Autentifikacija i sigurnost 2FA

Questions and Answers

Kako se generira OTP (One-Time Password) kod u 2FA sustavima koji koriste mobilne aplikacije za autentifikaciju?

OTP se generira na temelju jedinstvenog simetričnog ključa i trenutnog vremena, sinkroniziranog između aplikacije i servera.

Navedite tri kategorije faktora koji se koriste u dvo-faktorskoj (2FA) ili više-faktorskoj (MFA) autentifikaciji.

Tri kategorije su: nešto što znaš, nešto što imaš i nešto što jesi.

Zašto je mobile push notifikacija generalno sigurnija od slanja OTP kodova putem SMS-a u kontekstu 2FA?

Mobile push notifikacije su sigurnije jer su direktno povezane s aplikacijom na uređaju i teže ih je presresti, dok se SMS poruke mogu presresti ili preusmjeriti.

Šta je RBA (Risk-Based Authentication) i kako funkcionira?

RBA je autentifikacija bazirana na riziku koja prilagođava razinu autentifikacije ovisno o riziku povezanom s prijavom.

Navedite barem tri čimbenika koji se analiziraju prilikom RBA (Risk-Based Authentication) autentifikacije?

Analiziraju se lokacija, uređaj, IP adresa, ponašanje korisnika i vrijeme prijave.

U kontekstu RBA, temeljem kojih informacija sustav može blokirati pristup?

Sustav blokira pristup ako otkrije neuobičajenu aktivnost, poput prijave iz nepoznate lokacije ili uređaja.

Koja je glavna prednost primjene RBA (Risk-Based Authentication) u usporedbi sa standardnom autentifikacijom?

Prednost je povećana sigurnost uz istovremeno smanjenje smetnji za korisnike, jer se razina autentifikacije prilagođava riziku.

Kako se simetrični ključ distribuira na mobilni uređaj prilikom korištenja aplikacija za autentifikaciju u 2FA sustavima?

Simetrični ključ se obično šalje kroz QR kod kojeg korisnik treba skenirati sa svojim telefonom.

Kako PKI osigurava neporecivost i autentičnost podataka?

Kroz digitalne certifikate i lanac povjerenja, gdje certifikati potvrđuju jedni druge do korijenskog certifikata (root CA).

Koje su osnovne funkcije CA (Certification Authority)? Navedite barem tri.

Izdavanje certifikata, potvrđivanje valjanosti certifikata, i opoziv certifikata (CRL).

Što je root CA i zašto je važno da root CA bude offline?

Root CA je najviša autoriteta u PKI hijerarhiji koja izdaje i potpisuje certifikate. Važno je da bude offline kako bi se smanjio rizik od kompromitacije.

Objasnite ukratko mjere zaštite za root CA i navedite primjer kršenja sigurnosti root CA.

Mjere zaštite uključuju izolaciju, fizičku zaštitu i stroge sigurnosne procedure. Primjer kršenja je DigiNotar, gdje je kompromitiran root CA, što je dovelo do izdavanja lažnih certifikata.

Sto je digitalni certifikat i navedite dva najcesca primjera koristenja?

Digitalni certifikat je elektronički dokument koji povezuje javni ključ s identitetom vlasnika. Najčešći primjeri su sigurna web komunikacija (HTTPS) i digitalno potpisivanje dokumenata.

Je li teoretski moguće probiti AES algoritam i kako?

Teoretski, moguće ga je probiti kroz grubu silu (brute force), ali to zahtijeva ogromne količine vremena i računarskih resursa.

Zašto je DES algoritam zamijenjen AES algoritmom?

DES je zamijenjen s AES jer je DES postao nesiguran zbog kratke duljine ključa (56 bita), što ga čini ranjivim na napade grubom silom. AES koristi duže ključeve i modernije tehnike.

Objasnite ukratko tehniku šifriranja. U koju vrstu šifriranja spada Cezarova šifra i zašto?

Tehnika šifriranja pretvara čitljiv tekst u nečitljiv oblik. Cezarova šifra spada u simetričnu tehniku supstitucije, jer koristi isti ključ za šifriranje i dešifriranje, te zamjenjuje slova pomicanjem abecedom.

Što je neporecivost u kontekstu sigurnosti poruka?

Neporecivost sprječava pošiljatelja da negira slanje poruke.

Kako se postiže autentičnost poruke?

Autentičnost se postiže osiguravanjem da je poruka zaista poslana od određenog pošiljatelja.

Objasnite pojam lanac povjerenja u kontekstu digitalnih certifikata.

Lanac povjerenja je hijerarhija certifikata gdje korisnički certifikati potječu od pouzdanih CA, s korijenskim CA na vrhu.

Koje su tri ključne komponente PKI sustava?

Tri komponente su: Certifikacijsko tijelo (CA), Registracijsko tijelo (RA) i Direktorij certifikata.

Što je 0-day ranjivost i zašto predstavlja veći rizik od standardne ranjivosti?

0-day ranjivost je nepoznata ranjivost za koju ne postoji zakrpa i predstavlja veći rizik jer nema obrane dok se ne otkrije i riješi.

Navedite dva razloga zašto tvrtke ne implementiraju sigurnosne zakrpe na vrijeme?

Tvrtke često ne implementiraju zakrpe zbog nedostatka resursa i straha od prekida rada.

Objasnite što je SQL injection i navedite jednu mjeru zaštite od te vrste napada.

SQL injection je napad ubacivanjem zlonamjernog koda u SQL upite. Mjera zaštite je korištenje pripremljenih upita.

Što je OWASP Top 10?

OWASP Top 10 je lista 10 najkritičnijih sigurnosnih rizika za web aplikacije.

Objasnite razliku između simetričnog i asimetričnog šifriranja, te navedite primjer algoritma za svaku vrstu.

Simetrično šifriranje koristi jedan ključ za šifriranje i dešifriranje, npr. AES. Asimetrično šifriranje koristi par ključeva, javni i privatni, npr. RSA.

Što su algoritmi sažimanja i koja je njihova glavna karakteristika, navedite primjer algoritma sažimanja?

Algoritmi sažimanja stvaraju 'otisak' podataka fiksne duljine (hash vrijednost). Otpornost na kolizije je bitna karakteristika. Primjer je SHA-256.

Kako funkcionira digitalni potpis i koju vrstu kriptografije koristi?

Digitalni potpis koristi asimetričnu kriptografiju. Pošiljatelj šifrira hash poruke svojim privatnim ključem, a primatelj dešifrira javnim ključem te uspoređuje hash vrijednosti.

Što je digitalni certifikat i koja je njegova svrha u kriptiranoj komunikaciji?

Digitalni certifikat je elektronički dokument koji povezuje javni ključ s identitetom vlasnika. Koristi se za potvrđivanje identiteta i osiguranje komunikacije.

Koje osnovne provjere Web preglednik vrši nad certifikatom prilikom uspostavljanja kriptirane komunikacije?

Preglednik provjerava valjanost certifikata (datum), izdavača (CA), podudaranje imena domene, i povjerenje u CA (lanac povjerenja).

Koja je osnovna prednost asimetrične u odnosu na simetričnu kriptografiju?

Asimetrična kriptografija rješava problem sigurne razmjene ključa, što je glavni nedostatak simetrične kriptografije.

Objasnite pojam 'otpornost na kolizije' u kontekstu algoritama sažimanja.

Otpornost na kolizije znači da je teško (praktički nemoguće) pronaći dva različita ulaza koja daju istu hash vrijednost.

Definišite pojmove 'neporecivost' i 'autentičnost' u kontekstu kriptografije.

Neporecivost (non-repudiation) znači da pošiljatelj ne može poreći slanje poruke. Autentičnost znači da je poruka doista poslana od strane pošiljatelja.

Šta je OWASP Broken Access Control i kako se Optus data breach uklapa u ovu kategoriju?

OWASP Broken Access Control je sigurnosni rizik gdje korisnici mogu pristupiti resursima ili funkcionalnostima koje ne bi smjeli. Optus data breach spada u ovu kategoriju jer su neovlašteni korisnici dobili pristup osjetljivim podacima.

Objasnite OWASP Cryptographic Failures i navedite mjere zaštite od istog?

OWASP Cryptographic Failures su greške u korištenju kriptografije koje dovode do izlaganja osjetljivih podataka. Mjere zaštite uključuju korištenje jakih algoritama, pravilno upravljanje ključevima i enkripciju podataka u mirovanju i prijenosu.

Zašto je centralno bilježenje logova važno u kontekstu sigurnosti?

Centralno bilježenje logova je važno jer omogućuje praćenje i analizu sigurnosnih događaja u cijelom sustavu. Pomaže u otkrivanju i reagiranju na incidente, te pruža dokaze za forenzičku analizu.

Koje ranjivosti treba prvo zakrpiti i zašto?

Ranjivosti koje su najkritičnije (visok rizik) i koje su aktivno iskorištavane treba zakrpiti prve. Ovo uključuje ranjivosti koje mogu dovesti do ozbiljnih posljedica poput gubitka podataka ili prekida usluge.

Koja je razlika između penetracijskog testiranja i procjene ranjivosti pomoću alata?

Penetracijsko testiranje simulira stvarne napade kako bi se otkrile slabosti, dok procjena ranjivosti putem alata automatski skenira sustave za poznate ranjivosti. Pen testiranje je ručno i temeljitije, dok su alati brži ali manje svestrani.

Šta je Shodan i za šta se koristi?

Shodan je tražilica koja pronalazi internetski povezane uređaje (npr. servere, kamere) i prikazuje informacije o njihovoj konfiguraciji i ranjivostima. Koristi se za istraživanje i otkrivanje slabosti.

Zašto je potrebno redovito provjeravati ranjivost na informacijskom sistemu i šta treba obuhvatiti ova aktivnost?

Redovita provjera ranjivosti je važna kako bi se otkrile i riješile slabosti prije nego što ih napadači iskoriste. Aktivnost treba obuhvatiti skeniranje mreže, web aplikacija, operativnih sustava i baza podataka.

Objasnite koncept korelacije događaja i zašto je korelacija temeljena na pravilima izazov?

Korelacija događaja je proces povezivanja različitih sigurnosnih događaja kako bi se identificirali štetni uzorci. Korelacija temeljena na pravilima je izazov jer zahtijeva precizna pravila i može propustiti nove ili nepoznate prijetnje.

Zašto Gartner smatra da tvrtke trebaju imati pristup informacijskoj sigurnosti kao da su u stanju kontinuirane kompromitacije?

Gartner smatra da tvrtke trebaju biti spremne na kontinuiranu kompromitaciju jer su napadi sve sofisticiraniji i češći.

Zašto je važno što prije otkriti neovlašteni upad u informacijski sustav?

Važno je što prije otkriti upad kako bi se smanjila šteta i spriječio daljnji prodor.

Što su SIEM sustavi i koji su neki od izazova njihove implementacije?

SIEM (Security Information and Event Management) sustavi prikupljaju, analiziraju i koreliraju sigurnosne događaje. Izazovi su visoki troškovi i složenost implementacije.

Koja je glavna prednost XDR sustava u odnosu na SIEM sustave?

Prednost XDR-a je u njegovoj sposobnosti da detektira i odgovori na prijetnje na više razina (mreža, uređaji, cloud).

Objasnite OWASP Security Misconfiguration i navedite jednu mjeru zaštite.

OWASP Security Misconfiguration je rizik gdje su sigurnosne postavke neispravno konfigurirane. Mjera zaštite uključuje redovite audite.

Što je red team pen testiranje i koji je njegov cilj?

Red team pen testiranje je napredna simulacija napada gdje tim pokušava probiti obranu organizacije. Cilj je identificirati slabosti i poboljšati obranu.

Koja je razlika između DAST i SAST alata za provjeru sigurnosti web aplikacija?

DAST (Dynamic Application Security Testing) alati testiraju aplikacije u pokretu, dok SAST (Static Application Security Testing) alati analiziraju izvorni kod.

Navedite prve tri faze upravljanja ranjivostima.

Prve tri faze upravljanja ranjivostima su: identifikacija ranjivosti (skeniranje), procjena rizika (prioritizacija) i liječenje (zakrpe ili ublažavanje).

Study Notes

ISHODI 1

• CIA aspekti sigurnosti su Povjerljivost (Confidentiality), Integritet (Integrity) i Dostupnost (Availability).
• Dva glavna napada na dostupnost su DoS (Denial-of-Service) i DDoS (Distributed Denial-of-Service) napadi.
• Sigurnosni rizik je mogućnost štetnog događaja koji ugrožava informacijske resurse.
• Procjena rizika je važna za identificiranje, analizu i prioritizaciju rizika kako bi se smanjili ili uklonili.
• Koraci procjene rizika uključuju: identifikaciju rizika, analizu rizika, izračun rizika i planiranje mjera za smanjivanje rizika.
• Rezultat procjene rizika je dokument koji identifikuje ključne rizike i preporuke za upravljanje.
• Kontrole su procedure, prakse ili mehanizmi koji umanjuju rizik.
• Dva načina djelovanja kontrola su smanjenje vjerovatnosti korištenja ranjivosti, i smanjenje štete ukoliko se ranjivost iskoristi.
• Paretovo načelo (80/20 pravilo) pokazuje da 80% učinka dolazi od 20% uzroka. Ovo se koristi za prioritetno odabir najvažnijih rizika u sigurnosnim kontrolama.
• Prednosti kvalitativne procjene rizika: jednostavnost i brzina, pogodno za subjektivne procjene i manje složene sustave.
• Nedostaci kvalitativne procjene rizika: manje precizno, može biti subjektivno, ovisi o iskustvu procjenitelja.
• SANS CIS Top 20 je popis 20 kritičnih, sigurnosnih kontrola koje pomažu organizacijama.

ISHODI 2

• Identifikacija je proces kojim korisnik predočava svoj identitet sistemu.
• Identifikacija mora biti jedinstvena.
• 2FA (Dvo-faktorna autentifikacija) zahteva dva faktora za potvrdu identiteta (npr. lozinka i kod na telefonu).
• Mobile push notifikacija je sigurnija od OTP koda putem SMS-a.
• RBA (Risk-based Authentication) prilagođava razinu autentifikacije na osnovu rizika.
• RBA analizira lokaciju, uređaj, ponašanje i vrijeme prijave kako bi identifikovala neuobičajene aktivnosti.

ISHODI 3

• Kriptologija je znanost koja objedinjuje kriptografiju i kriptoanalizu.
• Kriptoanaliza je umijeće razbijanja šifri.
• Tehnike šifriranja uključuju: simetrično i asimetrično šifriranje, i šifriranje korištenjem algoritama sažimanja.
• Cesarov šifar je jedna od najstarijih tehnika šifriranja koja pripada tehnici supstitucijskog šifriranja.
• Algoritmi sažimanja (hash) pretvaraju podatke u fiksnu dužinu.
• Otpornost na kolizije u algoritmima znači da je teško dobiti jednaki hash za dva različita ulaza.

ISHODI 4

• Ranjivost je slabost u sistemu koja može biti iskorištena.
• 0-day ranjivosti su nepoznate proizvođaču i nisu popravljene.
• Standardne ranjivosti su poznate i popravljene.
• Shodan tražilica pronalazi internetski povezane uređaje i prikazuje njihove konfiguracije.
• Korelacija događaja je proces povezivanja više sigurnosnih događaja za otkrivanje štetnih obrazaca.
• SIEM (Security Information and Event Management) sistem prikuplja, analizira i korelira sigurnosne događaje iz različitih izvora.
• XDR (Extended Detection and Response) je napredni SIEM koji integriše više sigurnosnih alata.
• Red team pen testiranje je simulacija napada kako bi se identifikovale slabosti u sistemu.
• DAST i SAST alati se koriste za testiranje web aplikacija. DAST analizira web apliakcije u pokretu, dok SAST alati analiziraju izvorni kod.

Description

Ovaj kviz pokriva ključne aspekte dvo-faktorske autentifikacije (2FA) i višefaktorske autentifikacije (MFA). Istražite kako se generiraju OTP kodovi, razumite prednosti mobilnih push obavijesti, te saznajte više o RBA (Risk-Based Authentication) i njegovim funkcijama. Testirajte svoje znanje o sigurnosti i autentifikaciji.