Slijede razlike između dviju inačica stranice.
Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
racfor_wiki:seminari2023:ranjivost_alarmnih_sustava [2024/01/22 00:25] Vorkapić Dalijo [Ranjivosti žičnih alarmnih sustava] |
racfor_wiki:seminari2023:ranjivost_alarmnih_sustava [2024/01/22 00:28] (trenutno) Vorkapić Dalijo [Ranjivosti nenadziranih alarmnih sustava] |
||
---|---|---|---|
Redak 118: | Redak 118: | ||
=== Ranjivost na Spoofing detektora === | === Ranjivost na Spoofing detektora === | ||
\\ | \\ | ||
- | Spoofing napad predstavlja tehniku u kojoj napadač pokušava poslati lažne signale ili informacije kako bi prevario sustav. U kontekstu bežičnog alarmnog sustava, ovo se odnosi na generiranje lažnih signala koji oponašaju stvarne senzorske podatke. Kako bi napadač znao generirati prikladne informacije i signale, prvotno bi trebao analizirati komunikaciju bežičnog sustava, i to će večinski odraditi kroz već navedeni sniffing napad. Spoofing napad može dovesti do brojnih negativnih posljedica, poput lažnih alarma, zloupotrebe resursa sustava i povećavanja ranjivosti na prijetnje. Spoofing napad je detaljnije objašnjen na [7]. | + | Spoofing napad predstavlja tehniku u kojoj napadač pokušava poslati lažne signale ili informacije kako bi prevario sustav. U kontekstu bežičnog alarmnog sustava, ovo se odnosi na generiranje lažnih signala koji oponašaju stvarne senzorske podatke. Kako bi napadač znao generirati prikladne informacije i signale, prvotno bi trebao analizirati komunikaciju bežičnog sustava, i to će većinski odraditi kroz već navedeni sniffing napad. Spoofing napad može dovesti do brojnih negativnih posljedica, poput lažnih alarma, zloupotrebe resursa sustava i povećavanja ranjivosti na prijetnje. Spoofing napad je detaljnije objašnjen na [7]. |
\\ | \\ | ||
Na slici 4 je ilustriran spoofing napad.\\ | Na slici 4 je ilustriran spoofing napad.\\ | ||
Redak 127: | Redak 127: | ||
Za osiguranje od spoofing napada, jedan od glavnih koraka je korištenje dobre kriptografije, | Za osiguranje od spoofing napada, jedan od glavnih koraka je korištenje dobre kriptografije, | ||
==== Ranjivosti nadziranih alarmnih sustava ==== | ==== Ranjivosti nadziranih alarmnih sustava ==== | ||
- | Kod ovog alarmnog sustava, riješen je glavni problem alarmnih sustava, a to je stvarno vremenska zaštita. Pri aktivacija alarma, | + | Kod ovog alarmnog sustava, riješen je glavni problem alarmnih sustava, a to je stvarno vremenska zaštita. Pri aktivacija alarma, |
Budući da se radi o nadziranom sustavu, korisnici imaju mogućnost praćenja i konfiguriranja sustava kroz pripadajuću aplikaciju za njihove mobilne i slične uređaje. Budući da se takve aplikacije nalaze na internetu, podložne su brojnim napadima putem interneta. Više o nadziranim sustavim se može vidjeti na [9]. | Budući da se radi o nadziranom sustavu, korisnici imaju mogućnost praćenja i konfiguriranja sustava kroz pripadajuću aplikaciju za njihove mobilne i slične uređaje. Budući da se takve aplikacije nalaze na internetu, podložne su brojnim napadima putem interneta. Više o nadziranim sustavim se može vidjeti na [9]. | ||
Redak 133: | Redak 133: | ||
=== Ljudski faktor === | === Ljudski faktor === | ||
\\ | \\ | ||
- | Iako ovo nije vezano za konkretne ranjivosti samog sustava, budući da korisnik koristi taj sustav, njegov doprinos ga može učiniti ranjivim. Jedan od glavnih napada koji iskorištavaju ranjivost čovjeka na internetu je phising | + | Iako ovo nije vezano za konkretne ranjivosti samog sustava, budući da korisnik koristi taj sustav, njegov doprinos ga može učiniti ranjivim. Jedan od glavnih napada koji iskorištavaju ranjivost čovjeka na internetu je phishing |
Napadač na razne načine može prevariti korisnika na internetu i izvući od njega važne informacije, | Napadač na razne načine može prevariti korisnika na internetu i izvući od njega važne informacije, | ||
Neki od načina su stvaranje lažne web stranice za prijavu, koja izgleda identično prijavi stvarne aplikacije za nadzor nad alarmnim sustavom. Korisnik, kroz neki lažni e-mail ili poruku, može biti preusmjeren na ovakve lažne stranice, gdje može otkriti svoje pristupne podatke napadaču.\\ | Neki od načina su stvaranje lažne web stranice za prijavu, koja izgleda identično prijavi stvarne aplikacije za nadzor nad alarmnim sustavom. Korisnik, kroz neki lažni e-mail ili poruku, može biti preusmjeren na ovakve lažne stranice, gdje može otkriti svoje pristupne podatke napadaču.\\ | ||
Također, napadač može korisniku poslati lažne obavijesti od aplikacije za nadzor alarmnog sustava, gdje bi korisnik u hitnosti situacije mogao brzo reagirati i poslati podatke napadaču. | Također, napadač može korisniku poslati lažne obavijesti od aplikacije za nadzor alarmnog sustava, gdje bi korisnik u hitnosti situacije mogao brzo reagirati i poslati podatke napadaču. | ||
- | Na slici 5 ilustriran je phising | + | Na slici 5 ilustriran je phishing |
{{: | {{: | ||
**Slika 5:** Prikaz phising napada [[https:// | **Slika 5:** Prikaz phising napada [[https:// | ||
Redak 145: | Redak 145: | ||
Također, jedan od klasičnih primjera ranjivosti ljudskog faktora je korištenje nesigurnih zaporki. Takve slabe zaporke omogućuju lakši pristup korisničkim računima, najčešće kroz brute force napad, gdje napadač pokušava različite kombinacije lozinki dok ne pronađe ispravnu. | Također, jedan od klasičnih primjera ranjivosti ljudskog faktora je korištenje nesigurnih zaporki. Takve slabe zaporke omogućuju lakši pristup korisničkim računima, najčešće kroz brute force napad, gdje napadač pokušava različite kombinacije lozinki dok ne pronađe ispravnu. | ||
- | Ključni korak kod osiguranja od ovakvog oblika ranjivosti je educiranje korisnika o prepozavanju | + | Ključni korak kod osiguranja od ovakvog oblika ranjivosti je educiranje korisnika o prepoznavanju |
=== Nesiguran prijenos podataka (loša ili nepostojeća enkripcija podataka) === | === Nesiguran prijenos podataka (loša ili nepostojeća enkripcija podataka) === | ||
\\ | \\ | ||
- | Enkripcija predstavlja značajnu ulogu u zaštiti osjetljivih informacija koje se prenose između korisnika, aplikacije i sustava. Ako se podaci između korisnika i aplikacije za nadzor nad alarmnim sustavom prenose nekriptiranim/ | + | Enkripcija predstavlja značajnu ulogu u zaštiti osjetljivih informacija koje se prenose između korisnika, aplikacije i sustava. Ako se podaci između korisnika i aplikacije za nadzor nad alarmnim sustavom prenose nekriptiranim/ |
Takva vrsta napada se zove Man-in-the-Middle napad. | Takva vrsta napada se zove Man-in-the-Middle napad. | ||
\\ | \\ | ||
Redak 161: | Redak 161: | ||
=== Slaba autentifikacija === | === Slaba autentifikacija === | ||
\\ | \\ | ||
- | Ako nadzirani alarmni sustav ne omogučava dodatne mogućnosti autentifikacije, | + | Ako nadzirani alarmni sustav ne omogućava dodatne mogućnosti autentifikacije, |
Kao rješenje postoje višefaktorske autentifikacije, | Kao rješenje postoje višefaktorske autentifikacije, | ||
==== Ranjivosti nenadziranih alarmnih sustava ==== | ==== Ranjivosti nenadziranih alarmnih sustava ==== | ||
- | Glavni aspekt ovog alarmnog sustava je taj što netreba | + | Glavni aspekt ovog alarmnog sustava je taj što ne treba nadziranje tijekom svoga rada, već je sam sposoban obavijestiti korisnika o mogućim prijetnjama. Ali ta efikasnost i jednostavnost dolazi |
=== Odsustvo stvarnog (real time) nadzora === | === Odsustvo stvarnog (real time) nadzora === | ||
Redak 175: | Redak 175: | ||
Ovi sustavi često ne šalju obavijesti nadležnim sigurnosnim ili nadzornim službama, smanjujući brzinu i efikasnost odgovora na incidente. | Ovi sustavi često ne šalju obavijesti nadležnim sigurnosnim ili nadzornim službama, smanjujući brzinu i efikasnost odgovora na incidente. | ||
- | === Nedostatak opcija za dailjinsko | + | === Nedostatak opcija za daljinsko |
\\ | \\ | ||
Sposobnost daljinskog praćenja i upravljanja sustavom je često ograničena, | Sposobnost daljinskog praćenja i upravljanja sustavom je često ograničena, |