Sis Pitanja

8/2/2019 Sis Pitanja

http://slidepdf.com/reader/full/sis-pitanja 1/24

str. 1

1. Što je sigurnost,koji je razlog implementacije sustava sigurnosti upoduzeću?

SIGURNOST – niz mjera i postupaka koji se poduzimaju u cilju osiguranja funkcionalnosti

poslovnog sustava. Ovisnost o podacima, informacijama i komunikaciji tražiodgovarajuću razinu osiguranja.

2. Koji je odnos sigurnosti i zaštite informacijskog sustava

SIGURNOST – utvrditi mjere i postupke klasificiranog i neklasificiranog podatka koji se

obrađuje, pohranjuje ili prenosi u cilju osiguranja funkcionalnosti poslovnog sustava.ZAŠTITA – je čitav niz mjera i postupaka koji se poduzimaju kako bi se smanjila razinaprijetnji i unapredila sigurnost opreme i podataka.

3. Što je računalni kriminal, te koje radnje se mogu opisati kao računalnikriminal?

Računalni kriminal shvaćen je kao nedozvoljena djelatnost vezana uz funkcioniranje

računalnih sustava. Primjeri: Prisluškivanje, neovlašteno prodiranje u računalne sustave,manipulacije bankovnim automatima, krivotvorenja isprava, neovlašteno kopiranjekomercijalnih korisničkih programa.

4. Što govori Hrvatski zakon o računalnom kriminalu?Oštećenje i upotreba tuđih podataka, koji pokriva kaznena djela neovlaštenog pristupa ioštećenja, izmjene i uništenja podataka, kazneno djelo neovlaštenog presretanja.Nedozvoljena upotreba osobnih podataka. Sankcioniranje zloporabe Interneta.

Neovlaštena upotreba autorskog djela.

5. Nabrojite i opišite nekoliko zakona RH koji se odnose na sigurnost IS.

Zakon o zaštiti osobnih podataka. Zakon o elektroničkom potpisu - pravo na uporabu

elektroničkog potpisa u upravnim, poslovnim i drugim radnjama. Zakonom o telekomunikacijama uvjeti obavljanja telekom. djelatnosti i usluga, obveze i

prava davatelja i korisnika telekomunikacijskih usluga, izgradnja, održavanje i uporabainfrastrukture i opreme, radijske opreme i telekomunikacijske terminalne opreme,

upravljanje adresnim i brojevnim prostorom u RH. Zakon o zaštiti potrošača, oelektroničkim medijima, autorskom pravu.

6. Što je pojam digitalnog integriteta te Što sve može imati ?Integritet je zaštita podataka od neovlaštenog mijenjanja. Dodatni element je zaštita

procesa ili programa. Ključni elementi: identifikacija i provjera autentičnosti korisnikaprijavljenih u sustav.

7. Što je klasifikacija i deklasifikacija sadržaja, te koje su razine tajnostidefinirane prema zakonu o zaštiti tajnosti podataka?

Klasifikacija je postupak utvrđivanja jednog od stupnjeva tajnosti podatka s obzirom na

stupanj ugroženosti. Deklasifikacija-prestanak postojanja razloga zbog kojih je podatak klasificiran.

Vrste tajni: državna, službena, vojna, profesionalna i poslovna.

Za klasificirane podatke: Vrlo tajno, Tajno, Povjerljivo i Ograničeno.



str. 2

8. O čemu govori norma ISO 27002 i koji su koraci implementacije 27002?Sustav najbolje prakse, prijedlozi kako postići najbolju sigurnost. Koraci: 1)definirati

politiku informacijske sigurnosti. 2)procjenu rizika, 3) odabir mjera za smanjenje rizika

– prijetnji, 4) izjava o primjenjivosti, 5) praćenje funkcionalnosti, 6) dogradnja sustava.

9. Područja regulative standarda ISO 27001 i 27002? Područja prema 27002: Procjena i obrada rizika, Politika sigurnosti, Organizacija

sigurnosti, Upravljanje imovinom, Sigurnost ljudskog potencijala, Fizička sigurnost isigurnost okruženja, Kontrola pristupa, Upravljanje incidentom, kontinuitetom

poslovanja…

10. Koji su koraci izgradnje sustava sigurnosti?

1. definiranje i donošenje politike sigurnosti,2. procjena sigurnosnih rizika,

a) procjena značaja podatkovnog sadržajab) inventura informacijske imovine

c) identifikacija prijetnji pojedinom sadržaju

3. odabir mjera za smanjenje rizika,

4. izjava o primjenjivosti,

5. praćenje efikasnosti (funkcionalnosti) postavljenog sustava

6. dogradnja sustava ISMS (Information Security Management System).

11. Što je sigurnosna politika, na koji način je implementiramo, od kojihelementa se sastoji te kada je važeća?

Sigurnosna politika: pravila, smjernice i postupci što zaštititi u IS-u. Ona govori

korisnicima što smiju raditi, ne smiju, što moraju raditi. Dokumente možemo podijeliti na

krovne, provedbene i izvršne te norme i preporuke.

12. Koje su strategije izgradnje sustava sigurnosti?

1. samostalno preuzimanje rizika,

2. podjela rizika - osiguravanje dijela rizika kod osiguravatelja, a za dio sustava se

samostalno gradi sustav sigurnosti.

3. prenošenje rizika - Sav se rizik prenosi na osiguravatelja koji u slučaju velikog rizikasam ulaže u izgradnju sigurnosnog sustava.

4. negiranje rizika – odluka o nepoduzimanju nikakvih aktivnosti zaštite IS-a. Poslovanje

nije oslonjeno na IS podržan računalom, ali prijetnje nisu isključene nego je samosmanjen broj izvora i oblika prijetnje.

13. Što sve smatramo informacijskom imovinom, i zašto je bitna inventura?

Informacijska imovina - podaci i informacije (baze), fizička imovina.

Inventura je popis imovine kako bi se znalo točno stanje u kojem se organizacija nalazi.Inventura bi trebala biti „alat" kojim će se organizacija zaštititi od incidentnih situacija.

14. Što je to ugovor o tajnosti (NDA), za što služi i kada se sklapa?

Jednostrani i dvostrani ugovor o neotkrivanju povjerljivih podataka. Potpisuje se kada su

potrebni povjerljivi odnosi.



str. 3

15. Što je procjena značaja podatkovnog sadržaja, temeljem čega i zašto seprovodi i koji su unutarnji i vanjski čimbenici ? Utvrđuje se s kojim sve podacima raspolaže poslovni sustav i koji je značaj tih podatakaza funkcionalnost. U tu svrhu se radi inventura informacijske imovine.

Unutarnji : - Statut poslovnog sustava i drugi akti na nižim razinama, - Procjena

poslovodstva o važnosti pojedinog sadržaja za funkcionalnost sustava, - Poslovni običaji,- Stanje u poslovnom okruženju. Vanjski : - Zakonski i podzakonski akti države/va, - akti država u kojima djeluju poslovnisustavi s kojima se ostvaruje poslovna komunikacija, - Poslovni običaji i norme koji seodnose na granu djelatnosti, - Trenutna situacija u okruženju u odnosu na stabilnostdjelovanja poslovnog sustava sukladno izvorima i oblicima prijetnji.

16. Nabrojite i opišite izvore i oblike prijetnji informacijskog sadržaja!

Prijetnje se identificiraju po vrsti i intenzitetu.

Izvori : prirodni , ljudi (namjerno – uništenje, sabotaža, špijunaža, krađa, virusi..

nenamjerno- nepažnja, neznanje), oprema (tehnička pogreška, prestanak napajanja, prekidi

komunikacije, zračenja..).

Oblici : a) neautorizirano korištenje, b) uništenje, c) neidentificirano korištenje ineregistrirana promjena sadržaja.

17. Što je procjena rizika, te koje metode procjene rizika poznajete?

Procjenom rizika se dobiva cjelovita slika sigurnosnih rizika kojima je izložena pojedinainformacijska imovina. Analizom se poduzimaju zaštitne mjere s ciljem smanjenja ili

eliminiranja rizika.

Prema ISO/IEC 27001: Utvrditi sredstva, zakonske i poslovne zahtjeve, Provesti vrednovanje

sredstava, Utvrditi značajke prijetnji, i Procijeniti vjerojatnost pojave prijetnji.

Metode procjene - Kvalitativna analiza: pristup kod kojeg se koristi subjektivnaprocjena varijabli rizika (vrijednost imovine, mogućnost da će ranjivost biti iskorištena).

Kvalitativno uzima vrijednost parametara i njihov utjecaj na rizik. Zahtjeva znanje

osobe koja ga provodi. Kvantitativni - određuje rizik numerički tj. novčano.

Kombinirani pristup - pokušavaju se izbjeći svi nedostaci tih dvaju pristupa, aiskoristiti prednosti.

18. Kako se vrši procjena rizika, po kojim smjernicama te kako obrađujemorizike?

1. Utvrđivanje informacijske imovine koja će se analizirati,2. Utvrđivanje rizika i ranjivosti imovine,

3. Prioritetizacija rizika,

4. Uvođenje kontrola ili prihvaćanje rizika,

5. Praćenje i promatranje učinkovitosti implementiranih sigurnosnih kontrola.

Uprava donosi poslovnu odluku o načinu obrade rizika kroz odgovarajuće kontrole za

smanjenje, prihvaćanje, izbjegavanje ili prebacivanje rizika kod osiguravatelja.

Prema 27001: Utvrditi sredstva, Utvrditi zakonske i poslovne zahtjeve, Provesti vrednovanje

sredstava, Utvrditi značajke prijetnji, i Procijeniti vjerojatnost pojave prijetnji. Prema NIST: Karakterizacija sustava, Identifikacija prijetnji i ranjivosti, Analiza postojećihkontrola, Vjerojatnost pojave neželjenih događaja, Analiza posljedica, Određivanje rizika,

Preporuka kontrola za umanjivanje rizika, Dokumentacija rezultata.



str. 4

19. Što je politika praznog stola i praznog zaslona i zašto je bitna?

Voditi računa o klasifikaciji informacija, pravnim i ugovornim zahtjevima,

odgovarajućim rizicima i kulturnom okruženju organizacije. Zaštititi pohranjene

informacije:

1. zaključavanje dokumenata kada se ne koriste (u vatro-otpornom sefu ili ormaru),

2. PC ne smiju ostati prijavljeni u sustav, ako nisu pod nadzorom, koristiti lozinke,3. Osjetljive ili povjerljive informacije pokupiti iz pisača odmah po ispisu.

20. Što su sigurnosne kopije te koje strategije izrade poznajete?

Backup je kopiranje sadržaja promjenom materijalnog nositelja i njegovim prostornim

dislociranjem.

Potpuno kopiranje ( full backup ) – sve datoteke bez obzira na to jesu li označene za pohranu

( A - archive) ili nisu. Nedostatak je što se svaki puta na medij kopiraju sve datoteke.

Diferencijalno kopiranje ( differential backup ) – pohranjuje nove datoteke i one datoteke koje

su označene kao nearhivirane.

Inkrementalno kopiranje ( Incremental backup ) - pohranjuje nearhivirane datoteke i mijenja

im atribut u archive.

21. Što su sigurnosne kopije te koje materijalne nositelje i sustave za izradusigurnosnih kopija poznajete?

Backup je kopiranje sadržaja promjenom materijalnog nositelja i njegovim prostornim

dislociranjem. MATERIJALNI: Analogni ( papir ) Digitalni (*Magnetski (magnetska vrpca,

magnetski disk), *Optički (CD, DVD, BLUE RAY), *Flash memorije)

sustavi za izradu sigurnosnih opija - ZFS, RAID, SAN, NAS i iSCSI.

22. Što je to RAID te koja su dva najznačajnija RAID nivoa(implementacije)?

Radi se o skupini diskova koji zajedno čine jedan sustav na koji se zapisuju podaci , kvarbilo kojeg diska ne uzrokuje gubitak podataka. Radi povećanja brzine prijenosapodataka, ili sigurnosti.

RAID 0 - Poboljšana brzina i kapacitet, sve će se izbrisati ako bilo koji disk otkaže. RAID 1 – Za sigurnost podataka (backup ) .Najmanje dva diska. Zapis na oba diska

istovremeno ( mirror ). U slučaju kvara jednog od diskova podaci će ostati.Kada su pouzdanost i performanse čitanja važniji od kapaciteta diskovnog prostora. RAID

1 sustav je spor jer stalno kopira podatke s jednog diska na drugi.

RAID 5 – Najmanje 3 čvrsta diska. Zapis XOR kalkulacijom koji služi za rekonstrukcijupodataka u slučaju otkazivanja nekog diska. To povećava sigurnost podataka.

RAID 10 – Kombinacija RAID 0 + RAID 1. Daje visoke performanse. Potrebna su

najmanje 4 čvrsta diska i ne može funkcionirati s neparnim brojem diskova. Prvo se dvapara stavljaju u strip a potom u mirror .

23. U koje se sve namjene u području sigurnosti može koristiti RAID

tehnologija? U svrhu zaštite podataka od gubitka, poboljšanje performansi i

sigurnosti.

24. Što znači kad neki datotečni sustav podržava „snapshoot“ mehanizam?

Snapshoot je stanje sustava u određenom trenutku u vremenu. Odnosi se na stvarnukopiju sustava, odnosno njegovog stanja ili sposobnosti pojedinih dijelova sustava za

rad.



str. 5

25. Što su to „hot-spare“ diskovi? Zašto se koriste?

Hot Spare je naziv za diskove koji sami za sebe nisu dio RAID implementacije ali su

ugrađeni u svrhu redundancije. Kad se neki od diskova u RAID-u pokvari ovaj disk

preuzme funkciju. Namjena ovih diskova je da uklone vrijeme potrebno za nabavu

zamjenskih diskova u slučaju kvara. Na ovaj način se serveri štite od kvara dvaju diskova

u kratkom vremenu (vremenu kraćem od vremena potrebnog da se kvar ustanovi, nabavi i ugradi novi

ispravni disk).

26. Što je to virus i od čega se on sastoji?

Virus je programski kôd čija je namjera samo kopiranje bez htijenja i znanja korisnika. Jedan dio je samokopirajući kôd koji omogućava razmnožavanje. Drugi dio je korisna

informacija koja može biti bezopasna ili opasna.VRSTE: Virusi Master boot sektora, Virusi pratioci - stvori .COM datoteku koristeći imeveć postojećeg .EXE programa i ugradi u nju svoj kod. Svestrani virusi , Virusi nametnici –Vezujući virusi - u trenu zaraze cijeli sustav. Računalni crv je računalni program koji mrežomumnožava sam sebe. Trojanski konj djeluje kao da provodi željenu funkciju dok zapravo koristi

neautorizirani pristup korisnikovom računalnom sustavu. Keylogging je način praćenja koja tipka jepritisnuta na tipkovnici. Adware/Spyware (softver za potporu reklamiranja) automatski se pokreće, skidareklame na računalo nakon što se softver instalira.

27. Što sve podrazumijevamo pod pojmom malicioznog koda te na koji načinvršimo detekciju i uklanjanje malicioznog softwarea?

Programi ili dijelovi kôda čije pokretanje dovodi do neželjenih posljedica (crvi,trojanci,virusi ).

Detekcija:

1. pratiti sve aktivnosti na računalu.

2. scanneri ( baza znakova ) – tragaju za ključnim dijelovima programa, slijedom znakova

karakterističnih za određeni virus.3. detektori promjena - temelji se na checksumu.

28. Što je botnet i kako funkcioniraju botneti?Botnet - mreža računala koja koristi softver za distribuirano računarstvo. Kako funkcioniraju: - bot koristi TFTP, FTP, HTTP da bi se prenio na ranjivo računalo.Pokreće se izvršna datoteka bota, te se on pokušava spojiti na IRC server koji je u njegakodiran. Vlasnici botova tipično imaju postavljen IRC server na nekom ranjivom računalu.

Vrste napada: *DDoS, *Botnet-Spam, *Spyware...

29. Što je DDoS, te kako se štitimo od njega?

Raspodijeljenim napadom uskraćivanja usluga (Distributed Denial of Service -DDoS ) napadačkoordinira napad upotrebom više računala. Opseg stvorenog mrežnog prometa možeiskoristiti resurse ciljanog računala, blokirati propusnost mreže za ci jelu organizaciju.

Botovi (agenti – programski kôd koji se pokreće) se raspodjele na ugrožene botnet mreže, agent

zapovijeda (program koji upravlja) botovima kada i kako da napadnu.

SYN flood napad se ostvaruje slanjem puno SYN poruka drugoj strani bez odgovaranja na njezine

odazive.

UDP flood napada veliki broj malih UDP paketa. Svaki od paketa zahtijeva određeno procesnovrijeme, memoriju i propusnost.

Zaštita: blokirati portove, IP adrese od strana s koje dolazi DDoS. Proxy, uređaji za

sprečavanje pristupa mreži, IDS za detekciju napada...



str. 6

30. Što je rootkit? Kakve oblike rootkita poznajete?

Rootkit se sastoji od jednog ili više programa rađenih za uklanjanje dokaza da je sustavkompromitiran. Glavni cilj rootkita je preuzimanje kontrole nad OS-om. Firmware rootkit

koristi firmware uređaje ili platforme kako bi ušao u sustav . Rootkit za hipervizorni sloj

modificira redoslijed pokretanja uređaja kako bi se učitali kao hipervizor orginalnog OS-a.

Rootkitovi na razini jezgre dodaju kôd i/ili mijenjaju dijelove OS-a u samoj jezgri tedriverima. Rootkitovi na bibliotečnoj razini zamjenjuju sistemske pozive sa verzijama

koje skrivaju informacije o napadaču. Rootkitovi na aplikacijskoj razini zamjenjuju

regularne aplikacije trojanskim konjem.

31. Što je „obrana u dubinu“ i zašto je bitna kod izgradnje sustavasigurnosti?

Namjera da se svaki dio informacijskog sustava potpuno zaštiti. Posebno imati na umunajslabije karike sustava, nikako ih ne zanemarivati.

32. Što smatramo pod pojmom kriptografija te koja je razlika izmeđusimetrične i asimetrične kriptografije.

Kriptografija predstavlja transformiranje podataka u neprepoznatljiv sadržaj, i njihovovraćanje u originalni oblik pomoću kriptografskih algoritama i odgovarajućih ključeva.SIMETRIČNA – jednom šifrom (ključem) zakl jučavamo i otključavamo poruku. Prednost

mu je brzina rada. Mana mu je da pošiljatelj i primatelj moraju imati isti ključ (DES, AES i

IDEA).

ASIMETRIČNA – uvijek se generira par ključeva, primateljevim javnim (JKB) se poruka

zaključava, a primatelj privatnim otključa (PKB). Javni se generira iz privatnog i

distribuira svim pošiljateljima, privatni je kod nas i s njim otključavamo poruku. Primatelj

ne zna tko mu šalje (to rješavamo certifikacijom ključa). Privatni ključ nije moguće izvesti iz

javnog ključa. ( RSA-dig.potpis ,Diffie-Hellman ). Hash (sažetak poruke): jednosmjerna funkcija,sažima niz bitova neke poruke u niz bitova određene veličine ( 256,512,1024b ). Cilj

izračunavanja sažetka je da se kasnije može provjeriti integritet poruke.

33. Što su hash funkcije i zašto se koriste?

HASH FUNKCIJA odnosno funkcija sažimanja je transformacija ulaznog niza znakova uizlaz fiksne duljine. Ne reverzibilna je – svakako, ovisno o kakvoći algoritma. Ukoliko seoriginalni podatak temeljem kojeg je izračunat sažetak promjeni, čak i minimalno,dobijemo potpuno drukčiji novi sažetak. Izračun sažetka nekako se najviše u informaticikoristi za zaštitu lozinke.

34. Što je digitalni potpis, te kako realiziramo digitalni potpis? Digitalni potpis (asimetrična kriptografija) je sažetak poruke koji je kriptiran sa privatnim

ključem pošiljatelja (PKA). Digitalni potpis služi za utvrđivanje besprijekornostiinformacije i za identifikaciju pošiljatelja. Osigurava a)autentičnost - utvrđujemo dešifriranjemsažetka, b)integritet - je li se poruka mijenjala c)neporecivost - jedino pošiljatelj ima pristup do svog privatnog

ključa kojim je potpisao poruku.

Realizacija - Uz pomoć Private Key Infrastructure postiže se tajnost i integritet informacija:

A: Parom komplementarnih ključeva se vrši enkripcija i dekripcija (RSA).

Posebnim software-om se iz podatka proizvodi sažetak - hash. Privatnim ključem(PKA) šifriramo hash ( jednosmjerna funkcija ) te se on pridodaje izvornoj poruci i to

šaljemo primatelju.

B: Primatelj koji raspolaže porukom i pridruženim digitalnim potpisom treba još pribaviti javni ključ potpisnika poruke (JKA) kako bi potvrdio verifikaciju. Hash



str. 7

funkcija primijenjena na određeni tekst uvijek proizvodi identičan krajnji rezultat iprovjera digitalnog potpisa temelji se na toj karakteristici. Javnim ključempotpisnika (JKA) primatelj će dešifrirati digitalni potpis i tako dobiti sažetak (hash)

koji će usporediti s sažetkom (hashom ) dobivenim neposredno iz primljene poruke.

Ako su ta dva sažetka jednaka znači da je poruku potpisao vlasnik privatnog

ključa i da poruka u komunikacijskom procesu nije mijenjana.

35. Što je digitalna omotnica (PGP postupak) i kako se realizira?

Digitalnu omotnicu (tajnost, ne besprijekornost) čine poruka koja je kriptirana sa nekimslučajno odabranim simetričnim ključem, taj isti ključ kriptiran sa javnim ključemprimatelja poruke (JKB).

PGP (program) kriptira elektroničku poštu, predstavlja digitalnu omotnicu.

Digitalni pečat = digitalno potpisana digitalna omotnica. (tajnost, autentičnost, integritet,

neporecivost).

36. Što je firewall i zašto je bitan?

Filtriranje, analiza i provjera paketa podataka koji nose informacije sa i na Internet.

Pristup samo onima kojima smo to i dopustili. Instalira se tamo gdje se privatna mrežaspaja na internet. Funkcije : blokirati dolazni/odlazni promet, filtriranje paketa , prijevod

mrežne adrese , aplikacijski proxy , nadgledanje i bilježenje.

37. Koje izvedbe firewalla poznajete, te što je DMZ?Firewall baziran na filtru paketa, na potpunom filtru paketa, Aplikacijski firewall...

Demilitarizirana zona (DMZ) dio mreže koji nije dio interne mreže, ali nije ni dioInterneta. Između rutera za pristup Internetu i bastion hosta. Stvara dodatan sloj

sigurnosti zbog kojeg napadač ima mogućnost samo napasti opremu u DMZ, a ne i cijelu

mrežu.

38. Što je sigurni perimetar, te koje metode fizičke zaštite poznajete?

Granica sigurnosne okoline. fizičke metode : brave, zidovi, čuvari, sefovi, trezori.

39. Koje sustave za kontrolu pristupa poznajete?

Kontrola pristupa: kontrola pristupa mreži, OS-u, aplikacijama i informacijama. Lozinke, lokoti,

brave... Biometrijske metode: skeniranje prsta, geometrija dlana, skeniranje rožnice,

šarenice, DNK, uho, potpis, slika lica, miris, glas, dinamika tipkanja, hod...



str. 8

40. Što je biometrija i kako je koristimo za autentikaciju i identifikaciju?

Znanost o prepoznavanju ljudskih bića na temelju njihovog fizičkog izgleda (otisci,

skeniranja...), ponašajnih karakteristika (rukopis, hod...). Autentikacija potvrđuje da jeidentificirana osoba uistinu ona za koju se predstavlja (prepoznavanje glasa, geometrije dlana,

dinamike tipkanja, potpisa, rožnice, mrežnice i šarenice). Identifikacija odgovara na pitanje o kojoj

se osobi radi (prepoznavanje pomoću otisaka prsta, DNK-a, uha, mirisa, hoda i slike lica).

41. Koje mjere sigurnosti poznajete?

Programske mjere zaštite: Zaštićujemo zaporkom. Zaštita od malicioznog softvera isustavi kriptozaštite.Tehničke mjere sigurnosti: Protupožarni detektor, detektori prekida strujnog kruga,

laseri i senzori, kamere, detektori zvuka i vibracije.

Fizička zaštita: računalne opreme, programa i datoteka od uništenja, neovlaštenogmijenjanja sadržaja, požara, poplave, potresa, eksplozije, krađe i divljaštva i slično...(brave, čuvari, sefovi, trezori,...).

Organizacijske mjere zaštite: 1. Upravljanje mrežom poslovnih sustava, 2. Kontrola pristupa, 3.

nastavljanje poslovanja nakon nastupanja incidentne situacije, 4. Postojanje više alternativnih sigurnosnihprocedura 5. nadzor i kontrola.

42. Navedite barem 7 klasa norme ISO 27002 i objasnite jednu!

1) Sigurnosna politika, 2) Organiziranje informacijske sigurnosti, 3) Upravljanje

imovinom, 4) Sigurnost i ljudski resursi, 5) Fizička zaštita i zaštita od okoline, 6)

Upravljanje komunikacijama i operacijama, 7) Kontrola pristupa, 8)Obogaćivanje, razvoj iodržavanje informacijskog sustava, 9) Upravljanje incidentima informacijskog sustava, 10) Upravljanje

poslovnim kontinuitetom, 11) Usklađivanje.

Kontrola pristupa: ograničavanje pristupa mrežama, aplikacijama, podacima... pratiti i

pristup svim informacijama koje kruže organizacijom. Tu imamo obveze korisnika,

kontrolu pristupa OS-u, udaljeni rad - mobilno računarstvo.Usklađivanje: potrebno je provesti usklađivanje sa zakonom kako bi se izbjeglo kršenje zakona i

ugovornih obveza. Uprava treba odobriti uporabu sredstava za obradu informacija a bilo kakva

uporaba ovih sredstava za osobne svrhe bez odobrenja uprave, smatra se zlouporabom. Svi

korisnici trebaju biti svjesni dokle seže njihov pristup.

43. Što sve smatramo pod pojmom „politika sigurnosti“ IS-a?

Politika informacijske sigurnosti je dokument kojim kompanija izražava odlučnost ispremnost zaštite cjelokupne informacijske imovine u svrhu njezinog integriteta,

povjerljivosti i raspoloživosti .

44. Što su Kontrole u okviru normi ISO 27002 i ISO 27001?

Kontrola je sredstvo upravljanja rizikom, uključujući politike, procedure, smjernice,praksu ili organizacijske strukture, koje mogu biti administrativne, tehničke, upravne ilizakonodavne naravi. Kontrola se također koristi kao sinonim za zaštitu ili protumjeru.

45. Zašto je danas potrebna informacijska sigurnost?

Prebacivanje velikog obujma poslovanja s klasičnog principa na e-poslovanje uzrokovao

je da je sigurnost podataka koji se prenose preko raširenih mreža ugrožena.

Poslovanja se danas puno oslanjaju na informacijsku potporu, to traži razinu osiguranja i

zato je potrebno izgraditi sustav sigurnosti koji će odgovoriti na sve postavljene zahtjeve,

a istovremeno neće biti prepreka primjeni u pretpostavljenim uvjetima.



str. 9

46. Koje su obveze uprave prema informacijskoj sigurnosti?1. Da su ciljevi informacijske sigurnosti definirani, zadovoljavaju organizacijske zahtjeve i da

su integrirani u odgovarajuće procese,

2. Formulirati, pregledati i odobriti politiku Informacijske Sigurnosti,

3. Provjeriti učinkovitost primjene politike Informacijske Sigurnosti,

4. Osigurati jasno vođenje i podršku uprave sigurnosnim inicijativama,

5. Potrebna sredstva informacijske sigurnosti,

6. Odobriti dodjeljivanje određenih zadataka i odgovornosti za IS u organizaciji,

7. Održavati svijesti o IS,

8. Osigurati koordinaciju primjene kontrola informacijske sigurnosti.

47. Što je to sporazum o povjerljivosti i s kim se sve mora potpisati?

Daje se do znanja da je neka informacija povjerljiva ili tajna. Zaposlenici potpisuju to kao

dio ugovora o radu. Osoblje i korisnici s treće strane koji nisu obuhvaćeni takvimugovorom, moraju potpisati sporazum o povjerljivosti prije nego što dobiju pristup

računalnoj tehnologiji. Kod promjena u zapošljavanju, kad radnici napuštaju organizaciju.

48. Kada i zašto se mora provoditi nezavisna provjera informacijske

sigurnosti?

Provodi se zato što se nekada dogode značajne promjene u poslovanju. Nju pokrećeuprava. Provjera treba sadržavati procjenjivanje mogućnosti za poboljšanje. Pojedincikoji izvode ovakve provjere trebaju posjedovati znanije, vještine i iskustvo.

49. Što je to vlasnik informacijske imovine i kako ga definirati?

Vlasnik ima zadatak da kontrolira i održava imovinu koja mu je dodijeljena.

50. Što sve čini rizike koji se odnose na vanjske suradnike?

U ugovorima s vanjskim tvrtkama donesemo odredbe kojima se vanjski partneri

obvezuju na poštivanje sigurnosnih pravila. Ako se podaci mogu klasificirati kao tajna,potrebno ih je privremeno ukloniti sa sustava prije nego osoblje koje nije zaposleno u

kompaniji dobije pristup sustavu za obavljanje posla.

51. Kako se osigurava sigurnost ljudskog potencijala?

Provjeravati životopise kandidata za posao ako rade na osjetljivim pozicijama,

provjeravati identitet, potvrda stečenih akademskih kvalifikacija. Svi trebaju potpisati

sporazum o povjerljivosti informacija - kako bi se dalo do znanja da je neka informacija

povjerljiva ili tajna. Ako radnik zanemari sigurnosne zahtjeve potrebno definirati sankcije.

52. Kako definirati granice fizičkog sigurnosnog prostora?

1. područje fizičke sigurnosti treba biti jasno definirano.

2. sigurnost zgrade – tamo gdje su moguće lake provale (alarmi).

3. imati recepciju te ograničiti pristup samo ovlaštenim osobama. 4. barijere od poda do stropa, spriječiti utjecaj iz okoline (ljudi, poplave, požar).

5. sva požarna vrata u području fizičke sigurnosti moraju biti opremljena alarmima imoraju se čvrsto zatvarati.

53. Na koje se sve načine može ostvariti kontrole fizičkog pristupa?

Brave, čuvari, sefovi, građevinske prepreke - zid ili ograde, neprobojno staklo i vrata,

vitrine i trezori u koje se odlažu potrebni sadržaji ili materijalni nositelj.



str. 10

54. Kako odabrati i osigurati smještaj opreme?

Računalni centar učiniti što nepristupačnijim okružena npr. uredima radi proboja. Samo

jedan ulaz ko ji mora biti zaključan i nadziran. Izlaz u nuždi treba moći otvoriti samoiznutra. Nadzirati i otvore sustava za klimatizaciju. Računala trebaju biti smještena naprvom katu zbog poplave ili eksplozija, stvari koje mogu pasti na krov.

55. Kako ostvariti sigurno odbacivanje ili ponovno korištenje opreme?

Prilikom oštećenja uređaja za pohranu podataka s osjetljivim podacima treba krozprocjenu rizika odrediti da li će se uređaj uništiti, popraviti ili odbaciti. Ako se HDD

odbacuje tada fizički uništiti ili na siguran način obrisati postojeće informacije.

56. Kad i u kojim uvjetima treba odjeljivati razvojnu, ispitnu i operativnu

opremu?

Razvojne i ispitne aktivnosti mogu uzrokovati ozbiljne probleme, primjerice neželjenepromjene datoteka ili okruženja sustava ili zastoj sustava. U tom slučaju postoji potreba

za održavanjem poznatog i stabilnog okruženja u kojemu će se izvesti suvislo ispitivanjeradi sprječavanja neodgovarajućeg pristupa zaposlenika koji radi na razvoju. Osobljekoje radi na razvoju i ispitivanju također predstavlja prijetnju za povjerljivost operativnihinformacija. Razvojne i ispitne aktivnosti mogu uzrokovati nenamjerne promjene softvera

ili informacija ako se izvode u istom računalnom okruženju. Odjeljivanje razvojne, ispitnei operativne opreme je stoga poželjno radi smanjenja rizika od slučajne promjene ilineovlaštenog pristupa operativnom softveru i poslovnim podacima.

57. Koje su politike i procedure za razmjenu informacija?

1. rukovanje medijima i označavanje identifikacijskom oznakom, 2. ograničavanjepristupa, 3. održavanje popisa ovlaštenih primaoca podataka, 4. pohrana podataka po

specifikacijama proizvođača, 5. zaštita podataka u skladu s njihovom osjetljivošću,6. minimalna distribucija podataka, 7. jasno označavanje svih kopija podataka.

Potrebno je uspostaviti sporazume o razmjeni informacija i softvera između organizacija: odgovornosti rukovoditelja za kontrolu i obavještavanje o razmjenama, procedure za obavještavanje pošiljaoca za slanje i primanje podataka, minimalne tehničke norme za pakiranje i prijenos,

norme za identifikaciju,

odgovornosti i obveze u slučaju gubitka podataka, korištenje dogovorenog sustava označavanja osjetljivih informacija, odgovornosti i vlasništvo nad softverom i informacijama radi zaštite, uskladivosti s autorskim pravima.

58. Koje su mjere kontrole za zaštitu od zloćudnog koda?

Kontrole za detekciju, prevenciju i oporavak, kao i procedure za edukaciju korisnika.

Politika:

1. Softver mora imati licencu,

2. Zaštita od rizika prilikom pribavljanja datoteka i softvera preko vanjskih mreža,

3. Redovita nadogradnja antivirusnih softvera za detekciju i popravak,

4. Provođenje redovitih pregleda softvera i podatkovnih sadržaja u sustavima zapodršku kritičnim poslovnim procesima,

5. Provjera svih datoteka pri je korištenja radi virusa,

6. Pregled svih pridodanih datoteka elektroničkoj pošti, 7. Planovi za oporavak od napada virusa, backup podataka i softvera,

8. Osoblje treba biti svjesno problema postojanja obmana i lažnih opasnosti.



str. 11

59. Koje su politike kontrole pristupa?

Korisnik dobiva prava od administratora informacijskog sustava na korištenje samoodređenih podataka. Definirati Read, Write, Execute prava. Tamo gdje je povjerljivost,

integritet i dostupnost podataka presudna za poslovanje, svakako su ove mjere

preporučljive.

60. Koje su smjernice norme ISO27002 u odnosu na elektroničku trgovinu?

Kontrola - Potrebno je zaštititi informacije uključene u eTrgovinu preko javnih mreža odprijevara, osporavanja ugovora, neovlaštenog otkrivanja i promjene. Smjernice za primjenu:

a. tko može odrediti cijene, izdati ili potpisati ključne prodajne dokumente,

b. informiranosti partnera o njihovim ovlaštenjima,

c. povjerljivost osjetljivih podataka ili informacija,

d. povjerljivost informacija o plaćanju,

e. odabir najpovoljnijeg oblika plaćanja radi zaštite od prijevare,

f. izbjegavanje gubitka ili umnožavanja informacija o transakciji,g. zahtjeve police osiguranja.

61. Koje su smjernice norme on-line transakcije?

Smjernice za primjenu:

uporabu elektroničkih potpisa svake strane uključene u transakciju,

provjerene korisničke podatke svih strana, povjerljivost transakcije,

kriptiranje komunikacijskih putova,

sigurnost protokola,

radi izdavanja i održavanja digitalnih potpisa i/ili digitalnih potvrda, sigurnost jeugrađena u cijeli proces upravljanja potvrdom/potpisom.

62. Koje su procedure sigurnog prijavljivanja?

Smjernice za primjenu:

a) uporabu jedinstvenih identifikacija, grupnih identifikacija samo ako je potrebno,

b) provjeru ovlaštenja vlasnika,

c) korisnicima pismene izjave o njihovim pravima pristupa, zahtjeve da potpišu izjave,

d) održavanje popisa svih korisnika registriranih za uporabu usluge,

e) blokiranje prava pristupa koji su promijenili funkciju ili posao,

f) provjeravanje, uklanjanje i blokiranje suvišnih korisničkih identifikacija,

g) osiguranje da se korisničke identifikacije ne izdaju drugim korisnicima.

63. Koje su smjernice norme ISO 27002 u odnosu na uporabu mobilnih

računala i rad na daljinu?

Ostvariti informacijsku sigurnost pri uporabi mobilnih računala i opreme za rad nadaljinu. Razmotriti rizike rada u nezaštićenom okruženju i primijeniti zaštitu. MOBILNA RAČUNALA: obratiti posebnu pozornost da ne dođe do ugrožavanja poslovnihinformacija. Fizička zaštita, kontrole pristupa, kriptografske tehnike, zaštitu od virusa.Smjernice za priključenje mobilne opreme na mreže. Redovito raditi sigurnosne kopije

ključnih poslovnih informacija. Oprema mobilnih računala također treba biti fizičkizaštićena od krađe. Zahtjeve police osiguranja za slučaj krađe ili gubitka računala. RAD NA DALJINU:

Smjernice: a) fizičku sigurnost lokacije,



str. 12

b) zahtjeve komunikacijske sigurnosti,

c) uporabu kućnih mreža i zahtjeve ili ograničenja konfiguracije bežičnih mreža,

d) Sprječavanje pobijanja prava na intelektualno vlasništvo nad opremom,

e) sporazumi o licenciranom softveru,

f) zaštitu od virusa i zahtjeve vatrozida.

64. Zašto i kako se provodi zaštita ispitnih podataka sustava?

Smjernice: - Izbjegavati uporabu operativnih baza podataka koje sadrže osobne podatkeili druge osjetljive informacije u ispitne svrhe:

a) kontrole pristupa također primijeniti i na ispitnim aplikacijskim sustavima.

b) svaki put kad se operativne informacije kopiraju u ispitni aplikacijski sustav

potrebno je koristiti odvojeno ovlaštenje.

c) operativne informacije treba obrisati iz ispitnog aplikacijskog sustava odmah nakon

završetka ispitivanja.

65. Procedure za kontrolu promjene elemenata Informacijske Sigurnosti!

Smjernice:- Dokumentirati i primijeniti procedure za kontrolu promjene radi smanjenja

mogućnosti ugrožavanja informacijskih sustava. Ovaj proces treba uključivati procjenu rizika, analizu utjecaja promjena i specifikacijupotrebnih sigurnosnih kontrola, da ne dođe do ugrožavanja postojeće sigurnosti ikontrolnih procedura, treba omogućiti programerima pristup samo onim dijelovimasustava potrebnim za njihov rad te da postoji formalna suglasnost i odobrenje za bilo

koju promjenu.

a) utvrđivanje svih softverskih paketa, informacija, jedinica baze podataka i hardvera

koji zahtijevaju izmjenu,

b) prihvaćanje promjena od strane ovlaštenih korisnika prije primjene,

c) osiguranje obnavljanja dokumentacije sustava nakon dovršen ja svake promjene iarhiviranja.

d) osiguranje promjene radne dokumentacije i korisničkih procedura, prema potrebi,

e) osiguranje pravodobne primjene promjena tako da se pri tome ne ometaju

uključeni poslovni procesi.

66. Zašto i kako provoditi ograničenja promjena softverskih paketa?

Treba ih ograničiti na neophodne promjene i sve promjene treba strogo nadzirati. Uzeti u

obzir rizike, potrebu za dobivanjem pristanka isporučitelja. Ako su potrebne promjene,

treba zadržati originalni softver i primijeniti promjene na jasno određenu kopiju.Instalirati najnovije zakrpe. Sve dokumentirati radi daljnjih nadogradnji.

67. Što je i kako se provodi kontrola tehničke ranjivosti IS?

Tehničku ranjivost je potrebno redovito nadzirati. Točan popis imovine je bitan zaprepoznavanje potencijalno važnih tehničkih ranjivosti. a) najprije treba obraditi sustave s visokim rizikom,

b) za softver i ostale tehnologije potrebno je odrediti informacijska sredstva koja će sekoristiti za određivanje odgovarajućih tehničkih ranjivosti i održavanje razine svijestio njihovom postojanju,

c) odrediti vremenski period u kojem će organizacija reagirati na obavijest o

potencijalno važnim tehničkim ranjivostima,

d) odrediti popratne rizike i akcije koje će poduzeti, instalaciju zakrpa ranjivih sustava..



str. 13

e) potrebno je usporediti rizik uslijed ranjivosti s rizikom instalacije zakrpe. Ako zakrpe

nisu dostupne treba poduzeti:

isključenje usluga ili mogućnosti koje se odnose na ranjivost, usvajanje ili dodavanje kontrola pristupa - primjerice vatrozida,

pojačani nadzor radi otkrivanja ili sprječavanja eventualnih napada,

podizanje razine svijesti o ranjivosti,

f) za sve izvedene procedure potrebno je sačuvati revizijske zapise.

68. Kako organizirati izvješćivanje o sigurnosnim događajima i slabostima?

Svi ugovorni suradnici trebaju biti upoznati s procedurama za izvješćivanje o različitimvrstama događaja i slabostima. Potrebno je odrediti mjesto kontakta za izvješćivanje o

sigurnosnim događajima, mjesto uvijek treba biti dostupno i treba osigurati odgovarajućii pravodobni odgovor. Procedure izvješćivanja trebaju uključivati: a) pogodne povratne informacije koje će osigurati da oni koji izvješćuju o sigurnosnim

događajima dobiju informacije,

b) formulare za izvješće o sigurnosnom događaju,

c) ispravno ponašanje u slučaju sigurnosnog događaja, primjerice: bilježenje svih važnih detalja,

ne poduzimanje bilo kakvih akcija na svoju ruku, već izvješćivanje na mjestu

kontakta bez odlaganja.

69. Koje su odredbe norme u odnosu na prava intelektualnog vlasništva?

a) objavljivanje politike sukladnosti s pravima intelektualnog vlasništva koja određujelegalnu uporabu softvera i informacijskih proizvoda,

b) nabava softvera samo od poznatih i pouzdanih izvora kako ne bi došlo do kršenjaautorskih prava,

c) održavanje razine svijesti o politikama za zaštitu prava intelektualnog vlasništva iobavješćivanje o namjeri poduzimanja disciplinske akcije protiv osoba koje ih krše,

d) održavanje odgovarajuće evidencije imovine i određivanje imovine sa zahtjevom zazaštitu prava intelektualnog vlasništva,

e) održavanje tragova i dokaza o vlasništvu licence, glavnih diskova, priručnika... f) primjena kontrola koje će osigurati ne premašivanje najvećeg dozvoljenog broja

korisnika,

g) provjere koje će utvrditi da su instalirani samo ovlašteni softveri i licenciraniproizvodi,

h) određivanje politike koja će održavati odgovarajuće licencijske uvjete,

i) određivanje politike za odbacivan je softvera ili prijenos softvera drugima,

j) uporaba odgovarajućih revizijskih alata,k) usklađivanje s načinima i uvjetima za softver i informacije koje su dobivene preko

javnih mreža,

l) zabrana kopiranja, pretvorbe u drugi format ili izlučivanje iz komercijalnih snimaka,

osim ako autorska prava to dozvoljavaju,

m) zabrana kopiranja u cijelosti ili dijelova, knjiga, članaka, izvješća ili drugihdokumenata, osim ako autorska prava to dozvoljavaju.

70. Kako ostvariti upravljanje sigurnosnim incidentima i poboljšanjima?

a) potrebno je utvrditi procedure za obradu različitih vrsta sigurnosnih incidenata:

1. neispravnosti informacijskih sustava i gubitak usluge,

2. zloćudan kôd,3. uskraćivanje usluge,



str. 14

4. greške koje nastaju uslijed nepotpunih i nepreciznih poslovnih podataka,

5. kršenja povjerljivosti i cjelovitosti,

6. zloporabu informacijskih sustava,

b) osim normalnih planova za nepredviđene situacije procedure trebaju obuhvatiti:

1. analizu i prepoznavanje uzroka incidenta,

2.

planiranje i primjenu korektivnih akcija radi sprječavanja ponovnog javljanja,3. priopćenje onima koji su ugroženi incidentom ili uključeni u postupak oporavka,

4. izvješćivanje odgovarajućeg nadležnog tijela o akciji,c) potrebno je prikupiti kontrole knjiženja i slične dokaze i osigurati ih za:

1. internu analizu problema,

2. uporabu kao forenzičkog dokaza u vezi potencijalnog kršenja ugovora,

3. pregovore o nadoknadi od strane isporučitelja softvera i usluga,

d) kontrolirati akciju oporavka od ugrožavanja sigurnosti i ispravljanja zastoja sustava:

1. samo jasno identificirane i ovlaštene osobe imaju dozvolu pristupa aktivnimsustavima i podacima,

2. detaljno dokumentiranje svih poduzetih akcija u slučaju nužde,

3. izvješćivanje uprave o poduzetim akcijama u slučaju nužde i njihovo redovitoprovjeravanje,

4. potvrđivanje, uz minimalnu odgodu, cjelovitosti poslovnih sustava i kontrola.

71. Kako se ostvaruje prikupljanje dokaza o sigurnosnom incidentu?

Svi korisnici moraju biti obavješteni i svjesni svoje odgovornosti i dužnosti da prijavesvake događaje ili slabosti sustava koji mogu ugroziti sigurnost. Prijava slabosti sustava -

nemoguće je uspostaviti potpunu sigurnost ali treba definirati i dokumentirati na koji

način se prijavljuju primijećene sigurnosne slabosti. Primjena norme u sigurnosnoj politici

i kontrola dnevnika sa zapisima o nadgledanju. Izrada bilježaka o događajima unutarsustava i kako bi se pravovremeno uočile i spriječile pripreme za napad. Početna fazauključuje uspostavljanje i obrazovanje skupine za rješavanje incidenta. Incidenti se

prijavljuju Abuse službama (CERT).

72. Koje su smjernice za upravljanje korisnicima, povlasticama i sustavima

za upravljanje zaporki?

UPRAVLJANJE POVLASTICAMA:

a) politika povlastice pristupa korisnika operacijskom sustavu, bazi...

b) zapis svih dodijeljenih povlastica,

c) povlastice treba dodijeliti različitim korisničkim identifikacijama od onih koje sekoriste u normalnoj poslovnoj uporabi.

UPRAVLJANJE ZAPORKAMA: a) omogućiti korisnicima odabir i prom jenu kvalitetnih vlastitih zaporki,

b) poticati periodičke promjene zaporke,

c) prisiliti korisnike na promjenu privremenih zaporki tijekom prvog prijavljivanja,

d) održavati zapis prethodnih korisničkih zaporki i spriječiti njihovu ponovnu uporabu,

e) sakriti (ne dozvoliti ispis) zaporki na zaslonu tijekom njihovog upisa,

f) pohraniti datoteke zaporki odvojeno od aplikacijskih sistemskih podataka,

g) pohraniti i prenositi zaporke u kriptiranom ili potpuno izmiješanom obliku.

73. Kako se provodi upravljanje korisničkim zaporkama?

1. Za lozinku se ne smije koristiti riječ iz rječnika. Sve takve riječi lako je pogoditi: imena, datumi, telefonski brojevi, registracije automobila...

2. Koristiti izmješano simbole [A-Z,a-z,0-9,$,%,&,#,?,+,*...]



str. 15

3. Lozinku izvesti iz nečeg lako pamtljivog!

4. Nikad se nikome ne smije reći lozinka niti se smije dopustiti ikome da se prijavi s

našom lozinkom na sustav. 5. Potrebne promjene lozinki jednom u određenom vremenskom razdoblju.

74. Koje su politike uporabe kriptografskih kontrola?Uvesti politike koje maksimiziraju koristi i minimiziraju rizike korištenja kriptografskih

tehnika:

a) managerski pristup prema korištenju kriptografskih kontrola kroz cijelu

organizaciju,

b) pristup upravljanju ključevima, uključujući metode za postupanje pri oporavkuenkriptiranih informacija u slučaju gubitka, oštećenja ili kompromitacije ključeva,

c) uloge i odgovornosti za: 1) implementaciju politike, 2) upravljanje ključevima i 3)

određivanje prikladne razine kriptografske zaštite

d) standarde za efektivnu implementaciju kroz cijelu organizaciju.

75. Kako se ostvaruje upravljanje ključevima?

a) generiranje ključeva za različite sustave i aplikacije,

b) generiranje i pribavljanje certifikata za javne ključeve,

c) distribuciju ključeva korisnicima, opis kako se moraju aktivirati po primitku,

d) pohranu ključeva, uključujući i to kako ovlašteni korisnici pribavljaju ključeve,

e) promjene i nadogradnje, kada i kako treba mijenjati ključeve,

f) postupanje sa kompromitiranim ključevima,

g) oporavak ključeva koji su izgubljeni ili oštećeni,h) bilježenje i nadziranje aktivnosti upravljanja ključevima,

i) deaktivacija i uništavanje ključeva.

76. Što je to kontinuitet poslovanja i procjena rizika u odnosu naostvarivanje kontinuiteta poslovanja?

Kontinuitet poslovanja se u prvom redu brine da su informacije dostupne onima koji ih

trebaju osiguravajući kontinuitet ključnih poslovnih procesa u nekoj organizaciji.

77. Što podrazumijevamo pod pojmom sukladnost sa zakonskim propisima?

Izbjegavanje kršenja kaznenih i civilnih zakona, ugovornih obveza i sigurnosnih zahtjeva.

78. Što je to penetracijsko testiranje sustava?

Metoda evaluacije sigurnosti računalnih sustava simulirajući napad zlonamjernogkorisnika (hakera). Analiza računalnih sustava u potrazi za mogućim propustima udizajnu, implementaciji i održavanju.

79. Koja je razlika između skeniranja za ranjivostima i penetracijskog

testiranja?

Skeniranje za ranjivostima - predstavlja namjerno traženje svih mogućih nedostataka i

propusta u nekom sustavu. Po kraju skeniranja, dostavlja se detaljni izvještaj. Otkriveneranjivosti sustava se trebaju sankcionirati.

Penetracijsko testiranje – je viša razina ispitivanja. Osobe koje obavljaju testiranje

preuzimaju ulogu potencijalnog napadača. Svi sigurnosni propusti uočeni za vrijeme

testiranja se prezentiraju naručiocu putem detaljnih izvještaja o stanju sustava i savjetaza uklanjanje potencijalnih ranjivosti.



str. 16

80. Što je procjena ranjivosti?

Procjena ranjivosti je proces kojemu je glavni cilj automatizirano skeniranje mreže upotrazi za poznatim ranjivostima te grupiranje, dodjela prioriteta i katalogizacija rezultata

prema skeniranim resursima i drugim proizvoljnim kriterijima. Poznate ranjivosti su

pohranjene u bazu podataka, što je čini najvažnijim dijelom alata za procjenu ranjivosti.Kvaliteta alata za procjenu ranjivosti izravno i najvećim dijelom ovisi o kvaliteti bazeranjivosti. Specijalizirane tvrtke koje se bave izradom ovih alata ulažu veliki trud upronalaženje ranjivosti koje još nisu otkrivene i iskorištene, tzv. Zero-Day Exploits.

81. Što je SSL i zašto nam je potreban?

SSL (Secure Sockets Layer ) je tehnologija za kreiranje šifrirane veze između web servera ibrowsera. Najčešće se koristi kod on-line trgov ina kako bi se zaštitio prijenos podataka o

kreditnim karticama. Prenose se nezaštićeni podaci kroz zaštićene komunikacijskekanale. Zaštitu ostvaruje snažnim šifriranjem, a za identifikaciju koristi poznatu tehniku:

sustav javnih ključeva. Dva različita softvera mogu razmijeniti parametre šifriranja.Sprečava potrebu za stvaranjem novih protokola. SSL pamti (cache) komunikacijske

parametre ostvarenih veza kako bi smanjio broj veza koje mora ispočetka stvarati, čimeujedno manje opterećuje mrežu.

82. Što je Phishing? Kako možemo otkriti Phishing?

Neovlašteni korisnici korištenjem lažnih poruka elektroničke pošte i lažnih web stranicavećinom financijskih organizacija pokušavaju korisnika navesti na otkrivanje povjerljivihosobnih podataka kao što su korisnička imena i zaporke, PIN brojevi, brojevi kreditnih

kartica.

Prevaranti često kopiraju vizualni izgled pravih e-mail poruka banaka i drugih kompanija:

1. zahtijevaju se osobni podaci,2. zahtijeva se instalacija programa za kojeg se tvrdi da je zakrpa za pronađeni

sigurnosni propust,

3. lažni linkovi u poruci,4. nekorištenje SSL i digitalnih certifikata,

5. tijelo poruke je zapravo HTML obrazac,

6. nerealna obećanja, 7. pogreške u zaglavlju elektroničke poruke,

8. poruke zahtijevaju hitan odgovor.

83. Što je steganografija i gdje se koristi?Služi za očuvanje povjerljivosti i tajnosti važnih informacija te njihovu zaštitu od

potencijalne sabotaže. Prednost steganografije je to, što steganografski zapisi ne privlačepozornost na sebe.

Primjeri korištenja: Nulta šifra, Mikrofotografije/mikrotekst, Nevidljiva tinta, Poruke na

glasnikovom tijelu, Voštane pločice, u digitalnom vodenom pečatu u svrhu zaštiteautorskih prava i vlasništva nad multimedijskim datotekama. Ili kao supstitut za

generiranje jednosmjerne hash vrijednosti. Ilegalna primjena najčešće se veže uz krađupovjerljivih informacija, financijsku pronevjeru, krađu identiteta, krijumčarenje, hakiranjei terorizam.

Tehnike steganografije - Digitalne steganografske tehnike, Sustavi bazirani na

supstituciji, Supstitucija bita najmanje važnosti, Sortiranje paketa, Transformacije

domena, Maskiranje i filtriranje, Modeli proširenog spektra, Kvantizacija, Binarne slike.



str. 17

84. Što je ASLR i NX?ASLR – Randomizacija adresnog prostora je tehnika kojom se početak ključnih dijelovamemorijskog prostora određuje slučajno: adresa početka *programskog koda učitanihbiblioteka,*programske gomile,*programskog stoga. Slučajnim razmještanjem ključnih

elemenata napadaču postaje vrlo teško sinkronizirati pojedine korake zlouporabe. To jemehanizam koji služi za pseudo-slučajan odabir početnih adresa memorijskih segmenata. NX ili no execute - tehnologija ugrađena u novije procesore omogućuje da se pojedini

kôd ne izvrši. U sklopovlju je implementirana pomoć zaštiti od nekih napada baziranih napreplavljivanju međuspremnika. Sama zastavica nalazi se u svakom unosu u tablici zaprevođenje virtualnih memorijskih adresa u fizičke i njezina je svrha označavanje dali sepodaci sa stranice virtualne memorije mogu izvršavati odnosno dali se mogu interpretirati

kao instrukcije ili isključivo kao podaci.

85. Što je exploit, koje baze ranjivosti i frameworkove za testiranje

eksploatacije poznajete?

Vrsta napada vezanih uz aplikacije i web servise (SQL ubacivanje), pronalaženju grešakau kodu koji su načinjeni pri izradi aplikacija. Svi potrebni podaci o objavljenim

ranjivostima spremaju se u XML datoteke, kako bi se moglo jednostavno i lako

manipulirati s tim podacima.

Ranjivosti vezane uz Web server - Web Server XSS (cross-site scripting) i bugovi

vezani uz XSS su oblik sigurnosnog buga koji se odnosi na web aplikacije i

omogućuje napadaču da ugrozi klijenta koji se spaja na ranjive web stranice.

Ranjivosti vezane uz web klijenta - 2 najranjivija oblika koda u odnosu na XSS: „Gadgets or W idgets“ – „Gadget“ nije ništa više od mini-aplikacije napravljene koristeći web

tehnologije poput HTML-a, JavaScript-a i XML-a

Statične HTML stranice na korisničkom računalu.

Sprečavamo ga: Testiranjem softvera, analize - otkrivanje mogućih pogrešaka u kodu.

Metode zaštite eksploatacije softvera – MAC, DAC, RBAC, SMACK, NX, ASLR.

86. Što je XSS i kako ga sprječavamo?

XSS napadi se zasnivaju na smještanju skriptnog kôda u URL-ove ili umetanje u stranice

putem Web formi te navođenje korisnika na otvaranje tih URL-ova tj. Web stranica kako

bi se osiguralo izvršavanje malicioznog JavaScript koda na računalima žrtava napada. To

omogućuje prikupljanje različitih osjetljivih podataka dostupnih pregledniku npr. kolačiće(cookie) ili preusmjeriti web stranicu tako da prikazuje lažnu login stranicu kako bi se

omogućilo napadaču da ukrade korisničko ime i lozinku. XSS ne može ugroziti web

stranicu sam, već može iskoristit neopreznog korisnika. Rješenje problema je da ne trebaposjećivati nepouzdane web stranice i treba redovito osvježavati računalo novimzakrpama.

87. Što je honeypot, kako možemo koristiti honeypot?

Honeypot je lažni sustav dizajniran s namjerom privlačenja potencijalnih napadača, kakobi se skrenula pažnja sa stvarnih sustava i podataka pohranjenih na njima. Idealno, honeypot bi trebao izgledati kao pravi sustav. Datoteke s lažnim podacima,korisnički računi i slično doprinose toj uvjerljivosti. Namjernim izlaganjem ranjivostisustava, privlače se napadači.



str. 18

88. Koje posebne mjere sigurnosti moramo koristiti ukoliko implementiramo

bežične mreže?

Provjera vjerodostojnosti udaljenih korisnika može se postići uz uporabu, primjerice,

tehnike koja se zasniva na kriptografiji, hardverskim ključevima ili protokoluupita/odgovora. Moguće primjene takvih tehnika mogu se pronaći u različitim rješenjima

virtualnih privatnih mreža (VPN). Također se mogu koristiti namjenske privatne linijekoje će osigurati izvor veze.

89. Što je IDS/IPS sustav, te zašto su nam oni korisni?

Sustavi za detekciju neovlaštenih upada (IDS) - Detekcija upada u računalni sustav jeproces praćenja i nadgledanja događaja i aktivnosti u računalnom sustavu i/ili mreži injihovo analiziranje s ciljem pronalaženja znakova neovlaštenog upada.

Prevencija neovlaštenih upada u sustav (IPS) - Prevencija je proces nadgledanja i

sprječavanja napada u računalnom sustavu, mreži s ciljem podizanja sigurnosti i zaštite.VPN - Veza u kojoj se podaci koji se prenose kriptiraju i enkapsuliraju. Kratica za virtualnu privatnu mrežu

koja označava računalnu mrežu koja se ostvaruje na dodatnom softverskom sloju iznad postojeće mreže kakobi se ostvarila privatna sigurna mreža. VPN predstavlja veze od točke do točke (Point-to-point) koje se

ostvaruju preko privatne ili javne mreže poput interneta. VPN koristi posebne protokole za tuneliranje koji se

koriste za virtualne pozive prema virtualnim portovima na VPN serveru. Neki od takvih protokola su: IPsec,

TLS i SSH protokoli kao i PPTP (Point-to-Point Tunneling Protocol) kojeg specifično koristi Microsoft.

90. Što je to trovanje ARP-a (ARP poisoning), te kako se štitimo od tognapada?ARP (engl. address resolution protocol ) je mehanizam koji omogućuje uređajima spojenim na mrežu da utvrdekoji uređaj na mreži ima traženu IP adresu. Svi uređaji na toj mreži primaju upit, te uređaj čija se adresa tražipovratno odgovara svojom MAC adresom. Tu adresu tada koristi računalo koje je poslalo inicijalni ARP zahtjev

kako bi prosljeđivalo podatke do računala tražene IP adrese. Ukoliko računalo primi paket od drugog na istoj

mreži ono će pretpostaviti da je izvorišna MAC adresa dotičnog paketa upravo MAC adresa koja pripada

računalu izvorišne IP adrese. To računalo tada pohranjuje MAC/IP par u svoju lokalnu tablicu MAC adresa ikoristi ga za daljnju komunikaciju s računalom na toj IP adresi.

Napadač može preusmjeriti pakete kroz neko drugo maliciozno računalo iskorištavanjemranjivosti mehanizma za učenje MAC adresa. Zaštita: - Statički ARP, alati za nadzor(ARPWatch, Ettercap, Snort IDS), Zaštita portova, DHCP snooping, Dinamičke ARPinspekcije...

91. Što je AAA infrastruktura (LDAP,RADIUS,EAP) i zašto je bitna?

Autentifikacija (eng. Authentification)

se odnosi na potvrdu da je korisnik koji je zatražio neku uslugu, ispravan korisnik Autentikacija je proces utvrđivanja deklariranog identiteta osobe ili stroja.

Autorizacija (eng. Authorization)

se odnosi na dozvolu pristupa različitim uslugama korisniku koji je prošaoautentifikacijski proces.

Autorizacija podrazumijeva korištenje seta pravila ili drugih predložaka zaodlučivanje što autenticirani korisnik može raditi na sustavu.

Administracija (eng. Accounting)

se odnosi na praćenje korisnikove potrošnje mrežnih resursa. Tipičan primjerinf ormacije u računovodstvu je identitet korisnika, vrsta pružene usluge, kada jeusluga počela i kada je završila.

obračun koji mjeri i prati resurse koje korisnik zauzima tijekom pristupa.

RADIUS: (Remote Authentication Dial In User Service) je najkorišteniji mrežni protokol iz skupine AAA protokola, štoznači da omogućuje autentikaciju, autorizaciju i administraciju korisnika ili računala koji pristupaju nekimmrežnim uslugama i resursima. Može se slobodno reći da predstavlja de-facto standard za udaljenu



str. 19

autentikaciju korisnika. Ugrađen je u mnoge, ako ne i većinu mrežnih uređaja kao što su usmjerivači,preklopnici, modemi i sl. Postoji nekoliko razloga njegove primjene.

LDAP: protokol je porukama-orijentirani protokol, što znači da klijent stvara LDAP poruku sa zahtjevom koju

šalje poslužitelju. Poslužitelj, nakon obrade, šalje rezultat ponovo u obliku LDAP poruke. Na primjer, ako LDAPklijent traži u imeniku određen zapis, najprije šalje LDAP poruku s zahtjevom za pretraživanjem poslužitelju.

Poslužitelj pronalazi traženi zapis u imeniku i vraća u LDAP poruci klijentu, pri čemu je identifikacijska oznakaodgovora jednaka onoj zahtjeva. Za kraj, LDAP poslužitelj šalje poruku s kodom rezultata u odvojenoj poruci sistom identifikacijskom oznakom.

EAP: Proširivi autentikacijski protokol obuhvaća skup metoda za autentikaciju korisnika prilikom spajanja namrežu. EAP protokol je i nastao kao nadogradnja protokola od točke do točke kako bi omogućio autentikacijukorisnika proizvoljnom metodom. Naime, kod do tada podržanih PPP autentikacijskih protkola tijekom fazeuspostavljanja veze trebalo je odabrati određeni autentikacijski mehanizam, koji se zatim koristio za razmjenuporuka u autentikacijskoj fazi. Za razliku od toga, EAP ne zahtjeva odabir autentikacijskog protokola prilikom

uspostavljanja veze, nego se sudionici komunikacije dogovaraju o korištenju EAP protokola tijekomautentikacijske faze, da bi nakon toga odabrali odgovarajuću EAP metodu (Wireless Deployment Technologyand Component Overview, 2007). Nakon što je metoda odabrana, između klijenta i poslužitelja počinjerazmjena autentikacijskih poruka čiji sadržaj, broj i tijek ovise o parametrima veze te odabranoj EAP metodi.Trenutno postoji oko četrdeset različitih EAP metoda, no ono što karakterizira EAP je mogućnost razvoja novemetode koja se zatim kao dodatak (eng. plug-in) ubacuje u postojeći skup EAP metoda kod klijenta iposlužitelja.

92. Što su greške sa preljevanjem spremnika i zašto predstavljajusigurnosni rizik?

Buffer overflow - Ova greška nastupa kada podatak upisan u memoriju pređe alociranuveličinu memorije spremnika. Pošto je spremnik preliven, susjedne memorijske adrese suprebrisane i uzrokuju kvar programa. Prelijevanje spremnika se najčešće koristi kao DoSnapad koji uzrokuje kvar i rušenje Web aplikacije.

93. Zašto nam je potrebna računalna forenzika, te koji su glavni postupciprilikom forenzičkog rada?

Nije bitna samo zbog skupljanja podataka nakon što se dogodio određeni incident koji sezastupa na sudu, već poznavanje računalne forenzike omogućava da uspješnoprilagodimo informacijski sustav da bude spreman pohranjivati važne podatke koji ćenam dati do znanja tko se i kada ulogirao na sustav dok smo u pravnom sporu oko

neželjenog incidenta koji je pogodio dano poduzeće.

Vraćanje podataka je drugi vid računalne forenzike. Forenzika se sastoji od vraćanjapodataka, traženja uzroka i donošenje valjanih dokaza.

94. Što nam govore podaci o registraciji DNS domene i whois podaci? Zaštosu nam bitni?

Sustav imena domena - imena domena su tekstualne oznake, od kojih svaka odgovara

određenoj IP-adresi.

Najpopularnija generička vršna domena je svakako .com, i .net , .org koje je slijede po

broju registriranih poddomena. Nacionalne vršne domene (npr.: .hr, .de, .fr, .it ) su

vezane uz određenu državu. WHOIS – internetski protokol pomoću kojeg je moguće dobiti na uvid pojedini zapis ilipodatke iz registra. Taj registar domena je veoma bitan jer se u njemu nalaze određeniosobni podaci korisnika sekundarne domene (ime i prezime odnosno tvrtka, adrese za kontakt i sl).

Veza između imena domene i IP-adrese ostvaruje se preko registra, koji se odvojeno vodi

za svaku vršnu domenu, i u koji se zapisuju imena sekundarnih domena koje suregistrirale određene osobe. Svako ime sekundarne domene u registru korespondira s

određenom IP-adresom, koja upućuje na računalo koje je odredila osoba koja je tusekundarnu domenu registrirala.



str. 20

95. Što su to SAN i NAS uređaji? Za što služe, koje su sličnosti i razlikeizmeđu njih? Storage sustavi za konsolidaciju IT infrastrukture i izgradnju SAN (Storage Area

Network ) i NAS (Network Atacched Storage) sustava za pohranu, čuvanje i dohvat

velikih količina podataka (Terabajti). Namjenski mrežni sustav Storage Area Network -SAN, vrlo brza skalabilna mreža za spajanje računala predviđenih za pohranu podataka.NAS ima svoj operativni sustav pa time i vlastiti datotečni sustav koji nadzire diskove.

96. Što je to S.M.A.R.T. sustav kod čvrstih diskova? Za što služi? S.M.A.R.T. sustav služi za analizu i izvještavanje, praćenje rada računala, odnosno HDD-

a. Otkriva pokazatelje pouzdanosti, pogreške, daje izvještaje o stanju diska, predivđaotkazivanje diska.

97. Zašto je rsync algoritam/alat koristan? Rsync algoritam/alati radi backup podataka na disku. Pretpostavka je da su dva računala

međusobno povezana, algoritam prepoznaje dijelove datoteka koje su izmjenjene i samonjih kopira. Može raspoznavati datoteke od mapa i efektivno izračunava razlike kod

promjenjenih datoteka od originala. Algoritam je brz i efikasan.

98. Što smatramo pod pojmom „Mreža povjerenja“ (Web of Trust), i zašto jebitna?U kriptografiji, Web of Trust je pojam korišten u PGP, GnuPG-u i drugim OpenPGP-

kompatibilnim sustavima da se utvrdi autentičnost obvezujuća, između javnogključa i njegovog vlasnika.

99. Koristeći pseudokôd ili vama proizvoljnu sintaksu za firewall, kreirajte

pravila filtriranja za mrežu sa zadanim pravilima.

# FIREWALL

FORWARD chain:Default policy drop

accept http, https, smtp, pop3, imap,

smtps, imaps, pop3s, ssh

accept all from source 192.168.1.1/16

iface eth2accept dns

accept icmp

accept tcp 2483 from 161.53.120.22 to

192.168.2.2 # oracleaccept tcp 2483 from 192.168.2.2 to

161.43.120.22 # oracle

INPUT chain:Default policy drop

accept ssh from source 192.168.1.2

accept dns

accept icmp

OUTPUT chain:Default policy: accept



str. 21

100. Kako rade RFID brave i kontrole pristupa?Elektronska brava sa bežičnim (rfid) karticama često zamjena za barkod tehnologiju.

Točnost čitanja često je odlučujući čimbenik za izbor RFID. Kada prinesete karticu bravi

ona promijeni trenutno stanje. Ta stanja mogu biti zaključano i otključano. Ili, kada

prinesete karticu bravi ona promijeni stanje na otključano i zadrži ga neko proizvoljno

vrijeme koje se prethodno namjesti jumperima.

Performanse RFID sustava određene su sljedećim kriterijima: Memorijskim kapacitetom tagova,

Brzinom prijenosa podataka,

Radni domet,

Mogućnost operacija s više tagova upolju,

Radne temperature,

RF frekvencija na relaciji Tag –

Antena,

Mogućnosti povezivanja.

101. Standard X.509?

Standard koji nam govori na ko ji način se mora formirati certifikat, lista opozvanihcertifikata i ostali dijelovi kriptografije javnog ključa (trenutno X.509 v3). Digitalni certifikat

sadrži određene podatke o njegovom vlasniku, među kojima su: Ime vlasnika certifikata

Vlasnikov javni ključ

Datum do kada važi javni ključ

Ime CA koji je izdao certifikat

Jedinstveni serijski broj

Dodatne podatke za identifikaciju

Kada formira neki digitalni certifikat, CA ga na kraju digitalno potpiše svojim tajnim ključem, takoda se njegov sadržaj može pročitati korištenjem CA javnog ključa, ali se ne može neovlaštenomijenjati.

102. SQL injection napadi?

Bit je napada da se zavara sustav baze podataka i da sustav izvrši maliciozni kôd koji ćeprikazati osjetljive podatke ili na neki drugi način kompromitirati sustav.

Zadatak napadača je da umetne svoj SQL izraz unutar glavnog izraza koje će aplikacijakoristiti pri upitu bazi podataka. Sve što administrator može napraviti, može i napadačzato je bitno da se aplikacija izvršava sa najmanjim mogućim privilegijama koje supotrebne da se izvrše funkcionalnosti aplikacije. Napadi drugog reda su oni napadi gdjepodaci ostaju prikriveni u bazi podataka sve dok se ne dogodi neki događaj. Pohranjeneprocedure daju dodatnu prepreku potencijalnim napadačima.

103. Politike i metode čuvanja kriptografskih ključeva. Kriptografski ključ je digitalni kod koji se koristi u procesu kriptiranja, odnosnodekriptiranja informacija. Vrlo je važno zaštititi ga i čuvati na zaštičenom i nedostupnom

mjestu za sve one koji bi ga mogli ukrasti, iskoristiti za dekriptiranje podataka.

Bilo bi najbolje da ga čuvamo u sefu u zapečaćenom nositelju, npr. u kuverti ili posebnojkutiji za čuvanje ključeva, kriptiran kako bi se smanjila mogućnost njegovog korištenja.Kriptografski ključevi se mogu čuvati na vanjskoj memoriji kao što su hard disk, disketa,CD, USB memorijski Flash stik, te na sigurnim kriptografskim procesorima, tj. PKI smart

karticama ili PKI USB smart token-ima koji pružaju najviši nivo zaštite korisničkog tajnog(privatnog) kriptografskog ključa. Aplikacija nakon što iskoristi neki kriptografski ključ neostavlja ga u memoriji kako bi se povećao nivo zaštite.

Pametna kartica ( Smart card ) - ima ugrađen čip na kojem se nalaze procesor, memorija (RAM i ROM) te

sklopovi koji omogućavaju komunikaciju odnosno razmjenu podataka s okolinom. Namjenjena za pohranutajnih informacija i izvođenje kriptografskih operacija. Omogućuje pohranu identifikacijskih podataka, koji supotrebni za autentifikaciju i dekriptiranje. Sve kriptografske operacije koje zahtijevaju korištenje tajnog

(privatnog) kriptografskog ključa, izvršavaju se na samoj smart kartici.



str. 22

104. Shellcode - Ranjivosti aplikacije, izrada i primljena.Ljuske za pisanje koda, iz njih napadač može kontrolirati udaljeno računalo. Shellcode je

komadić koda koji se koristi kao payload (podatak koji se prenosi preko računalne ili

telekomunikacijske mreže) u eksploataciji softverskih ranjivosti. Skup instrukcija

ubrizganih, a zatim izvršenih od strane eksploatiranog programa. Svaki se kôd koji je

namjenjen za ovakav način eksploatacije softverskih ranjivosti, neovisno u kojem jeziku napisan, naziva shellcodom. Ipak, valja naglasiti da je asembler najbolji

jezik za pisanje shellcoda kako uobičajeno nije moguće ubrizgati shellcode napisan unekom programskom jeziku visoke razine. Asemblerskim naredbama moguća jedirektna manipulacija registrima procesora, a samim time i izvođenjem programa.

105. Što su to zbirke osobnih podataka i koji zakon regulira njihovo

sakupljanje i obradu?

Svaki skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo

centraliziranim, decentraliziranim, ili raspršenim na funkcionalnom ili zemljopisnom

temelju i bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se

vodi primjenom drugih tehničkih pomagala ili ručno.

106. Kome prijavljujemo naše zbirke osobnih podataka?

Prijavljuju se Agenciji za zaštitu osobnih podataka, točnije voditelju zbirke koji je dalje

ovlašten da osobne podatke daje korisnicima na temelju pisanog zahtjeva korisnika ako je to potrebno.

107. Za što nam služi mehanizam LVM-a?

Logical Volume Manager pruža fleksibilnije upravljanje diskovima, particijama od

tradicionalnog particioniranja. Uzima jedan ili više Physical Volume ( RAID, disk ili particija ) i

stvara nad njima Volume Group. Unutar VG se stvaraju Logical Volume koji su konačne jedinice nad kojima se kreiraju datotečni sustavi. LV može mjenjati veličinu, bitizaključan da bi se kreirao ostatak stanja (snapshoot). LVM omogućuje spajanje diskova u jednu

veliku logičku jednicu te njezino particioniranje po volji. Omogućuje i jednostavno nadodavanje prostora

postojećem sustavu - dodavanjem diskova, dodavanjem particija.

108. Što nam omogućava alat clonezilla i drbl?

Clonezilla bez problema radi image backup Linuxa ili Windowsa uz mnoštvo dodatnihopcija za backup preko mreže, izrada simultanih vraćanja image-a na više strojeva itd. Za višestruko kloniranje je potrebno imati instaliran DRBL (Diskless Remote Boot in Linux)

server na mreži. DRBL postavlja okružje potrebno za rad tankih klijenata (bez tvrdog diska).

DRBL koristi PXE (Preboot Execution Environment) ili etherboot da bi se klijenti mogli podići. Zarazliku od LTSP-a (Linux Terminal Server Project) aplikacije se izvode na klijentima, a ne na

serveru. Isto je moguće postići i kod LTSP-a uz dodatna podešavanja. Nakon instalacije

DRBL servera, ako klijenti imaju opciju pokretanja preko mreže (PXE boot), samo je

potrebno pokrenuti Clonezillu. Nije potrebni pripremati posebne boot Cd-ove ili diskete.

109. Što je to PXE tehnologija i zašto je korisna?

Pre-Boot eXecution Enveronment (PXE) tehnologija i PXE omogućeni mrežni adapter ilikorištenjem floopy diskete, zahtijeva DHCP na mreži.



str. 23

110. Zašto se digitalno potpisuju javni ključevi?

Digitalno potpisivanje je proces kojim se određeni sadržaj (od e-maila, različitih datoteka i čak

svojih ili tuđih PGP ključeva) osigurava od promjena: u slučaju ikakvih izmjena, suma koja senalazi na kraju takve datoteke neće odgovarati sadržaju. Potpisivanje se vrši privatnimključem korisnika, dok se provjera potpisa vrši javnim ključem korisnika, čime je

postignuta i željena asimetričnost i sigurnost. Jedan od tipičnih primjera digitalnogpotpisivanje je potpisivanje javnih ključeva ljudi kojima vjerujete i za koje ste

spremni svojim digitalnim potpisom jamčiti. Na taj načim se stvaraju popularno zvani"prstenovi povjerenja".

111. Za što služi IPSEC?

IPsec je ekstenzija IP protokola koja pruža sigurnost IP-u i protokolima sloja iznad.

Koristi dva različita protokola – AH (Authentication Header) štiti integritet IP datagrama i ESP

(Encapsulated Security Payload) kriptiranjem može osigurati integritet paketa, da bi se

osigurala autentikacija, integritet i povjerljivost komunikacije.

112. Zašto je bitan OWASP projekt?

Openswan (Open Web Application Security Project) – je nastao je na temelju organizacije koja se

bavi pronalaženjem i rješavanjem problema vezanih za sigurnost aplikacija. Rezultat

njihovog rada je jedan vrlo poznati dokument nazvan OWASP Top10 koji definira pravila i

smjernice kako se zaštititi od kritičnih propusta u web aplikacijama. Samim prihvaćanjemnjihovih preporuka postajemo sve bliži sigurnijem načinu rada u web aplikacijama.

OWASP je zbirka alata organiziranih u grupe: PROTECT, DETECT, LIFE CYCLE.

113. Što smatramo pod pojomom umetanje datoteka (LFI, RFI) kao oblik

ranjivosti?

LFI i RFI označuju lokalno (Local File Inclusion) odnosno udaljeno uključivanje datoteka(Remote File Inclusion).LFI omogućava korisniku izvršavanje datoteke smještene na poslužitelju na kojemu senalazi web stranica. Primjer bi bio korištenje sustava za prijenos (upload) slika za prijenos

malicioznih skripti, te potom njihovo izvršavanje nakon prijenosa. Radi se o uključivanjuproizvoljnih datoteka u kôd neke od skripti koje čine web stranicu. RFI s druge strane omogućava korisniku izvršavanje skripti koje nisu spremljene naposlužitelju već se nalaze na nekom drugom računalu U programskom jeziku PHP za uključivanje datoteka u kod trenutne skripte koristi sefunkcija include() i njezine izvedenice. Web aplikacija je ranjiva na LFI ili RFI ukoliko

dopušta da unos korisnika postane sastavni dio putanje datoteke koja se daje funkcijiinclude().Slične SQL injection ranjivostima: kod se izvršava na serveru, prouzrokuje

XSS i DoS napade. Razlika leži u činjenici da SQL injection ranjivost omogućujepotencijalnim napadačima neometani pristup bazi podataka koju koristi web aplikacija,dok LFI i RFI omogućuju izvršavanje proizvoljnog programskog koda na poslužitelju nakojem se nalazi web aplikacija.

114. Zašto je Microsoft Active Directory koristan u velikim poslovnim

sustavima?

Active Directory je regulator prometa u mrežnom svijetu jedne kompanije. Integrirani

skup rješenja za distribuciju podataka, organizaciju resursa, sigurnost i administraicijumreže. Oslanja se na DNS za lociranje resursa i određivanje prostora imena domena.Active Directory koristi protokol za pristup imeniku, directory-u (LDAP – Lightweight directory

access protocol) koji omogućava i povezivanje sa drugim tipovima mreža. Omogućavacentraliziranu administraciju:



briga o zakrpama,

briga o virusnim definicijama, održavanje korisničkih aplikacija, briga o korisničkim problemima,

sigurnosno spremanje podataka, pristup mrežnim pisačima… lakše definiranje zajedničkog mrežnog okruženja…

115. Prednosti i nedostatci IPSEC rješenja u odnosu na programska VPNrješenja (OpenVPN). Open VPN projekt: Korisnicima ove opcije Open VPN nudi iste karakteristike kao i

prethodna rješenja s dodatkom da Open VPN koristi SSL/TLS protokol za uspostavukomunikacije između pojedinih čvorova VPN mreže. Open VPN je open source aplikacijakoja se posebno podešava kako na serveru tako i na korisničkoj strani te se kao takvamože smatrati peer-to-peer aplikacijom. Uobičajeno djeluje kao servis pokrenut naoperacijskom sustavu.

Podatkovni paketi se usmjeravaju na jedan UDP ili TCP port. Tako usmjeren promet se

potom kriptira i šalje na sljedeći čvor VPN mreže po odlasku i dekriptira se po dolaskuprometa.

IPSec ekstenzija IP protokola: Internet Protocol Security protocol pruža sigurnost IP-

u. IPsec koristi dva različita protokola – AH (eng. Authentication Header) i ESP (eng.

Encapsulated Security Payload), da bi se osigurala autentikacija, integritet i povjerljivost

komunikacije. IPsec može štititi ili cijeli IP datagram ili samo protokole višeg sloja tj.korisne informacije. Prema tome postoje prikladni načini rada (eng. mod) a nazivaju se

tunelski način (eng. tunnel mode) i transportni način (eng. transport mode). U tunelskom načinu rada IP datagram je u potpunosti enkapsuliran unutar novog IPdatagrama korištenjem IPsec protokola. U transportnom načinu IPsec protokol upravlja

samo korisnim dijelom IP datagrama i to umetanjem IPsec zaglavlja između IP zaglavlja i

zaglavlja protokola više razine:

Sis Pitanja

Documents

Transcript of Sis Pitanja