e-banking i sigurnost tehnickih rjesenja za internet transakcije

E-banking i sigurnost tehničkih rješenja za Internet transakcije

1

ELEKTROTEHNIČKI FAKULTET

SARAJEVO

ZAVRŠNI RAD


Mentor: dr. Narcis Behlilović

Sarajevo, 25.02.2012. Kandidat: Aldina Bajraktarević


2

SADRŽAJ

1. UVOD ................................................................................................................................3

1.1. KRATKI HISTORIJAT IDEJE e-BANKINGa .............................................................3

2. PROBLEMI KORISNIKA USLUGA e-BANKINGa..........................................................7

2.1.AKTUENI TRENDOVI ...............................................................................................7

3.PREGLED STANJA e-BANKARSTVA U BIH .................................................................9

4. PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST BANKARSTVA I

ELEKTRONSKOG BANKARSTVA ................................................................................... 12

4.1. MEHANIZMI POSTIZANJA SIGURNOSTI ZA PRODAVCA I KUPCA U

TRANSAKCIJI................................................................................................................. 17

5. SSL PROTOKOL ............................................................................................................. 31

5.1. ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB TOKENI ............................. 33

6. MEHANIZMI ZA NARUŠAVANJE SIGURNOSTI ........................................................ 37

6.1 PRIMJERI USPJEŠNIH NAPADA ............................................................................. 46

7. RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE ................................. 49

7.1 PAYPAL ..................................................................................................................... 50

7.2 MONEYBOOKERS ................................................................................................... 51

7.3 PIKPAY ...................................................................................................................... 52

8. MJERE PREVENCIJE ZA ZAŠTITU SIGURNOSTI UČESNIKA U TRANSAKCIJI .... 52

9. ZAKLJUČAK .................................................................................................................. 55

POPIS KORIŠTENIH SKRAĆENICA ................................................................................. 57

LITERATURA ..................................................................................................................... 58


3

UVOD

Razvojem tehnologije, pojavljuje se sve veća poslovna konkurencija, samim time banke vide

elektronsko poslovanje kao priliku za osvajanje većeg tržišnog udjela. Najvažniji faktor

uspjeha u takvom okruženju je izgradnja sigurnosne infrastrukture, koja će klijentima ulijevati

povjerenje u on-line transakcije kao u transakcije obavljene na licu mjesta. Banke moraju s

jedne strane biti potpuno sigurne da su korisnici koji pristupaju bankovnim računima upravo

oni za koje se predstavljaju, dok s druge strane korisnici žele sa sigurnošću znati da su njihovi

osobni podaci, podaci o računima i sredstvima na tim računima potpuno zaštićeni, da se ne

mogu presresti i dospjeti do neovlaštenih osoba. Također korisnici moraju biti sigurni da je

web stranica banke putem koje komuniciraju autentična, a ne lažna stranica kreirana u svrhu

krađe njihovih osobnih i financijskih podataka. Pod elektroničkim poslovanjem podrazumjeva

se svaka financijska transakcija ostvarena razmjenom informacija elektronskim putem.

U današnje vrijeme pod e-poslovanjem smatraju se e-transakcije putem Interneta kao

jedinstvenog medija. Dakle, potrebno je da banka ponudi korisniku/klijentu novu uslugu koja

će štediti vrijeme, donositi novac, a ujedno imati isti ili čak bolji kvalitet. Svi ovi zahtjevi

donose mnogo otvorenih pitanja za diskusiju, i ne kulminiraju u jednostavno rješenje.

1. KRATKI HISTORIJAT IDEJE e-BANKINGa

Od prvog pronalaska novca (između 4. i 8. stoljeća p.n.e) pa do danas mijenjali su se različiti

načini plaćanja. Vremenom se težilo za onaj način koji donosi najviše dobiti. Pri tome se

podrazumjeva i financijska i vremenska dobit. A uz sve to neizostavna je i kvaliteta, kao

osnovni faktor vrednovanja usluge sa aspekta korisnika. E-banking ili elektronsko bankarstvo

je opći pojam za procese kojima korisnik može obavljati bankarske transakcije elektronskim

putem bez posjećivanja institucije nadležne za transakciju (banke, bankomati, ...). Elektronsko

bankarstvo donosi brojne pogodnosti bržim i jednostavnijim pristupom računima kao i

financijskim sredstvima. U klasničnim uslovima banka je mogla komunicirati samo dok je

trajalo radno vrijeme, pa je takav način stvarao ograničenje u komunikaciji, što

podrazumijeva nepristupačnost klijentima i njihovim zahtjevima, a samim time i manju

zaradu.

Postoje tri modela bankarstva: daljinsko, direktno i virtuelno. Daljinsko bankarstvo nudi

klijentima obavljanje transakcije na daljinu, slično kao što se vrši u tradicionalnom

bankarstvu. Transakcije je moguće vršiti preko terminala i bankomata, gdje banka ne jamči

sigurnost u potpunosti i preko interneta – banka osigurava hardware i software za obavljanje


4

transakcije i jamči potpunu sigurnost. Najčešće banka sam softver i hardver „posuđuje“ od

neke eksterne firme. Direktno bankarstvo omogućava klijentima samostalno izvršavanje

određenih poslova koje su za njih obavljale banke. U ovom slučaju banke djeluju kao

pozadinski servis. Virtuelno bankarstvo podrazumjeva primjenu interneta i web tehnologija za

obavljanje transakcija. Korisnicima nisu potrebni dodatni programi kao kod daljinskog i

direktnog bankarstva, sve transakcije se obavljaju preko web sjedišta banke.

Internet bankarstvo podrazumjeva dva načina rada:

- Online bankarski servis - zahtjeva instalaciju softvera na PC-ju korisnika, bez tog

softvera korisnik ne može raditi. Samim tim je ograničen na rad samo sa PC-a na

kojem je izvršena ispravna instalacija softvera.

- Internet bazirano bankarstvo - podrazumjeva pristup bankarskom servisu sa bilo

kojeg računara koji se može spojiti na Internet.

Internet bankarstvo svakako je najjednostavniji način financijskog poslovanja. Bez odlaska u

poslovnicu korisnik/klijent je u mogućnosti plaćati razne račune, prenositi sredstva s jednog

računa na drugi, provjeriti stanje po svim računima otvorenim u banci, pregledati promete,

oročiti sredstva i drugo. Za njegovo korištenje potreban je samo računar sa izlazom na

Internet.

Internet transakcije predstavljaju tehnološku revoluciju u bankarstvu, koja će permanentno

dovesti do uvođenja novih postupaka i tehnologija zasnovanih na kompjuterima i

telekomunikacionim sistemima. Upotreba nove tehnologije u bankarstvu dovodi do

novih vrsta usluga, novih sistema plaćanja, novih oblika distribucije i isporuke bankarskih

usluga, sve s' ciljem manje potrošnje vremena, veće zarade i bolje usluge.

Prvi elektronski transfer novca izvršen je još davne 1860. godine.

Transfer je izvršila firma Western Union iz SAD-a uz pomoć telegrafa. Kasnije je telegrafski

transfer novca postao uobičajan. Jedan od najvećih platnih i obračunskih sistema današnjice,

američki Fedvajer (Fedwire), započeo je sa radom 1918. godine, kao servis za telegrafski

transfer novca pri Sistemu federalnih rezervi SAD-a. Glavne promjene koje su do sada

ostvarene na planu elektronskog bankarstva sastoje se pretežno u rutinskim transakcijama u

bankama. Dosadašnji sistemi plaćanja zasnivali su se na čekovnom ili žiro platnom prometu.

Kod čekovnog platnog prometa inicijativa plaćanja potiče od kupca koji plaća čekom na teret

transakcionog računa kod svoje banke, a u korist prodavca koji dobija novac na računu kod

njegove banke.

Kod žiro platnog prometa inicijativa dolazi od kupca koji izdaje platni nalog svojoj banci da

na teret njegovog transakcionog računa isplati naznačenu sumu korisniku plaćanja na njegov

račun kod odgovarajuće banke. I jedan i drugi sistem plaćanja je karakterisala ogromna

količina papira što je sve više dovodilo do troškovnog pritiska na banke usljed porasta obima

finansijskih transakcija. Osim toga, papirni platni promet je zahtijevao dosta vremena za

finalizaciju plaćanja, tako da je sve to uticalo na potiskivanje papirnog načina plaćanja u

korist elektronskog sistema plaćanja.


5

Istinitost navedenih konstatacija potvrđuje slika 1. na kojoj je prikazano odvijanje jedne

platno-prometne transakcije:

KUPAC PRODAVAC

BANKA BANKA

Naručuje robu i

usluge

Šalje fakturu

Obavještava

prodavca da je

uplata izvršena

Daje nalog banci

da prebaci novac

prodavcu

Informiše

kupca da je

njegov račun

zadužen

Prebacuje sredstva na račun

prodavca

Informiše o izvršenoj uplati

Slika 1. Odvijanje platno-prometne transakcije

Prve ideje za rješavanje problema porasta obima papirnih tokova platnog prometa kroz proces

kompjuterizacije i eliminisanje papira, ponudila su dva američka profesora, Jakobs Henri

(Jacobs Henry) i Robert H. Gregory (Robert H. Gregory). Kada je kasnije, u praksi, počela da

se sprovodi kompjuterizacija sistema plaćanja, mijenjale su se metode i tehnička rješenja, ali

je suština koncepta ostala ista. Ona se sastoji u mogućnosti da se tehničko-tehnološke i

ekonomske karakteristike informacione tehnologije iskoriste za eliminisanje papira iz sistema

plaćanja, povećanje brzine transakcionih i informacionih tokova i snižavanje transakcionih

troškova.

Bankarski informacioni sistemi za procesiranje podataka imaju za cilj da izvrše tehničke

usluge, obezbijede sigurnost transakcija kao i ekonomičnost elektronskih usluga. Kvalitet

tehničkih usluga u elektronskom bankarstvu treba da prije svega znači mnogo veću brzinu kod

obavljanja transakcija u odnosu na ranije primjenjene metode.

Sigurnost transakcija uključuje i tajnost, što je nužna pretpostavka za prihvatljivost

elektronskih metoda za nebankarske učesnike. Ekonomičnost ovih transakcija znači da nove

elektronske usluge ne mogu imati veću cijenu nego usluge koje su ranije vršene na

konvencionalan način. Uzimajući u obzir ciljeve bankarskog informacionog sistema uviđa se

da nije dovoljno samo postojanje tehnički zadovoljavajućeg rješenja već i da primjena tih

sistema bude dovoljno ekonomična i time prihvatljiva za nebankarske korisnike. Da bi

elektronski informacioni sistemi bili dovoljno ekonomični moraju postojati što šire mreže


6

učesnika odnosno potreban je dovoljno veliki broj korisnika ovih usluga u sistemu čime se

obezbjeđuje odgovarajuća relativno niska cijena. Učesnicima u ovim mrežama smatraju se

banke, ostale financijske institucije, trgovinske kompanije, industrijske kompanije i slično.

Potreba za uvođenjem elektronskog prenosa sredstava u papirni platni promet javila se onda

kada je obim platnog prometa narastao do te mjere da je postalo nemoguće da se obavlja na

postojeći način, zbog fizičkih ili finansijskih ograničenja. Sredinom šezdesetih godina

dvadesetog vijeka u Velikoj Britaniji i Sjedinjenim Američkim Državama broj transakcija u

bankarstvu narastao je do neslućenih razmjera. Primjena tradicionalnih metoda obrade

transakcija, jednostavno, više nije bila moguća, a problem je narastao do te mjere da je

prijetio ugrožavanjem stabilnosti čitavog finansijskog sistema. Vlade Velike Britanije i

Sjedinjenih Američkih Država su, krajem šezdesetih godina, preduzele mjere za

automatizaciju sitnijih transakcija u bankarstvu, pogotovo onih koje su repetitivnog karaktera.

Na bazi ideje, do koje su vodeće britanske banke došle nekoliko godina ranije, u Sjedinjenim

Američkim Državama je 1968. godine formirana radna grupa za unapređenje razmjene „bez

papira“ (SCOPE — Special Committee on Paperless Entries), koja je funkcionisala pri Banci

federalnih rezervi u San Francisku. Cilj je bio da se stvori jeftin i pouzdan elektronski platni

sistem, kao alternativa čekovima. Plan je bio jednostavan, a sastojao se iz pretvaranja

periodičnih sitnih plaćanja čekovima (kao što su zarade i premije osiguranja) u posebno

oblikovanu platnu evidenciju koja će moći da se „čita“ uz pomoć računara. Rezultat ovih

napora bila je prva automatska klirinška banka (ACH - Automated Clearing House), koja je

počela sa radom 1972. godine. Kao reakcija na povećanu tražnju za međunarodnim

obračunom transakcija valutama i vrijednosnim papirima, razvijeni su elektronski platni

sistemi za plaćanja na veliko. U oblasti međubankarskog izvještavanja trenutno dominira

SWIFT, koji je osnovan 1973. godine u Briselu. Velika potražnja za bankarskim karticama je

uticala na pojavljivanje bankarskog sistema od nacionalnog značaja - BankAmericard, koji je

pokrenula Bank of America iz Kalifornije 1959. godine, da bi isti bio licenciran u drugim

državama 1966. godine. Ovaj bankarski sistem od 1977. godine nosi naziv VISA.

Kreditne kartice su se u današnjem obliku pojavile u SAD-u krajem šezdesetih godina da bi se

tek kasnije proširile po svijetu. Debitne kartice su novijeg datuma, a najbrže se razvijaju u

Velikoj Britaniji. Postoje raznovrsne definicije platnih kartica. Po jednoj su platne kartice

mali komadi plastike koje sadrže sredstvo za identifikaciju, što omogućava osobi na koju

kartica glasi da kupuje robu ili usluge na teret svog računa. Druge platnu karticu definišu kao

specifičan instrument bezgotovinskog načina plaćanja emitovan od strane banke, trgovinske

ili specijalizovane organizacije koja omogućava njenom vlasniku da jednostavnom

prezentacijom kartice izmiri svoje obaveze plaćanja prema prodavcu robe ili vršiocu usluge.

Kreditne kartice se najviše koriste u Sjedinjenim Američkim Državama – 3,5 kartice po

stanovniku.


7

2. PROBLEMI KORISNIKA USLUGA e-BANKINGA

Korisnik ne bi trebao koristiti istu šifru za eBanking uslugu i neki web forum. Administrator

kao i osoblje web foruma može znati korisničko ime, šifru, e-mail adresu i ostale informacije.

Također, sigurnost stranica kao što su web forumi je mnogo manja nego primjerice, sigurnost

eBaya, PayPala ili servera banke. Stoga su upravo raznorazni forumi i slične stranice česta

meta hakera u potrazi za parovima korisničko ime-lozinka. Hakeri će koristeći se ukradenim

podacima kasnije pokušati prijaviti na mjesta znatno veće sigurnosti.

Također, pogrešno je i razmišljanje da se koristi par komplikovanih šifri za usluge poput

eBankinga i sličnog, i par lako pamtljivih, jednostavnih, za usluge tipa e-mail računa. Ukoliko

je predmetna e-mail adresa povezana s eBankingom, maliciozni korisnik može vrlo lako

izvršiti manipulaciju sa dostupnim podacima.

Osnovni nedostaci e-Bankinga su:

odsustvu sigurnosti pri obavljanju poslovanja;

nepostojanju zakonske regulative;

nedostatak privatnosti, otuđenosti i odbojnosti prema inovacijama i opasnosti od

zloupotrebe internet bankarstva u kriminalne svrhe.

Sigurnost, odnosno nedostatak sigurnosti i sistemi zaštite na Intenetu su krucijalni faktori

rasta i razvoja Interneta. Ti faktori su veoma važni za funkcioniranje i razvoj internet

bankarstva. Sa rastućim publicitetom otvorenih mreža kao što je Internet i elektroničkom

razmijenom informacija i novca između geografski udaljenih lokacija, osiguravanje

transakcija postaje od ključne važnosti. Banke koje koriste elektroničku razmjenu podataka u

zatvorenim mrežama (Intranet) osiguravaju se utvrđivanjem identiteta i autorizacijom ljudi

koji pristupaju mreži. U otvorenim mrežama, postojeći mehanizmi tehničke i pravne zaštite

nisu dovoljni da spriječe neautorizirani pristup i hakerske upade. [2]

2.1 AKTUELNI TRENDOVI

Prednost Interneta je u tome što je jeftin i omogućava korisniku brz pristup, tako da se sve

veći broj korisnika upravo zbog toga odlučuje za internet bankarstvo. Internet je doveo do

velike promjene u načinu na koji se obavljaju bankarske transakcije. Do izražaja je došao

virtuelni aspekt poslovanja, koji se zasniva na smanjenju troškova transakcija i obezbjeđuje

korištenje različitih bankarskih usluga. Internet analitičari smatraju da internet ima i da će

imati odlučujući uticaj na razvoj za firme koje se bave pružanjem usluga plaćanja, kao što su

banke.

Internet uvodi drastične promjene u načinu poslavanja banaka, a naročito u sektoru

stanovništva, jer se zasniva na virualnom kontaktu. Sve više korisnika, kako fizičkih lica, tako

i kompanija u cijelom svijetu koristi se interno i eksterno internetom. Interno, korisnici

dobijaju informacije, instrukcije, pristupaju različitim bazama i alatima za rješavanje


8

problema. Putem Interneta ovi korisnici su u prilici da pristupaju bankama i obavljaju

operacije poput upita po tekućem računu, plaćanju računa, transfera novca sa računa na račun,

kupovanje i prodaja akcija i informisanje o novim prozvodima koji se nude. Pored fizičkih

lica sve veći broj kompanija pristupa banci na ovaj način, ali je njihov pristup malo

kompleksniji, jer je neophodno definisati i ovlastiti osobe koje će na ovaj način obavljati

poslove sa bankom. [6]

Poslije dvije godine od uvođenja internet bankarstva u Švedskoj, banka Handelsbank je imala

43% od ukupnog broja korporativnih klijenata koji su koristili usluge ove vrste. Najveći broj

korisnika je upravo u zemljama gdje je tehnologija najrazvijenija, dok u zemljama koje su u

razvoju ili nerazvijenim zemljama sa siromašnom ekonomijom, lošom infrastrukturom i

niskom edukacijom iz ove oblasti, ili se tek razvija ili se još uvijek ne razvija. Takav je slučaj,

nažalost, sa Bosnom i Hercegovinom, kao zemljom koja je još uvijek u posljeratnoj tranziciji.

Internet za banke predstavlja još samo jedan način za distribuciju i plasman usluga,

oglašavanje i unapređivanje marketinga. Savremene banke da bi međusobno bile konkuretnije

i da bi uopšte opstale na tržištu, moraju obezbjediti svojim klijentima neku vrstu elektronskog

bankarstva. Pored toga moraju učiniti sve da ih druge banke ne prestignu i ne iznenade na tom

polju. Osnovni zadatak elektronskog bankarstva je održavanje dobrog nivoa on-line usluga.

Istraživanja i finansijski izvještaji pokazuju da je elektronsko bankarstvo budućnost

financijskog sektora. Prema studiji IBM-a elektronsko bankarstvo predstavljalo je u 2001.

godini oko 5% ukupnih transakcija u SAD i Evropi. Pored toga, studija je pokazala da će

internet biti osnovni distribucioni kanal financijskih usluga u narednom periodu.

Da bi klijenti mogli da uopće koriste usluge elektronskog bankarstva neophodno je da imaju

računar i pristup internetu. Korisnikov računar postaje virtualni bankar koji predstavlja

posrednika prilikom obavljanja bankarskih poslova. Sve usluge koje se pružaju putem

elektronskog bankarstva neprestano se mijenjaju i unapređuju zbog velike konkurencije na

on-line tržištu.

Usluge koje klijenti mogu dobiti on-line su:

pribavljanje informacija o tekućem računu, stanje na računu, dozvoljeni limit;

printanje izvještaja o prometu na računu;

transfer sa računa na račun;

plaćanje računa;

kupovina i prodaja akcija;

naručivanje isplata;

praćenje transfera novca;

pregled aktuelnih kamata;

kontakt sa bankom,...

Na razvoj elektronskog bankarstva utiču mnogobroji faktori, neki od njih su navedeni u

nastavku:

Razvoj i primjena savremene informatičko-telekomunikacijske tehnologije bazirane na

web tehnologijama koje su povoljne za realizaciju financijskih inovacija;


9

Izvođenje financijskih transakcija digitalnim računarskim putem, posredstvom

specijalizovanih računarskih mreža koje ne moraju biti dio interneta i ne moraju biti

bazirane na web tehnologiji;

Savremene modele poslovanja koje prati digitalna ekonomija moraju da prate i

raznovrsne financijske institucije;

Deregualcija bankarskih i financijskih tržišta i visoka konkurentnost financijskih

institucija na globalnom tržištu novca. [4]

3. PREGLED STANJA e-BANKARSTVA U BIH

Opći svjetski trend je sve masovnije i sve brže stvaranje i primjena informaciono-

komunikacijskih tehnologija. Ova transformacija se ogleda i u pravnom smislu te eLegislativa

označava normativno uređenje specifičnosti koje primjena informaciono-komunikacionih

tehnologija prouzrokuje u pojedinim pravnim institutima i granama prava. Samim time

eLegislativa služi kao preduvjet za ubrzanje razvoja i prevazilaženja zaostajanja, kojem je

Bosna i Hercegovina, sticajem različitih okolnosti, bila izložena. Za razliku od pristupa drugih

međunarodnih organizacija, karakteristike ujednačavanja nacionalnih prava na kojima

insistira Evropska zajednica su: obaveznost, uspostavljanje minimalnog zajedničkog sadržaja,

horizontalno djelovanje, sloboda u izboru metoda usaglašavanja, mogućnost direktnog

djelovanja kao i opcija da se na ove smjernice pozovu i privatno-pravni subjekti. Ukoliko želi

postati članica Evropske zajednice, Bosna i Hercegovina mora uskladiti svoj pravni sistem sa

komunitarnim pravom Evropske zajednice. Usklađivanje se mora izvršiti i s pravnom

regulativom koja postoji na nivou pojedinih međunarodnih organizacija pri Ujedinjenim

nacijama kao i s pravnom regulativom pojedinih međunarodnih strukturnih organizacija. Iz tih

razloga komunitarno pravo Evropske zajednice treba biti osnovni obrazac za eLegislativu u

Bosni i Hercegovini.

Promjene koje će biti nužne u pravnom sistemu Bosne i Hercegovine mogu se sumirati kao

sljedeće premise: definiranje zakonodavstva na državnom nivou, definiranje entitetskih

zakonodavstava, usklađivanje entitetskih zakonodavstava, redukcija stepena odlučivanja,

usvajanje pravnih propisa, u skladu sa ovim dokumentom, usklađivanje važećih pravnih

propisa s novom eLegislativom, formiranje organizacionog i upravnog oblika za edukaciju,

monitoring i sve ostale postprojektne aktivnosti.

Projektne aktivnosti vezane za implementaciju eLegislative obuhvataju oblasti:

zakonodavstvo za ePoslovanje, zakonodavstvo za eUpravu, zakonodavstvo za eObrazovanje,

zakonodavstvo za IKT infrastrukturu i zakonodavstvo za IKT industriju. Informatička

revolucija, za razliku od drugih promjena, ne trpi ni kratkotrajan pravni vakuum. Opasnost od

zloupotreba je u ovom slučaju daleko veća od ranije poznatih zato što nedozvoljeni akti mogu

odmah proizvesti štetne posljedice na globalnom nivou. S druge strane, pravna regulativa

primjene IKT ima izrazito povoljne efekte. U tome je njena propulzivna snaga i

sinenergičnost. Razvojna uloga eLegislative je višestruka. Ona, najprije, treba omogućiti

nesmetanu percepciju i nadgradnju svjetskih dostignuća, ne samo u oblasti IKT nego i


10

kreiranju informatičkog društva. Samim time eLegislativa služi kao preduvjet razvoja i

prevazilaženja zaostajanja kojem je BiH, sticanjem historijskih okolnosti, bila izložena. Drugi

i konkretniji rezultat razvoja eLegislative treba biti percepcija rješenja poznatih nasvjetskom

nivou i u EU posebno. Treće ali ne najmanje važan rezultat razvoja eLegislative biće jačanje

jedinstvenog ekonomskog prostora u BiH. Globalni domet IKT i univerzalni karakter

ePoslovanja mogu postojanje entitetskih i drugih parcijalnih tržišta, npr. Distrikta Brčko,

učiniti skupim. Napokon, u modernom svijetu samo uređena primjena IKT i solidno

konstituirano informatičko društvo mogu pojedincu osigurati bolji i humaniji život.

eLegislativa je, pri tome, nezaobilazan instrument.

Bosna i Hercegovina je tek krajem 2000. godine počela ozbiljnije ulaziti u sferu

informacionih i komunikacionih tehnologija, u čemu inače osjetno zaostaje, ne samo za

razvijenim zemljama Evrope i svijeta, već i za većinom tranzicijskih zemalja. U ovom

trenutku ne postoje strateške odrednice niti politika jačanja svijesti društva o nužnosti najšire

primjene IKT-a i o njihovim mogućnostima. Postojeća zakonska regulativa ne prati novosti na

tržištu rada, niti prati nove izazove koje tržište donosi.

Stopa penetracije interneta je najvjerodostojnji indikator razvijenosti IKT sektora u jednoj

zemlji. U 2003. godini na svakih hiljadu stanovnika u BiH njih samo 13 ima priključak na

internet, što je napredak u odnosu na 2002. godinu, kada ih je bilo samo oko 8. Tako npr. u

Bugarskoj je stopa penetracije više od tri puta veća nego u BiH (oko 42 priključka na 1000

stanovnika), a u Hrvatskoj čak pet puta (oko 67). Sa druge strane, broj telefonskih priključaka

na 100 stanovnika također je pouzdan indikator o razvoju ovog sektora u jednoj zemlji. Na

svakih 100 stanovnika u BiH ima 12 fiksnih telefonskih priključaka i oko 9 mobilnih

telefonskih linija. Tako npr. broj fiksnih telefonskih priključaka na 100 stanovnika u

Bugarskoj je tri puta veći nego u BiH (37), a mobilnih linija dva puta (19). U Hrvatskoj je

broj fiksnih telefonskih priključaka na 100 stanovnika također tri puta veći nego u BiH, a broj

mobilnih linija čak devet puta. Prema istraživanju RAK-a ukupan broj korisnika interneta

krajem prošle godine u BiH iznosio je 2.113.100, odnosno 55 posto stanovnika koristilo je

internet, što je u odnosu na godinu ranije povećanje od 5,7 posto.

Pravni okvir u BiH se formirao na tri osnovna načina: preuzimanjem propisa ex-SFRJ,

legislativnom djelatnošću entiteta, kantonalnim zakonodavstvom i donošenjem propisa države

BiH. Preuzeti propisi nisu, već zbog vremena nastanka, bili dizajnirani prema potrebama IKT.

Međutim, noviji propisi entiteta, kantona i BiH u pojedinim oblastima zahtijevaju upotrebu

IKT. U nastavku su navedeni najbitniji:

• Zakon o slobodi pristupa informacija u BiH (Sl. gl. BiH 28/00) ;

• Zakon o centralnoj evidenciji i razmjeni podataka (Sl. gl. BiH 32/01), koji zahtijeva

osam povezanih evidencija sa podacima o građanima ;

• Zakon o unutrašnjem platnom prometu (Sl. n. FBiH 15/00) ; • Zakon o platnim transakcijama (Sl. n. FBiH 32/00) ; • Zakon o vrijednosnim papirima (Sl. n. FBiH 39/98), koji zahtijeva elektronski zapis

vrijednosnih papira, obuhvaćenih ovim aktom ; • Zakon o Registru vrijednosnih papira FBiH (Sl. n. FBiH 39/98), zajedno sa aktima

koje Registar donosi ; • Zakon o osnivanju Instituta za standarde, mjeriteljstvo i intelektualno vlasništvo BiH

(Sl. gl. BiH 51/00) ; • Zakon o industrijskom vlasništvu u Bosni i Hercegovini (Sl. gl. BiH 3/02) ;


11

• Zakon o autorskom pravu i srodnim pravima u Bosni i Hercegovini (Sl. gl. BiH 7/02); • Uredba Vlade FBiH o uspostavljanju, funkcioniranju i održavanju jedinstvenog

informacionog sistema obnove i razvoja u FBiH (Sl. n. FBiH 45/00).

Realnu sliku IKT sektora u BiH je teško steći, jer pored činjenice da je to potpuno novi, a uz

to i multidisciplinaran sektor, ozbiljnije studije o problemima i potencijalu ovog sektora do

sada nisu rađene.

Nevjerovatnom zvuči činjenica da 95 posto domaćinstava u BiH posjeduje TV aparat. U

dosadašnjim istraživanjima ministarstva za komunikacije BiH, pokazano je da oko 4,7 posto

domaćinstava u BiH ima računar, a u urbanim dijelovima BiH 9,6 posto. Ove procjene

pokazuju da BiH postoji potencijal, ali on je edukacijski neiskorišten i ugušen

monopolističkom politikom postojećih telekom operatora i neadekvatnom politikom i

strategijom u IKT sektoru od strane BiH administracije.

Sektor telekomunikacijske infrastrukture sveden je na telekom operatore i njihov tehničko-

tehnološki razvoj. Liberalizacija ovog tržišta nailazi na teškoće, mada je u mnogim

segmentima, na primjer u mobilnoj telefoniji, ona prisutna. S druge strane, zbog značajnih

propusta i neuređenosti sektora telekomunikacija, telekom operatori predstavljaju kočnicu u

nekim segmentima razvoja IKT sektora.

Mada je u toku izrade Studije izvodljivosti EU konstatovan znatan napredak koji je BiH

postigla u reformama u sektoru telekomunikacija, EC vidi potrebu za intenzivnijom

saradnjom, prije svega u sferi daljeg usaglašavanja sa «Acquis communautaire». Oblasti od

posebne važnosti su dalje unapređenje zakonskih, regulatornih i institucionalnih rješenja u

sferi IKT i poštanskih usluga, postupna liberalizacija, razvijanje okruženja povoljnog za

ulaganja u IKT i primjena evropskih standarda. Saradnja u sferi jačanja infrastrukture za IKT

pomogla bi u razvoju informatičkog društva u BiH. Činjenica da je e-trgovina pred sam kraj

prethodnog stoljeća u globalnoj trgovini postala nezamjenjiva, te da je svoje tržište posebno

našla kod malih i srednjih preduzeća, dovela je do prepoznavanja niza barijera u razvoju

upravo ovog sektora. Da bi se otklonile brojne prepreke, te ubrzao razvoj elektronskog

poslovanja, značajan broj međunarodnih organizacija počeo je regulatorno da djeluje u ovome

domenu. Najvažniji segmenti za razvoj BiH privrede i društva u cjelini zahtijevaju normiranje

i regulaciju, u skladu sa modernim evropskim standardima. Teme koje zahtijevaju pažnju

zakonodavaca su: struktura i oblik komercijalnih dokumenta, e-potpisi, e-računi, e-ugovori, e-

bankarstvo, e-plaćanja, i zaštita potrošača u e-poslovanju.

U tradicionalnom načinu poslovanja između firmi, najčešće se radilo o poslovnim odnosima,

uspostavljenim na lokalnom nivou, te tada nije ni bilo dileme koji propis će biti primijenjen

jer se, u principu, uvijek primjenjivao lokalni propis. Međutim, u prodaji putem Interneta, s

obzirom da ne postoje granice u trenutku kontaktiranja i naručivanja određene robe ili usluge,

uvijek ostaje otvoreno pitanje koji propis primjeniti na konkretan slučaj. Izbor ovog prava

posebno može otežati i činjenica da jedna ugovorna strana može imati sjedište u jednoj zemlji,

prezentaciju na Internet stranici izvršiti u drugoj zemlji, isporuku robe vršiti iz treće zemlje, a

plaćanje obavljati u četvrtoj zemlji. Ovakva situacija nije predviđena propisima. Pri tome

potrebno je posebno voditi računa o vremenu i uslovima donošenja većine tih propisa, jer su

na snazi brojni propisi doneseni u periodu prije rata, kada je društvena imovina bila osnov

cjelokupnog poslovanja, a samim tim i pod posebnim režimom zaštite. Za razliku od

susjednih zemalja, BiH još uvijek nema zakona koji određuje obim prava proisteklih iz, na


12

primjer, elektronskog potpisa. RS je nedavno donijela propis kojim se ova problematika

uređuje, ali se taj propis uglavnom oslanja na odluke Centralne banke BiH. Centralna banka

BiH je donijela dvije odluke o certifikaciji i autorizaciji potpisa:

• Odluka Centralne banke BiH o minimalnim uslovima koje mora ispunjavati

kvalificirano certifikaciono tijelo koje izdaje kvalificirane certifikate za elektronski

potpis

• Odluka Centralne banke BiH o reguliranju pravila za utvrđivanje elemenata za

vjerodostojnost elektronskog potpisa (Sl. gl. BiH 10/02)

Upitan je pravni osnov za nadležnost Centralne banke BiH da donosi ovakve odluke, s

obzirom da ova rješenja trebaju biti zasnovana na zakonu. Prilikom istraživanja za ovaj rad

poslan je konkretan upit Centralnoj banci da se izjasni po pitanju donošenja prethodno

navedenih odluka, nadležni su naveli da su donesene odluke van snage, jer je donesen zakon o

elektronskom bankarstvu kojeg se i CBBiH pridržava.

Prethodno razmatrana pitanja moraju postati dio pozitivnog prava BiH u što skorijem roku, jer

su IKT svakodnevno sve prisutnije u životu društva i privrede. Ignorisanje ove potrebe može

imati nesagledive posljedice. Trenutno je u pripremi formiranje Agencije za zaštitu podataka

na državnom nivou, pa pomenute smjernice moraju postati dio Zakona o formiranju Agencije.

Glavne mjere u ovoj sferi trebaju biti:

• izmijeniti zakone o komercijalnim dokumentima, elektronskom potpisu i zaštiti

potrošača u elektronskom poslovanju;

• usvojiti zakone o elektronskim računima, elektronskim ugovorima, elektronskom

bankarstvu i elektronskom plaćanju;

• formirati Agenciju BiH za IKT.

4. PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST

BANKARSTVA I ELEKTRONSKOG BANKARSTVA

Bosna i Hercegovina je kao članica Inicijative za elektronsku jugoistočnu Evropu potpisala

„eSEE Agendu za razvoj informacionog društva“ 2002. godine u Beogradu. U toj Agendi je

dogovoreno da države potpisnice izrade i usvoje politiku i strategiju razvoja informacionog

društva, a kroz prioritetnu oblast „Jedinstveni SEE informacioni prostor“ definira način

uspostavljanja javne infrastrukture za sigurno poslovanje zasnovano na kvalificiranom

elektronskom potpisu. Dalje, e-usluga iz eSEE Agende plus, u narednom periodu IDDEEA

planira pružati neke od njih. Međutim, sporost u implementaciji Zakona o elektronskom

potpisu BiH onemogućava da ove usluge budu transakcione. Ipak, poredeći postignuto sa

zahtjevima iz eSEE Agenda plus i 23 bazična servisa e-Vlade koja bi trebala biti

uspostavljena do kraja 2011. godine, BiH je nažalost daleko i iza zemalja u regiji, a posebno u

Evropi i svijetu. Ključni problemi koji utječu na to su: nepostojanje institucionalnog uređenja

neophodnog za koordinaciju aktivnosti u oblasti e-Vlade koje se izvršavaju na različitim

nivoima vlasti i u različitim ministarstvima, iracionalno korištenje neadekvatno raspoređenih


13

informatičkih ljudskih resursa, te još uvijek neadekvatne IKT politike, pravnih okvira,

metodologije i standarda za realiziranje projekata e-Vlade. Stoga, entuzijazam za kretanje

naprijed je sada dodatno usporen zbog rastuće spoznaje da uspješna e-Vlada zahtijeva

kombinaciju organizacijske promjene, reformu politike, i tehnološku investiciju.

Vijeće ministara BiH je 2004. godine usvojilo Politiku, Strategiju i Akcioni plan razvoja

informacionog društva u BiH za period 2004-2010. godine, a 2006. godine je usvojen Zakon

o elektronskom potpisu BiH i Zakon o elektronskom pravnom i poslovnom prometu BiH.

Takođe su usvojene i odluke koje uređuju oblast upotrebe elektronskog potpisa i pružanja

usluga ovjeravanja koje osiguravaju potrebne pravne aspekte za implementaciju digitalnog

potpisa. Država je usvojila savremeno zakonodavstvo, prije svega Zakon o elektronskom

potpisu, Zakon o elektronskom pravnom i poslovnom prometu i prateća podzakonska akta za

područja elektronskih potpisa, elektronskih sjednica vlade, Internet stranica, itd. Izmjene i

dopune Zakona o općem upravnom postupku, koji uređuje najširi mogući spektar vladinih

postupaka, su takođe usvojene kako bi se stvorili osnovi za elektronske usluge.

U tom smislu trenutno su na snazi sljedeći pravni akti:

• Zakon o elektronskom potpisu („Službeni glasnik BiH“, broj 91/06);

• Zakon o elektronskom pravnom i poslovnom prometu („Službeni glasnik BiH“, broj

88/07);

• Zakon o upravnom postupku („Službeni glasnik BiH” br. 29/02, 12/04, 88/07, 93/09);

• Odluka o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravan

(„Službeni glasnik BiH“, broj 21/09);

• Odluka o elektronskom poslovanju i e-vladi (“Službeni glasnik BiH“ broj 07/10);

• Odluka o uredskom poslovanju ministarstava, službi, institucija i drugih organa

Vijeća ministara BiH – (“Službeni glasnik BiH” br. 21/01, 29/03);

• Uputstvo o izradi i održavanju službenih Internet stranica institucija BiH (Službeni

glasnik BiH broj 21/09).

Trenutno su u pripremi i sljedeći pravni akti:

• Pravilnik o unutrašnjoj organizaciji Ministarstva komunikacija i prometa BiH

(osnivanje Ureda za nadzor i akreditacije);

• Zakon o Agenciji za razvoj informacionog društva.

Republika Srpska

U skladu sa Strategijom eVlade 2009. - 2012. godine Vlada Republike Srpske je usvojila

sljedeće zakone i podzakonske akte:

• Zakon o elektronskom potpisu RS („Službeni glasnik RS“, broj 59/08)

Ovaj zakon uređuje upotrebu elektronskog potpisa u pravnim poslovima i drugim pravnim

radnjama, kao i prava, obaveze i odgovornosti u vezi s elektronskim certifikatima

(potvrdama). Uz sam zakon, donesen je cijeli niz podzakonskih akata koji uređuju područja

kao što su evidencija davaoca usluga certificiranja elektronskih potpisa, jedinstveni registar

davaoca usluga certificiranja elektronskih potpisa koji izdaju kvalificirane certifikate, mjere i

postupci upotrebe i zaštite elektronskog potpisa, sredstava za izradu elektronskog potpisa,

obaveznog osiguranja davaoca usluga izdavanja kvalifikacionih certifikata itd., tj. slijedeće:


14

• Uredba o nosiocu poslova elektronske certifikacije u republičkim organima uprave

(“Službeni glasnik RS“ br. 114/08, 73/09);

• Pravilnik o evidenciji davaoca usluga certificiranja elektronskog potpisa certificiranih

organa (“Službeni glasnik RS“ broj 88/09);

• Pravilnik o sadržaju i načinu vođenja registra certifikacionih organa za izdavanje

kvalificiranih elektronskih certifikata (“Službeni glasnik RS“ broj 88/09);

• Pravilnik o mjerama zaštite elektronskog potpisa, i kvalificiranog elektronskog

potpisa, najnižem iznosu obaveznog osiguranja i primjeni organizacionih i tehničkih

mjera zaštite certifikata – (”Službeni glasnik RS” broj 88/09);

• Pravilnik o tehničkim pravilima za osiguranje povezanosti evidencija („Službeni

glasnik RS“ broj 88/09).

Na osnovu odredbi Zakona o Vladi Republike Srpske i Zakona o sistemu javnih službi, Vlada

Republike Srpske je 2007. godine donijela Odluku o osnivanju Javne ustanove „Agencija za

informaciono društvo Republike Srpske“. Ovim aktom Republika Srpska osnovala je

instituciju zaduženu za praćenje razvoja informacionog društva, te promociju upotrebe

informaciono-komunikacionih tehnologija. Nadzor nad radom Agencije, u ime Vlade RS,

obavlja Ministarstvo nauke i tehnologije RS.

• Zakon o elektronskom dokumentu RS („Službeni glasnik RS“, broj 110/08)

Ovaj zakon uređuje pravo fizičkih i pravnih lica na upotrebu elektronskog dokumenta u svim

poslovnim radnjama i djelatnostima, te u postupcima koji se vode pred organima republičke

uprave u kojima se elektronska oprema i programi mogu primjenjivati u izradi, prijenosu,

pohranjivanju i čuvanju informacija u elektronskom obliku. Zakon takođe uređuje pravnu

važnost te upotrebu i promet elektronskih dokumenata.

• Zakon o elektronskom poslovanju RS (Službeni glasnik RS 59/09)

Ovaj zakon definira pružanje usluga i pravila u vezi sa sklapanjem ugovora u elektronskom

obliku.

Federacija Bosne i Hercegovine

Federacija BiH nema legislativu za primjenu elektronskog potpisa, jer se oslanja na Zakon o

elektronskom potpisu BiH.

Brčko Distrikt BiH

• Zakon o elektronskom potpisu Brčko Distrikta BiH („Službeni glasnik BD br. 39/10,

61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.

• Zakon o elektronskoj ispravi Brčko Distrikta BiH („Službeni glasnik BD br. 39/10,

61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.

Zakon o elektronskom potpisu Brčko Distrikta BiH se ne razlikuje od zakona donesenih 2006.

od strane Parlamentarne skupštine BiH ili zakona u Republici Srpskoj. Obzirom na

nemogućnost implementacije Zakona o elektronskom potpisu BiH, tj. nepostojanja


15

Nadzornog organa koji bi vršio nadzor i akreditaciju CA, zakonodavac Brčko Distrikta BiH je

procijenio da je optimalnije usvojiti posebni zakon u distriktu i na taj način primijenit i propis

o elektronskom potpisu.

U skladu sa članom 9. Zakona o elektronskom potpisu Brčko Distrikta BiH, Odjeljenje za

javni registar propisuje mjere zaštite elektronskog potpisa i naprednog elektronskog potpisa,

kao i mjere provjere identiteta potpisnika. Član 43. takođe propisuje da će šef Odjeljenja za

javni registar donijeti sve neophodne podzakonske akte propisane zakonom, u roku od šest

mjeseci od stupanja na snagu Zakona o elektronskom potpisu Brčko Distrikta BiH.

Pravni učinci elektronskih potpisa – Osnovne odredbe Direktive navode da napredan

elektronski potpis, baziran na kvalificiranoj potvrdi koji je kreirala naprava za kreiranje

sigurnog potpisa zadovoljava zakonske uvjete za potpis vezane za podatke u elektronskom

obliku jednako kao što svojeručni potpis zadovoljava uvjete vezane za podatke u papirnim, te

da bi se trebao koristiti kao dokaz u pravnim postupcima – član 4. i član 5. Zakona o

elektronskom potpisu BiH.

Odgovornost - Zemlje članice moraju osigurati da je pružalac usluga ovjeravanja koji izdaje

kvalificiranu potvrdu odgovoran vis-à-vis svake osobe koja se oslanja na potvrdu za: tačnost

svih informacija u kvalificiranoj potvrdi, pridržavanje svih uvjeta iz Direktive pri izdavanju

kvalificirane potvrde, osiguranje da je vlasnik identificiran u kvalificiranoj potvrdi u trenutku

izdavanja potvrde bio u posjedu svih podataka za formiranje potpisa, koji odgovaraju

podacima za provjeru potpisa sadržanim u potvrdi datog ili identificiranog u potvrdi, u

slučajevima kada pružalac usluga ovjeravanja povlači podatke za formiranje potpisa ili

provjeru potpisa, osiguravanje da su podaci za formiranje potpisa i s njima usuglašeni podaci

za provjeru potpisa odgovarajući u komplementarnom smislu.

Pružalac usluga ovjeravanja se neće smatrati odgovornim za štetu nastalu u vezi sa upotrebom

kvalificirane potvrde za transakcije čija je vrijednost van navedenih ograničenja. – član 19.

Zakona o elektronskom potpisu BiH. Generalno, svi spomenuti zakoni su uglavnom usklađeni

sa Direktivom 1999/93/EC Evropskog parlamenta i Vijeća od 13. decembra 1999., o pravnom

okviru Zajednice po pitanju elektronskih potpisa, i Direktivom 2000/31/EC Evropskog

parlamenta i Vijeća od 8. juna 2000., po pitanju pravnih aspekata usluga informacionog

društva, konkretno elektronskog poslovanja, na unutrašnjem tržištu („Direktiva o

elektronskom poslovanju“).

Stoga možemo zaključiti da postoji savremen i prilično detaljan pravni okvir. Ovaj okvir

pruža predvidljive i pouzdane odgovore na pitanja vezana za integritet, autentičnost i

nemogućnost poricanja elektronskog oblika i potpisa.

Uprkos općoj usklađenosti sa direktivama EU i globalnim modelima za pravne dokumente,

postoje određeni problemi:

1. neke od odredbi su komplicirane ili nepraktične i u nekim područjima previše restriktivne;

2. zakoni i predviđena obaveza da se registrira aktivnost CA postoje na državnom, ali i na

entitetskom nivou;

3. neka pravna pitanja su ostala neriješena; u slučajevima u kojima se nije moguće osloniti na

mjere EU acquisa, lokalna legislativa je neujednačena i nedovršena po pitanju određenih vrlo

praktičnih aspekata (npr. pravni efekti prijenosa papirne dokumentacije u elektronski oblik,


16

dugoročnog elektronskog arhiviranja, postupci elektronske vlade, elektronskih nabavki,

elektronskih sudskih postupaka, itd.);

4. čak i kada su zakoni neutralni po pitanju tehnologije ili oblika (gdje se tekst ne odnosi

isključivo na papirne dokumente) te samim tim dopuštaju korištenje savremenih IKT alata,

nadležna državna tijela uglavnom tumače zakone na tradicionalan način dopuštajući samo

korištenje rukom pisanih potpisa i papirnih dokumenata.

Iako je Zakon o elektronskom potpisu BiH na snazi već od 2006. godine, pojavila su se

mnoga neriješena institucionalna i politička pitanja koja onemogućavaju ili usporavaju proces

implementacije Zakona, a samim tim i razvoj područja primjene ePotpisa u BiH, među kojima

su najvažniji:

• Nerazumijevanja nadležnost u oblasti elektronskog potpisa i elektronskog poslovanja;

• Institucije u BiH nisu u dovoljnoj mjeri bile posvećene implementaciji Zakona o

elektronskom potpisu BiH;

• Spori napredak reforme javne uprave i loše poslovno okruženje u društvu umanjuje

značaj primjene ePotpisa i sve prednosti koji se time postižu;

• Nepostojanje Ureda za akreditaciju i nadzor CA u okviru Ministarstva prometa i

komunikacija BiH;

U Bosni i Hercegovini trenutno ne postoji PKI infrastruktura za pravna i fizička lica na nivou

države. Međutim, postoji niz nezavisnih PKI infrastruktura, prije svega elektronsko

bankarstvo i djelomično u sektoru elektronske vlade koji djeluju u zatvorenim sistemima,

čime je trenutno obuhvaćeno, ili će biti obuhvaćeno preko 10.000 firmi i skoro 10.000

državnih službenika.

Stoga tehnički problem nije u tolikoj mjeri zasnovan na nepostojanju PKI infrastrukture na

nivou države. Prije se može reći da je problem u okupljanju i spajanju različitih postojećih

PKI infrastruktura i informatičkih sistema. Ubrzanje uvođenja elektronskog potpisa je od

velike važnosti za BiH, jer trenutno BiH kasni u implementaciji elektronskog potpisa, što

znači, da su usporene i sve primjene e-potpisa (eTrgovina, eBankarstvo, eUprava,

ePoslovanje). Danas se procjenjuje da u BiH postoji oko 12.000 izdatih običnih certifikata

(10.000 za poduzeća i 2.000 za državne službenike) i oko 100 kvalificiranih certifikata.

Komparativni podaci za zemlje EU govore o 30 puta većem broju izdatih potvrda (ako se

podaci relativiziraju na broj stanovnika), a za zemlje u regionu oko 2 do 3 puta više izdatih

potvrda u odnosu na BiH.

Privatni sektor, a posebno IT kompanije predstavljaju ogroman razvojni potencijal u BiH i

svako dalje odlaganje u primjeni elektronskog potpisa predstavlja direktni gubitak za razvoj

privrede u BiH, a u isto vrijeme dovodi ovaj sektor u još nepovoljniji položaj u odnosu na IT

kompanije u regiji. Za dalji razvoj bankarskog sektora primjena elektronskog potpisa je od

izuzetnog značaja, posebno za dalji razvoj modernog elektronskog bankarstva, usporava

povezivanje poslovne zajednice sa poreskim upravama, obavljanja dnevnih transakcija

elektronskim putem. Uspostavljanje sigurnog i modernog elektronskog bankarstva neophodno

je za monitoring i kontrolu eventualnih aktivnosti “pranja novca” i borbe protiv finansiranja

ilegalnih aktivnosti. Postojeća bankarska PKI može biti realna polazna osnova za uvođenje e-

vlade, posebno imajući u vidu troškove izgradnje i održavanja PKI kao i veličinu i stvarne

potrebe zemlje.

Potrebno je uzeti u obzir informatičku pismenost prije svega građana, potom poslovne

zajednice, kao i javnog sektora u BiH. U ovom smislu potrebno je uzeti u obzir dosadašnja

iskustva kao i stručna znanja postojećih asocijacija informatičara u BiH. Uvođenjem

elektronskog potpisa potrebno je raditi na razvijanju odgovarajućih elementa zaštite


17

potrošača. Adekvatna i efikasna primjena elektronskog potpisa treba biti praćena dobro

pripremljenom javnom kampanjom koja bi ukazala na sve prednosti pune primjene

elektronskog potpisa. [1]

Pošto sadašnja zakonska regulativa ne omogućava uvođenje informacionih tehnologija, to je

Vlada FBiH utvrdila je Nacrt zakona o elektronskom dokumentu i uputila ga Parlamentu

FBiH na razmatranje i usvajanje. Ovaj zakonski projekt, također, treba posmatrati u kontekstu

zakona koji su već u parlamentarnoj proceduri: Zakona o matičnim knjigama i Zakona o

osobnom imenu.

Ujedno, jedna od obaveza proistekla iz Direktiva Europske unije, jeste stvaranje pretpostavki

za elektronski pristup informacijama. Riječ je o 20 usluga koje bi građanima trebale biti

dostupne na ovaj način.

Kako je Nacrtom zakona definirano, tijela uprave i lokalne samouprave, gospodarska društva,

ustanove i druge pravne i fizičke osobe slobodno izraženom voljom prihvataju upotrebu i

promet elektronskog dokumenta za svoje i potrebe poslovnih i drugih odnosa. Ukoliko to

prihvate, ne mogu odbiti elektronski dokument samo zbog toga što je sačinjen, korišten i

stavljen u promet u elektronskom obliku.

Elektronski dokument ima pravnu valjanost kao i dokument na papiru ako je izrađen, poslan,

primljen, čuvan i arhiviran primjenom raspoložive informacione tehnologije i ako ispunjava

uvjete iz ovog zakona. Svaki takav dokument na kojem je elektronski potpis smatra se

izvornikom.

Upotreba elektronskog dokumenta je valjana ako on, uz ostalo, sadrži podatke o autoru,

pošiljatelju i primatelju, te o vremenu slanja i prijema. (izvor 24. sjednica Vlade FBiH,

09.11.2011. saopćenje o radu http://www.fbihvlada.gov.ba)

4.1 MEHANIZMI POSTIZANJA SIGURNOSTI ZA

PRODAVCA I KUPCA U TRANSAKCIJI

Pojam „sigurna“ mrežna transakcija podrazumijeva onu transakciju koju nije moguće narušiti

bilo kakvom metodom. To prvobitno podrazumijeva da prilikom davanja podataka

korisnik/klijent pristupi pravoj stranici za transakciju, te da isti bude ispravno detektovan od

strane pružaoca usluga. Banka čiji će sistem biti analiziran u ovome radu, koristi sljedeće

„metode“ tj. načini autorizacije za obavljanje „sigurne“ transakcije:

1. Smart Cards;

2. Tokeni;

3. Tanovi.

Svaki od navedenih ima specifičan način rada, i naravno određeni nivo sigurnosti.

http://www.fbihvlada.gov.ba/


18

Pametna kartica se temelji na PKI (Public Key Infrastructure) tehnologiji koja se zasniva na

asimetričnoj kriptografiji, odnosno na paru javnih i tajnih ključeva za šifriranje podataka.

Svaki korisnik ima svoj tajni ključ i svoj javni ključ. Samo je javni ključ korisnika dat

drugima na uvid. Korisnik podatke koje želi nekome poslati šifrira svojim tajnim ključem.

Kada bi se takvi podaci poslali, pročitati bi ih mogao svatko tko posjeduje javni ključ

pošiljatelja. Iz tog razloga pošiljatelj šifrira podatke još jedanput, ovaj put javnim ključem

primatelja podataka. Na taj su način podaci dostupni samo primatelju. Naime, primatelj ih

mora dešifrirati najprije pošiljateljevim javnim ključem, a zatim i svojim tajnim ključem. Svi

su ti ključevi u digitalnom obliku pohranjeni na smart-kartici. Smart-kartica se uveliko

razlikuje od kreditne kartice uprkos sličnostima u obliku i veličini. Dok je u unutrašnjost

smart-kartice umetnut 8-bitni mikroprocesor, normalna kreditna kartica u potpunost je

sačinjena od plastike. Prednost ove tehnologije jeste iznimno visok stepen sigurnosti. Naime,

još uvijek nije zabilježen niti jedan slučaj provaljivanja ili zlouporabe bankarske transakcije

na Internetu u kojoj su se korisnici autorizirali ovom metodom.

Kod korištenja usluga Internet bankarstva kao najbolja metoda autorizacije ističe se token,

koji predstavlja kompromis između cijene i učinkovitosti. Korištenje tokena smanjuje rizik od

neovlaštenog pristupa podacima, a ne zahtjeva nikakva financijska ulaganja od strane

korisnika. Token je uređaj nalik džepnom kalkulatoru. Takav uređaj se ustupa klijentu na

privremeno korištenje prilikom registracije za uslugu Internet bankarstva. Prilikom odjave

usluge klijent je dužan vratiti uređaj u podružnici u kojoj ga je zaprimio. Numeričke tipke na

tokenu omogućavaju korisniku unos PIN-a (Personal Identification Number) koji je nužan za

uspješnu autorizaciju kod samog tokena. PIN je broj od četiri do osam znamenaka kojeg

korisniku ustupa banka. Nakon prve autorizacije korisnik ima mogućnost promijeniti PIN za

otključavanje uređaja. Nakon autorizacije token generira niz brojeva koji se zajedno sa

serijskim brojem tokena mora unijeti u aplikaciju. Serijski broj svakog tokena je jedinstven i

sačinjava dio kriptografskog ključa koji omogućuje generiranje dinamičkog koda za pristup

mreži. Da bi se spriječilo presretanje podataka u mreži, postoje i drugi načini zaštite kao što je

zaštita putanje kojom se vrši protok podataka. Pri autorizaciji i validaciji podataka poslužitelj

generira challenge, odnosno numeričku vrijednost sačinjenu od šest znamenaka. Te se

znamenke dobiju iz datuma, vremena izvođenja transakcije i same novčane vrijednosti

transakcije. Da bi se uspješno provela transakcija, klijent mora utipkati challenge u token koji

nakon toga generira challenge response. Challenge response se također sastoji od šest

znamenaka i valjan je samo za izvođenje trenutne transakcije. Poslužitelj na temelju challenge

niza izračunava ispravni challenge response niz i uspoređuje ga s nizom kojeg unosi korisnik

kako bi potvrdio integritet transakcije. Broj kojeg token generira za jednokratnu je upotrebu,

odnosno ne postoji mogućnost ponavljanja generiranog niza. Klijent ima na raspolaganju

određeni vremenski period u kojem mora unijeti generirani niz. Taj period traje od 30 do 60

sekundi nakon čega se token automatski isključuje.

Ovakav model autorizacije koji se sastoji od dva faktora (serijskog broja tokena i niza brojeva

koje token generira) omogućava računaru u banci da jednoznačno identificira klijenta te mu

omogući pristup svim njegovim računima. Dakle, sigurnosni mehanizam ugrađen u token je

usklađen s poslužiteljem koji provjerava parametre autorizacije. Ukoliko klijent unese

neispravan PIN nekoliko puta za redom, najčešće tri puta, token se automatski zaključa.

Administrator je jedina autorizirana osoba za otključavanje uređaja. Ukoliko se ipak unese

neispravan kod za autorizaciju korisnika, web aplikacija se terminira. Svaki takav pokušaj


19

zabilježi se kod poslužitelja. Administrator pregledava zabilješke i na taj način može uočiti

sumnjive radnje pri autorizaciji. Prednost tokena pred TAN-ovima je jednostavna

administracija. Nakon što jednom ustupi token klijentu na korištenje, banka se ne mora brinuti

oko njegove daljnje autorizacije, kao što je to u slučaju TAN-ova. Nedostatak tokena je to što

klijent mora uređaj nositi sa sobom ukoliko želi obaviti neku bankarsku transakciju na

različitim mjestima. Uz navedeno tu je još i velika i nepregledna količina brojeva koja se

mora utipkivati u web-aplikaciju.

Autorizacija putem TAN-ova obično podrazumijeva list papira s pedesetak ili stotinjak nizova

znamenaka koje klijent zaprima od banke. Kada klijent iskoristi sve nizove s liste, banka mu

poštom šalje novu listu. Pojedine banke izdaju karticu s određenim brojem TAN-ova koje

tada korisnik kružno koristi pri čemu nema potrebe za zaprimanjem novih TAN-ova. TAN-

ovi izgledaju poput telefonskih brojeva pa je time smanjena opasnost zloupotrebe u slučaju

krađe ili provale. Prednost ove metode autorizacije jest to što ne zahtjeva nošenje uređaja za

obavljanje bankarskih transakcija. Korisnik može sa sobom uvijek imati spisak TAN-ova u

slučaju potrebe za obavljanjem neke transakcije. S druge strane veliki nedostatak TAN-ova

čini teška administracija. Naime, banka mora čuvati u svojoj bazi popis TAN-ova za svakog

klijenta, kako potrošenih, tako i tek dodijeljenih TAN-ova. Korisnicima koji obavljaju i po

nekoliko transakcija na dan ova metoda nipošto nije praktična. Metoda autentifikacije pomoću

TAN-ova sve je manje u upotrebi, i najčešće je koriste fizička lica, dok pravna lica isključivo

koriste pametne kartice, kao najveći stepen sigurnosti.

Slika 2. Primjer TAN-ova

Prilikom posjete softverskoj firmi comTrade analizirane su i TAN liste kao jedan vid

sigurnosti prilikom internet transakcija. Stručnjaci u oblasti e-bankinga smatraju da su TAN-

ovi „low level security“, te ih nerado implementiraju u sisteme banaka. Međutim, i uprkos

upoznavanja sa svim negativnostima koje može donijeti nizak nivo sigurnosti TAN-ova,

banke prihvataju ponude izrađene od strane softverskih firmi. U svakoj ponudi su navedeni i

svi mogući rizici upotrebe, konkretno u slučaju korištenja TAN-ova, navedeni su napadi


20

poput Man in the middle-a, sniffing-a i drugih. Najčešći razlog za isto su određene procedure

po kojima banke rade, samo ovdje se postavlja pitanje koliko su te procedute dovoljno

praktične. Ono čime se osiguravaju softverske firme jeste da broj TAN-ova bude konačan, da

traje određeni period, te da je isključivo namjenjen fizičkim osobama, koje imaju samo

određeni nivo prava prilikom e-transakcija. Međutim koliko je sigurna sama transakcija

između bankarskih uposlenika i klijenta, jer ipak se svodi na „manuelnu“ razmjenu koverte sa

podacima. Također klijent daje banci svoju privatnu e-mail adresu, na koju mu dolazi

username i password za prvu prijavu u e-banking. U nastavku je prikazan prozor za

korištenje e-bankinga za fizičke i pravne osobe. Putem ovog prozora, klijent na osnovu imena

i passworda (8-znamenkastog, najčešće po default-u skup karaktera „12345678“) pristupa

usluzi e-bankinga.

Slika 3. Hyponet za fizička lica

Slika 4. Hyponet za pravna lica


21

Ako detaljnije analiziramo ovu vezu primjetiti ćemo da se koristi HTTPS protokol.

HTTPS koristi SSL/TSL za zaštitu i skrivanje podataka. Kao što se može vidjeti na narednoj

slici, SSL certiikat koji koristi HYPO-ALPE-ADRIA BANK je izdat od strane VeriSign, Inc

organizacije, te ističe 10.12.2012. godine. Također koriste se hash funkcije SHA1 i MD5, koje

otvoreni tekst preslikavaju u „otisak dokument“ prilikom provjere elektronskog potpisa.

Slika 5. Pregled certifikata za www.e-hypo.ba

http://www.e-hypo.ba/


22

U narednom primjeru je prikazan pristup aplikaciji HYPONET od strane fizičkog korisnika.

Slika 6. Pristup hyponetu

Nakon prvog pokušaja pristupa hyponetu tražiti će se promjena passworda.

Podešeno je ograničenje da korisnici ne mogu unijeti password manji od 8-znakova.

Slika 7. Hyponet login

Prilikom promjene passworda, bio je pokušaj unosa passworda koji je predstavljao

kombinaciju slučajnih karaktera, gdje je prvi karakter bilo veliko slovo, nakon kojeg je


23

uslijedio niz malih slova i brojeva, i iz „nekog“ razloga je javljena greška, da li je ovo jedan

od sigurnosnih propusta ili ipak ne, ostaje otvoreno pitanje.

Fizičko lice može vršiti naloge, pregled svih aktivnih računa, kao i ostale pojedinosti. Za

plaćanje, konkretno u navedenom primjeru korisnik koristi TAN-ove. Primjećeno je da se

ponekad transakcija obavi bez traženja TAN-a, što je sasvim nelogično i dovodi upitnost

cijelog sistema. Za odgovor na ovo pitanje potrebna je itekako detaljnija analiza sistema.

Svaki sistem ima svoje mane, tako da je primjećeno da se prilikom korištenja određene e-

banking usluge na datum 15.8.2012. još uvijek su bile navedene transakcije sa 13.08., te se

ovdje postavlja pitanje kašnjenja usljed „sharinga“ podataka između bankomata i core

banking sistema, te core banking sistema i samih e-banking sistema.

Izvršena je analiza saobraćaja putem mrežnog analizatora saobraćaja Wireshark-a.

Slika 8. Analiza snimljenog saobraćaja putem mrežnog analizatora Wireshark-a


24

Slika 9. SSL protokol, Client Hello poruka


25

Slika 10. TLSv1 protokol, prenos aplikacijskih podataka (application data)


26

Na narednoj slici je prikazan grafik, na kojem je može uočiti tok razmijene podataka.

Slika 11. Flow graph

Core Banking Hypo-Alpe-Adria-Banke se nalazi u Beogradu. Hyponet je aplikacija koju je

„napravio“ Hermes SoftLab, današnji ComTrade, koji vrši održavanje hyponet on-line

aplikacije. Pristup Hyponet-u je on-line, a moguć je na više načina:

1. Pomoću TAN-ova;

2. Tokena;

3. Pametne kartice.

Također, hyponet se razlikuje za fizička lica i pravne osobe. Sva administracija Hyponeta od

strane banke vrši se u Mostaru. Na sljedećoj slici je dat šematski prikaz veze hyponeta i core

bankinga.


27

YZnačenje «Y»

Svi korisnici koji se odluče za hyponet, automatski postaju

Dio skupa hyponet korisnika. Sinhronizacija vremena-> ne smije biti kašnjenja

Slika 12. Povezivanje e-banking usluge (primjer hyponet) i core banking-a

Razmijena podataka vrši se pomoću određenih poruka. Integracije su automatske, vrše se u

noćnom periodu svaki dan, a također za određene potrebe administrator može uvijek

pokrenuti manuelno integraciju. Kašnjenja „nema“, niti smije biti. Što se tiče veze između ova

dva povezana stuba, riječ je o iznajmljenim linijama. TAN liste, kao što je već spomenuto

predstavljaju low level sigurnosti, i kao takve isključivo su namijenjene samo za fizička lica,

a nikako za pravne osobe.

Prilikom analize e-banking sistema Hypo banke, posjećen je i bazini dio sistema u Mostaru. U

prilogu se nalazi slika iz serverske sobe.


28

Slika 13. Real system e-bankinga Hypo banke

Korištenje virtuelnih servera kao jednog od stabilnijih rješenja:

Slika 14. Viruelni serveri hypo banke


29

Slika 15. Dio CA servera

Na prethodnoj slici je predstavljen dio CA servera, koji predstavlja jedini uređaj koji

predstavlja dio e-banking sistema, a koji nije umrežen. VeriSign je poznata kompanija kojoj

banka plaća usluge korištenja cetifikata. Da bi banka koristila usluge VeriSigna na tri godine,

to košta cca 2.500,00 EURa.

Slika 16. Pristup CA


30

Na prethodnoj slici naznačeni dijelovi predstavljaju pametnu karticu i čitača pametnih kartica.

Kako bi administrator određenoj pametnoj kartici dodao certifikat, potrebno je da ručno

pristupi CA, i da naravno preko mašine kojoj pristupa CA, bude priključen čitač kartica.

Nakon što administartor ubaci karticu, koristi tkz. ActivCard Gold. To je programski paket,

koji upotrebom kartice i čitača kartice ili USB ActivKey-a osigurava najviši nivo sigurnosti

autentifikacije korisnika.

Slika 17. Pristup ActivCard Gold

Slika 18. ActiveCard Gold certificate properties


31

Analizirajući sistem koristi dužinu ključa od 1024 i hash algoritam SHA-1. Kada

administrator doda digitalni certifikat, onda se automatski podaci prenose preko serijskog

broja u aplikaciju. Također kao vid zaštite banka koristi ISA (Internet Security and

Acceleration Server) server, koji je predstavljen na narednoj slici. ISA Server omogućava dva

bazična servisa koji se odnose na firewall i Web proxy/web cache poslužitelj. ISA Server

administratorima omogućuje stvaranje politike za regulisanje nivoa pristupa koji može biti

baziran na korisniku, grupi, aplikaciji, odredištu, i sličnim kriterijima.

Slika 19. ISA server

5. SSL PROTOKOL

SSL je nastao kao Netscape, verzija 2.3, 3.1, dok je TLS IETF protokol, i njegova prva verzija

može se posmatrati kao SSLv3.1. SSL/TLS predstavljaju najpopularnije prenosne sigurnosne

protokole. SSL je baziran na konekciono-orijentisanom i pouzdanom servisu kakav je TCP. U

mogućnosti je osigurati sigurnosne usluge za bilo koje TCP-bazirane aplikacijske protokole,

kao što su HTTP, FTP, TELNET,... Upotreba SSL protokola omogućuje višu razinu

privatnosti i sigurnosti od nešifrirane internetske veze. On smanjuje opasnost da treće strane

presretnu i zloupotrijebe podatke. Brojni posjetitelji web-lokacija smatraju da je dijeljenje

podataka o plaćanju i ostalih osobnih podataka sigurnije ako koriste SSL vezu. SSL je

neovisan od aplikacije, i pruža sljedeće usluge:

Klijent-poslužitelj provjeru autentičnosti;

Tajnost podataka;

Provjera podataka izvora;

Integritet podataka.


32

Što se zapravo događa s porukom koja prolazi kroz SSL? Poruka se prije slanja kriptira, a

nakon što je druga strana primila takvu poruku, ona je dekriptira te provjerava pošiljaoca i

izvornost poruke. Iz navedenog naslućuju se osobine privatnost, autentičnost i integritet

poruke (princip AAA).

Na sljedećoj slici je prikazana funkcionalana upotreba SSL protokola:

Slika 20. Upotreba SSL protokola [1]

[1] WEB Security: Secure Socket Layer Cunsheng Ding, HKUST, Hong Kong, CHINA

SSL protokol stack je prikaza na narednoj slici.

SSL Handshake

Protocol

SSL Chiper Change

Protocol

SSL Alert Protocol Application

Protocol kao HTTP

SSL Record Protocol

TCP

IP

Slika 21. SSL protokol stack

SSL rekord protokol je odgovoran za integritet i šifriranje podataka. Ostala tri protokola

obuhvaćaju područja sjednice upravljanje, kriptografskog parametar upravljanja i prenosa

SSL poruka između klijenta i poslužitelja.


33

5.1 ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB

TOKENI

U današnje vrijeme cyber kriminala, u svim sektorima IT tehnologije najveća pažnja se daje

sigurnosti podataka klijenata, a posebno kada su u pitanju internet transakcije. Najbitniji

zahtjevi za svaki sistem i proces u financijskom sektoru su osiguranje identiteta klijenta,

tajnost podataka transakcije, integritet transakcija i neporecivost. Dinamička lozinka (OTP –

one time password) – predstavlja jednostavno rješenje za jednostavnu i sigurnu identifikaciju

na web servise, potpisivanje transakcija te osiguranje identiteta. Zbog napretka u tehnikama i

alatima koje napadači koriste za razbijanje statičkih lozinki sve češće se koriste druge,

naprednije tehnike sigurne autentikacije korisnika. Jedna od tih tehnika je upravo i korištenje

jednokratnih lozinki (eng. One-time Password). Uzevši u obzir učestalost otuđivanja ili

pokušaja otuđivanja povjerljivih podataka, pogotovo kada su u pitanju bankarski sistemi i

pristup udaljenim računarima (eng. Remote Access), korisnike je potrebno zaštititi kod

pristupa uslugama kojima se pristupa putem javne (nezaštićene) mreže -Interneta. Jednokratne

lozinke smanjuju mogućnost neovlaštenog pristupa povjerljivim podacima (korisnička imena,

lozinke, brojevi kreditnih kartica, itd.), informacijama i/ili datotekama jer istu lozinku nije

moguće upotrijebiti više nego jednom, a za svaku sljedeću prijavu u sistem potrebno je

generisati novu lozinku. Ako napadač otuđi upotrijebljenu jednokratnu lozinku od nje neće

imati nikakve koristi. Kada korisnik želi pristupiti svojim podacima ili datotekama, generiše

se jednokratna lozinka za pristup. Tu lozinku više nije moguće koristiti za sljedeću prijavu.

Kako i samo ime kaže, metoda generiranja jednokratnih lozinki se temelji na stvaranju

jedinstvenih jednokratnih lozinki koje će korisniku omogućiti zaštitu od krađe podataka i

informacija. Za razliku od jednokratnih, statičke lozinke se ne mijenjaju (osim na zahtjev

korisnika). Korisnik unosi korisničko ime i lozinku kako bi dokazao svoj identitet, pri čemu

su obje informacije iste kod svakog sljedećeg unosa. Ako napadač otuđi korisničko ime i

statičku lozinku, dobiva pristup usluzi. Za razliku od statičkih lozinki, ako napadač otuđi

jednokratnu lozinku neće je moći upotrijebiti jer istu lozinku nije moguće upotrijebiti više

nego jednom. U većini slučajeva, prilikom korištenja metode jednokratnih lozinki korisničko

ime ostaje isto, a lozinka se mijenja (kod svakog zahtjeva za pristup usluzi generira se nova

jednokratna lozinka, različita od prethodne). [5]

Jednokratne lozinke su oblik „jake autentikacije“, koja pruža veću razinu zaštite i koriste se za

bankovne transakcije preko Interneta, mrežnim sistemima u firmama i drugim sistemima koji

sadrže osjetljive i povjerljive informacije. Najčešće kod ovakvih sistema za generisanje

jednokratnih šifri sistem zahtjeva prvobitni unos statičke lozinke koju korisnik/klijent dobiva

od proizvođača, odnosno ponuđača usluge. Uz pomoć statičke lozinke pomoću posebnih

algoritama se generišu jednokratne lozinke/šifre koje se npr koriste za obavljanje transakcija u

bankarskim sistemima ili slično. Generisanjem nove jednokratne lozinke pri svakoj prijavi,

korisnik osigurava svoje informacije. Jednokratne lozinke štite korisnike od phishing i

pharming napada, te štete koja se otkrivanjem povjerljivih informacija može prouzročiti

(krađa i zlouporaba identiteta, financijska šteta, itd.). Prilikom otvaranja računa u banci i

traženja usluga e-bankinga, korisnik bira da li će koristiti TAN-ove, pametne kartice ili otp i

usb tokene, u zavisnosti šta sve banka nudi. Sve ima svoju cijenu, tako i u ovom slučaju, veća

sigurnost znači i veća novčana naknada. Pošto su TAN liste besplatne, banka je ograničila da

pravna lica ne mogu koristiti TAN liste. Također moguće je i uvrstiti dodatnu komponentu-

vrijeme u cijelu ovu priču, sve s' ciljem veće sigurnosti. Unutar uređaja postoji tačan

vremenski sklop koji je sinkroniziran sa glavnim poslužiteljem. Samim time, bilo kakav vid


34

desinhronizacije i kašnjenja nije dozvoljen. Kao što i sam naziv sugeriše, sistemi koji se

temelje na vremenskoj sinkronizaciji, za generiranje jednokratnih lozinki koriste vremensku

komponentu. Uređaj generiše jednokratnu lozinku upravo na temelju vremena te, za razliku

od ostalih sistema, u nekim slučajevima nije potrebna korisnikova statička lozinka ili tajni

podatak. Za generiranje jednokratnih lozinki ovom tehnikom moguće je koristiti i mobilne

uređaje. Vremenski sinkronizirani uređaj kojim se generiraju jednokratne lozinke sadrži

prethodno uneseni ključ kojim proizvođač raspoznaje korisnike (svaki korisnik ima različiti

ključ). U vremenskim razmacima od 30 do 60 sekundi uređaj generira jednokratne lozinke

temeljene na ključu. Korisniku se potom na zaslonu uređaja ispisuje jednokratna lozinka koju

u kombinaciji sa svojom statičkom lozinkom (npr. PIN) koristi kako bi dokazao ili potvrdio

svoj identitet. Važno je napomenuti da ne postoji mogućnost da uređaj u dva različita

vremenska trenutka generira istu lozinku. Jednokratnu lozinku prikazanu na zaslonu uređaja

moguće je iskoristiti u određenom vremenskom razmaku (najčešće 2 minute). Po isteku tog

vremena poslužitelj više neće prihvaćati lozinku kao važeću, te će korisnik morati generirati

novu lozinku putem uređaja. Postupak kod autentikacije ovom tehnikom je sljedeći:

1. Korisnik se pomoću Internet preglednika spoji na interfejs za autentikaciju (npr. web

stranica banke). U interfejs za autentikaciju korisnik unese svoj PIN.

2. Korisnik pokreće postupak generiranja jednokratne lozinke uključivanjem tokena. Token

pomoću vremenskog sklopa i unaprijed upisanog ključa generira jednokratnu lozinku.

Korisnik potom upiše prikazanu jednokratnu lozinku u sučelje za autentikaciju.

3. Poslužitelj istovremeno generira jednokratnu lozinku.

4. Poslužitelj uspoređuje generiranu lozinku s lozinkom koju je unio korisnik.

5. Ukoliko su lozinka koju je generirao korisnik i ona koju je generirao poslužitelj jednake,

poslužitelj će korisniku odobriti pristup. U protivnom, poslužitelj će odbiti korisnikov zahtjev.

Važno je napomenuti da ako napadač uspije otuđiti jednokratnu lozinku (npr. presretanjem

mrežnih paketa) po isteku njezinog vremenskog roka valjanosti ili nakon što je upotrijebljena,

neće imati nikakve koristi od lozinke jer je poslužitelj neće priznati. U bankovnim sistemima,

najčešće korišteni uređaji za autentifikaciju su upravo tokeni. Sigurnosni token (eng. security

token) je fizički uređaj koji korisnik koristi kako bi elektroničkim putem dokazao ili potvrdio

svoj identitet.

Slika 22. Primjer token-a


35

Tehnologija koja se koristi u ovim uređajima je vremenski sinkronizirana ili se temelji na

upitu (eng. challenge based). Za tokene koji se temelje na upitu potreban je poslužitelj koji

će korisniku poslati upit. Taj upit se unosi u token kako bi se generirala jednokratna

lozinka. Tehnike sinkronizacije zahtijevaju da token i poslužitelj istovremeno generiraju

jednokratnu lozinku koristeći iste parametre (npr. redni broj pokušaja ili vrijeme). Ako su

jednokratne lozinke generirane na poslužitelju i tokenu jednake, autentifikacija je

uspješna. Tokeni moraju zadovoljavati određene ISO standarde (ISO 13491-1:2007, ISO

DIS 13491-2, ISO 9564, ISO 16609, ISO 11568) kojima se propisuju radne karakteristike

uređaja, kriptografski procesi koje koriste uređaji, načini zaštite uređaja i kojima se

standardizira način autentikacije. Tokeni su obično dovoljno maleni kako bi ih korisnici

mogli nositi sa sobom. Većina tokena ima kućište koje je gotovo nemoguće otvoriti ili

sklop koji onesposobi i uništi uređaj kada se poklopac otvori kako ne bi bilo moguće

kopirati tehnologiju i tako naštetiti drugim korisnicima. Postoji više vrsta tokena

podijeljenih s obzirom na način pokretanja, a to su:

• tokeni koje se pokreću statičkom lozinkom,

• tokeni koje se pokreću jednokratnom sinkroniziranom lozinkom,

• tokeni koje se pokreću jednokratnom lozinkom koja nije usklađena sa poslužiteljem i

• tokeni koji se pokreću upitom.

Jednostavnim sigurnosnim tokenima nije potrebna izravna veza sa računarom korisnika.

Naprednije vrste tokena zahtijevaju neki oblik veze sa računarom (npr. USB ili Bluetooth)

kako bi stupili u kontakt sa poslužiteljem. Iz ovoga slijedi podjela tokena prema načinu

spajanja:

• tokeni koje je potrebno fizički spojiti na računar, npr. putem USB-a, su tokeni koji će

nakon spajanja na računar ispisati autentikacijske podatke na računaru korisnika. Za

upotrebu ovakvih tokena potrebni su pokretački programi. Ovakvi tokeni se najčešće

koriste pri autentikaciji korisnika kod spajanja na neki zaštićeni mrežni sistem.

• tokeni koje je potrebno spojiti na računar ili poslužitelj bežičnom vezom, npr. Bluetooth

vezom, obično ne zahtijevaju od korisnika unos statičke lozinke. Spajaju se na računalo

korisnika, kako je već ranije naglašeno nekom vrstom bežične veze. Jedino ograničenje

kod ove vrste tokena je životni vijek i trajanje baterije koja ih pogoni. Vrlo često se koriste

za provođenje transakcija putem Interneta (npr. kupovine putem Interneta).

• tokeni koje nije potrebno spajati nikakvom vezom su najčešće korištena vrsta tokena. Da

bi korisnik generirao jednokratnu lozinku potrebna mu je statička lozinka. Za

komunikaciju s korisnikom u ovu vrstu tokena ugrađeni su zaslon i tipkovnica kojom se

korisnik služi kako bi generirao jednokratnu lozinku. Ova vrsta tokena najčešće se koristi

kod usluge Internet bankarstva.

Kao što u svakodnevnici sve se pojednostavljuje softverom, potencijalna poboljšanja

problematike sigurnosti e-bankarstva ogledala bi se u programima, jer tada token ne bi morao

fizički biti prisutan kada god se bude željela obaviti transakcija. Programski alati za

generiranje jednokratnih lozinki su namijenjeni za upotrebu na osobnim računarima,


36

prenosnim računarima, džepnim računarima ili mobilnim telefonima. Programi za generisanje

jednokratnih lozinki su osjetljiviji od fizičkih uređaja jer su izloženi zlonamjernim

programima kojim se može zaraziti korisnički računar (npr. virusi, crvi, keyloggeri, itd.).

Programi imaju određene prednosti nad fizičkim uređajima:

• nije potrebno posjedovati fizički uređaj;

• kod programa, za razliku od fizičkih uređaja, nije potrebno posebno održavanje

(baterije);

• programi su ekonomski isplativiji.

Postoje dvije metode na kojima se temelje programi za generiranje jednokratnih lozinki:

• dijeljena tajna (eng. shared secret);

• kriptografija s javnim ključem (eng. Public-key cryptography).

Dijeljena tajna je podatak poznat samo osobama koje sudjeluju u zaštićeno j komunikaciji. To

može biti tajna riječ, rečenica, broj s velikim brojem znamenaka ili polje nasumično

odabranih podataka. U slučaju da se tajna dodjeljuje korisnicima prije početka komunikacije,

ista se naziva unaprijed dijeljena tajna (eng. pre-shared key). Također je moguće pri početku

komunikacije uspostaviti dijeljenu tajnu uz pomoć protokola za uspostavljanje dijeljenih

ključeva. Kod kriptografije s javnim ključem se koriste asimetrični algoritmi za šifriranje

pomoću ključeva, tj. algoritam za šifriranje nije isti kao i algoritam za dešifriranje. Svaki

korisnik ima dva ključa, javni i osobni ključ. Osobni ključ je korisnikova tajna, dok javni

ključ može biti poznat većem broju osoba. Poruke koje korisnik šalje se šifriraju javnim

ključem, ali ih je moguće dešifrirati jedino odgovarajućim osobnim ključem. Dakle, velik broj

osoba može primiti ili čak presresti poruku, ali je dešifrirati može jedino osoba koja ima

odgovarajući osobni ključ (tj. osoba kojoj je poruka upućena). Prednost ovakvog pristupa je

visoka razina sigurnosti poruka koje izmjenjuju korisnici međusobno ili pri komunikaciji sa

poslužiteljem.

Postoji jako veliki broj programa koji predstavljaju generatore slučajnih brojeva. Pošto su

TAN-ovi, tokeni i ostale šifre u sistemu e-bankinga 8-znamenkaste, uz pomoć jednostavnog

koda u Matlabu napraviti ćemo generator slučajnih znakova.

s = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';

numRands = length(s);

sLength = 8;

randString = s( round(rand(1,sLength)*numRands) )

Slika 23. Kod u Matlabu- generator slučajnih brojeva

S' obzirom da generator napravljen na osnovu prethodnog koda, uključuje i velika i mala

slova, može se reći da je itekako funkcionalniji od običnih šifri koje ne uključuju kombinaciju


37

malih-velikih slova, jer aplikacije na kojima rade nisu case-sensitive. Funkcionalnost

ovakvog' generatora ogleda se u većem broju slučajnih kombinacija, a veći broj kombinacija

znači manju ranjivost.

6. MEHANIZMI NARUŠAVANJA SIGURNOSTI

Na Interetu se može pronaći jako puno tekstova i video klipova koji nose naslove slične

„Breaking HTTPS/SSL“, „Your mail and bank account are NOT safe“, a koliko to sve utiče

na obične korisnike, je vrlo relativno.

Na većini bankovnih stranica kada se odgovara na pitanja koliko su sigurni account-i, uvijek

se spominje da je stranica kriptovana SSL-om, tj. da se koristi HTTPS sigurnosni protokol,

kojeg je jednostavno nemoguće probiti. Trebale bi godine i godine da bi se to uspjelo.

Međutim, to nije jedini način. Uvijek postoji zaobilazni put, pa tako i ovom slučaju, i to ne

jedan. Broj zaobilaznih puteva dolaska do skrivenih podataka, iz dana u dan se povećava.

HTTPS: Hyper Text Transfer Protocol Secure - HTTPS je kombinacija Hyper Text Transfer

Protocol i Secure Socket Layer (SSL protokol) / Transport Layer Security (TLS) koji služi za

osiguranje šifrirane komunikaciju između web poslužitelja i klijenta. Obično se koristi

HTTPS za internet bankarstvo, platne transakcije stranicu za prijavu, itd. ovaj protokol na

portu 443 za komunikacije. Web stranice koje koriste ovaj HTTPS-u su i GMail.com, ali i

druge web stranice kao što su PayPal, Amazon, itd.

Pogledajmo na narednoj slici od čega se sastoji HTTPS protokol:

Slika 24. Sastav HTTPS-a

Ukoliko želimo da vidimo vezu računara i web poslužitelja u CommandPrompt ukucamo:

netstat –an :


38

Slika 25. Naredba netstat-an u cmd

Kao što možemo vidjeti na narednoj slici, klijentski računar je otvorio slučajne lokalne

portove i otvorenen je port 443 na strani poslužitelja.

Slika 26. Isječak naredbe netstat-an

Logika razmišljanja je sljedeća: ukoliko je potreban jako dug vremenski period za probijanje

HTTPS-a, onda ne treba napasti direktno HTTPS protokol, već pokušati zaobići njegovu S-

sekvencu, tj. pokušati zaobići ono što ga čini sigurnim, zaobići SSL.

Rješenje za ovu ideju predstavlja tkz. SSLStrip. Putem napada Man in the Middle uz pomoć

SSLStrip-a moguće je saznati željene passworde. Kako bi se izvršio Man in the middle napad

potrebno je sljedeće:


39

1.Linux OS

2. Arpspoof

3. IPTables

4. SSLStrip

5. NetStat

BackTrack potiče brz i jednostavan način kako pronaći i ažurirati najveću bazu podataka

sigurnosnih alata. Za demonstraciju u nastavku koristiti će se BackTrack verzija 3.

Slika 27. Shell BackTrack-a 3 izdanje

Nakon pokretanja BackTrack-a i otvaranja njegovog linux okruženja u shell-u kucamo

sljedeće:

1. echo '1' > /proc/sys/net/ipv4/ip_forward

// Ovom naredbom omogućavamo port forwarding, dopušta se BackTrack-u da može

proslijediti svaki paket, pa i onaj koji nije namjenjen klijentovom računaru.

2. Saznati adresu mrežnog gatewaya

netstat –nr


40

Slika 28. Echo i netstat naredba

Putem jednostavne naredbe ifconfig moguće je saznati i adresu hosta.

Slika 29. Ifconfig naredba


41

3. Koristiti naredbu arpspoof, kako biste izvršili tkz. Man in the middle attack.

arpspoof -i eth0 77.78.248.141

4. SSLStrip kreiran od strane Moxie Morlinspike koji omogućava demonstraciju HTTPS

raskrivanje napada koji su izneseni na Black Hat DC 2009. To će transparentno oteti HTTP

promet na mreži, gledati https veze i preusmjeravanja, a zatim mapirati veze u dvojne HTTP

veze ili homografski slične HTTPS veze.

4.1 Download-ovati SSLStrip

Slika 30. Download sslstrip-0.9.tar.gz

4.2 tar zxvf sslstrip-0.9.tar.gz

Slika 31. Otpakivanje sslstrip-a


42

4.3 cd sslstrip-0.9

4.4 python setup.py install

5. Izvršenje SSL Strip napada

5.1 iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port

8080

Slika 32. Iptables komanda

// Potrebno je podesiti firewall pravilo preko naredbe iptables, na način da se omogući

preusmjerenje upita sa porta 80 na 8080.

5.1.1 python sslstrip.py –w secret

Slika 33. Kreiranje secret log fajla

Ovom stavkom kreiran je „secret file“ u kojem će biti navedeni logovi, čime ćemo ustvari

skinuti „s“ sa https-a, i postići željeno.


43

Slika 33. Izvršavanje Arpspoof naredbe

5.2 echo '1' > /proc/sys/net/ipv4/ip_forward

arpspoof -i eth0 -t 77.78.248.141 77.78.248.1

Nakon setovanja iptables-a potrebno je preusmjeriti cijeli HTTP promet na naš računar,

preko naredbe arpspoof.

Nakon što sve radi kako treba, može se primijetiti ARPSpoof hvata mrežni promet, zatim

sljedeći korak je pokretanje SSL Strip-a otvarajući novi terminal (CTRL + ALT + T).

Nakon što se prikupi dovoljno podataka, za zaustavljanje ARPSpoof-a u SSLStrip-a potrebno

je korisititi: CTRL + C.

Slika 34. Secret log fajl opcije


44

Slika 35. Secret log fajl

Unutar foldera SSLStrip kreiran je novi fajl koji pohranjuje sve informacije koje su već

snimljene preko HTTP protokola, pa čak i HTTPS. Iz priloženog je izvršeno oslobađanje

HTTPS-a od „s“-dodatka, pa tako sada se može izvršiti pristup stranici PayPal-a na sljedeći

način:

Slika 36. Pristup PayPal računu preko HTTP-a

Analogno napadu na e-mail account moguće je izvršiti i napad na bilo koji račun, između

ostalih i PayPal račun.


45

Slika 37. PayPal login „zaštićen“ SSL-om

Također, moguće je vidjeti jednostavnu formu zapisa passworda, nakon što pogledamo

„source“ na Properties opciji za PayPal. Primijetiti ćemo da je ista kao kod zapisa log.fajla, te

da je „poprilično“ čitljiva.

Slika 38. Source code PayPal-a


46

Moguća prevencija od SSL Strip napada je:

Ukoliko se koristi javna mreža poput internet caffe-a, Hotspot unsecured-a, itd. potrebno je

minimizirati prijavljivanje na svoj osobni račun. Drugo rješenje je da se koristi SSH

tuneliranje.

6.1 PRIMJERI USPJEŠNIH NAPADA

Sve više novca se prenosi putem Internata putem e-bankarstva, samim time raste i broj tkz.

cyber kriminalaca. Oni koriste slabosti Interneta i aplikacija kako bi izvršili nelegalne

transfere novca. Napadači koriste nekoliko metoda prikupljanja informacija potrebnih za

izvođenje pljački. Jedna od njih je poznata phishing tehnika napada. Phishing se temelji na

slanju lažiranih poruka elektroničke pošte u kojima se navodi korisnika da otkrije osjetljive

podatke. Pored phishing metode napadači koriste zloćudne programe kao što su trojanski

konji. Trojanski konji se instaliraju na korisnikov računar i prate sve njegove aktivnosti, te

prikuplajju podatke potrebne za pristup e-banking uslugama. Za praćenje korisnikovih

(žrtvinih) aktivnosti, tj unosa znakova sa tastature, hakeri koriste alat poput keylogger-a.

Pharming je također jedna od metoda za krađu povjerljivih pristupnih kodova. Ona radi na

principu usmjeravanja user-a na tkz. rogue server. Mnoge velike tvrtke, posebno banke često

skrivaju činjenicu da ih je netko opljačkao elektroničkim putem zbog toga što bi to značilo da

njihov sistem nije dovoljno siguran, i sve ukupno bi predstavljalo lošu reklamu za poslovanje.

Ukoliko bi takve informacije došle u javnost izazvale bi paniku kod klijenata banke i

povlačenje novca iz banke, što bi automatski prouzrokovalo propast banke. Inicijalni korak

tokom pljačke se temelji na socijalnom inžinjeringu - pljačkaši potencijalnoj žrtvi upućuju

phishing e-mail - "pecarošku" poruku elektroničke pošte koja sadrži maskiranu poveznicu na

web-stranicu koja vrši instalaciju zloćudnog softvera. Iako se čini da bi prepoznavanje i

ignoriranje ovakve komunikacije trebalo biti dio elementarnog znanja i sposobnosti današnjeg

korisnika elektroničke pošte, postoje kategorije korisnika koje su u tom pogledu u vrlo

nezavidnoj situaciji. [3]

Svi elementi poruke koje programi za čitanje elektroničke pošte prikazuju na korisničkom

interfejsu se lako krivotvore, a svako uključen u gusto umreženi korporativni svijet i svaki

vlasnik privatnog biznisa ne može riskirati da ignorira poštu koja dolazi od nadređenih, koja

dolazi od važnih klijenata, u kojoj "izgubljeni" klijenti traže hitnu pomoć i šalju podatke ili

traže stvari koje možda ne bi smijeli pisati u e-mailu, u kojoj zainteresirani potencijalni novi

klijent uspostavlja inicijalni kontakt. Svaki korisnik elektroničke pošte je potencijalni

„naivac“ i žrtva. Potrebno je dakle zaključiti da kao odbrana od ovakve vrste socijalnog

inžinjeringa bitni su sistemski alati za odbranu - programi za zaštitu od virusa i drugih

malwarea, kao naravno i edukacija.


47

Zeus i SpyEye su alati pomoću kojih se izrađuju prilagođeni programi za nadzor računara.

Jednom instalirani na računar koriste se za izmjenu izgleda obrazaca na web stranicama,

sakupljanje određenih informacija i njihovo proslijeđivanje zlonamjernom napadaču. Glavna

namjena tih alata je da uljezu osiguraju autentifikacijske podatke žrtve. Pri tome mu

omogućuju da definira sadržaj koji će se injektirati u pojedinačne web-stranice ukoliko ih

žrtva otvori u svom pregledniku, pa može na prilično uvjerljiv način nagovoriti žrtvu da mu

preda inače tajne podatke: primjerice, u izvorni web-obrazac koji žrtva koristi na stranicama

svoje banke uljez može dodati polje za upis PIN-a pametne kartice. Zeus i SpyEye se mogu

infiltrirati na računar čak i ako nisu pokrenuti kroz korisnički račun s administratorskim

pravima i jednom kada modificiraju izvršnu datoteku preglednika ili neki plug-in, omogućuju

uljezu da vrši tzv. "man-in-the-browser" napad. Cilj je takvog napada da uljez izvrši transfer

sredstava s bankovnog računa žrtve na privremeni posrednički račun, te naknadnom

izmjenom u preglednik učitanih web-stranica tu transakciju sakrije od žrtve.

Postoji i kod tkz. Blackhole kit. To je kôd u JavaScriptu koji istražuje okolinu u kojoj je

pokrenut i potom nastoji iskoristiti sve poznate sigurnosne propuste u otkrivenim softverskim

komponentama kako bi na ciljani računar bez dopuštenja korisnika isporučio i instalirao neki

daljni program. Blackhole kit koristi poznate slabosti Adobe Readera, Adobe Flasha, Jave,

Windowsa, Internet Explorera. Detekciju od strane antivirusnih programa izbjegava

automatiziranim generiranjem različitih varijanti programskog kôda koje sve izvode isti

infiltracijski algoritam.

Najnoviji trend u svijetu su osobni phising napadi. Radi se o tome, da napadač odabere žrtvu

o kojoj već zna određene informacije, kao što su ime, prezime, broj bankovnog računa i

slično. Ove inforamcije koriste kako bi mail koji šalju žrtvi učinili što vjerodostojnijim, te

zadobili povjerenje žrtve. Ovakav pristup razlikuje se od tipičnog phising napada u kojem

prevaranti nasumce isporučuju spam i pritom ne pokušavaju točno odrediti žrtvu svog napada.

Svrha osobnih phising napada je zapravo nadopuna liste ukradenih dokumenata i podataka

povjerljivim informacijama, kao što su PIN-brojevi ili sigurnosni brojevi na kreditnim

karticama. Kao jedna od mjera zaštite jeste da svi korisnici/klijenti dobro obrate pažnju na

mailove koje primaju, te da ne idu na linkove koji se nalaze na mailovima, pogotovo ako su to

mailovi koji dolaze od banke, jer banka nikada neće na takav način tražiti određene podatke

ili informacije od korisnika/klijenta.

Također, potrebno je obratiti pažnju na URL-ove koji uključuju znak @. U primjeru

https://[email protected]/secure_verification.aspx, URL bi vas odveo na

lokaciju iza znaka @, ne na banku Wood Grove. Razlog tome je to što preglednici u URL-u

ignoriraju sve što dolazi prije znaka @. Prava lokacija, nl.tv/secure_verification.aspx, lako

može imati škodljivi sadržaj. Homograf je riječ koja se piše jednako kao druga riječ, ali ima

drugo značenje. Na računarima, homografski napad je internetska adresa koja izgleda kao

poznata internetska adresa, ali je zapravo izmijenjena. Svrha lažnih web-veza koje se koriste u

phishing prijevarama je prevariti vas tako da ih pritisnete. Na primjer, www.microsoft.com

može izgledati ovako:

www.micosoft.com


48

www.mircosoft.com

Kod sofisticiranijih homografskih napada web-adresa izgleda jednako kao ona legalnog web-

mjesta. Do toga dolazi kada je naziv domene stvoren korištenjem znakova abecede drugog

jezika. Na primjer, sljedeća internetska adresa izgleda legalno, ali ono što ne možete vidjeti da

je znak "i" ćirilični znak ruske abecede:

www.microsoft.com

Prevaranti lažiraju nazive domena banaka i drugih tvrtki kako bi prevarile korisnike i uvjerile

ih kako posjećuju poznata web-mjesta. Za otkrivanje ovakvih lažiranih naziva domena je

potreban poseban softver. [Preuzeto sa oficijelne stranice Microsoft-a]

28.06.2012. u Banja Luci više osoba privedeno je zbog kaznenih djela iz oblasti sigurnosti

računarskih podataka, u okviru istrage zloupotrebe platnih kartica koju MUP Republike

Srpske provodi s američkim Federalnim istražnim biroom i policijskim agencijama više

zemalja. Prvobitne mete hakera bili su računi sa većim iznosima u Italiji, Njemačkoj i

Nizozemskoj nakon čega su se napadi proširili na američki kontinent. Stručnjaci navode da su

hakeri mogli ukrasti dvije milijarde eura da je kampanija upada imala istu razinu uspjeha kao

što je to bilo a bankovnim računima u Nizozemskoj. Samo tokom marta hakeri su pokrenuli

transfere od ukupno 35 milijuna eura sa 5000 nizozemskih poslovnih računa u dvije banke.

"Guardian Analytics" i "McAfee" otkrili su 60 servera, koji su obrađivali nekoliko hiljada

krađa u pokušaju, a čija su meta biti obični potrošači nakon čega su prešli na poslovne račune.

Meta hakera bila je svaka financijska institucija bez obzira na klasu ili veličinu. U Italiji, meta

hakera bili su računi na kojima je bilo u prosjeku između 250.000 i 500.000 eura. Hakeri su

pronašli kod u štetnom softveru koji je prebacivao fiksni postotak ili relativno mali određeni

iznos na debitne kartice ili bankovne račune.

Sistem je uspješno prolazio za manje od 60 sekundi fizičke provjere poput čitača kartica, koji

je vrlo čest u Europi.

Našu zemlju također nisu zaobišli zlonamjerni hakerski napadi, tačnije krivotvorenje kreditnih

kartica, te kompjutersko krivotvorenje, oštećenja kompjuterskih podataka i programa,

neovlašteni pristupi zaštićenim sistemima i mreži elektronske obrade podataka, te

kompjuterske prevare. Naime, poznat je slučaj u kojem je jedno lice koristeći svoj kompjuter,

te kompjuterske programe, znanje i vještine iz oblasti informacionih tehnologija, kralo

podatke sa bankovnih kartica. Te podatke je uz pomoć lažne kreditne kartice koristilo za

bezgotovinsko plaćanje putem interneta. Na taj način je ovo lice na štetu jednog Amerikanca

iz Washingtona sebi pribavilo određenu imovinsku korist. Zlonamjernici koristeći određene

kompjuterske programe, skeniraju blokove IP adresa i tragaju za kompjuterima koji su ranjivi

jer imaju bezbjednosne propuste. Nakon što bi pronašli takve računare, u sisteme istih bi vrlo

lahko ušli, te kopirali i krali podatke o karticama. Poznat je slučaj u našoj zemlji da je jedno

lice, na takav način sakupilo 225 brojeva kreditnih kartica i lozinki. Uz pomoć krivotvorenih

kartica i sa ukradenim, mogla se kupovati roba putem interneta, kao i ukradene podatke

prodavati po IRC mrežama. Isto lice je sa ciljem pribavljanja imovinske koristi, posjedovalo

http://www.microsoft.com/


49

neovlašteno izrađene lažne web stranice banaka (uglavnom sa područja USA ili Velike

Britanije, a navodno se radi o sajtovima banaka: Bank of America i Wells fargo). Te sajtove

je koristilo za takozvano “pecanje“ žrtava od kojih je kralo lozinke i brojeve kartica. Također,

od istog lica, poznat je slučaj upadanja na web-stranicu jedne apoteke u USA te, krađa

administratorovog passworda i lozinke. Najčešće ove vrste krivotvorenja vrše se u

kombinaciji večeg broja ljudi, čime se postiže cilj da se decentraliziranim razmještajem

napadača postigne efekat da u slučaju sudskog spora, nije moguće organizovati i sazvati sve

optužene. Također na ovaj način se pokušava zavarati cijeli sigurnosni sistem, kako bi se što

teže otkrila odgovorna osoba za krivotvorenje i zloupotrebu podataka.

7. RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE

Svakom konekcijom na mrežu, i odlaskom u beskonačnost informacija korisnik se izlaže

nesigurnostima koje vladaju. Svakim klikom na korak smo do gubitka privatnosti, ako je već

nismo izgubili. Toliki je broj lažnih adresa, toliki broj virusa, malware-a, da kada bi se

provelo detaljno istraživanje istog, rezultati bi bili više nego poražavajući i šokantni za

korisnika računara, a to je skoro svaki čovjek na svijetu. Plaćanje preko Interneta samim time

zvuči puno nepovjerenja. Međutim, svakodnevno čovjek je izložen manjku vremena, i

pokušaju da sve obaveze ispuni u predviđenom roku. Zašto bi korisnik satima čekao u

redu,..zašto bi gubio dragocijeno, kada može kroz par klikova riješiti sva plaćanja i pri tome

uštediti i vrijeme i novac. Nude se mnoga sigurnosna rješenja,..ali koliko je to sve sigurno

pokazano je u nekim od prethodnih poglavlja.

Prvobitno, za svakog korisnika prvi rizik predstavlja pristup Internetu. Upotreba Interneta bez

antivirusa i firewall-a predstavlja otvorenu mogućnost pristupa i manevrisanja svim

zlonamjernim korisnicima mreže. Također popunjavanje zahtjeva, predaja i preuzimanje

sigurnosnih uređaja je sljedeći niz potencijalnih rizika. Korištenjem aplikacije od strane banke

moguće je napraviti određene pogreške, prilikom popunjavanja samog' naloga, autorizacije, te

su i ovo jedni od rizika. Samo čuvanje uređaja za autorizaciju, TAN listi,.. i sam socijalni

inženjering predstavljaju jedne od najvećih rizika plaćanja putem interneta. U narednim

naslovima biće obrađeni najpoznatiji načini plaćanja putem Interneta, i njihove osnovne

karakteristike. Na Black Hat¹ konferenciji je demonstrirano hakiranje čitača kartica, što je

samo jedan u nizu dokaza da niti jedan dio mrežnog sistema nije siguran.

¹ Black Hat konferencija je tehnička konferencija neovisna o proizvođačima i orjentirana sigurnosti i privatnosti. Kao takva, često se na

njoj objavljuju nove ranjivosti ili nove metode pronalaženja ranjivosti. Ova konferencija se održava svake godine u Las Vegas-u.


50

7.1 PAYPAL

PayPal je vrlo jednostavan način transfera novca preko

interneta. Desetine milijuna ljudi u svijetu ga koriste i većina ljudi ga preferira kao sredstvo

plaćanja. Registracija je besplatna i vrlo je jednostavna. Kada se kartica jednom registrira u

PayPal sistem, za plaćanje više nije potrebna kreditna kartica, jer svi potrebni podaci ostaju

memorisani. PayPal račun vezan je uz e-mail račun korisnika. E-mail je praktično i PayPal

račun, stoga se posebna pažnja mora obratiti na sigurnost samog e-mail account-a.

Ukoliko bi neko došao u posjedovanje korisničkog imena i passworda e-mail acounta, otvara

mu se mogućnost da može platiti bilo koju PayPal transakciju. PayPal je ustvari servis koji

posreduje između korisnika/klijenta i prodavača. Znači, ukoliko neka prodavnica nudi usluge

plaćanja preko Paypal-a, to znači da je kao metod plaćanja odabran PayPal. Ukoliko npr. neki

registrovani korisnik želi kupiti artikl prodavnice koja nudi usluge plaćanja preko PayPal-a, to

znači da će ta prodavnica nakon „kupovine“ određenog artikla, proslijediti iznos PayPal-u,

koji će obavijestiti korisnika da „ta i ta “ prodavnica želi skinuti određeni iznos novca sa

kartice korisnika, i tražiti će potvrdu od korisnika za isto. Od 2007. godine bilo je omogućeno

samo slanje novca putem PayPal-a, a od 06.04.2011. godine moguće je i primati novac na

PayPal na teritoriji BIH.

Slika 39. BiH još jedna od zemalja u kojoj je moguće i primati novac preko PayPal-a

[Slika preuuzeta sa oficijalne stranice PayPal-a]


51

06.04.2012. godine javnost saznaje da web stranica koja vrijedi za jednu od najvećih

plačajućih kompanija https://www.paypal.com kojom korisnici vrše online plaćanja, je ranjiva

na Cross-site scripting napade. Zlonamjerni napadač je ovom vrstom napada mogao

prikupljati podatke o korisnicima. PayPal je uklonio navedenu ranjivost ubrzo nakon dojave o

ranjivosti. Cross-site scripting se koristi za umetanje vlastitog koda na napadnute Web

stranice te se takva modificirana stranica izvrši u pregledniku korisnika koji je posjete.

Search funkcija na PayPal-ovoj web stranici nije radila dobru validaciju unesenog parametra,

te tako omogućavala umetanje koda na stranicu. Najsigurnija zaštita od Cross-site scriptinga

je isključenje JavaScprita u pregledniku, no budući da danas mnoge stranice koriste

JavaScript to baš i nije najbolja opcija, već bi trebalo malo bolje paziti koje stranice se

posjećuju i gdje se upisuju tajni podaci kao što su korisnička imena i lozinke ili brojevi

kartica.

Osim PayPal-a, razvili su se još neki servisi za online plaćanje poput Moneybookersa, Koboa,

Safepaya i 2CO, no njihov je doseg još uvijek prilično ograničen, najviše jer je PayPal u

vlasništvu eBaya.

7.2 MONEYBOOKERS

Moneybookers je globalni servis za prebacivanje novaca preko interneta koji je osnovan 2002.

Godine, te je jako sličan sličan PayPalu. Popularno se naziva e-wallet. Moneybookers u svojoj

mreži bilježi milijune internet korisnika širom svijeta s pristupom on-line kupovini, kao i

prijenosu novca na pouzdan i siguran način. Osim besplatne registracije, jedna od velikih

prednosti ovog popularnog servisa je i plaćanjem prilikom kojeg korisnik ne mora uvijek

ostavljati brojeve svojih kartica. Sve što je potrebno jest da se korisnik registrira na

stranicama Moneybookers-a, na web adresi www.moneybookers.com. Najvažnije je da

korisnik unese ispravnu e-mail adresu, jer e-mail adresa kod Moneybookersa mora biti

jednaka broju računa u banci. E-mail adresa se mora potvrditi svaki put kada korisnik poželi

slati novac nekome ili vrši plaćanja Moneybookersom (u tome slučaju trgovac daje svoju

registriranu Moneybookers adresu). Detaljna uputstva za daljnje korištenje se nalaze na

Moneybookers web stranici. Moneybookers je najpopularnija metoda plaćanja kod većine

online poker soba i sjedište imaju u Velikoj Britaniji. Nudi puno mogućnosti plaćanja, kao i

lokalne transakcije po cijelom svijetu. Moneybookers je najbolji način uplaćivanja i isplate za

online poker i druge igre na sreću, kao i za online kupovanje. Moneybookers nadzire British

Financial Services Administration FSA. Za sigurnost transakcija Moneybookers koristi 128-

bitnu SSL tehnologiju certificiranu od VerySign-a koju koriste i banke. Moneybookers ima

licencu TRUSTE privacy program (programa povjerljivosti), što znači da osobe kojima se

šalje novac preko Moneybookers-a, nemaju nikakav pristup osobnim podacima osobe koja

šalje novac.

http://www.moneybookers.com/


52

7.3 PIKPAY

Pik.ba je unutar 18 mjeseci postao najpopularniji bosansko-hercegovački web servis za

prodaju i kupovinu putem Interneta i treća najposjećenija web stranica po Gemiusu². Na PIK-

u možete kupovati i prodavati vozila, nekretnine, mobitele te druge stvari podijeljene u

stotinjak kategorija i potkategorija. PikPay nudi dva načina plaćanja:

PikPay Prepaid MasterCard karticom na fizičkim POS terminalima i internetskim

dućanima koji nisu uključeni u PikPay-ev sistem;

Autorizacijom svoga profila u ovlaštenim PikPay Store i PikPay Web Payment

internetskim prodavnicama.

PikPay je poput profila u koji vi uplaćujete sredstva, može se smatrati kao svojevrsno prepaid

plaćanje na internetu. Nakon registracije, možete dodati novac na vaš račun putem kreditne

kartice i tada možete kupovati na brojnim web stranicama koje podržavaju PikPay. PikPay je

prvi domaći servis za sigurno i brzo online plaćanje, koji je implementiran krajem 2010.

godine, s ostvarenim prometom koji prelazi više od milion konvertibilnih maraka.Također, na

BH tržištu dobro poznati eKupon vrši transakcije preko PikPay-a, prvog domaćeg servisa za

sigurno i brzo internet plaćanje i naplatu. eKupon i PikPay nigdje ne pohranjuju informacije o

kreditnoj ili debitnoj kartici korisnika. Plaćanje na eKuponu je zbog sigurnosti, jednostavnije

realizacije i brzine obrade zahtjeva limitirano na kreditne i debitne MasterCard, Maestro i

VISA kartice. Svaki put kada klijent kupi određenu ponudu, vrijednost ponude se rezerviše na

klijentovoj kartici i tek kada i ako se uspješno završi, novac se skida sa klijentove kartice.

Garancija usluga na PikPay servisu osigurana je visokim nivoom zaštite kao što je SSL i PCI

DSS certifikat u komunikaciji sa bankom. Implementiran je i 3D Secure i Verified by Visa.

Na svim PikPay web pristupnim mjestima je prisutna Extended SSL validacija (256-bitna

enkripcija podataka).

8. MJERE PREVENCIJE ZA ZAŠTITU SIGURNOSTI UČESNIKA

U TRANSAKCIJI

Pojam sigurne transakcije na Internetu je jako opširan i mogao bi se posmatrati sa različitih

aspekata. Ono što je nedvojmivo jeste da apsolutno siguran sistem ne postoji. Uvijek će

postojati način da se određene sigurnosne peripetije izbjegnu, i uvijek će postojati zlonamjerni

učesnici u transakcijama. Bitno je da se poveća svijest o sigurnosti, da se ispitaju

propusti/prednosti određenih sistema, da se vrši edukacija stanovništva, da se donesu ključni

zakonski akti. Sve to zahtjeva vrijeme, koje je u danjašnjici postalo jedan od ključnih

parametara koji je paralelan sa novcem/dobiti/zaradom.

² Gemius je lider u području internet mjerenja i savjetovanja za zemlje EMEA regiona.


53

U nastavku se nalazi prikaz sistema jedne banke. Na prvi pogled, poprilično jednostavno

djeluje, ali kada se analiziraju svi djelići, slika koja se dobije je itekako složena. U većini

banaka, sistemi su decentralizirani, te svaka regija ima svoj nivo nadležnosti i zaduženja. Ovo

je s' jedne strane pozitivno, ali itekako doprinost komplikovanosti cjelokupnog sistema. U

bankama najčešće ne postoje nadležne osobe koje bi se bavile isključivo sigurnosti. Najčešće

se plaća eksternim softverskim kućama za realizaciju određenih zahtjeva u vidu aplikacija,

kao i nadzor i održavanje istih. Kada se govori sigurnosti e –bankinga, smatram da je

sigurnost neophodna na svakom novou, od samog korisnika/klijenta do servisa/pruaoca

usluge. Ovo se može posmatrati kao lanac ishrane, narušavanjem jedne karike, narušava se

harmonija cijelog sistema, a to dalje rezultira određenim posljedicama.

Slika 40. Lanac ishrane sigurnosti IOS-a

Prilikom istraživanja tematike e-bankinga u Bosni i Hecegovini, kontaktirana je i softverska

firma Halcom doo. Halcom d.o.o. Sarajevo (EBB) osnovan je 2001. godine u vrijeme reforme

platnog prometa u Bosni i Hercegovini. Halcom d.o.o. Sarajevo je dio grupacije Halcom d.d.,

Ljubljana. To je preduzeće sa višegodišnjim iskustvom u uvođenju rješenja elektonskog

bankarstva za vodeće banke u jugoistočnoj Evropi. Što se tiče Halcom rješenja postoje dva

pristupa realizacije sigurnosti e-bankinga:

1. za pravna lica koristi se PKI i smart card ili USB ključeve. Svaka osoba koja je

ovlaštena za rad sa e-bankom, dobije svoju karticu ili usb ključ. Svi platni

nalozi moraju biti digitalno potpisani i tek tada se mogu slati u banku. Sva

komunikacija između klijenata, Halcoma i banke se odvija po sigurnom kanalu i sav

promet je, pored toga što su nalozi digitalno potpisani, i enkriptovan. Ovakav način

rada garantira visoku sigurnost podataka.

2. za fizička lica koristi se user/password za autentifikaciju klijenata. Oni mogu vršiti

plaćanja na predefinisane račune. Svaki klijent prijavi u banci ili kroz

aplikaciju svoje primaoce kojima će vršiti plaćanja i tek nakon što banka potvrdi te

primaoce, klijent može vršiti plaćanja. Potvrda banke u stvari znači da banka provjeri

da li stvarni korisnik poslao prijavu za novog primaoca. Na ovaj način se mogu

serviseri

servisi

posrednici

uređaji za plaćanje

korisnikov računar

korisnikova svijest


54

obavljati transakcije niskog rizika (ako neko sazna user/password drugog lica najgore

što se može desiti jeste da plati neki račun).

Veoma mali broj korisnika, fizičkih i pravnih lica, koristi neki vid elektronskog

bankarstva (oko 10% od ukupnog broja fizičkih i pravnih lica koja imaju račune u bankama ).

U ukupnom broju platnih naloga, elektronski platni nalozi učestvuju između 10 i 13 posto što

je mali procenat ako se pogleda susjedna Slovenija gdje je taj odnos 80 posto u korist

elektronskih platnih naloga.

Slični podaci su prezentovani prilikom razmatranja aplikacije hyponet-a. Naime od približno

25.000 korisnika, njih 1.100 koristi hyponet-usluge, što je procentualno 4,4 %. Matematički

posmatrano, reklo bi se da se hyponet ne isplati, ali ako se uzme u obzir da ova usluga košta

korisnike svaki mjesec 2.5 KM, koristili je ili ne, plus da po samim nalozima i plaćanju ide

0.75-1 KM, a svakako je primamljivo navesti na reklamama da banka pruža usluge plaćanja

preko net-a, hyponet se isplati.

Na narednoj slici je prikazana skica arhitekture bankarskog sistema Hypo banke. Kao što je

vidljivo radi se o distribuiranoj arhitekturi sa podijeljenim stepenima nadležnosti i

funkciijama, kako u poslovnom smislu, tako i u sigurnosnom. Slika predstavlja opštu sliku

arhitekture krucijalnih elemenata bankovnog sistema. Nastala je na osnovu informacija

dobivenih iz softerske firme i IT bankovnog sektora, i kao takva je unikatna, i predstavlja spoj

svega razmatranog u prethodnim naslovima.

MOSTAR BEOGRAD

BANJA LUKA SARAJEVO

corporateretail

CA

Slika 41. Pojednostavljena slika primjera e-bankinga Hypo banke


55

ZAKLJUČAK

U sklopu rada prikazan je samo jedan dio mogućeg razmatranja širokog pojma e-bankinga.

Svaki detalj ovog složenog sistema mogao bi se zasebno istraživati sa različitih aspekata.

Činjenica je da današnji čovjek ima jako puno problema sa vremenom, te nastoji na bilo

kakav način ubrzati svoje dnevne aktivnosti. Kompanija za istraživanje i analizu tržišta

Lab42, sprovela je istraživanje o navikama američkih online kupaca. Prema njihovoj studiji,

66 posto sudionika istraživanja (kupci iz SAD-a), više voli kupovati proizvode koristeći

usluge e-bankinga. Istraživanje je sprovedeno na nivou od 500 korisnika.

Rezultati on line ankete u našoj zemlji daju mnogo drugačiju sliku o ovoj tematici. Urađena

je on line anketa na manjem broju korisnika, većinom su to bili zaposleni i studenti. Rezultati

su prikazani na narednoj slici:

Slika 42. Rezultati on-line ankete urađene na bazi 55 ispitanika

Kako bi sigurnost sistema bila na znatno boljem nivou, konkretno, u našoj zemlji potrebna je

veća edukacija stanovništva o istom, potrebni su konkretni i koncizni zakoni, kako u pisanoj

formi, tako i u sprovedbi. Za početak, kao uzor mogla bi nam biti susjedna država Hrvatska.

Prema analizi moj-bankar.hr, u Hrvatskoj 27,50 % stanovništva koristi usluge e-bankarstva :

70-80% Norveška, Finska, Island;


56

60-70% Švedska, Nizozemska;

50-60% Danska;

40-50% Njemačka, Francuska, Švicarska, Austrija, UK;

30-40% Španjolska, Irska, Litva, Latvija, Estonija;

27,50% Hrvatska;

20-30% Portugal, Italija, Slovačka, Slovenija;

10-20% Mađarska, Češka, Poljska, Rumunjska.

Hrvatska je itekako na zavidnom mjestu, a o tome koliko naša zemlja kasni za istom moglo bi

se govoriti u različitim sferama. Prema podacima Centralne banke, u BiH broj građana koji je

u 2011. godini koristio usluge e-bankarstva iznosio je 70.474 i porastao je za 21.129 korisnika

u odnosu na prethodnu godinu, dok je uslugama internet bankarstva u prošloj godini bilo

obuhvaćeno 23.865 korporacija, organizacija i preduzeća, što je u odnosu na 2010. godinu rast

za 4.608. Međutim, ono što predstavlja najveću smetnju razvoja internet bankarstva u BiH

jeste nedovoljna edukacija. Upravo najveći korisnici ovih usluga su informatički pismeni, pa

čak se može reći da je potrebna određena doza informatičke pismenosti, kako bi se mogle

pravilno obavljati transakcije putem interneta, mada u danjašnje vrijeme, sve više i više se

razvijaju apliakcije koje se pravljene sa tkz. „user frendly“ okruženjem. Također, upitan je i

nivo usluga koje nude banke u našem regionu. Naime, postoji mnogo faktora koji su ljudske

prirode, nepredvidljivi i jako česti, koji utiču na kvalitet pružanja usluga. Počevši od samog

potpisivanja ugovora za korištenje usluga e-bankarstva, i dostavljanja određenih podataka

uposleniku banke, najčešće u pisanoj formi, tipa e-mail adrese i sličnog, su prvi krucijalni

nivoi na kojima ukoliko se desi greška povlači se niz posljedica. U skorije vrijeme će sve veći

broj firmi i građana uvidjeti da je mnogo jednostavnije obavljati internet transakcije iz svog

doma, po mnogo nižoj cijeni i na jednostavan način. S druge strane, kombinacija backtrack,

sslstrip i MiTM je samo jedno od potencijalno jakih sredstava za narušavanje sigurnosti

bankovnih računa na vrlo „jednostavan“ način.

Ono što se ostavlja kao otvoreno pitanje bankama i ostalim pružaocima usluga internet

bankarstva, jeste pitanje spoja usluge, cijene, sigurnosti i same reklame u jednu jedinstvenu

cijelinu, koja bi izazvala povjerenje kod korisnika usluga, a ujedno donijela određene profite.

„Sve treba pojednostaviti koliko je god moguće, ali ne više od toga.“

Albert Einstein


57

POPIS KORIŠTENIH SKRAĆENICE

IKT- Informaciono-komunikacijske tehnologije;

IDDEEA - Agencija za identifikacione dokumente, evidenciju i razmjenu podataka BiH;

PKI - Public Key Infrastructure;

SCOPE - Special Committee on Paperless Entries;

SWIFT - Society for Worldwide Interbank Financial Telecommunication;

TAN - Transaction Autorisation Number;

PIN - Personal Identification Number;

SHA1- Secure Hash Algorithm;

MD5 - Message Digest 5;

CA - Certificate Authority;

ISA - Internet Security and Acceleration Server;

SSL - Secure Socket Layer;

AAA - Authentication Authorization, Accounting;

OTP - One Time Password;

PIN - Personal Identity Number;

HTTPS - Hyper Text Transfer Protocol Secure;

TLS - Transport Layer Security;

MITM - Man in the middle.


58

LITERATURA

[1] Ministarstvo komunikacija i prometa BiH, Analiza učinka propisa na pravni i institucioni

okvir za elektronski potpis, Sarajevo, 2011,

[2] Titrade Cristina, Ciolacu Beatrice, Pavel Florentina, E-banking-impact, risks, security,

Univerzitet Romano Americana, 2008,

[3] The association of German banks, Online banking security, seventh revised edition, 2007,

[4] Basle Committee on Banking Supervision , Risk management for electronic banking and

electronic money activities, 2003

[5] Shilpan Vyas, Singhania University , Impact of e-banking on traditional banking services,

2012

[6] Yi-Jen Yang, The security of electronic banking, 2000.

e-banking i sigurnost tehnickih rjesenja za internet transakcije

Technology