Visoka Tehnoloka kola abac Odsek: Informacione Tehnologije

SEMINARSKI RAD IZ PREDMETA ELEKTRONSKO POSLOVANJE

Tema rada: Zatita i bezbednost elektronskog poslovanja

Student : Neboja Stevanovi 4-61/2009 Profesor : Dr. Miodrag Milievi

abac, 2011.

Sadraj
1. UVOD..............................................................................................................................3 2. MODELI BEZBEDNOSTI ELEKTRONSKOG.............................................................4 POSLOVANJA....................................................................................................................4 2.1 POVERLJIVOST.......................................................................................................5 2.2 INTEGRITET ...........................................................................................................6 2.3 RASPOLOIVOST ..................................................................................................6 2.4 AUTENTIKACIJA ...................................................................................................6 2.5 NEPORICIVOST.......................................................................................................7 3. TIPOVI NAPADAA I MOTIVI ZA NAPAD..............................................................7 3.1.1 POETNICI (Newbies Script Kiddies)...............................................................8 3.1.2 INTERNET PANKERI (Cyber-punks)..............................................................8 3.1.3 NAPADAI IZNUTRA (Insiders) ....................................................................8 3.1.4 NAPADAI PROGRAMERI (Coders) .............................................................9 3.1.5 PROFESIONALCI (Proffessionals)..................................................................9 4. SIGURNOSNI PROPUSTI VRATA NAPADAA.....................................................10 5. SCENARIO UGROAVANJA BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA ............................................................................................................................................12 5.1.1 UGROAVANJE BEZBEDNOSTI OD STRANE NAPADAA......................12 5.1.2 OSIGURAVANJE PRISTUPA SISTEMU ELEKTRONSKOG POSLOVANJA..........................................................................................................13 5.1.3 PROIRENJE PRISTUPA SISTEMU RADI DALJEG SPROVOENJA NAPADA...................................................................................................................14 5.1.4 PREUZIMANJE DRUGIH RADNJI ..............................................................14 5.1.5 SKRIVANJE TRAGOVA PRISUSTVA.........................................................14 5.1.6 UGROAVANJE BEZBEDNOSTI OD STRANE ZAPOSLENIH................15 6. ZAKLJUAK................................................................................................................17 7. LITERATURA..............................................................................................................18

1. UVOD

Bezbednost poslovnih informacija uvek je znaajna za organizacije bez obzira da li posluju na tradicionalni ili elektronski nain. Tradicionalni nain poslovanja zahteva sebi svojstven nain zatite poslovnih informacija. Zatita informacija se uglavnom sprovodi fizikim sredstvima, a cilj je ouvati poverljivost informacije. Shodno ovakvoj zatiti, razvile su se pretnje koje se uglavnom temelje na ugroavanju poverljivosti i tanosti informacija. Napade najee izvravaju obueni profesionalci koji mogu na prefinjen nain da dobiju informacije od zaposlenih, ali ima i onih napadaa koji mogu da upotrebe i oruje u ostvarivanju svog cilja. Sredinom 20 veka poinje da se razvija moderan nain poslovanja na snazi novih tehnikih dostignua, koji omoguava sve vei ekomomski rast i razvoj. Dostignue informatike tehnologije omoguilo je primenu raunarske tehnologije i raunarskih mrea u poslovanju. Organizacije u svom poslovanju poinju sve vie da koriste novu tehnologiju za obradu, skladitenje i prenos informacija. Novo okruenje u kome ivi informacija, elektronska informacija, postalo je sve vee, odnosno informacija postaje

dostupnija i njoj se moe pristupiti sa najudaljenih mesta. Ovo stvara prostor za sve veu zloupotrebu. Kao i tradicionalni nain poslovanja, poslovanje primenom informatiki tehnologija ima iste zahteve za bezbednou, poveljivou i tanou informacija. Meutim, sam pristup informacijama je drugaiji nego kod tradicionalnog poslovanja i zasniva se na informatikim resursima. Ukoliko se ovim resursima ne moe pristupiti, onda se ne moe pristupiti ni informacijama, a posledica je dovoenje celog poslovanja u pitanje. Stoga novi nain poslovanja zahteva jo jedan nivo bezbednosti, a to je raspoloivost. Sve vea primena savremenih tehnologija uslovila je nove vrste napada i napadaa. Uvoenjem elektronskog poslovanja spektar napada se proiro na tanost informacija i raspoloivost informacija i servisa. Shodno novim vrstama napada razvijaju se novi profili napadaa. Sve vea postignua u razvoju informatike tehnologije omoguila su iroku upotrebu raunarskih mrea i njihovo povezivanje u jedinstven informatikokomunikacioni sistema danas poznat pod nazivom Internet. Internet je doprineo globalizaciji poslovnih procesa i nagli razvoj elektronskog poslovanja. Tokom razvoja Interneta cilj je bio da se iznau reenja povezivanja raunara zatvorenog kruga korisnika. Zbog toga se malo panje posveivalo bezbednosti. Dananja upotreba Interneta zahteva upotrebu bezbednosnih reenja koja treba da zadovolje stare (u novom obliku) i nove bezbednosne zahteve.

2. MODELI BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA

Neki informacioni sistem je bezbedan ako nisu ugroeni bezbednosni zahtevi. Poverljivost, integritet i raspoloivost su tri najea bezbednosna zahteva i predstavljaju tri stuba bezbednosti. Sistem je bezbedan kada ispunjava sva tri navedena bezbednosna zahteva. Na slici 1.a. prikazan je model koji predstavlja osnovne bezbednosne zahteve [1]. Ovaj model pokazuje da su tri stuba bezbednosti povezana jedan sa drugim i da izmeu njih postoji balans. Ovaj balans ukazuje na to da neispunjenje samo jednog zahteva moe negativno uticati na druga dva zahteva. Svaki bezbednosni zahtev moe biti nezavisan od drugih, ali samo jedinstvo ova tri zahteva (preklapanje slika 1.) verovatno e ouvati bezbednost sistema.

Slika 1. Modeli bezbednosti

Novi model bezbenosnih zahteva elektronskog poslovanja proiruje navedeni model za jo dve dodatne osobine, neporicivost i autentikacija. Na slici 1.b. je prikazan novi model bezbednosnih zahteva elektronskog poslovanja [2]. Svaki bezbednosni zahtev ovog modela moe u nekom stepenu biti izolovan, a gledajui sa strane ispunjenja tog bezbednosnog zahteva sistem je bezbedan. Da bi se ostvarila to bolja zatita sistema potrebno je bezbednosne zahteve ovoga modela promatrati kao jedinstvo, koje je na slici 1. prikazano oblau preklapanja zahteva.

2.1 POVERLJIVOST

Poverljivost predstavlja osobinu dainformacija nije na raspolaganju, niti je dostupna onima koji nisu ovlaeni da je prime. Informacija koja se titi ukljuuje i posredne zakljuke, kako one do kojih se moe doi na osnovu podataka koji se prenose, tako one do kojih se dolazi nadgledanjem saobraaja. Poverljivost postaje osobito vana kada su u pitanju komunikacione mree. Za veinu organizacija poverljivost po vanosti dolazi na tree mesto nakon raspoloivosti i integriteta. Za pojedine sisteme kao to su bolnice, banke, osiguravajua drutva, policija, kao i za sve koji se bave autentikacijim, poverljivost ima najveu moguu vanost.

2.2 INTEGRITET
Integritet predstavlja osobinu da podaci nisu izmenjeni ili uniteni na neovlaen nain. Integritet se moe posmatati iz dve perspektive: - Integritet podataka. To je osobina koja garantuje da podaci nee biti izmenjeni na neautorizovan nain prilikom pristupanja procesu arhiviranju, obrade ili prenosa. Izmena poruke se dogaa kada se sadraj poslatih podataka neprimeeno izmeni, a rezultuje neovlaenim efektom. - Integritet sistema. Ovaj integritet podrazumeva kvalitet koji sistem poseduje dok obavlja zahtevanu funkcionalnost na besprekoran nain, zatien od bilo kakve neautorizovane manipulacije.

2.3 RASPOLOIVOST

Raspoloivost je zahtev kojim se osigurava da e sistem promptno odgovoriti na zahteve i da usluge nee biti uskraene autorizovanim korisnicima. Raspoloivost znai da se podacima ili drugim informatikim resursima moe pristupiti bez ogranienja i da se oni mogu slobodno koristiti kada je to potrebno. Pod pojmom raspoloivosti podrazumeva se [3]: u kom vremenu je sistem sposoban da odradi posao za koji je namenjen. Odnosno, raspoloivost se moe definisati kao proporcija stvarno raspoloivog vremena sistema i vremena koliko bi sistem trebao da bude raspoloiv. Za osiguravanje raspoloivosti od velikog znaaja je spreavanje odbijanje usluga. Odbijanje usluga se dogaa kada neki entitet ne izvri odgovarajuu funkciju ili se ponaa na nain koji spreava druge da obavljaju svoje funkcije na ispravan nain.

2.4 AUTENTIKACIJA
Autentikacija predstavlja proces potvrivanja identiteta korisnika i entiteta. Identifikacija podataka korisnika u nekim sluajevima zahteva vie od jednog autentikacionog uverenja. Autentikacioni factor (npr. PIN ili lozinka) je tajna ili jedinstvena informacija povezana sa identifikatorom korisnika, a koristi se da potvrdi identitet korisnika. Autentikacija sa jednim faktorom je najei metod autentikacije i obino koristi kombinaciju korisnikog ID i lozinke. Kada se doda jo neki od faktora, kao smart

kartica, tada se govori o dvo- ili viestrukoj autentikaciji. Autentikacija sa dva ili vie faktora se smatra bezbednijom jer kradljivac mora da otui vie ovlaenja. Ova autentikacija je esto skupa za organizacije i komplikovana za krajnje korisnike.

2.5 NEPORICIVOST
Neporicivost predstavlja osobinu da uesnici u transakciji ne mogu naknadno da poriu svoje uee u svim ili samo u nekim delovima obavljene transakcije. Servisi neporicanja porekla i isporuke sastoje se u sledeem: - Neporicanje sa dokazom porekla. Primalac podataka dobija dokaz o poreklu podataka. Ovim se prua zatita od pokuaja poiljaoca da porekne da je poslao podatke ili da porekne njihov sadraj. - Neporicanje sa dokazom isporuke. Poiljalac podataka dobija dokaz da su podaci isporueni. Ovim se prua zatita od naknadnog pokuaja primaoca da lano odrie da je primio podatke ili njihov sadraj. U elektronskom poslovanju neporicivost je sutinska u obezbeivanju legitimnih poslovnih transakcija koje moraju biti priznate i neporicive od strana koje uestvuju. Neporicivosti transakcija elektronskog poslovanja ima sledee osobine: - transakcije i subjekti su u meusobnoj povezanosti, - transakcije su teke za falsifikovanje, - transakcije su nepromenjive, - transakcije se moraju potvrditi.

3. TIPOVI NAPADAA I MOTIVI ZA NAPAD

Napadai na informatike resurse mogli bi se podeliti u vie grupa prema raznim motivima. Napade ne izvode sami raunari ve ih izvode ljudi koji njima upravljaju.

Onog trenutka kada se spozna nain razmiljanja i psihologija napadaa moi e da se osmisli adekvatan nain suprostavljanja. Veoma je teko svrstati napadae po grupama jer se oni danas razlikuju po starosnoj dobi, obrazovanju, motivima, tehnikom znanju, drutvenoj kategoriji. Relativno gruba podela napadaa mogla bi se sprovesti na sledei nain [4]:

3.1.1 POETNICI (Newbies Script Kiddies)

U poetnike se svrstavaju uglavnom maloletnici koji su tek na poetku karijere. Ova grupa je izuzetno opasna i raste svakim danom gotovo eksponencijalnom brzinom. Pripadnici ove grupe su slabog tehnikog znanja jer tek poinju da se bave napadakim aktivnostima. Uglavnom ne poseduju nikakvo znanje o programiranju. Motivaciju nalaze u koli, odnosno u krugu svoje generacije gde mogu da privuku panju drugih, steknu priznanje u drutvu zbog mogunosti i znanja koje ih izdie iznad ostalih. Uglavnom se oslanjaju na alate do kojih su doli na Internetu raznim kanalima (irc, chat, icq, www, ftp, news, itd.) ili razmenom unutar kruga u kome se kreu. Najei oblici napada kojima se koriste su DoS (Denial of Service) ili DDoS (Distributed Denial of Service). Relativno se lako otkrivaju.

3.1.2 INTERNET PANKERI (Cyber-punks)

U ovu grupu spadaju napadai koji imaju neto vee tehniko obrazovanje. Oni poseduju ogranieno znanje o programiranju, uglavnom koriste C, C++, Visual Basic i Perl, ali neto bolje razumeju metodologiju napada alatima kojima se koriste. Napade izvode sa ciljem unitavanja podataka, ruenja sistema, koritenja generatora brojeva kreditnih kartica i sl. Nastoje da izazovu medijsku panju. Lako se otkrivaju.

3.1.3 NAPADAI IZNUTRA (Insiders)

Mogu se svrstati u najbrojnije napadae. Procena je da se ak 70-80% napada dogaa iznutra odnosno uz pomo pomagaa koji imaju legalan pristup napadnutim informatikim resursima. Ovaj tip napadaa predstavlja veliki problem, a radi se o ljudima koji su u organizaciji. Ovi napadai su informatiki ''naitani'' i u detalje poznaju kompletnu infrastrukturu, odnosno topologiju sistema organizacije. Mogue je ak i da administriraju sistem. U principu poseduju solidno programersko znanje i znanje administracije sistema. Mogu da izvedu sloene i pritajene oblike napada. Motivacija ovih napadaa potie iz jednog od dva razloga. Jedan od razloga je osveta zbog

eventualne degradacije, nepostavljanja na (po njihovom miljenju) zaslueno radno mestu ili dobijanja otkaza. Drugi razlog je nezakonito sticanje imovinske koristi prodajom informacija kojima imaju pristup. Ove oblike napada izuzetno je teko otkriti.

3.1.4 NAPADAI PROGRAMERI (Coders)

Napadai programeri su esto i napadai iznutra. Imaju tehniko znanje, znanje programiranja u barem nekoliko jezika (C, C++, Assembler, Perl, shell scripting, itd.) i imaju zavidno znanje o hardveru. Sve to vredi za prethodnu opisanu vrstu napadaa, vie manje vredi i za njih. Motivacija je uglavnom bazirana na oseaju moi i prestia u informatikim krugovima. Alate za napade uglavnom piu sami. Koriste ih kao svoja tajna oruja. Odreeni deo objavljuju i na Internetu, najee u obliku trojanskih konja, skripti i virusa. Vrlo su opasni i teki za otkrivanje, posebno ako deluju iznutra.

3.1.5 PROFESIONALCI (Proffessionals)

Uz cyber-teroriste najopasnija su grupa napadaa. O ovoj grupaciji se jako malo zna. U profesionalce spadaju ljudi od istinskih kriminalca i lopova do vojnih i industrijskih obavetajaca. Motiv je iskljuivo novac, to znai da ih se moe staviti i u rang plaenika. Poseduju zapanjujue znanje na raznim tehnikim poljima (razni oblici komunikacije, hardverskosoftverski nivo, satelitske tehnologije, itd.). Koriste se opremom koja je zadnja re tehnike i visoke tehnologije. Polje delovanja uglavnom su razni oblici pijunae, od ekonomske do obavetajne. Izuzetno su teki za otkrivanje, time vie to izbegavaju bilo kakav oblik medijske prisutnosti i kontakata. Na Internetu su uglavnom pasivno prisutni, a na komunikacijskim kanalima su samo sluai. Skupljaju informacije i podatke, izrauju unikatne alate i nigde ih ne objavljuju, ve ih koriste iskljuivo za sebe. Ne ponavljaju metode napada. Pripreme za napad su im dugotrajne i detaljne.

4. SIGURNOSNI PROPUSTI VRATA NAPADAA

Generalno gledajui napad iskoriava bilo koju tehniku ili ljudsku slabost u sistemu bezbednosti. Tehnike slabosti ukljuuju nedostatke u dizajnu, neodgovarajuu zatitu i slabosti ili promene u okruenju. Ljudske slabosti u bezbednosti sistema obino ukljuuju nedovolja znanja korisnika i nepridravanje pravila, neuvebanost i nedovoljnu obuenost korisnika i slabu fiziku bezbednost. Clifford i Cliff Berga u [5] izdvojili su ablone i tehnike napada kao posledica tehnikih i ljudskih slabosti. Napadai koriste sigurnosne propuste kako bi ostvarili svoj cilj. Propusti mogu nastati prilikom dizajna sistema ili pogrenom konfiguracijom. SANS svake godine izdaje listu najeih sigurnosnih propusta za operativne sisteme, cross-platformske aplikacije i mrene proizvode [6].

Slika 2. Prijavljeni sigurnosni propusti CERT kordinacionom centru

Na web sajtu CERT kordinacionog centra [7] prikazana je statistika od 1995. godine do danas. Krajem devedesetih godina broj sigurnosnih propusta merio se stotinama(1999. godine bilo je 471 propusta), a poetkom 2000.godine broj propusta premauje 1000. Broj propusta se iz godine u godinu poveava, tako da 2005. godine prelazi 6000. Na slici 3.2. se vidi stalni rast prijavljenih propusta, to ukazuje na sve veu potencijalnu opasnost od napada (2000.g. - 21.756 incidenata, a 2003. g.- 137.529 incidenata). Napadai najee iskoriavaju propuste nastale u: - Operativnim sistemima. Operativni sistemi upravljaju raunarskim resursima (hardverskim i softverskim) i neophodni su za rad drugih sistemskih i korisnikih aplikacija. Propusti u operativnom sistemu i njegovim prateim aplikacijama, kao i propusti u konfiguraciji, stvaraju uslove koje napada moe iskoristiti za napad. Kako

operativni sistem upravlja svim raunarskim resursima, tako napad na njega direktno ugroava i sistem elektronskog poslovanja. -Cross-platformskim aplikacijama. Propusti u ovim aplikacijama mogu na direktan i indirektan nain da ugroze elekronsko poslovanje. Propusti u softveru za razvoj aplikacija (u kome su pored ostalih aplikacija razvijene i poslovne aplikacije) i u bazama podataka koje se koriste za smetanje poslovnih podataka mogu na direktan nain da ugroze elektronsko poslovanje. Ostale aplikacije koje se koriste za zatitu podataka, zatitu od virusa, deljenje podataka i aplikacije za komunikaciju mogu na indirektan nain da ugroze poslovanje, ako napada iskoristi propuste u njima. - Mrenim proizvodima. Mreni proizvodi predstavljaju znaajan resurs u uspostavljanju infrastrukture elektronskog poslovanja. Oni omoguavaju povezivanje organizacija i klijenata u sistem koji organizacijama prua sticanje dodatne vrednosti, a klijentima kupovinu i usluge nezavisne od vremena i mesta. Propusti u mrenim proizvodima i nainu konfigurisanja najee mogu prouzrokovati uskraivanje usluga korisnicima elektronskog poslovanja, kompromitovanje perimetarske zatite i VPN-a. Web servisima. Nove aplikacije za elektronsko poslovanje zasnovane na web servisima upravljaju znaajnim informacijama, pa kao posledica toga postaju meta napada (kraa, zlonamerni hakeri, industrijska pijunaa). Napadai na ove aplikacije trae mogua reenja za ostvarenje svog cilja, a ta reenja zadiru ne samo u aplikacije nego i u Web servise. Bezbednost aplikacija zasniva se i na bezbednosti Web servisa. Da bi se iznalo pravo bezbednosno reenje koje e otkloniti ili ublaiti napade potrebno je sagledati mogue pretnje i propuste. Houglund i Mc Grawe su identifikovali 49 ablona za napade [8] koji su zasnovani na propustima Web servisa, a mogu se svrstati u sledee grupe: - iskoriavanje serverskog softvera, - iskoriavanje klijentskog softvera, - implementacija zlonamernog koda, - preplavljivanje bafera.

5. SCENARIO UGROAVANJA BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA

Postoji vie scenarija koje napada koristi da bi ugrozio bezbednosti elektronskog poslovanja kao to su infiltracija u sistem, suplantacija, menjanje podataka u toku komunikacije, prislukivanje, odbijanje servisa... Izmeu nekih od ovih scenarija postoji meusobna zavisnost, pa je teko opisati svaki od njih pojedinano, a da se ne spomene drugi scenario. Stoga u ovome naslovu pristup je takav da se uopteno opie scenario. Gledano u odnosu na granicu sistema, napada moe da ugrozi sistem spolja i iznutra, a napada moe biti neko ko je zaposlen u organizaciji. Stoga su ovde razmatrana dva scenarija. U prvom scenariju se opisuju faze kroz koje prolazi napada prilikom sprovoenja napada, a drugi scenario opisuje ugroavanje bezbednost od strane zaposlenih u organizaciji.

5.1.1 UGROAVANJE BEZBEDNOSTI OD STRANE NAPADAA

Svaki napada ima svoj karakteristian pristup u izvoenju napada i nastoji da prilikom napada ostvari svoj motive i namere. Te motive i namere sprovodi na nezakonit nain u svim svojim aktivnostima prema sistemu koji napada. Napada prilikom napada nastoji da doe do potrebnih informacija koje bi mu omoguile neopaen pristup sistemu. Kada pristupi sistemu on nastoji da dobije to vee privilegije da bi mogao da ostvari svoj cilj. Neki napadai, koji su manje iskusni ili im je cilj da stave do znanja organizaciji da su im naruili sistem bezbednosti, nakon dobijanja privilegija zavravaju napad. Po dobijanju potrebnih privilegija napada sprovodi svoj cilj, a potom maskira svoje tragove prisustva u sistemu.

Slika 3. Faze ugroavanja bezbednosti od strane napadaa Generalno gledajui svaki napada prilikom izvoenja napada prolazi kroz pet faza.

5.1.2 OSIGURAVANJE PRISTUPA SISTEMU ELEKTRONSKOG POSLOVANJA

Napada najee ostvaruje pristup sistemu na nelegala i nezakonit nain, odnosno koristi razne metode za pribavljanje podataka o sistemu i nainu na koji se koristi. Na osnovu prikupljenih podataka napada neovlaeno ulazi u sistem. Da bi prikupio podatke koji su mu potrebni za upad u sistem napada se najee koristi sledeim metodama: metode kojim iskoriava nepanju korisnika (socijalni inenjering, shaulder surfing, scavering, maskiranje, varanje, lano predstavljanje), metode kojima se iskoriava slabosti internet protokola (login spoofing, web spoofing, e-mail spoofing, IP spoofing, DNS spoofing), metoda nasuminog pogaanja i pretraivanja, metoda

pijuniranja (prislukivanje, optiko pijuniranje i presretanje elektromagnetnog zraenja), metoda socijalnog kontakta sa korisnikom neformalno druenje, podmiivanje, ucenjivanje), metode programske manipulanipulacije (programskar eenja putem kojih se moe doi do korisnikih lozinki i informacija o broju kartica i vlasnika).

5.1.3 PROIRENJE PRISTUPA SISTEMU RADI DALJEG SPROVOENJA NAPADA

Poto je napada otkrio identitet korisnika, on je time dobio i njegova ovlaenja (prava i privilegije). Napada sa tuim identitetom moe pristupiti sistemu, ali da bi ostvario svoje namere on dobijena prava mora proiririti kako bi mogao nesmetano da pristupa resursima. U tu svrhu napada se najee koristi sledeim tehnikama: pregledavanjem sadraja raunara, intervencije u programima kako bi se zaobiao postupak identifikacije i autorizacije (back doors postupak zaobilaenja koji je napravio napada, trap doors - postupak zaobilaenja koji je ostavo programer), programima za analizu i nadzor rada sistema (zloupotreba programa koji administratoru omoguavaju nalaenje slabosti u sistemu zatite), programima za zaobilaenje sigurnosti sistema (programi koji administratoru omoguava zaobilaenje svih sigurnosnih sistema radi sprovoenja bre intervencije na sistemu posledice zloupotrebe su oite), iskoriavanjem greaka u sistemu koje mogu ugroziti sigurnost sistema.

5.1.4 PREUZIMANJE DRUGIH RADNJI

Naredne radnje zavisie od motiva i namera napadaa. U ovoj fazi se za neke napadae napad zavrava, dok su za druge irom otvorena vrata za dalje nezakonite aktivnosti. Sada su radnje napadaa usmerene na manipulaciju programima i podacima (korienje nekog programa za rad sa bazom podataka, prepravljenje postojeih programa programa za finansijske transakcije), onemoguavanje daljeg korienja sistema (uskraivanje usluga ovlaenim korisnicima) i stvaranje uslova za budue nezakonite radnje (implementacija malicioznih programa).

5.1.5 SKRIVANJE TRAGOVA PRISUSTVA

Sposobnost napadaa da sakrije tragove svog prisustva je karakteristika koja mu omoguava skrivanje njegovog rada i prua mogunost ponovnog delovanja. Kada napada ne bi sakrio svoje tragove prisustva brzo bi bio otkriven i izveden pred lice pravde. Tragove skriva tako to uklanja dokaze aktivnosti iz log datoteka operativnog sistema i programa.

5.1.6 UGROAVANJE BEZBEDNOSTI OD STRANE ZAPOSLENIH

Zaposleni u organizaciji mogu ugroziti bezbednost sistem elektronskog poslovanja na direktan i indirektan nain. Kada zaposleni svesno preduzima skup radnji kojim se ugroava bezbednost elektronskog poslovanja sa ciljem prisvajanja, otuenja ili unitenja informacija i drugih informatikih resursa organizacije, kako bi ostvario linu korist, to predstavlja direktan nain ugroavanja bezbednosti od strane korisnika. Najei motiv kada zaposleni na ovakav nain ugroava bezbednost sistema je njegovo nezadovoljstvo prema organizaciji (nezadovoljstvo radnim mestom, napredovanjem, platom, omalovaavanjem od strane pretpostavljenih i drugih zaposlenih), ostvarenje linog interesa, osveta prema organizaciji, spoljanji pritisci i ucene. Ovakvi zaposleni mogu naneti znatnu tetu organizaciji jer deluju iznutra i poznaju sistem u celini. Indirektno ugroavanje bezbednosti od strane zaposlenih nastaje kada zaposleni svojom nepanjom, neshvatanjem znaaja bezbednosti ili nedovoljnom obuenosti nesvesno omogui napadau da doe do bitnih poslovnih informacija ili informacija koje e napadau omoguiti da narui sistem bezbednosti. Odnosno, gledano sa strane napadaa, napada koristi svoje umee da od zaposlenog dobije njemu bitne informacije za naruavanje sistema bezbednosti. Ovo predstavlja posebnu oblast napada koja iskoriava ljudsku slabost u sistemu, a zove se socijalni inenjering. Najei motivi zaposlenih koji omoguavaju napadau da od njih dobije korisne informacije su: ostvarivanje finansijske dobiti, koristoljublje, osveta i spoljanji pritisci. Napada koristi vie tehnika za prikupljanje informacija koje su opisane u [9]. Organizacije prilikom uvoenja elektronskog poslovanja na samom poetku mogu ugroziti bezbednost sistema. Rukovodstvo organizacije od uvoenja elektronskogposlovanja nastoji da to pre ostvari dodatu vrednost, pa e uvodi skupe mere zatite kako bi korisniku moguio to dostupnije i jednostavnije poslovanje. Meutim, slab sistem zatite napada moe lako naruiti, a organizaciji aneti tetu kako materijalnu tako i gubitak klijenata, partnera, reputacije. Najei scenario ugroavanja bezbednosti od strane zaposlenih [10]: - Rukovodstvo organizacija, nakon to donese odluku o poetku poslovanja elektronskim putem, treba da odlui o nainu na koji e zatititi poslovne informacije i autentikovati korisnike. - Predsednik organizacije, koji ne razume tehnologiju, donosi odluku u pogledu dodeljivanja resursa, ifrovanja i naina uvanja. Negov prioritet je bila niska cena i da je sistem jednostavan za korienje, a vodio se ciljem da ovakvo poslovanje bude to dostupnije, korisniki orjentisano, odnosno lako za korienje zaposlenim, partnerima i kupcima. - Shodno donetim odlukama u organizaciji se implementira autentikacija zasnovana na lozinki, a koristi se kratka lozinka kako bi je korisnik lako zapamtio. - Za zatitu korisnike lozinke i korisnikog naloga se koriste jeftini i jednostavni algoritmi. Ovo smanjuje poetnu cenu implementacije sistema i smanjuje vreme obrade

resursa zato to se koriste jednostavni, a time brzi algoritmi za zatitu. Pored toga, lozinke mogu biti otkrivene kako bi se korisniku omoguili da je dobije ukoliko je zaboravi. - Jednostavno korienje privlai nove korisnike tako da se baza korisnika brzo poveava. Shodno velikom broju korisnika organizacija ostvaruje vei profit nego konkurentske organizacije koje imaju sloeni korisniki interfejs. - Neko sa zlonamernim ciljem usmerenim prema organizaciji, moda nezadovoljan prethodnim poslodavcem ili neki napada sa Interneta, probija sistem i dobija privilegije za pristup osetljivim informacijama zahvaljujui lozinkama koje se ne menjaju. Poto je organizacija tedela na uvoenju bezbednosti sistema, nije implementirala sistem za detektovanje napada i upada u sistem, pa napada nee biti detektovan. - Poto je napada otkrio lozinke, on ih koristi kako bi dobio informacije o kreditnim karticama. Ove informacije koristi za kupovinu i prodaju. Organizacija uoava nelogine i velike trokove na svom raunu. - Organizacija se obraa sertifikacionom telu sa zahtevom da otkrije i uhvati napadaa. Napada preko sredstava javnog informisanja saznaje da je organizacija otkrila da su joj pokredene informacije o kredinim karticama, odnosno njegov upad u sistem. - Neki korisnici i poslovni partneri prekidaju poslovanje sa kompromitovanom organizacijom. - Sada organizacija implementira mere koje sistem ine bezbednim. Ovo rezultira prekidom servisa za ostale korisnike i organizacija troi prilino sredstava u uspostavljanju novog sistema. - Organizacija ne uspeva da povrati ugled posle incidenta, a konkurencija dobija nove korisnike i partnere proirujui granice profita. Navedeni scenario ukazuje da na ugroavanje bezbednosti ne utiu samo korisnici i napadai koji imaju interes ve I sam pristup i nain uvoenja elektronskog poslovana u organizaciju. Scenario pokazuje da se zatiti sistema elektronskog poslovanja od unutarnjih i spoljanjih napada mora ozbiljno pristupiti, odnosno lica koja se bavezatitom ovakvih sistema treba da ukau na bezbednosne probleme i naine njihovog prevazilaenja, a rukovodstvo organizacije treba da prihvati najpovoljnije reenje.

6. ZAKLJUAK
Sve bri razvoj raunarskih i telekomunikacionih sistema i njihovo meusobno povezivanje u jedan sistem poznat pod nazivom Internet doprineli su pojavi novog vida poslovanja, elektronskog poslovanja. Novo okruenje dovelo je do novog modela bezbednosti elektronskog poslovanja. Nasuprot tome, pojavile su se nove tehnike napada i napadai.

7. LITERATURA
www.google.com www.wikipedia.org