Professional Documents
Culture Documents
Seminarski Rad Dronjak Dejan Elektronsko Poslovanje
Seminarski Rad Dronjak Dejan Elektronsko Poslovanje
septembar 2017
Sadržaj
1. UVOD...............................................................................................................................................3
2. MODELI BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA....................................................3
2.1 POVERLJIVOST.........................................................................................................................4
2.2 INTEGRITET...............................................................................................................................5
2.3 RASPOLOŽIVOST......................................................................................................................5
2.4 AUTENTIKACIJA.......................................................................................................................5
2.5 NEPORICIVOST.........................................................................................................................6
3. TIPOVI NAPADAČA I MOTIVI ZA NAPAD...............................................................................6
3.1.1 POČETNICI (Newbies – Script Kiddies)..............................................................................6
3.1.2 INTERNET PANKERI (Cyber-punks).................................................................................7
3.1.3 NAPADAČI IZNUTRA (Insiders)........................................................................................7
3.1.4 NAPADAČI PROGRAMERI (Coders)................................................................................7
3.1.5 PROFESIONALCI (Proffessionals).....................................................................................7
4. SIGURNOSNI PROPUSTI VRATA NAPADAČA........................................................................8
5. SCENARIO UGROŽAVANJA BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA...............10
5.1.1 UGROŽAVANJE BEZBEDNOSTI OD STRANE NAPADAČA.....................................10
5.1.2 OSIGURAVANJE PRISTUPA SISTEMU ELEKTRONSKOG POSLOVANJA..............11
5.1.3 PROŠIRENJE PRISTUPA SISTEMU RADI DALJEG SPROVOĐENJA NAPADA......11
5.1.4 PREUZIMANJE DRUGIH RADNJI..................................................................................11
5.1.5 SKRIVANJE TRAGOVA PRISUSTVA............................................................................12
5.1.6 UGROŽAVANJE BEZBEDNOSTI OD STRANE ZAPOSLENIH...................................12
6. ZAKLJUČAK.................................................................................................................................14
7. LITERATURA...............................................................................................................................15
2
1. UVOD
Bezbednost poslovnih informacija uvek je značajna za organizacije bez obzira da li posluju
na tradicionalni ili elektronski način. Tradicionalni način poslovanja zahteva sebi svojstven način
zaštite poslovnih informacija. Zaštita informacija se uglavnom sprovodi fizičkim sredstvima, a cilj je
očuvati poverljivost informacije. Shodno ovakvoj zaštiti, razvile su se pretnje koje se uglavnom
temelje na ugrožavanju poverljivosti i tačnosti informacija. Napade najčešće izvršavaju obučeni
profesionalci koji mogu na prefinjen način da dobiju informacije od zaposlenih, ali ima i onih
napadača koji mogu da upotrebe i oružje u ostvarivanju svog cilja.
Sredinom 20 veka počinje da se razvija moderan način poslovanja na snazi novih tehničkih
dostignuća, koji omogućava sve veći ekomomski rast i razvoj. Dostignuće informatičke tehnologije
omogućilo je primenu računarske tehnologije i računarskih mreža u poslovanju. Organizacije u svom
poslovanju počinju sve više da koriste novu tehnologiju za obradu, skladištenje i prenos informacija.
Novo okruženje u kome živi informacija, elektronska informacija, postalo je sve veće, odnosno
informacija postaje dostupnija i njoj se može pristupiti sa najudaljenih mesta. Ovo stvara prostor za
sve veću zloupotrebu.
Kao i tradicionalni način poslovanja, poslovanje primenom informatički tehnologija ima iste
zahteve za bezbednošću, poveljivošću i tačnošću informacija. Međutim, sam pristup informacijama
je drugačiji nego kod tradicionalnog poslovanja i zasniva se na informatičkim resursima. Ukoliko se
ovim resursima ne može pristupiti, onda se ne može pristupiti ni informacijama, a posledica je
dovođenje celog poslovanja u pitanje. Stoga novi način poslovanja zahteva još jedan nivo
bezbednosti, a to je raspoloživost. Sve veća primena savremenih tehnologija uslovila je nove vrste
napada i napadača. Uvođenjem elektronskog poslovanja spektar napada se proširo na tačnost
informacija i raspoloživost informacija i servisa. Shodno novim vrstama napada razvijaju se novi
profili napadača.
Sve veća postignuća u razvoju informatičke tehnologije omogućila su široku upotrebu računarskih
mreža i njihovo povezivanje u jedinstven informatičko-komunikacioni sistema danas poznat pod
nazivom Internet. Internet je doprineo globalizaciji poslovnih procesa i nagli razvoj elektronskog
poslovanja. Tokom razvoja Interneta cilj je bio da se iznađu rešenja povezivanja računara zatvorenog
kruga korisnika. Zbog toga se malo pažnje posvećivalo bezbednosti. Današnja upotreba Interneta
zahteva upotrebu bezbednosnih rešenja koja treba da zadovolje stare (u novom obliku) i nove
bezbednosne zahteve.
Neki informacioni sistem je bezbedan ako nisu ugroženi bezbednosni zahtevi. Poverljivost,
integritet i raspoloživost su tri najčešća bezbednosna zahteva i predstavljaju „tri stuba bezbednosti“.
Sistem je bezbedan kada ispunjava sva tri navedena bezbednosna zahteva. Na slici 1.a. prikazan je
model koji predstavlja osnovne bezbednosne zahteve [1]. Ovaj model pokazuje da su tri stuba
3
bezbednosti povezana jedan sa drugim i da između njih postoji balans. Ovaj balans ukazuje na to da
neispunjenje samo jednog zahteva može negativno uticati na druga dva zahteva. Svaki bezbednosni
zahtev može biti nezavisan od drugih, ali samo jedinstvo ova tri zahteva (preklapanje slika 1.)
verovatno će očuvati bezbednost sistema.
Novi model bezbenosnih zahteva elektronskog poslovanja proširuje navedeni model za još
dve dodatne osobine, neporicivost i autentikacija. Na slici 1.b. je prikazan novi model bezbednosnih
zahteva elektronskog poslovanja [2]. Svaki bezbednosni zahtev ovog modela može u nekom stepenu
biti izolovan, a gledajući sa strane ispunjenja tog bezbednosnog zahteva sistem je bezbedan. Da bi se
ostvarila što bolja zaštita sistema potrebno je bezbednosne zahteve ovoga modela promatrati kao
jedinstvo, koje je na slici 1. prikazano oblašću preklapanja zahteva.
2.1 POVERLJIVOST
Za pojedine sisteme kao što su bolnice, banke, osiguravajuća društva, policija, kao i za sve
koji se bave autentikacijim, poverljivost ima najveću moguću važnost.
4
2.2 INTEGRITET
Integritet predstavlja osobinu da podaci nisu izmenjeni ili uništeni na neovlašćen način.
Integritet se može posmatati iz dve perspektive:
Integritet podataka. To je osobina koja garantuje da podaci neće biti izmenjeni na
neautorizovan način prilikom pristupanja procesu arhiviranju, obrade ili prenosa. Izmena
poruke se događa kada se sadržaj poslatih podataka neprimećeno izmeni, a rezultuje
neovlašćenim efektom.
Integritet sistema. Ovaj integritet podrazumeva kvalitet koji sistem poseduje dok obavlja
zahtevanu funkcionalnost na besprekoran način, zaštićen od bilo kakve neautorizovane
manipulacije.
2.3 RASPOLOŽIVOST
2.4 AUTENTIKACIJA
5
2.5 NEPORICIVOST
Onog trenutka kada se spozna način razmišljanja i psihologija napadača moći će da se osmisli
adekvatan način suprostavljanja. Veoma je teško svrstati napadače po grupama jer se oni danas
razlikuju po starosnoj dobi, obrazovanju, motivima, tehničkom znanju, društvenoj kategoriji.
Relativno gruba podela napadača mogla bi se sprovesti na sledeći način [4]:
U početnike se svrstavaju uglavnom maloletnici koji su tek na “početku karijere”. Ova grupa
je izuzetno opasna i raste svakim danom gotovo eksponencijalnom brzinom. Pripadnici ove grupe su
slabog tehničkog znanja jer tek počinju da se bave napadačkim aktivnostima. Uglavnom ne poseduju
nikakvo znanje o programiranju.
Motivaciju nalaze u školi, odnosno u krugu svoje generacije gde mogu da privuku pažnju
drugih, steknu priznanje u društvu zbog mogućnosti i “znanja” koje ih izdiže iznad ostalih.
Uglavnom se oslanjaju na alate do kojih su došli na Internetu raznim kanalima (irc, chat, icq, www,
ftp, news, itd.) ili razmenom unutar kruga u kome se kreću. Najčešći oblici napada kojima se koriste
su DoS (Denial of Service) ili DDoS (Distributed Denial of Service). Relativno se lako otkrivaju.
6
3.1.2 INTERNET PANKERI (Cyber-punks)
U ovu grupu spadaju napadači koji imaju nešto veće tehničko obrazovanje. Oni poseduju
ograničeno znanje o programiranju, uglavnom koriste C, C++, Visual Basic i Perl, ali nešto bolje
razumeju metodologiju napada alatima kojima se koriste. Napade izvode sa ciljem uništavanja
podataka, rušenja sistema, korištenja generatora brojeva kreditnih kartica i sl. Nastoje da izazovu
medijsku pažnju. Lako se otkrivaju.
Mogu se svrstati u najbrojnije napadače. Procena je da se čak 70-80% napada događa iznutra
odnosno uz pomoć pomagača koji imaju legalan pristup napadnutim informatičkim resursima. Ovaj
tip napadača predstavlja veliki problem, a radi se o ljudima koji su u organizaciji. Ovi napadači su
informatički ''načitani'' i u detalje poznaju kompletnu infrastrukturu, odnosno topologiju sistema
organizacije. Moguće je čak i da administriraju sistem.
Drugi razlog je nezakonito sticanje imovinske koristi prodajom informacija kojima imaju
pristup. Ove oblike napada izuzetno je teško otkriti.
Određeni deo objavljuju i na Internetu, najčešće u obliku trojanskih konja, skripti i virusa.
Vrlo su opasni i teški za otkrivanje, posebno ako deluju iznutra.
7
tehnologije, itd.). Koriste se opremom koja je zadnja reč tehnike i visoke tehnologije. Polje delovanja
uglavnom su razni oblici špijunaže, od ekonomske do obaveštajne.
Izuzetno su teški za otkrivanje, time više što izbegavaju bilo kakav oblik medijske prisutnosti
i kontakata. Na Internetu su uglavnom pasivno prisutni, a na komunikacijskim kanalima su samo
slušači. Skupljaju informacije i podatke, izrađuju unikatne alate i nigde ih ne objavljuju, već ih
koriste isključivo za sebe. Ne ponavljaju metode napada. Pripreme za napad su im dugotrajne i
detaljne.
Propusti mogu nastati prilikom dizajna sistema ili pogrešnom konfiguracijom. SANS svake
godine izdaje listu najčešćih sigurnosnih propusta za operativne sisteme, cross-platformske aplikacije
i mrežne proizvode [6].
8
Na web sajtu CERT kordinacionog centra [7] prikazana je statistika od 1995. godine do
danas. Krajem devedesetih godina broj sigurnosnih propusta merio se stotinama(1999. godine bilo je
471 propusta), a početkom 2000.godine broj propusta premašuje 1000. Broj propusta se iz godine u
godinu povećava, tako da 2005. godine prelazi 6000. Na slici 3.2. se vidi stalni rast prijavljenih
propusta, što ukazuje na sve veću potencijalnu opasnost od napada (2000.g. - 21.756 incidenata, a
2003. g.- 137.529 incidenata). Napadači najčešće iskorišćavaju propuste nastale u:
9
5. SCENARIO UGROŽAVANJA
BEZBEDNOSTI ELEKTRONSKOG
POSLOVANJA
Postoji više scenarija koje napadač koristi da bi ugrozio bezbednosti elektronskog poslovanja
kao što su infiltracija u sistem, suplantacija, menjanje podataka u toku komunikacije, prisluškivanje,
odbijanje servisa... Između nekih od ovih scenarija postoji međusobna zavisnost, pa je teško opisati
svaki od njih pojedinačno, a da se ne spomene drugi scenario. Stoga u ovome naslovu pristup je
takav da se uopšteno opiše scenario.
Gledano u odnosu na granicu sistema, napadač može da ugrozi sistem spolja i iznutra, a
napadač može biti neko ko je zaposlen u organizaciji. Stoga su ovde razmatrana dva scenarija. U
prvom scenariju se opisuju faze kroz koje prolazi napadač prilikom sprovođenja napada, a drugi
scenario opisuje ugrožavanje bezbednost od strane zaposlenih u organizaciji.
Svaki napadač ima svoj karakterističan pristup u izvođenju napada i nastoji da prilikom
napada ostvari svoj motive i namere. Te motive i namere sprovodi na nezakonit način u svim svojim
aktivnostima prema sistemu koji napada. Napadač prilikom napada nastoji da dođe do potrebnih
informacija koje bi mu omogućile neopažen pristup sistemu. Kada pristupi sistemu on nastoji da
dobije što veće privilegije da
bi mogao da ostvari svoj cilj.
Neki napadači, koji su manje
iskusni ili im je cilj da stave
do znanja organizaciji da su
im narušili sistem
bezbednosti, nakon dobijanja
privilegija završavaju napad.
Po dobijanju potrebnih
privilegija napadač sprovodi
svoj cilj, a potom maskira
svoje tragove prisustva u
sistemu.
10
Generalno gledajući svaki napadač prilikom izvođenja napada prolazi kroz pet faza.
11
5.1.2 OSIGURAVANJE PRISTUPA SISTEMU ELEKTRONSKOG POSLOVANJA
Napadač najčešće ostvaruje pristup sistemu na nelegala i nezakonit način, odnosno koristi
razne metode za pribavljanje podataka o sistemu i načinu na koji se koristi. Na osnovu prikupljenih
podataka napadač neovlašćeno ulazi u sistem.
Pošto je napadač otkrio identitet korisnika, on je time dobio i njegova ovlašćenja (prava i
privilegije).
Napadač sa tuđim identitetom može pristupiti sistemu, ali da bi ostvario svoje namere on
dobijena prava mora prošiririti kako bi mogao nesmetano da pristupa resursima.
U ovoj fazi se za neke napadače napad završava, dok su za druge širom otvorena vrata za
dalje nezakonite aktivnosti. Sada su radnje napadača usmerene na manipulaciju programima i
podacima (korišćenje nekog programa za rad sa bazom podataka, prepravljenje postojećih programa
– programa za finansijske transakcije), onemogućavanje daljeg korišćenja sistema (uskraćivanje
usluga ovlašćenim korisnicima) i stvaranje uslova za buduće nezakonite radnje (implementacija
malicioznih programa).
12
5.1.5 SKRIVANJE TRAGOVA PRISUSTVA
Kada napadač ne bi sakrio svoje tragove prisustva brzo bi bio otkriven i izveden pred lice
pravde.
Tragove skriva tako što uklanja dokaze aktivnosti iz log datoteka operativnog sistema i
programa.
Najčešći motiv kada zaposleni na ovakav način ugrožava bezbednost sistema je njegovo
nezadovoljstvo prema organizaciji (nezadovoljstvo radnim mestom, napredovanjem, platom,
omalovažavanjem od strane pretpostavljenih i drugih zaposlenih), ostvarenje ličnog interesa, osveta
prema organizaciji, spoljašnji pritisci i ucene. Ovakvi zaposleni mogu naneti znatnu štetu organizaciji
jer deluju iznutra i poznaju sistem u celini.
Najčešći motivi zaposlenih koji omogućavaju napadaču da od njih dobije korisne informacije
su: ostvarivanje finansijske dobiti, koristoljublje, osveta i spoljašnji pritisci. Napadač koristi više
tehnika za prikupljanje informacija koje su opisane u [9]. Organizacije prilikom uvođenja
elektronskog poslovanja na samom početku mogu ugroziti bezbednost sistema.
13
Rukovodstvo organizacija, nakon što donese odluku o početku poslovanja elektronskim
putem, treba da odluči o načinu na koji će zaštititi poslovne informacije i autentikovati
korisnike.
Predsednik organizacije, koji ne razume tehnologiju, donosi odluku u pogledu
dodeljivanja resursa, šifrovanja i načina čuvanja. Negov prioritet je bila niska cena i da je
sistem jednostavan za korišćenje, a vodio se ciljem da ovakvo poslovanje bude što
dostupnije, korisnički orjentisano, odnosno lako za korišćenje zaposlenim, partnerima i
kupcima.
Shodno donetim odlukama u organizaciji se implementira autentikacija zasnovana na
lozinki, a koristi se kratka lozinka kako bi je korisnik lako zapamtio.
Za zaštitu korisničke lozinke i korisničkog naloga se koriste jeftini i jednostavni
algoritmi. Ovo smanjuje početnu cenu implementacije sistema i smanjuje vreme obrade
resursa zato što se koriste jednostavni, a time brzi algoritmi za zaštitu. Pored toga,
lozinke mogu biti otkrivene kako bi se korisniku omogućili da je dobije ukoliko je
zaboravi.
Jednostavno korišćenje privlači nove korisnike tako da se baza korisnika brzo povećava.
Shodno velikom broju korisnika organizacija ostvaruje veći profit nego konkurentske
organizacije koje imaju složeni korisnički interfejs.
Neko sa zlonamernim ciljem usmerenim prema organizaciji, možda nezadovoljan
prethodnim poslodavcem ili neki napadač sa Interneta, probija sistem i dobija privilegije
za pristup osetljiviminformacijama zahvaljujući lozinkama koje se ne menjaju. Pošto je
organizacija štedela na uvođenju bezbednosti sistema, nije implementirala sistem za
detektovanje napada i upada u sistem, pa napadač neće biti detektovan.
Pošto je napadač otkrio lozinke, on ih koristi kako bi dobio informacije o kreditnim
karticama. Ove informacije koristi za kupovinu i prodaju. Organizacija uočava nelogične
i velike troškove na svom računu.
Organizacija se obraća sertifikacionom telu sa zahtevom da otkrije i uhvati napadača.
Napadačpreko sredstava javnog informisanja saznaje da je organizacija otkrila da su joj
pokredene informacije o kredinim karticama, odnosno njegov upad u sistem.
Neki korisnici i poslovni partneri prekidaju poslovanje sa kompromitovanom
organizacijom.
Sada organizacija implementira mere koje sistem čine bezbednim. Ovo rezultira
prekidom servisa za ostale korisnike i organizacija troši prilično sredstava u
uspostavljanju novog sistema.
Organizacija ne uspeva da povrati ugled posle incidenta, a konkurencija dobija nove
korisnike ipartnere proširujući granice profita. Navedeni scenario ukazuje da na
ugrožavanje bezbednosti ne utiču samo korisnici i napadači koji imaju interes već I sam
pristup i način uvođenja elektronskog poslovana u organizaciju. Scenario pokazuje da se
zaštiti sistema elektronskog poslovanja od unutarnjih i spoljašnjih napada mora ozbiljno
pristupiti, odnosno lica koja se bavezaštitom ovakvih sistema treba da ukažu na
bezbednosne probleme i načine njihovog prevazilaženja, a rukovodstvo organizacije
treba da prihvati najpovoljnije rešenje.
14
6. ZAKLJUČAK
Sve brži razvoj računarskih i telekomunikacionih sistema i njihovo međusobno povezivanje u
jedan sistem poznat pod nazivom Internet doprineli su pojavi novog vida poslovanja, elektronskog
poslovanja. Novo okruženje dovelo je do novog modela bezbednosti elektronskog poslovanja.
Nasuprot tome, pojavile su se nove tehnike napada i napadači.
Neki informacioni sistem je bezbedan ako nisu ugroženi bezbednosni zahtevi. Poverljivost,
integritet i raspoloživost su tri najčešća bezbednosna zahteva i predstavljaju „tri stuba bezbednosti“.
Sistem je bezbedan kada ispunjava sva tri navedena bezbednosna zahteva. Na slici 1.a. prikazan je
model koji predstavlja osnovne bezbednosne zahteve [1]. Ovaj model pokazuje da su tri stuba
bezbednosti povezana jedan sa drugim i da između njih postoji balans. Ovaj balans ukazuje na to da
neispunjenje samo jednog zahteva može negativno uticati na druga dva zahteva. Svaki bezbednosni
zahtev može biti nezavisan od drugih, ali samo jedinstvo ova tri zahteva (preklapanje slika 1.)
verovatno će očuvati bezbednost sistema.
Napadači na informatičke resurse mogli bi se podeliti u više grupa prema raznim motivima.
Napade ne izvode sami računari već ih izvode ljudi koji njima upravljaju.
Onog trenutka kada se spozna način razmišljanja i psihologija napadača moći će da se osmisli
adekvatan način suprostavljanja. Veoma je teško svrstati napadače po grupama jer se oni danas
razlikuju po starosnoj dobi, obrazovanju, motivima, tehničkom znanju, društvenoj kategoriji.
Generalno gledajući napad iskorišćava bilo koju tehničku ili ljudsku slabost u sistemu
bezbednosti. Tehničke slabosti uključuju nedostatke u dizajnu, neodgovarajuću zaštitu i slabosti ili
promene u okruženju.
Postoji više scenarija koje napadač koristi da bi ugrozio bezbednosti elektronskog poslovanja
kao što su infiltracija u sistem, suplantacija, menjanje podataka u toku komunikacije, prisluškivanje,
odbijanje servisa... Između nekih od ovih scenarija postoji međusobna zavisnost, pa je teško opisati
svaki od njih pojedinačno, a da se ne spomene drugi scenario. Stoga u ovome naslovu pristup je
takav da se uopšteno opiše scenario.
15
Gledano u odnosu na granicu sistema, napadač može da ugrozi sistem spolja i iznutra, a
napadač može biti neko ko je zaposlen u organizaciji. Stoga su ovde razmatrana dva scenarija. U
prvom scenariju se opisuju faze kroz koje prolazi napadač prilikom sprovođenja napada, a drugi
scenario opisuje ugrožavanje bezbednost od strane zaposlenih u organizaciji.
7. LITERATURA
1. Prof. dr Božidar Radenković, Elektronsko poslovanje – stanje i perspektive,FON, Beograd, 2007
2. Dr Vojkan Vaskovic,Bankarstvo na Internatu, FON, 2006
3. prof.dr. Zoran Marošan, Poslovni informacioni sistemi, Novi Sad , 2002
4. Adizes I., Upravljanje promenama, Skripta, 1996
5. Veljović A., Menadžment informacioni sistemi I, Megatrend, Beograd, 2002
6. http://www.emportal.co.yu/zines/ekonomist
7. http://simlab.fon.bg.ac.yu
8. http://www.megatrend-online.com
9. http://www.znanje.org
16