Sigurnost

28.11.2014 / 872

Socijalna država iz 20. veka je nestala. “Društvo zajedničkog učešća" je u nastajanju, u kojem ljudi moraju preuzeti odgovornost za svoju budućnost i stvoriti svoje vlastite društvene i financijske sigurnosne mreže, s manje pomoći od države i vlade.

Holandski kralj Willem-Alexander

28.11.2014 / 873

EU LIBE Committee 23.10.2013.• donet strog zakon o zaštiti podataka

• centralizacija nadzora zaštite podataka• ojačanje sprovođenja zakona i kazni

• preciziranje upotrebe podataka od strane korisnika interneta, provajdera cloud usluga i preduzeća

28.11.2014 / 874

Sigurnosni problemi• najveća pažnja se posvećuje sigurnosti u transportu

• najranjivija mesta za napade su računari koji primaju i šalju poruku

• najveća pretnja dolazi od zaposlenih i ranije zaposlenih

• softver predstavlja slabu kariku u lancu sigurnosnog sistema - i delenje nulom je moguće iskoristiti za upad u sistem

• karakteristična je sve manja verovatnoća događaja, ali i sve veći iznosi prevare

• razvoj tehnologija zaštite prati razvoj sredstava za zloupotrebu

28.11.2014 / 875

Korišćenje kriptografije na Internetu ekvivalentno je angažovanju blindiranog auta da prenese informacije sa kreditne kartice od nekoga ko živi u kartonskoj kutiji do druge osobe koja živi na klupi u parku.

Eugene Spafford

28.11.2014 / 876

Digital Millenium Copyright Act • donet 1998. u SAD• reguliše prava vlasnika digitalnih sadržaja na Internetu

• nastao po zahtevu vlasnika materijala zaštićenih od kopiranja: izdavači, muzičke i softverske kuće, filmska industrija i pružaoci usluga

• ruski naučnik Dimitrij Sklijarov je uhapšen u Las Vegasu 2001. prilikom posete naučnoj konferenciji

• za Elcom Soft razvio u Rusiji legalan softver za dešifrovanje Adobe-ovog ključa za šifriranje elektronskih izdanja

• tužba povučena posle 6 meseci

28.11.2014 / 877

Najčešći rizici u kompanijama• upotreba Interneta u druge svrhe

• zlonamerni kod• softver sa greškama

• poricanje izvršenih grešaka• slučajne pogrešne poslovne transakcije

• prevara, hakerisanje i piratski mediji• neodgovarajući e-mail

• krađa informacija

• slučajno otkrivanje poverljivih podataka

28.11.2014 / 878

razmena dobara

banka

dužnik

plaćanje

banka

poverilac

28.11.2014 / 879

Finansijski rizici• prenos sredstava dužnika pre prijema dobara

• prenos dobara pre prijema sredstava dužnika• prenos sredstava banke bez obezbeđenja pokrića na

računu njenog dužnika• prenos sredstava banke poveriocu bez obezbeđenja

plaćanja banke dužnika

• priliv sredstava dužnika nije obezbeđen na vreme• priliv sredstava u banci dužnika je potpuno izostao

• priliv u banci poverioca je izostao u očekivanom trenutku

28.11.2014 / 8710

Rizici mobilne infrastrukture • pri upotrebi roaminga, signali putuju preko velikog

broja mreža (zlonamernih?)• ne postoji infrastruktura mreže u kojoj bi se mogli

postavljati zaštite kao što su vatreni zidovi

• 'osvežavanje' signala od pošiljaoca može poslužiti za otkrivanje log-ina i lozinke

• ne postoje sigurnosni mehanizmi za adresiranje direktorija, pa se signal može presresti i lažno predstaviti

• ukradeni i pokretljivi uređaji omogućavaju lako sakrivanje

28.11.2014 / 8711

Sprečavanje prevara • u poslovima preko elektronskih transakcija

korisnici se ne moraju ni videti ni čuti• veliki izazov za ljude sklone mahinacijama

• u njima mogu učestvovati kupci, ali i prodavci • postoje različite tehnike sprečavanja prevara na

obe strane

28.11.2014 / 8712

Tehnike na strani kompanija• analiziraju redosled aktivnosti u toku same prevare i

postavljaju specijalne module radi detekcije nove• tehnikama generalizacije iz prethodnih slučajeva

predviđaju se slučajevi koji bi mogli dovesti do prevare

• iskusni korisnici pokušavaju da otkriju slabe tačke i predvide prevaru

• paralelno se odvijaju transakcije nadzora pomoćuserije testova aktivnog procesa

• modeli očekivanih ponašanja javljaju slučajeve sa neuobičajenim podacima

• ugrađuju se nadzorne rutine i obaveštava se licezaduženo za nadzor o utvrđenim neregularnostima

28.11.2014 / 8713

Tehnike na strani korisnika I

• izbegavati sajtove na kojima nema fizičke adrese i telefonskog broja

• ne prihvatati ponudu da se posao realizuje na nekom drugom Web sajtu

• ne odgovarati na anonimne pozive i agresivne spamove

• nerealno povoljne ponude su po pravilu pokušaj prevare

• izuzetno povoljni finansijski aranžmani su najčešće pokušaj prevare

• ne potpisivati ugovore ili narudžbe, a naročito ne one besplatne

28.11.2014 / 8714

Tehnike na strani korinika II

• informacije o povoljnim uslovima kupovanja iz diskusionih grupa ili ćaskanja sa nepoznatima obično imaju za cilj prevaru

• izbegavati kompanije sa nekontrolisanog područja (Kajmanska ostrva i sl.)

• ne ulaziti u komunikaciju sa nepoznatim pojedincima

• pristupiti sa rezervom davanju dodatnih informacija

• posebno treba biti oprezan pri plaćanju sa kreditnim karticama

28.11.2014 / 8715

Zaštita kartica i mobilnih uređaja• kontrola pristupa obezbeđuje se upotrebom PIN-a

(Personal Identification Number) ili lozinke• biometrijske metode se zasnivaju na merenju i

verifikovanju fizičkih karakteristika pojedinaca (potpis, otisak prsta, merenje očne zenice, prepoznavanje glasa...)

• maksimiranje iznosa po pojedinačnim upitima

• smart kartice sa digitalnim serifikatom koji štiti softver na čipu

• PIN unet u obrnutom redosledu predstavlja tihi alarm

28.11.2014 / 8716

Ograničavanje zloupotrebe Interneta I • upotreba Interneta u druge svrhe i pojava

zloćudnog koda su najčešći oblici zloupotrebe

• dobro regulisani privatnost zaposlenih, pravo nainformisanje, cenzurisanje, poverenje u zaposlene

• stalno obučavanje zaposlenih, a naročito višegrukovodstva

• zaposleni prave nenamerne greške: pogrešnousmeravanje važnih poruka, slanje poverljivihpodataka, preuzimanje virusa

28.11.2014 / 8717

Ograničavanje zloupotrebe Interneta II • kompanije nemaju osmišljenu politiku upravljanja

sigurnosti i probleme rešavaju od slučaja do slučaja

• rukovodioci nemaju informacija o sigurnosnimpotrebama i nisu zainteresovani za njih

• postoje lica koja će naći način da zloupotrebljavajuInternet u svakoj politici sigurnosti

• kompanije su u stalnoj borbi sa nesigurnominfrastrukturom Interneta, a sve je uočljivija potrebaza čvršćim zakonskim i istražnim mogućnostima

28.11.2014 / 8718

Upravljanje rizikom• informacioni sistemi mogu uspešno upravljati

rizikom od potencijalnih napada• zaštitu treba postaviti u skladu sa uočenim rizicima

• realizacija treba da odbije potencijalne napadače i njihovu pažnju usmeri ka drugim sajtovima

• dizajniranje softvera za Internet bez analize sigurnosnih rizika predstavlja poziv na propast

28.11.2014 / 8719

Ranjivost sistema• skup atributa zavisnih od sistema koji omogućavaju

ostvarivanje pristupa do podataka ili dobijanje ovlaštenja koja ne bi smeo realizovati

• svi sistemi su ranjivi i upravljanje rizikom nije realno ako se strategija zasniva na postizanju bezgrešnog sistema

• ranjivost sistema ne sme dovesti do gubitaka koji se ne bi mogli prihvatiti

28.11.2014 / 8720

Hakeri• sinonimi: hacker, cracker, phreak i computer intruder• od računarskih kriminalaca i upadača na tuđi posed

do osobe koja uživa u učenju pojedinosti o računarima• osnovna ideja: neautorizovan pristup računaru

koristeći slabosti sigurnosnog sistema sajta i računara

• klubovi hakera: Legion of Doom, NuKE, Outlaw Telecomandos, Chaos Computer Club

• časopisi: Phrack, 40Hex, Chaos Digest, 2600 The Hacker Quarterly

• kongresi:The Chaos Congress, Hacking at the End of the Universe, HoHoCon

28.11.2014 / 8721

Zlonamerni kod

• virus je računarski program koji ima sposobnost da se sam kopira i širi na druge datoteke, može samo prikazivati određenu poruku ili lik, ali može biti i vrlo destruktivan i uništavati datoteke, reformatizovati ceo disk ili prouzrokovati da programi ne rade ispravno

• virusi se kombinuju sa crvima, čija je funkcija da se šire sa računara na računar

• trojanski konj je način na koji se zlonamerni kod uvlači na računar, jer se spolja ne vidi njegov unutrašnji, zlonamerni sadržaj

• apleti se prenose (download) sa računara na računar a njihov sadržaj može biti loš i prouzrokovati štetu, pa i nasilni prekid rada

28.11.2014 / 8722

Najčešći napadi i prevare• zlonamerni softver razvija se da bi otkrio rupe u

sigurnosnim sistemima sajtova na Internetu• nemoguće je sa sigurnošću tvrditi da se na drugoj

strani nalazi osoba za koju se ona predstavlja

• dovoljan je broj kreditne kartice i datum njenogisticanja da bi nesmetano kupovali na tuđ račun: prave žrtve ove prevare su prodavci

• napadi radi onemogućavanja izvršenja usluga: Web sajt se zatrpa sa velikim brojem poruka

• najčešće brige korisnika su: verodostojnost, privatnost, poverljivost, integritet, garancija isporuke i mogućnost nepriznavanja slanja/prijema poruke

28.11.2014 / 8723

Iskustva iz prevara• broj prevara u plaćanju preko Interneta je 12

puta veći od istih plaćanja u prodavnicama• svaki šesti online kupac je bio žrtva zloupotrebe

• svakom dvanajstom je ukraden identitet• u lažnim transakcijama prodavci moraju da vrate

novac

• u lažnim kupovinama trgovci imaju troškove isporuke i povraćaja robe

• najveći broj korisnika neće skinuti softver, privatni ključ ili instalirati smart čitač kartica

28.11.2014 / 8724

Obezbeđenje adekvatnog nivoa sigurnosti

• sprovodi se u 2 etape:

� procena vrsta i karakteristika konkretnih rizika� pronalaženje adekvatnih i troškovno efektivnih

rešenja• rešenja treba da budu prilagodljiva razvoju

infrastrukture i širem okruženju i da opravdaju troškove

• neophodno je pratiti brze promene u primenjenim tehnologijama

28.11.2014 / 8725

Mere sigurnosti• mere prevencije: zaštita od neovlaštenog

pristupa, kriptografska zaštita i online autorizacija

• mere detekcije: ulaženje u trag, nadgledanje transakcije, interakcija sa centralnim sistemom, ograničenje iznosa za transfer i statistička analiza

• mere sprečavanja posledica: vremenska i vrednosna ograničenja, registracija sredstava, crne liste i blokada sistema

28.11.2014 / 8726

Dodatne sigurnosne mere• realizacija stalnog nadzora sistema kod kojih se

uočavaju kritične akcije• funkcije pomoću kojih se brzo reaguje na napade i

onemogućava napadač

• formiranje rezervne kopije sistema (back-up) • utvrđivanje mogućih katastrofa

• planiranje oporavka sistema• alternativni sistemi obrade transakcija• istražne mere, procena i popravka nastalih šteta

28.11.2014 / 8727

Napadi u toku prenosa podataka

• presecanje

• presretanje

• izmena

• fabrikovanje

28.11.2014 / 8728

Sigurnosni mehanizmi transporta • fokusiraju se na događaje između programa kupca

(browser) i programa prodavca (aplikacija na serveru)• SSL obezbeđuje verifikaciju, kriptografiju i integritet

poruke, dok nepriznavanje poruke nije uključeno

• poruke poslate sa S-HTTP mogu biti digitalno potpisane, verifikovane i kriptografisane, a postoji i mehanizam kojim se štiti od nepriznavanja poruka

• broj kreditne kartice kriptografiše se tako da ga može dešifrovati samo njegov bankar - kupac uspostavljavezu sa bankarom prodavca i dobija od njega ključ za kriptografisanje

28.11.2014 / 8729

9/11: razorene kompanije

•American Express nije prekidao sa radom•Merrill Lynch je restaurirao IS isti dan•AON nije izgubio nijedan podatak, a brzi pristup je obezbedio za 3 dana•Marsh Mc Lennan je oporavio svih 25.000 izgubljenih dokumenata•Cantor Fitzgerald je za 2 dana uspostavio kompletno e-poslovanje•Morgan Stenley nije imao gubitke u podacima

28.11.2014 / 8730

Vatreni zid (firewall)

• definiše se kao sistem sa sledećim karakteristikama:� sav saobraćaj između dve mreže mora proći

kroz vatreni zid

� samo saobraćaju koji je autorizovan lokalnom sigurnosnom politikom biće dozvoljen prolaz

� vatreni zid, kao posebna celina, je otporan na prodiranje

28.11.2014 / 8731

Ograničenja vatrenih zidova• pokušaji otkrivanja virusa u vatrnom zidu

značajno ruše performanse• vatreni zid spoljnim korisnicima sakriva

određene vrste informacija sa lokalne mreže

• vatreni zidovi mogu izvršavati i autentifikaciju, ali je bolje da ona bude sprovedena na višem softverskom nivou

28.11.2014 / 8732

Kriptografija

podrazumeva sve načine tajnog pisanja kojima se otežava otkrivanje sadržaja poruke u toku nesigurnog transporta

28.11.2014 / 8733

Pošiljalac Primalac

Neprijatelj

poruka

napad

28.11.2014 / 8734

Razlozi za napade

• da se ugrozi tajnost poruke• promena sadržaja poruke

• lažno predstavljanje• onemogućavanje prijema poruke

28.11.2014 / 8735

Prva pisana kriptografija

• Sparta, 5. vek pre Hrista

• traka od kože ili papirusa se obmota oko drvenog valjka

• ispišu se poruke• razmota se traka i pošalje• traka se obmota oko valjka istog

prečnika i čita se poruka

28.11.2014 / 8736

Polibiosov kripto-sistem

• najstariji poznati kripto-sistem

• slova alfabeta su se upisivala u kvadratnu matricu, a uz gornji i desni rub matrice po prvih 5 brojeva

• svaki znak je zamenjivan parom brojeva koji označavaju vrstu i kolonu u kojoj je taj znak

28.11.2014 / 8737

Kripto-sistem Caesar

• za poznati pripodni broj k, dogovoren između pošiljaoca i primaoca, svako se slovo abecede pomera za k, s tim što se nakon poslednjeg slova pomeranje vrši na prvo

• primalac svako dobijeno slovo pomera za k mesta u suprotnom smeru

• moguće je šifrirati na ovaj način sa 29 različitih slučajeva

28.11.2014 / 8738

Glavni nedostatak šifriranja zamenom• u dužim tekstovima u svakom jeziku

karakteristična je učestanost pojedinih znakova• u engleskom jeziku:

najčešći su ETAONISRHsrednje učestani LDCUPFMWYretki su BGVKQXJZ

• u evropskim jezicima česti su INSEA

28.11.2014 / 8739

Zaštita od analize učestanosti: homofoni

• svako slovo, zavisno od procenta učestanosti, dobija odgovarajući broj zamena

• zamene su brojevi od 0 do 999, slučajno izabrani• svako šifriranje slova preuzima sledeću šifru u

nizu zamena, ciklično se ponavljajući

• primeri u engleskom: e -123 zamene, b i g – po 16 zamena, j i z – po 1 zamena

28.11.2014 / 8740

Mehaničko šifriranje• Giovanni Battista Porta u 16. veku konstruisao disk

za šifriranje• Šveđanin Grippenstierna u 18. veku konstruisao

mašinu za šifriranje

• prva rotirajuća mašina: Jeffersonov točak• ENIGMA: razvio Artur Scherbius 1919. za Deutche

Bundespost

C-36 (M-209): Borisa Hagelina, izgrađen 1920. u Stockolmu za AB Cryptotehnik

ostale mašine: Sigaba, Purple, Red• Bomba: mašina za dešifrovanje Alana Turinga

28.11.2014 / 8741

Simetrična kriptografija• osmobitna kombinacija svakog znaka pomnoži

sa određenim, tajnim ključem i tako se dobije šifrirani sadržaj

• ključevi za kriptografisanje su dužine 56, 128, 256 ili 512 bita

• najpoznatiji simetrični 56-bitni ključ je DES koji su razvili NSA i IBM

• koriste se i 3DES, AES, IDEA i RC2

28.11.2014 / 8742

Data Encryption Standard (DES)• nastao na principima rotirajućih mašina• objavio ga 1977. National Bureau of Standards

• prvi javno objavljen algoritam• zasniva se na ključu od 56 bita

• isti ključ služi za šifriranje i dešifrovanje• za svaki korak šifriranja vrše se određene

permutacije i rotacije bitova ključa, da bi se, nakon toga, dobijena permutacija ključa i originajni tekst sabrali po modulu 2

• dešifrovanje se vrši sa istim ključem, u istim koracima, ali u suprotnom smeru

28.11.2014 / 8743

Najsnažniji algoritmi

• triple DES sa trostrukim šifriranjem ključevima dužine od 168 bita (3X56)

• RC4-MD5 sa ključem dužine 128 bita

• van SAD i Kanade: SSLeay protokol i StrongHold server

28.11.2014 / 8744

Ideja javnih ključeva• zasnivaju se na funkcijama čiju je inverznu funkciju

gotovo nemoguće odrediti• kriptografisanje pomoću javnih ključeva je vrlo

sporo

• osnova su javni ključevi, pri čemu svaki učesnik razmene poseduje, pored javnog, svoj privatni ključ

• javnim ključem primaoca, dostupnim svima, vrši sekriptografisanje poruke

• dešifrovanje se vrši pomoću privatnog ključa primaoca poruke, može je dešifrovati isključivo primalac

28.11.2014 / 8745 28.11.2014 / 8746

Osobine sistema javnih ključeva• nezavistan od sadržaja: kriptografiše se znak po

znak• polialfabetski: svako pojavljivanje znaka verovatno

će biti drukčije šifrirano

• nedeterministički: veliki broj kriptografisanih tekstova formira se iz istog originalnog teksta

• lako i brzo rukovanje: lice koje ima direktorij za dešifrovanje brzo pronalazi rešenje

• sporo otkrivanje šifri: postupak koji se mere decenijama na najbržim računarima

28.11.2014 / 8747

RSA• tvorci Ronald Rivest, Adi Shamir i Leonard Adleman

• ključevi dužine 1024 bita

• dva izuzetno velika prosta broja (sa približno po 100 cifara) je lako pomnožiti, ali gotovo nemoguće rastaviti na faktore

• proizvod – osnova za kriptografisanje, a faktori – za dešifrovanje

28.11.2014 / 8748

Korišćenje RSA• javni ključ: e,n tajni ključ: d

• priprema: tekst se prevodi u decimalni broj• kriptografisanje: tekst se diže na e-ti stepen i

redukuje po modulu n• dešifrovanje: kriptografisani tekst se diže na d-ti

stepen i redukuje po modulu n

28.11.2014 / 8749

Zakon o elektronskom potpisuosnovni pojmovi

• elektronski potpis je skup podataka povezanih sa dokumentom koji identifikuju potpisnika

• kvalifikovan elektronski potpis garantuje identitet potpisnika, integritet elektronskih poruka i nemogućnost naknadnog poricanja

• elektronski sertifikat je elektronski dokument kojim se potvrđuje veza između podataka i potpisnika

• serifikaciono telo je pravno lice koje izdaje elektronske serifikate

• kvalifikovan elektronski sertifikat je elektronski dokument izdat od sertifikacionog tela

28.11.2014 / 8750

Digitalna koverta• simetrični ključ se kriptografiše pomoću javnog

ključa onoga kome se poruka šalje• sadržaj dokumenta kriptografiše se pomoću

kriptografisanog, simetričnog ključa

• koriste se dobre osobine obe metode: efikasno kriptografisanje pomoću simetričnih ključeva i pouzdana razmena pomoću javnih ključeva

28.11.2014 / 8751

Digitalni potpisi • zasnovani na asimetričnoj kriptografiji

• za šifriranje potpisa koristi se privatni ključ pošiljaoca poruke

• sprečavanje zloupotrebe digitalnog potpisa: u ključ

se integrišu datum i vreme

• generiše se hash od 128 ili 160 bita koji se stavlja u poruku i šifrira javnim ključem primaoca

• primalac prvo svojim privatnim ključem dešifruje poruku, a onda primljenim ključem digitalni potpis

28.11.2014 / 8752

Slepi potpis• pri rukovanju elektronskom gotovinom postoje

situacije kada potpisnik ne zna podatke koje potpisuje• potpuno slepi potpis: neophodan je potpis nekog lica

da bi digitalni novac imao vrednost

• delimično slepi potpis: određeni broj digitalnih novčanica iste vrednosti, nasumično odabranih,proverava se i na osnovu toga se potpisuju sve novčanice

28.11.2014 / 8753

Sertifikacija• sistem sertifikacije otklanja pretnje maskerade

digitalnih potpisa• sertifikati su dokumenti koji povezuju javne

ključeve sa fizičkim ili pravnim subjektom kojima je on dodeljen

• sertifikaciono telo (Certificate Authority - CA) garantuje za verodostojnost sertifikata koji je izdala

• u sastavu sertifikata se nalazi hash funkcija potpisana privatnim ključem CA

28.11.2014 / 8754

28.11.2014 / 8755

X.509• ITU standard za infrastrukturu javnih ključeva (PKI) i

infrastrukturu ovlašćenog upravljanja (PMI) zasnovan na atributima sertifikata (AC)

• PKI se koristi za autorizaciju korisnika javnog ključa, a PMI se koristi za proveru verodostojnosti njegovog vlasnika

• izdati sertifikati sadrže osnovne informacije, javni ključ za šifriranje, ključ za potpisivanje i odgovarajuće algoritme

28.11.2014 / 8756

TLS (Transport Layer Security) • prethodno se nazivao SSL

• kriptografski protokoli koji osiguravaju sigurnost komunikacije preko Interneta

• koristiti X.509 sertifikate i asimetričnu kriptografiju radi utvrđivanja druge strane komunikacije i razmene simetričnog ključa

• taj ključ od 128 bita se koristi za kriptografisanje ostalih podataka i digitalnih potpisa

• verzije ovog protokola se koriste u aplikacijama za pretraživanje veba, email, Internet faksiranje, instant poruke i VoIP (Voice over IP)

28.11.2014 / 8757

Secure Electronic Transaction (SET)• otvoreni standardni protokol koji su razvili MasterCard

i Visa 1996.• koristi se za plaćanje pomoću kreditnih kartica na

Internetu• obuhvata kupca, prodavca, sertifikaciono telo i

sprovodioca transakcije• kriptografija je pomoću programa TLS• koristiti X.509 sertifikate sa proširenjima• kriptografski algoritam na slepo koristi šifrirane brojeve

sa kartica kojim se proverava platilac bez njihovog prikaza

• Model SET protokola zasnovan na serveru za sertifikaciju naziva se 3D SET (3 Domain SET)

28.11.2014 / 8758

Korišćenje SET protokola• SET uključuje tajnost podataka, njihov integritet,

proveru autentičnosti računa kartice i verodostojnost prodavca

• učesnici u transakciji su vlasnik kartice, prodavac, izdavač kartice, banka prodavca, prušalac usluga naplate i sertifikaciono telo

• dualnim potpisom od prodavca se štite detalji sa kreditne kartice, a od banke detalji o samom sklopljenom poslu

28.11.2014 / 8759

3D Secure• protokol za plaćanje sa računa pomoću računara

• zasnovan je na izdvajanju odgovornosti svih učesnika transakcije

• izdvajaju se 3 domena:� domen emitenta - korisnika kartice i njegove banke� domen primaoca - prodavca i njegove banke

� domen razmene - komunikacija između emitenta, primaoca i direktorijuma servisa kartica

• banke u ovom modelu moraju vršiti autentifikaciju svojih korisnika

• korisnik kartice koji plaća mora imati samo pretraživač, a za korišćenje su neophodni podaci sa kartice, korisničko ime i lozinka

28.11.2014 / 8760

28.11.2014 / 8761 28.11.2014 / 8762

OFX (Open Financial Exchange)• predstavlja standardizovani format za razmenu

finansijskih informacija• kreirali su ga CheckFree, Intuit i Microsoft 1997.

• štite se dokumenta za bankarstvo potrošača i malih poduzeća, razmena i plaćanje njihovih računa i ulaganja

• obuhvaćene su i deonice, obveznice, investioni fondovi i plaćanje poreza

• zaštita se ostvaruje pomoću digitalnih sertifikata i programa TLS

28.11.2014 / 8763

Homomorfna enkripcija I• prvu potpunu šemu homomorfne kriptografije

objavio je IBM 25. juna 2009, autor je Craig Gentry

• to je sistem enkripcije koji rešava problem analiza tajnih podataka organizacija koje koriste cloud computing

• dok se podaci mogu razmenjivati sa cloud aplikacijom u šifriranom obliku, na cloud serveru oni se ne mogu obrađivati

• pomoću ove šeme moguće je analizirati podatke bez njihovog dešifrovanja

28.11.2014 / 8764

Homomorfna enkripcija II

• korespondencija između operacija koje se izvode na nekodiranim podacima i operacija na šifriranih podacima poznata je kao homomorfizam

• ključno u šifriranju podataka na ovaj način je da se omoguće matematičke operacije sa šifriranim podacima, a zatim dešifriranje rezultata koje daje isti odgovor kao analogni rad sa nekodiranim podacima

• glavni problem u ovom trenutku je dugo trajanje

• Nigel Smart i Frederik Vercauteren pojednostavnili suGentryevu shemu kako bi postala praktičnijom

28.11.2014 / 8765

Primena homomorfne enkripcije• bolnice i farmaceutske kompanije kreiraju

statističke proračune bez otkrivanja informacija o pojedinim pacijentima

• online aukcije primaju kriptografisane ponude i koristeći usklađenu šemu određuju pobedničkuponudu bez otkrivanja drugih ponuda

• pri elektronskom glasanju glasači mogu šifriratisvoje glasove, a rezultat izbora se računa beznarušavanja privatnosti glasača

28.11.2014 / 8766

Gap in WAP• mobilne aplikacije za siguran prenos koriste

kombinaciju sigurnosnih protokola – SSL i WTLS (Wireless Transport Layer Security)

• WTLS koristi RSA algoritam po eliptičnoj krivoj• između ovih protokola postoji period kada se vrši

konverzija iz formata jednog u drugi• server na kojem se to odvija mora na par sekundi

ispisati kod koji nije kriptografisan da bi sproveo kriptografisanje po drugom protokolu

• u tom periodu podaci su podložni napadima sa strane

28.11.2014 / 8767

P

RQ

Y = X + aX + b2 3

4a + 27b = 03 2

28.11.2014 / 8768

Pravni aspekti

• pravne kategorije povezane sa Internetom su:

� ugovorno pravo� intelektualna svojina

� nepravda i nehat � kriminalno pravo

28.11.2014 / 8769

Ugovorno pravo • transakcije većih vrednosti baziraju se na

prethodno potpisanom ugovoru• u ugovoru je potrebno regulisati: mesto i vreme

ugovaranja, sudsku nadležnost i pravni status ovakvog ugovaranja

• elektronski potpis kao zamena za holografski regulisan posebnim zakonom

28.11.2014 / 8770

Intelektualna svojina

• patenti, robne marke, zaštita od kopiranja i poslovne tajne

• ove komponente mogu doći do izražaja na Internetu, čiji neograničeni horizonti pružaju velike mogućnosti za zloupotrebu intelektualne svojine

28.11.2014 / 8771

Privatnost• sigurnost podataka ne povlači automatski privatnost,

jer kompanija koja ih skuplja može odlučiti da ih otuđi• privatnost podrazumeva poverljivost podataka, ali i

privatnost u ponašanju• privatnost informacija obuhvata zahtev da određene

informacije neće biti sakupljane od strane vlade ili poslovnih kompanija, kao i pravo pojedinaca da kontrolišu upotrebu onih informacija koje su o njima sakupljene

• ljudi se retko odlučuju da daju svoje lične podatke, jerse boje da će njihova privatnost time biti ugrožena

28.11.2014 / 8772

Izvori privatnih podataka• kada se odlučimo da ostavimo svoje lične

podatke na nekom sajtu na Internetu, miprodajemo svoju privatnost da bismo dobiliodređenu uslugu

• glavni izvori privatnih podataka: društvene mreže, pretraživači Web stranica, log datoteke Web sajtova, kolačići, korpe za kupovinu i popunjeni obrasci na Internetu

28.11.2014 / 8773

Prikupljanje podataka od kupaca• jedan od najvažnijih koraka u procesu elektronske

prodaje• treba da bude prilagođeno kupcu, a ne prodavcu

• popunjavanje brojnih podataka može biti dugotrajno, dosadno, pa i nerešiv zadatak za kupca

• više razloga za napuštanje unosa podataka:� mnogo pitanja� suviše teška pitanja

� pitanja koja se ponavljaju� pogrešni rezultati pretrage ili ih ni nema

28.11.2014 / 8774

Osobine dobrog upitnika• broj pitanja koja treba postaviti treba da bude

najmanji mogući, izostaviti nebitna pitanja• upitnik dinamički kreirati zavisno od dobijenih

odgovora

• postavljena pitanja moraju biti razumljiva kupcu• kupac treba da uloži što manje napora za kreiranje

odgovora

• pitanja treba grupisati na način razumljiv kupcu• redosled pitanja treba da bude logičan

28.11.2014 / 8775

Pravila privatnosti rukovanja podacima

• kompanije treba da navedu koje podatke sakupljaju i u koje svrhe

• kupcima omogućiti pregled ličnih podataka i izmene u njima

• korisnici odlučuju da li će njihovi podaci biti uopšte upisani ili će nekom biti dati

• politika privatnosti u kojoj nema mogućnosti provere je samo obećanje

• potrebno je formirati procedure provere pridržavanja postignutog dogovora o privatnosti

28.11.2014 / 8776

Regulativa o korišćenju podataka

• EU je 1998. donela direktivu o zaštiti podataka koji se prikupljaju

• neophodno je odobrenje vlasnika radi korišćenja ovih podataka

• zabranjeno je njihovo otuđenje• nije jednostavno proslediti ove podatke u SAD, jer

je tamo privatnost bez sličnog pravnog ograničenja– neophodno je da kompanija iz SAD potpiše saglasnost u skladu sa ovom direktivom

28.11.2014 / 8777

Kolačići i bubice • kolačić je mali tekstualni fajl koji Web sajt upisuje na

hard disk njegovog posetioca u koji se upisuju podaci o kasnijem kretanju posetioca po drugim sajtovima

• bubica je grafika veličine jedne tačkice, koja se nalazi na Web sajtu ali nije vidljiva, na osnovu koje se saznaje IP adresa posetioca i informacije iz kolačića

• bubica u e-mailu ustanovljava da li je poruka otvarana i čita ranije poslati kolačić na osnovu čega prodavci usmeravaju svoje poruke

28.11.2014 / 8778

Tehnologije zaštite privatnosti• poverljive organizacije: TRUSTe i WebTrust

• agenti za očuvanje anonimnosti: Anonymizer, Crowds i Onion Routing

• agenti koji svojim korisnicima obezbeđujupseudonime: LPWA

• agenti-pregovarači: obavljaju posao umesto svog korisnika prema zadatim parametrima: P3P

28.11.2014 / 8779

Poverenje• poverenje je čvrsto uverenje da se u određenu

osobu ili stvar možemo pouzdati• poverenje je lično verovanje ili kolektivno verovanje

članova grupe da druga ličnost ili grupa:

� čine napore u dobroj volji da bi se ponašali u skladu sa nekim obećanjima, eksplicitnim ili implicitnim

� je poštena ma kakvi pregovori sledili ta obećanja� ne uzima prekomerne prednosti u odnosu na

drugu stranu, čak i ako prilike to omogućavaju

28.11.2014 / 8780

Poverenje u elektronsku trgovinu • lično verovanje u kompetentnost, pouzdanost i

sigurnost sistema u rizičnoj situaciji• uočeni rizici povezani sa osetljivošću tehnologije

treba da budu na nivou na kojem mogu biti otklonjeni

• moguće je da postoji međusobno poverenje između poslovnih partnera, ali ne postoji u platformu na kojoj se odvijaju transakcije

28.11.2014 / 8781

Istraživanja

• AC Nilsen: � kupci veruju 4 puta više novinama nego

informacijama na Internetu

� 75% korisnika je nepoverljivo prema informacijama koje nalaze na sajtovima i brine o ugrožavanju privatnosti i sigurnosti svojih bankovnih računa

• CNN i Time: � Web je medijum kojem se najmanje veruje

28.11.2014 / 8782

Brige kupaca• (ne)sigurnost online transakcija• da li se iza Web sajta nalazi stvarna poslovna

organizacija• da li će i kada dobiti robu ili usluge koje su

naručili i platili• tragovi transakcija na Internetu narušavaju

privatnost• problematične isporuke i kvalitet proizvoda• zabrinuti su da bi mogli postati žrtve elektronske

prevare

28.11.2014 / 8783

Mehanizmi podizanja poverenja• šeme provere prodavca• odgovornost za proizvod (mogućnosti vraćanja)

• garancije • poništavanje prodaje

• reputacija prodavca• referentne liste ranijih kupaca• uvođenje treće strane kao garanta kvaliteta

28.11.2014 / 8784

Komponente poverenjatrećih strana

• prethodne provere različitih parametara potencijalnog poslovnog partnera

• potvrde o ispravnosti (seals of approval) u svim fazama izvršenja posla

• koncept poverljivih prodavnica (Trusted Shops)

• prvi korisnici: IBM i Compaq

28.11.2014 / 8785

Funkcije poverljivih prodavnica • zaštita podataka• pouzdani transfer podataka i finansijskih uslova

• mogućnost osporavanja izvršenja posla• garancije povratka novca u slučajevima da:

� isporuka nije izvršena� isporuka kasni

� nije u skladu sa uslovima koje je prodavac objavio

� je zloupotrebio kreditne kartice

28.11.2014 / 8786

Tehnike izgradnje poverenja • izgradnja kroz udruživanje: sa partnerom koji ima

izgrađenu, poštovanu i poznatu robnu marku

• kupovanje poverenja: povezivanje sa kompanijama koje obezbeđuju privatnost, sigurne sisteme plaćanja i nadzor nad kompletnim poslom

• izgradnja kroz oglašavanje: oglašavanje u klasičnim medijima donosi znatno više poverenja od postavljanja banera na druge sajtove

• nezavisna izgradnja poverenja: odnosi sa kupcima grade se strpljivo i u dužem periodu

28.11.2014 / 8787

Nije potrebno da ispitujem ko me je bombardovao spemovima poslednjih meseci. Ispostavilo se da sam to bio ja.