Professional Documents
Culture Documents
DIPLOMSKI RAD
Tema:Bezbednost poslovanja na internetu
Mentor: Student:
Prof. dr Emruš Azizović Ermina Destanovic
ID:160325023
Prizren, 2019
Sadržaj
Spisak ilustracija..........................................................................................................................................3
UVOD.........................................................................................................................................................4
Cilj rada...................................................................................................................................................5
Metodologija rada....................................................................................................................................5
1.Pojam elektronskog poslovanja................................................................................................................5
1.1.Principi web - zasnovanog elektronskog poslovanja..........................................................................7
1.2.Bezbednosno okruženje elektronskog poslovanja..............................................................................8
1.3. Mere fizičke bezbednosti u elektronskom poslovanju......................................................................8
2.Elektronsko poslovanje (e-business).........................................................................................................8
2.1.Razvoj elektronskog poslovanja........................................................................................................9
2.2.Elektronska distribucija podataka-EDI............................................................................................10
2.3.Početak primene interneta u poslovanju..........................................................................................12
2.4.Strategija e-poslovanja.....................................................................................................................12
3.Podrucja primene elektronskog poslovanja............................................................................................14
3.1.Online prodaja sopstvenih proizvoda i usluga.................................................................................15
3.2. Prednosti korišćenja elektronskog poslovanja u preduzetničkim organizacijama...........................16
4. Bezbednost elektronskog poslovanja.....................................................................................................17
4.1.Informaciona bezbednost u oblasti poslovanja................................................................................19
4.2. Informaciono-analitičko obezbeđenje poslovanja...........................................................................21
4.3.Moguće pretnje informacionim sistemima.......................................................................................21
4.3.1.Uzroci i načini ugrožavanja informacionih sistema..................................................................22
5.Tehničko-pravna rešenja bezbednosti elektronskog poslovanja.............................................................24
5.1.Digitalni novac................................................................................................................................24
5.2.Kriptografske tehnike......................................................................................................................27
5.3.Tehnologija elektronskog potpisa....................................................................................................30
5.4.Digitalni sertifikati...........................................................................................................................32
6.Elektronsko poslovanje i infrastruktura zaštite.......................................................................................33
6.1.Rizici elektronskog poslovanja........................................................................................................36
6.2.Narušavanje integriteta podataka (drugi sloj OSI modela)...............................................................37
2
6.2.1.Napad i zaštita na drugom sloju osi modela..............................................................................38
6.2.2.DHCP napad.............................................................................................................................39
6.3.Budući razvoj bezbednosti elektronskog poslovanja.......................................................................41
6.3.1.Upotreba šifrovanja privatne virtuelne mreže (VPN)................................................................42
Zaključak...................................................................................................................................................45
Conclusion and Future research.................................................................................................................46
Literatura...................................................................................................................................................47
3
Spisak ilustracija
Spisak tabela
Spisak slika
4
UVOD
Cilj rada
Cilj ovog rada je predstaviti nacine zastite poslovnih informacija kojima se nije
poklanjala posebna i dovoljna paznja,kao i bezbednost samog poslovanja na internetu.U radu ce
biti izlozeno elektronsko poslovanje koje obuhvata sve oblike poslovnih transakcija koje se
ostvaruju elektronskim putem između organizacija i njihovih kupaca ili između organizacija i
javne administracije.Takodje ce biti predstavljene nekoliko oblasti: elektronska trgovina,
elektronska plaćanja, elektronske komunikacije, elektronska proizvodnja i elektronska
distribucija.
Metodologija rada
5
1.Pojam elektronskog poslovanja
Elektronsko poslovanje, poznatije kao e-Business, mora biti definisano kao određeni
trgovinski proces, baziran na automatizovanom informacionom sistemu, što se danas najčešće
realizuje uz pomoć naprednih web tenologija i sve većim brojem raspoloživih mrežnih servisa
koji generalno olakšavaju sve procese koji posredno i neposredno opslužuju elektronsko
poslovanje. Metode elektronskog poslovanja omogućavaju kompanijama povezivanje njihovih
internih i eksternih sistema obrade podataka još efikasnije i fleksiilnije, u cilju veće zatvorenosti
u odnosima sa dobavljačima i poslovnim partnerima i mnogo bolje zadovoljavanje potreba
njihovih mušterija. U praksi, elektronsko poslovanje je mnogo više od elektronske trgovine (e-
commerce). Elektronsko poslovanje stavlja akcenat na funkcijama koje se realizuju uz pomoć
savremenih elektronskih dostignuća, dok je elektronska trgovina deo globalne strategije
elektronskog poslovanja i teži da ostvari prihode putem World Wide Web-a, odnosno Interneta
kako bi poboljšala veze sa klijentima i partnerima u cilju povećanja efikasnosti.
Izvor: http://jovanajevtic2001.blogspot.com/2017/09/elektronsko-poslovanje.html
6
Savremene tehnologije omogućavaju slanje velikog broja informacija u kratkom
vremenskom periodu na velike razdaljine što u stvari omogućava preduzećima da efikasnije
obavljaju svoje svakodnevne zadatke i budu konkurentnija na tržištu. U dosadašnjem periodu
elektronsko poslovanje doživelo je posebnu ekspanziju u maloprodaji, izdavaštvu i finansijskim
uslugama. Prednosti elektronskog polovanja u odnosu na tradicionalno su značajne, vezane su za
povećanje kvaliteta i za sniženje prodajnih cena, smanjenje vremena izlaska na tržište kao i
realizovanje transakcija. Ono što je danas posebno popularno jeste razvoj elektronskih
partnerstava, baziran na zajedničkom nastupu pojedinih firmi na elektronskom tržištu.
Ono što prvenstveno interesuje ljude koji pretražuju web jesu korisne informacije,
posebno ako one mogu odgovoriti na njihova pitanja i ispuniti njihove specifične potrebe.
Takođe ih privlači i mogućnost da dobiju neki poklon, da neku vrednu informaciju dobiju
besplatno ili da se besplatno zabave, a to je često glavni razlog zbog koga će posećivati neku
Web prezentaciju. Takve Web prezentacije imaju i veću šansu da budu odabrane u tematske
kataloge i da budu dobro ocenjene u diskusionim grupama i na forumima.
7
Potrebno je da budu dostupne adrese preduzeća iz područja iste delatnosti
Komunikacija korisnika sa preduzećem treba da bude takva da korisnik što kraće
čeka na odgovor.
Prezentacija treba da sadrži i godišnji poslovni rezultat kao i referentne liste korisnika
Treba ispuniti mere fizičke zaštite sistema i koristiti savremene mehanizme zaštite
podataka odnosno kriptografiju.Elektronske transakcije u ime firme treba da obavlja osoba koja
je obučena za korišćenje specijalizovanog softvera koji se za te svrhe koristi kao i da bude
upoznata sa osnovnim svojstvima datog sistema elektronskog prenosa sredstava.Vlasnik
komunikacionog servisa elektronskog prenosa sredstava ovlašćuje takvu osobu koja dobija
identifikacionu karticu i lični identifikacioni broj (Personal Identification Number – PIN) sa
kojim se vrši autorizacija.
2
Preuzeto sa stranice https://www.vps.ns.ac.rs/wp-content/uploads/2018/05/Predavanje-9.pdf
8
2.Elektronsko poslovanje (e-business)
Poslednjih godina u svetu se sve više razvijaju elektronske tržnice (e-marketplace) koje
postavljaju nove smernice u elektronskom poslovanju. Elektronske tržnice omogućuju
poslovanje između firmi virtuelnom tržnicom gdje kupci, dobavljači, distributeri i prodavači
pronalaze i izmenjuju informacije o dobrima i uslugama u realnom vremenu.
Prednosti e-tržnice su u tome što pružaju bolju transparentnost tržištu tako da daju uvid u
dostupnost, cenu, dostavu i uslove plaćanja proizvoda pa pojednostavljuju način poslovanja na
lokalnom, regionalnom, nacionalnom i globalnom tržištu tako što firmama omogućavaju da na
lakši i brži način dođu do ciljne grupe klijenata.
Firme sve više svoje poslovanja sele u sferu virtuelnog, a tu uveliko pomažu B2B centri
koji danas u svetu okupljaju hiljade firmi i nude kompleksan skup usluga - posredovanje
prilikom kupovine i prodaje, iznajmljivanje aplikacija, održavanje aukcija, planiranje i
izvršavanje marketinških akcija, sve do prodaje informacija o konkretnoj privrednoj grani.
9
Upravo zbog relativno velike vrednosti pojedine porudžbine, kao i zbog mogućnosti
jednostavnog spajanja kupaca i prodavaca (stvaranje tržišta), B2B centri su nosioci rasta
celokupne B2B ekonomije.
Međutim, BizNet se u budućnosti može još snažnije razvijati, samo mu treba dodavati
specifične usluge i mogućnosti koje će firmama dati dodatan podsticaj za poslovanje pomoću
interneta.Prvi oblici elektronskog poslovanja datiraju od početka sedamdesetih, kada su banke
uspostavile sisteme elektronskog prenosa gotovine, dok je primena u poslovanju i državnoj
upravi počela nekoliko godina kasnije uvođenjem sistema elektronske razmene podataka
(Electronic Data Interchange – EDI ) bazirane na EDI normama3.
EDI tehnologiju koristii mali broj uglavnom velikih poduzeća i institucija zbog visokih
troškova uvođenja (nabava informaciono- telekomunikacone opreme, prihvatanje tehničkih
normi, povezivanje računara između poslovnih partnera, obrazovanje korisnika i drugo). Budući
da pojedine zemlje, ali ni međunarodno pravo, nisu regulisali takav način poslovanja, poslovni
partneri, da bi osigurali obavezujuću snagu poslova zaključenih putem računara, sklapaju interne
sporazume o upotrebi EDI-ja u međusobnom poslovanju (Electronic Data Interchange
Agreement).
3
Zorayda Ruth Adam, "E-commerce and e-Bussines", maj 2003.str.67.
10
nabavka roba i usluga
skladištenje robe
marketing
bolje usluživanje kupaca
prilagođavanje zemlje promenama u svetu što je uslov poslovanja s inostranstvom.
11
produktivnosti i efikasnosti značajno smanjenje troškova obrade papirne dokumentacije,
smanjenje obima grešaka u obradi podataka poboljšano upravljanje transportom, distribucijom,
zalihama značajno smanjenje troškova nabavke i sl.
I pored svih ovih prednosti EDI u ovom obliku nikada nije doživeo masovnu primenu.
Pre svega zbog skupe, komplikovane i dugotrajne implementacije, nedostatka fleksibilnosti u
odnosu na brzinu promena u okruženju, kao i visokih troškova održavanja koje su sebi mogle da
priušte samo velike kompanije.
2.4.Strategija e-poslovanja
12
Strategija u opštem smislu predstavlja skup aktivnosti koje upućuju kako ostvariti
najopštije ciljeve preduzeća. U globalnim relacijama figurišu neki pojmovi koje je potrebno
opisati i definisati:
KREDO (SLOGAN)- Misija može biti eksplicitno izražena pomoću slogana koji
obezbeđuje prepoznatljivost preduzeća i njegovih proizvoda u okruženju. Na osnovu ispitivanja
269 japanskih preduzeća slogane su najčešće činili sledeći pojmovi:
STRATEGIJA POSLOVNE JEDINICE- Poslovna jedinica kao deo većeg sistema mora
imati svoju strategiju koja daje odgovore kako se uspešno takmičiti na određenom tržištu.
13
Ostaje pitanje gde je mesto i koliki je značaj strategije elektronskog poslovanja. Postojala
su gledišta da je strategija elektronskog poslovanja jedna vrsta funkcionalne strategije ili da je
ona deo strategije informacionih sistema. Uspeh internet kompanija doprineo je da se strategija
elektronskog poslovanja sve više može smatrati delom korporativne strategije.
14
Elektronsko poslovanje primenjivo je u svim poslovnim delatnostima, u manjem ili visem
stepenu, u zavisnosti od karaktera poslovanja. U nekim delatnostima moguce je organizovati
potpuno on line poslovanje, kao sto je na primer podrucje usluga, dok u nekim drugim
delatnostima sve poslovne aktivnosti nije moguce ,,pokriti" on line transakcijama, kao sto je
slucaj s materijalnim dobrima. U slucaju prodaje materijalnih dobara, informacije o predmetu,
uslovima prodaje i kupoprodajne transakcije obavljaju se elektronski, dok se distribucija robe
obavlja na tradicionalni, fizicki nacin. Do sada je najvise razvijeno elektronsko poslovanje u
sledeceim delatnostima:
On line prodaja sopstvenih proizvoda i usluga,
elektronsko bankastvo i on line finansijske transakcije,
elektronska trgovina,
on line zabava i rekreacija
elektronsko izdavastvo i elekronske publikacije.
15
On line prodaja materijalnih dobara obuhvata poslovne aktivnosti koje se odnose na
kupoprodajne transakcije, dok se isporuka robe obavlja na tradicionalni, fizicki nacin. I pored
ovih ogranicenja primetno je povecanje on line prodaje ove vrste proizvoda, kao sto je slucaj sa
kompjuterima i njihovim komponentama. Prema izjavi direktora Intela, Krejg Baret-a, prodaja
cipova preko njihovog Web sajta dostize skoro 50%. Prodaja preko Intemeta sve vise potiskuje
klasicnu katalosku prodaju roba, zbog mogucnosti davanja detaljnijih informacija o proizvodima
potencijalnim kupcima i mogucnosti kreiranja interaktivnog sajta, koji pruza niz dodatnih
informacija kako prodavcu, tako i kupcu. Usko grlo ovog oblika prodaje je faza isporuke robe
koja se mora obaviti fizickom dostavom4.
Inretnetski direktorijum Yahoo i istrazivacka kompanija ACNielsen, u svom istrazivanju on line
potrosaca (saopsteno na sajtu http://www.digitrendsjiet) dosli su do rang liste motiva i prepreka
on line kupovine, koja sadrzi sledece konstatacije:
Ova anketa skrece paznju najmanje na dve cinjenice o kojima treba voditi racuna i u vezi kojih
treba preduzeti potrebne mere da se navedene prepreke kod on line kupovine, ako vec ne mogu
da se potpuno izbegnu, a ono bar ublaze. Lako problemi u vezi placanja kreditnim karticama i
zastita licnih informacija, istaknuti kao prva grupa problema koji u izvesnon smislu stoje kao
prepreka on line kupovini, nisu u iskljucivoj nadleznosti prodavca, nesporno je da prodavci
mogu, a svoje strane, preduzeti organizacione mere da se odredeni problemi ove vrste
prevazidju.
4
prof.dr. Zoran Marošan, "Poslovni informacioni sistemi", Novi Sad , 2002. Str. 78.
16
Elektronsko poslovanje pruža mogućnost stvaranja potpuno novog modela poslovanja.
Elektronske tehnologije omogućavaju slanje velikog broja informacija, na velike daljine u
kratkom vremenskom periodu. To omogućava kompanijama koje u svom poslovanju koriste
elektronsku tehnologiju da ostvare značajne uštede u troškovima poslovanja, efikasnije obave
svoje zadatke i budu konkurentnije na tržištu.Organizacije koje primenjuju elektronsko
poslovanje bi trebale po tom osnovu ostvarivati značajne prednosti, ali i u ovom slučaju važi
pravilo da tehnologija kao takva samo pruža mogućnosti, a od umešnosti njenog korišćenja
zavisi u kojoj meri će se te mogućnosti i iskoristiti i pretvoriti u prednosti. U tom smislu osnovna
obeležja elektronskog poslovanja koja preduzeća prepoznaju kao svoju šansu su:
17
Odnos između informacione bezbednosti (IB) i poslovanja ima četiri različita aspekta.
Izvor: simlab.fon.bg.ac.rs
18
Internet-usluga najvažnije su raspoloživost i pouzdanost informacija (dostupnost i pouzdan rad
ključnih elemenata sistema) 5.
5
"E-commerce and e-Bussines", Zorayda Ruth Adam, maj 2003.str 34.
19
stručne literature, predavanja, organizovane posete, razmena literature, različiti oblici poslovne
saradnje itd.).
Za razliku od konkurentskog izviđanja, industrijska špijunaža je dobijanje informacija ili
podataka (bilo zakonitim ili nezakonitim putem) o konkurentu iz oblasti naučnog istraživanja,
proizvodnje sa najnovijim tehnologijama kao i personalnih podataka rukovodećih ljudi (sa ciljem
njihove zloupotrebe).
Pored termina izviđanje, odnosno obaveštajna delatnost što je bliže originalnom izrazu –
intelligence, u upotrebi je i termin kontraizviđanje. Kontraizviđanje služi za zaštitu i obezbeđenje
bezbednosti privrednih subjekata od delovanja konkurentskog izviđanja i obično ga izvršavaju
pripadnici službe bezbednosti.
Obaveštajna delatnost (izviđanje) je namenjena za pribavljanje strategijske (taktičke ili
konkurentske) prednosti nad potencijalnim protivnikom (konkurentom), saznavanje mogućih
rizika (opasnosti) ili mogućnosti i upravljanje njima.
Osnovni zadatak konkurentskog izviđanja je obezbeđenje strategijskog menadžmenta
firme i njenog generalnog strategijskog marketinga. Pribavljene informacije omogućavaju
donošenje najvažnijih odluka i rešenja u poglednu razvoja i budućnosti firmi. Ovako shvaćeno
konkurentskog izviđanje obavljaju eksperti biznisa (za marketing, za planiranje, za menadžment
itd.). Granica između konkurentskog izviđanja i industrijske špijunaže je veoma tanka.
Industrujska špijunaža se organizuje na državnom nivou. Kao jedna od najugruženijih
zemalja, kada je reč o industrijskoj špijunaži, SAD su 1996. godine donele zakon o industrijskoj
špijunaži. Neposredan povod je bio izveštaj načelnika federalnog biroa za istraživanje (FBI), po
kome je u 1995-te podignuto 700 optužnica za špijunažu (poređenja radi 1994-te iz sličnih
razloga podignuto je 400 optužnica).
Industrijska špijunaža je proglašena za jednu od pretnji (rizika) za američku ekonomiju.
Prema izveštaju Edvina Fridmana (objavljenom u Public Administration Review, 1995.god.),
agenta FBI i asistenta na fakultetu kriminalnog prava pri ministarstvu za društveno upravljanje
(Njujork), industrijska špijunaža je te godine nanela štetu američkoj ekonomiji od 25 do 100
milijardi dolara6.
20
Svi aspekti značaja IB u sferi ekonomskog poslovanja često nisu vidljivi na prvi pogled.
Naime, u skladu sa nekadašnjim shvatanjima pod IB se obično tretira samo zaštita informacija
prenebregavajući činjenicu da je pojam IB širi pojam koji podrazumeva i drugu stranu medalje, a
to je dostupnost ili otvoenost informacija za subjekte kojima je ona namenjena.
Uspešano poslovanja, kao i bilo koja druga delatnost, je nezamisliv bez informaciono-
analitičkog obezbeđenja. Pod pojmom informaciono - analitičko obezbeđenje podrazumeva se
dostupnost informacija svim privrednim subjektima pod jednakim uslovima čime se sprečava
nelojalna konkurencija i, finansijskim dobitkom motivisano, dogovaranje učesnika, pre svega, u
nabavkama. Informaciono-analitičko obezbeđenje shvaćeno kao sigurnost u dostupnosti svim
relevantnim informacijama potrebnim za uspešno poslovanje nije samo u interesu biznisa, već i
države jer je uspešno polovanje privrednih subjekata garant nepretka celog društva pa samim tim
i pojedinca.
21
finansijske prirode za vreme njihovog prenošenja kroz komunikacioni kanal, ili da se
predstavi kao ovlašćeni server koji od ovlašćenog korisnika zahteva poverljivu informaciju.
Prisluškivanje – Napadač može da pristupi poverljivim informacijama (npr. lozinki
za pristup sistemu) prostim prisluškivanjem protoka informacija u komunikacionoj mreži.
Informacija dobijena na ovaj način može se iskoristiti radi olakšavanja drugih vrsta napada.
Prekoračenje ovlašćenja – Lice ovlašćeno za korišćenje sistema koristi ga na neovlašćeni
način. To je tip pretnje koju ostvaruju kako napadači iznutra ("insiders") tako i napadači
spolja. Napadači iznutra mogu da zloupotrebljavaju sistem radi sticanja raznih povlastica.
Napadači spolja mogu da se ubace u sistem preko naloga sa manjim ovlašćenjima i nastaviti sa
infiltracijom u sistem koristeći takav pristup radi neovlašćenog proširenja korisničkih prava.
Odbijanje servisa – Zbog čestih zahteva za izvršenje složenih zadataka izdatih od
strane neovlašćenih korisnika sistema, servisi sistema mogu postati nedostupni ovlašćenim
korisnicima.
Negacija transakcije – Posle izvršene transakcije, jedna od strana može da negira
da se transakcija dogodila. Iako ovakav događaj može da nastupi usled greške, on uvek
proizvodi konflikte koji se ne mogu uvek lako rešiti.
Računarske mreže Internet tipa predstavljaju kritičnu tačku bezbednosti date organizacije
sa stanovišta osetljivosti informacija koje se u sistemu prenose. U svetu postoji veliki broj
različitih analiza opasnosti korišćenja računarskih mreža na bazi Internet tehnologija izgrađenih
od strane relevantnih institucija.
Prema pregledu američkog instituta za zaštitu računara (Computer Security Institute) koji
je obuhvatao velike korporacije, 70% razmatranih subjekata je prijavilo detektovane
neautorizovane pristupe u svojim mrežama u protekloj godini. Prema istoj analizi, u prethodnih 5
godina, 66 razmatranih subjekata je prijavilo ukupan gubitak proizveden krađom osetljivih
korporacijskih informacija u iznosu od $66.708.000,00 a 54 razmatrana subjekta su prijavila
ukupan gubitak proizveden finansijskom proneverom u iznosu od $53.996.000,00.
Sa druge strane, institut je obavio istraživanja koja su rezultovala u definisanju tri liste
osnovnih grešaka koje omogućavaju različite vrste napada na mreže Internet tipa i pojedinačne
22
radne stranice u mreži.
Prva lista se odnosi na krajnje korisnike i definiše sledećih pet najvećih bezbednosnih
grešaka :
otvaranje nezahtevanog e-mail (attachment) priloga dobijenog od nepoverljivog izvora,
propust da se instaliraju bezbednosni patch-evi standardnih internet programskih paketa
kao i novih definicija antivirusnih programa,
preuzimanje i instaliranje igara i screen saver-a od nepoverljivih izvora,
nekreiranje i netestiranje back-up podataka i
korišćenje modema dok je računar povezan na lokalnu (LAN) mrežu.
23
korišćenje nekriptovanih protokola za upravljanje sistemima, ruterima, firewall-ovima, i
PKI infrastrukturom,
davanje korisnicima lozinki preko telefona i njihovo menjanje bez prethodne
autentikacije osobe koja zahteva izmenu,
propust pri održavanju i testiranju procedure back-up sistema,
korišćenje nepotrebnih internet servisa,
primena mrežnih barijera sa pravilima koja ne osiguravaju bezbedan protok dolazećeg i
odlazećeg saobraćaja,
propust u implementaciji i ažuriranju softverskog paketa za detekciju virusa ,
propust u edeukaciji korisnika u odnosu na to šta je potrebno učiniti kada se uoči
potencijalni bezbednosni problem.
Bez obzira na rast poslovanja preko Interneta mnogim firmama web prezentacije služe
samo za navođenje osnovnih podataka o njima i njihovim proizvodima. Predpostavlja se da je ta
inercija posledica neadekvatnih rešenja vezanih za sigurnost transakcija i autorizaciju korisnika.
Ona uključuju "vatrene zidove", lozinke pristupa, smart kartice, biometričku identifikaciju,
tehnike šifriranja i zakonska rešenja.
5.1.Digitalni novac
24
elektronskom plaćanju. Alan Grenspan, predsenik odbora guvernera sistema fundamentalnih
rezervi smatra da će se elektronski novac rasprostirati polako i da će igrati mnogo manju ulogu u
našoj ekonomiji od one koju je istorijski odigrao privatni novac (Greenspan 1996). U svetskom
bankarskom sistemu danas se gotovo sve novčane transakcije obavljaju u digitalnom obliku,
putem raznovrsnih interbank mreža. Jedna od najvećih takvih mreža je CHIPS (Clearing House
Interbank Payments System) i ona je još daleke 1994.godine ostvarila gotovo 120 miliona
transakcija, u ukupnoj vrednosti od 500 triliona dolara. I dok se bankarski sistemi elektronskim
novcem služe decenijama, pojedinačni potrošači tek od nedavno imaju mogućnost da koriste
elektronski novac na smislen način. Rastuća snaga i sve niža cena kućnih računara, u sprezi sa
velikim napretkom u telekomunikacionim tehnologijama, koja je omogućila globalno
povezivanje po izuzetno niskim cenama, učinili su da digitalni transfer sredstava postane realnost
za milione ljudi širom sveta. Kao rezultat toga, svedoci smo nezaustavljivog razvoja digitalne
ekonomije.
25
novac koji sadrži informaciju o identitetu osobe koja njime manipuliše i koji, slično kreditnim
karticama, banci omogućuje da precizno prati cirkulaciju novčanih sredstava na tržištu.
Anoniman e-novac “radi” slično papirnom novcu: kada se takav novac jednom povuče sa računa,
više ne postoji način da mu se uđe u trag, odnosno da se vodi evidencija o njegovoj transakciji,
što je u prvom slučaju lako izvodljivo. Dalje, obe vrste se mogu raščlaniti na još dve kategorije.
Kada se koristi tzv. onlajn e-novac, tokom svake transakcije je neophodno uspostaviti vezu sa
bankom (putem modema ili mreže), tako da u procesu prenosa sredstava uvek učestvuju tri
elementa: kupac, banka i prodavac. Kada se pak koristi oflajn elektronski novac, transakcija se
može obaviti bez direktnog upliva banke. Oflajn novac je najkompleksnija forma elektronskog
novca, najviše zbog toga što je povezan sa problemom dvostruke potrošnje. Naime, elektronski
novac se, budući da je digitalni zapis, može umnožavati u bezbroj kopija koje se ni po čemu ne
razlikuju od originala. Takve kopije bi bilo nemoguće identifikovati, pa bi u jednom
hipotetičkom, trivijalnom e-money sistemu, korisnik preko noći mogao da umnoži svoje
bogatstvo do neslućenih razmera. Dovoljno bi bilo da se jedan isti e-novac kopira i potom potroši
na dva mesta i već kroz nekoliko sati - novčani saldo bi probio plafon.
U onlajn sistemu se taj problem rešava jednostavno: tokom svake transakcije se identitet
elektronskog novca proverava direktno u bankarskom računaru, koji vodi strogu evidenciju o
toku novčanih sredstava i uredno beleži sve pakete novca koji je u jednom trenutku negde
utrošen. U vrlo kratkom roku prodavac dobija od banke podatak da li novac koji mu je ponuđen
ima realnu osnovu, odnosno da li je prethodno već negde iskorišten. Jasna je potpuna analogija
sa proverom validnosti kreditnih kartica tokom gotovinskog plaćanja. Evidencija potrošnje e-
novca u oflajn sistemu je složenija i odvija se na nekoliko načina. Jedna varijanta uključuje
korišćenje naročitih memorijskih kartica sa čipovima, u kojima se beleže sve transakcije i vodi
evidencija o sredstvima koja su utrošena (tzv. Observer čipovi). Ako bi korisnik sa takvom
karticom pokušao da ista sredstva kopira i potroši ih dva puta, Observer čip bi obustavio
transakciju. Budući da je kartica zaštićena od upisivanja podataka, korisnik ne bi imao
mogućnost da koriguje podatke iz evidencije, a da pritom ne izazove trajno oštećenje memorijske
kartice. Drugi način kojim se u oflajn sistemu onemogućava dvostruko trošenje je dosta složeniji
i uključuje nešto drugačiji sistem konstrukcije e-novca. U tom slučaju, koji se suštinski ne
razlikuje od sistema identifikovanog e-novca, u kod digitalnog novca i rutinu za šifrovanje se
upisuju informacije o identitetu osobe koja njime manipuliše, tako da bi svaki paket bio
26
praktično potpisan i identifikacija prekršioca bi bila sasvim jednostavna; svakako bi bilo i manje
pokušaja nelegalnog kopiranja, budući da bi korisnik bio svestan da može biti lako uhvaćen. Pri
tome, razlika između oflajn identifikovanog i oflajn anonimnog e-novca bi, u ovom sistemu, bila
u tome što bi banka u prvom slučaju imala informacije o vlasniku sredstava, bez izuzetka, dok bi
se u drugom slučaju ti podaci pojavili samo kada bi korisnik pokušao da novac kopira, a ukoliko
bi se transakcija obavila legalnim putem, taj novac bi ostao “neobeležen”. Prednost ovakvog
sistema je u manjim troškovima implementacije, budući da korisnicima u tom slučaju ne bi bile
potrebne nikakve memorijske kartice.
5.2.Kriptografske tehnike
Kriptografija kao nauka koja se bavi metodama očuvanja tajnosti informacija pruža
rešenje ovog problema. Pre nego što pređemo na prikaz i objašnjenje različitih sistema šifrovanja
podataka koji su danas u upotrebi, potrebno je objasniti osnovne elemente kriptografije:
šifrovanje - postupak transformacije čitljivog teksta u oblik nečitljiv za
onoga kome taj tekst nije namenjen.
dešifrovanje - postupak vraćanja šifrovanog teksta u čitljiv oblik
ključ - početna vrednost algoritma kojim se vrši šifrovanje.
27
Slika 4.Prikaz šifrovanja ključem
7
Marija Vidas Bubanja, Elektronsko poslovanje, VPŠ Beograd,2007.str.88.
28
zaštite tajnosti realizuje primenom simetričnih kriptografskih sistema. Srce PKI sistema
predstavlja Sertifikaciono telo (CA – certification authority) čija je osnovna funkcija pouzdano
uspostavljanje zaštićenog digitalnog identiteta ovlašćenih učesnika u datoj računarskoj mreži.
Pomenuta funkcija se postiže primenom digitalnog sertifikata koji jednoznačno povezuje
identitet ovlašćenog učesnika sa javnim ključem asimetričnog šifarskog sistema. Autentičnost i
jednoznačnost svakog digitalnog sertifikata dokazuje se digitalnim potpisom svakog digitalnog
sertifikata od strane Sertifikacionog tela. Na taj način sertifikaciono telo postaje treća strana od
poverenja za bezbednu komunikaciju bilo koja dva ovlašćena učesnika u datoj računarskoj
mreži.
Istorijski postoji više različitih načina za primenu tehnologije digitalnog potpisa. U
poslednje vreme skoro isključivo se koristi tehnologija sa standardom PKSC# 1 (public key
criptograpfic standards). Prema tom standardu, tehnologija digitalnog potpisa se sastoji od dve
operacije: digitalnog potpisa i provere digitalnog potpisa. Sadržaj koji treba potpisati se prvo
redukuje (algoritmi tipa MD5 ili SHA-1), da bi se zatim šifrovao asimetričnim algoritmom (npr.
algoritmom RSA) i to operacijom tajnog ključa korisnika. Operacija provere digitalnog potpisa
se sastoji od razdvajanja poruke na podatke koji se prenose i na sam digitalni potpis.
29
Elektronski potpis se na ovom stepenu tehnološkog razvoja formira na bazi primene
asimetričnih kriptografskih algoritama i tehnologije digitalnog potpisa. Kvalifikovani elektronski
potpis se formira u skladu sa preporukom PKCS#1 (Public Key Cryptographic Standard), a
dužina modulusa u asimetričnom kriptografskom algoritmu mora biti minimalno 1.024 bita.
PKCS#1 standard opisuje metode šifrovanja podataka korišćenjem RSA asimetričnog algoritma i
najčešće se koristi za konstrukciju digitalne koverte i digitalnog potpisa.
Digitalni potpis se dešifruje pomoću javnog ključa pošiljaoca. Ovim postupkom dobijaju
se dve hash funkcije na osnovu kojih se zaključuje o autentičnosti pošiljaoca, integritetu prenetih
podataka i o neporecivosti poslate poruke.
Uspustavljanjem PKI sistema u računarskoj mreži, moguće je realizovati bezbedno
okruženje za realizaciju različitih aplikacija (zaštićeni web servisi, zaštićeni e-mail, zaštićeni
30
FTP, bezbedno upravljanje dokumentacijom, bezbedna funkcija kontrole pristupa, bezbedno
plaćanje i formiranje zaštićenih sesija – virtuelnih privatnih kanala VPN).
31
5.4.Digitalni sertifikati
Ako koristite sistem šifrovanja javnim ključem i želite da nekom pošaljete poruku,
morate prvo dobiti njegov javni ključ. Međutim, kako možete biti sigurni da je to zaista njegov
ključ? Rešenje ovog problema postiže se upotrebom digitalnih sertifikata . Možemo ih nazvati i
digitalnom Ličnom kartom, jer oni zaista to i jesu - digitalna lična karta u syber prostoru,
sredstvo kojim ćete vi ili osoba sa kojom komunicirate dokazati identitet na Internetu. Pošto na
Internetu nema policije koja bi proverila vaše podatke i izdala vam Ličnu kartu, pojavile su se
kompanije koje imaju ulogu 'treće strane', - CA Certificate Authority čija je uloga da provere i
utvrde nečiji identitet i nakon toga mu izdaju digitalni sertifikat. Kako to funkcioniše u praksi
npr. pošiljaoc podnosi zahtev za izdavanje sertifikata CA kompaniji. CA proverava njegov
identitet na osnovu ličnih dokumenata koje im je prikazao pri podnošenju zahteva. Ako je sve u
redu pošiljaoc im prosleđuje svoj javni ključ za koji CA kreira digitalni potpis i nakon toga
izdaje sertifikat kojim se potvrđuje da taj javni ključ zaista pripada pošiljaocu. Ako pošiljaoc
kasnije želi da komunicira sa nekim, pri prvom kontaktu mu šalje digitalni sertifikat i svoj javni
ključ. S obzirom da svi poznatiji komunikacioni programi u sebi več imaju uključene javne
ključeve CA kompanija kojima se veruje, primalac po prijemu ove poruke lako utvrđuje
validnost sertifikata pošiljaoca.Digitalni sertifikat vašeg servera izdat od strane CA mora da
sadrži sledeće: naziv vaše organizacije, dodatne podatke za identifikaciju,
Vaš javni ključ, datum do koga važi vaš javni ključ, ime CA koji je izdao digitalni
sertifikat, jedinstveni serijski broj.Svi ovi podaci formiraju sertifikat koji se na kraju šifruje
koristeći tajni ključ CA. Ako korisnik ima poverenja u CA i ima CA javni ključ, može biti
siguran u ispravnost sertifikata. Najčešće korišćeni standard za digitalne sertifikate je X.509. Šta
je SSL i kako funkcioniše Secure Web server možete pročitati u sledećem tekstu.
SSL (secure socet layer) protokol je aplikativni sigurnosni protokol, koji služi za siguran
prenos podataka preko weba a izvorno je razvijen od strane Netscape Communications. SSL
omogućuje dve bitne stvari: autentifikaciju i enkripciju. Omogućuje dva stepena zaštite: 40-bitnu
ili 128-bitnu što odgovara dužini sesijskog ključa. Protokol TLS je verzija SSL protokola 3.1 a
WTLS je verzija tog protokola za WAP aplikacije.
SSH (Secure Shell) je protokol koji obebeđuje autentifikaciju,enkripciju i integritet
podataka. SSH implementacije pružaju sledeće mogućnosti: siguran komandni shell, siguran
32
prenos datoteka i udaljeni pristup različitim TCP/IP aplikacijama preko sigurnog tunela (ili
prosleđivanje portova).
Virtuelne privatne mreže (VPN) ili enkriptovani tuneli, mogu da omoguće sigurnu
komunikaciju za povezivanje dve fizički odvojene mreže preko interneta. Mogu da razmenjuju
saobraćaj kao da se radi o dva segmenta iste mreže. VPN se koriste kada je potrebno povezati
udaljene lokacije na većim rastojanjima, pa takvo povezivanje postane skupo. Najbolje je
koristiti isti ISP sistem.
Takođe, ne smemo izostaviti proces verifikacije koji predstavlja proces ispitivanja poruke
ili integriteta digitalnog potpisa izvođenjem hash funkcije na strani pošiljaoca i primaoca poruke
i upoređivanje rezultata.
Bezbednost komunikacija označava zaštitu informacija u toku prenosa iz jednog sistema
u drugi. Bezbednost u računarima označava zaštitu informacija unutar računara ili sistema –
ona obuhvata bezbednost operativnog sistema i softvera za manipulaciju bazama
podataka. Mere bezbednosti komunikacija i bezbednosti u računarima se kombinuju sa
drugim merama (fizičko obezbeđenje, bezbednost osoblja, administracije, medijuma) radi
ostvarenja pomenutih ciljeva
33
Elektronska trgovina je najekonomičnija za prezentaciju i plasman roba i usluga. Tipične
e-commerce šeme su B2B, B2C (business-to-business, business-to-customer) i B2E (business-to-
ethernet). Reč je o elektronskom poslovanju između preduzeća, između preduzeća i korisnika
(klijenata) i integraciji internog segmenta poslovanja kako sa drugim preduzećima tako i sa
klijentima (B2B i B2C ecommerce šemama).
B2B predstavlja poslovanje između preduzeća, tj. razmenu proizvoda, usluga i
informacija sa drugim firmama iz okruženja. B2B poslovanje je zasnovano na Internetu i
obuhvata tri faze razvoja: EDI (electronic data interchange) – elektronsku razmenu podataka,
osnovni B2B e-commerce (prodaja proizvoda kompanija distributerima) i elektronski marketing
(eMarkets). Elektronski marketing (e-marketplaces) je novi oblik on-line posrednika koji na
jednom mestu efikasno postavlja ponudu i tražnju, pružajući kupcima niže troškove nabavke uz
mogućnost kontakta sa dobavljačima, a isto tako i dobavljačima niže troškove prodaje uz
mogućnost kontakta sa novim kupcima. B2C predstavlja poslovanje između preduzeća i
neposrednih korisnika (klijenata).
Kao oblici poslovanja (prema nekim autorima u razvoju B2C sistema zabeleženo je 5
modela) susreću se :
virtuelni trgovinski centar (VTC) i
Internet on-line aukcija.
Virtuelni (elektronski) trgovinski centar predstavlja skup dve ili više elektronskih
prodavnica, u kojima se kupcima nude neki proizvodi ili usluge, uz koje može biti uključen i
program pratećih usluga ili sadržaja.
On-line aukcije omogućavaku kupcima nadmetanje, a trgovcima postizanje maksimalne
cene. Osim toga svako može da ponudi bilo kakvu robu i da na globalnom svetkom tržištu nađe
kupca.
Pojave B2B i B2C oblika poslovanja, donele su sa sobom nove pojmove (elektronsko
plaćanje, elektronski novac, digitalni novčanik, digitalni ček, platne kartice itd.) i neke nove
delatnosti kao što su internet marketing, upravljanje odnosima sa korisnicima CRM (customer
relationship menagment) i rad call centara. Upravljanje odnosima sa korisnicima u elektronskoj
trgovini (e-commerce CRM - eCCRM) predstavlja složen skup poslovnih procesa i tehnologija
upravljanja relacijama sa postojećim i potencijalnim korisnicima i poslovnim partnerima, u
34
marketingu, prodaji i podršci (preko i uz pomoć svih raspoloživih komunikacija). Iako je web
tehnologija sve više prihvaćena kao kanal tehničke podrške, i dalje se preko 70 % kontakata
realizuje preko call centara.
Infrastruktura zaštite u elektronskom poslovanju. Razvoj elektronskog poslovanja
zasnovan je na razvoju Internet tehnologije i primeni kriptografskih mehanizama. Na njihovim
osnovama razvijaju se finansijske i korporacijske računarske mreže bazirane na TCP/IP
protokolima. Informaciona i svaka druga bezbednost elektronskog poslovanja zasnovana je na tri
kamena temeljca:
autentikaciji (identifikaciji - predstavljanju korisnika),
autorizaciji (korisnik dobija ovlašćenje da realizuje određene zadatke) i
zaštiti tajnosti (šifrovanju podataka).
35
Problematika informacionog - analitičkog obezbeđenja proističe iz shvatanja da je
dostupnost (otkrыtostъ – otvorenost) informacija sastavni deo pojma informcione bezbednosti,
odnosno sigurnosti društva i pojedinaca da niukom pogledu nisu "uskraćeni" za informacije koje
im "pripadaju". Posmatrano u ekonomskoj sferi, informaciona otvorenost doprinosi efikasnosti
ekonomije na taj način što informaciono – analitička podrška doprinosi da preduzetništvo
raspolaže sa adekvatnim procenama rizika i da može donositi pravilne odluke o poslovnim
potezima. Informaciona otvorenost u oblasti investicionih projekata, povećava interes stranog
ulaganja na račun smanjenih sistemskih i specifičnih investicionih rizika.
Pitanje informacione otvorenosti je regulisano i međunarodnim normama – dokument o
globalnom informacionom društvu (sporazum iz Okinave) i Preporuka broj R (81) 19 Komiteta
ministara država članica Saveta Evrope - "O dostupnosti informacija koje se nalaze na
raspolaganju u državnim ustanovama".
Drugi aspekt problema informacionog-analitičkog obezbeđenja je inkorporacija
sveobuhvatnih poslovnih informacionih sistema (PIS) u proces upravljanja poslovanjem. PIS-i
treba da zadovolje potrebe top-menadžmenta za analitičkim, prognozirajućim i faktičkim
informacijama na osnovu kojih je moguće doneti pravilne odluke u strategijskoj orijentaciji
razvoja firme, a da pri tome zadovolje i potrebe nižih nivoa upravljanja u delokrugu njihovih
nadležnosti. Problematika informatizacije i automatizacije putem PIS oličena je u tzv. sistemima
planiranja korporacijskih resursa ERP (Enterprise Resource Rlanning).
E-poslovanje ima mnogo različitih tipova rizika vezanih za bezbednost svojih poslovnih
informacija i informacija o klijentima. Računarski virusi i hakeri stalno pokušavaju da upadnu u
"online" kompanije i ukradu identitet korisnika i finansijske informacije.
Iako je e-poslovanje može lako da se pokrene i zahteva dosta manje novca za pokretanje
od tradicionalnog poslovanja, i u njemu pored bezbednosnih rizika koju su njegova osnovna
karakteristika postoje i druge vrste rizika.
Poslovni rizik se odnosi na rizik u uspešnosti obavljanja svakodnevnog poslovanja. Ovi
rizici uključuju inventar, plate, režije ili rešavanje problema vezanih za njih. Većina preduzeća u
elektronskom poslovanju nema fizičku lokaciju ili skladište, tako da moraju da se oslanjaju na
36
lance snabdevanja da bi potrošači dobili robu. U svakom trenutku posao im zavisi od pojedinaca
ili drugih kompanija koje vrše distribuciju robe, što značajno povećava rizik. Poslovni rizik se
javlja i ako kompanija nije u mogućnosti da kupi zalihe i da ih prosledi u lancu snabdevanja brzo
i efikasno.
Sistematski rizik je rizik kompanija sa celog tržišta e-poslovanja ili segmenta tržišta u
kojoj kompanija posluje. Klasičan primer sistemskog rizika na tržištu e-poslovanja je masovno
propadanje "dotcom" preduzeća u toku 2000. i 2001. godine. Većina e-kompanija je imala mali
tok gotovine i nije bila u stanju da napravi profit. Ove kompanije su pri rastu finansijske
stabilnosti, stvorile neodrživi ekonomski balon koji je pukao. Iako se ova vrsta sistemskog rizika
ne javlja često, većina tržišnih segmenata teži radu u poslovnim ciklusima, raste, postiže ciljeva i
ugovara nove poslove. Vlasnici i preduzetnici koji posluju u e-poslovanju moraju biti u stanju da
pravilno procene svoj tržišni segment i naprave odgovarajući plan za svaku fazu poslovnog
ciklusa.
Ekonomske posledice otkaza ili zloupotrebe internet tehnologije mogu biti direktni
finansijski gubici kao posledica prevare, zatim gubljenje vrednih i poverljivih informacija,
gubljenje poslova zbog nedostupnosti servisa, neovlašćena upotreba resursa, gubljenje poslovnog
ugleda i poverenja klijenata kao i troškovi izazvani neizvesnim uslovima poslovanja. Rizici koje
sa sobom nosi upotreba elektronske trgovine mogu se izbeći upotrebom odgovarajućih
bezbedonosnih mera.
Bezbednosni servisi generalno predstavljaju skup pravila koja se odnose na sve
aktivnosti organizacije u vezi sa bezbednošću. Svako preduzeće treba da ima odgovarajuću
politiku bezbednosti. Bezbednosni servisi, u konkretnom tumačenju su delovi sistema koji
realizuju aktivnosti adekvatnog štićenja ukoliko se jave bezbednosne pretnje (obično deluju na
zahtev).
Zaštita na drugom sloju OSI modela, je od izuzetnog značaja i nipošto ne sme biti
zanemarena, jer bez te zaštite bi se moglo reći da zaštita uopšte ni ne postoji. Ne vredi mnogo što
je data kompanija uložila novac i ljudske resurse u implementaciju pametnih kartica za
autentifikaciju na mrežu, implementaciju IPSec VPN infrastrukture za udaljeni pristup, dobar
37
mehanizam prava pristupa bazama podataka i korisničkim dokumentima i sl., ako ta zaštita nije
sveobuhvatna i nije implementirana na svim OSI slojevima.
Treba napomenuti da svi napadi na drugom OSI sloju podrazumevaju da napadač ima
lokalni pristup mreži, jer ovi napadi ne prelaze preko rutera. To mogu biti zaposleni koji u
kompaniji obavljaju neke ne-IT poslove, a bivaju plaćeni od strane konkurencije da špijuniraju
datu kompaniju i sl. Ti korisnici su hladno ili vatreno oružje zamenili računarima i softverom, a
krajnji cilj je isti: naneti drugome štetu i/ili ostvariti dobit.
Ovi napadi imaju različite ciljeve, od izazova ili nadmetanja hakera pojedinaca ili
organizacija, preko nastojanja da se dođe do poslovnih tajni koje se mogu iskoristiti od strane
konkurencije, pa sve do napada čiji je jedini cilj uništenje podataka.
Najznačajniji i najčešće korišćeni napadi koji, u potpunosti ili jednim svojim delom,
funkcionišu na drugom sloju OSI referentnog modela (ili mehanizam zaštite koji može da ih
spreči funkcioniše na drugom OSI sloju) su:
DHCP Attack
STP Attack
ARP Cache Poisoning
CAM Table Flooding
VLAN Hopping
Zbog izuzetno velike obimnosti materije, u ovome radu će biti detaljno prezentovani
samo neki od pomenutih napada i biće detaljno objašnjen princip njihovog funkcionisanja, kao i
neophodne mere zaštite koje moraju da se primene da bi se isti napadi sprečili i na taj način
sprečilo curenje informacija, omogućen nesmetan rad zaposlenih, sačuvao ugled kompanije i sl.
Ako bi se poklonila pažnja svim napadima i merama zaštite od istih, onda bi rad bio isuviše
obiman ili bi se samo površno obratila pažnja na svaki od njih.
38
6.2.2.DHCP napad
Izvor: simlab.fon.bg.ac.rs
DHCP protokol može biti zloupotrebljen za primenu dve vrste napada na korporacijsku
računarsku mrežu. Prvi oblik napada je uskraćivanje servisa (engl. Denial of Service – DOS), a
drugi se koristi za prisluškivanje saobraćaja preusmeravanjem istog preko napadačeve radne
stanice (engl. Man in the Middle).
Takođe, je česta i kombinacija ova dva napada – napadač prvo isprazni IP adresni opseg
predviđen za dodelu adresa korisnicima, zatim ubacivanjem lažnog DHCP servera, klijentima
dodeljuje lažne parametre i na taj način izvršava Man in the Middle Attack9.
9
Irina Muravъeva, "Novый vzglяd na službu informacionnoй bezopasnosti kompanii",str 26.
39
Prvi način DHCP napada se odvija tako što napadač kontinuirano zahteva od DHCP
servera IP parametre sve dok ne isprazni kompletan adresni opseg za koji je dati DHCP server
konfigurisan. Taj adresni opseg je najčešće jedna C klasa IP adresa, koja se sastoji od 254 IP
adrese koje može da dodeli klijentima. Najčešće je C klasa, bez obzira da li se radi o maloj firmi
sa nekoliko desetina računara ili velikoj korporaciji čiju računarsku mrežu sačinjava nekoliko
hiljada radnih stanica i servera. Jer u slučaju velikog broja računara date kompanije, zbog
povećanja performansi smanjenjem broadcast domena, mreža će najčešće biti segmentirana
nekim L3 uređajem kao što je L3 svič ili ruter i na taj način nijedan od segmenata neće imati
potrebu za većim brojem IP adresa nego što je jedna C klasa.
Drugi način napada korišćenjem DHCP servera je malo složeniji i može da se koristiti za
prisluškivanje saobraćaja u mreži. Napadač konfiguriše i pušta u produkciju DHCP server na
svojoj radnoj stanici ili lap-top računaru. Taj DHCP server se nadmeće sa legitimnim DHCP
serverom prilikom dodele IP parametara klijentima (ili prvo uradi DoS napad na legitimni DHCP
server(e),a zatim on ostaje jedini DHCP server u mreži). Klijent će da prihvati IP parametre od
DHCP servera koji mu prvi odgovori. Međutim parametri koje dodeljuje lažni DHCP server nisu
isti kao oni koje dodeljuje legitimni. Napadač najčešće lažira polja DNS servera i
podrazumevajućeg rutera (engl. Default Gateway). Lažiranjem ovih parametara, napadač
postavlja svoj PC kao podrazumevajući ruter ili DNS server i sav saobraćaj koji napadnute radne
stanice razmenjuju sa spoljnim svetom ili drugim virtuelnim lanovima – VLAN-ovima se odvija
preko napadačeve radne stanice. Još je neophodno da napadač pokrene neki analizator mrežnog
saobraćaja kao što je Ethereal i da prisluškuje saobraćaj iščekujući neko korisničko ime i lozinku
poslatu preko mreže u neenkriptovanom obliku, kao što to rade nebezbedni protokoli: Telnet,
FTP, HTTP, POP3 i dr. U okruženju gde se koristi terminal server i web interfejs za pristup
aplikacija, moguće je u lažnom DNS-u lažirati adresu web interfejsa, podesiti ga da umesto TCP
porta 443 koristi TCP port 80 – ako bi se ovakav napad tempirao u vremenu između 7:55 i 8:05 u
toku jednog radnog dana, napadač bi mogao da prikupi nekoliko stotina korisničkih imena i
lozinki, jer je u tom periodu najveća frekvencija logovanja korisnika.
DHCP DoS napad može da se izvede na dva načina od kojih je jedan starijeg, a drugi
novijeg datuma i značajno sofisticiraniji, te je i neophodno implementirati i dodatni sofisticiraniji
mehanizam zaštite. Da bi objašnjavanje principa napada i mehanizma zaštite bilo moguće dobro
objasniti, neophodna je sledeća slika, koja prikazuje izgled DHCP paketa.
40
Tabela 2 .Format DHCP paketa
Izvor: znanje.org
Kada se govori o DHCP napadu, onda je ključno polje u DHCP paketu, na koje treba
obratiti pažnju, polje „Client Hardware Address“. Prvi i manje sofisticiran DHCP DoS napad
funkcioniše tako što napadač radi MAC Spoofing – randomizujući svoju MAC adresu, zatim
svaku od njih upisuje u polje „Client Hardware Address“ i istu tu MAC adresu upisuje u polje
„Source MAC“ u zaglavlju Ethernet frejma. Na ovaj način napadač generiše veliku (dovoljnu)
količinu DHCP Request paketa koje bradcast-uje na mrežni segment i tako zauzima sve IP
adrese koje dati DHCP server ima na raspolaganju. Prilikom izrade ovog rada, za ovu
demonstraciju, je korišćen Linuks alat „DHCP H Flooder“.
41
pomogla migracija ka sopstvenom sistemu. Sopstveno rešenje će na duži rok uštedeti više novca
i verovatno obezbediti veću fleksibilnost za pokrivanje svih potreba privatnosti u preduzeću.
Jednom kada je doneta odluka o tome da virtuelna privatna mreža može da ponudi
privatnost i pogodnost Organizaciji u pogledu troškova u odnosu na tradicionalna uspostavljanja
veza, preostaje samo da se odluči koji činioci najbolje odgovaraju situaciji i potrebama njenih
mobilnih korisnika. Najverovatnije, VPN rešenje koje će zadovoljiti sve potrebe organiyacije
leži negde između proizvoda razvijenog u potpunosti sopstvenim snagama i kupovine svih
usluga van sopstvene organizacije.
42
identitet (ID). Ovo je, međutim, podrazumevalo pohranjivanje informacija u centralnoj bazi
podataka, čime je Majkrosoft bio stavljen u ulogu čuvara korisnikovih ličnih podataka. Sistem
nije zaživeo, jer je izazivao prave noćne more oko pitanja privatnosti. InfoKard je novi
Majkrosoftov pokušaj, kod kojeg je pitanje privatnosti rešeno tako što će sve lične informacija
biti čuvane od treće strane, kao što su, na primer, kompanije koje izdaju kreditne kartice. To je,
uostalom, posao koji ove kompanije već obavljaju. Majkrosoft je već najavio da će sistem biti
deo softver paketa sledeće verzije vindovsa, koja treba da se nađe u slobodnoj prodaji početkom
iduće godine. Korisnici XP-a će program moći da Sistem takođe generiše javne i privatne
šifrovane ključeve za overu transakcija. Privatni ključ se čuva na korisnikovom računaru, dok se
javni ključ deli između korisnika i sertifikacionog autoriteta. Tokom kupovine, korisnik prvo
pristupa virtuelnom novčaniku sa "infokarticama", koji se nalazi na desktopu njegovog računara.
Pristup je ograničen pasvordom. Ovaj "master" pasvord se ne šalje preko Interneta, već se čuva
na bezbednom delu mašine. Na taj način se onemogućava krađa pasvorda od strane hakera.
InfoKard softver zatim automatski proverava digitalni potpis vebsajta i verifikuje da se radi o
legitimnom mestu. Ukoliko sajt nema važeći sertifikat, znači da postoji mogućnost da je u
pitanju "lažnjak". Sistem u tom slučaju ne dozvoljava korisniku prenos ličnih podataka. Ukoliko
je sajt ispravan, od njega stiže zahtev za detaljima neophodnim za transakciju, kao što su broj
korisnikove kartice, ime i adresa. InfoKard kao odgovor upućuje korisnika na digitalne kartice
koje se nalaze na desktopu računara. Klik na odgovarajuću karticu tera program da propusti
zahtev za detalje sertifikacionom autoritetu. Autoritet istog momenta verifikuje da je zahtev
došao od prave osobe, tražeći od korisnikovog računara da upotrebi privatni ključ za dešifrovanje
niza bitova šifrovanih sa autoritetovim javnim ključem. Ukoliko je sve u redu, autoritet generiše
sertifikat koji sadrži odgovarajuću informaciju, potpisuje je digitalnim potpisom i šalje korisniku.
Klik na sertifikat prenosi informaciju do sajta i omogućava obavljanje trgovine. Iako zvuči
komplikovano, cela radnja će u stvarnosti zahtevati svega nekoliko sekundi i spasiće korisnika
od ručnog unosa ličnih podataka. Sem toga, sistem nudi mogućnost formiranja različitih kartica
koje sadrže samo odabranu informaciju. Na taj se način može ograničiti količina ličnih podataka
koju korisnik daje vebsajtovima. Takođe, mogu da se formiraju i kartice namenjene
vebsajtovima koji zahtevaju samo identitet korisnika, ali ne i verifikaciju treće strane. To su, na
primer, imejl vebsajtovi ili onlajn dnevne novine 10. Ove kartice će čuvati privatni/javni ključ za
10
Mr Tatjana Kovačević, Elektronsko poslovanje, skripta, Megatrend Univerzitet primenjenih nauka, 2001-2003
43
svaki vebsajt, tako da se oni mogu upotrebiti umesto pasvorda. Stručnjaci gledaju na novi sistem
sa optimizmom i smatraju da će dodavanje kriptografskih ključeva značajno povećati onlajn
bezbednost. Kompanija Verisajn je već najavila da će obezbediti digitalni sertifikat za InfoKard.
Slični sistem treba da dobiju i korisnici Epla i Linuksa kroz otvoreni projekat pod nazivom
Higins. Projektom rukovodi neprofitna fondacija Eklips, uz doprinos IBM-a. Virtuelni novčanik
za pomenute sisteme mogao bi da bude spreman već u junu11.
Zaključak
11
Mr Tatjana Kovačević, Elektronsko poslovanje, skripta, Megatrend Univerzitet primenjenih nauka, 2001-
2003.str.65.
44
Razvoj Internet tehnologija imamo svuda u svetu, pa je tako i našoj zemlji otvorena
mogućnost da se integriše u već postojeće ili novostvorene sisteme elektronskog poslovanja. To
je stvarno kompleksan proces koji zahteva angažovanje stručnjaka iz različitih oblasti i znatne
novčane investicije. Da bi se elektronsko poslovanje moglo razvijati, potrebno je ispuniti neke
tehnološke pretpostavke. Pre svega je potrebno raspolagati informatičkom magistralom tj.
infrastrukturom zadovoljavajućeg kapaciteta. Da bi se osigurala kompatibilnost uređaja i metoda
koje se koriste u elektronskom poslovanju, potrebno je standardizovati sve aspekte rada mreže,
od standarda video distribucije do protokola za rad u mreži i pružanja mrežnih usluga,
kompresije različitih oblika multimedijalnih dokumenata i sl.Osim tehnoloških preduslova
potrebno je ostvariti i unaprediti i zakonske pretpostavke koje će omogućiti nesmetan
razvoj elektronskog poslovanja, zaštitu autorskih prava i privatnosti i osigurati univerzalni
pristup mreži i adekvatnu politiku određivanja cena za pristup mreži i korišćenje
informacija.
45
Many prior researches have asserted that security is the main concern of both customers
and businesses involved in e-commerce and a challenge to its success, particularly in Jordan.
This study therefore investigated the current perceptions and viewpoints in respect of e-
commerce security, seeking to identify the nature of security concerns from both of these
perspectives. The research resulted a set of issues which provides organisations with insights that
would guide them to the implementation of effective strategies to deal with the issues emerged
and discussed in previous sections. This research concerns itself within the Jordanian context; a
statement by a participant from an organisation, believes that the trust between a customer and
merchant is as nonexistent as it is between a customer and the Arabic Governments. This raises
the question: is the approach for trustable e-commerce culturally dependent? Is there a global
solution that will work in all cultural contexts? As globalization is in huge growth, at current
time, this is an issue worthy of exploration. The findings of this study were based on Jordan
context and therefore it is not sure whether they are also similar elsewhere. Hence, a comparative
study of two developing countries, where new and further insight might be expected to emerge
and contribute to extending the body of knowledge.
46
Literatura
47
Internet izvori
http://www.posdata/virtual.htm
http://www.microsoft.com/communications/.
http://www.ariadne.ac.uk/issue17/teleworking/
http://www.acm.org/pubs/citations/proceedings/cpr/2 99513/p19-burn/
http://portal.sinteza.singidunum.ac.rs/Media/files/2014/175-179.pdf
https://www.vps.ns.ac.rs/wp-content/uploads/2018/05/Predavanje-9.pdf
http://andrijanatanaskovic.blogspot.com/p/prednost-elektronskog-poslovanja.html
e -trgovina.rs
emportal.rs/zines/ekonomist
simlab.fon.bg.ac.rs
megatrend-online.com
znanje.org
48