Ransomver – evolucija i zaštita

securityRansomver je klasa malvera koja ograničavanjem ili onemogućavanjem korisnika da pristupi podacima na svom računarskom sistemu iznuđuje novac (otkup). Ova vrsta malvera može da zaključa sistem ili da enkriptuje datoteke i dokumenta koja se čuvaju u samom sistemu. Nakon zaključavanja sistema ili enkripcije podataka, ovaj malver prikazuje poruku u kojoj se zahteva otkup (ransom). Poruka o otkupu može biti u formi tekstualne datoteke, slike ili se može prikazati kao veb strana. Sam otkup može biti u vidu vaučera za plaćanje, PayPal transakcije ili plaćanje pomoću Bitcoin elektronske valute. Ransomver se može svrstati i u klasu scareware jer zastrašivanjem korisnika pokušava da iznudi novac.
U ranijim verzijama ransomvera korišćena je tehnika zaključavanja sistema dok se kod novijih verzije češće primenjuje tehnika enkriptovanja datoteka. Oba načina omogućuju da korisnik dobije obaveštenje o radnjama koje su se odvile u njegovom sistemu. Nakon enkripcije datoteka malver najčešće sam sebe izbriše a za sobom ostavi samo poruku o otkupu. U poruci o otkupu korisnik dobija detaljne informacije o načinu plaćanja otkupa u cilju dekriptovanja blokiranih datoteka. Neke varijante ransomvera u okviru poruke o otkupu imaju i tajmer koji odbrojava vreme za plaćanje otkupa. Kod poruka sa tajmerom napadač često preti da će izbrisati sve datoteke pri isteku vremena ili će uvećati iznos otkupa.
Ransomver može dospeti u sistem preko zaraženih veb strana, kao deo nekog drugog malvera ili preko phishing kampanja. Kreatori ransomvera su veoma inovatnivni i neprekidno smišljaju nove taktike napada. Radi boljeg razumevanja načina rada ransomvera potrebno je znati i evoluciju ovog tipa malvera. U nastavku rada biće dat pregled evolucije ransomvera sa posebnim akcentom na CryptoLocker i CryptoWall kao i preporuke za prevenciju ove vrste napada.

Kratka istorija ransomvera

Prvi slučajevi ransomvera zabeleženi su u periodu 2005.-2006. godine u Rusiji. Ovaj ransomver (TROJ_CRYZIP.A) je koristio tehniku zipovanja sa lozinkom da onemogući korisnika da pristupi svojm datotekama. Naime, ransomver bi određene datoteke grupisao u jednu zipovanu datoteku koja bi bila zaštićena loznkom. Osim toga, u sistemu bi se kreirala i tekstulana datoteka sa porukom u kojoj se zahteva otkup u iznosu od 300$. U početku ransomver je korišćen za enkripciju samo određenih vrsta datoteka (pr. DOC, EXE, DLL, XL).
Prvi SMS ransomver ( TROJ_RANSOM.QOWA) se pojavio 2011. godine. Ovaj ransomver, nakon inficiranja sistema, takođe je generisao poruku o otkupu koja se pojavljivala sve dok korisnik ne plati otkup. Naziv SMS ransomver potiče od tehnike koja se koristila za naplatu otkupa. Naime, korisnik bi dobio broj premium SMS servisa koji je trebao da nazove kako bi platio otkup i dobio svoje datoteke nazad.

unlocked_padlock-600x400U ovom periodu pojavila se još jedna vrsta ransomvera čija je meta bila Master Boot Record (MBR) ranjivog sistema. Napadom na MBR ransomver ubacuje svoj maliciozni kod u boot sektor i automatski restartuje računar. Nakon restarta sistema na ekranu bi se ispisala poruka o otkupu na ruskom.
Prvih nekoliko godina ransomver je bio pojava vezana isključivo za područje Rusije, ali već 2012. ovi napadi počinju da se događaju širom sveta. U martu 2012. godine primećeno je masovno širenje ransomver napada u Evropi, SAD-u i Kanadi. Osim širenja napada na druge regione, došlo je do promena u tehnikama za propagaciju napada. Ransomver napadi su emitovani u vidu watering-hole napada, odnosno, usmeravani su na kompanije ili organizacije. Kod ove taktike napadač inficira veb stranu za koju je članovi ciljane ogranizacije često posećuju kako bi došlo do masovnog širenja ransomvera čak i kod organizacija koje su otporne na phishing napade.
Reveton ransomver se pojavio 2012. godine i spade u grupu ransomver Trojan. Ovaj ransomver je poznat i pod imenom policijski ransomver jer se, u svojoj poruci o otkupu, predstavlja kao lokalna policijska služba. U poruci o otkupu navodi se da je računar korišćen za ilegalne aktivnosti kao što su piraterija ili dečja pornografija i da korisnik mora da plati kaznu. U poruci se navodi i IP adresa računara ili snimak sa kamere kako bi se žrtva uverila u autentičnost poruke. Napadači su prilagođavali poruke o otkupu na osnovnu geografske lokacije žrtve, koristili službeni jezik tog područja pa čak i lažne digitalne sertifikate.
U septembru 2013. godine se pojavila nova vrsta ransomvera koja je osim zaključavanja sistema koristila i tehniku enkriptovanja datoteka. Zbog tehnike koju koristi ovaj ransomver je nazvan CryptoLocker.

Cryptolocker

CryptoLocker se prvi put javlja u spetembru 2013. godine. Ovaj ransomver je dizajniran za napad na sisteme koji rade na Windows operativnom sistemu. Za razliku od ranijih vrsta ransomvera, CryptoLocker enkriptuje datoteke koje se nalaze u zaraženom sistemu.
Za propagaciju CryptoLockera korišćene su e-mail poruke i bot mreža. Naime, meta napada dobije e-mail sa prilogom koji je u zipovanom formatu. Ove e-mail poruke su takve sadržine da na prvi pogled deluju kao da dolaze iz legitimnog izvora. U direktorijumu iz priloga se nalazi izvršna datoteka prikrivena pdf ikonicom. Ukoliko korisnik otvori tu datoteku malver će se instalirati u user direktorijum korisnikovog računara i dodati ključ u registar. Zatim, malver će pokušati da se konektuje sa jednim od komandnih servera bot mreže. Nakon povezivanja sa komandnim serverom, server će generisati 2048-bitni RSA par ključeva (javni i privatni) i onda će javni ključ poslati nazad ka zaraženom računaru. Komunikacija između komandnog servera i zaraženog računara se preusmerava preko više različitih tačaka kako bi se onemogućilo praćenje i otkrivanje lokacije servera. Nakon dobijanja javnog ključa, malver će enkriptovati datoteke i upisaće logove svih enkriptovanih datoteka u registar ključeva.

aaeaaqaaaaaaaak2aaaajddiotnhyjhilwq3owitngy3my1hngmwltk3nmy3mwq5owzkoqCryptoLocker enkriptuje samo datoteke sa određenom ekstenzijom odnosno dokumente (MS Office, Open Office…), formate slika i AutoCad formate.
Nakon enkripcije datoteka, na ekranu korisnika se pojavljuje poruka u kojoj se traži otkup u vrednosti od 400$ u bitcoin-ima ili preko pre-paid vaučera. Ovaj otkup treba da se plati u određenom vremenskom roku (tipično 72-100 sati) ili će ključ za dekripciju biti uništen. Nakon plaćanja otkupa, korisnik dobija program za dekripciju sa upisanim odgovarajućim ključem za dekripciju.
Neke od žratava ovog ransomvera su tvrdile da i nakon plaćanja otkupa nisu dobili program za dekripciju pa su kreatori CryptoLocker-a kreirali online servis za dekripciju. Ovaj servis je pružao mogućnost dekripcije datoteka nakon kupovine ključa za dekripciju kao i kupovinu ključa nakon isteka predviđenog roka za plaćanje otkupa. Ovaj ransomver je kreirala i kontrolisala bot net grupa pod nazivom Gameover ZeuS, koja je uhvaćena sredinom 2014. godine u sklopu operacije Tovar. Operacija Tovar je okupila bezbednosne agencije više zemalja, kompanije i stručnjake iz oblasti bezbednosti kao i pojedine univerzitete kako bi otkirli grupu koja stoji iza CryptoLocker ransomvera. Nakon razotkrivanja Gameover ZeuS grupe, bezbednosne kompanije su uspele da dođu do baze podataka ključeva za dekripciju koju je ova grupa pokušala da pošalje na bezbednu lokaciju. Stručnjaci su iskoristili ovu bazu i napravili online portal za dekriptovanje datoteka enkriptovanih CryptoLocker-om. Kao vođa Gameover ZeuS grupe identivikovan je Evgenij Bogačev. On i Gameover Zeus grupa su, širenjem CryptoLocker-a i naplatom otkupa, zaradili oko 3 000 000$.
Nakon izolacije CryptoLocker-a pojavilo se više ransomvera koji rade na istom principu. Neki od njih su: Crypt0L0cker virus, CryptoLocker-v3, Cryptografic Locker, PCLock ransomware, CryptoTorLocker 2015, CryptoWall.

Dalji razvoj

Početkom 2014. godine pojavio se novi ransomver iz grupe ransomvera koji koriste tehniku enkripcije datoteka – Crypto Wall. U svom radu koristi AES enkripciju, CHM mehanizam za propagaciju i Tor anonimnu mrežu. Postoji više varijanti Crypt Wall-a i to: Cryptorbit, CryptoDefense, CryptoWall 2.0, 3.0 i 4.0.
Prve verzije CryptoWall-a su najčešće bile distribuirane preko exploit kit-a ili e-mail poruka sa malicioznim prilogom. U prilogu ovakve e-mail poruke obično se nalazi .rar direktorijum koji sadrži CHM datoteku. CHM datoteka je interaktivna html datoteka spakovana u CHM kontejner. Nakon pokretanja CHM datoteka preuzima binarnu verziju CryptoWall-a i kopira samu sebe u %temp% direktorijum. Ovo preuzimanje malvera se obavlja u pozadini, odnosno, bez znanja korisnika. E-mail poruke koje se koriste za propagaciju CryptoWall-a najčešće pokušavaju korisnika da ubede da je reč o legitimnom obaveštenju koje šalje banka ili druga finansijska institucija. Još jedna odlika CryptoWall ransomvera je poruka o otkupu na više jezika. Naime, kreatori ovog ransomvera su prilagodili poruku o otkupu geolikaciji napadnutog sistema.

shutterstock-internet-1000x460Kod CryptoWall 2.0 ransomvera datoteke su enkriptovane pomoću algoritama enkripcije sa javnim ključem dok se kod verzije 3.0 ovog ransomvera koristi 265-bitni AES ključ za enkripciju. Zatim se ovaj AES ključ enkriptuje novim javnim ključem kako bi se smanjila mogućnost njegovog otkrivanja. Prilikom enkripcije datoteka, CryptoWall 3.0 prvo kopira datu datoteku sa dodatnim slučajnim karakterom, zatim enkriptuje sadržaj datoteke i upiše ga i na kraju obriše originalnu datoteku. Svaka enkriptovana datoteka počinje sa heširanom vrednošću javnog ključa koji je dobijen od servera a zatim sledi 256-bitni AES ključ koji je enkriptovan pomoću algoritma enkripcije sa javnim ključem. Sva imena dodeljena enkriptovanim datotekama skladište su u registar ključeva “HKCU\Software\\”. Na osnovu javnog ključa CryptoWall 3.0. generiše jedinstveni ID za svaku zaraženu datoteku dok su starije verzije ovog ransomvera javne ključeve skladištile na komandnom i kontrolnom centru.
Nakon enkripcije datoteka CryptoWall emituje poruku o otkupu u kojoj opisuje svoje akcije i daje instrukcije za plaćanje. U sklopu poruke o otkupu nalaze se i Tor linkovi i jedinstveni ID specijalno generisan za odgovarajućeg korisnika. Ova poruka se može generiše na tri različita načina: kao datoteka za prikaz u veb pregledaču, u tekstualnom formatu i u formatu slike. Zahtevani otkup je najčešće u Bitcoin-ima a uplata se vrši preko Tor-a. U najnovijoj verziji CryptoWall ransomvera, verziji 4 unete su neke značajne promene. Naime, jedna od novina kod ovog ransomvera je što osim datoteka enkriptuje i njihova imena kako bi se otežao process dekripcije bez plaćanja otkupa. Osim toga, sam process instalacije CryptoWall-a 4.0 se sastoji od brojnih komandi koje se izvršavaju kako bi kako bi se zavarao anti-virus program i nesmetano izvršila instalacija ransomvera i enkripcija datoteka. Ova izmena je dovela do znatnog smanjenja detekcije CryptoWall ransomvera. Izmene se primećuju i u poruci o otkupu koja je preimenovana u ‘Help your files’ i sadrži i FAQ sekciju za korisnika.
CryptoWall i njegove varijante detektovane su širom sveta. Najveći procenat detekcije je u Severnoj Americi i Kanadi (13%), zatim u Velikoj Britaniji, Holadniji i Nemčkoj (po 7%). Procenjuje se da su napadači, samo pomoću CryptoWall 3.0 iznudili preko 325 000 000 $.
Osim CryptoWall-a veliku rasprostranjenost imaju i:

  • TeslaCrypt koji se fokusira na korisnike online igrica,
  • SamSam koji prvenstveno napada sektor zdravstva,
  • Locky koji je fokusiran uglavnom na region Nemačke i Holandije,
  • Petya ransomver koji napada boot sektor sistema,
  • KeRanger koji je dizajniran za iOS sisteme kao i
  • ransomveri koji napadaju Android sisteme.

Preporuke i predlog zaštite

Ransomver napadi se mogu izbeći primenom određenih dnevnih praksi. Korišćenjem legitimnih anti-virus programa i firewall-a sa dobrom reputacijom kao i njihovim redovnim ažuriranjem, zatim kreiranjem rezervne kopije podataka na eksternim memorijama i slično. Preporuke za prevenciju ransomvera ili ublažavanje posledica ransomvera su:

  • Redovno kreiranje rezervne kopije podataka. Poželjno je čuvanje rezervne kopije podataka na eksternim medijumima jer postoje tipovi ransomvera koji brišu rezervne kopije iz sistema,
  • Sistem treba radovno ažurirati kako bi se smanjio rizik od napada,
  • Posećivati samo proverene veb sajtove,
  • Preuzimati samo one e-mail priloge koji su poslati sa proverenih adresa,
  • Koristiti anti-virus i firewall proverenih vendora,
  • Instalirati program za blokiranje pop-up programa,
  • Onemogućiti System Restore opciju,
  • Obavestiti nadležne o napadu.

Korišćenje anti-virus programa i firewall-a proverenih vendora je dobra praksa u zaštiti od kiber napada ali često nije dovoljna. Šteta koju mogu da nanesu ovi napadi zavisi od tipa i značaja podatka koji se skladište u napadnutom sistemu. Kod rezidencijalnih korisnika materijalna šteta je najčešće simbolična jer enkriptovane datoteke obično sadrže fotografije ili profile za igranje online igara (TeslaCrypt). Kod poslovnih korisnika šteta je znatno veća. Podaci koje ransomver enkriptuje kod poslovnih korisnika mogu da budu poslovni planovi, nacrti, finansijskih podaci, lični podaci, odnosno podaci koji su poverljivi.
Malver za pokretanje instalacije ransomvera najčešće se distribuira e-mail phishing kampanjam i to u vidu priloga. Prilozi kod phishing e-mailova su obično datoteke u word ili eksel formatu sa ugrađenim aktivnim sadržajem (macros) koji se koristi za pokretanje instalacije ransomvera. Efikasan sistem za prevenciju ransomvera trebao bi da uoči ovakav sadržaj i da ga ukloni ili blokira. Jedan od pristupa za pravenciju ransomvera je filtriranje datoteka i blokiranje svih aktivnih sadržaja kao i skrivenih i nedozvoljenih sadržaja. Drugi pristup za prevenciju ransomvera je dubinska analiza sadržaja i uklanjanje potencijalno opasnih sadržaja.
Primer sistema koji koristi tehniku filtriranja datoteka je Selector IT proizvođača YazamTech. Selector IT je sistem za filtriranje različitih tipova datoteka. Rad ovog sistem se bazira na kontroli i filtriranju svih datoteka koje se unose u sistem, bilo preko mreže ili preko medijuma (CD, USB…). Kontrola i filtriranje datoteka se vrše na osnovu:

yazam

  • ekstenzije – datoteke sa lažnim ekstenzijama se odbacuju,
  • pretrage teksta – zahtevane reči, zabranjene reči, skriveni sadržaj,
  • zabranjenog sadržaja – uklanjanje aktivnog sadržaja.

Ovaj sistem ima podršku za više od 10 anti-virus programa različitih vendora i u svom radu koristi njihove anti-virus mehanizme. Datoteke koje Selector IT može da filtrira su:

  • MS office tipovi,
  • pdf,
  • tekstualni formati,
  • audio formati i formati slika,
  • formati arhiva (zip, rar…),
  • HTML, XML,
  • CAD, GIS,
  • formati poruka (e-mail, kontakti, kalendari),
  • datoteke nepoznatog tipa.4

Selector IT je preporučeno rešenje za prevenciju ransomvera zbog načina filtriranja datoteka. Naime, ovaj sistem radi filtriranje na osnovu ekstenzije i odbacuje datoteke sa lažnom ili zabranjenom ekstenzijom. Ovaj način filtriranja onemogućuje malicioznim datotekama da uđu u sistem. Osim toga, filtriranje se vrši i na osnovu aktivnog sadržaja, odnosno, aktivni sadržaj se isključuje. Veliki deo ransomvera u sistem dospeva upravo preko aktivnih sadržaja (macros) koji su ugrađeni u tekstualne dokumente. Još jedna prednost korišćenja Selector IT sistema i činjenica da su mehanizmi više anti-virus programa različitih vendora ugrađeni u ovaj sistem.
deepsKao primer rešenja koja koriste tehniku dubinske provere sadržaja radi uočavanja i uklanjanja opasnih i potencijano opasnih sadržaja mogu se navesti rešenja za bezbednu komunikaciju kompanije Deep Secure.
Web guard, rešenje kompanije Deep Secure, konroliše veb saobraćaj organizacije i vrši odbranu od naprednih pretnji i napada. U svom radu Web guard, kao i ostala Deep Secure rešenja koriste Transhipment tehniku. Transhipment tehnika se zasniva na dekompoziciji podataka i njihovoj detaljnoj analizi. Naime, kod ove tehnike na prijemu dolazi do prekidanja dolaznog protokola i potpune dekompozicije podataka. U dekomponovanom stanju podaci prolaze kroz verifikator koji vrši proveru i sve nepotrebne ili potencijalno opasne podatke eliminiše. Svi podaci koji prođu validaciju bivaju rekonstruisani i, pomoću nove konekcije, se prenose kao odredištu.
Na ovaj način Web guard vrši proveru zaglavlja svih HTTP zahteva i odgovora. Ukoliko se u njima nalaze osetljivi podaci (pr.cookies) oni bivaju odbačeni a ostatak podataka rekonstruisan i prenet dalje do odredišta. Web guard podržava autentifikaciju klijenata preko Windows Integrated Authentifications ili digitalnih potpisa i na taj način omogućuje da samo autentifikovani klijenti mogu da vrše komunikaciju u mreži. Osim HTTP protokola, Web guard podržava i HTTPS protokol što omogućuje prenos enkriptovanog saobraćaja.
Još jedna od pogodnosti Web guarda je mogućnost obaveštavanja administratora o detekciji nedozvoljenog ili sumnjivog sadržaja.
Web guard sistem je efektivna zaštita od ransomvera jer potpuno dekomponuje sve podatke i odbacuje sve osim poslovnih informacija.
Osim Web guarda postoje i druga specijalizovana rešenja za zaštitu na aplikativnom nivou kao što je rešenje Mail guard za zaštitu e-mail saobraćaja, File Transfer guard za bezbedan prenos datoteka, XML guard za kontrolu XML saobraćaja, TransGap Import Export za kontrolu datoteka koje se uvoze/izvoze na medijume, itd. Kod kompleksih sistema najbolja zaštita od ransomvera ali i drugih kiber napada bi bila kombinacija više rešenja iz domena zaštite na aplikativnom nivou. Za što viši stepen bezbednosti preporučuje se višeslojna zaštita mreže korišćenjem Web guard-a kao prvi sloj zaštite celokupne mreže, zatim Mail guard-a za zaštitu e-mail saobraćaja, File Transfer gurad-a za bezbedan prenos datoteka i TransGap ImpEx za bezbedan uvoz/izvoz datoteka sa medijuma. Ukoliko sistem poseduje servis za skladištenje datoteka preporučuje se korišćenje i TransGap SFS (Shared File Store) za zaštitu podataka u skladištima datoteka.
tnd21U uslovima savremenih kiber pretnji kao prvi i obavezan stepen zaštite mreže od kiber napada preporučuje se i kombinacija anti-virus programa, firewall-a i sistema za detekciju i prevenciju kiber napada – Intrusion Detection and Prevention Systems, skraćeno IDPS. Sve je više izvanrednih softverskih rešenja za detekciju i prevenciju kiber napada koji koriste više unakrsnih metoda za detekciju uključujući i specijalne metode za otkrivanje čak i napada nultog dana – Zero Day Attacks, koji sve masovnije zamenjuju tradicionalna serverska (IPS Server type) i mrežna rešenja (IPS Gataway type) poznatih brendiranih, veoma kompleksnih a samim tim i skupih rešenja. Jedno od izvanrednih rešenja za detekciju i prevenciju kiber napada predstavlja Towers Net Defender – TND, potpuno automatski IPDS sistem koji veoma efikasno štiti mrežu, lako i brzo se implementira, prilagođen je za rad na svim operativnim sistemima i hardverskim platformama.
Ovaj sistem nadgleda mrežu, blagovremeno identifikuje maliciozne aktivnosti i blokira ih. Zahteva vrlo malo resursa (memorija, potrošnja) i ne usporava rad sistema. Uspešno blokira DoS i DDoS napade, SYN floods, SQL injections, Brute-force napade, Rootkits, XSS napade, Zero Day napade i malvere za uspostavljanje backdoor-a.
Kombinacijom predstavljenih rešenja i pravilnom edukacijom zaposlenih sistem se može zaštititi od bilo kog kiber napada ili kombinacije napada.

Prevencija curenja podataka

downloadOtkrivanje osetljivih poslovnih podataka, može da ima ozbiljne posledice po poslovanje jedne kompanije, njenu reputaciju ili čak opstanak. U pitanju mogu da budu osetljive poslovne informacije ili intelektualna svojina čije otkrivanje narušava uspeh daljeg poslovanja kompanije, ili finansijski i lični podaci klijenata na čije čuvanje je kompanija obavezna.
Najveći rizik po poverljive poslovne informacije predstavlja pojam curenja podataka, tj neprimetno iznošenje podataka van granica sistema kojem pripadaju. Curenje podataka se definiše kao neautorizovana transmisija informacija (ili podataka) iz organizacije (kompanije, institucije) ka eksternoj adresi ili primaocu.
Za adekvatan pristup rešavanju ovog problema potrebno je shvatiti njegove uzroke, bilo da su oni tehnički ili pripadaju ljudskoj prirodi i ponašanju. Odgovor na tehničke izazove treba da prati razvoj rastućeg broja pretnji ali tako da bude u skladu sa svim aspektima organizacije poslovanja. Samo tako osetljive informacije mogu da budu sprečene da napuste granice sistema bez većeg opterećivanja poslovnih procesa.

Uzroci i posledice curenja podataka

access1Sa aspekta intencije curenje podataka može da bude namerno ili slučajno.
Namerno curenje izazvano je od strane napadača koji ima korist od podataka koje preuzima. Sa tehničkog aspekta može da ima različite uzroke. Umetanje zlonamernog softvera poput spyware-a ili backdoor-a omogućava napadaču da neovlašćeno pristupi sistemu i preuzme osetljive podatke. Slično se može postići presretanjem kriptografski nezaštićenie komunikacije ili običnom fizičkom krađom hardverskog mediuma koji sadrži nezaštićene podatke (laptop, USB, prenosni hard diskovi).
Osim toga, curenje može biti posledica zlonamerne aktivnosti jednog od zaposlenih koji ima pristup sistemu sa određenim stepenom autorizacije. Najčešći uzroci ovakvog ponašanja su nezadovoljstvo na poslu, čak 92%, ali u pitanju mogu da budu i industrijska špijunaža i finansijska dobit.

Slučajno curenje podataka je uglavnom uzrokovano nepažnjom, nemarom ili neinformisanošću zaposlenih koji nemaju za cilj nanošenje štete. Zapravo, istraživanja pokazuju da je ovo mnogo češći uzrok (99%) kada su unutrašnji rizici u pitanju.
Dominantni problem je slanje osetljivih dokumenata putem elektronske pošte primaocu koji nema pravo uvida u primljene podatke ili gubitak prenosnog hardverskog medijuma sa osetljivim sadržajem. Zaposleni mogu biti nesvesni rizika pri nepromišljenom slanju dokumenata jer, na primer, nisu upoznati sa nivoom osetljivosti podataka koje dokumenta sadrže, rizicima koji postoje ako se ti podaci otkriju ili bezbednosnom politikom kojom je definisana njihova upotreba. Uz to, uvek postoji mogućnost slučajne greške pri slanju usled nepažnje ili zamora.
Posledice gubitaka podataka mogu biti direktne ili indirektne. Direktne posledice se mogu sagledati na konkretan finansijski način. One nastaju nakon gubitka ličnih i finansijskih podataka klijenata. Kompanije kojima su podaci ukradeni primorane su da plaćaju visoke odštete i zakonom propisane kazne. Indirektne posledice je teže sagledati jer se javljaju tokom dužeg perioda i njihovu finansijsku težinu ne možemo uvek precizno da odredimo. Ove posledice nastaju nakon gubitka kritičnih p
oslovnih podataka i intelektualne svojine a uzorkuju narušavanje reputacije kompanije, okretanja klijenata ka konkurentim kompanijama i smanjivanje obima poslovanja.

Prevencija curenja podataka

Prevencija curenja podataka treba da bude usmerena ka najrizičnijim aspektima poslovne prakse. U ovom radu fokus je stavljen na dva zasebna rizika: baratanje osetljivom poslovnom dokumentacijom i očuvanje integriteta baza podataka.

Zaštita elektronske dokumentacije

Zaštita elektronskih dokumenata se može obaviti strogom kontrolom pristupa i dodelom dozvola odnosno pristupnih prava za svaki dokument. Tehnika dodele prava za pristup i manipulaciju dokumentima naziva se IRM (Information Rights Management). IRM predstavlja skup tehnologija za zaštitu osetljivih informacija od neovlašćenog pristupa. Sistemi koji su zasnovani na IRM tehnologijama rade na principu dodeljivanja prava pristupa korisnicima sistema. Administrator IRM sistema bi trebalo da ima mogućnost dodele prava odnosno dozvola za pristup dokumentu, modifikaciju, kopiranje, štampanje, screenshot i slično. Takođe, IRM sistemi bi trebalo da pružaju mogućnost klasifikacije dokumenata prema stepenu osetljivosti. Osim radnji koje korisnik može da sprovodi nad dokumentima IRM sistemi bi trebalo da imaju i mogućnost definisanja dozvola za vremensko trajanje dokumenta i lokacija sa kojih se pristupa dokumentu. Administrator može postaviti rok trajanja dokumenta pri čemu se, nakon isteka tog roka, blokira pristup. Dozvole koje se odnose na lokaciju sa koje se pristupa dokumentu mogu biti definisane na osnovu serijskog broja uređaja ili IP adrese. Nakon dodele dozvola za pristup datoteci, IRM sistem vrši enkripciju te datoteke kako bi se sprečio neovlašćeni pristup.
slider-a3Kod većine IRM sistema samo administrator može da dodeljuje, uklanja i modifikuje dozvole. Jednom dodeljene dozvole bi trebalo da ostanu trajno na zaštićenoj datoteci bez obzira na način deljenja i platforme sa koje se pristupa toj datoteci. Permanentnost pristupnih prava odnosno dozvola sprečava curenje poverljivih podataka u slučaju krađe ili gubitka prenosnih hardverskih medijuma. Naime, ukoliko dođe do gubitka ili krađe prenosnog medijuma (USB, hard disk) bilo koji korisnik koji pokuša da pristupi zaštićenim datotekama na tom medijumu neće biti u mogućnosti da to učini ukoliko nema definisana pristupna prava. Osim toga, sistem za zaštitu datoteka treba da ima mogućnost praćenja zaštićenih datoteka odnosno treba da pruži administratoru uvid u sve akcije izvršene nad dokumentom uključujući i pokušaje neovlašćenog pristupa. Ukoliko dođe do krađe ili gubitka zaštićenih datoteka administrator će imati informaciju o pokušajima neovlašćenog pristupa kao i o svim akcijama koje napadač ili sličajni pronalazač pokuša nad zaštićenim datotekama.
Radi autentifikacije korisnika i praćenja aktivnosti zaštićenih dokumenata poželjno je da IRM sistem ima mogućnost integracije sa LDAP sistemom kao što je MS Microsoft Windows Active Directory, IBM Tivoli Directory Services i slično. IRM sistemi bi trebali da imaju i mogućnost integracije sa softverskim paketima koji se koriste u poslovnom okruženju kao što su sistemi za prevenciju gubitaka podataka, poslovne komunikacije i upravljanje dokumentima. Jedno od vodećih svetskih IRM rešenja je rešenje Seclore FileSecure kompanije Seclore iz Indije. Ovo rešenje je ima mogućnost integracije sa LDAP sistemima kao što je MS Microsoft Windows Active Directory. Fleksibilnost sistema se ogleda u činjenici da sva ugrađena pravila i klasifikacije mogu da se menjaju i prilagode bilo kom poslovnom okruženju.
3sko7kyxSeclore FileSecure pruža mogućnost dodele svih standardnih dozvola koje IRM sistem treba da podržava. Dozvole koje su definisane ovim sistemom ostaju na zaštićenoj datoteci sve dok ih administrator ne ukloni ili modifikuje i ne zavise od načina deljenja datoteke i platformi koje se koriste za pristup. Nakon dodele dozvola datoteka biva enkriptovana kako bi se sprečio neautorizovani pristup i može se podeliti sa drugim korisnicima. Čak i posle deljenja datoteke sa drugim korisnicima administrator može da modifikuje, ukine ili postavi novu dozvolu na datoteku bez potrebe za ponovnim deljenjem jer se sve promene rade na serveru samog sistema.
Za pristup datotekama zaštićenim Seclore FileSecure sistemom korisnik mora da se autentifikuje svojm korisničkim imenom i lozinkom. Zaštićenim datotekama se može pristupati preko Seclore aplikacije i tada se datoteka otvara u svojoj matičnoj aplikaciji (word, excel, adobe…). Drugi način pristupa datoteci je preko veb pregledača i na taj način datoteka može samo da se pregleda ali ne i da se modifikuje. Ukoliko se zaštićena datoteka šalje korisniku koji još uvek nije u sistemu njegov profil će automatski biti generisan i on će dobiti e-mail obaveštenje o prijemu zaštićene datoteke i načinu pristupa datoteci.

Row of virtual folders with data inside

Administrator, preko upravljačke konzole, ima uvid u sve akcije sprovedene nad zaštićenom datotekom. U tabelarnom prikazu aktivnosti dat je pregled akcija preduzetih nad zaštićenom datotekom, vreme i datum kao i trenutno i originalno ime datoteke i sve to je povezanom sa odgovarajućim korisnikom. Ukoliko korisnik pokuša da izvede akciju za koju nema dozvolu ili da neovlašćeno pristupi datoteci administrator će dobiti e-mail obaveštenje o tome a korisnik će na ekranu dobiti upozorenje.
Seclore FileSecure podržava rad sa brojnim tipovima datoteka kao što su MS Office (.doc, .docx, .xls, .ppt, .pptx), Adobe, AutoCad, tekstualni i formati slika. Osim toga, ovaj sistem ima mogućnost integracije sa sistemima za upravljanje dokumentima kao što su FileNet, SharePoint, Newgen i Documentum, sistemima za prevenciju gubitaka podataka kao što su Symantec, McAfee, Websence, GTB technologies i MyDLP i sistemima za poslovnu komunikaciju kao što su SAP, Lotus Notes i Outlook.
Fleksibilnost kod dodele pristupnih prava, kompatibilnost sa velikim brojem tipova podataka i mogućnost integracije sa poslovnim softverskim rešenjima su osobine koje ovaj sistem čine vrlo dobrim rešenjem za zaštitu elektronskih dokumenata.

Zaštita baza podataka

Poverljive informacije se, osim u vidu elektronskih dokumenata, mogu čuvati i u bazama podataka. Baze podataka na sajtovima su česta meta napada. Napadi na veb aplikacije smatraju se jednim od najvećih problema organizacija poput institucija zdravstvene zaštite, finansijskih institucija i banaka kao i kompanija koje u svom poslovanju koriste veb aplikacije. Napadači koriste Cross-site scripting (XSS) i SQL injection napade kako bi došli do poverljivih informacija o korisnicima koji se čuvaju u bazama podataka veb aplikacija.
tnd21Cross-site scripting (XSS) predstavlja jedan od najvećih bezbednosnih problema kad je reč o veb aplikacijama a samim tim je i jedan od najčešćih tipova napada jer eksploatiše ranjivosti u veb aplikacijama, serverima i plug in-ovima. Ovaj tip napada pripada klasi napada koji koriste tehniku insertovanja koda. XSS napadi se izvode tako što napadač insertuje maliciozni skript u legitimni sajt. Ovaj skript će se automatski izvršiti kada korisnik u svom veb pregledaču otvori zaraženu stranu. Pri svom izvršenju maliciozni skript može da pristupi svim osetljivim informacijama koje se razmenjiju između veb pregledača i zaraženog sajta (cookies, season tokens). Ova vrsta napada se koristi rad zaobilaženja kontrole pristupa i/ili kako bi se došlo do osetljivih informacija o korisnicima. SQL injection, takođe, pripada klasi napada koji koriste tehniku insertovanja koda. Naime, napadač menja ključne reči ili operatore u već postojaćem SQL upitu kako bi došao do informacija koje se nalaze u bazi podataka. SQL ranjivosti opisane su kao jedna od najozbiljnijih pretnji po veb aplikacije i servere. Veb aplikacije i serveri koji su ranjivi na ovu vrstu napada otvaraju mogućnost napadaču da pristupi celokupnim bazama podataka koje se na njima nalaze. Ove baze podataka uglavnom sadrže osetljive informacije o klijentima i korisnicima pa posledice SQL injection napada mogu da budu krađa identiteta, gubitak poverljivih informacija ili finansijske prevare. Kako bi se zaštitile baze podataka na veb serverima i veb aplikacijama potrebno je, osim firewall-a i IPS sistema, postaviti i Web Application Firewall – WAF.
Firewall vrši nadzor i analizu saobraćaja na osnovu definisanih pravila, a IPS sistem odbija maliciozne pakete ali nijedan od ovih sistema nema mogućnost razumevanja logike veb protokola. Upravo iz tog razloga često napadači uspevaju da zaobiđu ove barijere i uspeju da dođu do podataka iz baza na veb serverima. WAF je dizajniran upravo da štiti veb aplikacije i servere od napada tako što analizira pakete na aplikativnom sloju odnosno vrši dubinsku analizu sadržaja odlaznih i dolaznih paketa.
WAF treba da bude ima mogućnost detekcije SQL injection i XSS napada ali i novih i nepoznatih napada odnosno Zero day attacks. Napade nultog dana WAF detektuje uočavanjem neočekivanih ili neobičnih dešavanja nakon čega treba da bude u mogućnosti da blokira napad i pošalje upozorenje administratoru.
Sistem pogodan za zaštitu baza podataka na veb serverima je Towers Net Defender – TND. TND je sistem za detekciju i prevenciju upada sa integrisanim WAF-om. U ovom sistemu su objedinjene funkcionalnost IPS-a odnosno nadgledanje saobraćaja i blokiranje malicioznih paketa sa funkcionalnostima WAF-a odnosno analiza paketa na aplikativnom nivou. Shodno tome, TND štiti sistem od DoS i DDoS napada, SQL injection, XSS, Brute-force napada, SYN floods, Zero day napada i rootkits-a. Osim zaštite, TND ima i funkciju automatizovanog i prilagođenog izveštavanja o aktivnostima na mreži. Ovaj sistem pruža efikasnu zaštitu bazama podataka na veb serverima a ne usporava saobraćaj jer zahteva vrlo malo resursa (memorija, procesorsko vreme…).

Zaštita privatnosti digitalnih podataka

aaeaaqaaaaaaaajpaaaajgy0ntljmjdjltnhogetndviyy1hnwfilwqznze3nge1ytq0naPitanje digitalne privatnosti postaje sve izraženije poslednjih godina kao društveni i tehnološki problem. Usled činjenice da se uz razvoj i široku primenu tehnologije paralelno razvija i njena zloupotreba, pojam privatnosti definisan od strane Luisa Brandeisa i Samuela Vorena krajem 19. veka kao „pravo da budemo ostavljeni na miru“, danas postaje sve više okrenut ka problematici zaštite privatnosti komunikacije i sigurnosti podataka.
Da je ovo pitanje već nekoliko decenija podrazumevano kao ozbiljna tematika govori i činjenica da je privatnost definisana kao jedno od osnovnih ljudskih prava u Univerzalnoj deklaraciji o ljudskim pravima Ujedinjenih nacija. Pravni okvir zaštite privatnosti podataka počeo da se razvija još sedamdesetih godina prošlog veka u Evropi. Danas obuhvata veliki broj međunarodnih dokumenata i zakona pojedinačnih država. Od značaja za zaštitu podataka u Republici Srbiji su međunarodni dokumenti Ujedinjenih nacija, regulativa Evropske Unije i naravno Ustav, Zakon o zaštiti podataka o ličnosti donet 2008. godine i Zakon o informacionoj bezbednost donet početkom 2016.
Ispunjavanje zakonskih obaveza o privatnosti podataka u digitalno doba podrazumeva i dobro poznavanje rizika koje kiber prostor donosi kao i metoda prevencije i odbrane od zloupotrebe. Kiber napadi više nisu retkost niti su jednostavno konstruisani. Brzina njihovog razvoja je vremenom sve veća pa je nepohodno da zaštita i odbrana održe barem isti tempo. Pre svega je potrebno shvatiti značaj i neophodnost pravovremene implementacije tehničke zaštite. Posledice njenog izostanka mogu biti ozbiljne i, bilo da su sudski sankcionisane ili ne, skoro uvek povlače ozbiljne financijske reperkusije.

Ugrožavanje integriteta podataka u savremenom kiber prostoru

Današnji kiber prostor nije okruženje u kojem je preporučljivo ostaviti bilo koji tip podataka nezaštićen, a tako nešto učiniti sa podacima o ličnosti je i zakonski kažnjivo. Rizici kojima su izloženi podaci i informacioni sistemi obuhvataju široki opseg napada. Oni mogu biti relativno jednostavni ali i visoko sofisticirani, najčešće u zavisnosti od koristi koja se napadom može ostvariti.
rm09-15_ff_studentdata2Po zaštitu privatnosti i integriteta podataka naročito su značajni napadi koji bi doveli do neovlašćenog pristupa, izmene i preuzimanja podataka, slučajnog „curenja“, namernog ili nenamernog uništavanja ili, što je u poslednjih par godina naročit problem, njihovog namernog zaključavanja zarad ostvarivanja finansijske dobiti. Kiber kriminal dosegao je nivo razvoja koji daje tehničke mogućnosti napadaču da se na različite načine infiltrira u sistem koji čuva podatke i nakon toga načini štetu. Najznačajniji vektori napada su email korespondencija, nebezbedan pristup internetu i presretanje transfera osetljivih podataka.
Email komunikacija, uprkos svojoj širokoj primeni, donosi veliki broj bezbednosnih izazova. Najveći problem email poruka predstavljaju prilozi koje one sadrže ili linkovi koji se nalaze u tekstu poruke. Otvaranjem priloga ili linka zlonamerne poruke može da dovede do pokretanja skrivenog malvera različitih namena i dometa u pogledu štete koju može da načini.
Zlonamerne email poruke mogu najčešće da se klasifikuju u tri grupe: spam, phishing i spear-phishing. Problem spama je prisutan jako dugo. Zaštita od njega postoji i primenjuje se na tehničkom nivou ali su i sami korisnici email servisa dovoljno informisani da ga u principu prepoznaju i brišu iz svog inboksa. Međutim, što zbog sve kvalitetnije konstruisanih poruka, što zbog nepažnje, pada koncentracije ili zamora korisnika neretko se događa da se spam poruke otvore i da se tako napadaču otvore vrata u informacioni sistem.
Spam je vremenom evoluirano u phishing (pecanje), napredniji vid napada preko email-a. Poruke su pažljivije konstruisane, njihov sadržaj i pošiljalac deluju legitimno ali ako se pažljivije pogledaju njihove karakteristike može se primetiti da su maliciozne. Za razliku od spama, phishing poruke su uglavnom napisane na jeziku koji potencijalna žrtva koristi u svojoj korespondenciji i manjeg je obima u količini poslatih poruka.
Poslednji evolutivni nivo predstavljaju spear-phishing poruke koje su uglavnom u upotrebi prilikom ciljanih (APT) napada. Usmereni su ka malom broju email korisnika konkretne organizacije koja je meta napadača.
Internet konekcija sistema koji skladišti osetljive podatke nosi slične rizike kao i otvaranje email poruka od strane njegovih korisnika. Web protokoli su sveprisutni, podržavaju web pretraživanje, mobilne aplikacije i veb servise. Međutim kompleksnost aplikacija koje ih koriste i opštost HTTP-a vodi do curenja informacija i može dovesti do zloupotrebe. Takođe pristupi nebezbednim stranicama može da dovede do prodora malvera u računar i informacioni sistem kojem on pripada.
Značajan vektor napada, takođe, predstavlja prenos fajlova sa osetljivim podacima preko nebezbedne konekcije ili prijem fajlova čija struktura i sadržaj nisu podrobno provereni.

Tehnička rešenja za očuvanje privatnosti i integriteta podataka

online-privacy-protection-lawyerRazvoj velikog broja kiber pretnji pratio je i razvoj tehničke zaštite privatnosti i integriteta podataka i informacionih sistema. Zaštitna rešenja su nastajala na osnovu potrebe da se spreče potencijalni vektori napada, određeni tipovi pretnji ali i da se ponude različiti nivoi bezbebednosti u skladu sa sigurnosnim potrebama i financijskim mogućnostima organizacije koja odluči da ih primeni.
Velike kompanije i državne institucije širom sveta odavno su svesne neophodnosti očuvanja integriteta i privatnosti podataka koje čuvaju. Iskustva kompanija koje su pretrpele napade pokazuju da, pored neizbežnih pravnih konsekvenci, ni malo nije zanemarljiv gubitak poverenja klijenata i opadanje prihoda i ugleda. Tako se, iz zakonske i poslovne nužde, okreću primeni zaštitnih rešenja.
Međutim, jedan od trendova 2015. godine je to što se kiber kriminal u velikoj meri okreće ka srednjim i malim preduzećima. Uzrok tome je što su bili posmatrani kao „lake mete“ očekujući da zbog manjeg budžeta neće uložiti u zaštitu svojih podataka i sistema.
Značajno je i to da tehnička zaštita potrebna bez obzira na domen kojim se kompanija/organizacija /institucija bavi. Dokle god skladišti lične podatke dužna je da se brine o njima.
Izbor rešenja može biti izvršen na osnovu nivoa zaštite koji je potrebno ostvariti, vektora napada koje treba štititi i finansijskih mogućnosti kojima se raspolaže.

Rešenje koje zaustavlja više vektora napada

Organizacije koje raspolažu manjim brojem zaposlenih, manjom infrastrukturom koju treba da štite i manjim budžetom, svoje informacije mogu da zaštite primenom rešenja koja brane od više vektora napada.
Ovakva rešenja vrše proveru više različitih tipova saobraćaja i sprečavaju ulazak zlonamernog sadržaja i curenje podataka. Filtriranje je potrebno izvršiti za tri najkritičnija tipa komunikacije (mail, web i file transfer). Postavljaju se na granici sistema organizacije i štite njenu celokupnu infrastrukturu.
Sprečavanje prodora zlonamernog sadržaja u sistem se pre svega može obaviti filtriranjem dolaznih datoteka vršenjem njihove dubinske provere. Dubinskom proverom analiza se unutrašnji sadržaj datoteka koji može biti različite strukture i karaktera. Datoteka može da ima u sebi druge datoteke, pa tako dubinska provera treba da bude višeslojna. Nakon provere datoteke je potrebno ponovo sastaviti uz izostavljanje pronađenih zlonamernih sadržaja. Blokiranje se primenjuje u slučaju prisustva aktivnih objekata kao što su skripte, interaktivne forme ili flash. Na taj način sprečava se da u sistem uđe spyware, ransomware ili neki drugi vid malware koji bi oštetio podatke, izbrisao ih, neautorizovano im pristupio ili omogućio njihovo curenje.
Zlonamernu prirodu datoteke napadači često pokušavaju da prikriju menjanjem njene ekstenzije. Tako jedna maliciozna skripta za postavljanje backdoor-a promenom ekstenzije može da postane .pdf ili .doc tekstualni fajl poslat uz komplementarnu poruku u mail-u, pa je potrebno da zaštitno rešenje bude sposobno da to prepozna.
Curenje podataka u vidu nepromišljenog ili namernog slanja osetljivih podataka van sistema može da bude sprečeno odgovarajućom administratorskom politikom definisanom pomoću ključnih reči na osnovu kojih bi se vršila provera sadržaja koji izlazi iz sistema.
yazamJedno od rešenja koje se može preporučiti za zaštitu sistema od više vektora napada je SelectorIT, u proizvodnji kompanije YazamTech. Ovo rešenje vrši proveru i filtriranje različitih tipova datoteka koje ulaze u sistem. Ima mogućnost integracije sa popularnim aplikacijama za email, web pretragu i transfer fajlova a skeniranje vrši pomoću 13 antivirusnih rešenja bez međusobne kolizije.

Rešenja specijalizovana za pojedinačne vektore napada

Veliki informacioni sistemi operatora ili kompleksnih organizacija mogu imati potrebu za kompleksnijom zaštitom, pa njihove potrebe ne može uvek da podmiri jedno rešenje koje pokriva sve potencijalne vektore napada. U tom slučaju primenjuju se zasebna rešenja za određene tipove komunikacija.
Kada je u pitanju zaštita privatnosti i integriteta podataka od posebnog je značaja u kompleksnim sistemima implementirati rešenja za zaštitu email komunikacije, pristupa internetu i transfera fajlova.
Zaštitna rešenja ovog tipa koriste različite mehanizme filtriranja saobraćaja. Preporuka autora je primena tehnologija koje pored ostalih metoda koriste i prekid TCP/IP konekcije na granici sistema. Ovaj pristup omogućava dodatni stepen izolacije štićenog sistema. Naime, za svaki dolazni tok saobraćaja prekida se TCP/IP konekcija i primljeni saobraćaj se analizira i filtrira. Nakon povere uspostavlja se nova TCP/IP konekcija koja omogućava prenos odobrenih podataka u drugu mrežu. Tako ni u jednom trenutku ne postoji TCP/IP konekcija koja povezuje obe mreže i daje napadaču uvid u nju.

Zaštita email komunikacije

ds-mail-guardOrganizacije koje raspolažu velikom količinom mail saobraćaja, kao što su telekomunikacioni operateri ili druge organizacije koje imaju svoje mail servere, mogu da primene tome posebno namenjenu zaštitu.
Rešenja namenjena mail zaštiti omogućavaju administratoru da za specifične potrebe sistema formira posebna pravila za ograničavanje saobraćaja. Mogu da se definišu u zavisnosti od potreba poslovanja i da budu različita za pošiljaoca i primaoca ili različit tip poruke i sadržaja.
Dolazni mail saobraćaj je potrebno filtrirati tako da se spreči ulaz nebezbednih priloga koji u sebi sadrže ransomware, spyware ili skripte koje mogu da postave backdoor, dok se odlazni saobraćaj ograničava tako da iz sistema ne izađu poruke koje sadrže osetljive podatke.
Poruke koje nisu u skladu sa bezbednosnom politikom mogu biti tiho odbačene, odbačene bez slanja povratnog izveštaja ili stavljene u karantin deep-secure-logo-without-straplinedok administrator ne odluči pojedinačno šta treba sa njima da bude učinjeno. Zaustavljanje lažnih email-ova i pokušaja socijalnog inžinjeringa se vrši proverom adrese pošiljaoca, autentifikacije i dodelom digitanih identiteta. Curenje podataka tokom tranzita poruke se dodatno može sprečiti upotrebom enkripcije.
Primer rešenja koje može da obezbedi visok nivo zaštite email komunikacije može biti Mail Guard proizvođača Deep Secure. Ovo rešenje je dizajnirano da štiti i od veoma naprednih napada i zloupotreba fokusirajući se na sadržaj. Preporučuje se njegova primena ukoliko je potrebna stroga kontrola ovog vida komunikacije.

Zaštita web komunikacije

ds-web-guardOrganizacije čiji sistemi upravljaju velikom količinom web saobraćaja imaju potrebu da taj saobraćaj prilagode svojim bezbednosnim politikama.
Rešenja za konrolu web saobraćaja vrše proveru korisnog segmenta HTTP paketa (payload) na različite vrste malvera i osetljive podatke. Dozvoljavaju administratoru da definiše bezbednosnu politiku na osnovu identiteta klijenta i servera i upotrebljene HTTP metode. To omogućava da se pravila posebno definišu da bi se ostvario najviši stepen bezbednosti.
HTTP zaglavlja takođe mogu biti proverena, modifikovana ili potpuno uklonjena i zamenjena. Na ovaj način sprečava se upotreba cookies-a i tajnih tokova informacija koje bi koristio kontrolni centar naprednih napada. Kao primer rešenja koje štiti od napada koji može doći putem web saobraćaja može se uzeti srodno rešenje, Web Guard takođe proizvodnje kompanije Deep Secure. Namenjen je preciznoj kontroli saobraćaja Internet pretraživanja i web protokola koje koriste različite aplikacije za razmenu podataka.

Zaštita transfera datoteka

ds-file-transfer-guardOrganizacije koje imaju potrebu da pažljivo kontrolišu transfer datoteka sa Internet serverima ili imaju potrebu da razmenjuju datoteke između internih zona sistema mogu da primene rešenja za konrolu ovog vida razmene podataka. Bezbednosnim pravilima koje postavlja administrator ograničava se sadržaj i određuje kako se tretira datoteka koja se prenosi. Dubinskom proverom se uklanja malver i zaustavlja curenje osetljivih podataka.
Curenje podataka može da bude sprečeno primenom bezbednosnih oznaka koje čine unapred definisane reči ili fraze. Prilikom transfera datoteka pored drugih provera vrši se i provera da li datoteka sadrži definisane reči ili fraze u svom sadržaju i pratećim karakteristikama (properties, header i footer).
Bezbednosna pravila mogu biti uslovljena identitetom klijenta koji se utvrđuju pomoću lozinke ili digitalnog potpisa. Na taj način se sprečava da neautorizovane osobedeep-secure-logo-without-straplineostvare pristup datotekama sa osetljivim podacima. Primer rešenja koje može obezbediti siguran transfer datoteka sa osetljivim podacima je File Transfer Guard takođe proizvođača Deep Secure.
Rad ovog rešenja je zasnovan na terminaciji konekcije transfera i dubokoj proveri datoteka koje se razmenjuju pre nego što se uspostavi nova konekcija i obavi prenos do odredišta. Podržava prenos pomoću FTP protokola koji koristi različite konekcije za transfer datoteka i kontrolu sesije, pa se terminacija vrši za obe konekcije.

Zaštita posebno osetljivih baza podataka

Zaštita posebno osetljivih podataka se može konstruisati na različite načine. Postavlja se pitanje koji nivo zaštite je potreban, kakav pristup podacima se očekuje.
Nivo zaštite se definiše na osnovu nivoa rizika koji postoji u čuvanju osetljivih podataka. Obično se u osnovnim arhitekturama koriste firewall uređaji u kobinaciji sa IPS (Intrusion Prevention System) rešenjima.
ds-minerva-iconU pojedinim sistemima potrebno je napraviti posebno bezbedni i izolovani backup. Tada je moguće kao poseban vid zaštite upotrebiti jednosmerne data diode. Ovi uređaji su zasnovani na jednosmernom prenosu podataka. Jednosmernost može biti obezbeđena na softverskom i hardverskom nivou. Obično se hardverski nivo obezbeđuje upotrebom jednosmernih optičkih vlakana i koristi se kao dopuna već postojećoj softverskoj jednosmernosti zarad ispunjavanja različitih standarda zaštite.
Jednosmeran uređaj ovog tipa može biti postavljen na ulazu u backup sistem, tako da dozvoljava samo ulaz podataka u zaštićenu zonu. Na taj način omogućava se unos najnovijih podataka u skladištenu memoriju ali se sprečava njihovo curenje.
Drugi način može biti njihovo postavljanje ispred sistema u kojem se čuvaju podaci kojima može biti dopušteno da napuste štićenu zonu ali je imperativ da njihov integritet bude apsolutno očuvan. U ovom slučaju dioda bi omogućila dostupnost podataka i sprečila njihovo kompromitovanje usled napada.
Pored same jednosmernosti, bitno je da data diode u sebi sadrže i mehanizme za kontrolu sadržaja koji bi uklonio potencijalne zlonamerne softvere. U prvom scenariju, bez ovakvog mehanizma moguće je da malver dospe do štićene zone i naruši integritet podataka iako nikako ne može da dovede do njihovog curenja.
arowPrimera ovakvih uređaja ima više. Minerva dioda u proizvodnji kompanije Deep Secure nudi pouzdanu softversku jednosmernost prenosa podataka uz mogućnost primene i fizičke jednosmernosti. Naime, realizovana je u vidu dva servera (prijemni i predajni) koji se ako je potrebno mogu povezati optičkim linkom. Kao drugi primer može se uzeti Arow dioda u proizvodnji kompanije Somerdata. Ova data dioda je realizovana tako da je u potpunosti hardverski jednosmerna jer su predajni i prijemni moduli (dati u redundansi) međusobno povezani optičkim linkovima. Obe ove diode sadrže mehanizme za detekciju i uklanjanje zlonamernog sadržaja iz saobraćaja koji prolazi kroz njih.

Towers Net na konferenciji ZITEH ’16

ziteh-14Kompanija Towers Net je učestvovala na konferenciji o zaštitnim informacionim tehnologijama ZITEH ’16. Konferencija koja je održana u Privrednoj komori Srbije 03. juna 2016. godine imala je za cilj da kroz predstavljene radove prikaže javnosti načine i mogućnosti prepoznavanja, sprečavanja, dokazivanja, veštačenja i sankcionisanja zloupotreba u informaciono-komunikacionim tehnologijama, upoznavanje sa stečenim saznanjima i potencijalnim opasnostima od zloupotreba informacionih tehnologija.

Jedan od ciljeva Savetovanja je i da već naredne godine preraste u redovan regionalni skup.

Skup je otvorio doajen prof. dr Slobodan R. Petrović, predsednik Organizacionog odbora i svojom nadahnutom i veoma interesantnom uvodnom prezentacijom skrenuo pažnju na sve aspekte i sve oblasti života na koje ova tema ima uticaja i posledica i istakao značaj primene mera zaštitte.

Towers net je na konferenciji učestvovao sa radovima na temu “Ransomver – evolucija i zaštita”, “Prevencija curenja podataka” i “Pravni i tehnički aspekti privatnosti digitalnih podataka”. Radovi su publikovani u Zborniku radova registrovanom u Narodnoj biblioteci Srbije sa ISBN i COBISS obeležjima.

Ukoliko želite radove i njihove prateće prezentacije možete preuzeti preko narednih linkova u .pdf formatu:

Ransomver- evolucija i zaštita: tekst rada i prezentacija;

Prevencija curenja podataka: tekst rada i prezentacija;

Pravni i tehnički aspekti privatnosti digitalnih podataka: tekst rada i prezentacija.