Sigurnost raunarskih mrea SRM n Tema n Elektronsko

  • Slides: 58
Download presentation
Sigurnost računarskih mreža (SRM) n Tema: n Elektronsko poslovanje n i sigurnost n na

Sigurnost računarskih mreža (SRM) n Tema: n Elektronsko poslovanje n i sigurnost n na Internetu Elektronsko poslovanje Slide 1 of 58

URLs: n Zvanična Web strana: n http: //www. vets. edu. yu/smerovi/predmeti/Sigurnost. Mreze. htm n

URLs: n Zvanična Web strana: n http: //www. vets. edu. yu/smerovi/predmeti/Sigurnost. Mreze. htm n Dodatni resursi: n http: //www. conwex. info/draganp/teaching. html n Knjige: n http: //www. conwex. info/draganp/books. html n Teme za seminarske radove: n http: //www. conwex. info/draganp/SRM_seminarski_radovi. html Elektronsko poslovanje Slide 2 of 58

Elektronsko poslovanje i sigurnost na Internetu n Sadržaj poglavlja i predavanja: F 8. 1

Elektronsko poslovanje i sigurnost na Internetu n Sadržaj poglavlja i predavanja: F 8. 1 Infrastruktura zaštite u elektronskoj trgovini F 8. 2 Neželjena elektronska pošta i pecanje F 8. 3 Sigurnost Vo. IP mreža F 8. 4 Sigurnost P 2 P mreža Elektronsko poslovanje Slide 3 of 58

Potrebna predznanja n Programiranje n Za primenu: F Računarske mreže i protokoli F Operativni

Potrebna predznanja n Programiranje n Za primenu: F Računarske mreže i protokoli F Operativni sistemi F Sistemsko programiranje F Internet Elektronsko poslovanje Slide 4 of 58

Elektronsko poslovanje i sigurnost na Internetu n Elektronsko poslovanje F uzima sve veći udeo

Elektronsko poslovanje i sigurnost na Internetu n Elektronsko poslovanje F uzima sve veći udeo u globalnom poslovanju F smanjuje troškove F i omogućava neke nove načine F započinjanja, razvoja i rasta posla n Sama činjenica da je Internet F infrastrukturna osnova elektronskog poslovanja F donosi i brojne sigurnosne rizike F i otvara nove mogućnosti F koje potencijalni napadači mogu da iskoriste Elektronsko poslovanje Slide 5 of 58

Infrastruktura zaštite u elektronskoj trgovini n Razvoj Internet tehnologija, F Web servisa i sistema

Infrastruktura zaštite u elektronskoj trgovini n Razvoj Internet tehnologija, F Web servisa i sistema sigurnosti i zaštite, F kao i sve šira primena kreditnih kartica i „digitalnog novca“, F obezbedili su podršku sve naprednijim načinima F i mogućnostima elektronskog poslovanja. n U novije vreme F distribuirani sistemi F i sistemi koji se oslanjaju na Internet F čine osnovu poslovanja F sve većeg broja preduzeća i organizacija Elektronsko poslovanje Slide 6 of 58

Infrastruktura zaštite u elektronskoj trgovini n Sve češće se primenjuju F veoma kompleksni portali

Infrastruktura zaštite u elektronskoj trgovini n Sve češće se primenjuju F veoma kompleksni portali F i Integrisani distribuirani sistemi poslovanja. n Sistemska podrška F u savremenim operativnim sistemima F i različitim sistemima baza podataka F transakcionim serverima i sistemima F olakšava i ubrzava F razvoj elektronskog poslovanja Elektronsko poslovanje Slide 7 of 58

Elektronsko poslovanje – vidovi interakcija n Elektronsko poslovanje danas n integriše sve vidove interakcija:

Elektronsko poslovanje – vidovi interakcija n Elektronsko poslovanje danas n integriše sve vidove interakcija: F B 2 B (Business-to-Business) F B 2 C (Business-to-Customer) F B 2 E (Business-to-Employee) n Uz podršku pouzdanih sistema zaštite i sigurnosti F Elektronsko poslovanje F predstavlja ekonomično okruženje F za prezentaciju i plasman F roba i usluga Elektronsko poslovanje Slide 8 of 58

Sigurnost sistema elektronske trgovine n U sistemima elektronske trgovine, n zaštita se integriše n

Sigurnost sistema elektronske trgovine n U sistemima elektronske trgovine, n zaštita se integriše n implementiranjem n tri osnovne sigurnosne usluge: F 1. Provera identiteta (Autentifikacija) 4 model predstavljanje/delegiranje – (user on db server) 4 model poverljivog servera – (user-aplikacija, aplikacija-database server) F 2. Autorizacija 4 kontrolisan pristup resursima F 3. Privatnost 4 šifrovanje u cilju zaštite janosti informacija 4 zaštićeni kanali veze ili SSL Elektronsko poslovanje Slide 9 of 58

Infrastruktura javnih ključeva n Infrastrukturu javnih ključeva (PKI) F čini skup komponenata F koje

Infrastruktura javnih ključeva n Infrastrukturu javnih ključeva (PKI) F čini skup komponenata F koje upravljaju sertifikatima i ključevima F koji se koriste u servisima šifrovanja F i generisanja digitalnog potpisa n Sertifikati obezbeđuju mehanizam F za uspostavljanje poverenja u odnosima F između javnih ključeva i entiteta F koji poseduju odgovarajuće tajne ključeve, F čime se garantuje da određeni javni ključ pripada određenom entitetu. F Osnovni oblik sertifikata koji se danas koristi, F zasniva se na ITU-T standardu X. 509. F Sertifikat se može posmatrati 4 kao digitalna lična karta 4 odgovarajućeg entiteta Elektronsko poslovanje Slide 10 of 58

Certification Authority, CA n Sertifikate javnih ključeva izdaje sertifikacioni centar F (engl. Certification Authority,

Certification Authority, CA n Sertifikate javnih ključeva izdaje sertifikacioni centar F (engl. Certification Authority, CA). n U zavisnosti od oblasti primene, CA može biti: F neka državna institucija od poverenja F ali i bilo koja institucija ili pojedinac F koji izdaju sertifikate za svoje komintente n Sertifikat, pored opštih podataka o identitetu: F (naziv, adresa, organizacija, država itd. ) F sadrži još i javni ključ identiteta F podatke o izdavaocu sertifikata F i sve to overeno digitalnim potpisom CA n Sertifikaciono telo izdaje sertifikate podnosiocima zahteva na osnovu uspostavljenih kriterijuma n CA se pojavljuje u ulozi garanta F prilikom uspostavljanja korelacije između javnog ključa subjekta F i ostalih identifikacionih podataka o tom subjektu F koji su sadržani u izdatom sertifikatu Elektronsko poslovanje Slide 11 of 58

CA… n CA se mogu organizovati po hijerarhijskom modelu. n To omogućava F veću

CA… n CA se mogu organizovati po hijerarhijskom modelu. n To omogućava F veću funkcionalnost F i jednostavniju administraciju n Generalno F hijerarhija CA sadrži više CA F sa strogo definisanim odnosom roditelj-dete. n CA koji je najviši u hijerarhiji, F u opštem slučaju se naziva korenski CA (engl. root CA) F sertifikat CA je samopotpisan (engl. self-signed) F tj. potpisan privatnim ključem CA Elektronsko poslovanje Slide 12 of 58

Osnovni sistemi plaćanja i digitalnog novca n Pay. Pal n Cyber. Cash 1995 n

Osnovni sistemi plaćanja i digitalnog novca n Pay. Pal n Cyber. Cash 1995 n First Virtual (FV) 1994 n E–Cash 1994 n Net. Cash (University of Southern California) n Mondex for Master. Card n Visa. Cash n e. Novčanik Elektronsko poslovanje Slide 13 of 58

e. Novčanik n Domaći platni servis na Internetu koji n implementira proces n ugovaranja

e. Novčanik n Domaći platni servis na Internetu koji n implementira proces n ugovaranja plaćanja n između n trgovca i kupca n http: //www. enovcanik. com Elektronsko poslovanje Slide 14 of 58

e. Novčanik – Princip plaćanja n Elektronsko poslovanje Slide 15 of 58

e. Novčanik – Princip plaćanja n Elektronsko poslovanje Slide 15 of 58

e. Novčanik – Detalji plaćanja n Elektronsko poslovanje Slide 16 of 58

e. Novčanik – Detalji plaćanja n Elektronsko poslovanje Slide 16 of 58

e. Novčanik - Sigurnost n Tehnička: F SSL/HTTPS pristup za kupce i trgovce F

e. Novčanik - Sigurnost n Tehnička: F SSL/HTTPS pristup za kupce i trgovce F Komunikacija sa bankom na bazi digitalno potpisanih poruka F Autentikacija kupaca i trgovaca na bazi lozinke F Dodatna autentikacija kupca pri potvrdi plaćanja na bazi transakcijskih PIN-ova dostavljenih SMS porukama (za veća plaćanja ili prelazak kumulativnog praga) F Administrativna aplikacija dostupna samo u privatnoj mreži F “Odbrana u dubinu” (koncentrični krugovi odbrane sistema i aplikacije) F Fizičko obezbeđenje sistema koji nosi aplikaciju n Elektronsko poslovanje Slide 17 of 58

e. Novčanik - Sigurnost n Operativna: F Plaćanje uvek autorizuje vlasnik računa; trgovac nema

e. Novčanik - Sigurnost n Operativna: F Plaćanje uvek autorizuje vlasnik računa; trgovac nema mogućnost da povlači novac na bazi podataka koje zna o kupcu (kao npr. kod kartica na bazi broja kartice itd) F Sprečavanje pranja novca: ne može se prenositi sa računa na račun u banci preko e. Novčanika – samo plaćanje trgovcu ili povrat para nazad na isti račun; kupac može koristiti račune samo u jednoj banci u jednom trenutku. F Trgovcima plaća banka na bazi dnevnog obračuna F Banka ne postupa po nalozima trgovcima ako ne upari svoje prenose u novčanik (ako ima nepoznatih itd) F Novčanik kupca će po pravilu imati značajno raspoloživo stanje samo u toku kupovine Elektronsko poslovanje Slide 18 of 58

e. Novčanik - Sigurnost n Identitet: F e. Novčanik: 4 SSL sertifikat F Kupac:

e. Novčanik - Sigurnost n Identitet: F e. Novčanik: 4 SSL sertifikat F Kupac: 4 na bazi ličnih podataka 4 poslatih iz banke uz svaku uplatu F Trgovac: 4 Račun se otvara 4 tek po prijemu relevantnih potvrda identiteta poštom ili direktno, 4 i verifikaciji sa bankom koja drži račun uplate pazara Elektronsko poslovanje Slide 19 of 58

SET protokol (Secure Electronic Transactions) n SET je predloženi standard F za obavljanje transakcija

SET protokol (Secure Electronic Transactions) n SET je predloženi standard F za obavljanje transakcija F kreditnim/debitnim karticama preko Interneta F zajednički ga razvijaju Visa i Master. Card F uz tehničku pomoć raznovrsnih kompanija F iz oblasti informacionih sistema, kriptografije i Interneta F kao što su IBM i Veri. Sign n Bez obzira na to što ga razvijaju navedene dve kompanije F protokol može da se koristi F za sve vrste kreditnih/debitnih kartica F recimo za American Express ili Discover. Elektronsko poslovanje Slide 20 of 58

Položaj protokola SET u skupu protokola TCP/IP n Elektronsko poslovanje Slide 21 of 58

Položaj protokola SET u skupu protokola TCP/IP n Elektronsko poslovanje Slide 21 of 58

SET Overview (Secure Electronic Transactions) n Osnovne karakteristike i funkcije: F Poverljivost informacija F

SET Overview (Secure Electronic Transactions) n Osnovne karakteristike i funkcije: F Poverljivost informacija F Integritet podataka F Provera identiteta vlasnika kartice i njegovog naloga F Provera identiteta trgovca Elektronsko poslovanje Slide 22 of 58

Učesnici u SET protokolu n Elektronsko poslovanje Slide 23 of 58

Učesnici u SET protokolu n Elektronsko poslovanje Slide 23 of 58

Učesnici u SET protokolu Elektronsko poslovanje Slide 24 of 58

Učesnici u SET protokolu Elektronsko poslovanje Slide 24 of 58

Učesnici u SET protokolu n Trgovci i kupci moraju imati softver koji sadrži SET

Učesnici u SET protokolu n Trgovci i kupci moraju imati softver koji sadrži SET kako bi ga koristili za transakcije kreditnim/platnim karticama. Takođe, poslovne banke obrađuju dostavljene zahteve za obradu transakcija kreditnim/platnim karticama, koji pristižu putem SET-a, na isti način kao da su ti zahtevi za obradu stigli sa POS terminala. n Posao prevođenja podataka iz SET oblika u oblik koji koriste poslovne banke obavlja SET mrežni prolaz (engl. gateway). Mrežnim prolazima će upravljati kompanije koje su sklopile ugovor s nekom poslovnom bankom da to čine za njen račun, ili same poslovne banke. n Identitet kupaca, trgovaca i poslovnih banaka neće proveravati neki centralizovani server. SET koristi sistem sertifikata za proveru identiteta. Sertifikate izdaje neki entitet od poverenja koji može jemčiti za identitet nekoga ko je podneo digitalni potpis. Sertifikat predstavlja dokaz da dati potpis pripada entitetu koji ga je podneo. Ovi sertifikati se prosleđuju između platnog softvera kupca, trgovca i poslovne banke da bi se dokazalo da je svaki entitet koji je uključen u datu transakciju, zaista onaj za koga se predstavlja. n Proces plaćanja po SET standardu nešto je komplikovaniji od prethodna dva modela koja smo razmotrili, zbog potrebe prosleđivanja javnih ključeva između strana u transakciji i verifikacije sertifikata u toku transakcije. Elektronsko poslovanje Slide 25 of 58

Proces kupovine n Kupovina uz upotrebu protokola SET n i kreditne/platne kartice n odvija

Proces kupovine n Kupovina uz upotrebu protokola SET n i kreditne/platne kartice n odvija se u koracima koji su opisani u knjizi: F “Sigurnost računarskih sistema i mreža” n SET ima prednost nad ostalim platnim sistemima zato što ne zahteva da neka treća strana prati transakcije kreditnim/platnim karticama na Internetu. To smanjuje troškove transakcija kreditnim/platnim karticama preko Interneta. SET koristi jaku kriptografsku zaštitu i modele za proveru. Trgovci nemaju uvid u broj kreditne/platne kartice kupca. Takođe, novac se prebacuje na trgovčev račun u roku koji je jednak uobičajenom roku za transakcije kreditnim/platnim karticama. Još jedna pogodnost protokola SET jeste i to što ga podržavaju poznate kompanije kao što su Master. Card i Visa. n SET ima i svoje nedostatke. Prvi je taj što će trgovci i kupci morati da instaliraju softver koji omogućava obradu SET transakcija. I poslovne banke će morati da sklope ugovore s nekom kompanijom koja će upravljati njihovim platnim mrežnim prolazom, ili će same instalirati takav prolaz. Osim toga, trgovci će morati da otvore račun kod poslovne banke koja je osposobljena da prima SET transakcije. Elektronsko poslovanje Slide 26 of 58

SSL Web server n Protokol Security Socket Layer (SSL) F predstavlja de facto standard

SSL Web server n Protokol Security Socket Layer (SSL) F predstavlja de facto standard za zaštitu podataka F Prepoznatljiv po prefiksu https: , F kao i po ključu koji je vizuelno predstavljen u većini Web čitača n SSL i dalje dominira zbog jednostavnosti uvođenja i korišćenja. n Manji broj prodavnica na Internetu F koristi protokol F Secure Electronic Transactions (SET). n Posle godina nastojanja da trgovce na Internetu F privole da koriste SET, F Visa i srodne kompanije odlučile su F da nastupe s jednostavnijim rešenjem. F Novo rešenje je nazvano 3 D model (Three Domain Model). Elektronsko poslovanje Slide 27 of 58

Web serveri n Apache http: //www. apache. org/ 58% n Netscape n Planet http:

Web serveri n Apache http: //www. apache. org/ 58% n Netscape n Planet http: //www. iplanet. com/ n Microsoft Internet Information Server (IIS) Elektronsko poslovanje Slide 28 of 58

Standard sigurnosti podataka industrije platnih kartica n PCI DSS Kao odgovor na rastući broj

Standard sigurnosti podataka industrije platnih kartica n PCI DSS Kao odgovor na rastući broj zloupotreba (engl. fraud) u poslovanju na Internetu Standard obuhvata 12 područja svrstanih u 6 grupa. To su: n (Payment Card Industry Data Security Standard) n [I] Izgrađivanje i održavanje sigurne mreže F Zahtev 1: Instalacija i održavanje konfiguracije zaštitne barijere radi zaštite podataka. F Zahtev 2: Ne koristiti podrazumevane vrednosti za lozinke i druge sigurnosne parametre. n [II] Zaštita podataka vlasnika platnih kartica F Zahtev 3: Zaštita uskladištenih podataka. F Zahtev 4: Šifrovanje podataka o karticama i drugih osetljivih informacija koje se prenose preko javnih mreža. n [III] Održavanje programa za rukovanje ranjivostima F Zahtev 5: Korišćenje i redovno ažuriranje antivirusnog softvera. F Zahtev 6: Razvoj i održavanje sistema i aplikacija. Slide 29 sigurnosnog of 58 Elektronsko poslovanje

Standard sigurnosti podataka industrije platnih kartica n PCI DSS (Payment Card Industry Data Security

Standard sigurnosti podataka industrije platnih kartica n PCI DSS (Payment Card Industry Data Security Standard) n [IV] Implementacija strogih mera kontrole pristupa F Zahtev 7: Restrikcija pristupa podacima po poslovnom principu “treba da zna” F Zahtev 8: Dodela jedinstvene identifikacije svakom licu koje ima pristup računaru F Zahtev 9: Ograničavanje fizikog pristupa podacima o vlasnicima kartica n [V] Redovno nadziranje i ispitivanje mreže F Zahtev 10: Praćenje i nadgledanje svih pristupa mrežnim resursima i podacima o vlasnicima kartica F Zahtev 11: Redovno proveravanje sigurnosnih sistema procesa n [VI] Održavanje politike sigurnosti informacija F Zahtev 12: Održavanje politike koja se odnosi na sigurnost informacija Elektronsko poslovanje Slide 30 of 58

Mobilna elektronska trgovina n Mobilna elektronska trgovina F (engl. M-commerce, mobile commerce) F predstavlja

Mobilna elektronska trgovina n Mobilna elektronska trgovina F (engl. M-commerce, mobile commerce) F predstavlja svaku transakciju novčane vrednosti F koja je realizovana F preko mobilne telekomunikacione mreže. n U skladu sa ovom definicijom F m-trgovina predstavlja podskup F svih transakcija e-trgovine F kako u B 2 C (business-to-customer) F tako i u B 2 B (business-to-business) segmentu Elektronsko poslovanje Slide 31 of 58

Generatori razvoja mobilne elektronske trgovine n Masovno tržište mobilne telefonije n Nagli razvoj Interneta

Generatori razvoja mobilne elektronske trgovine n Masovno tržište mobilne telefonije n Nagli razvoj Interneta i elektronske trgovine n Usavršavanje opreme i uređaja za mobilnu telefoniju n Novi principi tarifiranja usluga GPRS n Uspeh u podeli licenci za UMTS (3 G) Elektronsko poslovanje Slide 32 of 58

Usluge mobilne elektronske trgovine n Bankarske usluge n Berzanske usluge n On-line kupovinu n

Usluge mobilne elektronske trgovine n Bankarske usluge n Berzanske usluge n On-line kupovinu n Servise sadržaja F (npr. vesti, vremenska prognoza, horoskop) Elektronsko poslovanje Slide 33 of 58

Mobilna elektronska trgovina u poslovnim sistemima n Danas postoji više oblasti elektronskog poslovanja u

Mobilna elektronska trgovina u poslovnim sistemima n Danas postoji više oblasti elektronskog poslovanja u kojima bežične tehnologije imaju značajan uticaj i stvaraju novu vrednost: n Integracija lanca snabdevanja n Telemetrija n Upravljanje transportnom flotom n Upravljanje odnosima sa korisnicima n Automatizacija prodaje n WASP (Wireless Application Service Provider) i druge Elektronsko poslovanje Slide 34 of 58

Neželjena elektronska pošta, pecanje i pharming n Neželjena elektronska pošta (engl. spam) jedan je

Neželjena elektronska pošta, pecanje i pharming n Neželjena elektronska pošta (engl. spam) jedan je od najvećih problema vezanih za Internet. Od pojave spam-a, njegov udeo u sveukupnom broju e-poruka neprestano raste. Statistički podaci govore da je danas između 55 i 60% svih e-poruka spam. n Pecanje (engl. phishing) n Farming (engl. pharming) Elektronsko poslovanje Slide 35 of 58

Metode filtriranja neželjene pošte n 1. Metoda „bele liste“(engl. whitelisting) n Metoda „bele liste“

Metode filtriranja neželjene pošte n 1. Metoda „bele liste“(engl. whitelisting) n Metoda „bele liste“ (engl. whitelisting) zasniva se na prihvatanju svih poruka elektronske pošte pristiglih sa adresa koje se nalaze na beloj listi. To je najčešće lokalni popis adresa, specifičan za pojedine domene, koji proverenim korisnicima omogućava nesmetanu komunikaciju, bez nepotrebnih kontrola. Metoda bele liste je sastavni deo većine implementacija metoda sive liste. U slučaju da se IP adresa primljene poruke nalazi na beloj listi, poruka se odmah dostavlja, čime se izbjegavaju kašnjenja uzrokovana analizom pomoću metode sive liste. n 2. Metoda „crne liste“ (engl. blacklisting) n Metoda „crne liste“ (engl. blacklisting) koristi se popisom IP adresa s kojih je u određenom proteklom periodu pristigla e-pošta koja je klasifikovana kao spam. Iako se popis može čuvati lokalno, najčešće se ti popisi proveravaju u realnom vremenu, sa servera namenjenih upravo tome. Takvi serveri se često ažuriraju i u svakom trenutku sadrže crne liste trenutno aktivnih pošiljalaca spam poruka. Ima mnogo servera na kojima se može proveriti da li se određena IP adresa nalazi na crnoj listi, npr. dnsbl. info n 3. Metoda „sive liste“ (engl. graylisting) n 4. Bajesova tehnika filtriranja spama Elektronsko poslovanje Slide 36 of 58

Metoda „sive liste“ n Prilikom pokušaja dostavljanja poruke elektronske pošte, metoda sive liste pregleda

Metoda „sive liste“ n Prilikom pokušaja dostavljanja poruke elektronske pošte, metoda sive liste pregleda 3 osnovne informacije: n Triplet - tri osnovne informacije: F IP adresu računara s kog je poslata poruka F adresu pošiljaoca (polje MAIL FROM) F adresu primaoca (polje RCPT TO ) n Kombinacija te tri informacije čini jedan triplet. U slučaju da je određeni triplet prvi put viđen, odbija se njegova isporuka kao i isporuka svih poruka sa istim tripletom koje stignu u određenom vremenskom periodu. Protokol SMTP (Simple Mail Transfer Protocol) specificira mogućnost privremene nemogućnosti isporuke elektronske pošte, tako da valjani server elektronske pošte – MTA (Mail Transfer Agent), nakon određenog vremenskog intervala pokušava da ponovi isporuku. n Ova je činjenica bitna jer većina spam poruka šalje pomoću aplikacija koje su razvijene samo u tu svrhu. One ne implementiraju u potpunosti SMTP protokol, tako da ne pokušavaju da ponove isporuku. Najčešće koriste privremene, dinamičke IP adrese, što automatski onemogućava ponovni pokušaj slanja poruke Elektronsko poslovanje Slide 37 of 58

Metoda „sive liste“. . . n Elektronsko poslovanje Slide 38 of 58

Metoda „sive liste“. . . n Elektronsko poslovanje Slide 38 of 58

Siva lista n Važan aspekt ove metode, koji je razlikuje od većine drugih, jeste

Siva lista n Važan aspekt ove metode, koji je razlikuje od većine drugih, jeste činjenica da se valjana poruka ne može lažno klasifikovati kao spam (sve dok MTA potpuno implementira specifikaciju protokola SMTP). Za razliku od heurističkih metoda raspoznavanja spam poruka, koje se zasnivaju na analizi sadržaja poruke, metoda sive liste je karakteristična po tome što uopšte ne analizira sadržaj poruke, već samo njeno zaglavlje. n To znači da je ova metoda posebno efikasna u pogledu potrošnje procesorskog vremena. Osim toga, metoda sive liste ne zahteva kontaktiranje drugih servera na kojima se nalaze crne liste pošiljalaca. n Dodatno, sadržaj poruke se u slučaju odbacivanja iste ni ne prima, što uveliko pridonosi smanjivanju mrežnog saobraćaja. Elektronsko poslovanje Slide 39 of 58

Bajesova tehnika filtriranja spama n Bajesova tehnika filtriranja spama (engl. Bayesian spam filtering) F

Bajesova tehnika filtriranja spama n Bajesova tehnika filtriranja spama (engl. Bayesian spam filtering) F jeste proces korišćenja Bajesovskih statističkih metoda F za klasifikaciju dokumenata u kategorije. n Ovu metodu predložili su Sahami i ostali (1998. ) F a veliko interesovanje je pobudila tokom 2002, F kada je opisana u radu „A Plan for Spam“ Paula Grahama. F Od tada je to postao popularan mehanizam F za razlikovanje neligitimne i neželjene pošte od legitimne. n Mnogi moderni klijentski programi za e-poštu, F kao što je, na primer, Mozilla Thunderbird, F implementiraju ovu metodu za filtriranje spama. n Filtri e-pošte na serverskoj strani, F kao što su Spam. Assassin i ASSP, F koriste Bajesovu tehniku filtriranja spama, F a funkcionalnost je nekad ugrađena i u sam server za poštu. Elektronsko poslovanje Slide 40 of 58

Bajesova tehnika filtriranja spama… n Bajesovi filtri e-pošte koriste Bajesovu teoremu. Prema Bajesovoj teoremi,

Bajesova tehnika filtriranja spama… n Bajesovi filtri e-pošte koriste Bajesovu teoremu. Prema Bajesovoj teoremi, verovatnoća da je neka e-pošta spam (tj. da sadrži određene reči ) računa se na sledeći način: n gde je: n P(spam|reči) – verovatnoća da je pošta spam (tj. da je pošta koja sadrži određene reči spam) n P(reči|spam) – verovatnoća nalaženja ovih reči u spamu n P(spam) – verovatnoća da je bilo koja e-pošta spam n P(reči) – verovatnoća nalaženja navedenih reči u pošti F npr Viagra Elektronsko poslovanje Slide 41 of 58

Pecanje n Pecanje (engl. phishing) u računarstvu F predstavlja vrstu kriminalne aktivnosti F koja

Pecanje n Pecanje (engl. phishing) u računarstvu F predstavlja vrstu kriminalne aktivnosti F koja koristi tehnike društvenog inženjeringa F to jest prevara F i pomoću koje napadači dolaze do osetljivih informacija F kao što su razne lozinke F i detalji o kreditnim karticama. n Pecanje se najčešće izvodi F pomoću elektronske pošte F ili F sistema trenutnih poruka (engl. instant messages). Elektronsko poslovanje Slide 42 of 58

Primer pecanja n Elektronsko poslovanje Slide 43 of 58

Primer pecanja n Elektronsko poslovanje Slide 43 of 58

Farming n Farming (engl. pharming) je napad F koji za cilj ima preusmeravanje HTTP

Farming n Farming (engl. pharming) je napad F koji za cilj ima preusmeravanje HTTP zahteva korisnika F na lažirane i zlonamerne lokacije F umesto na originalne. n Farming je, uopšteno govoreći F napad čiji je rezultat sličan pecanju F korisnik koji je uspešno prevaren F ostaviće osetljive podatke (lozinka ili broj kreditne kartice) F na Web stranici napadača F koja je lažno predstavljena kao legitimna Web lokacija Elektronsko poslovanje Slide 44 of 58

Farming n Ovaj napad se razlikuje od pecanja F u tome što napadač ne

Farming n Ovaj napad se razlikuje od pecanja F u tome što napadač ne mora da navodi korisnika F da pritisne hipervezu u elektronskoj poruci F čak i ako korisnik tačno unese URL (Web adresu) F u adresno polje Web čitača F napadač i dalje može da ga preusmeri na zlonamernu Web lokaciju. n Zbog toga je i uvedeno novo ime F farming F kako bi se napravila razlika između ove dve vrste napada Elektronsko poslovanje Slide 45 of 58

Farming. . . n Pharming se obično izvodi: F tehnikama otimanja DNS-a F ili

Farming. . . n Pharming se obično izvodi: F tehnikama otimanja DNS-a F ili F „trovanja“ DNS keša 4 (engl. DNS cache poisoning). n Postoje dve različite metode n otimanja DNS-a F (engl. DNS hijacking). Elektronsko poslovanje Slide 46 of 58

Izvođenje farming napada n Elektronsko poslovanje Slide 47 of 58

Izvođenje farming napada n Elektronsko poslovanje Slide 47 of 58

Zaštite od farming napada n Postoji nekoliko dobrih preporuka F kako da se zaštitite

Zaštite od farming napada n Postoji nekoliko dobrih preporuka F kako da se zaštitite od ove prevare na Internetu, F ali odmah se mora reći da apsolutna zaštita ne postoji. n Napadači će uvek naći način da prevare naivne i neobrazovane korisnike, ali često i vrlo iskusne korisnike, pa čak i eksperte. n Ukoliko je ikako moguće koristite samo „pharming-conscious“ (Ph. C) Web stranice Pažljivo proveravanje Web lokacija (using https) n Proveravanje sertifikata n Zaštita DNS servera kod Internet posrednika-ISP Elektronsko poslovanje Slide 48 of 58

8. 3 Sigurnost Vo. IP mreža n Vo. IP telefonija (Voice over Internet Protocol)

8. 3 Sigurnost Vo. IP mreža n Vo. IP telefonija (Voice over Internet Protocol) F jeste proces prenosa F digitalizovanog glasa F preko IP mreža F pomoću odgovarajućih protokola. n Vo. IP standardi i protokoli F H. 323 F SIP (Session Initiation Protocol) 4 H. 323 je trenutno najsloženiji, ali i najpotpuniji standard koji obrađuje sledeće kategorije: kompresiju i prenos govora i slike u realnom vremenu, prenos tekstualnih poruka, kontrolu kvaliteta veze, uspostavljanje veze, autorizaciju i registraciju korisnika. 4 H. 323 obezbeđuje mehanizme za povezivanje opreme različitih proizvođača (nezavisnost od opreme i aplikacije) i nezavisnost od mreže, kao i podršku za konferencijsku vezu i komunikaciju sa više krajnjih tačaka. Elektronsko poslovanje Slide 49 of 58

Pretnje sigurnosti Vo. IP mreža n Neovlašćeno praćenje i prisluškivanje mrežnog saobraćaja n (engl.

Pretnje sigurnosti Vo. IP mreža n Neovlašćeno praćenje i prisluškivanje mrežnog saobraćaja n (engl. sniffing/eavesdropping) n Napadi uskraćivanja (odbijanja) usluga n (engl. Denial of Service – Do. S) n Presretanje poziva n (engl. call interception) n Krađa tuđeg identiteta n Finansijska zloupotreba Vo. IP infrastrukture n (engl. call fraud) neko korsiti vaše IP telefone i pravi vam velike račune Elektronsko poslovanje Slide 50 of 58

Preporuke za povećanje sigurnosti Vo. IP mreža n Odvajanje IP adresa n Virtuelne lokalne

Preporuke za povećanje sigurnosti Vo. IP mreža n Odvajanje IP adresa n Virtuelne lokalne mreže n Mrežne barijere n Šifrovanje Elektronsko poslovanje Slide 51 of 58

8. 4 Sigurnost P 2 P mreža n Peer-to-peer ili, skraćeno, F P 2

8. 4 Sigurnost P 2 P mreža n Peer-to-peer ili, skraćeno, F P 2 P mreže (mreže ravnopravnih računara) F nastale su kao entuzijastički projekat ljudi F koji su želeli da unaprede način deljenja datoteka. n P 2 P mreže su se pokazale F kao veoma dobra infrastruktura za deljenje datoteka F kojoj nisu potrebni centralni serveri F za emitovanje multimedijalnih sadržaja sa deljenjem opterećenja 4 (engl. load balancing), F kao i distribuirani sistemi za pravljenje rezervnih kopija 4 (engl. backup systems). n Zbog svega toga su P 2 P mreže u poslednjih nekoliko godina dostigle veliku popularnost Elektronsko poslovanje Slide 52 of 58

Napadi na P 2 P mreže n Napadi na mrežnu infrastrukturu F Napadi tipa

Napadi na P 2 P mreže n Napadi na mrežnu infrastrukturu F Napadi tipa Do. S i DDo. S F Napadi tipa „čovek u sredini“ (engl. man in the middle) n Trovanje datoteka i distribuiranje zlonamernih programa F Trovanje datoteka F Crvi i drugi zlonamerni programi n Napadi na P 2 P nivou: F Napad višestrukim identitetima: 4 Jedan od mogućih napada na P 2 P nivou koji iskorišćava redundantnost resursa jeste napad višestrukim identitetima 4 (engl. Sybil attack). 4 Identitet (engl. identity) je u P 2 P mrežama apstrakcija koja predstavlja određeni entitet (čvor) F Napad podelom mreže (engl. eclipse attack) Elektronsko poslovanje Slide 53 of 58

Zaštita P 2 P mreža n Prema stepenu centralizovanosti n (odnos broja kritičnih komponenata

Zaštita P 2 P mreža n Prema stepenu centralizovanosti n (odnos broja kritičnih komponenata i običnih čvorova) n P 2 P mreže se dele na: F hibridne (engl. hybrid) – centralni server čuva informacije o mreži, a čvorovi podatke; čvor koji želi da kontaktira drugi čvor, najpre od servera traži njegovu adresu, F čiste (engl. pure) – u mreži ne postoji centralni server F mešane (engl. mixed) – mreže bez centralnog servera koje grupišu čvorove oko takozvanih superčvorova (engl. supernode); primer ovakve mreže je Gnutella). n Zaštita od napada navedeni na prethodnom slajdu – F dosta novo područje F i implicira dosta problema. Elektronsko poslovanje Slide 54 of 58

Literatura D. Pleskonjić, N. Maček, B. Đorđević, M. Carić: n “Sigurnost računarskih sistema i

Literatura D. Pleskonjić, N. Maček, B. Đorđević, M. Carić: n “Sigurnost računarskih sistema i mreža”, Mikro knjiga, Beograd, 2007. , ISBN: 978 -86 -7555 -305 -2, knjiga – udžbenik n http: //www. conwex. info/draganp/books_SRSi. M. html n http: //www. mk. co. yu/store/prikaz. php? ref=978 -86 -7555 -305 -2 n n n Za predavanje 8: F Poglavlje 8: Elektronsko poslovanje i sigurnost na Internetu Elektronsko poslovanje Slide 55 of 58

Literatura - nastavak n D. Pleskonjić, B. Đorđević, N. Maček, Marko Carić: “Sigurnost računarskih

Literatura - nastavak n D. Pleskonjić, B. Đorđević, N. Maček, Marko Carić: “Sigurnost računarskih mreža”, Viša elektrotehnička škola, Beograd, 2006. , ISBN 86 -85081 -16 -5, knjiga - udžbenik n D. Pleskonjić, B. Đorđević, N. Maček, Marko Carić: “Sigurnost računarskih mreža - priručnik za laboratorijske vežbe”, Viša elektrotehnička škola, Beograd, 2006. , ISBN 86 -85081 -49 -1 n D. Pleskonjić, B. Đorđević, N. Maček, Marko Carić: “Sigurnost računarskih mreža - zbirka rešenih zadataka”, Viša elektrotehnička škola, Beograd, 2006. , ISBN 86 -85081 -55 -6 n http: //www. conwex. info/draganp/books. html Elektronsko poslovanje Slide 56 of 58

Dodatna literatura n Applied Cryptography n Bruce Schneier n John Wiley & Sons, 1995

Dodatna literatura n Applied Cryptography n Bruce Schneier n John Wiley & Sons, 1995 n Cryptography and Network Security n William Stallings n Prentice Hall, 1998 The CISSP Prep Guide – Mastering the Ten Domains of Computer Security n Ronald L. Krutz, Russell Dean Vines n John Wiley & Sons, 2001 n n Druge knjige i razni online resursi n Napomena: tokom predavanja će biti naglašena dodatna literatura, po potrebi. Elektronsko poslovanje Slide 57 of 58

Pitanja n ? Elektronsko poslovanje Slide 58 of 58

Pitanja n ? Elektronsko poslovanje Slide 58 of 58