E-banking i sigurnost tehnickih rjesenja za Internet transakcije

E-banking i sigurnost tehničkih rješenja za Internet transakcije
1
ELEKTROTEHNIČKI FAKULTET
SARAJEVO
ZAVRŠNI RAD
Mentor: dr. Narcis Behlilović
Sarajevo, 25.02.2012. Kandidat: Aldina Bajraktarević

2
SADRŽAJ
1. UVOD................................................................................................................................3
1.1. KRATKI HISTORIJAT IDEJE e-BANKINGa.............................................................3
2. PROBLEMI KORISNIKA USLUGA e-BANKINGa..........................................................7
2.1.AKTUENI TRENDOVI ...............................................................................................7
3.PREGLED STANJA e-BANKARSTVA U BIH.................................................................9
4. PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST BANKARSTVA I
ELEKTRONSKOG BANKARSTVA...................................................................................12
4.1. MEHANIZMI POSTIZANJA SIGURNOSTI ZA PRODAVCA I KUPCA U
TRANSAKCIJI.................................................................................................................17
5. SSL PROTOKOL.............................................................................................................31
5.1. ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB TOKENI.............................33
6. MEHANIZMI ZA NARUŠAVANJE SIGURNOSTI........................................................37
6.1 PRIMJERI USPJEŠNIH NAPADA.............................................................................46
7. RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE.................................49
7.1 PAYPAL.....................................................................................................................50
7.2 MONEYBOOKERS ...................................................................................................51
7.3 PIKPAY......................................................................................................................52
8. MJERE PREVENCIJE ZA ZAŠTITU SIGURNOSTI UČESNIKA U TRANSAKCIJI ....52
9. ZAKLJUČAK ..................................................................................................................55
POPIS KORIŠTENIH SKRAĆENICA.................................................................................57
LITERATURA.....................................................................................................................58

3
UVOD
Razvojem tehnologije, pojavljuje se sve veća poslovna konkurencija, samim time banke vide
elektronsko poslovanje kao priliku za osvajanje većeg tržišnog udjela. Najvažniji faktor
uspjeha u takvom okruženju je izgradnja sigurnosne infrastrukture, koja će klijentima ulijevati
povjerenje u on-line transakcije kao u transakcije obavljene na licu mjesta. Banke moraju s
jedne strane biti potpuno sigurne da su korisnici koji pristupaju bankovnim računima upravo
oni za koje se predstavljaju, dok s druge strane korisnici žele sa sigurnošću znati da su njihovi
osobni podaci, podaci o računima i sredstvima na tim računima potpuno zaštićeni, da se ne
mogu presresti i dospjeti do neovlaštenih osoba. Također korisnici moraju biti sigurni da je
web stranica banke putem koje komuniciraju autentična, a ne lažna stranica kreirana u svrhu
krađe njihovih osobnih i financijskih podataka. Pod elektroničkim poslovanjem podrazumjeva
se svaka financijska transakcija ostvarena razmjenom informacija elektronskim putem.
U današnje vrijeme pod e-poslovanjem smatraju se e-transakcije putem Interneta kao
jedinstvenog medija. Dakle, potrebno je da banka ponudi korisniku/klijentu novu uslugu koja
će štediti vrijeme, donositi novac, a ujedno imati isti ili čak bolji kvalitet. Svi ovi zahtjevi
donose mnogo otvorenih pitanja za diskusiju, i ne kulminiraju u jednostavno rješenje.
1. KRATKI HISTORIJAT IDEJE e-BANKINGa
Od prvog pronalaska novca (između 4. i 8. stoljeća p.n.e) pa do danas mijenjali su se različiti
načini plaćanja. Vremenom se težilo za onaj način koji donosi najviše dobiti. Pri tome se
podrazumjeva i financijska i vremenska dobit. A uz sve to neizostavna je i kvaliteta, kao
osnovni faktor vrednovanja usluge sa aspekta korisnika. E-banking ili elektronsko bankarstvo
je opći pojam za procese kojima korisnik može obavljati bankarske transakcije elektronskim
putem bez posjećivanja institucije nadležne za transakciju (banke, bankomati, ...). Elektronsko
bankarstvo donosi brojne pogodnosti bržim i jednostavnijim pristupom računima kao i
financijskim sredstvima. U klasničnim uslovima banka je mogla komunicirati samo dok je
trajalo radno vrijeme, pa je takav način stvarao ograničenje u komunikaciji, što
podrazumijeva nepristupačnost klijentima i njihovim zahtjevima, a samim time i manju
zaradu.
Postoje tri modela bankarstva: daljinsko, direktno i virtuelno. Daljinsko bankarstvo nudi
klijentima obavljanje transakcije na daljinu, slično kao što se vrši u tradicionalnom
bankarstvu. Transakcije je moguće vršiti preko terminala i bankomata, gdje banka ne jamči
sigurnost u potpunosti i preko interneta – banka osigurava hardware i software za obavljanje

4
transakcije i jamči potpunu sigurnost. Najčešće banka sam softver i hardver „posuđuje“ od
neke eksterne firme. Direktno bankarstvo omogućava klijentima samostalno izvršavanje
određenih poslova koje su za njih obavljale banke. U ovom slučaju banke djeluju kao
pozadinski servis. Virtuelno bankarstvo podrazumjeva primjenu interneta i web tehnologija za
obavljanje transakcija. Korisnicima nisu potrebni dodatni programi kao kod daljinskog i
direktnog bankarstva, sve transakcije se obavljaju preko web sjedišta banke.
Internet bankarstvo podrazumjeva dva načina rada:
- Online bankarski servis - zahtjeva instalaciju softvera na PC-ju korisnika, bez tog
softvera korisnik ne može raditi. Samim tim je ograničen na rad samo sa PC-a na
kojem je izvršena ispravna instalacija softvera.
- Internet bazirano bankarstvo - podrazumjeva pristup bankarskom servisu sa bilo
kojeg računara koji se može spojiti na Internet.
Internet bankarstvo svakako je najjednostavniji način financijskog poslovanja. Bez odlaska u
poslovnicu korisnik/klijent je u mogućnosti plaćati razne račune, prenositi sredstva s jednog
računa na drugi, provjeriti stanje po svim računima otvorenim u banci, pregledati promete,
oročiti sredstva i drugo. Za njegovo korištenje potreban je samo računar sa izlazom na
Internet.
Internet transakcije predstavljaju tehnološku revoluciju u bankarstvu, koja će permanentno
dovesti do uvođenja novih postupaka i tehnologija zasnovanih na kompjuterima i
telekomunikacionim sistemima. Upotreba nove tehnologije u bankarstvu dovodi do
novih vrsta usluga, novih sistema plaćanja, novih oblika distribucije i isporuke bankarskih
usluga, sve s' ciljem manje potrošnje vremena, veće zarade i bolje usluge.
Prvi elektronski transfer novca izvršen je još davne 1860. godine.
Transfer je izvršila firma Western Union iz SAD-a uz pomoć telegrafa. Kasnije je telegrafski
transfer novca postao uobičajan. Jedan od najvećih platnih i obračunskih sistema današnjice,
američki Fedvajer (Fedwire), započeo je sa radom 1918. godine, kao servis za telegrafski
transfer novca pri Sistemu federalnih rezervi SAD-a. Glavne promjene koje su do sada
ostvarene na planu elektronskog bankarstva sastoje se pretežno u rutinskim transakcijama u
bankama. Dosadašnji sistemi plaćanja zasnivali su se na čekovnom ili žiro platnom prometu.
Kod čekovnog platnog prometa inicijativa plaćanja potiče od kupca koji plaća čekom na teret
transakcionog računa kod svoje banke, a u korist prodavca koji dobija novac na računu kod
njegove banke.
Kod žiro platnog prometa inicijativa dolazi od kupca koji izdaje platni nalog svojoj banci da
na teret njegovog transakcionog računa isplati naznačenu sumu korisniku plaćanja na njegov
račun kod odgovarajuće banke. I jedan i drugi sistem plaćanja je karakterisala ogromna
količina papira što je sve više dovodilo do troškovnog pritiska na banke usljed porasta obima
finansijskih transakcija. Osim toga, papirni platni promet je zahtijevao dosta vremena za
finalizaciju plaćanja, tako da je sve to uticalo na potiskivanje papirnog načina plaćanja u
korist elektronskog sistema plaćanja.

5
Istinitost navedenih konstatacija potvrđuje slika 1. na kojoj je prikazano odvijanje jedne
platno-prometne transakcije:
KUPAC PRODAVAC
BANKA BANKA
Naručuje robu i
usluge
Šalje fakturu
Obavještava
prodavca da je
uplata izvršena
Daje nalog banci
da prebaci novac
prodavcu
Informiše
kupca da je
njegov račun
zadužen
Prebacuje sredstva na račun
prodavca
Informiše o izvršenoj uplati
Slika 1. Odvijanje platno-prometne transakcije
Prve ideje za rješavanje problema porasta obima papirnih tokova platnog prometa kroz proces
kompjuterizacije i eliminisanje papira, ponudila su dva američka profesora, Jakobs Henri
(Jacobs Henry) i Robert H. Gregory (Robert H. Gregory). Kada je kasnije, u praksi, počela da
se sprovodi kompjuterizacija sistema plaćanja, mijenjale su se metode i tehnička rješenja, ali
je suština koncepta ostala ista. Ona se sastoji u mogućnosti da se tehničko-tehnološke i
ekonomske karakteristike informacione tehnologije iskoriste za eliminisanje papira iz sistema
plaćanja, povećanje brzine transakcionih i informacionih tokova i snižavanje transakcionih
troškova.
Bankarski informacioni sistemi za procesiranje podataka imaju za cilj da izvrše tehničke
usluge, obezbijede sigurnost transakcija kao i ekonomičnost elektronskih usluga. Kvalitet
tehničkih usluga u elektronskom bankarstvu treba da prije svega znači mnogo veću brzinu kod
obavljanja transakcija u odnosu na ranije primjenjene metode.
Sigurnost transakcija uključuje i tajnost, što je nužna pretpostavka za prihvatljivost
elektronskih metoda za nebankarske učesnike. Ekonomičnost ovih transakcija znači da nove
elektronske usluge ne mogu imati veću cijenu nego usluge koje su ranije vršene na
konvencionalan način. Uzimajući u obzir ciljeve bankarskog informacionog sistema uviđa se
da nije dovoljno samo postojanje tehnički zadovoljavajućeg rješenja već i da primjena tih
sistema bude dovoljno ekonomična i time prihvatljiva za nebankarske korisnike. Da bi
elektronski informacioni sistemi bili dovoljno ekonomični moraju postojati što šire mreže

6
učesnika odnosno potreban je dovoljno veliki broj korisnika ovih usluga u sistemu čime se
obezbjeđuje odgovarajuća relativno niska cijena. Učesnicima u ovim mrežama smatraju se
banke, ostale financijske institucije, trgovinske kompanije, industrijske kompanije i slično.
Potreba za uvođenjem elektronskog prenosa sredstava u papirni platni promet javila se onda
kada je obim platnog prometa narastao do te mjere da je postalo nemoguće da se obavlja na
postojeći način, zbog fizičkih ili finansijskih ograničenja. Sredinom šezdesetih godina
dvadesetog vijeka u Velikoj Britaniji i Sjedinjenim Američkim Državama broj transakcija u
bankarstvu narastao je do neslućenih razmjera. Primjena tradicionalnih metoda obrade
transakcija, jednostavno, više nije bila moguća, a problem je narastao do te mjere da je
prijetio ugrožavanjem stabilnosti čitavog finansijskog sistema. Vlade Velike Britanije i
Sjedinjenih Američkih Država su, krajem šezdesetih godina, preduzele mjere za
automatizaciju sitnijih transakcija u bankarstvu, pogotovo onih koje su repetitivnog karaktera.
Na bazi ideje, do koje su vodeće britanske banke došle nekoliko godina ranije, u Sjedinjenim
Američkim Državama je 1968. godine formirana radna grupa za unapređenje razmjene „bez
papira“ (SCOPE — Special Committee on Paperless Entries), koja je funkcionisala pri Banci
federalnih rezervi u San Francisku. Cilj je bio da se stvori jeftin i pouzdan elektronski platni
sistem, kao alternativa čekovima. Plan je bio jednostavan, a sastojao se iz pretvaranja
periodičnih sitnih plaćanja čekovima (kao što su zarade i premije osiguranja) u posebno
oblikovanu platnu evidenciju koja će moći da se „čita“ uz pomoć računara. Rezultat ovih
napora bila je prva automatska klirinška banka (ACH - Automated Clearing House), koja je
počela sa radom 1972. godine. Kao reakcija na povećanu tražnju za međunarodnim
obračunom transakcija valutama i vrijednosnim papirima, razvijeni su elektronski platni
sistemi za plaćanja na veliko. U oblasti međubankarskog izvještavanja trenutno dominira
SWIFT, koji je osnovan 1973. godine u Briselu. Velika potražnja za bankarskim karticama je
uticala na pojavljivanje bankarskog sistema od nacionalnog značaja - BankAmericard, koji je
pokrenula Bank of America iz Kalifornije 1959. godine, da bi isti bio licenciran u drugim
državama 1966. godine. Ovaj bankarski sistem od 1977. godine nosi naziv VISA.
Kreditne kartice su se u današnjem obliku pojavile u SAD-u krajem šezdesetih godina da bi se
tek kasnije proširile po svijetu. Debitne kartice su novijeg datuma, a najbrže se razvijaju u
Velikoj Britaniji. Postoje raznovrsne definicije platnih kartica. Po jednoj su platne kartice
mali komadi plastike koje sadrže sredstvo za identifikaciju, što omogućava osobi na koju
kartica glasi da kupuje robu ili usluge na teret svog računa. Druge platnu karticu definišu kao
specifičan instrument bezgotovinskog načina plaćanja emitovan od strane banke, trgovinske
ili specijalizovane organizacije koja omogućava njenom vlasniku da jednostavnom
prezentacijom kartice izmiri svoje obaveze plaćanja prema prodavcu robe ili vršiocu usluge.
Kreditne kartice se najviše koriste u Sjedinjenim Američkim Državama – 3,5 kartice po
stanovniku.

7
2. PROBLEMI KORISNIKA USLUGA e-BANKINGA
Korisnik ne bi trebao koristiti istu šifru za eBanking uslugu i neki web forum. Administrator
kao i osoblje web foruma može znati korisničko ime, šifru, e-mail adresu i ostale informacije.
Također, sigurnost stranica kao što su web forumi je mnogo manja nego primjerice, sigurnost
eBaya, PayPala ili servera banke. Stoga su upravo raznorazni forumi i slične stranice česta
meta hakera u potrazi za parovima korisničko ime-lozinka. Hakeri će koristeći se ukradenim
podacima kasnije pokušati prijaviti na mjesta znatno veće sigurnosti.
Također, pogrešno je i razmišljanje da se koristi par komplikovanih šifri za usluge poput
eBankinga i sličnog, i par lako pamtljivih, jednostavnih, za usluge tipa e-mail računa. Ukoliko
je predmetna e-mail adresa povezana s eBankingom, maliciozni korisnik može vrlo lako
izvršiti manipulaciju sa dostupnim podacima.
Osnovni nedostaci e-Bankinga su:
 odsustvu sigurnosti pri obavljanju poslovanja;
 nepostojanju zakonske regulative;
 nedostatak privatnosti, otuđenosti i odbojnosti prema inovacijama i opasnosti od
zloupotrebe internet bankarstva u kriminalne svrhe.
Sigurnost, odnosno nedostatak sigurnosti i sistemi zaštite na Intenetu su krucijalni faktori
rasta i razvoja Interneta. Ti faktori su veoma važni za funkcioniranje i razvoj internet
bankarstva. Sa rastućim publicitetom otvorenih mreža kao što je Internet i elektroničkom
razmijenom informacija i novca između geografski udaljenih lokacija, osiguravanje
transakcija postaje od ključne važnosti. Banke koje koriste elektroničku razmjenu podataka u
zatvorenim mrežama (Intranet) osiguravaju se utvrđivanjem identiteta i autorizacijom ljudi
koji pristupaju mreži. U otvorenim mrežama, postojeći mehanizmi tehničke i pravne zaštite
nisu dovoljni da spriječe neautorizirani pristup i hakerske upade. [2]
2.1 AKTUELNI TRENDOVI
Prednost Interneta je u tome što je jeftin i omogućava korisniku brz pristup, tako da se sve
veći broj korisnika upravo zbog toga odlučuje za internet bankarstvo. Internet je doveo do
velike promjene u načinu na koji se obavljaju bankarske transakcije. Do izražaja je došao
virtuelni aspekt poslovanja, koji se zasniva na smanjenju troškova transakcija i obezbjeđuje
korištenje različitih bankarskih usluga. Internet analitičari smatraju da internet ima i da će
imati odlučujući uticaj na razvoj za firme koje se bave pružanjem usluga plaćanja, kao što su
banke.
Internet uvodi drastične promjene u načinu poslavanja banaka, a naročito u sektoru
stanovništva, jer se zasniva na virualnom kontaktu. Sve više korisnika, kako fizičkih lica, tako
i kompanija u cijelom svijetu koristi se interno i eksterno internetom. Interno, korisnici
dobijaju informacije, instrukcije, pristupaju različitim bazama i alatima za rješavanje

8
problema. Putem Interneta ovi korisnici su u prilici da pristupaju bankama i obavljaju
operacije poput upita po tekućem računu, plaćanju računa, transfera novca sa računa na račun,
kupovanje i prodaja akcija i informisanje o novim prozvodima koji se nude. Pored fizičkih
lica sve veći broj kompanija pristupa banci na ovaj način, ali je njihov pristup malo
kompleksniji, jer je neophodno definisati i ovlastiti osobe koje će na ovaj način obavljati
poslove sa bankom. [6]
Poslije dvije godine od uvođenja internet bankarstva u Švedskoj, banka Handelsbank je imala
43% od ukupnog broja korporativnih klijenata koji su koristili usluge ove vrste. Najveći broj
korisnika je upravo u zemljama gdje je tehnologija najrazvijenija, dok u zemljama koje su u
razvoju ili nerazvijenim zemljama sa siromašnom ekonomijom, lošom infrastrukturom i
niskom edukacijom iz ove oblasti, ili se tek razvija ili se još uvijek ne razvija. Takav je slučaj,
nažalost, sa Bosnom i Hercegovinom, kao zemljom koja je još uvijek u posljeratnoj tranziciji.
Internet za banke predstavlja još samo jedan način za distribuciju i plasman usluga,
oglašavanje i unapređivanje marketinga. Savremene banke da bi međusobno bile konkuretnije
i da bi uopšte opstale na tržištu, moraju obezbjediti svojim klijentima neku vrstu elektronskog
bankarstva. Pored toga moraju učiniti sve da ih druge banke ne prestignu i ne iznenade na tom
polju. Osnovni zadatak elektronskog bankarstva je održavanje dobrog nivoa on-line usluga.
Istraživanja i finansijski izvještaji pokazuju da je elektronsko bankarstvo budućnost
financijskog sektora. Prema studiji IBM-a elektronsko bankarstvo predstavljalo je u 2001.
godini oko 5% ukupnih transakcija u SAD i Evropi. Pored toga, studija je pokazala da će
internet biti osnovni distribucioni kanal financijskih usluga u narednom periodu.
Da bi klijenti mogli da uopće koriste usluge elektronskog bankarstva neophodno je da imaju
računar i pristup internetu. Korisnikov računar postaje virtualni bankar koji predstavlja
posrednika prilikom obavljanja bankarskih poslova. Sve usluge koje se pružaju putem
elektronskog bankarstva neprestano se mijenjaju i unapređuju zbog velike konkurencije na
on-line tržištu.
Usluge koje klijenti mogu dobiti on-line su:
 pribavljanje informacija o tekućem računu, stanje na računu, dozvoljeni limit;
 printanje izvještaja o prometu na računu;
 transfer sa računa na račun;
 plaćanje računa;
 kupovina i prodaja akcija;
 naručivanje isplata;
 praćenje transfera novca;
 pregled aktuelnih kamata;
 kontakt sa bankom,...
Na razvoj elektronskog bankarstva utiču mnogobroji faktori, neki od njih su navedeni u
nastavku:
 Razvoj i primjena savremene informatičko-telekomunikacijske tehnologije bazirane na
web tehnologijama koje su povoljne za realizaciju financijskih inovacija;

9
 Izvođenje financijskih transakcija digitalnim računarskim putem, posredstvom
specijalizovanih računarskih mreža koje ne moraju biti dio interneta i ne moraju biti
bazirane na web tehnologiji;
 Savremene modele poslovanja koje prati digitalna ekonomija moraju da prate i
raznovrsne financijske institucije;
 Deregualcija bankarskih i financijskih tržišta i visoka konkurentnost financijskih
institucija na globalnom tržištu novca. [4]
3. PREGLED STANJA e-BANKARSTVA U BIH
Opći svjetski trend je sve masovnije i sve brže stvaranje i primjena informaciono-
komunikacijskih tehnologija. Ova transformacija se ogleda i u pravnom smislu te eLegislativa
označava normativno uređenje specifičnosti koje primjena informaciono-komunikacionih
tehnologija prouzrokuje u pojedinim pravnim institutima i granama prava. Samim time
eLegislativa služi kao preduvjet za ubrzanje razvoja i prevazilaženja zaostajanja, kojem je
Bosna i Hercegovina, sticajem različitih okolnosti, bila izložena. Za razliku od pristupa drugih
međunarodnih organizacija, karakteristike ujednačavanja nacionalnih prava na kojima
insistira Evropska zajednica su: obaveznost, uspostavljanje minimalnog zajedničkog sadržaja,
horizontalno djelovanje, sloboda u izboru metoda usaglašavanja, mogućnost direktnog
djelovanja kao i opcija da se na ove smjernice pozovu i privatno-pravni subjekti. Ukoliko želi
postati članica Evropske zajednice, Bosna i Hercegovina mora uskladiti svoj pravni sistem sa
komunitarnim pravom Evropske zajednice. Usklađivanje se mora izvršiti i s pravnom
regulativom koja postoji na nivou pojedinih međunarodnih organizacija pri Ujedinjenim
nacijama kao i s pravnom regulativom pojedinih međunarodnih strukturnih organizacija. Iz tih
razloga komunitarno pravo Evropske zajednice treba biti osnovni obrazac za eLegislativu u
Bosni i Hercegovini.
Promjene koje će biti nužne u pravnom sistemu Bosne i Hercegovine mogu se sumirati kao
sljedeće premise: definiranje zakonodavstva na državnom nivou, definiranje entitetskih
zakonodavstava, usklađivanje entitetskih zakonodavstava, redukcija stepena odlučivanja,
usvajanje pravnih propisa, u skladu sa ovim dokumentom, usklađivanje važećih pravnih
propisa s novom eLegislativom, formiranje organizacionog i upravnog oblika za edukaciju,
monitoring i sve ostale postprojektne aktivnosti.
Projektne aktivnosti vezane za implementaciju eLegislative obuhvataju oblasti:
zakonodavstvo za ePoslovanje, zakonodavstvo za eUpravu, zakonodavstvo za eObrazovanje,
zakonodavstvo za IKT infrastrukturu i zakonodavstvo za IKT industriju. Informatička
revolucija, za razliku od drugih promjena, ne trpi ni kratkotrajan pravni vakuum. Opasnost od
zloupotreba je u ovom slučaju daleko veća od ranije poznatih zato što nedozvoljeni akti mogu
odmah proizvesti štetne posljedice na globalnom nivou. S druge strane, pravna regulativa
primjene IKT ima izrazito povoljne efekte. U tome je njena propulzivna snaga i
sinenergičnost. Razvojna uloga eLegislative je višestruka. Ona, najprije, treba omogućiti
nesmetanu percepciju i nadgradnju svjetskih dostignuća, ne samo u oblasti IKT nego i

10
kreiranju informatičkog društva. Samim time eLegislativa služi kao preduvjet razvoja i
prevazilaženja zaostajanja kojem je BiH, sticanjem historijskih okolnosti, bila izložena. Drugi
i konkretniji rezultat razvoja eLegislative treba biti percepcija rješenja poznatih nasvjetskom
nivou i u EU posebno. Treće ali ne najmanje važan rezultat razvoja eLegislative biće jačanje
jedinstvenog ekonomskog prostora u BiH. Globalni domet IKT i univerzalni karakter
ePoslovanja mogu postojanje entitetskih i drugih parcijalnih tržišta, npr. Distrikta Brčko,
učiniti skupim. Napokon, u modernom svijetu samo uređena primjena IKT i solidno
konstituirano informatičko društvo mogu pojedincu osigurati bolji i humaniji život.
eLegislativa je, pri tome, nezaobilazan instrument.
Bosna i Hercegovina je tek krajem 2000. godine počela ozbiljnije ulaziti u sferu
informacionih i komunikacionih tehnologija, u čemu inače osjetno zaostaje, ne samo za
razvijenim zemljama Evrope i svijeta, već i za većinom tranzicijskih zemalja. U ovom
trenutku ne postoje strateške odrednice niti politika jačanja svijesti društva o nužnosti najšire
primjene IKT-a i o njihovim mogućnostima. Postojeća zakonska regulativa ne prati novosti na
tržištu rada, niti prati nove izazove koje tržište donosi.
Stopa penetracije interneta je najvjerodostojnji indikator razvijenosti IKT sektora u jednoj
zemlji. U 2003. godini na svakih hiljadu stanovnika u BiH njih samo 13 ima priključak na
internet, što je napredak u odnosu na 2002. godinu, kada ih je bilo samo oko 8. Tako npr. u
Bugarskoj je stopa penetracije više od tri puta veća nego u BiH (oko 42 priključka na 1000
stanovnika), a u Hrvatskoj čak pet puta (oko 67). Sa druge strane, broj telefonskih priključaka
na 100 stanovnika također je pouzdan indikator o razvoju ovog sektora u jednoj zemlji. Na
svakih 100 stanovnika u BiH ima 12 fiksnih telefonskih priključaka i oko 9 mobilnih
telefonskih linija. Tako npr. broj fiksnih telefonskih priključaka na 100 stanovnika u
Bugarskoj je tri puta veći nego u BiH (37), a mobilnih linija dva puta (19). U Hrvatskoj je
broj fiksnih telefonskih priključaka na 100 stanovnika također tri puta veći nego u BiH, a broj
mobilnih linija čak devet puta. Prema istraživanju RAK-a ukupan broj korisnika interneta
krajem prošle godine u BiH iznosio je 2.113.100, odnosno 55 posto stanovnika koristilo je
internet, što je u odnosu na godinu ranije povećanje od 5,7 posto.
Pravni okvir u BiH se formirao na tri osnovna načina: preuzimanjem propisa ex-SFRJ,
legislativnom djelatnošću entiteta, kantonalnim zakonodavstvom i donošenjem propisa države
BiH. Preuzeti propisi nisu, već zbog vremena nastanka, bili dizajnirani prema potrebama IKT.
Međutim, noviji propisi entiteta, kantona i BiH u pojedinim oblastima zahtijevaju upotrebu
IKT. U nastavku su navedeni najbitniji:
• Zakon o slobodi pristupa informacija u BiH (Sl. gl. BiH 28/00) ;
• Zakon o centralnoj evidenciji i razmjeni podataka (Sl. gl. BiH 32/01), koji zahtijeva
osam povezanih evidencija sa podacima o građanima ;
• Zakon o unutrašnjem platnom prometu (Sl. n. FBiH 15/00) ;
• Zakon o platnim transakcijama (Sl. n. FBiH 32/00) ;
• Zakon o vrijednosnim papirima (Sl. n. FBiH 39/98), koji zahtijeva elektronski zapis
vrijednosnih papira, obuhvaćenih ovim aktom ;
• Zakon o Registru vrijednosnih papira FBiH (Sl. n. FBiH 39/98), zajedno sa aktima
koje Registar donosi ;
• Zakon o osnivanju Instituta za standarde, mjeriteljstvo i intelektualno vlasništvo BiH
(Sl. gl. BiH 51/00) ;
• Zakon o industrijskom vlasništvu u Bosni i Hercegovini (Sl. gl. BiH 3/02) ;

11
• Zakon o autorskom pravu i srodnim pravima u Bosni i Hercegovini (Sl. gl. BiH 7/02);
• Uredba Vlade FBiH o uspostavljanju, funkcioniranju i održavanju jedinstvenog
informacionog sistema obnove i razvoja u FBiH (Sl. n. FBiH 45/00).
Realnu sliku IKT sektora u BiH je teško steći, jer pored činjenice da je to potpuno novi, a uz
to i multidisciplinaran sektor, ozbiljnije studije o problemima i potencijalu ovog sektora do
sada nisu rađene.
Nevjerovatnom zvuči činjenica da 95 posto domaćinstava u BiH posjeduje TV aparat. U
dosadašnjim istraživanjima ministarstva za komunikacije BiH, pokazano je da oko 4,7 posto
domaćinstava u BiH ima računar, a u urbanim dijelovima BiH 9,6 posto. Ove procjene
pokazuju da BiH postoji potencijal, ali on je edukacijski neiskorišten i ugušen
monopolističkom politikom postojećih telekom operatora i neadekvatnom politikom i
strategijom u IKT sektoru od strane BiH administracije.
Sektor telekomunikacijske infrastrukture sveden je na telekom operatore i njihov tehničko-
tehnološki razvoj. Liberalizacija ovog tržišta nailazi na teškoće, mada je u mnogim
segmentima, na primjer u mobilnoj telefoniji, ona prisutna. S druge strane, zbog značajnih
propusta i neuređenosti sektora telekomunikacija, telekom operatori predstavljaju kočnicu u
nekim segmentima razvoja IKT sektora.
Mada je u toku izrade Studije izvodljivosti EU konstatovan znatan napredak koji je BiH
postigla u reformama u sektoru telekomunikacija, EC vidi potrebu za intenzivnijom
saradnjom, prije svega u sferi daljeg usaglašavanja sa «Acquis communautaire». Oblasti od
posebne važnosti su dalje unapređenje zakonskih, regulatornih i institucionalnih rješenja u
sferi IKT i poštanskih usluga, postupna liberalizacija, razvijanje okruženja povoljnog za
ulaganja u IKT i primjena evropskih standarda. Saradnja u sferi jačanja infrastrukture za IKT
pomogla bi u razvoju informatičkog društva u BiH. Činjenica da je e-trgovina pred sam kraj
prethodnog stoljeća u globalnoj trgovini postala nezamjenjiva, te da je svoje tržište posebno
našla kod malih i srednjih preduzeća, dovela je do prepoznavanja niza barijera u razvoju
upravo ovog sektora. Da bi se otklonile brojne prepreke, te ubrzao razvoj elektronskog
poslovanja, značajan broj međunarodnih organizacija počeo je regulatorno da djeluje u ovome
domenu. Najvažniji segmenti za razvoj BiH privrede i društva u cjelini zahtijevaju normiranje
i regulaciju, u skladu sa modernim evropskim standardima. Teme koje zahtijevaju pažnju
zakonodavaca su: struktura i oblik komercijalnih dokumenta, e-potpisi, e-računi, e-ugovori, e-
bankarstvo, e-plaćanja, i zaštita potrošača u e-poslovanju.
U tradicionalnom načinu poslovanja između firmi, najčešće se radilo o poslovnim odnosima,
uspostavljenim na lokalnom nivou, te tada nije ni bilo dileme koji propis će biti primijenjen
jer se, u principu, uvijek primjenjivao lokalni propis. Međutim, u prodaji putem Interneta, s
obzirom da ne postoje granice u trenutku kontaktiranja i naručivanja određene robe ili usluge,
uvijek ostaje otvoreno pitanje koji propis primjeniti na konkretan slučaj. Izbor ovog prava
posebno može otežati i činjenica da jedna ugovorna strana može imati sjedište u jednoj zemlji,
prezentaciju na Internet stranici izvršiti u drugoj zemlji, isporuku robe vršiti iz treće zemlje, a
plaćanje obavljati u četvrtoj zemlji. Ovakva situacija nije predviđena propisima. Pri tome
potrebno je posebno voditi računa o vremenu i uslovima donošenja većine tih propisa, jer su
na snazi brojni propisi doneseni u periodu prije rata, kada je društvena imovina bila osnov
cjelokupnog poslovanja, a samim tim i pod posebnim režimom zaštite. Za razliku od
susjednih zemalja, BiH još uvijek nema zakona koji određuje obim prava proisteklih iz, na

12
primjer, elektronskog potpisa. RS je nedavno donijela propis kojim se ova problematika
uređuje, ali se taj propis uglavnom oslanja na odluke Centralne banke BiH. Centralna banka
BiH je donijela dvije odluke o certifikaciji i autorizaciji potpisa:
• Odluka Centralne banke BiH o minimalnim uslovima koje mora ispunjavati
kvalificirano certifikaciono tijelo koje izdaje kvalificirane certifikate za elektronski
potpis
• Odluka Centralne banke BiH o reguliranju pravila za utvrđivanje elemenata za
vjerodostojnost elektronskog potpisa (Sl. gl. BiH 10/02)
Upitan je pravni osnov za nadležnost Centralne banke BiH da donosi ovakve odluke, s
obzirom da ova rješenja trebaju biti zasnovana na zakonu. Prilikom istraživanja za ovaj rad
poslan je konkretan upit Centralnoj banci da se izjasni po pitanju donošenja prethodno
navedenih odluka, nadležni su naveli da su donesene odluke van snage, jer je donesen zakon o
elektronskom bankarstvu kojeg se i CBBiH pridržava.
Prethodno razmatrana pitanja moraju postati dio pozitivnog prava BiH u što skorijem roku, jer
su IKT svakodnevno sve prisutnije u životu društva i privrede. Ignorisanje ove potrebe može
imati nesagledive posljedice. Trenutno je u pripremi formiranje Agencije za zaštitu podataka
na državnom nivou, pa pomenute smjernice moraju postati dio Zakona o formiranju Agencije.
Glavne mjere u ovoj sferi trebaju biti:
• izmijeniti zakone o komercijalnim dokumentima, elektronskom potpisu i zaštiti
potrošača u elektronskom poslovanju;
• usvojiti zakone o elektronskim računima, elektronskim ugovorima, elektronskom
bankarstvu i elektronskom plaćanju;
• formirati Agenciju BiH za IKT.
4. PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST
BANKARSTVA I ELEKTRONSKOG BANKARSTVA
Bosna i Hercegovina je kao članica Inicijative za elektronsku jugoistočnu Evropu potpisala
„eSEE Agendu za razvoj informacionog društva“ 2002. godine u Beogradu. U toj Agendi je
dogovoreno da države potpisnice izrade i usvoje politiku i strategiju razvoja informacionog
društva, a kroz prioritetnu oblast „Jedinstveni SEE informacioni prostor“ definira način
uspostavljanja javne infrastrukture za sigurno poslovanje zasnovano na kvalificiranom
elektronskom potpisu. Dalje, e-usluga iz eSEE Agende plus, u narednom periodu IDDEEA
planira pružati neke od njih. Međutim, sporost u implementaciji Zakona o elektronskom
potpisu BiH onemogućava da ove usluge budu transakcione. Ipak, poredeći postignuto sa
zahtjevima iz eSEE Agenda plus i 23 bazična servisa e-Vlade koja bi trebala biti
uspostavljena do kraja 2011. godine, BiH je nažalost daleko i iza zemalja u regiji, a posebno u
Evropi i svijetu. Ključni problemi koji utječu na to su: nepostojanje institucionalnog uređenja
neophodnog za koordinaciju aktivnosti u oblasti e-Vlade koje se izvršavaju na različitim
nivoima vlasti i u različitim ministarstvima, iracionalno korištenje neadekvatno raspoređenih

13
informatičkih ljudskih resursa, te još uvijek neadekvatne IKT politike, pravnih okvira,
metodologije i standarda za realiziranje projekata e-Vlade. Stoga, entuzijazam za kretanje
naprijed je sada dodatno usporen zbog rastuće spoznaje da uspješna e-Vlada zahtijeva
kombinaciju organizacijske promjene, reformu politike, i tehnološku investiciju.
Vijeće ministara BiH je 2004. godine usvojilo Politiku, Strategiju i Akcioni plan razvoja
informacionog društva u BiH za period 2004-2010. godine, a 2006. godine je usvojen Zakon
o elektronskom potpisu BiH i Zakon o elektronskom pravnom i poslovnom prometu BiH.
Takođe su usvojene i odluke koje uređuju oblast upotrebe elektronskog potpisa i pružanja
usluga ovjeravanja koje osiguravaju potrebne pravne aspekte za implementaciju digitalnog
potpisa. Država je usvojila savremeno zakonodavstvo, prije svega Zakon o elektronskom
potpisu, Zakon o elektronskom pravnom i poslovnom prometu i prateća podzakonska akta za
područja elektronskih potpisa, elektronskih sjednica vlade, Internet stranica, itd. Izmjene i
dopune Zakona o općem upravnom postupku, koji uređuje najširi mogući spektar vladinih
postupaka, su takođe usvojene kako bi se stvorili osnovi za elektronske usluge.
U tom smislu trenutno su na snazi sljedeći pravni akti:
• Zakon o elektronskom potpisu („Službeni glasnik BiH“, broj 91/06);
• Zakon o elektronskom pravnom i poslovnom prometu („Službeni glasnik BiH“, broj
88/07);
• Zakon o upravnom postupku („Službeni glasnik BiH” br. 29/02, 12/04, 88/07, 93/09);
• Odluka o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravan
(„Službeni glasnik BiH“, broj 21/09);
• Odluka o elektronskom poslovanju i e-vladi (“Službeni glasnik BiH“ broj 07/10);
• Odluka o uredskom poslovanju ministarstava, službi, institucija i drugih organa
Vijeća ministara BiH – (“Službeni glasnik BiH” br. 21/01, 29/03);
• Uputstvo o izradi i održavanju službenih Internet stranica institucija BiH (Službeni
glasnik BiH broj 21/09).
Trenutno su u pripremi i sljedeći pravni akti:
• Pravilnik o unutrašnjoj organizaciji Ministarstva komunikacija i prometa BiH
(osnivanje Ureda za nadzor i akreditacije);
• Zakon o Agenciji za razvoj informacionog društva.
Republika Srpska
U skladu sa Strategijom eVlade 2009. - 2012. godine Vlada Republike Srpske je usvojila
sljedeće zakone i podzakonske akte:
• Zakon o elektronskom potpisu RS („Službeni glasnik RS“, broj 59/08)
Ovaj zakon uređuje upotrebu elektronskog potpisa u pravnim poslovima i drugim pravnim
radnjama, kao i prava, obaveze i odgovornosti u vezi s elektronskim certifikatima
(potvrdama). Uz sam zakon, donesen je cijeli niz podzakonskih akata koji uređuju područja
kao što su evidencija davaoca usluga certificiranja elektronskih potpisa, jedinstveni registar
davaoca usluga certificiranja elektronskih potpisa koji izdaju kvalificirane certifikate, mjere i
postupci upotrebe i zaštite elektronskog potpisa, sredstava za izradu elektronskog potpisa,
obaveznog osiguranja davaoca usluga izdavanja kvalifikacionih certifikata itd., tj. slijedeće:

14
• Uredba o nosiocu poslova elektronske certifikacije u republičkim organima uprave
(“Službeni glasnik RS“ br. 114/08, 73/09);
• Pravilnik o evidenciji davaoca usluga certificiranja elektronskog potpisa certificiranih
organa (“Službeni glasnik RS“ broj 88/09);
• Pravilnik o sadržaju i načinu vođenja registra certifikacionih organa za izdavanje
kvalificiranih elektronskih certifikata (“Službeni glasnik RS“ broj 88/09);
• Pravilnik o mjerama zaštite elektronskog potpisa, i kvalificiranog elektronskog
potpisa, najnižem iznosu obaveznog osiguranja i primjeni organizacionih i tehničkih
mjera zaštite certifikata – (”Službeni glasnik RS” broj 88/09);
• Pravilnik o tehničkim pravilima za osiguranje povezanosti evidencija („Službeni
glasnik RS“ broj 88/09).
Na osnovu odredbi Zakona o Vladi Republike Srpske i Zakona o sistemu javnih službi, Vlada
Republike Srpske je 2007. godine donijela Odluku o osnivanju Javne ustanove „Agencija za
informaciono društvo Republike Srpske“. Ovim aktom Republika Srpska osnovala je
instituciju zaduženu za praćenje razvoja informacionog društva, te promociju upotrebe
informaciono-komunikacionih tehnologija. Nadzor nad radom Agencije, u ime Vlade RS,
obavlja Ministarstvo nauke i tehnologije RS.
• Zakon o elektronskom dokumentu RS („Službeni glasnik RS“, broj 110/08)
Ovaj zakon uređuje pravo fizičkih i pravnih lica na upotrebu elektronskog dokumenta u svim
poslovnim radnjama i djelatnostima, te u postupcima koji se vode pred organima republičke
uprave u kojima se elektronska oprema i programi mogu primjenjivati u izradi, prijenosu,
pohranjivanju i čuvanju informacija u elektronskom obliku. Zakon takođe uređuje pravnu
važnost te upotrebu i promet elektronskih dokumenata.
• Zakon o elektronskom poslovanju RS (Službeni glasnik RS 59/09)
Ovaj zakon definira pružanje usluga i pravila u vezi sa sklapanjem ugovora u elektronskom
obliku.
Federacija Bosne i Hercegovine
Federacija BiH nema legislativu za primjenu elektronskog potpisa, jer se oslanja na Zakon o
elektronskom potpisu BiH.
Brčko Distrikt BiH
• Zakon o elektronskom potpisu Brčko Distrikta BiH („Službeni glasnik BD br. 39/10,
61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.
• Zakon o elektronskoj ispravi Brčko Distrikta BiH („Službeni glasnik BD br. 39/10,
61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.
Zakon o elektronskom potpisu Brčko Distrikta BiH se ne razlikuje od zakona donesenih 2006.
od strane Parlamentarne skupštine BiH ili zakona u Republici Srpskoj. Obzirom na
nemogućnost implementacije Zakona o elektronskom potpisu BiH, tj. nepostojanja

15
Nadzornog organa koji bi vršio nadzor i akreditaciju CA, zakonodavac Brčko Distrikta BiH je
procijenio da je optimalnije usvojiti posebni zakon u distriktu i na taj način primijeniti propis
o elektronskom potpisu.
U skladu sa članom 9. Zakona o elektronskom potpisu Brčko Distrikta BiH, Odjeljenje za
javni registar propisuje mjere zaštite elektronskog potpisa i naprednog elektronskog potpisa,
kao i mjere provjere identiteta potpisnika. Član 43. takođe propisuje da će šef Odjeljenja za
javni registar donijeti sve neophodne podzakonske akte propisane zakonom, u roku od šest
mjeseci od stupanja na snagu Zakona o elektronskom potpisu Brčko Distrikta BiH.
Pravni učinci elektronskih potpisa – Osnovne odredbe Direktive navode da napredan
elektronski potpis, baziran na kvalificiranoj potvrdi koji je kreirala naprava za kreiranje
sigurnog potpisa zadovoljava zakonske uvjete za potpis vezane za podatke u elektronskom
obliku jednako kao što svojeručni potpis zadovoljava uvjete vezane za podatke u papirnim, te
da bi se trebao koristiti kao dokaz u pravnim postupcima – član 4. i član 5. Zakona o
elektronskom potpisu BiH.
Odgovornost - Zemlje članice moraju osigurati da je pružalac usluga ovjeravanja koji izdaje
kvalificiranu potvrdu odgovoran vis-à-vis svake osobe koja se oslanja na potvrdu za: tačnost
svih informacija u kvalificiranoj potvrdi, pridržavanje svih uvjeta iz Direktive pri izdavanju
kvalificirane potvrde, osiguranje da je vlasnik identificiran u kvalificiranoj potvrdi u trenutku
izdavanja potvrde bio u posjedu svih podataka za formiranje potpisa, koji odgovaraju
podacima za provjeru potpisa sadržanim u potvrdi datog ili identificiranog u potvrdi, u
slučajevima kada pružalac usluga ovjeravanja povlači podatke za formiranje potpisa ili
provjeru potpisa, osiguravanje da su podaci za formiranje potpisa i s njima usuglašeni podaci
za provjeru potpisa odgovarajući u komplementarnom smislu.
Pružalac usluga ovjeravanja se neće smatrati odgovornim za štetu nastalu u vezi sa upotrebom
kvalificirane potvrde za transakcije čija je vrijednost van navedenih ograničenja. – član 19.
Zakona o elektronskom potpisu BiH. Generalno, svi spomenuti zakoni su uglavnom usklađeni
sa Direktivom 1999/93/EC Evropskog parlamenta i Vijeća od 13. decembra 1999., o pravnom
okviru Zajednice po pitanju elektronskih potpisa, i Direktivom 2000/31/EC Evropskog
parlamenta i Vijeća od 8. juna 2000., po pitanju pravnih aspekata usluga informacionog
društva, konkretno elektronskog poslovanja, na unutrašnjem tržištu („Direktiva o
elektronskom poslovanju“).
Stoga možemo zaključiti da postoji savremen i prilično detaljan pravni okvir. Ovaj okvir
pruža predvidljive i pouzdane odgovore na pitanja vezana za integritet, autentičnost i
nemogućnost poricanja elektronskog oblika i potpisa.
Uprkos općoj usklađenosti sa direktivama EU i globalnim modelima za pravne dokumente,
postoje određeni problemi:
1. neke od odredbi su komplicirane ili nepraktične i u nekim područjima previše restriktivne;
2. zakoni i predviđena obaveza da se registrira aktivnost CA postoje na državnom, ali i na
entitetskom nivou;
3. neka pravna pitanja su ostala neriješena; u slučajevima u kojima se nije moguće osloniti na
mjere EU acquisa, lokalna legislativa je neujednačena i nedovršena po pitanju određenih vrlo
praktičnih aspekata (npr. pravni efekti prijenosa papirne dokumentacije u elektronski oblik,

16
dugoročnog elektronskog arhiviranja, postupci elektronske vlade, elektronskih nabavki,
elektronskih sudskih postupaka, itd.);
4. čak i kada su zakoni neutralni po pitanju tehnologije ili oblika (gdje se tekst ne odnosi
isključivo na papirne dokumente) te samim tim dopuštaju korištenje savremenih IKT alata,
nadležna državna tijela uglavnom tumače zakone na tradicionalan način dopuštajući samo
korištenje rukom pisanih potpisa i papirnih dokumenata.
Iako je Zakon o elektronskom potpisu BiH na snazi već od 2006. godine, pojavila su se
mnoga neriješena institucionalna i politička pitanja koja onemogućavaju ili usporavaju proces
implementacije Zakona, a samim tim i razvoj područja primjene ePotpisa u BiH, među kojima
su najvažniji:
• Nerazumijevanja nadležnost u oblasti elektronskog potpisa i elektronskog poslovanja;
• Institucije u BiH nisu u dovoljnoj mjeri bile posvećene implementaciji Zakona o
elektronskom potpisu BiH;
• Spori napredak reforme javne uprave i loše poslovno okruženje u društvu umanjuje
značaj primjene ePotpisa i sve prednosti koji se time postižu;
• Nepostojanje Ureda za akreditaciju i nadzor CA u okviru Ministarstva prometa i
komunikacija BiH;
U Bosni i Hercegovini trenutno ne postoji PKI infrastruktura za pravna i fizička lica na nivou
države. Međutim, postoji niz nezavisnih PKI infrastruktura, prije svega elektronsko
bankarstvo i djelomično u sektoru elektronske vlade koji djeluju u zatvorenim sistemima,
čime je trenutno obuhvaćeno, ili će biti obuhvaćeno preko 10.000 firmi i skoro 10.000
državnih službenika.
Stoga tehnički problem nije u tolikoj mjeri zasnovan na nepostojanju PKI infrastrukture na
nivou države. Prije se može reći da je problem u okupljanju i spajanju različitih postojećih
PKI infrastruktura i informatičkih sistema. Ubrzanje uvođenja elektronskog potpisa je od
velike važnosti za BiH, jer trenutno BiH kasni u implementaciji elektronskog potpisa, što
znači, da su usporene i sve primjene e-potpisa (eTrgovina, eBankarstvo, eUprava,
ePoslovanje). Danas se procjenjuje da u BiH postoji oko 12.000 izdatih običnih certifikata
(10.000 za poduzeća i 2.000 za državne službenike) i oko 100 kvalificiranih certifikata.
Komparativni podaci za zemlje EU govore o 30 puta većem broju izdatih potvrda (ako se
podaci relativiziraju na broj stanovnika), a za zemlje u regionu oko 2 do 3 puta više izdatih
potvrda u odnosu na BiH.
Privatni sektor, a posebno IT kompanije predstavljaju ogroman razvojni potencijal u BiH i
svako dalje odlaganje u primjeni elektronskog potpisa predstavlja direktni gubitak za razvoj
privrede u BiH, a u isto vrijeme dovodi ovaj sektor u još nepovoljniji položaj u odnosu na IT
kompanije u regiji. Za dalji razvoj bankarskog sektora primjena elektronskog potpisa je od
izuzetnog značaja, posebno za dalji razvoj modernog elektronskog bankarstva, usporava
povezivanje poslovne zajednice sa poreskim upravama, obavljanja dnevnih transakcija
elektronskim putem. Uspostavljanje sigurnog i modernog elektronskog bankarstva neophodno
je za monitoring i kontrolu eventualnih aktivnosti “pranja novca” i borbe protiv finansiranja
ilegalnih aktivnosti. Postojeća bankarska PKI može biti realna polazna osnova za uvođenje e-
vlade, posebno imajući u vidu troškove izgradnje i održavanja PKI kao i veličinu i stvarne
potrebe zemlje.
Potrebno je uzeti u obzir informatičku pismenost prije svega građana, potom poslovne
zajednice, kao i javnog sektora u BiH. U ovom smislu potrebno je uzeti u obzir dosadašnja
iskustva kao i stručna znanja postojećih asocijacija informatičara u BiH. Uvođenjem
elektronskog potpisa potrebno je raditi na razvijanju odgovarajućih elementa zaštite

17
potrošača. Adekvatna i efikasna primjena elektronskog potpisa treba biti praćena dobro
pripremljenom javnom kampanjom koja bi ukazala na sve prednosti pune primjene
elektronskog potpisa. [1]
Pošto sadašnja zakonska regulativa ne omogućava uvođenje informacionih tehnologija, to je
Vlada FBiH utvrdila je Nacrt zakona o elektronskom dokumentu i uputila ga Parlamentu
FBiH na razmatranje i usvajanje. Ovaj zakonski projekt, također, treba posmatrati u kontekstu
zakona koji su već u parlamentarnoj proceduri: Zakona o matičnim knjigama i Zakona o
osobnom imenu.
Ujedno, jedna od obaveza proistekla iz Direktiva Europske unije, jeste stvaranje pretpostavki
za elektronski pristup informacijama. Riječ je o 20 usluga koje bi građanima trebale biti
dostupne na ovaj način.
Kako je Nacrtom zakona definirano, tijela uprave i lokalne samouprave, gospodarska društva,
ustanove i druge pravne i fizičke osobe slobodno izraženom voljom prihvataju upotrebu i
promet elektronskog dokumenta za svoje i potrebe poslovnih i drugih odnosa. Ukoliko to
prihvate, ne mogu odbiti elektronski dokument samo zbog toga što je sačinjen, korišten i
stavljen u promet u elektronskom obliku.
Elektronski dokument ima pravnu valjanost kao i dokument na papiru ako je izrađen, poslan,
primljen, čuvan i arhiviran primjenom raspoložive informacione tehnologije i ako ispunjava
uvjete iz ovog zakona. Svaki takav dokument na kojem je elektronski potpis smatra se
izvornikom.
Upotreba elektronskog dokumenta je valjana ako on, uz ostalo, sadrži podatke o autoru,
pošiljatelju i primatelju, te o vremenu slanja i prijema. (izvor 24. sjednica Vlade FBiH,
09.11.2011. saopćenje o radu http://www.fbihvlada.gov.ba)
4.1 MEHANIZMI POSTIZANJA SIGURNOSTI ZA
PRODAVCA I KUPCA U TRANSAKCIJI
Pojam „sigurna“ mrežna transakcija podrazumijeva onu transakciju koju nije moguće narušiti
bilo kakvom metodom. To prvobitno podrazumijeva da prilikom davanja podataka
korisnik/klijent pristupi pravoj stranici za transakciju, te da isti bude ispravno detektovan od
strane pružaoca usluga. Banka čiji će sistem biti analiziran u ovome radu, koristi sljedeće
„metode“ tj. načini autorizacije za obavljanje „sigurne“ transakcije:
1. Smart Cards;
2. Tokeni;
3. Tanovi.
Svaki od navedenih ima specifičan način rada, i naravno određeni nivo sigurnosti.

18
Pametna kartica se temelji na PKI (Public Key Infrastructure) tehnologiji koja se zasniva na
asimetričnoj kriptografiji, odnosno na paru javnih i tajnih ključeva za šifriranje podataka.
Svaki korisnik ima svoj tajni ključ i svoj javni ključ. Samo je javni ključ korisnika dat
drugima na uvid. Korisnik podatke koje želi nekome poslati šifrira svojim tajnim ključem.
Kada bi se takvi podaci poslali, pročitati bi ih mogao svatko tko posjeduje javni ključ
pošiljatelja. Iz tog razloga pošiljatelj šifrira podatke još jedanput, ovaj put javnim ključem
primatelja podataka. Na taj su način podaci dostupni samo primatelju. Naime, primatelj ih
mora dešifrirati najprije pošiljateljevim javnim ključem, a zatim i svojim tajnim ključem. Svi
su ti ključevi u digitalnom obliku pohranjeni na smart-kartici. Smart-kartica se uveliko
razlikuje od kreditne kartice uprkos sličnostima u obliku i veličini. Dok je u unutrašnjost
smart-kartice umetnut 8-bitni mikroprocesor, normalna kreditna kartica u potpunost je
sačinjena od plastike. Prednost ove tehnologije jeste iznimno visok stepen sigurnosti. Naime,
još uvijek nije zabilježen niti jedan slučaj provaljivanja ili zlouporabe bankarske transakcije
na Internetu u kojoj su se korisnici autorizirali ovom metodom.
Kod korištenja usluga Internet bankarstva kao najbolja metoda autorizacije ističe se token,
koji predstavlja kompromis između cijene i učinkovitosti. Korištenje tokena smanjuje rizik od
neovlaštenog pristupa podacima, a ne zahtjeva nikakva financijska ulaganja od strane
korisnika. Token je uređaj nalik džepnom kalkulatoru. Takav uređaj se ustupa klijentu na
privremeno korištenje prilikom registracije za uslugu Internet bankarstva. Prilikom odjave
usluge klijent je dužan vratiti uređaj u podružnici u kojoj ga je zaprimio. Numeričke tipke na
tokenu omogućavaju korisniku unos PIN-a (Personal Identification Number) koji je nužan za
uspješnu autorizaciju kod samog tokena. PIN je broj od četiri do osam znamenaka kojeg
korisniku ustupa banka. Nakon prve autorizacije korisnik ima mogućnost promijeniti PIN za
otključavanje uređaja. Nakon autorizacije token generira niz brojeva koji se zajedno sa
serijskim brojem tokena mora unijeti u aplikaciju. Serijski broj svakog tokena je jedinstven i
sačinjava dio kriptografskog ključa koji omogućuje generiranje dinamičkog koda za pristup
mreži. Da bi se spriječilo presretanje podataka u mreži, postoje i drugi načini zaštite kao što je
zaštita putanje kojom se vrši protok podataka. Pri autorizaciji i validaciji podataka poslužitelj
generira challenge, odnosno numeričku vrijednost sačinjenu od šest znamenaka. Te se
znamenke dobiju iz datuma, vremena izvođenja transakcije i same novčane vrijednosti
transakcije. Da bi se uspješno provela transakcija, klijent mora utipkati challenge u token koji
nakon toga generira challenge response. Challenge response se također sastoji od šest
znamenaka i valjan je samo za izvođenje trenutne transakcije. Poslužitelj na temelju challenge
niza izračunava ispravni challenge response niz i uspoređuje ga s nizom kojeg unosi korisnik
kako bi potvrdio integritet transakcije. Broj kojeg token generira za jednokratnu je upotrebu,
odnosno ne postoji mogućnost ponavljanja generiranog niza. Klijent ima na raspolaganju
određeni vremenski period u kojem mora unijeti generirani niz. Taj period traje od 30 do 60
sekundi nakon čega se token automatski isključuje.
Ovakav model autorizacije koji se sastoji od dva faktora (serijskog broja tokena i niza brojeva
koje token generira) omogućava računaru u banci da jednoznačno identificira klijenta te mu
omogući pristup svim njegovim računima. Dakle, sigurnosni mehanizam ugrađen u token je
usklađen s poslužiteljem koji provjerava parametre autorizacije. Ukoliko klijent unese
neispravan PIN nekoliko puta za redom, najčešće tri puta, token se automatski zaključa.
Administrator je jedina autorizirana osoba za otključavanje uređaja. Ukoliko se ipak unese
neispravan kod za autorizaciju korisnika, web aplikacija se terminira. Svaki takav pokušaj

19
zabilježi se kod poslužitelja. Administrator pregledava zabilješke i na taj način može uočiti
sumnjive radnje pri autorizaciji. Prednost tokena pred TAN-ovima je jednostavna
administracija. Nakon što jednom ustupi token klijentu na korištenje, banka se ne mora brinuti
oko njegove daljnje autorizacije, kao što je to u slučaju TAN-ova. Nedostatak tokena je to što
klijent mora uređaj nositi sa sobom ukoliko želi obaviti neku bankarsku transakciju na
različitim mjestima. Uz navedeno tu je još i velika i nepregledna količina brojeva koja se
mora utipkivati u web-aplikaciju.
Autorizacija putem TAN-ova obično podrazumijeva list papira s pedesetak ili stotinjak nizova
znamenaka koje klijent zaprima od banke. Kada klijent iskoristi sve nizove s liste, banka mu
poštom šalje novu listu. Pojedine banke izdaju karticu s određenim brojem TAN-ova koje
tada korisnik kružno koristi pri čemu nema potrebe za zaprimanjem novih TAN-ova. TAN-
ovi izgledaju poput telefonskih brojeva pa je time smanjena opasnost zloupotrebe u slučaju
krađe ili provale. Prednost ove metode autorizacije jest to što ne zahtjeva nošenje uređaja za
obavljanje bankarskih transakcija. Korisnik može sa sobom uvijek imati spisak TAN-ova u
slučaju potrebe za obavljanjem neke transakcije. S druge strane veliki nedostatak TAN-ova
čini teška administracija. Naime, banka mora čuvati u svojoj bazi popis TAN-ova za svakog
klijenta, kako potrošenih, tako i tek dodijeljenih TAN-ova. Korisnicima koji obavljaju i po
nekoliko transakcija na dan ova metoda nipošto nije praktična. Metoda autentifikacije pomoću
TAN-ova sve je manje u upotrebi, i najčešće je koriste fizička lica, dok pravna lica isključivo
koriste pametne kartice, kao najveći stepen sigurnosti.
Slika 2. Primjer TAN-ova
Prilikom posjete softverskoj firmi comTrade analizirane su i TAN liste kao jedan vid
sigurnosti prilikom internet transakcija. Stručnjaci u oblasti e-bankinga smatraju da su TAN-
ovi „low level security“, te ih nerado implementiraju u sisteme banaka. Međutim, i uprkos
upoznavanja sa svim negativnostima koje može donijeti nizak nivo sigurnosti TAN-ova,
banke prihvataju ponude izrađene od strane softverskih firmi. U svakoj ponudi su navedeni i
svi mogući rizici upotrebe, konkretno u slučaju korištenja TAN-ova, navedeni su napadi

20
poput Man in the middle-a, sniffing-a i drugih. Najčešći razlog za isto su određene procedure
po kojima banke rade, samo ovdje se postavlja pitanje koliko su te procedute dovoljno
praktične. Ono čime se osiguravaju softverske firme jeste da broj TAN-ova bude konačan, da
traje određeni period, te da je isključivo namjenjen fizičkim osobama, koje imaju samo
određeni nivo prava prilikom e-transakcija. Međutim koliko je sigurna sama transakcija
između bankarskih uposlenika i klijenta, jer ipak se svodi na „manuelnu“ razmjenu koverte sa
podacima. Također klijent daje banci svoju privatnu e-mail adresu, na koju mu dolazi
username i password za prvu prijavu u e-banking. U nastavku je prikazan prozor za
korištenje e-bankinga za fizičke i pravne osobe. Putem ovog prozora, klijent na osnovu imena
i passworda (8-znamenkastog, najčešće po default-u skup karaktera „12345678“) pristupa
usluzi e-bankinga.
Slika 3. Hyponet za fizička lica
Slika 4. Hyponet za pravna lica

21
Ako detaljnije analiziramo ovu vezu primjetiti ćemo da se koristi HTTPS protokol.
HTTPS koristi SSL/TSL za zaštitu i skrivanje podataka. Kao što se može vidjeti na narednoj
slici, SSL certiikat koji koristi HYPO-ALPE-ADRIA BANK je izdat od strane VeriSign, Inc
organizacije, te ističe 10.12.2012. godine. Također koriste se hash funkcije SHA1 i MD5, koje
otvoreni tekst preslikavaju u „otisak dokument“ prilikom provjere elektronskog potpisa.
Slika 5. Pregled certifikata za www.e-hypo.ba

22
U narednom primjeru je prikazan pristup aplikaciji HYPONET od strane fizičkog korisnika.
Slika 6. Pristup hyponetu
Nakon prvog pokušaja pristupa hyponetu tražiti će se promjena passworda.
Podešeno je ograničenje da korisnici ne mogu unijeti password manji od 8-znakova.
Slika 7. Hyponet login
Prilikom promjene passworda, bio je pokušaj unosa passworda koji je predstavljao
kombinaciju slučajnih karaktera, gdje je prvi karakter bilo veliko slovo, nakon kojeg je

23
uslijedio niz malih slova i brojeva, i iz „nekog“ razloga je javljena greška, da li je ovo jedan
od sigurnosnih propusta ili ipak ne, ostaje otvoreno pitanje.
Fizičko lice može vršiti naloge, pregled svih aktivnih računa, kao i ostale pojedinosti. Za
plaćanje, konkretno u navedenom primjeru korisnik koristi TAN-ove. Primjećeno je da se
ponekad transakcija obavi bez traženja TAN-a, što je sasvim nelogično i dovodi upitnost
cijelog sistema. Za odgovor na ovo pitanje potrebna je itekako detaljnija analiza sistema.
Svaki sistem ima svoje mane, tako da je primjećeno da se prilikom korištenja određene e-
banking usluge na datum 15.8.2012. još uvijek su bile navedene transakcije sa 13.08., te se
ovdje postavlja pitanje kašnjenja usljed „sharinga“ podataka između bankomata i core
banking sistema, te core banking sistema i samih e-banking sistema.
Izvršena je analiza saobraćaja putem mrežnog analizatora saobraćaja Wireshark-a.
Slika 8. Analiza snimljenog saobraćaja putem mrežnog analizatora Wireshark-a

24
Slika 9. SSL protokol, Client Hello poruka

25
Slika 10. TLSv1 protokol, prenos aplikacijskih podataka (application data)

26
Na narednoj slici je prikazan grafik, na kojem je može uočiti tok razmijene podataka.
Slika 11. Flow graph
Core Banking Hypo-Alpe-Adria-Banke se nalazi u Beogradu. Hyponet je aplikacija koju je
„napravio“ Hermes SoftLab, današnji ComTrade, koji vrši održavanje hyponet on-line
aplikacije. Pristup Hyponet-u je on-line, a moguć je na više načina:
1. Pomoću TAN-ova;
2. Tokena;
3. Pametne kartice.
Također, hyponet se razlikuje za fizička lica i pravne osobe. Sva administracija Hyponeta od
strane banke vrši se u Mostaru. Na sljedećoj slici je dat šematski prikaz veze hyponeta i core
bankinga.

27
Y
Značenje«Y»
Svikorisnicikojiseodlučezahyponet,automatskipostaju
Dioskupahyponetkorisnika. Sinhronizacijavremena->nesmijebitikašnjenja
Slika 12. Povezivanje e-banking usluge (primjer hyponet) i core banking-a
Razmijena podataka vrši se pomoću određenih poruka. Integracije su automatske, vrše se u
noćnom periodu svaki dan, a također za određene potrebe administrator može uvijek
pokrenuti manuelno integraciju. Kašnjenja „nema“, niti smije biti. Što se tiče veze između ova
dva povezana stuba, riječ je o iznajmljenim linijama. TAN liste, kao što je već spomenuto
predstavljaju low level sigurnosti, i kao takve isključivo su namijenjene samo za fizička lica,
a nikako za pravne osobe.
Prilikom analize e-banking sistema Hypo banke, posjećen je i bazini dio sistema u Mostaru. U
prilogu se nalazi slika iz serverske sobe.

28
Slika 13. Real system e-bankinga Hypo banke
Korištenje virtuelnih servera kao jednog od stabilnijih rješenja:
Slika 14. Viruelni serveri hypo banke

29
Slika 15. Dio CA servera
Na prethodnoj slici je predstavljen dio CA servera, koji predstavlja jedini uređaj koji
predstavlja dio e-banking sistema, a koji nije umrežen. VeriSign je poznata kompanija kojoj
banka plaća usluge korištenja cetifikata. Da bi banka koristila usluge VeriSigna na tri godine,
to košta cca 2.500,00 EURa.
Slika 16. Pristup CA

30
Na prethodnoj slici naznačeni dijelovi predstavljaju pametnu karticu i čitača pametnih kartica.
Kako bi administrator određenoj pametnoj kartici dodao certifikat, potrebno je da ručno
pristupi CA, i da naravno preko mašine kojoj pristupa CA, bude priključen čitač kartica.
Nakon što administartor ubaci karticu, koristi tkz. ActivCard Gold. To je programski paket,
koji upotrebom kartice i čitača kartice ili USB ActivKey-a osigurava najviši nivo sigurnosti
autentifikacije korisnika.
Slika 17. Pristup ActivCard Gold
Slika 18. ActiveCard Gold certificate properties

31
Analizirajući sistem koristi dužinu ključa od 1024 i hash algoritam SHA-1. Kada
administrator doda digitalni certifikat, onda se automatski podaci prenose preko serijskog
broja u aplikaciju. Također kao vid zaštite banka koristi ISA (Internet Security and
Acceleration Server) server, koji je predstavljen na narednoj slici. ISA Server omogućava dva
bazična servisa koji se odnose na firewall i Web proxy/web cache poslužitelj. ISA Server
administratorima omogućuje stvaranje politike za regulisanje nivoa pristupa koji može biti
baziran na korisniku, grupi, aplikaciji, odredištu, i sličnim kriterijima.
Slika 19. ISA server
5. SSL PROTOKOL
SSL je nastao kao Netscape, verzija 2.3, 3.1, dok je TLS IETF protokol, i njegova prva verzija
može se posmatrati kao SSLv3.1. SSL/TLS predstavljaju najpopularnije prenosne sigurnosne
protokole. SSL je baziran na konekciono-orijentisanom i pouzdanom servisu kakav je TCP. U
mogućnosti je osigurati sigurnosne usluge za bilo koje TCP-bazirane aplikacijske protokole,
kao što su HTTP, FTP, TELNET,... Upotreba SSL protokola omogućuje višu razinu
privatnosti i sigurnosti od nešifrirane internetske veze. On smanjuje opasnost da treće strane
presretnu i zloupotrijebe podatke. Brojni posjetitelji web-lokacija smatraju da je dijeljenje
podataka o plaćanju i ostalih osobnih podataka sigurnije ako koriste SSL vezu. SSL je
neovisan od aplikacije, i pruža sljedeće usluge:
Klijent-poslužitelj provjeru autentičnosti;
Tajnost podataka;
Provjera podataka izvora;
Integritet podataka.

32
Što se zapravo događa s porukom koja prolazi kroz SSL? Poruka se prije slanja kriptira, a
nakon što je druga strana primila takvu poruku, ona je dekriptira te provjerava pošiljaoca i
izvornost poruke. Iz navedenog naslućuju se osobine privatnost, autentičnost i integritet
poruke (princip AAA).
Na sljedećoj slici je prikazana funkcionalana upotreba SSL protokola:
Slika 20. Upotreba SSL protokola [1]
[1] WEB Security: Secure Socket Layer Cunsheng Ding, HKUST, Hong Kong, CHINA
SSL protokol stack je prikaza na narednoj slici.
SSL Handshake
Protocol
SSL Chiper Change
Protocol
SSL Alert Protocol Application
Protocol kao HTTP
SSL Record Protocol
TCP
IP
Slika 21. SSL protokol stack
SSL rekord protokol je odgovoran za integritet i šifriranje podataka. Ostala tri protokola
obuhvaćaju područja sjednice upravljanje, kriptografskog parametar upravljanja i prenosa
SSL poruka između klijenta i poslužitelja.

33
5.1 ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB
TOKENI
U današnje vrijeme cyber kriminala, u svim sektorima IT tehnologije najveća pažnja se daje
sigurnosti podataka klijenata, a posebno kada su u pitanju internet transakcije. Najbitniji
zahtjevi za svaki sistem i proces u financijskom sektoru su osiguranje identiteta klijenta,
tajnost podataka transakcije, integritet transakcija i neporecivost. Dinamička lozinka (OTP –
one time password) – predstavlja jednostavno rješenje za jednostavnu i sigurnu identifikaciju
na web servise, potpisivanje transakcija te osiguranje identiteta. Zbog napretka u tehnikama i
alatima koje napadači koriste za razbijanje statičkih lozinki sve češće se koriste druge,
naprednije tehnike sigurne autentikacije korisnika. Jedna od tih tehnika je upravo i korištenje
jednokratnih lozinki (eng. One-time Password). Uzevši u obzir učestalost otuđivanja ili
pokušaja otuđivanja povjerljivih podataka, pogotovo kada su u pitanju bankarski sistemi i
pristup udaljenim računarima (eng. Remote Access), korisnike je potrebno zaštititi kod
pristupa uslugama kojima se pristupa putem javne (nezaštićene) mreže -Interneta. Jednokratne
lozinke smanjuju mogućnost neovlaštenog pristupa povjerljivim podacima (korisnička imena,
lozinke, brojevi kreditnih kartica, itd.), informacijama i/ili datotekama jer istu lozinku nije
moguće upotrijebiti više nego jednom, a za svaku sljedeću prijavu u sistem potrebno je
generisati novu lozinku. Ako napadač otuđi upotrijebljenu jednokratnu lozinku od nje neće
imati nikakve koristi. Kada korisnik želi pristupiti svojim podacima ili datotekama, generiše
se jednokratna lozinka za pristup. Tu lozinku više nije moguće koristiti za sljedeću prijavu.
Kako i samo ime kaže, metoda generiranja jednokratnih lozinki se temelji na stvaranju
jedinstvenih jednokratnih lozinki koje će korisniku omogućiti zaštitu od krađe podataka i
informacija. Za razliku od jednokratnih, statičke lozinke se ne mijenjaju (osim na zahtjev
korisnika). Korisnik unosi korisničko ime i lozinku kako bi dokazao svoj identitet, pri čemu
su obje informacije iste kod svakog sljedećeg unosa. Ako napadač otuđi korisničko ime i
statičku lozinku, dobiva pristup usluzi. Za razliku od statičkih lozinki, ako napadač otuđi
jednokratnu lozinku neće je moći upotrijebiti jer istu lozinku nije moguće upotrijebiti više
nego jednom. U većini slučajeva, prilikom korištenja metode jednokratnih lozinki korisničko
ime ostaje isto, a lozinka se mijenja (kod svakog zahtjeva za pristup usluzi generira se nova
jednokratna lozinka, različita od prethodne). [5]
Jednokratne lozinke su oblik „jake autentikacije“, koja pruža veću razinu zaštite i koriste se za
bankovne transakcije preko Interneta, mrežnim sistemima u firmama i drugim sistemima koji
sadrže osjetljive i povjerljive informacije. Najčešće kod ovakvih sistema za generisanje
jednokratnih šifri sistem zahtjeva prvobitni unos statičke lozinke koju korisnik/klijent dobiva
od proizvođača, odnosno ponuđača usluge. Uz pomoć statičke lozinke pomoću posebnih
algoritama se generišu jednokratne lozinke/šifre koje se npr koriste za obavljanje transakcija u
bankarskim sistemima ili slično. Generisanjem nove jednokratne lozinke pri svakoj prijavi,
korisnik osigurava svoje informacije. Jednokratne lozinke štite korisnike od phishing i
pharming napada, te štete koja se otkrivanjem povjerljivih informacija može prouzročiti
(krađa i zlouporaba identiteta, financijska šteta, itd.). Prilikom otvaranja računa u banci i
traženja usluga e-bankinga, korisnik bira da li će koristiti TAN-ove, pametne kartice ili otp i
usb tokene, u zavisnosti šta sve banka nudi. Sve ima svoju cijenu, tako i u ovom slučaju, veća
sigurnost znači i veća novčana naknada. Pošto su TAN liste besplatne, banka je ograničila da
pravna lica ne mogu koristiti TAN liste. Također moguće je i uvrstiti dodatnu komponentu-
vrijeme u cijelu ovu priču, sve s' ciljem veće sigurnosti. Unutar uređaja postoji tačan
vremenski sklop koji je sinkroniziran sa glavnim poslužiteljem. Samim time, bilo kakav vid

34
desinhronizacije i kašnjenja nije dozvoljen. Kao što i sam naziv sugeriše, sistemi koji se
temelje na vremenskoj sinkronizaciji, za generiranje jednokratnih lozinki koriste vremensku
komponentu. Uređaj generiše jednokratnu lozinku upravo na temelju vremena te, za razliku
od ostalih sistema, u nekim slučajevima nije potrebna korisnikova statička lozinka ili tajni
podatak. Za generiranje jednokratnih lozinki ovom tehnikom moguće je koristiti i mobilne
uređaje. Vremenski sinkronizirani uređaj kojim se generiraju jednokratne lozinke sadrži
prethodno uneseni ključ kojim proizvođač raspoznaje korisnike (svaki korisnik ima različiti
ključ). U vremenskim razmacima od 30 do 60 sekundi uređaj generira jednokratne lozinke
temeljene na ključu. Korisniku se potom na zaslonu uređaja ispisuje jednokratna lozinka koju
u kombinaciji sa svojom statičkom lozinkom (npr. PIN) koristi kako bi dokazao ili potvrdio
svoj identitet. Važno je napomenuti da ne postoji mogućnost da uređaj u dva različita
vremenska trenutka generira istu lozinku. Jednokratnu lozinku prikazanu na zaslonu uređaja
moguće je iskoristiti u određenom vremenskom razmaku (najčešće 2 minute). Po isteku tog
vremena poslužitelj više neće prihvaćati lozinku kao važeću, te će korisnik morati generirati
novu lozinku putem uređaja. Postupak kod autentikacije ovom tehnikom je sljedeći:
1. Korisnik se pomoću Internet preglednika spoji na interfejs za autentikaciju (npr. web
stranica banke). U interfejs za autentikaciju korisnik unese svoj PIN.
2. Korisnik pokreće postupak generiranja jednokratne lozinke uključivanjem tokena. Token
pomoću vremenskog sklopa i unaprijed upisanog ključa generira jednokratnu lozinku.
Korisnik potom upiše prikazanu jednokratnu lozinku u sučelje za autentikaciju.
3. Poslužitelj istovremeno generira jednokratnu lozinku.
4. Poslužitelj uspoređuje generiranu lozinku s lozinkom koju je unio korisnik.
5. Ukoliko su lozinka koju je generirao korisnik i ona koju je generirao poslužitelj jednake,
poslužitelj će korisniku odobriti pristup. U protivnom, poslužitelj će odbiti korisnikov zahtjev.
Važno je napomenuti da ako napadač uspije otuđiti jednokratnu lozinku (npr. presretanjem
mrežnih paketa) po isteku njezinog vremenskog roka valjanosti ili nakon što je upotrijebljena,
neće imati nikakve koristi od lozinke jer je poslužitelj neće priznati. U bankovnim sistemima,
najčešće korišteni uređaji za autentifikaciju su upravo tokeni. Sigurnosni token (eng. security
token) je fizički uređaj koji korisnik koristi kako bi elektroničkim putem dokazao ili potvrdio
svoj identitet.
Slika 22. Primjer token-a

35
Tehnologija koja se koristi u ovim uređajima je vremenski sinkronizirana ili se temelji na
upitu (eng. challenge based). Za tokene koji se temelje na upitu potreban je poslužitelj koji
će korisniku poslati upit. Taj upit se unosi u token kako bi se generirala jednokratna
lozinka. Tehnike sinkronizacije zahtijevaju da token i poslužitelj istovremeno generiraju
jednokratnu lozinku koristeći iste parametre (npr. redni broj pokušaja ili vrijeme). Ako su
jednokratne lozinke generirane na poslužitelju i tokenu jednake, autentifikacija je
uspješna. Tokeni moraju zadovoljavati određene ISO standarde (ISO 13491-1:2007, ISO
DIS 13491-2, ISO 9564, ISO 16609, ISO 11568) kojima se propisuju radne karakteristike
uređaja, kriptografski procesi koje koriste uređaji, načini zaštite uređaja i kojima se
standardizira način autentikacije. Tokeni su obično dovoljno maleni kako bi ih korisnici
mogli nositi sa sobom. Većina tokena ima kućište koje je gotovo nemoguće otvoriti ili
sklop koji onesposobi i uništi uređaj kada se poklopac otvori kako ne bi bilo moguće
kopirati tehnologiju i tako naštetiti drugim korisnicima. Postoji više vrsta tokena
podijeljenih s obzirom na način pokretanja, a to su:
• tokeni koje se pokreću statičkom lozinkom,
• tokeni koje se pokreću jednokratnom sinkroniziranom lozinkom,
• tokeni koje se pokreću jednokratnom lozinkom koja nije usklađena sa poslužiteljem i
• tokeni koji se pokreću upitom.
Jednostavnim sigurnosnim tokenima nije potrebna izravna veza sa računarom korisnika.
Naprednije vrste tokena zahtijevaju neki oblik veze sa računarom (npr. USB ili Bluetooth)
kako bi stupili u kontakt sa poslužiteljem. Iz ovoga slijedi podjela tokena prema načinu
spajanja:
• tokeni koje je potrebno fizički spojiti na računar, npr. putem USB-a, su tokeni koji će
nakon spajanja na računar ispisati autentikacijske podatke na računaru korisnika. Za
upotrebu ovakvih tokena potrebni su pokretački programi. Ovakvi tokeni se najčešće
koriste pri autentikaciji korisnika kod spajanja na neki zaštićeni mrežni sistem.
• tokeni koje je potrebno spojiti na računar ili poslužitelj bežičnom vezom, npr. Bluetooth
vezom, obično ne zahtijevaju od korisnika unos statičke lozinke. Spajaju se na računalo
korisnika, kako je već ranije naglašeno nekom vrstom bežične veze. Jedino ograničenje
kod ove vrste tokena je životni vijek i trajanje baterije koja ih pogoni. Vrlo često se koriste
za provođenje transakcija putem Interneta (npr. kupovine putem Interneta).
• tokeni koje nije potrebno spajati nikakvom vezom su najčešće korištena vrsta tokena. Da
bi korisnik generirao jednokratnu lozinku potrebna mu je statička lozinka. Za
komunikaciju s korisnikom u ovu vrstu tokena ugrađeni su zaslon i tipkovnica kojom se
korisnik služi kako bi generirao jednokratnu lozinku. Ova vrsta tokena najčešće se koristi
kod usluge Internet bankarstva.
Kao što u svakodnevnici sve se pojednostavljuje softverom, potencijalna poboljšanja
problematike sigurnosti e-bankarstva ogledala bi se u programima, jer tada token ne bi morao
fizički biti prisutan kada god se bude željela obaviti transakcija. Programski alati za
generiranje jednokratnih lozinki su namijenjeni za upotrebu na osobnim računarima,

36
prenosnim računarima, džepnim računarima ili mobilnim telefonima. Programi za generisanje
jednokratnih lozinki su osjetljiviji od fizičkih uređaja jer su izloženi zlonamjernim
programima kojim se može zaraziti korisnički računar (npr. virusi, crvi, keyloggeri, itd.).
Programi imaju određene prednosti nad fizičkim uređajima:
• nije potrebno posjedovati fizički uređaj;
• kod programa, za razliku od fizičkih uređaja, nije potrebno posebno održavanje
(baterije);
• programi su ekonomski isplativiji.
Postoje dvije metode na kojima se temelje programi za generiranje jednokratnih lozinki:
• dijeljena tajna (eng. shared secret);
• kriptografija s javnim ključem (eng. Public-key cryptography).
Dijeljena tajna je podatak poznat samo osobama koje sudjeluju u zaštićenoj komunikaciji. To
može biti tajna riječ, rečenica, broj s velikim brojem znamenaka ili polje nasumično
odabranih podataka. U slučaju da se tajna dodjeljuje korisnicima prije početka komunikacije,
ista se naziva unaprijed dijeljena tajna (eng. pre-shared key). Također je moguće pri početku
komunikacije uspostaviti dijeljenu tajnu uz pomoć protokola za uspostavljanje dijeljenih
ključeva. Kod kriptografije s javnim ključem se koriste asimetrični algoritmi za šifriranje
pomoću ključeva, tj. algoritam za šifriranje nije isti kao i algoritam za dešifriranje. Svaki
korisnik ima dva ključa, javni i osobni ključ. Osobni ključ je korisnikova tajna, dok javni
ključ može biti poznat većem broju osoba. Poruke koje korisnik šalje se šifriraju javnim
ključem, ali ih je moguće dešifrirati jedino odgovarajućim osobnim ključem. Dakle, velik broj
osoba može primiti ili čak presresti poruku, ali je dešifrirati može jedino osoba koja ima
odgovarajući osobni ključ (tj. osoba kojoj je poruka upućena). Prednost ovakvog pristupa je
visoka razina sigurnosti poruka koje izmjenjuju korisnici međusobno ili pri komunikaciji sa
poslužiteljem.
Postoji jako veliki broj programa koji predstavljaju generatore slučajnih brojeva. Pošto su
TAN-ovi, tokeni i ostale šifre u sistemu e-bankinga 8-znamenkaste, uz pomoć jednostavnog
koda u Matlabu napraviti ćemo generator slučajnih znakova.
s = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
numRands = length(s);
sLength = 8;
randString = s( round(rand(1,sLength)*numRands) )
Slika 23. Kod u Matlabu- generator slučajnih brojeva
S' obzirom da generator napravljen na osnovu prethodnog koda, uključuje i velika i mala
slova, može se reći da je itekako funkcionalniji od običnih šifri koje ne uključuju kombinaciju

37
malih-velikih slova, jer aplikacije na kojima rade nisu case-sensitive. Funkcionalnost
ovakvog' generatora ogleda se u većem broju slučajnih kombinacija, a veći broj kombinacija
znači manju ranjivost.
6. MEHANIZMI NARUŠAVANJA SIGURNOSTI
Na Interetu se može pronaći jako puno tekstova i video klipova koji nose naslove slične
„Breaking HTTPS/SSL“, „Your mail and bank account are NOT safe“, a koliko to sve utiče
na obične korisnike, je vrlo relativno.
Na većini bankovnih stranica kada se odgovara na pitanja koliko su sigurni account-i, uvijek
se spominje da je stranica kriptovana SSL-om, tj. da se koristi HTTPS sigurnosni protokol,
kojeg je jednostavno nemoguće probiti. Trebale bi godine i godine da bi se to uspjelo.
Međutim, to nije jedini način. Uvijek postoji zaobilazni put, pa tako i ovom slučaju, i to ne
jedan. Broj zaobilaznih puteva dolaska do skrivenih podataka, iz dana u dan se povećava.
HTTPS: Hyper Text Transfer Protocol Secure - HTTPS je kombinacija Hyper Text Transfer
Protocol i Secure Socket Layer (SSL protokol) / Transport Layer Security (TLS) koji služi za
osiguranje šifrirane komunikaciju između web poslužitelja i klijenta. Obično se koristi
HTTPS za internet bankarstvo, platne transakcije stranicu za prijavu, itd. ovaj protokol na
portu 443 za komunikacije. Web stranice koje koriste ovaj HTTPS-u su i GMail.com, ali i
druge web stranice kao što su PayPal, Amazon, itd.
Pogledajmo na narednoj slici od čega se sastoji HTTPS protokol:
Slika 24. Sastav HTTPS-a
Ukoliko želimo da vidimo vezu računara i web poslužitelja u CommandPrompt ukucamo:
netstat –an :

38
Slika 25. Naredba netstat-an u cmd
Kao što možemo vidjeti na narednoj slici, klijentski računar je otvorio slučajne lokalne
portove i otvorenen je port 443 na strani poslužitelja.
Slika 26. Isječak naredbe netstat-an
Logika razmišljanja je sljedeća: ukoliko je potreban jako dug vremenski period za probijanje
HTTPS-a, onda ne treba napasti direktno HTTPS protokol, već pokušati zaobići njegovu S-
sekvencu, tj. pokušati zaobići ono što ga čini sigurnim, zaobići SSL.
Rješenje za ovu ideju predstavlja tkz. SSLStrip. Putem napada Man in the Middle uz pomoć
SSLStrip-a moguće je saznati željene passworde. Kako bi se izvršio Man in the middle napad
potrebno je sljedeće:

39
1.Linux OS
2. Arpspoof
3. IPTables
4. SSLStrip
5. NetStat
BackTrack potiče brz i jednostavan način kako pronaći i ažurirati najveću bazu podataka
sigurnosnih alata. Za demonstraciju u nastavku koristiti će se BackTrack verzija 3.
Slika 27. Shell BackTrack-a 3 izdanje
Nakon pokretanja BackTrack-a i otvaranja njegovog linux okruženja u shell-u kucamo
sljedeće:
1. echo '1' > /proc/sys/net/ipv4/ip_forward
// Ovom naredbom omogućavamo port forwarding, dopušta se BackTrack-u da može
proslijediti svaki paket, pa i onaj koji nije namjenjen klijentovom računaru.
2. Saznati adresu mrežnog gatewaya
netstat –nr

40
Slika 28. Echo i netstat naredba
Putem jednostavne naredbe ifconfig moguće je saznati i adresu hosta.
Slika 29. Ifconfig naredba

41
3. Koristiti naredbu arpspoof, kako biste izvršili tkz. Man in the middle attack.
arpspoof -i eth0 77.78.248.141
4. SSLStrip kreiran od strane Moxie Morlinspike koji omogućava demonstraciju HTTPS
raskrivanje napada koji su izneseni na Black Hat DC 2009. To će transparentno oteti HTTP
promet na mreži, gledati https veze i preusmjeravanja, a zatim mapirati veze u dvojne HTTP
veze ili homografski slične HTTPS veze.
4.1 Download-ovati SSLStrip
Slika 30. Download sslstrip-0.9.tar.gz
4.2 tar zxvf sslstrip-0.9.tar.gz
Slika 31. Otpakivanje sslstrip-a

42
4.3 cd sslstrip-0.9
4.4 python setup.py install
5. Izvršenje SSL Strip napada
5.1 iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port
8080
Slika 32. Iptables komanda
// Potrebno je podesiti firewall pravilo preko naredbe iptables, na način da se omogući
preusmjerenje upita sa porta 80 na 8080.
5.1.1 python sslstrip.py –w secret
Slika 33. Kreiranje secret log fajla
Ovom stavkom kreiran je „secret file“ u kojem će biti navedeni logovi, čime ćemo ustvari
skinuti „s“ sa https-a, i postići željeno.

43
Slika 33. Izvršavanje Arpspoof naredbe
5.2 echo '1' > /proc/sys/net/ipv4/ip_forward
arpspoof -i eth0 -t 77.78.248.141 77.78.248.1
Nakon setovanja iptables-a potrebno je preusmjeriti cijeli HTTP promet na naš računar,
preko naredbe arpspoof.
Nakon što sve radi kako treba, može se primijetiti ARPSpoof hvata mrežni promet, zatim
sljedeći korak je pokretanje SSL Strip-a otvarajući novi terminal (CTRL + ALT + T).
Nakon što se prikupi dovoljno podataka, za zaustavljanje ARPSpoof-a u SSLStrip-a potrebno
je korisititi: CTRL + C.
Slika 34. Secret log fajl opcije

44
Slika 35. Secret log fajl
Unutar foldera SSLStrip kreiran je novi fajl koji pohranjuje sve informacije koje su već
snimljene preko HTTP protokola, pa čak i HTTPS. Iz priloženog je izvršeno oslobađanje
HTTPS-a od „s“-dodatka, pa tako sada se može izvršiti pristup stranici PayPal-a na sljedeći
način:
Slika 36. Pristup PayPal računu preko HTTP-a
Analogno napadu na e-mail account moguće je izvršiti i napad na bilo koji račun, između
ostalih i PayPal račun.

45
Slika 37. PayPal login „zaštićen“ SSL-om
Također, moguće je vidjeti jednostavnu formu zapisa passworda, nakon što pogledamo
„source“ na Properties opciji za PayPal. Primijetiti ćemo da je ista kao kod zapisa log.fajla, te
da je „poprilično“ čitljiva.
Slika 38. Source code PayPal-a

46
Moguća prevencija od SSL Strip napada je:
Ukoliko se koristi javna mreža poput internet caffe-a, Hotspot unsecured-a, itd. potrebno je
minimizirati prijavljivanje na svoj osobni račun. Drugo rješenje je da se koristi SSH
tuneliranje.
6.1 PRIMJERI USPJEŠNIH NAPADA
Sve više novca se prenosi putem Internata putem e-bankarstva, samim time raste i broj tkz.
cyber kriminalaca. Oni koriste slabosti Interneta i aplikacija kako bi izvršili nelegalne
transfere novca. Napadači koriste nekoliko metoda prikupljanja informacija potrebnih za
izvođenje pljački. Jedna od njih je poznata phishing tehnika napada. Phishing se temelji na
slanju lažiranih poruka elektroničke pošte u kojima se navodi korisnika da otkrije osjetljive
podatke. Pored phishing metode napadači koriste zloćudne programe kao što su trojanski
konji. Trojanski konji se instaliraju na korisnikov računar i prate sve njegove aktivnosti, te
prikuplajju podatke potrebne za pristup e-banking uslugama. Za praćenje korisnikovih
(žrtvinih) aktivnosti, tj unosa znakova sa tastature, hakeri koriste alat poput keylogger-a.
Pharming je također jedna od metoda za krađu povjerljivih pristupnih kodova. Ona radi na
principu usmjeravanja user-a na tkz. rogue server. Mnoge velike tvrtke, posebno banke često
skrivaju činjenicu da ih je netko opljačkao elektroničkim putem zbog toga što bi to značilo da
njihov sistem nije dovoljno siguran, i sve ukupno bi predstavljalo lošu reklamu za poslovanje.
Ukoliko bi takve informacije došle u javnost izazvale bi paniku kod klijenata banke i
povlačenje novca iz banke, što bi automatski prouzrokovalo propast banke. Inicijalni korak
tokom pljačke se temelji na socijalnom inžinjeringu - pljačkaši potencijalnoj žrtvi upućuju
phishing e-mail - "pecarošku" poruku elektroničke pošte koja sadrži maskiranu poveznicu na
web-stranicu koja vrši instalaciju zloćudnog softvera. Iako se čini da bi prepoznavanje i
ignoriranje ovakve komunikacije trebalo biti dio elementarnog znanja i sposobnosti današnjeg
korisnika elektroničke pošte, postoje kategorije korisnika koje su u tom pogledu u vrlo
nezavidnoj situaciji. [3]
Svi elementi poruke koje programi za čitanje elektroničke pošte prikazuju na korisničkom
interfejsu se lako krivotvore, a svako uključen u gusto umreženi korporativni svijet i svaki
vlasnik privatnog biznisa ne može riskirati da ignorira poštu koja dolazi od nadređenih, koja
dolazi od važnih klijenata, u kojoj "izgubljeni" klijenti traže hitnu pomoć i šalju podatke ili
traže stvari koje možda ne bi smijeli pisati u e-mailu, u kojoj zainteresirani potencijalni novi
klijent uspostavlja inicijalni kontakt. Svaki korisnik elektroničke pošte je potencijalni
„naivac“ i žrtva. Potrebno je dakle zaključiti da kao odbrana od ovakve vrste socijalnog
inžinjeringa bitni su sistemski alati za odbranu - programi za zaštitu od virusa i drugih
malwarea, kao naravno i edukacija.

47
Zeus i SpyEye su alati pomoću kojih se izrađuju prilagođeni programi za nadzor računara.
Jednom instalirani na računar koriste se za izmjenu izgleda obrazaca na web stranicama,
sakupljanje određenih informacija i njihovo proslijeđivanje zlonamjernom napadaču. Glavna
namjena tih alata je da uljezu osiguraju autentifikacijske podatke žrtve. Pri tome mu
omogućuju da definira sadržaj koji će se injektirati u pojedinačne web-stranice ukoliko ih
žrtva otvori u svom pregledniku, pa može na prilično uvjerljiv način nagovoriti žrtvu da mu
preda inače tajne podatke: primjerice, u izvorni web-obrazac koji žrtva koristi na stranicama
svoje banke uljez može dodati polje za upis PIN-a pametne kartice. Zeus i SpyEye se mogu
infiltrirati na računar čak i ako nisu pokrenuti kroz korisnički račun s administratorskim
pravima i jednom kada modificiraju izvršnu datoteku preglednika ili neki plug-in, omogućuju
uljezu da vrši tzv. "man-in-the-browser" napad. Cilj je takvog napada da uljez izvrši transfer
sredstava s bankovnog računa žrtve na privremeni posrednički račun, te naknadnom
izmjenom u preglednik učitanih web-stranica tu transakciju sakrije od žrtve.
Postoji i kod tkz. Blackhole kit. To je kôd u JavaScriptu koji istražuje okolinu u kojoj je
pokrenut i potom nastoji iskoristiti sve poznate sigurnosne propuste u otkrivenim softverskim
komponentama kako bi na ciljani računar bez dopuštenja korisnika isporučio i instalirao neki
daljni program. Blackhole kit koristi poznate slabosti Adobe Readera, Adobe Flasha, Jave,
Windowsa, Internet Explorera. Detekciju od strane antivirusnih programa izbjegava
automatiziranim generiranjem različitih varijanti programskog kôda koje sve izvode isti
infiltracijski algoritam.
Najnoviji trend u svijetu su osobni phising napadi. Radi se o tome, da napadač odabere žrtvu
o kojoj već zna određene informacije, kao što su ime, prezime, broj bankovnog računa i
slično. Ove inforamcije koriste kako bi mail koji šalju žrtvi učinili što vjerodostojnijim, te
zadobili povjerenje žrtve. Ovakav pristup razlikuje se od tipičnog phising napada u kojem
prevaranti nasumce isporučuju spam i pritom ne pokušavaju točno odrediti žrtvu svog napada.
Svrha osobnih phising napada je zapravo nadopuna liste ukradenih dokumenata i podataka
povjerljivim informacijama, kao što su PIN-brojevi ili sigurnosni brojevi na kreditnim
karticama. Kao jedna od mjera zaštite jeste da svi korisnici/klijenti dobro obrate pažnju na
mailove koje primaju, te da ne idu na linkove koji se nalaze na mailovima, pogotovo ako su to
mailovi koji dolaze od banke, jer banka nikada neće na takav način tražiti određene podatke
ili informacije od korisnika/klijenta.
Također, potrebno je obratiti pažnju na URL-ove koji uključuju znak @. U primjeru
https://www.woodgrovebank.com@nl.tv/secure_verification.aspx, URL bi vas odveo na
lokaciju iza znaka @, ne na banku Wood Grove. Razlog tome je to što preglednici u URL-u
ignoriraju sve što dolazi prije znaka @. Prava lokacija, nl.tv/secure_verification.aspx, lako
može imati škodljivi sadržaj. Homograf je riječ koja se piše jednako kao druga riječ, ali ima
drugo značenje. Na računarima, homografski napad je internetska adresa koja izgleda kao
poznata internetska adresa, ali je zapravo izmijenjena. Svrha lažnih web-veza koje se koriste u
phishing prijevarama je prevariti vas tako da ih pritisnete. Na primjer, www.microsoft.com
može izgledati ovako:
www.micosoft.com

48
www.mircosoft.com
Kod sofisticiranijih homografskih napada web-adresa izgleda jednako kao ona legalnog web-
mjesta. Do toga dolazi kada je naziv domene stvoren korištenjem znakova abecede drugog
jezika. Na primjer, sljedeća internetska adresa izgleda legalno, ali ono što ne možete vidjeti da
je znak "i" ćirilični znak ruske abecede:
www.microsoft.com
Prevaranti lažiraju nazive domena banaka i drugih tvrtki kako bi prevarile korisnike i uvjerile
ih kako posjećuju poznata web-mjesta. Za otkrivanje ovakvih lažiranih naziva domena je
potreban poseban softver. [Preuzeto sa oficijelne stranice Microsoft-a]
28.06.2012. u Banja Luci više osoba privedeno je zbog kaznenih djela iz oblasti sigurnosti
računarskih podataka, u okviru istrage zloupotrebe platnih kartica koju MUP Republike
Srpske provodi s američkim Federalnim istražnim biroom i policijskim agencijama više
zemalja. Prvobitne mete hakera bili su računi sa većim iznosima u Italiji, Njemačkoj i
Nizozemskoj nakon čega su se napadi proširili na američki kontinent. Stručnjaci navode da su
hakeri mogli ukrasti dvije milijarde eura da je kampanija upada imala istu razinu uspjeha kao
što je to bilo a bankovnim računima u Nizozemskoj. Samo tokom marta hakeri su pokrenuli
transfere od ukupno 35 milijuna eura sa 5000 nizozemskih poslovnih računa u dvije banke.
"Guardian Analytics" i "McAfee" otkrili su 60 servera, koji su obrađivali nekoliko hiljada
krađa u pokušaju, a čija su meta biti obični potrošači nakon čega su prešli na poslovne račune.
Meta hakera bila je svaka financijska institucija bez obzira na klasu ili veličinu. U Italiji, meta
hakera bili su računi na kojima je bilo u prosjeku između 250.000 i 500.000 eura. Hakeri su
pronašli kod u štetnom softveru koji je prebacivao fiksni postotak ili relativno mali određeni
iznos na debitne kartice ili bankovne račune.
Sistem je uspješno prolazio za manje od 60 sekundi fizičke provjere poput čitača kartica, koji
je vrlo čest u Europi.
Našu zemlju također nisu zaobišli zlonamjerni hakerski napadi, tačnije krivotvorenje kreditnih
kartica, te kompjutersko krivotvorenje, oštećenja kompjuterskih podataka i programa,
neovlašteni pristupi zaštićenim sistemima i mreži elektronske obrade podataka, te
kompjuterske prevare. Naime, poznat je slučaj u kojem je jedno lice koristeći svoj kompjuter,
te kompjuterske programe, znanje i vještine iz oblasti informacionih tehnologija, kralo
podatke sa bankovnih kartica. Te podatke je uz pomoć lažne kreditne kartice koristilo za
bezgotovinsko plaćanje putem interneta. Na taj način je ovo lice na štetu jednog Amerikanca
iz Washingtona sebi pribavilo određenu imovinsku korist. Zlonamjernici koristeći određene
kompjuterske programe, skeniraju blokove IP adresa i tragaju za kompjuterima koji su ranjivi
jer imaju bezbjednosne propuste. Nakon što bi pronašli takve računare, u sisteme istih bi vrlo
lahko ušli, te kopirali i krali podatke o karticama. Poznat je slučaj u našoj zemlji da je jedno
lice, na takav način sakupilo 225 brojeva kreditnih kartica i lozinki. Uz pomoć krivotvorenih
kartica i sa ukradenim, mogla se kupovati roba putem interneta, kao i ukradene podatke
prodavati po IRC mrežama. Isto lice je sa ciljem pribavljanja imovinske koristi, posjedovalo

49
neovlašteno izrađene lažne web stranice banaka (uglavnom sa područja USA ili Velike
Britanije, a navodno se radi o sajtovima banaka: Bank of America i Wells fargo). Te sajtove
je koristilo za takozvano “pecanje“ žrtava od kojih je kralo lozinke i brojeve kartica. Također,
od istog lica, poznat je slučaj upadanja na web-stranicu jedne apoteke u USA te, krađa
administratorovog passworda i lozinke. Najčešće ove vrste krivotvorenja vrše se u
kombinaciji večeg broja ljudi, čime se postiže cilj da se decentraliziranim razmještajem
napadača postigne efekat da u slučaju sudskog spora, nije moguće organizovati i sazvati sve
optužene. Također na ovaj način se pokušava zavarati cijeli sigurnosni sistem, kako bi se što
teže otkrila odgovorna osoba za krivotvorenje i zloupotrebu podataka.
7. RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE
Svakom konekcijom na mrežu, i odlaskom u beskonačnost informacija korisnik se izlaže
nesigurnostima koje vladaju. Svakim klikom na korak smo do gubitka privatnosti, ako je već
nismo izgubili. Toliki je broj lažnih adresa, toliki broj virusa, malware-a, da kada bi se
provelo detaljno istraživanje istog, rezultati bi bili više nego poražavajući i šokantni za
korisnika računara, a to je skoro svaki čovjek na svijetu. Plaćanje preko Interneta samim time
zvuči puno nepovjerenja. Međutim, svakodnevno čovjek je izložen manjku vremena, i
pokušaju da sve obaveze ispuni u predviđenom roku. Zašto bi korisnik satima čekao u
redu,..zašto bi gubio dragocijeno, kada može kroz par klikova riješiti sva plaćanja i pri tome
uštediti i vrijeme i novac. Nude se mnoga sigurnosna rješenja,..ali koliko je to sve sigurno
pokazano je u nekim od prethodnih poglavlja.
Prvobitno, za svakog korisnika prvi rizik predstavlja pristup Internetu. Upotreba Interneta bez
antivirusa i firewall-a predstavlja otvorenu mogućnost pristupa i manevrisanja svim
zlonamjernim korisnicima mreže. Također popunjavanje zahtjeva, predaja i preuzimanje
sigurnosnih uređaja je sljedeći niz potencijalnih rizika. Korištenjem aplikacije od strane banke
moguće je napraviti određene pogreške, prilikom popunjavanja samog' naloga, autorizacije, te
su i ovo jedni od rizika. Samo čuvanje uređaja za autorizaciju, TAN listi,.. i sam socijalni
inženjering predstavljaju jedne od najvećih rizika plaćanja putem interneta. U narednim
naslovima biće obrađeni najpoznatiji načini plaćanja putem Interneta, i njihove osnovne
karakteristike. Na Black Hat¹ konferenciji je demonstrirano hakiranje čitača kartica, što je
samo jedan u nizu dokaza da niti jedan dio mrežnog sistema nije siguran.
¹ Black Hat konferencija je tehnička konferencija neovisna o proizvođačima i orjentirana sigurnosti i privatnosti. Kao takva, često se na
njoj objavljuju nove ranjivosti ili nove metode pronalaženja ranjivosti. Ova konferencija se održava svake godine u Las Vegas-u.

50
7.1 PAYPAL
PayPal je vrlo jednostavan način transfera novca preko
interneta. Desetine milijuna ljudi u svijetu ga koriste i većina ljudi ga preferira kao sredstvo
plaćanja. Registracija je besplatna i vrlo je jednostavna. Kada se kartica jednom registrira u
PayPal sistem, za plaćanje više nije potrebna kreditna kartica, jer svi potrebni podaci ostaju
memorisani. PayPal račun vezan je uz e-mail račun korisnika. E-mail je praktično i PayPal
račun, stoga se posebna pažnja mora obratiti na sigurnost samog e-mail account-a.
Ukoliko bi neko došao u posjedovanje korisničkog imena i passworda e-mail acounta, otvara
mu se mogućnost da može platiti bilo koju PayPal transakciju. PayPal je ustvari servis koji
posreduje između korisnika/klijenta i prodavača. Znači, ukoliko neka prodavnica nudi usluge
plaćanja preko Paypal-a, to znači da je kao metod plaćanja odabran PayPal. Ukoliko npr. neki
registrovani korisnik želi kupiti artikl prodavnice koja nudi usluge plaćanja preko PayPal-a, to
znači da će ta prodavnica nakon „kupovine“ određenog artikla, proslijediti iznos PayPal-u,
koji će obavijestiti korisnika da „ta i ta “ prodavnica želi skinuti određeni iznos novca sa
kartice korisnika, i tražiti će potvrdu od korisnika za isto. Od 2007. godine bilo je omogućeno
samo slanje novca putem PayPal-a, a od 06.04.2011. godine moguće je i primati novac na
PayPal na teritoriji BIH.
Slika 39. BiH još jedna od zemalja u kojoj je moguće i primati novac preko PayPal-a
[Slika preuuzeta sa oficijalne stranice PayPal-a]

E-banking i sigurnost tehnickih rjesenja za Internet transakcije

E-banking i sigurnost tehnickih rjesenja za Internet transakcije

Recommended

Recommended

More Related Content

Similar to E-banking i sigurnost tehnickih rjesenja za Internet transakcije

Similar to E-banking i sigurnost tehnickih rjesenja za Internet transakcije (11)

More from Aldina Bajraktarevic

More from Aldina Bajraktarevic (9)

E-banking i sigurnost tehnickih rjesenja za Internet transakcije