Računarska bezbednost

Računarska bezbednost je proces zaštite računara i računarskih sistema od neželjene upotrebe, ugrožavanja sistema i uljeza.^[1] Pod ugrožavanjem se smatra vid upotrebe računara u cilju nanošenja štete podacima, programima ili računarskim procesima. Nedostaci u računarskoj bezbjednosti se javljaju zbog ranjivosti ili slabosti računarskog sistema, ali češće zbog ljudskih faktora, odnosno ljudske greške u podešavanju sistema. Agent koji ima namjeru da ugrozi neki računarski sistem, bilo da se radi o osobi, događaju, ili određenim okolnostima, iskorištava te slabosti. Računarska bezbjednost obuhvata zaštitu od nedostupnosti računarskog sistema (takođe: uskraćivanje usluga, engl. denial of service - DoS), zaštitu integriteta podataka i programa i povjerljivosti i privatnosti podataka i informacija.

Polje postaje značajnije zbog povećanog oslanjanja na računarske sisteme, internet^[2] i standarde bežične mreže kao što su Blutut i vaj-faj, kao i zbog rasta zastupljenosti „pametnih“ uređaja, uključujući pametne telefone, televizore i razni uređaji koji čine „internet stvari“. Zahvaljujući svojoj složenosti, kako u pogledu politike, tako i tehnologije, sajberbezbednost je takođe jedan od glavnih izazova u savremenom svetu.^[3]

Ranjivosti[uredi | uredi izvor]

Ranjivost je slabost u dizajnu, implementaciji, radu ili unutrašnjoj kontroli. Većina otkrivenih ranjivosti dokumentovana je u bazi zajedničkih ranjivosti i izloženosti (CVE). Ranjivost koja se može iskoristiti jeste ona ranjivost za koju postoji barem jedan napad koji radi.^[4] Kontrolisanje ranjivosti sistema je ciklus identifikovanja i otklanjanja ili ublažavanja ranjivosti,^[5] posebno u softveru i firmveru. To je sastavni deo računarske sigurnosti i sigurnosti računarske mreže.

Ranjivosti se mogu otkriti pomoću skenera ranjivosti koji analizira računarski sistem u potrazi za poznatim ranjivostima,^[6] kao što su otvoreni portovi, nesigurna konfiguracija softvera i podložnost zlonamernom softveru. Pretnje se u pravilu mogu svrstati u jednu od sledećih kategorija:

Bekdor[uredi | uredi izvor]

Bekdor u računarskom sistemu, kriptosistemu ili algoritmu jeste svaka tajna metoda zaobilaženja normalne provere autentičnosti ili sigurnosti. Mogu se nalaziti u sistemu po dizajnu ili zbog slabe konfiguracije ili biti postavljeni od nekog napadača. Bez obzira na motive njihovog postojanja oni stvaraju ranjivost sistema.

DDoS napad[uredi | uredi izvor]

DoS ili DDoS (engl. Distributed Denial of service) napad, je pokušaj napadača da učini računar nedostupnim korisnicima kojima je on namijenjen. On onesposobljava mrežu, računar ili neki drugi dio infrastrukture na taj način da ih korisnici ne mogu koristiti

Fizički pristup[uredi | uredi izvor]

Neovlašteni korisnik koji ima fizički pristup računaru najverojatnije može direktno kopirati podatke sa njega. Oni takođe mogu ugroziti sigurnost tako što će napraviti modifikacije operativnog sistema, instalirati softverske crve, kilogere, prikrivene uređaje za slušanje. Čak i kada je sistem zaštićen standardnim sigurnosnim merama, moguće ih je zaobići pokretanjem drugog operativnog sistema ili alata sa CD-ROM-a, USB memorije, ili drugih sredstava za pokretanje. Šifriranje diska i standard za sigurni kriptoprocesor (Trusted Platform Module) osmišljeni su da spreče ovakve napade.

Viševektorski, polimorfni napadi[uredi | uredi izvor]

Od 2017. godine se pojavljuje nova klasa multivektorskih^[7] i polimorfnih^[8] pretnji koje kombinuju nekoiliko vrsta napada istovremeno. Polimorfni malver menja svoje karakteristike koje bi mogle da postanu prepoznatljive kako bi izbegao poznate tehnike identifikacije pretnji. Te su pretnje klasifikovane kao cajber-napadi pete generacije.^[9]

Pecanje[uredi | uredi izvor]

Prijem lažne poruke e-pošte, prerušen u službenu e-poštu (izmišljene) banke. Pošiljalac pokušava da prevari primatelja u otkrivanju poverljivih podataka tako što će ga „potvrditi” na lažnoj web stranici.

Pecanje je pokušaj dobivanja osetljivih podataka poput korisničkih imena, lozinki i podataka o kreditnoj kartici direktno od korisnika obmanjivanjem korisnika.^[10] Lažno predstavljanje obično se vrši prevarama putem e-pošte ili direktnim slanjem poruka, a korisnici se često upućuju na unošenje detalja na lažnu veb stranicu čiji je izgled gotovo identičan stvarnoj web stranici. Ovo se može okarakterisati kao primer društvenog inženjeringa.

Dobijanje privilegija[uredi | uredi izvor]

Napadač može sa nekim nivoom ograničenog pristupa bez autorizacije, da povisi svoje privilegije ili nivo pristupa. Na primer, standardni korisnik računara može biti u mogućnosti da iskoristi ranjivost u sistemu da dobije pristup ograničenim podacima ili čak postati „root” i imati potpuno neograničen pristup nekom sistemu.

Socijalni inženjering[uredi | uredi izvor]

Socijalni inženjering ima za cilj da uvjeri korisnika da otkrije tajne poput lozinki, brojeva kartica itd. Na primer, lažnim predstavljanjem banke ili kupca.^[11]

Spufing[uredi | uredi izvor]

Spufing je čin predstavljanja kao valjanog subjekta falsificiranjem podataka (poput IP adrese ili korisničkog imena), kako bi se dobio pristup informacijama ili resursima.^[12] Postoji nekoliko vrsta spufinga, uključujući:

E-mail spufing, gde je napadač krivotvori adresu pošiljatelja e-pošte
Spufing IP adrese, gde napadač menja izvornu IP adresu u mrežnom paketu kako bi sakrio svoj identitet ili lažno predstavljao neki drugi računarski sistem.
MAC spufing, gde napadač modifikuje MAC (engl. Media Access Control Address) adresu svog mrežnog intefejsa kako bi se predstavio kao valjan korisnik na mreži.
Biometrijski spufing, gde napadač proizvede lažni biometrijski uzorak da bi se predstavljao kao drugi korisnik.

Smanjivanje ranjivosti[uredi | uredi izvor]

Multifaktor autentikacijska metoda može smanjiti mogućnost neovlaštenog pristupa sistemu. Zahteva nešto „što korisnik zna” kao što lozinka ili PIN i „nešto što ima” kao što su kartice, mobitel ili drugi hardver. To povećava sigurnost, jer je neovlaštenoj osobi potrebno i jedno i drugo da bi dobili pristup. Socijalni inžinjering i fizički napadi na računar mogu se sprečiti samo neračunarskim metodama. Obuka je često uključena kako bi se ublažio ovaj rizik, ali čak i u visoko discipliniranim sredinama napadi socijalnog inženjeringa i dalje mogu biti teško predvidljivi.

Mehanizmi zaštite hardvera[uredi | uredi izvor]

Iako sam hardver može predstavljati izvor nesigurnosti, kao što je ranjivost mikročipa koji je zlonamjerno isprogramiran tokom proizvodnog procesa,^[13]^[14] hardverski bazirana ili potpomognuta računarska sigurnost može biti alternativa softverskom pristupu. Korištenje uređaja i metoda poput ključeva^[15], TPM-a^[16], onemogućavanja USB portova i pristupa mobilnim uređajima^[17], iskopčavanja nekih komponenti (kao što su web kamera ili GPS)^[16] mogu se smatrati sigurnijim zbog toga što je onda potreban fizički pristup ili sofisticirani bekdor kako bi napadač uspeo.

Reference[uredi | uredi izvor]

^ Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). „Towards a More Representative Definition of Cyber Security”. Journal of Digital Forensics, Security and Law (na jeziku: engleski). 12 (2). ISSN 1558-7215.
^ "Reliance spells end of road for ICT amateurs", 7 May 2013, The Australian
^ Stevens, Tim (2018-06-11). „Global Cybersecurity: New Directions in Theory and Methods” (PDF). Politics and Governance. 6 (2): 1—4. doi:10.17645/pag.v6i2.1569.
^ „Computer Security and Mobile Security Challenges”. researchgate.net. 3. 12. 2015. Arhivirano iz originala 12. 10. 2016. g. Pristupljeno 4. 8. 2016.
^ Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
^ Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 „Defensics Fuzz Testing: Find Hidden Vulnerabilities | Synopsys”. Arhivirano iz originala 27. 2. 2011. g. Pristupljeno 22. 2. 2011.
^ „Multi-Vector Attacks Demand Multi-Vector Protection”. MSSP Alert. 24. 7. 2018.
^ Millman, Renee (15. 12. 2017). „New polymorphic malware evades three quarters of AV scanners”. SC Magazine UK. Arhivirano iz originala 14. 6. 2018. g. Pristupljeno 19. 11. 2019.
^ Turner, Rik (22. 5. 2018). „Thinking about cyberattacks in generations can help focus enterprise security plans”. Informa PLC. Ovum. Arhivirano iz originala 25. 5. 2018. g. Pristupljeno 19. 11. 2019.
^ „Identifying Phishing Attempts”. Case. Arhivirano iz originala 13. 9. 2015. g. Pristupljeno 4. 7. 2016.
^ Arcos Sergio. „Social Engineering” (PDF). Arhivirano iz originala (PDF) 3. 12. 2013. g.
^ „What is Spoofing? – Definition from Techopedia”. Arhivirano iz originala 30. 6. 2016. g.
^ Villasenor, John (2010). „The Hacker in Your Hardware: The Next Security Threat”. Scientific American. 303 (2): 82—88. Bibcode:2010SciAm.303b..82V. PMID 20684377. doi:10.1038/scientificamerican0810-82.
^ Waksman, Adam; Sethumadhavan, Simha (2010), Tamper Evident Microprocessors (PDF), Oakland, California, Arhivirano iz originala (PDF) 21. 9. 2013. g.
^ „Sentinel HASP HL”. E-Spin. Arhivirano iz originala 20. 3. 2014. g. Pristupljeno 20. 3. 2014.
^ ^a ^b James Greene (2012). „Intel Trusted Execution Technology: White Paper” (PDF). Intel Corporation. Arhivirano (PDF) iz originala 11. 6. 2014. g. Pristupljeno 18. 12. 2013.
^ „Forget IDs, use your phone as credentials”. Fox Business Network. 4. 11. 2013. Arhivirano iz originala 20. 3. 2014. g. Pristupljeno 20. 3. 2014.

Literatura[uredi | uredi izvor]

Branch, J. (2020). "What's in a Name? Metaphors and Cybersecurity." International Organization.
Costigan, Sean; Hennessy, Michael (2016). Cybersecurity: A Generic Reference Curriculum. NATO. ISBN 978-9284501960. https://www.nato.int/nato_static_fl2014/assets/pdf/pdf_2016_10/20161025_1610-cybersecurity-curriculum.pdf
Fuller, Christopher J. “The Roots of the United States’ Cyber (In)Security,” Diplomatic History" 43:1 (2019): 157-185. online
Kim, Peter (2014). The Hacker Playbook: Practical Guide To Penetration Testing. Seattle: CreateSpace Independent Publishing Platform. ISBN 978-1494932633.
Lee, Newton (2015). Counterterrorism and Cybersecurity: Total Information Awareness (2nd izd.). Springer. ISBN 978-3-319-17243-9.
Montagnani, Maria Lillà and Cavallo, Mirta Antonella (July 26, 2018). "Cybersecurity and Liability in a Big Data World". SSRN.
Singer, P. W.; Friedman, Allan (2014). Cybersecurity and Cyberwar: What Everyone Needs to Know. Oxford University Press. ISBN 978-0199918119.
Wu, Chwan-Hwa (John); Irwin, J. David (2013). Introduction to Computer Networks and Cybersecurity. Boca Raton: CRC Press. ISBN 978-1466572133.
M. Shariati et al. / Procedia Computer Science 3 (2011) 537–543. Enterprise information security, a review of architectures and frameworks from interoperability perspective

Spoljašnje veze[uredi | uredi izvor]

Računarska bezbednost na sajtu Curlie
Cybersecurity Websites Архивирано на сајту Wayback Machine (24. мај 2019)

[1] Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). „Towards a More Representative Definition of Cyber Security”. Journal of Digital Forensics, Security and Law (na jeziku: engleski). 12 (2). ISSN 1558-7215.

[2] "Reliance spells end of road for ICT amateurs", 7 May 2013, The Australian

[3] Stevens, Tim (2018-06-11). „Global Cybersecurity: New Directions in Theory and Methods” (PDF). Politics and Governance. 6 (2): 1—4. doi:10.17645/pag.v6i2.1569.

[4] „Computer Security and Mobile Security Challenges”. researchgate.net. 3. 12. 2015. Arhivirano iz originala 12. 10. 2016. g. Pristupljeno 4. 8. 2016.

[5] Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5

[Codenomicon-6] Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 „Defensics Fuzz Testing: Find Hidden Vulnerabilities | Synopsys”. Arhivirano iz originala 27. 2. 2011. g. Pristupljeno 22. 2. 2011.

[7] „Multi-Vector Attacks Demand Multi-Vector Protection”. MSSP Alert. 24. 7. 2018.

[8] Millman, Renee (15. 12. 2017). „New polymorphic malware evades three quarters of AV scanners”. SC Magazine UK. Arhivirano iz originala 14. 6. 2018. g. Pristupljeno 19. 11. 2019.

[ovum-9] Turner, Rik (22. 5. 2018). „Thinking about cyberattacks in generations can help focus enterprise security plans”. Informa PLC. Ovum. Arhivirano iz originala 25. 5. 2018. g. Pristupljeno 19. 11. 2019.

[10] „Identifying Phishing Attempts”. Case. Arhivirano iz originala 13. 9. 2015. g. Pristupljeno 4. 7. 2016.

[11] Arcos Sergio. „Social Engineering” (PDF). Arhivirano iz originala (PDF) 3. 12. 2013. g.

[techopedia-12] „What is Spoofing? – Definition from Techopedia”. Arhivirano iz originala 30. 6. 2016. g.

[13] Villasenor, John (2010). „The Hacker in Your Hardware: The Next Security Threat”. Scientific American. 303 (2): 82—88. Bibcode:2010SciAm.303b..82V. PMID 20684377. doi:10.1038/scientificamerican0810-82.

[14] Waksman, Adam; Sethumadhavan, Simha (2010), Tamper Evident Microprocessors (PDF), Oakland, California, Arhivirano iz originala (PDF) 21. 9. 2013. g.

[15] „Sentinel HASP HL”. E-Spin. Arhivirano iz originala 20. 3. 2014. g. Pristupljeno 20. 3. 2014.

[#1-16] James Greene (2012). „Intel Trusted Execution Technology: White Paper” (PDF). Intel Corporation. Arhivirano (PDF) iz originala 11. 6. 2014. g. Pristupljeno 18. 12. 2013.

[17] „Forget IDs, use your phone as credentials”. Fox Business Network. 4. 11. 2013. Arhivirano iz originala 20. 3. 2014. g. Pristupljeno 20. 3. 2014.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

Normativna kontrola
Državne	Francuska BnF podaci Nemačka Izrael Sjedinjene Države Češka 2 Poljska
Ostale	Enciklopedija Britanika