oi 5 sigurnost i pravo - vuka.hrvlado/dl/oi_5_security_v1.pdf · posjedovanje i korištenje...
TRANSCRIPT
27.5.2009
1
Veleučilište u Karlovcu
5. Sigurnost i pravo
Veleučilište u Karlovcu
Osnove informatike
Sadržaj
• pravni okvir
• licence
• sigurnost
▪ virusi / zloćudni programi
▪ kriptografija / elektronski potpis
▪ vatrozid / nadzor
27.5.2009
2
Veleučilište u Karlovcu
Osnove informatike
Pravni okvir
• Glavna područja pravnih aktivnosti na zaštiti
informacijskih sustav
▪ zaštita privatnosti
▪ računalni gospodarski kriminal
▪ zaštita intelektualnog vlasništva
▪ druge aktivnosti potaknute razvojem Interneta
Veleučilište u Karlovcu
Osnove informatike
Pravni okvir
• Pojavni oblici računalnih zlouporaba
▪ neovlašten pristup računalnom sustavu
▪ računalna špijunaža
▪ računalna sabotaža
▪ računalna prijevara
▪ računalno krivotvorenje
▪ softversko piratstvo
▪ štetni i nezakoniti sadržaji
27.5.2009
3
Veleučilište u Karlovcu
Osnove informatike
Pravni okvir
• Relevantni zakoni RH
▪ Zakon o elektroničkom potpisu
▪ Zakon o elektroničkoj ispravi
▪ Zakon o zaštiti osobnih podataka
▪ Zakon o telekomunikacijama
▪ Zakon o elektroničkim medijima
▪ Zakon o autorskom pravu i srodnim pravima
▪ Zakon o zaštiti topografija poluvodičkih proizvoda
▪ Kazneni zakon
Veleučilište u Karlovcu
Osnove informatike
Pravni okvir
• 1.10.2004. izmjene i dopune Kaznenog zakona
▪ računalna prijevara
• upad u nečiji sustav sa namjerom pribavljanja
koristi ili štete
▪ računalno krivotvorenje
• mijenjanje svojih ili tuđih podataka
▪ povreda tajnosti
• čak i pokušaj
• mora postojati barem password
▪ posjedovanje i korištenje softvera za gornje
▪ pornografski sadržaji
▪ diskriminacija
27.5.2009
4
Veleučilište u Karlovcu
Osnove informatike
Licence
• Vrste licenci
▪ komercijalni
• plaća se korištenje, vlasništvo proizvođača
▪ shareware
• plaća se u određenim uvjetima, vlasništvo proizvođača
▪ freeware
• nema naknade, vlasništvo proizvođača
▪ programi u javnom vlasništvu
• nema naknade, može se mijenjati i čak prodavati kao
vlastito
Veleučilište u Karlovcu
Osnove informatike
Pojmovi
• zloćudni programi▪ svaki program napravljen u namjeri da na bilo koji način ošteti
računalo i oteža ili onemogući njegovo korištenje
• kriptografija▪ slanje poruka u takvom obliku da ih samo primaoc može
pročitati
• certifikat▪ dokazuje istinito stanje ili istinitu okolnost o nekoj stvari ili robi
27.5.2009
5
Veleučilište u Karlovcu
Osnove informatike
Napadi i prijetnje
• 4 vrste napada
▪ prekid
▪ presretanje
▪ izmjena
▪ izmišljanje
Veleučilište u Karlovcu
Osnove informatike
Napadi
▪ prekid (engl. interruption)
▪ presretanje (engl. interception)
izvor
informacije
odredište
informacija
a) Normalan tok
izvor
informacije
odredište
informacija
a) Prekid
izvor
informacije
odredište
informacija
a) Normalan tok
izvor
informacije
odredište
informacija
a) Presretanje
27.5.2009
6
Veleučilište u Karlovcu
Osnove informatike
Napadi
▪ izmjena (engl. modification)
▪ izmišljanje (enlg. fabrication)
izvor
informacije
odredište
informacija
a) Normalan tok
izvor
informacije
odredište
informacija
a) Izmjena
izvor
informacije
odredište
informacija
a) Normalan tok
izvor
informacije
odredište
informacija
a) Izmišljanje
Veleučilište u Karlovcu
Osnove informatike
Zloćudni programi
• trojanski konji
▪ programi koji se maskiraju i reklamiraju kao korisni
programi sa namjerom da ih prevareni korisnici sami
pokrenu
• logičke bombe
▪ zloćudan kod ugrađeni u neki koristan program koji
će se aktivirati kada se ispune odgovarajući uslovi
(npr. u određeno vrijeme ili određenog datuma)
Back Orifice 2K
27.5.2009
7
Veleučilište u Karlovcu
Osnove informatike
Zloćudni programi
• crvi
▪ samostalni programi koji se šire sa jednog računala
na drugi (uobičajeno e-mailom, IM-om...). Postoji više
vrsa
• virusi
▪ za razliku od crva ne koriste mrežne resurse za
širenje, već to radi sam korisnik (datoteke u prilogu e-
maila, CD i sl.). Mogu napadati sistemske datoteke ili
Macro virusi dokumente
MyDoom, JS/CoolNow, Sasser
Melissa
Veleučilište u Karlovcu
Osnove informatike
Zloćudni programi
• špijunski programi
▪ instaliran na računalu bez znanja (ili odobrenja)
korisnika koji prikuplja informacije o aktivnostima
korisnika (posjećene web stranice, lozinke,
financijske informacije...)
▪ engl. spyware, adware (reklamni)
Antivirus XP 2008, CoolWebSearch
27.5.2009
8
Veleučilište u Karlovcu
Osnove informatike
Zloćudne aktivnosti
• Poruke neistinitog sadržaja (engl. Hoax)▪ poruka elektroničke pošte neistinitog sadržaja, poslana s ciljem
zastrašivanja ili dezinformiranja primatelja
• Hoaxi kao upozorenja o štetnim programima
• Lanci sreće i zarade
• Lažni zahtjevi za pomoć
• Zastrašujući i prijeteći hoaxi
• Lažne peticije
• Kompromitirajući hoaxi
Veleučilište u Karlovcu
Osnove informatike
Zloćudne aktivnosti
• Krađa osobnih podataka (engl. Phishing)
▪ skup aktivnosti korištenjem lažnih poruka epošte i lažnih web
stranica pokušavaju korisnika navesti na otkrivanje povjerljivih
osobnih podataka (JMBG, korisnička imena i zaporke, PIN
brojevi, brojevi kreditnih kartica i sl.)
• Lažna upozorenja banaka u kojima se od korisnika traži upisivanje
osobnih podataka kako ne bi došlo do ukidanja računa
• Lažne poruke od administratora u kojima se traže korisnički podaci
kao što su lozinke
• Poruke koje se pozivaju na sigurnost (otkrivanje osobnih
informacija ili instalaciju programa koji to popravlja)
• dobitak na lutriji (trebaju Vaše osobne podatke za podizanje
dobitka)
27.5.2009
9
Veleučilište u Karlovcu
Osnove informatike
Zloćudne aktivnosti
• Neželjene poruke (engl. Spam)
▪ junk mail ili unsolicited commercial mail je neželjena poruka
najčešće reklamnog sadržaja
▪ ekvivalent pamfletića u svakodnevnom životu (obavijesti o
novim proizvodima, uslugama, sniženjima cijena i sl.)
Veleučilište u Karlovcu
Osnove informatike
Metode zaštite
▪ fizička zaštita
▪ provjera pristupa
• autentikacija korisnika pomoću korisničkog računa i zaporke,
digitalnim certifikatom i sl. (korištenje samo resursa i usluga
za koje je ovlašten)
▪ kriptografija
• korištenjem infrastrukture javnih i tajnih ključeva
▪ digitalni certifikat
• garantira da određeni javni ključ pripada određenom entitetu
(osobi)
27.5.2009
10
Veleučilište u Karlovcu
Osnove informatike
Metode zaštite
▪ digitalni potpis
• autenticira pošiljatelja, čuva integritet poruke, te osigurava
neporecivost
▪ vatrozid (engl. firewall)
• filtrira mrežni promet radi stvaranja sigurne zone
▪ izdvajanje
• na posebni sustav, uobičajeno van mreže
▪ sigurnosne kopije (engl. backup)
• redovno kopiranje i čuvanje na zaštićenom mjestu
Veleučilište u Karlovcu
Osnove informatike
Metode zaštite
▪ zaštita od virusa
• ativirusni programi
– stalno pregedava datoteke koje se otvaraju i/ili zapisuju,
e-mail i web stranice
– potrebno redovito ažurirati (putem Interneta)
– komercijalni i besplatni
▪ nadzor i analiza
• samog provođenja zaštite, procesa i procedura
BitDefender, Kaspersky, Nod32, AVG...
27.5.2009
11
Veleučilište u Karlovcu
Osnove informatike
Elektronsko poslovanje
• sigurnost sustava elektronske trgovine
▪ provjera identiteta korisnika (javni ključevi)
▪ kontrola pristupa resursima i uslugama za pojedinog
korisnika
▪ privatnost (razmjena kriptiranih podataka)
▪ pouzdanost (integritet podataka)
Veleučilište u Karlovcu
Osnove informatike
Elektronsko poslovanje
• zaštita podataka
▪ SSL (engl. Secure Sockets Layer)
• siguran prijenos podataka preko javne mreže
• osigurava provjeru identiteta, povjerljivost i integritet
podataka
▪ sustavi plaćanja (protokoli)
• SET (engl. Secure Electronic Transaction)
• 3D Secure
27.5.2009
12
Veleučilište u Karlovcu
Osnove informatike
Literatura
• Kompjuterski kriminalitet i informacijski sustavi
▪ Dražen Dragičević
▪ 2004, Ibs, Zagreb
• Priručnik za računalnu sigurnost korisnika
Interneta
▪ www.cert.hr
• Sigurnost računarskih sistema i mreža
▪ D. Pleskonjić, et. al.
▪ 2007, Mikro knjiga, Beograd