Zaštita i bezbednost elektronskog poslovanja
January 12, 2017 | Author: Adrijan Mlinar | Category: N/A
Short Description
Download Zaštita i bezbednost elektronskog poslovanja...
Description
Visoka Tehnološka Škola Šabac Odsek: Informacione Tehnologije
SEMINARSKI RAD IZ PREDMETA ELEKTRONSKO POSLOVANJE
Tema rada: Zaštita i bezbednost elektronskog poslovanja
Student : Nebojša Stevanović 4-61/2009 Profesor : Dr. Miodrag Milićević
Šabac, 2011.
Sadržaj 1. UVOD..............................................................................................................................3 2. MODELI BEZBEDNOSTI ELEKTRONSKOG.............................................................4 POSLOVANJA....................................................................................................................4 2.1 POVERLJIVOST.......................................................................................................5 2.2 INTEGRITET ...........................................................................................................6 2.3 RASPOLOŽIVOST ..................................................................................................6 2.4 AUTENTIKACIJA ...................................................................................................6 2.5 NEPORICIVOST.......................................................................................................7 3. TIPOVI NAPADAČA I MOTIVI ZA NAPAD..............................................................7 3.1.1 POČETNICI (Newbies – Script Kiddies)...............................................................8 3.1.2 INTERNET PANKERI (Cyber-punks)..............................................................8 3.1.3 NAPADAČI IZNUTRA (Insiders) ....................................................................8 3.1.4 NAPADAČI PROGRAMERI (Coders) .............................................................9 3.1.5 PROFESIONALCI (Proffessionals)..................................................................9 4. SIGURNOSNI PROPUSTI VRATA NAPADAČA.....................................................10 5. SCENARIO UGROŽAVANJA BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA ............................................................................................................................................12 5.1.1 UGROŽAVANJE BEZBEDNOSTI OD STRANE NAPADAČA......................12 5.1.2 OSIGURAVANJE PRISTUPA SISTEMU ELEKTRONSKOG POSLOVANJA..........................................................................................................13 5.1.3 PROŠIRENJE PRISTUPA SISTEMU RADI DALJEG SPROVOĐENJA NAPADA...................................................................................................................14 5.1.4 PREUZIMANJE DRUGIH RADNJI ..............................................................14 5.1.5 SKRIVANJE TRAGOVA PRISUSTVA.........................................................14 5.1.6 UGROŽAVANJE BEZBEDNOSTI OD STRANE ZAPOSLENIH................15 6. ZAKLJUČAK................................................................................................................17 7. LITERATURA..............................................................................................................18
1. UVOD
Bezbednost poslovnih informacija uvek je značajna za organizacije bez obzira da li posluju na tradicionalni ili elektronski način. Tradicionalni način poslovanja zahteva sebi svojstven način zaštite poslovnih informacija. Zaštita informacija se uglavnom sprovodi fizičkim sredstvima, a cilj je očuvati poverljivost informacije. Shodno ovakvoj zaštiti, razvile su se pretnje koje se uglavnom temelje na ugrožavanju poverljivosti i tačnosti informacija. Napade najčešće izvršavaju obučeni profesionalci koji mogu na prefinjen način da dobiju informacije od zaposlenih, ali ima i onih napadača koji mogu da upotrebe i oružje u ostvarivanju svog cilja. Sredinom 20 veka počinje da se razvija moderan način poslovanja na snazi novih tehničkih dostignuća, koji omogućava sve veći ekomomski rast i razvoj. Dostignuće informatičke tehnologije omogućilo je primenu računarske tehnologije i računarskih mreža u poslovanju. Organizacije u svom poslovanju počinju sve više da koriste novu tehnologiju za obradu, skladištenje i prenos informacija. Novo okruženje u kome živi informacija, elektronska informacija, postalo je sve veće, odnosno informacija postaje
dostupnija i njoj se može pristupiti sa najudaljenih mesta. Ovo stvara prostor za sve veću zloupotrebu. Kao i tradicionalni način poslovanja, poslovanje primenom informatički tehnologija ima iste zahteve za bezbednošću, poveljivošću i tačnošću informacija. Međutim, sam pristup informacijama je drugačiji nego kod tradicionalnog poslovanja i zasniva se na informatičkim resursima. Ukoliko se ovim resursima ne može pristupiti, onda se ne može pristupiti ni informacijama, a posledica je dovođenje celog poslovanja u pitanje. Stoga novi način poslovanja zahteva još jedan nivo bezbednosti, a to je raspoloživost. Sve veća primena savremenih tehnologija uslovila je nove vrste napada i napadača. Uvođenjem elektronskog poslovanja spektar napada se proširo na tačnost informacija i raspoloživost informacija i servisa. Shodno novim vrstama napada razvijaju se novi profili napadača. Sve veća postignuća u razvoju informatičke tehnologije omogućila su široku upotrebu računarskih mreža i njihovo povezivanje u jedinstven informatičkokomunikacioni sistema danas poznat pod nazivom Internet. Internet je doprineo globalizaciji poslovnih procesa i nagli razvoj elektronskog poslovanja. Tokom razvoja Interneta cilj je bio da se iznađu rešenja povezivanja računara zatvorenog kruga korisnika. Zbog toga se malo pažnje posvećivalo bezbednosti. Današnja upotreba Interneta zahteva upotrebu bezbednosnih rešenja koja treba da zadovolje stare (u novom obliku) i nove bezbednosne zahteve.
2. MODELI BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA Neki informacioni sistem je bezbedan ako nisu ugroženi bezbednosni zahtevi. Poverljivost, integritet i raspoloživost su tri najčešća bezbednosna zahteva i predstavljaju „tri stuba bezbednosti“. Sistem je bezbedan kada ispunjava sva tri navedena bezbednosna zahteva. Na slici 1.a. prikazan je model koji predstavlja osnovne bezbednosne zahteve [1]. Ovaj model pokazuje da su tri stuba bezbednosti povezana jedan sa drugim i da između njih postoji balans. Ovaj balans ukazuje na to da neispunjenje samo jednog zahteva može negativno uticati na druga dva zahteva. Svaki bezbednosni zahtev može biti nezavisan od drugih, ali samo jedinstvo ova tri zahteva (preklapanje slika 1.) verovatno će očuvati bezbednost sistema.
Slika 1. Modeli bezbednosti
Novi model bezbenosnih zahteva elektronskog poslovanja proširuje navedeni model za još dve dodatne osobine, neporicivost i autentikacija. Na slici 1.b. je prikazan novi model bezbednosnih zahteva elektronskog poslovanja [2]. Svaki bezbednosni zahtev ovog modela može u nekom stepenu biti izolovan, a gledajući sa strane ispunjenja tog bezbednosnog zahteva sistem je bezbedan. Da bi se ostvarila što bolja zaštita sistema potrebno je bezbednosne zahteve ovoga modela promatrati kao jedinstvo, koje je na slici 1. prikazano oblašću preklapanja zahteva.
2.1 POVERLJIVOST
Poverljivost predstavlja osobinu dainformacija nije na raspolaganju, niti je dostupna onima koji nisu ovlašćeni da je prime. Informacija koja se štiti uključuje i posredne zaključke, kako one do kojih se može doći na osnovu podataka koji se prenose, tako one do kojih se dolazi nadgledanjem saobraćaja. Poverljivost postaje osobito važna kada su u pitanju komunikacione mreže. Za većinu organizacija poverljivost po važnosti dolazi na treće mesto nakon raspoloživosti i integriteta. Za pojedine sisteme kao što su bolnice, banke, osiguravajuća društva, policija, kao i za sve koji se bave autentikacijim, poverljivost ima najveću moguću važnost.
2.2 INTEGRITET Integritet predstavlja osobinu da podaci nisu izmenjeni ili uništeni na neovlašćen način. Integritet se može posmatati iz dve perspektive: - Integritet podataka. To je osobina koja garantuje da podaci neće biti izmenjeni na neautorizovan način prilikom pristupanja procesu arhiviranju, obrade ili prenosa. Izmena poruke se događa kada se sadržaj poslatih podataka neprimećeno izmeni, a rezultuje neovlašćenim efektom. - Integritet sistema. Ovaj integritet podrazumeva kvalitet koji sistem poseduje dok obavlja zahtevanu funkcionalnost na besprekoran način, zaštićen od bilo kakve neautorizovane manipulacije.
2.3 RASPOLOŽIVOST
Raspoloživost je zahtev kojim se osigurava da će sistem promptno odgovoriti na zahteve i da usluge neće biti uskraćene autorizovanim korisnicima. Raspoloživost znači da se podacima ili drugim informatičkim resursima može pristupiti bez ograničenja i da se oni mogu slobodno koristiti kada je to potrebno. Pod pojmom raspoloživosti podrazumeva se [3]: „u kom vremenu je sistem sposoban da odradi posao za koji je namenjen“. Odnosno, raspoloživost se može definisati kao proporcija stvarno raspoloživog vremena sistema i vremena koliko bi sistem trebao da bude raspoloživ. Za osiguravanje raspoloživosti od velikog značaja je sprečavanje odbijanje usluga. Odbijanje usluga se događa kada neki entitet ne izvrši odgovarajuću funkciju ili se ponaša na način koji sprečava druge da obavljaju svoje funkcije na ispravan način.
2.4 AUTENTIKACIJA Autentikacija predstavlja proces potvrđivanja identiteta korisnika i entiteta. Identifikacija podataka korisnika u nekim slučajevima zahteva više od jednog autentikacionog uverenja. Autentikacioni factor (npr. PIN ili lozinka) je tajna ili jedinstvena informacija povezana sa identifikatorom korisnika, a koristi se da potvrdi identitet korisnika. Autentikacija sa jednim faktorom je najčešći metod autentikacije i obično koristi kombinaciju korisničkog ID i lozinke. Kada se doda još neki od faktora, kao smart
kartica, tada se govori o dvo- ili višestrukoj autentikaciji. Autentikacija sa dva ili više faktora se smatra bezbednijom jer kradljivac mora da otuđi više ovlašćenja. Ova autentikacija je često skupa za organizacije i komplikovana za krajnje korisnike.
2.5 NEPORICIVOST Neporicivost predstavlja osobinu da učesnici u transakciji ne mogu naknadno da poriču svoje učešće u svim ili samo u nekim delovima obavljene transakcije. Servisi neporicanja porekla i isporuke sastoje se u sledećem: - Neporicanje sa dokazom porekla. Primalac podataka dobija dokaz o poreklu podataka. Ovim se pruža zaštita od pokušaja pošiljaoca da porekne da je poslao podatke ili da porekne njihov sadržaj. - Neporicanje sa dokazom isporuke. Pošiljalac podataka dobija dokaz da su podaci isporučeni. Ovim se pruža zaštita od naknadnog pokušaja primaoca da lažno odriče da je primio podatke ili njihov sadržaj. U elektronskom poslovanju neporicivost je suštinska u obezbeđivanju legitimnih poslovnih transakcija koje moraju biti priznate i neporicive od strana koje učestvuju. Neporicivosti transakcija elektronskog poslovanja ima sledeće osobine: - transakcije i subjekti su u međusobnoj povezanosti, - transakcije su teške za falsifikovanje, - transakcije su nepromenjive, - transakcije se moraju potvrditi.
3. TIPOVI NAPADAČA I MOTIVI ZA NAPAD
Napadači na informatičke resurse mogli bi se podeliti u više grupa prema raznim motivima. Napade ne izvode sami računari već ih izvode ljudi koji njima upravljaju.
Onog trenutka kada se spozna način razmišljanja i psihologija napadača moći će da se osmisli adekvatan način suprostavljanja. Veoma je teško svrstati napadače po grupama jer se oni danas razlikuju po starosnoj dobi, obrazovanju, motivima, tehničkom znanju, društvenoj kategoriji. Relativno gruba podela napadača mogla bi se sprovesti na sledeći način [4]:
3.1.1 POČETNICI (Newbies – Script Kiddies)
U početnike se svrstavaju uglavnom maloletnici koji su tek na “početku karijere”. Ova grupa je izuzetno opasna i raste svakim danom gotovo eksponencijalnom brzinom. Pripadnici ove grupe su slabog tehničkog znanja jer tek počinju da se bave napadačkim aktivnostima. Uglavnom ne poseduju nikakvo znanje o programiranju. Motivaciju nalaze u školi, odnosno u krugu svoje generacije gde mogu da privuku pažnju drugih, steknu priznanje u društvu zbog mogućnosti i “znanja” koje ih izdiže iznad ostalih. Uglavnom se oslanjaju na alate do kojih su došli na Internetu raznim kanalima (irc, chat, icq, www, ftp, news, itd.) ili razmenom unutar kruga u kome se kreću. Najčešći oblici napada kojima se koriste su DoS (Denial of Service) ili DDoS (Distributed Denial of Service). Relativno se lako otkrivaju.
3.1.2 INTERNET PANKERI (Cyber-punks) U ovu grupu spadaju napadači koji imaju nešto veće tehničko obrazovanje. Oni poseduju ograničeno znanje o programiranju, uglavnom koriste C, C++, Visual Basic i Perl, ali nešto bolje razumeju metodologiju napada alatima kojima se koriste. Napade izvode sa ciljem uništavanja podataka, rušenja sistema, korištenja generatora brojeva kreditnih kartica i sl. Nastoje da izazovu medijsku pažnju. Lako se otkrivaju.
3.1.3 NAPADAČI IZNUTRA (Insiders)
Mogu se svrstati u najbrojnije napadače. Procena je da se čak 70-80% napada događa iznutra odnosno uz pomoć pomagača koji imaju legalan pristup napadnutim informatičkim resursima. Ovaj tip napadača predstavlja veliki problem, a radi se o ljudima koji su u organizaciji. Ovi napadači su informatički ''načitani'' i u detalje poznaju kompletnu infrastrukturu, odnosno topologiju sistema organizacije. Moguće je čak i da administriraju sistem. U principu poseduju solidno programersko znanje i znanje administracije sistema. Mogu da izvedu složene i pritajene oblike napada. Motivacija ovih napadača potiče iz jednog od dva razloga. Jedan od razloga je osveta zbog
eventualne degradacije, nepostavljanja na (po njihovom mišljenju) zasluženo radno mestu ili dobijanja otkaza. Drugi razlog je nezakonito sticanje imovinske koristi prodajom informacija kojima imaju pristup. Ove oblike napada izuzetno je teško otkriti.
3.1.4 NAPADAČI PROGRAMERI (Coders)
Napadači programeri su često i napadači iznutra. Imaju tehničko znanje, znanje programiranja u barem nekoliko jezika (C, C++, Assembler, Perl, shell scripting, itd.) i imaju zavidno znanje o hardveru. Sve što vredi za prethodnu opisanu vrstu napadača, više manje vredi i za njih. Motivacija je uglavnom bazirana na osećaju moći i prestiža u informatičkim krugovima. Alate za napade uglavnom pišu sami. Koriste ih kao svoja “tajna” oružja. Određeni deo objavljuju i na Internetu, najčešće u obliku trojanskih konja, skripti i virusa. Vrlo su opasni i teški za otkrivanje, posebno ako deluju iznutra.
3.1.5 PROFESIONALCI (Proffessionals)
Uz cyber-teroriste najopasnija su grupa napadača. O ovoj grupaciji se jako malo zna. U profesionalce spadaju ljudi od istinskih kriminalca i lopova do vojnih i industrijskih obaveštajaca. Motiv je isključivo novac, što znači da ih se može staviti i u rang plaćenika. Poseduju zapanjujuće znanje na raznim tehničkim poljima (razni oblici komunikacije, hardverskosoftverski nivo, satelitske tehnologije, itd.). Koriste se opremom koja je zadnja reč tehnike i visoke tehnologije. Polje delovanja uglavnom su razni oblici špijunaže, od ekonomske do obaveštajne. Izuzetno su teški za otkrivanje, time više što izbegavaju bilo kakav oblik medijske prisutnosti i kontakata. Na Internetu su uglavnom pasivno prisutni, a na komunikacijskim kanalima su samo slušači. Skupljaju informacije i podatke, izrađuju unikatne alate i nigde ih ne objavljuju, već ih koriste isključivo za sebe. Ne ponavljaju metode napada. Pripreme za napad su im dugotrajne i detaljne.
4. SIGURNOSNI PROPUSTI VRATA NAPADAČA
Generalno gledajući napad iskorišćava bilo koju tehničku ili ljudsku slabost u sistemu bezbednosti. Tehničke slabosti uključuju nedostatke u dizajnu, neodgovarajuću zaštitu i slabosti ili promene u okruženju. Ljudske slabosti u bezbednosti sistema obično uključuju nedovolja znanja korisnika i nepridržavanje pravila, neuvežbanost i nedovoljnu obučenost korisnika i slabu fizičku bezbednost. Clifford i Cliff Berga u [5] izdvojili su šablone i tehnike napada kao posledica tehničkih i ljudskih slabosti. Napadači koriste sigurnosne propuste kako bi ostvarili svoj cilj. Propusti mogu nastati prilikom dizajna sistema ili pogrešnom konfiguracijom. SANS svake godine izdaje listu najčešćih sigurnosnih propusta za operativne sisteme, cross-platformske aplikacije i mrežne proizvode [6].
Slika 2. Prijavljeni sigurnosni propusti CERT kordinacionom centru
Na web sajtu CERT kordinacionog centra [7] prikazana je statistika od 1995. godine do danas. Krajem devedesetih godina broj sigurnosnih propusta merio se stotinama(1999. godine bilo je 471 propusta), a početkom 2000.godine broj propusta premašuje 1000. Broj propusta se iz godine u godinu povećava, tako da 2005. godine prelazi 6000. Na slici 3.2. se vidi stalni rast prijavljenih propusta, što ukazuje na sve veću potencijalnu opasnost od napada (2000.g. - 21.756 incidenata, a 2003. g.- 137.529 incidenata). Napadači najčešće iskorišćavaju propuste nastale u: - Operativnim sistemima. Operativni sistemi upravljaju računarskim resursima (hardverskim i softverskim) i neophodni su za rad drugih sistemskih i korisničkih aplikacija. Propusti u operativnom sistemu i njegovim pratećim aplikacijama, kao i propusti u konfiguraciji, stvaraju uslove koje napadač može iskoristiti za napad. Kako
operativni sistem upravlja svim računarskim resursima, tako napad na njega direktno ugrožava i sistem elektronskog poslovanja. -Cross-platformskim aplikacijama. Propusti u ovim aplikacijama mogu na direktan i indirektan način da ugroze elekronsko poslovanje. Propusti u softveru za razvoj aplikacija (u kome su pored ostalih aplikacija razvijene i poslovne aplikacije) i u bazama podataka koje se koriste za smeštanje poslovnih podataka mogu na direktan način da ugroze elektronsko poslovanje. Ostale aplikacije koje se koriste za zaštitu podataka, zaštitu od virusa, deljenje podataka i aplikacije za komunikaciju mogu na indirektan način da ugroze poslovanje, ako napadač iskoristi propuste u njima. - Mrežnim proizvodima. Mrežni proizvodi predstavljaju značajan resurs u uspostavljanju infrastrukture elektronskog poslovanja. Oni omogućavaju povezivanje organizacija i klijenata u sistem koji organizacijama pruža sticanje dodatne vrednosti, a klijentima kupovinu i usluge nezavisne od vremena i mesta. Propusti u mrežnim proizvodima i načinu konfigurisanja najčešće mogu prouzrokovati uskraćivanje usluga korisnicima elektronskog poslovanja, kompromitovanje perimetarske zaštite i VPN-a. – Web servisima. Nove aplikacije za elektronsko poslovanje zasnovane na web servisima upravljaju značajnim informacijama, pa kao posledica toga postaju meta napada (krađa, zlonamerni hakeri, industrijska špijunaža). Napadači na ove aplikacije traže moguća rešenja za ostvarenje svog cilja, a ta rešenja zadiru ne samo u aplikacije nego i u Web servise. Bezbednost aplikacija zasniva se i na bezbednosti Web servisa. Da bi se iznašlo pravo bezbednosno rešenje koje će otkloniti ili ublažiti napade potrebno je sagledati moguće pretnje i propuste. Houglund i Mc Grawe su identifikovali 49 šablona za napade [8] koji su zasnovani na propustima Web servisa, a mogu se svrstati u sledeće grupe: - iskorišćavanje serverskog softvera, - iskorišćavanje klijentskog softvera, - implementacija zlonamernog koda, - preplavljivanje bafera.
5. SCENARIO UGROŽAVANJA BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA Postoji više scenarija koje napadač koristi da bi ugrozio bezbednosti elektronskog poslovanja kao što su infiltracija u sistem, suplantacija, menjanje podataka u toku komunikacije, prisluškivanje, odbijanje servisa... Između nekih od ovih scenarija postoji međusobna zavisnost, pa je teško opisati svaki od njih pojedinačno, a da se ne spomene drugi scenario. Stoga u ovome naslovu pristup je takav da se uopšteno opiše scenario. Gledano u odnosu na granicu sistema, napadač može da ugrozi sistem spolja i iznutra, a napadač može biti neko ko je zaposlen u organizaciji. Stoga su ovde razmatrana dva scenarija. U prvom scenariju se opisuju faze kroz koje prolazi napadač prilikom sprovođenja napada, a drugi scenario opisuje ugrožavanje bezbednost od strane zaposlenih u organizaciji.
5.1.1 UGROŽAVANJE BEZBEDNOSTI OD STRANE NAPADAČA Svaki napadač ima svoj karakterističan pristup u izvođenju napada i nastoji da prilikom napada ostvari svoj motive i namere. Te motive i namere sprovodi na nezakonit način u svim svojim aktivnostima prema sistemu koji napada. Napadač prilikom napada nastoji da dođe do potrebnih informacija koje bi mu omogućile neopažen pristup sistemu. Kada pristupi sistemu on nastoji da dobije što veće privilegije da bi mogao da ostvari svoj cilj. Neki napadači, koji su manje iskusni ili im je cilj da stave do znanja organizaciji da su im narušili sistem bezbednosti, nakon dobijanja privilegija završavaju napad. Po dobijanju potrebnih privilegija napadač sprovodi svoj cilj, a potom maskira svoje tragove prisustva u sistemu.
Slika 3. Faze ugrožavanja bezbednosti od strane napadača Generalno gledajući svaki napadač prilikom izvođenja napada prolazi kroz pet faza.
5.1.2 OSIGURAVANJE PRISTUPA SISTEMU ELEKTRONSKOG POSLOVANJA Napadač najčešće ostvaruje pristup sistemu na nelegala i nezakonit način, odnosno koristi razne metode za pribavljanje podataka o sistemu i načinu na koji se koristi. Na osnovu prikupljenih podataka napadač neovlašćeno ulazi u sistem. Da bi prikupio podatke koji su mu potrebni za upad u sistem napadač se najčešće koristi sledećim metodama: metode kojim iskorišćava nepažnju korisnika (socijalni inženjering, shaulder surfing, scavering, maskiranje, varanje, lažno predstavljanje), metode kojima se iskorišćava slabosti internet protokola (login spoofing, web spoofing, e-mail spoofing, IP spoofing, DNS spoofing), metoda nasumičnog pogađanja i pretraživanja, metoda
špijuniranja (prisluškivanje, optičko špijuniranje i presretanje elektromagnetnog zračenja), metoda socijalnog kontakta sa korisnikom neformalno druženje, podmićivanje, ucenjivanje), metode programske manipulanipulacije (programskar ešenja putem kojih se može doći do korisničkih lozinki i informacija o broju kartica i vlasnika).
5.1.3 PROŠIRENJE PRISTUPA SISTEMU RADI DALJEG SPROVOĐENJA NAPADA Pošto je napadač otkrio identitet korisnika, on je time dobio i njegova ovlašćenja (prava i privilegije). Napadač sa tuđim identitetom može pristupiti sistemu, ali da bi ostvario svoje namere on dobijena prava mora prošiririti kako bi mogao nesmetano da pristupa resursima. U tu svrhu napadač se najčešće koristi sledećim tehnikama: pregledavanjem sadržaja računara, intervencije u programima kako bi se zaobišao postupak identifikacije i autorizacije (back doors – postupak zaobilaženja koji je napravio napadač, trap doors - postupak zaobilaženja koji je ostavo programer), programima za analizu i nadzor rada sistema (zloupotreba programa koji administratoru omogućavaju nalaženje slabosti u sistemu zaštite), programima za zaobilaženje sigurnosti sistema (programi koji administratoru omogućava zaobilaženje svih sigurnosnih sistema radi sprovođenja brže intervencije na sistemu – posledice zloupotrebe su očite), iskorišćavanjem grešaka u sistemu koje mogu ugroziti sigurnost sistema.
5.1.4 PREUZIMANJE DRUGIH RADNJI Naredne radnje zavisiće od motiva i namera napadača. U ovoj fazi se za neke napadače napad završava, dok su za druge širom otvorena vrata za dalje nezakonite aktivnosti. Sada su radnje napadača usmerene na manipulaciju programima i podacima (korišćenje nekog programa za rad sa bazom podataka, prepravljenje postojećih programa – programa za finansijske transakcije), onemogućavanje daljeg korišćenja sistema (uskraćivanje usluga ovlašćenim korisnicima) i stvaranje uslova za buduće nezakonite radnje (implementacija malicioznih programa).
5.1.5 SKRIVANJE TRAGOVA PRISUSTVA Sposobnost napadača da sakrije tragove svog prisustva je karakteristika koja mu omogućava skrivanje njegovog rada i pruža mogućnost ponovnog delovanja. Kada napadač ne bi sakrio svoje tragove prisustva brzo bi bio otkriven i izveden pred lice pravde. Tragove skriva tako što uklanja dokaze aktivnosti iz log datoteka operativnog sistema i programa.
5.1.6 UGROŽAVANJE BEZBEDNOSTI OD STRANE ZAPOSLENIH Zaposleni u organizaciji mogu ugroziti bezbednost sistem elektronskog poslovanja na direktan i indirektan način. Kada zaposleni svesno preduzima skup radnji kojim se ugrožava bezbednost elektronskog poslovanja sa ciljem prisvajanja, otuđenja ili uništenja informacija i drugih informatičkih resursa organizacije, kako bi ostvario ličnu korist, to predstavlja direktan način ugrožavanja bezbednosti od strane korisnika. Najčešći motiv kada zaposleni na ovakav način ugrožava bezbednost sistema je njegovo nezadovoljstvo prema organizaciji (nezadovoljstvo radnim mestom, napredovanjem, platom, omalovažavanjem od strane pretpostavljenih i drugih zaposlenih), ostvarenje ličnog interesa, osveta prema organizaciji, spoljašnji pritisci i ucene. Ovakvi zaposleni mogu naneti znatnu štetu organizaciji jer deluju iznutra i poznaju sistem u celini. Indirektno ugrožavanje bezbednosti od strane zaposlenih nastaje kada zaposleni svojom nepažnjom, neshvatanjem značaja bezbednosti ili nedovoljnom obučenosti nesvesno omogući napadaču da dođe do bitnih poslovnih informacija ili informacija koje će napadaču omogućiti da naruši sistem bezbednosti. Odnosno, gledano sa strane napadača, napadač koristi svoje umeće da od zaposlenog dobije njemu bitne informacije za narušavanje sistema bezbednosti. Ovo predstavlja posebnu oblast napada koja iskorišćava ljudsku slabost u sistemu, a zove se socijalni inženjering. Najčešći motivi zaposlenih koji omogućavaju napadaču da od njih dobije korisne informacije su: ostvarivanje finansijske dobiti, koristoljublje, osveta i spoljašnji pritisci. Napadač koristi više tehnika za prikupljanje informacija koje su opisane u [9]. Organizacije prilikom uvođenja elektronskog poslovanja na samom početku mogu ugroziti bezbednost sistema. Rukovodstvo organizacije od uvođenja elektronskogposlovanja nastoji da što pre ostvari dodatu vrednost, pa e uvodi skupe mere zaštite kako bi korisniku mogućio to dostupnije i jednostavnije poslovanje. Međutim, slab sistem zaštite napadač može lako narušiti, a organizaciji aneti štetu kako materijalnu tako i gubitak klijenata, partnera, reputacije. Najčešći scenario ugrožavanja bezbednosti od strane zaposlenih [10]: - Rukovodstvo organizacija, nakon što donese odluku o početku poslovanja elektronskim putem, treba da odluči o načinu na koji će zaštititi poslovne informacije i autentikovati korisnike. - Predsednik organizacije, koji ne razume tehnologiju, donosi odluku u pogledu dodeljivanja resursa, šifrovanja i načina čuvanja. Negov prioritet je bila niska cena i da je sistem jednostavan za korišćenje, a vodio se ciljem da ovakvo poslovanje bude što dostupnije, korisnički orjentisano, odnosno lako za korišćenje zaposlenim, partnerima i kupcima. - Shodno donetim odlukama u organizaciji se implementira autentikacija zasnovana na lozinki, a koristi se kratka lozinka kako bi je korisnik lako zapamtio. - Za zaštitu korisničke lozinke i korisničkog naloga se koriste jeftini i jednostavni algoritmi. Ovo smanjuje početnu cenu implementacije sistema i smanjuje vreme obrade
resursa zato što se koriste jednostavni, a time brzi algoritmi za zaštitu. Pored toga, lozinke mogu biti otkrivene kako bi se korisniku omogućili da je dobije ukoliko je zaboravi. - Jednostavno korišćenje privlači nove korisnike tako da se baza korisnika brzo povećava. Shodno velikom broju korisnika organizacija ostvaruje veći profit nego konkurentske organizacije koje imaju složeni korisnički interfejs. - Neko sa zlonamernim ciljem usmerenim prema organizaciji, možda nezadovoljan prethodnim poslodavcem ili neki napadač sa Interneta, probija sistem i dobija privilegije za pristup osetljivim informacijama zahvaljujući lozinkama koje se ne menjaju. Pošto je organizacija štedela na uvođenju bezbednosti sistema, nije implementirala sistem za detektovanje napada i upada u sistem, pa napadač neće biti detektovan. - Pošto je napadač otkrio lozinke, on ih koristi kako bi dobio informacije o kreditnim karticama. Ove informacije koristi za kupovinu i prodaju. Organizacija uočava nelogične i velike troškove na svom računu. - Organizacija se obraća sertifikacionom telu sa zahtevom da otkrije i uhvati napadača. Napadač preko sredstava javnog informisanja saznaje da je organizacija otkrila da su joj pokredene informacije o kredinim karticama, odnosno njegov upad u sistem. - Neki korisnici i poslovni partneri prekidaju poslovanje sa kompromitovanom organizacijom. - Sada organizacija implementira mere koje sistem čine bezbednim. Ovo rezultira prekidom servisa za ostale korisnike i organizacija troši prilično sredstava u uspostavljanju novog sistema. - Organizacija ne uspeva da povrati ugled posle incidenta, a konkurencija dobija nove korisnike i partnere proširujući granice profita. Navedeni scenario ukazuje da na ugrožavanje bezbednosti ne utiču samo korisnici i napadači koji imaju interes već I sam pristup i način uvođenja elektronskog poslovana u organizaciju. Scenario pokazuje da se zaštiti sistema elektronskog poslovanja od unutarnjih i spoljašnjih napada mora ozbiljno pristupiti, odnosno lica koja se bavezaštitom ovakvih sistema treba da ukažu na bezbednosne probleme i načine njihovog prevazilaženja, a rukovodstvo organizacije treba da prihvati najpovoljnije rešenje.
6. ZAKLJUČAK Sve brži razvoj računarskih i telekomunikacionih sistema i njihovo međusobno povezivanje u jedan sistem poznat pod nazivom Internet doprineli su pojavi novog vida poslovanja, elektronskog poslovanja. Novo okruženje dovelo je do novog modela bezbednosti elektronskog poslovanja. Nasuprot tome, pojavile su se nove tehnike napada i napadači.
7. LITERATURA • • •
www.google.com www.wikipedia.org
View more...
Comments