Овај пројекат финансира Европска унија Превенција и борба против корупције Informaciona i sajber bezbednost u postupku uzbunjivanja Predavači: Ivana Tepčević, Adel Abusara Datum: 3. decembar 2020.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Informaciona i sajber bezbednost u postupku
uzbunjivanja
Predavači: Ivana Tepčević, Adel Abusara
Datum: 3. decembar 2020.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Informaciona ili ‘sajber’ bezbednost?
Informaciona bezbednost se odnosi na kontekst zaštite poverljivosti, integriteta i dostupnosti informacija
Sajber bezbednost podrazumeva širi pristup i dodatno obuhvata i pitanja zaštite mreža, infrastrukture kao i korisnika
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Kada pričamo o okviru informacione bezbednosti u Srbiji..
..mislimo na sajber bezbednost
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Zaokruženi pristup informacionoj bezbednosti podrazumeva:
Tehnologijeprimenu adekvatnih tehnologija za prevenciju i detekciju napada, kao i minimizaciju njihovog uticaja i posledica (tzv. otpornost odnosno resilience)
Procese uspostavljanje sistema, odnosno okvira, sajber bezbednosti kroz različite politike, procedure, protokole i prakse
Ljude podizanje kapaciteta i (ključno!) svesti
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Zakon o informacionoj bezbednosti i zaštita uzbunjivača
Zakon o informacionoj bezbednosti propisuje obaveze zaposlenih u državnoj administraciji koji koriste IKT sistem da imaju svest o značaju zaštite podataka, kao i adekvatan nivo obrazovanja i sposobnosti.
U ovom kontekstu, ovo se odnosi na:
- zaštitu podataka (o uzbunjivanju)- zaštitu podataka (o uzbunjivaču)
u digitalnom okruženju.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Anonimnost?
Ova karikatura je iz 1993. godine.
Da li je ovo tačna izjava danas?
Možemo li da budemo anonimni na internetu?
New Yorker, 1993.
*Na internetu niko ne zna da si pas.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Zakon o uzbunjivačima
..ostavlja mogućnost anonimnog prijavljivanja
Međutim, ukoliko uzbunjivač koristi bilo koji vid tehnologije za komunikaciju sa odgovornim licem, možemo li da garantujemo potpunu anonimnost?
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Komunikacija sa uzbunjivačem
Načini komunikacije:
- razmenom štampanih dokumenata
- telefonom - elektronskom poštom
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Komunikacija sa uzbunjivačem
Načini komunikacije:
- razmenom štampanih dokumenata
- telefonom - elektronskom poštom
Tragovi koji ostaju:
- nevidljivi žigovi na štampanim dokumentima
- podaci o korišćenju štampača, skenera, i sl.
- zapisi o elektronskoj komunikaciji (meta-podaci)
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Digitalni tragovi
Digitalni tragovi su digitalni zapisi o našim digitalnim aktivnostima, komunikaciji putem interneta i digitalnim uređajima kojima se može ući u trag.
Korisnički
nalogLokacija
Podaci o
pristupu web-
stranici i
sadržaju
Nevidljivi
markeri na
dokumentima
Podaci o
fotografiji ili
video zapisu
Pseudonim
Podaci o
pristupu mreži
ili uređaju
ImeElektronski
zapis o
komunikaciji
Obrazac
ponašanja
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Digitalni tragovi
Obrazac
ponašanja
Nevidljivi
markeri na
dokumentima
Podaci o
pristupu
web-
stranici
Podaci o
pristupu
mreži ili
uređaju
Podaci o
fotografiji ili
video
zapisu
Elektronski
zapis o
komunikaciji
Lokacija
Lokacija koju
je zabeležila
aplikacija koju
koristite
Koje ste web-
stranice
posetili i na
šta ste kliknuli
Podaci o
korisničkom
nalogu sa kog
je štampan
dokument
Pikseli na
fotografiji koji
ukazuju na
vreme i
lokaciju
Kada ste
koristili mejl ili
štampač i šta
ste radili
Podaci o
vremenu,
trajanju i
odredištu
poziva
Koje
aplikacije
obično
koristite
Ime
Ime i prezime
pod kojim ste
se registrovali
za e-uslugu
Korisnički
nalog
Korisnički
nalog koji ste
kreirali
Pseudonim
Kako se
predstavljate
na
društvenim
mrežama
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Digitalni tragovi
..su otisci (engl. digital footprints) koje ostavljamo za sobom korišćenjem tehnologije
Ovo znači da za sobom ostavljamo tragove dok pretražujemo internet, ostavljamo komentare na portalima, ‘twitujemo’, ‘lajkujemo’, ‘šerujemo’, šaljemo mejlove i popunjavamo aplikacije za posao, skeniramo, štampamo, zovemo..
..jednom rečju, svakom prilikom kada u svom analognom životu koristimo digitalne alate
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Tragovi koje mislimo da smo ostavili i tragovi koje smo zaista
ostavili
Šta društvene mreže znaju o nama?
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Digitalni tragovi
Da li su digitalni tragovi nužno loši?
Ne.
Na osnovu naših izbora, obrazaca ponašanja i podataka koje ostavljamo za sobom, dobijamo i pristup prilagođenim sadržajima, lakše je uspostaviti kontakt sa nama i u slučajevima kada je nama to važno (npr. ‘regruteri’ nas mogu naći na osnovu radnog iskustva).
Da li postoji potpuna anonimnost?
Ne.
Izuzetno je teško sakriti sve digitalne tragove koje stvaramo. Prosečan pojedinac nema vremena ni kapaciteta da se ovim bavi, niti ima pristup svim alatima i tehnologijama koje ovo zahteva.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Šta nam preostaje?
Poverljivost.
Poverljivost podrazumeva da je identitet uzbunjivača poznat najmanje jednoj osobi kao direktna posledica prijavljivanja informacije.
Nakon otkrivanja identiteta uzbunjivača, poverljivost koja se uspostavlja između odgovornog lica i uzbunjivača je od presudnog značaja, kako za samog uzbunjivača i njegovu/njenu bezbednost, tako i za ceo postupak uzbunjivanja.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Poverljivost i poverenje
Situacija u kojoj uzbunjivač prijavljuje nepravilnosti u radu svoje institucije ili organizacije zaposlenom u istoj je osetljiva.
Polazni nivo poverenja između uzbunjivača i odgovornog lica u instituciji je drugačiji od odnosa poverenja između uzbunjivača i npr. istraživačkog novinara.
Garancija poverljivosti je ključna za izgradnju poverenja.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Zaključak
Neophodno je obezbediti poverljivost komunikacije između uzbunjivača i ovlašćenog lica kako bi se osigurala adekvatna zaštita identiteta uzbunjivača.
Uzbunjivač mora da bude jasno obavešten o adekvatnim načinima dalje komunikacije isto kao što treba da bude obavešten o mogućnostima zaštite identiteta.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Zaključak
Linija između našeg identiteta u fizičkom i digitalnom svetu je izuzetno tanka i kontinuirano se smanjuje. Postojanje svesti o tome šta sve i kako može ukazati na identitet uzbunjivačaje ključno.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Rizici informacione bezbednosti
ENISA Threat Landscape 2020https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Brojke• 20 miliona phishing sajtova samo u 2020. godini. • više od 90% svih malvera (zlonamernih softvera) u 2020. godini
isporučeno je putem imejla• 50% zlonamernih imejl dodataka (attachment) ima Office
ekstenzije (.doc, .dot, .ppt, .xsl itd.)• Najskuplji napad u oblasti sajber bezbednosti - Not Petya
ransomware koštao je svet više od 10 milijardi dolara• 2016. godine, u jednom od najvećih curenja informacija ikada, više
od 3 milijarde Yahoo naloga je hakovano• Najviše napada u 2019, a posebno u 2020. godini ciljalo je sektor
zdravstva• više od 80% zaposlenih širom sveta prijavljuje nedostatak znanja i
veština u oblasti sajber bezbednosti
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Ko su mete napada?
Svi.
• Države• Državne institucije• Kompanije svih veličina i industrija• Bolnice• Škole• Pojedinci
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Ljudi kao najslabija karika?
Često čujemo kliše da su zaposleni u organizacijama ili institucijama ‘najslabija karika’.
Ljudi su napadači, zaposleni u napadnutim kompanijama, državni službenici, ucenjena fizička lica, roditelji dece čiji su nalozi hakovani…
Kako se postaje ‘prva linija odbrane’?The Cyber Security Hub
*U ovom uglu, imamo fajervolove, enkripciju,
anti-virus softver, itd. A u ovom uglu je Dejv.
(„Ljudska greška“, natpis na majici)
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Sajber higijena
Podrazumeva niz praksi i koraka koje svaki korisnik računara i mobilnih uređaja treba da primenjuje bi se bilo koji računarski sistem održao zdravim i poboljšala bezbednost u digitalnom, ali i analognom svetu
Poređenje sa higijenom u analognom svetu i automatizacijom pranja ruku je namerna
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Šifre
● Osnovna “slaba tačka” pristupa računaru ili sistemu
● Paradoks korišćenja šifara
● Alternative?
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Dobre i loše šifre (1)
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Dobre i loše šifre (2)
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Dobre i loše šifre (3)
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Šifre i načini za njihovo “probijanje”
• ‘Brute force’ napad – isprobavanje različitih kombinacija korisničkih naloga i šifri dok se uspešno ne uđe u sistem
• ‘Dictionary’ napad – varijanta brute force-a – često uspešan kao posledica korišćenja čestih šifara
• ‘Key logger’ napad – program koji beleži karaktere otkucane na tastaturi
• Targetirani OSINT napad – zasnovan na korišćenju javno dostupnih informacija o targetiranoj osobi, npr.:
■ [ime deteta/brata/sestre/roditelja][godina rođenja]
■ [ime rodnog grada][godina rođenja]
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Nismo samo mi krivi...
...curenje naših ličnih podataka (među kojima su i šifre) je i posledica hakovanja velikih kompanija
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
https://haveibeenpwned.com/
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Šta raditi?
Tri opcije:
• Jake šifre koje imaju smisla samo nama
• Multi-faktorska autentifikacija
• Password manager-i
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Kako napraviti dobru, jaku šifru
Predlozi za kreiranje jakih šifara
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Multi-faktorska autentifikacijaMulti-faktorska autentifikacija podrazumeva korišćenje više faktora prilikom autentifikacija kao dodatnih nivoa zaštite.
Ovi različiti faktori obuhvataju širok spektar alata: od šifara i PIN-ova, preko tokena i kartica, do korišćenja biometrije.
Različiti faktori multi-faktorske autentifikacije se najčešće grupišu u tri kategorije:
• nešto što znam• nešto što imam• nešto što jesam
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Multi-faktorska autentifikacija
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Korišćenje javnog WiFi interneta (1)
Ukratko: nikad. Baš nikad.
• Ranjivost WPA2 standarda za enkripciju daje mogućnost svakome ko je pored vas da se ‘postavi’ između vas i mreže i skine sve podatke koje šaljete
• Ako baš, baš, baš morate da je koristite, ne činite to bez uključenog VPNa
• Ako nemate VPN, a baš morate da koristite internet, i nemate dovoljno “svog”, obavezno proverite sa vlasnikom institucije koja je postavila mrežu (kafić, pekara, restoran itd.) koja je tačno njihova mreža
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Korišćenje javnog WiFi interneta (2)
● U tom slučaju, nikako ne idite na sajtove koji nisu bezbedni, odnosno koji nisu https, odnosno koji nemaju zeleni katanac pored imena sajta (oznaka za enkriptovanu komunikaciju)
● Internet danas više nije skup - ako morate da radite u kafiću ili slično, radije kupite paket sa dosta interneta
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Društveni inženjering
Društveni inženjering (eng. social engineering), poznatiji u našem
prevodu kao socijalni inženjering, je ne-tehnički skup metoda obmane
koji se zasniva na ljudskoj interakciji.
Zloupotrebom različitih ljudskih emocija - straha, znatiželje, pohlepe,
kreiranja osećaja hitnosti, želje da pomognemo, i sl. - metodom
društvenog inženjeringa ‘žrtva’ se prevarom navodi da zaobiđe
uobičajene, uspostavljene bezbednosne procedure.
Društveni inženjering predstavlja mešavinu psihologije, pre svega
bihejviorizma i “umetnosti” prevare.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Društveni inženjering
Društveni inženjering (ili psihološka manipulacija) je niz tehnika kojim
pojedinac zloupotrebljava poverenje drugog pojedinca tj. služi se
prevarom navodeći ga da uradi nešto što nije u njegovom interesu, npr.
obelodani privatne ili poslovne informacije koje ne bi smeo da deli ili
dozvoli pristup resursima koji napadaču inače nisu dostupni.
Tehnički gledano, društveni inženjering:
• Koristi digitalne tragove kao osnovu za kreiranje napada
• Najčešće se dešava u kombinaciji sa “klasičnim” primerima sajber
kriminala (tzv. “hakovanje”)
• Obično uključuje različite varijante krađe identiteta
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
“Phishing”
● Generičko ime za razne vrste prevara, koje se zasnivaju na pokušaju da se ubedi primalac maila da je sadržaj maila legitiman i da treba da uradi šta se u mailu traži - klikne na hiperlink, proveri podatke o nekom korisničkom nalogu, otvori attachment, i tome slično.
● Poreklo reči: “Fishing” i “Phreaking”● Najčešće, mailovi “dolaze” od banaka, pružaoca raznih usluga
(internet provajderi, Google, Netflix, Amazon, HBO) itd.● COVID situacija kao generator novih inventivnih vrsta phishinga
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Trendovi: Ranjive grupe
Generalno, uglavnom mladi i stari, a među mladima, više devojčice nego dečaci
• Za mlade mail više nije legitiman način komunikacije, već razne aplikacije (Twitch, Tik Tok itd.). Preko njih se koriste razne vrste društvenog inženjeringa
* Operacija Armagedon Odeljenja za visokotehnološki kriminal MUP R. Srbije
• Za starije sugrađane se koriste SMSishing i Vishing
* Iskustva iz Bugarske
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Zaključak
Opet: linija između digitalnog i analognog sveta praktično nestaje - ono što radimo u jednom ima implikacije u drugom.
Različiti su načini na koje nas napadači u digitalnom svetu ciljaju, ali isto tako, postoje i različite linije odbrane. Ključna je zdrav razum i svest o načinu na koji treba da se ponašamo.
I za kraj - zaštita uzbunjivača u digitalnom svetu počinje od zaštite nas samih i naših podataka, i obrnuto.
Овај пројекат финансираЕвропска унија
Превенција и борба против корупције
Hvala na pažnji!