
• Gubitak prihoda
• Botnet se može iskoristiti za različite oblike napada poput DoS ili web
temeljenih napada što može rezultirati nemogućnošću poslovanja
(business down time) kao i značajnim gubitkom prihoda
• Poslovni gubitak
• Počinitelji mogu ukrasti i redistribuirati intelektulano vlasništvo te na

taj način prouzročiti poslovni gubitak

• Reputacija
• Krađa osobnih podataka klijenata može utjecati na

rizik poslovne reputacije te za posljedicu imati
brojne sudske tužbe
• Trošak
• Prema informacijama vodećih svjetskih kompanija u

analizi sigurnosnih prijetnji, informacije koštaju
organizacije diljem svijeta1,1 trilijuna US$ (to je
iznos koji se dobije ako svakoj osobi na svijetu date
160 US$)

Hacker
• Osoba koja nezakonito provaljuje u sustav ili mrežu bez ikakove autorizacije
s ciljem uništavanja, krađe osjetljivih podataka ili provođenja malicioznih
napada.
• Mogu biti motiviriani različitim razlozima
• Inteligentni pojedinci sa izvrsnim računalnim vještinama, s mogućnošću

kreiranja i iskorištavanja računalnog softvera i hardvera
• Amateri, hobisti koji ispituju koliko računala ili mreža mogu kompromitirati
• Prikupljanje znanja
• Krađa poslovnih podataka, informacija o kreditnim karticama,

elektroničke pošte, zaporki…

• Podjela
• Black Hats
• Osobe sa izvanrednim računalnim vještinama koji

pribjegavaju malicioznim ili destruktivnim aktivnostima
(poznati i kao crackers).
• Uobičajeno koriste svoje znanje i vještine isključivo za

destruktivne aktivnosti pričinjavajući velike gubitke kako za
kompanije tako i za pojedince koje napadaju
• Koriste svoje vještine i znanje za pronalazak ranjivosti u

različitim mrežnim okruženjima (banke i druga financijska
tijela, javna uprava, vojska, policija, web stranice,…)

• White Hats
• Osobe koje posjeduju vještine hackiranja i koriste ih u svrhu zaštite od

potencijalnih napadača
• Nazivaju se još i sigurnosni analitičari
• Uobičajeno je da svaka kompanija danas ima zaposlenog sigurnosnog

analitičara koji se bavi zaštitom sustava od malicioznih napada
• Pomažu kompanijama osigurati mrežu od vanjskih napadača
• Gray Hats
• Osobe koje rade i kao napdači i ako zaštitnici mreža
• Mogu pomagati Black Hats u traženju različitih ranjivosti i u isto

vrijeme pomagati proizvođačima u zaštiti njihovih proizvoda

• Suicide Hackers
• Osobe čiji je cilj rušiti kritičnu infrastrukturu i ne zamarati se

činjenicom da bi zbog toga mogli završiti u zatvoru na dulji
vremenski rok
• Vrlo su slični bombašima samoubojicama, a u domeni cyber

terorizma pojavii su se unazad zadnjih par godina
• Script Kiddies
• Nevješti hakeri koji kompromitiraju sustav pokretanjem skripti,

alata i procedura koje su načinili drugi hackeri
• Koriste male programe ili skripte koje je jednostavno za koristiti

kao i tehnike za traženje ranjivosti
• Uobičajeno su fokusirani na kvanitetu a ne na kvalitetu napada

• Spy Hackers
• Osobe koje su zaposlene od strane određene kompanije da

izvrše penetraciju u konkurentsku kompaniju s ciljem krađe
poslovnih tajni
• Ovi unutarnji napadači mogu iskoristiti privilegiju u hakiranju

sustava ili mreže
• Cyber Terorrist
• mogu biti pojedinici ili organizirane grupe koje imaju širuki

raspon vještina a motivirani su vjerskim ili političkim uvjerenjima
s ciljem da načine strag široj grupi osoba ili račinalnih mreža
• Izrazito opasni jer ne napadaju samo jedu stranicu već cijeli

internet

• State Sponsored Hackers
• Osobe aposlene u državnim institucijama
• Zadatak im je penetrirati i prikupljati strogo

povjerljive informacije kao i naštetiti ili trajno
onesposobiti informacijske sustave drugih država

Hacktivism
• Hacktivism je čin promocije političkih ciljeva kroz hakiranje
a motiviran je političkim, sociološkim, ideološkim razlozima
kao i vandalizmom i protestom te željom da se ponizi žrtva
• Provodi se u okruženjima gje je lako doći do informacije
• Cilj je poslati poruku putem hakiranja i postići veću

vidljivost poruka
• Česti ciljevi su vladine agencije, multinacionalne

koorporacije ili druga tijela koja se mogu okarakterizirati
kao loša ili nepodobna od strane počinitelja
Faze
• Faze uključene u proces hakiranja su
• Izviđanje (reconnaissance)
• Skeniranje (scanning)
• Dobivanje pristupa (gaining access)
• Održavanje pristupa (maintaining access)
• Brisanje tragova (clearing tracks)

• Izviđanje
• Odnosi se na pripremu napada s ciljem prikupljanja što je moguće više

informacija o cilju napada
• Napdač pokušava naučiti što je moguće više o cilju
• Ova faza uključuje mrežno skeniranje, kako unutarnje tako i vanjsko,

bez autorizacije
• Napadač izrađuje strategiju napada
• U procesu izviđanja koriste se različite metode i tehnike poput

socijalnog inženjeringa, kopanja po smeću te pribavljanja informacija
na različitim servisima poput Whois baze podataka
• Razlikuju se aktivno i pasivno izviđanje. Pasivno ne uključuje nikakvu

interakciju sa ciljem dok aktivno uključuje

• Skeniranje
• Provodi se prije provođenja napada
• U procesu skeniranje napadač koristi saznanja prikupljena u procesu

izviđanja kako bi identificirao ranjivosti
• Skeniranje se smatra logičkim nastavkom aktivnog izviđanja
• Često se koriste automatizirani alati za mrežno/poslužiteljsko

skeniranje
• Skeniranje portova uključuje korištenje dialera, skenera portova,

mrežnog mapiranja, ping alata, skenera ranjivosti…
• Napadač/i ekstrahira informacije poput “živosti računala” porta,

statusa porta, detalja OS-a…. kako bi proveo napad

• Dobivanje pristupa
• Točka u kojoj napadač dobiva pristup operacijskom sustavu ili

aplikaciji na računalu ili mreži
• Najopasnija faza u smislu potencijalne štete
• Napadač može dobiti pristup na razini operacijskog sustava, na

razini aplikacije ili na razini mreže
• Uspješnost napada ovisi o arhitekturi i konfiguraciji napadnutog

računala
• Napadač može proširiti privilegije s ciljem dobivanja cjelokupne

kontrole
• Primjeri: krekiranje zaporki, DoS, otimanje sjednica…

• Održavanje pristupa
• Odnosi se na fazu u kojoj napadač pokušava zadržati

“vlasništvo” nad sustavom
• Napadač može zadržati ekskluzivno pravo kako ga ne bi

preuzeli drugi na način da postavi Backdoors, RootKits ili
“trojanske konje”
• Napadač može napraviti upload, download ili manipulirati

podacima, aplikacijama kao i konfiguracijom preuzetog
sustava
• Napadač može koristiti kompromitirani sustav za provedbu

daljnjih napada

• Brisanje tragova
• Prikrivanje tragova kako bi se prikrile maliciozne aktivnosti

napadača
• Brisanje tragova koji mogu ukazati na djelo i “osuditi” napadača
• Prepisivanje poslužiteljskih, sistemskih i aplikacijskih logova s

ciljem izbjegavanje sumnje
• Korištenje RootKits kako bi se prikrilo prisutstvo napadača
• Česti je slučaj korištenje steganografije u skrivanju podataka

kao i brisanje sistemskih datoteka s ciljem reinstalacije
napadnutog sustava

Tpovi napada
Tipovi napada
• Postoje različiti načini na koje napadač može dobiti pristup
sustavu
• Napadač mora biti sposoban iskoristiti slabosti ili ranjivosti

sustava s cilje:
• Napada na operacijski sustav
• Napada na aplikacije
• Napada na lošu konfiguraciju
• Napada na programski kod

• Napadi na operacijske sustave
• Napadač traži ranjivosti u izradi, implementaciji ili konfiguraciji

operacijskog sustava kako bi dobio pristup
• Složenost današnjih operacijskih sustava za posljedicu

ima veliki broj ranjivosti imeplentiranih u izradi
• Najčešće ranjivosti su Buffer overflow, propusti u

programskom kodu OS-a i “zakrpe” OS-a
• Najčešći napadi provode se kroz cracking zaporki i

enkripcijskih mehanizama, prodora u datotečni sigurnosni
sustav, napada na sustave autentikacije kao i prodore u
implementacijske mrežne protokole

• Napadi na aplikacije
• Aplikacije danas moraju izvršavati brojne i složene zadatke te su

podložne određenim sigurnosnim propustima
• Najčešći razlozi ranjivosti aplikacija su
• Programeri koji izrađuju aplikaciju imaju malo vremena na

raspolaganju za razvoj aplikacije
• Aplikacija dolazi sa veliki brojem osobina i funkcionalnosti
• Sigurnost je uobičajeno samo dodatak ili posebna funkcionalnost

aplikacije
• Ne postoji dovoljno vremena za cjelovito ispitivanje aplikacije prije

nego li se ista isporuči naručitelju

• Među najčešće napade na aplikacije ubrajaju se:
• Cross-site scripting
• Denial of Service
• Buffer overflow
• Phishing
• Man-in-the-middle
• Directory travesal
• Session hijacking
• Active content…

• Napadi na konfiguraciju
• Ako sustav nije dobro konfiguriran, tada bilo koja promjena

koja se dogodi za posljedicu ima nesiguran sustav
• Ranjivosti ovog tipa utječu na web poslužitelje, aplikacijske

platforme, baze podataka, mreže … koji mogu rezlutirati
ilegalnim aktivnostima ili mogućim preuzimanjem sustava
• Od administratora sustava se očekuje da promjeni

konfiguraciju prije nego li ju pusti u rad, jer se u protivnom
inicijalne postavke mogu iskoristiti za napad
• S ciljem postizanja optimizirane konfiguracije nužno je ukloniti

sve redundantne servise ili aplikacije

• Napadi na programski kod
• Prilikom instalacije operacijskog sustava ili aplikacija isti

dolaze sa prijedlozima skripti koje mogu olakšati rad
administratoru
• Administratori koriste različite “libraries” i kod kako bi

reducirali razvoj i cijenu
• Problem je u tome da skripte nisu “ugođene”
• Napad na programski kod ili inicijalni kod u ovom

smislu odnosi se na iskorištavanje inicijalnih postavki
koda i “libraries”

Sigurnosne kontrole
Nužnost hakiranja
• Ubrzani tehnološki ravoj ima za posljedicu i povećani
tehnološki rizik
• Etičko hakiranje treba predvidjeti različite moguće ranjivosti s

ciljem prevencije njihovog iskorišteavanja
• Prevencija hakera u pristupu informacijama
• Borba protiv terorizma i pripusta u nacionalnoj sigurnosti
• Izgradnja sustava kojeg će hakeri izbjegavati
• Ispitati da li se organizacijske sigurnosne mjere primjenjuju

• Etičko hakiranje trebalo bi dati odgovore na slijedeća pitanja
• Što počinitelj može vidjeti na napadnutom sustavu (faze izviđanja i

skeniranja)
• Što počinitelj može učiniti s tom informacijom (faze dobivanja i

održavanja pristupa)
• Da li je netko primjetio pokušaje ili uspjeh napadača (faze izviđanja ili

uklanjanja tragova)
• Da li su su sve komponente informacijskog sustava adekvatno

osigurane, trenutne i zakrpane
• Koliko je novca, truda i vremena potrebno za postizanje adekvatne

zaštite
• Da li je evaluacija informacijske sigurnosti u skladu sa industrijskim i

pravnim standardima

Vještine & znanja
• Etičko hakiranje je hakiranje u skladu sa zakonom te se provodi s ciljem
pronalaska ranjivosti kako bi se zaštitio sustav
• Kako bi se to provelo osoba koja provodi etičko hakiranje mora imati

slijedeće vještine i znanja:
• Detaljno poznavati operacijeske sustave, posebice Windows, Unix i Linux
• Detaljno poznavati mrežne koncepte, tehnologije i pripadajuću strojnu i

programsku osnovicu
• Biti računalni ekspert vješt u tehničkom smisu
• Imati znanja o sigurnosti i pripadajućim područjima
• Posjedovati najviša tehnička znanja za provedbu sofisticiranih napada

Zaštita
• U smislu zaštite podataka koristi se višeslojni sigurnosni pristup
koji uključuje
• Pollitike, procedure, svjesnost
• Fizičku zaštitu
• Sigurnosni perimetar
• Internu mrežu
• Poslužitelj
• Aplikaciju

Proces upravljanja
incidentima
• Skup definiranih procesa za identifikaciju, analizu, klasifikaciju i
rješavanje sigurnosnih incidenata s ciljem povratka sustava u normalan
rad što je prije moguće i prevenciju ponavljanja istog događaja
• Svrha
• Poboljšati kvalitetu servisa
• Proaktivno rješavanje problema
• Smanjenje utjecanja incidenta na poslovni proces/organizaciju
• Povećanje efektivnosti i produktivnosti
• Poboljšanje korisničkog zadovoljstva …

• Proces upravljanje incidentima je proces logiranja, snimanja i
rješavanja incidenata koji pogađaju organizaciju
• Incidenti se mogu javiti kao posljedica tehničke neispravnosti,

lošeg servisa, pogreške, ….
• Incidente mogu prijavljivati korisnici, tehničko osobolje ili mogu

biti detektirani od strane sustava za nadzor
• S ciljem što je moguće bržeg i jednostavnijeg povratka na

stanje prije incidenta potrebno je definirati procese koje je
potrebno realizirati kako bi se to postiglo
• Ti procesi se još nazivaju i koraci upravljanja incidentima, a

uključuju:

• Pripremu za rukovanje i odgovor na incident
• Detekciju i analizu
• Klasifikaciju i prioritete
• Zabilježbe
• Kontaminaciju
• Forenzičku istragu
• Iskorjenjavanje i oporavak
• Aktivnosti nakon incidenta

Politike IS-a
• Politika sigurnosti je dokument ili skup dokumenata koji opisuje
sigurnosne kontrole koje je potrebno implementirati u
organizaciji kako bi se postigao makimalni učinak zaštite
poslovne mreže od napada iz vana
• Politika definira cjelovitu sigurnosnu arhitekturu organizacije i

uključuje jasne ciljeve, pravila i regulacije kao i formalne
procedure
• Sigurnosna politika dio je sigurnosne infrastrukture
• Ciljevi sigurnosne politike mogu biti razni ali se u praksi sreće

osam najčešćih
• Održavanje pregleda upravljanja i administriranja mrežnom
sigurnošću
• Zaštita računalnih resursa organizacije
• Uklanjanje pravne odgovornosti zaposlenika ili ugovorenih radnika
• Osiguranje korisničkog integriteta i zaštita od nepotrebnog trošenja

organizacijskih računalnih resursa
• Prevencija neautoriziranog modificiranja podataka
• Smanjenje rizika
• Razlikovanje korisničkih pristupnih prava
• Zaštita povjerljivih, zaštičenih informacija od krađe, zloupotrebe ili

neautoriziranog razotkrivanja

• Klasifikacija sigurnosnih politika
• Korisničke politike
• Definiranje koji korisnik koristi mrežu
• Definiranje ograničenja koja su dodijeljena pojedinom korisniku
• Primjer: Politika upravljanje zaporkama
• IT politike
• Načinjene za zaposlenike IT odjela s cilje očuvanja mreže

sigurnom i stabilnom
• Primjer: Politike pohrane podataka, politike konfiguracije

poslužitelja, politike vatrozida …

• Opće politike
• Definiraju se obaveze za opće poslovne svrhe
• Primjer: Krizno upravljanje, oporavak od katastrofa, plan

poslovnog kontinuiteta…
• Partnerske politike
• Politike definirane za partnere
• Specifične politike
• Prepoznaju specifična područja i opisuju organizacijski status

za visoko pozicioniranu upravljačku strukturu
• Primjer: Sigurnosna politika osoblja, komunikacijska sigurnost…

• Struktura sigurnosne politike
• Sigurnosna politika je dokument koji opisuje način osiguravanja

fizičke sigurnosti osoblja i podataka od krađe is igurnosnih
propusta. osnovna strukura sigurnosne politike treba uključivati:
• Detaljan opis pitanja politike
• Opis statusa politike
• Primjenjivost politike na okolinu
• Funkcionalnosti onih zahvaćenih politikom
• Specifične konsekvence koje će se pojaviti ako politika nije

kompatibilna sa organizacijskim standardima

• Sadržaj sigurnosne politike
• Zahtjevi na najvišoj sigurnosnoj razini - pojašnjavaju zahtjeve

sustava za sigurnosnim politikama koje je potrebno
implementirati
• Zahtjevi za sigurnosnom disciplinom - uključuju različite

sigurnosne politiek kao što su komunikacijska sigurnost,
računalna sigurnost, operacijska sigurnost, mrežna
sigurnost, sigurnost osoblja, informacijska i fizička
sigurnost
• Zahtjevi za sigurnosnom zaštitom - uključuje kontrolu

pristupa, nadzor, autentikaciju, dostupnost, povljerljivost,
kriptografiju, integritet, sučelje, povrat podataka, odricanje
kao i zaštitu od virusa

• Zahtjevi za sigurnosnim procedurama - uključuje pristupne
politike, pravila odgovornosti, planove nastavka poslovanja i
dokumentaciju
• Osiguranje sigurnosti - uključuje certificiranje i pregled akreditacija

te planiranje dokumentacije koja se koristi za osiguranje
sigurnosti
• Opisi politika - fokusiranje na sigurnosne discipline, zaštitu,

procedure, nastavak poslovanja. Daje opis kako će arhitektura
sustava ojačati sigurnost
• Sigurnosni kocept operacija - definira uloge, odgovornosti i funkcije

sigurnosne politike. Fokusiran je na misiju, komunikacije, enkripciju,
koirsnike i upravljanje pravilima te politikom zaštite od virusa
• Alokacija sigurnosnog izvršenja - omogućuje alokaciju svakog

sustava programa

• Tipovi sigurnosnih politika
• Sigurnosna politika je dokument koji sadrži informacije o naččinu kako

organiacija planira zaštititi informacijsku imovinu od poznati i nepoznatih
prijetnji
• Četiri su isnovna tipa politika
• Slobodne politike
• Nema restrikcija u pristupu Internetu. Korisnik može pristupiti bilo

kojoj internet stranici te skinuti bilo koji sadržaj
• Pogodne za organizacije koje se bave organiziranjem putovanja

ili za osobe koje puno putuju
• Administratori mreže moraju biti iznimno oprezni kod odabira

ovakvog tipa politike

• Popustljiva politika
• Glavnina Internet prometa je dopuštena ali su blokirani poznati

opasni servisi i stranice
• Kako su samo poznati napadi i ranjivosti blokirane teško je

administrirati i održavati sigurnost te korak sa trenutnim
napadima i ranjivostima
• Razborita politika
• Počinje sa blokiranjem svih servisa a administrator dozvoljava

pojedinačne servise individualno svakom pojedinom korisniku i
to samo sigurnosno provjerene i nužne servise
• Osigurava maksimalnu sigurnost
• Sve se bilježi u dnevnicima kako sustavske tako i mrežne

aktivnosti

• Paranoidna politika
• Sve je zabranjeno
• Propisana je striktna restrikcija korištenja organizacijskih

resursa, kako računalnih tako i mrežnih
• Nema niti djelomičnog Internet povezivanje
• Kako je sve zabranjeno korisnici pokušavaju pronaći način

kako to zaobići

• Implementacija politika
• Implementacija sigurnosnih politika smanjuje rizik od napada
• Potrebno je provesti slijedeće korake u implementaciji
• Načiniti procjenu rizika s ciljem idnetifikacije rizika na oraganizacijskoj imovini
• Naučiti iz standardnih priručnika i drugih organizacija
• Uključiti srednji menadžment u razvoj politike
• Definirati jasne kazne za nepoštivanje i kao način za nadograđivanje politike
• Osigurati dostupnost završne verzije svima u organizaciji
• Osigurati da svaki član organizacije pročita razumije i potpiše politiku
• Instalirati alate koji su potrebni za jačanje politike
• Obučiti zaposlenike i educirati ih o politici

Istraživanje ranjivosti
• Istraživanje ranjivosti znači otkrivanje pogrešaka nastalih
tijekom izrade susutava kao i slabosti koje mogu biti
iskorištene za kompromitiranje sustava
• Istraživanje ranjivosti je od interesa kako napadačima

tako i administratorima sustava
• Istraživanje se može promatrati
• sa razine sigurnosti (nisko, srednje, visoko)
• sa razine iskorištavnja (lokalno, udaljeno)

• Za napadače
• otkrivanje slabosti sustava kao i grešaka putem kojih je moguće

kompromitirati sustav
• biti u toku sa zadnjim podrškama proizvođača s ciljem traženja sadašnjih

propusta
• provjera novih upozorenja
• Za administratore
• Prikupljanje informacija o sigurnosnim trendovima, prijetnjama i napadima
• Pronalazak ranjivosti i uzbunjivanje administratora prije napada
• Prikupljanje informacija s ciljem prevencije
• Poznavanje oporavka sustava nakon napada

• Penetracijsko testiranje
• Metoda evaluacije sigurnosti sustava ili mreže

simuliranjem napada s ciljem pronalaska ranjivosti
koje mogu biti iskorištene
• Determiniranje propusa kako u softveru tako i u

hardveru
• Rada identifikacija koja se koristi u zaštiti mreže
• Razlikuju se dva tipa testiranja blackbox i whitebox

• Blackbox testiranje simulira napad od strane
počinitelja koji nema nikakvo znanje o sustavu
kojega napada
• Whitebox testiranje simulira napad od strane

počinitelja koji posjeduje cjelovito znanje o sustavu
kojega napada
• Nakon provedbe testiranja potrebno je načiniti

cjelovito izvješće koje mora uključivati sve aspekte
koji su tijekom testiranja uočeni kao i prijedlog mjera
koje se mogu implamentirati s ciljem zaštite sustava

• Metodologija
• Prikupljanje informacija
• Analiza ranjivosti
• Vanjsko penetracijsko testiranje
• Unutarnje penetracijsko testiranje
• Penetracijsko testiranje routera i switcheva
• Penetracijsko testiranje firezall
• IDS testiranje
• Testiranje bežične mreže…

• …Testiranje DoS
• Testiranje password cracking
• Testiranje socijalni inženjering
• Testiranje krađa opreme
• Krađa source koda
• Testiranje web aplikacike
• Testiranje SQL
• Fizička sigurnost

Si 1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Si 1

Uploaded by

Copyright:

Available Formats

Sigurnost interneta

Prof.dr.sc. Miroslav Bača

• Imenovanje - morate priznati i označiti autorstvo djela na naičin

• Nekomercijalno - ovo djelo ne smijete koristiti u komercijalne

• Dijeliti pod istim uvjetima - ako ovo djelo izmijenite,

Sigurnost interneta 2 Miroslav Bača & Petra Grd

• Ništa u ovoj licenci ne narušava ili ograničava

Sigurnost interneta 3 Miroslav Bača & Petra Grd

• Stjecanje osnovnih znanja i vještina vezanih uz

• Predmetni nastavnik kao ni institucija ne

Sigurnost interneta 5 Miroslav Bača & Petra Grd

• Internet je krvotok poslovnog sustava

• Internet je krvotok osobnih informacija

• Onaj tko nadzire Internet komunikaciju, nadzire svijet

• Danas gotovo da ne postoji uređaj koji se ne spaja na internetsku mrežu

• Računala, telefoni, IoT, automobili ….

• 2015 - dnevna stopa rasta 230 000 malwarea

Sigurnost interneta 6 Miroslav Bača & Petra Grd

Pregled prijava djela po godinama, izvor www.ic3.gov

Sigurnost interneta 7 Miroslav Bača & Petra Grd

Data breach investigations report 2015, verizonenterprise.com

Sigurnost interneta 8 Miroslav Bača & Petra Grd

Sigurnost interneta 9 Miroslav Bača & Petra Grd

• Štiti podatke od čitanja ili kopiranja svakom tko nije eksplicitno

• Integritet podatka (data integrity)

• Štiti podatke od brisanja ili promjene u bilo kojem smislu, bez

• Štiti servise kako ne bi bili degradirani ili učinjeni nedostupnima

Sigurnost interneta 10 Miroslav Bača & Petra Grd

• Uvjeriti se da se sustav ponaša točno onako kako autorizirani korisnik

• Reguliranje pristupa sustavu

• Šira definicija sigurnosti

• Osobna procjena koji tip sigurnosti je potreban, dati će put u odabiru

Sigurnost interneta 11 Miroslav Bača & Petra Grd

• Tko si ti? 1:N

• Da li si onaj za kojeg se predstavljaš? 1:1

• Tko što radi i tko je za što zadužen

Sigurnost interneta 12 Miroslav Bača & Petra Grd

Sigurnost interneta 13 Miroslav Bača & Petra Grd

• Confidentiality (povjerljivost) - podatak je povjerljiv

• Integrity (integritet) - podatak ima integritet tako dugo

• Availability (raspoloživost) - podatak je raspoloživ kada

Sigurnost interneta 14 Miroslav Bača & Petra Grd

• Tajnost osigurava pristup točno određenim

• Razine tajnosti ovise o institucijama

Sigurnost interneta 15 Miroslav Bača & Petra Grd

• Siguran sustav mora rukovoditi kontinuitetom

• Integritet znači da sustav ne smije ugorziti

Sigurnost interneta 16 Miroslav Bača & Petra Grd

• Veliki propusti - maksimalna šteta

• Nužnost kvalitetnog organiziranja sigurnosti

• Definiranje potrebnih odgovornosti

• Temeljni koraci u cilju smanjenja mogućeg rizika

• Nužno je imenovati nositelje pojedinih aktivnosti kao i

• Davanje informacija trećoj strani

• Mogućnost iskorištavnja podataka

• Postupanje u slučaju outsorcinga - zaštita

Sigurnost interneta 18 Miroslav Bača & Petra Grd

• Prednost daju integritetu i nadzoru ispred povjerljivosti i

• Prednost daju povjerljivosti ispred dostupnosti

• Najvažniji su integritet i dostupnost

Sigurnost interneta 19 Miroslav Bača & Petra Grd

• svaka sila ili sredstvo koje može poništiti ili smanjiti

• potencijalni uzrok neželjenog događaja koji može imati za