SREDNJA ŠKOLA DRAGUTINA STRAŽIMIRA

INTERNETSKA SIGURNOST
SEMINARSKI RAD

Profesor: Učenik:

Jagoda Laković Merkaš Matija Turčić

Svet Ivan Zelina, veljača, 2022

Sadržaj
Uvod......................................................................................................... 1

Međunarodni zakonodavni okvir……………………………………………..2

Međunarodni dogovori vijeća Europe……………………………………….3

Zakonodavne radnje…………………………………………………………..4

Kazneni zakoni Republike Hrvatske………………………………………...5

Presretanje podataka…………………………………………………………6

Man-in-the-middle napad……………………………………………………..7

Zaključak……………………………………………………………………….8
Uvod

Cyber kriminalci često dobivaju vrijedne informacije presretanjem i praćenjem

komunikacija koje se šalju putem interneta ili drugih informacijskih mreža. Treće osobe
mogu lako presresti poruke elektroničke pošte. Time cyber kriminalci mogu dobiti brojeve
bankovnih računa, zaporke, pristupne kodove i razne druge vrijedne podatke. Privatni ključ
koji se koristi između dvije strane za šifriranje komunikacija i podataka može se lako
presresti od treće strane. Urezivanje žice uključuje presretanje podataka dodirivanjem
komunikacijske linije između dva računala korištenjem opreme. Sniffer je program koji
nadzire podatke koji se šalju putem mreže. Pojava njuškanja paketa omogućuje počinitelju da
dobije vrijedne informacije kao što su brojevi kreditnih kartica i tajni kodovi. Informacije
koje se šalju putem Interneta razbijene su na manje dijelove koji se nazivaju paketi podataka.
Paketi podataka se šalju jedan po jedan putem interneta i kombiniraju ga računalo primatelja.
Ovi paketi podataka mogu se presresti kada putuju putem Interneta. Može se napraviti kopija
paketa podataka i paket se može poslati na izvorno odredište. Uporaba satelitskih i
informacijskih mreža može olakšati presretanje podataka.

Slika 1
MEĐUNARODNI ZAKONODAVNI OKVIR

Ne postoji zajednički dogovorena jedinstvena definicija "kibernetičkog kriminala".

Odnosi se na ilegalne aktivnosti posredovane internetom koje se često odvijaju u globalnim
elektroničkim mrežama. Kibernetički kriminal je "međunarodni" ili "transnacionalni" -
između zemalja nema "cyber-granica".

Međunarodni cyber kriminal često dovodi u pitanje učinkovitost domaćeg i međunarodnog

prava i provedbe zakona. Budući da postojeći zakoni u mnogim zemljama nisu prilagođeni
cyber kriminalu, kriminalci sve češće provode zločine na internetu kako bi iskoristili
prednosti manje strogih kazni ili poteškoća u traženju. Bez obzira na to, u zemljama u razvoju
ili razvijenim zemljama, vlade i industrije postupno su shvatile kolosalne prijetnje cyber
kriminalom na ekonomsku i političku sigurnost i javne interese. Međutim, složenost u
vrstama i oblicima kibernetičkog kriminala povećava poteškoće u odbijanju. U tom smislu,
borba protiv cyber kriminala zahtijeva međunarodnu suradnju. Različite organizacije i vlade
već su uložile zajedničke napore u uspostavljanju globalnih standarda zakonodavstva i
provedbe zakona na regionalnoj i međunarodnoj razini.

Suradnja između Kine i Sjedinjenih Država nedavno je jedan od najupečatljivijih napretka,

jer su oni dvije vodeće zemlje u kojima se cyber kriminal nalazi. Informacijska i
komunikacijska tehnologija (ICT) igra važnu ulogu u osiguravanju interoperabilnosti i
sigurnosti na temelju globalnih standarda. Usvojene su opće protumjere u razbijanju cyber
kriminala, kao što su zakonske mjere za usavršavanje zakonodavstva i tehničke mjere u
otkrivanju zločina preko mreže, kontrola internetskog sadržaja, korištenje javnog ili privatnog
proxyja i računalne forenzike, šifriranje i uvjerljivo poricanje itd. Zbog heterogenosti
provedbe zakona i tehničkih protumjera različitih zemalja, ovaj će se rad uglavnom
usredotočiti na zakonodavne i regulatorne inicijative međunarodne suradnje.

Zakon o zaštiti privatnosti elektroničkih komunikacija u Sjedinjenim Američkim Državama

propisuje da je neovlašteno presretanje elektroničke komunikacije kazneno djelo. Presretanje
poruke elektroničke pošte koja se šalje putem mreže predstavlja prekršaj. U Singapuru,
odjeljak 6 singapurskog Zakona o zlouporabi računala.Zakon predviđa neovlašteno
presretanje bilo koje funkcije računala pomoću uređaja. Zakon nadalje propisuje da je svaki
uređaj koji se koristi za nezakonito presretanje funkcije računala prekršaj
MEĐUNARODNI ODGOVORI VIJEĆA EUROPE

Izvješće Vijeća Europe o računalnom kriminalu preporučuje da zemlje trebaju

donijeti zakone za sankcioniranje neovlaštenog presretanja s kaznenom kaznom. Ova odredba
usmjerena je na zaštitu podataka tijekom prijenosa putem mreže. Neovlašteno presretanje
nalazi se na minimalnom popisu za razliku od izbornog popisa. Konvencija o kibernetičkom
kriminalu bavi se ilegalnim presretanjem i propisuje da zemlje potpisnice trebaju
kriminalizirati namjerno presretanje podataka bez prava. Jasno je da se presretanje podataka
može dogoditi samo kada se podaci prenose ili šalju s jedne točke na drugu. Objašnjenje
Konvencije o kibernetičkom kriminalu odnosi se na prekršaje presretanja u vezi s
elektromagnetskim emisijama koje računalo emitira tijekom njegovog rada. Podaci se mogu
rekonstruirati iz takvih elektromagnetskih emisija i stoga je moguće presretanje podataka na
takav način.

Kako bi se borila protiv kibernetičkog kriminala, EU je provela zakonodavstvo i podržala

operativnu suradnju, kao dio Strategije EU-a o kibernetičkoj sigurnosti. Komunikacija
"Otpornost, odvraćanje i obrana: izgradnja jake kibernetičke sigurnosti za EU" nadograđuje i
dalje razvija Strategiju EU-a o kibernetičkoj sigurnosti. Kao što je navedeno u priopćenju,
Europska komisija nastavlja raditi na učinkovitom cyber odvraćanju od strane EU-a, između
ostalog, olakšavajući prekogranični pristup elektroničkim dokazima za kaznene istrage.

Zakonodavne radnje

Nekoliko zakonodavnih mjera EU-a doprinosi borbi protiv cyber kriminala. To

uključuje:

2013. - Direktiva o napadima na informacijske sustave, koja ima za cilj suočiti se s velikim
internetskim napadima zahtijevajući od država članica da ojačaju nacionalne zakone o cyber
kriminalu i uvedu strože kaznene sankcije.

Komisija je 2017. objavila Izvješće u kojem se procjenjuje u kojoj su mjeri države članice
poduzele potrebne mjere kako bi se uskladila s

Direktivom.2011. - Direktiva o borbi protiv seksualnog iskorištavanja djece putem interneta i

dječje pornografije, koja bolje rješava nove događaje u internetskom okruženju, kao što je
dotjerivanje (počinitelji koji se predstavljaju kao djeca kako bi namamili maloljetnike u svrhu
seksualnog zlostavljanja)

2001. - Okvirna odluka o suzbijanju prijevare i krivotvorenja bezgotovinskih sredstava

plaćanja, koja definira prijevarna ponašanja koja države EU trebaju smatrati kažnjivim
kaznenim djelima.

Europska komisija odigrala je ključnu ulogu u razvoju EC3, koja je počela s radom u siječnju
2013. EC3 djeluje kao središnja točka u borbi protiv kibernetičkog kriminala u Uniji,
udružujući stručnost europskog kibernetičkog kriminala kako bi podržala istrage cyber
kriminala država članica i pružila kolektivni glas europskih istražitelja kibernetičkog
kriminala u svim tijelima za provedbu zakona i pravosuđu.

Globalni savez protiv seksualnog zlostavljanja djece Online: Savez je pokrenut 5. prosinca
2012. i zajednička je inicijativa EU-a i SAD-a, okupljajući 54 zemlje iz cijelog svijeta kako
bi se zajedno borile protiv seksualnog zlostavljanja djece.

ENISA: Europska agencija za sigurnost mreža i informacija uključena je u pružanje potpore

razmjeni dobrih praksi između država članica EU-a.

Kazneni zakon Republike Hrvatske

Nedugo nakon ulaska Republike Hrvatske u Europsku uniju, Europski parlament i

Vijeće Europske unije, temeljem članka 83.stavka 1. Ugovora o funkcioniranju Europske
unije, donijeli su Direktivu 2013/40/EU o napadima na informacijske sustave. Ciljevi
Direktive su približiti kaznena prava državama članica u području napada na informacijske
sustave. Za sva kaznena djela neovlaštenog presretanje računalnih podataka propisana je
samo kazna zatvora, kao što se navodi u Narodnim novinama br. 125 07.11.2011 Kazneni
zakon: Članak 269.

Presretanje podataka

Internet je izgrađen kao hijerarhijski sustav. U nastavku je vrlo pojednostavljena

slika Interneta: krajnji korisnici povezani su s ISP mrežom putem DSL / kabelskih veza ili
dial-upom, ISP-ove mreže su povezane s nekoliko većih, nacionalnih širokih pružatelja
internetskih usluga, a veliki ISP-ovi su međusobno povezani. Postoje posebna računala za
pronalaženje pravog puta za pakete podataka koji putuju do odredišta - ISP gateway-i ili
usmjerivači - koji pregledavaju svaki paket koji prolazi kroz njih i prenosi ga na sljedeći
gateway sve dok paket ne stigne na svoje odredište. Put između izvorne mreže i odredišne
mreže naziva se “ruta”. Rute (putevi između mreža) odabiru se ovisno o opterećenju mreže,
dostupnosti veza itd. I često se mijenjaju, ponekad i nekoliko puta dnevno. Obično
podatkovni paketi putuju do odredišnog poslužitelja preko desetak različitih mreža i
pristupnika. Kako podatkovni paketi podataka putuju s računala na odredišni poslužitelj
putem Interneta?

Nakon što paketi podataka napuste računalo, prenose se na ISP gateway. ISP gateway, koji
ima višestruke veze s većim ISP mrežama, ispitat će IP adresu odredišta, odabrati
odgovarajući gateway "next hop" i zatim proslijediti paket ovom gatewayu. Novi pristupnik
će obaviti isti postupak i tako dalje.

Dakle, gdje je slaba točka u ovom lancu? Postoji jedna točka na kojoj su proslijeđeni svi
podaci: ISP gateway. Nakon što paket napusti vašu ISP mrežu, gotovo je nemoguće
predvidjeti njegovu rutu, budući da će ovisiti o odredištu. Čak i ako je odredište isto, rute se
mijenjaju, danas je to jedna ruta, a sutra će biti još jedna.

Da bi nadzirala nečije internetske aktivnosti, zainteresirana strana bi trebala pratiti ISP

promet, jedinstvenu točku kroz koju se prolazi sav taj promet. Zapravo je riječ o tome kako
su provedeni državni sustavi za praćenje Interneta poput “Carnivore” i analognog europskog
sustava “Echelon”. Neke manje zemlje i arapske zemlje imaju nekoliko ili čak jednu vanjsku
internetsku vezu, što znači da je tehnički moguće blokirati mjesta ili vršiti nadzor na razini
ISP-a širom zemlje.

Da bi zaštitili svoje podatke od presretanja, korisnici bi trebali koristiti šifriranje prometa.

Glavna ideja je da se podaci prosljeđuju preko ISP mreže i dalje - izvan zemlje, šifrirani. To
će jamčiti da ni osoblje ISP-a niti državna tijela ne mogu presresti podatke.

Jedini tehnički problem je da obje strane koje sudjeluju u prijenosu podataka trebaju
podržavati enkripciju, a to se u mnogim slučajevima ne može postići. Većina web-lokacija,
davatelji usluga e-pošte ne podržavaju šifriranje. Mnoge internetske usluge ne mogu podržati
dizajn po šifriranju.

Na primjer, ICQ, IRC, FTP, protokoli za newsgrupe ne podržavaju enkripciju. To znači da se

podaci na tim poslužiteljima ne mogu šifrirati s računala na odredište. Kada se šifriranje od
kraja do kraja ne može postići iz različitih razloga, usluge treće strane mogu se koristiti za
šifriranje prometa. To će omogućiti sigurno prosljeđivanje podataka putem nadziranih ISP
pristupnika i veza na granicama zemlje.

Sav promet će biti šifriran na putu od računala do posebnog poslužitelja za tuneliranje, zatim
- nešifriran i proslijeđen na odredišni poslužitelj (poslužitelj e-pošte, web poslužitelj, IRC) u
nešifriranom obliku. Ako odredišni poslužitelj podržava samu enkripciju, na primjer https
sigurne web-lokacije, promet će biti šifriran dva puta, npr. prošao kroz poslužitelj tuneliranja
u šifriranom obliku i nešifriran samo prema odredišnom poslužitelju.

Drugim riječima, mogu se sigurno slati PGP šifrirane poruke e-pošte ili posjetiti sigurne web-
lokacije putem takvih poslužitelja tunela. Glavna prednost takvih usluga je u tome što ne
pružaju samo zaštitu podataka, već i IP adresu. Svi udaljeni poslužitelji koje komuniciramo
putem šifriranog tunela vidjet će samo IP adresu poslužitelja tunela, a ne IP s kojeg se šalje.

Man-in-the-middle napad

Jedan od najčešće korištenih napada, koji cilja kako pojedince, tako i organizacije,
jeste Man-in-the-middle (MITM) vrsta napada. MITM napad funkcionira tako da napadač
upada u komunikaciju između klijenta i servera. Žrtve vjeruju da komuniciraju jedna sa
drugom dok zapravo njihova komunikacija teče preko uređaja koja izvodi napad. Danas
mnogi sigurnosni protokoli koriste neku vrstu provjere autentičnosti kako bi spriječili man-
in-the-middle napade. Najpoznatiji takav protokol jest SSL (eng. Secure Sockets Layer)
protokol koji se koristi kako bi se potvrdila autentičnost između obe strane komunikacije, a to
se ostvaruje tako da pouzdana treća osoba provjerava obje strane te ih ovjeri certifikatom.
Slika 0.2 MITM napad
Najlakše je opisati MITM napad primjerom sa 3 sudionika: Marko ,Ana i Ivan. Ana i Marko
pokušavaju komunicirati dok Ivan pokušava presresti komunikaciju. Ana šalje Marku zahtjev
za Markovim javnim ključem. Ako Marko pošalje svoj ključ Ani postoji mogućnost da Ivan
presretne poruku. Ako Ivan uspije u tome, može započeti sa napadom. Ivan šalje
krivotvorenu poruku prema Ani koja zaključuje da je dobila poruku od Marka ali poruka
sadrži Ivanov javni ključ. Ana koja vjeruje da je ključ koji je dobila bio od Marka, kriptira
poruku sa Ivanovim ključem i šalje nazad prema Marku. Ivan presreće i tu poruku, izmjenjuje
ju i ponovo šifrira, ovaj put sa Markovim javnim ključem koji je originalno Marko slao Ani.
Kad Marko dobije poruku on vjeruje da je poruka od Ane.
ZAKLJUČAK

Cyber kriminalci često primaju vrijedne informacije presretanjem i praćenjem komunikacija

koje se šalju putem interneta ili drugih informacijskih mreža. Privatni ključ koji se koristi
između dvije strane za šifriranje komunikacija i podataka može se lako presresti od treće
strane. Paketi podataka se šalju jedan po jedan i spajaju ih računalo primatelja. Ovi paketi
podataka mogu se presresti kada putuju putem Interneta. Cyber kriminal je "međunarodni" ili
"transnacionalni" - između zemalja ne postoji "cyber-granica". Odnosi se na ilegalne
aktivnosti posredovane internetom koje se često događaju u globalnim elektroničkim
mrežama. Kriminalci sve češće počinju zločine na internetu kako bi iskoristili manje stroge
kazne ili poteškoće u pretraživanju. Usvojene su opće protumjere u slučaju kršenja
kibernetičkog zakona, kao što su zakonodavne mjere za poboljšanje zakonodavstva i
tehničkih mjera u otkrivanju kriminala putem interneta, kontroliranje internetskog sadržaja,
korištenje javnog ili privatnog zastupnika i računalne forenzike. Izvješće Vijeća Europe o
računalnom kriminalu preporučuje zemljama da usvoje zakone za sankcioniranje
neovlaštenog presretanja s kaznenom presudom. Kako bi se borila protiv kibernetičkog
kriminala, EU je provela zakonodavstvo i podržala operativnu suradnju kao dio kibernetičke
sigurnosne strategije EU-a. EU je tijekom godina usvojila niz zakonodavnih mjera koje
pomažu u prevladavanju cyber kriminala.