Autentifikacija i sigurnost 2FA

Questions and Answers

Kako se generira OTP (One-Time Password) kod u 2FA sustavima koji koriste mobilne aplikacije za autentifikaciju?

OTP se generira na temelju jedinstvenog simetričnog ključa i trenutnog vremena, sinkroniziranog između aplikacije i servera.

Navedite tri kategorije faktora koji se koriste u dvo-faktorskoj (2FA) ili više-faktorskoj (MFA) autentifikaciji.

Tri kategorije su: nešto što znaš, nešto što imaš i nešto što jesi.

Zašto je mobile push notifikacija generalno sigurnija od slanja OTP kodova putem SMS-a u kontekstu 2FA?

Mobile push notifikacije su sigurnije jer su direktno povezane s aplikacijom na uređaju i teže ih je presresti, dok se SMS poruke mogu presresti ili preusmjeriti.

Šta je RBA (Risk-Based Authentication) i kako funkcionira?

RBA je autentifikacija bazirana na riziku koja prilagođava razinu autentifikacije ovisno o riziku povezanom s prijavom.

Navedite barem tri čimbenika koji se analiziraju prilikom RBA (Risk-Based Authentication) autentifikacije?

Analiziraju se lokacija, uređaj, IP adresa, ponašanje korisnika i vrijeme prijave.

U kontekstu RBA, temeljem kojih informacija sustav može blokirati pristup?

Sustav blokira pristup ako otkrije neuobičajenu aktivnost, poput prijave iz nepoznate lokacije ili uređaja.

Koja je glavna prednost primjene RBA (Risk-Based Authentication) u usporedbi sa standardnom autentifikacijom?

Prednost je povećana sigurnost uz istovremeno smanjenje smetnji za korisnike, jer se razina autentifikacije prilagođava riziku.

Kako se simetrični ključ distribuira na mobilni uređaj prilikom korištenja aplikacija za autentifikaciju u 2FA sustavima?

Simetrični ključ se obično šalje kroz QR kod kojeg korisnik treba skenirati sa svojim telefonom.

Kako PKI osigurava neporecivost i autentičnost podataka?

Kroz digitalne certifikate i lanac povjerenja, gdje certifikati potvrđuju jedni druge do korijenskog certifikata (root CA).

Koje su osnovne funkcije CA (Certification Authority)? Navedite barem tri.

Izdavanje certifikata, potvrđivanje valjanosti certifikata, i opoziv certifikata (CRL).

Što je root CA i zašto je važno da root CA bude offline?

Root CA je najviša autoriteta u PKI hijerarhiji koja izdaje i potpisuje certifikate. Važno je da bude offline kako bi se smanjio rizik od kompromitacije.

Objasnite ukratko mjere zaštite za root CA i navedite primjer kršenja sigurnosti root CA.

Mjere zaštite uključuju izolaciju, fizičku zaštitu i stroge sigurnosne procedure. Primjer kršenja je DigiNotar, gdje je kompromitiran root CA, što je dovelo do izdavanja lažnih certifikata.

Sto je digitalni certifikat i navedite dva najcesca primjera koristenja?

Digitalni certifikat je elektronički dokument koji povezuje javni ključ s identitetom vlasnika. Najčešći primjeri su sigurna web komunikacija (HTTPS) i digitalno potpisivanje dokumenata.

Je li teoretski moguće probiti AES algoritam i kako?

Teoretski, moguće ga je probiti kroz grubu silu (brute force), ali to zahtijeva ogromne količine vremena i računarskih resursa.

Zašto je DES algoritam zamijenjen AES algoritmom?

DES je zamijenjen s AES jer je DES postao nesiguran zbog kratke duljine ključa (56 bita), što ga čini ranjivim na napade grubom silom. AES koristi duže ključeve i modernije tehnike.

Objasnite ukratko tehniku šifriranja. U koju vrstu šifriranja spada Cezarova šifra i zašto?

Tehnika šifriranja pretvara čitljiv tekst u nečitljiv oblik. Cezarova šifra spada u simetričnu tehniku supstitucije, jer koristi isti ključ za šifriranje i dešifriranje, te zamjenjuje slova pomicanjem abecedom.

Što je neporecivost u kontekstu sigurnosti poruka?

Neporecivost sprječava pošiljatelja da negira slanje poruke.

Kako se postiže autentičnost poruke?

Autentičnost se postiže osiguravanjem da je poruka zaista poslana od određenog pošiljatelja.

Objasnite pojam lanac povjerenja u kontekstu digitalnih certifikata.

Lanac povjerenja je hijerarhija certifikata gdje korisnički certifikati potječu od pouzdanih CA, s korijenskim CA na vrhu.

Koje su tri ključne komponente PKI sustava?

Tri komponente su: Certifikacijsko tijelo (CA), Registracijsko tijelo (RA) i Direktorij certifikata.

Što je 0-day ranjivost i zašto predstavlja veći rizik od standardne ranjivosti?

0-day ranjivost je nepoznata ranjivost za koju ne postoji zakrpa i predstavlja veći rizik jer nema obrane dok se ne otkrije i riješi.

Navedite dva razloga zašto tvrtke ne implementiraju sigurnosne zakrpe na vrijeme?

Tvrtke često ne implementiraju zakrpe zbog nedostatka resursa i straha od prekida rada.

Objasnite što je SQL injection i navedite jednu mjeru zaštite od te vrste napada.

SQL injection je napad ubacivanjem zlonamjernog koda u SQL upite. Mjera zaštite je korištenje pripremljenih upita.

Što je OWASP Top 10?

OWASP Top 10 je lista 10 najkritičnijih sigurnosnih rizika za web aplikacije.

Objasnite razliku između simetričnog i asimetričnog šifriranja, te navedite primjer algoritma za svaku vrstu.

Simetrično šifriranje koristi jedan ključ za šifriranje i dešifriranje, npr. AES. Asimetrično šifriranje koristi par ključeva, javni i privatni, npr. RSA.

Što su algoritmi sažimanja i koja je njihova glavna karakteristika, navedite primjer algoritma sažimanja?

Algoritmi sažimanja stvaraju 'otisak' podataka fiksne duljine (hash vrijednost). Otpornost na kolizije je bitna karakteristika. Primjer je SHA-256.

Kako funkcionira digitalni potpis i koju vrstu kriptografije koristi?

Digitalni potpis koristi asimetričnu kriptografiju. Pošiljatelj šifrira hash poruke svojim privatnim ključem, a primatelj dešifrira javnim ključem te uspoređuje hash vrijednosti.

Što je digitalni certifikat i koja je njegova svrha u kriptiranoj komunikaciji?

Digitalni certifikat je elektronički dokument koji povezuje javni ključ s identitetom vlasnika. Koristi se za potvrđivanje identiteta i osiguranje komunikacije.

Koje osnovne provjere Web preglednik vrši nad certifikatom prilikom uspostavljanja kriptirane komunikacije?

Preglednik provjerava valjanost certifikata (datum), izdavača (CA), podudaranje imena domene, i povjerenje u CA (lanac povjerenja).

Koja je osnovna prednost asimetrične u odnosu na simetričnu kriptografiju?

Asimetrična kriptografija rješava problem sigurne razmjene ključa, što je glavni nedostatak simetrične kriptografije.

Objasnite pojam 'otpornost na kolizije' u kontekstu algoritama sažimanja.

Otpornost na kolizije znači da je teško (praktički nemoguće) pronaći dva različita ulaza koja daju istu hash vrijednost.

Definišite pojmove 'neporecivost' i 'autentičnost' u kontekstu kriptografije.

Neporecivost (non-repudiation) znači da pošiljatelj ne može poreći slanje poruke. Autentičnost znači da je poruka doista poslana od strane pošiljatelja.

Šta je OWASP Broken Access Control i kako se Optus data breach uklapa u ovu kategoriju?

OWASP Broken Access Control je sigurnosni rizik gdje korisnici mogu pristupiti resursima ili funkcionalnostima koje ne bi smjeli. Optus data breach spada u ovu kategoriju jer su neovlašteni korisnici dobili pristup osjetljivim podacima.

Objasnite OWASP Cryptographic Failures i navedite mjere zaštite od istog?

OWASP Cryptographic Failures su greške u korištenju kriptografije koje dovode do izlaganja osjetljivih podataka. Mjere zaštite uključuju korištenje jakih algoritama, pravilno upravljanje ključevima i enkripciju podataka u mirovanju i prijenosu.

Zašto je centralno bilježenje logova važno u kontekstu sigurnosti?

Centralno bilježenje logova je važno jer omogućuje praćenje i analizu sigurnosnih događaja u cijelom sustavu. Pomaže u otkrivanju i reagiranju na incidente, te pruža dokaze za forenzičku analizu.

Koje ranjivosti treba prvo zakrpiti i zašto?

Ranjivosti koje su najkritičnije (visok rizik) i koje su aktivno iskorištavane treba zakrpiti prve. Ovo uključuje ranjivosti koje mogu dovesti do ozbiljnih posljedica poput gubitka podataka ili prekida usluge.

Koja je razlika između penetracijskog testiranja i procjene ranjivosti pomoću alata?

Penetracijsko testiranje simulira stvarne napade kako bi se otkrile slabosti, dok procjena ranjivosti putem alata automatski skenira sustave za poznate ranjivosti. Pen testiranje je ručno i temeljitije, dok su alati brži ali manje svestrani.

Šta je Shodan i za šta se koristi?

Shodan je tražilica koja pronalazi internetski povezane uređaje (npr. servere, kamere) i prikazuje informacije o njihovoj konfiguraciji i ranjivostima. Koristi se za istraživanje i otkrivanje slabosti.

Zašto je potrebno redovito provjeravati ranjivost na informacijskom sistemu i šta treba obuhvatiti ova aktivnost?

Redovita provjera ranjivosti je važna kako bi se otkrile i riješile slabosti prije nego što ih napadači iskoriste. Aktivnost treba obuhvatiti skeniranje mreže, web aplikacija, operativnih sustava i baza podataka.

Objasnite koncept korelacije događaja i zašto je korelacija temeljena na pravilima izazov?

Korelacija događaja je proces povezivanja različitih sigurnosnih događaja kako bi se identificirali štetni uzorci. Korelacija temeljena na pravilima je izazov jer zahtijeva precizna pravila i može propustiti nove ili nepoznate prijetnje.

Zašto Gartner smatra da tvrtke trebaju imati pristup informacijskoj sigurnosti kao da su u stanju kontinuirane kompromitacije?

Gartner smatra da tvrtke trebaju biti spremne na kontinuiranu kompromitaciju jer su napadi sve sofisticiraniji i češći.

Zašto je važno što prije otkriti neovlašteni upad u informacijski sustav?

Važno je što prije otkriti upad kako bi se smanjila šteta i spriječio daljnji prodor.

Što su SIEM sustavi i koji su neki od izazova njihove implementacije?

SIEM (Security Information and Event Management) sustavi prikupljaju, analiziraju i koreliraju sigurnosne događaje. Izazovi su visoki troškovi i složenost implementacije.

Koja je glavna prednost XDR sustava u odnosu na SIEM sustave?

Prednost XDR-a je u njegovoj sposobnosti da detektira i odgovori na prijetnje na više razina (mreža, uređaji, cloud).

Objasnite OWASP Security Misconfiguration i navedite jednu mjeru zaštite.

OWASP Security Misconfiguration je rizik gdje su sigurnosne postavke neispravno konfigurirane. Mjera zaštite uključuje redovite audite.

Što je red team pen testiranje i koji je njegov cilj?

Red team pen testiranje je napredna simulacija napada gdje tim pokušava probiti obranu organizacije. Cilj je identificirati slabosti i poboljšati obranu.

Koja je razlika između DAST i SAST alata za provjeru sigurnosti web aplikacija?

DAST (Dynamic Application Security Testing) alati testiraju aplikacije u pokretu, dok SAST (Static Application Security Testing) alati analiziraju izvorni kod.

Navedite prve tri faze upravljanja ranjivostima.

Prve tri faze upravljanja ranjivostima su: identifikacija ranjivosti (skeniranje), procjena rizika (prioritizacija) i liječenje (zakrpe ili ublažavanje).

Flashcards

Dvo-faktorska autentifikacija (2FA)

Sigurnosni mehanizam koji zahtijeva od korisnika da pruži dva ili više dokaza (faktora) za potvrdu identiteta pri prijavi.

Mobilne aplikacije za autentikaciju

Simetrični ključ se koristi za generiranje jednokratnih kodova (OTP) koji se prikazuju u aplikaciji na mobilnom uređaju.

Vremenska sinkronizacija

Koristi se za generiranje jednokratnih kodova (OTP) temeljem vremena i jedinstvenog ključa.

Autonomno generiranje OTP-a

Aplikacija na telefonu generira OTP bez potrebe za internetskom vezom ili SIM karticom.

Mobile push notifikacija

Pouzdaniji način za 2FA od slanja OTP-a putem SMS-a jer su push notifikacije teže kompromitirati.

RBA (Risk-Based Authentication)

Koncept koji prilagođava razinu autentifikacije temeljem rizika povezanog s prijavom.

RBA (Risk-Based Authentication)- blokiranje pristupa

Dodatna autentifikacija ili blokirani pristup ako se otkrije neuobičajena aktivnost.

RBA (Risk-Based Authentication)- dinamički prilagođavanje

Dinamička prilagodba razine autentifikacije (npr. jednofaktorska ili višefaktorska) ovisno o kontekstu (npr. lokacija, uređaj, ponašanje).

Ranjivost

Slabost u sustavu koja omogućava napadaču da nanese štetu.

0-day ranjivost

Ranjivost koja je nepoznata programeru i za koju ne postoji zakrpa.

Exploit

Kod ili metoda za iskorištavanje ranjivosti.

Lanac povjerenja

Hijerarhija certifikata gdje se korisnici certificiraju od strane pouzdanih CA i korijenski CA ima najviši stupanj povjerenja.

Certifikacijsko tijelo (CA)

Tijelo koje izdaje i upravlja certifikatima.

Registracijsko tijelo (RA)

Tijelo koje provjerava identitet korisnika prije izdavanja certifikata.

Direktorij certifikata

Pohranjuje i distribuira certifikate.

SQL injection

Ubacivanje zlonamjernog koda u SQL upit kako bi se pristupilo ili manipuliralo bazom podataka.

Simetrična kriptografija

Koristi jedan ključ za šifriranje i dešifriranje podataka. Primjer: Cesarova šifra, gdje je ključ pomak u abecedi.

Asimetrična kriptografija

Koristi dva ključa: javni ključ za šifriranje i privatni ključ za dešifriranje. Primjer: RSA

Algoritam sažimanja (hashing)

Algoritam koji stvara jedinstveni 'otisak' za podatke, nepovratnim procesom.

Integritet podataka

Algoritam koji provjerava integritet podataka, provjeravajući hash vrijednost. Ako je promijenjena, hash se neće podudarati.

Digitalni certifikat

Elektronički certifikat koji povezuje javni ključ s identitetom vlasnika. Izdaje ga Certifikacijsko tijelo (CA).

Provjera certifikata u Web pregledniku

Provjera valjanosti digitalnog certifikata, datuma izdavanja, izdavača, podudaranja naziva domene i CA lanca povjerenja.

Neporecivost

Osnovno svojstvo digitalnog potpisa - nemoguće je negirati da ste potpisali dokument.

Što je PKI?

PKI (Public Key Infrastructure) je sustav za upravljanje digitalnim certifikatima i javnim ključevima. Omogućuje neporecivost, što znači da se ne može poreći autorstvo, i autentičnost, što znači da su podaci stvarno od onoga tko tvrdi da jesu.

Objasni lanac povjerenja.

Lanac povjerenja je hijerarhija certifikata, gdje svaki certifikat potvrđuje prethodni do korijenskog certifikata (root CA). To osigurava valjanost i pouzdanost digitalnih certifikata.

Što je root CA?

Root CA (Certification Authority) je najviši autoritet u PKI hijerarhiji koji izdaje i potpisuje certifikate. Slično je vrhovnom sudu koji potvrđuje zakone.

Zašto root CA treba biti zaštićen?

Root CA treba biti fizički zaštićen, podvrgnut strogim sigurnosnim procedurama i s ograničenim pristupom. Može biti offline kako bi se smanjio rizik od kompromitacije.

Što je digitalni certifikat?

Digitalni certifikat je elektronički dokument koji povezuje javni ključ s identitetom vlasnika. Slično je kao vozačka dozvola koja povezuje vaše ime s vašim fotografijama.

Je li moguće probiti AES algoritam?

AES (Advanced Encryption Standard) se smatra vrlo sigurnim algoritmom za šifriranje podataka. Iako se teoretski može probiti kroz grubom silom, to zahtijeva ogromne količine vremena i resursa.

Zašto je DES zamijenjen s AES?

DES (Data Encryption Standard) je zamijenjen s AES jer je postao nesiguran zbog kratke duljine ključa (56 bita). AES koristi dulje ključeve (128, 192, 256 bita) i naprednije tehnike, što ga čini sigurnijim.

Objasnite kratko tehnike šifriranja. U koju tehniku šifriranja pripada Cesarova šifra i zašto?

Šifriranje je postupak pretvorbe podataka u nečitljiv oblik pomoću ključa. Cesarova šifra je jednostavan primjer supstitutske šifre, gdje se svako slovo zamjenjuje drugim.

Što su SIEM sustavi?

SIEM (Security Information and Event Management) sustavi prikupljaju, analiziraju i koreliraju sigurnosne događaje iz različitih izvora.

Koji su zahtjevi i izazovi implementacije SIEM sustava?

Zahtjevi za SIEM sustave uključuju skalabilnost, integraciju s alatima i naprednu analitiku. Izazovi su visoki troškovi i složenost implementacije.

Objasnite XDR sustave.

XDR (Extended Detection and Response) je naprednija verzija SIEM-a koja integrira više sigurnosnih alata i pruža bolju vidljivost i automatsko reagiranje.

Koja je prednost XDR sustava?

Prednost XDR-a je u njegovoj sposobnosti da detektira i odgovori na prijetnje na više razina (mreža, uređaji, cloud).

Objasnite OWASP Security Misconfiguration.

OWASP Security Misconfiguration je rizik gdje su sigurnosne postavke neispravno konfigurirane, što otvara mogućnosti za napade.

Koje su mjere zaštite od OWASP Security Misconfiguration?

Mjere zaštite od OWASP Security Misconfiguration uključuju redovite audite, minimalne privilegije i automatske alate za provjeru konfiguracije.

Što je red team pen testiranje?

Red team pen testiranje je napredna simulacija napada gdje tim (red team) pokušava probiti obranu organizacije kako bi testirao njezinu sigurnost.

Koji je cilj red team pen testiranja?

Cilj red team pen testiranja je identificirati slabosti i poboljšati obranu.

Šta je OWASP Broken Access Control?

Ovo se odnosi na situacije kada se korisnicima dopušta pristup resursima ili funkcijama koje im nisu namijenjene, kao na primjer kada nekome neslužbeno bude omogućen pristup privilegiranom korisničkom računu. Ovo omogućava neautoriziran pristup osjetljivim podacima.

Šta su OWASP Cryptographic Failures?

Ove greške se odnose na pogrešno korištenje tehnika šifriranja, što može dovesti do toga da se osjetljivi podaci lako pročitaju. Na primjer, slabe šifre ili loša implementacija algoritama šifriranja.

Zašto je centralno bilježenje logova važno?

Ovo je proces sakupljanja i spremanja podataka o događajima koji se događaju u sistemu. Pomaže u razumijevanju što se dogodilo i u otkrivanju problema.

Koje ranjivosti treba zakrpiti prve?

Teško je sve zakrpiti odjednom, ali ranjivosti koje su najkritičnije i najviše se koriste u napadima trebaju se riješiti najprije. To se odnosi na ranjivosti koje mogu uzrokovati ozbiljne probleme, kao što su krađe podataka ili prekid sistema.

Koja je razlika između pen-testiranja i procjene ranjivosti?

Pen-testiranje je kao simuliranje stvarnog hakerskog napada kako bi se otkrile slabosti. Procjena ranjivosti koristi se za analiziranje sistema za poznate ranjivosti.

Šta je Shodan?

Ovo je alat koji može pronaći uređaje povezane na internet, kao što su serveri ili kamere, i prikazati informacije o njima, uključujući i potencijalne ranjivosti.

Zašto je potrebno redovito provjeravati ranjivost?

Redovito provjeravanje ranjivosti je važan dio zaštite. Ova provjera uključuje skeniranje mreže, web aplikacija, operativnih sistema i baza podataka.

Šta je korelacija događaja?

Ovo se odnosi na povezivanje različitih sigurnosnih događaja kako bi se otkrili opasni obrasci. Teško je jer se trebaju kreirati stroga pravila, a postoji mogućnost da se propuštaju novi napadi.

Study Notes

ISHODI 1

• CIA aspekti sigurnosti su Povjerljivost (Confidentiality), Integritet (Integrity) i Dostupnost (Availability).
• Dva glavna napada na dostupnost su DoS (Denial-of-Service) i DDoS (Distributed Denial-of-Service) napadi.
• Sigurnosni rizik je mogućnost štetnog događaja koji ugrožava informacijske resurse.
• Procjena rizika je važna za identificiranje, analizu i prioritizaciju rizika kako bi se smanjili ili uklonili.
• Koraci procjene rizika uključuju: identifikaciju rizika, analizu rizika, izračun rizika i planiranje mjera za smanjivanje rizika.
• Rezultat procjene rizika je dokument koji identifikuje ključne rizike i preporuke za upravljanje.
• Kontrole su procedure, prakse ili mehanizmi koji umanjuju rizik.
• Dva načina djelovanja kontrola su smanjenje vjerovatnosti korištenja ranjivosti, i smanjenje štete ukoliko se ranjivost iskoristi.
• Paretovo načelo (80/20 pravilo) pokazuje da 80% učinka dolazi od 20% uzroka. Ovo se koristi za prioritetno odabir najvažnijih rizika u sigurnosnim kontrolama.
• Prednosti kvalitativne procjene rizika: jednostavnost i brzina, pogodno za subjektivne procjene i manje složene sustave.
• Nedostaci kvalitativne procjene rizika: manje precizno, može biti subjektivno, ovisi o iskustvu procjenitelja.
• SANS CIS Top 20 je popis 20 kritičnih, sigurnosnih kontrola koje pomažu organizacijama.

ISHODI 2

• Identifikacija je proces kojim korisnik predočava svoj identitet sistemu.
• Identifikacija mora biti jedinstvena.
• 2FA (Dvo-faktorna autentifikacija) zahteva dva faktora za potvrdu identiteta (npr. lozinka i kod na telefonu).
• Mobile push notifikacija je sigurnija od OTP koda putem SMS-a.
• RBA (Risk-based Authentication) prilagođava razinu autentifikacije na osnovu rizika.
• RBA analizira lokaciju, uređaj, ponašanje i vrijeme prijave kako bi identifikovala neuobičajene aktivnosti.

ISHODI 3

• Kriptologija je znanost koja objedinjuje kriptografiju i kriptoanalizu.
• Kriptoanaliza je umijeće razbijanja šifri.
• Tehnike šifriranja uključuju: simetrično i asimetrično šifriranje, i šifriranje korištenjem algoritama sažimanja.
• Cesarov šifar je jedna od najstarijih tehnika šifriranja koja pripada tehnici supstitucijskog šifriranja.
• Algoritmi sažimanja (hash) pretvaraju podatke u fiksnu dužinu.
• Otpornost na kolizije u algoritmima znači da je teško dobiti jednaki hash za dva različita ulaza.

ISHODI 4

• Ranjivost je slabost u sistemu koja može biti iskorištena.
• 0-day ranjivosti su nepoznate proizvođaču i nisu popravljene.
• Standardne ranjivosti su poznate i popravljene.
• Shodan tražilica pronalazi internetski povezane uređaje i prikazuje njihove konfiguracije.
• Korelacija događaja je proces povezivanja više sigurnosnih događaja za otkrivanje štetnih obrazaca.
• SIEM (Security Information and Event Management) sistem prikuplja, analizira i korelira sigurnosne događaje iz različitih izvora.
• XDR (Extended Detection and Response) je napredni SIEM koji integriše više sigurnosnih alata.
• Red team pen testiranje je simulacija napada kako bi se identifikovale slabosti u sistemu.
• DAST i SAST alati se koriste za testiranje web aplikacija. DAST analizira web apliakcije u pokretu, dok SAST alati analiziraju izvorni kod.