NovaEnergija.net
  • Vesti
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA

NovaEnergija.net

  • Vesti
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA
Vesti

Koliko je siguran .rs?

written by divna January 12, 2016

U svom blogu Luka Gerzić pričao je o izveštaju koji je urađen u 2014. godini pod nazivom ‘Analiza bezbednosti nacionalnog domena’, pod pokroviteljstvom RNIDS (Registar nacionalnog internet domena Srbije). Ovo istraživanje je prezentovano iste godine na panel debati ‘3u1’ tokom ‘European Cyber Security Month’, u organizaciji ENISA, Evropske agencije za bezbednost mreža i informacija i RINDS-a.

Rezultat ovog istraživanja bila je veća količina panela, prezentacija i poboljšanja prvobitnog izveštaja uglavnom na Elektrotehničkom fakultetu, FON, Fakultet za bezbednost kao i mnogih drugih.

Ovaj izveštaj i analiza iz 2014. godine trebali su da posluže kao osnova za poslovne i tehničke odluke.
Sa povećanjem broja društvenih mreža došlo je do narušavanja privatnosti, bezbednosti i zaštite korisnika, što je dovelo do toga da ovaj izveštaj poveća svest o tome da se zaštita svih ovih oblika integriše u svaki servis, poslovni projekat, veb sajt i mobilnu aplikaciju.

2014 izveštaj i analiza

Ovo istraživanje obuhvata 86 291 nacionalni internet domen (.rs)

Pitanja kojim se bavilo ovo istraživanje

– Domen DNS podešavanja
– Domen MX spodešavanja aktivnih smtp/imap/pop3 servisa
– Domen aktivnog veb servisa (http and https)
– Geo IP location for domain services
– OS/Version check for web/mail services
– Detaljna analiza veb servis protokola za šifrovanje i podešavanje HSTS.
– Detaljna analiza za mejl servis protokola za šifrovanje i podešavanje.

Srbija na internetu 2014. godine

– 2,85 miliona internet korisnika u Srbiji
– 1,3 miliona korisnika e-servisa
– 99% kompanija u Srbiji koristi internet
– 28,3 miliona dinara (235 000 eura) je u prometu za kupo-prodaju stvari putem interneta

Rezultati ovog istraživanja nimalo nisu bili ohrabrujući. Od 79,1% domena koji su imali aktivni veb servis samo 54,3% su imali HTTPS omogućen, i od njih samo 14,2% su imali ispravno podešen HTTPS. Što se tiče slanja mejlova od 91,9% domena koji su imali SMTP aktivan servis, 49,1% su sadržali kodove, a od njih 13,5% su ih imali pravilno podešene.

Na osnovu ove analize dobijeni su podaci:

– Od top 20 veb servisa u Srbiji, samo jedan sajt je imao HTTPS omogućen za posetioce
– Od 40 zvaničnih internet domen registra, 13 je imalo isparvan CASSL sertifikat i jedan je imao HSTS aktivan
– Na kraju, samo 2 domena od 86 291 je imao HSTS aktivan (0,002%)

HTTPS i upotreba HSTS

Tokom panela, diskusija, intervjua i treninga objašnjeno je kolika je opasnost od nedostataka kodova i upotrebe zastarelih šifrovanih standarda i protokola. Jedna od glavnih tema je bilo objašnjenje da HSTS mora biti omogućen za sva veb šifrovana podešavanja. Moksi Marlin Spajk objasnio jw koncept skidanja SSL-a (Man-In-The-Middle-Attacker) i predstavio način na koji će se sprečiti napad na mrežu, kojim bi veb pretraživači bili omogućeni da unaprede SSL konekciju tako da to korisnici ni ne primete.

Man-In-The-Middle-Attacker (MiTM napadi)

HTTP i HSTS specifikacije su naknadno razvijeni, njihov nacrt je izrađen 2010. godine, a prihvaćeni su 2012. godine kao RFC za odbranu od ovih napada. Od 2012. godine sve vodeće banke, maloprodajne kompanije i slično, širom sveta (osim slabo razvijenih zemalja, među kojima je i Srbija) su usvojili ovu tehnologiju i implementirali ih u borbu od MiTM napada. Glavni razlog insistiranja na HSTS, tokom prezentacija i konverzacija, bilo je otkriće da samo 0,02% nacionalnih domena u Srbiji koristi ovu tehnologiju.

Privatnost na internetu

Druga najvažnija tema je bila da se podstakne publika na potrebu da imaju privatnost na internetu. Jedna od najčešćih rečenica među studentima u to vreme bila je ‘Ne interesuje nas naše pravo na privatnost, zato što nemamo šta da sakrijemo.’ Za pravi odgovor možemo citirati Edvarda Snovdena:’Ovo je isto kao kad bi rekli da nas ne zanima pravo na govor, jer nemamo šta da kažemo.’

Dodatak na izveštaj iz 2016: Elektornsko bankarstvo u Srbiji

2016. godine vršena je analiza kako banke u Srbiji štite korisnike šifrovanjem tokom pristupa sajtu, da bi videli na koji način su oni zaštićeni. Kriterijum koji je korišćen u ovom dodatku je veoma značajan za bezbednost i privatnost koji banke moraju implementirati kako bi povećali online poverenje i bezbednost korisnika u online bankarstvu.

Ova analiza obuhvata:

– Detaljnu analizu šifrovanih protokol veb servisa i podešavanje uključujući HSTS
– Politiku šifrovanja pre POST
– Provajder za isporuku usluge elektronskog bankarstva

Ova analiza ne sadrži:

– aplikacije za nivo bezbednosti
– procedure banke za korišćenje aplikacija elektrosnkog bankarstva
– 2FA ugradnje bezbednosti

Kao i u istraživanju iz 2014. godine, za sve nacionalne domene bezbednosti, rezultati novog istraživanja i analize takođe nisu ohrabrujući. Čak se može i reći da su zastrašujući.

Preliminarni rezultati:

– od 22 banke i 29 analiziranih sajtova nijedan ne koristi HSTS
– Od 29 sajtova e-bankarstva samo 4 sajta kodiraju šifru pre POST
– Od 29 sajtova e-bankarstva samo njih 9 imaju ocenu F po pitanju bezbednosti (najgora moguća ocena)
– Od 29 sajtova e-bankarstva, 11 njih koristi spoljašnji servis
– Neki podržavaju 2FA (2 faktora identifikacije) koji je omogućen preko mobilne aplikacije SMS-a ili drugih načina, ali skoro svi koriste 2FA samo za plaćanje ali ne i za pristup svojim podacija (logovanje)

Zaključak

Možda bi bilo dobro pomenuti da sedišta nekih srpskih banaka u Evropi ima sve ove bezbednosne mere implementirane kako treba, dok u Srbiji to nemaju. Možda ako bi to bilo regulisano zakonom u Srbiji i ako bi taj zakon bio implementiran na taj način da štiti korisnike, banke bi se postarale da obezbede najveći mogući standard zaštite svojih potrošača.

Izvor: blog.gerzic.rs

Koliko je siguran .rs? was last modified: January 12th, 2016 by divna
nacionalni domenrstop
0
Facebook Twitter Google + Pinterest
previous post
Silicijumska dolina kupuje softver iz Srbije?
next post
Korisnici vam nešto govore. Da li ih slušate?

Pročitajte i ovo!

Spavanje na poslu postalo obavezno u Japanu

Održana konferencija EDUCATION 4.0 – Škola 21....

Osnivač Pirate Bay: Bitka za internet je...

Huawei pridobil 20 mest na BrandZ “Top...

Facebook profil u testamentu?

PKS i UNICEF zajedno promovišu društveno-odgovorno poslovanje...

#KampanjaNaDar: Opšte dobro zajednice pitanje je svih...

Stipendije Londonske škole ekonomije za studente Ekonomskog...

Air France produžio let na relaciji Pariz-Beograd

Konferencija “Innovation Talk 2020.” u ponedeljak u...


NAJNOVIJE NA PORTALU

  • #Digital2022: Konstantin Kostadinov, Rakuten Viber – Razmena poruka postala je sastavni deo svakodnevne rutine

  • Harmonity Group postavlja standarde u IT sektoru i briše granice između realnosti i mašte

  • Uz D Express od oktobra i karticom!

  • Digital 2022 i MaxBet tombola za krstarenje u dvoje!

  • Rakuten Viber na konferenciji #Digital2022: Svi učesnici na Chatbotu!

  • Satnica frilencera usled pandemije porasla za 40 odsto

  • Najveća prevara u istoriji Vikipedije slučajno otkrivena

Popularni postovi

  • Unapredite YouTube pomoću ovih 5 alata

  • Snapchat: Upotreba i značenje emojis smajlija

  • Brisanje poruka na Viberu

  • Vsa marketinška on-line orodja na enem mestu

  • Instagram: Top 10+ domaćih kreatora

@2018 - CMC. All Right Reserved.


Back To Top