Мегатренд универзитет, Београд

Факултет за пословну економију Ваљево

Бојан Тодоровић

БЕЗБЕДНОСТ ЕЛЕКТРОНСКОГ ПОСЛОВАЊА

И ТЕХНИКЕ ЗАШТИТЕ

ДИПЛОМСКИ РАД

Ваљево, 2013. година

 Мегатренд универзитет, Београд
Факултет за пословну економију Ваљево

Бојан Тодоровић

БЕЗБЕДНОСТ ЕЛЕКТРОНСКОГ ПОСЛОВАЊА

И ТЕХНИКЕ ЗАШТИТЕ

ДИПЛОМСКИ РАД

Предмет : Електронско пословање

Име и презиме ментора : проф. др Синиша Ранков
Име и презиме студента :
Број индекса :
Студијски програм : Основне академске студије пословне економије
Матични број :

Ваљево, септембар 2013. године

2
 САДРЖАЈ

1. Појам електронског пословања................................................................................................4

2. Принципи web-заснованог електронског пословања.............................................................5

3. Електронско пословање и инфраструктура заштите..............................................................6

4. Ризици електронског пословања..............................................................................................9

5. Безбедност електронског пословања.....................................................................................10

6. Криптографске технике...........................................................................................................12

7. Могуће претње информациониим системима.......................................................................17

7.1. Узроци и начини угрожавања информационих система..................................................18

8. Информациона безбедност у области пословања.................................................................20

9. Информационо-аналитичко обезбеђење пословања............................................................21

10. Нарушавање интегритета података (други слој OSI модела)............................................22

10.1. Напад и заштита на другом слоју оси модела..................................................................23

10.2. DHCP напад.........................................................................................................................23

11. Закључак.................................................................................................................................30

12. Литература..............................................................................................................................32

3
1. Појам електронског пословања

Електронско пословање, познатије као e-Business, мора бити дефинисано као одређени
трговински процес, базиран на аутоматизованом информационом систему, што се данас
најчешће реализује уз помоћ напредних web тенологија и све већим бројем расположивих
мрежних сервиса који генерално олакшавају све процесе који посредно и непосредно
опслужују електронско пословање. Методе електронског пословања омогућавају компанијама
повезивање њихових интерних и екстерних система обраде података још ефикасније и
флексиилније, у циљу веће затворености у односима са добављачима и пословним
партнерима и много боље задовољавање потреба њихових муштерија. У пракси, електронско
пословање је много више од електронске трговине (e-commerce). Електронско пословање
ставља акценат на функцијама које се реализују уз помоћ савремених електронских
достигнућа, док је електронска трговина део глобалне стратегије електронског пословања и
тежи да оствари приходе путем World Wide Web-a, односно Интернета како би побољшала
везе са клијентима и партнерима у циљу повећања ефикасности.

Електронско пословање у ширем смислу речи представља организацију пословања

фирме у мрежном окружењу као и организовање пословне комуникације и бригу о њима, док
се његов ужи смисао може односити на вођење послова на Интернету односно куповину и
продају. Америчка компанија ИБМ јесте компанија која је прва употребила израз
„Електронско пословање“ што је алудирало на пословање које се реализује применом
савремене електронске технологије. У то време овај израз се односио само на пословања у
сектору електронике док се данас овај израз употребљава када подразумевамо обављање
пословних процеса уз примену савремених електронских технологија, које су засноване на
симбиози телекомуникационих и информационих технологија. Савремене технологије
омогућавају слање великог броја информација у кратком временском периоду на велике
раздаљине што у ствари омогућава предузећима да ефикасније обављају своје свакодневне
задатке и буду конкурентнија на тржишту. У досадашњем периоду електронско пословање
доживело је посебну експанзију у малопродаји, издаваштву и финансијским услугама.
Предности електронског половања у односу на традиционално су значајне, везане су за
повећање квалитета и за снижење продајних цена, смањење времена изласка на тржиште као
и реализовање трансакција. Оно што је данас посебно популарно јесте развој електронских
партнерстава, базиран на заједничком наступу појединих фирми на електронском тржишту.

4
 Електронска трговина (e-commerce) јесте један подразумевани део електроског
пословања. Да би појам електонске трговине било могуће дефинисати треба се ослонити на
познавање појма трговине уопште. Реч трговина води порекло од енглеске речи commerce
која може означавати различите типове друштвених односа у смислу размене идеја, осећања
или мишљења, као и процес робноновчане размене и транспорт робе од места до места. Као
и у класичној трговини, и у електронској присутни су елементи: производ, место, маркетинг,
начин за пријем наруџбина, начин за пријем новца, испорука, могућност враћања производа,
гаранција и техничка подршка. За њих је карактеристично да у зависности од степена
развијености предузећа у електронском смислу, неки мање а неки више, имају препознатљив
традиционални карактер.

2. Принципи web - заснованог електронског пословања

Оно што првенствено интересује људе који претражују web јесу корисне
информације, посебно ако оне могу одговорити на њихова питања и испунити њихове
специфичне потребе. Такође их привлачи и могућност да добију неки поклон, да неку
вредну информацију добију бесплатно или да се бесплатно забаве, а то је често главни разлог
због кога ће посећивати неку Web презентацију. Такве Web презентације имају и већу шансу
да буду одабране у тематске каталоге и да буду добро оцењене у дискусионим групама и на
форумима.
Важни маркетиншки аспекти изградње Web презентације су:
 Прављењу Web-а мора претходити анализа интереса посетилаца, јер ће од
задовољења тог интереса зависити успешност Web презентације
 Web презентација замењује скупе телефонске позивне центре
 Web презентација, може да пружи персонализоване услуге, јер корисник може
одредити свој профил тј. своје специфичне интересе за информацијама
 Важно је и мотивисање посетилаца да поново посете Web презентацију
 Важно је и омогућити кориснику презентације повезаност са комплементарним
институцијама ради ефикасног завршетка дела посла
 Потребно је да буду доступне адресе предузећа из подручја исте делатности
 Комуникација корисника са предузећем треба да буде таква да корисник што
краће чека на одговор.

5
  Презентација треба да садржи и годишњи пословни резултат као и референтне листе
корисника
3. Електронско пословање и инфраструктура заштите

Електронско пословање (e-business) обухвата електронско банкарство (e-banking) и

електронску трговину (e-commerce). Електронско банкарство и електронска трговина се
међусобно тесно преплићу и представљају део савременог концепта економске сфере друшта
и света у целини.

Као посебна грана електронске трговине, све се више развија мобилна трговина (m-
kommerce) – трговина помоћу мобилних телефона. Електронско банкарство представља нови
начин реализације банкарских процеса чија је суштина у реализацији банкарских
трансакција помоћу рачунарских мрежа. У том смислу електронско банкарство је важна
компонента електронског пословања. Оно подразумева on-line информациону подршку (пре
свега електронске трговине), емисију дигиталног новца, електронска плаћања, депозитне
кредите, валутне и инвестиционе операције. На тржишту се среће неколико модела on-line
банкарског бизниса: Интернет одељења традиционалних банака, Интернет – банке, виртуелне
банке и електронски финансијски супермаркети.

Електронска трговина је најекономичнија за презентацију и пласман роба и услуга.

Типичне е-commerce шеме су B2B, B2C (business-to-business, business-to-customer) i B2E
(business-to-ethernet). Реч је о електронском пословању између предузећа, између предузећа и
корисника (клијената) и интеграцији интерног сегмента пословања како са другим
предузећима тако и са клијентима (B2B i B2C ecommerce шемама).

B2B представља пословање између предузећа, тј. размену производа, услуга и

информација са другим фирмама из окружења. B2B пословање је засновано на Интернету и
обухвата три фазе развоја: EDI (electronic data interchange) – електронску размену података,
основни B2B e-commerce (продаја производа компанија дистрибутерима) и електронски
маркетинг (eMarkets).
Електронски маркетинг (e-marketplaces) је нови облик on-line посредника који на
једном месту ефикасно поставља понуду и тражњу, пружајући купцима ниже трошкове
набавке уз могућност контакта са добављачима, а исто тако и добављачима ниже трошкове
продаје уз могућност контакта са новим купцима. B2C представља пословање између
предузећа и непосредних корисника (клијената).

6
 Као облици пословања (према неким ауторима у развоју B2C система забележено је 5
модела) сусрећу се :
 виртуелни трговински центар (VTC) и
 Интернет on-line аукција.

Виртуелни (електронски) трговински центар представља скуп две или више

електронских продавница, у којима се купцима нуде неки производи или услуге, уз које може
бити укључен и програм пратећих услуга или садржаја.
Оn-line аукције омогућаваку купцима надметање, а трговцима постизање максималне
цене. Осим тога свако може да понуди било какву робу и да на глобалном светком тржишту
нађе купца.

Појаве B2B i B2C облика пословања, донеле су са собом нове појмове (електронско
плаћање, електронски новац, дигитални новчаник, дигитални чек, платне картице итд.) и неке
нове делатности као што су интернет маркетинг, управљање односима са корисницима CRM
(customer relationship menagment) и рад call центара. Управљање односима са
корисницима у електронској трговини (e-commerce CRM - eCCRM) представља сложен скуп
пословних процеса и технологија управљања релацијама са постојећим и потенцијалним
корисницима и пословним партнерима, у маркетингу, продаји и подршци (преко и уз помоћ
свих расположивих комуникација). Иако је web технологија све више прихваћена као канал
техничке подршке, и даље се преко 70 % контаката реализује преко call центара.

Инфраструктура заштите у електронском пословању. Развој електронског

пословања заснован је на развоју Интернет технологије и примени криптографских
механизама. На њиховим основама развијају се финансијске и корпорацијске рачунарске
мреже базиране на TCP/IP протоколима. Информациона и свака друга безбедност
електронског пословања заснована је на три камена темељца:
 аутентикацији (идентификацији - представљању корисника),
 ауторизацији (корисник добија овлашћење да реализује одређене задатке) и
 заштити тајности (шифровању података).

Аутентикација се бави проблемом неовлашћеног приступа информационим

системима. Аутентикација корисника у дистрибуираним мрежама реализује се кроз два
модела: модел представљања (делегирања) и модел сервера. У првом моделу корисник се

7
представља серверу са базом података и на основу акредитива му је одобрен приступ. У
другом моделу, непосредан приступ серверу нема корисник, већ апликација. Као инструменти
користе се пароле, лозинке и средства биометријске идентификације.

Ауторизацијом се регулише ниво овлашћења корисника мреже. Ауторизација

омогућава одређеним корисницима или сервисима контролисани приступ ресурсима. Са
становишта сигурности је веома важно да су нови приступи ограничени на само
ауторизоване кориснике.

Заштита тајности података подразумева шифровање података у циљу спречавања

неовлашћеног приступа осетљивим информацијама. Заштита тајности се имплементира на
нивоу међусерверске комуникације и реализује се преко приватних виртуелних канала (VPN
– virtuel private network) или SSL (security socket layer) протокола.

Проблематику информационо – аналитичког обезбеђења бизниса регулише држава

било преко својих органа било правном регулативом рада недржавних система заштите
правног поретка и система безбедности (детективске, аналитичарске и друге агенције) као и
регулативом приступа "отвореним" информацијама. Овој проблематици припада и
регулисање рада професионалних удружења (нпр. адвокатска комора) која, између осталог,
контролишу професионалну етику својих чланова.
Проблематика информационог - аналитичког обезбеђења проистиче из схватања да је
доступност (открытостъ – отвореност) информација саставни део појма информционе
безбедности, односно сигурности друштва и појединаца да ниуком погледу нису "ускраћени"
за информације које им "припадају". Посматрано у економској сфери, информациона
отвореност доприноси ефикасности економије на тај начин што информационо – аналитичка
подршка доприноси да предузетништво располаже са адекватним проценама ризика и да
може доносити правилне одлуке о пословним потезима. Информациона отвореност у области
инвестиционих пројеката, повећава интерес страног улагања на рачун смањених системских
и специфичних инвестиционих ризика.

Питање информационе отворености је регулисано и међународним нормама –

документ о глобалном информационом друштву (споразум из Окинаве) и Препорука број Р
(81) 19 Комитета министара држава чланица Савета Европе - "О доступности информација
које се налазе на располагању у државним установама".

8
 Други аспект проблема информационог-аналитичког обезбеђења је инкорпорација
свеобухватних пословних информационих система (ПИС) у процес управљања пословањем.
ПИС-и треба да задовоље потребе топ-менаџмента за аналитичким, прогнозирајућим и
фактичким информацијама на основу којих је могуће донети правилне одлуке у стратегијској
оријентацији развоја фирме, а да при томе задовоље и потребе нижих нивоа управљања у
делокругу њихових надлежности. Проблематика информатизације и аутоматизације путем
ПИС оличена је у тзв. системима планирања корпорацијских ресурса ERP (Enterprise
Resource Рlanning).

4. Ризици електронског пословања

Е-пословање има много различитих типова ризика везаних за безбедност својих

пословних информација и информација о клијентима. Рачунарски вируси и хакери стално
покушавају да упадну у "online" компаније и украду идентитет корисника и финансијске
информације.
Иако је е-пословање може лако да се покрене и захтева доста мање новца за
покретање од традиционалног пословања, и у њему поред безбедносних ризика коју су
његова основна карактеристика постоје и друге врсте ризика.

Пословни ризик се односи на ризик у успешности обављања свакодневног пословања.

Ови ризици укључују инвентар, плате, режије или решавање проблема везаних за њих.
Већина предузећа у електронском пословању нема физичку локацију или складиште, тако да
морају да се ослањају на ланце снабдевања да би потрошачи добили робу. У сваком тренутку
посао им зависи од појединаца или других компанија које врше дистрибуцију робе, што
значајно повећава ризик. Пословни ризик се јавља и ако компанија није у могућности да купи
залихе и да их проследи у ланцу снабдевања брзо и ефикасно.

Систематски ризик је ризик компанија са целог тржишта е-пословања или сегмента

тржишта у којој компанија послује. Класичан пример системског ризика на тржишту е-
пословања је масовно пропадање "dotcom" предузећа у току 2000. и 2001. године. Већина е-
компанија је имала мали ток готовине и није била у стању да направи профит. Ове компаније
су при расту финансијске стабилности, створиле неодрживи економски балон који је пукао.
Иако се ова врста системског ризика не јавља често, већина тржишних сегмената тежи раду у
пословним циклусима, расте, постиже циљева и уговара нове послове. Власници и

9
предузетници који послују у е-пословању морају бити у стању да правилно процене свој
тржишни сегмент и направе одговарајући план за сваку фазу пословног циклуса.

Економске последице отказа или злоупотребе интернет технологије могу бити

директни финансијски губици као последица преваре, затим губљење вредних и поверљивих
информација, губљење послова због недоступности сервиса, неовлашћена употреба ресурса,
губљење пословног угледа и поверења клијената као и трошкови изазвани неизвесним
условима пословања. Ризици које са собом носи употреба електронске трговине могу се
избећи употребом одговарајућих безбедоносних мера.

Безбедносни сервиси генерално представљају скуп правила која се односе на све

активности организације у вези са безбедношћу. Свако предузеће треба да има
одговарајућу политику безбедности. Безбедносни сервиси, у конкретном тумачењу су делови
система који реализују активности адекватног штићења уколико се јаве безбедносне
претње (обично делују на захтев).

5. Безбедност електронског пословања

Однос између информационе безбедности (ИБ) и пословања има четири различита

аспекта.

10
 Области пресликавања односа информационе
безбедности и пословања (извор simlab.fon.bg.ac.rs )

Први се односи на процес прибављања пословних информација о конкурентима а

други на проблем чувања пословних информација у базама података. Економска страна ИБ –
цена «коштања» система организације заштите информација и «цена» губитака због
неадекватне заштите информација, као део аудита и процене стања ИБ, представља трећи
аспект тог односа. Као четврти аспект, је информационоаналитичко обезбеђење пословања.
Наиме, свака држава, у циљу сопственог напретка, мора створити оптималне услове у
погледу транспарентности одвијања економских процеса и спречавања бирократских
злоупотреба, нелојалне конкуренције и максималне обавештености свих учесника о стању на
тржишту.

Различите организације из различитих разлога треба да штите информације. За

банке је од пресудног значаја интегритет информација (неизменљивост новчаних
трансакција). За провајдере Интернет-услуга најважније су расположивост и поузданост
информација (доступност и поуздан рад кључних елемената система)1.

За државне и војне институције најважнија је поверљивост (могућност да

информација приступе само овлашћена лица) информација итд. Како се одлучити за избор
система заштите информација? Универзалан рецепт не постоји. Могуће је дати само неке
опште препоруке. Као прво, трошкови за обезбеђење заштите информација не смеју да буду
већи од величине губитака који могу настати услед напада (принцIP економичности). У
литератури се срећу различити подаци о томе колико средстава треба издвајати за ИБ (од 5 до
20%). Оно што је сигурно, то је чињеница да издаци за средства заштите информација расту
са развојем информационих технологија и да су у 2003.години достигли раст по годишњој
стопи од 2,8%.
ИБ, када је реч о бизнис-процесима, није нека егзотична дисциплина, већ део
пословања. Информациона технологија и ИБ пословање могу учунити крајње ефикасним,
али и довести га до пропасти. Као и све у пословању, и ИБ мора имати своју економску
рачуницу о потребним финансијским издацима за реализацију заштите информација. У
складу са тим су дефинисани неки од модела: упрошћени модел процене губитака, модел
1
"E-commerce and e-Bussines", Zorayda Ruth Adam, maj 2003

11
враћања инвестиција и модел математичке анализе ефективности система безбедности
Абалмазова.
За реализацију функције ИБ поред средстава потребни су и кадровски ресурси –
служба ИБ. У датом поднаслову, поред аспеката испољавања односа ИБ и пословања, дате су
основне поставке о организацији службе ИБ као и резултати неких испитивања о односу ИБ
и пословања.

6. Криптографске технике

Криптографске технике, или технике шифровања јесу технике које се користе у циљу
заштите протока података приликом реализација електронских трансакција. Елементи
криптогафске технике за заштиту имеђу осталих су: шифровање, дешифровање, кључ.
Криптографски алгоритми представљају математичке функције које се користе за шифровање
и/или дешифровање а могу бити ограничени алгоритми или алгоритми засновани на кључу.
Криптографски алгоритми засновани на кључу деле се на симетричне и асиметричне.
Симетрични користе исти тајни кључ за енкрипцију и декрипцију, док се асиметрични
базирају на коришћењу различитих кључева за енкрипцију и декрипцију и постоји један
јавни и један тајни кључ познат само једном од учесника у комуникацији. Постоје још и
хибридни присуп криптографији, криптографски кључеви и hash функције.

Основни криптографски аспекти савремених рачунарских TCP/IP мрежа, односно

електронског пословања су:
 инфраструктура система са јавним кључевима (PKI – public key infrastructure),
 технологија дигиталног потписа базирана на асиметричним шифарским системима и
 заштита тајности података применом симетричних шифарских система.

PKI систем представља најважнији аспект система електронског пословања, као и

савремених финансијских и корпорацијских рачунарских мрежа. PKI систем обезбеђује
поуздано окружење за реализацију четири основне функције заштите комерцијалних и
пословних трансакција - аутеничност страна у комуникацији, интегритет података,
немогућност накнадног порицања садржаја послатих података и заштиту тајности података.
Прве три функције реализују се на бази технологије дигиталног потписа применом
асиметричних криптографских система, док се функција заштите тајности реализује

12
применом симетричних криптографских система. Срце PKI система представља
Сертификационо тело (CA – certification authority) чија је основна функција поуздано
успостављање заштићеног дигиталног идентитета овлашћених учесника у датој рачунарској
мрежи.
Поменута функција се постиже применом дигиталног сертификата који једнозначно
повезује идентитет овлашћеног учесника са јавним кључем асиметричног шифарског
система. Аутентичност и једнозначност сваког дигиталног сертификата доказује се
дигиталним потписом сваког дигиталног сертификата од стране Сертификационог тела. На
тај начин сертификационо тело постаје трећа страна од поверења за безбедну комуникацију
било која два овлашћена учесника у датој рачунарској мрежи.
Историјски постоји више различитих начина за примену технологије дигиталног
потписа. У последње време скоро искључиво се користи технологија са стандардом PKSC# 1
(public key criptograpfic standards). Према том стандарду, технологија дигиталног потписа се
састоји од две операције: дигиталног потписа и провере дигиталног потписа. Садржај који
треба потписати се прво редукује (алгоритми типа MD5 или SHA-1), да би се затим
шифровао асиметричним алгоритмом (нпр. алгоритмом RSA) и то операцијом тајног кључа
корисника. Операција провере дигиталног потписа се састоји од раздвајања поруке на
податке који се преносе и на сам дигитални потпис.

RSA је алгоритам за асиметричну криптографију, првенствено намењен шифровању

података али се данас користи и у системима електронског потписа. RSA данас представља
индустријски стандард у области асиметичне криптографије и заштити података, тако да је
широко примењен у многим сигурносним протоколима и системи електронског пословања.
Настао је 1977. на МИТ универзитету. Творци овог алгоритма су Роналд Ривест, Леонард
Ејдлман и Ади Шамир, где RSA представља акроним њихових презимена. Клифорд Кокс,
британски математичар који је радећи за једну владину агенцију за комуникације, још је 1973.
године објавио у интерним документима потпуно еквивалентни систем за асиметричну
криптографију, али због поверљивости тих докумената, то је тек објављено 1997.

У RSA алгоритму кључну улогу имају велики прости бројеви. Сигурност RSA заснива
се на сложености факторизације великих бројева. Сматра се да је одређивање оригиналне
поруке на основу шифрата и кључа за шифровање еквивалентно факторизацији производа
два велика проста броја.

Пример поступка генерисања кључа за RSA алгоритам

13
  Генерисаћемо случајно два велика проста броја и при чему .
 Израчунаћемо следеће производе: .

 затим Ојлерову функцију .

 Одабере се целобројна вредност при чему .

 Израчуна се при чему .

 Јавни кључ је пар . Приватни кључ је пар .

Власник тајног кључа d, слободно може да објави бројеве n и e, тако да свако ко жели да му
упути тајну поруку може то и учинити, а њен садржај може читати само власник приватног
кључа, док остали добијају бесмислен текст. 2

Технологија електронског потписа. Eлектронски потпис се на овом степену

технолошког развоја формира на бази примене асиметричних криптографских алгоритама и
технологије дигиталног потписа. Квалификовани електронски потпис се формира у складу са
препоруком PKCS#1 (Public Key Cryptographic Standard), а дужина модулуса у асиметричном
криптографском алгоритму мора бити минимално 1.024 bita. PKCS#1 стандард описује
методе шифровања података коришћењем RSA асиметричног алгоритма и најчешће се
користи за конструкцију дигиталне коверте и дигиталног потписа.

Квалификовани електронски потпис мора да задовољи следеће услове :

 искључиво је повезан са потписником,
 недвосмислено идентификује потписника,
 настаје кошћењем средстава којима потписник може самостално да управља и
која су искључиво под његовим надзором,
 директно је повезан са подацима на које се односи, и то на начин који
недвосмислено омогућава увид у било коју измену изворних података,
 формиран је средствима за формирање квлификованог електронског потписа,
 проверава се на основу квалификованог електронског сертификата потписника.

Квалификовани електронски потпис у односу на податке у електронском облику има

исто правно дејство и доказну снагу као и својеручни потпис, односно својеручни потпис и
печат, у односу на податке у папирном облику.

2
"Мала школа криптографије", мр Бранислав Видаковић

14
 За реализацију квалификованог електронског потписа неопходно је користити
средства за формирање квалификованог електронског потписа и имају квалификовани
електронски сертификат који издаје сертификационо тело које испуњава одговарајуће услови
из Закона о електронском потпису.

Дигитални потпис се дешифрује помоћу јавног кључа пошиљаоца. Овим поступком

добијају се две hash функције на основу којих се закључује о аутентичности пошиљаоца,
интегритету пренетих података и о непорецивости послате поруке.
Успустављањем PKI система у рачунарској мрежи, могуће је реализовати безбедно
окружење за реализацију различитих апликација (заштићени web сервиси, заштићени e-mail,
заштићени FTP, безбедно управљање документацијом, безбедна функција контроле приступа,
безбедно плаћање и формирање заштићених сесија – виртуелних приватних канала VPN).

Инфраструктура заштите информација у електронском пословању

(извор megatrend-online.com )

У електронском пословању криптографске функције се реализују и помоћу

криптографског хардвера – смарт картица. Реч је о микропроцесорки базираном медијуму
који поседује јавни и PIN-кодом (personal identification number), заштићени део меморије. На
њима се могу чувати и генерисати криптографски кључеви и сви лични подаци што их чини
погодним за безбедно пословање.

15
 Неизоставни процес заступљен приликом реализовања електронског пословања је и
процес утврђивања идентитета особе или интегритета одређене информације познатији као
аутентификација. Особа се идентификује дигиталним сертификатом. Код поруке,
аутентификација укључује утврђивање њеног извора, да ли можда није мењана или
замењена у преносу. Такође се пролази и кроз постпак ауторизације који у ствари врши
испитивање да ли је кориснику или опреми дозвољен приступ рачунару или подацима.

Дигитални потпис представља дигиталну верзију својеручног потписа, служи сем да

идентификује аутора порука и да докаже да порука приликом преноса комуникационим
каналом није измењена. За креирање дигиталних потписа користе се hash функције.
Идентификација пошиљаоца доказује се на основу саме могућности декрипције
енкриптоване hash вредности, јавним кључем за који се зна да припада пошиљаоцу (путем
дигиталних сертификата).

Дигитални сертификат је електронска датотека која јединствено идентификује

појединце и web сајтове на интернету и омогућује сигурну поверљиву комуникацију.
Потписник дигиталног сертификата је сигурна трећа страна, то су тела специјализована за
бригу о диг.сертификатима, издају их, креирају и потписују и учествују у њиховој
дистрибуцији. Данас се користи више врста дигиталних сертификата: сертификати сајтова,
персонални сертификати, CA сертификати и сертификати софтверских издавача.

SSL (secure socet layer) протокол је апликативни сигурносни протокол, који служи за
сигуран пренос података преко webа а изворно је развијен од стране Netscape
Communications. SSL омогућује две битне ствари: аутентификацију и енкрипцију. Омогућује
два степена заштите: 40-битну или 128-битну што одговара дужини сесијског кључа.
Протокол TLS je верзија SSL протокола 3.1 а WTLS је верзија тог протокола за WAP
апликације.

SSH (Secure Shell) је протокол који обебеђује аутентификацију,енкрипцију и

интегритет података. SSH имплементације пружају следеће могућности: сигуран командни
схелл, сигуран пренос датотека и удаљени приступ различитим TCP/IP апликацијама преко
сигурног тунела (или прослеђивање портова).

Виртуелне приватне мреже (VPN) или енкриптовани тунели, могу да омогуће

сигурну комуникацију за повезивање две физички одвојене мреже преко интернета. Могу да

16
размењују саобраћај као да се ради о два сегмента исте мреже. VPN се користе када је
потребно повезати удаљене локације на већим растојањима, па такво повезивање постане
скупо. Најбоље је користити исти ISP систем.

Такође, не смемо изоставити процес верификације који представља процес

испитивања поруке или интегритета дигиталног потписа извођењем hash функције на страни
пошиљаоца и примаоца поруке и упоређивање резултата.

Безбедност комуникација означава заштиту информација у току преноса из једног

система у други. Безбедност у рачунарима означава заштиту информација унутар
рачунара или система – она обухвата безбедност оперативног система и софтвера
за манипулацију базама података. Мере безбедности комуникација и безбедности у
рачунарима се комбинују са другим мерама (физичко обезбеђење, безбедност особља,
администрације, медијума) ради остварења поменутих циљева.3

7. Могуће претње информационим системима

Сваки информациони систем неке компаније који је базиран на електронском

пословању изложен је потенцијалним претњама од стране спољашњих злонамерних
нападача. Потенцијалне претње једном информационом систему који садржи подсистем за
електронску трговину могу да буду неке од наведених:

 Инфилтрација у систем – Нападач приступа систему и у стању је да модификује

датотеке, открива поверљиве информације и користи ресурсе система на
нелегитиман начин. У општем случају, инфилтрација се реализује тако што се
нападач представља као овлашћени корисник или коришћењем слабости система.

 Суплантација – Нападач оставља у систему неки програм који ће му омогућити да

олакша нападе у будућности. Једна од врста суплантације је употреба "тројанског
коња" – то је практично непожељни софтвер који се кориснику представља као
нормалан, али који приликом извршења открива поверљиве информације нападачу.

3
Зенковский А.К. "Защита информации в компьютерных системах – слагаемые успеха"

17
  Промена података на комуникационој линији – Нападач може да промени
информацију која се преноси кроз комуникациону мрежу. На пример, он може
намерно да мења податке финансијске природе за време њиховог преношења кроз
комуникациони канал, или да се представи као овлашћени сервер који од
овлашћеног корисника захтева поверљиву информацију.

 Прислушкивање – Нападач може да приступи поверљивим информацијама (нпр.

лозинки за приступ систему) простим прислушкивањем протока информација у
комуникационој мрежи. Информација добијена на овај начин може се искористити
ради олакшавања других врста напада.

 Прекорачење овлашћења – Лице овлашћено за коришћење система користи га на

неовлашћени начин. То је тип претње коју остварују како нападачи изнутра
("insiders") тако и нападачи споља. Нападачи изнутра могу да злоупотребљавају
систем ради стицања разних повластица. Нападачи споља могу да се убаце у систем
преко налога са мањим овлашћењима и наставити са инфилтрацијом у систем
користећи такав приступ ради неовлашћеног проширења корисничких права.

 Одбијање сервиса – Због честих захтева за извршење сложених задатака издатих

од стране неовлашћених корисника система, сервиси система могу постати
недоступни овлашћеним корисницима.

 Негација трансакције – После извршене трансакције, једна од страна може да

негира да се трансакција догодила. Иако овакав догађај може да наступи услед
грешке, он увек производи конфликте који се не могу увек лако решити.

7.1. Узроци и начини угрожавања информационих система

Рачунарске мреже Интернет типа представљају критичну тачку безбедности дате

организације са становишта осетљивости информација које се у систему преносе. У свету
постоји велики број различитих анализа опасности коришћења рачунарских мрежа на бази
Интернет технологија изграђених од стране релевантних институција.

18
 Према прегледу америчког института за заштиту рачунара (Computer Security Institute)
који је обухватао велике корпорације, 70% разматраних субјеката је пријавило детектоване
неауторизоване приступе у својим мрежама у протеклој години. Према истој анализи, у
претходних 5 година, 66 разматраних субјеката је пријавило укупан губитак произведен
крађом осетљивих корпорацијских информација у износу од $66.708.000,00 а 54 разматрана
субјекта су пријавила укупан губитак произведен финансијском проневером у износу од
$53.996.000,00.
Са друге стране, институт је обавио истраживања која су резултовала у дефинисању
три листе основних грешака које омогућавају различите врсте напада на мреже Интернет
типа и појединачне радне странице у мрежи.

Прва листа се односи на крајње кориснике и дефинише следећих пет највећих

безбедносних грешака :
 отварање незахтеваног e-mail (attachment) прилога добијеног од неповерљивог извора,
 пропуст да се инсталирају безбедносни patch-evi стандардних интернет програмских
пакета као и нових дефиниција антивирусних програма,
 преузимање и инсталирање игара и screen saver-a од неповерљивих извора,
 некреирање и нетестирање back-up података и
 коришћење модема док је рачунар повезан на локалну (LAN) мрежу.

Друга листа се односи на корпорацијски менаџмент и дефинише следеће безбедносне

грешке које утичу на слабости корпорацијске рачунарске мреже:
 необезбеђење одговорајућег броја службеника који треба да успоставе и одржавају
систем заштите у оквиру корпорације,
 примена само организационих видова заштите без примене механизама заштите
информација,
 решавање само појединачних безбедносних проблема без примене мера и стварања
услова за креирање комплетног система заштите који би осигурао решење најширег
спектра безбедносних проблема,
 коришћење само мрежних баријера у корпорацијској рачунарској мрежи,
 несхватање вредности интелектуалног власништва и пословне репутације фирме,
 примена краткотрајних решења за појединачне случајеве што доводи до брзог
умножавања бетбедносних проблема,
 игнорисање безбедносних проблема очекујући да се они реше сами од себе.

19
 Трећа листа се односи на информатичке професионалце и дефинише следеће
безбедносне грешке :
 прикључивање рачунарског система на Интернет без претходне примене свих
неопходних безбедносних мера да се то учини,
 прикључивање тест и развојних система на интернет са default лозинкама,
 пропуст да се систем ажурира са решењима неких безбедносних проблема,
 коришћење некриптованих протокола за управљање системима, рутерима, firewall-
ovima, и PKI инфраструктуром,
 давање корисницима лозинки преко телефона и њихово мењање без претходне
аутентикације особе која захтева измену,
 пропуст при одржавању и тестирању процедуре back-up система,
 коришћење непотребних интернет сервиса,
 примена мрежних баријера са правилима која не осигуравају безбедан проток
долазећег и одлазећег саобраћаја,
 пропуст у имплементацији и ажурирању софтверског пакета за детекцију вируса ,
 пропуст у едеукацији корисника у односу на то шта је потребно учинити када се уочи
потенцијални безбедносни проблем.

8. Информациона безбедност у области пословања

Када је реч о прибављању економских информација, срећу се различити термини:

конкурентско извиђање (competitive intelligence), бизнис извиђање, комерцијално извиђање,
пословно извиђање и индустријска шпијунажа. Основна разлика међу њима је да ли се
користе законским (конкурентско извиђање) или незаконским (индустријска шпијунажа)
средствима.
Све врсте извиђања основно упориште имају у легитимности (етичности), т.ј.
прибављању информација само законским и етичким методама (проспекти, објављени
извештаји, радови из стручне литературе, предавања, организоване посете, размена
литературе, различити облици пословне сарадње итд.).
За разлику од конкурентског извиђања, индустријска шпијунажа је добијање
информација или података (било законитим или незаконитим путем) о конкуренту из области

20
научног истраживања, производње са најновијим технологијама као и персоналних података
руководећих људи (са циљем њихове злоупотребе).

Поред термина извиђање, односно обавештајна делатност што је ближе оригиналном

изразу – intelligence, у употреби је и термин контраизвиђање. Контраизвиђање служи за
заштиту и обезбеђење безбедности привредних субјеката од деловања конкурентског
извиђања и обично га извршавају припадници службе безбедности.
Обавештајна делатност (извиђање) је намењена за прибављање стратегијске (тактичке
или конкурентске) предности над потенцијалним противником (конкурентом), сазнавање
могућих ризика (опасности) или могућности и управљање њима.
Основни задатак конкурентског извиђања је обезбеђење стратегијског менаџмента
фирме и њеног генералног стратегијског маркетинга. Прибављене информације омогућавају
доношење најважнијих одлука и решења у погледну развоја и будућности фирми. Овако
схваћено конкурентског извиђање обављају експерти бизниса (за маркетинг, за планирање, за
менаџмент итд.). Граница између конкурентског извиђања и индустријске шпијунаже је
веома танка.

Индуструјска шпијунажа се организује на државном нивоу. Као једна од

најугруженијих земаља, када је реч о индустријској шпијунажи, САД су 1996. године донеле
закон о индустријској шпијунажи. Непосредан повод је био извештај начелника федералног
бироа за истраживање (ФБИ), по коме је у 1995-те подигнуто 700 оптужница за шпијунажу
(поређења ради 1994-те из сличних разлога подигнуто је 400 оптужница).
Индустријска шпијунажа је проглашена за једну од претњи (ризика) за америчку
економију. Према извештају Едвина Фридмана (објављеном у Public Administration Review,
1995.год.), агента ФБИ и асистента на факултету криминалног права при министарству за
друштвено управљање (Њујорк), индустријска шпијунажа је те године нанела штету
америчкој економији од 25 до 100 милијарди долара.

9. Информационо-аналитичко обезбеђење пословања

Сви аспекти значаја ИБ у сфери економског пословања често нису видљиви на први
поглед. Наиме, у складу са некадашњим схватањима под ИБ се обично третира само заштита
информација пренебрегавајући чињеницу да је појам ИБ шири појам који подразумева и

21
другу страну медаље, а то је доступност или отвоеност информација за субјекте којима је она
намењена.
Успешано пословања, као и било која друга делатност, је незамислив без
информационо-аналитичког обезбеђења. Под појмом информационо - аналитичко обезбеђење
подразумева се доступност информација свим привредним субјектима под једнаким
условима чиме се спречава нелојална конкуренција и, финансијским добитком мотивисано,
договарање учесника, пре свега, у набавкама. Информационо-аналитичко обезбеђење
схваћено као сигурност у доступности свим релевантним информацијама потребним за
успешно пословање није само у интересу бизниса, већ и државе јер је успешно половање
привредних субјеката гарант непретка целог друштва па самим тим и појединца.

10. Нарушавање интегритета података (други слој ОСИ модела)

Заштита на другом слоју ОСИ модела, је од изузетног значаја и нипошто не сме бити
занемарена, јер без те заштите би се могло рећи да заштита уопште ни не постоји. Не вреди
много што је дата компанија уложила новац и људске ресурсе у имплементацију паметних
картица за аутентификацију на мрежу, имплементацију IPSec VPN инфраструктуре за
удаљени приступ, добар механизам права приступа базама података и корисничким
документима и сл., ако та заштита није свеобухватна и није имплементирана на свим ОСИ
слојевима.

Треба напоменути да сви напади на другом ОСИ слоју подразумевају да нападач има
локални приступ мрежи, јер ови напади не прелазе преко рутера. То могу бити запослени који
у компанији обављају неке не-ИТ послове, а бивају плаћени од стране конкуренције да
шпијунирају дату компанију и сл. Ти корисници су хладно или ватрено оружје заменили
рачунарима и софтвером, а крајњи циљ је исти: нанети другоме штету и/или остварити добит.
Ови напади имају различите циљеве, од изазова или надметања хакера појединаца или
организација, преко настојања да се дође до пословних тајни које се могу искористити од
стране конкуренције, па све до напада чији је једини циљ уништење података.

10.1. Напад и заштита на другом слоју оси модела

22
 Најзначајнији и најчешће коришћени напади који, у потпуности или једним својим
делом, функционишу на другом слоју ОСИ референтног модела (или механизам заштите који
може да их спречи функционише на другом ОСИ слоју) су:
 DHCP Attack
 STP Attack
 ARP Cache Poisoning
 CAM Table Flooding
 VLAN Hopping

Због изузетно велике обимности материје, у овоме раду ће бити детаљно презентовани
само неки од поменутих напада и биће детаљно објашњен принцип њиховог функционисања,
као и неопходне мере заштите које морају да се примене да би се исти напади спречили и на
тај начин спречило цурење информација, омогућен несметан рад запослених, сачувао углед
компаније и сл. Ако би се поклонила пажња свим нападима и мерама заштите од истих, онда
би рад био исувише обиман или би се само површно обратила пажња на сваки од њих.

10.2. DHCP напад

DHCP (engl. Dynamic Host Configuration Protocol) је протокол који се користи за

динамичку доделу IP параметара радним станицама у рачунарским мрежама. Ти параметри
су IP адреса, мрежна маска, подразумевајући рутер, име домена, DNS сервер и др. Иако су
већина тих параметара параметри трећег ОСИ слоја, сам DHCP напад се одвија једним
својим делом на другом слоју ОСИ модела, а механизми заштите који могу да га спрече су
такође механизми другог ОСИ слоја. ПринцIP функционисања протокола приказан је на
слици.

23
 DHCP процес (извор simlab.fon.bg.ac.rs )

DHCP протокол може бити злоупотребљен за примену две врсте напада на

корпорацијску рачунарску мрежу. Први облик напада је ускраћивање сервиса (енгл. Denial of
Service – DOS), а други се користи за прислушкивање саобраћаја преусмеравањем истог
преко нападачеве радне станице (енгл. Man in the Middle).

Такође, је честа и комбинација ова два напада – нападач прво испразни IP адресни
опсег предвиђен за доделу адреса корисницима, затим убацивањем лажног DHCP сервера,
клијентима додељује лажне параметре и на тај начин извршава Man in the Middle Attack.4

Први начин DHCP напада се одвија тако што нападач континуирано захтева од DHCP
сервера IP параметре све док не испразни комплетан адресни опсег за који је дати DHCP
сервер конфигурисан. Тај адресни опсег је најчешће једна Ц класа IP адреса, која се састоји
од 254 IP адресе које може да додели клијентима. Најчешће је Ц класа, без обзира да ли се
ради о малој фирми са неколико десетина рачунара или великој корпорацији чију рачунарску
мрежу сачињава неколико хиљада радних станица и сервера. Јер у случају великог броја
рачунара дате компаније, због повећања перформанси смањењем броадцаст домена, мрежа ће

4
Ирина Муравъева, "Новый взгляд на службу информационной безопасности компании"

24
најчешће бити сегментирана неким Л3 уређајем као што је Л3 свич или рутер и на тај начин
ниједан од сегмената неће имати потребу за већим бројем IP адреса него што је једна Ц класа.

Дакле, напад се одвија тако што нападач „исцрпи“ DHCP сервер, мењајући своју
изворишну MAC адресу и сваки пут од DHCP сервера тражи IP параметре подмећући му
другу MAC адресу, а све док сервер не подели све расположиве адресе. Ово је изводљиво без
обира на то колико IP адреса DHCP сервер има на располагању, тј. без обзира да ли се ради о
А, Б, Ц класи или некој подкласи која се добија „субнет-овањем“ неке од поменутих. Један од
алата за извођење оваквог напада се може наћи на: http://packetstormsecurity.org/DoS/DHCP
Gobbler.tag.gz.

Алати који су коришћени у лабораторијским условима за израду овог рада су:

„Yersinia“ и „DHCPH Flooder“. Функцију DHCP сервера је имао Windows Server 2003
Standard Edition, а од мрежне опреме су коришћени Л2/Л3 свичеви „ Cisco Catalyst 2960 и
3550“. „DHCPH Flooder“ је приликом тестирања, сваке секунде узимао по једну IP адресу из
опсега, размењујући са сервером сва четири типа DHCP пакета неопходних за комплетирање
DHCP процеса (discover, offer, request, ack), док је „ Yersinia “ адресни опсег од 200 IP адреса
успела да испразни за 3 секунде, с тим да је приликом тог напада вршена размена само прва
два типа DHCP пакета (discover, offer).
На овај начин ће DHCP сервер остати без адреса и неће моћи да адресира легитимне
радне станице у локалној рачунарској мрежи, које због тога неће моћи да обављају своју
функцију.

Други начин напада коришћењем DHCP сервера је мало сложенији и може да се

користити за прислушкивање саобраћаја у мрежи. Нападач конфигурише и пушта у
продукцију DHCP сервер на својој радној станици или лап-топ рачунару. Тај DHCP сервер се
надмеће са легитимним DHCP сервером приликом доделе IP параметара клијентима (или
прво уради DoS напад на легитимни DHCP сервер(е),а затим он остаје једини DHCP сервер у
мрежи). Клијент ће да прихвати IP параметре од DHCP сервера који му први одговори.
Међутим параметри које додељује лажни DHCP сервер нису исти као они које додељује
легитимни. Нападач најчешће лажира поља DNS сервера и подразумевајућег рутера (енгл.
Default Gateway). Лажирањем ових параметара, нападач поставља свој PC као
подразумевајући рутер или DNS сервер и сав саобраћај који нападнуте радне станице
размењују са спољним светом или другим виртуелним лановима – VLAN-овима се одвија
преко нападачеве радне станице. Још је неопходно да нападач покрене неки анализатор

25
мрежног саобраћаја као што је Етхереал и да прислушкује саобраћај ишчекујући неко
корисничко име и лозинку послату преко мреже у неенкриптованом облику, као што то раде
небезбедни протоколи: Телнет, FTP, HTTP, POP3 и др. У окружењу где се користи терминал
сервер и web интерфејс за приступ апликација, могуће је у лажном DNS-у лажирати адресу
web интерфејса, подесити га да уместо TCP порта 443 користи TCP порт 80 – ако би се овакав
напад темпирао у времену између 7:55 и 8:05 у току једног радног дана, нападач би могао да
прикупи неколико стотина корисничких имена и лозинки, јер је у том периоду највећа
фреквенција логовања корисника.

DHCP DoS напад може да се изведе на два начина од којих је један старијег, а други
новијег датума и значајно софистициранији, те је и неопходно имплементирати и додатни
софистициранији механизам заштите. Да би објашњавање принципа напада и механизма
заштите било могуће добро објаснити, неопходна је следећа слика, која приказује изглед
DHCP пакета.

Формат DHCP пакета (извор znanje.org )

Када се говори о DHCP нападу, онда је кључно поље у DHCP пакету, на које треба
обратити пажњу, поље „Client Hardware Address“. Први и мање софистициран DHCP DoS
напад функционише тако што нападач ради MAC Spoofing – рандомизујући своју MAC
адресу, затим сваку од њих уписује у поље „Client Hardware Address“ и исту ту MAC адресу
уписује у поље „Source MAC“ у заглављу Ethernet фрејма. На овај начин нападач генерише
велику (довољну) количину DHCP Request пакета које bradcast-ује на мрежни сегмент и тако

26
заузима све IP адресе које дати DHCP сервер има на располагању. Приликом израде овог
рада, за ову демонстрацију, је коришћен Линукс алат „DHCP H Flooder“.
Анализатор мрежног саобраћаја „Wireshark“ је ухватио мрежни саобраћај у коме су
MAC адреса у ЦХА пољу DHCP пакета и MAC адреса у заглављу Етхернет фрејма
идентичне. Алат који је коришћен је „Yersinia“ коришћена са MAC Spoofing-ом: Механизам
који је довољан да би се спречио овај тип DHCP DoS напада је „Port Security“, који
подржавају сви водећи произвођачи мрежне опреме. Треба напоменути да овај механизам
није подразумевајуће имплементиран на свичевима, већ да мрежни инжењери и
администратори, задужени за безбедност, морају да знају за могуће Л2 нападе и да познају
које од њих и на који начин може да спречи „Port Security“. Сама имплементација је
прилично једноставна и на Cisco свичевима се реализује помоћу неколико команди,
приказаних на слици.

Port Security (извор znanje.org )

На овај начин ће порт на свичу, на који је нападач повезан, бити аутоматски угашен
након што се на њему појави више од 2 MAC адресе (максималан број MAC адреса је могао
бити постављен да дозволи само једну MAC адресу, али у окружењу где се користи IP
телефонија и где је IP телефон повезан на свич, а радна станица на мрежу повезана преко IP
телефона – на датоме порту на свичу ће се појавити 2 MAC адресе) и тиме потенцијални
напад спречен. Да би напад могао успешно да се изврши, нападач би морао моћи генерисати
знатно већи број MAC адреса и DHCP Request пакета (бар неколико десетина или стотина).
Постоји неколико могућих реакција које ће свич да примени у случају прекорачења
дозвољеног броја MAC адреса на датоме порту и оне су:

3550(config-if-range)#switchport port-security violation ?

protect Security violation protect mode

27
 restrict Security violation restrict mode
shutdown Security violation shutdown mode

„Shutdown“ датог порта захтева каснију администрацију у виду поновног активирања

датог порта на свичу, али с друге стране дати корисник (потенцијални нападач) ће морати сам
да пријави да му нешто није у реду са мрежном конекцијом – а то ће администратору
задуженом за безбедност рачунарских комуникација скренути пажњу и усмерити га да
додатно испита узроке нарушавања постављених безбедносних правила.
Други тип DHCP DoS напада је новијег датума и направљен је да би избегао „Port
Security“ који је евентуално подешен на мрежним свичевима. Напад функционише тако што
нападач рандомизује поље „Client Hardware Address“ у DHCP Request пакету, али не ради
MAC Spoofing на нивоу Ethernet фрејма, већ у поље „Source MAC“ у фрејму увек уписује
своју стварну MAC адресу. На овај начин нападач празни DHCP опсег датога сервера, јер
DHCP сервер проверава само поље „Client Hardware Address“ у DHCP Request пакету и за ту
MAC адресу везује додељену IP адресу. Овде је такође коришћена „Yersinia“, али без
укљученог MAC споофинг-а. Анализатор мрежног саобраћаја показује различите MAC
адресе у пољу CHA DHCP пакета и у пољу Source MAC у заглављу Ethernet фрејма.
Тестирање приликом израде овога рада је вршено на DHCP серверу подигнутом на
Windows Serveru 2003 Standard Edition. Могуће је да постоје имплементације DHCP сервера
које врше поређење поља „Client Hardware Address“ из DHCP пакета и поља „Source MAC“
из заглавља Етхернет фрејма – и на тај начин спречавају овакав вид напада.
Механизам заштите од оваквог начина DHCP напада, који је патентирала компанија
„Cisco Systems“ се назива „DHCP Snooping“. Две најзначајније ствари које овај механизам
уводи су: „deep DHCP packet inspection“ и „trusted“ и „untrusted“ портови на свичу. Прва од
њих подразумева да свич „погледа“ у DHCP пакет и направи поређење MAC адресе у пољу
„Client Hardware Address“ са MAC адресом у заглављу Ethernet фрејма. Уколико се ове две
MAC адресе разликују, то указује да је потенцијални DHCP напад у току и свич ће да одбаци
такве пакете или да угаси дати порт и на тај начин спречити DHCP DoS напад.
Други појавни облик DHCP напада „DHCP Man in the Middle Attack“, чији циљ није
само да спречи рад легитимних корисника у датој рачунарској мрежи, већ да се искористи за
прикупљање информација (првенствено корисничких имена и лозинки, а затим других
информација које су од значаја нападачу или конкуренцији дате компаније која га је
евентуално ангажовала) не може да се спречи коришћењем раније поменутог механизма „Port
Security“, јер се лажни DHCP сервер увек јавља са једне MAC адресе. Овакав напад може да
се изводи сам или у комбинацији са DHCP DoS нападом, тако што нападач прво онеспособи

28
постојеће DHCP сервере у мрежи, а затим подигне лазни DHCP сервер који ће да додељује
параметре DHCP клијентима.
Механизам заштите од оваквог типа DHCP напада, који омогућава „DHCP Snooping“
се омогућава увођењем два типа портова на свичевима: „trusted“ и „untrusted“. Сви портови
на свим свичевима у мрежи, на које су повезане радне станице је неопходно дефинисати као
„untrusted“ (што је и подразумевајућа вредност приликом имплементирања „DHCP Snooping-
а“). С обзиром да DHCP клијент нема потребе да шаље „DHCP Offer“ и „DHCP Ack“ пакете
(то су unicast пакети које шаље искључиво DHCP сервер) DHCP Snooping онемогућава
долазак овог типа DHCP пакета преко „untrusted“ порта. Овакви типови DHCP пакета су
дозвољени само са „trusted“ портова које је мрежни администратор дефинисао као „trusted“
портове, јер зна да су на њих повезани легитимни DHCP сервери.
Такође се односи и на trunk портове. Дакле, види се да само један од два поменута
механизма заштите није довољан, јер је показано да може да се заобиђе и један и други. Али
имплементацијом оба поменута механизма заштите: „Port Security“ и „DHCP Snooping“ се у
потпуности може избећи „DHCP Denial of Services“ и „DHCP Man in the Middle Attack“.
Важно је напоменути да је до пре пар година за заштиту од DHCP напада био довољан само
„Port Security“, али појавом новијих алата као што је „Yersinia“ уведен је софистициранији
начин DHCP напада који се заснива на рандомизацији „Client Hardware Address“ поља у
DHCP пакету. Поента је – оно што се данас сматра довољном заштитом од неког типа напада
не мора да значи да ће и „сутра“ бити довољно да дату рачунарску мрежу заштити. Стално се
откривају нови пропусти у протоколима и развијају алати које те пропусте знају да
искористе.

29
 11. Закључак

Развој Интернет технологија имамо свуда у свету, па је тако и нашој земљи отворена
могућност да се интегрише у већ постојеће или новостворене системе електронског
пословања. То је стварно комплексан процес који захтева ангажовање стручњака из
различитих области и знатне новчане инвестиције. Да би се електронско пословање могло
развијати, потребно је испунити неке технолошке претпоставке. Пре свега је потребно
располагати информатичком магистралом тј. инфраструктуром задовољавајућег
капацитета. Да би се осигурала компатибилност уређаја и метода које се користе у
електронском пословању, потребно је стандардизовати све аспекте рада мреже, од стандарда
видео дистрибуције до протокола за рад у мрежи и пружања мрежних услуга, компресије
различитих облика мултимедијалних докумената и сл.

Осим технолошких предуслова потребно је остварити и унапредити и законске

претпоставке које ће омогућити несметан развој електронског пословања, заштиту
ауторских права и приватности и осигурати универзални приступ мрежи и адекватну
политику одређивања цена за приступ мрежи и коришћење информација.

Међу најважнијим разлозима за оптимистичка предвиђања брзог развоја електронског

пословања су:
- изванредно брз технолошки развој,
- развој нових сервиса и пословних модела,
- развој националних и међународних стандарда и водича за електронско пословање.

У условима савременог тржишта, пословни успех и економска безбедност

незамисливи су без информационе безбедности. Информације и информациони ресурси
представљају материјална добра и због тога је заштита информација неодвојиви део
пословања. У пословном свету неписано правило је да је информација један од најважнијих
извора напретка било које фирме. Различите организације из различитих разлога треба да
штите информације. Информациона безбедност се рефлектује на пословање у четири
различита вида: као прибављање пословних информација путем конкурентског извиђања и
индустријске шпијунаже, кроз управљање животним циклусом информација – чување база
података, кроз различите облике електронског пословања и кроз информационо-аналитичко
обезбеђење пословања.

30
 Проблем заштите информација није питање техничких, већ управљачких
(пословодних) структура и расположивих финансијских средстава. Трошкови за обезбеђење
заштите информација не смеју да буду већи од величине губитака који могу настати услед
напада. Савремени приступ организацији заштите информација заснован је на концепту
управљања ризиком.

Лоцирање сарадника или бивших радника као потенцијалног жаришта проблема

заштите информација, указује на важност правилног дефинисања пилитике ИБ и озбиљног
третмана појава конкурентског извиђања и индустријске шпијунаже. У том контексту поред
техничких, важно место припада и тзв. психолошким методама заштите информација
(социјална психологија).

Све велике компаније сматрају да је информациона безбедност један од најважнијих

приоритета у вођењу бизниса. У складу са тим евидентне су радикалне промене у
организацији службе информационе безбедности – она не само да се одваја од службе за IT,
већ добија и директора и менаџера за IB (CISI и BISO). Питања информационе безбедности и
проблем заштите пословних информација су са, све донедавно, крајњих маргина доспела у
ситуацију да буду делокруг интересовања самог топ-менаџмента. Мото савременог друштва
је - заштитите свој бизнис, али при томе никада не треба сметнути са ума чињеницу да
заштита информација није коначан циљ, већ само једно од средстава успешног вођења
бизниса.

31
 12. Литература

 Ирина Муравъева, "Новый взгляд на службу информационной безопасности

компании", Компьютер-Пресс. №14, 2011
 Zorayda Ruth Adam, "E-commerce and e-Bussines", мај 2003
 Проф. др Божидар Раденковић, "Електронско пословање – стање и перспективе",
ФОН, Београд, 2007
 Др Војкан Васковић, "Банкарство на интернeту", ФОН, 2006
 проф.др. Зоран Марошан, "Пословни информациони системи", Нови Сад , 2002
 Вељовић А., "Менаџмент информациони системи", Мегатренд, Београд, 2002
 проф. др Драган Милановић, доц. др Данијела Тадић, мр Мирјана Мисита:
"Информациони системи менаџмента са примерима", Мегатренд универзитет
примењених наука, Београд, 2005.
 мр Бранислав Видаковић , "Мала школа криптографије"
 Леваков А., "Анатомия информационной безопасности США", Jet info online # 6, 2002
 Јовановић М., Ранков С.: “ПРИМЕНА ЕЛЕКТРОНСКОГ ПОСЛОВАЊА У
УПРАВЉАЊУ СЛОЖЕНИМ СИСТЕМИМА“, ISBN 97-86-7038-054-7, COBISS.SR-ID
191422220, Издавач ЈП ПТТ Саобраћаја Србија, 2012
 Зенковский А.К. "Защита информации в компьютерных системах – слагаемые успеха",
април 1998, http://www.infosec.ru
 Г. Кисиленко, А. Хорев, Угрозы безопасности системам электросвязи,
http://kievsecurity.org.ua
 Лукацкий А.В., Новые подходы к обеспечению информационной безопасности,
Компьютер-Пресс. №7, 2008
 Д. Булатовић, “БЕЗБЕДНОСТ У РАЧУНАРСКИМ МРЕЖАМА“, Мегатренд
Универзитет, 2013
 D. K. Hsiao, D.S. Kerr, S.E. Madnik, Computer security, Academic Press, New York, San
Francisko, 1979
 e -trgovina.rs
 emportal.rs/zines/ekonomist
 simlab.fon.bg.ac.rs
 megatrend-online.com
 znanje.org

32