Seminarski rad

Predmet: Elektronsko poslovanje

Tema: Zaštita i bezbednost elektronskog poslovanja

Profesor: Dr Đorđe Dihovični student: Dronjak Dejan

broj indeksa: 48s/016

septembar 2017
 Sadržaj

1. UVOD...............................................................................................................................................3
2. MODELI BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA....................................................3
2.1 POVERLJIVOST.........................................................................................................................4
2.2 INTEGRITET...............................................................................................................................5
2.3 RASPOLOŽIVOST......................................................................................................................5
2.4 AUTENTIKACIJA.......................................................................................................................5
2.5 NEPORICIVOST.........................................................................................................................6
3. TIPOVI NAPADAČA I MOTIVI ZA NAPAD...............................................................................6
3.1.1 POČETNICI (Newbies – Script Kiddies)..............................................................................6
3.1.2 INTERNET PANKERI (Cyber-punks).................................................................................7
3.1.3 NAPADAČI IZNUTRA (Insiders)........................................................................................7
3.1.4 NAPADAČI PROGRAMERI (Coders)................................................................................7
3.1.5 PROFESIONALCI (Proffessionals).....................................................................................7
4. SIGURNOSNI PROPUSTI VRATA NAPADAČA........................................................................8
5. SCENARIO UGROŽAVANJA BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA...............10
5.1.1 UGROŽAVANJE BEZBEDNOSTI OD STRANE NAPADAČA.....................................10
5.1.2 OSIGURAVANJE PRISTUPA SISTEMU ELEKTRONSKOG POSLOVANJA..............11
5.1.3 PROŠIRENJE PRISTUPA SISTEMU RADI DALJEG SPROVOĐENJA NAPADA......11
5.1.4 PREUZIMANJE DRUGIH RADNJI..................................................................................11
5.1.5 SKRIVANJE TRAGOVA PRISUSTVA............................................................................12
5.1.6 UGROŽAVANJE BEZBEDNOSTI OD STRANE ZAPOSLENIH...................................12
6. ZAKLJUČAK.................................................................................................................................14
7. LITERATURA...............................................................................................................................15

2
1. UVOD
Bezbednost poslovnih informacija uvek je značajna za organizacije bez obzira da li posluju
na tradicionalni ili elektronski način. Tradicionalni način poslovanja zahteva sebi svojstven način
zaštite poslovnih informacija. Zaštita informacija se uglavnom sprovodi fizičkim sredstvima, a cilj je
očuvati poverljivost informacije. Shodno ovakvoj zaštiti, razvile su se pretnje koje se uglavnom
temelje na ugrožavanju poverljivosti i tačnosti informacija. Napade najčešće izvršavaju obučeni
profesionalci koji mogu na prefinjen način da dobiju informacije od zaposlenih, ali ima i onih
napadača koji mogu da upotrebe i oružje u ostvarivanju svog cilja.

Sredinom 20 veka počinje da se razvija moderan način poslovanja na snazi novih tehničkih
dostignuća, koji omogućava sve veći ekomomski rast i razvoj. Dostignuće informatičke tehnologije
omogućilo je primenu računarske tehnologije i računarskih mreža u poslovanju. Organizacije u svom
poslovanju počinju sve više da koriste novu tehnologiju za obradu, skladištenje i prenos informacija.
Novo okruženje u kome živi informacija, elektronska informacija, postalo je sve veće, odnosno
informacija postaje dostupnija i njoj se može pristupiti sa najudaljenih mesta. Ovo stvara prostor za
sve veću zloupotrebu.

Kao i tradicionalni način poslovanja, poslovanje primenom informatički tehnologija ima iste
zahteve za bezbednošću, poveljivošću i tačnošću informacija. Međutim, sam pristup informacijama
je drugačiji nego kod tradicionalnog poslovanja i zasniva se na informatičkim resursima. Ukoliko se
ovim resursima ne može pristupiti, onda se ne može pristupiti ni informacijama, a posledica je
dovođenje celog poslovanja u pitanje. Stoga novi način poslovanja zahteva još jedan nivo
bezbednosti, a to je raspoloživost. Sve veća primena savremenih tehnologija uslovila je nove vrste
napada i napadača. Uvođenjem elektronskog poslovanja spektar napada se proširo na tačnost
informacija i raspoloživost informacija i servisa. Shodno novim vrstama napada razvijaju se novi
profili napadača.

Sve veća postignuća u razvoju informatičke tehnologije omogućila su široku upotrebu računarskih
mreža i njihovo povezivanje u jedinstven informatičko-komunikacioni sistema danas poznat pod
nazivom Internet. Internet je doprineo globalizaciji poslovnih procesa i nagli razvoj elektronskog
poslovanja. Tokom razvoja Interneta cilj je bio da se iznađu rešenja povezivanja računara zatvorenog
kruga korisnika. Zbog toga se malo pažnje posvećivalo bezbednosti. Današnja upotreba Interneta
zahteva upotrebu bezbednosnih rešenja koja treba da zadovolje stare (u novom obliku) i nove
bezbednosne zahteve.

2. MODELI BEZBEDNOSTI ELEKTRONSKOG

POSLOVANJA

Neki informacioni sistem je bezbedan ako nisu ugroženi bezbednosni zahtevi. Poverljivost,
integritet i raspoloživost su tri najčešća bezbednosna zahteva i predstavljaju „tri stuba bezbednosti“.
Sistem je bezbedan kada ispunjava sva tri navedena bezbednosna zahteva. Na slici 1.a. prikazan je
model koji predstavlja osnovne bezbednosne zahteve [1]. Ovaj model pokazuje da su tri stuba
3
bezbednosti povezana jedan sa drugim i da između njih postoji balans. Ovaj balans ukazuje na to da
neispunjenje samo jednog zahteva može negativno uticati na druga dva zahteva. Svaki bezbednosni
zahtev može biti nezavisan od drugih, ali samo jedinstvo ova tri zahteva (preklapanje slika 1.)
verovatno će očuvati bezbednost sistema.

Slika 1. Modeli bezbednosti

Novi model bezbenosnih zahteva elektronskog poslovanja proširuje navedeni model za još
dve dodatne osobine, neporicivost i autentikacija. Na slici 1.b. je prikazan novi model bezbednosnih
zahteva elektronskog poslovanja [2]. Svaki bezbednosni zahtev ovog modela može u nekom stepenu
biti izolovan, a gledajući sa strane ispunjenja tog bezbednosnog zahteva sistem je bezbedan. Da bi se
ostvarila što bolja zaštita sistema potrebno je bezbednosne zahteve ovoga modela promatrati kao
jedinstvo, koje je na slici 1. prikazano oblašću preklapanja zahteva.

2.1 POVERLJIVOST

Poverljivost predstavlja osobinu dainformacija nije na raspolaganju, niti je dostupna onima

koji nisu ovlašćeni da je prime. Informacija koja se štiti uključuje i posredne zaključke, kako one do
kojih se može doći na osnovu podataka koji se prenose, tako one do kojih se dolazi nadgledanjem
saobraćaja. Poverljivost postaje osobito važna kada su u pitanju komunikacione mreže. Za većinu
organizacija poverljivost po važnosti dolazi na treće mesto nakon raspoloživosti i integriteta.

Za pojedine sisteme kao što su bolnice, banke, osiguravajuća društva, policija, kao i za sve
koji se bave autentikacijim, poverljivost ima najveću moguću važnost.

4
2.2 INTEGRITET

Integritet predstavlja osobinu da podaci nisu izmenjeni ili uništeni na neovlašćen način.
Integritet se može posmatati iz dve perspektive:
 Integritet podataka. To je osobina koja garantuje da podaci neće biti izmenjeni na
neautorizovan način prilikom pristupanja procesu arhiviranju, obrade ili prenosa. Izmena
poruke se događa kada se sadržaj poslatih podataka neprimećeno izmeni, a rezultuje
neovlašćenim efektom.
 Integritet sistema. Ovaj integritet podrazumeva kvalitet koji sistem poseduje dok obavlja
zahtevanu funkcionalnost na besprekoran način, zaštićen od bilo kakve neautorizovane
manipulacije.

2.3 RASPOLOŽIVOST

Raspoloživost je zahtev kojim se osigurava da će sistem promptno odgovoriti na zahteve i da

usluge neće biti uskraćene autorizovanim korisnicima. Raspoloživost znači da se podacima ili
drugim informatičkim resursima može pristupiti bez ograničenja i da se oni mogu slobodno koristiti
kada je to potrebno. Pod pojmom raspoloživosti podrazumeva se [3]: „u kom vremenu je sistem
sposoban da odradi posao za koji je namenjen“. Odnosno, raspoloživost se može definisati kao
proporcija stvarno raspoloživog vremena sistema i vremena koliko bi sistem trebao da bude
raspoloživ.

Za osiguravanje raspoloživosti od velikog značaja je sprečavanje odbijanje usluga. Odbijanje

usluga se događa kada neki entitet ne izvrši odgovarajuću funkciju ili se ponaša na način koji
sprečava druge da obavljaju svoje funkcije na ispravan način.

2.4 AUTENTIKACIJA

Autentikacija predstavlja proces potvrđivanja identiteta korisnika i entiteta. Identifikacija

podataka korisnika u nekim slučajevima zahteva više od jednog autentikacionog uverenja.
Autentikacioni factor (npr. PIN ili lozinka) je tajna ili jedinstvena informacija povezana sa
identifikatorom korisnika, a koristi se da potvrdi identitet korisnika.

Autentikacija sa jednim faktorom je najčešći metod autentikacije i obično koristi kombinaciju

korisničkog ID i lozinke. Kada se doda još neki od faktora, kao smart kartica, tada se govori o dvo-
ili višestrukoj autentikaciji. Autentikacija sa dva ili više faktora se smatra bezbednijom jer kradljivac
mora da otuđi više ovlašćenja. Ova autentikacija je često skupa za organizacije i komplikovana za
krajnje korisnike.

5
2.5 NEPORICIVOST

Neporicivost predstavlja osobinu da učesnici u transakciji ne mogu naknadno da poriču svoje

učešće u svim ili samo u nekim delovima obavljene transakcije. Servisi neporicanja porekla i
isporuke sastoje se u sledećem:
 Neporicanje sa dokazom porekla. Primalac podataka dobija dokaz o poreklu podataka.
Ovim se pruža zaštita od pokušaja pošiljaoca da porekne da je poslao podatke ili da
porekne njihov sadržaj.
 Neporicanje sa dokazom isporuke. Pošiljalac podataka dobija dokaz da su podaci
isporučeni. Ovim se pruža zaštita od naknadnog pokušaja primaoca da lažno odriče da je
primio podatke ili njihov sadržaj. U elektronskom poslovanju neporicivost je suštinska u
obezbeđivanju legitimnih poslovnih transakcija koje moraju biti priznate i neporicive od
strana koje učestvuju.

Neporicivosti transakcija elektronskog poslovanja ima sledeće osobine:

 transakcije i subjekti su u međusobnoj povezanosti,
 transakcije su teške za falsifikovanje,
 transakcije su nepromenjive,
 transakcije se moraju potvrditi.

3. TIPOVI NAPADAČA I MOTIVI ZA NAPAD

Napadači na informatičke resurse mogli bi se podeliti u više grupa prema raznim motivima.
Napade ne izvode sami računari već ih izvode ljudi koji njima upravljaju.

Onog trenutka kada se spozna način razmišljanja i psihologija napadača moći će da se osmisli
adekvatan način suprostavljanja. Veoma je teško svrstati napadače po grupama jer se oni danas
razlikuju po starosnoj dobi, obrazovanju, motivima, tehničkom znanju, društvenoj kategoriji.
Relativno gruba podela napadača mogla bi se sprovesti na sledeći način [4]:

3.1.1 POČETNICI (Newbies – Script Kiddies)

U početnike se svrstavaju uglavnom maloletnici koji su tek na “početku karijere”. Ova grupa
je izuzetno opasna i raste svakim danom gotovo eksponencijalnom brzinom. Pripadnici ove grupe su
slabog tehničkog znanja jer tek počinju da se bave napadačkim aktivnostima. Uglavnom ne poseduju
nikakvo znanje o programiranju.

Motivaciju nalaze u školi, odnosno u krugu svoje generacije gde mogu da privuku pažnju
drugih, steknu priznanje u društvu zbog mogućnosti i “znanja” koje ih izdiže iznad ostalih.
Uglavnom se oslanjaju na alate do kojih su došli na Internetu raznim kanalima (irc, chat, icq, www,
ftp, news, itd.) ili razmenom unutar kruga u kome se kreću. Najčešći oblici napada kojima se koriste
su DoS (Denial of Service) ili DDoS (Distributed Denial of Service). Relativno se lako otkrivaju.

6
3.1.2 INTERNET PANKERI (Cyber-punks)

U ovu grupu spadaju napadači koji imaju nešto veće tehničko obrazovanje. Oni poseduju
ograničeno znanje o programiranju, uglavnom koriste C, C++, Visual Basic i Perl, ali nešto bolje
razumeju metodologiju napada alatima kojima se koriste. Napade izvode sa ciljem uništavanja
podataka, rušenja sistema, korištenja generatora brojeva kreditnih kartica i sl. Nastoje da izazovu
medijsku pažnju. Lako se otkrivaju.

3.1.3 NAPADAČI IZNUTRA (Insiders)

Mogu se svrstati u najbrojnije napadače. Procena je da se čak 70-80% napada događa iznutra
odnosno uz pomoć pomagača koji imaju legalan pristup napadnutim informatičkim resursima. Ovaj
tip napadača predstavlja veliki problem, a radi se o ljudima koji su u organizaciji. Ovi napadači su
informatički ''načitani'' i u detalje poznaju kompletnu infrastrukturu, odnosno topologiju sistema
organizacije. Moguće je čak i da administriraju sistem.

U principu poseduju solidno programersko znanje i znanje administracije sistema. Mogu da

izvedu složene i pritajene oblike napada. Motivacija ovih napadača potiče iz jednog od dva razloga.
Jedan od razloga je osveta zbog eventualne degradacije, nepostavljanja na (po njihovom mišljenju)
zasluženo radno mestu ili dobijanja otkaza.

Drugi razlog je nezakonito sticanje imovinske koristi prodajom informacija kojima imaju
pristup. Ove oblike napada izuzetno je teško otkriti.

3.1.4 NAPADAČI PROGRAMERI (Coders)

Napadači programeri su često i napadači iznutra. Imaju tehničko znanje, znanje

programiranja u barem nekoliko jezika (C, C++, Assembler, Perl, shell scripting, itd.) i imaju
zavidno znanje o hardveru. Sve što vredi za prethodnu opisanu vrstu napadača, više manje vredi i za
njih.

Motivacija je uglavnom bazirana na osećaju moći i prestiža u informatičkim krugovima.

Alate za napade uglavnom pišu sami. Koriste ih kao svoja “tajna” oružja.

Određeni deo objavljuju i na Internetu, najčešće u obliku trojanskih konja, skripti i virusa.
Vrlo su opasni i teški za otkrivanje, posebno ako deluju iznutra.

3.1.5 PROFESIONALCI (Proffessionals)

Uz cyber-teroriste najopasnija su grupa napadača. O ovoj grupaciji se jako malo zna. U

profesionalce spadaju ljudi od istinskih kriminalca i lopova do vojnih i industrijskih obaveštajaca.
Motiv je isključivo novac, što znači da ih se može staviti i u rang plaćenika. Poseduju zapanjujuće
znanje na raznim tehničkim poljima (razni oblici komunikacije, hardverskosoftverski nivo, satelitske

7
tehnologije, itd.). Koriste se opremom koja je zadnja reč tehnike i visoke tehnologije. Polje delovanja
uglavnom su razni oblici špijunaže, od ekonomske do obaveštajne.

Izuzetno su teški za otkrivanje, time više što izbegavaju bilo kakav oblik medijske prisutnosti
i kontakata. Na Internetu su uglavnom pasivno prisutni, a na komunikacijskim kanalima su samo
slušači. Skupljaju informacije i podatke, izrađuju unikatne alate i nigde ih ne objavljuju, već ih
koriste isključivo za sebe. Ne ponavljaju metode napada. Pripreme za napad su im dugotrajne i
detaljne.

4. SIGURNOSNI PROPUSTI VRATA NAPADAČA

Generalno gledajući napad iskorišćava bilo koju tehničku ili ljudsku slabost u sistemu
bezbednosti. Tehničke slabosti uključuju nedostatke u dizajnu, neodgovarajuću zaštitu i slabosti ili
promene u okruženju.

Ljudske slabosti u bezbednosti sistema obično uključuju nedovolja znanja korisnika i

nepridržavanje pravila, neuvežbanost i nedovoljnu obučenost korisnika i slabu fizičku bezbednost.
Clifford i Cliff Berga u [5] izdvojili su šablone i tehnike napada kao posledica tehničkih i ljudskih
slabosti. Napadači koriste sigurnosne propuste kako bi ostvarili svoj cilj.

Propusti mogu nastati prilikom dizajna sistema ili pogrešnom konfiguracijom. SANS svake
godine izdaje listu najčešćih sigurnosnih propusta za operativne sisteme, cross-platformske aplikacije
i mrežne proizvode [6].

Slika 2. Prijavljeni sigurnosni propusti CERT kordinacionom centru

8
 Na web sajtu CERT kordinacionog centra [7] prikazana je statistika od 1995. godine do
danas. Krajem devedesetih godina broj sigurnosnih propusta merio se stotinama(1999. godine bilo je
471 propusta), a početkom 2000.godine broj propusta premašuje 1000. Broj propusta se iz godine u
godinu povećava, tako da 2005. godine prelazi 6000. Na slici 3.2. se vidi stalni rast prijavljenih
propusta, što ukazuje na sve veću potencijalnu opasnost od napada (2000.g. - 21.756 incidenata, a
2003. g.- 137.529 incidenata). Napadači najčešće iskorišćavaju propuste nastale u:

- Operativnim sistemima. Operativni sistemi upravljaju računarskim resursima

(hardverskim i softverskim) i neophodni su za rad drugih sistemskih i korisničkih aplikacija. Propusti
u operativnom sistemu i njegovim pratećim aplikacijama, kao i propusti u konfiguraciji, stvaraju
uslove koje napadač može iskoristiti za napad. Kako operativni sistem upravlja svim računarskim
resursima, tako napad na njega direktno ugrožava i sistem elektronskog poslovanja.

-Cross-platformskim aplikacijama. Propusti u ovim aplikacijama mogu na direktan i

indirektan način da ugroze elekronsko poslovanje. Propusti u softveru za razvoj aplikacija (u kome
su pored ostalih aplikacija razvijene i poslovne aplikacije) i u bazama podataka koje se koriste za
smeštanje poslovnih podataka mogu na direktan način da ugroze elektronsko poslovanje. Ostale
aplikacije koje se koriste za zaštitu podataka, zaštitu od virusa, deljenje podataka i aplikacije za
komunikaciju mogu na indirektan način da ugroze poslovanje, ako napadač iskoristi propuste u
njima.

- Mrežnim proizvodima. Mrežni proizvodi predstavljaju značajan resurs u uspostavljanju

infrastrukture elektronskog poslovanja. Oni omogućavaju povezivanje
organizacija i klijenata u sistem koji organizacijama pruža sticanje dodatne vrednosti, a klijentima
kupovinu i usluge nezavisne od vremena i mesta. Propusti u mrežnim
proizvodima i načinu konfigurisanja najčešće mogu prouzrokovati uskraćivanje usluga korisnicima
elektronskog poslovanja, kompromitovanje perimetarske zaštite i VPN-a. –

Web servisima. Nove aplikacije za elektronsko poslovanje zasnovane na web servisima

upravljaju značajnim informacijama, pa kao posledica toga postaju
meta napada (krađa, zlonamerni hakeri, industrijska špijunaža). Napadači na ove aplikacije traže
moguća rešenja za ostvarenje svog cilja, a ta rešenja zadiru ne
samo u aplikacije nego i u Web servise. Bezbednost aplikacija zasniva se i na bezbednosti Web
servisa. Da bi se iznašlo pravo bezbednosno rešenje koje će otkloniti ili
ublažiti napade potrebno je sagledati moguće pretnje i propuste. Houglund i Mc Grawe su
identifikovali 49 šablona za napade [8] koji su zasnovani na propustima Web servisa, a mogu se
svrstati u sledeće grupe:
 iskorišćavanje serverskog softvera,
 iskorišćavanje klijentskog softvera,
 implementacija zlonamernog koda,
 preplavljivanje bafera.

9
5. SCENARIO UGROŽAVANJA
BEZBEDNOSTI ELEKTRONSKOG
POSLOVANJA
Postoji više scenarija koje napadač koristi da bi ugrozio bezbednosti elektronskog poslovanja
kao što su infiltracija u sistem, suplantacija, menjanje podataka u toku komunikacije, prisluškivanje,
odbijanje servisa... Između nekih od ovih scenarija postoji međusobna zavisnost, pa je teško opisati
svaki od njih pojedinačno, a da se ne spomene drugi scenario. Stoga u ovome naslovu pristup je
takav da se uopšteno opiše scenario.

Gledano u odnosu na granicu sistema, napadač može da ugrozi sistem spolja i iznutra, a
napadač može biti neko ko je zaposlen u organizaciji. Stoga su ovde razmatrana dva scenarija. U
prvom scenariju se opisuju faze kroz koje prolazi napadač prilikom sprovođenja napada, a drugi
scenario opisuje ugrožavanje bezbednost od strane zaposlenih u organizaciji.

5.1.1 UGROŽAVANJE BEZBEDNOSTI OD STRANE NAPADAČA

Svaki napadač ima svoj karakterističan pristup u izvođenju napada i nastoji da prilikom
napada ostvari svoj motive i namere. Te motive i namere sprovodi na nezakonit način u svim svojim
aktivnostima prema sistemu koji napada. Napadač prilikom napada nastoji da dođe do potrebnih
informacija koje bi mu omogućile neopažen pristup sistemu. Kada pristupi sistemu on nastoji da
dobije što veće privilegije da
bi mogao da ostvari svoj cilj.
Neki napadači, koji su manje
iskusni ili im je cilj da stave
do znanja organizaciji da su
im narušili sistem
bezbednosti, nakon dobijanja
privilegija završavaju napad.
Po dobijanju potrebnih
privilegija napadač sprovodi
svoj cilj, a potom maskira
svoje tragove prisustva u
sistemu.

Slika 3. Faze ugrožavanja

bezbednosti od strane
napadača

10
Generalno gledajući svaki napadač prilikom izvođenja napada prolazi kroz pet faza.

11
5.1.2 OSIGURAVANJE PRISTUPA SISTEMU ELEKTRONSKOG POSLOVANJA

Napadač najčešće ostvaruje pristup sistemu na nelegala i nezakonit način, odnosno koristi
razne metode za pribavljanje podataka o sistemu i načinu na koji se koristi. Na osnovu prikupljenih
podataka napadač neovlašćeno ulazi u sistem.

Da bi prikupio podatke koji su mu potrebni za upad u sistem napadač se najčešće koristi

sledećim metodama: metode kojim iskorišćava nepažnju korisnika (socijalni inženjering, shaulder
surfing, scavering, maskiranje, varanje, lažno predstavljanje), metode kojima se iskorišćava slabosti
internet protokola (login spoofing, web spoofing, e-mail spoofing, IP spoofing, DNS spoofing),
metoda nasumičnog pogađanja i pretraživanja, metoda špijuniranja (prisluškivanje, optičko
špijuniranje i presretanje elektromagnetnog zračenja), metoda socijalnog kontakta sa korisnikom
neformalno druženje, podmićivanje, ucenjivanje), metode programske manipulanipulacije
(programskar ešenja putem kojih se može doći do korisničkih lozinki i informacija o broju kartica i
vlasnika).

5.1.3 PROŠIRENJE PRISTUPA SISTEMU RADI DALJEG SPROVOĐENJA NAPADA

Pošto je napadač otkrio identitet korisnika, on je time dobio i njegova ovlašćenja (prava i
privilegije).

Napadač sa tuđim identitetom može pristupiti sistemu, ali da bi ostvario svoje namere on
dobijena prava mora prošiririti kako bi mogao nesmetano da pristupa resursima.

U tu svrhu napadač se najčešće koristi sledećim tehnikama: pregledavanjem sadržaja

računara, intervencije u programima kako bi se zaobišao postupak identifikacije i autorizacije (back
doors – postupak zaobilaženja koji je napravio napadač, trap doors - postupak zaobilaženja koji je
ostavo programer), programima za analizu i nadzor rada sistema (zloupotreba programa koji
administratoru omogućavaju nalaženje slabosti u sistemu zaštite), programima za zaobilaženje
sigurnosti sistema (programi koji administratoru omogućava zaobilaženje svih sigurnosnih sistema
radi sprovođenja brže intervencije na sistemu – posledice zloupotrebe su očite), iskorišćavanjem
grešaka u sistemu koje mogu ugroziti sigurnost sistema.

5.1.4 PREUZIMANJE DRUGIH RADNJI

Naredne radnje zavisiće od motiva i namera napadača.

U ovoj fazi se za neke napadače napad završava, dok su za druge širom otvorena vrata za
dalje nezakonite aktivnosti. Sada su radnje napadača usmerene na manipulaciju programima i
podacima (korišćenje nekog programa za rad sa bazom podataka, prepravljenje postojećih programa
– programa za finansijske transakcije), onemogućavanje daljeg korišćenja sistema (uskraćivanje
usluga ovlašćenim korisnicima) i stvaranje uslova za buduće nezakonite radnje (implementacija
malicioznih programa).

12
5.1.5 SKRIVANJE TRAGOVA PRISUSTVA

Sposobnost napadača da sakrije tragove svog prisustva je karakteristika koja mu omogućava

skrivanje njegovog rada i pruža mogućnost ponovnog delovanja.

Kada napadač ne bi sakrio svoje tragove prisustva brzo bi bio otkriven i izveden pred lice
pravde.

Tragove skriva tako što uklanja dokaze aktivnosti iz log datoteka operativnog sistema i
programa.

5.1.6 UGROŽAVANJE BEZBEDNOSTI OD STRANE ZAPOSLENIH

Zaposleni u organizaciji mogu ugroziti bezbednost sistem elektronskog poslovanja na

direktan i indirektan način. Kada zaposleni svesno preduzima skup radnji kojim se ugrožava
bezbednost elektronskog poslovanja sa ciljem prisvajanja, otuđenja ili uništenja informacija i drugih
informatičkih resursa organizacije, kako bi ostvario ličnu korist, to predstavlja direktan način
ugrožavanja bezbednosti od strane korisnika.

Najčešći motiv kada zaposleni na ovakav način ugrožava bezbednost sistema je njegovo
nezadovoljstvo prema organizaciji (nezadovoljstvo radnim mestom, napredovanjem, platom,
omalovažavanjem od strane pretpostavljenih i drugih zaposlenih), ostvarenje ličnog interesa, osveta
prema organizaciji, spoljašnji pritisci i ucene. Ovakvi zaposleni mogu naneti znatnu štetu organizaciji
jer deluju iznutra i poznaju sistem u celini.

Indirektno ugrožavanje bezbednosti od strane zaposlenih nastaje kada zaposleni svojom

nepažnjom, neshvatanjem značaja bezbednosti ili nedovoljnom obučenosti nesvesno omogući
napadaču da dođe do bitnih poslovnih informacija ili informacija koje će napadaču omogućiti da
naruši sistem bezbednosti. Odnosno, gledano sa strane napadača, napadač koristi svoje umeće da od
zaposlenog dobije njemu bitne informacije za narušavanje sistema bezbednosti. Ovo predstavlja
posebnu oblast napada koja iskorišćava ljudsku slabost u sistemu, a zove se socijalni inženjering.

Najčešći motivi zaposlenih koji omogućavaju napadaču da od njih dobije korisne informacije
su: ostvarivanje finansijske dobiti, koristoljublje, osveta i spoljašnji pritisci. Napadač koristi više
tehnika za prikupljanje informacija koje su opisane u [9]. Organizacije prilikom uvođenja
elektronskog poslovanja na samom početku mogu ugroziti bezbednost sistema.

Rukovodstvo organizacije od uvođenja elektronskogposlovanja nastoji da što pre ostvari

dodatu vrednost, pa e uvodi skupe mere zaštite kako bi korisniku mogućio to dostupnije i
jednostavnije poslovanje. Međutim, slab sistem zaštite napadač može lako narušiti, a organizaciji
aneti štetu kako materijalnu tako i gubitak klijenata, partnera, reputacije.

Najčešći scenario ugrožavanja bezbednosti od strane zaposlenih [10]:

13
 Rukovodstvo organizacija, nakon što donese odluku o početku poslovanja elektronskim
putem, treba da odluči o načinu na koji će zaštititi poslovne informacije i autentikovati
korisnike.
 Predsednik organizacije, koji ne razume tehnologiju, donosi odluku u pogledu
dodeljivanja resursa, šifrovanja i načina čuvanja. Negov prioritet je bila niska cena i da je
sistem jednostavan za korišćenje, a vodio se ciljem da ovakvo poslovanje bude što
dostupnije, korisnički orjentisano, odnosno lako za korišćenje zaposlenim, partnerima i
kupcima.
 Shodno donetim odlukama u organizaciji se implementira autentikacija zasnovana na
lozinki, a koristi se kratka lozinka kako bi je korisnik lako zapamtio.
 Za zaštitu korisničke lozinke i korisničkog naloga se koriste jeftini i jednostavni
algoritmi. Ovo smanjuje početnu cenu implementacije sistema i smanjuje vreme obrade
resursa zato što se koriste jednostavni, a time brzi algoritmi za zaštitu. Pored toga,
lozinke mogu biti otkrivene kako bi se korisniku omogućili da je dobije ukoliko je
zaboravi.
 Jednostavno korišćenje privlači nove korisnike tako da se baza korisnika brzo povećava.
Shodno velikom broju korisnika organizacija ostvaruje veći profit nego konkurentske
organizacije koje imaju složeni korisnički interfejs.
 Neko sa zlonamernim ciljem usmerenim prema organizaciji, možda nezadovoljan
prethodnim poslodavcem ili neki napadač sa Interneta, probija sistem i dobija privilegije
za pristup osetljiviminformacijama zahvaljujući lozinkama koje se ne menjaju. Pošto je
organizacija štedela na uvođenju bezbednosti sistema, nije implementirala sistem za
detektovanje napada i upada u sistem, pa napadač neće biti detektovan.
 Pošto je napadač otkrio lozinke, on ih koristi kako bi dobio informacije o kreditnim
karticama. Ove informacije koristi za kupovinu i prodaju. Organizacija uočava nelogične
i velike troškove na svom računu.
 Organizacija se obraća sertifikacionom telu sa zahtevom da otkrije i uhvati napadača.
Napadačpreko sredstava javnog informisanja saznaje da je organizacija otkrila da su joj
pokredene informacije o kredinim karticama, odnosno njegov upad u sistem.
 Neki korisnici i poslovni partneri prekidaju poslovanje sa kompromitovanom
organizacijom.
 Sada organizacija implementira mere koje sistem čine bezbednim. Ovo rezultira
prekidom servisa za ostale korisnike i organizacija troši prilično sredstava u
uspostavljanju novog sistema.
 Organizacija ne uspeva da povrati ugled posle incidenta, a konkurencija dobija nove
korisnike ipartnere proširujući granice profita. Navedeni scenario ukazuje da na
ugrožavanje bezbednosti ne utiču samo korisnici i napadači koji imaju interes već I sam
pristup i način uvođenja elektronskog poslovana u organizaciju. Scenario pokazuje da se
zaštiti sistema elektronskog poslovanja od unutarnjih i spoljašnjih napada mora ozbiljno
pristupiti, odnosno lica koja se bavezaštitom ovakvih sistema treba da ukažu na
bezbednosne probleme i načine njihovog prevazilaženja, a rukovodstvo organizacije
treba da prihvati najpovoljnije rešenje.

14
6. ZAKLJUČAK
Sve brži razvoj računarskih i telekomunikacionih sistema i njihovo međusobno povezivanje u
jedan sistem poznat pod nazivom Internet doprineli su pojavi novog vida poslovanja, elektronskog
poslovanja. Novo okruženje dovelo je do novog modela bezbednosti elektronskog poslovanja.
Nasuprot tome, pojavile su se nove tehnike napada i napadači.

Bezbednost poslovnih informacija uvek je značajna za organizacije bez obzira da li posluju

na tradicionalni ili elektronski način. Tradicionalni način poslovanja zahteva sebi svojstven način
zaštite poslovnih informacija. Zaštita informacija se uglavnom sprovodi fizičkim sredstvima, a cilj je
očuvati poverljivost informacije. Shodno ovakvoj zaštiti, razvile su se pretnje koje se uglavnom
temelje na ugrožavanju poverljivosti i tačnosti informacija. Napade najčešće izvršavaju obučeni
profesionalci koji mogu na prefinjen način da dobiju informacije od zaposlenih, ali ima i onih
napadača koji mogu da upotrebe i oružje u ostvarivanju svog cilja.

Neki informacioni sistem je bezbedan ako nisu ugroženi bezbednosni zahtevi. Poverljivost,
integritet i raspoloživost su tri najčešća bezbednosna zahteva i predstavljaju „tri stuba bezbednosti“.
Sistem je bezbedan kada ispunjava sva tri navedena bezbednosna zahteva. Na slici 1.a. prikazan je
model koji predstavlja osnovne bezbednosne zahteve [1]. Ovaj model pokazuje da su tri stuba
bezbednosti povezana jedan sa drugim i da između njih postoji balans. Ovaj balans ukazuje na to da
neispunjenje samo jednog zahteva može negativno uticati na druga dva zahteva. Svaki bezbednosni
zahtev može biti nezavisan od drugih, ali samo jedinstvo ova tri zahteva (preklapanje slika 1.)
verovatno će očuvati bezbednost sistema.

Napadači na informatičke resurse mogli bi se podeliti u više grupa prema raznim motivima.
Napade ne izvode sami računari već ih izvode ljudi koji njima upravljaju.

Onog trenutka kada se spozna način razmišljanja i psihologija napadača moći će da se osmisli
adekvatan način suprostavljanja. Veoma je teško svrstati napadače po grupama jer se oni danas
razlikuju po starosnoj dobi, obrazovanju, motivima, tehničkom znanju, društvenoj kategoriji.

Generalno gledajući napad iskorišćava bilo koju tehničku ili ljudsku slabost u sistemu
bezbednosti. Tehničke slabosti uključuju nedostatke u dizajnu, neodgovarajuću zaštitu i slabosti ili
promene u okruženju.

Ljudske slabosti u bezbednosti sistema obično uključuju nedovolja znanja korisnika i

nepridržavanje pravila, neuvežbanost i nedovoljnu obučenost korisnika i slabu fizičku bezbednost.
Clifford i Cliff Berga u [5] izdvojili su šablone i tehnike napada kao posledica tehničkih i ljudskih
slabosti. Napadači koriste sigurnosne propuste kako bi ostvarili svoj cilj.

Postoji više scenarija koje napadač koristi da bi ugrozio bezbednosti elektronskog poslovanja
kao što su infiltracija u sistem, suplantacija, menjanje podataka u toku komunikacije, prisluškivanje,
odbijanje servisa... Između nekih od ovih scenarija postoji međusobna zavisnost, pa je teško opisati
svaki od njih pojedinačno, a da se ne spomene drugi scenario. Stoga u ovome naslovu pristup je
takav da se uopšteno opiše scenario.

15
 Gledano u odnosu na granicu sistema, napadač može da ugrozi sistem spolja i iznutra, a
napadač može biti neko ko je zaposlen u organizaciji. Stoga su ovde razmatrana dva scenarija. U
prvom scenariju se opisuju faze kroz koje prolazi napadač prilikom sprovođenja napada, a drugi
scenario opisuje ugrožavanje bezbednost od strane zaposlenih u organizaciji.

7. LITERATURA
1. Prof. dr Božidar Radenković, Elektronsko poslovanje – stanje i perspektive,FON, Beograd, 2007
2. Dr Vojkan Vaskovic,Bankarstvo na Internatu, FON, 2006
3. prof.dr. Zoran Marošan, Poslovni informacioni sistemi, Novi Sad , 2002
4. Adizes I., Upravljanje promenama, Skripta, 1996
5. Veljović A., Menadžment informacioni sistemi I, Megatrend, Beograd, 2002
6. http://www.emportal.co.yu/zines/ekonomist
7. http://simlab.fon.bg.ac.yu
8. http://www.megatrend-online.com
9. http://www.znanje.org

16