Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:ranjivost_alarmnih_sustava [2024/01/21 22:23]
Vorkapić Dalijo [Ranjivosti bežičnih alarmnih sustava] 		racfor_wiki:seminari2023:ranjivost_alarmnih_sustava [2024/01/22 00:28] (trenutno)
Vorkapić Dalijo [Ranjivosti nenadziranih alarmnih sustava]
Redak 20: Redak 20:
 ===== Uvod ===== ===== Uvod =====
  
-U današnjem sve kompleksnijem i povezanijem društvu, alarmni sustavi igraju ključnu ulogu u održavanju sigurnosti i zaštite imovine, informacija i, najvažnije, ljudi. Međutim, kao i svaki tehnološki sustav, i alarmni sustavi nisu imuni na izazove i prijetnje. Ovaj rad će se fokusirati na ranjivost alarmnih sustava, istražujući različite aspekte koji mogu ugroziti njihovu efikasnost i integriet+U današnjem sve kompleksnijem i povezanijem društvu, alarmni sustavi igraju ključnu ulogu u održavanju sigurnosti i zaštite imovine, informacija i, najvažnije, ljudi. Međutim, kao i svaki tehnološki sustav, i alarmni sustavi nisu imuni na izazove i prijetnje. Ovaj rad će se fokusirati na ranjivost alarmnih sustava, istražujući različite aspekte koji mogu ugroziti njihovu efikasnost i integritet
 Ranjivosti alarmnih sustava mogu proizaći iz različitih izvora, uključujući tehničke greške, zastarjele tehnologije, nedovoljne sigurnosne mjere te ljudski faktor. Uz poznavanje ovih ranjivosti i korištenje prikladnog napada, može se stvoriti prijetnja koja dovodi do kompromitiranja alarmnog sustava i ugrožavanja sigurnosti. Ranjivosti alarmnih sustava mogu proizaći iz različitih izvora, uključujući tehničke greške, zastarjele tehnologije, nedovoljne sigurnosne mjere te ljudski faktor. Uz poznavanje ovih ranjivosti i korištenje prikladnog napada, može se stvoriti prijetnja koja dovodi do kompromitiranja alarmnog sustava i ugrožavanja sigurnosti.
  
Redak 75: Redak 75:
 Jedna od glavnih ranjivosti ovoga sustava. Omogućava fizički napad na žice. Napadači mogu fizički pristupiti sustavu i oštetiti žice, prekidajući komunikaciju između senzora, napajanja i centralne jedinice. Jedna od glavnih ranjivosti ovoga sustava. Omogućava fizički napad na žice. Napadači mogu fizički pristupiti sustavu i oštetiti žice, prekidajući komunikaciju između senzora, napajanja i centralne jedinice.
  
-Ovo se može izbjeći postavaljenjem žica na teško dostupna mjesta ili korištenjem otpornijih materijala. Također jedna od pouzdanijih metoda je korištenje dvostruke žičane strukture, što dodatno otežava oštećenje sustava.+Ovo se može izbjeći postavaljanjem žica na teško dostupna mjesta ili korištenjem otpornijih materijala. Također jedna od pouzdanijih metoda je korištenje dvostruke žičane strukture, što dodatno otežava oštećenje sustava.
  
 === Nepouzdanost napajanja === === Nepouzdanost napajanja ===
Redak 87: Redak 87:
 Mnogi domovi, trgovine i drugi objekti imaju žičane sigurnosne sustave koji su postavljeni prije mnogo godina. Ako je objekt neispravno ožičen ili konfiguriran - ili ako je neka promjena uzrokovala nove ranjivosti sustava, žični alarmni sustav će imati velike rupe u svojoj zaštiti i funkcionalnosti. Mnogi domovi, trgovine i drugi objekti imaju žičane sigurnosne sustave koji su postavljeni prije mnogo godina. Ako je objekt neispravno ožičen ili konfiguriran - ili ako je neka promjena uzrokovala nove ranjivosti sustava, žični alarmni sustav će imati velike rupe u svojoj zaštiti i funkcionalnosti.
  
-Treba često testirati alarmni sustav, posebice nakon značajnih izmjena objekta. Također, treba razmisliti i o unaprijeđenju sustava.+Treba često testirati alarmni sustav, posebice nakon značajnih izmjena objekta. Također, treba razmisliti i o unaprjeđenju sustava.
  
 ==== Ranjivosti bežičnih alarmnih sustava ==== ==== Ranjivosti bežičnih alarmnih sustava ====
Redak 102: Redak 102:
  
 \\ \\
-Na slici 2 je ilustriran jamming napad+Na slici 2 je ilustriran jamming napad.\\
 {{:racfor_wiki:seminari2023:jamming.png?400|}}\\ {{:racfor_wiki:seminari2023:jamming.png?400|}}\\
 **Slika 2:** Prikaz napada ometanjem [[https://www.aldsecurity.co.uk/blogs/news/what-jamming-of-a-wireless-security-system-is-and-how-to-resist-it|Izvor]] **Slika 2:** Prikaz napada ometanjem [[https://www.aldsecurity.co.uk/blogs/news/what-jamming-of-a-wireless-security-system-is-and-how-to-resist-it|Izvor]]
Redak 110: Redak 110:
 Sniffing se odnosi na tehniku presretanja i hvatanja podataka o mrežnom prometu. Uključuje praćenje protoka paketa podataka preko mreže s namjerom analiziranja i izvlačenja informacija iz njih. U kontekstu bežičnih alarmnih sustava, napadač sa sniffing uređajem može "uhvatiti" bežične signale alarmnog sustava i analizirati ih. Dekodiranjem može pristupiti informacijama koje se prenose između senzora i centralne jedinice. S time, napadač može razumjeti kako sustav komunicira i funkcionira, otkriti ranjivosti i na temelju njih, izvesti ciljani napad. Više o sniffing napadu se može vidjeti na [6]. Sniffing se odnosi na tehniku presretanja i hvatanja podataka o mrežnom prometu. Uključuje praćenje protoka paketa podataka preko mreže s namjerom analiziranja i izvlačenja informacija iz njih. U kontekstu bežičnih alarmnih sustava, napadač sa sniffing uređajem može "uhvatiti" bežične signale alarmnog sustava i analizirati ih. Dekodiranjem može pristupiti informacijama koje se prenose između senzora i centralne jedinice. S time, napadač može razumjeti kako sustav komunicira i funkcionira, otkriti ranjivosti i na temelju njih, izvesti ciljani napad. Više o sniffing napadu se može vidjeti na [6].
 \\ \\
-Na slici 3 je ilustriran sniffing napad.+Na slici 3 je ilustriran sniffing napad.\\
 {{:racfor_wiki:seminari2023:sniffing.png?400|}}\\ {{:racfor_wiki:seminari2023:sniffing.png?400|}}\\
 **Slika 3:** Prikaz sniffing napada [[https://medium.com/vaibhav-sharma/network-packet-sniffer-on-various-network-protocols-working-on-both-saved-pcap-file-or-on-live-ef2d229dc276|Izvor]] **Slika 3:** Prikaz sniffing napada [[https://medium.com/vaibhav-sharma/network-packet-sniffer-on-various-network-protocols-working-on-both-saved-pcap-file-or-on-live-ef2d229dc276|Izvor]]
Redak 118: Redak 118:
 === Ranjivost na Spoofing detektora === === Ranjivost na Spoofing detektora ===
 \\ \\
-Spoofing napad predstavlja tehniku u kojoj napadač pokušava poslati lažne signale ili informacije kako bi prevario sustav. U kontekstu bežičnog alarmnog sustava, ovo se odnosi na generiranje lažnih signala koji oponašaju stvarne senzorske podatke. Kako bi napadač znao generirati prikladne informacije i signale, prvotno bi trebao analizirati komunikaciju bežičnog sustava, i to će večinski odraditi kroz već navedeni sniffing napad. Spoofing napad može dovesti do brojnih negativnih posljedica, poput lažnih alarma, zloupotrebe resursa sustava i povećavanja ranjivosti na prijetnje. Spoofing napad je detaljnije objašnjen na [7].+Spoofing napad predstavlja tehniku u kojoj napadač pokušava poslati lažne signale ili informacije kako bi prevario sustav. U kontekstu bežičnog alarmnog sustava, ovo se odnosi na generiranje lažnih signala koji oponašaju stvarne senzorske podatke. Kako bi napadač znao generirati prikladne informacije i signale, prvotno bi trebao analizirati komunikaciju bežičnog sustava, i to će većinski odraditi kroz već navedeni sniffing napad. Spoofing napad može dovesti do brojnih negativnih posljedica, poput lažnih alarma, zloupotrebe resursa sustava i povećavanja ranjivosti na prijetnje. Spoofing napad je detaljnije objašnjen na [7].
 \\ \\
-Na slici 4 je ilustriran sniffing napad.+Na slici 4 je ilustriran spoofing napad.\\
 {{:racfor_wiki:seminari2023:spoofing.png?400|}}\\ {{:racfor_wiki:seminari2023:spoofing.png?400|}}\\
-**Slika 4:** Prikaz sniffing napada [[https://www.semanticscholar.org/paper/Detection-of-Spoofing-Attacks-in-WLAN-Based-Systems-Ye-Li/aedaa0d7cfb3c4f47e7be5f07a36406add00f88a|Izvor]]+**Slika 4:** Prikaz spoofing napada [[https://www.semanticscholar.org/paper/Detection-of-Spoofing-Attacks-in-WLAN-Based-Systems-Ye-Li/aedaa0d7cfb3c4f47e7be5f07a36406add00f88a|Izvor]]
  
  
 Za osiguranje od spoofing napada, jedan od glavnih koraka je korištenje dobre kriptografije, enkripcijom informacija koje se šalju alarmnom bežičnom mrežom. Treba redovito ažurirati alarmni sustav, zbog redovnih sigurnosnih zakrpa, i omogućiti praćenje mrežnog prometa. Za osiguranje od spoofing napada, jedan od glavnih koraka je korištenje dobre kriptografije, enkripcijom informacija koje se šalju alarmnom bežičnom mrežom. Treba redovito ažurirati alarmni sustav, zbog redovnih sigurnosnih zakrpa, i omogućiti praćenje mrežnog prometa.
 ==== Ranjivosti nadziranih alarmnih sustava ==== ==== Ranjivosti nadziranih alarmnih sustava ====
-Kod ovog alarmnog sustava, riješen je glavni problem alarmnih sustava, a to je stvarno vremenska zaštita. Pri aktivacija alarma, obavještena može biti nadzorna nadležna služba i sam vlasnik objekta.+Kod ovog alarmnog sustava, riješen je glavni problem alarmnih sustava, a to je stvarno vremenska zaštita. Pri aktivacija alarma, obaviještena može biti nadzorna nadležna služba i sam vlasnik objekta.
  
-Budući da se radi o nadziranom sustavu, korisnici imaju mogućnost praćenja i konfiguriranja sustava kroz pripadajuću aplikaciju za njihove mobilne i slične uređaje. Budući da se takve aplikacije nalaze na internetu, podložne su brojnim napadima putem interneta. [9]+Budući da se radi o nadziranom sustavu, korisnici imaju mogućnost praćenja i konfiguriranja sustava kroz pripadajuću aplikaciju za njihove mobilne i slične uređaje. Budući da se takve aplikacije nalaze na internetu, podložne su brojnim napadima putem interneta. Više o nadziranim sustavim se može vidjeti na [9].
  
 === Ljudski faktor === === Ljudski faktor ===
 \\ \\
-Iako ovo nije vezano za konkretne ranjivosti samog sustava, budući da korisnik koristi taj sustav, njegov doprinos ga može učiniti ranjivim. Jedan od glavnih napada koji iskorištavaju ranjivost čovjeka na internetu je phising napad.\\+Iako ovo nije vezano za konkretne ranjivosti samog sustava, budući da korisnik koristi taj sustav, njegov doprinos ga može učiniti ranjivim. Jedan od glavnih napada koji iskorištavaju ranjivost čovjeka na internetu je phishing napad.\\
 Napadač na razne načine može prevariti korisnika na internetu i izvući od njega važne informacije, poput osobnih podataka i pristupnih podataka za autentifikaciju kod alarmnog sustava.\\ Napadač na razne načine može prevariti korisnika na internetu i izvući od njega važne informacije, poput osobnih podataka i pristupnih podataka za autentifikaciju kod alarmnog sustava.\\
 Neki od načina su stvaranje lažne web stranice za prijavu, koja izgleda identično prijavi stvarne aplikacije za nadzor nad alarmnim sustavom. Korisnik, kroz neki lažni e-mail ili poruku, može biti preusmjeren na ovakve lažne stranice, gdje može otkriti svoje pristupne podatke napadaču.\\ Neki od načina su stvaranje lažne web stranice za prijavu, koja izgleda identično prijavi stvarne aplikacije za nadzor nad alarmnim sustavom. Korisnik, kroz neki lažni e-mail ili poruku, može biti preusmjeren na ovakve lažne stranice, gdje može otkriti svoje pristupne podatke napadaču.\\
 Također, napadač može korisniku poslati lažne obavijesti od aplikacije za nadzor alarmnog sustava, gdje bi korisnik u hitnosti situacije mogao brzo reagirati i poslati podatke napadaču. Također, napadač može korisniku poslati lažne obavijesti od aplikacije za nadzor alarmnog sustava, gdje bi korisnik u hitnosti situacije mogao brzo reagirati i poslati podatke napadaču.
  
 +Na slici 5 ilustriran je phishing napad.\\
 {{:racfor_wiki:seminari2023:phising.png?500|}}\\ {{:racfor_wiki:seminari2023:phising.png?500|}}\\
 **Slika 5:** Prikaz phising napada [[https://www.simplilearn.com/tutorials/cryptography-tutorial/what-is-phishing-attack|Izvor]] **Slika 5:** Prikaz phising napada [[https://www.simplilearn.com/tutorials/cryptography-tutorial/what-is-phishing-attack|Izvor]]
Redak 144: Redak 145:
 Također, jedan od klasičnih primjera ranjivosti ljudskog faktora je korištenje nesigurnih zaporki. Takve slabe zaporke omogućuju lakši pristup korisničkim računima, najčešće kroz brute force napad, gdje napadač pokušava različite kombinacije lozinki dok ne pronađe ispravnu. Također, jedan od klasičnih primjera ranjivosti ljudskog faktora je korištenje nesigurnih zaporki. Takve slabe zaporke omogućuju lakši pristup korisničkim računima, najčešće kroz brute force napad, gdje napadač pokušava različite kombinacije lozinki dok ne pronađe ispravnu.
  
-Ključni korak kod osiguranja od ovakvog oblika ranjivosti je educiranje korisnika o prepozavanju sumnjivih poruka i web aplikacija za unos pristupnih podataka. Također, implementacija višefaktorske autentifikacije može dodatno otežati pristup čak i ako korisnici budu žrtve ovakvih napada.+Ključni korak kod osiguranja od ovakvog oblika ranjivosti je educiranje korisnika o prepoznavanju sumnjivih poruka i web aplikacija za unos pristupnih podataka. Također, implementacija višefaktorske autentifikacije može dodatno otežati pristup čak i ako korisnici budu žrtve ovakvih napada.
  
  
 === Nesiguran prijenos podataka (loša ili nepostojeća enkripcija podataka) === === Nesiguran prijenos podataka (loša ili nepostojeća enkripcija podataka) ===
 \\ \\
-Enkripcija predstavlja značajnu ulogu u zaštiti osjetljivih informacija koje se prenose između korisnika, aplikacije i sustava. Ako se podaci između korisnika i aplikacije za nadzor nad alarmnim sustavom prenose nekriptiranim/slabo kriptiranim putem, napadač koji je u mogućnosti prisluškivati mrežni promet može "uhvatiti" osjetljive informacije, koje koristiti za ulaz u aplikaciju alarmnog sustava. +Enkripcija predstavlja značajnu ulogu u zaštiti osjetljivih informacija koje se prenose između korisnika, aplikacije i sustava. Ako se podaci između korisnika i aplikacije za nadzor nad alarmnim sustavom prenose nekriptiranim/slabo kriptiranim putem, napadač koji može prisluškivati mrežni promet može "uhvatiti" osjetljive informacije, koje koristiti za ulaz u aplikaciju alarmnog sustava. 
 Takva vrsta napada se zove Man-in-the-Middle napad. Takva vrsta napada se zove Man-in-the-Middle napad.
 +\\ 
 +Na slici 6 ilustriran je MITM napad.\\
 {{:racfor_wiki:seminari2023:mitm.jpg?400|}}\\ {{:racfor_wiki:seminari2023:mitm.jpg?400|}}\\
 **Slika 6:** Prikaz MITM napada [[https://www.wallarm.com/what/what-is-mitm-man-in-the-middle-attack|Izvor]] **Slika 6:** Prikaz MITM napada [[https://www.wallarm.com/what/what-is-mitm-man-in-the-middle-attack|Izvor]]
Redak 159: Redak 161:
 === Slaba autentifikacija === === Slaba autentifikacija ===
 \\ \\
-Ako nadzirani alarmni sustav ne omogučava dodatne mogućnosti autentifikacije, ako napadač sazna pristupne podatke, može ući u sustav i ugroziti sigurnost.\\+Ako nadzirani alarmni sustav ne omogućava dodatne mogućnosti autentifikacije, ako napadač sazna pristupne podatke, može ući u sustav i ugroziti sigurnost.\\
 Kao rješenje postoje višefaktorske autentifikacije, koje uz običnu zaporku, traže i dodatne metode, poput prepoznavanja lica, otiska prsta, dodatan sms kod i slično. Kao rješenje postoje višefaktorske autentifikacije, koje uz običnu zaporku, traže i dodatne metode, poput prepoznavanja lica, otiska prsta, dodatan sms kod i slično.
  
 ==== Ranjivosti nenadziranih alarmnih sustava ==== ==== Ranjivosti nenadziranih alarmnih sustava ====
-Glavni aspekt ovog alarmnog sustava je taj što netreba nadziranje tijekom svoga rada, već je sam sposoban obavijestiti korisnika o mogučim prijetnjama. Ali ta efikasnost i jednostavnost dolazi sa cijenom smanjenja sigurnosti, u odnosu na nadzirane alarmne sustave. [8]+Glavni aspekt ovog alarmnog sustava je taj što ne treba nadziranje tijekom svoga rada, već je sam sposoban obavijestiti korisnika o mogućim prijetnjama. Ali ta efikasnost i jednostavnost dolazi cijenom smanjenja sigurnosti, u odnosu na nadzirane alarmne sustave. Više o ovom sustavu se može vidjeti na [8].
  
 === Odsustvo stvarnog (real time) nadzora === === Odsustvo stvarnog (real time) nadzora ===
Redak 173: Redak 175:
 Ovi sustavi često ne šalju obavijesti nadležnim sigurnosnim ili nadzornim službama, smanjujući brzinu i efikasnost odgovora na incidente. Ovi sustavi često ne šalju obavijesti nadležnim sigurnosnim ili nadzornim službama, smanjujući brzinu i efikasnost odgovora na incidente.
  
-=== Nedostatak opcija za dailjinsko praćenje ===+=== Nedostatak opcija za daljinsko praćenje ===
 \\ \\
 Sposobnost daljinskog praćenja i upravljanja sustavom je često ograničena, što može otežati reagiranje na incidente izvan fizičkog mjesta alarmiranja. Sposobnost daljinskog praćenja i upravljanja sustavom je često ograničena, što može otežati reagiranje na incidente izvan fizičkog mjesta alarmiranja.
Redak 189: Redak 191:
 Cilj ovog rada nije samo ukazivanje na ranjivosti, već i pružanje smjernica za poboljšanje sigurnosti alarmnih sustava. Korištenje snažnih kriptografskih metoda, redovito ažuriranje softvera, implementacija backup sustava te edukacija korisnika o sigurnosnim praksama ključni su koraci prema ojačavanju otpornosti alarmnih sustava na potencijalne prijetnje.\\ Cilj ovog rada nije samo ukazivanje na ranjivosti, već i pružanje smjernica za poboljšanje sigurnosti alarmnih sustava. Korištenje snažnih kriptografskih metoda, redovito ažuriranje softvera, implementacija backup sustava te edukacija korisnika o sigurnosnim praksama ključni su koraci prema ojačavanju otpornosti alarmnih sustava na potencijalne prijetnje.\\
 Uz brz tehnološki napredak, nužno je da industrija kontinuirano prati nove prijetnje i razvija inovativna rješenja. Samo integriranjem najnovijih sigurnosnih praksi i tehnologija možemo osigurati pouzdanu zaštitu imovine, informacija i, konačno, ljudi. Uz brz tehnološki napredak, nužno je da industrija kontinuirano prati nove prijetnje i razvija inovativna rješenja. Samo integriranjem najnovijih sigurnosnih praksi i tehnologija možemo osigurati pouzdanu zaštitu imovine, informacija i, konačno, ljudi.
-===== Poveznica na video prezentaciju ===== 
-TODO 
- 
  
 ===== Literatura ===== ===== Literatura =====
racfor_wiki/seminari2023/ranjivost_alarmnih_sustava.1705872225.txt.gz · Zadnja izmjena: 2024/01/21 22:23 od Vorkapić Dalijo
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0