SIGURNOST RACUNARSKIH SISTEMA (I KOLOKVIJ)
SIGURNOST RACUNARSKIH SISTEMA
SIGURNOST (Security)Sigurnost je proces odravanja prihvatljivog
nivoa rizika. Znai, sigurnostje proces, a ne zavrno stanje, tj.
Nije konani proizvod.Kada se govori o sigurnosti i zatiti
informacionih sistema i mrea, nekoliko principa danas vae kao
osnovni postulati: Sigurnost je proces. Sigurnost nije proizvod,
usluga ili procedura, ve skup koji ih sadri-uz jo mnogo elemenata i
mjera koje se stalno sprovode. Ne postoji apsolutna sigurnost. Uz
razliite metode zatite, treba imati u vidu i ljudski faktor, sa
svim slabostima.
PRIJETNJA / NAPADNapad na sigurnost (engl. security attack) bilo
koja akcija koja ugroava sigurnost informacija.Sigurnosni
mehanizam(engl. security mechanism) mehanizam koji treba da
detektuje i predupredi napad ili da sistem oporavi od
napada.Sigurnosna usluga(engl. security service) usluga koja
poveava sigurnost sistema za obradu i prenospodataka. Sigurnosna
usluga podrazumeva upotrebu jednog ili vie sigurnosnih
mehanizama.KATEGORIJE NAPADA:U osnovi, napadi su akcije koje su
usmerene na ugroavanje sigurnosti informacija, raunarskih sistema i
mrea. Postoje razliite vrste napada, ali se oni generalno mogu
klasifikovati u etiri osnovne kategorije:a)
Presjecanje,prekidanje(engl. interruption)b) Presretanje(engl.
interception)c) Izmjena(engl. modification)d) Proizvodnja,
fabrikovanje(engl. fabrication)
Prijetnja(engl. threat) je protivnik, situacija ili splet
okolnosti sa mogunou i/ili namerama da eksploatie ranjivost.
Prijetnja sigurnosti nekog informacijskog sustava je svaki dogaaj
koji moe ishoditi naruavanjem integriteta, pouzdanosti i
dostupnosti podataka. Takoer, vano je spomenuti da svaka prijetnja
i neovlateni pristup informacijskom sustavu, imaju razliite
posljedice, npr. unitavanje podataka (tonosti, dostupnosti, itd.)
ili naruavanje ispravnog rada cijelog informacijskog sustavaPasivne
i aktivne pretnjePasivne prijetnje su one koje ne utiu neposredno
na ponaanje sistema i njihovo funkcionisanje. U pasivne pretnje
spadaju otkrivanje sadraja poruka (na primer, prislukivanje) i
analiza saobraaja.Aktivne prijetnje mogu uticati na ponaanje i
funkcionisanje sistema ili na sadraj podataka. U aktivne pretnje
spadaju: maskiranje, tj. pretvaranje, lairanje (engl. masquerade),
reprodukcija, tj. ponavljanje mrenog lairanje (engl. masquerade),
reprodukcija, tj. ponavljanje mrenog saobraaja (engl. replay),
izmena sadraja poruke i odbijanje usluge.
Prema klasifikaciji NIST-a (National Institute of Standards and
Technology) prijetnje informacijskim sustavima se mogu podijeliti
na:1. Greske i kvarovi2. Prijevare i krae3. Sabotaa od strane
zaposlenih4. Gubitak fizicke i infrastrukturne podrske5.
Zlonamjerni programi6. Hakeri7. Prijetnje privatnosti korisnika
Takoer, vrijedno je spomenuti i klasifikaciju prema ISO/IEC
17799:2000 standardu (Code of Practice for Information Security
Management) koji definira ispravne i sigurne naine upravljanja
nekim informacijskim sustavom. Prijetnje su podijeljene obzirom na
uzroke nastanka:1. Prirodne katastrofe2. Tehnicki uzorci3.
Nenamjerne ljudske radnje4. Namjerne ljudske radnjeComputer
Security Institute (nadalje CSI) je naveo vrlo jednostavnu
klasifikaciju prijetnji, obzirom na poziciju prijetnje u odnosu na
poziciju informacijskog sustava, tj. prijetnje je podijelio na
unutarnje i vanjske. Unutarnjim prijetnjama smatraju se sve
namjerne i nenamjerne radnje korisnika koji imaju izravan pristup
informacijskom sustavu. Vanjske prijetnje su definirane kao svi
pokuaji nanoenja bilo kakvog oblika tete udaljenim napadima ili
ubacivanjem zlonamjernih programa u informacijski sustav sa
udaljenih lokacija.
DOS I DDOS NAPADI
**DOS
DoS (eng. Denial of Service) napad ili napad uskraivanja usluga
je pokuaj napadaa da uini nedostupnim raunalo korisnicima kojima su
namijenjene njegove usluge. Iako naini, motivi i ciljevi DOS napada
mogu varirati, openito napad se sastoji od napora jedne ili vie
osoba kako bi trajno ili privremeno sprijeila efikasno
funkcioniranje Internet stranice ili usluge. Poinitelji DoS napada
obino ciljaju lokacije ili usluge web posluitelja kao to su banke i
DNS posluitelji. DoS napad je implementiran kako bi prisilio
raunalo da iskoristi resurse tako da ne moe pruiti usluge
namijenjene korisnicima. Izvoenje denial-of-service napada smatra
se krenjem Internet Proper Use Policy pravila, ali takoer oznaava i
krenje zakona pojedinih nacija.
United States Computer Emergency Readiness Team definira
simptome DoS napada kao: neuobiajena sporost mree (prilikom
otvaranja datoteke ili pristupanja web stranicama), nedostupnost
odreene web stranice, nemogunost pristupa bilo kojoj web stranici,
drastino poveanje broja primljenih spam poruka elektronike pote
(ovaj tip DoS napada se naziva "Mail-Bomb").
DoS napad karakterizira eksplicitan pokuaj napadaa da sprijei
legitimnim korisnicima usluga koritenje tih usluga. Napadi mogu
biti usmjereni na bilo koji mreni ureaj, ukljuujui usmjerivae,
posluitelje elektronike pote ili DNS (eng. Domain Name System)
posluitelje. DoS napad moe biti poinjen na razliite naine, a pet
osnovnih tipova napada su: 1. Potronja raunalnih resursa, kao to su
komunikacijski kapacitet, diskovni prostor, ili procesorsko
vrijeme. 2. Poremeaj konfiguracijskih podataka, kao to je
usmjeravanje informacija. 3. Poremeaj informacija o stanju (eng.
state information), kao to je neeljeno ponovno postavljanje (eng.
reset) TCP veze. 4. Poremeaj fizike komponente mree. 5. Prekid
komunikacije izmeu legitimnih korisnika, tako da oni vie ne mogu
komunicirati na odgovarajui nain.
DoS napad moe ukljuivati izvrenje zlonamjernih programa
namijenih za: maksimalno koritenje procesora kako bi se spreavala
bilo koja operacija, pokretanje pogreke u mikroprocesoru,
pokretanje pogreke u redoslijedu naredbi kako bi raunalo prelo u
nestabilno stanje, iskoritavanje pogreke u operacijskom sustavu da
bi se uzrokovalo izgladnjivanje (eng. resource starvation) tj.
koritenje svih dostupnih objekata tako da pravi posao ne moe biti
zavren, ruenje samog operacijskog sustava, pokretanje posebno
oblikovanih HTML datoteka koje navode korisnika da posjete web
stranice mnogo puta sve dok se ne prekorai doputeni komunikacijski
kapacitet.
METODE DOS NAPADA:
ICMP fwuds ICMP fwuds se odnosi na napade poplavljivanjem,
slanjem velikog broja paketa na posluitelje kako bi se iskoristili
svi raspoloivi resursi. Smurf napad je jedna posebna inaica
poplavljujuih (eng. flooding) DoS napada na javni Internet. On
iskoritava loe konfigurirane mrene ureaje koji omoguuju slanje
paketa na sve posluitelje odreene mree putem adrese razailjanja
(eng. broadcast). Mrea tada slui kao smurf pojaalo. U tom napadu,
poinitelji alju veliki broj IP paketa s izvorinih adresa koje su
lairane da bi izgledale kao adresa rtve. Komunikacijski kapacitet
mree se brzo iskoristi to spreava legitimne pakete da stiu do svog
odredita.Ping poplavljivanje temelji se na slanju mnogo ping
paketa, obino koristei "ping -f" naredbu.Vrlo se jednostavno
pokree, a primarni uvjet je da napada ima pristup veoj irini pojasa
negortva.Prilikom SYN poplavljivanja alje se niz TCP / SYN paketa,
esto s lairanom adresom poiljatelja.Svaki od tih zahtjeva rtva
tretira kao zahtjev za vezu, to uzrokuje napola otvorene veze
slanjemnatrag TCP / SYN-ACK paketa te ekanjem paketa s adrese
poiljatelja. Meutim, budui da jeadresa poiljatelja lana, odgovor
nikad ne dolazi.
Teardrop napad Teardrop napad ukljuuje slanje oteenih IP
fragmenata s preklapanjem (eng. overlapping) na ciljano raunalo.
Nedostatak u kodu za TCP / IP fragmentaciju u brojnim operacijskim
sustavima uzrokuje nepravilno rukovanje fragmentima te pad sustava
kao rezultat toga. IP paket koji je preveliki za usmjeritelj dijeli
se na fragmente. U fragmente paketa upisuje se udaljenost od poetka
prvog paketa, to omoguuje ponovno sastavljanje paketa na drugoj
strani. U ovom napadu napada postavlja zbunjujuu udaljenost u jedan
od fragmenata. Ako posluitelj koji prima takav paket nema plan za
takav sluaj rezultat e biti pad sustava. Stalni DoS napadi (PDoS
Permanent Denial of Service) je napad koji oteti sustav tako jako
da zahtijeva zamjenu ili ponovnu instalaciju fizikih komponenti
raunala (eng. hardware). PDoS napad iskoritava sigurnosne
nedostatke na udaljenim upravljakim sueljima bilo da su to
usmjerivai, pisai ili drugo mreno sklopovlje. Za razliku od DDoS
napada, koji je usmjeren na uskraivanje usluga ili rada web
stranica, PDoS je usmjeren izravno na unitavanje raunalnih
komponenti. Razvio ga je tim programera pod vodstvom jednog od
zaposlenika Hewlett-Packard-Systems Security Lab-a Rich Smitha.
Takoer, razvili su i alat PhlashDance koji se koristi za detekciju
i prikaz PDoS ranjivosti.
Poplavljivanje na razini aplikacijeRazne ranjivosti koje
omoguuju DoS stanja, kao to je prepisivanje spremnika (eng. buffer
overflow), mogu uzrokovati zauzee prostora na disku ili zauzimanje
svih raspoloivih resursa memorije ili CPU vremena. Neke vrste DoS
napada se oslanjaju prvenstveno na brute force napad, poplavljujui
cilj s tokom paketa te zasiujui vezu ili preoptereujui resurse
raunala. Poplavljivanje zasiivanjem resursa oslanja se na injenicu
da napada ima na raspolaganju veu irinu pojasa od rtve. est nain
postizanja ovog napada danas je distribuirani DoS napad koritenjem
botnet-a. Botnet je izraz koji se koristi za skupinu ugroenih
raunala (zvanih Zombi raunala) na kojima je pokrenut zlonamjerni
kod. Ostala poplavljivanja mogu koristiti odreene vrste zahtjeva da
bi zasitili resurse, na primjer, okupiranje maksimalnog broja
otvorenih veza ili punjenje rtvinog diskovnog prostora. "Banana
napad je jo jedan posebni tip DoS napada, a ukljuuje
preusmjeravanje odlaznih korisniinih poruka natrag klijentu,
spreavanje vanjskog pristupa, kao i poplavljivanje klijenta
poslanim paketima. 'Pulsing zombie' je izraz koji se odnosi na
posebnu vrstu DoS napada kada je mrea podvrgnuta viestrukim ping
porukama. Takvo stanje rezultira degradiranom kvalitetom usluga i
poveanim koritenjem resursa. Ovu vrstu napada je teko otkriti.
**DDOSIzraz DDoS (eng. Distributed Denial of Service) oznaava
oblik napada uskraivanjem usluga u kojem su izvori mrenog prometa
(napada) distribuirani na vie mjesta diljem Interneta. Ta raunala
iz kojih se obavlja napad nisu u vlasnitvu napadaa, ve neka rtva
koja u pravilu i nije svjesna da se njeno raunalo koristi za napade
protiv drugih raunala i sustava. Najee se radi o raunalima koja
sadre neku ranjivost to omoguuje napadau razbijanje sustava zatite
te irenje zlonamjernog koda. Nakon toga raunalo je u vlasti napadaa
koji jednom naredbom pokree DDoS napad s mnogih provaljenih raunala
na ciljano raunalo. Postoje razni alati koji omoguavaju
automatizirano izvoenje napada, ali i alati koji slue u svrhu
zatite od takvih napada.
DDoS napadi ukljuuju provaljivanje u stotine ili tisue raunala
putem Interneta. Nakon toga, napada instalira DDoS program na sve
njih, ime dobije kontrolu nad njima za pokretanje koordiniranog
napada na krajnju rtvu. Ti napadi obino iskoritavaju kapacitet
usmjerivaa ili mrene resurse to prekida povezanost mree i
korisnika.
Da bi pokrenuo DDoS napad, zlonamjerni korisnik prvo mora
izgraditi mreu raunala koja e se koristiti za stvaranje velikog
prometa koji je potreban da bi se onemoguila usluga legitimnim
korisnicima. Da bi stvorili ovu mreu, napadai otkrivaju ranjive
aplikacije (kao to su npr. web stranice) ili posluitelje. Napadai
iskoritavaju takve ranjivosti posluitelja kako bi dobili pristup.
Sljedei korak napadaa je instaliranje novih programa (alati za
izvravanje napada) na ugroene posluitelje. Posluitelji u kojima su
pokrenuti takvi alati za izvravanje napada nazivaju se zombi
raunala (eng. zombies), a mogu obaviti svaki napad koji im naredi
napada. napad poinje probijanjem u slabo osigurana raunala,
koristei poznate greke u standardnim mrenim uslunim programima te
slabu konfiguraciju u operacijskim sustavima. Na svakom sustavu,
nakon provale, napada obavlja neke dodatne korake. Prvi korak je
instaliranje programa kako bi se prikrila provala u sustav te kako
bi se sakrili svi tragovi njegovih naknadnih aktivnosti. Na
primjer, standardne naredbe za prikazivanje procesa koji su
pokrenuti su zamijenjeni inaicom koja ne prikazuje procese napadaa.
Svi ti alati imaju zajedniki naziv rootkit, jer nakon instalacije
preuzimaju administratorske ovlasti. Tada se instalira poseban
proces koji se koristi za udaljenu kontrolu raunala. Ovaj proces
prima naredbe preko Interneta i kao odgovor na ove naredbe pokree
napad putem Interneta prema odreenoj rtvi. Rezultat ovoga
automatiziranog procesa je stvaranje mree koja se sastoji od
rukovoditeljskih (eng. master) i posrednikih (eng. daemon)
strojeva. Svaki napada mora raditi s adrese koja se najee ipak moe
povezati s njegovim identitetom. Stoga e oprezni napada poeti
razbijanje sa samo nekoliko raunala, a zatim ih koristiti za
razbijanje vie novih raunala te ponavljanjem ovog ciklusa smanjiti
mogunost da bude otkriven. Vrijeme napada za napadaa traje samo
jednu naredbu koja pokree pakete naredbi da svi zarobljeni strojevi
pokrenu odreeni napad na odreeni cilj. Takoer, i kada napada odlui
prekinuti napad on treba poslati samo jednu naredbu.
Metode DDoS napada DDoS napad moemo podijeliti u dvije osnovne
grupe: tipini i reflektirani DDoS napad. Peer-to-peer napad Napadai
su otkrili nain iskoritavanja nekoliko nedostataka u peer-to-peer
(veza jedan-na-jedan) posluiteljima za pokretanje DDoS napada.
Prilikom izvoenja napada, napada nalae klijentima velikih
peer-to-peer vorita za dijeljenje datoteka da se iskljue iz svojih
peer-to-peer mrea i spoje na rtvino raunalo. Kao rezultat toga,
nekoliko tisua raunala moe se agresivno pokuati povezati s ciljanim
raunalom. Iako tipini web posluitelj moe obraivati nekoliko stotina
veza u sekundi prije nego to mu performanse ponu opadati, veina web
posluitelja pada gotovo odmah pri pet ili est tisua veza / sec.
Prilikom peer-to-peer napada web stranica moe biti pogoena sa
750.000 veza u kratkom vremenu.
DNS Backbone DDoS napadDNS Backbone DDoS napad je napad u kojem
se zlonamjerni korisnik koristi DDoS napadom kako bi razbio jedan
ili vie DNS posluitelja. DNS (eng. Domain Name System) posluitelj
slui za prevoenje tekstualnih imena posluitelja u IP adrese.
Izvoenje ovog napada moe biti vrlotetno jer dolazi do velikog
gubitka prometa. Napad se izvodi kao i obini DDoS napad samo to
seusmjerava protiv DNS posluitelja.
Tipini DDoS napad U tipinom DDoS napadu vojska napadaa se
sastoji od zombi gospodara i zombi robova. Posluitelji su
komprimirani ureaji koji su nastali tijekom procesa skeniranja i
sadre zlonamjerni kod. Napada koordinira i nareuje gospodaru koji
zatim proslijedi naredbu robovima. Konkretnije, napada alje naredbu
za napad gospodaru i aktivira sve procese napada na tim ureajima,
koji su u stanju hibernacije, ekanja na odgovarajuu naredbu da se
probude i ponu napad. Zatim gospodari, potaknuti ovim procesima,
alju naredbe za napad robovima nareujui im da ponu DDoS napad na
ciljani ureaj. Na taj nain, robovi poinju slati veliki obujam
paketa na ciljani ureaj, poplavljujui svoje sustave beskorisnim
optereenjem i iskoritavaju svoje resurse.DRDoS napad DRDoS (eng.
distributed reflected denial of service) ukljuuje slanje lanih
zahtjeva na vrlo velik broj raunala koja odgovaraju na njih.
Izvorina adresa unutar zahtjeva postavljena je tako da svi odgovori
idu na ciljano raunalo. Time dolazi do iskoritavanja resursa te
uskraivanja usluga. DRDoS napad generira istu koliinu prometa kao i
DDoS napad, ali koristi efikasniju metodu za postizanje toga. Slika
5 prikazuje korake DRDoS napada. Kada posluitelj prima SYN paket
odgovora SYN / ACK paketom to su prva dva koraka za uspostavu veze.
Pri napadu alje se SYN paket bilo kojem od javno dostupnih
posluitelja s lairanom izvornom IP adresom koja pokazuje na ciljanu
rtvu napada. Primatelj SYN paketa generira SYN / ACK i alje ga
rtvi. Na ovaj nain posluitelj se koristi da bi odraavao pakete na
ciljanu mreu, a ne za slanje paketa izravno na cilj kao to je sluaj
u DDoS. Slino kao i kod DDoS napada koristi se velik broj
posluitelja za slanje SYN paketa koji zatim generiraju veliku
koliinu prometa. U odnosu na DDoS napad, DRDoS je napad koji moe
uzrokovati vie tete s manjim brojem posluitelja. Posluitelji koji
reflektiraju ne moraju biti ranjivi, tj. na njih ne treba
provaljivati pa se za napad moe koristiti veliki broj posluitelja
koji su inae dobro zatieni.Jedna od mogunosti zatite sustava od
DRDoS napada je filtriranje SYN/ACK paketa. Ako se pretpostavi da
je ciljano raunalo zapravo posluitelj ono nema razloga primati
SYN/ACK pakete (posluitelji primaju samo SYN i ACK pakete). Ipak
takvim postupkom filtriranja paketa mogue je odbaciti neke korisne
pakete.
Usporedba DoS i DDoS napada Vrlo je vano primijetiti razliku
izmeu DoS i DDoS napada. Ako napada izvodi napad iz jednog
posluitelja taj napad e biti klasificiran kao DoS napad. U biti,
bilo koji napad na uporabljivost bi se trebao klasificirati kao DoS
napad. S druge strane, ako je jedan napada koristi hiljadu zombi
sistema za istovremeno pokretanje napada taj napad e biti
klasificiran kao DDoS napad. Znai, DoS napad se provodi s jedne te
iste IP adrese, dok pri DDoS napadu radi se o vie IP adresa.
Jo jedna vana razlika izmeu DoS i DDoS napada je u tome to kod
DDoS napada postoji mogunost da vlasnik nekog raunala ne zna da
sudjeluje u napadu. Takva raunala nazivamo gospodari, a oni
upravljaju robovima.
DDoS napad moe napraviti daleko vie tete mrenim operatorima,
davateljima usluga, ali i obinim korisnicima Internet usluga.
Svakim novim prikljuivanjem raunala na Internet javlja se mogunost
stvaranja novog gospodara ili roba.
Glavne prednosti napadaa koji koristi DDoS napad su: vie raunala
moe generirati vie prometa od jednog, vie napada raznih raunala tee
je otkloniti od napada jednog raunala, ponaanje svakog raunala koje
napada moe biti upravljano sa nekim od alata zaautomatizaciju
napada to je tee pronai i otkloniti.
CIA TROKUT
Tri temeljna zahtjeva, tzv. CIA trojka 1. povjerljivost (engl.
confidentiality), tajnost(engl. secrecy) razmijenjene poruke
trebaju biti razumljive samo poiljatelju i namjeravanom primatelju;
zatita komunikacije ili pohranjenih informacija od uvida
neovlatenim korisnicima SA VJEZBI: osigurati podatke od
neovlastenog pristupa
2. cjelovitost, integritet(engl. integrity) jamstvo da su
informacije poslane, primljene ili pohranjene u izvornom i
nepromijenjenom obliku SA VJEZBI: podatke ne bi smjeli mjenjati
ljudi koji nisu autorizovani za to, a i takvi imaju granice
3. raspoloivost(engl. availability) informacije moraju biti
raspoloive, a sustavi i usluge u operativnom stanju, usprkos moguim
neoekivanim i nepredvidljivim dogaajima, primjerice nestanku
struje, prirodnim nepogodama, nesreama i zlonamjernim napadimaSA
VJEZBI:da podaci budu dostupni osobama pravovremeno
U skup moguih zahtjeva dodaju se jo autentinost i neporecivost.
Meutim nisu toliko prihvaeni kao prethodna tri .autentinost(engl.
authenticity) potvrda identiteta korisnika; ovjera vjerodostojnosti
(autentifikacija) sudionika komunikacije neporecivost(engl.
nonrepudiation) sudionici ne mogu porei akciju u kojoj su
sudjelovali, npr. nemogunost naknadnog odricanja odaslane
poruke
VRSTE NAPADA NA SISTEM (PREKIDANJE, PRESRETANJE, IZMJENA,
FABRIKACIJA)
Presretanje(engl. interception) iliPrislukivanje(engl.
evesdropping) iliPrislukivanje na vodu (engl. wiretapping)
-elektronika komunikacija se presree i preuzima informacija
-Potencijalne tete : Neovlatena uporaba podataka Potencijalno
naruavanje privatnosti
Prekidanje(engl. interruption) prekidanje normalnog tijeka
komunikacije, usluge ili aplikacije iliUskraivanje usluge(engl.
denial ofservice) onemoguavanje usluge izazivanjem preoptereenja
mree ili umreenog sustava
Izmjena (engl. modification, tampering) promjena ili unitenje
informacije kanjenje moe izazvati isti uinak informacija postaje
nevanaOva forma napada jo se zove ovjek u sredini (engl. manin
themiddle, MITM)
Fabrikacija (engl. fabrication) ubacivanje zlonamjerne
informacije Ponavljanje(engl. replay) ubacivanje informacije
prethodno preuzete presretanjem
Lano predstavljanje maskiranje (engl. masquerade) utjelovljenje
(engl. impersonation) - preuzimanje identiteta i uloge
korisnika
esto se u kontekstu komunikacija govori o napadu ovjek u sredini
engl. Man in the Middle, MITM To je situacija u kojoj su prisutne
sve prethodno spomenute prijetnje Kako bi sve navedene prijetnje
bile ostvarive napada se mora nalaziti negdje na putu kojim se
prenose podaci
4 PROCESA SIGURNOSTI (PROCJENA, ZASTITA, OTKRIVANJE,
ODGOVOR)
BOTNET ,
BotNet oznaava mreu zaraenih raunara na Internetu. Termin je
nastao spajanjem rei BOT (od Robot) i NET, koja znai mrea.Botnet je
skup raunala koja su zaraena zlonamjernim programom koji omoguava
osobi koja ga je stvorila odreenu kontrolu nad zaraenim raunalima.
Pri tome korisnik zaraenog raunala nije ni svjestan da mu je
raunalo zaraeno i da sudjeluje u raznim, obino zlonamjernim
aktivnostima. Zaraeno raunalno postaje zombi ili bot koji eka
instrukcije od glavnog raunala (engl. Bot master). Od samog poetka
pojave botneta vidljiv je njihov razvoj i napredak, pa tako danas
imamo dvije glavne podjele botneta: centralizirane i peer to peer.
Sve sa svrhom da se botneti tee detektiraju i iskorijene. U samim
poecima razvoja botneta njihova glavna svrha je bila irenje spam
poruka, dok su danas uglavnom usmjereni na krae osobnih podataka i
brojeva bankovnih rauna, slanje spam poruka, provoenje napada
uskraivanjem usluge i posluivanje zlonamjernog kda i phishing
stranica.Nain rada botneta Prilikom zaraze zlonamjernim programom
na raunalo se instalira backdoor ili program koji omoguava vlasniku
botnet mree komunikaciju i kontrolu nad zaraenim raunalom. Nakon
instalacije backdoora jako je teko isti maknuti s raunala, ak i
nakon instaliranja najnovijih sigurnosnih auriranja. Nakon zaraze
raunalo pokuava komunicirati s vlasnikom botneta. Zaraeno raunalo
moe poslati hrpu informacija o raunalu, ukljuujui vlastitu IP
adresu, verziju operacijskog sustava, popis instaliranih zakrpa i
mnoge druge. Jednom zaraeno raunalo spremno je izvravati akcije
koje mu vlasnik mree naredi.Postoje razni naini na koji se raunala
mogu zaraziti i postati dio botneta:-Drive-by downloads:
Najjednostavniji nain zaraze raunala je posjeivanje zaraene web
stranice s raunala koja nema instalirana najnovija auriranja na
sebi.-Email: Stariji, ali jo uvijek popularan nain zaraze je
otvaranjem elektronike pote sa zlonamjernim sadrajem.-Piratski
programi: Zlonamjerni programeri esto kriju zlonamjerni kd u sklopu
programa. Korisnici preuzimaju te programe, instaliraju ih na
raunalo i nisu svjesni da su s piratiziranim programom dobili i
zlonamjerni program.Vrste:Centralizirani botneti su vrsta botneta u
kojoj su svi botovi povezani s jednim slojem komandnih i kontrolnih
centara (engl. Command and control centar - C&C). C&C
stalno oslukuje i eka na nova zaraena raunala. Kad se ostvari
komunikacija s novim botom on ga registrira u svojoj bazi, prati
njegov status i alje naredbe koje treba izvriti. Upravitelj botneta
komunicira s C&C-om i na taj nain upravlja cijelom
mreom.-Decentralizirani (P2P) botneti P2P botneti se temelje na
ideji da su svi botovi jednako vani kako bi se uklonila potreba za
centralnim posluiteljem. Raunala koja se nalaze iza NAT-a,
vatrozida ili posrednikih posluitelja ne mogu prihvatiti dolazne
konekcije, ali zato mogu inicirati komunikaciju.
STUXNET...Za razliku od veine raunalnih virusa koji su
dizajnirani za tetu raunalnih sustava, Stuxnet crv je stvoren kako
bi zarazio industrijske sustave i napravljen je od istog koda. Bio
je iznimno uspjean u svojoj misiji. Unazad godinu dana ovaj opasan
i vrlo sposoban virusa gotovo je sabotirao iranski nuklearni
program.Industrijski sustavi kontrole se sastoje od programabilnih
logikih kontrolera (PLC), koji se mogu shvatiti kao mini-raunala i
programirati iz sustava Windows. Programeri koriste softver (npr.
na Windows PC-u) za stvaranje koda koji kontrolira automatizaciju
industrijskih procesa, a zatim postavljaju svoj kod u PLC. Stuxnet
ima sposobnost da se sakrije i umetne u kod koji se nalazi upravo
na PLC-u.Stuxnet je prvi crv koji je stvoren da bi napao kljunu
infrastrukturu elektrana ili elektrinih mrea. Re je o neverovatno
sofisticiranom malwareu koji ima jasno definisanu metu. Ako se, na
primer, on bude naao na vaem kompjuteru, nikakva teta ne bi bila
nainjena, osim ako va PC nije povezan sa specifinim SCADA sistemom
(u pitanju je platforma koja se koristi za kontrolu i nadzor
industrijskih procesa od jednostavnije komande nad mainama na
proizvodnoj traci pa sve do neverovatno sloenih operacija povezanih
sa sigurnim funkcionisanjem nuklearnih reaktora). Meutim, ako ne
obogaujete uranijum koristei se Siemensovim mainama, prosean
trojanac predstavljao bi vam veu muku od Stuxneta.
Ovaj crv je, dakle, neverovatno precizan. Njegova jedina eljena
meta je Siemensov sistem SCADA, jo preciznije deo njegovog koda
poznatiji kao Operacioni blok 35. Ta komponenta odgovorna je za
kontrolu procesa koji zahteva brzinu odgovora od 100 milisekundi.
Najmanja izmena mogla bi, kako istie jedan od vodeih strunjaka za
industrijsku sigurnost Ralf Langner, da dovede do katastrofalne
eksplozije. Jasno je da Stuxnet predstavlja pravu cyber raketu,
lansiranu pre otprilike godinu i po dana s namerom da pogodi jasno
definisan cilj.
Stuxnet je prvi put otkriven u junu ove godine, i to od strane
kompanije VirusBlokAda iz Belorusije koja se bavi bezbednou i
sigurnou. Odmah je bilo jasno da se radi o neem posebnom: Stuxnet
je bio vei od pola megabajta, to je nezapameno kod malicioznog
softvera. Jo okantnija bila je injenica da je to prvi crv koji
dolazi sa PLC rootkitom. PLC se odnosi na programmable logic
controllers, tj. na posebne kompjutere koji se koriste za
automatizovanje elektromehanikih procesa u industriji (kontrolu
robota). Ovo obuhvata irok spektar razliitih ureaja koji se koriste
u proizvodnji ili obezbeivanju stabilnosti i sigurnosti rada, ali
se kasnije ustanovilo da Stuxnet gaa specifian Siemensov
sistem.
Rootkit je dizajniran da ovom crvu omogui neometen apsolutni
pristup kompjuteru tako to e ga zamaskirati kao legitiman proces.
Zbog toga je za otkrivanje ove digitalne bolesti bilo potrebno vie
vremena nego to je to uobiajeno za ostale crve. Ubrzo poto je
VirusBlokAda obelodanila postojanje ovog virusa, Kaspersky Labs je
izdao saoptenje u kojem se navodi da je re o funkcionalnom i
zastraujuem prototipu cyberoruja koje e dovesti do nove vrste trke
za naoruanjem u svetu. Kao jedino reenje da se zaustavi novi
digitalni rat Kaspersky Labs je, nekako ironino, predloio drastinu
meru da se prekine sa korienjem Microsoftovog softvera. Istraivanje
kolega iz Symanteca pokazalo je da je 60 odsto inficiranih
kompjutera locirano u Iranu.
Stuxnet napada sve Windows operativne sisteme poev od verzije
2000. On za svoje delovanje koristi ak etiri razliite ranjive take
u Windowsu. To je takoe dosad nevieno. Pretpostavlja se da je
Stuxnet stigao u iranske nuklearne elektrane na USB stiku. Ovakav
pristup je neophodan zato tu su kompjuteri koji se koriste za
platformu SCADA deo lokalne mree u iranskim postrojenjima i nisu
povezani na Internet. Tu upravo uskae prvi zero-day attack ili
iskoriavanje ranjivih taaka u Windowsu.
Stuxnet se infiltrira u operativni sistem tako to se njegov
trojanski deo, koji se sastoji od dva maliciozna drajvera
mrxnet.sys i mrxcls.sys, kopira u direktorijum System32\drivers.
Rootkit komponenta zaduena je za stealth segment. Pomou nje Stuxnet
ostaje neidentifikovan. Nakon toga, nastupa drugi zero-day attack,
tj. ranjivost vezana za lokalne mree. Stuxnet se iri od kompjutera
do kompjutera i na svakom proverava ima li SCADA sistema.
MALVERI
Stroga i precizna definicija zlonamernog programa ne postoji. U
zlonameran softver (engl. malware, malicious software) ubraja se
svaki program napravljen u nameri da na bilo koji nain oteti umreen
ili neumreen raunar, i/ili otea ili onemogui njegovo
korienje.Ponekad se programi, koji inae slue u korisne
(dobronamerne) svrhe, mogu upotrebiti u zlonamerne svrhe, to oteava
raspoznavanje i zatitu.
Podjela po kriterijumu: da li zahtevaju nosioca?
Zahtevaju nosioca, tj. program u kome e biti
sakriveni(trojanskikonji, virusi),
Samostalni, tj. one koji ne zahtevaju nosioca(crvi,
pijunskiprogrami).
Podjela po kriterijum: da li se repliciraju?
Oni koji se repliciraju(virusi, crvi)
Oni koji se ne repliciraju(trojanskikonji, logikebombe).
Trojanski konji(engl. Trojan horses) ili krae, trojanci
zlonamerni su programi koji se maskiraju i reklamiraju kao korisni
programi kako bi se korisnici prevarili, tj. natjerali da te
programe pokrenu(drutveni inenjering na dijelu). Trojanski konji su
zlonamjerni programi koji na raunalu korisnika ostvaruju mogunost
krae podataka ili ak preuzimanja nadzora nad raunalom. Trojanski se
konji najee sastoje od dvadijela: posluitelja - dio koji se
postavlja na raunalo korisnika. Pokretanjem posluitelja napada je u
mogunosti izvesti napad. klijenta - program kojim napada stjee
mogunosti otuivanja podataka na raunalurtve.Napada mora poznavati
IP adresu rtve kako bi mogao pristupiti raunalu. Veina
trojanskihkonja nakon zaraze zapisuje IP adresu rtve, te je
prosljeuje napadau. Najei nain zarazeraunala trojanskim konjima je
preuzimanje neke krivotvorene datoteke ili programa s Interneta,pri
emu se trojanski konj predstavlja korisniku kao koristan program.
Trojanski konji imaju razliitenamjene, od unitavanje podataka pa
sve do pokretanja drugih vrsta zlonamjernih napada.Trojanac koji
otvara zadnja vrata je program koji omoguava udaljenom korisniku da
pristupi inficiranom raunaru, i to najee tako da vlasnik raunara
nije ni svestan posetioca.
Primjer: Back Orifice 2K (BO2K)Postoji nekoliko vrsta trojanaca
i to su:
1. Dropper- omogucava naseljavanja virus na zarazeni racunar.2.
Backdoor- je naziv za razlicite postupke koje drugi korisnik moze
da izvrsava na zarazenom racunaru. Trojanac i Backdoor se cesto
spominju zajedno. Vlasnik racunara pokrene neku aplikaciju sa
misljenjem da je veoma korisna i dok koristi tu aplikaciju,
trojanac ubaci Backdoor u racunar.3. Downloader- koji pristupa
razlicitim internet stranicama kako bi sa njih skinuo odredjene
fajlove, obicno zlocudne i pokrece ih.
Logika bomba(engl. logical bomb) je zlonameran kod ugraen u neki
koristan program koji e se aktivirati kada se ispune odgovarajui
uslovi na primjer, u odreeno vreme ili odreenog datuma, ukoliko na
disku postoji odreena datoteka ili ako se na sistem prijavi odreeni
korisnik.
Crvi(engl. worms) su samostalni (engl. stand-alone) programi
koji se ire s jednog raunara na drugi.Uobiajene metode prenoenja na
rtvu esu upotreba elektronske pote i Internet servisa(FTP, HTTP).
Crvi (eng. worm) su zlonamjerni programi koji se upisuju u radnu
memoriju raunala i u njoj ostajuaktivni (eng. memory resident).
Crvi se ire iskoritavanjem propusta u TCP/IP stogu operacijskih
sustava ili programa postavljenih na operacijskom sustavu. Ova
vrsta zlonamjernih programa se uitava u radnu memoriju raunala sa
udaljene lokacije, te se na taj nain iri na velik broj raunala bez
da se zapisuje na tvrdi disk raunala. Za razliku od virusa, crvima
nisu potrebni programi posrednici kako bi se proirili na to vei
broj programa, datoteka, a naposljetku i raunala.
Crvi se ire postavljanjem svojih jednakih kopija na druga
raunala, pa stoga mogu u kratkomvremenu zaraziti velik broj
raunala. Opseg mogue tete se kree od uzrokovanja tete na
operacijskom sustavu, gaenja raunala ili usporavanja rada sa mrenim
resursima.Crvima je obino namjena preuzeti kontrolu nadraunaromi
omoguiti udaljenu kontrolu ak i nakon primjenesigurnosnih zakrpa.
Ovo postiu otvaranjem takozvanih "stranjih vrata" (backdoor) kroz
koja autor moe izdavati naredbe vaem raunaru bez vaeg znanja. Veina
dananjih crva dolazi na nae raunare putem e-maila ili mrenih
servisa. Mreni su opasniji jer u pravilu ne zahtijevaju interakciju
s korisnikom, ve samostalno preuzimaju kontrolu nad raunarom i
nastavljaju irenje. Crvi imaju 3 dijela: Oznaka Mehanizam infekcije
Teret Okidac
VirusiVirusi su zlonamjerni programi koji zaraze raunalo
korisnika bez njegovog znanja ili pristanka sciljem uzrokovanja
tete(brisanje i unitavanje podataka, programa i operacijskih
sustava) nakorisnikovom raunalu. Meutim, rijetki su virusi kojima
je cilj nanijeti tetu korisniku u smislukrae identiteta ili osobnih
informacija. Smatra se da napadai nemaju namjeru ugroziti pojedinca
ikao takvog ga izloiti opasnostima materijalne ili bilo kakve druge
tete, ve jednostavno zaraziti im vei broj raunala virusom. Za
razliku od crva, virusi ne koriste mrene resurse za irenje, ali se
mogu iriti preko mree kao dio nekog crva.Zlonamjeranprogramkoji
nazivamo virusima prepoznajemo po mogunosti samoumnoavanja. Kada se
izvre na raunaru, meu prvim koracima nastoje pronai sljedeu rtvu i
njoj poslati vlastitu kopiju. Virusi se od crva razlikuju po tome
to "inficiraju" neku datoteku, odnosno svoj kod dodaju na neki ve
postojei, ekajui da se ta datoteka upotrijebi kako bi se ponovno
aktivirali. Neke viruse su zamijenili crvi koji svoj kod u
cijelosti pohranjuju u stalnu memoriju, na to skrovitije mjesto.U
pravilu, dodaci u e-mail-ovima za koje niste potpuno sigurni da
dolaze iz povjerljivog izvora i da ih oekujete zasluuju sumnju.
Ukoliko su jo uz to i izvrni (prilikom pregleda postaju aktivni,
odnosno upravljaju vaim raunarom), sumnja postaje nunost. Izvrni
privici mogu se pojaviti u obliku mnotva nastavaka, a najuestaliji
su: bat, exe, pif, scr, cmd, vbs i js.Dobar nain procjene radi li
se o opasnom dodatku je razmisliti od koga nam dolazi taj dodatak,
jesmo li ga zatraili i znamo li emu slue datoteke s primljenim
nastavkom. Ukoliko nam je nastavak nepoznat, trebamo postupiti
oprezno i provjeriti da li nam je poruka poslana od nekoga kome
vjerujemo.
Svaki virus ima 3 dijela:-mehanizam infekcije (infection) nacin
na koji se virus siri-teret (payload) ono sto zapravo virus
radi-okidac (triggel) mehanizam koji odredjuje kad ce virus se
aktiviratiPrema ponasanju, virusi mogu biti: Stalni (resident) ceka
da neki drugi program pristupi tom dijelu Nestalni nonresident( -
traze odmah drugog domacina (host,program))Virusi ovog tipa za
svoje irenje koriste jednu ili vie vrsta sistema datoteka. Najvei
broj ovih virusa inficira izvrne datoteke. Prema metodama
inficiranja, virusi ovog tipa mogu se podijeliti na: prepisujue
viruse, tj. viruse koji prepisuju postojei kd(engl. overwriting),
parazitske viruse(engl. parasitic), pridruujue viruse(engl.
companion), viruse startnog zapisa(engl. boot-sector).
Makro virusi najee su napisani i ugraeni u dokumente koji se
otvaraju onim aplikacijama iz paketa Microsoft Office koje koriste
tehnologiju povezivanja i ugraivanja objekata OLE2 (Object Linking
and Embedding).Skript virusi su podskup virusa koji napadaju
sisteme datoteka, pisani u skript jezicima (VBS, JavaScript, BAT,
PHP). Skript virusi su sposobni da inficiraju datoteke u drugom
formatu, kao to je HTM, ukoliko datoteke tog formata omoguavaju i
dozvoljavaju izvravanje skriptova.
DialeriNaziv ovog oblika zlonamjernogkodadolazi od engleske
rijeidial, to u danom kontekstu znai birati broj (natelefonu).
Dialeri nam esto dolaze jednakim putevima kao i trojanski konji.
Njihova je zadaa u trenutku aktiviranja prekinuti postojeu vezu s
Internetom i uz pomo modema birati broj u nekoj dalekoj zemlji kako
bi ostvarili dobit autoru kroz astronomske cijene poziva. Ako se na
ispisu vaeg telefonskog rauna pojave udni meunarodni brojevi, vrlo
vjerovatno imate dialer na raunaru. Uklanjanjem dialera obino se
bave alati za uklanjanje neeljenih aplikacija. Svakako takoer
provjerite postoje li neoekivani unosi u postavkamaDial-Up
NetworkingiliNetwork Connections. Ove programe najee dobijete
posjeivanjem lanih stranica ili stranica sa pornografskim
sadrajem.
Spyware
Spyware programi su zlonamjerni programi koji ciljano
prikupljaju podatke o korisniku, te ih alju na unaprijed definirano
odredite bez znanja ili pristanka korisnika. Ovakvi su programi
velika prijetnja privatnosti korisnika, podacima na njegovom
raunalu, a mogu uzrokovati i materijalnu tetu. Tvrtke (rjee
pojedinci) izrauju spyware programe kako bi prikupile im vei broj
podataka o korisnicima i njihovim navikama. Takve informacije imaju
vrlo veliku vrijednost u marketinkoj industriji koja iskoritava
dobivene podatke u svrhu oglaavanja raznih proizvoda, usluga,
itd.Kao i od svakog zlonamjernog programa, tako i od spyware
programa se mogue zatititi. Programi za zatitu od spyware-a nude
niz funkcionalnosti koje e korisnikovo raunalo u veini sluajeva
obraniti od napada ili oistiti od zaraze.Kratke definicije:Spyware
programi su: zlonamjerni programi koji nadgledaju i prikupljaju
korisnike podatke u razliite svrhe. zlonamjerni programi koji alju
korisnike podatke treoj osobi bez znanja ili
pristankakorisnika.Veina korisnika pod terminom spyware
podrazumijeva zlonamjerne programe za neeljenooglaavanje, krau
podataka i mnoge druge aktivnosti. Meutim, Spyware programe esto
koristei administratori mrenih sustava pri npr. nadgledanju
aktivnosti korisnika u sustavu kako bi sesustav zatitilo od
zlonamjernog djelovanja korisnika.VRSTE: legalni spyware programi
(eng. Domestic Spyware) i komercijalni spyware programi (eng.
Commercial Spyware) ilegalni zlonamjerni programiAdwareje suprotan
od spywarea i koristi se prikupljenim podacima kako bi vam u to
veem broju i to nametljivije prikazivao reklame vezane uz vae
navike. Obino se pojavljuje u obliku bezbrojnih iskauih prozora
(pop-up windows) koji se pojavljuju niotkuda dok koristite
web-preglednik ili vam jednostavno prikazuje stranice koje
reklamira umjesto onih koje ste traili.Najvei izvor spywarea i
adwarea su stranice vezane uz pornografsku i kockarsku industriju,
mada to danas nije pravilo. Koristei se propustima u vaem
web-pregledniku i mamei korisnika da zaobie sigurnosne dijaloge,
instalira se na va raunar bez vaeg eksplicitnog pristanka, te je u
ovom sluaju najranjiviji web-preglednikInternet Explorer. Zbog toga
se preporuuje koritenje alternativnog web-preglednika, kao to
jeMozilla FirefoxiliOperaROOTKITRootkit je komplet (engl. kit) koji
se sastoji od malih i korisnih programa koji omoguavaju napadau da
odrava pristup rootu, korisniku sa najveim privilegijama na
sistemu. Drugim reima, rootkit je skup programa i koda koji
omoguava permanentno i/ili konzistentno, neprimeeno (neotkriveno)
prisustvo u sistemu (raunaru) "undetectable" dizajniran da sakrije
programski kod i podatke na sistemu.
obino za udaljeni pristup i prislukivanje (engl. eavesdropping)
npr. Za njukanje paketa sa mree.
prvenstveno bio namenjen za korisne primene (recimo udaljeno
administriranje), nije nuno lo tj. nije uvek koriten od stane loih
momaka rootkitje, u stvari, korisna tehnologija koja moe biti
zloupotrebljena i time vrlo opasnaRootkit je kolekcija programa
koje haker koristi kako bi izbegao otkrivanje tokom pokuaja
neovlaenog pristupa kompjuteru. To se moe ostvariti ili zamenom
sistemskih fajlova ili biblioteka podataka, ili instalacijom kernel
modula. Haker instalira rootkit posle ostvarivanja korisnikog
pristupa sistemu: obino se to postie krakovanjem ifre ili
iskoriavanjem ranjivosti. Potom se to koristi za prikupljanje
drugih korisnikovih identifikacionih podataka sve dok se haker ne
domogne root-a, ili administratorskog pristupa
sistemu.Tipovi:-user-mode root kit- kernel mode root kit- bootkit-
Hypervisor rootkit- Hardware/firmware rootkit
BACKDOORBackdoor je program koji je instaliran od strane virusa,
crva ili trojanskog konja (bez znanja vlasnika) i koji treim
osobama omoguava nesmetan i od vlasnika neovlaten pristup raunaru.
Backdoor koristi slabosti operativnog ili zatitnih sistema
(firewall-a ili antivirus programa).Imamo: kripto back door
aplikacijski backdoor sistemski backdoor
OSTALI NAPADI NA SIGURNOST SISTEMASniffingJedna od najeih metoda
krae podataka. Sniffing je presretanje i posmatranje podataka koji
se nalaze u saobraaju mreom. Sniffing moe biti lokalni, kada
presreemo podatke koji su upueni naem raunaru i daljinski ili
remote kada presreemo podatke upuene nekom drugom raunaru na naoj
mrei. Posmatranje podataka neke druge mree je neto tee, no za
iskusnije nije problem, potrebno je mreu natjerati da va raunar
vidi kao jedan svoj dio. Jedna od koritenih metoda bila je i upad u
raunar koji se nalazi u ciljanoj mrei koristei postojee propuste u
NetBIOSU. U to sluaju i va raunar postaje dio mree i potrebno je
samo pokrenuti program... Programi za sniffing su brojni, mogu se
skinuti sa razliitih lokacija na Internetu, prije svega na stranama
posveenim hackingu. Opasnost ne bi bila tolika kada se podaci poput
korisnikog imena i lozinke ne bi slali serveru u formatu istog
teksta, kao to je negdje sluaj.. Naravno, to je samo jedna od
mogunosti, podaci koji se mogu sniffovati su brojni, a naini
njihove zloupotrebe raznovrsni.SpoofingSpoofing je jedna od metoda
za zamjenu IP adresa, ona dozvoljava nekom hostu da se maskira kao
drugi host. Maskirati adresu moemo na vie naina. Jedan od
poznatijih je korienje Wingatea... Wingate je program koji se
koristi najee u LAN mreama. Recimo da imate etiri raunara, od kojih
samo jedan ima modem. Koristei Wingate ostali raunari izlaze na
Internet koristei modem prvog. Naravno, zajedno sa tim dobijaju i
IP adresu raunara na kome se Wingate nalazi. Ako napada ima brzu
konekciju on moe da se spoji na veliki broj Wingatea, to je broj
vei, tee je ui u trag pravoj adresi. Spaja se prvo na jedan, a
zatim na drugi, pa preko njega na trei... u sluaju napada na neku
stranicu ona e zabiljeiti IP adresu poslednjeg na kojeg se
konektovao. Spoofing IP adrese je mnogo tei nego pre par godina,
jer svi ozbiljniji serveri redovno preuzimaju nove patcheve i nove
sigurnosne metode za ije je zaobilaenje potrebno puno vie od
prosjenog poznavanja sistema_mrea. Spoofing se ogleda i u
preuzimanju tue e-mail adrese, to se vrlo lako moe obaviti
konektovanjem na neki SMTP server na kome imamo otvoren nalog uz
pomo programa Telnet, a zatim koristei naredbuSMTP MAIL
FROM:ispisati adresu koju elimo da prisvojimo. Jo laki nain je onaj
koji prua mail program poput Outlooka, gdje pri otvaranju novog
accounta moemo uneti koju god adresu elimo... Naravno, ovakvim
mailovima je lako ui u trag i saznati stvarnu adresu sa koje
dolaze, meutim dovoljno je da zavaraju primaoca na trenutak da
pomisli kako je paket od poznate i prijateljske osobe i, ne
sumnjajui, pokrene attachment, koji vrlo lako moe biti virus...
Phising Phishing napadi podrazumijevaju aktivnosti kojima
neovlateni korisnici koritenjem lairanih poruka elektronike pote i
lairanih Web stranica financijskih organizacija pokuavaju korisnika
navesti na otkrivanje povjerljivih osobnih podataka. Pritom se
prvenstveno misli na podatke kao to brojevi kreditnih kartica,
korisnika imena i zaporke, PIN kodovi i sl., iako postoje i druge
alternativePhishingilimrena kraa identiteta, vrsta
jeprijevareputemelektronike poteodnosno elektronike poruke.
Poiljatelj navodi rtvu otkriti osobne informacije (obino
financijske) upisivanjem istih na lairanoj internetskoj stranici
ija je poveznica dana u poruci. Adresa i sadraj te lairane stranice
vrlo su slini adresi i sadraju neke autentine stranice. Odatle i
engleski naziv "phishing" koji je iskrivljeni oblik rijei "fishing"
(engl. pecanje) - obje rijei se izgovaraju isto iako se piu
razliito.Phishing se moe iskoristiti tako da se osobi ukrade novac
ili nanese neka druga teta (primjerice, provala u rtvin raun
elektronike pote).Poruka moe izgledati kao obavijest iz banke,
internetske trgovine i sl., te se rtvu navodi kliknuti na poveznicu
koja je "udica" na kojoj poinitelj internetskog zloina izvlai
traene podatke od rtava. rtve potom na njoj upiu osobne informacije
(u poruci se esto navodi da korisnik treba potvrditi ili
promijeniti podatke). Kad korisnik upie podatke na lairanoj
stranici, informacije dolaze do vlasnika lairane stranice.Lana
internetska stranica izgleda skoro identino autentinoj stranici,
ali je URL u adresnoj traci drukiji.Korisniku koji je postao rtva
krae identiteta moe pomoi ako promijeni lozinku ili PIN za pristup
na svoj korisniki odnosno bankarski raun ili u krajnjem sluaju da
zatvori raun kod davatelja usluge.Tehnike provoenja napada:
Maskiranje URL adresa () Man in the Middle napadi (Presretanje
komunikacije izmeu klijenta i posluitelja jedna je od najeih
tehnika dolaska do povjerljivih korisnikih informacija. Ubacivanjem
u komunikacijski kanal uspostavljen izmeu klijenta i posluitelja
napada je u mogunosti analizirati kompletni promet koji se
razmjenjuje izmeu ove dvije toke, ak i onda kada se koristi
kriptirana komunikacija. Samim time, primjena Man in the Middle
(MITM) napada gotovo je idealna za provoenje phishing napada. Za
uspjenu realizaciju napada, klijenta je potrebno preusmjeriti na
malicioznu adresu putem koje e se promet dalje preusmjerivati na
legitimne Web posluitelje financijske ustanove koja se eli lano
prikazati. Napadaevo raunalo u tom sluaju obavlja funkciju proxy
posluitelja, pri emu biljei sve podatke koji su neophodni za
daljnje provoenje napada. Na sljedeoj slici prikazan je osnovni
koncept MITM napada.) Cross Site Scripting (XSS) BufferBuffer
overflow napadi mijenjaju ili onemoguuju tok izvoenja aplikacijskih
procesa na nain da prebriu odreene dijelove memorije. Buffer
overflow je u biti obino programsko ugroavanje memorijskog
spremnika koje rezultira pojavom greke unutar programa, odnosno Web
aplikacije. Ova greka nastupa kada podatak upisan u memoriju pree
alociranu veliinu memorije spremnika. Poto je spremnik preliven,
susjedne memorijske adrese su prebrisane i uzrokuju kvar programa.
Ukoliko se napravi propust prilikom dizajniranja Web aplikacije,
tada postoji mogunost da se posebno skrojenim ulaznim podacima
izazoveBuffer overflow i narui sigurnost Web aplikacije. Buffer
overflow napad se najee koristi kao DoS napad koji uzrokuje kvar i
ruenje Web aplikacije. Takoer, Buffer overflow napad moe
promijeniti tok izvoenja same aplikacije i uzrokovati neeljene
akcije. Ovo se moe realizirati ukoliko se promijene adrese
pokazivaa stoga ili vrijednosti programskih varijabli, odnosno
promjeni tok izvoenja programa kako bi se izvrile razliite tetne
naredbe. Ova napadaka tehnika se uestalo koristila za ruenje Web
posluitelja. Na svu sreu, vrlo rijetko ugroava Web aplikacije.
Razlog tomu je to napada mora detaljno analizirati izvorni kod same
aplikacije kako bi otkrio potencijalnu ranjivost, pa se veina
napada uglavnom svodi na slijepe napade koji su rijetko uspjeni.
Buffer overflow ranjivosti se najee javljaju u CGI aplikacijama
pisanim u C ili C++ programskom jeziku.
NAPADI NA WEB APLIKACIJEOWSAPThe Open Web Application Security
Project (OWASP) je otvorena zajednica posveena tome da omogui
organizacijama razvijanje, kupnju i odravanje aplikacija koje se
mogu smatrati sigurnima. OWASP svake tri godine izrauje dokument
kojem je cilj ojaati svijest o vanosti sigurnosti web aplikacija.
OWASP Top Ten predstavlja iroki konsenzus o tome koji su
najkritiniji sigurnosni propusti web aplikacija. Suradnici na
projektu su razni sigurnosni strunjaci iz cijelog svijeta koji su
podijelili svoje znanje za izradu ovog popisa. Usvajanje savjeta iz
dokumenta OWASP Top Ten je moda najuinkovitiji prvi korak prema
promjeni kulture razvoja aplikacija unutar organizacije u onu koja
proizvodi siguran kd. Na OWASP-ovom popisu deset najveih ranjivosti
iz 2010. godine su: A1. Umetanje A2. Cross-site scripting A3. Loa
autentifikacija i upravljanje sjednicama A4. Nesigurne reference na
objekte A5. Krivotvorenje zahtjeva na drugom sjeditu A6. Pogreno
postavljene sigurnosne postavke A7. Nesigurna pohrana ifriranih
podataka A8. Nezatieni pristup URL-ovima A9. Nedovoljna zatita na
transportnom sloju A10. Neprovjerena preusmjeravanja i
proslijeivanja
XSS Cross-site scripting (XSS) Cross-Site Scripting (XSS)jedan
je od najeih oblika hakerskih napada na internetu. XSS napadi ee
pogaaju korisnike, npr. njihove browser-e, a ree skripte na strani
servera. XSS napadi oslanjaju se na manipulaciju skriptama veb
aplikacije koje se izvravaju na nain na koji to eli neko ko je
zlonameran. Takva manipulacija moe biti postavljanje skripte na
strani koja se potom izvrava svaki put kada se stranica uitava.XSS
je danas najea ranjivost u bezbednosti softvera iako to ne bi
trebalo da bude tako s obzirom da je XSS lako otkriti i popraviti.
XSS ranjivosti mogu za posledicu imati manipulaciju podacima kao i
njihovu krau.Kljune odlike XSS napada XSS napadi se odvijaju na
ranjivim veb aplikacijama U XSS napadima rtva je korisnik a ne
aplikacija U XSS napadima zlonamerni sadraj isporuuje se
korisnicima pomou JavaScript-aXSS ranjivost nastaje kada veb
aplikacije uzmu podatke od korisnika i dinamiki ih ukljuuju u veb
stranice bez prethodne valjane provere podataka. XSS ranjivosti
omoguavaju napadau da izvrava proizvoljne komande i prikazuje
proizvoljni sadraj u browser-u napadnutog korisnika. Uspean XSS
napad dovodi do toga da napada preuzima kontrolu nad browser-om ili
nalogom za ranjivu veb aplikaciju. Iako je XSS napad omoguen
ranjivostima u veb aplikaciji, rtve takvih napada su korisnici
aplikacije, a ne aplikacija sama po sebi. Potencijal XSS ranjivosti
lei u injenici da se zlonamerni kod izvrava u sklopu sesije
korisnika, omoguavajui da napada zaobie normalna zatitna
ogranienja.Definicja sa +CERTa:Za dolazak do povjerljivih
korisnikih podataka napada moe iskoristiti i sigurnosne propuste
unutarWeb aplikacije ustanove iji se korisnici ele kompromitirati.
Ukoliko je aplikacija ranjiva na Cross SiteScripting (XSS) napade,
napadau se otvaraju dodatne mogunosti za provoenje napada.Za one
itatelje koji nisu upoznati sa Cross Site Scripting napadima,
potrebno je rei da je to ajeeJava Script ili VBS Script), koji e
napadau omoguiti realizaciju zlonamjernih postupaka. XSSranjivost
najee se javlja kao posljedica nedovoljnog filtriranja sadraja koje
aplikacija ispisuje naWeb stranice. Ukoliko aplikacija bez ikakve
provjere na stranicu ispisuje podatke koje korisnik moeproizvoljno
ureivati, vrlo je velika vjerojatnost da je aplikacija ranjiva na
XSS napad. Ukoliko korisnikaplikaciji, umjesto legitimnih podataka
prenese maliciozni skriptni kod koji e aplikacija bez
provjereispisati unutar stranice, taj e se kod izvriti unutar Web
preglednika krajnjeg korisnika.Na sljedeoj slici prikazan je
osnovni koncept XSS napada (Slika 2).
U prvom koraku legitimni se korisnik prijavljuje u sustav
koritenjem odgovarajueg Web suelja inastavlja sa radom unutar
aplikacije. U tom trenutku napada istom korisniku prosljeuje
malicioznuporuku elektronike pote u kojoj je sadrana URL adresa s
ugraenim malicioznim skriptnim kodom,koji se eli izvriti na
korisnikovom raunalu. Maliciozni kod izvrava se unutar korisnikog
Webpreglednika (korak 3) te izvrava maliciozne radnje odreene
uitanim kodom (u ovom sluaju kraaWeb kolaia u kojem je sadran
identifikator sjednice za pristup sustavu). U koracima 4 i 5 napada
pomou prikupljenih podataka ostvaruje pristup sustavu.
Vrste XSS napadaRefleksivni XSS napadiIma mnogo naina na koje
napada moe da podstakne rtvu da pokrene ovakav XSS zahtev. Na
primer, napada moe da poalje email rtvi sa linkom koji sadri
zlonamerni JavaScript. Ukoliko korisnik klikne na link, njegov
browser inicira HTTP zahtev i alje ga ranjivoj veb aplikaciji.
Maliciozni JavaScript se reflektuje u browser-u korisnika gde se
izvrava u sklopu korisnikove sesije.Perzistentni XSS napadiOva
vrsta XSS napada oslanja se na veb aplikaciju koja omoguava napadau
da unese neki podatak, na primer korisniko ime koje se prikazuje na
profilnoj stranici svakog korisnika. Aplikacija uva svako korisniko
ime u lokalnoj bazi podataka. Napada, koji uoi da veb aplikacija ne
proverava dobro sadraj unetog polja, ubacuje maliciozni JavaScript
kod u to polje, recimo kao deo korisnikog imena. Kada drugi
korisnici pregledaju napadaevu profilnu stranicu, zlonamerni kod se
automatski izvrava u sklopu njihove sesije.Uinak XSS napadaKada
napadai uspeno koriste XSS ranjivosti, oni ostvaruju pristup
poverljivim podacima potrebnim za prijavljivanje na nalog. Oni
takoe mogu distribuirati internet crve ili pristupiti korisnikovom
raunaru i pregledati istoriju korisnikovog browser-a ili
kontrolisati browser sa daljine. Nakon ostvarivanja kontrole nad
sistemom korisnika, napadai isto tako mogu analizirati i koristiti
druge intranet aplikacije.Iskoriavanjem XSS ranjivosti, napadai
mogu izvoditi zlonamerne i opasne aktivnosti, kao to su:
Preotimanje naloga irenje internet crva Pristup istoriji browser-a
i sauvanog sadraja Kontrola browser-a sa daljine Pregled i
iskoriavanje intranet ureaja i aplikacija
SQL INJECTION