Sajber bezjednosne instrukcije za sve

Newsletter

Broj 1, maj 2015

Enhancement of cyber educational system of

Montenegro

Poštovani čitaoci,

Pred vama je prvo izdanje onlajn časopisa »Sajber bezjed-nosne instrukcije za sve« u izdanju Centra za edukaciju u oblasti sajber bezbjednosti u Crnoj Gori (engl. Montenegrin Cyber security Educational Center- MCEC) koji je kreiran u okviru Tempus projekta »Unapređenje sistema obrazovanja u oblasti sajber bezbjednosti u Crnoj Gori« (engl. Enhancment of Cyber Educational System of Montenegro- ECESM) finansiranog od strane Evropske komisije. Naš cilj je da ovaj časopis promoviše koncepte sajber bezbjednosti i poveća nivo znanja i informisanosti u ovoj oblasti na nacionalnom nivou, kao i da kroz interesantan sadržaj za širu čitalačku publiku informiše i zabavi.

Sadržaj će biti raznovrstan, uključujući i informacije o na-jnovijim naučnim dostignućima, najnovijim dešavanjima i iza-zovima u sajber prostoru, trenutnim inicijativama i projektima na nacionalnom i međunarodnom nivou, prezentacije institucija prepoznatih u oblasti sajber bezbjednosti, pregled predstojećih konferencija i skupova u Crnoj Gori i regionu, itd. Većina članaka u ovom broju je napisana od strane partnerskih univerziteta iz Crne Gore, Univerziteta Donja Gorica i Univerziteta Mediteran, dok je par članaka napisano na engleskom jeziku od strane eminentnih univerziteta i institucija u oblasti sajber bezbjednosti, partnera na ECESM projektu. Pozivamo Vas da u budućnosti aktivno doprinosite i obogaćujute sljedeća izdanja časopisa slanjem Vaših komentara, sugestija kao i učešćem u slanju članaka i ostalih sadržaja.

Časopis je u planu da se publikuje tri puta godišnje, tako da je već otvoren poziv za dostavljanjem sadržaja za sljedeći broj, koji će biti publikovan u septembru 2015. godine.

Ramo Šendelj, Univerzitet Donja Gorica, Podgorica, Crna Gora

Sajber bezjednosne instrukcije za sve

U ovom broju:

Elektronsko glasanje .................3

TEMPEST i informaciona bezbjednost ................................6

Vraćanje interneta svojim korijenima – decentralizacija interneta ......12

Cryptography – our daily fellow in the ICT world ............16

I2P Anonymous Network – mreža za anonimnu razmjenu informacija .............20

Acompli je sada novi Microsoft Outlook za iOS i Android mobilne platforme ....24

Information Security of Cloud Computing ................28

Prizma ......................................30

Sajber napadi i zaštita ............33

Mazel Tov android malware ...36

The 4th Mediterranean Conference on Embedded Computing (MECO 2015) is a continuation ofvery successful MECO events. It is an International Scientific Forum aimed to present and discussthe leading achievements in the modeling, analysis, design, validation and application ofembedded computing systems. MECO 2015 will provide an opportunity for scientists, engineersand researchers to discuss new applications, design problems, ideas, solutions, research anddevelopment results, experiences and work‐in‐progress in this important technological area.Topics of interest include, but are not limited to: Software and Hardware Architectures for

Embedded Systems Systems on Chip (SoCs) and Multicore

Systems Communications, Networking and

Connectivity Sensors and Sensor Networks Mobile and Pervasive/Ubiquitous Computing Distributed Embedded Computing Real‐Time Systems Adaptive Systems Reconfigurable Systems Design Methodology and Tools Application Analysis and Parallelization System Architecture Synthesis Multi‐objective Optimization Low‐power Design and Energy Management Hardware/Software Simulation Rapid prototyping Testing and Benchmarking Micro and Nano Technology Internet of Things

Organic/Flexible/Printed Electronics MEMS VLSI Design and Implementation Microcontroller and FPGA Implementation Embedded Real‐Time Operating Systems Cloud Computing in Embedded System

Development Digital Filter Design Digital Signal Processing and Applications Image and Multidimensional Signal

Processing Embedded Systems in Multimedia and

Communications Consumer Electronics Wearable Health Care Emergency and Disaster Management Identification and Supervision Systems Industrial, Bio‐Medical, Automotive and

Avionic Systems Embedded Robotics, Instrumentation and

Measurement Embedded Systems in Energy Efficiency

Budva: A coastal town in Montenegro. The coastal area around Budva, called the Budvanskarivijera, is the centre of Montenegro's tourism, and is well known for its sandy beaches, diversenightlife, and examples of Mediterranean architecture. Budva is 3,500 years old, which makes itone of the oldest settlements on the Adriatic Sea coast. Submission of papers: Prospective authors are invited to submit full‐length, four‐page papers,strictly according to the IEEE Conference Standards and via http://embeddedcomputing.me. Conference quality: Conference content will be submitted for inclusion into IEEE Xplore as well asother Abstracting and Indexing (A&I) databases. Accompanying events: This year MECO will host 3 internal Workshops/Sessions: BIOEMIS’2015:1st Workshop on Biomedical Education BIOICT’2015: 1st Workshop on Bio‐Informatics MECO‐Student Challenge 2015: Distinguished student papers Fees: To encourage broad participation of young researchers and colleagues from low income countries the registration fees are very low. Early full: 250 €, Early student: 150€, Early without paper: 100 €, Late full: 300 €, Late student: 200 €, Late without paper: 120 €. MECO’2014 registration entitles to participation in both: MECO’2014 and ECYPS’2014. Important Deadlines: January 23, 2015, Paper submission deadline March 02, 2015, Acceptance/rejection notification March 23, 2015, Final paper submission and author registration deadline April 27, 2015, Registration deadline

Conference Chairs: Radovan Stojanović, University of Montenegro, Montenegro Lech Jóźwiak, Eindhoven University of Technology, TheNetherlands

Publication Chair: Dražen Jurišić, University of Zagreb, Croatia.

Scientific Committee | Editorial: Srdjan Stanković, University of Montenegro, Montenegro Thanos Stouraitis, IEEE Fellow, CAS Soc. President, Greece Milica Pejanović‐Djurisić, University of Montenegro,Montenegro Sanja Vlahović, Minister of Science, Montenegro Veljko Milutinović, IEEE Fellow, University of Belgrade, SerbiaCarlo Cecati, IEEE Fellow, University of L'Aquila, Italy Igor Djurović, University of Montenegro, Montenegro Christos Koulamas, ISI, Patras, Greece Ion Tutanescu, University of Pitesti, Romania Veljko Malbaša, University of Novi Sad, Serbia. Andrej Škraba, University of Maribor, Slovenia Dejan Karadaglić, Glasgow Caledonian University, UK Viviane Pasqui, UPMC, France Sašo Kocevski, University of Stip, Macedonia Betim Cico, Polytechnic University of Tirana, Albania Ankush Kansal, Thapar University, India George Papadopoulos, University of Cyprus, Cyprus Peter Rössler, Technikum Wien, Austria Milan Štork, University of West Bohemia, Czech Republic Emil Jovanov, University of Alabama, USA Roman Bazylevych, Lviv Polytechnic Univ., Ukraine Nataša Nešković, IEEE S&M Chair, Serbia Yury Bekhtin, Ryazan State Radio Eng. University, Russia Sergey Vityazev, Ryazan State Radio Eng. University, Russia Ioannis Sourdis, Chalmers University, Sweeden, Josep‐Ramon Herrero, UPC, Spain Adam Postula, University of Queensland, Australia Bilgin Metin, Bogazici University, Turkey Miroslav Hagara, STU, Slovakia Anetta Caplanova, EUBA, Slovakia Elissaveta Gourova, Sofia University, Bulgaria Paris Kitsos, Hellenic open University, Greece

Local Organizing Commitee: Budimir Lutovac, University of Montenegro, Chair Dmitry Tarasov, MANT, Montenegro, Co‐Chair Radomir Mihailović, MANT Montenegro

Useful Links: University of Montenegro: http://www.ucg.ac.me/eng/ MANT association: http://mant.me/ Hotel Slovenska Plaža ****: http://www.booking.com/hotel/me/slovenska‐plaza.en.html City of Budva: http://en.wikipedia.org/wiki/Budva Montenegro: http://en.wikipedia.org/wiki/Montenegro

4th Mediterranean Conference on Embedded Computing

Budva • Montenegro • June 14-18, 2015

Hotel Slovenska Plaža

http://embeddedcomputing.me

3

omogućava tačno i brzo računanje rezultata gla-sanja. Pri ovome ne mislim samo na glasanje na izborima za parlamente, predsjednike država, lokalne vlasti, već i na različite druge vrste izbora u kojima možemo učestvovati, a koje se redovno obavlja elektronskim tj. onlajn putem.

Iako je još od 1869. godine bio poznat, a par decenija kasnije i implementiran koncept elektronskog glasanja, on još uvijek nije dosti-gao vrhunac u svojoj primjeni. Razlog toga leži prije svega u još uvijek nedovoljno razvijenom konceptu koji bi obuhvatio sve standarde željene sigurnosti i dostupnosti za sve. Neke zemlje koriste ovaj vid glasanja kao eksperiment, dok je vrlo mali broj država ovaj projekat počeo primjenjivati kao osnovni. Najbolji primjer je Estonija koja je od 2005. godine na nacionalnom

Problemi koji se javljaju i izbijaju na površinu prilikom glasanja, možemo podijeliti u dvije grupe, u prvu grupu je izlasnost, dok u drugu spada vrijeme koje je potrebno da se obrade i objave potpuni i konačni rezul-tati. Kao rešenje ovih problema pronalazimo u primjeni elektronskog glasanja, koje je već u mnogim državama zamijenilo tradicionalan način glasanja - glasačkim listićima. U SAD-u prve mehaničke mašine za glasanje koristile su se 1892. godine u New York. Revolucija u elek-tronskom glasanju desila se 1960. godine kada su predstavljene bušene kartice. Elektronsko glasanje se odnosi na bilo koje glasanje koje koristi elektronska sredstva u tom sistemu. Elekronsko glasanje omogućava glasaču da uz pomoć različitih elektronskih uređaja izvrši svoju građansku dužnost, a u isto vrijeme

Elektronsko glasanje

Elektronsko glasanje Dragana Rašković

Univerzitet Donja Gorica, Podgorica, Crna Gora

4

ECESM NEWSLETTER | 2015/05

nivou počela da koristi sistem glasanja preko interneta za parlamentarne izbore. Od tada pa do danas naglo se povećavao broj glasača preko interneta.

Ova vrsta glasanja ima kao i kod ostalih metoda zadatak da ispuni osnovne zahtjeve kod glasanja, a to su da dopušti glasaču da samo jednom glasa i da njegov glas bude snimljen i prihvaćen u skladu sa propisima i preferenci-jama glasača, da glasanje bude anonimno, da omogući glasanje samo onim glasačima koji imaju to pravo (koji se nalaze na biračkom spisku) i da je cio proces provjerljiv, pouzdan i tačan.

Vrste elektronskog glasanjaPrvi sistemi elektronskog glasanja bili su:

sistemi sa bušenim karticam koji su se pojavili nakon papirnih glasačkih listića u SAD. Računar je prebrojavao bušene kartice sa glasovima. Za-tim sistemi sa optičkim skeniranjem koji su imali zadatak da optičkim senzorom snimaju i broje kako su glasački sistemi popunjeni. Nakon ovog sistema razvija se sistem koji koristi elektonsku mašinu za glasanje, a primjenu su našli od 2004. godine. Postavlja se na biračkom mjestu. Jedan dio uređaja se nalazi ispred glasača tako što mu se na ekranu prikazuju predloženi kandidati, dok se drugi dio uređaja nalazi kod izborne komisije koja omogućava glasaču da glasa. Ovaj vid sistema je najrasprostranjeniji. Daljim raz-vojem javljaju se sistemi sa direktnim elektrons-kim snimanjem koji najviše koriste Brazil i SAD. Na ekranu je predstavljen glasački listić koji ak-tivira glasač dodirom na ekranu, podaci glasanja se obrađuju preko kompjuterskog programa i snima se proces glasanja u memoriji uređaja. Nakon izbora uređaj omogućuje tabelarni prikaz glasova na prenosnoj memoriji i u štampanoj formi. Sistem omogućava izvještavanje rezul-tata više izbornih jedinica prema centralnoj

lokaciji. Danas najveću primjenu ima sistem udaljenog internet glasanja, a koriste ga SAD, Francuska, Švajcarska, ali najbolju primjenu ima u Estoniji. Tamo je glasačima omogućen sistem za elektronsko glasanje koji se zasniva na nacionalnoj infrastrukturi javnih ključeva, a svaki glasač mora posjedovati elektronsku ličnu kartu sa smart čipom, a koja je usklađena sa X.509 standardom.

Imamo podjelu elektronskog glasanja po kriterijumu mesta sa koga se može glasati na izborima. Tako postoje tri vrste elektronskog glasanja, što je prikazano na slici.

Kontrolisano elektronsko glasanje je omogućeno samo na posebnim mjestima (glasačko mjesto) gde postoji fizička prisutnost i glasača i organizatora izbora. Ovi drugi imaju kontrolu nad uslovima glasanja. Dosta je slično klasičnom, papirnom načinu glasanja. Po slijedu događaja prvo se glasač identifikuje, pa posle provjere da li ima pravo glasa dobija vrijeme i prostor za glasanje na elektronskom uređaju za glasanje. Ti uređaji su poznati kao DRE uređaji. Polukontrolisano elektronsko glasanje ili kiosk glasanje je prelazni tip elektronskog glasanja između prve i treće vrste u kome organiza-tori djelimično kontrolišu postavljene uslove jer se ta mjesta za glasanje (kiosci) nalaze na raznim mjestima poput pošti, škola, tržnih centara, ambasada i slično. Ipak, pored kioska

Vrste elektronskog glasanja po kriterijumu mjesta

5

za glasanje može biti neko od organizatora i izbornog osoblja ili oni mogu doći po potrebi/povremeno. Slabo kontrolisano elektronsko gla-sanje: omogućava glasaču da izabere bilo koje mjesto koje mu odgovara za čin glasanja. Usled nepostojanja fizičkog prisustva izbornog osoblja ili organizatora teško je kontrolisati situaciju na toj lokaciji zbog velikog broja potencijalno nepovoljnih okolnosti. Udaljeno elektronsko glasanje mora da koristi neku vrstu komuni-kacione mreže da bi glasač dostavio sopstveni glas (glasački listić) na mesto za prebrojavanje.

SWOT analiza elektronskog glasanja

Elektronsko glasanje ima prvenstveno za cilj da olakša sam glasački proces kako sa stanovišta glasača tako i biračkom odboru i izbornim komisijama. Sistemi elektronskog glasanja omogućavaju glasaču slanje poziva za glasanje elektronskom poštom, glasanje van biračkog mjesta, čak i ako se nalazi van države, više vremena za razmišljanje tokom glasanja, pregled programa predloženih kandidata koje su povezane linkom na glasački listić. Birački odbor, takođe ima benefite koristeći ovaj vid glasanja tako što se smanjuju troškovi gla-sanja i samog izbornog procesa, vrijeme za računanje rezultata izbora sa mnogo većom preciznišću u pogledu brojanja, sabiranja, ručnog unosa podataka, prikupljanju listića, provjere identifikacije glasača i slično. Iz ovoga se mogu zaključiti sledeće prednosti sistema: prostorna neograničenost, ušteda u vremenu, ažurno obavještenje o postupku glasanja i obavljenom glasanju, lakoća upotrebe, tajnost podataka, brže računanje rezultata izbora, nemogućnost greške prilikom brojanja gla-sova, manja vjerovatnoća nevažećih biračkih listića, udobnost glasanja lica sa invaliditetom. Šansa za podsticaj razvoja ovog sistema leži

u vjerovanju da će u narednih desetak godina ovaj vid glasanja biti primaran i dominantan. Favorizovanje ekrana na dodir, pojednostavljen-jem procedura glasanja i izlaženjem u susret ostalim željama birača može učiniti da birački list u papirnom obliku ili glasanje putem pisma ostanu u prošlosti.

Ipak, ono što je ograničavajući faktor za širu primjenu ovog sistema ogleda se kroz: nedefinisanje standarda koji bi važili u svim državam u svijetu, vrijeme i teškoće u prom-jeni zakonskih propisa vezanih za ovu oblast, velika novčana sredstva za implementiranje ovog sistema, sigurnost i pouzdanost elek-tronskog glasanja, jednak pristup glasanja za sve socijalno-ekonomske grupe, posjedovanje stručnog kadra i eksperata koji bi brinuli o održavanju sistema. Pored toga, ono što prijeti razvoju ovih sistema jeste odbojnost prema inovacijama savremene tehnologije, izvjesna doza nepovjerenja i nezainteresovanosti birača, krađa identiteta, nedovoljno definisana zakon-ska regulativa.

Zaključna razmatranja Gore navedeni nedostaci doveli su do toga

da neke zemlje nakon implementacije sistema elektronskog glasanja isti i ukinu ili stopiraju na određeni vremenski period. To se desilo u Njemačkoj i Holandiji kada je i pored činjenice da je uveliko veliki broj glasača već prihvatio sis-teme elektronskog glasanja. Razlog je javljanje velikih propusta u pogledu sigurnosti i pouzdan-osti za elektronsko glasanje i nezadovoljavanje standarda. Što se tiče naše države i regiona još uvijek nije ništa konkretno uređeno po pitanju uvođenja ovog sistema kod nas. Najveći problem pored velikih troškova koje iziskuje ovaj sistem predstavlja vrlo niska informatička pismenost stanovništva, nemogućnost utvrđivanja potvrde identiteta i samo nepovjerenje glasača u nove izume kad je u pitanju izborni proces. #

6


Prvi oblici onoga što će u budućnosti biti glavna tema TEMPEST-a javili su se krajem 19. i početkom 20. vijeka. Naučnici na području telekomunikacija postali su svjesni problema kasnije nazvanog preslušavanje (eng. crosstalk). Preslušavanje se odnosilo na uticaj signala jedne telefonske žice na signal druge, zbog čega bi dolazilo do neželjenih posljedica poput prenosa signala s jedne žice na drugu.

Prva dokumentovana pojava gore navede-nog problema javila se početkom prvog svjetsk-og rata 1914. godine. Za komunikaciju između vojnika na ratištu i njihovog komandnog centra koristio se telefon. Kablovi su se protezali duž bojnog polja. U svrhu prisluškivanja ovih komu-nikacija podignute su stanice za prisluškivanje kako bi se pratila neprijateljska aktivnost. Ta tehnika je za godinu dana napredovala u tolikoj mjeri da su se signali koji iscure u zemlju mogli prisluškivati na udaljenosti od gotovo 100 meta-ra za telefon i više od 250 metara za telegraf. Na ovaj način se dolazilo do značajnih informacija koje su donosile prednost na bojištu. Već iduće godine telefonske linije su morale biti udaljene

dva i po kilometra od linije fronta.

Službeni datum nastanka TEMPEST-a nije poznat široj javnosti, ali radi se o 1950. godini. Vlada Sjedinjenih Američkih Država postaje svjesna opasnosti od gubitka informacija putem elektromagnetnih talasa i pokreće TEMPEST pro-gram s primarnim ciljem borbe protiv špijunaže. To je poslijeratno doba, vrijeme zahlađenja odnosa između SAD-a i njihovih saveznika i

Rusije te početak velike borbe u tehnološkom razvitku između dvije svjetske velesile. Dolazi do razvoja špijunskih aktivnosti pa potreba za osiguranjem informacija i sigurnom komuni-kacijom postaje veća nego ikad.

Nekoliko godina kasnije odvija se jedan od najpoznatijih TEMPEST napada u istoriji. Godine 1957. britanski premijer izdaje naredbu o nadgledanju francuske ambasade, kako bi se ustanovio njihov stav u vezi s pristupanjem Evropskoj ekonomskoj zajednici. Naučnici britanske obavještajne agencije MI5 su pored šifrovanog saobraćaja koji je emitovao francuski uređaj za šifrovanje pronašli i slabi sekundarni signal koji je na neki način iscurio iz uređaja. Taj signal je bio nosilac otvorenog teksta pa su ga britanski naučnici uspješno rekonstruirali. Pored toga što su rekonstruisali otvoreni tekst, činjenica da je uhvaćen i otvoreni tekst i tekst šifrata dovela je do situacije da je bilo moguće nadzirati kompletan šifarski sistem koji je tada

koristila francuska ambasada.

Sadašnji rašireni interes o elektro -magnetnom zračenju i elektromagnetnom

Informatička bezbjednost

TEMPEST i informaciona bezbjednostIgor Burić, Agencija za nacionalnu bezbjednost, Crna Gora

Univerzitet Donja Gorica, Podgorica, Crna Gora

7

prisluškivanju je fenomen koji nije od skora. Za više od dvadeset godina (u SAD više od četrdeset godina), međunarodna vojska i obavještajne agencije su znale da svi elektromagnetni uređaji, bez odgovarajuće zaštite, generišu visoki nivo RF signala. Ovaj signal je sofisticiranom op-remom moguće »uhvatiti« i rekonstruisati u čitljive informacije.

Zbog opšteg nedostatka saznanja koje se odnosi na TEMPEST i opasnost u vezi TEMPEST-a, ovoj problematici nije dovoljno posvećivana pažnja, a posebno u oblasti informatičkih tehnologija.

Informaciono komunikacioni sistemi koji se koriste za obradu tajnih podataka pokazali su se kao izuzetno atraktivni ciljevi za protivnike poput stranih obavještajnih službi, terorista, pripadnika organizovanog kriminala. Ovi pro-tivnici su se pokazali kao izuzetno sposobni i adekvatno tehnički i kadrovski opremljeni za iskorišćavanje TEMPEST ranjivosti informaciono - komunikacionih sistema.

TerminiTrend masovnog korišćenja savremenih

informacionih tehnologija za obradu osjetljivih informacija ističe u prvi plan problem zaštite državnih, vojnih, naučnih, poslovnih i finan-sijskih tajni koji se obrađuju ovim sistemima. Problematika neovlašćenog pristupa informaci-jama putem kompromitujućeg elektromagnet-nog zračenja je prisutna u vojnim, diplomatskim i obavještajnim krugovima više od 30 godina. U zapadnoj literaturi se ova problematika najčešće podvodi pod akronimom američke vlade TEM-PEST mada ima tvrdnji da je to samo kodni naziv bez nekog posebnog značenja.

Pobrojaćemo nekoliko naziva čiji je akronim TEMPEST koji na tačan način opisuju njegovu problematiku a koji se pojavljuju u literaturi:

• Telecommunications Electronics Material Protected from Emanating Spurious Trans-missions - Telekomunikacioni elektronski materijal zaštićen od stvaranja lažnih prenosa,

• Transmitted Electro-Magnetic Pulse / En-ergy Standards & Testing - Poslati elektro-magnetni pulsevi / energetski standardi i testiranja,

• Telecommunications ElectroMagnetic Protection, Equipment, Standards & Techniques - Telekomunikaciona elektro-magnetna zaštita, oprema, standardi i tehnike,

• Transient ElectroMagnetic Pulse Emana-tion STandard - Standard za emanaciju prolaznih elektromagnetnih pulseva,

• Tiny ElectroMagnetic Particles/Pests Emit-ting Secret Things - Sitne elektromagnetne čestice / štetočine koje emituju tajne stvari.

Zadnje tumačenje ovog akronima, koje je ujedno i najduhovitije, pogađa u samu srž prob-lema te jednostavnim jezikom laiku najbolje opisuje temu kojom se TEMPEST bavi.

U svakom slučaju, radi se o tajnim stan-dardima koji definišu dozvoljene granice i metode mjerenja TEMPEST-a.

Na prostorima bivše Jugoslavije korišten je pojam KEMZ (Kompromitujuće ElektroMag-netno Zračenje) i prevashodno je vezivan za uređaje na kojima se vrši kripto obrada infor-

macija.

Gdje »curi« podatakKod uređaja za kripto obradu tajnih po-

dataka, štićena informacija je prisutna na ulazu u uređaj (šifrovanje), ili na njegovom izlazu (dešifrovanje). U navedenim slučajevima uređaj

8


vrši ili transformaciju tajnog podatka u šifrat, koji se prenosi kanalom veze, ili inverznu trans-formaciju šifrata u prvobitnu informaciju. U tim postupcima transformisanja informacije iz jed-nog oblika u drugi, odnosno u svim slučajevima kada je tajni podatak prisutan u uredjaju u formi elektromagnetnog signala, dolazi do emitovanja parazitske elektromagnetne energije korelisane sa kriptološki štićenom informacijom. Problem je što se ta parazitska elektromagnetna energija, sa pravom opremom, može s velike udaljenosti presresti i rekonstruisati. Upravo je to tema kojom se bavi TEMPEST.

Danas se TEMPEST ne odnosi samo na uređaje na kojima se vrši kripto obrada in-formacija već je to između ostalog slučaj i sa informatičkom opremom komercijalnog tipa (računari, tableti, mobilni telefoni...).

Po svojoj prirodi elektromagnetno zračenje je ista pojava kao elektromagnetne smetnje sa jednom bitnom razlikom, radi se o signalima koji nose informaciju koja ne smije biti dostupna okolini.

Budući da je riječ o temi koja je godinama držana u tajnosti mnoga dokumenta koja obrađuju ovu temu i danas su nedostupna.

Najjače zračenje elektromagnetnih signala na računarima proizlaze iz monitora i ostalih grafičkih komponenti. Osnovni razlog za to je što rade na visokim frekvencijama i za njihov rad treba najviše snage. Samim time daju dobru podlogu za mogući TEMPEST napad.

U grafičku opremu spada i RS-232 kabal, najčešća veza između grafičkih izlaza računara i ostalih perifernih uređaja. Eksperimenti su pokazali da je moguće presresti signale koji putuju duž tog kabla.

Osnovno načelo prisluškivanja je očitavanje električnih signala visoke frekvencije koju stvara monitor. Oscilirajući električni tokovi stvaraju

elektromagnetno zračenje koje je u uskoj vezi sa slikom prikazanom na monitoru pa je iz tog elektromagnetnog zračenja, posebnom opre-mom, moguće rekonstruisati sadržaj displeja.

U naučnom radu »Electromagnetic Radiation from Video Display Units: An Eavesdropping Risk?« iz 1985. godine holandski naučnik Wim van Eck istražuje područje emisije zračenja uređaja sa monitorom. U tom radu van Eck tvrdi kako je u suradnji s BBC-jem uspješno izveo probni napad. Prema njihovom izvještaju, koristeći kombi s elektronskom opremom i VHF (eng. Very high frequency) antenskim sistemom, uspješno su prisluškivali s velike udaljenosti. Ova otkrića su zapanjila javnost i izazvala paniku. Ovaj napad je poznat kao »van Eck phreaking« napad.

Slika 1: Oprema koju je koristio Wim van Eck

Slika 2: Primjer uhvaćenog signala sa lap topa

9

Starija generacija monitora s katodnom ci-jevi (eng. cathode ray tube, CRT) je bila podložnija curenju signala koje je moguće uhvatiti i rekonstruirati nego novija generacija moni-tara sa displejima zasnovanim na tehnologiji tekućih kristala (eng. liquid crystal display, LCD). Međutim ni LCD monitori nijesu sigurni u odnosu na elektromagnetno zračenje. To su potvrdili naučnici sa Univerziteta Cambridgeu koji su uspješno izvršili prisluškivanje LCD monitora s opremom jeftinijom od 2000 dolara.

Takođe, još jedan od uspješnih TEMPEST »van Eck phreaking« napada dogodio se 2009. godine u Brazilu, kada je prilikom provjere ele-ktronskog glasanja kompromitovano očuvanje

tajnosti glasova.

Kako se zaštititiKako bi se zaštitili od curenja kompromitu-

jućih elektromagnetnih signala potrebno je koristiti TEMPEST sertifikovanu opremu za ele-ktronsku obradu tajnih podataka. Uz američku, najvažnija i najpoznatija je TEMPEST sertifikaci-ja NATO Saveza. Saradnjom SAD-a i NATO Saveza

nastao je niz standarda za zaštitu opreme:

NATO SDIP-27 Level A (prije AMSG 720B) i USA NSTISSAM Level I - najstrožiji standard za uređaje, prilikom kojeg se pretpostavlja da napadač ima direktan pristup računaru, NATO SDIP-27 Level B (prije AMSG 788A) i USA NS-TISSAM Level II - malo ublaženi standard u odnosu na Level A/1, kreće se od pretpostavke da napadač ne može doći na manje od 20 metara od uređaja ili je uređaj ograđen sigurnim zidovima,

NATO SDIP-27 Level C (prije AMSG 784) i USA NSTISSAM Level III - još ublaženiji kriteri-jumi, smatra se da je napadač udaljen više od 100 metara od ciljanog uređaja ili je njemu i

zračenju put spriječen s dovoljno zidova.

TEMPEST sertifikovani uređaji su obični uređaji na mnogo načina prilagođeni kako bi se moguća kompromitovana zračenja svela na minimum. To se između ostalog postiže stavl-janjem posebnih metalnih kućišta, zaštićenih konektora i kablova i posebnih modifikovanih napajanja, što drastično diže cijenu tako zaštićenoj računarskoj opremi. Cijena TEMPEST zaštićenog lap topa na tržištu u Crnoj Gori je od 5000 do 10000 eura.

Slika 3: TEMPEST lap top u skladu sa standardom

SDIP 27 Level A

Drugi način osiguranja od kompromitujućeg elektromagnetnog zračenja je osiguranje cijelog područja oko sporne elektronske opreme. Ovo se može postići smještanjem opreme za ele-ktronsku obradu tajnih podataka u Faradejev kavez. Na taj način bi u potpunosti eliminisali curenje elektromagnetnog zračenja van prosto-rije. Instalacija Faradejevog kaveza je u većini slučajeva teško izvodiva i nepraktična, a gotovo uvijek ekstremno skupa. Iz tog razloga je veoma

10


Slika 4:TEMPEST tablet

bitno odrediti adekvatnu prostoriju u kojoj će se postaviti uređaji na kojima će se elektronski obrađivati tajni podaci.

Za odabir prostorije iz koje će biti najmanje zračenje potrebno je imati odgovarajuću TEM-PEST opremu za zoniranje prostorija kojom bi vršili mjerenje elektromagnetnog zračenja iz prostorija u kojima planiramo elektronsku ob-radu tajnih podataka. Zoniranje se vrši u skladu sa Procedurama EU za TEMPEST zoniranje IASG 7-02 i NATO procedurama TEMPEST zoniranja NATO SDIP-28.

Slika 5: Oprema za TEMPEST zoniranje prostorija

Ovdje moramo pomenuti i standard NATO SDIP-29 (bivši AMSG 719G) koji definiše zahtjeve za instalaciju električne opreme za obradu tajnih podataka.

Idealno je kombinovati upotrebu ova tri standarda. Obzirom da ovi standardi nosi oznaku tajnosti »RESTRICTED« tjs. »INTERNO« detaljnije informacije ne možemo javno obja-

vljivati.

Stanje u Crnoj GoriNakon ispunjavanja bezbjednosnih zahtje-

va za razmjenu i zaštitu tajnih podataka, u no-vembru 2008. godine sertifikovan je Sporazum o bezbjednosti informacija zaključen između Crne Gore i NATO.

Zaključivanjem Sporazuma o bezbjednos-nim procedurama za razmjenu i zaštitu tajnih podataka između Crne Gore i Evropske unije (septembar 2010. godine), omogućena je razm-jena tajnih podataka i sa EU.

Ispunjavanje bezbjednosnih uslova je značilo donošenje propisa u oblasti zaštite tajnih podataka i njegovu usklađenost sa direk-tivama NATO i legislativom EU.

Bezbjednosnu razmjenu tajnih podataka (u papirnoj formi) obavljaju posebno obučene kurirske službe Direkcije. Pored razmjene u papirnoj formi uspostavljena je razmjena tajnih podataka u elektronskoj formi i to putem dva sistema kriptozaštite. Jedan omogućava razmjenu tajnih podataka stepena tajnosti »IN-TERNO« dok jedan omogućava razmjenu tajnih podataka stepena tajnosti »TAJNO«.

Prije uspostavljanja sistema elektronskog prenosa tajnih podataka, u prostorijama koje su predviđene za elektronsku obradu tajnih podataka urađeno je prvo TEMPEST zoniranje prostorija u Crnoj Gori. Na ovaj način utvrđen

11

je stepen rizika »curenja« informacija putem kompromitujućeg elektromagnetnog zračenja i preduzete su odgovarajuće mjere zaštite (odabir prostorija, građevinsko uređenje prostorija, nabavka TEMPEST zaštićene opreme i dr.). Obzi-rom da tada Crna Gora nije imala uspostavljen TEMPEST tim, Direkciji je u ovoj oblasti stručnu pomoć pružio Nacionalni organ za bezbjed-nost (NSA) Češke Republike, koristeći najnovije tehnike TEMPEST zoniranja prostorija koje su bile u skladu sa gore pomenutim standardima.

Zakon o tajnosti podataka je članom 66 propisao da je jedna od mjera i radnji za obezbjeđivanje informatičke zaštite tajnih podataka i zaštita od rizika kompromitujućeg elektromagnetnog zračenja.

Direkcija za zaštitu tajnih podataka Crne Gore je nadležni organ za zaštitu od rizika kompromitujućeg elektromagnetnog zračenja (TEMPEST Authority), dok su aktivnosti koja se odnose na TEMPEST zoniranje prostorija u nadležnosti Agencije za nacionalnu bezbjed-nost. Agencija je formirala stručni TEMPEST tim koji se bavi TEMPEST zoniranjem prostorija u kojima je predviđena elektronska obrada tajnih podataka.

Na osnovu izvještaja o mjerenju ovog tima Direkcija za zaštitu tajnih podataka će izdavati sertifikate o uspostavljanju TEMPEST zone.

Na ovaj način se institucije u Crnoj Gori u potpunosti oslanjaju na domaće resurse prilikom određivanja bezbjednosnih zona za elektronsku obradu tajnih podataka. Ovakvim rješenjem će se postići znatna novčana ušteda, na način što će se pravilnim odabirom prostorija (bezbjednosnih zona) za elektronsku razmjenu tajnih podataka izbjeći nabavka veoma skupe TEMPEST zaštićene opreme.

Umjesto zaključkaU vremenu široke upotrebe informacionih

tehnologija, bezbjednost informacija je na prvom mjestu. Iako TEMPEST napadi predstavl-jaju potencijalno veliku opasnost za bezbjednost informacija, sve studije pokazuju da TEMPEST nije nešto čime bi se prosječan građanin trebao zamarati. Dokazi TEMPEST napada na obične građane su gotovo nepostojeći i s tim se slaže velik broj vodećih svjetskih inženjera na tom području. Kada pominjemo TEMPEST gotovo uvijek se misli na zaštitu tajnih podataka koji se obrađuju u informaciono komunikacionim sistemima.

Da li je opasnost od TEMPEST-a realna ili je to samo paravan za veliki ekonomski posao koji pokriva ovu oblast ne može se sa sigurnošću reći. Kontroverza TEMPEST-a traje, a trajat će i dalje dok se sa svih dokumenata o toj temi ne ukloni oznaka tajnosti, te dok eksperti za ovu oblast ne donesu konkretne i jedinstvene zaključke kakvu opasnost predstavlja TEMPEST.

TEMPEST napadi su izrazito komplikovani i skupi te sa vrlo neizvjesnim ishodom. Funkcio-nalni uređaji za takve eksperimente ne mogu se napraviti kod kuće.

Ljudi su skloni razmišljanju tipa: »To se događa nekom drugom«. Takvo razmišljanje može dovesti do ozbiljnih posljedica.

Iz navedenog se može zaključiti da je TEMPEST oblast veoma široko polje za dalje izučavanje te da se njome bave iskusni profe-sionalci. U praksi se najčešće koristi u oblasti informatičke zaštite tajnih podataka pa su i dokumenta koja opisuju TEMPEST zaštitu i napade skoro uvijek tajni podatak. A priroda čovjeka je takva da ga uvijek interesuje ono što nije dostupno... #

12


Sedemdesetih godina prošlog vijeka, na svojim samim počecima, internet je bio mali, decen-tralizovani kolektiv računara. Usenet (preteča današnjih foruma) je bio prva i u to vrijeme najveća svjetska online zajednice. Svako je mogao pokrenuti vlastiti server, povezati se sa drugim računarima (preko dial-up-a) i primati/slati poruke. Niko nije kontrolisao Usenet. Bilo je to jedinstveno dostignuće koje je privlačilo kreativne duše poput magneta. Računarska i tehnološka revolucija koja je uslijedila izgrađena je na temeljima koji su jasno sadržani u mani-festu John Perry Barlow iz 1996.g »Deklaracija o nezavisnosti sajber prostora«[1] u kojoj između ostalog kažu: »Stvaramo svijet u koji mogu da uđu svi, bez privilegija ili predrasuda na osnovu rasa, ekonomske moći, vojne sile, ili mesta rođenja. Stvorićemo civilizaciju Uma u Sajber prostoru. Nek bude humanija i poštenija od svijeta kog su vaše vlade prethodno stvorile«.

Internet danas, predstavlja potpuno drugačiju sliku Barlow-e digitalne »utopije« i baziran je na centralizovanoj arhitekturi i diza-jnu. Paul Baran, jedan od pronalazača paketskog prenosa podataka u svom eseju pod nazivom »Budućnost kompjuterskih alata«[2] predvi-dio je dominaciju centralizovane arhitekture, pretpostavljajući da će jednog dana, nekoliko velikih, centralizovanih računara, omogućavati procesuiranje informacija na sličan način kako nas elektro-energetske kompanije snabdijevaju električnom energijom. Centralizovani dizajn

nosi sa sobom mnoge prednosti ne samo iz razloga jednostavnijeg upravljanja servisima i aplikacijama, već i zbog sticanja ogromnog profita i mogućnosti centralizovanog nadzora komunikacija. Ogroman procenat internet ko-munikacija kontoliše mali broj kompanija. Google na primjer, kontorliše 25% komplet-nog internet saobraćaja Sjeverne Amerike, a njegov prekid u radu avgusta 2013.g. izazvao je smanjenje svjetskog internet saobraćaja za

Kriptografija

Vraćanje interneta svojim korijenima – decentralizacija interneta

Dejan Tomović, Agencija za nacionalnu bezbjednost, Crna Gora Univerzitet Donja Gorica, Podgorica, Crna Gora

13

oko 40%. Pouzdanost i zaštitu od neželjene pošte, virusa i phishing prevara koju garantuje neki od centralizovanih servisa elektronske pošte (Gmail, Yahoo mail, …) daleko je veća od usluga koje nude lokalni ISP provajderi ili ad-ministratori u kompanijama. Facebook poruke i WhatsApp mnogo je lakše koristiti nego IRC. Dropbox i iCloud su daleko jednostavniji za korišćenje nego podešavanje RAID konfigura-cije na serverima. Dakle, centralizovani model utjelotvoren u carstavu Google-a, Amazon-a, i drugih cloud-computing kompanija nude nam mnoge pogodnosti na štetu privatnosti. Internet korisnici, potpisivanjem ugovora sa provajderi-ma internet usluga, ponekad nijesu ni svjesni da kompanijama daju ovlašćenje da svoje lične podatke dijele sa drugima, od kompanija koje reklamiraju proizvode pa sve do vladinih insti-tucija. Privatnost u centralizovanom internetu više nije zagarantovana. Svakako, kao najbolji primjer narušavanja privatnosti, predstavlja svjedočenje Edwarda Snowdena o PRISM pro-jektu američke NSA, kojim je bilo omogućeno nadziranje saobraćaja vodećih, svetskih internet kompanija. Centralizovanim dizajnom intrer-neta omogućeno je da se sa nekoliko ključnih meta nadzire velika količina svjetskog internet saobraćaja.

Sve ovo je navelo mnoge istraživače, pro-gramere i ljubitelje informacionih tehnologija da se okrenu manje centralizovanoj a više dis-triburanoj arhitekturi i traženju adekvatnog rešenja u cilju zaštite njihove privatnosti i ličnih podataka. Novi trend i softverska rešenja koja su u fazi razvoja i testiranja svjedoče o razvoju decentralizovanih mreža koje su uglavnom ba-zirane na klijent-klijent (eng. »peer to peer - P2P«) mrežama i protokolima karakterističnim za krip-tovalute (eng. »cryptocurrency«) među kojima je nadominantiniji Bitkoin (eng.»Bitcoin«) protokol.

P2P mreže predstavljaju mreže računara istog prioriteta. Kod ovog tipa mreža ne

postoji definisan server, niti hijararhija među računarima. Svi računari su jednaki, obično svaki računar funkcioniše kao klijent i kao server, i ne postoji imenovan administrator za cijelu mrežu. Korisnik svakog računara odlučuje koji podaci sa njegovog računara se mogu dijeliti na mreži.

Kriptovalute su specijalan oblik digitalne, odnosno virtualne valute. Iako kriptovalute formalno jesu sredstvo razmjene, za razliku od »realnih« valuta u većini država još uvijek nijesu strogo regulisane zakonom a u pojedinim su i zabranjene. Začetnik, a ujedno i glavni pred-stavnik kriptovaluta, jeste Bitkoin. Sam termin Bitkoin označava istoimenu organizaciju, soft-ver i protokol dok se terminom bitkoin označava jedinica mjere (skraćeno BTC). Bitkoin, kao koncept, se prvi put spominje 2008. godine u članku »Bitcoin: A Peerto-Peer Electronic Cash System«[3] izdatom od strane autora (ili orga-nizacije) poznatog jedino pod pseudonimom »Satoshi Nakamoto«. Bitkoin je koncipiran kao transparentan, decentralizovan elektronski sistem transakcija koji se ne oslanja na povjeren-je već na složene kriptografske algoritme. Za ra-zliku od tradicionalnih sistema, ovdje ne postoji centralna banka koja izdaje novac ili obrađuje i čuva transakcije, niti postoji jedinstveni vlasnik Bitkoin mreže kao cjeline. Svaki vlasnik prenosi elektronski novčić sledećem vlasniku potpi-sivanjem i dodavanjem na kraj novčića heša prethodne transakcije i javnog ključa sledećeg vlasnika. Verifikacija plaćanja se ostvaruje obavještavanjem cijele Bitcoin mreže o izvršenoj transakciji. Na taj način se sprečava dvostruko plaćanje i izbjegava generisanje nepostojećeg novca. Bitkoin koristi ECDSA (eng. »Eliptic Curve Digital Signature Algorithm«)[4] za generisanje digitalnih potpisa. Kao ulaz se zapravo ne koristi sama transakciona poruka već heš poruke. Za heširanje se u većini slučajeva koristi SHA-256. Pri ovim transakcijama se ne prenose lične informacije između učesnika u transakciji. Za

14


razliku od potpuno anonimnih transakcija, pri plaćanju Bitkoin-ima ostaje trag zabilježen i dostupan javnosti. Međutim, učesnici u transak-ciji ne moraju da posluju pod svojim imenima, već mogu da se prijavljuju preko pseudonima. Bitkoin sistem čuva istoriju transakcija u tzv. ulančanim blokovima (eng. »block chain«) gdje svaki blok sadrži referencu ka prethodnom, sve do prvog generisanog bloka transakcija. U Bitkoin mreži svaki čvor zapravo predstavlja jedan ili više računara koji rade u simultanoj igri nagađanja poznatijoj kao »rudarenje« bitkoina (eng. bitcoin mining). Nalazač novog bloka biva nagrađen sa 50 BTC što je ujedno jedini izvor novih bitkoina, kao i motivacija za korisnike da aktivno učestvuju u procesu obrade transakcija. Kriptovalute se čuvaju u digitalnim novčanicima koji predstavljaju softver koji sadrži kolekciju privatnih i javnih ključeva vlasnika. Jedan ko-risnik može generisati proizvoljan broj Bitkoin adresa odnosno parova privatni-javni ključ. Bitkoin još uvijek nema dovoljno učesnika i fi-nansijsku bazu da bi obezbedio stabilnost, pa ci-jena Bitcoina značajno osciluje. Još uvijek među korisnicima postoji neizvjesnost o bezbjednosti na krađu i prevare. Jedan od osnovnih problema koji se nameće kod svih oblika digitalnih valuta jeste prevara dvostrukog utroška (eng. »double spending fraud«) koja podrazumeva trošenje jednog digitalnog novčića dva puta. I među nadležnim državnim organima postoje brojne dileme i analize postojećih i budućih rizika ve-zanih za primjenu Bitkoina, ali je on ipak postao nezaobilazna tema kada je u pitanju Bitkoin tehnologija koja je počela da se primjenjuje u namjeri decentralizacije interneta.

Jedan od projekata, BitCloud[5] koji je još u tehnološkom razvoju, predstavlja jedan od najslikovitijih primjera decentralizacije, a čija je misija da zamijeni internet kao decentralizovani ekosistem aplikacija koje su alternativa za You-Tube, Dropbox, Facebook, itd. Decentralizovani lični cloud storage je nešto što treba da konkuriše

servisima kao Dropbox. Za ovo bi se koristile Tor konekcije: korisnici koji čuvaju sadržaj ne bi znali gde se on čuva, dok čuvari ne bi znali ko su vlasnici. I sam sadržaj bio bi kriptovan, samim tim i nedostupan za neželjeni pristup. Takođe, web hosting baziran na BitCloud-u pred-stavljao bi efektivan alat protiv cenzure. Bit-Cloud bi ubrzo trebalo da ima servise koji bi bili konkurencija mainstream internet gigantima. Najavljen je WeTube, kao zamjena za YouTube, Vimeo, SoundCloud – praktično sve audio-video streaming sisteme. Block chain koji je osnova Bitkoin tehnologije zamijenjen je sa dinamičkom bazom podataka u cilju povećane dinamičnosti i fleksibilnosti. Ovaj sistem bi trebalo da pred-stavlja potpuno otvorenu platformu za socijalne mreže i zaštićene sisteme za razmjenu poruka.

MaidSafe je projekat u fazi razvoja i predstavlja u potpunosti decentralizovanu platformu, koja se sastoji se iz dva ključna dijela: SAFE (Secure Access For Everyone) mreže i klijentskih aplikacija. SAFE mreža predstavlja decentralizovanu mrežu sa distribuiranim up-ravljanjenm svih servisa[6]. Klijentske aplikacije pristupaju mreži preko nekoliko inovativnih koraka (autentikacija i enkripcija od strane klijenta), obezbjeđujući potpunu anonimnost korisniku bez prava na sprečavanje njegovog pridruživanja. Kao kriptovaluta biće koriščen Safecoin[7] od kojeg se po ugledu na Bitkoin tehnologiju očekuje da obezbijedi dugoročni opstanak SAFE mreže, ohrabrujući korisnike da ustupanjem svojih resursa potpomognu rast i proširivanje mreže.

Decentralizacija je dosegla do različitih djelove Web-a i sada je uz pomoć Bitkoin tehnologije moguća i decentralizacija saj-tova, slanje trenutnih poruka i mikroblog platformi. ZeroNet[8] je open-source platforma koja omogućava pristup i kreiranje decentral-izovanih web sajtova, otvorenu, besplatnu i necenzurisanu mrežu i komunikaciju. Shodno

15

algoritmu, sajt ostaje online sve dok najmanje jedan klijent može da ga opslužuje. Kako posje-tioci sami opslužuju sve sajtove, nema troškova hosting-a. Ove vrste sajtova je nemoguće ugasiti, jer se nalaze na rezličitim lokacijama (klijen-tima). Takođe, ono što je impresivno kod ove platforme, jeste da je pristup sajtu omogućen i kada nemate konekciju ka internetu. Tox[9] i Twister[10] su takođe dvije decentralizovane platforme koje ohrabruju slobodu govora, kao i komunikaciju koja garantuje daleko veću privatnost na internetu. Tox je novi tip softverskog rešenja za slanje trenutnih poruka (poruke, pozivi i video) koji omogućava korisnicima povezivanje sa prijateljima i porodicom na sigurniji način, uz zagarantovanu privatnost. Aplikacija je u potpunosti besplatna. Twister je u po tpunosti decentralizovana mikroblog platforma, open source servis, koji koji podsjeća na Twitter sa bitkoin platformom. Twister omogućava dijeljenje statusa bez mogućnosti cenzure. Niko ne može ukloniti objavu korisnika ili blokirati njegov nalog. Kada je riječ o decentralizovanim platformama ne smijemo izostaviti BitMessage[11],komunikacioni sistem koji koristi enkripciju kako bi i pošiljaocu i pri-maocu obezbijedio punu anonimnost. Ovo je novi proizvod koji ima potencijala da izmijeni način pristupa i realizacije sigurne komuni-kacije. Takođe, krajem prošle godine, BitTorrent je najavio projekat Maelstrom, prvi internet preglednik (eng»browser«), kao još jedan veliki korak u decentralizaciji interneta. Jedna od po-slednjih najava za kreiranje decentralizovanog interneta zasnovanog na bitkoin tehnologiji dol-azi od poznatog internet zanesenjaka i bivšeg hakera Kim Dotcoma, koji je svijetu omogućio legendarni Megaupload i MEGA file sharing ser-vis. Nakon što je pokrenuo javnu beta verziju svog, s kraja na kraj kriptovanog video, audio i chat servisa pod nazivom »MegaChat«, najavio je »MEGANET«, u potpunosti decentralizovani internet, koji bi bio otporan na masovni nadzor internet saobraćaja od strane moćnih kompanija

i vladinih institucija i ne bi bio zasnovan na IP adresama. Ova platforma bi bila otporna na savremene DDoS napade, prije svega iz raloga distribuirane arhitekture i nepostojanja samo jedne tačke prema kojoj bi bio usmjeren napad.Ovo je samo dio projekata i napretka ostvarenog primjenom bitkoin tehnologije koji imaju po-tencijal da nas vrate u obećanu zemlju istin-ski decentralizovanog, slobodnog i otvorenog interneta. Ovo je samo početak novog trenda, postoji još mnogo otvorenih pitanja i odgovora za kojima tragaju svi oni koji uživaju u tajnama i mogućnostima interneta. #

Reference[1] Barlow, J. P., »A Declaration of the Independ-

ence of Cyberspace«,1996. url: https://projects.eff.org/~barlow/Declaration-Final.html

[2] P. Baran, »The future computer utility«, Natioanl affairs, number 6, 1967. url: http://www.nationalaf-fairs.com/public_interest/detail/the-future-computer-utility

[3] Nakamoto, S., »Bitcoin: A peer-to-peer electronic cash system«. 2008. url: https:// bitcoin.org/bitcoin.pdf.

[4] Johnson, D., Menezes, A., and Vanstone, S., »The eliptic curve digital signature algorithm (ecd-sa)«,2001. url: http://cs.ucsb.edu/~koc/ccs130h/notes/ecdsa-cert.pdf.

[5] Bitcloud project official web page. url: http://bit-cloudproject.org/

[6] N., Lambert, and Bollen, B. The SAFE Network a New,DecentralisedInternet, url: http://maidsafe.net/docs/SAFEnetwork.pdf

[7] Lambert, N., Ma, Q. and Irvine, D., »Safecoin: The Decentralised Network« Token January 2015, url: http://maidsafe.net/docs/Safecoin.pdf

[8] ZeroNet, official web page, https://github.com/Hel-loZeroNet/ZeroNet

[9] Tox, official web page, url: https://tox.im/

[10] Twister, official web page, http://twister.net.co/

[11] Warren, J., »Bitmessage: A Peer-to-Peer Message Authentication and Delivery System«. 2012. url: https://bitmessage.org/bitmessage.pdf

16


When talking about cryptography (or shorter crypt) most of us think about compli-cated math somewhere in the clouds and not important to us. Even computer professionals know little about the topics, which often result in problems in products and services. The aim of cryptography is to protect data and is used in most cases of everyday »ICT life«.

Even experts in the field of computer and information science only know a few basics of the area, despite the fact that cryptography is present in everyday life of all users that use ICT, whether expert or a normal user. The purpose of cryptography is to protect data. It is used widely in a number of products, solutions and services that are connected to ICT. In this article we would like to briefly discuss cryptography and its practical application. Basics of crypto-graph should be known by most users, whether experts in the field or just normal users.

Cryptography arose from the military en-vironment against before the computer era and was primarily defined as the ability to provide data confidentiality. This means that only an authorized person is able to access data. One way to achieve confidentiality was through encryption, which means transforming data into an unusable form. Therefore, in the original sense, cryptography was limited to encryption, but later was broadened to other concepts (e.g. digital signature, key managements, etc.). In

modern terms cryptography covers much more than just encryption and is present in the daily use of ICT. Thus most users are not aware that they use cryptography every day when interact-ing with ICT. Among the more interesting areas where cryptography is applied and most users are not aware are anonymous browsing, torrent services, GSM / UMTS communication.

The basic pillar of ensuring data and com-munications security – encryption

As already mentioned the basic part of cryptography is encryption, which is divided into symmetric encryption and asymmetric encryption, often referred to as public key cryp-tography. The latter encryption method arose from the need of adequate key management, but more on that later.

Symmetric cryptography is a process where arbitrary data is converted into an encrypted format thus unusable format using something called a key. A key is a sequence of bits that is used in the encryption process along with the data. The term key results from the fact that this digital key plays the role of a key for a vault. If a scam acquired encrypted data format, with her not to have anything to do. If an adversary gets in the possession of encrypted data she/he is unable to get the content of data and the data can be converted into its original (usable) form only to those who own the secret key. The process of converting data from its encrypted

Cryptography

Cryptography – our daily fellow in the ICT world

Marko Hölbl, Univerzitet u Mariboru, Slovenija

17

form into its original form using the secret key a referred to as decryption. The most obvious use of encryption on the internet is the protec-tion of connection on the web using HTTPS, more precisely the TLS/SSL protocol. The data which is transferred between the web server and browser is protected through encryption. Additionally, encryption is used to protect data on different storage media (e.g. hard disk, USB flash drive) or to protect data and voice com-munication on mobile devices (e.g. GSM / UMTS communication).

Fig 1: Symmetric encryption process

However, symmetric encryption has a drawback - if we want to communicate with someone safe, we must first deliver her/him the secret key. Delivering the key is, of course, not possible by the same channel we are aiming to protect. Therefore, it is necessary to deliver the key in a safe manner, which in practice means additional work and costs (e.g. using a USB flash). To solve this problems asymmetric cryptography was introduced, often referred to as public key cryptography. In this type of encryption there exist a pair of keys – a public and a private key. The public key, as the name already suggests, is publicly available and can be easily accessed and known to everyone, includ-ing an attacker. The private key must be kept secret and protected. Such encryption works as follows – If Alice want to send a protected message to Bob, she encrypts the message using Bob’s public key and only Bob can decrypt the message using his private key and no one else. An adversary cannot decrypt the message with any other public or private key expect the one, Bob has in his possession. In this way, public

key cryptography solves the problem of key management, i.e. delivery of the key.

However in practice a hybrid encryption method is usually used, which means the both symmetric and asymmetric cryptography is ap-plied. In this scenario a key, referred to as session key is derived and is used for encrypting data by means of symmetric encryption and public key cryptography is used the exchange this session key with all participants. In this scenario the key can be delivered over insecure channels.

Fig. 2: Public key encryption process

The two encryption methods are used in a number of services (HTTPS, Microsoft Remote Desktop Connection, VPN connections), soft-ware solutions (data encryption with dedicated programs such as BitLocker and True Crypt), in hardware products and communication tech-nologies (protection of wireless connections, protecting Bluetooth connections, protect GSM / UMTS / LTE communication, protection of NFC connections and many more.

Ensuring data integrity - hash functions

An important concept of cryptography, that we come across in everyday ICT use are hash functions. These are intended to ensure data in-tegrity, meaning that we want to make sure that the data has not changed without being able to notice it. Hash functions create a fingerprint of data uniquely characterizing it. However, the fingerprint is much shorter than the data itself. In practice this means that hash functions have

18


to create a short digest value (usually the size of 160-512 bits) from any data of arbitrary length and content (e.g. a large 1GB video file or 1KB large text file). Additionally, hash functions also have additional properties that it is not possible to derive the original data from the digest value (often referred to as simply hash). They are used in a variety of services and products in the ICT world - including in electronic signature, secure storage of passwords and as part of security services (e.g. protection of wireless connections, providing VPN connections, etc.).

Signing in the e-worldAnother important technology closely re-

lated to cryptography are digital signatures. In the process of digital signing and verification of digital signatures, hash functions and public key cryptography play an important role. If you want a particular document or piece of data to be signed, you firstly have to hash the data and later sign it. However, due to the afore-mentioned properties of hash functions, we can use such a process without compromising the authenticity of a digital signature. A specific digital signatures is tight to a specific signer a piece of data and cannot be transferred. Digital signatures ensures user authentication, integ-rity of the signed data and consequentially non-repudiation. The later can be explained as the property that someone that has signed a piece of data can later not claim that she/he has not. The digest value is then signed using the sign-ing party’s private key and together with data and the digital certificate sent to the recipient. After receiving the digitally signed message, the recipient separates the data from the electronic signature and verifies the digital signature using the sender’s public key. The process is depicted in Figure 3. Since the electronic signature can only be created by the owner of a specific private key the whole process is reliable. In practice, in

the process of digital singing certificates also play an important role. They guarantee the authenticity of the key.

Hash Function

DataHash

Signing the hash

Digital signature

Certificate

Digitally Singed Data

Fig. 3: Digital signing process

Hash Function

Signed Data

Data

Hash

Digital Signature

Derivation of the Hash using the public key

Hash

Fig. 4: Verification of digital signatures

19

Digital certificates or how to ensure the safety of the public key cryptography

In public key cryptography every partici-pant owns a public and private key pair. In the process of encryption the public key is used to encrypt data whereas the private key is used to decrypt data. In the digital signing process the private key is used to sign data (actually the hash of the data) and the public key is used to verify the signature. Another important part in this equations are digital certificates. In order to explain the importance of certificates we must first mention some problems related to public key cryptography (PKC). On major problems with PKC is key authenticity. If Alice want to send an encrypted message to Bob using his public key, who assures that the key she has acquired is Bob’s and not of a malicious third party? Another problems is key revocation – if Alice wants to revoke a specific key, she has dif-ficulties of adequately informing “the public” that a specific key is not valid anymore. The data related to the validity of a key cannot be extracted from the key itself. Actually, as the key is just a random string of bits, no data can be extracted from the key regarding its owner. As the purpose of digital signatures is also pre-venting non – repudiation, this is problematic in the mentioned circumstances. Perhaps one last problem we will address related to the use of PKC in practice is the compliance with rules and regulation. For examples, we would like every-one in an organization or company to only have one key pair and in order to avoid confusion the keys should be stored in a central directory. With our definition of PKC this is simply impossible – our definition does not imply it.

To solve this and further problems we intro-duce another concept, the Public Key Infrastruc-ture (PKI), a set of processes, rules and methods

to solve the mentioned problems. In PKI the concept of the certificate is introduced. A cer-tificate is a data structure which bind a certain key pair to an entity (owner). Certificates are issued by a Certification Authority (CA), which guarantees that a specific person is the owner of a particular key pair. A certificate is then used to create a digital signature of a specific piece of data. Many times a certificate is considered the same as a digital signature which in fact it is not. Digital certificates are used virtually everywhere, where we are dealing with public key cryptography. Examples include secure e-mail or a secure HTTPS connection, in which a web serves is authenticated using its certificate.

A few words about application

To finish, cryptography is present almost everywhere in the modern ICT world. In most cases, we are just not aware that we use it. Secure ICT would be much more difficult if we would not have methods, procedures and con-cepts related to cryptography. Even more, many of the products or services that address ICT security, directly or indirectly use cryptography.

#

20


Kriptografija

I2P Anonymous Network – mreža za anonimnu razmjenu informacija

Aleksandar M. Anđić, Univerzitet Donja Gorica, Podgorica, Crna Gora

21Slika 2: Primjer jedne I2P tunel statistikeSlika 1: Prikaz početne strane I2P platforme

U današnje vrijeme problem obezbjeđivanja anonimnosti i zaštite osjetljivih podataka na Internetu predstavlja poseban izazov. U stan-dardnom okruženju, potpuna bezbjednost na Internetu je gotovo nemoguća. Naime, pristu-pom korisničkim panelima brojnih web stranica, portala, društvenih mreža, online kupovinom, korisnici ostavljaju određene lične podatke. Na taj način, uglavnom nesvjesno postaju meta interesenata, koji prate njihove aktivnosti na Internetu.

Težeći ka rješavanju ovog problema, kom-panije za razvoj software-a nude nekoliko svojih programskih alata. Kao jedan od najpoznatijih software-a ističe se TOR (The Onion Router). Međutim, u posljednje vrijeme sve je interesant-nija upotreba I2P mreže i njenih mogućnosti, na šta ćemo mi u ovom radu staviti poseban akcenat.

Šta je I2P anonimna mreža?I2P je akronim za Invisible Internet Project

(nevidljivi Internet projekat). U suštini, I2P je mreža u kojoj je kompletan saobraćaj šifrovan. Ona omogućava da se na anoniman način surfuje Internet-om, chat-uje, blog-uje i da se razmjenjuju podaci. Ovo omogućava tzv. I2P ruter, a kompjuter koji koristi I2P se naziva I2P nodom.

Nastanak same aplikacije se veže za 2003. godinu, kada je ona plasirana kao modifikacija Freenet-a i bila je u mogućnosti da koristi alter-nativne transporte, kao što je JMS (Java Message Service). Ubrzo nakon toga, razvijaju sopstveni »anonComm Framework«, koji integrišu u svoj sistem.

Kako funkcioniše I2P?Kompletna komunikacija je od početka do

kraja šifrovana, a krajnje »destinacije« pred-stavljaju kriptografske identifikatore. I2P koristi paketnu enkripciju koristeći multi-proxy, slično kao kod TOR-a, s tim što I2P koristi EIGamal i AES enkripciju. Razmjena informacija je moguća sa bilo kojim nod-om koji koristi I2P okruženje, na bilo kojoj tački svijeta. Upotrebom paketne enkripcije vrši se dekripcija samo narednog ko-raka dok informacija prolazi kroz razne nodove na svom putu ka destinaciji. Tokom razmjene informacija kao identifikatori nod-ova se ne generišu IP adrese, već se kreiraju identifikatori koji se dobijaju tekstualnom kombinacijom.

Ova mreža je zamišljena da bude de-centralizovana, a to znači da je svaki nod na mreži server za sebe, što omogućava još veću anonimnost.

22


Za razliku od modela tzv. Onion Rout-ing koji koristi TOR, ova mreža upotrebljava prošireni model, koji podrazumijeva veći stepen šifrovanja. Naime, pošiljalac definiše tačke kroz koje će proći poruka. Kako poruka prolazi kroz koji nivo, tako se uklanja prethodna enkripcija. Na kraju, uklanja se posljednji sloj enkripcije i prikazuje se poruka u izvornom formatu. Ovaj model je nazvan Garlic Routing, a karakterističan je po tome što se prilikom razmjene informacija u jednom paketu može uključiti više poruka. Put koji poruka pređe preko izabranih tačaka u mreži se naziva tunelom i predstavlja jedan od ključnih elemenata u funkcionisanju I2P mreže.

Tunel se sastoji iz tri dijela: ulazne tačke (gateway), skupa učesnika (posrednih čvorova) i krajnje tačke (endpoint). Svaki tunel je jedn-osmjeran. Postoje dvije vrste tunela:

• dolazeći (inbound) – omogućava da pri-malac primi podatke,

• odlazeći (outbound) – omogućava da se podaci proslijede.

Kako bi što jasnije predočili način komunikacije, ilustrovaćemo jedan primjer razmjene infor-macija.

Najprije, pretpostavimo da se osoba A i osoba B poznaju međusobno i neka osoba B želi da pošalje poruku osobi A. Ona to čini kroz svoj odlazeći tunel ciljajući dolazeći tunel osobe A. Čim poruka stigne do dolazne tačke tunela

osobe A, tj. do gateway-a u dolazećem tunelu osobe A, ona će biti proslijeđena kroz sve tačke istog tunela (kroz kompletan ruter). Osoba B nema nikakvih informacija o unutrašnjoj or-ganizaciji dolazećeg tunela osobe A. Može se desiti da osoba A ima i na desetine među-tačaka u okviru svog tunela, ali to osoba B neće znati. Slična procedura je i ukoliko osoba A želi poslati poruku osobi B.

Bitno je istaći da svaki tunel ima ograničenu sesiju na 10 minuta, nakon čega se aktivira nji-hovo automatsko uklanjanje. Dakle, potrebno je da svakih 10 minuta korisnik bira nove tačke, koje su raspoložive na mreži. Ova opcija kom-plikuje procedure analize saobraćaja, jer se radi o jako kratkom vremenu za koje bi »insider« mogao dobiti informacije o samoj mreži.

Još jedan od ključnih koncepata I2P mreže je i upotreba mrežne baze podataka netDB, koja predstavlja distribuiranu hash tabelu (DHT), zasnovanu na Kademlia protokolu. Ona sadrži posebnu bezbjednosnu opciju. Ključ koji se koristi za indeksirajne zapisa u netDB bazi izračunava se kao HASH(ID+date), gdje ID predstavlja ID zapisa, a date predstavlja datum upisa. Interesantno je to da se ključ indeksiranja mijenja svakodnevno. To znači da se u ponoć svakog dana mijenjaju svi ključevi i ponovo ob-javljuju na drugim lokacijama u bazi podataka. Na taj način se, u suštini, onemogućava tzv. lokalizovani Sybil napad (napad falsifikovanjem identiteta).

Slika 3: Ilustracioni primjer razmjene informacija koristeći I2P mrežu

23

Koje su prednosti I2P mreže?• Neke od karakteristika koje razlikuju I2P

od sličnih sistema su:

• I2P mreža je dizajnirana i prilagođena za skrivene servise, što omogućava znatno bržu komunikaciju;

• potpuno je distribuirana i samo-organi-zovana;

• peer-ovi se biraju kontinuiranom profi-lacijom i rangiranjem performansi, nasu-prot biranju zasnovanom na povjerenju;

• serverski direktorijumi su različiti i nesigurni, nasuprot već definisanim (kodiranim);

• okruženje je prilagodljivo peer-to-peer konekciji;

• implicitno transparentno balansiranje opterećenja je podijeljeno na više peer-ova;

• otpornost na nauspjeh korišćenjem više tunela u komunikaciji paralelno, uključujući i tzv. rotirajuće tunele;

• j e d n o s m j e r n i t u n e l i , n a s u p ro t dvosmjernih krugova;

• zaštita od otkrivanja klijentske aktivnos-ti, čak i ako je napadač participant u samom tunelu;

• kratkotrajnost tunela onemogućava monitoring od strane napadača;

• API-i u okviru I2P-a su dizajnirani poseb-no za anonimnost i sigurnost, dok je SOCKS dizajniran za funkcionalnost;

• svi peer-ovi učestvuju u rutiranju za druge;

• integrisan je automatski sistem za ažuriranje (update);

• u upotrebi su i TCP i UDP transporti;

• kompletan sistem je izrađen u programs-kom jeziku JAVA.

ZaključakSvjesni smo činjenice da se anonimnost na

mreži još uvijek ne može u potpunosti obezbi-jediti, ali je I2P svakako jedna od stepenica ka tom cilju. Nažalost, sve što je dobro ima i svoje loše strane, pa tako ova mreža može biti upotri-jebljena i u neke neregularne svrhe. Mišljenja sam da mogućnosti ove i sličnih mreža treba shvatati na krajnje pozitivan način i svojim participiranjem omogućiti njihov opstanak i dalji razvoj.

U radu sam pokušao da na što jednostavniji način predstavim osnovne informacije o I2P mreži, koje se tiču načina funkcionisanja i mogućnosti koje ona pruža. U svakom slučaju, na oficijelnoj web stranici I2P-a https://geti2p.net/en se može pronaći veliki broj dokumenata i tutorial-a koji detaljno opisuju sve funkcije ove mreže. Moja preporuka je da to i učinite. #

Izvori (Viđeno 10.3.2015. godine)

[1] DiMino, A., I2P... The *other* Anonymous Network,

[2] link: http://sempersecurus.blogspot.com/2011/06/i2pthe-other-anonymous-network_18.html

[3] I2P - Anonymity for the Masses, link: http://how-to.linuxcareer.com/i2p-anonymity-for-the-masses

[4] I2P on Anoncoin Wiki: https://wiki.anoncoin.net/I2P

[5] I2P on Wikipedia: http://en.wikipedia.org/wiki/I2P

[6] The official I2P website documentation: https://geti2p.net/en/docs

[7] Timpanaro, J. P., Isabelle, C., Olivier, F., Monitoring the I2P network, Research Report RR-7844, 2011

[8] link: https://hal.inria.fr/hal-00915618/document

[9] Zantout, B., Haraty, R., I2P Data Communication Sys-tem, 10th International Conference on Networks, 2011, link: http://www.thinkmind.org/download.php?articleid=icn_2011_19_10_10010

24


Početkom decembra 2014. godine, pot-predsjednik korporacije Microsoft Rajesh Jha, zadužen za Outlook i Office 365, objavio je na oficijelnom blogu Microsoft-a (The Official Micro-soft Blog) sljedeću vijest:

»I’m pleased to announce that Microsoft has acquired Acompli, provider of innovative mobile email apps for iOS and Android (Sa zadovoljstvom objavljujem da je Microsoft otkupio Acompli, prova-jdera inovativnih e-mail aplikacija za iOS i Android)« čime je otvorena nova stranica u bogatoj istoriji ovog informatičkog giganta.

Prema riječima izvršnog direktora Acompli-a Javiera Soltera, razvoj aplikacije je otpočeo

Slika: Izgled Outlook aplikacije za Android platforme

polovinom 2012. godine, sa ciljem da se napravi aplikacija koju će korisnici jednostavno voljeti i sa uživanjem upotrebljavati svakodnevno. U početku, na razvoju Acompli-a je radio mali tim stručnjaka, koji se vremenom širio. Zahvaljujući krajnje realnim kritikama prvih korisnika, za veoma kratak period uspjeli su da proizvedu rješenje koje će biti prilagodljivo krajnjim ko-risnicima različitih profila i koje će izazvati globalno oduševljenje.

Ubrzo nakon toga, otpočinju pregovori sa brojnim IT kompanijama koje dijele zajedničko mišljenje da dobri proizvodi moraju biti »voljeni od strane korisnika i imati povjerenje IT stručnjaka«. Tada počinju i pregovori sa

Acompli je sada novi Microsoft Outlook za iOS i Android mobilne platforme

Aleksandar M. Anđić, Univerzitet Donja Gorica, Podgorica, Crna Gora

25

kompanijom Microsoft, u cilju povezivanja njihovog sistema Office 365 sa aplikacijom, ujedno nastavljajući sa pružanjem podrške za file sisteme kao što su Dropbox, Google i Box.

Nakon otkupa aplikacije Acompli od strane Microsoft-a, ova aplikacija postaje novi Micro-soft Outlook za iOS i Android mobilne platforme.

U suštini, novi Outlook je zadržao kom-pletnu funkcionalnost prethodnika. Kako je i najavljeno, izvršene su brojne modifikacije i unaprijeđen rad aplikacije. Tako, u odnosu na izvornu Acompli aplikaciju, u novom Outlook-u postoji nova opcija konfigurisanja naloga, koji podržavaju IMAP sistem.

Takođe, u novoj aplikaciji su opcije za kon-figurisanje podijeljene u dvije grupe, Mail i Files, dok je u okviru grupe Files dodata i mogućnost korišćenja BOX file sistema.

Radi se o nastojanju kompanije Micro-soft da stvori aplikaciju koja će pomoći koris-nicima da imaju mogućnosti približne onim koje im pružaju aplikacije na desktop i laptop računarima.

Naime, korisnicima je omogućeno kon-figurisanje više korisničkih naloga kroz jednu aplikaciju. Omogućena je klasifikacija mail-ova kroz dvije grupe, Focused i Other. Na taj način u prvi plan, u okviru tab-a Focused, dolaze mail-ovi od najveće važnosti, dok se oni manje važni nalaze u tab-u Other. Dalje, omogućena je inte-gracija u OneDrive, Dropbox, Box i GoogleDrive file sisteme, što omogućava pristup i dijeljenje attachment-a sa bilo kojeg cloud naloga. Takođe, integracija kalendara i planera u e-mail sistem je jako značajna, jer sa jednog mjesta možete odgovarati na pozive za sastanke, kreirati pozive u tačno određeno vrijeme, slati svoju »dostupnost« i označavati različite datume, kako bi svoje slobodno vrijeme za sastanak uskladili sa vremenom primaoca.

Koliko je novi Outlook, zaista, bezbjedna aplikacija?

Prema informacijama koje daje Acompli, njihova aplikacija je sigurna sa više aspekata:

• štose tičesigurnosti korisničkih podata-ka, navode da se kompletan saobraćaj usmjerava preko TLS protokola uz korišćenje tzv. cetificate pinning za bezb-jedno uspostavljanje veze sa serverom. Prilikom komunikacije sa bilo kojim spoljnim serverom, kao što je Exchange server, podržavaju se samo oni sertifi-kati koji su potpisani od strane CA. Svi korisnički podaci su šifrovani koristeći jaku hardverski ubrzanu kriptografiju;

• štosetičesigurnosti korisničkih pristupnih podataka, navodi se da se oni javljaju u formi password-a za tipove servera kao što je Exchange ili OAuth tokena za druge servere, kao što je Gmail. Svi korisnički podaci su duplo šifrovani, koristeći serverski jedinstveni ključ po nalogu, a nakon toga i jedinstveni ključ klijentskog uređaja. Tako, korisnički podaci za pris-tup mogu biti prihvaćeni samo nakon spajanja ova dva ključa;

• što se tiče zadržavanja korisničkih po-dataka, ti podaci se čuvaju na serveru u šifrovanoj formi. Korisnicima je data mogućnsot da se opredijele da li će pri-likom uklanjanja aplikacije sa mobilnog uređaja ili uklanjanja naloga ukloniti sve svoje podatke sa telefona i servera;

• za sigurnost mobilnog uređaja, daje se prijedlog da se koristi alfa-numerički password sa najmanje 6 karaktera.

Međutim, nakon samo nekoliko dana od prvog pojavljivanja aplikacije Outlook na tržištu, brojni IT stručnjaci i korisnici su počeli

26


da iznose brojne nedostatke u sigurnosnom smislu.

U početku, otkrivena su tri glavna sigurn-osna nedostatka:

1. čak i ako kompanija koja koristi ovu ap-likaciju posjeduje svoje e-mail servere, podaci koji dolaze preko e-mail-a prvo »prolaze« kroz Microsoft-ove servere, gdje se kopiraju, indeksiraju i čuvaju za dalju upotrebu. Ovo je opisano kao opcija u Acomli-ovoj Privacy Policy koja omogućava znatno brži pristup podacima prilikom narednog pristupa;

2. pristupni korisnički podaci mogu biti sačuvani i dostupni Microsoft-u, jer ove podatke prikupljaju na osnovu prijava kroz aplikacije na mobilnim telefonima. Aplikacija takođe čuva i druge osjetljive podatke, kao što su kontakti i podaci iz kalendara-planera;

3. aplikacija omogućava »zaobilaženje« standardnih procedura zaštite, kao što su ograničavanje pristupa određenim tipo-vima datoteka ili dijeljenje povjerljivih podataka sa drugim licima izvan svoje ogranizacije. Korisnici ove procedure mogu zaobići koristeći ugrađene konek-tore ka OneDrive, Dropbox, GoogleDrive i drugim cloud servisima.

Ovo je bio dovoljan razlog za reakciju EU Parlamenta i određenog broja univerziteta, koji u komuniciranju putem e-mail-a koriste isključivo Outlook. Naime, EU Parlament, Delft Univerzitet u Holandiji i Univerzitet Wisconsin su ubrzo blokirali pristup Outlook-u, sa ciljem čuvanja tajnosti podataka koji se razmjenjuju u okviru svojih institucija. Nakon toga, brojne organizacije i drugi univerziteti koji koriste Outlook su uradili isto.

Šef razvoja u kompaniji Midpoints i istraživač kompanije IBM, Rene Winkelmeyer, je među prvima analizirao aplikaciju za iOS sistem i pronašao bitne nedostatke u sigurnosti, koje je na veoma kritičan način predstavio u svom blogu, napisanom 29. januara 2015. godine. Istakao je da samo omugućavanje konekcije ka OneDrive-u, Dropbox-u i Google Drive-u pred-stavlja »noćnu moru« za sigurnost podataka, jer korisnici mogu kreirati naloge, nezavisno od Outlook aplikacije i dijeliti međusobno attachment-e. Takođe, istakao je problem vezan za ActiveSync identifikaciju, jer ova aplikacija ne funkcioniše na taj način, pa se gubi mogućnost kontrole uređaja zbog toga što se ovako može desiti da dva ili više uređaja mogu imati isti Ac-tiveSync ID i na taj način se pojavljuju kao jedan uređaj. Ono što ga je najviše zabrinulo, tiče se toga što Microsoft čuva pristupne korisničke informacije u Cloud-u, kada koristite iOS Outlook aplikaciju.

Kao prvi odgovor na predočavanje ovih, složićete se, veoma ozbiljnih problema, Micro-soft je preko svog portparola dao SecurityWeek-u: »The privacy and security of our customers are important to us. The app’s privacy and security capabilities, along with the controls available to IT administrators, meet our established thresholds and we continuously work to ensure they meet our gold standard. If customers have concerns, they can follow the Controlling Device Access TechNet guidance to block the app and continue using the OWA for iPhone, iPad, and Android apps. (Privat-nost i sigurnost naših klijenata su bitni za nas. Privatnost i sigurnosne mogućnosti ove aplikacije, zajedno s kontrolama koje na raspolaganju IT administratorima su u skladu s našim utvrđenim pragovima i kontinuirano radimo kako bi se osiguralo ispunjavanje naših zlatnih standarda. Ako klijenti imaju probleme, oni mogu slijediti Controlling Device Access TechNet smjernice, kako

27

bi blokirali aplikaciju i nastavili koristiti OWA za iPhone, iPad i Android aplikaciju.)«

Polovinom februara 2015. godine, kom-panija Microsoft je plasirala Update, uzimajući u obzir kritike i komentare upućene za prvu verziju aplikacije. Na taj način je poboljšano sljedeće:

• dodata je opcija PIN Lock (nametnut pris-tup Exchange ActiveSync koristeći loz-inku; nametnutno zaključavanje ekrana),

• omogućeno brže brisanje podataka na daljinu,

• dodata je podrška za konfiguraciju na-loga koji podržavaju IMAP.

Uz to, zaključeno je da je u značajnoj mjeri potrebno raditi na daljem unaprijeđivanju sigurnosne politike, pa su dati i planovi za budućnost. Ovdje se, prije svega, misli na podršku za Microsoft Intune, prenos Outlook-ovog cloud servisa sa Amazon Web Service (AWS) na Microsoft Azure. Što se tiče poboljšanja usluga koje se tiču samih korisnika, planirana je lokalna sinhronizacija kontakata, unaprjeđenje lokalizacije za svih 30 podržanih jezika, kao i uklanjanje natpisa »Preview« iz naziva aplikacije za Android platforme. Takođe, radi se na sačinjavanju dokumentacije o samoj Outlook arhitekturi, sigurnosti i administra-tivnim kontrolama.

ZaključakNa samom kraju, želim dati svoje krat-

ko zapažanje. Nakon određenog vremena korišćenja nove Outlook aplikacije na Android platformi, mogu zaključiti da se radi o jednom, zaista, dobro osmišljenom konceptu. Svjestan sam da je funkcionalnost koju pruža ova ap-likacija još uvijek na niskom nivou u odnosu

na iskustvo korišćenja aplikacije na desktop računaru. Takođe, slažem se sa opravdanim kritikama koje se tiču unaprjeđenja sigurnosti korišćenja same aplikacije i privatnosti ličnih podataka. Međutim, želim i istaći da je ovo ipak najbolja e-mail mobilna aplikacija koju sam do sada upotrebljavao. #

Izvori (Viđeno 5.3.2015. godine):

[1] Acompli Official Website, www.acompli.com

[2] Bradley T., 5 reasons to love the new Outlook for iOS and Android, link: http://www.techrepublic.com/article/5-reasons-to-love-the-new-outlook-for-ios-and-android-apps

[3] Essers L., EU Parliament blocks Microsoft’s new Out-look apps over privacy concerns, link: http://www.pcworld.com/article/2881632/eu-parliament-blocks-new-outlook-apps-over-privacy-concerns.html

[4] Kovacs E., Researcher calls out Microsoft over Outlook for IOS security, link: http://www.securityweek.com/researcher-calls-out-microsoft-over-outlook-ios-security

[5] Newton C., The history of Microsoft’s new Out-look for iPhone app, link: http://www.theverge.com/2014/4/24/5645684/accompli-is-a-powerhouse-email-app-for-iphone-for-outlook-users

[6] Office 365 Team – PIN lock and other updates to Outlook for iOS and Android, link: http://blogs.office.com/2015/02/17/pin-lock-updates-outlook-ios-android

[7] Outlook Team – A deeper look at Outlook for iOS and Android, link: http://blogs.office.com/2015/01/29/deeper-look-outlook-ios-android

[8] Soltero J., Microsoft Acquires Acompli, link: https://www.acompli.com/blog

[9] Trent R., Microsoft works to fix security concerns in Outlook for iOS and Android, link: http://winsupersite.com/mobile/microsoft-works-fix-security-concerns-outlook-ios-and-android

[10] Winkelmeyer R., Warning – Microsofts Outlook app for iOS breaks your company security, link: https://blog.winkelmeyer.com/2015/01/warning-microsofts-outlook-app-for-ios-breaks-your-company-security

28


The term and the concept of »cloud com-puting« (hereafter, »cloud«) have permeated the world in a short time and with its practical use being deployed in many fields. The contents supplied by a cloud vary widely and are fluc-tuating partly because cloud has penetrated the world through ongoing development and diversification. Cloud can roughly be divided into the following business models:

1. A model where the business operator owns and operates its own data center and deploys the services of public cloud. It is common practice to sell services for a fee and carry it out as a business, but there is another model that provides a free service by combining with ads, or positioning itself with the intent of luring users to another service for a fee.

2. A model where the business operator lacks computing or communications equipment, but builds applications on PaaS or IaaS service provided by a third party, and supplies those functions as SaaS or PaaS

3. A model where a cloud foundation is pro-vided which is composed of component software and hardware, or any combina-tion of them. More specifically, servers, storage, network, and other hardware are combined to create a redundant configu-ration, on top of which the software that constitutes andcontrols virtual machines (called the hypervisor) is placed. Then, a virtual machine is formed on top of that hypervisor software. Then a control sys-tem is provided to function for integrated control of the system elements, provision-

ing (setting and assigning) of the virtual machine, fee management, operations monitoring and user interface provision-ing. These components are severally or collectively provided to a business entity who want to build a cloud environment.

4. A model where a cloud environment called the private cloud is built in a com-pany, with the cloud’s cale-out charac-teristics and the on-demand selfservice characteristics being used to introduce a mechanism for efficiently meeting the company’s IT demand, or for shifting the company’s IT demand to such a system.

Model 2 in particular involves lower re-quirement for capital to be prepared. It therefore has the effect of lowering the threshold of busi-ness development for people aiming to start up a business with venture likeideas and for exist-ing companies challenging new business devel-opment, and thus collects high expectations for the area to create new value. Moreover, growing numbers of large companies show attempts to shift from using the conventional IT to making use of the model 1 or 4, in order to reduce IT costs or realizing green IT. Many companies have successively entered the market, providing various services on diverse levels and resulting in the cloud services widely accepted. In con-nection with that development, public interest is focused on the security issues identical to cloud or newly developed in the use of cloud. Most arguments concerning cloud security have apparently been organized and documented in reports submitted by several establishments during the two years beginning 2009. The main topics are as follows:

Information Security of Cloud Computing

preuzeto sa: Global Cyber Security Center, Italy

29

1. National Institute of Standards and Technology (NIST) In 2009, NIST released a document entitled »The NIST Definition of Cloud Comput-ing« on cloud definitions and a document entitled »Effectively and Securely Using the Cloud Computing Paradigm« for con-sidering the case of cloud to be used by the US government, and proceeded with the study process while revising the both documents on an ongoing basis.

2. European Network and Information Security Agency (ENISA) In November 2009, ENISA published »Cloud Computing: Benefits, risks and recommendations for information secu-rity« and »Cloud Computing: Information Assurance Framework«. The first docu-ment evaluates and analyzes the security elements based on a risk assessment ap-proach to cloud. The second document gives items to be examined by SMEs (Small and Medium sized Enterprises) on the use of cloud.

3. Cloud Security Alliance (CSA) Based in the US, CSA is an international as-sociation active in the area of cloud secu-rity. This nonprofit company organized in November 2008 has affiliate members (14 collaborating associations), 80 company members, and 15,000 individual members (as of December 2010). CSA released »Secu-rity Guidance for Critical Areas of Focus in Cloud Computing« in April 2009. V2.1 was subsequently issued in December 2009.

4. University of California, Berkeley (UCB) As one of the core centers of developing computer technology, UCB released in February 2009 a report entitled »Above the Clouds: A Berkeley View of Cloud Computing«.

5. Gartner, Inc., US The world-level survey and analysis com-pany known for its proactive analyses and articles ahead of others, Gartner released in June 2008 a report entitled »Assessing the Security Risks of Cloud Computing«.

6. M i n i s t r y o f E c o n o m y, T r a d e and Industry (METI) METI launched a study group concerning the security of cloud in fiscal 2009 and, in its specifications to publicly solicit un-dertakers, gave organized listing of the security issues facing cloud.

7. IPA For nearly a year from March 2009, IPA operated the »Study Assembly for the Infrastructure of Cloud Computing Soci-ety,« where it conducted the hearings of views from researchers, knowledgeable persons and industrial representatives, case studies and questionnaire surveys, all of which were compiled into a report in March 2010. The security issues appeared in the report consisted of a categorized list of the threats of attacks from outside and a chart plotting the issues identified in the abovementioned reports being com-prehensively organized. The cart and an essential explanation was also reported in the »Information Security White Paper 2010«.

8. Fraunhofer Institute for Secure Information Technology (SIT) A leading German public research estab-lishment, the Fraunhofer Institute issued a report in February 2010 entitled »Cloud Computing Security − Protection Goals, Taxonomy, Market Review,« thereby sum-marizing security issues in reference to several prior reports. #

30


Projekat »avatar« predviđa mogućost da se iz virtuelnog prostora, gdje se simulacijama i modelovanjem svjetske situacije pronalaze najvjerovatniji scenariji za obezbjeđivanje američke globalne prevlasti, projekti prenesu u realan svijet. To znači da ta svjetska sila ima u rukama oruđe i oružje kojim može da kreira civi-lizacijsku budućnost cjelokupnog sveta. U tome je sprječava samo nesavršenost informatičke tehnologije, nedovoljno snažni kompjuteri i nepoznanice o ponašanju virtuelnog prostora. Čovjek još uvijek ne zna gdje je, gdje su granični spojevi svijeta materije i informacije. Međutim,

cilj je postavljen, treba postići sajber nadmoć kojom će se omogućiti da određene djelatnosti mogu da izađu iz virtuelnog prostora, da se materijalizuju u realnom svijetu u vidu destrukcije ili djelovanja na svijest, emocije i sveukupno ponašanje ljudi. U tom kontekstu monitoring koji se obavlja »prizmom« i drugim adekvatnim kompleksnim sistemima nadzora i obavještajnog prikupljanja informacija pred-stavlja povratni izvor nelinearnih informacija o preduzetim aktivnostima, čime ona postaje sastavni sklop haospleksičnog koncepta savre-menog ratovanja.

Prizma


31

Pojedini vojni teoretičari sajber ratovanje pokušavaju da stave u kategoriju ratova pete generacije, pri čemu se, kao oružje, podrazu-mijevaju kako kinetička, tako i nekinetička sredstva, koja mogu izazvati iste (destruktivne ili nekinetičke) efekte kod protivnika. Međutim, to je rat bez linije fronta i bez tradicionalnih oružanih snaga. Njegova osnovna karakteristika je asimetričnost dejstva i učešće nedržavnih aktera, koji svojom tehnološkom i naučnom premoći mogu da ostvare vojno-političko-ekonomske i druge interese.

U novijoj literaturi sajber ratovanje se stavlja u kontekst teorije haosa i kompleksnosti ili haospleksične pojave. Ovakvo tumačenje pre-vazilazi shvatanje sajber ratovanja kao oblika nelinearnih, naučno podržanih inteligentnih samoorganizovanih borbenih sistema, koji, na današnjem nivou znanja i tehnologije, u uslovi-ma ratnog haosa i kompleksnosti, još uvijek ne mogu u potpunosti objediniti ratovanje u svim dimenzijama (kosmos, vazduh, kopno, more, sajber prostor). Razlog je u tome što osnovni centralni resurs ratovanja, u svim dimenzijama, ostaje informacija. Ona nije samo kibernetički izraz evolucije nauke i tehnologije, već digitalni medijum u kojem je moguće sačuvati sve stečeno znanje, kreirati novo i provjeriti ga u realnosti. U tom kontekstu, totalni monitoring sveta, ne samo ljudske populacije već svih njegovih bitnih činilaca koji upravljaju ljudskim bistvovanjem i sviješću, pomoću programa »prizma«, i svih drugih analognih programa i projekata, a kojih ima veoma mnogo, pokušaj je da se shvati haos koji vlada u stvarnosti i prirodnom okruženju (posebno u borbenom prostoru), i da se pokuša njime upravljati.

Ova teorija vidi haos kao kompleksnu i veoma složenu prijetnju današnjem poretku, koju čovječanstvo mora izbjeći po svaku cenu. Prevazilaženje prijetnje haosa osnovni je uslov za uspostavljanje (mogućnosti) reda. Kroz sajber

prostor čovjek se odvaja od prirode kakvu zna-mo i ulazi u prirodu novog virtuelnog prostora, koji još ne poznaje. On želi da taj prostor kreira po uzoru na realni, odnosno da ga koristi kao resurs za svoj dalji život, za civilizacijski razvoj.

Kao što ukazuje ovaj tekst, »prizma« ima mnogo viši nivo primjene u koncepciji sajber ratovanja i mnogo veće domete u njego-vom tumačenju, teorijskom osmišljavanju i praktičnom korišćenju. Akademska i naučna javnost sa »prizmom« druguju godinama. Za razliku od političkog establišmenta, njihova aktivnost je usmjerena ka otkrivanju zakonitosti ponašanja sajber prostora, njihovog definisanja i praktične primjene. Politički establišment, na čelu sa tehnomenadžerskim slojem, nastoji da ta znanja kanališe radi ostvarivanja sopstvenih ili korporativnih ciljeva.

Moć »prizme« u kontekstu sajber ratovanja

Šta je program »prizma«i kako sagledavati njenu ulogu u odnosu na ciljeve i zahtjeve sajber ratovanja. Najpre treba imati u vidu da je »priz-ma« samo jedan od segmenata za efikasno sajber ratovanje. Prema stepenu aktivnosti,«prizma« danas predstavlja jedan od osnovnih oblika obavještajno-operativnog prikupljanja podataka za analizu i procjenu situacije (situacionu svest), kao i za druge aspekte »sveopšteg ratovanja bez pravila«. Prije svega, zbog »povoljnih« okolnosti da se, kao najznačajniji činilac globalne i nacio-nalne bezbjednosti posmatra baš mrežna sajber informaciono-komunikaciona tehnologija (ICT).

Osnova je, naravno, sadašnja integrisanost sajber prostora sa svakodnevnim čovjekovim aktivnostima. Sajber prostor postao je integralni dio života svakog pojedinca, a korisnici digi-talnih gadžeta danas se nazivaju i sajber gen-eracija ili mrežno-centrična populacija. On je in-

32


korporiran i sublimiran u sveukupno poslovanje i funkcionisanje privrednih, državnih (vladinih), odbrambenih i bezbjednosnih sistema.

Dakle, »prizma« preuzima čelnu ulogu od ostalih obavještajno-operativnih siste-ma zahvaljujući naprednim savremenim mogućnostima da se dostupnim i tehnologijama u razvoju može neprekidno nadzirati mreža, njeno funkcionisanje, topološke promjene, opšti i posebni informacioni i privatni sadržaji, funkcionisnje fizičkih sistema i instalacija podržanih ili zasnovanih na informatičkim i mrežnim tehnologijama. Zasniva se na moni-toringu »mrežno centrične populacije«,u okviru »MetroSense« projekta. Kao dio sistema u Nacio-nalnoj bezbiednosnoj agenciji (NSA . Nacional Security Agency), »prizma«, u stvari, sarađuje sa svim strukturama nacionalne bezbiednosne zajednice, a za svoje dielovanje angažuje veoma mnogo korporativnih institucija. Kao (interni) sistem pojavljuje se u strukturi »Zajedničkog globalnog komandnog i kontrolnog sistema« GCCS-J (Global Command & Control System – Joint). Posjeduje bazu podataka, završenu septembra 2013. godine u mjestu Blufdale, u državi Jutau koju se slivaju sve obavještajne in-formacije prikupljene putem ljudskih (HUMINT), tehničkih (TECHINT) i drugih obavještajno-osmatračko-izviđačko-operativnih sistema.

»Prizma« i mrežne operacije U američkoj vojnoj terminologiji mrežne

operacije (Network operations, NetOps) po-drazumijevaju okvir u kojem se sprovodi više operativnih procesa. Prvi je procena situacije SA (situaciona svest – Situation awareness), drugi proces obuhvata komandovanje i kontrolu C2 (Command & Control), odnosno sprovođenje direktiva i komandi od američke strateške ko-mande (USSTRATCOM), koordinaciju sa Minis-tarstvom odbrane i global NetOps zajednicom,

treći aspekt obuhvata odbranu globalne mreže GIG (Global Information Grid) i upravljanje in-formacijama, pri čemu se podrazumijevaju kako odbrambene tako i napadne (ofanzivne) sajber aktivnosti, dok je četvrti vid praćenje povratnih informacija (fidbek) o preduzetim aktivnostima. Osnovni zadatak tih i drugih djelatnosti je obezbjeđenje globalne informacione superi-ornosti SAD i gotovosti za odgovor u realnom vremenu. To podrazumijeva skup operativnih, organizacionih i tehničkih mogućnosti za rad i odbranu GIG. Dakle, »prizma« predstavlja jedan od sistema, tehnički, organizaciono i tehnološki razvijen za mrežne aktivnosti.

Međutim, nigdje u dostupnoj literaturi nije direktno navedeno mjesto sistema »prizma«, koji podrazumijeva totalni monitoring. Iz razli-čitih formulacija i korišćene terminologije može se shvatiti da je riječ o sistemu koji, za potrebe NSA i GCCSJ, prikuplja podatke iz mreže, koji se u okviru obavještajne zajednice, i na nivou Sajber komande, objedinjavaju, analiziraju i koriste u sajber aktivnostima. Takve djelatnosti podra-zumevaju mrežne operacije, zaštitu mreže ili mrežni napad itd., što se sve naziva sajber rato-vanje. Analogijom se može doći do zaključka da se prikupljeni podaci, na nivou obavještajne za-jednice, vrhovnog komandovanja i upravljanja cjelokupnim sistemom nacionalne bezbjednosti, koriste i za modelovanje situacije, simulaciju konkretnih zamisli i njihovu realizaciju. To se može zaključiti i iz strategijskog stava da se »sinergijom procesa za upravljanje mreže GEM (GIG Enterprise Management), njenim osiguran-jem GNA (GIG Net Assurance), i upravljanjem mrežnim sadržajima GCM (GIG Content Manage-ment) postiže fintegrisano obezbeđenje funk-cionisanja sistema«, što garantuje dostupnost mreže, zaštitu informacija i njihovo bezbjedno prenošenje. Pri tome, poznavanje situacije (situaciona svijest) predstavlja osnovu za sarad-nju svih struktura koje učestvuju u donošenju odluka koje se tiču sajber ratovanja. #

33

Sa sve većim razvojem tehnologije, računara i računarskih mreža, razvijaju se svakodnevno i nove metode napada na računarske sisteme. Svakodnevno se stvori na stotine novih virusa, trojanskih konja i sličnih malicioznih (tj. štetnih) programa, pa obezbjeđivanje sigurnosti rada nekog sistema danas postaje za IT stručnjake pravi izazov u moru malvera i svakodnevnih inovacija u tehnikama i metodama napada. U korist hakerima koji se trude da na najrazličitije načine naruše računarsku bezbijednost stoji i činjenica da Internet koristi veliki broj ljudi koji nije dovoljno informisan po pitanju prijetnji koje ih vrijebaju na mrežama i po pitanju zaštite od pokušaja napada.

Hakeri koriste razne tehnike i trikove da pronađu način za nedopušteni ulaz u računarski sistem. Mogu koristiti ovaj ulaz za ilegalne ili destruktivne svrhe, ili jednostavno mogu testi-rati vlastitu vještinu da vide jesu li sposobni da izvrše napad. Hakovanje može biti izazvano različitim pobudama – od profita, preko pro-testa, pa sve do izazova. Ostali motivi mogu biti psihološka potreba, želja za učenjem, znatiželja, osveta, eksperimentisanje, nepovjerenje u druge osobe, samodokazivanje, želja da nekoga pobijede ili zabava, do onih ozbiljnijih motiva tipa krađa informacija, identiteta, novčanih sredstava i sl.

Meta hakovanja može biti bilo kakav računarski uređaj, sistem ili program, a s obzi-rom na lokaciju, može biti ciljano na jedan računar fizičkim pristupom, mrežu računara fizičkim ili udaljenim pristupom ili pak na računar ili server kao nametuna Internetu

udaljenim pristupom. Fizičkim pristupom računaru hakovanjem se uglavnom razbija šifra radi obezbjeđivanja pristupa podacima koji se nalaze na njemu, dok je za skoro sve napade udaljenim pristupom (mrežne tj. Internet na-pade) potrebno proći nekoliko nivoa zaštite, od kojih ćemo pomenuti samo neke kao što su pristupne tačke, ruteri, fajervolovi, šifrovanja i slično. Iako su kod hakovanja računarske mreže ciljevi slični onima kod hakovanja jed-nog računara, zahvaljujući prirodi računarskih mreža, ciljevi hakovanja mogu biti i udaljena kontrola računara, kao i preuzimanje kontrole nad računarom ili serverom radi izmjene, bri-sanja ili dodavanja fajlova i foldera, kao i insta-lacije i izvršavanja malicioznih programa radi ujedinjenog napada na druge mete.

Sami napadi se sastoje obično od tri koraka:

1. Prikupljanja informacija o meti

2. analize ranjivosti mete

3. iskorišćavanja prikupljenih podataka za napad i postizanje ciljeva.

Napadi mogu biti izvedeni izuzetno jednostavnom tehnologijom (npr. lažno

Sajber napadi i zaštita

Jelena Ljucović, Univerzitet Mediteran, Podgorica, Crna Gora Srđan Jovanovski, Univerzitet Mediteran, Podgorica, Crna Gora

34


predstavljanje službenika kompanije u tele-fonskom razgovoru) ili korišćenjem visoke tehnologije (npr. prebacivanje adrese web sajta na drugi server). Spomenućemo neke od vrsta napada koje su najčešće na Internetu:

Napadi koji koriste ljudski kontakt (So-cial Engineering Attacks) – Ovi napadi imaju više oblika, a koriste ljudski kontakt kako bi im se, lažnim predstavljanjem, obmanama i prevarama, omogućio pristup ili otkrili pojedini podaci. Hakeri uspijevaju u ovoj vrsti napadima isključivo zahvaljujući neupućenosti korisnika o sajber napadima. Komuniciranje se može obav-ljati putem e-mail-a, chata ili telefona. Iz ove grupe su najprepoznatljivije dvije vrste napada: Phishing (pecanje) i HOAX (masovna obmana).

• Fišing je krađa ličnih podataka kao što su broj kreditne kartice, šifra, informacije bankovnog računa, broj socijalnog osigu-ranja itd. Obično se koristi imejl kako bi se korisnici usmjerili na lažni veb sajt gde se od njih traži otkrivanje ličnih infor-macija koje će se koristiti za krađu iden-titeta i pribavljanja imovinske koristi.

• Hoax ili masovna obmana je bilo kakva pre-vara koja ima za cilj lažno predstavljanje i obmanu ljudi, čiji se sadržaj najčešće na-lazi u poruci ili spamu (neželjenoj pošti). U informacionim tehnologijama, hoax predstavlja svaku poruku koja lažnim informacijama navodi korisnika da oda povjerljive podatke ili bez opravdanog razloga uradi neku destruktivnu radnju. Najpoznatiji oblici prevare traže od pri-maoca poruke da preko svog bankovnog računa prebaci manju svotu novca na neki drugi račun, dok mu se zauzvrat nudi značajna finansijska dobit. Korisnici, primamljeni bogatim provizijama često ostanu bez novca, dajući nepoznatoj stra-ni podatke o pristupu svojem računu ili nesvjesno sudjeluju u ilegalnoj novčanoj

transakciji. Među rjeđim oblicima hoaxa nalaze se lanci sreće i vijesti o lažnim vi-rusima. Prosječna prevara prepoznatljiva je po izrazito dramatičnom tonu i tekstu koji na senzacionalistički način govori o nekoj nevjerovatnoj pojavi. Obično se opravdava izjavom u samom tekstu u kojoj autor često upotrebljava izraze kao »znam da zvuči nevjerojatno« ili »začudit će vas ovo što vam pišem« kako bi zado-bio povjerenje korisnika. Krajnji korisnici trebaju pristupati ovakvim porukama na krajnje pažljiv način, pa ako imaju realan razlog da vjeruju da je poruka isti-nita, trebaju pokušati provjeriti identitet pošiljaoca poruke.

Primjer hoaxa (riječ o lažnom virusu) je:

Često se koriste i onlajn aukcije koje su naizgled legitimne, međutim nude se proizvodi koje prodavac ne posjeduje, a kada dobije novac nestaje sa njim. Takođe postoje prevare sa plaćanjem unaprijed. Zato se savjetuje uvijek prije slanja neke novčane pomoći, odavanja ličnih podataka i sl. provjeriti izvor i istinitost, a online kupovine raditi samo preko provjerenih sajtova.

Ovu poruku Vam šalje osnivač Mi-crosofta želeći vas upozoriti: svijetom vrijeba novi virus (zove se Miaxao) koji briše 99% datoteka s diska i one-sposobljava antivirusne programe. Miaxao je porijeklom iz Kine, autor mu je nepoznat, kao ni datum nastanka. Do sada je, prema novijim podacima, napao 38 mil. računala u cijelom svijetu, i to uglavnom u Evropi, SAD-u i Kanadi. Molimo Vas, proslijedite poruku svojim prijateljima i poznanicima koji vjero-jatno ne znaju za virus.

35

Napadi imitiranjem – Dok se napad koji koristi kontakt među ljudima bavi prevarom ljudi, napad imitiranjem bavi se prevarom kompjutera. Do ove vrste napada dolazi kada napadač ukrade prava pristupa od autorizova-nog korisnika. Napadač tada može da podesi svoj kompjuter da imitira drugi, autorizovani kompjuter, i dobije pristup inače zatvorenim sistemima. Sigurnosni sistem prepoznaje napadača kao korisnika čija je lozinka ukradena, tako da se ovaj, nakon što počini štetu, može bez bojazni odjaviti.

Za otkrivanje korisničkih imena i lozinki najčešće se koriste tzv. snifer programi. Sniferi (sniffers - njuškala) osluškuju saobraćaj na mreži i ispituju šta se tačno kreće mrežom. Oni ne samo da nadgledaju saobraćaj već i preuzimaju nešifrovane komunikacije (npr. lozinke poslate u obliku običnog teksta). Na primjer, korisnici koji šalju informacije neobezbijeđenim web sajtovi-ma podložni su snifer krađama (obezbijeđeni web sajtovi uglavnom sprečavaju snifere). Korisnicima mreže se preporučuje opreznost prilikom surfovanja internetom i ostavljanja ličnih podataka na neprovjerenim sajtovima.

Napadi uskraćivanja usluga (Denial-of-service) – Denail-of-service (DoS) napad je or-ganizovan tako da ometa ili potpuno obustavlja normalno funkcionisanje web sajta, servera ili drugih mrežnih resursa. Postoje različiti načini kojima hakeri ovo postižu. Jedan od uobičajenih načina je jednostavno preplavljivanje ser-vera slanjem prevelikog broja zahtjeva. To će onemogućiti normalno funkcionisanje servera (i web strane će se otvarati mnogo sporije), a u nekim slučajevima može dovesti i do potpunog obaranja servera (prouzrokujući tako pad svih web sajtova na serveru).Sa tehničkog aspekta, postoje razne mogućnosti odbrane, od jed-nostavnih, na primjer privremenog blokiranja čitavog saobraćaja iz određene zemlje ili sa određenog bloka IP adresa, preko naprednih i

dobro konfigurisanih IDS (eng. Intrusion De-tection System) sistema koji mogu pomoći u sprečavanju napada i detekciji napadača, pa do (prilično skupih) hardverskih rješenja kao što je TippingPoint.

Otmica kompjutera (Session Hijacking) – Ova vrsta napada ne ugražava kompjuter koji napadač uspije da daljisnki kontroliše, već ga zapravo koristi da bi se napao drugi kompjuter. Osvojeni računar se najčešće koristi prilikom DoS napada, ali može se iskoristiti za sprovođenje nekog drugog oblika napada preko Interneta. Služi za izvršavanje napadačevih ko-mandi i skrivanje njegovog stvarnog identiteta. Većina ovih napada postiže se instalacijom prim-ljenog fajla (npr. fajla poslatog putem e-maila), najčešće Trojanca, pa je potrebno paziti šta se downloaduje sa mreže i imati jake antivirusne programe koji će se redovno ažurirati novim informacijama.

Pored pomenutih vrsta napada, u na-pade preko Interneta možemo ubrojiti i slanje neželjenih e-mail poruka (spam-ova), kao i upade sa Weba tipa iskačućih reklama (pop-ups) i nepoželjnih oglasa.

Rizik od napada smanjuje se korišćenjem jakih lozinki , korišćenjem šifrovanja, isključivanjem Windows opcije file sharing, ažuriranjem programa i operativnog sistema uz pomoć najnovijih bezbjednosnih zakrpa, instaliranjem zaštitne barijere (engl. firewall), pravljenjem rezervnih kopija najvažnijih po-dataka i dr. Nijedna mreža ili računarski sistem, ma kako obezbijeđen, nije u potpunosti siguran, ali što je više truda potrebno da uloži potenci-jalni napadač da bi ugrozio metu, to je sigurn-ost veća. Zato je ključ za odbranuopreznost i stvaranje što više prepreka potencijalnom napadaču. #

36


The cyberspace, which based on extensive computer networks, has become one of the key elements of modern society. The rise of new ser-vices has brought new threats, such as someone spoofing SNS users or shortening URLs to lead SNS users to malicious websites. In the field of information equipment, the markets for such new equipment as smartphones and digital televisions that use the Internet have been ex-panding worldwide. There have also been signs of expanding services that enable users to use the Internet from information equipment other than personal computers.

The providers of these new services should not only improve the services but also take substantial measures for information security and certainly give users necessary information about those security measures. As a prerequisite for the advanced usage of information technol-ogy, users should understand all given infor-mation and determine the risk of the services being offered.

Today’s motley cybercrime economy is by no means unfamiliar grounds to those tasked with defending their organizations from its many nefarious devices. Cybercriminals con-gregate in underground forums and darknets globally, peddling everything a would-be cy-bercriminal could need, from identities and ex-ploits to Web injections or a place to hide a botnet.

However, while many odd things are bought and sold in the dark enclaves of the Internet, it’s not often that one encounters the more comprehensive breed of toolsets for mali-cious purposes. One such discovery was recently

made by the IBM Security Trusteer Researchers, who uncovered a new Android malware-spread-ing kit offered for sale in the Russian-speaking cybercrime community.

The vendor of the kit dubbed it »MazelTov« – only unlike the real term, which means »good fortune« in Hebrew, the effects of this botnet-building toolkit are exactly the opposite, at least for the victims. MazelTov is a toolkit – dubbed an »APK Download System« by its creator – that is designed to help cybercriminals upload and spread mobile malware to Android-based user devices, granting them control and providing them with statistics on their infection cam-paign’s success. The kit includes every possible commodity cybercriminals need on their quest to upload malware to third-party Android ap-plication markets and spread it from there to unsuspecting users.

Mobile malware, and the botnets formed by them, are not new per se, but the level of elabo-rated facilitation in toolkits such as MazelTov is rare. These types of turnkey, crime-friendly services put new capabilities into the hands of every cybercrime newcomer and help seasoned criminals branch out from their PC-based activi-ties to harvesting mobile fraud.

In an interesting post discovered by the IBM Security Trusteer Researchers, MazelTov’s kit vendor starts off by pointing out to peers that »the Android traffic and malware instal-lations market is growing rapidly. There are new and interesting ways to monetize Android installations.«

The past two years have introduced mobile platforms to a plethora of malicious applications

Mazel Tov android malware


37

created for illicit financial gain. This was all made possible by compromising user devices, leverag-ing that foothold for launching malicious apps and ultimately turning that into money. From adware, spyware and click fraud to automating covert premium SMS or phone calls, stealing two-factor authentication codes or the almighty remote root access, six out of 10 mobile malware detections are related to programs capable of stealing users’ money.

Let’s take a look at what the MazelTov tool-kit offers and how it facilitates launching Android malware infection campaigns. For $3,000 or the bitcoin equialent, the customer will receive the following:

• Registered developer accounts for the three leading Android markets (varying vendor’s choices);

• Two ready-to-use registered domains;

• A landing page template that can be used as a download site or drive-by download point;

• A filtration and redirection system for An-droid devices made to filter out automated bots and unwanted guests (a cloaking of sorts);

• A recommended method to increase in-fection rates through social engineering;

• A Traffic Distribution System (TDS) to add bot filtering and ensure the fraudster’s website only receives unique visitors per desired geolocations, providing detailed statistics per time frame and per country and an ability to control different streams if one loads more than one unique APK at a time;

• One month of paid Virtual Private Server (VPS) rental to be used for hosting the server side of the malware application;

• Another VPS for hosting the landing pages, with a domain attached to it, and

DOGAĐAJI

MECOMediterranean Conference on Embedded Computing

June 14-18, 2015 Budva, Montenegro

http://embeddedcomputing.me/en/meco

INFOFESThttp://www.infofest.com/en/

Information Tehnology - IT 2016http://www.it.ac.me/eng/

38


a website ready for a traffic distribution add-on;

• A fully verified, ready-to-use fraudulent online wallet account for fraudsters to remain anonymous while paying to keep their apps running in the mobile market of their choice;

• A user manual and consulting services on how to operate the toolkit in order to obtain immediate results (hence the infected Android devices);

• Bonus access to a 24/7 automatic Web-Money exchange to the fraudster’s cur-rency of choice.

Simply put, the MazelTov offering is an effective means to turning a piece of malware into an active infection campaign. Those using it can choose the type of malicious app to spread, but judging by the statistics, they will go after banking customers. Nearly half of all Android malware apps can steal money. Of those, 66 percent steal online banking transaction tokens, and the rest grab online banking credentials and credit card data, according to Kaspersky Lab.

As for the Android-based device users such services ultimately target, this progres-sion is concerning because it directly affects their financial accounts and phone bills. The

IMPRESUM

Onlajn časopis »Sajber bezjednosne instrukcije za sve«

God. 1, br. 1, maj 2015.

Izdaje: Centar za edukaciju u oblasti sajber bezbjednosti u Crnoj Gori MCEC

web: http://imtm.me/mcec.php

e-mail: [email protected]

Glavni urednik: Ivana Ognjanović, Univerzitet Mediteran, Crna Gora

Uređivački odbor:

Ramo Šendelj, Univerzitet Donja Gorica, Crna Gora

Marko Holbl, Univerzitet u Mariboru, Slovenija

Massimo Cappelli, Global Cyber Security Center, Italy

Indrachapa Bandara, Buckinghamshire New University, UK

Marko Kaaramees, Tallinn University of Technology, Estonia

significant and rapid move to mobile devices for banking, payments and shopping has turned smartphones into the new hot spot for malware-enabled fraud. That’s exactly where cybercrimi-nals focus their efforts and offerings nowadays.

The migration of cybercriminals from PCs to mobile has resulted in financial attacks against Android users more than tripling in 2014 and malware infecting as many Android devices as Windows laptops that same year. The outlook for 2015 calls for more of the same.

With these statistics and forecasts, fi-nancial institutions that offer mobile banking and mobile payment to customers – as well as e-tailers and organizations whose business growth relies on mobile apps – should address this increased risk by hardening their applica-tions from within.

The advent of a highly instrumental of-fering such as MazelTov in the cybercriminal underground is an escalation that contributes to the prevalence of massively spread mobile malware and the risks that arise from it. The IBM Security Trusteer researchers continue to follow underground discussions and keep read-ers up-to-date on trends that affect the security of technology we use in everyday life. #

Date post:	31-Jan-2017
Category:	Documents
Upload:	dangkhuong
View:	243 times
Download:	1 times

Sajber bezjednosne instrukcije za sve

Documents