Boško Rodić Goran Đorđević
DA LI STE SIGURNI DA STE BEZBEDNI
dr Boško Rodić mr Goran Đorđević Lektor Ljiljana Čolović
PROLOG Nakon dužeg niza godina ''posta'' i neobjavljivanja knjiga iz oblasti bezbednosti informacionih sistema (IS), na našem jeziku, ova knjiga treba da premosti taj jaz i istovremeno obradi problem osnova bezbednosti IS u novom ambijentu obeleženom masovnom upotrebom računara sa nekada neslućenim mogućnostima u memorijskim kapacitetima, brzini i komforu rada, računarskim mrežama, nesagledivom gamom softvera, bazama podataka, kao i nesagledivim količinama podataka u njima. Zašto su važne ''osnove''? Zato što upuštanje u sofisticirane aspekte bezbednosti IS može da ima za posledicu neaktuelnosti i/ili nedorečenosti i/ili kratkotrajnosti. Samo ''osnove'' mogu da budu trajne, uvek aktuelne i dorečene. Dobre osnove, kao temelj, daju garancije za dobru (novu) nadgradnju. Osnove su važne i zbog toga jer bi svako šire upuštanje u materiju, koja je ovde obrađena, odvela nas do u – beskonačnost. Namera i autora i izdavača jeste da ubuduće obezbede izdanja koja bi, šire, posebno obrađivala određene faktore bezbednosti IS. Svesni smo da smo samo otkrili vrh ledenog brega. Ova knjiga je posvećena širokom krugu čitalaca, pre svega menadžmentu u poslovnim sistemima, korisnicima informacionih sistema, izvršiocima u informacionim sistemima (projektantima, programerima, administratorima, operaterima) pa i specijalistima koji se bave opštom bezbednošću poslovnih pa i informacionih sistema. Posle ove knjige, zbog složenosti pojedinih oblasti (faktora) zaštite informacionih sistema, sledi edicija knjiga o svakom faktoru posebno. Podrazumeva se da će i ova kao i druge posebne knjige vremenom trpeti promene u skladu sa evolucijom u realnom sistemu i svakako u skladu sa novim saznanjima autora. Problem bezbednosti IS je širok, multidisciplinaran, što je jedna karakteristika ove knjige. Ograničen prostor otvara mogućnosti za površnost i uopštavanje. Druga karakteristika je veća posvećenost čoveku kao osnovnom činiocu bezbednosti, čemu je, čini se, u drugim izdanjima malo pažnje pridavano. Konačno, treća karakteristika je orijentacija knjige na njenu praktičnu primenu. Zbog toga je, možda, najvrednija i najvažnija Glava 9. ''Verifikacija bezbednosti informacionog sistema'', gde se verifikuje, proverava bezbednost informacionog sistema, i što je još važnije, vrši se funkcija prevencije u skupu mera zaštite IS. Odmah na početku, moramo da se saglasimo oko stava da apsolutne bezbednosti (IS) nema. Ona postoji samo za one sisteme koji ne postoje, tada rasprava o ovom pitanju postaje besmislena. Prema tome, cilj sistema bezbednosti treba da bude postojanje visokoraspoloživih odnosno visokopouzdanih informacionih sistema (IS). Međutim, već sama reč raspoloživost upućuje i na visoku performantnost IS. S jedne strane, najveću bezbednost ima onaj sistem koji ništa ne radi (oborene su mu performanse), ako i ne radi, on nije apsolutno bezbedan, jer je izložen (nasilnim) promenama od spolja. S druge strane, sistem bezbednosti košta, i to ponekad nepredvidivo mnogo. Otuda se u trouglu bezbednost, raspoloživost i cena sistema kreće i njegova efikasnost. Ova knjiga ne daje sve konačne odgovore, to ne može niko. Ali, ako ste postali zabrinuti i sumnjičavi, ali ne i paranoidni, to je već uspeh! 1
Knjiga ima (izuzev bibliografije i zaključka) devet glava. Na početku se otvara problem bezbednosti IS kroz značaj informacije, informacionih i posebno automatizovanih informacionih sistema. Preko klasifikacije mogućih načina ugrožavanja informacionih sistema gradi se sistem bezbednosti IS i, konačno, taj se sistem na kraju verifikuje. Posebno je na temelju iskustava Ratne mornarice SAD obrađena, u Glavi 7, bezbednost na Internetu. Većina sadržaja iz ove knjige su osnova za predavanja na poslediplomskim i specijalističkim studijama na Fakultetu za poslovnu informatiku u Beogradu iz oblasti ''Bezbednost informacionih sistema i elektronskog poslovanja'' Glavu 6. i tačku 5.9. napisao je Goran Đorđević, a ostalo Boško Rodić. Zahvaljujemo svima koji su doprineli kvalitetu ove knjige a posebno izdavaču što je imao smelosti da sarađuje na ovom delu. Autori
2
1.BEZBEDNOST, POJAM Osnovni sadržaji ove knjige jesu bezbednost, sigurnost i zaštita, (posebno) informacionih sistema. U kontekstu dobre komunikologije, razdvajanja termina prema sadržajima pojmova koje predstavljaju, neophodno je na početku definisati te pojmove. To pitanje je, pre svega, lingvističko-semantičko-pravnog, ali i tehnološkog karaktera. Naime, u svakodnevnom životu stručnjaci ta tri termina često koriste "ruku pod ruku" smatrajući ih sinonimima, iako je njihovo značenje različito. U suštini, oni imaju istu konvergentnost krajnjeg cilja da garantuju nedegradirano funkcionisanje sistema.1 Bezbednost (engl. security, rus. безопасность, nem. sicherheit) je stanje sistema u odnosu na okolinu ali i na samog sebe. Bezbednost [Pra70] (javna) je stanje u kome su isključeni protivpravni akti, naročito oni uz upotrebu fizičke sile... ili ukoliko ovakvi akti i postoje, oni su vrlo retki i protiv njih se preduzimaju energične efikasne sankcije. Nasuprot ovome (javne, u originalu), bezbednosti nema gde su ovakvi akti česti, odnosno gde se oni ne sankcionišu. Takođe, bezbednost u odnosu na suštinu i stvarno značenje može se definisati kao stanje, organizacija i funkcija. Bezbednost kao stanje obično predstavlja zaštićenost nekog dobra, vrednosti, tekovine, društva. Prema [Mat76], bezbednost je stanje onog koji je bezbedan, onog što je bezbedno. Takođe, bezbedan je onaj koji je osiguran od opasnosti, zaštićen. Sigurnost, prema [Mat76], je stanje, osobina onoga koji je siguran, onoga što je sigurno, u kome nekome ili nečemu ne preti opasnost, odsutnost opasnosti, bezbednost. Prema tome, u kontekstu stanja sistema prihvatimo da sigurnost ima isto značenje kao i bezbednost. Zaključujemo da se, s jedne strane, govori o sinonimima. U zapadnoj varijanti srpskohrvatskog jezika, sada hrvatskog jezika, reč sigurnost upravo označava bezbednost u smislu: javna sigurnost (bezbednost), državna sigurnost (bezbednost). Osim toga, engl. – reliable, dependable, trustworthy, rus. – siguran − верный, надежный, достоверный, nem. – sigurnost − gewi'sheit − izvesnost. Prema tome, sigurnost u kontekstu na primer gewi'sheit − izvesnost(i). "Siguran sam, izvesno je da sam siguran (bezbedan)", može da se tumači kao stav, ubeđenje. Prilog sigurno, prema [Mat76], značio bi sa najvećim pouzdanjem, stalno bez prekida, čvrsto, odlučno, bez kolebanja itd. Zaštita – engl. protection (ali i odbrana), rus. – защита, оборона, охрана, nem. – abwehr (ali i schutz) – odbrana, zaštita. Zaštita (bilja u originalu) [Pra70] sastoji se u preduzimanju mera za sprečavanje. Zaštita, prema [Mat76], zaklanjanje od neprijatnosti, teškoća i opasnosti, čuvanje, uzimanje u odbranu, odbrana, organizacija za odbranu. Prema tome, zaštita je skup mera (postupaka) koje imaju za cilj određeni (viši) nivo bezbednosti. Bezbednost se ostvaruje zaštitnim (zaštitom) merama: preventivnim i represivnim (sanacionim) merama, ili, sistem je (više ili manje) bezbedan u zavisnosti od primene zaštitnih mera. Bezbedan sistem (je uslov) "osigurava" siguran sistem. Dovodeći u 1
IS sa mainframe računarima dostižu "četiri devetke" ili "pet devetki" efektivnog rada: 99,99 ili 99,999%. Ovo znači 5 do 53 minuta ''oborenog'' sistema godišnje. IBM-ov Server Group tvrdi da je predviđeno vreme između kritičnih grešaka (MTBCF – Mean Time Betveen Critical Failure) za njihov System/390 mainframe – prosečno vreme između grešaka koje prinude sistem na reboot i učitavanje inicijalnih programa 20 do 30 godina.
3
(funkcionalnu) zavisnost ova dva pojma, otvorili smo široko polje zaštita-bezbednost koji treba da garantuju sigurno (pouzdano) funkcionisanje sistema. Prema tome, bezbednost – b je u funkcionalnoj zavisnosti od zaštite – z.
b = f (z ) (i). Ali, kako zaštita zavisi od intenziteta – i, ili kvaliteta – k, ili raznovrsnosti (zaštitnih) – r mera, sledi da je bezbednost funkcija: b = f (i ( z ) + k ( z ) + r ( z ))
(ii).
Atributi zaštite (i, k i r) su u konjunktivnoj vezi. Logičan zaključak bi bio da će sistem imati viši bezbednosni nivo ako je veća unija atributa zaštite, odnosno što je konzistentnija zaštita. Često se za ovakve slučajeve kaže da je zaštita "jaka" koliko je "jaka" najslabija karika u lancu zaštite.
4
2. BEZBEDNOST IS U vezi sa pojmom informacije postoji više definicija. Prema [Vin73] informacija postoji između čoveka i čoveka, čoveka i mašine, mašine i čoveka, ali i između mašine i mašine. Prema Georgu Klausu (Kibernetika i filosofija, 1963), informacija postoji samo u relaciji čovek–čovek, ljudi su tvorci i nosioci informacija. Ipak, kibernetski pristup (Vinerov) širi je i prihvatljiviji pa bi informacija bila slanje, prenošenje i primanje podataka ili opštenje pomoću znakova između čoveka i čoveka, čoveka i mašine, mašine i čoveka i mašine i mašine. U širem smislu, može se prihvatiti da je informacija svaki uticaj bilo kog sistema S1 na bilo koji drugi sistem S2.
2.1. Informacija – pojam U literaturi, u vezi sa informacijom, mogu se naći još i sledeće definicije: — informacija je opis jednog svojstva koje određeni entitet poseduje u nekom trenutku ili vremenskom periodu — informacija je novost koja povećava znanje – inkrement povećanja znanja — informacija je verovatnoća da se sistem nalazi u nekom od mogućih stanja i — informacija je i obaveštenje, smanjenje neizvesnosti, ali i sadržaj i značenje poruke. Informacija o ishodu eksperimenta sasvim poništava, anulira, neizvesnost – entropiju. Ona je kvantitativno jednaka entropiji kojom je sistem bio okarakterisan pre dolaska informacije. Stoga se nekad informacija naziva negentropija (Claude Shannon, 1949). Mora se, takođe, imati u vidu da je ključni koncept savremenog društva upravljanje znanjem. Nisu više ni roba ni rad osnovni ekonomski resursi već je to znanje, a u osnovi znanja je informacija. Značaj informacionog sistema za poslovni sistem objasnićemo na primeru ciklusa upravljanja. Neka je Tr – kritično vreme koje stoji na raspolaganju menadžmentu posle koga realizovani ciklus upravljanja gubi smisao (sa moguće teškim posledicama što zavisi od konkretne situacije). I neka je Tu – ukupno vreme trajanja ciklusa upravljanja. Tu = Tpr + Tpren + Tprij + Tobr + Tk, gde su: — Tpr – vreme neophodno za predaju informacije. Prilikom predaje informacije može da bude više procesa, na primer: konverzija informacije sa jednog medija (papir) na drugi (električni, svetlosni, radio, TV, signal), konverzija signala iz digitalnog u analogni, konverzija signala iz jednog kodnog sistema (EBCIDIC) u (ASCII), kriptovanje signala itd. — Tpren – vreme potrebno za prenos. Ono zavisi od propusne moći (kvaliteta) spojnog puta — Tprij – vreme potrebno za prijem signala. Analogno predaji na prijemu se sprovode odgovarajući (suprotni) procesi
5
— Tobr – vreme potrebno za obradu. Obrada može biti ''ručna'', automatizovana i automatska sa ili bez mogućnosti sugerisanja rešenja (odluke) i — Tk – vreme potrebno za realizaciju procene i donošenje odluke. Ako je Tr vreme koje stoji na raspolaganju menadžmentu da donese odluku onda je dobar onaj IS kod koga je: Tr – Tu = ∆T > > 0 gde je ''> >'' – mnogo veće. Prema tome, skraćivanjem vremena Tpr, Tpren, Tprij i Tobr pa i Tk, menadžment će iskoristiti raspoloživo vreme Tr i, ako Tu bude dovoljno kratko, menadžment se dovodi u poziciju, pre svega, informacione superiornosti – raspolaže informacijom pre konkurencije, a raspolaže i ''viškom'' vremena za druge aktivnosti. Prethodna formula nameće potrebu za automatizacijom u upravljanju – procesu donošenja odluke. Cilj upravljačkog podsistema jeste realizacija upravljačkih funkcija. Da bi se upravljačke funkcije realizovale, pre svega, donele kvalifikovane (kvalitetne) odluke, upravljačkom podsistemu neophodne su kvalitetne informacije koje obezbeđuje informacioni podsistem poslovnog sistema, odnosno poslovni informacioni sistem (PIS) ili BIS – Business Information System. Prema tome, cilj PIS-a jeste da povezuje upravljačke i izvršne funkcije tako što formirane informacije na osnovu poslovnih podataka stavlja na raspolaganje upravljačkom podsistemu. Značaj informacija i informisanosti u savremenim uslovima života i rada do te mere je narastao da se ona (informacija) smatra ključnim resursom u svim sferama ljudske delatnosti. Ljudski i materijalni resursi, sami po sebi, ne znače ništa, u smislu uticaja na poslovne sisteme, bez informacija o njima. S druge strane, menadžmenti svih nivoa ne bi mogli donositi nikakve odluke bez informacija potrebnim za upravljanje. Ili, te odluke koje se ne bi bazirale na informacijama mogle bi biti pogubne za poslovni sistem. To što neki društveni sistemi (države) informaciji pridaju značaj do fetišizma, te čak i u teoriju o ratu – oružanoj borbi, uvode i nove pojmove (termine), kao što je informacioni rat (naročito informaciono-ekonomski rat), samo po sebi, ne mora da nas primorava da ih sledimo. Međutim, suština stvari jeste da informacija, shvaćena kao znanje ili kao obaveštenost, ne postoji sama po sebi i ne može da se podrazumeva. Za nju se treba boriti, nju treba braniti! Stoga, jedan od ključnih činilaca u odbrani informacija, jeste i informacija o informaciji. Naime, ako je oružje sredstvo u rukama ljudi, po kome se prepoznaje rat i razlikuje od drugih društvenih pojava, informacija (posebno kao znanje) može biti mnogo jače oružje od oružja samog. Istorijski posmatrano, to je mnogo puta dokazano.
6
2.2. Informacije i poslovni sistem Godine 1815, dve hiljade američkih i britanskih vojnika poubijalo se međusobno u bici kod Nju Orleansa, jer vest o mirovnom sporazumu potpisanom dve nedelje ranije u Briselu nije do njih stigla na vreme [Tof 98]. ''Živeti delotvorno znači biti uvek dobro informisan. Stoga, komunikacije i upravljanje pripadaju biti čovekovog unutrašnjeg života, kao što pripadaju i njegovom životu u društvu.'' [Vin73] Biti dobro informisan znači raspolagati kvalitetnom informacijom, a ovakva informacija dovodi poslovni sistem u poziciju informacione superiornosti u odnosu na konkurenciju. Upravljanje u poslovnim sistemima vrši se na osnovu stečenih informacija o potrebama i mogućnostima ostvarenja nekog cilja poslovnog sistema. Drugim rečima, upravljanje je pretvaranje informacija u odluke. Upravljanje je istovremeno obezbeđivanje uslova za sprovođenje odluka. Na ovom mestu uočavamo potrebu poslovnog sistema za uspostavljanjem sistema za obezbeđenje (kvalitetnih) informacija. Taj sistem se naziva informacioni sistem. Očiglednost značaja informacionog za poslovni sistem leži u njegovom presudnom značaju za poslovni sistem. Da nema informacionog, ne bi bilo ni poslovnog sistema. Razmena informacija unutar poslovnog sistema i poslovnog sistema i okoline jeste uslov njegovog opstanka. Ponderišući, na bilo koji način, resurse (kadrovi, materijalna sredstva – sredstva za rad i predmeti rada, uslovno finansije, prostor i vreme) može da se zaključi da je informacija iznad svih ostalih resursa po značaju za poslovni sistem. Informacioni sistem je neophodan da obezbedi sve relevantne informacije za odlučivanje u svakoj situaciji i svakom trenutku. Nisu samo jednostavni pragmatični razlozi postojanja IS u poslovnom sistemu. IS poslovnom sistemu treba da obezbedi kvalitetne informacije, pre svega tačne i blagovremene (ažurne). Čuvena rečenica ''Ubiti, (ne), poštedeti'', prevedena na polje ekonomije – povezana sa zlatnim bankarskim pravilom: Proveriti, (ne), isplatiti, na najbolji način ilustruje značaj ova dva atributa informacije. Prema tome, IS je presudan u obezbeđenju tačnih (verodostojnih) i blagovremenih informacija za korisnike (poslovni sistem). Međutim, kvalitetne informacije, koje obezbeđuje IS, imaju još i neke druge atribute. Verodostojnost (tačnost). Osobina bez koje informacija i nije prava informacija, a može da se pretvori i u dezinformaciju. Tačnost informacije mogli bismo definisati kao adekvatan izraz stvarnosti koja je predmet informisanja. Međutim, tačnost nije apsolutni, nego relativni izraz stvarnosti, tako da se može govoriti o većem ili manjem stepenu tačnosti, odnosno manjem ili većem stepenu verovatnoće i aproksimativnosti – približne tačnosti. Na relaciji između tih vrednosti, u praksi je negde dopustiv veći, a drugde manji stepen tačnosti informacija. Veći stepen tačnosti informacija biva neposrednom podlogom za donošenje bliskih odluka, odmah izvodljivih, s trenutnom ili kraćom važnošću. I obratno, manji stepen tačnosti dopustiv je u slučajevima zbirnih (agregiranih) informacija koje postaju podlogom za donošenje odluka s dugoročnom važnošću, gde je u toku njihove realizacije moguća korekcija. Proizlazi da 7
je veći stepen tačnosti potrebniji kod taktičkih i operativnih odluka nego kod strateških. Veći je stepen tačnosti potreban u odnosu na podatke sa žiro računa, o stanju kupaca i slično, nego kad se govori o planiranom prihodu, dohotku i drugim elementima, na primer, petogodišnjeg plana itd. Blagovremenost. Aktuelna informacija je došla na vreme korisniku i upravo time se i aktuelizuje. Vreme koje je proteklo od aktuelnog događaja do korisnikovog saznanja o njemu mora da bude što kraće. Aktuelnost. Suština aktuelnosti jeste u skraćivanju vremena od događaja do njegovog saznanja, čime informacija dobija veći stepen važnosti. S obzirom na to da je život sve dinamičniji, promene sve brže i raznolike, to je aktuelizovanje informacije sve neophodnije. To omogućava brže reagovanje na sve elemente i procese poslovanja, pa tako i na njegovu ekonomičnost, a kroz to i ekonomičnost informacija. Za aktuelnost se povezuje i blagovremenost, ali nije s njome istovetna, već je to komplementarna osobina informacija. Pouzdanost informacija u sociološkom i tehničkom smislu, odnosno sprečavanje njihovog iskrivljivanja, traži uspostavljanje odgovarajuće kontrole informacija. U tu svrhu u sistem se ugrađuju određeni kontrolni aparati, bilo neposredno u samim računarima (hardware) ili u samim programima elektronske obrade podataka (software). A i samu organizaciju informacionog sistema moguće je tako postaviti da u sebi uključuje sposobnost otklanjanja eventualnih grešaka. Relevantnost. Informacija je značajna za korisnika i ona ne sadrži nepotrebne činjenice. Potpunost. Sve relevantne činjenice sadržane su u informaciji. Neprekidnost. Informacije treba da pristižu neprekidno i da prate sve nastale promene stanja. Jasnoća. Forma informacije treba da bude jasna, nedvosmislena, razumljiva primaocu. Sažetost. Ovaj zahtev je delimično u suprotnosti sa zahtevom potpunosti, ali u njihovoj ravnoteži leži veština dobrog informisanja. Fleksibilnost. Fleksibilnost informacija i mogućnost njihovog generalizovanja ogleda se u sposobnosti da se udovolji novim informacionim zahtevima. Da bi se to postiglo, treba da postoji mogućnost generalizacije uređaja i programa elektronske obrade podataka. To opet pretpostavlja ugrađivanje dodatnih uređaja i novih, specijalizovanih programa. Objektivnost. U mnogim informacijama ne doznajemo samo stvarno stanje, nego stanje kakvo bi pošiljalac želeo da bude (ili bar određenu deformaciju u tom pravcu), ili stanje za koje pošiljalac pretpostavlja da će biti po volji primaoca. U vezi sa ovim atributom proverava se izvor informacija. Objektivnost je u direktnoj vezi sa tačnošću. ''Ergonomski'' u skladu sa ciljem. Informacija formom i sadržajem može da izaziva prijatne ili neprijatne osećaje kod primaoca. U skladu sa ciljem koji se želi postići kod
8
primaoca, prilagođava se sadržaj i/ili forma informacije. Štaviše, jezik svojom onomatopeičnošću, boje ili zvukovi mogu sami po sebi da izazivaju kod primaoca (animalne ili atavističke) prijatne ili neprijatne osećaje. U posledenje vreme izuzetna pažnja poklanja se ovom aspektu informacije. Čak su razvijene i nove delatnosti, na primer odnosi sa javnošću, sa ciljem da se bave ovim fenomenom. Takozvani Public Relations (PR) menadžeri brinu o tome da se informacije o proizvodu, firmi koju predstavljaju, političkoj grupaciji koju zastupaju, prezentuju na što prijemčiviji način: ''lepa reč i gvozdena vrata otvara''. Tajnost. Informacija kojoj nije zagarantovana tajnost može prouzrokovati više štete nego koristi, jer i pošiljaoca i primaoca može dovesti u vrlo tešku situaciju ako za njih sazna konkurencija, odnosno protivnik. Uspešnost poslovnog sistema direktno zavisi od kvalitetnih informacija o drugim resursima. Osim toga, ukoliko ne bi bilo dovoljno znanja (više ili manje (ne)sređenih informacija) o načinu upotrebe ostalih resursa, sistem bi u krajnjem ''patio'' od entropije i ne bi bio svrsishodan. Kvalitetne (blagovremene, tačne, relevantne, sažete, jednostavne itd) informacije obezbeđuju se i poboljšavaju kroz informacione sisteme (IS) sredstvima informatičke tehnologije (IT). Degradacija IT degradira i kvalitet informacija, te se otuda degradira i IS pa i poslovni sistem.
2.3. Značaj bezbednosti za informacioni sistem Bezbednost informacionog sistema još je značanija ako se ima u vidu njihova primena u specijalnim (organizacionim) sistemima. To su organizacioni sistemi koji su posebno značajni za državu, visokozahtevni u odnosu na pouzdanost funkcionisanja i (podrazumeva se) kritični sa bezbednosnog aspekta. To mogu da budu čak i VIP (Very Important Persons), kao što su vojska, policija, uošte uzev svi subjekti odbrane i bezbednosti države, centralna nacionalna banka, pošta, posebno telekomunikacioni sistem, vodovod, veliki privredni sistemi – elektroprivreda, naročito nuklearne elektrane, svi saobraćajni sistemi, kontrola leta i slično. Značaj IS za obezbeđenje informacija kao strategijskog resursa organizacionih sistema potencira bezbednost kao egzistencijalni atribut IS. S obzirom na potrebu da IS koriste specijalne institucije, njihova otvorenost preko javne računarske mreže još više potencira bezbednosni atribut IS. Valja naglasiti da je bezbednost u direktnoj srazmeri sa značajem objekta ZO i njegove otvorenosti i izloženosti OO. Prema tome, potrebna bezbednost objekta BO u relativnoj meri 0 ÷ 10 bila bi izražena kao funkcija: BO = (ZO ∗ OO)/100. ZO i OO su u rasponu od 0 do 10. Podrazumeva se da teoretski (pa i praktično) postoje granični slučajevi beznačajnih i veoma značajnih objekata, odnosno veoma zatvorenih (neizloženih) do potpuno otvorenih (izloženih) objekata. U okviru međunarodne saradnje u koju svakako ulazi i informatička sfera [Rod01a], podrazumeva se, pre svega, zaštita nacionalnih interesa. To je opravdano i zbog unutrašnjih 9
socijalno-političkih i ekonomskih procesa koji se odvijaju u našoj državi. U tom smislu, dobar je primer ''Doktrina informacione bezbednosti Ruske Federacije'', koju je potpisao predsednik Ruske Federacije Vladimir Putin. Ova doktrina se povezuje sa ''Okinavskom deklaracijom'' donetom 22. jula 2000. godine, na ostrvu Okinavi u Japanu, na sastanku najviših predstavnika grupe ''7+1''. U Deklaraciji se ističe da je informaciono (informatičko)2-komunikaciona tehnologija postala jedan od najvažnijih faktora u razvoju današnjeg društva. Istovremeno, globalna kompjuterizacija, pored brojnih pozitivnih posledica, iznedrila je i problem bezbednosti infomacionih sistema. Tretman ovog problema [Rod01b] u Rusiji prošao je svojevrsnu (tešku) evoluciju. U početku je bio osporavan, pre svega, zbog ''elementarnog nepoznavanja'' problema. U državnim organima problem je razmatran prvi put još 1997. godine. Projekat ozakonjenja problema bezbednosti IS zaokružen je ukazom predsednika Ruske Federacije broj 24. od 10. januara 2000. godine. U Deklaraciji, u osnovi, tretiraju se četiri (pojedostavljeno tumačene, prim. aut) oblasti: — poštovanje konstitutivnih prava i sloboda čoveka u oblasti IS — informaciono (informatičko) obezbeđenje državne politike Ruske Federacije u komunikaciji sa spoljnim svetom, takođe i obezbeđenje građana dostupnim državnim informatičkim resursima i — nacionalni interesi u razvoju savremene informatičke tehnologije, koje su osnova za zaštitu informacionih (informatičkih) resursa od neovlašćenog pristupa, osnova za opštu bezbednost IS, kako otvorenih tako i usko lociranih samo na teritoriji RF. U okviru Saveta bezbednosti Ruske Federacije postoji Odeljenje za upravljanje informacionom bezbednošću. Čuvena DISA (Defense Information Systems Agency) – ogranak NSA, zadužena je za pomoć u komandovanju, upravljanju (kontroli), komunikacijama i u informacionim sistemima predsedniku i potpredsedniku SAD, ministru odbrane i najvišim vojnim komandantima, odeljenjima Ministarstva odbrane (MO) u svim mirnodopskim i ratnim uslovima. DISA je formirana još 12. maja 1960. godine kao agencija za ''odbranu'' komunikacija − Defense Communications Agency (DCA). Tokom šezdesetih godina nadležnosti DCA su se širile i van vojnih komunikacionih sistema. Od 25. juna 1991. godine DCA je ''redizajnirana'' u Agenciju za odbranu informacionih sistema Defense Information Systems Agency (DISA). Konačno, februara 2003. godine, predsednik SAD Džordž Buš potpisuje Nacionalnu strategiju bezbednosti ''sajberspejsa'' (National Strategy to Secure Cyberspace), kojom se stvaraju okviri za zaštitu informatičke infrastrukture esencijalno važne za ekonomiju, bezbednost i uopšte život. Saveznim Zakonom o zaštiti podataka (Bundesdatenschutsgesets) još iz 1972. godine u Saveznoj Republici Nemačkoj bile su definisane obaveze nadležnih u vezi sa bezbednošću IS. Između ostalog, Zakonom je bila definisana obaveza da u sistematizaciju izvršilaca u IS bude ''ugrađena'' dužnost referenta za bezbednost koji bi ''pokrivao'' ovu oblast u IS. Na
2
Primedba autora: zbog doslednosti opredeljujem se za pridev ''informatički''. Naime ovaj tekst se odnosi na informatiku, otuda – informatički.
10
osnovu te obaveze u Nemačkoj, osamdesetih godina na poslovima referenata bezbednosti u IS radilo je između 7 i 10 hiljada ljudi. Navedeni primeri ilustruju koliko se, kako i na kom nivou pridaje značaj bezbednosti IS. Tačno, i na vreme prenesene (spomenute) informacije: ''Ubiti (,)ne(,) poštedeti'', ili ''Isplatiti (,)ne(,) proveriti'', mogu da odluče o životu ili smrti pojedinca ili, na primer banke. Ovakvi i slični primeri treba da determinišu bezbednost IS u našoj državi. Značaj pitanja bezbednosti IS može da se ilustruje "životnim trouglom" informacionog sistema: hardver, softver i bezbednost. Ukoliko izostane ijedna od ovih tačaka, kao tačke u ravni, sistem će da padne. Značaj bezbednosti IS raste sa njihovom involviranosti u (skoro) sve sfere ljudskog života, privredu, zdravstvo, nauku, državnu upravu... Za sada, recimo kao civilni namenski kritični sistemi, mogu se označiti oni koji upravljaju telefonskim centralama, energetskim sistemima (nuklearne centrale) i drugim javnim službama, mreže za prenos finansijskih transakcija i nacionalni sistemi bezbednosti, na primer računarska mreža koja upravlja rashladnim sistemom velikog računskog centra i slično. S druge strane, suočeni smo s problemom prevazilaženja tendencija rukovodstva da se ignoriše osetljivost na mehanizme koji ugrožavaju integritet IS. Do ovoga dolazi iz razloga nepoznavanja značaja računara u obradi podataka jednog preduzeća, čak i konfuzije u nerazlikovanju softvera i hardvera i površnog posmatranja svog računarskog sistema, naročito ako uz to idu arogancija i obest. Često rukovodioci i ne znaju šta radi njihov IS. Oni čak mogu i da izbegavaju komuniciranje sa osobljem koje radi u IS bojeći se (zbog sujete) da se otkrije njihovo neznanje, ili smatraju da je osoblje koje radi u IS suviše nisko u "plemenskoj" hijerarhiji da bi zaslužilo "pažnju" uprave. Visoka cena i na kratku stazu neisplativost zaštitnih mera, predstavljaju samo neke uzroke nedovoljnog tretmana bezbednosti u IS. Naime, bezbednost ima svoju cenu, na primer ako neki priznati i opšteprihvaćeni operativni sistemi moraju biti iznova napisani (dopisani), da bi se minimizirali bezbednosni propusti. Međutim, ako je opasnost dovoljno velika, sredstva utrošena na zaštitu, pogotovo namenskih kritičnih nacionalnih sistema, ne izgledaju tako velika. Čvrste bezbednosne mere mogu otežati primenu nekih novih postupaka u globalnoj mreži, na primer praksa razmene softvera preko mreže. U ovom slučaju može se desiti čak i druga krajnost, politički ponekad i sporna. Postoji mogućnost pojave "velikog brata", totalne kontrole, uvođenje policijske države, koja je jedna od najužasnijih oblika ugrožavanja ljudskih sloboda. Kliper čip je dokaz da postoji elektronski nadzor u IS. Podizanje nivoa bezbednosti posle događaja koji je izazvao štetu, ili post festum, odnosno razmišljanje u smislu "zatvaranje štale nakon što je konj ukraden", može predstavljati samoubistvo u savremenom kompjuterizovanom društvu. Jedan od razloga što se kasni u primeni računarske bezbednosti jeste i taj da incidenti sa neovlašćenim prodorima nisu do sada bili suviše "nasilni".
11
Otuda zaštita IS liči na mučenika koji se našao u Prokrustovoj postelji, pa je ona ili nedovoljna ili je preterana. Ne postoji univerzalno pravilo koje bi jednoznačno propisivalo efikasne i ekonomične bezbednosne mere u oblasti IS. Izbor bezbednosnih mera zavisi od mnogih faktora, kao što su: 1. Opšti atributi IS: — osobine lokacije IS (geografske, urbanističke, arhitektonske i građevinske) — grana delatnosti korisnika IS (proizvodnja, bankarstvo, javna uprava, nauka i obrazovanje, uslužne delatnosti i sl) — veličina organizacije i njena organizaciona struktura — složenost opreme i postupaka u IS — karakteristike krajnjih korisnika i — karakteristike podataka. 2. Posebni atributi IS: — karakteristike izvora saobraćaja i načini njegovog procesiranja (A/D konverzija signala, kompresija, formatizacije) — komunikacioni protokoli svih slojeva OSI referentnog modela izuzimajući protokole sedmog sloja (aplikativni sloj) — sistemi prenosa, multipleksiranje i komutacije — mrežni operativni sistemi i — terminal/računari, odnosno radne stanice i druga računarska oprema. 3. Posebni atributi specijalnog IS: — topologija mreže, ako IS radi u mrežnom ambijentu — mobilnost korisnika — širina propusnog opsega komunikacionog kanala — stepen grešaka — vreme prenosa podataka — vreme obrade podataka — stabilnost telekomunikacione infrastrukture — organizacija upravljanja (centralizovano, lokalno) i — u ratu, vrsta borbenih dejstava. Sigurno je da se opasnosti, kao i težina pripadajućih posledica, menjaju od slučaja do slučaja, kao i od vremena do vremena, budući da se i okolnosti vremenom menjaju kao u žilvernovskoj, skoro mrtvoj, "trci" topa i oklopa. Zbog toga se ne može govoriti o nekom univerzalnom receptu za postizanje referentnog nivoa bezbednosti IS. Ne postoje dva IS koji bi bili identični na bezbednost ili koji bi raspolagali identičnim sredstvima za ostvarenje tih zahteva. U svakom IS prema tome, razviće se specifičan program zaštitnih mera. Ipak, nepostojanje univerzalnog ili standardnog rešenja za postizanje visokog bezbednosnog nivoa IS ima i svoju dobru stranu: ono otežava eventualne zlonamerene pokušaje namernog ugrožavanja IS.
12
Ma koliko zaštitne mere bile različite, ipak se mogu utvrditi osnovne faze važne za određivanje tih mera u svakoj IS: 1. Identifikacija rizika: utvrđivanje, kakvim se sve opasnostima izlaže IS i njegovi resursi (šta se sve može desiti) 2. Određivanje verovatnoće nastupa štetnog događaja, kao i procene mogućih posledica 3. Koje sve zaštitne mere stoje na raspolaganju, koje od tih raspoloživih mera su ostvarljive, pod kojim uslovima, koje će se mere izabrati, šta učiniti da se ne desi nijedan štetan događaj identifikovan u fazi 1. Konačno, i realizacija tih mera 4. Izrada alternativnih bezbednosnih postupaka, šta učiniti ako se desi neki štetni događaj iz faze 1 5. Trajno praćenje, provera i po potrebi revidiranje svih, prethodno navedenih, postupaka. Za informacioni sistem, bezbednost bi bila stanje koje obezbeđuje:3 — poverljivost — integritet — raspoloživost — pouzdanost — neporecivost informacija, odnosno podataka i — proverenost. Poverljivost. Stanje sistema u kome informacija nije na raspolaganju drugima ili pružena onima koji nisu ovlašćeni da je prime. Informacija u ovom slučaju uključuje kako onu koja može da se izvuče iz podataka (informacija je protumačeni podatak) koji se prenose, tako i onu koja može da bude zaključena posmatranjem saobraćaja. Integritet. Stanje sistema u kome podaci nisu izmenjeni ili uništeni na neovlašćeni način. Prema [IBM85], ovaj atribut znači stanje sistema u kom je moguće pravovremeno reagovanje i ponovno osposobljavanje sistema prilikom nastupa štetnog događaja. Raspoloživost. Stanje sistema u kome podacima i drugim resursima može da se pristupa i da se koriste kada je to neophodno. Pouzdanost. Sposobnost komponente, uređaja ili sistema da obavlja svoju zadatu funkciju u određenim uslovima eksploatacije i da zadržava svoje parametre (osobine) u datim tolerancijama. Neporecivost. Stanje sistema takvo da strane u transakciji ne mogu naknadno da poriču učestvovanje u svim ili delovima transakcije. Proverenost [IBM85]. Kao atibut bezbednosti IS je stanje u kom je omogućena provera rada IS i svih njegovih komponenti u svrhu pravovremenog otkrivanja eventualne povrede njegove bezbednosti.
3
Prema ISO IEC 17799, bezbednost (sigurnost) informacije tretira se kao čuvanje: integriteta, raspoloživosti i poverljivosti.
13
2.4. Pretnje i svest o postojanju pretnji, informatički rat Izuzetno je teško znati koje i kakve pretnje stvarno stoje pred IS i još je teže znati u kom će se pravcu kretati razvoj takvih pretnji.4 U odnosu na stvarne svakodnevne pretnje, informatičko ratovanje (IR) nije naročito impresivno.5 Većinu, na primer, računarskih kriminalnih radnji izvršili su ljudi zaposleni u nekoj organizaciji i unutar te organizacije. Spoljne računarske kriminalne radnje su u porastu, ali to nisu sistematični napadi (pojedinaca ili manjih grupa), već su najverovatnije zlonamerne slučajne aktivnosti ili čak posledica znatiželje pojedinaca. Da li relativno benigna prošlost znači relativno benignu budućnost? Kada su, recimo, SAD imale jednog velikog protivnika, niko nije mogao sa sigurnošću da tvrdi da činjenica što nije bilo nuklearenih udara znači da je nuklearna pretnja prošlost. Sada su SAD suočene ne sa jednim ''zmajem'' (protivnikom) koji zadržava svoj dah do pravog trenutka, već sa mnoštvom ''zmija'' koje imaju svoje sopstvene motive i programe rada. Zbog toga pitanje zašto se nešto krupno nije već desilo zaslužuje odgovor. Odgovor je: ako neko već nije nešto uradio, šta nas čini sigurnim da bilo ko neće nešto uraditi. SAD su, za razliku od Evrope, smatrale sebe imunom na konvencionalne oblike terorizma. Posle napada na Svetski trgovinski centar, takva ideja je nestala. Postoje mišljenja da su pretnje stranih faktora, na primer, informatičkim sistemima u SAD, indikacija iste vrste kao što su i nasleđeni sistemi. ''Izgleda da su Rusija i Kina vrlo zainteresovane za računarsko (informatičko) ratovanje'' (Libicky), bar se tako čini prema indikacijama u njihovim publikovanim člancima. Takav stav ima smisla: ako neko želi da naudi svetskoj supersili i ako su informacioni sistemi jedan od kamena temeljaca koji tu supersilu čine takvom, tada imaju takvi napadi smisla. Ovim se želi istaći da su informatički inferiorni više zainteresovani za mogućnosti fabrikovanja i puštanja destruktivnih virusa nego da svakodnevno pokušavaju da prodru u računarske sisteme suparnika. Objašnjenje ovakvog ponašanja može da bude u inferiornosti. Ovakve države nemaju mnogo otvorenih računarskih mreža na kojima se mogu simulirati i uvežbavati upadi u mreže. S druge strane, virusi se mogu testirati na jednom jedinom računaru. Da li će i drugi biti zainteresovani za računarsko ratovanje? SAD su, recimo, u "trendu" i IR je subjekat koji je "u trendu". Osim toga, SAD su najrazvijenija zemlja na svetu u proizvodnji i primeni informatičke tehnologije i lako se usmeravaju u odnosu na nove pretnje, i to brže u odnosu na druge zemlje koje ih sve teže sustižu, posebno one zemlje u kojima nema dovoljno informatičke opreme i kojima nedostaje intuitivni osećaj za mesto 4
M. Libicky, 06.04.2002. godine. Problem se dodatno komplikuje, posebno sa uticajem anglosaksonske terminologije, preplitanjem termina rat i ratovanje, WAR – rat i WARFARE – rat ali i vođenje rata, ratovanje. Pod terminom rat, [Gru81], podrazumeva se "kompleksan, intenzivan i masovan sukob... Osnovni sadržaj je oružana borba, ali se rat ne svodi samo na nju, već uključuje i druge oblike borbe (političku, ekonomsku, psihološku, moralnu) što ga čini totalnim sukobom". Podsetimo se, prema istom izvoru: "Psihološki rat – skup organizovanih postupaka koje jedna ili više država (obično potencijalni agresori) preduzimaju prema stanovništvu i oružanim snagama (OS) druge države, kako bi se uticalo na svest, mišljenje, shvatanje, osećanja i ponašanja ljudi u miru i ratu". Prema [Sza94], "ratovanje je skup svih borbenih i neborbenih aktivnosti koje se preduzimaju da bi se potčinila suprotstavljena volja protivnika ili oponenta. Ratovanje, u ovom smislu, nije sinonim za rat. Ratovanje ne zahteva objavu rata, niti zahteva postojanje uslova koji se u najširem smislu posmatraju kao "stanje rata". Cilj ratovanja nije uvek da se protivnik ubije, već da se potčini. Protivnik je potčinjen kada se ponaša na način koji je koincidentan načinu na koji – agresor ili napadnuta strana – želi da se on ponaša". 5
14
računara u modernom svetu. Hakeri postoje u svim zemljama, čak i u najsiromašnijim, ali bez široke svesti o neophodnosti primene računara u svim oblastima života i rada iz samog vrha vlasti, resursi koji su potrebni da bi se iškolovali brojni hakeri, kao i mudrost da se takav pristup stavi na listu ozbiljnih opcija napada, malo je verovatan. Većina protivnika SAD je u oblastima gde su (informacioni) sistemi retki. Takođe, čitav svet postaje međusobno ožičen (umrežen). Ako je IR popularna tema u Ministarstvu Odbrane (MO) SAD, onda odnos koji MO ima prema IR čini da je svuda u svetu IR popularna (ozbiljna) tema. Tendencije u pretnjama (niskog) inteziteta, kao što su kriminal ili terorizam, teže je proceniti. Uopšteno govoreći, preduzeća vode računa o kriminalnim aktivnostima i reaguju u svim oblastima sa vrlo malim zakašnjenjem pa je teško očekivati da računarski kriminal izuzetno poraste u narednom periodu. U najgorem slučaju može se očekivati blagi porast. Što se tiče terorizma, bez obzira na motive, on će se pre koristiti nasilnim sredstvima a ne modernim računarskim postupcima. Velika je razlika između terorističke grupe koja saopšti da je izvršila očigledan teroristički akt (na primer bomba u automobilu) i iste grupe koja saopšti da je “oborila” telefonski sistem u nekom gradu, jer ovo drugo jednako može biti i posledica normalnog kvara ili ljudska greška, ili propust u projektovanju ili rezultat protivničke aktivnosti. Druga strana pokušaja da se skrene pažnja na promenjene pretnje jeste da se proceni da li će ljudi početi da se odnose prema računarskoj bezbednosti ozbiljnije ili ne. Očigledno je da su te dve stvari povezane: što je veća pretnja, verovatnije je da će ljudi bezbednost shvatiti ozbiljnije: ako nema pretnje, manje će reagovati. Koje indikatore treba još uzeti u obzir? Jedan od indikatora može biti i to kako je čovečanstvo reagovalo na problem Y2K. Pretpostavimo da je problem onoliko ozbiljan koliko se misli, da su mnogi vlasnici (računarskih) sistema reagovali kasno ili neadekvatno, ili da uopšte nisu reagovali, da su nastale štetne posledice i da su sudovima podneti prvi tužbeni zahtevi. Šta bi to sve prouzrokovalo? Da li će se vlasnici (računarskih) sistema smatrati odgovornim za štete koje su nanete korisnicima zbog neodgovarajućeg i nepotpunog softvera? Koji će sada biti standardi za pažljivost vlasnika? Da li će korisnici naučiti da budu oprezni sa proizvodima koje im računar daje? Najzad, da li će ljudi imati isti stav i na nesposobnost vlasnika (računarskih) sistema koji ne uspevaju da drže neželjene posetioce (hakere) van svojih sistema kao na probleme koji su nastali u neophodnoj tranziciji iz 1999. u 2000. godinu? Na formiranje stava će presudno uticati nepredviđeni događaji. Na primer, ako zbog zemljotresa dođe do pada (računarskih) sistema u svim institucijama koje nisu izvršile blagovremeno skladištenje potrebnih podataka u svojim mrežama. Da li će, kao posledica, ljudi onda više pažnje posvećivati redundansi i blagovremenom skladištenju? Bilo koji publikovani primeri padova (računarskih) sistema će, takođe, verovatno probuditi svest o neprirodnim rizicima. Suština oružanog sukoba, kroz istoriju, ne pokazuje tendenciju značajnijeg menjanja. On i dalje predstavlja dinamički sukob različitih želja i praćen je ljudskim žrtvama, materijalnim razaranjima, terorom i ljudskim patnjama. U savremenom svetu, uzrok oružanog sukoba može biti i rastuća pretnja ugrožavanja glavnih državnih informacionih sistema, radi sabotiranja privrednih tokova u konkretnoj zemlji.
15
3. KLASIFIKACIJA NAPADA NA IS Već je u poglavlju 2. navedeno: "Ma koliko bezbednosne mere bile različite ipak se mogu utvrditi osnovne faze važne za određivanje tih mera u svakom IS: 1. Identifikacija rizika: utvrđivanje, kakvim se sve opasnostima izlaže IS i njeni resursi (šta se sve može desiti) i 2. Određivanje verovatnoće nastupa štetnog događaja kao, i procene mogućih posledica". Ovo bi bili početni koraci u razvoju bezbednosnog sistema IS.
3.1. Cilj formiranja klasifikacije napada na informacione sisteme Informacioni sistem se obezbeđuje sa ciljem da se resursi IS zaštite od mogućih prolaznih ili trajnih oštećenja, uništenja ili bilo kakvih štetnih događaja, koji bi mogli ugroziti rad IS. Cilj obezbeđenja IS je i sprečavanje neovlašćenog slučajnog ili namernog pristupa, promene i/ili uništenja informacija, koje ulaze ili su ''uskladištene'', ili su "izlaz" iz IS. Svako oštećenje IS, promenu6 i/ili uništenje informacija u IS nazvaćemo degradacijom7 IS. Degradacija IS ima za posledicu eroziju atributa bezbednog IS iz tačke 2.3, a posebno (dajemo u nešto izmenjenoj strukturi): 1. Raspoloživosti; za IS se podrazumeva verovatnoća, da će on u skladu sa projektovanim performansama izvršavati: — određene funkcije — u određenom vremenu i — pod određenim uslovima. 2. Pouzdanosti; IS je sposoban da obavlja zadatu funkciju i da zadržava svoje parametre (osobine) u datim tolerancijama čak i u redukovanim uslovima svog okruženja. Pouzdanost uključuje i ove sposobnosti: — sposobnost nastavljanja radom nakon što neke komponente sistema ispadnu iz rada — sposobnost održavanja integriteta informacija. IS mora da radi kako je planirano, a informacije koje se nalaze u IS moraju biti tačne — u IS postoje rezervne komponente i/ili putevi. Pod ovim aspektom se podrazumeva i sposobnost blagovremenog reagovanja i ponovnog uspostavljanja IS (backup) u slučaju da nastupi neki štetni događaj — sposobnost uočavanja ispadanja neke komponente u procesu rada; IS mora da omogući nadzor nad dostupom do sistemskih resursa (hardver, softver, podaci) i sprečavanja pristupa do njih i — sposobnost reorganizacije u modifikovani sistem onih elemenata, koji su još u dobrom stanju. Prema [IBM85], može da se analizira izveštaj National Computing Center-a iz Velike Britanije. Uzroci štetnih događaja koji su bili uzrok degradacije rada računskih centara bili su sledeći: 6 Promena informacije ne mora imati (samo) štetnu posledicu. U ovom slučaju to je promena informacije koja će informaciju (podatak) dovesti u nesaglasnost sa stvarnošću. Dakle, to je lažna (netačna) informacija (podatak). 7 Degradacija [Vuj80] je "svođenje na niže stanje razvoja, svođenje na nivo manje sposoban za pretvaranje'' (u originalu degradacija energije).
16
Red. br. 1. 2. 3. 4. 5. 6. 7. 8. 9.
U kojoj se meri pojavljivao Nikada Ponekad Znatno
Poreklo štetnog događaja UKUPNO Otkazivanje hardvera Greška operatera Sistemski softver Aplikacioni softver Komunikacije Napajanje/klima Požar/poplava Zlonamerna šteta Krađa/falsifikovanje – neovlašćeno korišćenje
559
%
846
%
67
%
15 11 24 12 57 31 129 140
2.68 1.97 4.29 2.15 10.20 5.55 23.08 25.04
121 132 123 132 84 118 132 2
14.30 15.60 14.54 15.60 9.93 13.95 15.60 0.24
16 15 12 11 7 5 1 0
23.88 22.39 17.91 16.42 10.45 7.46 1.49 0.00
140
25.04
2
0.24
0
0.00
Tabela 3.1. Uzroci degradacije rada računskih centara Prema ovoj anketi, uočava se da je znatan procenat ispadanja hardvera 23,88% i da (skoro) nikada nije bilo (ili nisu evidentirane) zlonamerne štete, krađe, falsifikovanja ili neovlašćenog korišćenja podataka. Naime, ne bi bilo dobro ako bi se saznalo da firma zapošljava nepouzdano ili kriminalu sklono ljudstvo. Međutim, prema analizi [IBM85], koju je objavio IBM, spisak uzroka degradacije IS izgledao je ovako: — greške i propusti, u 50% do 80% svih slučajeva — zloupotreba — vatra — zlonamerna šteta — voda i — ostalo. Primeti se razlika na štetu tzv. ljudskog faktora, u IBM analizi. Ova razlika je shvatljiva zbog zaštite imidža firme. Posle tragičnih događaja u SAD 11. septembra 2001. godine, kompanija KPMG [Kpm02] sprovela je istraživanje u oblasti bezbednosti IS u svetu. Sponzori tog istraživanja bili su CheckPoint, Symantec, RSA i InfoSecurity Magazine. Rezultati istraživanja bili su podeljeni po regionima: Evropa, uključujući Bliski istok i Afriku (EMEA), Azijskotihookeanski region i Američki kontinent. Tokom istraživanja, obavljen je 641 telefonski razgovor sa rukovodiocima, odgovornim za bezbednost IS u različitim organizacijama iz različitih ekonomskih oblasti. Istraživanje je sprovedeno, pretežno, u velikim firmama, od kojih je 31% imalo od 1.000 do 5.000 zaposlenih. Sve firme su imale veći godišnji obrt od 50 miliona US$.
17
Odgovori u vezi sa napadima na IS bili su po sledećem: Incidenti sa računarskim virusima
22%
Napadi od strane hakera
21%
Gubljenje daljinske kontrole
17%
Narušavanje bezbednosti u radu na Internetu 10% Rušenje tajnosti lične informacije
5%
Nedostatak nivoa obučenosti korisnika
5%
Narušavanje bezbednosti sistema В2В
5%
Prevare od strane zaposlenih
4%
Krađa ili kvarenje podataka/informacija
4%
Ostalo
7%
Tabela 3.2. Uzroci degradacije rada računskih centara 2002. godine Ovde treba spomenuti i [Den79] da je u ''prošlim dekadama'' otkriven "manji broj lica" koja su se "obogatila" krađom pomoću računara. Nedostatak tehničkog znanja, s jedne strane, i manja sklonost kriminalu osoblja koje rade na računarima u izvesnoj meri smanjili su spektakularnost krađa bar prema njihovim iznosima. Neke krađe nikad nisu otkrivene zbog toga što su, na primer, u bankama prikrivane jer bi se na taj način pokradena banka loše reklamirala. Za poznate krađe, srednja vrednost štete kretala se oko 500.000 US $. Prema [Den79], na osnovu analize oko hiljadu uzroka kompjuterskih zloupotreba, nameće se zaključak da mnogo uzroka (verovatno) ostane neotkriveno pa čak i namerno sakriveno. Da bi se odbranio, savladao "neprijatelja", moraš ga poznavati. U našem slučaju "neprijatelj" ugrožava IS. Šta su sve "neprijatelji" IS? Brojni su, vrlo često nesređeni, pristupi u identifikaciji uzroka štete u IS. U identifikaciji opasnosti po IS, to su, svakako, one koje bi degradirale IS u njenim osnovnim aspektima.
3.2. Klasifikacije napada na informacione sisteme Radi identifikacije, izložićemo klasifikaciju napada preko alata korišćenih za napad, pristupa i rezultata napada (posledica). Svaka klasifikacija mora da ima sledeće karakteristike [How97]: 1. Međusobna isključivost – klasifikacija u jednu kategoriju isključuje sve ostale kategorije da se ne bi preklapale, kategorije su disjunktne 2. Potpunost – unija kategorija obuhvata sve mogućnosti 3. Nedvosmislenost – jasna i precizna klasifikacija koja ne dozvoljava nebezbednost ko god se njome bavi 4. Ponovljivost – ponavljanje procesa klasifikacije daje uvek isti rezultat, bez obzira na to ko vrši klasifikaciju 5. Prihvatljivost – logička i intuitivna da bi bila opšteprihvaćena i 6. Primenljivost – može se primeniti u istraživanjima i u drugim sferama ljudskog interesovanja da bi se ostvario uvid u zonama interesa.
18
Ove karakteristike se mogu iskoristiti za evaluaciju bilo koje klasifikacije. Ipak uza sva ograničenja ona je važna za sistematičnu studiju. Ovde će biti reči o nekim poznatim klasifikacijama napada na računarske sisteme. Prikazani pregledi uzroka štete, Tabela 3.1. i Tabela 3.2, ne mogu da budu dobre klasifikacije napada. Na kraju će se pokazati da nijedna klasifikacija ne ispunjava svih 6 uslova dobre klasifikacije. 3.2.1. Lista termina Jednostavnu i veoma popularnu klasifikaciju napada na računarske sisteme predstavlja lista termina. Ova lista ne zadovoljava kriterijume zadovoljavajuće klasifikacije. Svi termini nisu međusobno isključivi. Na primer, na listi se posebno nalaze virus i logic bomb8, iako je logička bomba jedna specifična vrsta virusa. Napadači često koriste više metoda prilikom napada, što znači da bi napad bio klasifikovan u više kategorija odjednom. Navedena klasifikacija nije nedvosmislena, teško je ponovljiva i ne pruža uvid u povezanost različitih napada, te stoga i nije opšteprihvaćena. Slična situacija je i sa listom termina koju je dao Koen [How97]. Lista kategorija, zapravo, predstavlja listu termina sa definicijama. Jednu ovakvu listu dali su [Che94] Čezvik (Cheswick) i Belovin (Bellovin) u svom tekstu o zaštitnim barijerama. Njihova klasifikacija sadrži sedam kategorija: 1. Krađa lozinke (Stealing passwords) – metode za dobijanje lozinki ovlašćenih (autentikovanih i/ili autorizovanih) korisnika 2. Socijalni inženjering (Social engineering) – pričom i "prijateljskom" komunikacijom napadač dolazi do podataka koje ne bi trebalo da zna 3. Bagovi i sporedna vrata (Bugs and backdoors) – iskorišćavanje sistema koji ne odgovaraju svojim specifikacijama 4. Greške autentikacije (Authentication failures) – zaobilaženje ili varanje mehanizma za autentikaciju 5. Greške protokola (Protocol failures) – iskorišćavanje nepravilno dizajniranih i implementiranih protokola 6. Odliv informacija (Information leakage) – korišćenje sistema kao što su "finger" i DNS za dobijanje informacija neophodnih za administraciju i pravilan rad mreže koje mogu biti korišćeni od strane napadača 7. Otkazivanje usluga (Denial-of-service) – napori da se sistem učini nedostupan ovlašćenim (autentikovanim ili autorizovanim) korisnicima. Budući da se uvodi strukturiranost, lista kategorija predstavlja napredak u razvoju zadovoljavajuće klasifikacije. Međutim, ovakva klasifikacija ne zadovoljava osnovne principe baš kao i lista termina. Autori pokušavaju da uvedu i podkategorije, što ovaj pristup približava listi termina. 3.2.2. Kategorije rezultata Ovo je varijacija liste termina koja se zasniva na razlikovanju napada u odnosu na rezultat napada. Primer ovakve liste dao je Koen [Coh95]. 1. Korupcija – neovlašćena (neautorizovana) izmena (kvarenje) podataka 2. Odliv informacija – informacije završavaju na mestu gde ne bi trebalo i 3. Otkazivanje usluga – nedostupnost sistema ovlašćenim (autentikovanim) korisnicima. 8 Prema [Int00d], logička bomba uslovno se smatra posebnim virusom, tako da ova klasifikacija ne obezbeđuje disjunktnost i ne ispunjava uslove dobre klasifikacije.
19
Ovakva klasifikacija se pokazala kao dobar okvir za razvoj zadovoljavajuće klasifikacije, zato što za većinu napada može jednoznačno odrediti pripadnost kategoriji. Međutim, to nije uvek slučaj. Na primer, napadač neovlašćeno koristi računarski sistem tako da ne utiče na kvalitet usluge drugim korisnicima. Taj primer se teško može svrstati u bilo koju od tri kategorije. 3.2.3. Matrica Peri (Perry) i Volih (Wallich) [Per84] izložili su svoju klasifikaciju napada kao matricu u dve dimenzije, mogući rezultati i mogući počinioci. Ovakav pristup omogućava jednostavnu klasifikaciju incidenata u dvodimenzionalnu matricu, gde svaka ćelija predstavlja kombinaciju mogućih počinilaca: operateri (operators), programeri (programmers), činovnici koji unose podatke (data entry), unutrašnji korisnici (internal), spoljašnji korisnici (outside), provalnici u sistem (intruders) i mogućih efekata napada: fizičko uništenje (physical destruction), uništenje podataka (information destruction), manipulacija podacima (data diddling), krađa usluge (theft of service), pretraga (browsing) i krađa podataka (theft of information). Dve dimenzije svakako predstavljaju korak napred, s obzirom na to da ovaj pristup zadovoljava isključivost i potpunost. Međutim, nisu svi termini u matrici logični i intuitivni. Na primer, iz matrice sledi da spoljašnji korisnik sa ciljem da uništi informacije koristi zlonameran softver (malicious softvare), mada napadač spolja može koristiti i druge tehnike, na primer, komandni interfejs (command interface), za postizanje svog cilja. 3.2.4. Klasifikacije bazirane na procesima Namera autora klasifikacija baziranih na procesima jeste da skrenu pažnju sa klasifikacije po kategorijama i uvedu pristup koji će, baziran na procesima, biti najbliži ljudskom razmišljanju i viđenju problema bezbednosti računarskih sistema. Stolings (Stallings) je predložio jednostavan model koja klasifikuje pretnje računarskim sistemima. Iako se model odnosi samo na podatke u tranzitu, naveden je zbog toga što je zanimljiv i pogodan za dalje istraživanje. Stolings je definisao četiri kategorije, i to: 1. Prekidanje (interruption) – resursi sistema su uništeni ili nedostupni korisnicima 2. Presretanje (interception) – neovlašćeno lice pristupa resursima sistema 3. Modifikacija (modification) – neovlašćeno lice ne samo da pristupa resursima sistema već ih i modifikuje i 4. Fabrikacija (fabrication) – neovlašćeno lice unosi falsifikovane objekte u sistem. Po Stolingsu, presretanje predstavlja pasivan napad, dok su prekidanje, modifikacija i fabrikacija aktivni napadi. Sve četiri kategorije su predstavljene i na Slici 3.1. Iako je ovaj model pojednostavljen i ograničene primene, ukazuje nam na korisnost isticanja procesa za opisivanje napada na računarske sisteme.
20
Odredište informacija
Izvor informacija Normalan Normalan prenos t k
Prekidanje Prekidawe
(2)Presretanje Presretawe Presretawe
Fabrikacija Fabrikacija
Modifikacija
Slika 3.1. Klasifikacija napada na računarske sisteme po Stolingsu 3.2.5. Kombinovana klasifikacija napada na računarske sisteme Sa operativne tačke gledišta, napadač [How97] na računarski sistem pokušava da dostigne vezu krajnjeg cilja i motiva. Ova veza se može opisati sekvencom koju čine alat, pristup i rezultati napada, kao što je prikazano na Slici 3.2. napadači
alat
pristup
rezultati
ciljevi
Slika 3.2. Sekvenca napada Svaki segment ove sekvence biće detaljno opisan i proširen tako da zajedno predstavljaju zadovoljavajuću klasifikaciju napada na računarske sisteme. 3.2.5.1. Napadači i njihovi ciljevi Napadači su polazna tačka svakog napada na računarski sistem. Možemo ih razlikovati po tome ko su ili odakle su, po njihovim sposobnostima, po tome da li su unutar ili van sistema koji napadaju. Za definisanje ove klasifikacije napada koristi se razlikovanje napadača po tome šta oni obično rade i zbog čega to rade. Napadače možemo podeliti u šest kategorija, i to: 1. Hakeri9 – provaljuju u računarske sisteme uglavnom zbog izazova koji predstavlja varanje sistema zaštite ili želje da se domognu statusa prioritetnog korisnika sistema 9
Haker je veliki računarski entuzijasta koji poznaje računarski sistem do detalja i upada u taj sistem radi igre i zabave [Jov98]. Međutim, hakeri se više ne smatraju dobroćudnim istraživačima već su to najčešće zluradi nametljivci. U odnosu na nelegalnost, nelegitimitet, nasilništvo i štetu koju izazivaju, možemo tvrditi da je
21
2. Špijuni – provaljuju u računarske sisteme uglavnom zbog informacija koje mogu biti korišćene za političku dobit10 3. Teroristi – provaljuju u računarske sisteme uglavnom da bi izazvali strah koji im omogućava političku dobit11 4. Organizovani napadači – zaposleni jedne kompanije provaljuju u računarske sisteme druge konkurentske kompanije zbog finansijske koristi 5. Profesionalni kriminalci12 – provaljuju u računarske sisteme uglavnom zbog lične finansijske koristi 6. Vandali – provaljuju u računarske sisteme uglavnom da bi naneli materijalnu štetu. Ovakvom klasifikacijom su određene i četiri kategorije ciljeva ili razloga napada, a to su izazov ili status, politička dobit, finansijska dobit i materijalna šteta. 3.2.5.2. Pristup Definicija bezbednosti računarskih sistema direktno vodi u centar veze između napadača i njihovih ciljeva, a to su neautentikovan pristup i neautorizovano korišćenje. Slika 3.3. predstavlja proširenje segmenta pristupa sa Slike 3.2. Strelice pokazuju da svi napadači moraju da obezbede neautentikovani pristup ili da koriste računarski sistem na neautorizovan način da bi ostvarili vezu sa svojim ciljevima. Neautorizovani pristup ili korišćenje odnosi se na procese ili na datoteke i podatke u tranzitu preko procesa. Većina poznatih incidenata na Internetu uključuje neautentikovani pristup, mada i zloupotreba autentikovanih pristupa takođe predstavlja veliki problem.
mala razlika između hakera (koji generišu viruse) i teroriste. Mada [Pet00], "izvorni" hakeri da bi se distancirali od "huligana elektronskog doba", kojima hakiranje predstavlja mogućnost ispoljavanja sopstvenih frustracija i agresivnosti, ovima su dali naziv koji bolje reflektuje njihove maliciozne namere – krakeri (cracker). U proleće 1990. godine, na primer, tri hakera iz Australije optužena su u Melburnu za oštećenje podataka u računarima Vlade SAD. Prema izjavama policije (kako je pisao Njujork Tajms), nametljivci su – koristeći šifrovana imena ”Feniks”, ”Elektron” i ”Non” – prodrli u računare institucija kao što su Los Alamos National Laboratory, Digital Equipment Corporation, Lawrence Livermore National Laboratory, Vellsore (telefonski istraživački institut), Harvard univerzitet, Njujorški univerzitet i Univerzitet Teksasa, a to su učinili iz – Melburna. Prvi upadi u tuđe sisteme [Adži99] sežu u daleke šezdesete, kada hakeri naravno nisu ni bili obeleženi tim imenom. U to vreme, pojam "računar" najčešće se identifikovao s podrumom nekog fakulteta punim elektronskih cevi i kablova, s posebnim klimatskim uslovima. Programeri koji su radili na tim dinosaurusima imali su veoma ograničen pristup, pa su često koristili razne trikove kako bi što efikasnije završili svoj posao. Te rutine bile su poznate pod imenom "hack" – seckanje, odakle i potiče današnji termin haker. 10 Ne samo "političku". Postoje i industrijski špijuni kojima je cilj opservacija poslovnih sistema, krađa poslovnih tajni a naročito inovacija koje donose veliki profit. 11 Ne samo "političku". Teroristi mogu da iznuđuju i novac. 12 Za ovu vrstu kriminalaca početkom osamdesetih godina prošlog veka nastala je sintagma "belookovratnički kriminal" ili " kriminal belih kragni".
22
pristup nedostaci implementacije nedostaci dizajna
neautorizovani pristup
datoteke
neautorizovano korišćenje
procesi
podaci u tranzitu
nedostaci konfiguracije
Slika 3.3. Segmenti pristupa Da bi ostvario kontrolu nad željenim procesima, napadač mora iskoristiti neke od nedostataka računara ili računarske mreže. Nedostaci se mogu podeliti u tri grupe. Prvu grupu i najpoznatiji nedostatak predstavljaju softverski bagovi koji predstavljaju problem implementacije dobro dizajniranog softvera ili hardvera. Mnogi primeri implementacijskih nedostataka vezani su za UNIX operativni sistem, najrasprostranjeniji operativni sistem na Internetu i probleme sa sendmail programom. Napadač, koristeći nedostatke ovog programa može ostvariti neautentikovani pristup ili koristiti sistem na neautorizovani način. Drugu grupu nedostataka predstavljaju nedostaci samog dizajna softvera ili hardvera. Ovakvi nedostaci su mnogo ozbiljniji i teži za korekciju, jer čak i savršena implementacija može imati nedostatke koje napadači mogu iskoristiti. Sendmail program je primer i za ovu grupu nedostataka jer, čak i kad nema softverskih grešaka, elektronska pošta generisana ovim programom može biti korišćenja na neautorizovani način. Na primer, repetitivnim slanjem elektronske pošte (mail spam) što za rezultat može imati otkazivanje usluga sistema (denial-of-service). Treću grupu nedostataka čine greške pri konfigurisanju softvera ili hardvera. Mnogi izdavači isporučuju svoj softver u "poverljivom" stanju, koji je pogodan za korišćenje brojnim korisnicima. Poverljivo stanje predstavlja tzv. default (podrazumevano) stanje koje je često konfigurisano sa opštepoznatim parametrima sistema, uključenim opcijama koje nemaju zaštitu, itd. 3.2.5.3. Rezultati Rezultati se nalaze između pristupa i ciljeva u sekvenci koja ilustruje napad na računarski sistem. U ovoj tački sekvence napadač ima pristup željenim procesima, datotekama i podacima u tranzitu i slobodno može menjati sadržaj datoteka, otkazivati usluge sistema, izvlačiti poverljive informacije ili neautorizovano koristiti usluge koje taj sistem pruža. Kategorije rezultata napada su sledeće: 1. Korupcija informacija – neautorizovana promena sadržaja datoteka ili podataka u tranzitu 2. Obelodanjivanje informacija – pružanje na uvid informacija osobama koje nisu autentikovane za pristup tim informacijama 3. Krađa usluga – neautorizovano korišćenje usluga računarskog sistema, bez uticaja na kvalitet usluga drugim korisnicima
23
4. Otkazivanje usluga – namerna degradacija kvaliteta usluga ili potpuno blokiranje rada delova računarskog sistema. 3.2.5.4. Alat Alat i metode njegove primene za iskorišćavanje nedostataka računarskih sistema veoma je raznolik i dostupan velikom broju korisnika računara. Alat se može podeliti u sledeće kategorije: 1. Komande korisnika. Napadač zadaje komande sistemu preko komandne linije ili preko grafičkog interfejsa. Primer je korišćenje telnet (telnet) programa za uspostavljanje veze sa sistemom koji je meta napada i pokušaj da se priključi na mrežu kao korisnik ili administrator. Koriste se tehnike kao što su pogađanje lozinke ili unos dugačkog niza karaktera da bi se ispoljili nedostaci sistema 2. Skriptovi i programi. Napadači mogu koristiti skriptove ili programe da bi obezbedili automatizaciju komandi. Skript je najjednostavniji način automatizacije jer predstavlja niz komandi koje se izvršavaju jedna za drugom. Primer programa koji se često koristi jeste crack. Ovaj program služi administratorima za proveru validnosti lozinki, ali isto tako može ga koristiti i napadač da sazna lozinke ovlašćenih (autentikovanih i/ili autorizovanih) korisnika sistema. Drugi primer su programi poznati pod nazivom Trojanski konj (Trojan horse). Ovi programi se prvo kopiraju na računar koji je meta napada preko već instaliranih programa. Trojanski konj se ponaša baš kao i originalni program, a napadaču omogućava da korišćenjem sporednih prolaza koje obezbeđuje trojanski konj pristupi resursima sistema i preduzme neautorizovane akcije. 3. Autonomni agenti. Za razliku od skriptova i programa, autonomni agenti sami, oslanjajući se na sadržanu programsku logiku, nezavisno određuju metu napada. Najpoznatiji autonomni agent je računarski virus. Spaford (Spafford) je ovako definisao računarski virus: "...računarski virus je segment mašinskog koda, obično od 200–4.000 bajta, koji će nakon aktivacije kopirati svoj kod na jedan ali više programa domaćina. Prilikom izvršavanja programa domaćina, "zaraženi" kod će biti izvršen i virus će nastaviti da se širi." Drugi primer autonomnog agenta, tzv. crv (worm), deluje nezavisno od drugih programa. Po Spafordu, crv predstavlja program koji se nezavisno izvršava i putuje od računara do računara preko računarske mreže i u određenom trenutku može da ima više delova koji se izvršavaju na više računara. Crvi ne menjaju druge programe, ali mogu da nose izvršni kod koji to čini. 4. Paketi alata (toolkit). Ovi paketi sadrže više alata iz kategorija skriptova, programa i autonomnih agenata, neretko objedinjenih u okruženje sa grafičkim interfejsom. Najrasprostranjeniji paket alata je rootkit koji sadrži programe za praćenje saobraćaja na mreži, kao i programe koji se koriste za prikrivanje neautorizovanih aktivnosti i obezbeđenje sporednih prolaza za kasnije korišćenje. 5. Distribuirani alat. Ovaj alat se koristi za simultano napadanje računarskih sistema iz više tačaka. Napad se priprema tako što se delovi distribuiranog alata kopiraju na više računara povezanih na Internet mrežu. Delovima se zatim sinhronizuju satovi (timers) tako da se svaki deo aktivira u predefinisano vreme. Veoma je teško otkriti napad izveden ovim alatom. 6. Prisluškivanje podataka (data tap). Računari i mrežni kablovi emituju elektromagnetne talase koji mogu biti iskorišćeni za otkrivanje informacija. To se posebno odnosi na podatke koji se prikazuju na ekranu i podatke u tranzitu, često spominjano kao Van Ejk efekat. Na Slici 3.4. prikazana je kompletna klasifikacija napada na računarske sisteme. Klasifikacija napada oslikava put koji napadač mora da pređe da bi stigao do svog cilja. Da 24
bi bio uspešan, napadač uglavnom mora da pronađe više puteva i da ih koristi simultano. Napori koji se ulažu za obezbeđenje sistema odnose se na svih šest segmenata klasifikacije. Prvi segment, napadači, predstavlja deo koji administratorima sistema ali i pravosudnim organima13 pomaže da odrede ko su napadači i gde se oni nalaze. Kada se to radi, lako se može onemogućiti pristup resursima sistema onima za koje se smatra da su nepoželjni. To se može učiniti, na primer zabranom otvaranja naloga ali prijavom pravosudnim organima. Kada se alat pronađe, veoma ga je lako otkloniti iz sistema. Na primer, korišćenjem antivirus programa mogu se detektovati i eliminisati autonomni agenti iz sistema. Sistem se može pažljivo nadgledati da bi se uočilo prisustvo neautorizovanih datoteka i programa. Mogu se posmatrati i čuvati podaci o komandama koje su korisnici zadavali sistemu za vreme korišćenja sistema, tako da se može odmah reagovati na nepravilnosti. Sačuvani podaci se mogu kasnije koristiti da bi se rekonstruisao tok napada i unapredio sistem zaštite. Pristup sistemu se može obezbediti na dva načina. Prvi način odnosi se na korišćenje robusnih programa za koje se zna da su pouzdani sa stanovišta nedostataka. Tu veoma važnu ulogu igraju administratori sistema. Oni moraju biti sigurni da je sistem pravilno konfigurisan, da su poznati softverski bagovi "zakrpljeni", a da je nesiguran softver uklonjen ili da mu je primena ograničena. Drugi način obezbeđenja pristupa jesu uvođenje kontrole pristupa datotekama i procesima, korišćenje sigurnih lozinki i smanjenje broja procesa koji nemaju kontrolu pristupa. Rezultati napada mogu biti ublaženi na različite načine. Na primer, osetljivi podaci mogu biti kriptovani tako da čak i u slučaju da im napadač pristupi neće moći da sazna sadržaj tih podataka. Međutim, kriptovanje ne obezbeđuje sadržaj tih podataka. Naime, ono ne obezbeđuje zaštitu od neautorizovane izmene sadržaja ili brisanja kriptovanih podataka. Gubitak osetljivih informacija može se sprečiti obezbeđivanjem rezervnih kopija (backup). Sve ove metode se koriste da bi se napadaču onemogućilo postizanje ciljeva. Navedena klasifikacija umnogome zadovoljava prethodno navedene opšte karakteristike klasifikacije. Pristup kojim se povezuju napadači sa ciljevima predstavlja logički sled razmišljanja napadača. On se odlučuje kojim alatom će izvršiti napad i na koji način će ga koristiti da bi rezultat napada zadovoljio njegove ciljeve. Klasifikacija daje i mogućnost proširenja svakog segmenta, ukoliko se za to ukaže potreba.
13
Zbog nejasne definicije virusa, pravosuđe ima problema u kvalifikaciji dela i krivca.
25
nedostaci dizajna
komande korisnika
skriptovi i programi
autonomni agenti
paketi alata
distribuirani alat
prisluškivanje podataka
hakeri
špijuni
teroristi
organizovani napadači
profesionalni kriminalci
vandali
neautorizovano korišćenje
neautorizovan pristup
pristup
procesi
podaci u tranzitu
datoteke
26
Slika 3.4. Kombinovana klasifikacija napada na računarske sisteme
nedostaci konfiguracije
nedostaci implementacije
alat
napadači
otkazivanje usluga
krađa usluga
obelodanjivanje informacija
korupcija informacija
rezultati
materijalna šteta
finansijska dobit
politička dobit
izazov, status
ciljevi
3.3. Primer klasifikacije napada na informacioni sistem Moguće je razviti klasifikaciju i kao bazu podataka sa atributima kako je dato u Tabeli 3.2. Tabela 3.3. je, u stvari, evidencija napada na jedan konkretan informacioni sistem (IS). Za klasifikaciju napada na IS, evidentirani su sledeći podaci: 1. Ime napada – naziv napada, onakav kakvim ga znaju svi na Internetu 2. OS – operativni ili drugi sistem koji je ugrožen direktno/indirektno ovim napadom 3. Klasa napada – klasa kojoj ovaj napad pripada 4. Način otkrivanja – može biti lak (L)14, težak (T) ili vrlo težak (VT) 5. Stepen štete – može biti lak (L), težak (T) ili vrlo težak (VT) 6. Način korekcije – može biti lak (L), težak (T) ili vrlo težak (VT) 7. Oblast delovanja – napad može delovati na softversku (SW) celinu ili hardversku (HW) celinu sistema 8. Opis napada – kako napad deluje 9. Opis načina detekcije – kako je napad moguće detektovati, kao i problem koji se napadom potencira na konkretnom sistemu 10. Opis načina korekcije – kako po detekciji ispraviti probleme softversko/hardverske prirode, ali i izvršiti korekciju u bezbednosnom sistemu kako se napad više ne bi mogao ponoviti 11. Da li je napad testiran – odgovor sa rezultatima testiranja napada. Napad je (nije) testiran u IS i 12. Datum testiranja.
14
Ocena L – lako, T – teško, VT – vrlo teško, subjektivne su i relativne i odnose se na, recimo, količinu uloženih radnih sati za otklanjanje štete i sl. Ocene iznosa ili veličine štete su, takođe, subjektivne i relativne.
27
Ime Snork
Atributi NT/Win95 OS Denial of service Klasa napada L Način otkrivanja T Stepen štete L Način korekcije SW Oblast delovanja Opis napada Snork je napad tipa “prekid servisa“ koji koristi probleme koje ima Windows NT RPC (Remote Procedure Call) servis. Tokom ovog napada nametljivac može vrlo lako da NT operativnom sistemu trenutno i potpuno ukrade sve raspoložive resurse i onemogući dalje funkcionisanje za duže vreme. Takođe, napadač je u prilici da ugrozi propusnu moć napadnute NT mreže time što će naterati sve ugrožene računare da međusobno razmenjuju nepotrebne pakete među sobom i time obaraju performanse mreže. Opis načina detekcije Sistemi osetljivi na ovaj napad su Windows NT 4.0 Workstation i Server. Svi operativni sistemi sa servisnim “zakrpama“ (pack) zaključno sa verzijom SP4 RC1.99 osetljivi su na ovaj napad a takođe i sve hotfix “zakrpe “ realizovane zaključno sa 10. septembrom 1998. godine. Opis načina korekcije Prvi način: Microsoft ima zakrpu za ovaj napad i on je dostupan na adresi: http://www.microsoft.com/security/bulletins/ms98-014.htm Drugi način: treba zatvoriti pristupni UDP port 135 za dolazne pakete poslate na taj port sa portova 7, 19 i 135. Da li je napad testiran? Da, sistem nije bio ugrožen. Pretpostavlja se da je primenjen SP5, kao i da je uključena dodatna paket filtar zaštita. 19. septembar 1999. Datum testiranja Tabela 3.3. Podaci o napadu tipa Denial of Service
Švedska Agencija za administrativni razvoj [IBM85] razvila je u saradnji sa IBM – Švedska u godinama 1974/75. standard za bezbednosne sisteme u EOP i u tom smislu identifikovano je 72 vrste mogućih opasnosti i 47 vrsta mogućih unutrašnjih slabosti. Na Slici 3.5, prema [Hor98], prikazana su ''ranjiva'' mesta karakteristična za poslovne prostore. Na analogan način mogu se prikazati ranjiva mesta za informacione, informaciono-komunikacione i ATM sisteme.
28
2
24
8
4 9 17 18
25
20 21 22
14
15 18
5
10
23 19
12
26
16 12
28 5 1 5 13 30
27 29
7
3
6
11
Slika 3.5. ''Ranjiva'' mesta u poslovnim prostorijama (mogući kanali oticanja i neovlašćenog pristupa informacijama) Legenda uz Sliku 3.5. 1. 2. 3. 4.
Oticanje na račun strukturnog zvuka u zidovima ''Skidanje'' informacija sa trake printera, loše obrisanih disketa i slično ''Skidanje'' informacija pomoću video uređaja Personalni računar (softversko-hardverski umeci i oticanje informacija preko javnih računarskih mreža – Internet) 5. Radio-prislušni uređaji u zidovima i nameštaju 6. Prijem informacija preko sistema ventilacije 7. Laserski prijem informacija sa prozorskih stakala 8. Proizvodni i tehnološki otpaci 9. Kompjuterski virusi 10. ''Skidanje'' informacija na račun indukcije i VF zračenja 11. Daljinsko osmatranje pomoću optičkih uređaja 12. Prijem akustičkih informacija pomoću diktafona 13. Čuvanje medijuma (nosilaca informacija) 14. VF kanal oticanja informacija 15. Prijem informacija usmerenim mikrofonima 16. Unutrašnji kanali oticanja informacija (preko personala) 17. Neovlašćeno kopiranje 18. Oticanje informacija na račun EM zračenja 19. Prijem informacija na račun ''telefonskog uha'' 20. Prijem informacija sa tastature (printera ili kompjutera) na osnovu akustičkog kanala 21. Prijem informacija sa displeja monitora po EM kanalu 22. Vizuelni prijem informacija sa displeja monitora i printera 23. Indukcija u komunikacionim kanalima i ''pomoćnim'' provodnicima (vodovod, centralno grejanje, cevi za gas) 24. Oticanje informacija na putu prenosa podataka 29
25. Oticanje informacija po mreži uzemljenja 26. Oticanje informacija po mreži električnog (elektronskog) sata 27. Oticanje informacija sistemom interfona (razglasa) 28. Oticanje informacija bezbednosno-požarnom instalacijom 29. Oticanje informacija po mreži elektronapajanja 30. Oticanje informacija po mreži grejanja, vodovoda i plina.
3.4. Neki karakteristični primeri napada na IS Eksluzivnost pa i ''popularnost'' nekih vrsta napada razlog su da se posebno obrade u ovoj glavi. Naime, cilj je da se čitalac podstakne da malo više razmišlja o ovom problemu. 3.4.1. Računarski virusi Informacioni sistemi imaju, kako praksa dokazuje, ugrađenu apriornu osetljivost na penetracione mehanizme kao što su bakterije, virusi – "trojanski konj", "logičke bombe", "crv" ili "zaklopna vrata". Za sad je u "upotrebi" nekoliko desetina hiljada15 virusa razne "namene" (slika 3.6). Od ovih "alatki zanata", genetski zasnovani virusi su možda najpodmukliji. Broj poznatih virusa
Izvor: Symantec 2003. Slika 3.6. Rast broja virusa od 1990. do 2001. godine Zahvaljujući Homerovoj Ilijadi (i Odisejevoj lukavosti), metafora ''trojanski konj'' našla je svoje mesto i u novim informacionim tehnologijama, i to preko mehanizama koji se namerno ili slučajno uvode u računarske sisteme, pretežno sa ciljem da izazovu štetu. Ima više (mogućih) "izvora" virusa: hakeri, organizovane grupe – sajber ratnici za interes države ili neke kompanije koje prodaju antiviursne programe, čak i kompanije koje proizvode i prodaju softver obavezujući korisnike da koriste legalno nabavljen softver, a ne kopije kojim mogu da "pokupe" viruse. Poprilična konfuzija postoji u vezi sa definicijom kompjuterskog virusa. Pored već navedene Spafordove definicije, navešćemo još neke. "Virus" je softverski program koji 15
Prema Symantec-ovom antivirusnom programu ''Norton antivirus 2003'' ovih ''alatki na dan 23.04.2004. godine ima 67.394.
30
može da širi zarazu od računara do računara, koristeći svaki zaraženi računar da bi se umnožavao. Bez ljudske intervencije, virus zaražava domaćina, krijući se, najverovatnije, negde u operativnom sistemu, aplikativnom delu ili uslužnim programima. To je set instrukcija u različitim formama sa različitim ciljevima, ne ograničavaju se na jedan medij i mogu u kratkom roku da evoluiraju. Vredna pažnje jeste i definicija zasnovana na regulama ratnog vazduhoplovstva SAD:16 "Virus je: (1) varijanta trojanskog konja. On se širi (napada fajlove, programe) sa okidačkim mehanizmom (sporadično, iznenada) sa misijom brisanja fajlova ili slanja podataka. Zaštita od virusa je iznad svih kriterijuma. (2) To je sekcija – deo koda uvučen u disk operativni sistem za izvršenje zlobnih namera. Jedna verzija ubačenog koda može da pokreće proces koji može da eliminiše sve fajlove sa diska. Posledice ovog "delanja" mogu da osete mnogi korisnici. Inače, virus na disku postaje rezidualan u memoriji pa se detektuje tako što se, nakon uvođenja novog diska u sistem virus, upiše i na njega. Nacionalni kompjuterski bezbednosni centar SAD kao deo Uprave za nacionalnu bezbednost u Rečniku računarsko-bezbednosnih termina daje definiciju kompjuterskog virusa kao: "To je samošireći trojanski konj, komponovan od delova za određenu svrhu, okidačkog dela i samoširećeg dela". Profesor Fred Cohen sa Univerziteta u Sinsinatiju smatra se prvom osobom koja je (1983) uvela reč "virus" u rečnik računarske terminologije. Njegova definicija je objavljena aprila 1988. u časopisu Computers & Security, North-Holland Publishing Company. ''Virus je program koji modifikuje drugi program tako što se ponaša isključivo kao virus ili stvara novu verziju programa koji se ponaša drugačije od izvornog programa. Virus može da se ponaša kao nosilac bilo kog programskog koda koji napadač želi da koristi. Virus može da se proširi kroz sistem ili mrežu i time izaziva proizvoljne promene u programima i podacima''. Početkom oktobra 1991. godine, 23 predstavnika nekih većih svetskih računarskih centara osnovali su u Briselu Evropski institut za istraživanje računarskih antivirusa (EICAR), kao neproizvodnu asocijaciju. Prva skupština je održana u prisustvu 50 stručnjaka za "parazitske kodove sa autoprostiranjem – (APC)", što je naučni naziv za računarske viruse. EICAR planira da nastavi rad koji je prvobitno preduzela Organizacija za istraživanje računarskih antivirusa (CARO). Neki kompjuterski specijalisti nastoje da razlikuju ''dobroćudne'' od štetnih virusa, i to na bazi štete koje mogu da nanesu. Ipak, i dobroćudni virusi zauzimaju resurse računara i rade stvari koje nisu poželjne, mada nisu štetne. Virusi su subjekti koji i mutiraju u smislu što programeri u odnosu na original dodaju neke šifre koje ne mogu da se otkriju u odnosu na original. Naime, potrebno je manje znanja i prefinjenosti, da bi se izmenio postojeći i stvorio novi virus. Prema tome, dobroćudni virus je predmet koji se uvek može menjati, a time se omogućavaju radnje koje su jako nepoželjne. Kompjuterski virusi se razlikuju od programskih grešaka po tome što su oni posledica namere. 16
Definisali su je Dean Dennis Longley i Michael Shain u knjizi "Data & Computers Security: Dictionary of Standards, Concept and Terms, New York , Stockton Press, 1987; London Macmillan Publishers Ltd. 1987.
31
Definicija kompjuterskog virusa je posebno problematična za zakonodavce. Ona mora biti i jasna osnova zakona potrebna za vođenje postupka protiv kreatora virusa. Posledice delovanja virusa su višestruke: 1. Oštećenje računarskih resursa – potpuna paraliza do čestog isključivanja sistema ili promene u bazama podataka. Sve te posledice se grupišu u tri nivoa: fizički, sintaksički i semantički. Težište bi svakako trebalo da bude na semantičkom oštećenju računarskih resursa, to je ono koje ima uticaj na značenje poruke koju treba da primimo od informacionog sistema (računara) 2. Krađa tajnih podataka, krađa raznih usluga, nadgledanje rada sistema, ubacivanje lažnog saobraćaja u računarsku mrežu, pristup podacima radi ucene 3. Nalaženje drugog računara kojem bi se nanela šteta pod 1. i 2. Virus generišu gotovo isključivo tehnički virtuozi. Prilikom stvaranja virusa, definišu se njegove karakteristike: 1. Posao koji treba da odradi virus 2. Vrsta računara koji treba taj virus da zarazi 3. Vreme rada virusa sa kratkotrajnim periodom aktiviranja, ili spori sa periodom odloženog dejstva 4. Mogućnost otkrivanja virusa koji će objaviti svoje prisustvo ili virus koji je sakriven i teško se otkriva. Odgovori na ova pitanja određuju arhitekturu i osobine strukture virusa, kao i njegovo programiranje. Kada se stvori virus se stvara za određenu svrhu, može da se umnožava i napada nasumice, bez kontrole. Mnogi od antivirusnih produkata mogu da upozore na ilegalnu operaciju, mogu da upozore i na kompjuterski virus, ali ne obavezno, i u svakom slučaju, nagoveštaj o delovanju kompjuterskog virusa ne mora da bude rezultat stvarnog napada virusa. Dosad najčešće poruke ili manifestacije su bile, na primer: — broj fajlova (programi, datoteke itd) na disku se povećava — poruka "1 File(s) copied", pojavljuje se, a nije pozvana odgovarajuća komanda — veličina RAM-a vašeg sistema se smanjuje — vreme i datum uz fajl se menjaju — veličina programa se povećava — program ne može da se pokrene jer ne postoji slobodan prostor u RAM-u — program se presporo izvršava — disk drajv pokazuje da nije moguće upisivanje, niti čitanje tokom tekuće operacije — vreme pristupa disku se drastično povećalo — program se zaustavlja u toku rada — hard disk je izgubio BOOT sektor. U svakom navedenom slučaju potrebno je zaustaviti rad računara, proveriti prethodne korake, utvrditi šta se prethodno radilo da bi se identifikovao mogući uzrok a zatim treba pozvati stručnjaka koji će, verovatno, da reši nastali problem. U svakom slučaju, svaka očigledna abnormalnost može, a ne mora da bude rezultat delovanja virusa. Otuda, pre davanja konačne dijagnoze treba dobro proveriti prethodne postupke pa i moguće pretpostavke u smislu neslanih šala kancelarijskih kolega. 32
Sigurno je da su kreatori virusa pretežno hakeri – zlonamernici. Oni su prvi mogući uzrok pojave virusa. Zbog nemogućnosti da se pouzdano dokaže poreklo virusa (ličnost, institucija, država) zapadni mediji tvrde da su virusi generisani pretežno u istočnoj Evropi (Rusija, Mađarska, Bugarska). Naime, znatiželja korisnika programa u tim zemljama (programi su većinom kreirani na Zapadu – SAD) dovela ih je do takvog nivoa znanja da su u stanju da menjaju mašinske kodove tih programa. Tako stečeno iskustvo je postalo izazov da se generišu novi programi koji su pored korisnih stvari bili u stanju da čine i štetu. Kao drugi uzrok, moguće je da iza pojave virusa bude čisto komercijalan razlog. Firme koje se bave proizvodnjom softvera za tržište, nemoćne da zaštite intelektualnu svojinu, softver kao svoj proizvod, od neovlašćenog kopiranja i same, verovatno, lansiraju viruse da bi na takav način eventualne pirate odvratile od namere neovlašćenog kopiranja i prisili ih da koriste legalne, plaćene, kopije njihovih programa. Štaviše, moguće je da firme koje proizvode antivirusne programe same generišu viruse, a onda "prave" antivirusne programe (koji se moraju kupiti) za "otkriveni" virus. Treći mogući uzrok pojave računarskih virusa može biti i hakersko ratovanje, kao jedan od oblika tzv. informacionog (informatičkog) ratovanja. Ilustracije radi [Hig89a], dajemo primer ''rada'' makroa kreiranog u LOTUS-u 123, koji ima specijalan naziv ''0'' (nula). Automatski se pojavljuje čim se učita radni fajl. Ovaj makrovirus je dizajniran da menja pojedinačne vrednosti u specifikovanoj koloni svaki put kada se tabela učita. Procenat promene ograničen je na vrlo malo područje i malo se menja. Virus se izvršava po danima, napada bilo koju ćeliju radne tabele i menja procenat promene. A 1 2 3 4 5 6 7 8 9
B1
4.435,00 4.500,00 4.950,00 4.600,00 4.350,00 4.475,00 4.850,00 4.750,00 4.750,00 41.660,00
4.634,53 4.500,00 4.950,00 4.600,00 4.350,00 4.475,00 4.850,00 4.750,00 4.750,00 41.859,53
B2 4.634,53 4.635,31 4.950,00 4.600,00 4.350,00 4.475,00 4.850,00 4.750,00 4.750,00 41.994,84
B3 4.634,53 4.635,31 4.950,00 4.655,37 4.350,00 4.475,00 4.850,00 4.750,00 4.750,00 42.050,21
B4 4.634,53 4.635,31 4.950,00 4.655,37 4.350,00 4.694,48 4.850,00 4.750,00 4.750,00 42.269,69
Tabela 3.4. Izmene vrednosti jedne kolone u tabeli kao rezultat ''rada'' makroa ''0'' Tabela pokazuje degradaciju podataka kroz nekoliko dana. Prikazana je radna tabela od devet redova i pet dnevnih kolona kombinovanih od jedne kolone originalne tabele. a) Kolona A je sa originalnim vrednostima podataka. Vrednosti su upisane kao celi brojevi, bez decimala, da bi se lakše uočile promene.
33
b) Kada je radna tabela ''pozvana'' prvi put (prvi dan) posle njene kreacije, prva vrednost (linija 1) promenjena je sa 4.435,00 na 4.634,53, porast je bio za 199,53, kao što je prikazano u koloni B1. Virus je odradio svoj napad na prvoj vrednosti u specifikovanom području. c) Kolona B2 prikazuje drugi podatak promenjen u liniji 2 sa 4.500,00 na 4.635,31. Ova promena je skoro identična sa prvom, s obzirom na to da je tabela pozvana nekoliko sati kasnije istog dana. Naime, makroalgoritam koristi vreme kao parametar i zavisi više od datuma, a manje od sata (u toku dana). d) Kolona B3 sadrži treću promenu koja se desila dan kasnije. Vrednost za promene u liniji 3 je van područja po algoritmu, umesto u toj liniji, promenjena je vrednost u liniji 4. Original 4.600,00 je promenjen na 4.655,37. e) Dva dana kasnije, tabela je opet bila napadnuta. Rezultat je prikazan u koloni B4. Kako je vrednost u liniji 5 van područja predviđenog za promenu, promena je izvršena u liniji 6 sa 4.475,00 na 4.694,48. Za četiri dana od formiranja tabele, suma od devet vrednosti se povećala od 1% do 1,5%. Apsolutna razlika od 609,69 je manja od 1,5% (624,90) od početne sume. Elegantniji algoritam može da izvrši finije promene koje bi se u tom slučaju i teže otkrivale. Dati primer je poučan, jer dokazuje do koje mere (podmuklosti) može da bude štetan virus. Uporedo sa stvaranjem virusa razvijaju se i paketi tzv. antivirusnih programa, ali sa logičnim zakašnjenjem. Naime, u ovom slučaju nalazimo se pred teškim filosofskopraktičnim pitanjem. Da li se može praviti antivirusni program za nepoznati virus? O posledicama (ne)odgovora samo možemo da pretpostavljamo. Skoro dnevno se pojavljuju sve maligniji oblici virusa. Početkom 2004. godine, ocenjeno je da najnoviji virus Mydoom može da bude uzrok najvećeg napada na računare svih vremena (do pojave nove vrste napada). Procenjuje se da je ovaj virus u Kini ''ugasio'' oko 200.000 monitora. Mydoom se, istovremeno, munjevito kopirao u 16 miliona kopija. Iz Kaspersky Labs tvrde da je virus generisan u Rusiji, a pojavio se 26. januara 2004. godine. Prema [Kuk02], data je tabela sa virusima, tipom, vremenom razmnožavanja i veličinom štete koju su izazvali.
34
Virus
Godina
Jerusalem, Cascade, Form
1990.
Concept
1995.
Melissa
1999.
I Love You
2000.
Tip
Vreme razmnožavanja
izvršni fajlovi, boot sekttri godine or Word Macro četiri meseca E-mail, omogućeni Word četiri dana Macro E-mail, omogućeni Visučetiri sata al Basic script
Šteta $50M za sve viruse preko 5 godina $50M $93M do $385M $700M
Tabela 3.5. Virusi prema nekim atributima Inače ''top lista'' virusa od januara 2004.godine, po raširenosti, je sledeća: 1. Mydoom.A 2. Downloader.L 3. Bugbear.B 4. Parite.B 5. Klez.I 6. Runet.A 7. Blaster 8. Blaster.E 9. Bookmar.B 10. Sober.C. Informatička tehnologija po svojoj prirodi, a u suštini reč je o elektronskim (elektromehaničkim) uređajima, ranjiva je na samo sebi svojstven način. 3.4.2. Elektromagnetno zračenje računara Mikročipovi, monitori, štampači i bilo koji drugi elektronski uređaj i komponente emituju elektromagnetne talase. Kao posledica ove emisije može da se desi, zahvaljujući interferenciji, da na svom televizoru “uhvatite” sliku sa komšijskog monitora. Ova pojava je posebno važna za specijalne institucije. Koristeći TEMPEST (Transient Electromagnetic Pulse Emanation Standard) tehnologiju informacija sa bilo koje digitalne mašine može da bude "skinuta" i rekonstruisana obaveštajno korisno. Ova tehnologija je posebno korisna za prihvat informacija koje se nalaze na digitalnom računaru ili se prikazuju na kompjuterskom terminalu.17 Korišćenje TEMPEST-a nije nezakonito u SAD, Kanadi ili Engleskoj. Novembra 1963. godine, Džon Ficdžerald Kenedi, tadašnji predsednik SAD, pravdao je upotrebu ove tehnologije sudbinskim predodređenjem SAD kao stražara na zidovima svetske slobode. TEMPEST je, dakle, skraćenica od Transient Electromagnetic Pulse Emanation Standard – privremeni standard za emisiju pulsno-modulisanog signala. Ovaj, pre svega, defanzivni18 standard je skup stavova u vezi sa elektromagnetnim zračenjem preko kog uređaji mogu da zrače bez kompromitacije informacija koje se nalaze (u) na njima. TEMPEST istovremeno definiše opremu i uslove koji određuju procese koji imaju za cilj 17
Terminal je obično ulazno-izlazna jedinica (računara) a može da bude samo video terminal (VDU), štampač, pa i personalni računar. Ako su poznate mere za zaštitu (defanzivne), one se mogu koristiti i u ofanzivne svrhe.
18
35
da preveniraju kompromitujuće zračenje. Uređaji koji su usklađeni sa ovim standardom nazivaju se TEMPEST sertifikovani uređaji. Međutim, TEMPEST (Transient Electromagnetic Pulse Surveillance Technology) je program američke vlade za evaluaciju elektronske opreme za elektronsko prisluškivanje. Tempest oprema nije legalizovana za civilnu upotrebu. Može se reći da su uređaji za vojne i državne primene (bezbednost) testirani u skladu sa strožim standardima. Navodimo dva tipa standarda: NACSIM 5100 A (SAD) i AMSG 720 B (NATO). Oba standarda su primenljiva na svim delovima računarskog sistema, a ne samo na video jedinice ili terminale. Merne metode i standardi NACSIM nisu poznati izvan Amerike. AMSG standard je specijalan slučaj korišćenja vojnih i državnih aplikacija u zemljama NATO-a. Inače [Int02], prvi američki standard iz 1950. godine, u vezi sa kompromitujućim elektromagnetnim zračenjem (KEMZ), naziva se NAG1A. Kasnije je ovaj standard trpeo izmene kao FS222 i kao FS222A. Konačno, 1970. godine ovaj standard je izmenjen i objavljen kao National Communications Security Information Memorandum 5100 – memorandum o nacionalnoj bezbednosti komunikacija (direktiva za TEMPEST bezbednost), poznatiji kao NACSIM 5100. TEMPEST, prema tome, ima za cilj da uvede standarde koji će redukovati šanse za oticanje osetljivih podataka sa uređaja tokom obrade, prenosa ili čuvanja. Koriste ga vladine agencije (SAD) i preduzimači da zaštite kompjutere i periferale (štampače, skenere, jedinice magnetnih traka, monitore, miševe itd) od prisluškivanja podataka putem kompromitujućeg elektromagnetnog zračenja. Naime, reč je o tehnologiji i merama koje treba da smanje KEMZ. Još, već davne 1985. godine [Eck85], objavljen je rad u kojem je ukazano na mogućnost oticanja podataka sa računara putem elektromagnetnog zračenja sa monitora (Video Display Units – VDU), i to čak komercijalnim uređajima, Slika 3.7. Ovaj rad je značajan zbog toga što dokazuje postojanje KEMZ-a na delovima računarskog sistema.19 Naime, teško je, iz razumljivih razloga, doći do konkretnih dokaza da je moguće prisluškivati podatake na računarima koristeći KEMZ. Posebno su važne nepoznanice nivoa (snaga) signala i distanca na kojoj on može da bude ''korisno'' prisluškivan.
Slika 3.7. Slika na TV ''skinuta'' sa VDU-a 19 I kod nas je to dokazano na savetovanju na Institutu bezbednosti, 1988. godine ''Elektromagnetska kompatibilnost i protivelektronska zaštita računara i računarskih mreža'', o čemu je izdat zbornik radova.
36
Postoji uverenje da je sve što je obazrivo skriveno teško rekonstruisati iz polja zračenja. Verovalo se da je prisluškivanje na digitalnoj opremi moguće samo uz korišćenje profesionalne opreme za detekciju i dešifrovanje. Zbog takvog uverenja digitalni uređaji za obradu informacija imali su srednji ili nizak nivo zaštite. To je, takođe, bio slučaj kod uređaja za prenos privatnih ili poslovnih informacija koji nisu zaštićeni od ovog načina prisluškivanja. Vim Van Ejkov rad rezultat je istraživačkog programa, čiji je nosilac bila Neher Laboratories of the Netherlands PTT. Dobijeni rezultati dokazali su da su navedene pretpostavke bile pogrešne.20 Mada su studije bile ograničene na mogućnost prisluškivanja video-displej jedinica ili terminala, rezultati kristalno jasno pokazuju da je u nekim slučajevima vrlo lako prisluškivati i druge delove računarskog sistema. U slučaju prisluškivanja VDU-a, prema navedenom radu, prislušni uređaji mogu da budu i obični TV prijemnici. Objekat ovog istraživačkog programa nije bilo samo studiranje problema za sebe, već istraživanje metoda za zaštitu od krađe ovakvog vida informacija. U prilogu ovog rada definisan je i metod merenja koji može da se koristi za proveru ozbiljnosti problema prisluškivanja sa individualnih video-displej jedinica. Pronađeno rešenje detaljno je opisano. Fokusirajući se samo na fenomen prisluškivanja, uočavamo da se prisluškivanje koristi u okviru tzv. elektronskog rata. ''Naime, u okviru protivdejstava na sistemima veza prisluškivanjem rada otkrivenih sredstava veze, dolazi se do dragocenih podataka o namerama protivnika. Pored izviđanja i obmanjivanja [Raz71], prisluškivanje je jedno od najčešće primenjivanih protivdejstava na ovim sredstvima.'' Zaključujemo da ova mogućnost ima (negativnih) posledica na metode visoke zaštite informacija. Ovo je posebno važno u slučajevima kada su neke preventivne mere već preduzete kao, na primer, kriptozaštita signala na liniji veze. I pored toga što reagujemo zaštitom protiv prisluškivanja signala sa računara, treba znati da nijedan sistem nije tako savršen, da ni tada nije bez ''slabih'' tačaka. Pošto je relativno jednostavno da se rekonstruiše informacija iz polja zračenja IT, ovaj fenomen može da ima posledice na bezbednost u onim slučajevima kad se zahteva srednji ili niži nivo bezbednosti informacija. Podrazumeva se da su viši nivoi bezbednosti u ovom smislu bez diskusije. Treba imati na umu da je moguće prisluškivati bankarske ili neke slične transakcije koje se obavljaju pomoću personalnog računara. Tako je moguće da vaš komšija kopira informacije pokazane na terminalu za vreme ovih aktivnosti (tj. podatke o finansijskoj situaciji) korišćenjem samo njegovog TV prijemnika. Sve ovo govori da problem prisluškivanja zahteva rangiranje nivoa bezbednosti informacija u opsegu od strogo poverljivih do privatno osetljivih. 3.4.3. Kliper čip Klintonova administracija21 je, u svoje vreme, predložila da se Clipper čip22 iskoristi i za sprovođenje elektronskog nadzora. Kliper čip je zasnovan na pretpostavci da vlada ima 20 Prema nosiocu istraživanja efekat oticanja podataka sa video terminala (ekrana) računara naziva se Van Ejk efekat. 21 Predsednik SAD sa kraja dvadesetog veka.
37
pravo da prisluškuje privatne razgovore. Svojevremeno, pri pokušaju Majkrosofta da se preko Internet eksplorera realizuje evidencija korisnika tako što bi se evidentirala i konfiguracija računara preko dva fajla CONFIG.SYS i AUTOEXEC.BAT, dokazano je da je moguće nadzirati rad korisnika putem javne računarske mreže. Podrazumeva se da onaj ko se prihvati nadzora neće dozvoliti ni da se nasluti da on to radi i obratno, onaj ko otkrije da je nadziran, nastojaće da uzvrati. Pre svega, nastojaće da svoje otkriće što bolje prikrije. Kliper čip je uređaj iza kog stoji američka vlada. Ugrađen je u računar i omogućuje da se kriptuju sadržaji na računarima, kao i sadržaji tokom komunikacije između računara. Konkretno, ako se komunicira e-mail-om, faksom, ako se prenose podaci... u biti sve će biti automatski kriptovano i dekriptovano. Načelno, svako bi bio onemogućen da čita ovakve sadržaje osim – američke vlade. Kliper posredno omogućuje vladinim službenicima da dekriptuju svaku "uhvaćenu" poruku. Naravno, ovo se radi na osnovu zakonskog ovlašćenja. Prema tome, apsolutna tajnost ne postoji. Zagovornici ove mogućnosti pravdali su je potrebom za nadzor potencijalnih terorista kao i njihove komunikacije putem javne računarske mreže, mada 99% komunikacija među ljudima odvija se posredstvom klasične telefonske linije (glas, faks, podaci), kao potrebu u prevenciji (organizovani kriminal, droga, terorizam, kidnaperi, pa čak i tzv. napredniji – belookovratnički kriminal) štaviše, navode se i primeri kad je elektronski nadzor prevenirao i u nacionalnoj bezbednosti. Nadzor se ipak koristi u funkciji otkrivanja namere. Prema tome, broj uhapšenih, optuženih i okrivljenih na osnovu nadzora je zanemarljiv. Priča o kliper čipu počinje sa "Computer Securities Act"-om iz 1987. godine koji je dopuna "Federal Property and Administrative Services Act"-a iz 1949. godine. U osnovama istorije kliper čipa navodi se da je, u suštini, reč o razvoju bezbednosnog standarda za nevojne računare. Aprila 1993. godine, Bela kuća i NIST (National Institute of Standards and Technology) objavljuju novu kriptošemu koja je imala za cilj zaštitu od "mekog" – belookovratničkog kriminala ali i kriminalnih radnji vezanih, pre svega, za distribuciju i uživanje droge i terorizam. Prema tome, pojavio se i međunarodni problem. Naime, američka vlada može preko kliper čipa da "štiti" američke građane od upada (nadzora) sopstvenih građana a svakako i od građana drugih država. Postavlja se pitanje zašto kliper čip ne bi koristio neko i u inostranstvu – van SAD. "Rešenje" je da se za svaku državu posebno obezbedi kliper čip sa drugim ključem!? Znači, zaštićeni ste od svih – osim američke vlade.
22 Amerikanci su izgleda paranoidno "opsednuti" prisluškivanjem pa i na Internetu. U "Politici" od 24. jula 2000. godine objavljen je članak o "Karnivoru" – sistemu za policijsko "njuškanje" na Internetu. "Karnivor navodno izdvaja sumnjive poruke iz glavnog toka informacija koje protiču kroz servis nekog Internet provajdera... Karnivor predstavlja jednu od inicijativa Klintonove administracije željne da obezbedi obaveštajnim službama pravo na prisluškivanje onlajn sveta... pa sadašnja adminstracija želi da očuva sposobnost kontrolisanja kriminalnih aktivnosti i u novim okolnostima.''
38
4. MODELI BEZBEDNIH INFORMACIONIH SISTEMA U prethodnoj glavi idetifikovali smo napade na informacione sisteme. U ovoj glavi biće dat strukturni model bezbednog informacionog sistema, prema [Muf79] i primer organizacionog modela bezbednog informacionog sistema prema [Rod01a]. Do sada se moglo zaključiti da su opasnosti za IS ozbiljne i da slučajno ili namerno izazvane štete mogu da budu nesagledive po političkim, organizacionim, materijalnim i najzad – finansijskim efektima. Jasno je da protiv svih tih opasnosti treba uvoditi stalno nove, pre svega preventivne mere. Najjednostavniji problem za rešavanje bio bi kada bi svaki korisnik imao IS sa isključivo svojim (ličnim) programima, sa privatnim podacima. U tom slučaju, svi objekti u sistemu su tako zaštićeni da im nijedan drugi korisnik, koji nije njihov vlasnik, nema pristup. Ovakav IS omogućuje bezbednost metodom potpune izolacije. Međutim, u realnosti se mora omogućiti široka saradnja među programima, standardnim sistemskim rutinama, među korisnicima na klijentskim računarima itd. Tu saradnju treba da karakteriše potpuna kontrola rada sistema i korišćenja svih njegovih komponenata. S jedne strane, programe i podatke treba da koriste svi oni kojima su potrebni i samo tako se opravdavaju napori i sredstva uloženi u njihovo kreiranje i održavanje. S druge strane, kooperacija treba da bude dobrovoljna a zaštitne mere da garantuju bezbednost privatnih i poverljivih podataka i programa i posebno da kontrolišu upotrebu zajedničkih podataka samo pod uslovom ukoliko to njihovi vlasnici prihvataju. Na osnovu prethodnog dolazi se do važnog zaključka [Muf79]: zaštitne mere moraju imati širok spektar delovanja. S jedne strane, treba da omoguće kompletnu izolaciju informacija u IS, a s druge strane, najširu saradnju korisnika, sa svim varijantama koje se nalaze između ove dve krajnosti. Da bi se rešio problem potpune bezbednosti IS, potrebno je razviti apstraktnu teoriju koja će biti dovoljno formalna da može da reši ne samo probleme iz prošlosti nego i potencijalne probleme u budućnosti. Za razvoj takve teorije, potrebno je najpre definisati formalni IS i pomoću njega razmotriti aspekte bezbednosti rada IS. Formalni model je struktura na određenom nivou apstrakcije.
4.1. Strukturni model bezbednog informacionog sistema Pretpostavimo da sistem bezbednosti IS samo kontroliše kreiranje, upotrebu i brisanje različitih objekata u sistemu, posebno podataka sa programima i podacima. Spektar delovanja tog mehanizma uključuje sve varijante, od potpune izolovanosti rada programa do kompletne kooperacije i zajedničkog pristupa do svih onih komponenata potrebnih za tu kooperaciju. U sklopu tog spektra može se identifikovati sedam različitih aspekata zaštite, svaki od njih sa sve većim stepenom kooperacije među programima i podsistemima i svaki od njih sve teži i složeniji za realizaciju: 1. Zajednička upotreba kopija programa i datoteka 2. Zajednička upotreba originalnih programa i datoteka 3. Zajednička upotreba programskih sistema i podsistema 4. Omogućavanje saradnje posebnih, tzv. uzajamno nepoverljivih podsistema 5. Kompletno izolovana obrada 6. Rad tzv. ''podsistema bez memorije'' – onih koji ne menjaju sadržaj datoteka ili druge programe kao rezultat svog izvođenja
39
7. Rad testiranih podsistema – onih čija je tačnost proverena i garantovana. Uočavaju se dve logičke strukture u datoj listi. Prva logička struktura odnosi se na veličinu komponenata informacionog sistema. U ovom slučaju razlikuju se dve grupe: programi i programski podsistemi. Pojam program je intuitivno jasan i zasad neće biti definisan. Programski podsistem je, na primer, skup određenih rutina koje omogućavaju izvođenje i kompajliranje korisnikovih programa pisanih u bilo kom programskom jeziku. Takav podsistem može da bude, na primer, asemblerski programski podsistem koji se sastoji od makroprocesora, asemblera, asemblerskih rutina i dinamičkog loadera. Drugi primer može da bude sistem za dinamičko ispravljanje grešaka koji sadrži razne rutine za listanje pojedinih delova programa, menjanje lokacija u memoriji, uspostavljanje tačaka prekida izvođenja (kontrolne tačke), inicijaliziranje ponovnog izvođenja itd. Druga logička struktura iz date liste odnosi se na internu strukturu programa i deli se takođe u dve grupe: u prvu grupu spada zaštita koja je irelevantna od interne programske strukture (nivoi od 1–4), dok nivoi od 5–7 uglavnom zahtevaju analizu unutrašnje strukture programa da bi se utvrdio njihov način rada. Ove dve grupe mogle bi se nazvati i eksterno, odnosno interno orijentisana zaštita. Osim toga nivoi od 5–7 još uvek predstavljaju probleme čije rešavanje zahteva dodatne analize koje zalaze u metode strukturnog programiranja, serijski i rekurzivno upotrebljivih rutina, teorije kompajliranja itd. Uočava se, takođe, da se bavimo samo tehničkim aspektima bezbednosti IS. To nije zbog toga što su oni važniji od ostalih faktora bezbednosti (socijalnih, zakonskih, organizacionih itd), nego zbog toga što im je olakšan egzaktni pristup. Sigurno je da tehničke mere zaštite ne pružaju potpunu bezbednost IS i moraju da budu pokrivene i drugim merama. Jedna od aktivnosti u kreiranju bezbednog IS jeste specificiranje osnovnih komponenata i njihovog međudelovanja. Osnovne komponente su one koje treba da budu zaštićene i one protiv kojih treba da se organizuje zaštita. Potrebna su takođe i pravila koja definišu kako pojedine od tih komponenata deluju na ostale komponente u sistemu. Već ovde se uočava određen stepen formalizacije, jer više se ne govori o programima, rutinama, datotekama itd, nego jednostavno o opštim komponentama IS bez neke njihove konkretne interpretacije. Time se čini prvi i najvažniji korak ka realizaciji formalnog modela IS. Pored izdvajanja pojedinačnih značajnih komponenata, važno je i obezbediti da svaki proces u sistemu ima jedinstvenu identifikaciju, koju mu mehanizam bezbednosti dodeljuje u momentu kreiranja procesa. Na taj način nemoguće je da procesi izvode one akcije koje im nisu dozvoljene, a identifikacije mogu biti korišćene i za klasifikovanje procesa u tzv. uzajamno nepoverljive podsisteme. 4.1.1. Model Strukturni model bezbednog IS ima tri grupe komponenata. Prva grupa je skup objekata, pri čemu se objektom naziva svaka komponenta IS koja može da bude korišćena i do koje pristup mora da bude kontrolisan. To mogu da budu
40
''pasivni'' elementi sistema, (oni elementi koji ne menjaju ostale komponente), kao što su strana u virtuelnoj memoriji (blok u glavnoj memoriji, datoteka ili hardverske jedinice magnetnih traka itd). Objekti takođe mogu da budu i ''aktivne'' komponente sistema (one komponente, koje mogu da menjaju druge komponente), kao što su programi, rutine, funkcije, kontrolne sekcije, instrukcije ili sami korisnici. Svaki objekat može da se koristi i menja na razne načine i sve te aktivnosti treba da budu pod strogom kontrolom. Svakom objektu u sistemu pridružena je njegova identifikacija, označena sa ''O'', koja mu se dodeljuje u momentu njegovog kreiranja. To može da bude naziv za datoteku, lozinka za korisnika ili vreme za sistemski sat. Svi objekti će biti raspoznavani isključivo pomoću njihove jedinstvene identifikacije. Druga grupa komponenata modela je skup subjekata, pri čemu je subjekt isključivo aktivna komponenta u informacionom sistemu i koji može da zahteva pristup do raznih drugih objekata. Subjekat u modelu će uvek biti definisan kao uređen par (proces, domen) gde proces predstavlja niz instrukcija (odnosno akcija koje one označavaju), a domen je skup uslova pod kojima se taj niz instrukcija izvodi. Ovakva definicija subjekta može u isto vreme da bude i formalna definicija programa u računaru. Shodno tome, jedan isti program koji je u korisnikovom modu predstavlja različit subjekt od tog programa u privilegovanom modu, jer su promenjeni uslovi izvođenja programa (promenjen je domen). Subjekti u modelu će biti označavani sa ''S''. Treća grupa je skup pravila koja regulišu manipulisanje objektima od strane subjekata. Ta pravila prvo moraju da budu jednostavna, ali istovremeno nedvosmislena. Treba da budu kompletna i da ne dozvoljavaju neautorizovane akcije. Najzad, treba da budu i fleksibilna u smislu menjanja, dodavanja ili brisanja novih i starih subjekata i objekata. Najvažnija pretpostavka za rad modela jeste da svako korišćenje pojedinog objekta mora da bude kontrolisano i taj proces ne sme da se oslanja ni na kakva pravila iz prošlosti ili ''logičke'' zaključke. Time se misli, na primer, da ukoliko je nekom subjektu dozvoljena upotreba nekog objekta u datom trenutku, on ima to pravo ne zato što ga je imao i ranije, nego to pravo je, u stvari, rezultat provere u trenutku postavljanja zahteva za korišćenje objekta. Svi tipovi korišćenja objekata od strane subjekata u jednom momentu formiraju tzv. stanje bezbednosti sistema. Tako se sistem nalazi u jednom (i samo jednom stanju) bezbednosti i nijedno od tih stanja ne sme da bude uzajamno protivrečno. Tako, na primer, ako se u sistemu nalaze samo jedan subjekt (program) i samo jedan objekt (datoteka) i ako programu može da bude dozvoljeno ili da čita ili da menja datoteku, onda sistem ima dva stanja bezbednosti. Naravno, njihov broj se sa povećanjem subjekata i objekata brzo povećava. U vezi sa pojmom stanja bezbednosti sistema javljaju se tri problema: kako predstaviti pojedina stanja, kako obezbediti korišćenje objekata od strane subjekata samo u skladu sa definicijom trenutnog stanja bezbednosti i kako prelaziti iz jednog stanja bezbednosti u drugo bez opasnosti da sistem dođe u nesigurno stanje. U vezi sa prvim problemom biće definisana tzv. matrica pristupa ''A'' za sve subjekte u sistemu. Njeni redovi će odgovarati subjektima u modelu, a kolone objektima. Pojedini elementi te matrice, označeni sa A(S,O), koji za dati subjekt S i dati objekt O definišu dozvoljene načine korišćenja objekta O od strane subjekta S, nazivaju se atributi pristupa i biće označeni sa a. Tako, ako je A (S,O) = a, tada se kaže da ''S ima pravo a na O''. Primer jedne takve matrice dat je na Slici 4.1.1.
41
SUBJEKTI
OBJEKTI Subjekti S1 S2 S3
S1 Bl, I
S2
Datoteke S3
D1 Č, P
S Br
D2 D M L
Jedinice J1 T
J2 T
R
Slika 4.1.1. Matrica pristupa Bl – blokiranje I – izvođenje Z – zaustavljanje Č – čitanje P – pisanje Br – brisanje
M – modifikovanje L – listanje T – traganje D – dodeljivanje R – rezervisanje
Drugi način predstavljanja matrice pristupa sa Slike 4.1.1. prikazan je na Slici 4.1.2, ovoga puta u obliku dijagrama, koji se naziva dijagram pristupa. Svaki čvor dijagrama predstavlja subjekt ili objekt u sistemu. Strelice označavaju ''pravac'' međudelovanja, a oznake na njima vrstu tog međudelovanja. Svakom objektu u informacionom sistemu pridružen je poseban kontrolni program koji se naziva monitor i koji kontroliše pristup do tog objekta. Ta kontrola se izvodi na sledeći način: 1. Subjekat S zahteva pristup do objekta O na način a 2. Operativni sistem kreira trojku (S,O,a) i dostavlja je monitoru za objekat O 3. Monitor upoređuje atribut pristupa A(S,O) iz matrice pristupa sa primljenim zahtevom a 4. Ukoliko se a javlja kao jedan od atributa, pristup je dozvoljen, u suprotnom je odbijen.
42
traženje
čitanje pisanje
S1
D1
J1
blokiranje izvođenje
traženje
SS
modifikovanje
zaustavljanje
D2
J2
rezervisanje
S3
listanje
brisanje Slika 4.1.2. Dijagram pristupa Može se primetiti da se odobravanje ili odbijanje pristupa do nekog objekta vrši u samom momentu zahteva, dakle, dinamički. Opšta šema takve kontrole je data na Slici 4.1.3.
43
Subjekat: S Objekat: O Zahtev: a
Trojka (S, O, a)
Monitor za O Odbijanje
Odobravanje Slika 4.1.3. Kontrola pristupa
Važno je napomenuti da jedino zaštitni mehanizam formira i dodeljuje identifikacije svim subjektima i objektima i one ne smeju da budu menjane od strane samih subjekata. Te identifikacije su zapravo memorisane u matrici pristupa i, prema tome, nemogućnost menjanja identifikacije znači istovremeno nemogućnost pristupa toj matrici. To je i osnovna pretpostavka modela: nijedan subjekat ne može da menja nijedan elemenat matrice pristupa i na toj pretpostavci se i bazira cela zaštitna struktura. Prema tome, korektnost te strukture zavisi od korektnosti kontrolnih monitora koji mogu da manipulišu matricom pristupa. Do sada je diskutovano samo o korišćenju te matrice, ali ne i o njenom modifikovanju. Pošto je matrica pristupa u određenom smislu i objekat u sistemu i ona ima svoj monitor. To je program koji može da čita i menja atribute zaštite i to je jedini program kome je to dozvoljeno. On može da prenosi, prihvata ili da briše pojedine atribute po želji subjekata, ali samo uz odgovarajuću autorizaciju. U svrhu određivanja autorizacije definišu se dva posebna atributa pristupa: ''vlasnik'' i ''kontrola'' i pojam kopiranja (označen zvezdicom uz atribut). Subjekat ima atribut ''vlasnik'' u matrici pristupa u odnosu na neki objekat ukoliko je on i kreirao taj objekat. Ukoliko subjekat ima atribut ''kontrola'' u odnosu na neki objekat, on može da dodeljuje ostale atribute pristupa do tog objekta drugim subjektima, može da ih uskraćuje ili da briše objekat iz sistema. Primećujemo da atribut ''vlasnik'' povlači automatski atribut ''kontrola''. Prema tome, proširena matrica pristupa može da izgleda kao na Slici 4.1.4.
44
SUBJEKTI
OBJEKTI Subjekti S1 S2 S3
S1 K
S2 V, Bl, I K
S3 V,K Z K
Datoteke D1 Č*, P* V Br
D2 D M V,Br
Jedinice J1 T V R
J2 V T*
Slika 4.1.4. Proširena matrica pristupa Bl – blokiranje Z – zaustavljanje M – modifikovanje Č – čitanje P – pisanje Br – brisanje R – rezervisanje
I – izvođenje L – listanje T – traganje D – dodeljivanje K – kontrola V – vlasnik
Uočava se da svi dijagonalni elementi imaju atribut ''kontrola'', što je i prirodno. Neki od ostalih atributa su novi, a neki se javljaju sa osobinom kopiranja. To znači, na primer, da dozvola za čitanje datoteke Di koju Si poseduje, može da bude dodeljena i drugim subjektima. Subjekat Si može takođe da dozvoli da neki njegovi atributi koji se odnose na izvestan objekat O budu dodeljeni drugom subjektu Sj na zahtev tog subjekta. To je šematski prikazano na Slici 4.1.5
Zahtev
Sj
Si
Odobrenje Slika 4.1.5.a Prenos atributa pristupa
45
Si
Sj
а
О
Slika 4.1.5.b Dodeljivanje atributa pristupa Sa Slike 4.1.5. može da se uoči razlika između prenosa i dodeljivanja atributa pristupa. Kod prenosa atribut ''a'' postaje stalan za subjekat Sj, dok prilikom dodeljivanja on traje samo dok traje i subjekat Si. To u neku ruku predstavlja nadgledanje od strane subjekta Sj na koji način subjekat Sj koristi objekat O. Takođe je potrebno pravilo da ako subjekat poseduje neki objekat (atribut ''vlasnik''), onda on može da kontroliše i menja pojedine atribute pristupa tom objektu koji su dodeljeni drugim subjektima. Sa Slike 4.1.4. vidi se da subjekat S2 koji je vlasnik datoteke D1 može da menja atribute ''čitanja'', ''pisanja'' ili ''brisanja'' koje poseduju subjekti S1 i S3. Naravno, ukoliko subjekat poseduje neke objekte, onda je njemu dozvoljeno da čita njihove atribute zbog kontrole i menjanja i za to je potrebno definisati posebno pravilo. Naravno, to čitanje se izvodi preko monitora matrice pristupa. Najzad, potrebno je u sistemu kreirati nove i brisati stare subjekte i objekte, tako da je kompletna lista operacija za manipulisanje matricom pristupa data u Tabeli 4.1.1.
46
Pravilo P1
Autorizacija u A(S0, O) ⎧a *⎫ PRENOS ⎨ ⎬ u S, O ⎩a⎭
Komanda (od S0) a*
P2
⎧a *⎫ DODELA ⎨ ⎬ u S, O ⎩a⎭
P3
⎧a *⎫ BRISANjE ⎨ ⎬ iz S, O ⎩a⎭
P4
W : = ČITANJE S, O
P5
KREIRANJE OBJEKTA O
------------------
P6
BRISANJE OBJEKTA O
''Vlasnik''
P7
KREIRANJE SUBJEKTA S
------------------
P8
BRISANJE SUBJEKTA S
''Vlasnik''
''Vlasnik'' ''Kontrola'' u A (S0, S), ''Vlasnik'' ''Kontrola'' u A (S0, S), ''Vlasnik''
Operacija ⎧a *⎫ Unošenje ⎨ ⎬ u A (S, O) ⎩a⎭ ⎧a *⎫ Unošenje ⎨ ⎬ u A (S, O) ⎩a⎭
⎧a *⎫ Brisanje ⎨ ⎬ iz A (S, O) ⎩a⎭ Kopiranje A (S, O) u W Dodavanje kolone za O u A; ''Vlasnik'' u A (S0, S) Brisanje kontrole za O i A Dodavanje reda za S; izvođenje P5; unošenje ''Kontrola'' u (S, S) Brisanje reda za S; izvođenje P6
Tabela 4.1.1. Komande za manipulisanje matricom pristupa Opis pravila iz Tabele 4.1.1. je sledeći: Pravilo P1 omogućuje subjektu da prenose određeni atribut pristupa koji on poseduje za bilo koji objekat na bilo koji drugi subjekat, ukoliko postoji dozvola za kopiranje (označena sa ''*'') i ta dozvola može, a i ne mora, da bude prenesena zajedno sa atributom pristupa. Pravilo P2 predstavlja privremeno dodeljivanje atributa, a ne trajno prenošenje, pravilo P3 predstavlja brisanje atributa od strane vlasnika, a P4 čitanje atributa iz matrice u kontrolni vektor w. Pravila od P5—P8 predstavljaju kreiranje novih i brisanje starih subjekata i objekata. Primećuje se da subjekat može da ima atribut ''vlasnik'' za bilo koji objekat, a atribut ''kontrola'' samo za one objekte koji su istovremeno i subjekti. Takođe se pretpostavlja da je svaki subjekat kontrolisan od najviše jednog subjekta, koji je onda u hijerarhiji subjekata iznad njega, iako se mogu uvoditi i višestruke kontrole. Ukoliko subjekat ima atribut ''vlasnik'' za drugi subjekat, on može da menja atribute tog subjekta (koji je u suštini njegov objekat) pa specijalno može i sam sebi da dodeli bilo koji atribut. Tako je atribut ''vlasnik'' najviši i najmoćniji i on istovremeno implicira sve ostale atribute pristupa. Takođe je jasno da su svi atributi bezuslovni, a naravno, mogu se uvesti i uslovni koji će biti označeni sa (a, k): atribut pristupa a je dodeljen subjektu S samo ako je k > 0 i svaki pristup reducira k za jedan. Tako je pristup dozvoljen uslovno, samo k puta. Modifikacije matrice pristupa u slučaju kreiranja novih subjekata i objekata u sistemu su sledeće: 47
Formiranje novih objekata koji nisu istovremeno i subjekti vrlo je jednostavno. U tom slučaju na celu matricu dodaje se još jedna kolona. Subjekat koji kreira novi objekat koristi pravilo P5 i dobija atribut ''vlasnik'' za novi objekat. Posle toga, može se koristiti pravilo P2 i može se dozvoliti upotreba novog objekta i drugim subjektima u sistemu. Brisanje objekta (koje može da vrši samo vlasnik i koje odgovara pravilu P6) odražava se kao brisanje sadržaja odgovarajuće kolone u matrici pristupa. Formiranje novog subjekta zahteva kreiranje nove kolone i novog reda u matrici. Kreator automatski dobija atribut ''vlasnik'', a novi subjekat atribut ''kontrola'' za samoga sebe. Brisanje subjekta, dozvoljeno samo njegovom vlasniku, odražava se na matrici pristupa tako da se briše sadržaj odgovarajuće kolone. U skladu sa već ranijom definicijom subjekta (kao uređeni par (proces, domen)), postoje dve mogućnosti kako može da se kreira novi subjekat: ili postojeći proces menja domen, ili se kreira novi proces u nekom domenu. U vezi s prvim načinom, proces mora da bude autorizovan da menja domen, jer se menjanjem domena menjaju i atributi pristupa. Ukoliko proces P1 prelazi iz domena D1 u domen D2, to odgovara kreiranju novog subjekta S2 = (P1, D2), pri čemu subjekat S1 = (P1, D1) još uvek egzistira, ali se smatra pasivnim. Ukoliko model pretpostavlja uslov da svaki subjekat ima samo jednog vlasnika, u tom slučaju binarna relacija ''vlasnik'' definiše hijerarhiju subjekata. Sa Slike 4.1.4. može se uočiti formirana hijerarhija subjekata kao na Slici 4.1.6. S1
S3
S2
Slika 4.1.6. Hijerarhija subjekata Na slici 4.1.6. S1 se naziva prethodnik od S2 (i od S3), dok su subjekti S2 i S3 njegovi naslednici. Koristeći pravilo P1, subjekat može da prenosi atribute pristupa samo na svoje naslednike, pravilom P2 može svom nasledniku da dodeljuje atribute, iz pravila P3 vidi se da subjekat može da briše bilo koji atribut naslednika, a pomoću P4 može da ispituje te atribute. Ovakva hijerarhija, pored ostalog, služi da bi se obezbedilo to da naslednik ni u kom slučaju nema veća prava pristupa nego njegov prethodnik.
48
Za čitavu hijerarhiju subjekata može se definisati jedan subjekat koji nema prethodnika. On se naziva univerzalni subjekat i ima vlasništvo nad svim ostalim subjektima, prema tome, i sve moguće atribute pristupa. Na početku tačke 4.1. navedeno je sedam aspekata ili nivoa zaštite od kojih su za sada od praktične važnosti samo prvih pet. Opisani model rešava prva četiri aspekta pomoću matrice pristupa. Pri svakom zahtevu za korišćenjem nekog objekta konsultuje se matrica pristupa i zahtev se odobrava ili odbija. Pri tome mogu svi zahtevi (osim zahteva vlasnika) da budu a priori odbijeni, što odgovara kompletno izolovanoj obradi, ili mogu da se odobravaju u skladu sa uslovima specifikovanim u matrici pristupa, što odgovara ostalim nivoima zaštite. Preostaje još da se vidi kako opisani model rešava probleme saradnje tzv. međusobno nepoverljivih podsistema i programa. Kao primer međusobne nepoverljivosti mogu se uzeti dva korisnika koji su u nekoj vrsti međusobne konkurencije. Na primer, prvi korisnik želi da računa određene statističke vrednosti i za te testove koristi glavni program koji poziva pomoćnu rutinu koja generiše podatke i kreira odgovarajuću datoteku. Na istoj mašini postoji statistički program koji pripada drugom korisniku. Zbog uzajamne konkurencije u radu, oba korisnika žele da budu oprezni sa svojim podacima i programima. Vlasnik statističkog programa ne želi da mu program bude ukraden i odobrava samo upotrebu, a ne i listanje programa. Prvi vlasnik želi da bude siguran da program za statističku analizu slučajno ne poziva njegov glavni program i tako otkrije i ostale rezultate njegovog rada. Uzajamni odnos između ova dva korisnika (i njihovih programa na sistemu) naziva se međusobna nepoverljivost. Svaki od njih veruje drugome toliko koliko je potrebno za pomenute statističke analize i ništa više. Da bi se rešio problem ovakve saradnje, uvodi se novi atribut pristupa koji se naziva ''indirektan'' pristup. Neka subjekat S1 poseduje objekat S (koji je takođe i subjekat) i koji on želi zajednički da koristi sa subjektom S2. Međutim, S1 je međusobno nepoverljiv sa S2 i želi da ima pravo da u bilo kojem momentu briše sve njegove atribute pristupa. Može da se javi i slučaj da S (kao subjekat) ima pristup do nekog objekta O i da S2, iako ima dozvoljen pristup do S, ne treba da ima pristup i do objekta O. Takav atribut pristupa subjekta S2 do subjekta S naziva se ''indirektan''. Ukoliko jedan subjekat ima indirektan pristup do drugog, tada prvi može da koristi objekte na isti način kao i drugi, i on može da čita atribute drugog subjekta (kao njegov ''inidirektni'' prethodnik), ali ne može da ih menja ili dobije za sebe. Takva veza se naziva labilna i ona je prikazana na Slici 4.1.7.
49
S1
S2
''Vlasnik''
''Indirektno''
S
а
О Slika 4.1.7. Indirektan pristup Vraćajući se ponovo na primer statističke analize, Slika 4.1.7. ima sledeću interpretaciju: prvi korisnik ima glavni program (S1), koji poziva rutinu za generisanje podataka (S) i koja kreira izlaznu datoteku (O). Program drugog korisnika (S2) može da poziva samo rutinu za kreiranje podataka (i stoga ima i pristup u izlaznu datoteku), ali ne i glavni program prvog korisnika. Da bi uveo ''indirektan'' atribut pristupa, monitor objekta mora da se neznatno modifikuje. On sada radi na sledeći način: 1. S2 inicijalizira indirektan pristup do objekta O preko subjekta S na način a 2. Sistem kreira trojku (S2, S—S1, a) i dostavlja je monitoru objekta O 3. Monitor koristi matricu pristupa da bi odredio da li je atribut ''indirektan'' u A (S2, S) i atribut a u A (S, O); ukoliko jeste, pristup se odobrava. Time je završen opis formalnog modela koji služi za razvijanje teorije bezbednih sistema. Stanje bezbednosti sistema definiše se pomoću matrice pristupa. Pokazano je takođe kako ovaj model rešava probleme korišćenja sistemskih komponenata što je zahtevano na prvih pet nivoa u karakteristikama modela. Ostaju još da se razmotre različiti načini realizacije ovog modela. Na kraju će biti navedeno nekoliko primera koji imaju neke od navedene karakteristike modela. Pre toga, potrebne su dve napomene. Najpre, može se primetiti da je model veoma jednostavan, jer ograničavajući njegovu kompleksnost, lakše se mogu proučiti njegove osnovne karakteristike. Model je i prihvatljiv, jer dozvoljava široku nadgradnju (višestruki prethodnici u hijerarhiji subjekata, višestruki univerzalni subjekti, stalni ili privremeni objekti itd). Druga napomena odnosi se na spektar bezbednosti informacionog sistema koju ovaj model pruža. On, naime, nije kompletan. Ne postoji 50
zaštita za komunikacione linije, a nije predviđena ni mogućnost greške u sistemu. Što se tiče definisanja i kontrole rada uzajamno nepoverljivih subjekata, i ono je često široko. Međutim, model je u suštini tehničke prirode i mora da se kompenzuje i drugim merama. Još jednom se uočava da kompletno rešenje za probleme bezbednosti informacionih sistema mora da obuhvati zaštitu i drugih komponenata.
4.2. Primeri organizacionog modela bezbednog informacionog sistema Na osnovu [Sta99] i [Rod01a] daćemo dva primera modela bezbednog informacionog sistema. Modeli su urađeni korišćenjem UML (Unified Modeling Language) metodologije. Za prikaz će se koristiti dijagram za slučaj korišćenja (use-case diagram). Razmatra se informacioni sistem, česta pojava u praksi, koji integriše autonomni informacioni sistem (AIS) i javni informacioni sistem (JIS)23, to je tzv. informacioni sistem integracije (ISI).
-End10 *
-End11
-End5
-End7 *
*
*
Sanatori
ISI -End9
* *
*
-End12
Sanacija ISIja
«extends»
-End8
Degradacija ISIja
«extends»
Degradacija i odbrana spolja
* Napad spolja
-End1
-End4
-End6
*
-End3
«extends» Odbrana ISI-ja
*
-End2
*
* Bezbednosni deo ISI-ja
Zlonamernik van sistema
Slika 4.2.1. Dijagram slučajeva korišćenja (use case diagram) za napade i odbranu preko ISI Primećujemo da je "zlonamernik" stereotip tipa "business actor", mada može biti i tipa "business worker". Naime, štetočina može biti i nehotično lice van ili/i u sistemu, nije mu "zlonamernik", osnovno "zanimanje" (business actor), mada može i biti osnovno (business worker). Tekstualni opis se daje za svaki slučaj korišćenja. 23
Misli se, pre svega, na Internet.
51
Slučaj korišćenja: napad spolja Kratak opis: zlonamernik van sistema je pokušao (pokušava) napad Učesnici: zlonamernik van sistema Uslovi koji moraju biti "zadovoljeni" pre izvršavanja: mora biti uspostavljena konekcija AIS sa JIS Opis: zlonamernik van sistema pokušava da obiđe bezbednosni deo ISI i u mogućnosti je da izazove degradaciju AIS Izuzeci: napad ne mora biti sa negativnim posledicama Uslovi koji moraju biti "zadovoljeni" posle izvršavanja: zlonamernik je izvršio (vrši) svoju "misiju" Bezbednosni deo ISI nije reagovao. Dograditi bezbednosni deo ISI Slučaj korišćenja: degradacija ISI Kratak opis: "mere" koje prema IS "preduzima" zlonamernik van sistema Učesnici: zlonamernik van sistema, ISI Uslovi koji moraju biti "zadovoljeni" pre izvršavanja: mora biti uspostavljena konekcija AIS sa JIS. Slaba je odbrana AIS Opis: zlonamernik van sistema obilazi bezbednosni deo ISI i realizuje prekid, preticanje, modifikaciju i fabrikaciju Izuzeci: podrazumeva se da je funkcionisao bezbednosni deo ISI Uslovi koji moraju biti "zadovoljeni" posle izvršavanja: zlonamernik van sistema je izvršio (vrši) svoju "misiju". Bezbednosni deo ISI nije reagovao. Treba dograditi bezbednosni deo ISI Slučaj korišćenja: odbrana ISI Kratak opis: zlonamernik van sistema je pokušao (pokušava) napad, bezbednosni deo ISI je reagovao Učesnici: zlonamernik van sistema, bezbednosni deo ISI Uslovi koji moraju biti "zadovoljeni" pre izvršavanja: mora biti uspostavljena konekcija AIS sa JIS. Jaka je odbrana AIS Opis: zlonamernik van sistema nije obišao (ne može da obiđe) bezbednosni deo ISI i ne realizuje prekid, preticanje, modifikaciju i fabrikaciju. Napad se detektuje i na njega se uspešno reaguje Izuzeci: bezbednosni deo ISI ne reaguje na svaku vrstu napada Uslovi koji moraju biti "zadovoljeni" posle izvršavanja: zlonamernik van sistema nije izvršio (ne vrši) svoju "misiju", bezbednosni deo ISI je reagovao, registrovan je napad, preduzete su mere odbrane Slučaj korišćenja: sanacija ISI Kratak opis: zlonamernik van sistema je uspeo sa napadom, bezbednosni deo ISI nije reagovao, vrši se sanacija štete na ISI Učesnici: sanatori, ISI Uslovi koji moraju biti "zadovoljeni" pre izvršavanja: mora biti uspostavljena konekcija AIS sa JIS. Slaba je odbrana AIS Opis: zlonamernik van sistema je obišao bezbednosni deo ISI i realizuje prekid, preticanje, modifikaciju i fabrikaciju – izazvao je štetne posledice. Napad nije detektovan i na njega se nije uspešno reagovalo. Vrši se sanacija u skladu sa Glavom 8 Izuzeci: bezbednosni deo ISI reaguje na svaku vrstu napada, nema štetnih posledica 52
Uslovi koji moraju biti "zadovoljeni" posle izvršavanja: zlonamernik van sistema je izvršio (vrši) svoju "misiju", bezbednosni deo ISI nije reagovao, registrovan je napad, preduzete su mere sanacije (ojačan bezbednosni deo ISI) Na sledećem dijagramu slučajeva korišćenja prikazan je bezbednosni informacioni sistem (BzIS) sa svim učesnicima iz tačke 5.3.1.
Bezbednosni informacioni sistem (BzIS) kao deo ISI-ja -End13
* * -End16 -End35
-End14
*
*
Glavni referent za bezbednost * -End11 -End12 * *
Koordinacija zast. mera ka lok. ref. bezb.
*
-End36 *
-End15 -End17* *
*
-End18 -End23
Koordinacija ka gl. adm. cen. za intranet
Pretrazivanje javne BP *
-End9
-End8
-End19
Lokalni referent za bezbednost -End20 -End21
Koordinacija zast. mera ka lok. adm. AIS
*
-End25
*
Odrzavanje privrem ene BP *
*
-End28
-End26 * *
-End6
Direktna komunikacija sa lokalnim administra torima
*
*
-End10
-End5 *
*
-End27
*
Korisnik
*
-End29
-End7 *
-End3
*
*
-End4 Upravljanje privre menom BP
-End30
-End22 -End24 *
*
-End32 * -End34
Glavni administrativni centar za intranet * -End1 *
*
-End31 -End33
-End2
Lokalni administrator za AIS
Upravljanje javnom BP *
*
Slika 4.2.2. Dijagram slučajeva korišćenja za BzIS Slučaj korišćenja: upravljanje javnom BP Kratak opis: formiranje i ažuriranje dokumenata javne BP, administracija korisnika javne baze podataka Učesnici: glavni administrativni centar za Intranet. 53
Uslovi koji treba da budu ispunjeni pre: postojanje dokumenata javne BP i stečeno iskustvo u primeni različitih sistema zaštite, kriterijum glavnog referenta bezbednosti u vezi sa korisnicima – ko može biti korisnik Opis: formiraju se dokumenti od opšteg značaja za unapređenje bezbednosti sistema. Dokumenti se razlikuju po cilju i sadržaju. Dokumenti se odnose na određene standarde zaštite, pripremu za detekciju napada i implementaciju mehanizama zaštite, opise nedostataka određenih tehnologija, itd. Funkcija i sadržaj dokumenata su dati u Glavi 9 Izuzeci: pojava događaja (standarda, postupaka u prevenciji – sanaciji, nedostataka, tehnologija i sl) koji nisu definisani – opisani dokumentima, pojava "korisnika" mimo kriterijuma glavnog referenta bezbednosti Uslovi koji treba da budu ispunjeni posle: ažurnost dokumenata javne BP, evidentirani korisnici sistema i ažurna statistika korišćenja sistema Slučaj korišćenja: upravljanje privremenom BP Kratak opis: administracija korisnika privremene baze, formiranje i ažuriranje dokumenata privremene baze podataka Učesnici: glavni administrativni centar za Intranet, lokalni administrator u AIS Uslovi koji treba da budu ispunjeni pre: glavni administrativni centar za Intranet i/ili lokalni administrator za AIS je/su registrovan(i) kao ovlašćeni (autentikovani/autorizovani) korisnik(ci) sistema. Glavni administrativni centar za Intranet dobio je od glavnog referenta bezbednosti spisak korisnika sa nadležnostima. Glavni administrativni centar za Intranet i/ili lokalni administrator za AIS je(su) ustanovio(li) da je AIS za koji je nadležan korumpiran od strane unutrašnjeg ili spoljnjeg napadača Opis: omogućuje lokalnom administratoru za AIS da dostavi informacije o incidentu. Lokalni administrator za AIS popunjava obrazac za prijavljivanje incidenta i uz prethodnu proveru identiteta smešta kriptovani dokument u privremenu bazu podataka. Mada ova opcija treba da bude rešena automatizmom. Naime, svaki "log" korisnika inicira formiranje novog žurnala koji evidentira aktivnosti korisnika. Neregularne aktivnosti se prepisuju u privremenu BP. Glavni administrativni centar za Intranet odgovoran je za ažurno stanje privremene baze podataka. Licima iz glavnog administrativnog centra za Intranet, koja imaju ovlašćenja za upravljanje bazom, omogućen je izbor opcija za ažuriranje sadržaja baze (dodavanje, brisanje, promena). Ažuriranje se odnosi na strukturu baze, strukturu dokumenata i sadržaj dokumenata Postoje tri vrste "korisnika" s obzirom na prava pristupa. Glavni administrativni centar za Intranet ima pristup svim segmentima sistema sa pravom izmene sadržaja ili strukture dokumenata. Lokalni administrator za AIS ima autentikovani pristup privremenoj bazi podataka za slanje izveštaja o incidentu i autentikovani pristup javnoj bazi podataka. Korisnik (podrazumeva se da nema administrativne nadležnosti) ima autentikovani pristup javnoj bazi podataka i autentikovani pristup privremenoj bazi podataka. Evidencija (žurnal o radu) vodi se samo za ovlašćene (autentikovane/autorizovane) korisnike. Svaki ovlašćeni korisnik odlikuje se svojim korisničkim imenom (user name), lozinkom i pravom pristupa. Evidenciju vodi lice iz glavnog administrativnog centra za Intranet. Prilikom svakog pokušaja pristupa privremenoj bazi podataka proverava se autentičnost korisnika upoređivanjem sa podacima iz evidencije. Podaci o ovlašćenim korisnicima su zaštićeni kriptovanjem Izuzeci: administrator nije registrovan, te nema pristup bazi za slanje dokumenta. Takođe, ukoliko korisnik nema poverenja u bezbednost svoje mreže, s obzirom na to da je korumpirana, izveštaj o incidentu može dostaviti i telefonski. Tada je za formiranje 54
elektronskog zapisa o incidentu i njegovo smeštanje u privremenu bazu podataka zaduženo osoblje glavnog administrativnog centra za Intranet Uslovi koji treba da budu ispunjeni posle: lokalni administrator za AIS, i/ili korisnik, dostavio je informacije o incidentu potrebne za uspešno otklanjanje posledica incidenta i poboljšanje bezbednosti sistema. Lokalnom administratoru za AIS i/ili korisniku, dostavlja se potvrda o prijemu prijave incidenta, ažurno stanje baze, ažurni podaci o autentikaciji/autorizaciji korisnika Slučaj korišćenja: direktna komunikacija sa lokalnim administratorima Kratak opis: direktna komunikacija sa korisnicima sistema radi unapređenja bezbednosti AIS Učesnici: glavni administrativni centar za Intranet, lokalni administrator za AIS Uslovi koji treba da budu ispunjeni pre: lokalni administrator za AIS je izvršio registraciju kojom postaje korisnik sistema Opis: glavni administrativni centar za Intranet, na osnovu sadržaja obrasca za prijavljivanje incidenta uspostavlja komunikaciju sa lokalnim administratorom za AIS korumpiranog AIS radi pružanja podrške prilikom otklanjanja posledica incidenta. Ovaj deo podrške odnosi se na preduzimanje određenih koraka nakon što je do incidenta došlo. To su metode i postupci rekonstrukcije korumpiranih datoteka i programa, kao i uklanjanje datoteka i programa koje je napadač ostavio u sistemu. Glavni administrator pruža i podršku korisnicima sistema koja se tiče unapređenja bezbednosti AIS. Ta podrška se odnosi na prevenciju i detekciju napada. U oba slučaja, podrška može biti u usmenoj formi ili u formi kriptovanih dokumenata. Glavni administrator je zadužen za kreiranje mailing liste za korisnike sistema putem koje ih pravovremeno obaveštava o novim tehnološkim dostignućima iz domena zaštite ili o novim pretnjama bezbednosti informacionih sistema. Izuzeci: obrazac za prijavu incidenta sadrži nereprezentativne podatke. Dokument se izbacuje iz baze, a pošiljaocu se šalje upozorenje Uslovi koji treba da budu ispunjeni posle: otklonjene posledice napada. Povećan nivo bezbednosti sistema Slučaj korišćenja: održavanje privremene BP Kratak opis: prijava incidenata u ISI Učesnici: glavni administrativni centar za Intranet, lokalni administrator za AIS, korisnik. Uslovi koji treba da budu ispunjeni pre: glavni administrativni centar za Intranet dobio je od glavnog referenta bezbednosti spisak korisnika sa nadležnostima. Slično kao kod upravljanja privremenom BP glavni administrativni centar za Intranet i/ili lokalni administrator za AIS i korisnik (bez administrativnih ovlašćenja) je/su registrovan(i) kao ovlašćeni (autentikovani/autorizovani) korisnik(ci) sistema. Glavni administrativni centar za Intranet i/ili lokalni administrator za AIS je(su) ustanovio(li) da je mreža za koju je nadležan korumpirana od strane unutrašnjeg ili spoljnjeg napadača ili zbog bilo kog drugog uzroka a na osnovu prijave korisnika Opis: omogućuje lokalnom administratoru za AIS i/ili korisniku da dostavi informacije o incidentu. Korisnik "ručno" ili po automatizmu prijavljuje incident, što je već opisano u okviru use case-a, "upravljanje privremenom bazom podataka". Neregularne aktivnosti se prepisuju u privremenu BP. Izuzeci: korisnik (bilo koji ili svi) nije(su) registrovan(i) te nema(ju) pristup bazi evidencija – prijavama incidenata. Takođe, ukoliko korisnik nema poverenja u bezbednost svog AIS, s obzirom na to da je korumpiran, izveštaj o incidentu može dostaviti i 55
telefonski. Tada je za formiranje elektronskog zapisa o incidentu i njegovo smeštanje u privremenu bazu podataka zaduženo osoblje glavnog administrativnog centra za Intranet. Uslovi koji treba da budu ispunjeni posle: stvoreni osnovi za izradu dokumenata – ažuriranje privremene baze podataka. Slučaj korišćenja: pretraživanje javne baze podataka Kratak opis: pretraživanje javne BP Učesnici: glavni administrativni centar za Intranet, lokalni administrator za AIS, korisnik, glavni referent za bezbednost, lokalni referent za bezbednost Uslovi koji treba da budu ispunjeni pre: postojanje javne BP, da bi se dokumenti mogli koristiti, oni moraju postojati u bazi. Znači, uslov za početak rada sistema jeste postojanje nekog inicijalnog skupa dokumenata, koji bi se pravilnim funkcionisanjem sistema proširivao. Korišćenje dokumenata podrazumeva pronalaženje odgovarajućeg dokumenta iz javne baze podataka i primenu njegovog sadržaja na konkretan problem. Opis: pretraživanje dokumenata se može vršiti u dva smera. Prvi smer pretraživanja podrazumeva kretanje kroz bazu dokumenata sužavanjem kriterijuma, odnosno kretanje u smeru specijalizacije sadržaja dokumenata. Drugi smer istraživanja podrazumeva kretanje kroz dokumente različitog sadržaja, ali na istom nivou specijalizacije Izuzeci: u slučaju da traženi dokument ne postoji u bazi, sistem omogućuje njegovo pronalaženje u drugim bazama putem linkova koji su sastavni deo dokumenata iz baze Uslovi koji treba da budu ispunjeni posle: pronađeni dokumenti u javnoj BP Slučaj korišćenja: koordinacija ka glavnom administrativnom centru za Intranet24 Kratak opis: koordinacija zaštitnih mera Učesnici: glavni referent za bezbednost, glavni administrativni centar za Intranet Uslovi koji treba da budu ispunjeni pre: postojanje glavnog referenta za bezbednost i glavnog administrativnog centra za Intranet, praćenje stanja i novosti u domenu tehničkotehnološke zaštite IS Opis: davanje naloga glavnom administrativnom centru za Intranet, predlaganje mera glavnom referentu bezbednosti Izuzeci: glavni administrativni centar za Intranet na svoju odgovornost preduzima mere mimo svoje nadležnosti Uslovi koji treba da budu ispunjeni posle: glavni administrativni centar radi po nalozima glavnog referenta bezbednosti Slučaj korišćenja: koordinacija zaštitnih mera ka lokalnom referentu za bezbednost Kratak opis: koordinacija zaštitnih mera Učesnici: glavni referent bezbednosti, lokalni referent(i) bezbednosti Uslovi koji treba da budu ispunjeni pre: postojanje glavnog referenta bezbednosti i lokalnih referenata bezbednosti, praćenje stanja i novosti u integralnoj zaštiti IS Opis: davanje naloga lokalnom referentu, predlaganje mera glavnom referentu bezbednosti Izuzeci: lokalni referent na svoju odgovornost preduzima mere mimo svoje nadležnosti Uslovi koji treba da budu ispunjeni posle: lokalni referent radi po nalozima glavnog referenta bezbednosti
24
Slično je na relaciji lokalnih referenata bezbednosti – lokalnih administratora.
56
Na kraju, otvoreno je pitanje kako modelirati opšti bezbednosni informacioni sistem koji će štititi i ISI i bilo koji drugi informacioni sistem. U Glavi 5. i 6. ove knjige definisane su bezbednosne sfere kao metafora, ali i stvarnost, konzistentne i potpune bezbednosti bilo kog informacionog sistema pa i ISI. Da bismo modelirali opšti bezbednosni informacioni sistem, koristeći UML, uočimo, još jednom, bezbednosne sfere (glava 5. i 6): — humana sfera — normativna sfera — organizaciona sfera — sfera fizičke zaštite — sfera protipožarne zaštite — sfera zaštite infrastrukture — sfera zaštite softvera — sfera zaštite rezidentnih podataka — sfera zašite IS u radu u mrežnom okruženju — kriptozaštitna sfera.
57
5. MERE KOJE ČINE BEZBEDNOST INFORMACIONOG SISTEMA Nakon sistematizacije opasnosti po IS i definisanja modela bezbednog IS, u ovoj glavi daćemo pregled mera koje čine bezbednost IS. Mere koje se predlažu treba u najvećoj mogućoj meri da smanje verovatnoću degradacije IS. Od značaja za našu temu [Mar81] jeste i sledeća odrednica prema uslovima: "...Odgovor na pitanje šta su uslovi jedne pojave zavisi (a) od objektivnog stanja stvari po sebi (b) od celokupnosti naših znanja o stvarnosti, i (v) od problema (svrhe) koji smo sebi postavili. Pošto su u svakom istraživanju u jednom određenom trenutku faktori (a) i (b) konstantni za sve kompetentne istraživače, (v) treba da bude eksplicitno formulisano i precizirano." Šta je sa faktorima? U Leksikonu stranih reči i izraza [Vuj80] nalazimo više značenja termina "faktor"(od latinske reči facere – činiti), kao što su: činilac, činitelj... okolnost, sila koja nešto stvara. U vezi sa bezbednošću IS govorimo o faktorima – "sferama" bezbednosti. Kako obezbediti što konzistentniju bezbednost (zaštitu) nego višestrukim prstenovima (ako sistem posmatramo u ravni), ili sferama, (ako je model sistema “prostoran”). Upravo sfera, ili sfere, kao tela koja nemaju konkavnosti, treba da potenciraju konzistentnost bezbednog IS. Sistem zaštitnih sfera obezbeđuje: — višestrukost — raznovrsnost — sistematičnost. Navedeni atributi (sistema zaštitnih sfera), pre svega prema (ii), povećavaju bezbednosni nivo IS. Sasvim je logično da će višestrukost i raznovrsnost (zaštitnih sfera) biti preduslov bezbednijeg, odnosno sigurnijeg IS. Sistematičnost (zaštitnih sfera) je takođe u funkciji bezbednijeg, odnosno sigurnijeg IS. Naime, sistematičnost olakšava dizajneru bezbednosnog IS da izdvojeno, sistematično, sa različitih aspekata, dizajnira svaku sferu posebno. Sva tri atributa su uslov konzistentnosti (ii) bezbednosti IS. Bezbednost IS [Off99] je sistematizovana i kao ("IMPLEMENTATION GIDELINES, Appendix A – Minimum Security Requirements for NIPRNet-Internet Connectivity"): — administrativna (upravna) bezbednost – podrazumeva organizacione mere radi bezbednosti — bezbednost informacionog sistema – podrazumeva bezbednost informacija pri obradi, skladištenju i prenosu podrazumevajući pristup preko NIPRNet-Internet konekcije — bezbednost osoblja – kojom se determiniše ponašanje osoblja — fizička bezbednost – mogućnost planiranja backup procedura u slučaju prekida servisa i zaštita opreme radi sprečavanja neautorizovanog uvida u informacije, uništavanja ili menjanja informacija — proceduralna bezbednost – podrazumeva odgovor u slučaju incidenta, a menadžment rizika bavi se procenom balansa bezbednosnog sistema u odnosu na identifikovanu pretnju i ranjivost sistema. 58
Ova ideja nije nova, što dokazuju primeri, Slika 5.1. i 5.2, [Hsi82] i [Muf79]: (1) (2) (3) (4) (5) (6)
Slika 5.1. ''Prstenovi'' bezbednosti računskog centra U navedenom primeru kao zaštitne sfere naznačene su: (1) pravne norme, (2) organizacione mere, (3) mere neposredne zaštite, (4) zaštita opreme, (5) zaštita programske podrške i (6) zaštita baze podataka. U sledećem primeru zaštitne sfere detereminišu se preko: legalne i društvene kontrole, administrativne kontrole, fizičke zaštite i kontrolnih procedura u sistemu.
legalna i društvena kontrola administrativna kontrola
sistem
fizička zaštita kontrolne procedure u sistemu
Slika 5.2. ''Prstenovi'' – nivoi računarske bezbednosti 59
5.1. Humana sfera Prema [IBM85], čovek je najslabija karika svakog bezbednosnog sistema. Prema [How97], napadi na IS ne počinju sami od sebe, njih započinje čovek, otuda u prvi plan stavljamo čoveka kao faktor (sferu) zaštite IS. Štetočina [Luk97] (prekršilac) je lice koje vrši nedopuštene operacije (slika 3.4), bilo zbog greške, neznanja (zadesno) ili sa zloumišljajem (iz koristoljublja) ili bez koristoljublja (radi igre, zadovoljstva, samopotvrđivanja) koristeći za to različite mogućnosti, metode i sredstva. Mogu se izdvojiti sledeće kategorije štetočina: Službenik analfabeta. To je lice zaposleno u IS (računarskom sitemu) koje bez kompetencija, slučajno, bez zloumišljaja, preduzima nedopuštene radnje u ''zabranjenim zonama'' računarskog sistema, kvareći, npr. podatke, ali koristeći samo one resurse za koje je ovlašćen. Službenik ljubitelj (diletant). Lice koje istražuje po bezbednosnom sistemu bez koristoljublja sa ciljem samopotvrđivanja, ''iz sportskih razloga''. Da bi se pentrirao u sistem, on može da koristi različite slabosti bezbednosnog sistema, mimo njegovih nadležnosti pa i resurse za koje je on nadležan. Unutrašnji zlonamernik. Lice koje upada u sistem zbog koristoljublja ili, recimo, zbog osvete radi uvrede, povređene sujete, ili povređenog prava. Ovo lice može da sarađuje sa licima koja nisu zaposlena u IS. Ono može da koristi niz metoda, koristeći i agenturne pasivne metode (sigint, elint) pristupa sistemu. Zlonamernik može da koristi i aktivna sredstva u modifikaciji (kvarenju) performansi sistema i podataka. Ova dejstva se sprovode neposredno u sistemu i spolja, preko mreže. Spoljna štetotčina. Lice koje upada u sistem iz koristoljublja ili ''sportskih razloga'', moguće sam ili u saradnji sa drugim licima (tim). U ulozi ovakvog štetočine može da bude lice sa strane, saradnik ili klijent (korisnik). U ulozi klijenta može da se pojavi i saradnik klijenta pa čak i institucija (kao klijent). Koriste se brojne metode upada, naročito je problematičan Internet. Ova podela je sužena u odnosu na [How97]. Ona može da bude dobra dopuna. Jer, podsetimo se, prema [How97], postoji šest kategorija napadača, proširen skup i u odnosu na Sliku 3.4. Za bezbednost IS nisu problem samo napadači već sve štetočine. Prema [Luk97], odnos kategorija štetočina je po sledećem: — od 46.2% do 84.5% su napadi od strane neposredno zaposlenih u IS — od 62% do 72.2% napadači su bili spolja (hakeri) — od 40.6% do 58.5% napadači su bili iz redova konkurencije. Zakoni ponašanja su, prema [Kos89], samo logični i racionalni opisi objektivnih faktora situacije (prostor, vreme, pravne i moralne norme i delovanje drugih ljudi) i unutrašnjeg aspekta čovekovog bića (želje, vrednosti, motivi, ciljevi, moral, osobine ličnosti). Mehanizam ponašanja ličnosti u determinističkom svetu je kauzalnost: postojanje uzroka koji su se stekli neposredno i prethodno aktu ponašanja. Postojeći uzroci iz kojih logično i nužno sledi ponašanje racionalni su u najširem smislu reči: jer ako bi nečije ponašanje bilo neobjašnjivo u krajnjoj instanci [Kos89] lege artis analize, onda bi bilo i iracionalno, dakle ludo, sumanuto. 60
Brojne su situacije koje nameću poslovi u IS a predstavljaju izazove i često teško rešive (pa i trenutno nerešive) probleme za ljudstvo koje dolazi u dodir sa IS. Intenzivne promene informatičke tehnologije zahtevaju od ljudstva u IS da neprestano uči i da se usavršava. Izazov i problem u IS su i znanja: logika, matematika, elektrotehnika (elektronika), te konačno informatika sa brojnim specijalnostima. Deo informatičara25, prilikom razvoja IS, prinuđen je da se upoznaje sa oblastima za koje se razvija automatizovani IS. Stepen poznavanja sistema za koji se razvija IS ide, ponekad, do te mere da informatičar postane u određenom momentu konsultant i tad (informatičar) podučava ljudstvo u tom sistemu njihovom poslu ili im daje savete kako da bolje rade ili, barem, bolje upravljaju informacijama. Beskraj znanja, oblasti, koje se pojavljuju kao predmet automatizacije IS, predmet su i problem za informatičare. Vrlo čest problem, koji se javlja prilikom automatizacije (razvoja) IS, jeste i neuređenost poslovnog sistema. Otuda se problem automatizacije još više komplikuje. Ljudstvo koje neposredno radi na računaru, ima pred sobom nemilosrdno ''pravednog'' sudiju koji ne dozvoljava nepreciznost ili netačnost u komunikaciji sa njim (računarom). Ovaj aspekt dodatno frustrira i iscrpljuje jer traži vrlo visok stepen koncentracije u izdavanju komandi i/ili prijemu podataka (informacija) sa računara. U toj komunikaciji ne postoji redundansa. Konačno, nesaglediva koncentracija podataka nemerljivo važnih i vrednih, neprestan je izazov za ljudstvo koje je u neposrednom dodiru sa njima. Nerešavanje, ili loše rešavanje problema, ima za posledicu štetu u IS. Ovde se susrećemo sa psihološkim, sociološkim, pravnim i organizacionim problemima. U izučavanju ljudske istorije često je [Bre83] prisutan antropologizam – stav da je sve što radimo i spoznajemo uslovljeno prirodom čoveka (grč. anthropos – čovek). Naučno se može objasniti čovek i njegova priroda analizom ljudskog rada i čovekova položaja u društvenoj zajednici. Čovek je deo prirode, ali i različit od ukupne prirode. U strukturi elemenata IS najvažnije mesto zauzima kadar26 izražen kroz prirodne sposobnosti za rad a i stečenim znanjima i veštinama za radne procese. Prirodna sposobnost za rad nalazi se samo kod žive individue koja se ispoljava i potvrđuje u radnoj aktivnosti. Iako i neke životinje rade na zadivljujuće organizovan način, one ne poseduju racionalno mišljenje. Stoga se čovek i zove ''razumna životinja'' – animal rationale. Svakako da je za IS, pored broja, važan kvalitet kadra koji se izražava kroz obrazovni nivo, sposobnost i iskustvo. Kadar treba tretirati kao resurs deleći ga na njegove sastavne delove: a) prirodnu sposobnost za rad, b) stečena znanja i veštine za radni proces, v) prirodnu razliku sposobnosti sticanja znanja i g) zdravstveno stanje kadrova. Procenjuje se da su [Bre83] 3,5 puta atraktivnije investicije u obrazovanje kadra nego u fizički kapital. Nasuprot kvalitetnom kadru, nekvalitetan kadar neće doprineti efikasnosti poslovanja IS a u krajnjem takav kadar će biti uzrok štete u IS. 25
Informatičari – nosioci (izvršioci) IS: projektanti, programeri, administratori, operateri, za razliku od korisnika IS. Termin potiče od latinskog sqadri – okviri, odnosno u savremenom tretmanu iz francuskog jezika cadri. Značenje ovog termina se odnosi na sve zaposlene a posebno na stručnjake i menadžment. U engleskom jeziku cadre i znači vodeći, glavni, kadrovi u vojsci. Ovaj pojam označava se i terminom personal – personnel, perosonale, personal. 26
61
Kadar (čovek) može štetu u IS da učini zbog: — nepažnje (nehata) — krajnje nepažnje i — namere. Nepažnja ili nehat mogu da budu posledica: — neznanja — bolesti — umora i — opšte nesposobnosti. Opšta nesposobnost je umanjenje fizičkih, senzornih, psihomotornih i/ili mentalnih sposobnosti. Kako prevenirati moguću inferiornost u odnosu na radne obaveze (probleme) koje treba rešavati u okviru svoje nadležnosti? Odgovor leži u dobrom izboru i vođenju kadra – dobroj kadrovskoj politici i dobroj organizaciji posla (obezbeđenju optimalnih radnih uslova) koji ne smeju dovesti ljudstvo u poziciju u IS da bude inferiorno u odnosu na radne zadatke. Interesantan je [Bre83] Aristotelov pristup dobroj kadrovskoj politici. Postoje tri načela (trajno važeća): — apsolutna ljubav za sistem, postojeći poredak — vanredna sposobnost za obavljanje funkcije, poslova, posebno u vlasti — pravednost i vrline. Ova načela zapisana su u Aristotelovoj ''Politici'', u četvrtom veku pre nove ere. Ona predstavljaju temelje u savremenoj kadrovskoj politici. Aristotel ističe da ''običaji kvare ljude'' i da nije svaki čovek u stanju podnositi sreću, odnosno da neuspešnim postepeno treba oduzimati funkciju. ''A naročito treba nastojati da se zakonima uredi, da niko ne postane odviše moćan ni zbog prijatelja ni zbog novca, a ako nije moguće (to sprečiti), treba im omogućiti da dođu do izražaja u inostranstvu.'' Jasno je da se ovde pledira da se nesposobni kazne ostrakizmom.27 Rešenja su (prevencija je) u sledećem: — pravilan izbor (selekcija) kadrova — obezbeđenje optimalnih radnih uslova. Ovaj deo prevencije internog je karaktera i odnosi se na kadar koji se prima na rad ili je zaposlen u IS. 5.1.1. Selekcija kadrova za rad u informacionim sistemima Značajna kategorija u prevenciji štete u IS jeste pravilan izbor i zapošljavanje kadrova. Provereni instrumenti u proceduri (postupku) zapošljavanja kadrova su: kadrovski upitnik
27 Progonstvo iz Atine [Vuj80] na 10, kasnije 5 godina, nekog uglednog građanina (koga su smatrali da se toliko osilio da bi mogao biti opasan) narodnim glasanjem (sa 6000 glasova). Glasanje se vršilo tako što su glasači ispisivali ime kandidata za progonstvo na crepiće (ostrakon – crepić). Ovakvo progonstvo nije se smatralo kao sramota, nego kao neka počast mada neprijatna. Danas nije redak slučaj da, zbog koristi koje donosi obavljanje javnih poslova i vršenje vlasti, ljudi žele neprestano da vladaju.
62
(popisnica), intervju sa kandidatom, testovi, ispitivanje psiho-fizioloških osobina i uvođenje u posao. Kadrovski upitnik. Najuniverzalniji mehanizam koji se koristi za ispitivanje i izbor kandidata. Obrazac upitnika uključuje sve potrebne podatke za proceduru zapošljavanja. Ovaj obrazac ne sme da sadrži serije zamršenih ličnih pitanja. Pitanja u upitniku treba da budu jednostavna i upotrebljiva za identifikaciju kadra preko: osnovnih generalija, fizičkih (zdravstvenih) karakteristika, obrazovanja i iskustva, porodičnog, imovnog i stambenog stanja. Intervju. Korak koji sledi u proceduri izbora kadrova. Prilikom intervjua ispitivač i kandidat treba da sagledaju postojeće mogućnosti i pogodnosti kandidata za posao koji se nudi. Testovi. Prilikom prijema na određene vrste poslova testovi su obavezan deo procedure. Najveća vrednost testova [Bre83] jeste u tome da ukažu da neka ličnost verovatno neće moći da izvrši zadatak sa primernim uspehom ako uspešno ne reši neki test. Testovi se koriste i da ukažu na mentalne (ne)sposobnosti ili sposobnosti razumevanja i upotrebe ideja za merenje mehaničke sposobnosti, mentalnih i fizičkih koordinativnih sposobnosti. Ispitivanje psiho-fizioloških osobina. Važno je da se proveri da li je ličnost psihofiziološki sposobna za neki posao. Ovo se odnosi, pre svega, na poslove sa fizičkim opterećenjem. Mada za sve vrste poslova treba da se utvrdi: a) da li kandidat ima neka zdravstvena ograničenja tipa neizlečive pa i zarazne bolesti, b) da li kandidat ima opšte psiho-fiziološke predispozicije za konkretni posao,28 v) da se, konačno, odredi tačno i potpuno stanje zdravlja. Poslednji razlog je prevencija mogućeg oštećenja zdravlja zbog težine posla ili zbog nekih drugih radnih uslova. Svakako da je bolje da se pregledi obave pre stupanja na posao, jer se time izbegavaju eventualne komplikacije. Uvođenje u posao. Podrazumeva upoznavanje sa poslovnim sistemom, ciljevima poslovnog sistema, organizacijom, neposrednim saradnicima, rukovodiocima i potčinjenim u hijerarhiji, nadležnostima (pravima i obavezama) na radnom mestu. Uvođenje podrazumeva i probni rad koji se (komisijski) verifikuje nakon određenog vremena. S druge strane, stihijsko uvođenje kandidata u veštine rada rasipno je i nedopustivo. Ovakav način uvođenja u posao može biti uzrokom buduće štete. Informacije o poslu i instrukcije za rad mogu predstavljati povod da novi saradnik postane subjekat, entuzijasta, prilikom prihvatanja novog posla. Dobro uvođenje u posao ne prestaje sve do momenta potpune adaptacije kandidata na novi posao. Značaj kadra i samim tim njegove selekcije, pre svega prilikom prijema na posao, a zatim selekcije i u okviru samog IS, ilustrovaćemo prema glavi ''Nove orijentacije u selekciji – opšti pravci promena'' [Kos89]. U kojoj meri psiholozi uspevaju da predvide ponašanje pojedinaca u kriterijum-aktivnosti na osnovu, na primer, testova primenjenih u selekciji? Testovi treba da daju odgovor u vezi sa nizom karakteristika kandidata: intelektualne sposobnosti (inteligencija, neposredno pamćenje, supstitucija, numeričke sposobnosti), specijalne i mehaničke sposobnosti 28
Drastičan primer je stepen invaliditeta kao ograničenje za uspešno obavljanje nekog posla.
63
(specijalni odnosi, lokacija, mehanički principi), perceptivna tačnost, motorna sposobnost, crte ličnosti, interesi. Pokazuje se, prema [Kos89], da testovi nisu jedini i najuspešniji instrument selekcije zbog niza pitanja etičkog i stručno validacijskog karaktera, naime nijedan odgovor nije mogao zadovoljiti profesionalce a kamoli demokratsku i na ugrožavanje ljudskih sloboda osetljivu javnost. Dakle, selekcija treba da se zasniva na sledećem: 1. Antropološko-filozofska pozicija selekcije određena je Darvinovom teorijom evolucije 2. Etička pitanja rešena su propisivanjem standarda kodeksa upotrebe testova uopšte i u svrhu selekcije posebno 3. Psiholozi rešavaju stručno validacijske probleme, razvijeni su složeni modeli selekcije (formiraju se i centri za selekciju ljudstva) 4. Strogi empirizam i kriterijumska valjanost postaju normativni standardi u razvijanju testova 5. Kad god je to moguće, ekonomski opravdano i važno, s obzirom na ciljeve selekcije, uvodi se probni rad kao zamena za klasične selekcione postupke i metodologije 6. Tehnike koje imaju širok dijapazon primene (u selekciji) treba svoditi na uže i realne segmente ponašanja putem intervjua. 5.1.2. Obezbeđenje optimalnih radnih uslova Ubrzavanje naučno-tehničkog progresa [Lom82], povećanje razmera uvođenja nove tehnike u praksu, masovno uvođenje računara u sve delatnosti ljudskog društva, ima za posledicu i povećanje složenosti poslova (u tim delatnostima). Prema [Lom82] statistikama, u okolnostima složenih poslova, pouzdanost realizacije poslova pada. Zato povećanje pouzdanosti rada u tehničkim sistemima, koja je uslovljena pre svega pouzdanošću rada ljudi u tim sistemima, nalaže da se poklanja pažnja ne samo tehnici već celom sistemu ''čovek-mašina''. Ovakva potreba stvorila je oblast (nauku)– inženjersku psihologiju, koja ima za cilj da poboljša i olakša uslove rada, obezbedi stvaralačke i visokoproizvodne mogućnosti u bilo kom poslovnom sistemu. Savremeni poslovni sistemi uslovno se mogu podeliti na dve klase: tehnološki i organizacioni. U tehnološkim sistemima čovek, pomoću tehničkih sredstava, upravlja proizvodnim agregatima i procesima, transportnim sredstvima i drugim mašinama. Čovek u takvim sistemima ima ulogu operatera. U organizacionim sistemima čovek, koristeći tehnička sredstva da bi dobio neko rešenje, upravlja kolektivom ljudi. Delatnost čoveka u takvim sistemima definisana je kao upravljačka. Informacioni sitem (IS) je, s jedne strane, tehnološki sistem. U IS koristi se informatička tehnologija u cilju prerade podataka i/ili informacija u – informacije. S druge strane, IS je i organizacioni sistem jer se informatička tehnologija koristi u procesu upravljanja, recimo, kolektivom. Rad sa informatičkom tehnologijom (IT) nije skopčan toliko sa fizičkim koliko sa umnim naporom. Osnovne tri funkcije u IS, kao tehnološkom sistemu, jesu razvoj (planiranje i projektovanje IS), održavanje IS i eksploatacija IS. Razvoj i održavanje IS pretežno realizuju informatički kadrovi. Na eksploataciji se pretežno angažuju korisnici. Razvoj IS se realizuje u simbiozi sa korisnikom (naručiocem) a njegov rezultat je IS, najčešće realizovan na sredstvima IT. Održavanje IS podrazumeva ispravljanje eventualnih grešaka u (automatizovanom) IS i njegovo prilagođavanje novom (normativnom, organizacionom 64
i/ili tehnološkom) ambijentu poslovnog sistema. Eksploatacija IS je korišćenje IT29 u cilju prerade podataka i/ili informacija u informacije. Sve tri funkcije su najčešće povezane sa obradom velikih skupova podataka i realizacije rešenja određenih problema. Sa razvojem računara moć čoveka s jedne strane se povećala ali računari su postali i složeniji, bez obzira na tzv. user friendly (дружелюбный) tendencije u razvoju, što s druge strane čini poteškoće u korišćenju računara. Računar je postao multimedijalna mašina koja preko računarske mreže pruža korisniku bezbroj informacionih mogućnosti. U radu sa takvim računarima otvoreno je pitanje usaglašenosti konstrukcije (računara) sa psihološkim i fiziološkim karakteristikama čoveka. Koliko god bio savršen računar, njegova efektivna primena ipak u konačnom zavisi od čoveka koji koristi taj računar. Zato je neophodno baviti se problemom rada računara i čoveka u jedinstvenom sistemu ''čovek –računar''. Problem međudejstva čoveka i računara ima mnogo aspekata. Najvažniji od njih je vezan za izučavanje procesa informacionog međudejstva čoveka i računara. Inženjerska psihologija izučava objektivne zakonomernosti procesa informacionog međudejstva čoveka i mašine (računara) u cilju njihove primene u projektovanju, gradnji i eksploataciji sistema čovek–računar. Pri tome se ističe vodeća uloga čoveka. Nije moguće shvatiti odnos ''čovek–računar'' ne posmatrajući čoveka kao subjekta a računar kao sredstvo rada. Naime, bilo kakva mašina, pa i računar, samo je sredstvo za realizaciju radnog procesa i postoji samo zbog toga da bi je čovek koristio. Inženjerska psihologija, kao psihološka nauka, izučava procese i osobine čoveka objašnjavajući kakvi zahtevi ka tehničkim sredstvima proizlaze iz osobina ljudskog rada, odnosno rešava zadatak upodobljavanja tehnike i uslova rada čoveku. Osim toga, inženjerska psihologija, kao tehnička nauka, izučava principe projektovanja sistema u vezi sa psihološkim i fiziološkim osobinama čoveka. Na Slici 5.1.1. u cilju boljeg definisanja ciljeva inženjerske psihologije data je šema sistema ''čovek–računar''. Receptori (organi osećanja)
Sredstva za prikaz informacija
Centralni nervni sistem
Informacioni aritmetičko-logički uređaj
Efektori: lokomotorni organi, glasovni aparat, oči
Sredstva za upravljanje uređajem
Upravljajući uređaj
Slika 5.1.1. Strukturna šema sistema čovek–računar Bilo koja promena u stanju upravljajućeg objekta (UO) zahteva akciju od strane informaciono aritmetičko-logičkog uređaja, obezbeđujući očekivani stepen automatizacije. 29
Zbog jednostavnijeg pristupa IT ćemo identifikovati sa računarom kao najreprezentativnijim predstavnikom ove tehnologije.
65
Nakon odgovarajuće reakcije UO dostavlja se informacija o stanju UO čoveku-operateru na indikatorima. Podrazumeva se da operater ne saznaje neposredno stanje UO već se njemu prezentuje informacioni model (IM) koji imitira stanje UO. Pod IM podrazumeva se skup signala, koji nose operateru informaciju o UO. IM treba da dâ kvalitetnu informaciju o stanju UO. IM naročito treba da bude prilagođen mogućnostima operatera, njegovim mentalnim sposobnostima, u prijemu i obradi informacija o UO. Na osnovu percepcije IM i spoznaje operatera formira se ''slika'' stanja UO (predstava o realnom objektu, izražena u IM), koji se obično naziva operativni tip, ili konceptualni model (concept – shvatanje, predstava). Taj model se upoređuje sa nekim etalonom koji je zapamtio operater i koji odražava očekivano stanje UO. Na osnovu rezultata upoređivanja formiranog konceptualnog modela, sa etalonom, operater donosi odluku u vezi sa UO. Odluka se realizuje efektorima,30 bilo lokomotornim organima (rukama) ili rečima (glasom). Posredstvom efektora dejstvuje se na sredstva za upravljanje uređajem (ulazne jedinice), odnosno stvara se komandna informacija za informacioni aritmetičko-logički uređaj, a kao rezultat ove komande realizuje se neophodna promena stanja UO. Tako se završava jedan ciklus regulacije, pod kojim se podrazumeva vreme od momenta izmene stanja UO do momenta u novo (zahtevano) stanje. Sistem ''čovek-računar'' se sastoji od čoveka-operatera (grupe operatera) i mašine (računara) čijim posredstvom čovek ostvaruje radni zadatak. Čovek-operater je ono lice (čovek) koji ostvaruje radni zadatak čiju osnovu čini međudejstvo sa predmetom rada, mašinom (računarom) i spoljnim svetom, posredstvom IM i UO. Osnovu klasifikacije sistema ''čovek-računar'' (SČR) čine četiri grupe obeležja: namena sistema, broj lica angažovanih u SČR, složenost mašine (računara) i tip međuveze (slika 5.1.2).
30
Izdavanje komandi avionu (pojedinim vojnim, borbenim) moguće je vezom (pomicanjem) očne jabučice i vizira na zaštitnoj kacigi pilota.
66
SČR
Epizodna
Tip međuveze
Neprekidna
Sistemski kompleksi
Složene
Proste
Instrumentalne
Prema karakteristikama komponenti računara
Polisistemi
Monosistemi
Istraživački
Broj lica u SČR
Informtivni
Za obuku
Poslužilačka
Upravljački
Namena sistema
Slika 5.1.2. Klasifikacija SČR Namena sistema (računara) ukazuje na odlučujući uticaj na ostale karakteristike sistema i zato se smatra ključnom. Namena sistema (računara) može da se podeli na sledeće klase: — upravljačka – osnovni zadatak čoveka je da upravlja mašinom (računarom) — poslužilačka – čovek se javlja u ulozi kontrolora stanja računara, defektatora neispravnosti i tome sl. — edukativna – sistem se koristi za razvoj određenih čovekovih znanja ili veština (navika) — informativna – omogućuje pretragu, sakupljanje ili dobijanje neophodnih informacija — istraživačka – računar se koristi prilikom analize informacija koje ''sam'' prezentuje ili informacija iz drugih izvora. Posebnost upravljačke i poslužilačke klase jeste u tome što je međudejstvo usmereno ka računaru i on postaje cilj i objekat rada. Kod edukativnih i informativnih sistema međudejstvo je usmereno ka čoveku. Kod istraživačkih sistema objekti međudejstva su i čovek i mašina. Prema broju lica, sistemi se dele na: — monosisteme – u njihovom sastavu je samo jedan čovek i jedan ili nekoliko računarskih uređaja — polisisteme – u njihovom sastavu je tim lica u međudejstvu sa računarskim sistemom. Efektivnost rada SČR zavisi od toga kako su podeljene funkcije između čoveka i računara. Radi toga, neophodno je da se uporede karakteristike računara i čoveka. Odgovarajući podaci dati su u Tabeli 5.1.1.
67
Karakteristika
Čovek
2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.
Sposobnost integracije raznorodnih elemenata u jedinstveni sistem Sposobnost predviđanja događaja u spoljnjem svetu Mogućnost rešavanja nejasno definisanih zadataka Mogućnost raspoznavanja situacija u spoljnjem svetu Sposobnost orijentacije u vremenu i prostoru Sposobnost samoposmatranja (introspekcije) Elastičnost u načinima obrade informacija Tip rešavanja problema Mogućnost apstrakcije stvarnosti Sposobnost generisanja ideja Sposobnost rada u nepredviđenim okolnostima Sposobnost povećanja sopstvenih mogućnosti Nastavak rada bez prekida
14.
Tačnost i brzina računanja
15. 16.
Reakcija ''stimulacija – odgovor'' Sposobnost selekcije informacija Sposobnost korišćenja suvišne informacije
1.
17.
Da '' '' '' '' '' Neograničena Opšti Da '' Može Da Neznatno Niska Spora i nestabilna Visoka
(redundantne)
Da
18.
Broj istovremeno primljenih i obrađenih informacija
Neveliko
19. 20.
Sposobnost u prekodiranju informacija Sposobnost provere
Da Slaba U širokim granicama Da Visoka
21.
Osetljivost
22. 23.
Sposobnost uopštavanja Elastičnost
Računar U ograničenim slučajevima Uslovljena '' '' '' '' '' '' Ne '' Uslovljena '' Moguće Teoretski neograničeno Brza i stabilna Uslovna Ne Teoretski neograničeno Veoma ograničena Dobra U zadatim granicama Ne Ograničena
Tabela 5.1.1. Funkcionalne karakteristike čoveka i računara Efektivnost rada SČR može da se evaluira isključivo u optimalnim radnim uslovima. Inače efektivnost pada – moguće su greške i šteta u radu. Inženjerska psihologija, između ostalog, bavi se psihološkim i psihofizičkim karakteristikama čoveka, sledstveno tome inženjersko-psihološkim zahtevima ka tehnici i ineženjersko-psihološkim osnovama organizacije rada, o čemu će dalje biti reči. U skladu sa stavovima inženjerske psihologije, istraživački i projektantski aspekti informacionog međudejstva čoveka sa tehničkim delovima SČR, u ulozi inženjerskopsiholoških osobina, analiziraju se pokazatelji koji određuju kvalitet i kvantitet procesa prijema, prerade i predaje informacija od strane čoveka u procesu upravljanja u SČR. U vezi sa mogućnostima SČR treba analizirati i mogućnosti, pre svega, ''kanala'' za prijem informacija sa tehničkog sredstva, njihove funkcionalne mogućnosti i karakteristike. Ti kanali se objedinjuju u jednu grupu tzv. [Lom82] analizatora. Složenost procesa prerade informacija u SČR, postojanje sistema sa principijelno raznim sistemima upravljanja, zasnovanim na primeni različitih načina analize, prerade informacija i dobijanja rešenja, uslovljava da se izdvoji druga grupa inženjerskopsiholoških karakteristika koje determinišu intelektualnu delatnost čoveka. Iz velikog skupa takvih karakteristika izdvajaju se dve – pamćenje i mišljenje. 68
Treća grupa inženjersko-psiholoških karakteristika uključuje karakteristike tehničkih sredstava (računara) kojima se upravlja. To su tzv. vremenske karaktersitike (mogućnosti) izvršavanja određenih aktivnosti i podaci o pouzdanosti. Četvrta grupa, koja određuje uslove optimalnog funkcionisanja fiziološkog sistema čoveka-operatera, obuhvata antropometrijske karakteristike.31 Sve navedene karakteristike su stohastičkog karaktera i u tesnoj su međusobnoj zavisnosti, ali zavise i od brojnih unutrašnjih i spoljnih faktora koji utiču na čoveka. Inženjersko-psihološki zahtevi [Lom82], (IPZ) – to su zahtevi ka SČR (njegovim podsistemima, njegovim sastavnim delovima, elementima) koji determinišu karakteristike čoveka-operatera i ustanovljeni su radi optimizacije njegovog rada. IPZ se uzimaju u obzir prilikom projektovanja posebno za sve elemente SČR i za SČR u celini. U najopštijem vidu IPZ su usmereni ka obezbeđenju maksimalne efektivnosti SČR uz poštovanje dopuštenih normi delatnosti čoveka i pouzdanosti tehničkog sredstva. Taj zadatak se formalizuje kao zatev da se maksimizira ciljna funkcija: E = f (x1, x2, ….., xn y1, y2,…., ym z1, z2, ….., zl) uz ispunjenje graničnih uslova: xi < xi dop (i = 1,2,…,n); yj < yj dop (j = 1,2,…,m); zk < zk dop (k = 1,2,…,l), gde je E – pokazatelj efikasnosti funkcionisanja SČR, xi, yj, zk, respektivno, radne karakteristike čoveka, tehničkih sredstava i faktor poslovne sredine xi dop, yj dop, zk dop, dopušteni su iznosi tih faktora. Svakako da je osnova efikasnosti informacionog sistema dublja od ovoga. Inteligentno ponašanje, delom čoveka, pa i mašine, ili oba, jeste otkrivanje značenja izmena uzetih radi izmena sadržaja. U tome leži osnova efikasnog (rentabilnog) čovek – računar informacionog sistema. U zavisnosti od osobina čoveka koje se razmatraju u sistemu SČR zahtevi prema čoveku se dele na: sanitarno-higijenske, fiziološke, psiho-fiziološke i psihološke.
31
Javno dostupni standardi u vezi sa zračenjem računara definišu zračenja prema ekološkim, odnosno ergonomskim zahtevima za elektronsku opremu. Postoje na primer sledeći švedski standardi: MPR-II – standard švedske vlade u vezi sa maksimalnom radijacijom video terminala, a prema SCPE (Swedish Confederation of Professional Employees) TCO'92 u vezi sa smanjenjem magnetskog polja, električnom bezbednošću, i ekološko-ergonomski (TCO'95 do TCO'99) standardi za elektronske uređaje. Prema ovim standardima, definiše se veličina električnog polja u V/m i magnetskog polja u A/m. Merno područje za MPR-II je od 50 cm oko monitora, a za TCO merno područje je delom nešto strože, ispred ekrana – 30cm. Za MPR-II veličina električnog polja kreće se od 2,5 V/m do 25 V/m, a za TCO veličina ovog polja je od 1,0 V/m do 10 V/m.
69
Najvažniji (npr. fiziološki zahtevi) objedinjeni su u okviru mikroklime radne sredine. Nju karakterišu: visina temperature i relativne vlažnosti vazduha, brzina kretanja vazduha, zagađenost i jonizacija vazduha, količina kiseonika, ugljen-dioksida, posebno ugljenmonoksida u vazduhu, stepen radijacije, pre svega u infracrvenom i ultraljubičastom delu spektra elektromagnetnog zračenja, šum (celokupnost zvukova u zavisnosti od jačine i frekvencije), osvetljenje (količina svetlosti i boje), vibracije,... Sanitarno-higijenski zahtevi određuju neškodljive i bezopasne uslove rada određene radnom sredinom. Oni se određuju na osnovu higijensko-sanitarnih normativa. Higijenski zahtevi omogućuju poštovanje mikroklimatskih uslova, grubo dato u Tabeli 5.1.2. Doba godine
Kategorija težine rada32
Hladni i pr- Laki elazni peri- Srednje teški od Težak Laki Topli period Srednje teški Težak
Temperatura u ºC
Relativna vlažnost u %
20–23 17–20 16–18 22–25 20–23 18–20
60–40 60–40 60–40 60–40 60–40 60–40
Brzina kretanja vazduha u m/s (ne više) 0,2 0,2–0,3 0,3 0,2 0,3–0,4 0,5
Tabela 5.1.2. Optimalne norme temperature, relativne vlažnosti i brzine kretanja vazduha u radnom prostoru Visoka temperatura negativno utiče na psiho-fiziološke funkcije i samim tim pouzdan rad čoveka-operatera. Pri relativnoj vlažnosti od 90–100% nastupa pregrevanje ljudskog organizma. U zavisnosti od spoljne temperature od 21 do 30ºC, pri tolikoj vlažnosti, pojavljuje se umor i gušenje, nemoguć je težak rad, zdravlje dolazi u opasnost. Inženjersko-psihološke osnove organizacije rada određene su zadacima naučne organizacije rada. Oni se dele na opšte i posebne zadatke. Opšti zadaci su: 1. Razrada tehnologije obrade podataka – definisanje funkcija, zadataka i aktivnosti u IS 2. Razrada organizacione strukture. Saobrazno tački 1, definisanje organizacionih celina (funkcionalnih, teritorijalnih, mešovitih) u okviru IS i 3. Planiranje redosleda realizacije radnih aktivnosti. Posebni zadaci naučne organizacije rada su: 1. Organizacija rada na radnom mestu i 2. Optimizacija uslova rada i žvota. Obezbeđujući optimalne uslove rada, uz dobru organizaciju rada na svakom radnom mestu, može da se očekuje i pouzdan rad ljudstva u IS.
32
Kategorija težine rada, po šestostepenoj skali [Lom82], određena je sanitarno-higijenskim i psihofiziološkim faktorima. Psiho-fiziološki faktori su: fizičko, dinamičko i statičko opterećenje, smene, trajanje neprekidne aktivnosti, osvetljenje radnog mesta, veličina, broj i složenost objekata koji se posmatraju, procenat visokog nivoa psihološke koncentracije u odnosu na ukupno radno vreme, tempo – broj pokreta u vremenu, broj signala u jedinici vremena, monotonost, režim rada i odmora, nervno-emocionalna napetost.
70
5.1.3. Prevencija kriminala Atributi koji determinišu ovu sferu [Pet00] su: motiv, spremnost i mogućnost. Iako su ovi faktori međuzavisni autor ih posebno izdvaja i daje matematičku jednačinu koja označava konceptualnu prezentaciju kompjuterskog kriminala: Vk= (M · N · P)/1000, gde su: Vk – verovatnoća izvršenja kriminalnog dela (0.0–1.0), M – motivacioni faktor (0–10) N – faktor spremnosti (0–10) i P – faktor mogućnosti (0–10). M i N se vezuju za ličnost a P za sistem (koji je moguće lakše ili teže ugroziti). Prema ovom konceptu, na primer osoba sa motivom M = 10, faktorom spremnosti N = 10 (motiv, volja – odlučnost i sposobnost) je determinisana domenom namere - kriminala. Navedeni faktori determinišu domen namere – kriminala. Međutim, ljudski faktor može da bude uzrok incidenta iz nepažnje. Kako rešiti problem prevencije za ovaj faktor? Kako formirati humanu sferu? Deo odgovora leži u navedenoj formuli. Iz analize [Pet00] proizlazi da iz ugla potencijalnog napadača presudnu ulogu ima motiv, psihološki faktor koji, pod uticajem spoljnih i unutrašnjih činilaca, navodi određenu osobu da izvrši kriminalno delo. Da bi predupredili (proverili) da li postoji motiv za kriminal kod, pre svega, potencijalnog saradnika, obavezno treba izvršiti proveru preko nadležnog suda da li je radnik bio kažnjavan zbog nekog iz nepoštenja izvršenog krivičnog dela i da li je radnik u krivičnom postupku, a ako je već bio u radnom odnosu, da li se proverava njegov dosadašnji odnos prema radu. Stalnim nadzorom, neposrednim kontaktom sa saradnicima treba nastojati da se uoče mogući motivi za kriminal. Prema Tabeli 5.1.3. [Pet00] mogu da se otkriju mogući motivi za kriminal – prevaru. MUŠKARCI Ukupno Življenje iznad mogućnosti Kriminalni karakter Kockanje Alkoholizam (zavisnost) Uticaj supruge koja je koristoljubiva Neodgovornost Ekstravagancija supruge ili dece Loši poslovni rezultati Bolest u porodici Akumulacija dugova Loše društvo (biti naivan) Ljutnja na poslodavaca Ostali razlozi
% 100 24,8 13,5 13,0 10,1 6,6 4,0 3,9 2,9 2,8 2,8 2,8 2,7 10,1
ŽENE Ukupno Življenje iznad mogućnosti Porodični troškovi Ekstravagancija supruga ili dece Kriminalni karakter Uticaj povlašćenih muškaraca Želja za novim početkom Bolesti u porodici Alkoholizam (zavisnost) Lična bolest Loše društvo (biti naivan) Mentalni problemi Ljutnja na poslodavaca Ostali razlozi
Tabela 5.1.3. Motivacioni faktori prevare 71
% 100 19,8 11,5 10,3 10,3 9,0 5,1 5,1 4,5 3,8 3,2 2,7 1,9 12,8
Uočavamo da (ne)motivisan, (ne)odgovoran, (ne)stručan, u krajnjem (ne)kompetentan ili jednostavno rečeno (ne)sposoban subjekat u IS presudno utiče na nivo njegove bezbednosti. On će primereno njegovoj (ne)kompetentnosti bezbednost i performanse IS povećavati ili smanjivati. (Ne)kompetentnost će da odluči o svim drugim sferama bezbednosti IS. 5.1.4. Higijensko-tehnička zaštita U radu u računarskom centru ljudstvo se susreće sa opasnostima po život i zdravlje. Stradanje ljudstva je najveća katastrofa za IS. Da bi se preveniralo stradanje ljudstva, sprovode se mere higijensko-tehničke zaštite. Koncentracija elektronskih (električnih) uređaja u računarskom centru dovodi u fokus mere za zaštitu od elektrouređaja. Prilikom proticanja kroz ljudsko telo, električna struja štetno deluje po organizam. Do toga dolazi pri dodiru sa pojedinim delovima elektrouređaja koji se stalno nalaze pod naponom ili pod njega dospevaju usled oštećenja izolacije ili zaštitnih uređaja (tabela 5.1.4). Jačina Karakter dejstva struje (mA) Naizmenična struja Istosmerna struja 0,6–1,5 Početak osećanja, lagano bockanje Ne oseća se 2–3 Jako bockanje Ne oseća se 5–7 Grčevi u rukama Osećaj zagrevanja Jaki grčevi u rukama, još se ruke Jače zagrevanje 8–10 mogu odvojiti od uređaja Trenutna paraliza ruku. Ruke se ne Još jače zagrevanje i neznatno grč20–25 mogu odvojiti od uređaja. Jaki enje mišića bolovi, otežano disanje Paraliza disanja. Početak fibri- Jako zagrevanje i grčenje mišića. 50–80 lacije srca Otežano disanje Paraliza disanja. Tokom trajanja Paraliza disanja 90–100 više od 3 sec paraliza srca Parliza disanja i srca pri dejstvu 3.000 i više dužem od 0,1 sec. Uništavanje ćelija od zagrejavanja strujom Tabela 5.1.4. Dejstvo električne struje na ljudski organizam u zavisnosti od vrste i jačine Za čoveka je smrtonosna struja jačine od 50 mA. Ljudski organizam pri različitim uslovima (vlažna koža, labilan nervni sistem itd) može da ima različite otpornosti (od desetak do nekoliko stotina oma). Zbog toga po ljudski život mogu da budu opasni čak i vrlo niski naponi (30–40 V). Prilikom teške povrede strujom, čovek gubi svest, prestaje da diše i srce prestaje da radi. U naročito teškim slučajevima, kada se povređenom blagovremeno ne ukaže pomoć, nastupa smrt. Prilikom povrede strujom potrebno je: — brzo osloboditi povređenog od dodira sa delovima pod naponom 72
— primeniti veštačko disanje, čak i pri vidljivim znacima smrti (prestalo disanje i kucanje srca) — veštačko disanje sprovoditi do potpunog oživljavanja ili do pojave drugih znakova smrti – samrtnog plavetnila koje se ispoljava tek nakon nekoliko časova posle smrti. Samo lekar može da naredi da se prestane sa daljim pružanjem pomoći. Štetno dejstvo struje može se ispoljiti i u vidu opekotina. Prva pomoć je, pri tome, ista bez obzira na poreklo opekotine. U radu sa elektrouređajima naročito je zabranjeno: — upotreba elektrouređaja koji nema zaštitno uzemljenje. Otpornost uzemljenja ne sme biti veća od 4 Ω — upotreba sklopki, prekidača i razvodnih kutija bez zaštitnih omotača — zamena osigurača i remont električnih uređaja od strane neovlašćenih lica — umesto predviđenih osigurača upotrebljavati neprojektovane — dodirivati uređaje ili ulaziti iza ograde uređaja sa visokim naponom kada oni nisu isključeni iz mreže. Radi zaštite od struje, obaveno se treba pridržavati sledećeg: — ljudstvu je dozvoljen rad sa elektrouređajima samo posle obuke u korišćenju ovih uređaja i posle upoznavanja sa pravilima tehničke zaštite a naročito postupcima prve pomoći — svi radovi na elektrouređajima pod visokim naponom (višim od 250 V) izvode se grupno (najmanje dva čoveka). Rad sa uređajima pod visokim naponom dozvoljava se samo licima bez povreda i koja su potpuno zdrava — u radu sa neispravnim uređajima treba koristiti samo ispravne instrumente — u radu sa uređajima pod visokim naponom treba koristiti specijalna zaštitna sredstva, oko visokonaponskih uređaja moraju se koristi gumene prostirke — na svim mestima na kojima je moguć dodir sa provodnicima i delovima uređaja koji se nalaze pod naponom obavezno treba postaviti tablice sa adekvatnim upozorenjem (''mrtvačka glava'' i natpis ''ne dirati – smrtonosno'') — sve popravke, remontne i montažne radove treba izvoditi samo pri isključenom napajanju uređaja, isprazniti sve kondenzatore — pre uključivanja izvora napajanja proveriti napon izvora i polaritet — prilikom provere visokog napona instrumentom ne pridržavati oba pipka instrumenta istovremeno. Najpre se jedan pipak fiksira na jedan od polova, a zatim se postavlja drugi pipak na drugi pol. Pored posebnih mera higijensko-tehničke zaštite, zbog stradanja ljudstva usled strujnog udara, u opšte mere spadaju i: — provera i obuka ljudstva u poznavanju mera zaštite — obezbeđenje sredstava33 (ormarić) za prvu pomoć.
33
Iskustvo autora devedesetih godina. Zbog zadesne samopovrede dežurajući uz računar, sam, noću, mogao sam iskrvariti jer u računarskom centru nije bilo sredstava (ormarića) za prvu pomoć.
73
5.2. Normativna sfera ''Pravo (normativi – N. Viner) se može definisati kao etički nadzor nad komunikacijama... pogotovo kada je ovaj normativni vid pod kontrolom neke vlasti dovoljno jake da svojim odlukama da delotvornu društvenu sankciju.'' To je proces podešavanja "sprega" – koje vezuju ponašanje pojedinaca kako bi se moglo ostvariti ono što zovemo pravdom. Pojmovi o pravdi se opravdavaju najvišom sankcijom – moralnim kodeksom. Međutim, nikakvo ljudsko poštenje ni širokogrudost ne mogu samo po sebi osigurati pravedan i sprovodljiv pravni kodeks. Prema tome, samo nedvosmislen normativ obezbeđuje i nedvosmislenost prava i obaveza subjekta u određenim okolnostima. Pod normativima podrazumevamo akta: - ustav o međunarodni ugovor i sporazumi34 zakon i • podzakonska akta: o pravilnik (pravilo) o uredba o ukaz o naredba o odluka o rešenje o statut o uputstvo. Normativi obavezuju i propisuju izvršenje neke radnje i način izvršenja te radnje. Kaskadnim prikazom ilustrovana je hijerarhija normativa. Podrazumeva se da su na najvišem nivou podzakonskih akata pravilnici (pravila), a na najnižem – uputstva. Kaskada normativa podrazumeva da su normativi na nižem nivou usklađeni sa normativima na višem nivou. Ustav i normative snage zakona donosi najviše zakonodavno telo u državi – parlament. Podzakonska akta donose druge institucije, nivoa tzv. izvršne vlasti, u skladu sa zakonom. Najnoviji radovi kao i radovi od pre dvadesetak godina upućuju na činjenicu da normativno regulisanje problema kod nas, u ovoj oblasti, zanačajno zaostaje za tehnološkim osnovama postojećih informacionih sistema. Većina ili svi normativi regulišu (ne)mogućnost zloupotrebe IS. Mnoge zemlje na Zapadu davno su donele odgovarajuće zakone o zaštiti podataka. Prvi zakoni ove vrste su se pojavili još šezdesetih godina prošlog veka u nekim državama SAD. Na nacionalnom nivou, zakon o zaštiti podataka je među prvima donet u Švedskoj – 1971. godine. Savezna Republika Nemačka je 1977. godine usvojila zakon o zaštiti podataka o pojedincu u procesu automatske obrade podataka. U Francuskoj je 1978. godine donet zakon o zaštiti podataka pa je ona time, posle Švedske i Nemačke, postala treća evropska zemlja koja ima nacionalni zakon o zaštiti podataka. Francuski zakon, u odnosu na druge, predviđa opsežne 34 Tačkom 16. Ustavne povelje Državne zajednice Srbije i Crne Gore definisano je da međunarodni sporazumi imaju primat nad Ustavnom poveljom.
74
pravne sankcije za povredu propisa. Velika Britanija tada nije imala poseban zakon o zaštiti podataka. Međutim, postojeći zakoni Velike Britanije omogućavaju gotovo potpunu, zaštitu ličnih podataka putem drugih oblika pravne zaštite. U našoj državi (SFRJ, SRJ, SiCG, Srbiji) nije postojao zakon koji bi eksplicitno pokrivao oblast zaštite podataka. Međutim, tzv. pozitivno zakonodavstvo regulisalo je pitanja zaštite podataka ne vodeći računa o načinu njihovog prikupljanja i obrade, kao ni o specifičnostima funkcionisanja informacionih sistema u okviru kojih se prikupljaju, obrađuju i iskazuju podaci. Pri prenosu informacija kroz mrežu, što je danas čest slučaj, zakoni u nekim zemljama nalažu da se primeni izvestan stepen zaštite. Aprila 1996. godine napravljen je predlog (saveznog) Zakona o autorskim i srodnim pravima. Predlagač je bilo Savezno ministarstvo za nauku, razvoj i životnu sredinu. Ovim predlogom rađaju se i prava proizvođača baza podataka kao srodna prava. Prema ovom predlogu, tužbom se zahteva: "utvrđivanje povrede prava, njen prestanak, uništenje ili preinačenje predmeta kojima je izvršena povreda, uništenje ili preinačenje alata i opreme kojima su izvršene povrede, naknada štete, objavljivanje presude. Ukoliko utvrdi povredu ili mogućnost povrede, na zahtev nosioca prava ili po službenoj dužnosti, sud može izreći privremenu meru oduzimanja ili isključenja iz prometa predmeta kojima se vrše povrede ili zabraniti nastavljanje započetih radnji. Sud može narediti, radi obezbeđenja dokaza, a bez prethodnog obaveštavanja, pregled BP i zaplenu dokumenata." Zakon je usvojen 23. maja 1998. godine. Za povrede prava koje predstavljaju krivično delo, prema ovom Zakonu, sud može izreći kazne zatvora ili novčane kazne. Pored krvičnog dela, moguće je u ovakvom slučaju pravno lice kazniti i za privredni prestup. Na osnovu Odluke o obavljanju platnog prometa elektronski – Službeni list SRJ br. 51/99, tačka 11:"Učesnik u platnom prometu... primenjuje propisane metode zaštite podataka i šalje ih elektronski davaocu usluga, koji ispravnost poruke proverava primenom sistema zaštite, primenjuje metode zaštite propisane za slanje podataka i poruku elektronski šalje učesniku u platnom prometu – primaocu elektronske poruke..." Tačkom 7. regulisano je: "Narodna banka Jugoslavije će uputstvom za primenu tehnološko-tehničkih elemenata u elektronskom platnom prometu propisati obim i način primene standarda u oblasti komunikacija i zaštite elektronskog platnog prometa i utvrditi nivo zaštite računarskokomunikacione mreže." Poznati normativi kod nas ne obavezuju subjekte (vlasnike) IS da uvedu bezbednost u njihove IS izuzev u pojedinačnim slučajevima, odnosno u pojedinim segmentima IS. Naime, ne može se prihvatiti da je dovoljna prevencija ako i ukoliko se u normativnom domenu (u većini slučajeva) samo saopštavaju (zaprećuju) kaznene mere koje će se primeniti ako dođe do (namernog) ugrožavanja IS. Srbija se od 18.04.2003. godine uvrstila u red modernih zemalja – podneta je prva elektronska krivična prijava. Na sajtu Drugog opštinskog javnog tužilaštva u Beogradu, tog dana, popunjen je obrazac i podneta putem Interneta prva krivična prijava. Prijava je podnesena na osnovu seta zakona usvojenih 12.04.2003. godine.
75
To su zakoni koji sankcionišu sledeća krivična dela: — neovlašćeno korišćenje računara i računarske mreže — računarska sabotaža — pravljenje i unošenje računarskih virusa — računarska prevara — ometanje funkcionisanja elektronske obrade i prenosa podataka i računarske mreže — neovlašćen pristup zaštićenom računaru ili računarskoj mreži — sprečavanje i ograničavanje pristupa javnoj računarskoj mreži. Konačno početkom ovog veka, tačnije 2000. godine, Međunarodna organizacija za standardizaciju ISO i Međunarodna komisija za elektrotehniku IEC koji čine specijalizovani sistem svetske standardizacije donose Međunarodni standard ISO/IEC 17799. Standard je pripremio Britanski institut za standarde (kao BS 7799), a združeni tehnički komitet ISO/IEC JTC za Informacione tehnologije usvojio ga je posebnom "brzom procedurom", paralelno sa odobrenjem nacionalnih tela pri ISO i IEC. Ovaj standard je skup pravila namenjenih održavanju visokog nivoa bezbednosti IS. On daje i detaljne upute za kontrolu bezbedosti računara i računarskih mreža, takođe, on je i dobar vodič za vođenje politike bezbednosti u IS i održavanja visokog nivoa svesti o (potrebi) bezbednosti IS. Praksa IS nalaže da se interno utvrde sledeći normativi. Pravilnik (plan zaštite) kojim su normativno interno regulisana pitanja bezbednosti IS. Ovim Pravilnikom se definišu skupovi (zaštitnih) preventivnih i sanacionih mera. Višim aktom poslovnog sistema obavezuje se top menadžer da donese ovakav Pravilnik. Prema [ISO00], tačka 3.1.1, preporučuje se da u IS rukovodstvo odobri dokument o politici zaštite informacija, da ga objavi i prosledi u skladu sa potrebama svim zaposlenima. U njemu treba da budu definisane obaveze rukovodstva i iskazan stav organizacije prema upravljanju zaštitom podataka. U cilju preveniranja štete u IS neophodno je imati izrađen katalog opasnosti po IS. Jedna od značajnijih preventivnih (normativnih) mera jeste sklapanje ugovora sa osiguravajućim preduzećem. Mogućnost potpunog otkazivanja IS mora da bude prevenirana sklapanjem ugovora sa nekom drugom organizacijom u korišćenju rezervnog backup sistema. Podrazumeva se puna kompatibilnost sa IT backup sistema. Uz računarski sistem35 korisno je voditi dnevnik rada i evidenciju intermitentnih grešaka. U okviru preventivnih mera propisuju se (definišu se) zaštitne mere iz svih (ostalih) sfera. Opet uočavamo opravdanost konteksta koncentričnih sfera. Sfera normativa obuvata sve ostale sfere zaštite izuzev humane, jer normative pišu – ljudi. Za slučaj katastrofalnog ispadanja sistema, nepohodno je da postoji plan za ponovno uspostavljanje punog pogona (Disaster Recovery, Plan-DRP). 35
Računarski sistem, ''mašinski'' deo IS, samo računar sa periferalima.
76
U okviru internih normativa, deo sanacionih mera iz plana zaštite, poželjno je imati uputstva za slučajeve: — ratne opasnosti (pre ratnih dejstava, u toku i posle) — požara — loma — vandalizma ili sabotaže — kvara na klima uređajima — ispadanja napajanja električnom energijom — ispadanja telekomunikacionih linija — ispadanja hardvera i — elementarnih nepogoda. U okviru sanacionih mera treba da postoji propis koji garantuje validnost sprovođenja dokaznog postupka, ispitivanja uzroka štete. Za podršku akciji, prema [ISO00], protiv neke osobe ili organizacije potrebno je rspolagati odgovarajućim dokazima. Kad god ova aktivnost predstavlja internu kaznenu meru neophodni dokazi se opisuju kroz unutrašnje procedure. Kada takva aktivnost uključuje zakon, građanski ili krivični, podneti dokazi treba da su u skladu sa pravilima dokazivanja koje utvrđuje odgovarajući zakon ili sa pravilima specifičnog suda u kojem se slučaj ispituje. Svi normativi podležu reviziji – planskoj proveri i oceni korektnosti i, prema potrebi, izmeni. Problemi zaštite informacija, na primer, u Velikoj Britaniji, publikovani su maja 1992. od strane organa vlade V. Britanje u dokumentu ''Zahtevi korisnika prema standardima zaštite informacija'' (User rеquirеmепt fоr IТ Sесuritу Stаndаrds). U dokumentu su bili dati rezultati istraživanja od strane Britanskog instituta za standarde i nekih nevladinih institucija koje su se bavile bezbednošću informacija. Na projektu su sarađivali i predstavnici još osam firmi iz Britanije: ВОС Grоuр, Вritish Теlесоmmuniсаtions, Маrks and Sреnсеr, Мidland Ваnk, Nаtiоnwide Вuilding Society, Shеll Intеrnаtionаl, Shell UК i Unilеvеr. Rezultat rada te grupe objavljen je u septembru 1993. godine u aktu pod nazivom ''Norme upravljanja bezbednošću informacija'' (Тhе Соdе оf Рrасtiсе fоr infоrmаtiоn Sесuritу Маnаgеmеnt). Ove norme propisuju ponašanje rukovodstava poslovnih sistema i lica koji odgovaraju za razvoj i stanje informacione bezbednosti u poslovnim sistemimima. U suštini one su obavezujuće praktične mere primenljive u poslovnom sistemu.
77
5.3. Organizaciona sfera U renesansnoj Veneciji [Vin73], sa perfektno organizovanom službom sakupljanja vesti (informacija), bila je do te mere naglašena nacionalna podozrivost da su po nalogu države tajno ubijani iseljenici – zanatlije, kako bi se sačuvalo isključivo pravo na neke veštine i umetnosti. Pod organizacionim sistemom može se podrazumevati svaki oblik udruživanja ljudi radi ostvarivanja zajedničkih ciljeva. U svakodnevnoj praksi ovaj sistem se naziva organizacija. Organizacija se bavi ljudima, ali i skladnim povezivanjem ljudi i sredstava, uključujući i ostale resurse (opremu, prostor, energiju, vreme, informacije). U oblasti organizacije paralelno se razvijaju dve oblasti pitanja, i to: (1) – organizaciona struktura i (2) – uloga čoveka u organizaciji. Od posebnog značaja je funkcionisanje organizacije koje oživljava organizacionu strukturu i pokreće ljude na svrsishodno delovanje u ostvarivanju opšteg cilja organizacije. Ciljevi se biraju iz skupa vrednosti (individualne, grupne, organizacijske, vrednosti okoline, društvene vrednosti) i predstavljaju željena stanja u budućnosti. Oni su osnovni pokretač svake aktivnosti u organizaciji i predstavljaju svrhu njenog postojanja. Neprestanim praćenjem realizacije ciljeva, organizacija stiče uvid u kvalitet svog funkcionisanja i u skladu sa ostvarenim rezultatima, koriguje svoje delovanje. Međutim, organizacija je i zbir pravila na osnovu kojih se odvija interakcija elemenata (objekata) sistema, prema tome, organizacioni sistem je determinisan organizacijom. Razvoj tehnologije višestruko je uticao na razvoj organizacionih sistema pa i na funkciju upravljanja. S jedne strane, omogućena je centralizacija upravljanja sa većim ili manjim brojem organizacionih jedinica. Kroz proces departmanizacije36 dolazi se do ovih jedinica. Ona ima više vidova, i to: — funkcionalni — teritorijalni — numerički i — kombinovani. Izdvajanjem funkcionalnih celina na osnovu grupisanja poslova (zadataka) koji se realizuju u nekoj organizacionoj jedinici (delu) organizacionog sistema dolazi se do funkcionalne departmanizacije ovog sistema. Na primer: uprava – proizvodnja, komercijala, marketing, transport itd. Brojni su, takođe, primeri i teritorijalne organizacije nekog organizacionog sistema. Uprava carina, na primer, organizuje se na osnovama teritorijalne departmanizacije. Numerički tip je, pre svega, karakterističan za vojsku. Kombinacijom prethodnih vidova dolazi se do kombinovane departmanizacije organizacionog sistema. Osim toga, razvoj tehnologije traži veći broj specijalista koji mogu da donose odgovarajuće odluke upravljanja u skladu sa mogućnostima sistema.
36 Departman (francuski – department) [Vuj80], podela izvesnih poslova među raznim licima jednog kolegijuma: odeljenje, delokrug, srez, okrug...
78
Na taj način uočavamo potrebu organizacionog sistema za uspostavljanjem sistema za obezbeđenje (kvalitetnih) informacija. Taj sistem se naziva informacioni sistem. Tehnološki gledano taj sistem se bavi ''preradom'' podataka i/ili informacija u informacije (slika 5.3.1). Računarski sistem je srž i reprezent IS, koji se neposredno bavi preradom podataka.
Slika 5.3.1. IS kao tehnološki sistem IS, u odnosu na ostale delove poslovnog sistema, može da bude jedinstvena celina, neposredno ispod top menadžera. U okviru funkcionalne departmanizacije, IS može da bude deo bilo kog funkcionalnog departmana. Depratmani u IS se formiraju na osnovu funkcija koje se realizuju u IS. Neke od funkcija su: — upravljanje podacima, sa zadacima: prihvat podataka, ispitivanje i raspodela podataka — planiranje termina, sa zadacima: korišćenje računara, planiranje rada, planiranje osoblja — obrada podataka i — arhiviranje, sa zadacima: arhiviranje programa i arhiviranje podataka.37 Sa promenama u tehnologiji IS pojavile su se nove funkcije, na primer: — administracija baza podataka i — administracija računarskih mreža. Zajedničke funkcije su: — razvoj (sistemski) — održavanje — upravljanje i — rukovođenje. U okviru funkcija, zadataka i aktivnosti u IS, izdvaja se grupa aktivnosti i zadataka koji su vezani posebno za bezbednost IS. Ova činjenica upućuje na potrebu imenovanja dužnosti u IS koja se bavi samo ovom oblašću. Na primer, Saveznim zakonom o zaštiti podataka iz 37
Nabrojane funkcije odnose se na tzv. paketsku obradu podataka koja je u poslednje vreme sve ređa.
79
1972. godine u Zapadnoj Nemačkoj, regulisano je da u IS, koji ima do pet izvršilaca, mora de se imenuje lice koje se uzgred bavi i pitanjima zaštite IS. U IS sa većim brojem izvršilaca imenuje se lice koje se isključivo bavi ovom oblašću. Na osnovu tog zakona na mestu tzv. referenta bezbednosti u računskim centrima u Nemačkoj je 1985. godine radilo između sedam do deset hiljada lica. Jedan od tretmana bezbednosti iz ugla organizacije jeste definisanje tzv. matrice ovlašćenja. Ovom matricom se određuju aktivnosti izvršilaca38 i korisnika koje sve nazivamo zajedničkim imenom subjekti, kao i pristup resursima IS (objekti). S1 S2 … Si
O1 R,W,E
O2
...
Oi
On-1
On E
R R,E
Sm
R
Korisnici S1, S2,…, Sm mogu da R – čitaju, W – pišu i E – izvršavaju, blokiraju, zaustavljaju, brišu, modifikuju, listaju, traže, dodeljuju, rezervišu neke aktivnosti na objektima O1, O2,..., On. 5.3.1. Preporučene mere zaštite Sve organizacione celine IS39 nadležne su za zaštitu IS. Nadležnosti, prava i obaveze, organizacionih celina pa i pojedinaca definišu se planom zaštite i sistematizacijom u kojoj se propisuju i prava i obaveze u vezi sa zaštitom za svako pojedinačno radno mesto. Posebno se propisuju nadležnosti za referenta bezbednosti. Načelno, lokalni referent za bezbednost IS40 nadležan je za bezbednost u svom (pod)sistemu. Ovaj subjekat integriše sve sfere bezbednosti na svom nivou. Pojedinačne nadležnosti [IBM85] ovog subjekta su: — koordinisanje zaštitnih mera za svoj IS — identifikacija objekata koje treba zaštiti — demarkacija i opis područja bezbednosti — obaveštavanje o novim zaštitnim merama — provera postojećih zaštitnih mera putem nadzora izvršenja, pridržavanja i njihove efikasnosti — konsultacija pri razvoju novih projekata — planiranje školovanja i obuke izvršilaca (operativnog osoblja) i korisnika — obezbeđenje autentičnosti strana u komunikaciji u računarskoj mreži — obezbeđenje integriteta podataka — obezbeđenje nemogućnosti naknadnog poricanja transakcija — razvoj mera za obezbeđenje tajnosti podataka — analiza prekršaja i nedostataka i — učestvovanje u planiranju razvoja, dizajna i uvođenja novih zaštitnih mera. 38 Osoblje koje radi u IS: upravno osoblje, administratori, programeri, operateri itd. za razliku od korisnika koji samo koriste usluge IS. 39 Organizacione celine departmani, determinisane su funkcijama IS. 40 Ukoliko je IS složen od podsistema, onda se za svaki podsistem imenuje lokalni referent bezbednosti.
80
Za složeni IS imenuje se glavni referent bezbednosti. Takođe, on integriše sve sfere bezbednosti na svom nivou, a njegove nadležnosti su: — koordinisanje zaštitnih mera za IS41 — identifikacija objekata koje treba zaštiti — demarkacija i opis područja bezbednosti — nosilac je izrade Pravilnika o bezbednosti IS — obaveštavanje o novim zaštitnim merama — provera postojećih zaštitnih mera — konsultacija pri razvoju novih projekata — planiranje školovanja i obuke izvršilaca (posebno lokalnih referenata bezbednosti i operativnog osoblja IS) i korisnika — analiza prekršaja i nedostataka i — planiranje razvoja, dizajna i uvođenja novih zaštitnih mera. Mogući važni subjekti u bezbednosnom sistemu su i glavni administrativni centar za Intranet pa i administratori mreža.42 Glavni administrativni centar za Intranet. Ovaj subjekt je nadležan za tehnički (tehnološki) domen bezbednosti neposredno na IT a posebno na računarskoj mreži. To je područje hardvera, operativnih i mrežnih sistema, zaštite podataka (informacija) u obradi, na medijima i u prenosu, posebno kriptozaštita i TEMPEST. Pojedinačne nadležnosti ovog subjekta u odnosu na IS su: — učešće u definisanju globalne politike zaštite Intraneta poslovnog sistema — učešće u definisanju normativa u odnosu na aktivnosti vezane za javne mreže — saradnja sa međunarodnim institucijama iz srodnih oblasti — formiranje i distribucija standarda i preporuka iz zaštite za celokupni Intranet poslovnog sistema (regionalne i lokalne mreže) — praćenje i analiza globalnog stanja zaštite na Intranetu poslovnog sistema — formiranje i održavanje privremene i javne baze podataka za podršku sistemu zaštite Intraneta poslovnog sistema — razvoj i održavanje baze podataka (evidencije) aktivnosti korisnika na pojedinačnoj radnoj stanici — neposredna pomoć administratorima lokalnih mreža u domenu zaštite — razvoj mera za obezbeđenje autentičnosti strana u komunikaciji u računarskoj mreži — razvoj mera za obezbeđenje integriteta podataka — razvoj mera za obezbeđenje nemogućnosti naknadnog poricanja transakcija i — razvoj mera za obezbeđenje tajnosti podataka. Administratori lokalnih mreža. Ovi subjekti imaju sledeće nadležnosti: — dosledna implementacija propisanih standarda iz domena zaštite u okviru lokalne računarske mreže (LAN) radi prevencije incidentnih situacija i efikasne reakcije u slučaju incidenata — praćenje stanja zaštite na LAN mreži — nadzor nad bazom podataka (evidenciji) aktivnosti korisnika u LAN — reakcija na uočenu neispravnost 41 42
U ovom slučaju mere se odnose na jedinstveni informacioni sistem poslovnog sistema a ne na podsisteme. Lokalnih i globalne računarske mreže.
81
— prosleđivanje informacija o incidentnim situacijama na LAN glavnom administrativnom centru i — pomoć korisnicima LAN u domenu razumevanja značaja zaštite i implementaciji mehanizama zaštite. Organ bezbednosti PS. Ovaj subjekat može da preuzme nadležnosti referenta bezbednosti za IS. Podrazumeva se da se bezbednost IS integriše u sistem bezbednosti celog PS. Specifične mere koje preduzima organ bezbednosti PS su: — organizuje (po potrebi) i realizuje stručnu bezbednosnu pripremu, u vezi sa zaštitom tajnosti podataka — blagovremeno upoznaje menadžment, o problemima u sprovođenju opštih i, u potrebnom obimu, sa posebnim merama a radi preduzimanja mera linijom upravljanja i — organ bezbednosti na svim nivoima organizuje i realizuje mere zaštite poslovnih tajni shodno postojećim zakonskim i drugim propisima. Svi poslovni sistemi sve više zaključuju da je bezbednost informacionih sistema jedan od najvažnijih prioriteta za vođenje biznisa. Taj zahtev se delegira kao najvažniji ka specijalistima u IS. Pitanje zaštite podataka u IS postaje sve važnije, što se odražava i na rashode poslovnog sistema. Prema [Int03], ne radi se samo na obučavanju specijalista u IS, u domenu bezbednosti IS, nego se povećavaju i investicije za te potrebe. Prilikom istraživanja u oko 430 američkih firmi zaključeno je da su se osnovne funkcije specijalista u IS, u vezi sa bezbednošću IS, svodile samo na administraciju računarske mreže. Međutim, sazrelo je saznanje o obimnosti tog zadataka i neophodnosti angažovanja specijalista u okvirima, koji mogu da reše ove probleme, i to kao eksperti bezbednosti, u IS kojih može biti i veći broj. Prema istom materijalu, za bezbednost IS treba da odgovaraju top menadžeri. Bez obzira na to što je zaštita informacija u poslovnom sistemu prioritetan zadatak, samo neki mogu da svedoče o angažovanosti top menadžmenta na ovim poslovima. Dužnost rukovodilaca za bezbednost (Chief Security Officer – CSO) postoji u malom broju proveravanih kompanija. CSO odgovara za informacionu fizičku bezbednost i zaštitu ''posebnih'' interesa. CISO (Chief Information Security Officer), rukovodilac za informacionu bezbednost, odgovara isključivo za pitanja zaštite informacija. U pojedinim firmama postoje obe dužnosti i CSO I CISO. U nedostatku određenog organa, nadležnosti se detašuju, obavezuje se postojeći organ. Za realizaciju posebnih mera zaštite formiraju se namenski, privremeni timovi u skladu sa određenim okolnostima, na primer za slučaj (katastrofalnog)43 pada računarskog sistema: — u cilju oporavka – vraćanja sistema u radno stanje, treba da budu formirani timovi, sa podelom poslova, za (brzi) oporavak sistema
43 Katastrofalan pad sistema; funkcije računarskog sistema su erodirane u takvoj meri da se ne mogu obavljati krucijalni poslovi PS. Koliko je pad katastrofalan, varira od sistema do sistema.
82
— za pojedine, konkretne probleme i intervencije na sistemu mora postojati i spisak ovlašćenih (spoljnih) saradnika — mora postojati lista (spisak) ključnih ličnosti, koji se najpre, po prioritetu, obaveštavaju, KPL lista (Key Personnel List) — svi zaposleni moraju biti upoznati sa svojim ovlašćenjima i dužnostima u slučaju katastrofa — za procenu štete imenuje se DAT tim (Disaster Assesiment Team) — za realizaciju plana obnove imenuje se DDT tim (Disaster Development Team). To je jedna (ili više) grupa lica iz IS koji realizuju obnovu. Za slučaj (katastrofalnog) pada računarskog sistema, u cilju nastavka posla, mora postojati backup računarski sistem. Angažovanje backup sistema reguliše se ugovorom. Rad na tom sistemu mora se (planski) proveravati. Za backup sistem mora postojati plan mera zaštite primeren osnovnom sistemu. U okviru poslova koji se realizuju u IS, treba voditi računa o sledećem: — treba planirati smene tako da u IS nikad ne radi samo jedno lice, (dva operatera u "mašinskoj" sali) — potrebno je obezbediti zamenljivost na poslovima. Nije retka neprilika, kada zbog odsustva nekog saradnika iz bilo kog planskog ili neplanskog razloga, neki posao neće biti realizovan u roku ili dovoljno kvalitetno — potrebno je imati kontrolu kvaliteta obavljanja poslova u svim fazama — mora biti jasno definisan rezultat svake faze rada — za svaku fazu rada (zaokruženu celinu) treba da budu definisani neophodni resursi — zaposleno osoblje treba da vodi dnevnike svojih aktivnosti. Dnevnici treba da obuhvate (kada to odgovara): a) vreme početka i završetka rada na sistemu b) sistemske greške i preduzete mere za njihovo ispravljanje c) potvrdu ispravnog rada sa datotekama podataka i izlazom iz računara i d) ime osobe koja je sastavila zapisnik. Operaterske dnevnike treba redovno i nezavisno proveravati i upoređivati sa radnim procedurama. O neispravnostima treba izveštavati i treba sprovoditi mere za njihovo ispravljanje. Greške u smislu problema sa obradom informacija ili komunikacija koje prijave korisnici, treba zapisivati u dnevnik. Treba da postoje jasna pravila o postupanju sa prijavljenim greškama uključujući: a) preispitivanje zapisa kako bi se osiguralo da su greške zadovoljavajuće razrešene i b) preispitivanje korektivnih mera (za ispravljanje) kako bi se osiguralo da kontrole nisu bile narušene, kao i da je sprovedena aktivnost u potpunosti odobrena. U IS treba da se identifikuju kritične konfiguracije. Ovde se misli, pre svega, na hardver i infrastrukturu. To mogu biti delovi računarskog sistema kritični zbog cene, problematičnog održavanja, jednostavno zbog esencijalnog značaja po računarski sistem. I delovi infrastrukture: energetski blok, klima uređaj, naročito zbog nepostojanja redundanse predstavljaju kritične delove IS.
83
5.4. Sfera fizičke zaštite U kontekstu [ISO00] ''politike praznog stola i praznog ekrana'' podsetimo se vremena iz doba Napolena I Bonaparte (Ajačijo, Korzika 1769 – Sveta Jelena, 1821). U Kampijenu (Compiegne), 80 km severoistočno od Pariza, u carskom dvorcu za odmor i lov, u carevoj radnoj sobi postoji sto sa dve ploče – radna fiksna i zaštitna pokretna. Zaštitna ploča se navlačila iznad radne ploče da ne bi nepozvani videli carske spise. Skoro dva veka kasnije u radovima Markusa Kuna, maja 2000. godine, [Kuh00] upozorava se da postoji mogućnost da se ''skida'' slika sa ekrana koji je okrenut prozoru i vidljiv od nepozvanih (slika 5.4.1).
Napajanje
Foto pojačalo Difuzija signala (informacija) koje se detektuju
Računar za ''prihvat'' i procesiranje signala Slika 5.4.1. Preticanje signala sa ekrana pomoću optičkog pojačala Na osnovu prethodnih sfera definišu se i mere – sfera fizičke zaštite. Ova sfera podrazumeva mere koje se realizuju već od početka rada na građevinskom projektu IS. Građevinski projekat mora da vodi računa o lokaciji IS, na primer u odnosu na: sprat, stranu sveta u objektu gde je lociran IS, položaju IS u odnosu na dalekovode, gasovode, emisiju štetnih gasova iz fabrika, sve vrste instalacija u zgradi: vodovodne, električne i gasovodne. Lokacija IS determiniše zaštitu rešetkama, bravama, prijavnom – čuvarskom službom itd. Izbor i projekat objekta gde je smešten IS treba da predvidi mogućnost oštećenja usled požara, poplave, eksplozije, socijalnih nemira i drugih oblika prirodnih nesreća ili ljudskog 84
faktora. Takođe, treba uzeti u obzir odgovarajuće zdravstvene i bezbednosne propise i standarde. Pažnju treba pokloniti takođe svakoj pretnji u pogledu sigurnosti koja potiče iz susednih prostorija, npr. curenje vode iz drugih delova zgrade. Sfera fizičkih mera podrazumeva i upotrebu tehničkih sredstava (slika 5.4.2) od šifro brava na ulasku u prostoriju,44 raznih oblika zaključavanja IS (računara, terminala), proveru identifikacije korisnika po principu: ono što jesu, ono što znaju, ono što imaju i kako se ponašaju.
Slika 5.4.2. Kombinacija šifro brave i svetlosne barijere Fizička zaštita u sistemu bezbednosti IS treba da obezbedi sve mere, od kontrole ulaska u zgradu, ulaska u pojedine prostorije do onemogućavanja odliva poverljivih informacija van IS. Stepen zaštite treba da raste kako se približavamo ''centru'' sistema. Treba da budu razdvojene zone sa prioritetom i stepenom osetljivosti u odnosu na slobodu kretanja. Sva lica treba da poseduju ID kartice za kretanje kroz prostorije zgrade. Svi sadržaji koji se unose ili iznose treba da budu kontrolisani. Mora se onemogućiti uvid spolja u IS, kako kroz prozore, npr. u prizemlju, tako i kretanjem osoba kroz prostorije kroz koje ne bi smele da se kreću i pruženom mogućnošću da ''vide'' šta se tu radi i ko tu radi. Sistem treba da ima posebne mogućnosti kontrole na ulasku u prostorije IS. U definiciji bezbednosti kaže se, ''stanje u kom su nedopuštene protivpravne mere osobito uz primenu fizičke sile…''. Fizičke mere, pored ostalih, imaju za cilj da onemoguće, spreči i/ili ograniče degradaciju IS, bilo da je ona (degradacija) rezultat namere ili slučajnog događaja. Strožom klasifikacijom ovih mera teško bi ih se moglo odvojiti, pre svega, od organizacionih, te se opet ponavlja činjenica o nedisjunktnosti zaštitnih sfera. Izvesna tajnost, zatvorenost, značaj sistema definisana je vrstom tajne (privatna, poslovna, službena, vojna, državna), sa odgovarajućim stepenima tajnosti (interno, poverljivo i strogo poverljivo) već stvara pretpostavke o postojanju prve ''fizičke'' barijere (podsfere),
44
Foto, ITS, Beograd.
85
koja je determinisana i u delu normativne sfere. Sledstveno kategorizaciji, statusu,45 objekta (IS) u odnosu na vrstu i stepen tajnosti uspostavlja se i sistem fizičke zaštite. Druga podsfera fizičke zaštite (barijera) je lokacija objekta (IS). IS može da bude smešten u nadzemnom ili podzemnom objektu, sa ili bez ograda (slika 5.4.3).46
b)
a)
Slika 5.4.3. Razne vrste ograda kao podsfera fizičke zaštite Na slici a, pored ''klasične'' žičane ograde, u sistem se ugrađuju senzori (detektori), IC, radarski ili ultrazvučni detektori. Na slici b prikazan je ukopani kabl – detektor metala. Pre ili pored ograda (slika 5.4.4) svakako u osetljivim zonama, sistem osvetljenja perimetra delom prevenira provalu u objekat.
Slika 5.4.4. Osvetljenje perimetra kao deo fizičke zaštite
45 U ovom smislu može se govoriti i o specijalnim institucijama. To su poslovni sistemi od nacionalnog i državnog značaja: nacionalna banka, delovi elektroprivrede (električne centrale, dalekovodi), delovi vodoprivrede (velike hidroakumulacije, akumulacije pitke vode i vodovodi), sredstva javnog informisanja, (naročito radio i TV sistemi), neki delovi sistema odbrane i bezbednosti, važna lica (VIP) za državu i naciju. U svakom slučaju, sistemi koji mogu biti potencijalni ciljevi zbog postizanja političke, materijalne ili finansijske štete (dobiti) koja bi ugrozila funkcionisanje države. ''Politika'' od 20.02.2004. godine, najbezbedniji objekti na svetu su (prema studiji objavljenoj u britanskom naučnom časopisu ''Fokus''): parking Bold Lejd u Derbiju u centralnoj Engleskoj, trezor u banci u Fort Noksu i avion američkog predsenika Air Force One. 46 Slike preuzete iz prezentacije preduzeća ITS Beograd.
86
U ovaj deo spoljne podsfere fizičke zaštite spada i stražarska (čuvarska) služba sa svim svojim modalitetima. Prema [ISO00], treba jasno definisati bezbednosni krug. Krug zgrade ili mesta u kom je smešten IS treba da je fizički jedinstven (tj. ne bi trebalo da ima prekide kroz koje bi se lako mogao ostvariti upad). Spoljni zidovi oko mesta treba da su od čvrste konstrukcije a sva spoljna vrata treba da budu odgovarajuće zaštićena protiv neovlašćenog pristupa, npr. kontrolnim mehanizmima, šipkama, alarmima, bravama itd. Zgrade treba da budu neupadljive i da što je moguće manje ukazuju na svoju namenu, bez vidljivih oznaka izvan ili unutar zgrade, koje bi ukazivale na prisutnost IS. Vrata i prozori treba da budu zaključani kada su bez nadzora a kada je reč o prozorima, treba predvideti spoljnu zaštitu, rešetke, posebno u prizemlju. Jedan od načina zaštite, u odnosu na problem sa Slike 5.4.1, jeste postavljanje zaštitnih folija na prozorska stakla (slika 5.4.5).
prozirna zatamnjena refleksna neprobojna
Slika 5.4.5. Folije za prozorska stakla Spoljna vrata i dostupni prozori štite se protivprovalnim sitemima koji se moraju planski proveravati. Alarmni uređaji (slika 5.4.6) treba da budu aktivni i u prostorijama koje se privremeno ne koriste.
87
PIRMW senzor Seizmički senzor
PIR senzor
Alarmna centrala Optička barijera
Slika 5.4.6. Senzori u funkciji protivprovalne zaštite Fizičke prepreke [ISO00] u IS, ako je potrebno, treba da se protežu od stvarnog poda do stvarnog plafona kako bi se sprečio neovlašćen pristup, kao i zagađenja iz okoline kao što su ona prouzrokovana požarom ili poplavom. Organizacijom prijavne službe treba da se onemogući pristup u objekat onima koji za to nemaju pravo. To se rešava proverom identiteta lica koja ulaze u objekat47 od strane prijavne službe ili korišćenjem tehničkih sredstava. Za proveru identiteta koriste se ''propusnice'', sa fotografijom ili bez nje.48 Propusnica može da bude sa kodom ili šifrom koji se koriste za identifikaciju vlasnika. Propusnice nisu pouzdane zbog mogućnosti oštećenja, gubljenja ili falsifikovanja. Provera identiteta može da se obavlja i na osnovu antropomorfoloških karakteristika: otiska prsta (prstiju), dlana, skena zenice oka, lica (an face) i sl. Kako se često prostorije IS nalaze u objektu sa drugim organizacionim delovima poslovnog sistema, pristup IS mora posebno da se štiti. Opet, ili samo, prijavnom službom i/ili proverom identiteta na već opisani način.
47
Objekat u kojem je smešten IS. Poznat je slučaj prevare prijavne službe sa ulaznicom za fudbalsku utakmicu. Ovaj primer upućuje na značaj i osposobljenost prijavne službe.
48
88
Od svih lica u IS treba zahtevati da nose neki oblik vidljive identifikacije, bilo da je reč o zaposlenim u IS ili ne.49 Zaposleni treba da postavljaju pitanja svakom nepoznatom koji je bez pratnje, kao i svakom drugom koji ne nosi vidljivu identifikaciju. U okviru IS postoje zone – područja pod posebnim režimom, a to su [ISO00] tzv. zaštićena područja. Zaključana kancelarija, ili nekoliko prostorija unutar fizičkog bezbednosnog kruga, koje se mogu zaključati50 čine zaštićeno područje IS. Ono može da sadrži ormane sa ključem ili kase (sefove). Zaštićene prostorije, koje se ne koriste, treba da budu zaključane i da se periodično proveravaju. U zaštićenim područjima treba uvesti dodatne kontrole i uputstva. U zaštićenim područjima kontroliše se osoblje trećih strana, kao i njihove aktivnosti koje se tu događaju. Posetioce zaštićenih područja treba nadgledati i pretražiti (pretresati), a datum i vreme njihovog dolaska i odlaska treba zapisati. Njima pristup treba odobriti samo za specifične, opravdane svrhe i treba im dati uputstva o zahtevima u vezi sa zaštitom područja i o procedurama za vanredne situacije. Osoblju treće strane za uslužnu podršku (npr. serviserima) treba dati ograničeni pristup, uz nadzor, zaštićenim područjima ili osetljivoj opremi za obradu informacija samo kada je to neophodno. Zaposleni u IS treba da budu upoznati sa postojanjem ili aktivnostima u zaštićenom području, samo na osnovu onoga što je neophodno da znaju. U zaštićenim područjima treba izbegavati rad bez nadzora, ili u timu, iz razloga lične bezbednosti a i da se smanji verovatnoća za zlonameran rad. 5.4.1. Zaštita računarskog sistema ''Geografski'' zone fizičke zaštite IS mogu da se podele na: 1. Zona zaštite informacionog sistema. To je opšta zona koja obuhvata sve učesnike u informacionom sistemu: korisnike i operativno osoblje. Korisnici su ona lica koja, samo, koriste usluge IS a ne bave se razvojem i održavanjem IS, koji na primer ne kreira i ne održava neku određenu bazu podataka. Mada je, u poslednje vreme, teško izdvojiti ''čistog'' korisnika IS 2. Zona zaštite računarskog (računskog) centra. Računarski centar predstavlja deo IS u kom se automatizovano obrađuju, skladište i prikazuju podaci i/ili informacije. Računarski centar čine računarski sistem sa svom potrebnom infrastrukturom i ljudstvo koje se neposredno angažuje na računarskom sistemu. Ljudstvo čine menadžment računarskog centra, administratori (baza, mreže), programeri, oeprateri i razno pomoćno, tehničko osoblje. Računarski centar čini i računarski sistem 3. Zona zaštite računarskog sistema. Samo ''mašinski'' deo računarskog centra koji obuhvata računar, ili više računara, ako se radi sa familijama servera sa periferalima. Periferali su: mrežna oprema na ulazu/izlazu računara (ako je mainframe računar), konzolni uređaji, jedinice sekundarnih memorija (magntenih traka, diskova), razne vrste štampača, crtača i
49 Iskustvo autora sa boravka u Generalštabu NATO-u 1996. goine. Svi posetioci imaju bedževe koje su dužni da nose prilikom boravka u službenim prostorijama. Na početku (kraju) svakog hodnika postoji kontrolna služba koja na osnovu izgleda i sadržaja bedža (ne)ograničava dalje kretanje. 50 Svi ključevi moraju biti u duplikatu i pod kontrolom. Planski treba menjati brave zbog neovlašćenog kopiranja ključeva.
89
4. Zona zaštite infrastrukture. Infrastrukturu čine: računarski sistem, mrežna oprema za uspostavljanje računarske mreže, prostorije računarskog centra, uređaji za rasvetu i komunikacije, klima uređaj(i), elektroenergetski uređaji, namenski uređaji za razdvajanje, sortiranje i uništavanje štampanog materijala i tehnički uređaji za zaštitu. U okviru fizičke zaštite, zbog značaja i specifičnosti, izdvaja se zaštita računarskog centra, pre svega u kontekstu pristupa. Pristup računarskom centru je kontrolisan, preko matrice ovlašćenja, autentikacijom i autorizacijom lica koja u radu koriste usluge računarskog centra, nazivamo ih zajedničkim imenom korisnici. Podrazumeva se da je računarski centar i fizički odvojen od ostalih prostorija poslovnog sistema. Identifikacija i autentikacija (provera autentičnosti) postupci su kojima se postiže kontrola pristupa računarskom centru. Identifikacija. Dodeljivanje jednoznačnog imena (šifre, naziva): ― svakom korisniku i ― svakom objektu (tj. svakom terminalu, programu,51 podatku i sl). Funkcija identifikacije [IBM85] znači da u sistemu postoji mogućnost dodeljivanja jednoznačnih imena, odnosno naziva korisnicima i objektima u IS. Ona podrazumeva postojanje nekog sloga, koji povezuje korisnika ili objekat sa identifikatorom, kao što je ime, naziv ili tabela. Preporučljivo je da identifikator bude mnemonički, tj. jednostavan za pamćenje i nepromenljiv tokom trajanja resursa, odnosno korisničkog odnosa, što podrazumeva da uslovno bude i javan. Ukoliko je reč o manjem broju korisnika, mogu se koristiti imena korisnika ili njihovi inicijali (ako su u pitanju lica). Kod većeg broja korisnika preporučljivo je da se koriste kombinacije cifara, npr. jedinstveni matični brojevi građana (ako su u pitanju lica) u kombinaciji sa nekim drugim nizom cifara ili alfabetika. Provera autentičnosti. Prikupljanje dokaza da je korisnik stvarno taj za koga se izdaje. Takav dokaz se obično sastoji od kombinacije podataka o sledećim osobinama korisnika: — nešto što samo jedno lice zna (npr. lozinka) — nešto što samo jedno lice ima (npr. mehanički ključ, perforirana kartica, bar kod, smart, ili magnetna kartica) — nešto što samo jedno lice jeste (antropomorfološke karakteristike, npr. pomoću otisaka prstiju) — nešto što samo jednoznačno predstavlja ponašanje neke ličnosti (npr. način kako lice piše ili govori). Provera autentičnosti je sposobnost sistema da verifikuje identifikator (ili više njih), koje predočuje korisnik, odnosno utvrđuje da li sistemu pristupa onaj korisnik čiji je identifikator predočen sistemu. Ovaj zahtev se u ličnom kontaktu jednostavno proverava – npr. čuvar će proveriti fotografiju na korisnikovoj legitimaciji ili propusnici, odnosno prepoznaće ga po sećanju. Evidentiranje pristupa u sistem obično se obavlja pomoću potpisa. Međutim, u odnosu čovek–računarski sistem, takva se verifikacija obično sastoji od kombinacije više elemenata, kako je ranije navedeno. 51
Mada, prema [Muf79], i program može biti korisnik (subjekat).
90
Autorizacijom se ograničavaju korisniku i posle pristupa računarskom sistemu, akcije i manipulacije sa podacima i/ili informacijama kojima ima pristup. Svaka akcija nad podacima i/ili informacijama treba da bude registrovana, a naročito promene. U podacima o akcijama nad podacima, treba evidentirati podatke o korisniku koji je realizovao akciju, vreme akcije, vrstu akcije, i ako je u pitanju promena, treba evidentirati sadržaj promene. Pogodno sredstvo za identifikaciju (autentikaciju i autorizaciju) jesu lozinke. Lozinka je [IBM85] (Password), od svega što jedan i samo jedan korisnik može da zna, najčešće korišćeno sredstvo za proveru autentičnosti, i to zato što je najekonomičnije. Ona mora biti: — jednostavna, tako da se može pamtiti a ne mora se zapisivati — dovoljno velika, da se otežaju eventualni zlonamerni pokušaji probijanja šifre nizom uzastopnih pokušaja nasumce — sastavljena od slučajno odabranih simbola, a ne sme biti predstavljena izrazom, koji korisniku nešto znači, jer bi u protivnom postojala znatno veća verovatnoća, da će eventualni zlonamernik u manjem broju pokušaja prodreti u sistem (takvi trivijalni izrazi su npr. lično ime, adresa, datum rođenja, lični broj, registarski broj automobila, telefonski broj i sl) — u najvećoj meri zaštićena od kompromitovanja, tj. dostupnosti licu koje nije korisnik te lozinke i — lako promenljiva. Trivijalni izrazi upotrebljenih lozinki, tj. takvi koji imaju neko značenje bilo opšte, bilo za korisnika, mogu se mnogo lakše i jednostavnije pogoditi nego nizovi simbola, koji nemaju nikakvo značenje, budući da je broj izraza sa značenjem veoma mali u odnosu na broj različitih nizova, koje je moguće rastaviti od istog broja simbola. Radi lakšeg pamćenja, a teškog otkrivanja, lozinka može da bude kombinacija početnih slova reči neke rečenice.52 Lozinku treba menjati što češće, kako bi se smanjila verovatnoća njenog kompromitovanja, a time i verovatnoća štete po sistem. Verovatnoća kompromitovanja lozinke zavisi i od pažnje korisnika lozinke, kao i od učestalosti menjanja lozinke. Nepovoljna strana lozinke jeste ta što eventualno kompromitovanje ne ostavlja nikakvog traga. U slučaju kompromitovanja, sistemu nije poznato niti da li je uopšte kompromitovana a kamoli ko je sada u neovlašćenom posedu lozinke. Da bi se smanjila opasnost od kompromitovanja usled dugotrajnog i ponavljanog korišćenja nepromenjene lozinke, sistemi često ne ostavljaju na ekranu trag ukucavanja lozinke, pa slučajni ili namerni promatrač ne može sa ekrana očitati lozinku. U tu svrhu se preporučuje da svi korisnici upotrebljavaju lozinke sa određenim brojem znakova [IBM85], npr. osam. Na taj način se eventualnom zlonamerniku otežava pokušaj da se ukucavanjem slučajno pogodi.
52
Poštanska štedionica zahteva da se u lozinku, na homebanking-u, pored alfabetika, ubaci bar jedna cifra.
91
''Linijski kradljivac'', takođe može da kompromituje lozinku tako što se nakon prijave ovlašćenog korisnika i log – on-a ubacuje u sistem i neovlašćeno ga koristi. U tom slučaju, postupak provere autentičnosti korisnika sprovodi se tako što mu sistem osim zahteva za lozinkom, postavlja i nekoliko pitanja na koje tačno može odgovoriti samo jedno lice. Pitanje se može odnositi na podatke iz ličnog života korisnika. Ove podatke definiše za sebe korisnik sam, a sistem prilikom svakog zahteva za rad na terminalu može korisniku postavljati neki drugi izbor pitanja, čime se smanjuje opasnost od kompromitovanja putem opažanja sa strane. Ovaj postupak je složeniji, jer iziskuje više vremena prilikom svakog log – on na sistem, ali je i pouzdaniji. Preporučuje se da se lični računari, terminali i štampači, kada su bez nadzora, ne ostavljaju aktivirani i prijavljeni u sistem i treba ih zaštititi kada nisu u upotrebi pomoću bravica sa ključem, lozinki i drugih kontrolnih sredstava. Iskustvo govori da i u tom slučaju ti uređaji nisu bezbedni. Poznati su slučajevi da je zbog kratkog spoja u električnoj mreži dolazilo do oštećenja jedinica za napajanje na računarima.
92
5.5. Zaštita softvera Pored hardvera, softver je neodvojivi deo računara. Softver, uopšteno, obuhvata sve programe koje pre svega proizvođač računara stavlja korisniku na raspolaganje. Softver može da se (ne)namerno uništi, kvari, gubi ili da se neovlašćeno koristi. Poseban problem je korišćenje neproverenog ili nepouzdanog softvera. 5.5.1. Specifičnosti zaštite softvera po vrstama Deleći softver detaljnije na: aplikativni, softver za rad u računarskoj mreži, korisnički (utility) softver, dijagnostički softver i operativni sistem, uočavaju se specifičnosti zaštite softvera po vrstama. Aplikativni softver je softver koji korisnik sam razvija ili ga naručuje samo za svoje potrebe i on služi za rešavanje nekih specifičnih problema korisnika. Klasični primeri [Bas88] su knjigovodstveni programi, uslužni knjigovodstveni servisi, softver za prodaju i rezervaciju karata, softver za inženjerske proračune i simulacije i softver za razne optimizacije. U poslednje vreme, ovaj softver je teško odvojiti od korisničkog softvera. Razvojem softvera koji je okrenut korsniku, tzv. user friendly softver u GUI okruženju (Graphical User Interface), skoro da se brišu granice između ove dve vrste softvera. Ova vrsta softvera kritična je po pitanju zaštite jer on u osnovi predstavlja sopstveni poslovni sistem koji se bolje ili lošije reprezentuje na tržištu zahvaljujući i ovom softveru. Ako je ovaj softver jedan od uslova prednosti poslovnog sistema, tada se primenjuju sve mere zaštite koje su na raspolaganju, a prvenstveno one koje neće dozvoliti konkurenciji da dođe u posed ovog softvera. Uslužni softver obuhvata softver opšte namene. Ova vrsta softvera je sve ređa i pojavljuje se samo na tzv. mainframe računarima. To je softver koji omogućuje na računaru sledeće funkcije: štampanje, brisanje, kopiranje, sortiranje, labeliranje izmenljivih medijuma, razne servisne funkcije kao što su rekonstrukcije, procedure obnavljanja datoteka itd. Ovaj softver je pomoćno sredstvo za održavanje i poboljšavanje performansi (iskorišćenja) računarskog sistema. Uslužni softver je izuzetno moćan. Zbog te činjenice korišćenje tog softvera mora biti pažljivo, a najbolje bi bilo [Bas88] da sa njim rukuju samo lica sa posebnim ovlašćenjima. Softver za rad u računarskoj mreži je u funkciji upravljanja, kontrole (bezbednosti) i korišćenja mreže. Mrežni softver može da bude posrednik štete u IS. Kvarenjem, oštećenjem ovog softvera remeti se rad celog IS, uvodi se u stanje nepouzdanosti i neraspoloživosti. Mrežni softver može da bude zloupotrebljen na više načina i sa različitim ciljem. Jedan od Win 9x ''alata'' [Mcc01] za zločinjenje preko mreže, tzv. ''mala vrata'' (Back Orifice), na primer, može da se iskoristi za skoro potpunu kontrolu Win 9x sistema, uključujući i sposobnost da se dodaju i brišu Registry ključevi, ponovo podigne sistem, šalju i primaju fajlovi, gledaju keširane lozinke, pokreću procesi i dele fajlovi. Šteta koju izaziva Back Orifice je posledica nedostataka klijentovog softvera ili njegovo nepravilno konfigurisanje.
93
Na primeru ovog ''alata'' savetuje se da on bude ažuriran i oprezno konfigurisan, ako je u pitanju Internet softver. Uopšte uzev, svaki mrežni softver treba da bude originalan i redovno ažuriran. Dodatne mere zaštite su i onemogućavanje neovlašćenog pristupa ovom softveru, kao i protivvirusna zaštita Dijagnostički softver. Mada je čovek [Bas88] osnovni nosilac aktivnosti otklanjanja grešaka u softveru, danas mu na raspolaganju stoji čitav niz dijagnostičkih i pomoćnih sredstava. To se naziva debugging i može se definisati kao niz postupaka kojima se vrši detektuju, izoluju i otklanjaju greške. Ako je informacioni sistem dobro organizovan, elementi debugging-a se mogu naći u svim fazama razvoja sistema, počev od sistem analize i testiranja programa do operativnog rada. Prilikom dijagnostikovanja i otklanjanja grešaka u softveru, moguće je da se neispravni računar povezuje komunikacionim linjama sa servisnim centrom koji sa svojom opremom (računarom) dijagnostikuje kvar i daje uputstva za popravku. Pri takvom načinu rada, kompletan računar se daje na raspolaganje dijagnostičkom centru koji ga može zloupotrebiti. Da ne bi došlo do zloupotrebe računara koji se servisira, treba ''očistiti'' od podataka i vršiti nadzor nad radom servisnog centra. Očigledan je značaj ovog softvera za pouzdan rad IS. Treba preduzeti sve moguće mere koje se koriste za zaštitu softvera u njegovoj zaštiti. Operativni sistem je [Bas88] jedan od najvažnijih komponenti softvera na računaru. Moglo bi se slobodno reći da je on ključ ukupnih performansi računara. Zbog toga operativnom sistemu treba posvetiti izuzetnu pažnju. Zaštitne mere operativnog sistema sastoje se od preventivnih mera i mera za otkrivanje napada na računar. U preventive mere spadaju: kontrola pristupa, izolacija i identifikacija, a otkrivanje grešaka postiže se nadzorom sistema. Sve ovo operativni sistem čini da bi ostvario svoju osnovnu funkciju: integritet podataka i sistema. 5.5.2. Zaštita softvera od kvarenja, uništenja i gubljenja Softver se (ne)namerno može oštetiti, uništiti ili izgubiti. Oštećen softver izaziva nepouzdanost u radu IS. Zbog uništenja ili nestanka softvera IS može da stane sa radom što može da ima velike posledice za poslovni sistem. 5.5.2.1. Zaštita softvera skladištenjem Najbolja i najvažnija zaštita od (ne)namernog uništavanja, kvarenja ili gubljenja (krađe), softvera jeste pravljenje kopija softvera, njegovo smeštanje (najbolje) u vatrostalne sefove, po mogućstvu u drugu zgradu (objekat) van računarskog centra. Podrazumeva se da postoji propis koji reguliše pravljenje kopija softvera. Prostorije sa kopijama softvera moraju biti sa kontrolisanim pristupom i odgovarajućom mikroklimom. Propisom se reguliše i provera kopija softvera (dinamika i način), da bi se obezbedio kontinuitet poslovanja, njihovo obnavljanje i uništavanje. Prilikom čuvanja softvera, treba uzeti u obzir mogućnosti propadanja medijuma koji se koriste za njegovo čuvanje. Treba uvesti procedure za čuvanje i postupanje koje su u skladu sa preporukama proizvođača. Gde se za čuvanje odaberu elektronski medijumi, treba uključiti procedure za osiguranje sposobnosti pristupanja softveru (čitljivost
94
medijuma i formata) u celom periodu čuvanja, kako bi se zaštitilo od njihovog gubljenja usled budućih promena tehnologija. Rezervne kopije značajnih poslovnih informacija i softvera treba praviti redovno. Treba takođe obezbediti odgovarajuću opremu za rezervne kopije kako bi se osiguralo da se sve značajne poslovne informacije i softver mogu obnoviti posle nesreće ili otkazivanja medijuma. Biblioteke softvera, aplikativnog (korisničkog), posebno operativnog sitema, moraju imati tretman kao bilo koja baza podataka (datoteka) u pogledu pristupa na računaru. Matricom ovlašćenja definišu se nivoi pristupa softveru. U skladu sa pravilima no-read-up i nowrite-down, onemogućava se čitanje programskih biblioteka iznad nadležnosti i pisanje (promena) programa na nižim nivoima nadležnosti. Prema [ISO00], da bi se smanjila mogućnost oštećenja računarskih programa, strogu kontrolu treba održavati nad pristupom bibliotekama sa izvornim programima. Što sistem više zavisi od ispravnog rada i blagovremene finalizacije softverskog proizvoda, tim pre treba uvesti kontrole upravljanja putem ispitivanja, pregleda, provere, verifikacije, validacije, itd. Nasuprot tome, prekomerna kontrola upravljanja nekritičnog ili malog softverskog proizvoda može biti neisplativa. 5.5.2.2. Održavanje softvera Razvoj softverskog proizvoda može imati tehničkih rizika. Ako primenjena softverska tehnologija nije sazrela, softverski proizvod koji se razvija je jedinstven ili složen, ili softverski proizvod sadrži zahteve u pogledu pouzdanosti ili druge kritične zahteve, može se zahtevati stroga specifikacija, projektovanje, ispitivanje i vrednovanje. Nezavisna verifikacija i validacija može biti značajna. Kod održavanja softvera, da se ne bi unosile greške, i da bi se smanjio unos grešaka, pri održavanju softvera treba voditi računa o sledećem: — programer unosi izmene u programima isključivo uz saglasnost nadležnog lica — različita lica kodiraju i testiraju programe — različita lica kodiraju transakcije i održavaju datoteku (bazu podataka) — upoređuju se stare i nove verzije programa i — potrebno je identifikovati kritične aplikacije za koje se moraju obezbediti alternativna rešenja. Neophodne su sledeće radnje [ISO00]: identifikacija i zapisivanje svih zahteva za izmenom; analiza i vrednovanje izmena; prihvatanje ili odbacivanje zahteva, kao i implementacija, provera i izdavanje modifikovanog elementa softvera. O proveri svake modifikacije mora da postoji trag u kojem se navodi ta modifikacija, razlog za modifikaciju i odobrenje modifikacije. Treba da se kontrolišu i pregledaju svi pristupi elementima softvera koji se kontrolišu a koji rade sa kritičnim funkcijama bezbednosti i sigurnosti. Projektant održavanja treba da analizira izveštaj o problemu ili zahtev za modifikacijom u pogledu njegovog uticaja na organizaciju, postojeći sistem, i sisteme sa kojima se sučeljava u pogledu sledećeg: — tip: na primer, korektivan, poboljšan, preventivan ili prilagođen novom okruženju 95
— obim: na primer, veličina modifikacije, troškovi, potrebno vreme i — kritičnost: na primer, uticaj na performanse, bezbednost ili sigurnost. Neki računarski sistemi [IBM85] imaju u sebi već ugrađen čitav niz funkcija, koje služe kao zaštitne mere u smislu otkrivanja, evidentiranja, dijagnoze i automatskog ispravljanja greške, koja bi nastupila u radu hardvera, softvera ili prenosa podataka. Te funkcije su sledeće: — postupci sa redundantnim bitovima (slika 5.5.1); od jedan do osam bitova služe za brisanje i korekciju grešaka — praćenje intermitentnih grešaka javljaju se u radu hardvera slučajno, teško se opažaju i održavaju. Neki sistemi ipak imaju ugrađene rutine za evidenciju ovakvih grešaka — zaštita memorije određeni delovi glavne (primarne) memorije zaštićeni su protiv upisivanja, tako da se iz njih može samo čitati (Read Only memorije) — zaštita datoteka neki sistemi u sistemskom softveru imaju razrađene i ugrađene postupke za evidenciju i proveru podataka i — izolacija programa povećanju pouzdanosti rada doprinosi razdvajanje programa, koji su istovremeno aktivni, ovlašćenje se deli za dostupnost pojedinim sistemskim resursima između aktivnih programa tako da se onemogućuje dostupnost jednom programu, npr. u podatke koje u tom trenutku eksploatiše drugi program. Otkrivanje grešaka i provera paritetnih bitova realizuje se na sledeći način. Na primer, slovo B u sedmobitnom ASCII kodu biće 0010100, kao kontrolna cifra, na parnost će se na kraj dodati 0, pa će niz biti 00101000. Za slovo T sedmobitni kod je 0100101, sa kontrolnim redundantnim bitom ovaj niz će biti 01001011. Generisanje 8. bita niz od 7 bitova Predajnik
različito
=
Prijemnik niz od 8 bitova
Slika 5.5.1. Logički sklop za otkrivanje grešaka proverom pariteta
i s t o
greška i s p r a v n o
Održavanje celovitosti sistema [ISO00] treba da bude obaveza funkcionalne ili razvojne grupe kod korisnika kojem aplikativni sistem ili softver pripada. Kontrolu treba obezbediti prilikom ugradnje softvera u operativni sistem.
96
Softver za operativni sistem koji je kupljen od nekog isporučioca treba održavati na nivou koji podržava taj isporučilac. Svaka odluka da se on unapredi novim izdanjem treba da razmotri pouzdanost tog izdanja, tj. uvođenje novih funkcija sigurnosti ili broj i ozbiljnost problema bezbednosti kojima podleže ta verzija. Za uklanjanje ili smanjivanje slabosti u zaštiti, treba primeniti popravke softvera, ako to pomaže. Fizički ili logički pristup isporučiocima treba davati samo kada je neophodno radi podrške i uz odobrenje rukovodstva. Aktivnosti isporučioca treba nadgledati. Podatke o ispitivanju treba zaštititi i držati pod kontrolom. Kod prijemnog ispitivanja najčešće su potrebne znatne količine ispitnih podataka koji su što je moguće bliži stvarnim radnim podacima. Treba izbegavati da radne baze podataka sadrže lične podatke. Ako se takve informacije koriste, njih treba pre korišćenja depersonalizovati. 5.5.3. Zaštita softvera od neovlašćenog korišćenja Razmenjivanje informacija i softvera [ISO00] među organizacijama, organizacijama i pojedincima, treba da bude pod kontrolom, i treba da bude u skladu sa odgovarajućim pravom. Postoji više vrsta prava koja tretiraju korišćenje softvera, a posebno njegovo neovlašćeno korišćenje. Softver, kao intelektualna svojina, roba, ima uporište u privrednom, građanskom, međunarodnom privrednom, pravu spoljne trgovine, obligacionom pravu, posebno pravu industrijske i intelektualne svojine, patentnom, autorskom, krivičnom, informatičkom [Kuk02] i kompjuterskom53 pravu. Sva ova prava, pa i u odnosu na softver kao predmet prava, evolutivnog su karaktera a posebno zakoni54 (ili podzakonska akta) koji se razlikuju i od države do države, odnosno subjekta koji ga donosi. Savete [ISO00] o specifičnim zakonskim zahtevima treba potražiti od pravnih savetnika u organizaciji, ili odgovarajuće kvalifikovanih pravnih lica. Lako je dokazati potrebu zaštite softvera. Aplikativni softver, na primer, ponekad predstavlja pravo remek-delo pronalazaštva. U svakom slučaju, on uvek predstavlja značajnu investiciju. Kad je to tako, zašto bi onda samo hardver bio zaštićen. U ime kog principa softverom mogu da raspolažu svi, bez ikakve naknade autoru? Na ovo pitanje nema drugog odgovora osim onog koji se sastoji u tome da je svako ograničavanje slobode u ovom području neprihvatljivo. Osim toga, važno je poštovati intelektualno vlasništvo, počevši od patentnih prava, koji predstavljaju pokretačku snagu stvaralaštva. Može se, pesimistički, zaključiti da je bitka između stvaraoca (proizvođača) softvera i neovlašćenih korisnika unapred izgubljena. Cilj je da se ipak smanji šteta. 5.5.3.1. Patentno pravo Najefikasnija zaštita je privatna zaštita. To znači monopol kretatora nad njegovim delom (softverom). Ovo se prvenstveno odnosi na patentno pravo. To pravo [Bas88] sprečava pravljenje, korišćenje, prodaju ili kreaciju sličnih proizvoda. Patent treba da obezbedi vlasniku ekskluzivnu kontrolu njegovog proizvoda određen broj godina. S druge strane, patent može da se ospori ukoliko se utvrdi da on nije jasan ili se osporava njegova originalnost. Patentna zaštita može da se poništi ukoliko se utvrdi da postoji monopol. 53 Predmet komjuterskog prava, kao skup pravnih normi je i: ''zaštita samih računarskih programa, softvera, korisničkog interfejsa, proizvoda reverzibilnog programiranja, kompjuterski generisanih dela...'' 54 Zakon [Pra70], pravno pravilo uopšte, pisani pravni akt sa najvišom pravnom snagom koji izdaju posebni zakonodavni organi po posebnom postupku. Zakon u odnosu na pravo ima karakteristiku obaveze, sprovodivosti, koja je garantovana i prisilom koju obezbeđuje zakonodavac.
97
Patentna zaštita se teško dobijala za softver. U evoluciji patentnog prava, u odnosu na softver, ima šarolikosti u pristupu. Dugo vremena, po ovom pitanju, zakonodavci nisu uopšte intervenisali. Zavodi za patente su najčešće odbijali patente koji se odnose na softver. Minhenska konvencija od 5. oktobra 1973. godine o ustupanju i pravu korišćenja evropskih patenata izjasnila se u tom duhu. U SAD, ovom problemu se prišlo sa respektom i Court of customs and Patent Appeals (CCPA), specijalizovana sudska institucija u području patenata, donela je odluke iz ovog područja. Zbog toga prva registracija softvera kao patenta dogodila se u SAD još 1968. godine. Ipak, postupak prihvatanja patenta za softver je dosta mukotrpan zbog toga šte teško utvrđuje šta se kod softvera može patentirati. Zbog toga su se praktičari [Luc82] okrenuli ka autorskom pravu (copyright). Ideja nije bila apsurdna. Sigurno je da softver, po prirodi stvari, mora poprimiti oblik (autorskog) dela, i to u principu mora biti dovoljno da bi se obezbedila zaštita autorskog prava. 5.5.3.2 Pravo na kopiranje softvera Treba uvesti odgovarajuće procedure kako bi se osigurala usklađenost sa zakonskim ograničenjima u pogledu korišćenja materijala koji može biti predmet prava na intelektualnu svojinu, kao što su pravo na kopiranje, projektantska prava, oznake proizvođača. Narušavanje prava na kopiranje može dovesti do zakonske akcije koja može obuhvatiti i krivično gonjenje. Softverski proizvodi u vlasništvu najčešće se isporučuju prema ugovoru o licenci kojim se korišćenje takvih proizvoda ograničava na posebne mašine a može ograničavati kopiranje samo na stvaranje rezervnih kopija. Treba predvideti kontrole prema [ISO00]. Informacione sisteme karakteriše posebna vrsta prava, tzv. copyright.55 Naime, informacije, znanje, ideje, konačno, softver, podležu copyright-u. Copyright, kao potvrda o pribavljenom pravu na štampanje knjige, kroz istoriju nastao je tako što je autor, kao tvorac određenog književnog ili drugog dela (rezbarije npr), koje je moguće preštampavati, svoje autorsko pravo, uz naknadu prodavao štamparima, koji su imali sredstava da to delo dalje plasiraju. Reč copyright u doslovnom prevodu sa engleskog jezika znači autorsko pravo, određenije pravo na umnožavanje, kopiranje tj. pravo na kopiju ili primerak. Međutim, prva upotreba ove reči u anglosaksonskom pravu, gde je institut i nastao, ostala je terminološki nejasna. Od početka 18. veka, pa nekih 150 godina nadalje, copyright je značio pravo na umnožavanje, pored toga što je označavao i pravo na objavljivanje autorskog dela, a zapravo je predstavljao pravo izdavača, a ne autora dela, jer su u Engleskoj copyright stvorili izdavači i štampari da bi zaštitili svoju delatnost, tj. svoje pravo na umnožavanje autorskog dela i na zaštitu tog dela prilikom distribucije. Ako je negde i stajalo da autor poseduje copyright, to je u praksi značilo zabranu da neko neovlašćeno umnožava autorsko delo koje određeni izdavač, štampar, umnožava i distribuira. Dakle, kroz istoriju copyright je nastao u vezi sa problemom zaštite autorskog prava tj. zaštite autorskog dela, koje je
55
Prema tekstu Dragice Popesku, sudije okružnog suda u Beogradu.
98
prilikom objavljivanja, štampanja i distribucije, izloženo plagiranju i pirateriji, što je pogotovo danas slučaj, zahvaljujući modernoj tehnologiji.56 Danas se copyright tumači kao pravo reprodukovanja tj. umnožavanja nekog dela i kao pravo na činjenje izvesnih akata u odnosu na to autorsko delo bilo da je reč o književnom, dramskom, muzičkom itd, s tim da u anglosaksonskom pravu ono znači isto što i autorsko pravo, ali ne i pravo javnog izvođenja dela (performing right). Pored ovog objašnjenja copyrighta pominje se i “copyright notice” (autorsko pravna zabrana), što znači da se javnost obaveštava da se za to delo traži zaštita u trajanju koje predviđa Zakon, i to do njegovog daljeg objavljivanja, a u korist autora čije je ime označeno na delu, kako to predviđa američko pravo. Postoje dve poznate multilateralne konvencije za zaštitu autorskih prava: Bernska konvencija iz 1886. godine i Univerzalna iz 1952. godine. Bernska konvencija ne predviđa ispunjenje bilo kakvih formalnosti da bi se autorska prava priznala i zaštitila, a autorsko pravo ona štiti za života autora i 50 godina posle njegove smrti, dok Univerzalna konvencija traži ispunjenje nekih formalnosti radi zaštite autorskog prava. Ova konvencija obezbeđuje dopunsku međunarodnu pravnu zaštitu autorskih prava i ne dira ni u bilateralne, ni u multilateralne ugovore o autorskom pravu, koji mogu biti na snazi između nekih država. Formalizam zaštite koju predviđa Univerzalna konvencija je u opadanju, čak i u režimu zaštite ovog prava u SAD, gde je postojao veliki formalizam te zaštite i gde se najduže zadržao, s tim da posle reformi autorskih prava 1976. godine, polako u Americi preovlađuje sistem neformalnosti zaštite. U Univerzalnoj konvenciji se ne pominju lično pravna ovlašćenja autora i tu je copyright predviđen isključivo kao imovinsko pravo. Naša država je Univerzalnu konvenciju o autorskom pravu ratifikovala 12. maja 1966. godine i postala članica svetske unije za zaštitu autorskih prava. Naše zakonodavstvo ne predviđa copyright kao vid autorsko-pravne zaštite u zemlji i stavljanje autorsko-pravne rezerve: (“c” u krugu, ©), ime nosioca autorskog prava i godina prvog izdanja autorskog dela, važi za dela objavljena kod nas, samo u inostranstvu. Kod nas ova oznaka nema značaj jer je prema našem zaknodavstvu autorsko delo ipso facto (samim činom, samo po sebi, samim svojim postojanjem) zaštićeno, ono što ga odvaja od drugih dela je originalnost, tj. kreativnost njegovog autora, izražena u određenoj formi, bez obzira na njegovu umetničku, naučnu i drugu vrednost, njegovu namenu, veličinu, sadržinu i način ispoljavanja, kao i dopuštenost javnog saopštavanja njegove sadržine, shodno članu 2. stav 1. Zakona o autorskom i srodnim pravima (“Sl. list SRJ’’ br. 24/98). Po svojoj suštini, copyright kao autorsko-pravna zabrana predstavlja zaštitu autorskog prava autora ili izdavača u pogledu imovinskih autorskih prava u inostranstvu i povreda ove zabrane nastaje tek momentom neovlašćenog preštampavanja i umnožavanja dela. Dakle, oznaka copyright služi zaštiti imovinskog autorskog prava, kako autora tako i izdavača, kao garancija da se to delo neće neovlašćeno preštampati i prodavati. 56
Sa skenerom i OCR softverom otvorene su mogućnosti da se lako i brzo kopiraju i koriste tuđi tekstovi. Još jednostavnije se kopiraju gotovi tekstovi koji se pronađu na Internetu ili se već nalaze u elektronskom zapisu na nekom (dostupnom) računaru.
99
Kod nas se u praksi postavlja pitanje da li je potrebno dobiti izričitu saglasnost autora nekog dela za stavljanje oznake copyright prilikom zaključenja izdavačkog ugovora sa izdavačem. Stavljanje ove oznake se podrazumeva ukoliko će ovo delo biti prodavano van granica naše zemlje, te u skladu sa Univerzalnom konvencijom i njenim članom III, a budući da smo mi potpisnici ove konvencije od 1966. godine, ovu oznaku copyright izdavač može stavljati, ako postoji izdavački ugovor, odnosno sporazum stranaka da se autorsko delo može publikovati, štampati i distribuirati van granica naše države. Pošto postoji sličnost između pisanja literarnih dela i pisanja softvera, nije neočekivana sličnost u zaštiti softvera koja se može postići primenom zaštite od umnožavanja. Zaštita softvera od umnožavanja primenjuje se u SAD od 1964. godine. Ovaj način zaštite daje pravo autoru ili drugim vlasnicima softvera na ekskluzivnu kontrolu reprodukovanja u bilo kom obliku u periodu od 28 godina. Copyright zaštita je ograničena pošto se ne sprečava nezavisna kreacija, stvaranje izmenjenog softvera na bazi postojeće ideje sa istim ili poboljšanim detaljima. Iako copyright ne pruža dovoljnu zaštitu softvera, on barem štiti pisanu dokumentaciju kao što su programski i operaterski priručnici. Prema [ISO00], tačka 12.1, softverski proizvodi u vlasništvu najčešće se isporučuju prema ugovoru o licenci kojim se korišćenje takvih proizvoda ograničava na posebne mašine a može ograničavati kopiranje samo na stvaranje rezervnih kopija. 5.5.3.3. Zaštita softvera primenom zaštitnog znaka Ova vrsta zaštite [Bas88] koristi se prilikom zaštite softvera koji se izrađuje za tržište. Zaštitnim znakom postiže se tačna identifikacija softvera na tržištu sa određenim kvalitetom u pogledu standardizacije, kompatibilnosti, daljeg razvoja i održavanja kao i prodaje licenci. Zaštitni znak služi za zaštitu nekih trgovačkih prava vlasnika i ne može zaštititi od svih zloupotreba. Često se koristi kod softvera jer nema mnogo mana. 5.5.3.4. Zakonska zaštita softvera Nacrt zakona predstavljen u Predstavničkom domu američkog Kongresa 1997. godine karakteriše kopiranje programa radi zabave ili zarade kao težak prestup. Prema predloženom dokumentu koji se zove Akt protiv elektronske krađe (No Electronic Teft Act), svako ko napravi deset ili više kopija pravno zaštićenih programa vrednih preko 5.000 US $ mogao bi da provede do tri godine u zatvoru. Za ponovljeni prestup kazna bi mogla biti i šest godina. Citiraćemo dva zakona kojima se štiti softver u Srbiji. Dopunom Krivičnog zakona Republike Srbije od 12. aprila 2003. godine, dodata je glava 16A. Članom 186a, predviđeno je: (1) Ko ošteti, prikrije, neovlašćeno izbriše, izmeni ili na drugi način učini neupotrebljivim računarski podatak ili program, kazniće se novčanom kaznom ili zatvorom do tri meseca. (2) Ako je delom iz stava 1. ovog člana prouzrokovana šteta u iznosu preko sto hiljada dinara, učinilac će se kazniti zatvorom od tri meseca do tri godine. (3) Ako je delom iz stava 1. ovog člana prouzrokovana šteta u iznosu preko šesto hiljada dinara, učinilac će se kazniti zatvorom od šest meseci do pet godina. 100
Članom 186b predviđeno je: (1) Ko uništi, izbriše, izmeni, ošteti, prikrije ili na drugi način učini neupotrebljivim računarski podatak ili program, ili uništi ili ošteti računar ili drugi uređaj za elektronsku obradu i prenos podataka, koji je od značaja za državni organ, javnu službu, ustanovu, preduzeće ili drugu organizaciju, kazniće se zatvorom od jedne do osam godina. Na osnovu Zakona o autorskim i srodnim pravima (“Sl. list SRJ” br. 24/98, od 15. maja 1998), član 2, autorskim delom, stav 2, alineja 10), smatraju se ''računarski programi (u izvornom, objektnom i izvršnom kodu). Na osnovu ovog Zakona, za softver se ostvaruje: autorsko pravo, evidencija, zaštita i kaznene mere ukoliko dođe do povrede autorskih prava. 5.5.4. Zaštita od neispravnog i malignog softvera Prema Slici 3.4, softver može biti neispravan zbog grešaka u njegovom razvoju, ali on može biti i zloupotrebljen – namerno oštećen. ''Alat'' kojim se oštećuje softver je: komanda korisnika, skriptovi i programi, autonomni agenti, paketi alata i distribuirani alat. Greške u razvoju softvera mogu da se jave zbog sledećih razloga: nedostaci implementacije, nedostaci dizajna i nedostaci konfiguracije. Korisnike treba uputiti u opasnosti od malignog softvera, a rukovodioci treba da onde gde to odgovara uvedu posebne kontrole za otkrivanje ili sprečavanje njegovog unošenja. Posebno, važno je da se preduzmu mere opreza, otkriju i spreče delovanja autonomnih agenata na ličnim računarima. Treba ugraditi kontrole za otkrivanje i sprečavanje zloćudnog softvera, radi zaštite od njega kao i odgovarajuće postupke upućivanja korisnika. Zaštita od zloćudnog softvera treba da se zasniva na upućenosti u bezbednost, odgovarajućim kontrolama pristupanja sistemu i izmenama na softveru. Treba predvideti kontrole prema [ISO00], tačka 8.3.1. Procedure za izveštavanje o zloćudnim funkcijama softvera57 [ISO00] obavezuju da se evidentira simptom problema, kao i svaka poruka koja se pojavi na ekranu, da bi se izolovao ''zaraženi'' računar. U koracima koji slede potrebno je da se obaveste nadležni organi za ustanovljavanje uzroka štete, nivoa štete i revitalizaciju sistema. 5.5.4.1. Razvoj pouzdanog softvera Prema [Zel82], a posebno [Gla82], u cilju razvoja pouzdanog softvera, zahteva se striktno poštovanje procedure sa konkretnim koracima. Pitanje pouzdanog softvera je važno u svim poslovnim sistemima, poslovima, posebno u kojim eventalna greška (u softveru) može da ima katastrofalne posledice po sistem. To su, na primer, razni proračuni u okviru svemirskih istraživanja, prilikom identifikacije ciljeva u borbenim dejstvima, u bankarskim transakcijama itd. Softver koji se koristi može da bude korektan, izvršava zahtevane akcije. Na primer softver za tablerane proračune može da ''računa'' bez greške. Međutim, njegov rad može da bude nepouzdan, sklon prekidima rada bez objašnjivog, ili teško objašnjivog povoda. Poznata je nepouzdanost operativnog sistema Windows.
57
O ovome će biti reči u glavama koje slede.
101
Kako programer može da proizvede nepouzdan softver, objasnićemo na primeru izrade programa u programskom jeziku COBOL. U COBOL-u postoje tipovi podataka kao što su numerički podaci, oznaka ''numeric (9)'' i cifarski podaci, oznaka ''digit (D)''. Kod numeričkih podataka, tip (9), u podatku mogu da se nađu i znaci ''+'', ''–'', pa i tačka ''.''. Kod cifarskog tipa podataka, u podatku se mogu naći samo cifre od 0 do 9. Nesmotrenošću programera u podatku se mogu naći i znaci nad kojima su nemoguće računske operacije i program staje sa radom, popularno rečeno – program pada. Vrlo čest problem u našoj svakodnevnoj praksi je (ne)prilagodljivost aplikativnog softvera u ambijentu raznih varijanti operativnog sistema Windows. Do padanja programa dolazi, načelno, iz dva razloga: — prividno (kvazi)stohastičko i — (manje-više) determinističko (pod određenim uslovima isto se manifestuje), moguće je izvršiti defektaciju, a zatim to prevazići, tj. otkloniti posledice. Kada je reč o “ilegalnim” znakovima, čest je slučaj unosa nevidljivih znakova u program, koji se mogu dobiti upotrebom i/ili kombinacijom različitih tastera i sl. Kao primer se može navesti Word for Windows (Word) gde je poznavanje takvih znakova neophodno za ispravan (očekivan) rezultat obrade teksta. Konkretno, pojava jednog Break-a na nekoj stranici, koji je inače nevidljiv, može značajno poremetiti strukturu celog teksta (sadržaj) i sl. Isti je slučaj sa tabulatorima, ali naročito sa formatima za štampu, gde je često nemoguće naći razlog zbog čega u Print Preview-u prikazuje korektno (zahtevano), a prilikom štampanja (na hard copy) bude drugačije. Ovde se najpre može govoriti o nedovoljnom poznavanju softvera od strane korisnika, ali i o bagovima. Problem nove platforme (operativnog sistema) i u slučaju kada se garantuje da će softver, drajveri i druge aplikacije razvijani na staroj platformi pouzdano raditi: — jedan od čestih uzroka može biti mrežno okruženje bilo kao mogućnost koju nudi nova platforma ili kao konkretna pojava, koje podrazumeva eksplicitna, a naročito implicitna ograničenja, što je za staru aplikaciju prepreka kojoj nije dorasla (iako se tvrdi da neće predstavljati problem ili se nigde u odgovarajućoj dokumentaciji ne navodi kao mogućnost problema) — slično tome nedovršenost i/ili nedoslednost uključivanja sistemskih funkcija koje su postojale na staroj platformi što podrazumeva lošu (nedovršenu) komunikaciju softvera razvijenog na staroj platformi sa novom. Problem drajvera za štampače koji se koriste u mreži: sve je prividno isto, ista instalacija drajvera, korektna prijava za rad u mreži, ali neće da štampa, ako se proba sa drugog mesta (radne stanice) isto to, onda može da štampa. Uopšte, problem drajvera je pitanje koje se često nalazi u sferi neobjašnjivog zbog nedovoljne kompatibilnosti drajvera sa operativnim sistemom. Verovatno je to iz razloga što firme-proizvođači uređaja koji se pomoću drajvera (ili drugog specijalizovanog softvera: OCR, softver za multimediju i sl) povezuju na operativni sistem koji ne poznaju ili im iz Microsoft-a nisu otkrili sve što treba za pouzdanu komunikaciju (primer onemogućavanja Netscape Navigator-a to dovoljno objašnjava i potvrđuje). Čuveni problem i rešenje kod nekih operativnih sistema i softvera razvijenog pod njim, kada nešto neće da radi ili radi van očekivanja onda treba uraditi sledeće: — izaći i ući ponovo iz/u konkretni program — prestartovati sistem i
102
— u radikalnom slučaju, reinstalirati ili konkretni softver ili čitav operativni sistem. To se neretko može sresti kao rešenje kome mnogi pribegavaju. Na kraju, navika ovakvog pristupa je prouzrokovana usvojenim (predviđenim-propisanim) načinom (re)instalacija softvera pod konkretnim operativnim sistemom, kada se svaki put mora (ponekad i ne samo jednom u toku jedne instalacije) restartovati sistem. Postupak preuzimanja softvera, koji je rađen po narudžbini, u cilju prevencije njegove nepouzdanosti treba sprovoditi u skladu sa ISO/IEC 17799, tačke 5.2.4.5, 5.3.2.1, 5.3.4.1, 6.2.6.1, 6.4.2.3, a posebno u skladu sa Uputstvom za specifikovanje karakteristika kvaliteta koje se može naći u ISO/IEC 9126. Kada sami [Gla82] razvijamo softver, treba se pridržavati strogo definisanih koraka u tzv. ''životnom ciklusu'' razvoja. Ovaj termin nije baš adekvatan za softver jer ''život'' podrazumeva i ''smrt'' što i nije karakteristično za softver jer se softver ne uništava, ne izraubuje, tokom upotrebe, kao druga tehnička sredstva. Mada se može govoriti o ''smrti'' softvera zbog toga što biva (ili postaje vremenom) prevaziđen i/ili van upotrebe. Životni ciklus razvoja softvera58 sastoji se od sledećih koraka: — Zahtev/specifikacija (sistem analiza). U ovoj fazi se izučava i definiše zadatak. Ozbiljan problem u ovoj fazi može de se napravi zbog nepažnje i površnosti u sagledavanju zahteva. Ovo može da bude uzrokom grešaka u daljoj realizaciji projekta. Kao direktna posledica može da bude ili ''smrt'' sistema ili mukotrpna prerada softvera zbog naknadno uočenih grešaka — Projektovanje. U ovoj fazi zadatak iz sistem analize probražava se u princip rešavanja problema – dokument na osnovu kojeg se konkretno rešava zadatak. U ovoj fazi rešavaju se mnoga pitanja, npr. koji računar i koji resursi računara stoje na raspolaganju, koji će se jezik (baza podataka) izabrati, kako organizovati program na module, koji je redosled izvršavanja funkcija... Odgovori na ova pitanja pomešaju se u ''koktelu'' iz specifikacije i na osnovu njega sačini se konkretan plan rada. Oba koraka mogu da se automatizuju uz pomoć CASE alata. Taj alat se uklapa u tendenciju da se projektovanje završi što brže pa se ponekad dobijaju pogrešna rešenja i veliki broj grešaka. Druga krajnost, detaljisanje se pretvara u traćenje vremena i novca. Kompromis je rešenje u kojem će se obezbediti pouzdan softver a neće biti rasipanja vremena i novca — Realizacija projekta. To je prevođenje rešenja iz prve dve faze u formu prilagodljivu računaru. Softver se dovodi u fazu da rešava zadatke za koje je namenjen. Od segmenata softvera složena je funkcionalna celina. Stiče se utisak da se u ovom momentu stvara delo kao što Stradivarijus stvara violinu. Aljkavošću se mogu prenabregnuti prefinjeni problemi u softveru pa se umesto Stradivarijusove violine napravi raštimovani vergl — Verifikacija je produžavajući muzičku analogiju štimanje i provera Stradivarijusove violine. Verifikacija je i na neki način igra skrivalice u kojoj tragač poput Šerloka Holmsa traži ''prestupe'' koji mogu biti izazvani greškama softvera. Igra se sprovodi sa softverom i računarom u kojoj se programer postavlja u ulogu igrača. U ovom poslu nema žurbe. Neophodno je proveriti sve zahteve, sve strukturne elemente, sve logičke kombinacije koliko dozvole zdrava pamet, troškovi i rokovi. Ovaj posao se sprovodi kroz testiranje – autonomno, koje sprovodi sam programer tokom razvoja 58
Razvoj softvera je samo deo razvoja informacionog sistema.
103
programa, i kompleksno, kad se softver testira u ambijentu približno realnom. Veoma je opasno brže-bolje završiti sve i objaviti da je softver gotov i predati ga korisniku. To bi bila grandiozna greška. Nezadovoljni korisnik koji ionako nema mnogo razmevanja niti poverenja u računarsku tehniku definitivno se razočara i program može da umre — Uvođenje. ''Bedno'', staro, ni od koga voljeno. Ova faza, bez stvaralačke iskre, uključuje aktivno angažovanje korisnika. Korisniku se izlazi u susret doradom softvera po naknadnim zahtevima. Na ovaj način se povećava efektivnost već razvijenog softvera. ''Ako je projekat znak za borbu, njegova realizacija i verifikacija – napad i pobednički povratak, uvođenje je višednevna odbrana, presudna za život bez posebnog respekta.'' Obično se ovaj posao ne poverava najsposobnijem stručnjaku. Zbog ove činjenice, u rukama ovakvog ''stručnjaka'', Stradivarijusova violina može da posluži samo za potpalu. Prema [Gla82], sledi da je uvođenje softvera u upotrebu skoro najvažniji, najobimniji i najskuplji korak u razvoju, iako je hronološki na poslednjem mestu. 5.5.5. Zaštita sistemske dokumentacije Konačno i dokumentacija o softveru može sadržati niz osetljivih informacija, npr. opise aplikativnih procesa, procedura i postupaka, procedura za dodelu ovlašćenja. Radi toga, softverska dokumentacija treba da bude pod zaštitom, dostupna samo licima sa odgovarajućim nadležnostima.
104
5.6. Zaštita (rezidentnih) podataka Rezidentni su oni podaci i/ili informacije koji ostaju zapisani, na nekom medijumu koji se koristi tokom procesa u IS.59 Upravo napadom na podatke [Hor98] sa rezultatima kvarenja (corruption) ili uništavanja podataka, obelodanjivanja podataka, krađe usluga i otkazivanja usluga dostižu se ciljevi napada na IS: status, politička dobit, finansijska dobit i materijalna šteta. Zaštita podataka zavisi od više faktora, mada navedeni faktori mogu da budu od uticaja na zaštitu celog IS: — vrsta i stepen tajnosti podataka — rok čuvanja podataka — raspoloživi resursi i — pretnje i svest o postojanju pretnji. 5.6.1. Zaštita podataka kalsifikacijom Za svaki poslovni sistem mora postojati propis na osnovu kojeg se klasifikuju podaci s obzirom na vrstu i stepen tajnosti. U svakodnevnoj praksi ''standardna vojna'' [Kuk02] (ne u Vojsci Srbije i Crne Gore) klasifikacija može biti: vrlo tajno (Top Secret), tajno (Secret), poverljivo (Confidental) i ograničeno (Restricted). Ostale klasifikacione šeme sadrže nivoe klasifikacije kao što su javno (Public), korišćenje samo u organizaciji (Organisation use only), lično (Personnel), samo lično i korespondent (Personnel and Addresse only). U našoj praksi poznate vrste tajni su: lična, poslovna, službena, vojna, državna... Kod vojne tajne postoje tri stepena tajnosti – interno, poverljivo i strogo poverljivo. Vrste i stepeni tajnosti nisu nepromenljivi. Oni se najčešće sa protokom vremena mogu menjati. Promenu donosi za to nadležan organ. Za svaku vrstu i stepen tajnosti sprovode se primerene mere zaštite. Pri tome, ukoliko su podaci na sredstvima informatičke tehnologije (rezidentni podaci), definišu se pravila za korisnički pristup, korisničke dozvole (read only, write, delete), kopiranje podatka, arhiviranje, prenošenje poštom, faksom ili e-mail-om, direktnu telefonsku komunikaciju, mobilne telefone, telefonske sekretarice, posebno pravila u radu na mreži. Podatke treba razvrstati u kategorije, npr. obračunske podatke, podatke u bazama podataka, podatke o transakcijama, podatke o proverama i operativnim procedurama, sa detaljima o periodu čuvanja i tipu medijuma na kojima se oni čuvaju, npr. papiru, mikrofišu, magnetskom, optičkom medijumu. Svaki pridruženi kriptografski ključ koji pripada šifrovanom arhivskom materijalu ili digitalnom potpisu treba da se čuva zaštićeno i da se prema potrebi daje na raspolaganje ovlašćenim osobama. 5.6.2. Raspoloživi resursi kao faktor zaštite podataka Raspoloživi resursi su:60 nasleđeni sistemi, bezbednosni alati, operativni sistemi, finansijska sredstva, Internet. Nasleđeni sistemi. Ranije, od 50-ih do 70-ih godina, IS su bili relativno bezbedni samom činjenicom da su se nalazili na mainframe mašinama i sa malo spoljnih veza. Ono što 59
U IS može da se radi sa podacima i/ili informacijama. Zbog jednostavnosti u daljem tekstu će biti reči samo o podacima. M. Libicky, 06.04.2002. godine.
60
105
sisteme čini ranjivim jeste pomak prema manjim i više otvorenijim sistemima (koji nisu građeni sa posebnim bezbednosnim činiocima) koji su se povezivali u računarske mreže. Za mnoge ljude otvoreni i umreženi sistemi već postoje a za druge su takvi sistemi stvar budućnosti. Ponekad je potrebna situacija kao što je Y2K61 da bi se podsetili da, mada tehnologija (glava sistema) brzo napreduje, zaostavština (rep) može biti vrlo duga i debela. Kako se ljudsko društvo kreće od zatvorenih svojinskih sistema ka otvorenim sistemima, postaje sve više izloženije bezbednosnim rizicima, posebno u sistemima koji upravljaju raznim procesima. Možda samo zbog toga može da se smatra da sledi opadanje nivoa bezbednosti u IS u narednim godinama. Operativni sistemi. Najveće slabosti računarskih sistema sadržane su u samim operativnim sistemima računara. Indikativno je da je UNIX sa svim svojim osobinama, nastao na Univerzitetu Kalifornije krajem 70-ih godina, i to u takvom akademskom okruženju gde termin ''računarska bezbednost'' nije imao veliki prioritet. Možda zbog takve prošlosti i akademskog nasleđa, na poboljšanju bezbednosti UNIX-a rađeno je na više načina nego na ostalim operativnim sistemima. Vremenom je UNIX postao daleko bezbedniji operativni sistem. Isto tako operativni sistem Windows NT, koji je baziran na Digital-ovom VMS operativnom sistemu (loše bezbednosno projektovan sistem), kroz dvadesetak godina, uz uticaj informacionog rata, biti prilično bezbedan sistem. Sadašnje verzije su manje bezbedne od UNIX-a i imaju mnogo sopstvenih nedostataka. Izgleda da u poslednje vreme proizvođači računara više pažnje obraćaju na neke neobične i nevažne osobine svojih proizvoda a ne na stabilan rad. Verovatno će ekonomska neizbežnost učiniti svoje i korisnici će shvatiti da n-ta dodatna osobina neće biti toliko neophodna, pa će proizvođači (i hardvera i softvera) početi da obraćaju pažnju na pouzdanost rada proizvoda koje prodaju. Pretraživanje preko Interneta je u međuvremenu postao centar razvoja računarske industrije. U pojedinim slučajevima, posebno u elektronskim komercijalnim aktivnostima, ljudi obraćaju ozbiljnu pažnju na bezbednost. Nezgodne osobine poslova na Internetu kao što su Java, AcitiveX (izuzetno loše), automatsko ažuriranje softvera i različiti ''ubaci i priključi'' proizvodi mogu biti nosači i činioci koje beskrupulozni pojedinci iskorišćavaju i unose veliko nespokojstvo korisnicima mreža. Bezbednosni alat. Trenutna kretanja oko pretnji u bezbednosti IS takva su da se smatra da problem postoji i da se može rešiti dodavanjem razih stvari bilo gde. Zaštitne barijere se stavljaju na ulaz nekog sistema i treba da spreče ulazak izvesnih tipova poruka, istražujući svaki paket poruke, i donose odluku na osnovu njihove navodne namene. Detektori upada traže posebne aktivnosti za koje se zna da su karakteristične za poznate vrste greški i tada preduzimaju određenu akciju (npr. upozoravaju administratora sistema, onemogućavaju neke privilegije korisnika, evidentiraju iz kojih sistema ili iz kojih brojeva kapija uljez dolazi). Danas se može smatrati da ni zašitne barijere niti detektori upada zajedno ne daju potpunu bezbednost ali su sve bolji za dati nivo pretnji. Nejasno je da li oni mogu postati ''suviše dobri'', u smislu da prema njima potencijalni protivnik podstakne anafilaktički šok (metafora iz imunološkog sistema62), tako da ih suviše stimuliše i time interne odbrambene mehanizme sistema postavi protiv samog sistema.63
61
Problem prelaska iz 20-og u 21. vek, odnosno sposobnost računara, računarskih sistema i aplikativnih programa da prihvate tu činjenicu i da na nju pravilno reaguju. Opisali ga Richet i Portije 1902. godine. Ispoljava se skupom burnih algerijskih pojava koje nastaju naglo po ponovnom prodoru u organizam one strane supstance na koju je on već senzibilisan. 63 Slično terminu “odbijanje pružanja usluge”. 62
106
Finansijska sredstva. Kako cena proizvodnje i nabavke uređaja za čuvanje i arhiviranje u računarskim sistemima opada, mogućnost čuvanja i arhiviranja svih podataka takva je da nijedan vlasnik ili korisnik nema pouzdano opravdanje za gubitak informacija (mada će nalaženje arhiviranih podataka posle pada sistema obično predstavljati duži proces). Kao očigledan primer, navodi sa da jedan DVD od 17 GB ima dovoljno kapaciteta da zapamti sve potrebne podatke o ceni i troškovima svih međugradskih telefonskih razgovora u SAD u toku jedne nedelje. U okruženju koje je bezbednosno ili operativno osetljivo, jedan brzi CD ROM može da zameni klasičan čvrsti disk za skladištenje operativnog sistema i time onemogući opstanak virusa u sistemu. CD ROM, koji radi bez bafera, može da zabeleži sve šta se dešava u nekom računaru i tako onemogući nekog hakera da ide unazad i obriše ili izmeni podatke. Internet. Evolucija Interneta, sama po sebi, oblikovaće bezbednosno okruženje IS u bliskoj budućnosti. Nove verzije Internet protokola IPv6 usavršavaju se sa mnogo novih bezbednosnih karakteristika, uključujući kriptografiju, slanje ključa i digitalni potpis. Ima indicija da IPv6 postaje univerzalan ali sama primena ostaje spora. Najveći prodor IPv6 se očekuje unutar specifičnih krugova akademskih ustanova i u vodećim svetskim gradovima. Neke osobine Interneta posebno su osetljive na napade64 i time ga čine posebno atraktivnim za hakere. Jedna od takvih osobina koja je posebno osetljiva je DNS (Domain Name Service) kojom se ''prevode'' imena (npr. www.ETF.edu.yu) u niz bajtova, odnosno u adresu, koja je izuzetno slabo zaštićena i ima malo kapaciteta za potvrdu autentičnosti samog imena. Smatra se da će to biti popravljeno i da će u većini slučajeva biti moguće da se utvrdi autentičnost i stvarni izvor bilo koje poruke koja dolazi u neki (računarski) sistem. Jedna od prisutnih osobina Interneta jeste da ne poseduje mogućnost naplate troškova na nivou paketa. Na taj način su omogućeni raznovrsni napadi u talasima (poplava poruka) i fokusirane napade teško je pratiti unazad do njihovog izvora. Perspektiva da se ova osobina eliminiše ili bar umanji vrlo je skromna. Kriptozaštita, kao mera zaštite zbog složenosti i obimnosti, biće obrađena naknadno. 5.6.3. Mere zaštite rezidentnih podataka Da bi se sprečilo kompromitovanje [ISO00] ili krađa podataka, i/ili opreme za obradu podataka, podatke i/ili opremu za obradu podataka treba zaštititi od razotkrivanja, menjanja ili krađe od strane neovlašćenih osoba, i treba postaviti kontrole kako bi se gubici ili oštećenja sveli na minimum.
64
Nedeljnik Sandej biznis svojevremeno je objavio vest da su hakeri uspeli neopaženo da pristupe informacionom sistemu engleske vojske i preuzmu kontrolu nad satelitom Skajnet 4. Otmicu satelita navodno je prva primetila severnoamerička aerokosmička komanda koja je oružane snage Ujedinjenog kravljevstva upozorila da se ''nebeski špijun'' ponaša čudno. Otmica je otkrivena kada se na komandnim ekranima (ispod planina u Škotskoj) pojavila poruka u kojoj su ''kindaperi'' potvrdili vest iz Amerike i zatražili pozamašnu sumu u zamenu za komandu nad satelitom. Nedavno je iz Amerike stigla vest koja ovdašnje hakere (Srbija i Crna Gora) svrstava među vodeće veb kriminalce. Naime, u istraživanju ''Sajber sors korporacije'' naša zemlja je označena kao prva među zemljama iz kojih potiču prevare u slučaju elektronske trgovine. Prema ''Politici'' od 24.04.2004. godine, u članku ''Veb kriminalci''.
107
Mada ima dosta sličnosti u zaštiti softvera i podataka, zbog značaja, podataka mere njihove zaštite biće obrađene posebno. Mere zaštite podataka se svrstavaju u četiri grupe: — sprečavanje neovlašćenog pristupa podacima — otkrivanje odstupanja od bezbednosti — mere selektivnog ograničavanja pristupa podacima i — evidentiranje pristupa podacima. Sprečavanje neovlašćenog pristupa podacima [IBM85] moguće je postići na više načina: — steganografijom, kojom se sakriva samo postojanje informacije, npr. u radio-vezama ubacivanjem kratkog impulsa, u kom su sadržane određene informacije, u emisiju, u kojoj se inače te informacije ne nalaze, ili ubacivanjem prave informacije među podatke koji ne predstavljaju nikakvu informaciju — skremblerima, tj. uređajima koji menjaju analognu formu informacije npr. u telefonskim vezama menjaju frekvencije signala, što se može primeniti i na signal na liniji između modema u prenosu podataka — kriptografijom, kojim postupkom se menja digitalna forma informacije i — restrikcijom fizičkog pristupa podacima. Nije isključena mogućnost da se, naročito, na radnim stanicama tipa personalnih računara jednostavno ne instaliraju drajvovi (jedinice) za izmenljive medije. Kućište centralne jedinice se zaključava. Računar sa podacima nema izlaz na javnu računarsku mrežu. Ovlašćenje je mogućnost ograničavanja korisnika na dostupnost samo određenim resursima i samo na korišćenje određenih funkcija informacionog sistema. Ovlašćenje u opštem slučaju sadrži kombinaciju različitih resursa, kao npr. terminala, linije, podataka i programskih funkcija (čitanje, ažuriranje), dodavanje, brisanje ili preimenovanje itd. Otkrivanje odstupanja od bezbednosti podataka treba da omogući evidentiranje namernih pokušaja, statistička praćenja i analize, jer pad odstupanja ispod proseka može značiti da neki korisnici uspevaju da zaobiđu bezbednosne rutine, odnosno evidentiranje. Postoje slučajevi, u današnje vreme sve dinamičnijeg razvoja sredstava za obradu podataka, kada neka sredstva nisu pod direktnom kontrolom vlasnika ili korisnika tih sredstava. U takvim slučajevima neke objekte više nije moguće fizički štititi od neovlašćenog pristupa, a samim tim i od nastupa odgovarajućeg rizika. Selektivno ograničavanje pristupa podacima rešava se preko sistema ovlašćenja koji može imati više nivoa složenosti. U sistemu se često korisnici ne definišu pojedinačno, već po grupama. Svakoj grupi se dodeljuje dvodimenzionalna matrica (matrica ovlašćenja ili nadležnosti), koja uparuje kategorije podataka na koje korisnik ima pravo pristupa toj pojedinoj funkciji, koju korisnik ima pravo da upotrebljava. Na taj način, dobija se trodimenzionalna matrica korisnici-podaci-funkcije. Jasno je da takva matrica predstavlja podatak s najvećim zahtevom na zaštitu. Ovlašćenje se revidira delegiranjem. Delegiranje u stvari znači održavanje matrice ovlašćenja. Ono može biti batch ili real-time. Delegiranje je delatnost rukovodstva na donošenju i menjanju pravila kontrole pristupa.
108
Evidentiranje rada na sistemu vodi se u cilju merenja i statističke analize pristupa podacima, a rezultati se beleže u posebnu datoteku. Prilikom evidentiranja, obuhvataju se svi interfejsi, ne samo terminal-sistem, već i sistem-sistem, ako je reč o mreži sistema ili o distribuiranoj obradi. Evidentiranje se obavlja za svaki pojedini resurs i za svakog pojedinačnog korisnika. Ono se vrši u odnosu na proteklo vreme, planski a i slučajno. Mora biti fleksibilno, pri tome posebna se pažnja poklanja matrici ovlašćenja. Na temelju analize podataka dobijenih evidentiranjem rada na sistemu, moguće je, i potrebno, u matricu ovlašćenja uneti određene korekcije. 5.6.3.1. Zaštita opreme i medijuma Poslovni sistemi treba da razmotre [ISO00] usvajanje ''politike praznog stola'' za papire i zamenljive medijume za skladištenje i čuvanje, kao i politiku praznog ekrana na opremi za obradu podataka kako bi se smanjili rizici od neovlašćenog pristupanja, gubljenja i oštećenja podataka tokom i izvan normalnog radnog vremena. Politika treba da uzme u obzir klasifikaciju zaštite podataka, odgovarajuće rizike i kulturne aspekte organizacije. Za podatke ostavljene na stolu takođe postoji verovatnoća da će se oštetiti ili uništiti u nekoj nesreći kao što je požar, poplava ili eksplozija. U cilju prevencije od neovlašćenog pristupanja, gubljenja i oštećenja podataka, treba preduzeti sledeće mere: — papire i računarske medijume koji se ne koriste treba skladištiti u pogodnim zaključanim ormanima i/ili drugim oblicima zaštitnog nameštaja, posebno van radnog vremena — osetljive ili kritične poslovne informacije kada nisu potrebne treba držati zaključane (idealno u protivpožarnom sefu ili ormanu), posebno kada je kancelarija prazna — uređaje, informacije ili softver ne treba iznositi bez odobrenja. Kada je neophodno i pogodno, uređaje treba odjaviti i ponovo prijaviti prilikom njihovog vraćanja. Na licu mesta treba proveravati kako bi se otkrilo neovlašćeno izmeštanje imovine. Pojedince treba obavestiti da se sprovodi kontrola na licu mesta. U posebnim slučajevima, u IS na poseban način treba regulisati postupak sa prenosivim medijima. U nekim slučajevima treba onemogućiti kopiranje na takve medije: diskete, CD i sl. — osetljive ili tajne informacije, prilikom štampanja, treba odmah ukloniti iz štampača — ne treba dozvoliti unošenje fotoaparata, video, audio ili drugih uređaja za zapisivanje,65 osim odobrenih. — ukoliko se iz (u) IS preuzimaju štampani materijali, treba voditi računa o sledećem: a) proverava se autentičnost primaoca izlazne dokumentacije b) evidentira se izdavanje izlazne dokumentacije i c) primalac izlazne dokumentacije proverava izlaz u odnosu na očekivani. U IS treba uspostaviti rutinske postupke za sprovođenje strategije izrade rezervnih kopija66 (postupci treba da budu propisani ali i da se sprovode). Poželjno je da se kopije čuvaju u drugom objektu, sa propisanom dokumentacijom, van računarskog sistema. Pristup kopijama mora biti restriktivan, kao i originalima. Prilikom evidencije, označavaju se i sami medijumi. Kod elektronskih resursa oznake treba ugraditi u zaglavlje dokumenta. 65 66
Na tržištu se mogu naći ručni časovnici sa tzv. fleš memorijom odnosno USB ulazom. Kopije se prave po modelu ''otac, sin'', pa nekad i treća kopija ''deda''; tri generacije.
109
Zbog ograničenog vremena retencije, zadržavanja podataka na kopijama u ispravnom stanju, kopije se blagovremeno moraju isprobavati i obnavljati. Sa zastarevanjem tehnologije, mora se obezbediti kontinuitet u čuvanju podataka na takvim medijumima, njihovim prepisivanjem na nove (aktuelne) medijume. Treba da se obezbedi takav komfor u pretraživanju, da bi se podaci dobijali u prihvatljivom vremenskom roku i formatu. Šema označavanja medijuma [Kuk02] trebalo bi da bude napravljena na osnovu klasifikacione šeme koja je zakonski i sudski prihvatljiva. Svi izlazi iz osetljivih sistema ili procesa trebalo bi da budu označeni tako da ukazuju na njihovu klasifikaciju, rok važnosti, a tamo gde je to neophodno, trebalo bi navesti i posebna uputstva za upotrebu. Zbog naročite osetljivosti medijuma u transportu, primenjuju se posebne mere zaštite koje garantuju pouzdanost osoblja, transportnih sredstava i pakovanja, kojim se transportuju medijumi. Konačno, ako IS koristi računarsku mrežu, merama zaštite treba sprečiti da se neovlašćeno menjaju (čitaju) podaci sa nekih od PC stanica u npr. LAN mreži. Softver koji ne pripada grupi softvera propisanoj za jedno radno mesto ne bi trebalo da se nalazi na toj radnoj stanici jer se lako može iskoristiti za presretanje podataka na mreži. Važne podatke u poslovnom sistemu treba zaštititi od gubljenja, uništenja i falsifikovanja. Za neke podatke može biti potrebno da se posebno štite kako bi se ispunili statutarni ili regulativni zahtevi, kao i da bi se podržale najvažnije poslovne aktivnosti. Primeri za to jesu zapisi koji mogu biti potrebni kao dokaz da organizacija posluje unutar statutarnih ili regulativnih pravila, ili da se osigura odgovarajuća odbrana protiv mogućih pravnih ili kriminalnih aktivnosti, ili da bi se potvrdilo finansijsko stanje organizacije u odnosu na deoničare, partnere ili kontrolore. Vremenski period i sadržaj podataka za informacije koje se čuvaju mogu biti postavljene nacionalnim zakonom ili regulativom. Usklađenost sa zakonskom regulativom, [ISO00], tačka 12.1.4.67 i potrebama o zaštiti podataka zahteva odgovarajuću strukturu rukovođenja i kontrole. Često se ovo najbolje postiže imenovanjem službenika za zaštitu podataka koji treba da pruža smernice rukovodiocima, korisnicima i davaocima usluga o njihovim ličnim odgovornostima i specifičnim procedurama koje treba da poštuju.
67
Mada se original, [ISO00], odnosi samo na podatke o ličnostima, takav stav je krucijalan iz aspekta angažovanja profesionalca koji je nadležan za bezbednost, odnosno zaštitu IS. Očigledno je da se ovako složenim sistemom (bezbednosti) mora baviti posebno lice ili tim u IS.
110
5.7. Zaštita infrastrukture Infrastrukturu IS čine: — računarski sistem — mrežna oprema za uspostavljanje računarske mreže — prostorije za smeštaj IS (IT i ljudstva) — uređaji za stabilno napajanje električnom energijom određenog68 napona i frekvencije — klima uređaj(i), ako je to nužno — uređaji za rasvetu — komunikacioni uređaji (telefon, interfon) — razne vrste instalacija (električne, vodovodne) — posebno opremljene prostorije za arhivu koja se čuva na magnetnim i drugim medijima koji se koriste u IS — namenski uređaji za razdvajanje, sortiranje i uništavanje štampanog materijala — specifičan protivpožarni sistem69 i — protivprovalni sistem za obezbeđivanje podataka sa najvišim stepenom tajnosti, posebno za prostorije u kojoj se čuvaju arhive. To su u stvari resursi, izuzev kadrovskog i softvera, koji treba da budu uslov optimalnog rada IS, posebno računarskog sistema. 5.7.1. Zaštita računarskog sistema kao dela infrastrukture IS Uređaj ili skup uređaja (tačka 5.3) koji se neposredno bavi(e) preradom podataka u IS je računarski sistem. Ovaj sistem, kao deo infrastrukture, kao specifičan elektronski uređaj svojim performansama i pravilnim korišćenjem omogućuje optimalan rad IS. Performanse računarskog sistema obezbeđuju se pravilnim izborom pri nabavci ovog dela opreme. Loš izbor opreme i/ili loše održavanje70 čest su uzrok zastoja u radu sistema (češći od napada spolja) i opravdanog nezadovoljstva korisnika. 5.7.1.1. Nabavka računarske opreme Prilikom nabavke računarske opreme važno je da se vodi računa svakako o kvalitetu opreme, načinu plaćanja, garantnom roku, referencama proizvođača (i ponuđača). Svi ovi faktori će uticati na donošenje odluke o tome od koga treba kupiti opremu. Nakon procene neophodnih elementa računarskog sistema, proračuna kapaciteta: frekvencije rada procesora, vrste i veličine RAM-a, vrste i veličine fiksnih i izmenljivih medijuma i usklađivanja (cene) zahtevane opreme sa raspoloživim finansijskim sredstvima, pristupa se nabavci računarske opreme.
68
Poznato je da su različiti naponi i frekvencije javne električne mreže u Evropi i SAD. Ovaj sistem, kad je u funkciji, ne sme biti uzrokom još veće štete u IS. Iskustvo autora više od dvadeset godina rada sa računarima ide u prilog važnosti ovog pitanja. Ne zanemarujući značaj drugih problema, dva do tri puta nedeljno imao sam probleme, ili na radnom mestu ili kod kuće na ličnom računaru, zbog otkazivanja opreme koja nije bila brand ili je bila stara. 69 70
111
Pojedini poslovni sistemi imaju interna pravila za nabavku – opremanje, propisan postupak za nabavku bilo kakve opreme: putem usmenog, pismenog nadmetanja ili slobodnom pogodbom na tržištu. Za državne organe ovaj postupak se reguliše i zakonom. U cilju jednoznačne i kvalitetne analize ponuda, neophodno je da zahtevom za ponudu bude eksplicitno zahtevano da ona obavezno sadrži opisane sledeće elemente. Kvalitet opreme. Određen je pouzdanošću i raspoloživošću opreme (kasnije će biti o tome reči). Kvalitet je određen i efikasnošću korišćenja opreme, a ova tri faktora su određeni eksploatacionim uslovima. Na našem tržištu u uslovnoj klasifikaciji opreme pojavljuju se dva skupa, brand71 name oprema i no name oprema. Plaćanje. Na klackalici između kupca i prodavca i u načinu plaćanja nastoji se doći do kompromisa u načinu plaćanja. Jedan od mogućih načina plaćanja jeste da se od prodavca zahteva da sve cene budu svedene na opciju sa važećom valutom, bez avansa i davanja prava za otkup deviza (ako to može da se ponudi), kao i bez obezbeđenja bankarske garancije, a uz mogućnost fazne isporuke i plaćanja. Ukoliko neki od ponuđača insistiraju na drugim uslovima plaćanja, neohodno je da eksplicitno navedu način preračunavanja iskazane cene, čime bi se izbegla nejednoznačnost iskazanih cena. Garantni rok. Za ponuđenu opremu može da iznosi od 1 do 3 godine, a ponekad je moguć i dogovor. Načelno, na našem tržištu, ovakve garancije daju i strani isporučioci, s tim da je ona za štampače, CD drajvove, uopšte integrisanu – elektromehaničku opremu, po pravilu najkraća – do jedne godine. Za svaku zahtevanu dodatnu godinu garancije, preko odobrene od ponuđača (garancija utiče na 7 do 9% povećanja – smanjenja cene opreme), ponuđač mora da navede kako ona utiče na ponuđenu cenu konkretne opreme. Svako od ponuđača mora obavezno i što detaljnije da definiše uslove korišćenja garancije za ponuđenu opremu; održavanje ili ne, rezervni delovi uključeni u cenu ili ne, vreme odziva na eventualnu prijavu kvara od strane konkretnog korisnika, pokrivenost teritorije SCG servisnom mrežom ponuđača, jednoznačno navedene i opisane eventualne obaveze (postupke) i uslove eksploatacije od strane kupca za normalno odvijanje podrške u garanciji. Zbog boljeg (organizovanijeg) održavanja, kupac se često opredeljuje za skuplju opremu.
71
Nije svaki ''brand'' – brand. Naime, kvalitet opreme definiše se sertifikatom (uverenjem) kojom ovlašćena institucija tvrdi da je proizvođač napravio ono što je izjavio da je uradio. Pisanim putem kaže se potrošaču da proizvođač govori istinu kada mu nudi robu ili uslugu. Autoru nije poznato da u Srbiji i Crnoj Gori postoji ovlašćena institucija koja izdaje sertifikate za računarsku opremu. Mada, Tehnički opitni centar kopnene vojske vrši proveru kvaliteta računara za potrebe Ministarstva odbrane i Vojske Srbije i Crne Gore.
112
Rok isporuke prvenstveno treba da bude primeren dinamici obezbeđenja ostalih uslova za razvoj IS: infrastrukture, softvera, kao i mogućnostima i dinamici plaćanja isporučene opreme. Reference ponuđača. Ukoliko kupac nema nameru da se bavi neposrednim uvozom, pored brojnih malih privatnih firmi koje se bave prodajom informatičke opreme, treba proveriti, recimo, koje su firme za prodaju računarske opreme najzastupljenije na tržištu, mada ovo ne mora biti primarno pravilo u izboru ponuđača. Proteklih godina, na primer, bili smo svedoci karakterističnog iskustva. Na tržištu je bilo prodavaca sa svih strana bivše SFRJ: Iris – Energoinvest Sarajevo, ISKRA Delta – Ljubljana, Velebit – Zagreb, Javor – Bitola itd. Mnogi kupci u sadašnjoj državi oslanjajući se na procenu boniteta firme po osnovu, recimo, broja komada prodate opreme, u nabavci računarske opreme od navedenih preduzeća izgubili su mogućnost održavanja u garantnom periodu. Sva oprema, računarska pogotovo, podleže: testovima, hardverskom testiranju servera i radnih stanica, testovima na funkcionisanje odgovarajućeg operativnog sistema (OS), funkcionisanju aplikacije razvijene za potrebe korisnika, testovima opreme u realnim uslovima rada, povezivanju računarskih konfiguracija u jednu celinu, aktiviranju uređaja na serveru (višekorisnička kartica, strimer traka, itd), proveri funkcionisanja lokalne mreže pod odgovarajućim operativnim sistemom, proveri kompatibilnosti disketnih uređaja, proveri funkcionisanja štampača (glavnog i lokalnih) pod odgovarajućim operativnim sistemom i sl. Saglasno dosadašnjem iskustvu i poznatim svetskim standardima, prilikom izbora najpovoljnijeg prodavca opreme, a u cilju dobijanja optimalnog rešenja po parametrima cena/performanse/pouzdanost, moguće je primeniti višekritrijumsku analizu (tabela 5.7.1) po parametrima/kriterijumima koje težinski treba vrednovati na način, na primer, kako sledi u Tabeli. Vrednost parametara određuje kupac s obzirom na uslove koje postavlja prema opremi. Za specijalne sisteme kada je u pitanju recimo pouzdanost, tada odnos kvalitet/cena ne može uopšte da se poredi. Nabavka računarske opreme može da ima štetne posledice, kupiti – pa imati podkapacitirane resurse ili kupiti – pa ne koristiti. Otuda što je zahtev veći – oprema skuplja, mora se uložiti mnogo napora da bi greška u odluci ili izboru opreme bila što manja. U nastavku, daćemo primer kriterijuma za upoređivanje računarske opreme. Ovaj kriterijum je prilagođen sistemima u kojima je kvalitet opreme na prvom mestu. Kriterijum za upoređivanje Kvalitet opreme Cena opreme Uslovi plaćanja način plaćanja visina avansa dodatni troškovi
Vrednost 0,230 0,230 0,228 0,091 0,091 0,023
113
dodatne pogodnosti Održavanje garantni rok servis vreme odziva Bonitet ponuđača iskustvo-referenca pouzdanost kompletnost ponude Rok isporuke Ukupno
0,023 0,182 0,081 0,081 0,020 0,092 0,041 0,041 0,010 0,038 1,000
Tabela 5.7.1. Primer kriterijuma za upoređivanje računarske opreme 5.7.1.2. Održavanje računarske opreme Održavanje je skup propisanih postupaka i radnji a sa ciljem obezbeđenja visokog nivoa pouzdanosti i raspoloživosti konkretne opreme. Pored pouzdanosti i raspoloživosti, koji omogućuju optimalno raspolaganje računarskom opremom, sastavni delovi pouzdanosti bi bili: bezotkaznost i obnovljivost računarske opreme. Bezotkaznost je svojstvo sistema da u datim uslovima eksploatacije zadržava određeno vreme svoje prvobitne osobine. Obnovljivost je svojstvo sistema da posle otkazivanja obnovi svoju funkciju. Obnovljivost u sebi sadrži dve komponente: — pogodnost remonta, koja je uslovljena čisto tehničko-konstruktivnim osobinama uređaja, odnosno sistema i — sistem održavanja, kojeg uslovljava odnos ljudi prema sistemu (kao što je kvalifikacija i obučenost ljudstva u eksploataciji i održavanju), postupci održavanja, metodika snabdevanja rezervnim delovima i potrošnim materijalom, metodika remonta i sl. Otkazivanje se naziva stanje u kom je došlo do narušavanja funkcije (promene stanja) komponente koja utiče na rad uređaja ili sistema, ili izlazak osnovnih parametara van datih tolerancija. Neispravnost je posledica otkazivanja komponente – stanje u kom se narušavaju osnovni parametri bilo kog elementa uređaja ili sistema. Razlikuje se prvorazredna ili katastrofalna neispravnost, gde je zbog neispravnosti jednog elementa došlo do otkazivanja čitavog sistema, i drugorazredna neispravnost, gde otkazivanje jednog elementa ne utiče na otkaz sistema kao celine. U praksi se verovatnoća bezotkaznog rada određuje metodima matematičke statistike. Za praksu je dovoljno približno određivanje pouzdanosti po jednačini: P(t) ≈
N0 − n(t) , N0
gde su: P(t) – verovatnoća bezotkaznog rada 114
N0 – broj sistema, komponenti, uzoraka na ispitivanju i n(t) – broj otkazivanih elemenata za vreme t. Intenzitet otkazivanja izražava se odnosom priraštaja otkazivanja ∆n u vremenskom intervalu t do t+∆t prema ukupnoj količini elemenata n.
λ (t ) ≈
∆n 1 ⋅ . n ∆t
Intenzitet otkazivanja izražava se obično, za elektronske uređaje, na 1h. Ako je u pitanju veće vreme, proračun se prilagođava prema tom vremenu. Ispitivanje elektronskih uređaja pokazuje da se intenzitet otkazivanja menja vremenom (slika 5.7.1).
λ
λI
uhodavanje
II
period eksploatacije
III
period rashodovanja
t Slika 5.7.1. Zavisnost intenziteta otkazivanja od vremena eksploatacije Uočavaju se tri karakteristična područja. Prvi period, period uhodavanja. Ovaj period je karakterističan po povećanom intenzitetu otkazivanja, zbog otkazivanja najmanje pouzdanih elemenata, odnosno elemenata sa skrivenim manama. Intenzitet otkazivanja u ovom periodu može da se smanji: — brižljivim izborom komponenti (sa pouzdanošću većom od 106) — brižljivim izborom radnih režima i — višestrukim i rigoroznim ulaznim, međufaznim i izlaznim kontrolama u proizvodnji. Uočava se da se na taj način realizuje tzv. brand oprema. Logično je da se ovako povećavaju troškovi proizvodnje, a samim tim i opreme. Neophodnost rigoroznosti potencira se smanjenjem vremena primene (višestruka primena) a ona postiže svoj
115
maksimum kod uređaja jednostruke primene. Višestruka primena je u stvari udvajanje uređaja, grupe uređaja ili čitavih sistema sa ciljem da se poveća raspoloživost. Tako udvojeni sistemi nazivaju se dupleks sistemi. Drugi period, period eksploatacije. Intenzitet otkazivanja je minimalan, a frekvencija otkazivanja konstantna. To je normalan eksploatacioni period. Za mainframe računare iskustveno se računa 1 kalendarska godina kao 7 godina starosti. Za personalne računare od 18 do 24 meseca već se računaju da su zastareli zbog vremena ''poluraspada'' tehnologije. U tom periodu, kapaciteti računara (veličine memorijskih resursa, frekvencija rada procesora) na tržištu se udvostručuju, a počinju i problemi sa rezervnim delovima. Treći period ili period rashodovanja. Karakterističan je po učestalim otkazivanjima svih primenjenih elemenata. Verovatnoća otkazivanja za taj period podvrgava se (Gausovoj) normalnoj raspodeli. Kod uređaja masovne primene (personalni računari) treba težiti tome da drugi period bude što duži tako da u trećem periodu računar bude već tehnički zastareo. To je razlog zašto skup (brand) računar, u stvari – nije skup. Kod složenih računarskih sistema drugi period je kraći pa je kod njih neophodno intenzivno održavanje da bi se taj period što više produžio. Kontrolom pojedinih delova, kroz praćenje osobina računara i uklanjanjem nedostatka što ranije, ustaljenim postupcima održavanja, omogućuje se to da računarski sistemi duže ostanu u ispravnom stanju i da funkcionišu pozdano. Ti postupci nazivaju se pregledi i remonti. Pregledi mogu biti: dnevni, nedeljni, mesečni i tehnički. Kod pregleda se prate72 i proveravaju performanse računara i/ili komponenti sa već ugrađenim hardversko/softverskim rešenjima. Istovremeno se vrše i potrebna čišćenja. Remonti obuhvataju postupke čiji je cilj da se preduhitre narastajući intenzitet kvarova koji su posledica uticaja starenja pojedinih komponenti. Ove komponente se mahom menjaju nakon nekog vremenskog perioda. Ova pravila se odnose na sva tehnička sredstva u računarskom sistemu. Eksploatacioni uslovi,73 pored održavanja, od uticaja su na pouzdano funkcionisanje računara. Na računarski sistem i njegove sastavne delove, sve do pojedine elektronske, elektromehaničke komponente ili mehaničke komponente, utiču tehnoklimatski faktori
72
Računari imaju ugrađenu mogućnost autodetekcije, ''prijave'' kvara i prijave mogućeg uzroka kvara. Ne rade svi računari u komforu, optimalnim tehnoklimatskim uslovima, kancelarijama, klimatizovanim prostorima. Autor je imao iskustvo u radu sa računarima na terenu, u šumi u nezagrejanim prostorijama. U takvim uslovima dešavalo se da se zaglavi papir na laserskom štampaču jer je papir bubrio od vlage. Računari se nisu smeli uključivati u hladnim prostorijama jer je zbog visoke relativne vlažnosti i niske temperature dolazilo do kondenzacije na računarskoj opremi. Vojske koalicije u Iraku 2003/2004. godina, imaju problema sa računarima zbog prašine, koja u dodiru sa vlagom kondenzovanom na uređajima tokom noći i ranim jutarnjim satima, stvara razne vrste kiselina koje drastično nagrizaju sve, posebno što je od metala, pa i delove elektronskih uređaja. 73
116
(temeperatura, vlažnost, pritisak, vibracije, prašina, gljivice, radijacija i sl) i unutrašnji faktori, pre svega električno i mehaničko naprezanje komponenti. Izraz za intenzitet otkazivanja tako dobija oblik: λ = λN ⋅ f 1(δ ) ⋅ f 2(P ) ⋅ f 3(U ) ⋅ ⋅ ⋅ ⋅ fn (x ) , gde su: λN – nominalna vrednost intenziteta otkazivanja f1(δ) – korekcioni faktor po temperaturi f2(P) – korekcioni faktor po disipaciji f3(U) – korekcioni faktor po naponskom opterećenju.
Vek trajanja izolacionog materijala, na primer, smanjuje se za 50% sa povećanjem temperature (od projektovane radne) za 10°C. Pored pravilno odabrane konstrukcije računarske opreme, na primer, koja će biti najmanje podložna mehaničkim uticajima sredine (vibracije, udari i sl), prilikom proračuna pouzdanosti, treba uzeti u obzir i nepredviđene uticaje radne okoline. Dobijena frekvencija otkazivanja za računar mora se korigovati onako kako sledi:
λ = Ksr ⋅ λur , gde su: Ksr – korektivni faktor sredine i λur – nominalni intenzitet (frekvencija) otkazivanja uređaja. Prema Tabeli 5.7.2, moguće korekcije u odnosu na sredinu bile bi: Sredina Laboratorija Stacionarni rad Rad na vozilu Rad na brodu Rad u avionu
Korektivni faktor 1 1,5 2 3 5
Tabela 5.7.2. Korekcije otkazivanja za računare u odnosu na radnu sredinu Tabela nas upućuje na kriterijume pri nabavci opreme. Očigledno je da oprema ugrađena u avione mora biti kvalitetnija – pouzdanija. Tzv. izolovana soba (slika 5.7.2) delimično rešava probleme zaštite infrastrukture. Ova ''soba'' treba da rešava problem KEMZ-a, toplotne izolacije, izolacije od agresivnih gasova spolja, zaštite od potresa i vibracija i zaštite od požara. Podrazumeva se fizička zaštita od neovlašćenog pristupa.
117
zid sobe u funkciji Faradejevog kaveza i toplotnog izolatora boce sa inertnim gasom za gašenje požara antitrusni nosači
Slika 5.7.2. Primer izolovane sobe Održavanje personalnih računara karakteristično je po sledećem: — izuzetno masovna primena različitih tipova, performansi i proizvođača — nedostupna dokumentacija o održavanju i za sklopove i za pojedinačne elemente — nema posebno obučenih specijalista za održavanje — tehnologija održavanja nije razrađena prema propisima (šta, kada i kako održavati) — ukida se pojam stoka rezervnih delova — problematična isplativost rada na održavanju (da li treba organizovati sopstveni servis, ekipu) — ne postoji namenski alat (instrumenti) za održavanje — pouzdan rad zavisi od konkretnih uslova — vremenski period korišćenja sve kraći (u nekim bankarskim institucijama ispod tri godine) — nestandardni ugradni elementi i — pouzdanost komponenata mahom ispod 106. Poseban problem za personalne računare, najčešće u privatnoj upotrebi, jeste održavanje softvera koji nije licenciran. Takođe, mediji za prenos i čuvanje podataka (softvera) kratkog su veka trajanja (do 3 godine za HDD — Hard Disk Drive). Sledstveno tome javlja se problem zbog mogućeg gubljenja podataka i otuda postoji obaveza izrade kopija, a ponekad i spasavanja podataka sa oštećenih medija i sl. 5.7.2. Zaštita ostalih sistema kao infrastrukture IS Da bi se sprečio gubitak, oštećenje ili kompromitovanje dobara i prekid poslovnih aktivnosti, infrastrkturu (uređaji) treba fizički zaštititi od pretnji njihovoj bezbednosti i opasnosti iz okoline. Neophodna je zaštita uređaja (uključujući i one koji su izmešteni) kako bi se smanjio rizik neovlašćenog pristupa podacima, i da bi se zaštitili od gubitka i oštećenja. Za zaštitu od opasnosti ili neovlašćenog pristupa, kao i samozaštitu infrastrkture, mogu se zahtevati posebne kontrole [ISO00]. Uređaje treba postaviti ili zaštititi tako da se smanji rizik od preopterećenja i pretnji iz okoline (blizina radarskih uređaja i provodnika visokog napona, kanalizacionih i 118
vodovodnih instalacija, uticaj mehaničkih vibracija, tramvaj, pruga, itd) i opasnosti, kao i mogućnost neovlašćenog pristupanja. Stavke pod posebnom zaštitom izdvajaju se da bi se smanjio opšti nivo zaštite. Kontrolama treba smanjiti rizik od oštećenja spolja. Uređaji se zaštićuju od nestanka struje redundantnim napajanjima (višestrukom kablažom, UPS-evima, rezervnim električnim generatorima, po mogućstvu u režimu neprekidnog napajanja). Za rezervne generatore mora biti obezbeđena dovoljna količina goriva. U prostoriji sa uređajima, u blizini izlaza za slučaj opasnosti, postavljaju se prekidači električnog napajanja, kako bi se olakšalo isključivanje u vanrednim situacijama. Za slučaj nestanka napajanja iz mreže mora biti obezbeđeno vanredno (panik) osvetljenje. Elektroinstalacija računarskog centra, sa mainframe računarom, izvodi se direkto sa trafostanice. Nedopuštene su neispravnosti, sklopki, prekidača, razvodnih tabli i sl. Na svim zgradama treba da se postavi zaštita od atmosferskih pražnjenja a na sve spoljne komunikacione vodove treba ugraditi zaštitne filtre. Kablovi napajanja ili telekomunikacioni kablovi, koji prenose podatke ili kojima se podržavaju informacione usluge, treba da se zaštite od prisluškivanja i oštećenja, mada se ne može postići apsolutna bezbednost od prisluškivanja (slika 5.7.2.1) prema [Hig89b].
''iscurena'' svetlost
optički kabl
detektor
plašt
Slika 5.7.2.1. ''Curenje'' svetlosti iz optičkog kabla Klima uređaj je poseban problem za računarski centar. On mora biti redundantno dimenzionisan. To dimenzionisanje podrazumeva plansko povećanje, pre svega, toplotnih disipatora u radnim prostorijama Taj uređaj treba da obezbedi optimalnu temperaturu, vlažnost vazduha pa i pritisak i optimalnu brzinu kretanja vazduha u radnim prostorijama (tabela 5.1.2). Klima uređaj podleže posebnom režimu održavanja.74 Za njega moraju biti obezbeđeni kritični delovi u sopstvenom skladištu, stabilan i dovoljan dovod svežeg vazduha, vode i električne energije. 74 Iskustvo autora. Zbog neispravnosti, nemogućnosti popravke klima uređaja (zastarela tehnika, nisu se mogli obezbediti rezervni delovi), računarski sistem na radnom mestu, leti je mogao da radi samo nekoliko sati noću kad se temeperatura spuštala na nivo dozvoljene.
119
Prema [ISO00] izmešteni i odbačeni uređaji, takođe, podležu posebnim merama zaštite. Izmešteni uređaji ili oni koji se koriste van prostorija računarskog centra koriste se po odobrenju i uz nadzor primenjujući mere zaštite po mogućstvu, kao i u radnim prostorijama. Odbačeni uređaji moraju biti pod posebnim režimom. To se naročito odnosi na medijume. Nakon upotrebe i prilikom odbacivanja, medijumi moraju da budu obezbeđeni od neovlašćene upotrebe. Magnetni medijumi se demagnetišu i/ili lome (kidaju). Nije preporučljivo njihovo spaljivanje iz ekoloških razloga. Deo infrastrukture podleže posebnom režimu kontrole, tzv. dopuštenoj i planskoj degradaciji. Planska (i dopuštena) degradacija treba da simulira vanredne okolnosti i ima za cilj proveru (re)vitalnosti sistema.
120
5.8. Protivpožarna zaštita Prema [Bob04], uništavanje75 nosača informacija usled požara, poznato još iz doba osvita svetske istorije kada su u katastrofalnom požaru spaljeni fondovi Aleksandrijske biblioteke, što je bio nepopravljiv i nenadoknadiv gubitak za ljudsku civilizaciju. Načini uništavanja informacija na papiru nisu se menjali kroz vekove. Nacisti u Nemačkoj spaljivali su ''nepodobne'' knjige. Narodna biblioteka Srbije je stradala u požaru koji je bio posledica bombardovanja 6. aprila 1941. godine (akt kulturnog genocida) itd. Poseban problem bio je ako su potpuno i nepovratno uništene tajne informacije. Poznati, bliži, primeri za to su uništavanje dokumenta u Američkoj ambasadi u Iranu tokom pobune protiv šaha Reze Pahlavija ili uništavanje arhiva Službe bezbednosti Istočne Nemačke prilikom rušenja Berlinskog zida. Vreme računara nije pošteđeno požara koji uništavaju nosače informacija, pa i cele računarske sisteme (požar u računarskom centru u fabrici ''1. maj'' u Pirotu). Požar se najčešće tretira kao elementarna nepogoda poput zemljotresa poplave ili uragana. Vatra je osnovni element požara. Podsetimo se suštine vatre. Vatra je oksidacija, hemijska reakcija kiseonika sa nekim (gorivim) materijalom uz veće ili manje oslobađanje toplote. Ta toplota, koja se oslobađa prilikom gorenja čini suštinu proliferantnosti vatre. Vatra se prenosi sa jednog na drugi materijal ukoliko je postignuta dovoljna tačka paljenja konkretnog materijala.76 Širenje, proliferacija vatre poseban je problem i uzrok (skoro) najvećeg nivoa štetnosti po IS u odnosu na sve druge uzroke šteta u IS. Prilikom delovanja svih drugih ''agresora'', posledice su takve da se IS može u izvesnoj meri obnoviti. Na primer, kod delovanja virusa, modifikacije ili krađe podataka, ne strada hardver, a štete na softveru su ograničene. Posledice požara u IS su sledeće: — stradanje ljudstva — uništenje (deformacija) resursa i podataka usled visoke temperature — uništenje resursa i podataka usled razvijenih štetnih gasova — uništenje resursa i podataka usled oksidacije (korozije) i — uništenje resursa i podataka usled nepravilne upotrebe sredstava za gašenje. Osnovu ''vatrenog trougla'' čine temperatura, kiseonik i goriva materija (lika 5.8.1). U suštini ove činjenice nalazi se odgovor u vezi sa prevencijom i sanacijom – gašenjem požara. Da bi se požar sprečio ili ugasio, potrebno je odvojiti jedan od tri elementa požarnog trougla. Broj i veličina štete od požara u IS (koji se ne javljaju samo u IS) zahtevaju posebno razmatranje ove sfere. Spomenuti požari u Glavi 3. finansijski su imali najteže posledice. Srednji nivo štete, usled požara, kretao se oko 2,7 miliona £ (funti sterlinga), a maksimalni nivo štete bio je oko 8 miliona £.
75 76
Koincidencija. Ovo poglavlje se obrađuje netom posle požara na Hilandaru. Fosfor se pali na 50°C.
121
kiseonik
toplota
materijal
Slika 5.8.1. Gorivi trougao 5.8.1. Područja požara Požar u IS se najčešće javlja na mestima gde se nalaze lako zapaljive materije (skladišta goriva za elektroagregate, okolina matričnih štampača zbog velike koncentracije papirne prašine), na mestima gde se povećava temperatura (sve elektroinstalacije koje se zagrevaju zbog preopterećenja i/ili podkapacitiranosti, lošeg projekta), prostorije u kojima je dozvoljeno pušenje i tamo gde se koriste otvorena grejna tela. 5.8.2. Protivpožarna preventiva Najvažnija protivpožarana preventiva sadržana je u visokoj odgovornosti i znanju osoblja, pre svega izvršilaca u IS, a delom i korisnika. Osoblje mora biti svesno verovatnoće pojave požara i posledica po ljudstvo i sredstva. Svi ponaosob treba da znaju: — koje su zabrane na snazi u cilju protivpožarne preventive — koje se mere preduzimaju u slučaju pojave eventualnog požara — posebno, šta se ne sme raditi pri gašenju vatre — koje su sanacione mere posle požara i — posebno koje su mere prve pomoći staradalim u požaru. Protivpožarna zaštita u IS (računarskom centru) počinje već od samog građevinskog projekta a svakako i realizacije tog projekta. Objekat treba da bude dovoljno udaljen od drugih potencijalno opasnih objekata zbog mogućnosti prenošenja požara. Prostorije sa većom verovatnoćom pojave požara moraju biti dostupne. U komunikaciji sa objektom i svim prostorijama ne sme biti prepreka. To se odnosi i na protivpožarne uređaje, oko njih ne sme biti prepreka. Građevinski materijali iskorišćeni u objektu ne smeju biti lako zapaljivi. Njihova temperatura paljenja mora biti maksimalno visoka.77 Sva protivpožarna pregradna vrata u štićenom krugu treba da imaju alarm i da se zatvaraju udarom. Ti prostori se dodatno štite vatrobranom pregradom (zid i/ili vrata). Vodovi goriva za agregate, kroz vatrobranu pregradu treba da imaju (automatske) ventile. Poželjno je da ti vodovi budu otporni na mehanička i toplotna oštećenja. Vatronepropusni materijali nisu beskonačno izdržljivi, pa se zbog toga likvidacija požara ne sme odgađati.
77 Podrazumeva se da i sva druga sredstva, uređaji, posebno nameštaj, podne obloge, zavese i sl, u računarskom centru budu teško zapaljivi.
122
U okviru organizacionih (zaštitnih) mera treba da postoji obaveza da se opasne ili zapaljive materije skladište na bezbednom rastojanju od zaštićenog područja. U zaštićenim područjima ne dopustiti skladištenje velikih pakovanja papira, sve dok to nije potrebno. Zabraniti ostavljanje informacija na stolu, jer [33] postoji verovatnoća da će se oštetiti ili uništiti u nekoj nesreći poput požara, poplave ili eksplozije. Važne informacije odlažu se u vatrostalne kase ili ormane. 5.8.3. Uređaji za otkrivanje požara Detektori požara [Teh88] ili porasta temperature, postavljaju se na mestima sa većom verovatnoćom pojave vatre i u prostorijama od posebnog značaja u kojima je nedopustiva bilo kakva šteta. Uređaji za otkrivanje požara uključuju, na primer: detektore zračenja na osnovu fotoelektriciteta, detektore gorive smese, detektore previsoke temperature, detektore brzine porasta temeperature, termovizijske kamere i optičke detektore sa staklenim vlaknima. U prostorijama, gde boravi ljudstvo, mogu da budu i detektori pojave dima i ugljen-monoksida. Najčešće se za brzo otkrivanje požara istovremeno upotrebljava kombinacija detektora, na primer: detektori brzine porasta temperature, detektori povišene temperature i detektori zračenja. Dobar sistem za otkrivanje požara mora ispunjavati više zahteva. On ne sme davati lažnu uzbunu, mora pravovremeno da otkrije i tačno naznači mesto gde je požar izbio. Kad se požar ugasi, ili ponovo pojavi, sistem to mora detektovati. Sve dok požar traje, sistem neprestano to mora da pokazuje. Mora postojati mogućnost planske provere sistema za dojavu požara iz neke prostorije sa stalnim prisustvom (dežurstvom) ljudstva. Detektori požara moraju biti imuni na eventualna oštećenja. Senzori detektora moraju biti što adaptivniji za ugradnju. Utrošak električne energije na detektore mora biti minimalan. Svaki sistem detektora mora imati svetlosne i zvučne indikatore u sobi sa stalnim dežurstvom. Mogući sistemi su: — sistem sa termosklopkama — sistem sa termoparovima — sistem sa tačkastim detektorima i — sistem sa neprekidnim prstenom.
Slika 5.8.2. Deo sistema sa neprekidnim prstenom Sistem sa neprekidnim prstenom potpunije pokriva ugroženo područje od bilo kog drugog sistema za otkrivanje požara. On reaguje na povišenu temperaturu i zatvara strujni krug koji služi za uzbunu. U zavisnosti od vrste senzora postoje dve vrste ovog sistema. Senzor sa dva električna provodnika reaguje na porast prosečne i lokalne temperature, a senzor sa 123
jednim provodnikom reaguje samo na povišenje temperature u jednoj tački. Oba sistema stalno kontrolišu temperaturu u području gde su postavljeni i, nakon što je požar ugašen, odmah su sposobni za rad bez spoljne intervencije. 5.8.4. Sredstva za gašenje požara U skladu sa Slikom 5.8.1, najbolja sredstva za gašenje jesu ona koja (istovremeno) hlade, snižavaju temperaturu, odstranjuju kiseonik (guše plamen) i odvajaju gorivi materijal od plamena. Voda ima sve ove karakteristike. Voda nije preporučljiva za gašenje u računarskim centrima iz više razloga: — izazivanja kratkih spojeva na elektroinstalcijama — dodatnog oštećenja nosača informacija (posebno papira) i — naknadne korozije svih uređaja koji imaju delove, pre svega, od gvožđa. Zbog rizika najbolje je za gašenje koristiti inertne gasove, na primer: — ugljen-dioksid — brom-metan — hlor-brom-metan — dibrom-difluor-metan i — brom-trifluor-metan. Svi ovi gasovi imaju prednosti i mane. Veći deo njih je problematičan zbog mogućnosti gušenja (trovanja) ljudstva u prostoru gde se upotrebljavaju. Brom-trifluor-metan je najmanje problematičan, nije otrovan ali je veoma skup. Ove gasove bi trebalo sprovoditi u područja požara cevovodom sa rupicama i brizgaljkama (mlaznicama). Da bi gašenje požara bilo efikasno, boce sa gasom moraju imati ventile koji se na električni impuls otvaraju eksplozijom. Tako se postiže udarno gašenje požara, a boca se isprazni za nekoliko sekundi. Alarmni i uređaji za dovođenje gasa u ugrožena područja čine jedinstven sistem za gašenje požara. 5.8.5. Prva pomoć stradalim u požaru Lečenje opekotina [Lar80] kao moguća posledica požara po ljudstvo, različito je i zavisi od toga da li je posredi laka ili teška opekotina. Kada su u pitanju male opekotine, dopušteno je preduzimanje prve pomoći na licu mesta primenom prvog zavoja. Nastavak lečenja podrazumeva angažovanje stručnog lica. Teža opekotina zahteva hitno prebacivanje povređenog u specijalizovani centar gde se prvo preduzima eventualna reanimacija a zatim se preduzimaju druge mere u skladu sa vrstom i stepenom povrede stradalog. Prilikom ugušenja (asfiksije), [Lar80], kao posledice stradanja prilikom požara, a i u drugim prilikama, lečenje se sastoji pre svega u otklanjanju uzroka ugušenja, uspostavljanju disajnih pokreta, intubacije ili traheotomije, odnosno metode usta-na-usta i od davanja kiseonika iz boce ili pomoću respiratora. 5.8.6. Sanacija posle požara Revitalizacija, sanacija IS započinje ispitivanjem uzroka pojave požara. Stoga treba voditi računa da se sačuvaju mogući dokazi koji upućuju na uzrok, eventualno, namerno izazvanog požara. To je važno da bi se utvrdila lična odgovornost. Proces gašenja požara ne znači da je u potpunosti otklonjena opasnost za nosače informacija u vatrostalnim kasama. Treba sačekati da se kasa ohladi spolja, pa tek onda mogu da se vade medijumi iz nje.
124
U sledećoj fazi nakon gašenja požara treba proceniti štetu, radi moguće naplate štete od odgovornog lica ili osiguravajućeg zavoda, a posebno zbog planiranja mera oporavka. Te aktivnosti treba sprovoditi uz puno učešće vlasnika poslovnih resursa i procesa. Ocenjivanje uzima u obzir sve poslovne operacije i nije ograničeno na određenu opremu za obradu informacija. Nakon ovih aktivnosti, pristupa se revitalizaciji sistema. Na ovoj tački dokazuje se neophodnost postojanja backup sistema.
125
5.9. Zaštita IS u radu u mrežnom okruženju Savremene računarske mreže se uglavnom zasnivaju na Internet tehnologijama i TCP/IP protokolima [Opp98]. Automatizovani informacioni sistemi zasnovani na Internet tehnologijama imaju iz aspekta zaštite podataka brojne slabosti, što je u velikoj meri prouzrokovano arhitekturom računarske mreže Internet/Intranet tipa: — TCP/IP protokoli nisu projektovani da zadovolje zahteve za zaštitom informacija i — Internet je mreža sa komutacijom paketa u kojoj se relativno jednostavno pristupa informacijama koje se prenose a moguće je i ubacivanje poruka uz nemogućnost kasnijeg određivanja njihovog porekla i sadržaja. 5.9.1. Neki tipovi napada u distribuiranim računarskim sistemima U ovom poglavlju su istaknute potencijalne opasnosti i načini ugrožavanja bezbednosti podataka u distribuiranim računarskim sistemima. Razmotreni su napadi koji se izvode unutar računarskog sistema ili na komunikacionim informacionim kanalima i navedeni su standardni postupci koji se primenjuju za zaštitu od datih napada. Postoji više vrsta ugrožavanja bezbednosti u distribuiranim računarskim sistemima [Mur98]. Prema cilju napadača, moguće je pretnje klasifikovati na sledeći način:77 — modifikacija ili uništavanje podataka — generisanje lažnih ili modifikacija legalnih poruka — odbijanje odgovornosti za poslatu poruku — poricanje prijema poruke — ponavljanje slanja poslatih poruka (retransmisija poruka) — narušavanje privatnosti – otkrivanje informacionog sadržaja poruke i — neautorizovano korišćenje računarskih resursa. Modifikacija ili uništavanje podataka Modifikacija ili uništavanje podataka, preko računarske mreže, predstavlja opasnost koja se odnosi na mogućnost pristupa internim memorijskim resursima računara sa bezbednosno-kritičnim informacionim resursima (npr. poverljive baze podataka). Data opasnost može biti prouzrokovana akcijama nelegalnih korisnika iz spoljašnjeg okruženja, ili neovlašćenim aktivnostima unutrašnjih subjekata. Pojedine vrste napada iz spoljnog okruženja mogu se sprečiti primenom mrežnih barijera (firewall). Mrežne barijere mogu se koristiti za zaštitu lokalne mreže koja je povezana sa javnom mrežom (npr. Internet), ali i u okviru lokalne mreže za zaštitu određenih segmenata date mreže. Mrežne barijere se takođe mogu koristiti za zaštitu pojedinačnih računara koji su preko modema priključeni na Internet okruženje. Određeni napadi iz spoljnog okruženja mogu se takođe sprečiti realizacijom određenih funkcija u specijalizovanim kriptografskim barijerama (Application Level Proxy), [Opp98]. Date funkcije se realizuju primenom asimetričnih i simetričnih kriptografskih algoritama. Dodatne mere zaštite od ovakvih napada obuhvataju digitalno potpisivanje izvršnih modula aplikacije sistema zaštite i proveru integriteta date aplikacije, primenom postupka verifikacije digitalnog potpisa pri svakoj autentikaciji ovlašćenog subjekta. Pored toga, moguće je da aplikacija, poverljiva baza podataka ili čitav disk budu šifrovani primenom 77
Podela nije primer dobre klasifikacije [How97]. Zbog ilustrativnosti prenosimo je u celini.
126
simetričnog algoritma uz odgovarajuću proceduru korišćenja ključa za dešifrovanje zaštićenih podataka (storage key). Najbezbednija procedura bi bila ukoliko bi se ključ čuvao na kriptografskom hardverskom koprocesoru datog računara. Ukoliko ne postoji kriptografski koprocesorski modul sa zaštićenom memorijom, bezbednosno-kritične parametre potrebno je čuvati na smart karticama. Naime, smart kartice poseduju memoriju koja je mikroprocesorski zaštićena od neautorizovanog pristupa tako da su pogodne za memorisanje bezbednosno-kritičnih podataka, kao što su kriptografski ključevi, digitalni sertifikati, lozinke i druge poverljive informacije. Smart kartice takođe izvršavaju određene asimetrične kriptografske algoritme, koji se primenjuju u realizaciji digitalnog potpisa, bez mogućnosti čitanja tajnih ključeva datog algoritma iz računarskog sistema. Generisanje lažnih ili modifikacija legalnih poruka Generisanje lažnih ili nelegalna modifikacija poruka, koje se prenosi u distribuiranom okruženju, jedan je od napada koji mogu da nanesu najviše štete legalnim učesnicima u komunikaciji. Svaka nelegalna promena u sadržaju poruke mora biti otkrivena i data poruka mora biti odbačena. Mogući način odbrane od ovog napada sadržan je u korišćenju procedure autentikacije subjekata u komunikaciji koja se zasniva na bilateralnoj razmeni digitalnih sertifikata uz višestruku proveru autentičnosti primenom asimetričnih šifarskih sistema. Integritet poruke može da se zaštiti primenom tehnologije digitalnog potpisa. Odbijanje odgovornosti za poslatu poruku Odbijanje odgovornosti za poslatu poruku pojavljuje se kao problem kada dođe do razlike u podacima o izvršenom prenosu podataka između učesnika u komunikaciji. U slučaju spora, moraju postojati kriptografski mehanizmi koji će nedvosmisleno ukazati na identitet pošiljaoca date poruke i potvrditi njen integritet. Dati problem moguće je rešiti primenom tehnologije digitalnog potpisa na bazi asimetričnih šifarskih algoritama. Poricanje prijema poruke Opasnost potiče iz sličnih razloga, kao i u prethodnom slučaju. Moguće je da subjekti komunikacije poreknu da su primili određene poruke, tako da je neophodno postojanje bezbednosnih mehanizama i protokola za razmenu podataka, pomoću kojih se može dokazati identitet primaoca poruke. Navedeni problem može se rešiti automatskim generisanjem, na strani primaoca, digitalno potpisane povratnice o prijemu date poruke. Pošiljalac poruke, verifikujući digitalni potpis primaoca na pomenutoj automatskoj povratnici, ima nedvosmislen dokaz o prijemu poruke i o identitetu subjekta koji je primio datu poruku. Ponavljanje slanja poslatih poruka Bez obzira na primenjene kriptografske mehanizme, opasnost ponavljanja već poslatih podataka (replay) od strane neovlašćenog subjekta, može narušiti funkcionalnu korektnost mrežnih servisa. Naime, neovlašćeni korisnik može sakupljati šifrovane poruke koje se prenose kroz sistem i, bez obzira na to što ih ne može dešifrovati, može ponavljati njihovo slanje odgovarajućem primaocu. Navedeni problem može se rešiti primenom tehnologije “vremenskog pečata” (time stamping) kojom se ugrađuje pouzdano sistemsko vreme u
127
zaglavlje poruke koja se prenosi. Upotrebom “vremenskog pečata” primalac jednoznačno proverava da li su ponovljene poruke legalne ili lažno generisane. Otkrivanje informacionog sadržaja poruke S obzirom na to da se za prenos podataka koriste komunikacioni sistemi u kojima je moguć neovlašćeni pristup, ne može se garantovati očuvanje tajnosti poslatih poruka. Narušavanje privatnosti je pretnja koja se odnosi na neautorizovani pristup poverljivim informacijama. Jedna vrsta napada bila bi prisluškivanje (eavesdropping), koju je veoma teško otkriti na vreme jer nema vidljivih spoljnih manifestacija. Prisluškivanje je veoma aktuelna vrsta napada jer se velika količina informacija u otvorenom obliku razmenjuje putem potencijalno nebezbednih kanala. Lažno predstavljanje (masquerading) je vrsta napada u kojoj napadač pokušava da iskoristi tuđi identitet radi napada na računarski sistem [Sta95]. Ukoliko se zahteva tajnost u prenosu podataka, tada se najčešće primenjuju mere kriptografske zaštite. Međutim, napadač može da pokuša da izvrši kriptoanalizu kriptografski zaštićenih poruka. Aktivnost napadača usmerena je otkrivanju tajnih parametara zaštićenih komunikacija. Mogućnost kriptoanalize određena je u najvećoj meri načinom čuvanja i razmene simetričnih i asimetričnih ključeva, dužinom ključeva, snagom primenjenog kriptografskog sistema i računarskim resursima napadača. Primera radi, na Internetu se za realizaciju tajnosti najviše koristi DES simetrični kriptografski algoritam, sa 56-bitnom dužinom ključa. Poznato je da postoje kriptografski uređaji koji mogu u realnom vremenu da izvrše transformaciju šifrata dobijenog primenom DES algoritma u otvoreni tekst, bez poznavanja ključa. Kao donja granica sigurnosti za primenu simetričnih šifarskih sistema određeni su kriptografski postupci sa 128-bitnom dužina ključa. Snaga primenjenog šifarskog sistema u dobroj meri određena je računarskim resursima napadača. Neautorizovano korišćenje računarskih resursa Neautorizovano korišćenje računarskih resursa najčešće se ispoljava kroz napad tipa ukidanje servisa (denial of service, DoS), [Ste98]. Osnovni cilj te vrste napada jeste narušavanje ispravnog rada raspoloživih servisnih programa u sistemu. Napadi navedenog tipa koriste zlonamerne programe za generisanje velikog broja zahteva za uspostavljanje konekcije sa napadnutim serverom, koji će biti odbijeni. Navedenim napadom dolazi do preopterećenja mrežnog servera koji nakon pokrenutog napada, ili prekida rad ili samo odgovara na zahteve iz napada tako da legalni korisnici ne mogu da mu pristupe. Postoji i varijanta napada koji se izvodi sa više računara koji realizuju koordinisan DoS napad na jedan ili više ciljnih računara (Distributed Denial of Service, DDoS). Ovu vrstu napada moguće je sprečiti korišćenjem mrežnih barijera (firewall). Napad tipa Trojanski konj (Trojan Horse) predstavlja distribuciju zlonamernih programa na radne stanice u računarskoj mreži. Ta vrsta napada obično se temelji na slabostima primenjenog operativnog sistema. Trojanski konj se korisniku prikazuje kao legalan program, ali je projektovan tako da izvrši dodatnu nelegalnu aktivnost. Ova vrsta računarskog virusa obično se maskira u sistemske programe i obriše tragove sopstvene instalacije. Jedini trag ostaje u izmenjenoj veličini (i funkcionalnosti) odgovarajućih sistemskih programa. Osnovni vid zaštite od napada tipa “trojanski konj” bilo bi postojanje odgovarajućeg višestepenog antivirusnog sistema, sa redovnim ažuriranjem baze virusa, i izgradnja svesti korisnika o izvesnosti ovog napada. Programski jezik Java uvodi novi mehanizam zaštite izvršnog koda aplikacije, baziranu na upotrebi digitalnog potpisa.
128
5.9.2. Višeslojna arhitektura sistema zaštite računarskih mreža Imajući u vidu slojevitu strukturu savremenih računarskih mreža, nameće se ideja da je za realizaciju pouzdanog sistema zaštite neophodno osmisliti i primeniti višeslojnu arhitekturu. Na Slici 5.9.1. prikazani su TCP/IP mrežni model i predloženi sistem zaštite [Opp98]. Uvođenjem dodatnih zaštitnih slojeva povećava se ukupna bezbednost sistema.
Slika 5.9.1. TCP/IP mrežni model predloženog sistema zaštite Sistem zaštite računarskih mreža trebalo bi da se sastoji od sledeća tri nezavisna bezbednosna nivoa [Opp98]. Zaštita “s kraja na kraj” (end-to-end security) na aplikativnom nivou koja se zasniva na primeni tehnologije digitalnog potpisa na bazi asimetričnih kriptografskih algoritama i zaštite tajnosti podataka primenom simetričnih kriptografskih algoritama [Ste98]. Primenom ovog nivoa zaštite obezbeđuje se: provera autentičnosti korisnika servisa mreže kako u procesu uspostavljanja komunikacije (end-user authentication), tako i u procesu kontrole pristupa (access control) resursima mreže, zaštita integriteta podataka, zaštita od mogućnosti naknadnog poricanja o slanju poruka, kao i zaštita tajnosti podataka. Najpoznatiji protokoli zaštite na aplikativnom nivou koji se primenjuju u mrežama Internet/Intranet tipa su: S/MIME (Secure Multipart Internet Mail Extensions), Kerberos, SET (Secure Electronic Transactions) i drugi. Ti sistemi se baziraju na primeni asimetričnih i simetričnih kriptografskih algoritama i digitalnim sertifikatima, kao jednoznačnim parametrima identifikacije strana u komunikaciji. Protokol SET je namenjen za zaštitu finansijskih transakcija, na bazi primene kreditnih kartica, između klijenata i banke. U savremenoj kriptografiji za zaštitu elektronske pošte se, umesto PGP (Pretty Good Privacy) protokola, češće koristi S/MIME protokol. Kerberos je protokol koji na bazi simetričnih kriptografskih algoritama, posredstvom aktivne treće strane od poverenja, realizuje razmenu sesijskih ključeva i autentikaciju učesnika u komunikaciji. Zaštita na transportnom nivou predstavlja zaštitu tajnosti podataka primenom simetričnih kriptografskih algoritama i uzajamne provere identiteta subjekata komunikacije. Ovaj nivo štiti komunikaciju subjekata od internih i eksternih napada primenom kriptografskih tunela (zaštićenih sesija) između čvorova komunikacionog segmenta mreže na bazi simetričnih kriptografskih sistema i primenom procedure “jake” autentikacije (strong authentication) između subjekata komunikacije. Dodatnom primenom simetričnih kriptografskih sistema na transportnom nivou realizuju se funkcije zaštite integriteta podataka koji se prenose kroz mrežu i nemogućnost poricanja emisije datih podataka.
129
Najpoznatiji korišćeni protokoli su: SOCKS, SSH (Secure Shell), SSL (Secure Sockets Layer), TLS (Transport Layer Security) i WTLS (Wireless Transport Layer Security). Protokol SSH se najčešće koristi za realizaciju bezbednog udaljenog pristupa računaru (remote login), izvršenja komandi na datom računaru i kopiranje datoteka između računara koji komuniciraju. Najčešće se koristi protokol SSL i sastoji se iz dve faze: autentikacije koja se bazira na primeni asimetričnih kriptografskih algoritama i razmeni digitalnih sertifikata, u kojoj se proverava autentičnost strana u komunikaciji i razmena sesijskog ključa, i kriptografskog tunela koji se bazira na primeni simetričnog algoritma sa sesijskim ključem koji je prenesen u fazi autentikacije. Protokol WTLS je bežična varijanta SSL protokola i služi za zaštitu na transportnom nivou između WAP (Wireless Application Protocol) mobilnih telefona i WAP servera na istim principima (autentikacija i kriptografski tunel), kao i SSL protokol. Zaštita na mrežnom nivou obezbeđuje zaštitu između mrežnih čvorova i štiti čitav distribuirani računarski sistem od spoljašnjih napada korišćenjem: — zaštitnih mehanizama koje pruža standardna komunikaciona oprema — postupaka zaštite primenom mrežnih barijera (firewall) — zaštitnih mehanizama na mrežnom nivou koje pruža operativni sistem i — fizičkih mera zaštite pristupa ruterima i serverima. Na mrežnom nivou vrši se zaštita integriteta, tajnosti i autentikacija IP paketa. Zaštita integriteta i autentikacija IP paketa najčešće se realizuje primenom kriptografskih kompresionih funkcija sa upotrebom tajnog ključa (Message Authentication Code, MAC), dok se zaštita tajnosti ostvaruje primenom simetričnih algoritama. Najpoznatiji protokol zaštite na mrežnom nivou jeste IPSec protokol (Internet Protocol Security), [Mur98]. Postoje dve varijante IPSec protokola: — IPSec protokol sa autentikacionim zaglavljem i — IPSec protokol sa enkapsulacijom šifrovanih IP paketa. IPSec protokol sa autentikacionim zaglavljem (Authentication Header, AH) obezbeđuje zaštitu integriteta i proveru identiteta pošiljaoca IP paketa. Naime, u autentikaciono zaglavlje upisuje se kriptografski otisak koji nastaje kao rezultat realizacije kriptografske kompresione funkcije nad tajnim ključem pošiljaoca i nepromenljivim sadržajem IP paketa. IPSec protokol sa enkapsulacijom šifrovanih IP paketa (Encapsulating Security Payload, ESP) obezbeđuje zaštitu tajnosti, integriteta i autentikaciju IP paketa. Naime, u prvoj fazi datog protokola vrši se šifarska transformacija celog IP paketa (zaglavlje i informacioni sadržaj). U sledećoj fazi, nakon realizacije šifrovanja, kreira se novi IP paket čiji je informacioni sadržaj (payload) prethodno dobijen šifrat. Kao kod IPSec protokola sa autentikacionim zaglavljem, slično se određuje i vrednost kriptografskog otiska, koji se smešta na kraj novoformiranog IP paketa. U zaglavlje novoformiranog IP paketa upisuje se i broj sekvence (Sequence Number), čime je omogućena zaštita od retransmisije poslatih poruka. IPSec protokol najčešće predstavlja osnovu za realizaciju virtuelnih privatnih mreža (Virtual Private Network, VPN) na mrežnom nivou. Šifrovanjem čitavih IP paketa (zajedno sa zaglavljem i IP adresama izvorišnog i odredišnog računara) obezbeđuje se vidljivost
130
mrežnih adresa samo pojedinih IPSec servera (VPN Gateway) iz spoljašnjeg okruženja, ali ne i računara koji komuniciraju. 5.9.2.1. Zaštita na transportnom nivou – SSL protokol Zaštita tajnosti na transportnom nivou u savremenim računarskim mrežama najčešće se ostvaruje upotrebom simetričnih kriptografskih algoritama, realizacijom procedure provere autentičnosti i uspostavljanjem kriptografskog tunela. Protokol SSL (Secure Sockets Layer) je protokol zaštite na transportnom nivou, opšte namene, koji omogućava zaštitu tajnosti u komunikaciji klijentskog i serverskog programa (slika 5.9.2). Protokol omogućava aplikacijama, koje se baziraju na primeni klijent – server arhitekture, da komuniciraju na način koji sprečava prisluškivanje i promenu sadržaja poruka. Protokol SSL predstavlja jedan de facto Internet standard. Prvu verziju ovog protokola predložila je kompanija Netscape, zatim je široko prihvaćen i implementiran u većini savremenih WEB čitača (browser). Izvršeno je nekoliko revizija SSL protokola, pri čemu je trenutno važeća verzija 3.0 koja je doživela neznatne izmene kroz specifikaciju TLS protokola. Osnovna namena SSL protokola jeste da obezbedi tajnost i pouzdanost podataka koji se razmenjuju između aplikacija.
Aplikativni sloj
Aplikativni sloj SSL
Transportni sloj
Transportni sloj
Mrežni (Internet) sloj
Mrežni (Internet) sloj
Mrežni interfejs
Mrežni interfejs
Slika 5.9.2. Mesto SSL protokola u referentnom TCP/IP mrežnom modelu SSL je protokol opšte namene jer se u referentnom TCP/IP mrežnom modelu, nalazi između transportnog i aplikativnog sloja. Datom arhitekturom postiže se transparentnost SSL protokola u odnosu na servise aplikativnog sloja. Takva organizacija omogućava da svi servisi aplikativnog nivoa, koji koriste TCP protokol, mogu koristiti SSL protokol, ostvarujući na taj način zaštitu podataka koje razmenjuju. Konekcija je osnovna apstrakcija na kojoj se zasniva SSL protokol, što je direktno uslovljeno činjenicom da se najčešće zasniva na pouzdanom TCP protokolu. Drugim rečima, SSL konekcija enkapsulira TCP konekciju dodajući joj nova svojstva: tajnost razmenjenih podataka i proveru njihovog integriteta.
131
SSL protokol obezbeđuje sigurnost ostvarenih konekcija iz tri aspekta: 1. Konekcije su tajne. Nakon inicijalnog “rukovanja” (handshake) definiše se ključ za ugovoreni simetrični kriptografski algoritam koji se zatim koristi za šifrovanje poruka 2. Provera autentičnosti strana u komunikaciji vrši se primenom asimetričnih kriptografskih algoritama i 3. Konekcija je pouzdana. Razmena poruka uključuje proveru integriteta zasnovanog na MAC (Message Authentication Code) funkcijama. SSL je složeni protokol sa slojevitom raspodelom odgovornosti koji se sastoji iz dva nivoa. Niži nivo SSL protokola predstavlja SSL Record protokol, koji koristi pouzdani protokol na transportnom nivou (TCP). Viši nivo SSL protokola je SSL Handshake protokol kojim se vrši uzajamna provera autentičnosti klijenta i servera, ugovaranje kriptografskog algoritma koji će se koristiti u komunikaciji, kao i bezbedna razmena ključeva. Niži sloj SSL protokola, SSL Record protokol, transformiše podatke, koje prima od protokola viših nivoa, u skladu sa parametrima transformacije ugovorenih SSL Handshake protokolom. Primenjena transformacija je složene prirode i podrazumeva upotrebu kompresionog algoritma, algoritma za izračunavanje MAC-a poruka koje se razmenjuju, i upotrebu dogovorenog simetričnog kriptografskog algoritma. Viši sloj SSL protokola, SSL Handshake protokol, definiše postupak kojim se inicira uspostavljanje SSL konekcije između klijenta i servera, koji podrazumeva uzajamnu proveru autentičnosti i razmenu javnih i tajnih parametara zajedničke komunikacije. Interakcija ta dva protokola vrši se kroz objekte sesije i konekcije, koji se tokom iniciranja komunikacije paralelno kreiraju u nekoliko koraka i na klijentskoj i na serverskoj strani. Kreiranje sesije i konekcije vrši se razmenom poruka definisanih handshake protokolom. Stanje sesije karakterišu sledeći atributi: — identifikator sesije — digitalni sertifikat strane koja je inicirala kreiranje sesije — identifikator algoritma za kompresiju podataka — identifikator simetričnog kriptografskog algoritma i — sesijski ključ. Konekcija je određena slučajnim vrednostima koje generišu klijent i server, tajnim veličinama koje se koriste za kreiranje i proveru MAC koda poruka, koje se razmenjuju simetričnim ključevima, i koji se koriste za šifrovanje poruka koje se šalju, i dešifrovanje poruka koje se primaju, kao i inicijalizacionim vektorima klijenta i servera. Na nivou konekcije pamti se broj primljenih, odnosno poslatih poruka i ovaj podatak učestvuje u izračunavanju MAC koda poruka koje se razmenjuju. Uloga SSL Handshake protokola jeste da obezbedi pouzdanu proveru autentičnosti strana u komunikaciji, baziranu na digitalnim sertifikatima i pouzdanu razmenu javnih i tajnih parametara za kreiranje kriptografskog tunela. Za razliku od SSL rekord protokola, koji se zasniva na upotrebi simetričnih kriptografskih algoritama, handshake protokol intenzivno koristi mehanizme koje obezbeđuju asimetrični kriptografski algoritmi. Specifikacijom SSL protokola predviđa se mogućnost upotrebe različitih asimetričnih kriptografskih algoritama, kao i razmena ključeva bazirana na Difi-Helmanovom (Diffie-Helman) postupku.
132
Da bi se inicirala SSL komunikacija posredstvom HTTP protokola (Hypertext Transfer Protocol), korisnik treba da, umesto standardnog načina pristupa URL lokaciji sa http://naziv_web_servera, u čitaču web stranica (browser) unese adresu servera sa https://naziv_web_servera. Standardni TCP port, na kom web server, primenom HTTP protokola, dobija poruke jeste 80 dok se, u slučaju primene HTTPS protokola (HTTP+SSL), koristi TCP port 443.
133
6. KRIPTOZAŠTITNA SFERA Ljudi su se od postanka služili različitim načinima sporazumevanja, pri čemu su pronalazili nove ili usavršavali postojeće oblike komunikacije. Mnogi oblici sporazumevanja postojali su i pre pojave prvog pisma. Prvi sukobi među narodima uslovili su pojavu prikrivanja sadržaja informacija što je uzrokovalo pojavu šifarske transformacije kao sredstva zaštite tajnosti podataka. U početnoj fazi primene, šifarska transformacija je predstavljala unapred dogovoreni postupak kojim se neka informacija pretvarala u nerazumljiv oblik za onoga ko ne poznaje dati način transformacije. Današnje vreme dinamičnog razvoja računarskih sredstava za obradu podataka odlikuje činjenica da određeni resursi nisu pod neposrednom kontrolom vlasnika ili korisnika datih sredstava. U takvim slučajevima neke objekte više nije moguće fizički štititi od neovlašćenog pristupa, a time niti od izlaganja odgovarajućem riziku. Kriptologija je nauka koja se bavi izučavanjem i analizom metoda za zaštitu tajnosti podataka. Kriptologija je multidisciplinarna naučna oblast koja u sebi sadrži matematiku, statistiku, lingvistiku i mnoge druge naučne discipline. U zavisnosti od predmeta istraživanja kriptologija se deli na [Sta95]: 1. Kriptografiju koja se bavi proučavanjem i definisanjem metoda za zaštitu poruka bez obzira na vrstu informacionog sadržaja i 2. Kriptoanalizu koja izučava metode za otkrivanje informacionog sadržaja kriptografski zaštićenih poruka bez prethodnog poznavanja tajnog parametra (kriptografski ključ), koji se koristi pri transformaciji poruka izvornog teksta. U zavisnosti od tipa izvornih poruka, koje se zaštićenom obliku prenose komunikacionim kanalima, u okviru kriptografije razlikujemo [Ant00]: 1. Kriptofoniju, koja se bavi istraživanjem i proučavanjem metoda za zaštitu govornih podataka i 2. Kriptoviziju, koja se bavi istraživanjem i proučavanjem metoda za zaštitu podataka u obliku slike. Prema specifičnim osobinama, a radi lakšeg proučavanja, kriptografski postupci se dele u dve grupe. Prva grupa obuhvata postupke tajne komunikacije, kod kojih je značajno da se sakrije čak i postojanje tajnog sporazumevanja. Navedeni postupci mogu se ostvariti primenom nevidljivog mastila, mikroskopskog pisma, dogovorenim označavanjem slova određenog teksta i slično, što omogućava prijemnoj strani da otkrije skrivenu informaciju sadržanu u poruci. Navedena kriptografska tehnika poznata je pod nazivom steganografija (Steganography), [Sta95]. Drugi grupa je češća i obuhvata sve ostale postupke koji, već po spoljašnjem obliku, ukazuju da se obavlja prenos kruptografski zaštićenih podataka.
6.1. Definicija osnovnih kriptografskih pojmova Kriptografski algoritmi su matematički postupci koji se koriste u procesu kriptografske transformacije podataka. Ako je sigurnost algoritma bazirana na čuvanju tajnosti kriptografskog postupka, onda je reč o algoritmima ograničenim sa pristupom (Restricted Algorithm), [Sch96]. Algoritmi sa ograničenim pristupom najčešće nisu pogodni za 134
primenu u savremenim distribuiranim sistemima sa velikim grupama korisnika (Internet). Naime, kada neki korisnik napusti grupu ili ako neko otkrije način rada algoritma, da bi se očuvala tajnost postupka, uvek se mora menjati algoritam. Svaka grupa korisnika mora koristiti jedinstveni algoritam i ako dati postupak nije verifikovan od strane nadležne državne institucije, može se izraziti sumnja u kriptografsku sigurnost primenjenog šifarskog postupka. Probleme koje imaju algoritmi sa ograničenim pristupom su, u modernoj kriptografiji, rešeni primenom tajnog parametra u procesu transformacije poruke – kriptografskog ključa (Key). Primenom ključa nije potrebno, u većini slučajeva, čuvati tajnost primenjenog kriptografskog postupka već tajnost korišćenog ključa. U zatvorenim lokalnim mrežama specifičnih državnih institucija (vojska, policija, diplomatija), osim ključa, čuva se i tajnost primenjenog kriptografskog algoritma. Opseg mogućih vrednosti ključa naziva se prostor ključa (Keyspace). Sistem kriptografski zaštićene komunikacije podrazumeva postojanje sledećih elemenata (slika 6.1), [Sti95]: — dva ili više učesnika u komunikaciji — kriptografski zaštićene poruke koje se prenose preko komunikacionog kanala — šifarske transformacije koja omogućava zaštitu informacionog sadržaja poruke tako da se njen sadržaj učini nerazumljivim za neovlašćene korisnike i — postojanje “nepozvanih“ subjekata (kriptoanalitičar) koji, na osnovu šifrata koji im je dostupan, nastoje da otkriju informacioni sadržaj kriptografski zaštićene poruke.
Kriptoanalitičar
Izvor poruke
X
EK K
Y
DK
X
Prijem poruke
Bezbedan kanal X – otvoreni tekst Y – šifrat K – kriptografski ključ EK – proces šifrovanja DK – proces dešifrovanja
Izvor ključa
Slika 6.1. Model kriptografskog sistema Otvoreni tekst (Plaintext) predstavlja svaki sadržaj (govor, računarski podaci, itd) koji se sastoji od konačnog broja simbola određenog alfabeta (slova, brojevi, biti, bajti itd). Otvoreni tekst koji predstavlja određenu logičku celinu naziva se poruka (Message). 135
Postupak transformacije otvorenog teksta u zaštićen oblik primenom određenog kriptografskog postupka naziva se šifrovanje (Encription, Encipherment). U savremenim sistemima zaštite šifrovanje poruke realizuje se primenom odgovarajuće kriptografske transformacije (algoritma) i korišćenjem tajnog parametra – kriptografskog ključa. Sadržaj dobijen nakon realizacije procesa šifrovanja naziva se šifrovani tekst ili šifrat (Ciphertext). Inverzan postupak, transformacija šifrata u otvoreni tekst naziva se dešifrovanje (Decryption, Decipherment). U procesu realizacije i šifrovanja i dešifrovanja koristi se kriptografski ključ, tako da je: E K (M ) = C , (1) D K (C ) = M , (2) gde su: E K (M ) – proces šifrovanja poruke otvorenog teksta M primenom ključa K i D K (C ) – proces dešifrovanja šifrovane poruke C primenom ključa K. Prethodne relacije mogu se zameniti jednakošću: DK (E K (M )) = M . (3) U savremenim sistemima zaštite najčešće su kriptografski algoritmi javno dostupni, dok se sigurnost određenog kriptografskog sistema bazira na tajnosti primenjenog ključa. Poruke koje je potrebno preneti najosetljivije su na mogućnost intercepcije od nepozvanih subjekata za vreme prenosa kanalima veze, tako da se one kriptografski štite neposredno pre realizacije procesa slanja. U kriptološkim istraživanjima posmatraju se skupovi šifarskih postupaka koji imaju određenu zajedničku karakteristiku i takvi postupci čine kriptografski (šifarski) sistem.
6.2. Ocena kvaliteta kriptografskog postupka Osobine koje treba da poseduje jedan šifarski postupak, a da bi mogao da se praktično primeni jesu: brzina transformacije, osetljivost na greške, ekonomičnost i kriptografska vrednost [Men97]. Brzina transformacije definiše se kao vreme koje je potrebno da bi se jedna poruka otvorenog teksta određene bitske dužine prevela u šifrat. Osetljivost na greške. U toku prenosa neminovno se javljaju greške koje mogu nastati kao posledica: promene šifrata u toku prenosa (slučajne greške, greške usled ometanja), nedovoljne obučenosti operatera ili složenih postupaka šifrovanja ili dešifrovanja. Često se, usled greške na šifratu, poruka ne može dešifrovati, tako da se mora izvršiti njena retransmisija. Ponovnim slanjem iste šifrovane poruke gubi se na vremenu i ponovnom zauzimanju resursa komunikacionog kanala. Takođe, treba razlikovati greške zbog kojih se poruka ne može dešifrovati, od onih grešaka koje se na osnovu drugog dela poruke mogu otkloniti. Ekonomičnost šifarskog postupka predstavlja karakteristiku kojom se definiše odnos broja znakova šifrata N C , prema broju simbola otvorenog teksta N M , i kvantitativno se određuje relacijom:
136
NC (4) . NM Za šifre kod kojih je dužina šifrata jednaka ili manja od teksta poruke (E ≤ 1) smatra se da su ekonomičnije. Kada je šifrat duži od poruke (E > 1) , smatra se da je primenjena šifarska transformacija manje ekonomična. E=
Kriptografska vrednost je najznačajnija od prethodno navedenih osobina šifarskog sistema i predstavlja element na osnovu koga se procenjuje koliko je kriptografski postupak siguran. Međutim, prilično je teško odrediti kvantitativnu meru sigurnosti jednog šifarskog postupka. Šifarske transformacije kod kojih posedovanje šifrata daje nultu količinu informacija otvorenom tekstu poruke, smatraju se apsolutno sigurnim šifarskim postupcima i imaju najveću kriptografsku vrednost. Apsolutno tajni kriptografski sistem obezbeđuje da kriptoanalitičar ne dobija od jednog, više ili svih šifrata, nastalih primenom datog šifarskog sistema, nikakvu novu informaciju o poruci, kao i čitavom sistemu poruka otvorenog teksta. Apsolutno tajni kriptografski sistem može se ostvariti koristeći ključeve, generisane na slučajan način, čija je bitska dužina najmanje jednaka bitskoj dužini poruka otvorenog teksta čija se transformacija realizuje. Pošto je apsolutno tajne šifarske sisteme teško realizovati, u realnim sistemima zaštite često se koriste šifarske transformacije koje poseduju visoku kriptografsku vrednost. Šifrati dobijeni primenom šifarskih postupaka visoke kriptografske vrednosti otežavaju ili čak onemogućavaju, u realnom vremenu, mogućnost kriptoanalize.
Od stepena tajnosti poruka otvorenog teksta zavisi i šifarski postupak koji će se primeniti. Međutim, odabir kriptografskog postupka koji se koristi za šifrovanje poruka ne zavisi isključivo od njegove kriptografske vrednosti. Naime, ako se zahteva velika brzina prenosa podataka, ponekad se apsolutno sigurni šifarski postupci ne mogu primeniti ako se njihovim korišćenjem sporo i neefikasno šifruje. Za kriptografsku zaštitu poruka čiji je informacioni sadržaj vremenski ograničen mogu se koristiti i manje sigurni šifarski postupci.
6.3. Kriptoanaliza Osnovni zadatak kriptografske zaštite podataka jeste to da se otvoreni tekst i ključ sačuva od pristupa neovlašćenih korisnika za koje se pretpostavlja da mogu da imaju pristup komunikacionom kanalu između pošiljaoca i primaoca poruke. U savremenoj kriptografiji kriptoanaliza se može definisati kao nauka o mogućnosti otkrivanja otvorenog teksta poruke, na osnovu posedovanja šifrata, bez poznavanja ključa. Uspešnom kriptoanalizom šifrovane poruke dolazi se do otvorenog teksta ili ključa. Pokušaj kriptoanalize naziva se napadom na određeni šifarski sistem. Osnovna pretpostavka u kriptoanalizi jeste da tajnost primenjenog kriptografskog sistema zavisi u potpunosti od ključa. Postoje četiri osnovna tipa napada na šifarski sistem [Sch96]. 1) Napad pri kom je poznat samo šifrovani tekst (Ciphertext-only attack). Kriptoanalitičar poseduje šifrovani tekst nekoliko poruka, šifrovanih primenom istog kriptografskog postupka. Cilj kriptoanalitičara jeste da dođe do otvorenog teksta što većeg broja poruka, ili da otkrije ključ (ili ključeve) koji je korišćen za šifrovanje poruka, kako bi mogao da dešifruje druge poruke šifrovane primenom istog ključa C i +1 = E k (Pi +1 ).
137
Poznato: C1 = E K (P1 ), C 2 = E K (P2 ), . . ., C i = E K (Pi ). Otkriveno: P1 , P2 , . . . , Pi , ključ k ili algoritam po kom se može doći do Pi +1 , na osnovu Ci +1 = E K (Pi +1 ) . 2) Napad pri kom je poznat šifrovani i otvoreni tekst (Known-plaintext attack). Kriptoanalitičar poseduje, ne samo šifrovani tekst nekoliko poruka već i otvoreni tekst tih poruka. Cilj kriptoanalitičara jeste da otkrije ključ (ili ključeve) koji se koristi za šifrovanje poruka ili da odredi algoritam čijom će primenom moći da dešifruje bilo koju novu poruku koja je šifrovana istim ključem. Poznato: P1 , C1 = E K (P1 ), P2 , C 2 = E K (P2 ), . . . , Pi , Ci = E K (Pi ) Otkriveno: ključ k ili postupak čijom primenom se može otkriti, i bez poznavanja ključa, poruka otvorenog teksta Pi +1 , na osnovu poznatog šifrata Ci +1 = E K (Pi +1 ) 3) Napad pri kom je poznat šifrovani i otvoreni tekst, pri čemu kriptoanalitičar može da bira otvoreni tekst (Chosen-plaintext attack). Kriptoanalitičar ne samo da poseduje šifrovani tekst nekoliko poruka i otvoreni tekst tih poruka, već on može da odabere otvoren tekst koji će biti šifrovan. Ova vrsta napada je efikasnija od napada pri kom je poznat šifrovani i otvoreni tekst, pošto kriptoanalitičar može da vrši odabir karakterističnih blokova otvorenog teksta koji će biti šifrovani, tj. da bira one blokove otvorenog teksta čiji bi šifrati mogli dati veću količinu informacija o ključu. Cilj kriptoanalitičara jeste da dođe do ključa (ili ključeva) korišćenog za šifrovanje poruka ili da otkrije algoritam čijom primenom će moći da dešifruje, bez poznavanja ključa, bilo koju poruku koja je šifrovana primenom istog ključa. Poznato: P1 , C1 = E K (P1 ), P2 , C 2 = E K (P2 ), K , Pi , C i = E K (Pi ), gde kriptoanalitičar bira P1 , P2 , K , Pi . Otkriveno: ključ k ili postupak čijom primenom se može otkriti, i bez poznavanja ključa, poruka otvorenog teksta Pi +1 , na osnovu poznatog šifrata Ci +1 = E K (Pi +1 ) . 4) Napad pri kom je moguće menjati otvoreni tekst (Adaptive-chosen-plaintext attack). Dati napad je poseban slučaj prethodnog napada, gde kriptoanalitičar ne vrši samo odabir otvorenog teksta koji će biti šifrovan, već može i da menja izabrani otvoreni tekst, na bazi rezultata prethodne kriptografske transformacije.
Pored prethodno navedenih, postoje još i sledeće vrste napada na kriptografske sisteme zaštite: Napad pri kom je moguće birati šifrovani tekst (Chosen-ciphertext attack). Kriptoanalitičar može da odabere različite šifrate koje može da dešifruje. Poznato: C1 , P1 = D K (C1 ), C 2 , P2 = D K (C 2 ), . . ., C i , Pi = DK (Ci ) . Utvrđeno: kriptografski ključ k. Dati napad je prvenstveno pogodan za primenu kod asimetričnih algoritama ali je, u nekim slučajevima, efikasan i pri realizaciji napada nad simetričnim algoritmima. Napad pri kom postoje informacije o ključu (chosen-key attack). Kod navedenog tipa napada kriptoanalitičar ima određena saznanja o vezi između različitih ključeva ili poznaje određene parove ključeva i poruka.
138
Napad pretnjom i ucenom (rubber-hose attack). Kriptoanalitičar podmićuje, preti, ucenjuje, ili muči nekog dok mu ne otkrije informaciju o ključu. Ovo je vrlo efikasan tip napada i često najbrži način da se izvrši kriptoanaliza kriptografski zaštićenih poruka.
U savremenoj kriptografiji često se primenjuju napadi pri kojim su poznati šifrovani i otvoreni tekst (known-plaintext) i napadi pri kojim su poznati šifrovani i otvoreni tekst, pri čemu kriptoanalitičar odabira otvoreni tekst (chosen-plaintext). Poznati su slučajevi da kriptoanalitičar podmićuje nekog da šifruje izabranu poruku ili da dobije otvoren tekst šifrovane poruke. Ponekad čak i nije potrebno nikog podmititi ako je, na primer, poruka dostavljena ambasadoru, ona će biti šifrovana i upućena u njegovu zemlju na dalju analizu. Takođe, mnoge poruke imaju standardne početke (header) i završetke (footer) koji mogu biti unapred poznati kriptoanalitičaru. Dešifrovanje šifrovanih poruka može se izvršiti primenom metode testiranja svih mogućih kombinacija ključeva logički proveravajući smisao rezultujućeg dešifrovanog teksta. Dati napad se naziva brutalni napad (brute-force attack). Parametri kompleksnosti napada na kriptografski sistem zaštite su: 1. Kompleksnost podataka (data complexity). Količina podataka koja je potrebna da bi se započeo proces kriptoanalize 2. Kompleksnost obrade (processing complexity). Vreme koje je potrebno, korišćenjem odgovarajućih računarskih procesnih elemenata (procesori), za realizaciju uspešnog napada koje se često naziva radni faktor (work factor) 3. Memorijski zahtevi (storage requirements). Količina memorije potrebna da bi se uspešno izveo napad na kriptografski sistem zaštite. Kompleksnost napada na određeni kriptografski sistem određuje se na osnovu najveće vrednosti od prethodno navenih parametara. Kod nekih tipova napada, ova tri faktora su međusobno povezana: brži napad se može realizovati ako je na raspolaganju veći kapacitet memorije. Na primer, ako neki algoritam ima kompleksnost 2128, onda je potrebno 2128 operacija za realizaciju kriptoanalize primenjenog šifarskog postupka, pri čemu navedene operacije mogu biti, u većoj ili manjoj meri, složene i vremenski zahtevne. Ako pretpostavimo da imamo dovoljno brz procesor koji omogućava izvršavanje milion operacija u sekundi i ako postavimo milion paralelnih procesora, potrebno je 1019 godina da bi se otkrio ključ. Dok je kompleksnost nekog napada relativno konstantna (dok se ne pronađe efikasniji metod kriptoanalize), procesna moć računara se stalno uvećava. Kriptoanalizu mnogih šifarskih postupaka je pogodno realizovati u distribuiranim računarskim sistemima gde se složeni zadatak može podeliti na niz nezavisnih delova koji se distribuiraju procesorima koji vrše paralelnu obradu. Stepen sigurnosti određenog kriptografskog algoritma zavisi prvenstveno od stepena kompleksnosti otkrivanja informacionog sadržaja kriptografski zaštićene poruke bez poznavanja ključa. Stepen sigurnosti uvek se izražava sa verovatnoćom pošto postoje mogućnosti primene nepoznatih metoda kriptoanalize algoritama. Za neki kriptografski postupak kaže se da je sa velikom verovatnoćom siguran ako je cena potrebna za kriptoanalizu algoritma veća od vrednosti šifrovanih podataka, ili ako je vreme potrebno za kriptoanalizu algoritma veće od vremena u kom šifrovani podaci moraju ostati tajni. Mada vrednost većine kriptografski zaštićenih podataka opada vremenom, važno je da
139
informaciona vrednost podataka uvek bude manja od cene potrebne za njihovu kriptoanalizu.
6.4. Kriptografske tehnike zaštite podataka Kriptografske tehnike zaštite podataka treba da obezbede realizaciju sledećih bezbednosnih zahteva [Sch96]: 1. Tajnost (confidentiality, secrecy) – zahtev koji obezbeđuje da informacioni sadržaj kriptografski zaštićene poruke bude dostupan samo ovlašćenim korisnicima 2. Integritet (data integrity) – zahtev koja se odnosi na mogućnost otkrivanja neovlašćene promene informacionog sadržaja poruke 3. Autentičnost (authentication) – zahtev koji se odnosi na mogućnost utvrđivanja identiteta učesnika u komunikaciji 4. Neporicanje (non-repudiation) – zahtev kojim se sprečava mogućnost poricanja realizacije određenih aktivnosti korisnika koji učestvuju u komunikaciji. Kriptografske tehnike kojima se ostvaruju navedeni zahtevi, realizuju se primenom odgovarajućih kriptografskih algoritama i protokola. Kriptografska transformacija otvorenog teksta u šifrat može se vršiti primenom tehnika: — premeštanja simbola otvorenog teksta (transpozicija) — zamenom simbola otvorenog teksta (supstitucija) i — kombinacijom sistema transpozicije i supstitucije. Transpozicioni sistemi čine skup šifarskih sistema kod kojih se simboli otvorenog teksta transformišu u simbole šifrata po unapred određenoj šemi permutacije. Pri šifrovanju simboli otvorenog teksta menjaju mesta, a obrazovana permutacija predstavlja ključ premeštanja. Osnovna karakteristika ovih šifarskih sistema jeste da se poruka može transformisati u onoliko različitih šifrata koliko iznosi ukupan broj različitih permutacija simbola otvorenog teksta.
Otvoreni tekst se može, na primer, zapisati horizontalno na papiru fiksne širine, a šifrovani tekst se dobija čitanjem po vertikali (simple columnar transposition cipher), [Den82]. Dešifrovanje se vrši zapisivanjem šifrovanog teksta vertikalno na papiru iste širine, a zatim se čitanjem po horizontali dolazi do izvornog teksta. Pošto su slova šifrovanog teksta ista kao i u otvorenom tekstu, frekvencija pojavljivanja simbola u otvorenom tekstu preslikava se na simbole šifrata, čime se umnogome olakšava mogućnost kriptoanalize. Šifarske transformacije koje pripadaju ovom sistemu su najčešće ekonomične, ali su male kriptografske vrednosti. Naime, kriptoanaliza šifrata dobijenih primenom transpozicionih sistema, relativno jednostavno se realizuje služeći se osobinom vezivanja slova u bigrame, trigrame i dr. Date šifarske transformacije se u savremenim komunikacionim sistema retko primenjuju za zaštitu tajnosti podataka. Susptitucioni sistemi obrazuju skup šifarskih transformacija kod kojih se simboli otvorenog teksta, prema unapred određenom postupku, zamenjuju određenim simbolima iz prostora šifrata.
140
Navedeni sistem se može podeliti na sledeće podsisteme: — Monoalfabetske šifarske sisteme zamene (monoalphabetic substitution cipher) koji predstavljaju postupke jednostavne zamene gde se svakom elementu otvorenog teksta dodeljuje jedan simbol šifrata — Homofonske šifarske sisteme zamene (homophonic substitution cipher) koji su slični monoalfabetskim sistemima, s tim što se svaki simbol otvorenog teksta preslikava u jedan ili više simbola šifrovanog teksta — Poligramske šifarske sisteme (polygram substitution cipher) koji predstavljaju postupke gde se istovremeno vrši kriptografska transformacija dva ili više simbola otvorenog teksta i — Šifarske sisteme složene zamene ili tzv. polialfabetske kriptografske sisteme (polyalphabetic substitution cipher) koji se definišu kao postupci kod kojih se simboli otvorenog teksta šifruju skupom postupaka od kojih svaki predstavlja sistem proste zamene – monoalfabetski šifarski sistem. Ključ za šifrovanje predstavlja broj i vrste primenjenih postupaka monoalfabetskih šifarskih sistema. Dati šifarski postupci su ekonomični i kriptografska vrednost im zavisi od ključa za šifrovanje, kao i primenjenih transformacija kojima se vrši preslikavanje teksta poruke u odgovarajući šifrat. Kriptografska transformacija poruka se može realizovati pogodnom kombinacijom transpozicionih i supstitucionih sistema, što čini kombinovani sistem šifrovanja. U savremenim kriptografskim sistemima, simetrični kriptografski algoritmi primenjuju dati kombinovani način transformacije poruka. 6.4.1. Savremeni simetrični kriptografski algoritmi Grupu simetričnih kriptografskih algoritama predstavljaju algoritmi kod kojih je ključ za šifrovanje identičan ključu za dešifrovanje, ili se jednostavnom transformacijom ključa za šifrovanje može izvesti ključ za dešifrovanje. Algoritmi iz ove grupe nazivaju se i algoritmi sa tajnim ključem, pošto je tajnost ključa u procesu šifrovanja i dešifrovanja najznačajnija za očuvanje tajnosti informacionog sadržaja zaštićenih poruka. Simetrični kriptografski sistemi predstavljaju osnovu tradicionalne kriptološke teorije i razvijaju se dugi niz godina. S obzirom na to da zaštita informacija ima težišnu primenu u poslovima državnih struktura, simetrični algoritmi su u početnoj fazi razvoja bili isključivo tajni, namenski definisani i realizovani od strane nadležnih državnih institucija.
Intezivnom primenom elektronskih oblika komunikacija javila se potreba za definisanjem javnih simetričnih kriptografskih sistema tako da je u poslednjoj deceniji razvijeno više javnih simetričnih algoritama koji se primenjuju u bezbednosno-kritičnim aplikacijama. Dati algoritmi uglavnom se koriste u aplikacijama vezanim za sisteme poslovnih i finansijskih transakcija u mrežnom okruženju. Nijedan simetrični algoritam se ne koristi kao standard, već navedeni sistemi uglavnom koriste liste implementiranih kriptografskih algoritama. Najčešće se kao parametar komunikacije bira i identifikator simetričnog šifarskog algoritma koji će se koristiti pri kriptografskoj zaštiti poruka. Prema načinu obrade ulaznih podataka, postoje dve vrste simetričnih kriptografskih sistema [Seb89]: — blok šifarski kriptografski sistemi (block cipher, bulk cipher) i — sekvencijalni šifarski sistemi (stream cipher).
141
Blok šifarski sistemi obrađuju nešifrovane poruke otvorenog teksta i šifrata u blokovima određene veličine, koja zavisi od primenjenog algoritma. Sekvencijalni šifarski sistemi vrše transformaciju niza bita, bajtova ili drugih simbola otvorenog teksta. 6.4.1.1. Blok šifarski sistemi Definisan je veliki broj javnih simetričnih algoritama koji se koriste kao de facto standardi u savremenim sistemima zaštite. Tokom primene, uočene su izvesne slabosti karakteristične za upotrebu blok šifarskih sistema u specifičnim uslovima. Te slabosti se otklanjaju primenom odgovarajućih kriptografskih modova. 6.4.1.1.1. Kriptografski modovi blok simetričnih sistema Kriptografski mod predstavlja način upotrebe osnovnog šifarskog algoritma i načešće je kombinacija povratne petlje i dodatne jednostavne operacije [Men97]. Operacije koje se koriste u različitim kriptografskim modovima jednostavne su jer je sigurnost sistema uslovljena stepenom pouzdanosti osnovnog šifarskog algoritma, a ne primenjenim kriptografskim modom. 6.4.1.1.1.1. Mod elektronske kodne knjige Mod elektronske kodne knjige (Electronic CodeBook, ECB) predstavlja najjednostavniji način upotrebe simetričnih kriptografskih algoritama. Primenom moda elektronske kodne knjige, svaki blok otvorenog teksta transformiše se u blok šifrata, bez postojanja bilo kakve povratne sprege (slika 6.2). xj n Ključ
E −1
E
Ključ
n
x′j = x j
cj ( I ) Šifrovanje
( II ) Dešifrovanje
Slika 6.2. Grafički prikaz operacija u ECB modu
Mod elektronske kodne knjige predstavlja najjednostavniji i najbrži način primene simetričnih kriptografskih algoritama. Nedostatak u primeni ovog moda ogleda se u činjenici da ukoliko kriptoanalitičar poznaje parove otvorenog teksta i šifrata za određeni broj poruka, može napraviti elektronsku kodnu knjigu, pomoću koje može da bez poznavanja ključa realizuje kriptoanalizu šifrovanih sadržaja. Naime, iste poruke otvorenog teksta imaće isti šifrat, pa se prostom zamenom blokova šifrata dobija izvorni tekst. Ponavljanje određenih fragmenata poruka realna je pojava a navedeni nedostatak može se eliminisati na dva načina: — Primenom kompresionih metoda, bez gubitka informacionog sadržaja. Različite kompresione metode se upravo zasnivaju na prepoznavanju bitskih segmenata koji se ponavljaju i na eliminisanju njihovog ponavljanja i — Primenom drugih kriptografskih modova.
142
Slabosti moda elektronske kodne knjige ne ispoljavaju se ukoliko se uvek šifruju različite poruke otvorenog teksta. 6.4.1.1.1.2. Mod ulančavanja blokova Mod ulančavanja blokova (Cipher Block Chaining, CBC) povezuje blokove šifrata tako što se rezultat šifrovanja prethodnih blokova koristi pri šifarskoj transformaciji tekućeg bloka (slika 6.3). Navedenim postupkom postiže se to da svaki blok šifrata ne zavisi samo od tekućeg bloka već i od svih prethodno šifrovanih blokova otvorenog teksta. IV Otvoreni tekst Ključ
⊕ E
Šifrat
E −1
⊕
∆t
Ključ Otvoreni tekst
IV Slika 6.3. Grafički prikaz operacija u CBC modu
U modu ulančavanja blokova, blokovi se mođusobno povezuju tako što se realizuje operacija “ekskluzivno ili” (XOR) između tekućeg bloka otvorenog teksta i prethodno šifrovanog bloka, a zatim se tako dobijeni blok šifruje. Proces dešifrovanja odvija se na inverzan način: dobijeni blok podataka dešifruje se a zatim se primeni operacija “ekskluzivno ili” nad tako dobijenim blokom podataka i prethodnim blokom šifrata. Karakteristika moda ulančavanja blokova jeste da se identični blokovi otvorenog teksta šifruju u različite blokove šifrata. U prvom koraku šifrovanja i dešifrovanja neophodno je korišćenje inicijalnog vektora, čija je bitska dužina jednaka veličini bloka koji se šifruje, odnosno dešifruje. Inicijalni vektor ne mora biti tajni podatak iako je pogodno da se generiše na slučajan način čime se dodatno povećava bezbednost sistema. Jedna od slabosti kriptografske transformacije u modu ulančavanja blokova jeste da proces šifrovanja i dešifrovanja podataka, kao i u modu elektronske kodne knjige, ne može započeti sve dok nije raspoloživ kompletan blok podataka. 6.4.1.1.1.3. Mod povratnog šifrovanja U određenim primenama javlja se potreba da se delovi otvorenog teksta šifruju i prenose u jedinicama veličine manje od osnovne veličine bloka. U modu povratnog šifrovanja (Cipher Feedback Mode, CFB), podaci se šifruju u jedinicama manjim od osnovne veličine bloka (n bita) i ovaj mod se označava kao r-bitni mod povratnog šifrovanja (slika 6.4), gde je r manje ili jednako od veličine bloka podataka primenjenog blok šifarskog algoritma (r ≤ n ) .
143
r
r
IV Ključ Otvoreni tekst
E
IV
r
r
⊕
Ključ
E
∆t Šifrat
⊕
Otvoreni tekst
r
Slika 6.4. Grafički prikaz operacija šifrovanja i dešifrovanja u CFB modu Operacija šifrovanja realizuje se na sledeći način: ― otvoreni tekst se podeli na blokove veličine r bita, formira se inicijalizacioni vektor veličine n bita (veličina bloka) i upiše u povratni registar. Odabere se ključ šifarske transformacije ― formira se izlazni blok tako što se primenom odabranog ključa izvrši šifrovanje sadržaja povratnog registra ― blok šifrata se formira tako što se primeni operacija ekskluzivne disjunkcije nad sadržajem tekućeg bloka otvorenog teksta i r bita najmanje težine izlaznog bloka. ― sadržaj povratnog registra pomeri se za r bita ulevo, a na mesto r bita najmanje težine upisuje se formirani blok šifrata. Dešifrovanje se odvija primenom slične procedure (slika 6.4). Jedna od karakteristika CFB moda jeste da se i na prijemnoj i na predajnoj strani osnovni šifarski algoritam koristi u modu za šifrovanje. 6.4.1.1.1.4. Izlazni povratni mod Izlazni povratni mod (Output Feedback Mode, OFB) predstavlja spoj dobrih osobina ECB i CFB moda, koji sprečava propagaciju grešaka i omogućava prenos podataka u jedinicama manjim od osnovne veličine bloka (slika 6.5). r r
IV Кljuč Otvoreni tekst
E
⊕
IV r
Ključ Šifrat
r E
⊕
r
Otvoreni tekst
Slika 6.5. Grafički prikaz operacija u OFB modu Šifarska transformacija otvorenog teksta odvija se na sličan način kao u CFB modu. Razlika je u tome što se povratna sprega ostvaruje korišćenjem sadržaja izlaznog bloka, dok se kod CFB moda ostvaruje korišćenjem bloka šifrata. Analizom je pokazano da OFB kriptografski mod treba koristiti samo za šifrovanje blokova veličine osnovnog bloka primenjenog simetričnog šifarskog sistema. 6.4.1.1.1.5. Izbor odgovarajućeg kriptografskog moda Koji će se mod, od četiri osnovna kriptografska moda – ECB, CBC, OFB ili CFB, primeniti u konkretnoj aplikaciji zavisi od bezbednosnih zahteva korisnika [Đor02]. Ako se
144
zahteva najveća brzina šifrovanja i dešifrovanja bloka podataka, tada je najbolje primeniti mod elektronske kodne knjige (ECB mod). Takođe, dati mod je pogodan za šifrovanje podataka male bitske dužine, kao što su ključevi, pošto se tada ne iskazuju prepoznatljive slabosti ECB moda. Kriptografski mod ulančavanja blokova (CBC mod) najčešće se primenjuje u procesu šifrovanja datoteka. Mod povratnog šifrovanja (naročito 8-bitni CFB mod) najčešće se primenjuje za kriptografsku trnsformaciju nizova karaktera, u kojima se svaki karakter posebno šifruje, na primer, u vezi između terminala i računara (host computer). Izlazni povratni mod (OFB mod) najčešće se primenjuje u sinhronim sistemima visokih brzina gde je potrebno sprečiti propagaciju grešaka. 6.4.1.1.2. IDEA algoritam Simetrični kriptografski algoritam IDEA (International Data Encryption Algorithm) jedan od je najzastupljenijih blok šifarskih algoritama u komercijalnim aplikacijama [Sch96]. Algoritam IDEA vrši šifrovanje otvorenog teksta u blokovima od 64 bita primenom ključa dužine 128 bita (slika 6.6). Transformacija otvorenog teksta odvija se kroz osam ciklusa i po završetku poslednjeg ciklusa dobija se šifrovani tekst.
Za dati 64-bitni otvoreni tekst M = m1m2 K m64 i 128-bitni ključ K = k1k 2 K k128 proces šifrovanja odvija se na sledeći način: 1. Formiraju se ključevi koji učestvuju u realizaciji kriptografske transformacije poruke M: • Ključ K se podeli na osam 16-bitnih blokova i tako se dobiju blokovi podključeva K1(1) , K 2(1) , K , K 6(1) , K1( 2 ) , K 2( 2 ) . • Nakon realizacije prethodnog koraka, ciklično se pomera sadržaj 128-bitnog ključa K ulevo za dvadeset pet bita. Tako dobijena vrednost podeli se na osam 16-bitnih blokova koji se dodele blokovima podključeva K 3( 2 ) , K 4( 2 ) , K 5( 2) , K 6( 2) , K 1( 3) , K 2(3) , K 3( 3) . • Prethodna procedura se realizuje sve dok se ne dobije 52 bloka podključeva:
K1(1) , K 2(1) ,K, K 6(1) , K1( 2) , K 2( 2) ,K, K 6( 2) , M
M
K1(8) , K 2(8) ,K, K 6(8) , K1(9) , K 2(9) , K 3(9) K 4(9) . 2. Postavljanje inicijalnih vrednosti 16-bitnih promenljivih: X 1 = m1 K m16 X 2 = m17 K m32 X 3 = m33 K m48 X 4 = m49 K m64 . 3. Za vrednost r počev od 1 do 8 realizuju se sledeće operacije:
145
• K1( r ) , X 2 = X 2 + K 2( r ) , X 3 = X 3 + K3( r ) , X 4 = X 4 ⊕ a ) X1 = X 1 ⊕ • K 4( r ) • ( X1 ⊕ X 3 ), t1 = K 6( r ) ⊕ • (t0 + ( X 2 ⊕ X 4 )), t2 = t0 + t1 b ) t0 = K5( r ) ⊕
c ) a = X 2 ⊕ t 2 , X 1 = X 1 ⊕ t1 , X 2 = X 3 ⊕ t1 , X 3 = a, X 4 = X 4 ⊕ t 2 . 4. Izlaznom transformacijom dobijaju se četiri 16-bitna bloka čijim se ulančavanjem dobija šifrat polaznog bloka otvorenog teksta. X3 X4 X1 X2 16 (1 )
K1
16
16
⊕
16 (1 )
16 K 2
⊕
K 5(1)
⊕
⊕
K 3 16
K1
Ciklus 1 K 6(1)
⊕
⊕
⊕
K 4(1)
⊕ ⊕
16
16
⊕
M M (9 )
16
(1 )
⊕ Ciklus:
M M (9 )
16
K2
(9 )
⊕
K3
16
16
Y3
Y1 Y2
2≤r≤8
(9 )
K4
Izlazna transformacija
Y4
Slika 6.6. Grafički prikaz IDEA algoritma
U prethodno navedenim koracima, oznake operatora imaju sledeće značenje:
• – množenje po modulu (216+1) ⊕ 16 + – sabiranje po modulu 2
⊕ – bitska ekskluzivna disjunkcija.
IDEA kriptografski algoritam je projektovan za izvršavanje na 16-bitnim procesorima, pri čemu se sve elementarne operacije izvode nad 16-bitnim podacima. Proces dešifrovanja se vrši na isti način kao proces šifrovanja, ali priprema ključa za dešifrovanje drugačije se realizuje i traje znatno duže od opisane procedure pripreme ključa za šifrovanje.
146
6.4.2. Asimetrični kriptografski algoritmi Asimetrični šifarski sistemi primenjuju različite ključeve za šifrovanje i dešifrovanje, tzv. javni i tajni ključ. Svaki korisnik poseduje par tajnog i javnog ključa, pri čemu javni ključ može da distribuira korisnicima sa kojima želi da komunicira. Postoji matematička veza između tajnog i javnog ključa određenog korisnika, pri čemu se iz tajnog ključa relativno lako može odrediti javni ključ, dok inverzan proces ne važi, tj. matematički je kompleksan problem da se na osnovu javnog ključa odredi tajni ključ [Đor02]. Svaki korisnik, koji poseduje javni ključ određenog vlasnika može da izvrši šifrovanje poruke, dok samo vlasnik tajnog asimetričnog ključa može da izvrši dešifrovanje poruke. Korisnik koji realizuje šifrovanje poruke primenom određenog javnog ključa ne može da izvrši njeno dešifrovanje primenom istog ključa. Potrebno je istaći dve značajne karakteristike asimetričnih algoritama: — Ukoliko se izvrši šifrovanje poruke primenom javnog ključa određenog korisnika, njeno dešifrovanje može se jedino izvršiti primenom tajnog ključa i — Ukoliko se izvrši šifrovanje poruke primenom tajnog ključa određenog korisnika, njeno dešifrovanje može se jedino izvršiti primenom odgovarajućeg javnog ključa.
Asimetrični kriptografski algoritmi prvobitno su razvijeni za zaštitu tajnosti. Međutim, visoka računarska zahtevnost ovih algoritama utiče na performanse sistema u kojima se koriste, tako da se ne preporučuje primena za zaštitu tajnosti informacija u sistemima sa velikim protokom informacija. U savremenoj kriptografiji asimetrični algoritmi često se koriste za realizaciju razmene simetričnih ključeva u aplikacijama koje primenjuju simetrične kriptografske algoritme (npr. razmena sesijskih ključeva). Primenom asimetričnih kriptografskih algoritama moguće je ostvariti funkcije provere integriteta, autentičnosti i neporecivosti. U literaturi je opisano više algoritama sa javnim ključem (RSA, Rabin, ElGamal, algoritmi na bazi eliptičkih krivih), ali sa stanovišta kvaliteta, otpornosti na različite vrste napada, načina implementacije, nisu svi podjednako efikasni. Bezbednost ovih postupaka zasniva se na računskoj složenosti određenih matematičkih operacija koje se primenjuju u datim sistemima. U daljem tekstu je dat opis RSA algoritma koji omogućava realizaciju funkcija tajnosti, proveru integriteta podataka, autentičnosti pošiljaoca i neporecivosti. 6.4.2.1. RSA algoritam U komunikacionim sistemima sa javnim ključem, svaki korisnik generiše javni i tajni ključ. Korisnik sistema dati javni ključ objavljuje ostalim učesnicima u komunikaciji koji mu mogu poslati kriptografski zaštićenu poruku primenom RSA algoritma, koristeći njegov poznati javni ključ. Algoritam transformacije je takav da omogućava samo korisniku kome je poruka namenjena da rekonstruiše originalnu poruku primenom svog tajnog ključa. 6.4.2.1.1. Matematička osnova RSA algoritma Asimetrični algoritam RSA je prvi put publikovan 1978. godine. Naziv je dobio po prvim slovima prezimena autora algoritma (R.L.Rivest, A.Shamir, L.Adleman). Teorijska osnova algoritma za realizaciju šifrovanja i dešifrovanja poruka prikazana je u sledećim teoremama [Toš95].
147
Teorema 1. Ako su brojevi a i n relativno prosti, tj. najveći zajednički delilac NZD (a, n ) = 1 , onda modularna jednačina a ⋅ x (mod n ) = 1 ima tačno jedno rešenje x manje od n, i to je takozvano nekongruentno rešenje. Teorema 2. (Ojlerova teorema (L. Euler)). Ukoliko su a i p uzajamno proste veličine (tj. NZD (a, p ) = 1 ), važi relacija: a ϕ ( p ) (mod p ) = 1,
(5)
gde je ϕ ( p ) broj pozitivnih brojeva manjih od p, koji su relativno prosti sa p. Posledica 2a. (Fermaova (P. Fermat) teorema o malim brojevima). Ukoliko je p prost broj i ako su a i p uzajamno proste veličine (tj. NZD (a, p ) = 1 ), važi relacija: a p −1 (mod p ) = 1 . (6) Posledica 2b. Ako je n proizvod prostih pozitivnih brojeva p, q (n = p ⋅ q ) i ako su a i n uzajamno proste veličine, onda je a ( p −1)⋅(q −1) (mod n ) = 1 . (7)
Algoritam za transformaciju poruka baziran na prethodno navedenim teoremama odvija se na sledeći način [Kob94]: – Neka je M poruka koju je potrebno transformisati. – Prvi korak u realizaciji algoritma jeste odabir prostih pozitivnih brojeva p, q i određivanje vrednosti proizvoda n = p ⋅ q. – U sledećem koraku bira se prirodan broj e, 1 < e < ( p − 1) ⋅ (q − 1) takav da je uzajamno prost sa proizvodom vrednosti ( p − 1) ⋅ (q − 1) (tj. NZD (e, ( p − 1) ⋅ (q − 1)) = 1 ). – Nakon odabira vrednosti za e, određuje se vrednost broja d takva da je e ⋅ d mod (( p − 1) ⋅ (q − 1)) = 1 . Proces transformacije poruka odvija se prema sledećoj proceduri. Ako se sa M označi numerički ekvivalent poruke M i prikaže u obliku M = M 1 M 2 K M k gde je 0 ≤ Mi < n, (i=1, 2, … , k), tada se za svako M i odredi: Ci = M i (mod n ). e
(8)
Poruka C = C1C 2 K C k predstavlja transformisani oblik poruke M i u datoj formi poruka M prenosi se primaocu preko komunikacionih kanala. Primalac vrši obnavljanje sadržaja izvorne poruke, tako što poznavajući vrednosti d, p i q, određuje: M i = Cid (mod n ), (9) i ulančavanjem formira originalnu poruku M = M 1 M 2 K M k . Korektnost navedenog načina transformacije i rekonstrukcije poruka direktna je posledica teoreme 2. Uređeni par (e, n ) predstavlja javni ključ a uređena trojka (d , p, q ) predstavlja tajni ključ RSA algoritma. Po bezbednosnoj klasifikaciji, prethodni algoritam pripada klasi računski bezbednih sistema. Sigurnost ovog algoritma bazira se na nepoznavanju efikasnog algoritma za faktorizaciju prirodnih brojeva i direktno zavisi od veličine broja n.
148
6.4.2.1.2. Analiza sigurnosti RSA algoritma Problem rekonstrukcije poruke M na osnovu poznavanja javnog ključa i transformisanog oblika poruke C u literaturi poznat je kao RSA problem (RSAP). Standardni način za rešavanje navedenog problema jeste da se faktoriše javni parametar n a zatim da se na osnovu vrednosti javnog eksponenta e odredi vrednost tajnog parametra d. Najbrži poznati algoritmi za faktorizaciju brojeva takvi su da im vremena izvršavanja predstavljaju ln(n ) ⋅ln(ln(n) )
), [Men97]. Postavljanjem odgovarajućih neopadajuću funkciju od broja O(e ograničenja vezanih za faktore broja n moguće je problem faktorizacije svesti u realne okvire. Međutim, izborom pogodnih parametara RSA algoritma problem faktorizacije je za dati broj n računarski složena operacija.
Sledeći korak kriptoanalize poruka, šifrovanih primenom RSA algoritma, bio je pokušaj da se ustanovi minimalan skup informacija koji omogućava efikasnu faktorizaciju broja n. Tako se došlo do tehnike koja omogućava efikasnu faktorizaciju n ukoliko se uz javni ključ e poznaje i tajni parametar d. Ova činjenica je samo pokazala da su problem faktorizacije broja n i određivanje vrednosti d računski ekvivalentni problemi. Kako se RSA algoritam pokazao prilično robusnim, razvijen je čitav niz tehnika kojima se omogućava da se propusti u implementaciji sistema zaštite, baziranih na datom algoritmu, iskoriste i da se otkriju informacije čiji se sadržaj kriptografski štiti. Dati postupci nazivaju se subliminalnim tehnikama oticanja informacija. Za razliku od navedenih aktivnosti koje su namerne, dešava se da se u prihvaćenim protokolima ili standardima koristi struktura koja može da utiče na smanjenu bezbednost sistema i da omogući olakšano otkrivanje informacionog sadržaja kriptografski zaštićenih poruka. Zbog uočenih slabosti u strukturi poruke definisane standardom PKCS#1, verzija 1 i verzija 1.5, definisana je nova verzija navedenog standarda PKCS#1 verzija 2, u kom su uočene slabosti ispravljene [RSA99]. Zbog povećane procesorske moći računara, u savremenom sistemu zaštite ne preporučuje se realizacija RSA asimetričnog kriptografskog algoritma sa dužinom ključa n manjom od 1024 bita. 6.4.3. Digitalni potpis i PKI sistemi Digitalni potpis (Digital Signature) predstavlja postupak kojim se određeni segment bloka podataka, ili standardizovane poruke, kriptografski obeležava potpisnikovim tajnim parametrom. Cilj razvoja tehnike digitalnog potpisa jeste realizacija elektronskog ekvivalenta rukopisnog potpisa.
Infrastruktura sistema za primenu javnih ključeva, PKI sistem (Public Key Infrastructure), predstavlja kombinaciju hardverskih i softverskih elemenata za realizaciju funkcija sistema sa primenom javnih ključeva, kao i pravila, procedure i institucije nadležne za njihovu primenu. 6.4.3.1. Tehnologija digitalnog potpisa Digitalni potpis određene poruke jeste numerička vrednost koja zavisi od tajnog ključa potpisnika i od sadržaja poruke koja se potpisuje. Navedeni mehanizam, osim algoritma za generisanje digitalnog potpisa, mora da sadrži i algoritam za verifikaciju digitalnog potpisa. Postoje dve osnovne kategorije mehanizama digitalnog potpisa [Men97]: mehanizam digitalnog potpisa sa pridodatom izvornom porukom (Digital signature schemes with appendix) i mehanizam digitalnog potpisa sa obnavljanjem izvorne poruke
149
(Digital signature schemes with message recovery). Kod mehanizma sa dodatom izvornom porukom uz digitalni potpis šalje se i poruka da bi prijemna strana mogla izvršiti proces verifikacije. Mehanizam potpisa sa pridodatom izvornom porukom može se realizovati primenom RSA DSA (Digital Signature Algorithm) algoritma, ECDSA (Elliptic Curve DSA) ElGamal algoritma, Schnorr algoritma itd.
originalna digitalnog algoritma, algoritma,
Kod mehanizma sa rekonstrukcijom izvorne poruke u procesu verifikacije digitalnog potpisa vrši se obnavljanje informacionog sadržaja kriptografski zaštićene poruke. Navedeni mehanizam se koristi kod poruka male bitske dužine i najčešće se realizuje primenom RSA algoritma, Rabin algoritma, Nyberg-Rueppel algoritma itd. U daljem tekstu opisani su mehanizmi digitalnog potpisa sa pridodatom izvornom porukom koji se najčešće primenjuju u savremenoj kriptografiji. Primenom navedenog postupka u realizaciji digitalnog potpisa, osim asimetričnih kriptografskih algoritama, koriste se kriptografske funkcije za kontrolu integriteta podataka. 6.4.3.1.1. Kriptografske funkcije za kontrolu integriteta podataka Osnovni kriptografski pristup za kontrolu integriteta podataka zasniva se na primeni kriptografskih kompresionih funkcija koje se u literaturi opisuju kao jednosmerne hash ili message digest funkcije. Kriptografske kompresione funkcije, H(M), izvršavaju se nad porukom M, proizvodeći kriptografski otisak date poruke, h=H(M), konstantne bitske dužine m.
Kriptografske kompresione funkcije treba da ispune sledeće zahteve [Sch96]: • Potrebno je da se, za datu poruku M, relativno jednostavno može odrediti njen kriptografski otisak h • Potrebno je da se, za dati kriptografski otisak h, teško može pronaći poruka M takva da je H(M)=h i • Potrebno je da se, za datu poruku M, teško može pronaći druga poruka M’ takva da obe imaju identične kriptografske otiske, tj. da je H(M)=H(M’). Za poruku čiji integritet treba proveriti određuje se vrednost kriptografske kompresione funkcije i pridružuje joj se kao njen nastavak. U trenutku provere integriteta poruke ponovo se određuje vrednost kriptografske kompresione funkcije i upoređuje se sa njenim nastavkom; ukoliko su date vrednosti jednake, zaključuje se da poruka nije menjana, u suprotnom je narušen integritet poruke. Na osnovu činjenice da li se, osim poruke, kao ulazni parametar kriptografskih kompresionih funkcija, koristi tajni ključ, razlikuju se dve osnovne kategorije navedenih funkcija: Kriptografske kompresione funkcije bez upotrebe tajnog ključa: • MD4 i MD5, • SHA1, • RIPEMD-128 i RIPEMD-160 i Kriptografske kompresione funkcije sa primenom tajnog ključa: • blok MAC, • sekvencijalni MAC.
150
Kriptografske kompresione funkcije sa primenom tajnog ključa nazivaju se funkcijama za proveru autentičnosti poruke (Message Authentication Code, MAC) pošto se, osim kontrole integriteta poruka, proverava i autentičnost pošiljaoca poruke. Kriptografske kompresione algoritme bez upotrebe tajnog ključa MD4 i MD5 (Message Digest, MD) prvi je objavio američki matematičar R. Rivest (Ron Rivest). Algoritam SHA1 (Secure Hash Algorithm) razvio je američki nacionalni institut (NIST) u procesu definisanja standarda za digitalni potpis (Digital Signature Standard, DSS). U okviru projekta zaštite Evropske Unije pod nazivom RIPE (Race Integraty Primitives Evaluation), razvijen je algoritam za kreiranje kriptografskog otiska poruke RIPEMD (RIPE Message Digest). U daljem tekstu je razmatrana realizacija MD5 kriptografskog kompresionog algoritma bez upotrebe tajnog ključa, koji se koristi u procesu kreiranja i verifikacije digitalnog potpisa čiji je način upotrebe specifikovan u okviru PKCS#1 standarda. 6.4.3.1.1.1. MD5 algoritam Algoritam MD5 obrađuje poruke maksimalne dužine 264 bita dajući kao rezultat kriptografsku kompresionu vrednost od 128 bita [Sch96]. U MD5 algoritmu, nakon inicijalizacije parametara, obrađuje se ulazna poruka u blokovima od 512 bita. Naime, ukoliko bitska dužina ulazne poruke po modulu 512 nije jednaka 448, proširuje se data poruka sa najmanjim brojem bita potrebnim za realizaciju prethodno navedenog zahteva. Proširivanje ulazne poruke realizuje se tako što se na kraj date poruke dodaje jedan bit jedinice, praćen potrebnim brojem binarnih nula. Nakon realizacije prethodno opisanog procesa, vrši se povezivanje 64-bitne reprezentacije dužine ulazne poruke na kraj poslednjeg bloka. Navedenim postupkom formira se poruka čija je dužina umnožak od 512 bita. Prilikom obrade u MD5 algoritmu, 512-bitni blokovi poruke dele se u šesnaest podblokova dužine 32 bita nad kojima se realizuju sve operacije. Rezultujuća vrednost algoritma predstavlja skup od četiri 32-bitna bloka, koji se povezuju tako da jednoznačno formiraju 128-bitnu vrednost otiska poruke.
Algoritam MD5 sastoji se od sledećih koraka: • Vrši se obrada poruke tako da njena bitska dužina bude umnožak broja 512 • Realizuje se inicijalizacija četiri 32-bitne promenljive (tzv. promenljive ulančavanja): A=01234567h B=89ABCDEFh C=FEDCBA98h i D=76543210h. • Nakon izvršenog procesa inicijalizacije, sekvencijalno se realizuje obrada svih 512bitnih blokova ulazne poruke (slika 6.7). Vrednost četiri inicijalizaciona parametra (A, B, C, D) kopira se u promenljive a, b, c i d. Obrada pojedinačnog bloka realizuje se u četiri faze. U svakoj fazi šesnaest puta se izvrši odgovarajuća funkcija, čiji rezultat zavisi od nelinearne obrade koja se realizuje nad tri od četiri promenljive (a, b, c ili d). Zatim se tako dobijeni rezultat sabira sa vrednošću četvrte promenljive, podblokom poruke i konstantom veličinom. Dobijeni rezultat se rotira ulevo za promenljivi broj bita i sabira se sa vrednošću jedne od četiri promenljive. Rezultat funkcije zamenjuje jednu od promenljivih a, b, c ili d (slika 6.8).
151
U svakoj fazi se primenjuje različita nelinearna funkcija: (Faza I) F(X,Y,Z) = (X ∧ Y) ∨ (( ⎤ X) ∧ Z), (Faza II) G(X,Y,Z) = (X ∧ Z) ∨ (Y ∧ (⎤ Z), (10) (Faza III) H(X,Y,Z) = X ⊕ Y ⊕ Z, (Faza IV) I(X,Y,Z) = Y ⊕ (X ∨ (⎤ Z )), gde navedeni funkcijski znaci predstavljaju logičke bitske operacije: (⊕ – “ekskluzivno ili“ funkcija, ∧ – “i“ funkcija, ∨ – “ili“ funkcija, i ⎤ – “ne“ funkcija). Blok poruke
A B C D
⊕
• •
Faza I
•
Faza II
Faza III
Faza IV
⊕ ⊕ ⊕
•
A B C D
Slika 6.7. Obrada bloka podataka u MD5 algoritmu
Sa Mj je predstavljen j-ti podblok poruke (j=0,…,15). Oznaka “<<< s“ predstavlja funkciju rotiranja ulevo za s bita, a parametar t i je konstantna veličina čija se vrednost određuje u zavisnosti od rednog broja koraka u kome se primenjuje (i=1,…,64) i računa se prema relaciji t i = 2 32 ⋅ sin (i ) . Prethodno opisane funkcije, primenjene u odgovarajućim fazama algoritma, mogu se predstaviti na sledeći način: (11) XX(a,b,c,d,Mj,s,ti) = b + ((a + X(b,c,d) + Mj + ti) <<< s), gde su: X – oznaka za jednu od nelinearnih funkcija prikazanih u relaciji 10 i XX – rezultujuća funkcija koja se realizuje u odgovarajućoj fazi algoritma.
a
Mj
ti
⊕
⊕
b c
Nelinearna funkcija
⊕
<<< s
d
Slika 6.8. Jedna operacija MD5 algoritma
152
⊕
Nakon prethodno opisanog postupka, a, b, c i d dodaju se na A, B, C i D, respektivno, i algoritam nastavlja sa narednim blokom podataka. Krajnji rezultat MD5 algoritma formira se ulančavanjem od dobijenih A, B, C i D vrednosti. 6.4.3.1.2. PKCS#1 standard Standard PKCS#1 (Public Key Cryptography Standard), [RSA99], definiše metode šifrovanja podataka primenom RSA asimetričnog algoritma, kao i načine kreiranja digitalnog potpisa i digitalnog koverta (Digital Envelope).
Proces kreiranja digitalnog potpisa poruke sastoji se iz dve faze (slika 6.9). Pošiljalac
Primalac Poruka
Poruka
Hash algoritam
Hash algoritam Otisak poruke
Otisak poruke
Upoređivanje
podatak о validnosti potpisa
Otisak poruke privatni ključ
RSA
Digitalni potpis
RSA javni ključ Sertifikat
Sertifikat
Slika 6.9. Postupak kreiranja i verifikacije digitalnog potpisa U prvoj fazi sadržaj M, koji je potrebno digitalno potpisati, redukuje se u komprimovanu informaciju o poruci H, primenom odgovarajućeg algoritma za kreiranje kriptografskog otiska poruke. Zatim se, u drugoj fazi, dobijeni otisak šifruje primenom odgovarajućeg asimetričnog algoritma, operacijom tajnog ključa A potpisnika poruke. Šifrovani kriptografski otisak poruke predstavlja digitalni potpis date poruke S, i postaje njen pridruženi deo. Na prijemnoj strani realizuje se postupak verifikacije digitalnog potpisa. Prva faza, u procesu verifikacije, sastoji se od dešifrovanja otiska dobijene poruke primenom operacije javnog ključa pošiljaoca poruke B. Nakon dešifrovanja digitalnog potpisa, primalac vrši kreiranje kriptografskog otiska dobijene poruke M 1 identičnim postupkom kao na predajnoj strani. Ako je dobijeni otisak poruke H1 identičan sa dešifrovanom vrednošću otiska H, verifikacija je uspešna, u protivnom je negativna. Za kreiranje kriptografskog otiska poruke najčešće se koriste algoritmi MD5 i SHA1. U savremenoj kriptografiji, za realizaciju šifarske transformacije u postupku kreiranja i verifikacije digitalnog potpisa, pored RSA algoritma, najčešće se koriste algoritmi DSA i ECDSA. Algoritmi DSA i ECDSA definisani su i opisani u standardu digitalnog potpisa (DSS).
153
Da bi primalac poruke mogao da izvrši postupak verifikacije digitalnog potpisa, treba da ima mogućnost pristupa javnom ključu pošiljaoca. Pristup i distribucija javnih ključeva najčešće se realizuju u procesu utvrđivanja identiteta učesnika u komunikaciji, putem razmene digitalnih sertifikata. Ukoliko je verifikacija digitalnog potpisa uspešna, tada su ostvarene sledeće osobine sistema zaštite: Autentikacija. Autentičnost pošiljaoca utvrđena je nakon realizacije procesa dešifrovanja digitalnog potpisa primenom asimetričnog kriptografskog algoritma sa javnim ključem datog pošiljaoca Integritet podataka. Pošto su izračunati i dešifrovani otisci date poruke identični, zaključuje se da poruka na prenosnom putu nije menjana i Neporicivost. Nemogućnost da pošiljalac naknadno porekne da je poslao datu poruku, pošto je njegov digitalni potpis uspešno verifikovan. Realizacija postupka digitalnog potpisa značajna je za aplikacije koje zahtevaju međusobnu proveru autentičnosti strana u komunikaciji, kao i zaštitu integriteta podataka koji se prenose kroz distribuirani računarski sistem. Pored bezbednosnih postupaka, PKCS#1 standardom se definiše i struktura validnih poruka, čime se ostvaruje i dodatni mehanizam provere ispravnosti poruka u procesu verifikacije digitalnog potpisa. Poruke koje imaju narušenu strukturu smatraju se neispravnim i odbacuju se. Postoji više verzija PKCS#1 standarda koje određuju format poruka nad kojim se realizuju operacije šifrovanja i kreiranja digitalnog potpisa. Trenutno je aktuelna verzija 2 datog standarda, PKCS#1 v2, kojom je znatno izmenjena struktura poruke, koja se šifruje u procesu kreiranja digitalnog potpisa, u odnosu na prethodne verzije standarda PKCS#1 v1.5 i PKCS#1 v1. Naime, prema verzijama standarda PKCS#1 v1.5 i PKCS#1 v1, na početak bloka koji se šifruje dodaje se konstantan niz bita. Pošto mu je poznat početak otvorene poruke i šifrat, napadač može da olakšano otkrije otvoreni tekst. Datim tipom napada nije kompromitovana bezbednost RSA algoritma, već je način njegove upotrebe bio takav da je pod određenim uslovima dolazilo do otkrivanja informacionog sadržaja poruka. U verziji 2 datog standarda (PKCS#1 v2) blok podataka koji se šifruje, prethodno se transformiše OAEP metodom (Optimal Assymetric Encryption Padding). Karakteristika navedene metode jeste da transformacija dva identična bloka podataka ne daje isti rezultat, čime su izbegnute slabosti otkrivene u verziji 1. U procesu kreiranja digitalne envelope [RSA99], sadržaj poruke se šifruje određenim simetričnim algoritmom (kao što su DES, 3DES, RC2, RC4, IDEA, AES ili neki namenski tajni algoritmi). Zatim se tajni ključ primenjenog simetričnog algoritma šifruje asimetričnim algoritmom, upotrebom javnog ključa korisnika kome je data poruka namenjena. Šifrovan sadržaj poruke sa simetričnom kriptografskom transformacijom i šifrovan simetrični tajni ključ sa asimetričnim algoritmom predstavljaju digitalnu envelopu. Za razliku od funkcija digitalnog potpisa i verifikacije, primenom funkcije šifrovanja ostvaruje se funkcija zaštite tajnosti bezbednosno-kritičnih podataka, u mrežnom okruženju, na aplikativnom nivou. Funkcija šifrovanja se, u savremenim kriptografskim sistemima, zbog brže kriptografske transformacije bloka podataka uglavnom realizuje primenom simetričnih algoritama.
154
Ključevi simetričnih kriptografskih algoritama mogu se čuvati na spoljnim memorijskim uređajima (npr. smart kartice) što zahteva korišćenje centralizovanog sistema upravljanja ključevima i sistemom zaštite. Alternativni sistem upravljanja ključevima jeste korišćenje sesijskih simetričnih ključeva. Naime, na predajnoj strani, nakon autentikacije učesnika u komunikaciji, generišu se slučajne veličine, što predstavlja tajni ključ odgovarajućeg simetričnog algoritma (sesijski ključ). Primenom sesijskog ključa realizuje se proces kriptografske transformacije poruka koje se prenose ka prijemnoj strani. Šifrovana poruka zajedno sa sesijskim ključem, primenom mehanizma digitalne envelope, šalje se prijemnoj strani. Dešifrovanje sesijskog ključa može da izvrši jedino korisnik kome je poslata poruka, primenom operacije tajnog ključa odgovarajućeg asimetričnog algoritma. Sistemi sa korišćenjem sesijskih simetričnih ključeva jednostavniji su od centralizovanih sistema upravljanja ključevima. Naime, u sistemima sa sesijskim ključevima, pri svakoj uspostavi veze između učesnika u komunikaciji, koriste se različiti simetrični ključevi, tako da ih nije potrebno čuvati na spoljnim memorijskim uređajima. Međutim, sesijski ključevi najčešće se kreiraju primenom generatora pseudoslučajnih brojeva, tako da su sistemi u kojima se primenjuju sesijski ključevi manje bezbedni od centralizovanih sistema za upravljanje ključevima. Moguće je realizovati kombinovani sistem upravljanja ključevima kod kojih se simetrični ključ dobija kombinacijom ključa sa spoljnog memorijskog uređaja (smart kartice) i sesijskog ključa. Navedenom kombinacijom ključeva dobija se “ključ poruke” (message key). 6.4.3.2. Infrastruktura sistema sa javnim ključevima Osnovna funkcija PKI sistema jeste pouzdano uspostavljanje digitalnog identiteta svih subjekata u okviru računarske mreže, specifikovan u obliku digitalnog sertifikata.
Funkcionalne celine PKI sistema treba da obezbede [Mar00]: poverenje u jednoznačnu vezu između identiteta subjekta i javnog ključa koji mu je dodeljen visok kriptološki kvalitet javnih i tajnih ključeva za asimetrične kriptografske algoritme, kao i ključeva za simetrične kriptografske algoritme i najviši stepen tajnosti generisanih ključeva. Infrastruktura sistema za primenu javnih ključeva sastoji se iz sledećih komponenti: sertifikacionog autoriteta (Certification Authority, CA) – izdaje digitalne sertifikate i reguliše način njihove upotrebe tokom perioda važnosti registracionih autoriteta (Registration Authority, RA) – predstavljaju mesta na kojima se subjektima izdaje zahtev za digitalni sertifikat komunikacionog sistema za razmenu podataka između registracionog i sertifikacionog autoriteta, tj. distribuciju zahteva za izdavanje sertifikata i slanje digitalnih sertifikata, kriptografskih aplikacija za realizaciju funkcija PKI sistema i subjekata koji komuniciraju u mrežnom okruženju na bazi izdatih digitalnih sertifikata. Standardi primenjeni u PKI sistemima definišu: procedure registracije subjekata formate digitalnih sertifikata formate lista opozvanih sertifikata formate zahteva za izdavanje digitalnih sertifikata i
155
vrste autentikacionih protokola. Opšti standard koji podržava PKI sisteme jeste ITU-T X.509 koji je namenjen za definisanje standardnog formata digitalnih sertifikata. Trenutno je važeća verzija 3 (v3) koja je usvojena 1996. godine. Standardom X509 definisana je struktura, postupak dobijanja i način predstavljanja sertifikata. Struktura sertifikata opisuje se primenom ASN.1 (Abstract Syntax Notation One) notacije za opisivanje apstraktnih tipova. 6.4.3.2.1. Digitalni sertifikati Digitalni sertifikati (Digital Certificate) predstavljaju element kojim se utvrđuje veza između identiteta subjekta i njegovog javnog ključa primenjenog asimetričnog algoritma. Naime, kao što je prethodno opisano, da bi se izvršila verifikacija digitalnog potpisa poruke, potrebno je da se poznaje javni ključ potpisnika. Prijemna strana treba da bude sigurna da dati javni ključ predstavlja kriptografski par sa tajnim ključem kojim je izvršen digitalni potpis poruke. Digitalni sertifikati predstavljaju mehanizam kojim se pouzdano pridružuje javni ključ asimetričnog algoritma identitetu određenog subjekta. Kreiranje i digitalno potpisivanje sertifikata realizuje treća strana od poverenja (Trusted Third Party, TTP) pasivnog tipa, sertifikacioni autoritet čime se garantuje vezu između javnog ključa i identiteta vlasnika sertifikata.
Elementi digitalnog sertifikata su: Verzija formata sertifikata predstavlja oznaku strukture digitalnog sertifikata, koja je specifikovana u standardu X.509, pri čemu su trenutno validne verzije 1, 2 i 3 Serijski broj sertifikata predstavlja vrednost koju dodeljuje serifikacioni autoritet u trenutku kreiranja digitalnog sertifikata Identifikator algoritma koji je primenjen za digitalno potpisivanje datog sertifikata (RSA sa MD5, RSA sa SHA1, DSA, itd) Naziv sertifikacionog tela jeste struktura koja identifikuje izdavača digitalnog sertifikata Rok važnosti sertifikata predstavlja vremenske okvire validnosti digitalnog sertifikata. U procesu verifikacije prihvata se samo sertifikat kome nije istekao rok važnosti. Polje naziva vlasnika digitalnog sertifikata jeste struktura koja se sastoji iz sledećih elemenata: — dvoslovni niz koji označava državu — region u okviru države — elektronska adresa (e-mail) — mesto — organizacija — odeljenje u organizaciji i — ime vlasnika sertifikata. Polje dodatnih atributa. U polju dodatnih atributa predstavljene su vrednosti koje identifikuju vlasnika sertifikata a nisu sadržane u polju naziva vlasnika sertifikata. Navedeno polje sadrži opcione veličine, kao što su: broj telefona, broj faksa, mesto liste opozvanih sertifikata, ograničenja u upotrebi digitalnog sertifikata, itd. Polje dodatnih atributa nalazi se samo u verziji 3 digitalnog sertifikata Informacija o javnom ključu vlasnika sadrži javni ključ i identifikator asimetričnog algoritma sa kojim se dati ključ primenjuje i Digitalni potpis sertifikata.
156
Sadržaj digitalnog sertifikata prikazan je na Slici 6.10.
Verzija formata sertifikata (V3) Serijski broj sertifikata Identifikator algoritma za potpis sertifikacionog tela Naziv sertifikacionog tela Rok validnosti sertifikata Vlasnik sertifikata Informacija o javnom ključu vlasnika
Identifikator algoritma Javni ključ
Polje dodatnih atributa
Digitalni potpis sertifikata Slika 6.10. Sadržaj digitalnog sertifikata Ukoliko prijemna strana, na bazi digitalnog sertifikata, uspešno izvrši verifikaciju digitalnog potpisa poruke, tada je ona sigurna da je autentičan potpisnik i da je očuvan integritet primljene poruke. Primer jednog digitalnog sertifikata prikazan je na Slici 6.11.
157
Slika 6.11. Primer digitalnog sertifikata (korišćen softver firme NETSET) 6.4.3.2.2. Sertifikacioni autoritet Sertifikacioni autoritet je telo sa najvećim stepenom poverenja u PKI sistemu. Osnovni zadatak sertifikacionog autoriteta jeste da za određenog korisnika izvrši generisanje digitalnog sertifikata. Dati korisnik, nakon završetka procesa kreiranja, postaje vlasnik digitalnog sertifikata. Sertifikacioni autoritet svojim digitalnim potpisom, na bazi asimetričnog kriptografskog algoritma, garantuje vezu između javnog ključa i identiteta vlasnika sertifikata.
U savremenoj kriptografiji generisanje ključeva za dati asimetričan algoritam i kreiranje digitalnog sertifikata na bazi javnog ključa realizuje se na dva načina: 1. Sertifikacioni autoritet generiše par javnog i tajnog ključa, formira digitalni sertifikat i dostavlja tajni ključ i sertifikat vlasniku. Prednost navedenog načina jeste u tome da sertifikacioni autoritet, kao strana od poverenja, može kontrolisati i održati jedinstven kvalitet kreiranih ključeva i jedinstvenost procedure bezbednog čuvanja generisanih ključeva. U savremenim PKI sistemima, ključevi se generišu i isporučuju subjektima, najčešće, kao sadržaj zaštićene memorije smart kartice. 2. Generisanje para javnog i tajnog ključa realizuje korisnik primenom hardverskih ili softverskih mehanizama, posle čega se vrši kreiranje zahteva za izdavanjem sertifikata (certificate request), koji sadrži javni ključ korisnika. Prednost navedenog načina jeste u tome da se tajni ključ asimetričnog algoritma nalazi samo na jednoj lokaciji u sistemu, koja pripada vlasniku datog ključa. Da bi se mogao izvršiti proces verifikacije potpisa digitalnog sertifikata, potrebno je da javni ključ asimetričnog kriptografskog algoritma sertifikacionog autoriteta bude poznat svim učesnicima u komunikaciji. U procesu utvrđivanja identiteta učesnika u komunikaciji, na bazi razmene digitalnih sertifikata, sertifikacioni autoritet predstavlja treću stranu od 158
poverenja (TTP), koji svojim digitalnim potpisom garantuje ispravnost digitalnog sertifikata učesnika. Primer digitalnog sertifikata jednog sertifikacionog autoriteta dat je na Slici 6.12.
Slika 6.12. Primer digitalnog sertifikata sertifikacionog autoriteta (korišćen softver firme NETSET) 6.4.3.2.3. Liste opozvanih digitalnih sertifikata Liste opozvanih digitalnih sertifikata (Certificate Revocation List, CRL) omogućuju proveru validnosti digitalnih sertifikata učesnika u komunikaciji.
Standard X.509 v2 (RFC 2459) definiše osnovni skup informacija koje treba da sadrži lista opozvanih sertifikata: ― Verzija formata liste opozvanih sertifikata predstavlja oznaku strukture date liste koja je specifikovana u standardu X.509 pri čemu su validne verzije 1 i 2 ― Naziv izdavača liste opozvanih sertifikata ― Vreme objavljivanja liste opozvanih sertifikata ― Vreme kada će sertifikacioni autoritet objaviti sledeću, ažuriranu verziju liste opozvanih sertifikata. Nova verzija može biti publikovana i pre navedenog datuma ali se ne sme objaviti posle navedenog vremena ― Popis opozvanih sertifikata sa razlogom njihovog povlačenja. Opozvani digitalni sertifikati jednoznačno su određeni njihovim serijskim brojem ― Identifikator dodatnih atributa. Dati identifikator može se koristiti samo u verziji 2 i sadrži dodatna identifikaciona polja kao što su: redni broj liste, distribucione tačke liste, itd ― Identifikator algoritma koji je primenjen za digitalno potpisivanje date liste opozvanih digitalnih sertifikata (RSA sa MD5, RSA sa SHA1, DSA, itd) i ― Digitalni potpis liste opozvanih sertifikata predstavljen u skladu sa ASN.1 DER (Distinguished Encoding Rules) notacijom.
159
Listu opozvanih sertifikata, uporedo sa generisanjem digitalnih sertifikata, kreira sertifikacioni autoritet. Sertifikacioni autoritet digitalno potpisuje listu opozvanih sertifikata tako da su korisnici PKI sistema sigurni u autentičnost i integritet informacija sadržanih u datoj listi. Primer jedne liste opozvanih digitalnih sertifikata dat je na Slici 6.13.
Slika 6.13. Primer liste opozvanih digitalnih serifikata (korišćen softver firme NETSET) Kriptografska rešenja sistema zaštite baziraju se na primeni tehnologija digitalnog potpisa, digitalnih sertifikata i hardverskih modula (smart kartice, kriptografski koprocesori). Digitalni potpis predstavlja postupak kojim se određeni segment bloka podataka, ili standardizovane poruke, kriptografski obeležava potpisnikovim tajnim parametrom. Digitalni sertifikati predstavljaju element kojim se utvrđuje veza između identiteta subjekta i njegovog javnog ključa primenjenog asimetričnog algoritma.
160
SPISAK SKRAĆENICA UZ GLAVU 6. AES
– Simetrični kriptografski algoritam (Advanced Encryption Standard)
ASN1
– Notacije za opisivanje apstraktnih tipova podataka (Abstract Syntax Notation One)
CBC
– Mod ulančavanja blokova (Cipher Block Chaining)
CFB
– Mod povratnog šifrovanja (Cipher-Feedback Mode)
CRL
– Lista opozvanih digitalnih certifikata (Certificate Revocation List)
DSA
– Asimetrični kriptografski algoritam (Digital Signature Algorithm)
ECB
– Mod elektronske kodne knjige (Electronic CodeBook)
IDEA
– Simetrični kriptografski algoritam (International Data Encryption Algorithm)
MAC
– Kriptografska kompresiona funkcija sa upotrebom tajnog ključa (Message Authentication Code)
MD5 – Kriptografska kompresiona funkcija bez upotrebe tajnog ključa (Message Digest) OFB
– Izlazni povratni mod (Output Feedback Mode)
PGP
– Protokol zaštite na aplikativnom nivou namenjen za zaštitu elektronske pošte (Pretty Good Privacy)
PKCS
– Standard koji se primenjuje u PKI sistemima (Public Key Cryptography Standard)
PKI
– Infrastruktura sistema za primenu javnih asimetričnih ključeva (Public Key Infrastructure)
RSA
– Asimetrični kriptografski algoritam (Rivest, Shamir, Adleman)
SHA1
– Kriptografska kompresiona funkcija bez upotrebe tajnog ključa (Secure Hash Algorithm)
S/MIME– Protokol zaštite na aplikativnom nivou namenjen za zaštitu elektronske pošte (Secure Multipart Internet Mail Extensions) SSL
– Protokol zaštite na transportnom nivou (Secure Sockets Layer)
TLS
– Protokol zaštite na transportnom nivou (Transport Layer Security)
VPN
– Virtuelne privatne računarske mreže (Virtual Private Network)
WAP
– Bežična varijanta protokola zaštite na aplikativnom nivou (Wireless Application Protocol)
WTLS – Bežična varijanta protokola zaštite na transportnom nivou (Wireless Transport Layer Security)
161
7. INTERNET BEZBEDNOST Traganjem po (dostupnim) materijalima, korišćenim za izradu ove glave, došli smo do zaključka da Poglavlje 1, doktorski rad Džona Hauarda, proglašenog najboljim za 1997. godinu na Karnedži Melounu, treba preneti skoro u celini – bez značajnijih izmena i komentara. Svaka intervencija bi bila štetna. Usprkos velikim očekivanjima od računarskih mreža, Internet nije postao sigurniji od 1991. do danas. Štaviše, Internet postaje "divlji zapad" sajberspejsa. Mada akademici i lideri u industriji dugo već znaju o temeljnoj ranjivosti računarskih konekcija na Internet, ove mane rađe se prilagođavaju nego što se koriguju. Kao rezultat, za protekli period, imamo pogled na široku skalu prekršaja sigurnosti u mreži [How97]. Ako niste spremni, vi ćete biti žrtva informacionog ratovanja. Ako ne vi, to će biti članovi vaše familije ili, na kraju, vaši prijatelji. Vaša kompanija postaje cilj informacionog ratovanja. Ako se to nije dogodilo juče ili danas, to će se definitivno dogoditi sutra. Vi ćete biti pogođeni. Internet je "ranjivo mesto". Bezbednost jeste problem na Internetu. Hiljade uspešnih provala tokom proteklih godina dokaz su za to. Kakav je to problem? Odgovor na ovo pitanje važan je iz dva razloga. Prvo, informacijama o bezbednosnim problemima Interneta možemo determinisati problem i tada organi bezbednosti mogu aktivirati društvene resurse za zaštitu na Internetu. Drugo, tokom vremena determinisaće se efektivnost politike i resursa.
7.1. Poboljšanje Internet bezbenosti Prethodna istraživanja i znanja o bezbednosti na Internetu bila su nepotpuna i neozbiljna. Uprkos našem uvećanom uzdanju u računarske mreže, nije bilo sistematskog i koordinisanog programa za sakupljanje i distribuciju informacija o incidentima u bezbednosti na Internetu. Ograničene informacije nisu se mogle efikasno koristiti da bi se determinisala vladina politika. Ovo istraživanje [How97] doprinosi Internet bezbednosti kroz: 1. Razvoj klasifikacije Internet napada i Internet incidenata 2. Organizaciju, klasifikaciju (koristeći klasifikaciju) i analizu materijala CERT®/78CC koji se bave Internet bezbednošću i 3. Razvoj preporuka za poboljšanje Internet bezbednosti i sakupljanje, kao i distribucija informacija korisnih za Internet bezbednost. 7.1.1. Preporučene akcije Aktivnosti koje preporučujemo baziraju se na sledećim istraživanjima. 7.1.1.1. Preporuke za Internet korisnike: 1. Sačuvati (napraviti backup) važne datoteke 2. Koristiti sigurnu lozinku za pristup mreži 3. Obezbediti siguran pristup ostalima na fajlove 4. Kriptovati ili "skinuti sa linije" fajlove koji su naročito osetljivi
78 CERT – Computer Emergency Response Team. CERT je kompjuterski tim za hitna reagovanja koji je formirala DARP agencija (Defense Advanced Research Projects Agency) u novembru 1988. Mi nemamo naš ''CERT'', očigledno, potrebno je formirati ga.
162
5. Ne treba slati na liniju osetljive korisničke identifikatore kao što: su socijalni bezbednosni broj, adresa, broj telefona, lični podaci, broj kreditne kartice preko Interneta ukoliko nisu kriptovani "na izvoru" (prvenstveno u slanju preko Interneta) i 6. Koristiti program za kriptovanje, na primer, Pretty Good Privacy (PGP), ili neki ''domaći'' ako želite da pošaljete elektronsku poštu. 7.1.1.2. Dopunske preporuke za komercijalne Internet korisnike: 1. Nadzor nad analizom rizika koja je determinisana cenom nivoa bezbednosti. 7.1.1.3. Preporuke za provajdere:79 1. Obezbediti protokole i softver koji kriptuju korisničko ime, lozinku i IP adresu generisane već na izvoru, ili obezbediti alternativni sistem koji ne traži lozinke preko kojeg se može otvoreno komunicirati 2. Obezbediti protokole i softver koji će sprečiti pristup fajlovima sa kriptovanim lozinkama, ili obezbediti alternativni sistem koji ne zahteva kriptovane lozinke za pristup Internetu 3. Predati sistem korisnicima u bezbednom stanju 4. Razviti protokole i programe sa racionalnom zaštitom protiv napada i 5. Ubrzati razvoj protokola i programa koji obezbeđuju racionalnu privatnost korisnicima programa, kao što je e-mail. 7.1.1.4. Preporuke za vladu: 1. Porast investicija za reakcije na incidente (posebno CERT®/CC) 2. Ohrabrivanje Internet korisnika da koriste jednostavne mere predostrožnosti 3. Podsticanje Internet provajdera da unapređuju Internet bezbednost i 4. Zahtevati od službenika vlade da koriste razumne bezbednosne mere da zaštite osetljive podatke. 7.1.1.5. Preporuke za timove odgovorne za Internet: 1. Ne otkrivati imena sajtova koji su saopštili odgovorni timovi (status quo) 2. Otkriti incidente popisane u klasifikaciji 3. Ponovo ispitati politiku ranjivosti informacija sa objektivnim pogledom na korist od Internet "komune" i 4. Evaluacija klasifikacije u vezi sa računarskim i mrežnim napadima razvijene u ovom istraživanju. 7.1.1.6. Preporuke za CERT®/CC: 1. Sačuvati samo jedan incident, kao bilo koji, započet ili završen 2. Snimiti standardni set ključnih reči i fraza koji definišu, sistematski i konzistentno, kao sumar: izveštajne podatke, startne podatke, završne podatke, broj izveštajnih sajtova, broj bilo kojih sajtova, broj poruka, napadača, alata, ranjavanja, nivo, rezultate, objekte i korektivne akcije 3. Klasifikovati bilo koji incident preko najlošijeg nivoa neautorizovanog pristupa ili korišćenja 4. Poslati podatke korišćene u ovom istraživanju linijom na www.cert.org. 5. Izvršiti evaluaciju klasifikacije napada na računare i mrežu razvijenu za ovo istraživanje
79
Novembra 2000, kineska vlada je zabranila domaćim Web sajtovima da građanima Kine omogućuju uvid u vesti koje nisu odobrile vlasti. Kineska vlada je taj potez obrazložila željom da svoje građane poštedi "lažnih" vesti i da onemogući "zavođenje masa, zbunjivanje javnog mnjenja i stvaranje haosa".
163
6. Razviti i implementirati program za bolju procenu incidentnosti na Internetu. Ovakav program bi se involvirao za izveštaje o celokupnoj incidentnoj aktivnosti na Internetu. Dalje, on bi uključivao koordinaciju i/ili bi participirao u svakom odgovornom timu ili srodnoj organizaciji, kao što su DISA i AFIWC80 7. Proceniti prosečan broj napadača po incidentu i njihovu tipičnu aktivnost u saradnji sa DISA i AFIWC, kao i drugim odgovornim timovima radi poboljšanja procene totalne Internet incidentnosti 8. Ne otkrivati imena sajtova koji se pojavljuju u izveštajima CERT®/CC ili drugim izveštajima CERT®/CC (status quo) 9. Otkriti incidente navedene u klasifikaciji. Sugerišemo sledeće korake: — primena metodologije koju je razvio CERT®/CC — probu izvršiti od strane CERT®/CC — razvoj metodologije realizovati sa drugim odgovornim timovima — probu implementacije realizovati sa drugim odgovornim timovima i — rezultate objaviti i formalizovati. 10. Ponovo ispitati, objektivnom procenom, odnos ranjivosti informacija sa dobicima na Internetu.
7.2. Zašto nisu incidentima
dostupne
sveobuhvatne
informacije
o
Internet
CERT®/CC osoblje je tokom izrade ove studije bilo izloženo brojnim incidentima, [How97]. Njihova perspektiva i shvatanje bili su kratkovidi. Njihova misija je bila da obezbede u realnom vremenu Internet-incident-odgovor. One informacije koje su oni prikupili akumulirane su i skrojene u ovom radu (doktorski rad J. Howard-a). Podaci su snimljeni direktno o incidentima. Svaki obrađeni incident ima podatke neophodne za incident-odgovor. Ukoliko bi incident bio zaključen, i snimanje bi bilo zaključeno bez akcije koja bi obezbeđivala analizu informacija. Bio je problem da se sagleda ta "velika slika" iz perspektive CERT®/CC stručnjaka. To je slučaj kao ''kada se u šumi ne vide stabla''. Zbog nemogućnosti da se dobije pouzdanija slika problema Internet bezbednosti, u ovom radu je fokusirana Internet tehnička bezbednost.81 Ovaj fokus nije politički orijentisan. Obimnost je uglavnom razlog što ljudstvo CERT®/CC nije moglo da pruži sveobuhvatne informacije o Internet bezbednosti.
7.3. Preporuke U sredstvima javnog informisanja postoje brojni izveštaji o napadima na Internetu i preko Interneta. Izdato je mnoštvo knjiga koje opisuju poznate ranjivosti mreža i kako se suprostaviti takvim napadima. Oružane snage SAD, tradicionalno, obezbeđuju zaštitu svojih informacionih sistema strategijom izbegavanja rizika.82 NJihova mrežna struktura je odvojena od javnog Interneta, pristup sredstvima se strogo ograničava "zaključavanjem prostorija", omogućava se fizički pristup samo proverenom ljudstvu, postoje uređaji za 80
Air Force Information Warfare Center Podsetimo se teksta iz Glave 4. Tehničke mere zaštite su (samo) deo sveukupne zaštite IS. Krajem aprila i početkom maja 2000, inficirano je na milione računara širom sveta virusom "ljubavno pismo". Opšta preporuka (u vezi s ovim a i ostalim virusima) bila je: niste ugroženi ako vaš kompjuter uopšte nije priključen na neku mrežu, ako ne koristite Internet, ako ne dobijate elektronsku poštu, ako ne koristite Microsoft-ov program Outluk, ako niste dobili e-mail sa prilogom i naslovom "I LOVE YOU", "YOKE" ili "FUNNY NEWS", ili ako obrišete poruku ne otvarajući fajl. Inače, "ljubavno pismo" je najgori, najzarazniji i najštetniji virus do sada – prema ICSA – Međunarodnom udruženju za kompjutersku bezbednost (maj 2000).
81 82
164
kriptozaštitu. Ipak, trend u mogućnostima ratovanja u mrežnom okruženju (RMO)83 proširio je bezbednosne implikacije i zahteva se značajan pomak u strategiji zaštite. U petak, 13. februara 1998. godine, u izveštaju Ministarstva odbrane SAD o informatici i elektronici navedeno je: "otkriveni su rasprostranjeni i potencijalno štetni napadi" na 7 centara informatičke tehnologije ratnog vazduhoplovstva i 4 centra ratne mornarice (RM) SAD. Dalje se navodi da se priroda napada još istražuje, da bi se odredili izvor i puni efekat napada. U članku je navedeno da je fokus većine napada bio DNS server na kome se nalaze imena i adrese za umrežene i povezane sisteme. Mada izgleda da su cilj napada bili javni (u okviru mreže) sistemi, u izveštaju se ističe da je to još jedna demonstracija da su umreženi sistemi informacione tehnologije ranjivi i da im je potrebna zaštita. IT-2184 inicira prihvatanje otvorenih standarda i gotove komercijalne tehnologije (npr. Windows NT). Sem toga, ta inicijativa se kreće ka napuštanju posebno razvijenih i zatvorenih sistema koji ne mogu međusobno da komuniciraju u potpuno integrisane i međusobno zamenljive, sisteme koji su spojeni preko zajedničke infrastrukture. Mada je veći deo te zajedničke infrastrukure odvojen od javnog Interneta, važno je shvatiti da javna vojna mreža trenutno uključuje višestruke veze sa Internetom85 i da se planira da će zajedničku infrastrukturu deliti i javne i tajne (zaštićene) mreže. Koncept virtuelnog Intraneta RM (NVI)86 deo je inicijative IT-21, da bi se što više dobilo na vremenu u komandovanju pomoću informacione superiornosti. NVI teži da izvuče što veću korist iz zajedničke infrastrukture i međusobno zamenljivih sistema da bi se ostvarila efikasna obrada informacija putem centralizacije informacionih usluga u što manje regionalnih centara za obradu podataka. Kombinacija otvorenih standarda, gotovih komercijalnih tehnologija, potpuno međusobno spajanje i regionalizacija informacionih usluga traži da se razvije nova strategija zaštite koja se zasniva ne na izbegavanju rizika već više na menadžmentu rizika. Uvode se opštepoznate tehnologije i prihvata se da neke od tih tehnologija dolaze sa potpuno dokumentovanim slabostima. Sve više sistema međusobno se spaja, broj korisnika se značajno povećava a time raste i pretnja od "napada iznutra". Najzad, bez obzira na nivo unutrašnjih pretnji, deljenje zajedničke infrastrukture koja je spojena sa javnim Internetom, dovodi "na svetlo" hakere iz čitavog sveta, kriminalce i strane agente koji imaju iskustva i prakse u "šetnji" kroz takvu infrastrukturu.
7.4. Zaključak – za vladine organe Na osnovu navedenog, može se zaključiti: — Vlada treba da bude "priključena" na Internet i — Treba da budu definisana "pravila igre" – servisi, način korišćenja, uslovi (ograničenja).
83
RMO – engleski original je NCW – Network-centric Warfare. Informaciona tehnologija 21. veka. Američka vojska oko 95% "saobraćaja" obavlja preko javne računarske mreže – Interneta. 86 NAVY VIRTUAL INTRANET (NVI). 84 85
165
7.5. Primer Internet bezbednosti u američkoj ratnoj mornarici
Vatreni zidovi87 Šifrovanje Provera sadržaja Autentičnost izvora Detekcija uljeza Upravljanje pristupom Bezbedni protokoli Evidentiranje
DA DA
DA DA DA DA
DA DA DA
DA DA
Raspoloživost
Autentičnost
Integritet
Alat zaštite
Poverljivost
Mada se perfektna bezbednost ne može ostvariti, može se mnogo učiniti u granicama svakodnevne prakse da bi se minimizirala ranjivost sistema i sprečile potencijalne pretnje. Ratna mornarica (RM) SAD zbog toga je definisala, kao deo inicijative IT-21 i NVI (Navy Virtual Intranet – mornarička virtuelna Intranet mreža), strategiju "odbrane po dubini" u koju su uključene trenutno raspoložive tehnologije zaštite po principu odbrane po slojevima, a koja je projektovana tako da štiti poverljivost, integritet, autentičnost i raspoloživost informacija i IT sistema od kojih zavisi ratovanje u mrežnom okruženju. U Tabeli 7.1. identifikovana je vrsta zaštitnog alata koji je trenutno na raspolaganju i indiciraju se bezbednosni zahtevi koji su tipični za svaki alat.
PONEKAD DA
PONEKAD DA
DA DA DA DA DA
DA
DA
Tabela 7.1. Zaštitni alat Ratne mornarice SAD na Internetu Vatreni zidovi – karakteristično za RM SAD, da bi se smanjili troškovi i ljudski resursi, vatreni zidovi se obično instaliraju u centralnim lokacijama (kao što je računski centar (RC) u RM SAD) i njih koristi više sistema koji su spojeni preko bezbednih intra-mreža. U RM SAD kao vatreni zid najčešće se koristi TIS Gauntlet. Kriptozaštita – NSA88 ispituje valjanost šifarskih sredstava kojima se štite tajni podaci. Odobrila je upotrebu pojedinih sredstava. Trenutno su na raspolaganju sredstva za šifrovanje IP protokola i ATM89 protokola. Za IP se koristi NES90 a za ATM tzv. Fastline. U 1999. godini91 očekivan je početak upotrebe novog sredstva Tacline koji je trebalo da omogući zaštitu i IP i ATM protokola, ali on nije kompatabilan sa NES-om i ne može da podržava Fast Ethernet. 87
Ili zaštitne barijere. NSA – National Security Agency – agencija vlade SAD, zadužena za sva tehnička pitanja kriptografije i nosilac svih obaveštajno-bezbednosno-tehničkih zadataka. 89 ATM – Asynchronous Transfer Mode – ATM je paketski prenos sa paketima fiksne dužine i velike brzine rada. ATM koristi prekidače kao multipleksere i time dozvoljava da nekoliko računara simultano šalje podatke na mrežu. Većina komercijalnih ploča radi brzinom 155 Mb/s ali je teoretski moguća brzina od 1,2 Gb/s do 2,5 Gb/s. 90 NES – Network Encryption System – NES, sistem za šifrovanje u mreži. 91 Pisano 1999. godine. 88
166
Provera sadržaja. Norton i McAfee92 su u Ministarstvu odbrane (MO) SAD prihvaćena kao sredstva za detekciju virusa i ovlašćeni kupci ih mogu naći na adresi: http//infosec.navy.mil. Provera sadržaja često se vrši kao deo vatrenog zida i (obavezno) na radnim stanicama krajnjih korisnika. Autentičnost izvora. Neki delovi mreža, npr. ruteri ili Data Mangement System (DMS), sadrže i održavaju tabele (tabele rutiranja, tabele prevoda ime/adresa) koje su kritične za njihovo tačno funkcionisanje i koje redovno ažuriraju određeni elementi u mreži. Bez autentičnosti izvora ažuriranja vrlo je lako "pokvariti" informaciju, a rezultat može da bude odbijanje izvršenja usluge ili prodor u mrežu. Mnogi komercijalni IP ruteri sadrže kriptografsku autentičnost ažuriranja za izabrane protokole rutiranja. Ta mogućnost se ponekad ostvaruje jednostavnom rekonfiguracijom postojećih rutera. BGP – Border Gateway Protocol i OSPF – Open Shortest Path First protokoli rutiranja podržavaju kriptografsku autentičnost. Detekcija uljeza. Filtri za mrežne uljeze (NIF)93 mogu biti manje ograničavajući od vatrenih zidova i na taj način dozvoljavaju korišćenje velikog broja mrežnih aplikacija i istovremeno detektuju i blokiraju širok opseg mrežnih napada. Nekoliko proizvođača proizvodi NIF proizvode, uključujući i poboljšane filtarske rutere i aktivne, u realnom vremenu, sisteme za detektovanje uljeza. Poboljšani filtarski ruteri slični su normalnim IP ruterima i mogu se koristiti da omoguće ili onemoguće dolazeće pakete na osnovu polazne i dolazne IP adrese i TCP porta. Osim navedenog, oni koriste znanje protokola za više nivoe da identifikuju i dozvole legitimne protokole i onemoguće izvesne napade u mreži. Aktivni sistemi za detektovanje uljeza (IDS),94 takođe, koriste znanje protokola za više nivoe da bi identifikovali napade u mreži. Kada se napad detektuje, o njemu se izveštava, često u realnom vremenu, centru za nadzor i ako je moguće, takav napad se blokira (npr. resetovanjem TCP spoja). U zavisnosti od konfiguracije, aktivni IDS mogu da obezbede visok nivo zaštite od uljeza bez "agresivnosti". U RM SAD svi izveštaji o upadima u mrežu slivaju se u odgovarajući centar za nadzor. Kontrola pristupa. Osim kontrole pristupa koju obezbeđuju vatreni zidovi, filtarski ruteri i sistemi za detektovanje uljeza, pojedinačni krajnji korisnici, npr. radne stanice, i serveri za podatke ili aplikacije obično koriste mehanizme kontrole pristupa kao što su identitet korisnika i ulazna lozinka korisnika, odnosno liste dozvoljenih korisnika određenog sredstva. Takvi mehanizmi mogu da budu vrlo efikasni za sprečavanje pristupa informacijama. Isti ti mehanizmi, ako sistem nije konfigurisan ili nadgledan na odgovarajući način, mogu biti značajan izvor slabosti. Na primer, mnogi sistemi sadrže opštepoznate mogućnosti za priključenje novih korisnika (gosti) ili standardne ulazne lozinke. Bezbedni protokoli. Zaštita javnih (netajnih) informacija koje su u tranzitu (kroz mrežu) i zaštita interesantnih delova (mreže) moguća je korišćenjem mrežnih protokola kojima se šifruju informacije i obezbeđuje integritet informacija. Trenutno su najatraktivniji protokoli SSL95 i IPsec.96 SSL se obično koristi da bi zaštitio komunikacije između Web Server-a i 92
Odnosi se na programe koje proizvode pomenute softverske kuće. NIF – Network Intrusion Filtarrs, filtri za mrežne uljeze. IDS – Intrusion Detection System, sistem za detektovanje uljeza. 95 SSL – Secure Sockets Layer. 96 IPsec – Internet Protocol security suite. 93 94
167
Web Browser-a. IPsec protokol se koristi da bi se izgradile šifrovane virtuelne privatne mreže (VPN-ovi) između grupa korisnika. IPSec obuhvata standarde koje je razvio Internet Engineering Task Force (IETF) za prenos poverljivih podataka preko nezaštićenih mreža. IPSec je protokol mrežnog nivoa koji definiše način kriptovanja i autentikacije paketa između uređaja koji uspostavljaju IPSec sesiju. IPSec koristi Internet Key Exchange (IKE) standard za autentifikaciju IPSec učesnika, pregovaranje parametara IPSec konekcije i generisanje IPSec ključeva. IPSec kombinuje sledeće tehnologije u celini koja pruža pouzdanost, integritet i autentifikaciju podataka: Diffie-Hellman (DH) public key algoritam za definisanje ključeva, Public Key Cryptography za razmenu ključeva, Data Encryption Standard (DES) za enkripciju podataka, hash algoritme MD5 i SHA, za autentikaciju paketa, Digital Certificates. Digital certificates se koriste i za autentikaciju uređaja. Dodeljuje ih poseban server, certificate authority, kome veruju oba uređaja, autentikaciju i integritet podataka. Encapsulating Security Payload (ESP) zaglavlje dodato na IP datagram obezbeđuje kritpovanje, integritet i autentikaciju podataka. IPSec predstavlja bezbedan tunel između dva uređaja na njegovim krajevima. Definiše se koji paketi sadrže poverljive informacije i treba da se prenose kroz tunel, kao i parametri koji se koriste za zaštitu tih paketa. Tunel predstavlja skup tzv. Security Associations. Security associations jednosmerne su i definišu protokole, algoritme i ključeve koji se primenjuju na pakete koje treba zaštititi. Uspostavljaju se korišćenjem IKE protokola i ograničenog su trajanja, što znači da se periodično obnavljaju, i to predstavlja dodatnu zaštitu. Security associations mogu se uspostaviti i ručno prilikom konfigurisanja uređaja, u tom slučaju njihovo trajanje nije ograničeno. Cisco je implementirao IPSec standard i IOS softver, u Cisco PIX Firewall uređaj i software Cisco Secure VPN client za Windows 95/98 i WindowsNT. Evidentiranje. Mada evidentiranje, samo po sebi, ne može sprečiti bilo kakvo kršenje bezbednosnih mera, ono je vrlo korisno za utvrđivanje i dokumentovanje izvora kršenja, kao i procenu obima i prirode pričinjene štete. Podaci iz evidentiranja mogu se koristiti kao ulaz u sistem za detektovanje uljeza i obično se mogu "podesiti" da bi se izbeglo preopterećenje putem specifikovanja događaja koje treba evidentirati. Bezbednosni alat koji je opisan u prethodnim redovima deo je trenutno raspoložive komercijalne tehnologije, i korišćen je da bi se ojačala bezbednost informacione strukture RM SAD. Mada nijedan alat pojedinačno ne daje potpunu bezbednost, dobro planirana upotreba različitog alata koji se međusobno dopunjuje i ojačava u značajnoj meri ojačava i učvršćuje tu infrastrukturu. To je krajnji cilj strategije RM SAD "odbrana po dubini". Zahtevi zaštite u NVI-u su: — Usluge preko zaštićene mrežne infrastrukture čitavim putem do instalacije svakog učesnika (zaštićeni, "ojačani" ruteri, ATM prekidači, DNS usluge) — Bezbedno konfigurisani operativni sistemi na svim serverima i klijentima — Bezbedni protokoli (autorizacija, integritet i poverljivost) za sve serverklijent i server-server aktivnosti (HTTP, poruke, mrežne vesti, FTP, itd.) — Vatreni zidovi u svim centrima za obradu i/ili kod instalacija preplatnika (uključujući pregled zlonamernih priključka i sadržaja) — Sredstva za detekciju uljeza na LAN-u — Zaštita od virusa u realnom vremenu i
168
— Aktivna bezbednost i nadgledanje konfiguracije infrastrukture. Strategija odbrane po dubini za IT-21/NVI naglašava ove zaštitne zahteve primenjujući mehanizme bezbedne zaštite u slojevima i na više lokacija u sistemskoj arhitekturi. Namera je da se obezbedi kombinacija zaštitnih mehanizama koja je dovoljno široka da naglasi sve bezbednosne zahteve i dovoljno duboka da obezbedi redundantnost preko višestrukih slojeva. Na primer, unutar šifrovanja, dubina može da znači šifrovanje same veze u mreži (IP sloj) i šifrovanje na nivou elektronske pošte (sloj aplikacije). Drugi primer bio bi primena dva različita antivirusna programa (možda jedan u vatrenom zidu i drugi na radnoj stanici korisnika) tako da ako virus ne detektuje prvi program, možda će ga "uhvatiti" drugi program. Ovakav pristup obezbeđuje maksimiziranje otpornosti na napade i minimiziranje verovatnoće bezbednosnog prodora zbog slabosti bilo kog pojedinačnog mehanizma zaštite. Strategija "odbrane po dubini" direktno je analogna konceptima kontrole mora. Flotni sistem protivvazdušne odbrane (PVO) može da služi kao primer. Spoljna zona odbrane se štiti preko lovaca-presretača, kao što su F-14 i aviona za upravljanje E-2C. Drugi sloj odbrane jeste raketna zona koju štite Aegis krstarice, i koje presreću napadače, a koje nije zaustavila spoljna zona. Unutar raketne zone nalaze se tačkaste zone koje štite rakete malog dometa, topovi i sistemi za protivelektronska dejstva (PED). Ako ovakav sistem radi na odgovarajući način, onda je broj napadača koji prodru u unutrašnje tačkaste zone toliko mali da ne prelazi kapacitet PVO tačkastih zona. Generički okvir za "odbranu po dubini" ilustrovan je na Slici 7.1. U ovom okviru definisane su četiri zone odbrane. Treba primetiti da zone mogu biti logički odvojene a nije potrebno da budu i fizički odvojene. Treba, takođe, primetiti da izbor, pozicija i konfiguracija određenog mehanizma zaštite zavisi od primene, odnosno od kofiguracije informacionog sistema koji se štiti i bezbednosnih zahteva. Zona 4: Spoljna zona koja predstavlja granicu između informacionog sistema (ili više informacionih sistema koji su spojeni preko privatne mreže) i javne mreže kao što su NIPRNET97 ili SIPRNET.98 U ovoj zoni najpodesnije mere zaštite predstavljaju vatreni zidovi, VPN šifrovanje, provera sadržaja, kao i autorizacija izvora za rutere i DNS-ove.
97 98
NIPRNET – uNclassified, but sensitive IP Router NETwork SIPRNET – Secret Internet Protocol Routing NETwork
169
MEĐUSPOJ
ZONA 4: Granica javne mreže, npr. NIPRNET ili SIPRNET
vatreni zid elektr. pošta,www, ftp virus detektor VPN šifrovanje
BEZBEDNOST ZONE 4
MEĐUSPOJ ZONA 3: Interesne grupe, unutrašnje ili spoljne
BEZBEDNOST ZONE 3
Mrežni filtar za otkrivanje uljeza
MEĐUSPOJ Zona 2: Enklava ili grupa
BEZBEDNOST ZONE 2
Kontroler pristupa mreži
MEĐUSPOJ Zona 1: Krajnji sistem
KRAJNJI KORISNIK ZONE 1
bezbedno konfigurisan OS šifrovanje podataka i ostalog VPN šifrovanje
Slika 7.1. Odbrana po dubini Zona 3: Ova zona razdvaja interesne grupe (jednu ili više mreža, lokacija, logičkih ili fizičkih celina) i zaštitne mere u ovoj zoni tako su projektovane da obezbeđuju zaštitu unutar ili između takvih interesnih grupa. Uopšteno, mehanizmi zaštite u ovoj zoni su instalisani kao deo intramreže koja spaja mreže krajnjih korisnika koji imaju slične bezbednosne zahteve i opšte (zajedničke) interesne grupe. U ovoj zoni najpodesnije mere zaštite jesu mrežni filtri za otkrivanje uljeza, vatreni zidovi, VPN šifrovanje, kao i provera sadržaja. Zona 2: Jedna interesna grupa može da sadrži nekoliko pojedinačnih položaja ili enklave i svaki od njih predstavlja sloj u ovoj zoni. Bezbednosni mehanizmi u ovoj zoni koriste se da bi obezbedili zaštitu na granici položaja ili enklave, i obično su integrisani kao deo LAN-a položaja/enklave. U ovoj zoni najpodesnije mere zaštite jesu: kontrolori pristupa
170
mreži, mrežni filtri za otkrivanje uljeza, vatreni zidovi, VPN šifrovanje, kao i provera sadržaja. Zona 1: Poslednja unutrašnja zona jeste pojedinačni krajnji sistem, npr. radne stanice, server (Windows NT i/ili UNIX) ili veliki računar. Operativni sistemi treba da budu instalisani tako da su "zapušene" sve poznate "rupe" i slabosti (ako je to praktično izvodljivo). RM SAD i NSA publikovale su uputstva za instalisanje bezbednih konfiguracija za Windows NT i ta uputstva se obavezno primenjuju. Mehanizimi zaštite informacija u zoni 1. poslednji su sloj odbrane, a najpodesnije mere zaštite u ovoj zoni jesu: kontrola pristupa sistemu lozinkama, kontrola pristupa podacima sa listama kontrole pristupa, šifrovanje podataka, fajlova, elektronske pošte, transakcija, VPN šifrovanje, provera sadržaja, evidentiranje, kao i pažljivo projektovanje aplikacija korisnika. Strategija po dubini, ako je odgovarajuće projektovana, pažljivo korišćena i regularno održavana, može u značajnoj meri da pojača bezbednosno stanje informacione strukture RM SAD, da obezbedi da informacije koje se daju krajnjim korisnicima budu zaštićene na odgovarajući način, tačne, blagovremene i da se podacima i komunikacionim kanalima, koji su važni za komandovanje, može u svakom momentu prići. Takva bezbednost ima kritičnu ulogu u uspostavljanju i održavanju informacione superiornosti RM SAD i ima uticaja na brzinu procesa komandovanja, što je značajno za borbene mogućnosti RM. Dodatne i detaljnije informacije o strategiji "odbrana po dubini", mehanizmima zaštite, tekućim standardima i politici primene mogu se naći na Web poziciji RM SAD. Odgovarajuća ustanova RM SAD održava tu prezentaciju i daje veze (puteve) prema ostalim relevantnim podacima, zahtevima, zaštitnim proizvodima, člancima itd. Inače, Centar RM SAD za informaciono ratovanje je "visokokotiran" i daje potrebnu podršku, savete, upozorenja, preporuke, procenjuje štetu ostvarenog upada (napada), daje ocenu valjanosti zadejstvovane mreže, obučava sistem administratore itd. Bezbednost računarskih sistema određuje se prema kriterijumu proverene računarske osnove (Trusted Computing Base – TCB) koja predstavlja sveukupnost mehanizama zaštite u okviru računarskog sistema – uključujući hardver, firmver i softver. Inače, postojeće grupe i klase TCB su: • Grupa D – minimalna zaštita • Grupa C – neobavezna zaštita o Klasa C1 – neobavezna zaštita o Klasa C2 – zaštita kontrolisanim pristupom • Grupa B – obavezna zaštita o Klasa B1 – zaštita pomoću oznaka sigurnosti o Klasa B2 – strukturirana zaštita o Klasa B3 – sigurnosni domeni • Grupa A – verifikovana zaštita o Klasa A1 – verifikovan projekat.
171
8. REAGOVANJE NA INCIDENTE Prema [Kuk02] incidenti u IS dešavaju se i u najbezbednijim okruženjima. Incident ne mora biti samo posledica namere već i nehata ili delovanja više sile, elementarne nepogode. Incident može da bude posledica greške intermitentnog karaktera. Svaki incident mora da bude saniran. Prvi korak u sanaciji bio bi takozvana forenzička obrada incidenta. Istražuje se, pre svega, eventualna odgovornost za incident. Dijagnostikuje se i otklanja uzrok u sistemu koji je, eventualno, dozvolio da dođe do incidenta. Nakon toga, saniraju se posledice incidenta, IS se vraća u stanje koje garantuje (glava 2): — poverljivost — integritet — raspoloživost — pouzdanost — neporecivost i — proverenost informacija, odnosno podataka. Prema [Kuk02], predlažemo 10 (delimično izmenjenih) zlatnih pravila forenzičkog računarstva: 1. Osigurati i izolovati mesto gde se desio incident 2. Izvršiti sistematičnu potragu za dokazima 3. Treba delovati blagovremeno, ali ne treba dizati paniku 4. Ne dirati tastaturu ukoliko to nije neophodno 5. Ukoliko je to moguće, isključiti računar iz mreže 6. Loša zamena za isključivanje računara iz mreže može biti isključivanje što je više moguće mrežnih usluga 7. Zabeležiti sve važne podatke 8. Utvrditi vreme otkrivanja incidenta 9. Utvrditi ko je otkrio problem, na koji način i 10. Ne dirati ništa na računaru! Idealno bi bilo da računar u ovoj fazi bude isključen.
8.1. Metodologija za opis scenarija potencijalnih incidentnih situacija Prema [Cer97a], odnosno [Rod01a], razvijena je metodologija za opis potencijalnih incidentnih situacija u IS. "Prijava", koja je osnova ove metodologije, razvijena je na osnovama klasifikacije potencijalnih izvora narušavanja integriteta IS koja je obrađena u Glavi 3. ove knjige. Red. Pitanja za opis incidenta br. Opšti podaci Matični broj preduzeća: 1. R. br. incidenta u tekućoj godini: 2.
3. 4. 5. 6. 7. 8. 9.
odg. lice – prezime i ime, funkcija: adresa: telefon na poslu: telefon kod kuće: broj faksa: broj mobilnog telefona: broj pejdžera:
172
10. 11. 12. 13. 14. 15. 16. 17. 18.
e-mail: ovl. lice – prezime i ime, funkcija: adresa: telefon na poslu: telefon kod kuće: broj faksa: broj mobilnog telefona: broj pejdžera: e-mail:
Da li ste još nekom (izuzev Centra)99 prijavili incident 1. firma: 2. odgovorno lice – prezime i ime, funkcija: adresa: 3. telefon na poslu: 4. telefon kod kuće: 5. broj faksa: 6. broj mobilnog telefona: 7. broj pejdžera: 8. e-mail: 9. datum prijave: 10. Organ bezbednosti kome ste (ako ste) prijavili incident 1. organ bezbednosti (unutrašnjih poslova): 2. odgovorno lice – prezime i ime, funkcija: 3. adresa: 4. telefon na poslu: 5. telefon kod kuće: 6. broj faksa: 7. broj mobilnog telefona: 8. broj pejdžera: 9. e-mail: 10. datum prijave: Servis kome ste (ako ste) prijavili incident 1. naziv firme: 2. adresa firme: 3. odgovorno lice – prezime i ime: 4. adresa: 5. telefon na poslu: 6. telefon kod kuće: 7. broj faksa: 8. broj mobilnog telefona: 9. broj pejdžera: 10. e-mail: 11. datum prijave:
99
Podrazumeva se postojanje ''Centra'' kojem se prijavljuju incidenti.
173
Stradala lica Broj stradalih lica (smrtno – S, teško – T, lako – L) 1.
Osoblje IS
2.
Osoblje van IS
3.
Ostali
Šteta na infrastrukturi Vrsta i stepen štete (teška – T, srednja – S, laka – L) na: 1. Objekat 2. Elektroenergetska oprema (instalacije) 3. Klima uređaj 4. Ostalo Šteta na informatičkoj tehnologiji Vrsta i stepen štete (teška – T, srednja – S, laka – L) na: 1. Hardver 2. Mrežna oprema 3. 4. 5. 6.
Cena
Cena
Aplikativni softver Uslužni – licencni softver Operativni sistem Podaci
S obzirom na to da se ocena stepena štete može relativizirati, kao orijentaciju prilikom ocenjivanja uzimati sledeći kriterijum,100 na primer: — ako je funkcionalnost IS (zbog neispravnosti hardvera ili softvera ili gubljenja podataka) bila narušena do 8 radnih sati, štetu treba smatrati lakom – L, ako je funkcionalnost IS bila narušena više od 8 i manje od 24 sata, tada štetu treba smatrati srednjom – S, narušenu funkcionalnost IS od 24 sata i više treba smatrati teškom (katastrofalnom) štetom – T — teško stradala lica bila bi ona lica koje za posledicu imaju bilo koji stepen invaliditeta, lako stradanje je ono koje nije smrtno i teško. Aktuelnost računarskih mreža zahteva da se posebno tretiraju kad su u pitanju incidenti. Prijavu incidenta proširujemo detaljnijim prikazom degradacije računarske mreže.
100
Neki sistemi ne smeju nikako prestajati sa radom.
174
Podaci o HOST računaru(ima) – ako postoji(e) – odgovore ponoviti za svaki HOST101 posebno 1. Broj oštećenih vaših HOST-ova 2. Naziv HOST-a ili njegov identifikator 3. Adresa HOST-a 4. Tip HOST-a, prodavac, OS 5. Funkcija(e) HOST(ova) 5.1. Jednokorisnička radna stanica (da/ne) 5.2. Višekorisnička radna stanica (da/ne) 5.3. Mrežni "fajl" server (da/ne) 5.4. Ruter (da/ne) 5.5. Terminal server (da/ne) Ostale funkcije (npr. mail hub, informacioni server, interni 5.6. DNS, eksterni DNS itd.), (da/ne) Gde je u mreži oštećeni host (npr. bekbon, podmreža, ispred 5.7. vatrenog zida itd.) Funkcija HOST-a (npr. privatni, za kadrovske poslove, 5.8. finansijski) 5.9. Da li je HOST izvor – žrtva ili oboje Da li je kompromitacija HOST-a nastupila kao rezultat 5.10. napada (da/ne) Da li je kontaktiran (ili se planira kontakt) sistem 5.11. administrator u vezi sa oštećenim HOST-ovima na drugim adresama? (da/ne) Podaci o HOST računaru(ima) – ako postoji(e) – odgovore ponoviti za svaki HOST posebno 1. Broj oštećenih ostalih HOST-ova 2. Naziv HOST-a ili njegov identifikator 3. Tip mreže 4. Adresa(e) HOST(ova) 5. Tip HOST-a, prodavac, OS Da li je kompromitacija HOST-a nastupila kao rezultat napada 6. (da/ne) Da li je kompromitacija HOST-a nastupila kao rezultat napada 7. (da/ne) Da li je kontaktiran (ili se planira kontakt) sistem administrator 8. u vezi oštećenih HOST-ova na drugim adresama (da/ne) Kategorija incidenta 1. Napad na javni (anonymous) FTP servis (File Transfer Protocol) (da/ne) 2. Provala u sistem (da/ne) 2.1. Nametljivac je dobio privilegovani pristup (da/ne) 2.2. Nametljivac je instalirao program "Trojanski konj" (da/ne) 2.3. Nametljivac je instalirao sistem za analizu saobraćaja na mreži (packet sniffer) 102 (da/ne)
101
HOST – ili matični računar koji je izvor informacija ili signala. Ovaj termin je referisao na bilo koju vrstu računara od matičnog na koji se vezuju terminali (personalni računari sa emulacijom) do servera koji je matični za njegove klijente. U mrežnoj arhitekturi klijentska radna stanica (korisnička mašina) može da se tretira kao HOST s obzirom na to da je ona (ponekad) izvor informacija za.
102
Sniffer – lovac, hvatač – njuškalo. Programi [Saj99] koji se instaliraju u čvorovima mreža i u stanju su da elektronski nadziru saobraćaj koji se odvija kroz mrežu. Sniffer programi, u legalnoj upotrebi, služe za dijagnostikovanje problema koji se mogu pojaviti u toj mreži i raspoloživi su za svaku mrežnu platformu.
175
2.3.1. 2.3.2. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 3. 3.1. 4. 4.1. 4.2. 5. 5.1. 6. 7. 8. 9. 10. 11. 11.1. 12. 13. 14. 14.1. 15. 16.
Koji je(su) puni pathname(ovi) za izlazne datoteke njuškala Koliko puta je "njuškalo" testiralo pakete na mreži? Provaljen password (da/ne) Lako provaljiv password (da/ne) FTP napad (da/ne) NIS103 – Network Information System (yellow pages), (da/ne) NFS – Network File System napad (da/ne) Rlogin104 ili RSH – Remote/Restricted Shell napad (da/ne) Telnet105 napad (da/ne) TFTP – Trivial File Transfer Protocol napad (da/ne) Greška u konfiguraciji (da/ne) Tip greške u konfiguraciji (specifikovati) Prekid fukcionisanja servisa (da/ne) Koji je servis prekinut Kako je servis prekinut E-mail bombradovanje (SPAM) (da/ne) Da li je e-mail bombardovanje bilo uspešno (da/ne) Slanje e-mail sa lažnom adresom pošiljaoca (fake mail), (da/ne) IP lažno predstavljanje (da/ne) Zloupotreba resursa host-a (da/ne) Neslana šala (da/ne) Pokušaj (da/ne) Servis je ranjiv (da/ne) Da li je ranjivost eksploatisana (specifikovati)? Prevara (da/ne) Osmatranje (da/ne) Napad na mail server (Sendmail), (da/ne) Da li je ovaj napad rezultovao kompromitacijom (da/ne) Infiltracija u sistem (da/ne) Nešto drugo (molimo specifikovati)
Detaljan opis incidenta Pretpostavke o vrsti napada (npr. naziv virusa, naziv korišćenog teksta i sl) 1 Kako ste otkrili incident 1.1. Opis slabosti sistema koje su zloupotrebljene ali nisu istaknute u prethodnim 1.2. sekcijama Izvor napada (ako vam je poznat) 1.3. Preduzeti koraci da se incident više ne ponovi (na primer, reinstalacija osetljivog 1.4. softvera, popravka (patch) ugrožene aplikacije) Ukoliko postoje, koji su planirani postupci da bi se incidenti prevazišli 1.5 Da li planirate korišćenje nekog alata iz sledeće sekcije 1.6. Nelegalna upotreba ovih programa predstavlja ekstremno visok nivo rizika jer omogućuje izuzetno visok nivo kompromitacije. 103 NIS (Network Information System) tekuće ime ranije poznato pod YP (Yellow Pages). Ovim se daje mogućnost da se daju informacije o mnogim mašinama u računarskoj mreži (RčM) uključujući i password-e u RčM. NIS nije dizajniran da promoviše bezbednosni sistem. 104 Rlogin – Remote LOGIN, UNIX komanda za udaljeno priključenje – "logovanje" korisnika na server u mreži kao da je terminal direktno uključen na sam server. Rlogin je sličan Telnet komandi samo što se prilikom logovanja prosleđuje i informacija o klijent računaru koji se priključuje na Rlogin server (tip klijent računara itd). Rsh (Remote SHell) je UNIX komanda kojom se udaljeni korisnik loguje na server ali se istovremeno dozvoljava i prosleđivanje jedne ili više komandi ka tom serveru koje će biti izvršene interaktivno ili neinteraktivno. 105 Telnet je protokol za komunikaciju kojim se Telnet klijent prijavljuje na Telnet server preko TCP/IP mreže i dobija mogućnost da pokreće programe na udaljenom računaru kao da se nalazi i na terminalu priključenom na taj računar.
176
1.6.1. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8.
Navedite alate koje ćete koristiti Aspekti incidenta koji nisu do sada obrađeni Da li je nešto od sledećeg softvera nametljivac ostavio na vašem sistemu? Log fajl kao posledica delovanja incidentnog softvera (npr. sniffer programa) Alat/skriptovi koji su koristili slabosti (da/ne) Sors kod programa kao npr. programi za ''Trojanca'', programi za njuškanje (da/ne) Binarni kod programa za npr. "Trojanca" ili programe za njuškanje. (da/ne) Sakriveni fajlovi/direktorijumi (da/ne) Virus je inficirao fajlove (da/ne) Drugi fajlovi, molimo specifikovati
Bezbednosni alat 1. U vreme incidenta, koji ste sigurnosni alat koristili 1.1. Alat za password-e i autentičnost 1.1.1. Crack106 (da/ne/koliko često) – CERT®107 1.1.2. Kerberos (da/ne) 1.1.3. One-time passwords (da/ne) 1.1.4. Proactive password checkers (da/ne) 1.1.5. Shadow passwords108 (da/ne) 1.2. Alat za proveru integriteta fajlova 1.2.1. MD5109 (da/ne/koliko često) 1.2.2. Tripwire110 (da/ne/koliko često) 1.3. Višenamenski alat 1.3.1. C2111 "security" (da/ne)
106
Crack je javno dostupan program koji omogućava predstavljanje šifrovanih password-a u obliku prostog teksta (clear text presentation). U cilju povećanja bezbednosti sistema, Crack se koristi radi provere kvaliteta šifara koje se koriste na sistemu, kao i upozorenja na one koje bi eventualni napadač mogao, zbog svoje jednostavnosti, lako probiti. Crack je dostupan na ftp://coast.cs.purdue.edu/pub/tools/unix/crack/ 107 CERT pretpostavlja korišćenje konkretnog alata, to je alat od 1.1.1. do 1.1.5, zatim 1.2.1. do 1.2.2. itd. 108 Shadow passwords – skrivene šifre su šifre sistema koje se za razliku od običnih čuvaju u fajlovima koji nisu javno dostupni, ili za njihovu poziciju zna samo administrator sistema. 109 MD5 je program koji jedinstveno potpisuje nekakav objekat (fajl, skup falova i sl.) pri čemu potpis nije moguće ponoviti novim objektom (sem ukoliko nije isti kao originalni). MD5 se može naći u RFC 1321 (RFC – Request For Comments (Internet)). Pogledajte sajt – ftp://coast.cs.purdue.edu/pub/tools/unix/md5. 110 Tripwire je program koji proverava integritet fajlova i direktorijuma potpisujući svaki posebnim MD5 potpisom i čuvajući te potpise u svojoj tajnoj bazi. U trenutku eventualne promene nekog fajla, Tripwire će primetiti razliku jer će se i MD5 potpisi razlikovati, te će moći i da prijavi promenu nekom predefinisanom licu. Tripwire je dostupan na mnogim sajtovima koji uključuju ftp://coast.cs.purdueedu/pub/tools/unix/Tripwire/. 111 C2 – NCSC – National Computer Security Center pri NSA – National Security Agency, definisao je kriterijume bezbednosti za informacione sisteme poznate pod nazivom Trusted Computer Systems Evaluation Criteria (TCSEC), standard Ministarstva odbrane 5200.28, takođe poznat kao "narandžasta knjiga" – Orange Book. Crvena knjiga – Red Book odgovarajući je deo za računarske mreže. Prema ovom kriterijumu, na primer, (već spomenuto u glavi 7) nivo D je minimalna zaštita, C je diskretna zaštita, a C2 je zaštita kontrolisanim pristupom. Bezbednosne osobine koje se zahtevaju na nivou C2 podrazumevaju: — Mandatory identification of all users on sytem – sposobnost sistema da identifikuje tzv. korisnike i samo njima dozvoli pristup resursima — Discretionary access control – mogućnost da korisnici zaštite sopstvene podatke prema sopstvenim potrebama — Accountability and auditing – sposobnost sistema da detaljno prati i beleži sve akcije korisnika a i samog sistema
177
1.3.2. 1.3.3. 1.4. 1.5. 1.6. 1.7. 2. 3.
COPS112 (da/ne/koliko često) TAMU "Tiger"113 (da/ne/koliko često) Alat za monitoring mreže (da/ne) Alat za filtriranje (da/ne) Alat za otkrivanje "slabih tačaka" (da/ne) Razni i ostali alat (da/ne) Šta ste radili u vreme dešavanja incidenta Da li će biti sačuvani poslovi koji su prekinuti zbog incidenta
Ostale informacije 1. Datum dešavanja incidenta 2. Sat dešavanja incidenta 3. Datum prijave incidenta Centru 4. Sat prijave incidenta Centru
Ako postoje pretpostavke da je učinjeno zlonamerno (kriminalno) delo, tada [Pet00] u slučaju prijave incidenta, za dalji uspešan rad od izuzetnog značaja bi bilo da se pripremi i jedan broj indicijalnih činjenica. To su tzv. "crveni signali (lampice – u originalu)" – činjenice koje svojim značenjem upućuju na mogućnost postojanja delikta i učinioca ili upućuju na uzrok kriminalnog dela. Ili, prema [Mar85], definisani su indikatori bezbednosti – pokazatelji, pojmovne definicije koje ukazuju na nešto, upućuju na nešto, skreću pažnju na postojanje nečega ili na mogućnost postojanja nečega. U istraživanju društvenih pojava, među koje svakako spadaju bezbednosne pojave, indikatori su metodološko sredstvo kojim se služimo da u stvarnosti otkrijemo dokaze postojanja nečeg. Prema 5.3.1. aktiviraju se po potrebi (ako postoje) DAT tim (Disaster Assesiment Team) za procenu katastrofe (štete) i DDT tim (Disaster Development Team) – grupa ljudi koja će realizovati plan obnove.
8.2. Scenariji po kojima se odgovara u procesu sprečavanja napada Aktivnosti u procesu sprečavanja napada sprovode se: — pre (eventualnog) napada — u toku (eventualnog) napada — nakon izvršenog napada.
— Object Reuse – sposobnost sistema da onemogući korisnicima pristup informacijama iz resursa koji su prethodno korišćeni od strane drugih korisnika ili sistema – memorije koja je ispražnjena ili obrisanih fajlova. Kvalitativna kontrola na nivou C2 uključuje: — ispitivanje izvornog koda — ispitivanje detaljne projektne dokumentacije i — ponovno testiranje kao potvrdu da su greške pri evaluaciji ispravljene. 112 COPS (Computer Oracle and Password System) – sistem programa koji se mogu upotrebiti radi provere sigurnosti/ranjivosti UNIX sistema. Sistem programa COPS ne popravlja nepravilnosti nego samo pravi izveštaj uočenih bezbednosnih nedostataka. COPS je dostupan na ftp://coast.cs.purdueedu/pub/tools/unix/cops. 113 TAMU Security Tools – sistem programa/skriptova kojima se proverava bezbednost UNIX sistema u mrežnom okruženju kreiranih od strane Texas A&M University. Uočene probleme ne popravlja nego pravi izveštaj (report). Alat je publikovan i dostupan na www.net.tamu.edu/ftp/security/TAMU/.
178
Svakako da se pre napada sprovode aktivnosti preventive, a nakon izvršenog napada sprovode se aktivnosti sanacije. Univerzalna procedura za odbranu u toku napada ne postoji. Osnovni cilj jeste da se onemogući veća šteta od onog trenutka kada se shvatilo da je reč o napadu na sistem. Izuzetno je važno da administrator dobro poznaje svoj sistem, da poznaje način funkcionisanja servisa na njemu i eventualne slabe tačke, te da bude dobro obavešten o mogućim napadima koji mogu biti preduzeti protiv tog sistema. Očigledno je da se ovim problemom mora baviti vrhunski stručnjak. Izuzetna je zavisnost od Windows OS i proizvođača softvera u slučaju napada na Windows OS. Preporučuje se da se korisnici za konekciju na javne računarske mreže opredeljuju na primer za OS Linux koji mogu kontrolisati, odnosno za koji imaju izvorni kod. U toku utvrđivanja havarije na sistemu, treba blagovremeno reagovati. Pri tome, treba znati da se napad, vrlo često, realizuje korišćenjem različitog alata, za koji se čeka otvaranje nekih sporednih vrata, kroz koja oni mogu da deluju. Na neke napade treba (svesno) reagovati sa zadrškom, ako je u pitanju npr. preticanje. Špijuna treba pustiti da obavlja opservaciju i polako ga uvoditi u nevažne ili čak lažne podatke i sl. Ne sme se dozvoliti, ako se otkrije da je napad u toku, da uljez eventualno dođe u posed zaštićenih informacija. Najbolja je reakcija kada se konkretni računar ili čitav sistem isključe sa mreže, ako se napad realizuje preko mreže. Međutim, to treba raditi sa pažnjom, jer potpunim isključenjem sistema prekida se i rad korisničkih servisa čime se ugrožava ugled i poverenje korisnika u sistem.
8.3.Korektivne aktivnosti kojim se otklanjaju posledice napada Scenario napada (štete) u odnosu na način i posledice može da bude u raznim varijantama (glava 3) pa se podrazumeva da će i scenario, skup aktivnosti za otklanjanje posledica eventualnog napada biti takođe u raznim varijantama. U svakom slučaju, scenario za otklanjanje posledica eventualnog napada, nazvaćemo ga sanacija, mora da ima sledeće karakteristike, ciljeve: 1. Smanjiti štetu114 1.1.Sanirati ljudstvo 1.1.1.Sprečiti dalje stradanje ljudstva Sprečiti stradanje ljudstva koje je (bilo) ugroženo neposredno u IS, kao i ljudstva koje se angažuje na sanaciji štete u IS. Ljudstvo može biti ugroženo [Mil75], pre svega, mehanički, asfiktički – pri poremećaju gasne razmene, fizički najpose – zbog dejstva toplote, hemijski pod uticajem otrova i najzad psihički. Svi navedeni slučajevi su teoretski mogući i kad je u pitanju ljudstvo angažovano u IS. U svim ovim slučajevima treba skloniti uzrok ugrožavanja zdravlja i života ljudstva. 1.1.2. Ukazati ljudstvu prvu pomoć Shodno vrsti ugroženosti zdravlja i života, treba preduzeti mere prve pomoći. Prioritet u pružanju prve pomoći treba imati prema kritičnosti ugroženosti života i 114
Poznato je da se zbog nestručnosti i neblagovremenosti, u sanaciji šteta u IS, štetne posledice mogu i – uvećati. Tipičan primer za to je diletantsko postupanje sa licem stradalim od strujnog udara – lice se zakopava ''da bi zemlja izvukla struju''!?
179
zdravlja. Najpre sprečiti na primer krvarenje a zatim pristupiti ostalim merama prve pomoći. 1.1.3. Na najbolji mogući način dugoročno sanirati posledice stradanja ljudstva 1.1.4. Pokrenuti (po potrebi) disciplinski, prekršajni ili krivični postupak 1.2. Sanirati informatičku tehnologiju 1.2.1. Sprečiti uništavanje (degradaciju) podataka bez obzira na medij115 1.2.2. Sprečiti dalje uništavanje116 informatičke tehnologije (softver i hardver) 1.2.3. Osposobiti IT za dalji rad uz maksimalni nivo pouzdanosti rada 1.3. Sanirati infrastrukturu 1.3.1. Sprečiti uništavanje (degradaciju) infrastrukture 1.3.2. Osposobiti infrastrukturu za korišćenje 1.4. Sačuvati dokaze U cilju utvrđivanja uzroka pojave štete, neophodno je sačuvati dokazni materijal. Pre svega, kad je ljudstvo u pitanju, važno je da se omogući putem dokaza i da se izvede zaključak da li je do narušavanja života i zdravlja došlo na pririodan način ili nasilnim putem. Ako je u pitanju nasilno oštećenje, važan je odgovor da li je ono bilo zadesno [Mil75], samoranjavanjem (samoubistvom) ili ranjavanjem (ubistvom) od strane drugog lica. Kada je reč o šteti na IT (kompjuterskim kriminalnim delima), treba imati u vidu da "kompjuterizovani elektronski dokazi" često nisu jednaki sa ostalim oblicima fizičkih dokaza. Isto tako, neki problemi vezani za utvrđivanje činjenica u oblasti kompjuterskog kriminala zasnivaju se na prolaznoj prirodi obrade podataka i kratkom vremenu zadržavanja u računaru mnogih datoteka i zapisa, zbog čega, ako se kriminalni akt ne otkrije već u toku izvršenja ili neposredno nakon toga, verovatno će do momenta otkrivanja nestati mnogi tragovi i dokazi, pa krivac, iako je opravdano sumnjiv, neće moći uspešno biti krivično gonjen. 2. Utvrditi uzrok pojave štete Odgovorima na Upitnik iz Glave 9, zajedno sa prijavom incidenta, uz uslov da su sačuvani dokazi, stvaraju se uslovi za zaključivanje o mogućem uzroku incidenta. Utvrđivanje uzroka, u postupku sanacije, presudno je iz (najmanje) tri razloga: — utvrđivanja odgovornosti, i u tom cilju, pokretanja adekvatnog (disciplinskog, prekršajnog ili krivičnog) postupka — "izvlačenja pouke" – prilikom revitalizacije sistema da se na najbolji mogući način izvede backup. Ovo je karakteristično kod batch obrada, iz tih razloga vodi se dnevnik obrade da bi se lakše lociralo "mesto" prekida u obradi i da bi se obrada bez ponavljanja mogla nastaviti od momenta prekida — "izvlačenja pouke" – kod revitalizacije sistema (ili u radu sistema) ubuduće se ne sme dozvoliti ponavaljanje uočenog uzroka – greške. U sledećem primeru, CERT [Cer97b] je dao dokument koji u grubim crtama sugeriše korake u oporavku sistema ukoliko je došlo do njegove kompromitacije. Sistem administratori mogu koristiti ovaj dokument za nekoliko tipova provala u sistem. Prvenstvena namena ovog dokumenta jeste da korisnici modifikuju svoj sistem u cilju oporavka potencijalnih slabosti sistema ili "krpljenja rupa" kako se to popularno kaže, bilo
115
Magnetni mediji (sadržaj) u vatrostalnoj kasi mogu da se unište ako se kasa naglo otvori, pre izjednačavanja temperature – hlađenja u okruženju. I u ovom slučaju poznati su primeri brzoplete sanacije, gašenje požara na elektronici vodom npr, koja je još više povećala postojeću štetu.
116
180
lično, bilo preko prodavca opreme koji treba da vam obezbedi dopunu i/ili izmenu softvera. A) Potražite znake kompromitacije (ugrožavanja bezbednosti) vašeg sistema. Vodite računa da sve akcije koje preduzmete tokom ispitivanja potencijalne kompromitacije konkretnog sistema, budu usklađene sa pravilima organizacije u kojoj je kompromitovani IS. 1. Ispitajte "log fajlove" da biste uočili eventualne netipične konekcije, ili neke druge neuobičajene aktivnosti, sa neočekivanih lokacija u kompromitovani IS. Treba pogledati "logove" o prijavama lokalnih korisnika na sistem u nekom vremenskom periodu, sistemske "logove" kreirane od posebnog sistemskog procesa (syslog), kao i ostale relevantne log fajlove u kojima bi mogla biti zabeležena informacija o nedozvoljenim aktivnostima. Ukoliko firewall računar ili ruter beleže svoje logove na nekom drugom računaru, koji nije (bio) ugrožen, treba proveriti i njih. Treba uočiti da ovo nije potpuno pouzdan metod, osim ukoliko postoji sistem sa log fajlovima koji se naknadno ne mogu menjati nego sistem samo dodaje nove informacije na njihov kraj (append-only logs). Mnogi nametljivci dodatno edituju i menjaju informacije u log fajlovima koji nisu appendonly da bi sakrili tragove svog prisustva i nedozvoljenih aktivnosti na sistemu. 2. Potražite sve setuid/setgid fajlove na sistemu (posebno setuid fajlove sa root privilegijama). Napadači često ostavljaju kopije programa /bin/sh ili /bin/time, koje imaju setuid karakteristike, želeći da i kasnije imaju administrativne privilegije u sistemu u koji su jednom nedozvoljeno upali. UNIX komanda za pretraživanje (find(1)) omogućava jedno takvo pretraživanje. Na primer, sledećim komandama mogu se pronaći svi setuid fajlovi na sistemu sa administrativnim (root) privilegijama i svi setgid fajlovi gde je pripadna grupa kmem. find / -user root -perm -4000 -print find / -group kmem -perm -2000 -print. Još jedan program koji može da pretražuje diskove i particije na njima, u potrazi za fajlovima, sa navedenim karakteristikama jeste program ncheck [Emw00]. Na primer, pretraživanje setuid fajlova na disk particiji /dev/rsd0g moguće je izvršiti komandom: ncheck -s /dev/rsd0g. 3. Proverite sistemski softver da biste uočili eventualne nedozvoljene izmene. Poznati su slučajevi izmene programskog koda na primer sledećih programa: login, su, telnet, netstat, ifconfig, ls, find, du, df, libc, sync, kao i ostali programi koje poziva "smart" server (inetd), kao i razne deljive sistemske biblioteke. Obavezna je provera sistemskog softvera sa originalnim na instalacionom disku. Ne treba previše verovati kopijama svih programa (backup copies) koje su jednom napravljene, jer i one mogu da sadrže "Trojanca". Po povratku takvih podataka na disk, Trojanac ima ulogu da predstavi sistemu ili korisniku kao da je sve u redu i da se na sistemu nalaze stari programi iako su u stvari menjani. Trojanac ima tu sposobnost da zavara sistemske pozive za proveru identiteta softvera, te je neophodno koristiti druge preventivne programe i tehnologije kao što je MD5, Tripwire i sl, koji informaciju o verziji programa čuvaju u svojoj, "samo sebi znanoj" zaštićenoj zoni. Uz dodatno korišćenje PGP
181
programa, kojim se jednoznačno može potpisati rezultat rada prethodno navedenih programa (izlazni fajl sa rezultatima), može se smatrati da je sistem preventivno dobro obezbeđen. 4. Proverite sistem u cilju preventive na preslušavanje saobraćaja u mreži nekim poznati sniffer programom, čime bi se moglo doći u posed, recimo, informacija o korisničkim šiframa i nalozima u sistemu. Više informacija o ovim programima i zaštiti od njih može da se nađe na Internet adresi: ftp://info.cert.org/pub/cert_advisories/CA-01.network.monitoring.attacks. 5. Proverite sve programe koji se startuju iz "cron" ili "at" aplikacije jer je česta pojava da nametljivac ostavi dodatni prolaz (back door) unutar tih aplikacija, koje se startuju pod kontrolom navedenih server procesa. Time se dobija mogućnost da se pristupi sistemu i dobiju se administratorske privilegije, i to naknadno, po izvršenoj analizi sistema od strane administratora. Administrator može biti i dalje u uverenju da je posle uklanjanja značajnih programskih celina, koje je nametljivac ostavio, sada bezbedan, ali to, zapravo, ne mora biti istina. Zato je ova provera neophodna. 6. Proverite aktivne servise u sistemu što podrazumeva kontrolu svih aplikacija koje se startuju kao serveri i koje omogućavaju pristup preko mreže. Kontrolom u sistemskom fajlu /etc/inetd.conf može se uočiti da li su aktivni baš oni servisi koje smo želeli da aktiviramo ili je aktiviran i neki dodatni. Takođe, čak i ako izgleda da je sve u redu, potrebno je proveriti ponaosob svaku startovanu aplikaciju, jer je moguće da je nametljivac ostavio svoju zamenu za originalnu aplikaciju, koja će mu dozvoliti pristup sistemu kad se najmanje nadamo. Takođe, moguće je da nametljivac nije dirao nijednu serversku aplikaciju, ali da je ostavio Trojanca kao glavni kontrolni server proces (inetd) čime bi omogućio da se sistem otvara prema ostalom delu mreže onako kako je on zamislio. 7. Provera sistemskih i korisničkih fajlova sa lozinkama na sistemu (/etc/passwd) je neophodna da bi se uočile promene tipa dodavanja novog korisnika, promene grupnog broja ili jedinstvenog korisničkog broja u tim fajlovima, kao i postavljanja korisnika bez šifre, što su sve primeri pripreme sistema za destruktivno nelegalno delovanje nametljivca. 8. Proverite da li u sistemskim i mrežnim fajlovima postoje celine koje su naknadno i bespravno dodate. Posebno treba obratiti pažnju da li u konfiguracionim fajlovima tipa /etc/hosts.eljuiv .rhosts i /etc/hosts.lpd postoje linije koje sadrže znak "+". Takođe, treba proveriti da li su neki od konfiguracionih fajlova postojali odranije, ili ih je dodao nametljivac u sistem. 9. Proverite da li u sistemu postoje skriveni ili neuobičajeni fajlovi, koji pre nisu postojali. Obično postoji mogućnost da je nametljivac sakrio svoje programe pod fajl ili direktorijum pod nazivom "..." ili ".." ili "..^G" i sl. Takvi fajlovi, kao i fajlovi čija imena počinju sa tačkom "." ne mogu se na prvi pogled uočiti. Običnom komandom za pretraživanje mogu se uočiti i takve strukture. find / -name ".. " -print -xdev. 10. Ispitajte sve računare na mreži da biste našli dodatne znake provale u sistem. Obično kada nametljivac razbije zaštitu jednog sistema, onda su verovatno i drugi računari donekle zloupotrebljeni. Ovo je posebna karakteristika sistema u kojima je aktivan servis NIS.
182
Zbog toga je neophodno proveriti sve računare koji bi na bilo koji način koristili resurse napadnutog sistema, npr. preko one koji koriste .rhosts ili/i /etc/hosts.equiv datoteke u sistemu koji je postao nesiguran. B) Proučite ostale CERT dokumente: Za nove informacije o napadima koji su prijavljeni na CERT, pogledati sajt: ftp://info.cert.org/pub/cert_summaries/. Ukoliko se sumnja da je sistem posednut od strane nametljivca, treba pogledati dokument "Kako se oporaviti od napada na UNIX sistem", na adresi ftp://info.cert.org/pub/tech_tips/root_compromise. Treba pogledati i ostale dokumente na tom istom sajtu. Incident možete prijaviti CERT-u popunjavanjem formulara dostupnog na adresi: ftp://info.cert.org/pub/incident_reporting_form.
183
9. VERIFIKACIJA BEZBEDNOSNOG INFORMACIONOG SISTEMA Prema [Muf79], može da se proveri nivo bezbednosti, ali samo računarskog sistema. Prema [Int04], možete kroz ček listu (upitnik) izvršiti proveru bezbednosnog nivoa IS. U nastavku teksta dajemo sopstveni upitnik [Rod99], primer za ocenjivanje, proveru, bezbednosnog nivoa IS. Ocenjivanje se obavlja tako da se za određeno pitanje upisuje broj (do) maksimalnog broja poena koliko je dopustivo po pojedinom pitanju. Ponderisanje pojedinog pitanja izvršeno je na osnovu procene značaja (tog pitanja) za opštu bezbednost IS. Upitnik se popunjava kroz intervju nosioca bezbednosti u IS. Za neka pitanja daju se i negativni poeni. Može se zaključiti da, ukoliko je ukupan zbir poena veći od 60%, bezbednost je zadovoljavajuća itd. Godine 1999. proverena je i ustanovljena metodologija provere bezbednosnog sistema informacionih sistema (IS) po svim (poznatim) aspektima. Metodologiju ilustruje prikazani Upitnik. Upitnik je, u stvari, podsetnik za proveru. Svako pitanje je normirano, tako da u zavisnosti od veličine i složenosti preduzeća u kom se nalazi informacioni sistem, vreme provere kreće se od 77 čovek/dana do 125 čovek/dana. Pitanja su i ponderisana pa se, nakon provere, može dati i ocena bezbednosnog sistema. Upitnik je prošao validaciju prilikom provere bezbednosnog sistema jedne od najvećih jugoslovenskih banaka. Na ovom mestu, iz razloga poslovne tajne, možemo kazati samo toliko da je bezbednosni sistem navedene banke dobio (jedva) pozitivnu ocenu. Ako se ima u vidu krajnji cilj provere sistema bezbednosti IS – garancija da u određenom periodu (provera se ponavlja nakon isteka određenog vremena) neće doći do proboja (iznenađenja), tada se ovaj posao mora obaviti uz angažovanje respektivnijih resursa čovek/dan. Ukupna, prosečna, ocena se izvodi kao prosta aritmetička sredina. UPITNIK ZA PROVERU BEZBEDNOSTI 1. 2. 3. 4. 5.
6.
OPŠTA (PRAVNA) AKTA Imate li pravilnik kojim su normativno regulisana pitanja bezbednosti IS? Da su u Pravilniku definisani skupovi preventivnih i sanacionih mera? Da li je izrađen katalog opasnosti? Da li ste osigurani kod osiguravajućeg preduzeća? Da li su sačinjeni pismeni ugovori sa nekom drugom organizacijom u korišćenju rezervnog "backup" sistema? Postoje li pisana uputstva za postupke u slučaju: — požara — loma — vandalizma ili sabotaže — kvara na klima uređajima — pada napajanja električnom energijom — pada telekomunikacionih linija — pada hardvera — elementarnih nepogoda
184
DA (Max) 10 6 5 8 7
8
NE (Min)
OCENA
7. 8. 9. 10. 11.
12.
13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44.
Imate li propisane postupke za zaštitu u slučaju ratne opasnosti (pre ratnih dejstava, u toku i posle)? Da li postoji plan za ponovno uspostavljanje punog pogona nakon (katastrofalnog) pada sistema (Disaster Recovery, Plan-DRP)? Vodi li se dnevnik rada IS? Da li imate posebnu evidenciju intermitentnih grešaka? KADROVI Da li postoji opšti kadrovski upitnik? Vrše li se provere novih saradnika, prilikom zapošljavanja u IS: — da li je radnik bio kažnjavan zbog nekog iz nepoštenja izvršenog krivičnog dela — da li je radnik u krivičnom postupku — ako je već bio u radnom odnosu, da li se proverava njegov dosadašnji odnos prema radu Vrši li se test poznavanja posla? Da li postoji probni rad? Sprovodi li se osnovna obuka za sva lica koja su na bilo koji način u vezi sa dizajnom ili sprovođenjem zaštitnih mera? Sprovodi li se specijalistička obuka za izvršioce u bezbednosnom dizajnu? Da li se obuka sprovodi u kontinuitetu? Sprovodi li se obuka u primeni zaštitnih mera za lica koja direktno koriste mere zaštite? Da li vršite proveru ljudstva u poznavanju mera zaštite? Da li posedujete sredstva za prvu pomoć? Da li se vrši provera ljudstva u poznavanju mera prve pomoći? ORGANIZACIONE MERE ZAŠTITE Da li su identifikovane kritične aplikacije za koje se moraju obezbediti alternativna rešenja? Da li su identifikovane kritične konfiguracije? Da li su testirana ("backup") alternativna rešenja? Da li su planirane zaštitne mere u uslovima backup-a? Da li postoji podela poslova po timovima, licima, za oporavak sistema? Da li je izrađen spisak saradnika koji imaju ovlašćenja u slučaju katastrofa? Da li su saradnici upoznati sa svojim ovlašćenjima i dužnostima u slučaju katastrofa? Da li postoji KPL list (Key Personnel List), spisak lica koja se moraju obavestiti u slučaju katastrofe? Da li postoji DDT tim (Disaster Development Team), grupa ljudi koji će realizovati plan obnove? Da li postoji DAT tim (Disaster Assesiment Team) za procenu katastrofe? Da li ste planirali smene tako da u IS (dva operatera u "mašinskoj" sali) nikad ne radi samo jedno lice? Da li ste obezbedili zamenljivost na poslovima? Programer unosi izmene u programima isključivo uz saglasnost nadležnog lica. Različita lica kodiraju i testiraju programe. Različita lica kodiraju transakcije i održavaju datoteku (bazu podataka). Vrši se provera autentičnosti primaoca izlazne dokumentacije. Evidentira se izdavanje izlazne dokumentacije. Primalac izlazne dokumentacije proverava izlaz u odnosu na očekivani. Da li imate kontrolu kvaliteta obavljanja poslova u svim fazama? Da li je jasno definisan rezultat svake faze rada? Da li su za svaku fazu rada (zaokruženu celinu) definisani neophodni resursi? Da li upoređujete stare i nove verzije programa? Da li programsku biblioteku tretirate kao jednu od datoteka (baza podataka)?
185
9 8 7 6 10
10
6 6 7 7 7 7 7 10 10 6 6 7 5 5 5 7 6 6 6 8 8 8 8 8 8 8 8 8 8 8 8 8
45.
Da li je jednoznačno određeno ko je zadužen za bezbednost IS? FIZIČKA ZAŠTITA Da li ste regulisali kontrolu ulaska u prostorije (centra)? Da li je onemogućen ili otežan uvid spolja u aktivnosti IS (CAOP117-a)? Da li je kontrolisan pristup do vitalnih resursa IS (CAOP-a)? Da li se ograničava pristup u "mašinskoj" sali samo na izvršioce? Posedujete li šifro bravu? Posedujete li (zapečaćene) duplikate ključeva? Da li se vrši identifikacija izvršilaca kojima je dozvoljen prisup podacima i sistemu? Da li se za potrebe identifikacije koristi sistem skena zenice oka, otiska prsta, dlana i sl? ZAŠTITA SOFTVERA Da li je napravljena matrica ovlašćenja? Da li primenjujete pravilo no-read-up (Semple Security Property)? Da li primenjujete pravilo no-write-down (Property – star property)? Postoji li propis kojim je regulisano posedovanje kopija operativnog sistema? Postoji li propis kojim je regulisano posedovanje kopija uslužnih (licencnih) programa? Da li koristite originalni – licencni uslužni softver? Da li koristite piratski uslužni softver? Da li se pridržavate copyright-a? Da li ste regulisali postupak snimanja novog – licencnog softvera? Da li posedujete kopije operativnog sistema? Da li posedujete kopije uslužnih programa? Kopije softvera se nalaze u dislociranom vatrostalnom sefu. Postoji li propis kojim je regulisano posedovanje kopija aplikativnog softvera? Da li posedujete kopije aplikativnog softvera? Prostorije u kojima se skladište kopije softvera (podataka) su sa kontrolisanim pristupom i sa odgovarajućom mikroklimom. Kopije aplikativnog softvera nalaze se u dislociranom vatrostalnom sefu. ZAŠTITA PODATAKA Da li postoji pregled vitalnih podataka? Postoje li smernice za klasifikaciju podataka sa stanovišta poverljivosti i bezbednosti? Da li je u vezi sa klasifikacijom podataka, prema vrsti i stepenu poverljivosti, određeno i vreme režima poverljivosti? Postoji li za poverljive dokumente, na bilo kom mediju, propis o posebnom postupku i šta treba učiniti kada se dokumenti iskoriste (vratiti dokumente ili uništiti)? Da li ste onemogućili kopiranje i iznošenje podataka (softvera) na izmenljivim medijima? Onemogućena neovlašćena izmena podataka. Onemogućeno neovlašćeno objavljivanje podataka. Podacima se selektivno pristupa. Evidentira se pristup podacima. U obradi koristite kontrolne tačke. Da li se prilikom obrade arhivira protokol promena? Da li se prilikom obrade ažuriraju duple datoteke? Da li se štite od KEMZ-a (kompromitujuće elektromagnetsko zračenje)? Posedujete li dislocirane kopije podataka (traka, diskova i sl) sa najvažnijim podacima? Imate li propisani postupak za ažuriranje kopija?
46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 63. 64. 65. 66. 67. 68. 69. 70. 71. 72. 73. 74. 75. 76. 77. 78. 79. 80. 81. 82. 83. 84. 117
Misli se na računarski sistem.
186
7 9 7 7 7 7
6 6 7 7 7 7 10 -10 10 5 7 7 8 6 8 9 8 5 5 5 5 9 7 7 7 7 7 7 7 6 8 7
85. 86. 87. 88. 89. 90. 91. 92. 93. 94. 95. 96. 97. 98. 99. 100. 101. 102. 103. 104. 105. 106. 107. 108. 109. 110. 111. 112. 113. 114. 115. 116. 117. 118. 119. 120. 121. 122. 123. 124. 125.
Sprovodi li se propisani postupak za ažuriranje kopija? Postoje li određeni propisani rokovi u kojima treba održavati kopije? Pridržavate li se propisanih rokova za održavanje kopija? ZAŠTITA U MREŽNOM OKRUŽENJU Da li u prenosu podataka koristite steganografiju, skremblovanje ili kriptografiju? Koristite li kontrolu pristupa paket filtracijom Layer 2 packet filtriranje? Koristite li kontrolu pristupa paket filtracijom Layer 3 packet filtriranje? Koristite li dodatne filtre na višim nivoima OSI modela (aplikativni nivo)? Da li imate programski sistem za analizu uspešnosti filtriranja paketa kao vida zaštite? Da li koristite SNMP (Simple Network Management Protocol)? Da li koristite RMON (Remote MONitoring)? Da li se proverava identitet pošiljaoca paketa (authentication)? Da li koristite zaštićenu e-mail komunikaciju, PEM (Privacy Enhanced Mail) Da li koristite digitalne sertifikate (autentičnost, identifikacija i enkripcija)? Da li koristite PGP (Pretty Good Privacy)? Da li pri prenosu podataka štitite podatke tuneliranjem? Da li koristite L2 tunele? Da li koristite L3 tunele? Da li koristite multiprotokol tunele (GRE...)? Da li u Dial-In sistemu vrsite autentikaciju? Da li u Dial-In sistemu vršite autorizaciju akcija na mreži? Da li u Dial-In sistemu vršite accounting utrošenih resursa? Da li se za potrebe autentikacije u bilo kom prethodnom slučaju koristi sistem skena zenice oka, otiska prsta i sl? ZAŠTITA INFRASTRUKTURE Da li imate rezervu kritičnih resursa? Da li vršite plansku degradaciju sistema? Ako posedujete mainframe računar, da li je lociran tako da bude maksimalno zaštićen od spoljašnjih uticaja (blizina radarskih uređaja i provodnika visokog napona, kanalizacionih i vodovodnih instalacija); uticaj mehaničkih vibracija (tramvaj, pruga, itd)? Da li su instalisani uređaji za zaštitu od poplave, od prskanja vodovodnih cevi i instalacija? Da li je isporučilac sistema poštovao sve propise i zahteve u vezi sa instalacijama što se tiče održavanja, rukovanja računarom itd? Da li se pridržavate minimuma neophodnih mera zaštite koje zahteva isporučilac opreme? Da li je obezbeđeno napajanje instalisanom snagom blizu trafo-stanice? Da li je pravilno dimenzionisana instalacija? Da li su odgovarajući (i ispravni) prekidači, razvodna tabla? Da li se u pravilnim vremenskim intervalima proverava ispravnost električnih instalacija? Da li za kritične obrade (aplikacije) posedujete rezervne uređaje za napajanje električnom energijom? Da li je klima redundantno dimenzionisana? Da li je obezbeđena redovnost održavanja klima uređaja? Da li kritične delove klima uređaja držite u sopstvenom skladištu? Da li je za klima uređaj obezbeđen siguran dovod svežeg vazduha, vode i energije? Da li je identifikovana kritična (najslabija) tačka klima uređaja? PROTIVPOŽARNA ZAŠTITA Objekat u kom je smešten IS (CAOP) otporan je na visoke temperature. Pregrade, obloge, u IS su nezapaljive. Vrše li se inspekcije (skladišta) zapaljivih materijala?
187
7 7 7 8 10 8 8 8 8 8 8 8 8 8 8 10 8 8 8 8 8 6 6 7 7 10 10 10 6 9 9 7 7 7 7 7 6 6 10 10 6
126. Postoje li zone sa zabranom pušenja? 127. Da li je na snazi zabrana korišćenja otvorenih grejnih tela? 128. Da li su ugrađeni detektori požara? Da li posedujete automatske uređaje za dojavu požara i/ili javljače požara 129. "na dugme"? 130. Posedujete li odgovarajuće uređaje za gašenje požara? 131. Da li se uređaji za gašenje požara proveravaju u propisanim rokovima? 132. Da li imate vatrostalne kase i koristite li ih? 133. Proverava li se uvežbanost kadra u gašenju požara? SISTEM U OSNOVI NE SME BITI UGROŽEN ZBOG 134. Razvoja i esploatacije novih aplikacija. 135. Gašenja starih aplikacija. 136. Montaže novog hardvera. 137. Instaliranja novog sistemskog softvera. 138. Fluktuacije kadrova. 139. Preuzimanja novih radnih zadataka i zaduženja. 140. Promena u organizacionoj strukturi. 141. Arhitektonske i građevinske promene u objektu gde je smešten sistem. PROPUSTI 142. Da li ste do sada imali pojavu slučajnog oštećenja IS (centra) i podataka? 143. Da li ste do sada imali pojavu namernog oštećenja opreme i podataka? 144. Da li ste do sada imali pojavu zloupotrebe ovlašćenja?
188
5 8 7 6 8 8 5 7 9 9 9 9 9 9 9 9 -7 -10 -10
10. ZAKLJUČAK Zaključili smo da apsolutne bezbednosti IS nema. Cilj bezbednosti IS je u stvari da korisnik, suočen sa potencijalnim opasnostima, upravlja rizikom u radu IS. Prema [ISO00], to je postupak utvrđivanja, kontrolisanja i svođenja na minimum ili eliminisanja opasnosti po sigurnost koje mogu imati uticaj na informacione sisteme, uz prihvatljivu cenu. Postoji više načina tretiranja rizika: izbegavanje rizika, zadržavanje rizika, smanjivanje rizika i prebacivanje rizika. Korisnik će se u skladu sa šemom na Slici 10.1. odlučiti.
Analiza ranjivosti
Identifikacija i karakterizacija pretnji
Identifikacija i procena protivmera
Odluke upravljanja rizikom Ocena vrednosti potencijalnih ciljeva
Ocena rizika Cena efikasnosti bezbednosti
Slika 10.1. Proces upravljanja rizikom Odluka će, svakako, biti određena sledećom formulom:
R=
Pr ⋅ Ra ⋅ Z , Pm
gde su:
R – stepen rizika od 0,1 do 1.000 Pr – stepen pretnji od 1 do 10 Ra – stepen ranjivosti sistema od 1 do 10 Z – značaj sistema od 1 do 10 i Pm – intenzitet protivmera od 1 do 10. Stepen, ili intenzitet pretnji, je mera frekvencije i snage pretnji. Neke pretnje nikad ne budu otkrivene, zato se angažuju posebne službe koje otkrivaju ili procenjuju mogućnost pretnje. Ranjivost sistema je, u stvari, obratno srazmeran stepenu branjenosti sistema. Značaj sistema zavisi od finansijske, materijalne ili političke vrednosti. Analiza pretnji, ranjivosti i značaja sistema, raspoloživosti protivmera i odnosa cene rizika i cene koštanja, pomaže u vođenju i određivanju potrebnih aktivnosti rukovodstva i prioriteta u radu sa rizicima u zaštiti informacija, kao i kod uvođenja kontrola odabranih da bi štitile od tih rizika. 189
Ponekad je potrebno da se postupak ocenjivanja rizika i odabiranja kontrole ponove nekoliko puta kako bi se obuhvatili razni delovi organizacije ili pojedinačni informacioni sistemi. Metode ocenjivanja rizika mogu se primeniti na celokupnu organizaciju, ili samo na njene delove, kao i na pojedinačne informacione sisteme, specifične komponente sistema ili usluge, kao i funkcije gde je to izvodljivo, stvarno i predstavlja pomoć. Odluke mogu da budu sledeće: Izbegavati rizik. Privremeno se napuštaju određene funkcije sistema ili se ne koriste neke komponente sistema (hardver ili softver) koje su najugroženije, a bez kojih sistem može, uz manji rizik, obavljati preostale radne zadatke. Izbegavanje rizika je privremena i svesna degradacija sistema. Ova mera se koristi ako nije na raspolaganju neka druga ekonomičnija i efikasnija mera. Zadržati rizik. Nakon analize pretnji, ranjivosti sistema i raspoloživih protivmera, prihvata se rizik. Ta mera se koristi kad su prilikom konkretnog rizika male štetne posledice ili šteta je manja od troškova zaštite. Smanjiti rizik. Primeniti zaštitne mere moguće je i kao kompromis između troškova zaštite i troškova štete. Prebaciti rizik. Delimično ili potpuno prebaciti rizik na nekog drugog na sledeće načine: — garantni rok — ugovor o održavanju — ugovor o korišćenju backup sistema i — osiguranje u slučaju štete kod osiguravajućeg zavoda. Potrebno je [ISO00] sprovoditi periodična preispitivanja rizika po bezbednost i uvedenih mera zaštite kako bi se: a) uzele u obzir izmene u poslovnim zahtevima i prioritetima b) razmotrile nove pretnje i ranjivosti c) analizirao sistem u izmenjenim uslovima (hardver, softver) d) potvrdilo da su kontrole ostale efikasne i odgovarajuće. Preispitivanja treba izvoditi sa raznim nivoima dubine zavisno od rezultata prethodnih ocenjivanja i promenljivog nivoa rizika koje je rukovodstvo spremno da prihvati. Ocenjivanje rizika često se prvo sprovodi na nekom visokom nivou, kao sredstvom za prioritetne resurse u područjima visokog rizika, a zatim na nivou detalja, radi iznalaženja specifičnih rizika. Kada su zahtevi za bezbednost definisani, treba odabrati i ugraditi kontrole kako bi se osiguralo da će rizici biti smanjeni na prihvatljiv nivo. Kontrole se mogu odabrati iz ovog materijala (glava 9), ili se prema potrebi mogu projektovati druge kontrole kako bi se zadovoljile specifične potrebe. Ima mnogo različitih načina za upravljanje rizicima a ovaj materijal pruža primer mogućeg pristupa (pogledati [Int04]). Na kraju, treba zapamtiti: 1. Apsolutne bezbednosti IS nema 2. Najslabija karika svakog bezbednosnog sistema je čovek 3. Temelj svakog uspeha je dobar plan i podela zaduženja 4. Uspesi su nevidljivi a neuspesi očigledni. 190
LITERATURA [Adži99]
Adžić Gojko, Hakerska posla, www.mikro.co.yu/magazin/99_05/99_05 _hack.htm 1999.
[Ant00]
Антонов П.Ц, Малчев С.В, Криптография комуникации, Технически униβерситет, Варна 2000.
[Bas88]
Basić J. Dušan, Kako zaštiti kompjuter, Baske, Zemun 1988.
[Bob04]
Боборыкин Сергей Николаевич, Рыжиков Сергей Сергеевич, кандидат технических наук Tермохимическое уничтожение носителей информации,st.ess.ru 2004. godina
[Bre83]
Brekić Jovo, Kadrovska teorija i praksa, Informator, Zagreb 1983.
[Cer97a]
CERT© Coordination Center, Incident Reporting Form - Version 4.3.3, Dec. 15 1997.
[Cer97b]
CERT© Coordination Center, Intruder Detection Checklist - Version 1.2, ftp://info.cert.org/pub/tech_tips/intruder_detection_checklist, October 3 1997.
[Che94]
Cheswick R. William and Bellovin M. Steven, Firewalls and Internet Security: Repelling the Wily Hacker, Addison-Wesley Publishing Company, Reading, MA 1994.
[Coh95]
Cohen B. Frederic, Protection and Security on the Information Superhigway, John Wiley & Sons, New York 1995.
[Dej86]
Dejvis D.V, Barber D.L.A, Prajs V.L, Solomonides C.M, Računarske mreže i protokoli, Vojnoizdavački zavod, Beograd 1986.
[Den79]
Denning E. Dorothy and Denning J. Peter, Data Security, Computing Surveys, Vol. 11, No. 3, September 1979.
[Den82]
Denning Dorothy, Cryptography and Data Security, Addison-Wesley 1982.
[Đor02]
Đorđević G, Realizacija kriptografskih funkcija na koprocesorskom modulu na bazi digitalnog signal procesora, magistarski rad, Elektrotehnički fakultet, Beograd 2002.
[Eck85]
Eck Van, Wim, Electromagnetic Radiation from Video Display Units: An Eaevesdrpping Risk?, Computer & Security, Vol 4, No4 269-286, North Holand, London – Amsterdam 1985.
[Emw00]
EMWAC server:
[Fei87]
Feibel Werner, Enciklopedija računarskih mreža, Novell Press, San Jose 1995.
в
компютърните
http://www1.sica.com/IMS/index.htm 2000.
191
[Gla82]
Гласс Р. Роберт, Руководство по надежному програмированию, Финансы и статистика, Москва 1982.
[Gru81]
Grupa autora, Vojni leksikon, Vojnoizdavački zavod, Beograd 1981.
[RSA99]
Highland Harold Joseph, Random Bits & Bytes - A Macro Virus, Computers & Security, Vol. 8, Num.3, North Holand, London – Amsterdam 1989.
[Hig89b]
Highland Harold Joseph, Random Bits & Bytes – Tapping Fiber-optic Cables, Computers & Security, Vol. 8, Num.3, North Holand, London – Amsterdam 1989.
[Hor98]
Хорев А.А, Способы и средства защиты информации, Министерство Обороны Российской Федерации 1998.
[How97]
Howard D. John, An Analysis of Security Incidents on the Internet 1989 – 1995, THESIS – SUBMITTED IN PARTIAL FULFILMENT OF THE REQUIREMENTS FOR THE DEGREE OF DOCTOR OF PHILOSOPHY, Carnegie Mellon University – Carnegie Institute of Techology 1997.
[Hsi82]
Hsiao D.K, Kerr D.S, Madnik S.E, Computer security, Academic Press, New York, San Francisco, London 1979. – ruski prevod Сяo Д, Kэрр Д, Mэдник С, Защита ЭВМ, Мир, Moskva 1982.
[IBM85]
IBM – Intertrade, Tehnike osiguranja računskog centra i zaštite podataka, Radovljica,1985.
[Int00]
Internet prezentacija, http://news.beograd.com/srpski/clanci_i_misqewa/djurdjevic/index.html, Eshalon – peta kolona novog svetskog poretka 18. aprila 2000. godina
[Int00d]
Internet prezentacija, Virus Terminology, http://inforsec.navy.mil/ COMPUSEC/glossary.html 2000.
[Int02]
Internet prezentacija, http://www.eskimo.com/ 2002.
[Int03]
Internet prezentacija, www.Internetwk.com, Secure Enterprise 2003.
[Int04]
Internet prezentacija, Interpol, IT security and crime prevention methods 2004.
[ISO00]
ISO/IEC JTC, Information technology – Code of practice for information security management, 2000. godina
[Jov98]
Jovanović Mirko, Informacioni sistemi i praksa pravnika, "YU INFO 98", Zbornik radova, Kopaonik 1998.
[Kob94]
Koblitz Neal, A Course in Number Theory and Cryptography, Second Edition, Springer-Verlag, New York 1994. 192
[Kos89]
Kostić Petar, Selekcija ljudstva i predikcija prilagođenosti pojedinca zahtevima vojne organizacije – doktorska teza, Filozofski fakultet u Sarajevu – Odsek za psihologiju, Sarajevo 1989.
[Kpm02]
KPMG, Global Information Security Survey, www.kpmg.ru 2002.
[Kuh00]
Kuhn G. Markus, Optical Time-Domain Eavesdropping Risks of CRT Displays, University of Cambridge, Computer Laboratory JJ Thomson Avenue, Cambridge CB3 0FD, UK,
[email protected] 2000.
[Kuk02]
Kukrika Milan, Upravljanje sigurnošću informacija – zaštita informacionih sistema prema standardu ISO 17799, INFOhome Press, Beograd 2002.
[Lar80]
Medicinski leksikon, Larousse, Pariz 1980. godina, ''Vuk Karadžić'', Beograd 1983.
[Lom82]
Ломов Б. Ф, Справочник по инженрной психологии, ''Машиностроение'', Moskva 1982.
[Luc82]
Lucas A, Aktivnosti na internacionalnom i nacionalnom nivou preduzete u svrhu zaštite softvera, ORG – reporter, AOP – organizacija, sistem analiza, informac. sistemi, ETC – Ekonomsko tehnički centar, CDI – Centar za dokumentaciju i informacije, Zagreb 1982.
[Luk97]
Лукацкий А.В, Вопросы информационной безопасности, связанные с применением Интернет в кредитно-финансовых учреждениях, Тематический выпуск №1, Инфромзащита, научно-инженерное предприятие, Москва 1997.
[Mar00]
Marković Milan, Infrastruktura sistema sa tajnim i javnim ključevima, VJInfo, Beograd 2000.
[Mar81]
Marković Mihajlo, Filozofski osnovi nauke, strana 636, SANU, Beograd 1981.
[Mar85]
Marković Vidan, Bezbednosni informacioni sistemi, Birotehnika Zagreb 1985. godine,
[Mat76]
Rečnik srpskohrvatskog književnog jezika, Matica srpska, Novi Sad 1976.
[Mcc01]
McClure Stuart, Scambrey Joel, Kurtz George, Sigurnost na mreži – detaljan izvornik, Osborne/McGraw-Hill 1999. godina, ''Svetlost'', Čačak 2001.
[Men97]
Menezes A. J, Van Oorschot P. C, and Vanstone S. A, Handbook of Applied Cryptography, CRC Press, Boca Raton, Florida 1997.
[Mil75]
Milovanović M, Sudska medicina, ''Medicinska knjiga'', Beograd - Zagreb 1975.
193
[Muf79]
Muftić Sead, Sigurnost kompjuterskih sistema, Zavod za ekonomsko planiranje, Sarajevo 1979. godine,
[Mur98]
Murhammer M, Atakan O, Bretz S, Pugh L, Suzuki K, Wood D, TCP/IP Tutorial and Technical Overview, IBM Corp., http://www.redbooks.ibm.com 1998.
[Off99]
OFFICE OF THE SECRETARY OF DEFENSE (OSD), POLICY MEMORANDUM – Increasing the Security Posture of the Unclassified but Sensitive Internet Protocol Router Network (NIPRNet) dated 22. August 1999.
[Opp98]
Oppliger Rolf, Internet and Intranet Security, Artech House 1998.
[Per84]
Perry T. and Wallich P, Can Computer Crime Be Stopped? IEEE, Spectrum, Vol. 21, No. 5 1984.
[Pet00]
Petrović Slobodan, Kompjuterski kriminal, Ministarstvo unutrašnjih poslova Republike Srbije – Uredništvo časopisa "Bezbednost" i lista "Policajac", Beograd 2000. godine.
[Pra70]
Pravni leksikon (drugo izmenjeno i dopunjeno izdanje), Savremena administracija, Beograd 1970.
[Raz71]
Razingar A, Elektronska protivdejstva, Vojnoizdavački zavod, Beograd 1971.
[Rod99]
Rodić Boško, Upitnik za proveru bezbednosti IS banke, I-NET, Beograd 1999.
[Rod01a]
Rodić Boško, Interakcija javnih računarskih mreža i računarskih mreža specijalnih institucija – doktorska disertacija, Vojnotehnička akademija Beograd 2001.
[Rod01b]
Николаевич Родионов Сергей, Обеспечние национальных интересов Росии в информационной сфере, Документальная электросвязь, Moskva 2001. godina
[RSA99]
RSA Laboratories, PKCS#1, RSA Encryption Standard, Version 2.0, November 1999.
[Saj99]
Sajtovi korišćeni za testiranje otpornosti IS: EMWAC server: http://www1.sica.com/IMS/index.htm Cert Advisory: http://www.cert.org/contact_cert/certmaillist.html BugTraq:
[email protected] NT Security Digest:
[email protected] NT Security: http://www.ntsecurity.com CERT: http://www.cert.org XFORCE: http://xforce.iss.net Digital Security: http://www.eeye.com/database/advisories 1999. 194
[Sch96]
Schneier Bruce, Applied Cryptography: Protocols, Algorithms, and Source Code in C, John Wiley & Sons 2nd edition 1996.
[Seb89]
Sebery J, Pieprzyk J, Cryptography and Introduction to Computer Security, Prentice-Hall 1989.
[Sta95]
Stallings William, Network and Internetwork Security – Principles and Practice, Prentice Hall, Englewood Cliffs, New Jersey 1995.
[Sta99]
Stanojević Ivana, Surla Dušan, Uvod u objedinjeni jezik modeliranja, Grupa za informacione tehnologije Novi Sad, Novi Sad 1999.
[Ste98]
Stein D. Lincoln, WEB Security, Addison – Wesley 1998.
[Sti95]
Stinson Douglas, Cryptography: Theory and Practice, CRC Press 1995.
[Sur99]
Surla D, Konjović Z, Razvoj XML ailikacija, Međunarodni časopis industrijski sistemi, str. 83-89,sveska 1, broj 2, Novi Sad, decembar 1999.
[Sza94]
Šafranski Ričard, Teorija informacionog ratovanja - priprema za 2020. godinu, Military Review, November 1994.
[Teh88]
Tehnička enciklopedija tom 11, Jugoslavenski leksikografski zavod ''Miroslav Krleža'', Zagreb 1988.
[Tof98]
Tofler, A. i H, Rat i antirat, Paideia, Beograd 1998.
[Toš95]
Tošić R, Vukoslavčević V, Elementi teorije brojeva, Alef, Novi Sad 1995.
[Vin72]
Viner Norbert, Kibernetika ili upravljanje i komunikacija kod živih bića i mašina, ICS – Izdavačko-informativni centar studenata, Beograd 1972.
[Vin73]
Viner Norbert, Kibernetika i društvo – ljudska upotreba ljudskih bića, Nolit Beograd 1973.
[Vuj80]
Vujaklija Milan, Leksikon stranih reči i izraza, Prosveta, Beograd 1980.
[Zel82]
Зелковиц М, Шоу А, Гэннон Дж, Принципы разработки программного обеспечения, Мир, Москва 1982.
195
SADRŽAJ 1. PROLOG; BEZBEDNOST, POJAM 1 2. BEZBEDNOST IS 5 2.1. Informacija – pojam 5 2.2. Informacije i poslovni sistem 7 2.3. Značaj bezbednosti za informacioni sistem 9 2.4. Pretnje i svest o postojanju pretnji, informatički rat 14 3. KLASIFIKACIJA NAPADA NA IS 16 3.1. Cilj formiranja klasifikacije napada na informacione sisteme 16 3.2. Klasifikacije napada na informacione sisteme 18 3.2.1. Lista termina 19 3.2.2. Kategorije rezultata 20 3.2.3. Matrica 20 3.2.4. Klasifikacije bazirane na procesima 20 3.2.5. Kombinovana klasifikacija napada na računarske sisteme 3.2.5.1. Napadači i njihovi ciljevi 21 3.2.5.2. Pristup 22 3.2.5.3. Rezultati 23 3.2.5.4. Alat 24 3.3. Primer klasifikacije napada na informacioni sistem 27 3.4. Neki karakteristični primeri napada na IS 30 3.4.1. Računarski virusi 30 3.4.2. Elektromagnetno zračenje računara 35 3.4.3. Kliper čip 37 4. MODELI BEZBEDNIH INFORMACIONIH SISTEMA 39 4.1. Strukturni model bezbednog informacionog sistema 39 4.1.1. Model 40 4.2. Primeri organizacionog modela bezbednog informacionog sistema 5. MERE KOJE ČINE BEZBEDNOST INFORMACIONOG SISTEMA 58 5.1. Humana sfera 60 5.1.1. Selekcija kadrova za rad u informacionim sistemima 62 5.1.2. Obezbeđenje optimalnih radnih uslova 64 5.1.3. Prevencija kriminala 71 5.1.4. Higijensko-tehnička zaštita 72 5.2. Normativna sfera 74 5.3. Organizaciona sfera 78 5.3.1. Preporučene mere zaštite 80 5.4. Sfera fizičke zaštite 84 5.4.1. Zaštita računarskog sistema 89 5.5. Zaštita softvera 93 5.5.1. Specifičnosti zaštite softvera po vrstama 93 5.5.2. Zaštita softvera od kvarenja, uništenja i gubljenja 94 5.5.2.1. Zaštita softvera skladištenjem 94 5.5.2.2. Održavanje softvera 95 5.5.3. Zaštita softvera od neovlašćenog korišćenja 97 5.5.3.1. Patentno pravo 97 5.5.3.2 Pravo na kopiranje softvera 98 196
21
51
5.5.3.3. Zaštita softvera primenom zaštitnog znaka 100 5.5.3.4. Zakonska zaštita softvera 100 5.5.4. Zaštita od neispravnog i malignog softvera 101 5.5.4.1. Razvoj pouzdanog softvera 101 5.5.5. Zaštita sistemske dokumentacije 104 5.6. Zaštita (rezidentnih) podataka 105 5.6.1. Zaštita podataka kalsifikacijom 105 5.6.2. Raspoloživi resursi kao faktor zaštite podataka 105 5.6.3. Mere zaštite rezidentnih podataka 107 5.6.3.1. Zaštita opreme i medijuma 109 5.7. Zaštita infrastrukture… ..111 5.7.1. Zaštita računarskog sistema kao dela infrastrukture IS ...111 5.7.1.1. Nabavka računarske opreme 111 5.7.1.2. Održavanje računarske opreme ...114 5.7.2. Zaštita ostalih sistema kao infrastrukture IS............................................... 118 5.8. Protivpožarna zaštita 121 5.8.1. Područja požara 122 5.8.2. Protivpožarna preventiva 122 5.8.3. Uređaji za otkrivanje požara 123 5.8.4. Sredstva za gašenje požara 124 5.8.5. Prva pomoć stradalim u požaru 124 5.8.6. Sanacija posle požara 124 5.9. Zaštita IS u radu u mrežnom okruženju.................................................................. 126 5.9.1. Neki tipovi napada u distribuiranim računarskim sistemima 126 5.9.2. Višeslojna arhitektura sistema zaštite računarskih mreža 129 5.9.2.1. Zaštita na transportnom nivou – SSL protokol 131 6. KRIPTOZAŠTITNA SFERA 134 6.1. Definicija osnovnih kriptografskih pojmova 134 6.2. Ocena kvaliteta kriptografskog postupka 136 6.3. Kriptoanaliza 137 6.4. Kriptografske tehnike zaštite podataka 140 6.4.1. Savremeni simetrični kriptografski algoritmi 141 6.4.1.1. Blok šifarski sistemi 142 6.4.1.1.1. Kriptografski modovi blok simetričnih sistema 142 6.4.1.1.1.1. Mod elektronske kodne knjige 142 6.4.1.1.1.2. Mod ulančavanja blokova 143 6.4.1.1.1.3. Mod povratnog šifrovanja 143 6.4.1.1.1.4. Izlazni povratni mod 144 6.4.1.1.1.5. Izbor odgovarajućeg kriptografskog moda 144 6.4.1.1.2. IDEA algoritam 145 6.4.2. Asimetrični kriptografski algoritmi 147 6.4.2.1. RSA algoritam 147 6.4.2.1.1. Matematička osnova RSA algoritma 147 6.4.2.1.2. Analiza sigurnosti RSA algoritma 149 6.4.3. Digitalni potpis i PKI sistemi 149 6.4.3.1. Tehnologija digitalnog potpisa 149 197
6.4.3.1.1. Kriptografske funkcije za kontrolu integriteta podataka 150 6.4.3.1.1.1. MD5 algoritam 151 6.4.3.1.2. PKCS#1 standard 153 6.4.3.2. Infrastruktura sistema sa javnim ključevima 155 6.4.3.2.1. Digitalni sertifikati 156 6.4.3.2.2. Sertifikacioni autoritet 158 6.4.3.2.3. Liste opozvanih digitalnih sertifikata 159 Spisak skraćenica uz glavu 6 161 7. INTERNET BEZBEDNOST 162 7.1. Poboljšanje Internet bezbenosti 162 7.1.1. Preporučene akcije 162 7.1.1.1. Preporuke za Internet korisnike 162 7.1.1.2. Dopunske preporuke za komercijalne Internet korisnike 163 7.1.1.3. Preporuke za provajdere 163 7.1.1.4. Preporuke za vladu 163 7.1.1.5. Preporuke za timove odgovorne za Internet 163 7.1.1.6. Preporuke za CERT®/CC: 163 7.2. Zašto nisu dostupne sveobuhvatne informacije o Internet incidentima 164 7.3. Preporuke 164 7.4. Zaključak – za vladine organe 165 7.5. Primer Internet bezbednosti u američkoj ratnoj mornarici 166 8. REAGOVANJE NA INCIDENTE 172 8.1. Metodologija za opis scenarija potencijalnih incidentnih situacija 172 8.2. Scenariji po kojima se odgovara u procesu sprečavanja napada 178 8.3.Korektivne aktivnosti kojim se otklanjaju posledice napada 179 9. VERIFIKACIJA BEZBEDNOSNOG INFORMACIONOG SISTEMA 184 10. ZAKLJUČAK 189 LITERATURA 191 SADRŽAJ 196
198