Embed Size (px)
Citation preview
www.MyCity.rs
Mali rečnik zaštite
Mart, 2011
www.MyCity.rs
Ranjivost (vulnerability) – bezbednosne rupe u operativnom sistemu, ali i aplikativnom nivou (e-
mail aplikacija, chat klijent i slično).
Exploit – kôd koji iskorištava bezbednosne rupe u operativnom sistemu ili aplikacijama.
Zakrpa (patch) – programski dodatak kojim se zatvaraju bezbednosne rupe.
Hotfix - termin koji se prvobitno odnosio na softverske zakrpe koje su se primenjivale na sisteme
koji su radili neprestano (still running systems) i koje nisu mogle biti distribuirane van
organizacije klijenta za koga su pravljene te zakrpe. Skorija upotreba termina se odnosi na jedan
softverski paket, kojim se rešava problem (bug) u radu nekog softvera.
Hotfix može obuhvatati i adresirati više softverskih bugova kao i probleme u radu koji su prateći
efekti usled primene neke sofverske zakrpe (patch).
Posmatrano u kontekstu Windows operativnog sistema, hotfix predstavlja male zakrpe koje
otklanjaju specifične probleme oko Kernel Patch Protection, Multilingual User Interface (MUI) i
novootkrivenih sigurnosnih propusta u sistemu. Struktura hotfixa je najčešće u obliku SFX
datoteke i moguće ju je preuzeti preko servisa Windows Update.
Termin hotfix se razlikuje od termina patch u tome što se hotfix kreira za specifičnu potrebu
kupca/krajnjeg korisnika i ne distribuira se u javnost.
Razumevanje razlika izmeĎu patcha i hotfixa je otežano jer se proizvoĎači softvera često
odlučuju za termin hotfix, a ne zakrpa, kako bi izbegli potencijalno nezadovoljstvo kupaca u
smislu da proizvod ima nedostatke ili kako bi ostavili pozitivan utisak da kontinuirano servisiraju
svoj softverski proizvod.
Service Pack - predstavlja kolekciju ažuriranih datoteka, softverskih ispravki odreĎenog
programa ili operativnog sistema koji treba istim da doprinese ažurnosti i boljoj stabilnosti, i
isporučuje se u formi jedne instalacione datoteke. Mnoge kompanije formiraju service pack kada
se poveća broj softverskih zakrpa i dostigne odreĎen limit (limit zavisi od konkretne kompanije).
Pogodnosti service packa se ogledaju u tome što je lakše instalirati service pack nego sve izdate
softverske zakrpe pojedinačno i u tome što je service pack strukturiran da na ureĎen način
instalira zakrpe i ostali sadržaj, što doprinosi boljoj stabilnosti programa/operativnog sistema.
Service packovi se numerišu i obično označavaju sa SP1, SP2, itd.
www.MyCity.rs
Neretko, service packovi mogu doneti i potpuno nove softverske mogućnosti, na primer SP2 kod
operativnog sistema Windows XP.
Možemo ih podeliti na:
- inkrementalne: ukoliko ima sadržaj koji nije sadržan u nekom prethodnom service packu. Dakle
n-ti service pack zahteva da n-1 bude instaliran na sistemu.
- kumulativne: ukoliko tekući service pack u sebi sadrži sve prethodne service packove i ne
zahteva postojanje prethodnih service packova za instaliranje.
IP adresa (Internet Protocol adress) - 32-bitni broj kojim se identifikuje i jednoznačno odreĎuje
računar koji razmenjuje podatke preko lokalne mreže ili Interneta. Format IP adrese je sledeći:
#.#.#.# , gde je "#" neki osmobitni broj (dakle, može uzeti vrednost od 0 do 255).
Port - tačka povezivanja koja može biti hardverska (COM, USB, LPT portovi), gde služi za
povezivanje i komunikaciju sa odreĎenim hardverom, i softverska gde služi za prenos podataka
preko nekog protokola (TCP/IP, UDP).
U kontekstu zaštite, IP adresu nekog računara možemo simbolično shvatiti kao adresu neke kuće,
dok port predstavlja vrata.
Napadač će iskoristiti neku port scanning aplikaciju kako bi utvrdio koji portovi su otvoreni na
odreĎenoj IP adresi ili će skenirati deo mreže u potrazi sa otvorenim portovima (tj. tražiće na
koja vrata može nesmetano ući).
Ovo TCP skeniranje je vrlo efektivan metod u pronalaženju ranjivosti žrtvinog računara.
Portove možemo podeliti na:
a) otvorene (open ports)
b) zatvorene (closed ports)
c) skrivene (stealth ports)
Da bi napadač "upao" na vaš računar, prvo mora da naĎe otvorena vrata, tj. mora da naĎe
otvorene portove. Za napad se mogu koristiti samo otvoreni portovi.
Otvoreni portovi su u "stand by" načinu rada, dakle, čekaju tj. osluškuju (listening) dolazeće
konekcije; kada se pojavi zahtev za konekcijom, otvoreni port odgovara tako što prihvata tu
konekciju. Po prihvatanju konekcije, moguće je razmeniti podatke izmeĎu udaljenog računara
napadača i računara žrtve. Računar sa otvorenim portovima se ponaša kao server, dok je udaljena
mašina koja šalje zahtev za konekcijom - klijent.
www.MyCity.rs
Preporučuje se da se koristi firewall (najbolje je iskombinovati hardverski i softverski firewall)
kako bi se blokirali portovi. TakoĎe, preporučuje se da se na računaru onemoguće svi nepotrebni
servisi.
Napadač ne može koristiti zatvorene portove da bi se konektovao na neku udaljenu mašinu.
Njegov port scanner će prikazati rezultat da je port zatvoren. MeĎutim, ovi portovi ipak daju
odreĎene informacije koje kasnije napadač može iskoristiti. Na primer, napadač može saznati
koje servise koristite jer postoji ustaljeni podrazumevani (default) šifarnik za neke portove (na
primer: 21: File Transfer Protocol (FTP), 22: Secure Shell (SSH), 23: Telnet remote login service, 25: Simple Mail Transfer Protocol (SMTP), itd.) Ako ništa
drugo, može imati uvid koje servise koristite na računaru.
Na kraju, skriveni portovi su najbolje rešenje po pitanju sigurnosti jer ne generišu nikakav odziv
(mašina se ne odaziva ni na ping). Dakle, mašina ne vraća nikakav odziv port scanneru
napadača. Konfigurišite firewall da portove stavi u stealth mode jer je to najsigurnija
konfiguracija. Napadač, na ovaj način, nema informacije o pokrenutim servisima na udaljenoj
mašini.
Malware (malicious software) – opšti pojam koji obuhvata sve neželjene programe. Ovde
spadaju računarski virusi, crvi, trojanci, botovi, spyware, adware, maliciozni rootkitovi (rootkit
se po svojoj funkciji ne može direktno svrstati u maliciozne programe). Ustaljeni izraz za celu
kategoriju malware-a je “virus”, što je neprecizno i pogrešno jer virusi predstavljaju samo jedan
deo celokupnog malware-a. [ dodatno čitanje: ovde ]
Rogue software (ili scareware) – maliciozni softver koji obmanjuje korisnika da je neka korisna
aplikacija, koji neretko zahteva plaćanje kako bi se uklonili lažno prikazani virusi (i druge
“funkcionalnosti” lažnog softvera) ili omogućava instalaciju dodatnog malware-a na žrtvin
računar (primer: lažna antivirus aplikacija ThinkPoint).
Honeypot – program koji predstavlja mamac za malware, a koji je instaliran na računar
neprestano povezan na Internet. Emulira ranjiv sistem i čeka upade na računar i pokušaje
inficiranja. Pretežno se sakupe crvi i botovi. Zbog pomenutog čekanja, predstavlja pasivan
koncept (ne zahteva nikakvu interakciju). [ dodatno čitanje: ovde ]
Honeypot sensor – računar na kome je instaliran Honeypot. Senzori se često grupišu u alijanse,
kao vid saradnje izmeĎu nezavisnih honeypotova ili mreža senzora, u cilju meĎusobne razmene
nahvatanih primeraka malware-a (napomena: termin alijansa se ne koristi kao ustaljeni izraz za
više senzora istog vlasnika).
www.MyCity.rs
Honey client - interaktivan program koji posećuje sajtove i dozvoljava instalaciju svih aktivnih
komponenti sa tih sajtova u cilju sakupljanja malware-a. Ovaj proces “traženja nevolje” je
simuliran, tako da je krajnji rezultat sakupljen i arhiviran malware. Na ovaj način se brže
uočavaju sigurnosne rupe u sistemu, što uslovljava i bržu reakciju na iste. [ dodatno čitanje: ovde ]
Heuristika – metod kojim antivirusni softver proučava program čitajući njegove instrukcije i
pokušavajući da predvidi do čega te instrukcije mogu da dovedu, u cilju detektovanja novog
malware-a, i novih varijanti postojećeg malware-a. [ dodatno čitanje: ovde ]
Dezinfekcija - proces uklanjanja virusa iz programa tako da program bude u istom stanju kao pre
infekcije.
DoS napad (Denial of service) – u opštem slučaju, vrsta napada kojom se onemogućava
upotreba računara ili nekog njegovog resursa korisnicima tog računara. Najčešće se sastoji od
koncetrisanih napora pojedinca ili grupe da spreče normalno funkcionsanje Internet sajta ili Web
servisa na odreĎen ili neodreĎen rok. Ukoliko veliki broj kompromitovanih računara (botnet)
napada jedan, ciljani računar, možemo govoriti o distribuiranom DoS napadu koji se naziva i
DDoS (Distributed Denial of Service).
Brute Force napad – vrsta napada koja se koristi za nalaženje lozinke kod kriptovanih datoteka,
koja se sastoji u isprobavanju svih mogućih lozinki redom. Moguće je zadati inicijalne
parametre, tako da se napad odnosi samo na brojeve, slova, specijalne znakove ili njihovu
kombinaciju.
Dictionary napad - vrsta napada koja se koristi za nalaženje lozinke kod kriptovanih datoteka,
koja se sastoji u isprobavanju svih lozinki (tj. reči, u ovom kontekstu) koji se nalaze u
odreĎenom rečniku (dictionary base). Neke lozinke se koriste vrlo često (videti da nije i vaša: ovde ) te je
moguće formirati odgovarajuću bazu lozinki, tj. rečnik. Napadač kreće od pretpostavke da je
vaša lozinka u bazi. Stoga se preporučuje upotreba jakih lozinki (strong passwords) koja
uključuje kombinaciju slova, brojeva i specijalnih karaktera.
www.MyCity.rs
Sandbox - virtuelno okruženje u kome program može nesmetano da funkcioniše, s tim da bilo
kakve promene koje napravi taj program stvarno ne utiču na operativni sistem. Predstavlja
sigurnosni mehanizam za odvajanje pokrenutih programa od promena na sistemu; sandbox
aplikacija pokreće programe u izolovanom memorijskom prostoru, i time ih sprečava da naprave
trajne promene nad drugim programima i podacima u računaru.
Karakteristike:
- sandboxovi ne koriste virtualni hardver (kao virtualne mašine); program u sandboxu vidi stanje
fizičkog, stvarnog sistema.
- kada sandbox aplikacija prestane sa radom, brišu se sve promene koje su napravili
“sandboxovani” programi.
Primena: programiranje, za proveru programskog kôda; pokretanje programa u koje se nema
poverenja; zaštita od malicioznih programa, produžavanje trial limita kod probnih programa
(nelegitimna upotreba). [ dodatno čitanje: ovde ]
Virus - program kome je potreban neki drugi (legitimni) program koji će mu biti "domaćin"
(domaćin može biti bilo koji program). Virus dodaje sebe na početak programa domaćina i time
se ugraĎuje u program koji je "čist" pre ugraĎivanja. Teoretski posmatrano, domaćin će pravilno
da funkcioniše čak i ako je zaražen (u praksi to ne mora biti slučaj, zavisi od znanja programera).
Prilikom pokretanja programa domaćina:
- prvo će se pokrenuti virus, koji će u tom momentu da zarazi još neki program (čineći ga time
svojim domaćinom),
- a nakon toga će virus prepustiti kontrolu izvršavanja svom domaćinu (dakle, pokrenuće se
aplikacija koja je prvobitno trebala biti pokrenuta).
Karakteristike:
- virus je jedini malware koji ima mogućnost inficiranja (dakle, crv ne može inficirati bota i
obrnuto, itd...).
- samo virus ima mogućnost širenja sa programa na program.
- najstarija kategorija malware-a
- [način inficiranja]: virus je po svom načinu razmnožavanja file-infector; da bi zarazio neku datoteku
B, potrebno je da se prethodno pokrene datoteka A, koja je već zaražena. U momentu kada
pokrenete program koji je zaražen, prvo se pokreće virus, koji na operativnom sistemu odmah
traži nezaražene datoteke, i kada ih naĎe on se doda na početak tih datoteka, čineći te datoteke
www.MyCity.rs
svojim domaćinom.
- teoretski postoje i načini da se računar inficira bez korisnikove interakcije (tj. bez korisnikovog
eksplicitnog pokretanja zaražene datoteke).
Trojanac (Trojan Horse) - program koji je skriven na operativnom sistemu, i na njemu skriveno
vrši odreĎene operacije koje mogu naneti štetu operativnom sistemu. Zvanična i “old school”
definicija trojanca je: program koji pored dokumentovanih mogućnosti ima i skrivene,
nedokumentovane funkcije. Trojanci se dele na više podgrupa:
- Trojan-downloader – trojanac koji sa Interneta preuzima dodatne (maliciozne) datoteke na
računar.
- Trojan-clicker – trojanac koji se povezuje na odreĎene sajtove da bi na tim sajtovima kliknuo
neko dugme ili link, kako bi se povećala posećenost tih sajtova. Na taj način malware
omogućava vlasniku sajta da zaradi više novca od onih koji se kod njega reklamiraju (kod tih
sajtova se prostor za reklame naplaćuje zavisno od broja poseta).
- Trojan-dropper – trojanac koji instalira neki malware u ciljani sistem (virus, backdoor, crv).
Neretko se koristi za ubacivanje crva u lokalnu mrežu. Razlikujemo sledeće droppere:
a) single stage droppers: maliciozni kôd se nalazi u samom dropperu, kako bi se otežala njegova detekcija,
b) two stage droppers: maliciozni kôd se, u prvoj etapi preuzima sa Interneta, a u drugoj aktivira.
- Trojan-PSW-stealer – trojanac koji čita razne lozinke sačuvane na operativnom sistemu
(lozinka za logovanje na sistem, za logovanje na sajtove itd.) i šalje ih vlasniku trojanca.
- Trojan-keylogger – trojanac koji "zapisuje“ svaki pritisak na taster i taj zapis čuva u tekstualnoj
datoteci da ih neko preuzme, ili se ti podaci šalju preko Interneta (vlasniku trojanca ili nekom
trećem licu). Osim snimanja tastature, mogu se snimati i pokrenuti programi, posećene Web
stranice, itd.
[ ! ] Razlika izmeĎu trojanca i bota je ta što se bot (kao i crv), širi mrežom, dok se trojanac mora
“uvaliti” ručno, prevarom.
Kada se pokrene, trojanac se ponaša kao server - otvara odreĎeni port i “osluškuje” zahteve za
konektovanje njegovog vlasnika (klijenta), koji treba da zna IP adresu računara na kom se nalazi
trojanac ili da skenira nizove IP adresa radi pronalaženja specifičnog otvorenog porta (kojeg je
otvorio trojanac). Upad se ostvaruje formiranjem klijent-server veze. [ dodatno čitanje: ovde ] Reverse connecting trojan - trojanac koji sâm obaveštava svog vlasnika na kojoj se IP adresi
nalazi, najčešće putem slanja elektronske pošte ili slanjem poruke na ICQ, ili IRC kanal, kako bi
vlasnik imao sve parametre za upad na operativni sistem. Alternativan naziv je trojanac-bot
(trojanac sa botom). Njihov vlasnik, na ovaj način, ima pogodnost jer ne mora da "peca" svoje
trojance skeniranjem portova, već samo treba da pristupi odreĎenoj IRC sobi/kanalu i napravi
"prozivku" svojih botova. I većina običnih trojanaca se javljaju na ICQ/IRC/mail.
www.MyCity.rs
Ransomware - trojanac koji kriptuje datoteke korisnika sa lozinkom uz zahtev da taj korisnik
mora da plati izvesnu sumu novca kako bio dobio lozinku za dekriptovanje (primeri: Zippo,
Archiveus) ili koji onemogućava normalno startovanje Windowsa, tražeći odgovarajuću lozinku
(primer: WinLock, koji od korisnika zahteva da pošalje SMS (cene oko $10) na neki broj kako bi
se dobila lozinka za otključavanje). Za sve varijacije ransomware-a je zajedničko da korisnik
mora platiti kako bi otključao onemogućene stavke na računaru. Kod pojedinih verzija
ransomware-a plaćanjem se samo privremeno rešavate problema, jer zaključavanje može biti
privremeno (vremenski tempirano) ili trajno. [ dodatno čitanje: ovde i ovde ]
Crv (Worm) - maliciozan program koji se širi putem mreže ili putem prenosivih diskova,
iskorištavanjem bezbednosnih propusta u nekom operativnom sistemu, ili programu.
Karakteristike:
- crv se samostalno i slučajno širi mrežom, i nad njim ne postoji kontrola.
- crv sadrži “tovar” (payload), razlog zbog čega se i širi; dakle, crv može u sebi da nosi malware
(virus, trojanca… ) ili da bude programiran za DDoS napad na neki server u unapred odreĎeno
vreme.
- [širenje net-worm-a]: networm pokušava nasumično da na Internetu (tj. mreži, u opštem slučaju) naĎe
računar čiji Windows nije zakrpljen, i na kome postoji bezbednosna rupa. Networm će iskoristiti
tu rupu da bi se prekopirao i pokrenuo na tom računaru. Od momenta kada se networm pokrene
na nekom računaru, on nadalje vrši funkcije:
1.) pokušava dalje da se proširi
2.) izvršiće naredbu koja mu je isprogramirana onda kada je napravljen (pre nego što je pušten
da se širi po mreži)
- net-worm (isto kao i bot) može biti domaćin za virus.
- net-worm se sam inicira (startuje). Trojanci i programi inficirani virusom su neaktivni sve dok korisnik ne pokrene program koji ih sadrži.
Osnovna podela crva je na binarne i macro crve.
a) Binarni crvi mogu zaraziti samo one operativne sisteme koji su identični operativnim
sistemima u kojima su kompajlirani (jer samo na njima mogu da se izvrše).
b) Macro crvi mogu da zaraze više operativnih sistema, bez obzira što su kompajlirani na nekom
konkretnom operativnom sistemu, pod uslovom da ti operativni sistemi sadrže interpreter za
www.MyCity.rs
programski jezik u kome su pisani ti crvi. (primer: makro-crv pisan u programskom jeziku Perl će se bez razlike izvršiti i na Linux-u, BSD-u, Solaris-u i
drugim operativnim sistemima na kojima je instaliran interpreter za programski jezik Perl).
[ ! ] Generalna zaštita od crva su firewall-ovi i redovno ažuriranje operativnog sistema, kao i
programa koji su podložni napadima crva (mail-klijenti, instant messengeri..) [ dodatno čitanje: ovde ]
Bot – malware koji se širi preko mreže iskorištavanjem propusta u nekom operativnom sistemu,
ili programu u cilju kontrolisanja zaraženog računara od strane vlasnika bota. Po funkcionalnosti
predstavlja kombinaciju crva i backdoora (jer se širi mrežom kao i crv, a kada upadne u sistem ponaša se kao backdoor).
Karakteristike:
- bot se širi mrežom u cilju pružanja kontrole (svom vlasniku) nad odreĎenim operativnim
sistemom.
- bot je program za sebe, i njemu nije potreban domaćin.
- ako je računar zaražen botom, tada vlasnik bota može da ga iskoristi da ubaci drugi malware na
sistem.
- često postaje domaćin za viruse (bot može da se zarazi virusom) i iste, na taj način, prenosi
preko mreže.
- često se koriste za ugradnju spyware-a i adware-a
- postoje botovi koji komuniciraju čak i kroz rutere i switcheve
- antivirusne kompanije ih klasifikuju ili kao crve ili kao trojance (backdoor)
- [širenje bota]:bot pokušava da na Internetu (tj. mreži, u opštem slučaju) nasumično naĎe računar čiji
Windows nije zakrpljen, i na kome postoji bezbednosna rupa. Bot će iskoristiti tu rupu da bi se
prekopirao i pokrenuo na tom računaru. Od momenta kada se bot pokrene na računaru, on
nadalje vrši dve funkcije:
1.) pokušava dalje da se proširi
2.) čeka na naredbe svog gazde (upload i download datoteka, pokretanje datoteka, DDoS napad
na neki server itd.)
Botnet (mreža botova) - svi računari koje je zarazio jedan bot. Svi ti zaraženi računari, dakle,
imaju samo jednog kontrolera (vlasnika) koji je konstruisao i plasirao bota. Svi računari koje je
zarazio drugi bot predstavljaju drugu mrežu botova.
www.MyCity.rs
Zombie computer (ili zombie) – računar, povezan na Internet, koji je napadnut, kompromitovan i
na taj način upotrebljiv za izvršavanje raznih zlonamernih zadataka, daljinskim upravljanjem i
manipulacijom. Zombi računari su članovi botnet grupacije i često se koriste za širenje spam-a i
DDoS napada. Vlasnici zombie računara nisu svesni da se ti računari koriste za loše svrhe.
Adware – program čija je uloga forsiranje reklamnog materijala u cilju zarade.
Spyware – program koji sakuplja podatke o poseti korisnika Internet sajtovima i razne navike
korisnika tokom surfovanja Internetom. Za razliku od adware-a (koji po svojoj “prirodi”
intenzivno izbacuje reklame), spyware teži da ostane neotkriven.
Rootkit – program (ili druga vrsta tehnologije), koji uspešno sakriva neku datoteku, ključeve u
registry bazi, programe ili druge parametre na operativnom sistemu. Po svojoj prirodi nisu nužno
maliciozni, jer se mogu koristiti i u dobre svrhe (na primer, antivirusni program sakriva svoje
datoteke da ne bi bili kompromitovani). U negativnom kontekstu, služe da sakriju malware od
korisnika, bilo sakrivanjem malicioznih datoteka, procesa ili drugih parametara ( promena
veličine datoteke, datum izmene datoteke i drugo).
Mogu se podeliti na kernel mode i user mode rootkitove.
a) Kernel mode rootkit: --> rade na nivou drivera
b) User mode rootkit: --> rade na nivou servisa
Backdoor – program koji omogućava drugom licu da neovlašteno upravlja tuĎim računarom.
Iako po svojoj prirodi ovaj malware spada u klasične trojance, kategorija je izdvojena zasebno
jer danas postoji više različitih vrsta trojanaca. Zaobilazeći normalne metode autentikacije,
koristi se najčešće u dva scenarija:
a) omogućavanje lakšeg pristupa u budućnosti, na drugom računaru koji je već kompromitovan.
b) malware može da instalira backdoor za prvi upad napadača za neovlašteno korišćenje sistema.
Antivirus software - softver koji računare može odbraniti od različitog malware-a, prvenstveno
virusa, trojanaca, botova i crva. Funkcionalnosti antivirusa zavise od proizvoĎača istog, pa može
www.MyCity.rs
detektovati i druge oblike malware-a (spyware, na primer).
Pored jednokratnog skeniranja operativnog sistema (on demand), antivirusi obično imaju i
mogućnost on access skeniranja, gde se datoteke proveravaju automatski kada korisnik pokuša
da ih pokrene. Više parametara utiču na uspešno detektovanje malware-a, od čega treba
pomenuti dva: redovno ažurirana baza definicija virusa i heuristika.
Antivirus može da detektuje:
- već postojeće viruse, s tim da je stepen detekcije veći ako je baza definicija virusa ažurirana.
- viruse koji su nepoznati antivirusu, uz upotrebu heuristike (termin heuristika je posebno objašnjen).
Antimalware software - softver koji, kao i antivirus, računar može odbraniti od različitog oblika
malware-a. MeĎutim, od antivirusa se razlikuje po tome što antivirus može da dezinfikuje
datoteke od file infectora (virusa u pravom smislu reči), dok antimalware to ne radi. Pored
širokog spektra vrsta malware-a koje može da detektuje (crvi, trojanci, rootkitovi, dialeri,
spyware, adware...), antimalware može da sreĎuje i registar (registry bazu), što generalno ne
rade antivirusni programi. U zadnje vreme je teže podvući razlike izmeĎu ova dva softvera jer
danas većina antivirusnih programa sreĎuje i registry bazu, te može detektovati više tipova
malware-a.
Detekcija – odnosi se na trenutak otkrivanja nekog malware-a od strane antivirusnog programa.
Kada se detektuje malware, dešava se sledeći scenario:
a) za detektovani virus, antivirusni program će pokušati dezinfekciju (da otkloni virus iz
legitimnog programa).
b) detektovani botovi, crvi i trojanci se brišu.
c) prilikom detektovanja bota ili crva zaraženog virusom, antivirusni program prvo detektuje
virus (jer je on na početku datoteke), pa počne dezinfekciju; kada završi dezinfekciju, antivirusni
program detektuje da je upravo dezinfikovana datoteka takoĎe štetna (crv ili bot) pa ga obriše.
Softverski omot (softverska koverta, eng. software envelope) - predstavlja sloj (layer) koji paker
kreira oko ciljane datoteke. Kôd ovoga sloja predstavlja vrlo važan deo identifikacije pakera.
Postoje različite tehnike implementacije omotavanja tako da se malware može zakamuflirati, jer
se time rešava heuristike koja, na taj način, neće moći da “prepozna” maliciozan kôd:
- EXE Packers: pakeri koji kompresuju izvršnu datoteku i formiraju novu izvršnu datoteku, po
pravilu manje veličine na disku, koja mora sadržati u sebi i deo kôda za dekompresiju. Pre
www.MyCity.rs
izvršavanja “nove” izvršne datoteke, dekompresioni kôd regeneriše originalni kôd prvobitne
izvršne datoteke. U većini slučajeva je proces transparentan, tako da se pakovana izvršna
datoteka može koristiti na isti način kao njen original. EXE-paker vaš pakovani program
raspakuje u memoriji, i tamo ga odmah izvrši, tj. startuje. [ dodatno čitanje: ovde ]
- EXE Cryptors: paker koji uključuje različite tehnike enkripcije kôda odreĎenog programa, s tim
da se na početak rezultujuće datoteke ugraĎuje programski deo koji će kriptovani program vratiti
u normalu. Na korisnikovom disku je čitljiv samo programski deo za raspakivanje, dok
kriptovani program nije čitljiv. Dekripcija programa, i nakon toga pokretanje dekriptovanog
programa se odvija u memoriji.
- EXE Protectors: programi koji imaju sposobnost detektovanja okruženja u kojem se pokreće
dekriptor; ukoliko program “proceni” da su uslovi okruženja nepovoljni (program se pokreće u
virtualnoj mašini, ili nekom debuggeru, itd.) programi/datoteke se neće dekriptovati.
- Code Obfuscators: pakeri koji koriste tehnike koje kôd namerno čine nejasnim i nerazumljivim,
te time otežavaju analizu omotane datoteke odreĎenim alatima i algoritmima za analiziranje
kôda. Tehnike koriste junk code, to jest delove kôda koji nemaju neku praktičnu svrhu, sem
“ošamućivanja” kôda (tj. činjenja kôda nejasnim) .
- i drugi (Morph Engines, itd…)
Packer - softver koji pravi softverski omot (softversku kovertu) oko nekog izvršnog objekta. Na
taj način menja njegovu prirodnu izvršnu formu, ali zadržava originalnu, prvobitnu
funkcionalnost (dakle, pre omotavanja) u memoriji. Neki od pakera su UPX, Exe32Pack, i drugi.
Datoteke je moguće i višestruko pakovati te se time otežava posao antimalware aplikacijama. Termin “paker” se upotrebljava u dva konteksta, u jednom za rezultat kompresor-arhivera, u drugom za EXE-pakere (ili run-time pakere).
[ ! ] Razlikovati ga od SFX.
Binder – program koji iz sebe izbacuje neki maliciozan program (svoj tovar), snima ga na disk i
pokreće, na nekom operativnom sistemu, s tim da postoji mogućnost odabira koji tovar će se
ugraditi u taj program.
Dropper - program koji iz sebe izbacuje neki maliciozan program (svoj tovar), snima ga na disk i
pokreće, na nekom operativnom sistemu, s tim da ne postoji mogućnost odabira koji tovar će se
ugraditi u taj program, jer se njegov tovar ugraĎuje u fazi programiranja, tj. pre kompajliranja tog
programa.
www.MyCity.rs
Injector - binder ili dropper koji svoj tovar može upisati direktno u memoriju i u memoriji ga
vezati za neki pokrenuti legitimni program. Tovar (tj. neki maliciozni program) je najčešće
sadržan u nekom kriptovanom obliku koji antivirusni programi ne prepoznaju.
Joiner je program koji omogućava spajanje malware-a sa nekim legitimnim programom, tako da
će se prilikom pokretanja tog programa paralelno izvršiti i legitimni program i njemu pridruženi
malware.
SFX (self extracting archive) – računarska aplikacija koja sadrži arhivu kompresovanih
datoteka, kao i deo koji sadrži informaciju kako izvući datoteke iz te arhive. Ovaj oblik je
pogodan jer ne zahteva dodatni program za arhiviranje kako bi se izvukle datoteke iz arhive.
[ ! ] SFX treba razlikovati od EXE packer-a. Iako su konceptualno isti – baziraju se na
kompresovanju programa/datoteka i dodavanju programa za raspakivanje na početak rezultujuće
datoteke, razlika je u tome što će EXE packer spakovani program raspakovati te odmah izvršiti u
memoriji, dok SFX podrazumeva raspakovanje na tvrdi disk.
Dialer - program koji se konektuje na nekog posebnog Internet provajdera koji, po pravilu, ima
visoku cenu pružanja usluge konekcije na Internet. Dialer sam po sebi nije maliciozan, jer
korisnik može svesno da ga koristi kako bi pristupio “vrućim razgovorima za odrasle” čiji
provideri imaju visoke cene minuta razgovora.
Dialeri mogu biti i maliciozni ukoliko su ubačeni na sistem bez znanja korisnika u cilju
pribavljanja finansijskih sredstava tog korisnika kroz nepovoljan “Internet provajding”. Efekat
tog pribavljanja se ogleda kroz iznos telefonskog računa korisnika-žrtve.
Haker (hacker) - u svom izvornom značenju opisuje osobu koja se bavi istraživanjem
mogućnosti računara i njihovoj pozitivnoj primeni u svakodnevnom životu. [ dodatno čitanje: ovde ]
Razbijač ((zabranjeno)er) – osoba koja koristi svoje znanje i otkrića negativno primenjuje u cilju
nanošenja štete. Imaju dovoljno znanja da samostalno pišu malware.
www.MyCity.rs
Lejmer (lamer) – osoba koja nema mnogo znanja o računarima već koriste već “postojeće
produkte” razbijača (trojance, viruse i sl. ) kako bi naneli štetu drugima.
Rescue disk - Live verzija nekog antivirusnog rešenja koja je obično zasnovana na Linux
operativnom sistemu; Live verzija znači da prilikom skeniranja nije pokrenut zaraženi operativni
sistem, već se učitava softver sa CD-a. [ dodatno čitanje: ovde ]
Firewall (vatrozid) - softverski paket ili hardverski ureĎaj koji kontroliše vanjski pristup
računaru ili lokalnoj mreži i filtrira mrežni saobraćaj. Neovlašteni pristup računaru ili mreži se
blokira, a ovlašteni odobrava. Moguće je kombinovati hardverski i softverski firewall. Često se
koriste za sprečavanje pristupa neovlaštenih korisnika sa Interneta ka privatnoj mreži/Intranetu.
Firewall je posrednik svoj komunikaciji izmeĎu Interneta i Intraneta, gde ispituje strukturu
poruka i blokira one koje ne ispunjavaju definisane kriterijume.
Razlikujemo sledeće tehnike firewalla:
- Packet filter: svaki paket se analizira i filtrira (tj. odobrava ili blokira) zavisno od definisanih
pravila korisnika (tj. lokalne politike firme).
- Application gateway: podrazumeva specifične bezbednosne mehanizme za odreĎene aplikacije
ili servise.
- Circuit-level gateway: podrazumeva primenu bezbednosnih mehanizama prilikom kreiranja
TCP konekcije. Kada se kreira TCP konekcija, razmena paketa se vrši bez dodatnih provera.
- Proxy server: podrazumeva presretanje svih poruka koje ulaze ili izlaze iz mreže.
Primarna svrha personalnog firewalla je funkcionalnost packet filtera kako bi se kontrolisao
saobraćaj koji dolazi na računar i odlazi sa njega. Firewall ne mora da ima HIPS komponentu. [ dodatno čitanje: ovde ]
Intrusion Prevention Systems (IPS) - mrežna bezbednosna rešenja koja prate mrežne aktivnosti
u cilju detekcije malicioznog ponašanja. Osnovne funkcionalnosti ovih sistema su identifikacija
malicioznog ponašanja, zapisivanje informacija o registrovanom ponašanju, pokušaj blokiranja
ili zaustavljanje malicioznog ponašanja i izveštavanje o ovim aktivnostima.
www.MyCity.rs
IPS se mogu podeliti u sledeće 4 kategorije:
- Network-based Intrusion Prevention (NIPS): prati celokupan saobraćaj na mreži s cljem
detekcije zlonamernog saobraćaja, i to analiziranjem aktivnosti mrežnog protokola.
- Wireless Intrusion Prevention Systems (WIPS): sličan prethodnom, s tim da je usko vezan za
praćenje saobraćaja kod bežičnih mreža i analiziranje bežičnih protokola.
- Network Behavior Analysis (NBA): specijalizovan za analizu odreĎenih ponašanja na mreži kao
što su iznenadna opterećenja mreže i druga, kako bi se otkrio potencijalni napad na mrežu
(DDoS, na primer), ali i odreĎene grupe malicioznih programa.
- Host-based Intrusion Prevention (HIPS): softverski paket instaliran na jedan računar, koji prati
sumnjive aktivnosti procesa analizirajući dogaĎaje koji se dešavaju na tom računaru.
Firewall filtriranjem paketa ne može da utvrdi potencijalne pretnje kao keyloggere niti može da
spreči ulazak malicioznog softvera. Za ovo je zadužena komponenta HIPS. HIPS prati ponašanje
procesa unutar samog računara.
Većina modernih firewallova predstavljaju simboizu dvaju komponenti packet filtera (za
kontrolu mrežnog saobraćaja) i HIPS-a koja je zadužena za detekciju i sprečavanje svih vrsta
potencijalnog malicioznog ponašanja na računaru.
HIPS kontroliše šta neka aplikacija na računaru sme da radi, a šta ne sme. Prati ponašanje
procesa i sprečava potencijalno maliciozne operacije (što je u skladu sa pravilima koje je
korisnik definisao).
Spoof - uopšteno, termin se odnosi na tehnike obmane gde se imitira identitet nekog korisnika na
Internetu, softver, hardverski ureĎaj ili IP adresa, u cilju neovlaštenog prolaska kroz odreĎene
bezbednosne mehanizme.
Razlikujemo sledeće kategorije:
- IP spoofing: metod prolaska kroz bezbednosne procedure na mreži imitirajući drugu IP adresu.
Postoje sigurnosni mehanizmi koji način autentikacije korisnika baziraju na osnovu njegove IP
adrese (ili specifičnog opsega IP adresa).
- E-mail address spoofing - odnosi se na lažiranje pošiljaoca e-mail poruke. Može se koristiti i za
zaobilaženje spam filtera na klijentu ciljanog računara. Primaoc ove poruke percepira poruku kao
bezbednu jer mu je adresa poznata.
- Web page spoof - odnosi se na lažnu Web stranicu, koja vizuelno izgleda identično kao i
originalna stranica, ali je hostovana na nekom drugom serveru (nevezanom za matične sajtove).
Cilj je da se, na ovaj način, pribave privatni podaci korisnika (korisničko ime, lozinka ili neki
drugi podaci).
www.MyCity.rs
Phishing - usmerene zlonamerne aktivnosti osobe ili grupe u cilju pribavljanja informacija o
autentikaciji nekog korisnika, upotrebom posebno napravljenih e-mailova ili Web stranica.
Autentikacija korisnika može biti vezana za banke, kreditne kartice, e-mail naloge, društvene
mreže (myspace, facebook) i drugo.
a) e-mail phishing - ove poruke su dizajnirane tako da zavaraju korisnika kao da su poslate od
sistem administratora ili drugog ovlaštenog lica neke kompanije, gde se traže podaci o
autentikaciji ili koje sadrže linkove ka lažnim stranicama koje služe da prikupe podatke o
autentikaciji korisnika.
b) phishing preko Web stranica - podrazumeva kreiranje lažne Web stranice koja je vizuelno
identična sa originalnom. Uneti podaci "upecanih korisnika" na toj stranici se prosleĎuju dalje
kreatoru lažne (fake, spoof)Web stranice. Linkovi kao ovim lažnim stranama mogu se proslediti
kroz e-mail poruke, chat aplikacije, forume i druge medijume.
Kako na lak način utvrditi da li ste meta phishinga? Analizirajte strukturu e-maila ili linkova:
- analizirati e-mail adresu pošiljaoca; Da li je njegov provider iz vaše firme? Da li je adresa
uopšte poznata?
- obratiti pažnju na način oslovljavanja; phisihing e-mailovi se mogu slati na hiljade adresa pa se
mora koristiti opšti pristup za oslovaljavanje tipa Poštovani korisniče/Dear customer i slično. Da
je zahtev zvaničan, kompanija/administrator bi vas oslovio po korisničkom (ili punom) imenu.
- obratiti pažnju na sintaksne/gramatičke greške; nije velika mudrost napisati lažni e-mail, pa u
velikom broju slučajeva se provuku neke očigledne greške.
- rokovi; phishing mailovi mogu da zahtevaju odgovor u roku od 24 časa ili kraće kako bi
izazvali impulsivnu reakciju korisnika.
- analizirajte linkove; primera radi lažni (fake) link bi bio http://fakeaddress.com/mycity , stoga
linkove uvek ručno ukucavajte sa podacima za koje znate da funkcionišu: www.mycity.rs
- ako i dalje niste sigurni, direktno kontaktirajte kompaniju telefonom da proverite da li postoji
neki problem sa vašim nalogom.
Mogući mamci: ističe nalog ili lozinka; nalog je hakovan, nalog je zastareo te ga potrebno
reaktivirati, problemi sa duplim nalogom, te aktivacija novog, i drugi.
Spear phishing - možemo ga definisati kao ciljno orijentisan phishing. "Obični" phishing je
zasnovan na masovnom i neorganizovanom slanju e-mail poruka, dok spear phishing nije
masovan, već dobro organizovan i usmeren na jednog korisnika ili mali broj ljudi, obično u
jednom preduzeću. Napadač se obično predstavlja kao korisnik službe koja ima ovlašćenje da
zatraži neke poverljive podatke (IT ili kadrovsko odeljenje). Ovaj sofisticiraniji napad je mnogo
teže otkriti.
www.MyCity.rs
Spam - neželjena e-mail poruka (junk mail). Više od 99% celokupnog spama dolazi od
inficiranih mašina koje su deo botneta. Cilj spama je često profit - milion elektronskih poruka
može biti poslato u nekoj kampanji (za neki proizvod i sl. ), praktično bez ikakvog troška. Ako
od tih milion poslatih mailova 10000 korisnika obavi kupovinu, profit je očigledan.
Korisnici koji nemaju neki antispam softver moraju prvo identifikovati da su poruke neželjene te
brisati ove poruke "jednu po jednu", što oduzima dosta vremena. Dalje, pažnja se odvraća od
bitnih poruka, opterećuje se Internet saobraćaj korisnika (bandwidth). Online mail servisi obično
imaju integrisan antispam filter.
Digital signature (digitalni potpis) - metod kriptovanja podataka u cilju verifikacije identiteta
njihovog pošiljaoca. Digitalni potpisi se često koriste prilikom distribucije softvera, finansijskih
transakcija i raznim drugim slučajevima gde je bitan identitet pošiljaoca kako bi se sprečile
potencijalne prevare i druge zlonamerne aktivnosti.
U kontekstu Windowsa, digitalni potpis korisniku, koji instalira neki softver, pruža informaciju
da li je taj softverski paket od legitimnog izdavača (publisher), te mu pruža sigurnost da može
bezbedno instalirati softverski paket.
Administratorska privilegija se zahteva za instalaciju nepotpisanih kernel-mode komponenti. 64-
bitna verzija Windowsa 7, Viste i Servera 2008 ne dozvoljava instalaciju nepotpisanih drivera
(zahteva se KMCS - Kernel Mode Code Signing) .
Ograničenja postoje i u novim verzijama Internet Explorera - preuzeti instalacioni paketi i SFX
datoteke sa Interneta moraju biti digitalno potpisani kako bi se pokrenuli ili instalirali.
Document malware - odnosi se na maliciozne meta podatke (ugraĎene skripte u pojedine tipove
dokumenata) ili maliciozni makro sadržaj u dokumentima. Makro sadržaj je osmišljen da se u
legitimne svrhe izvrši automatizacija nekih često korištenih radnji. Kako se za to osmišljavanje
koristi neki programski jezik, moguće je napisati maliciozan kôd. Zlonamerne makro skripte za
Microsoft Office dokumenta pojavila su se 90-ih godina. U zadnje vreme postoje razni oblici
malware-a koji se vezuju za PDF pa i AutoCAD dokumenta.
Cookies (kolačići) - tekstualne datoteke, koje se smeštaju na računar korisnika i omogućavaju
Web sajtovima da pamte odreĎene informacije (npr. praćenje broja poseta, korisničko ime, itd.).
Prilikom sledeće posete nekom sajtu, server može da pročita (bez znanja korisnika) podatke
unutar cookie-a, na primer može prikaže korisničko ime, tako da ostaje samo da unesete lozinku.
Cookies ne mogu da oštete podatke na računaru, budući da su tekstualne datoteke, ali mogu da
www.MyCity.rs
naruše poverljivost registrovanih podataka. Web sajtovi mogu posetepeno da prave profil
korisnika koji je baziran na ponašanju tih korisnika prilikom pregledavanja Web sajta. Ove
sakupljene informacije kasnije mogu biti podeljene sa drugim Web sajtovima ili čak prodate. Na
kraju, reklamni sadržaj na Web sajtu se može prilagoditi konkretnom profilu korisnika.
Web browseri meĎu svojim opcijama imaju podešavanja vezana za "kolačiće" (ili poseban tzv.
incognito mod surfovanja, kod pojedinih browsera), pa ako korisnik želi ostati anoniman može
odabrati opciju da se isti ne čuvaju (ili ući u incognito način surfovanja).
Pharming - vrsta napada koja se bazira na kreiranju lažnih Web sajtova u cilju pribavljanja
poverljivih informacija o korisniku. Od phishinga se razlikuje po tome što, u ovom slučaju, nema
nikakvog "mamca" u vidu e-mail poruke ili drugo, već se čitav saobraćaj usmerava ka lažnom
Web sajtu iako korisnik pravilno ukuca ime prvobitnog Web sajta koji želi da poseti. Ovo
usmeravanje saobraćaja se može ostvariti na sledeće načine:
a) DNS cache poisoning
Napad na sistem imena na Internetu, koji omogućava korisnicima da unesu ime Web sajta u
razumljivom, simboličkom obliku (npr. www.mycity.rs) a ne u brojčanom obliku (192.168.1.1).
Za ovo preslikavanje (simboličko u brojčano) zadužen je DNS (Domain Name System) server.
Očigledno, napad (trovanje) se sastoji u promenama ovog preslikavanja adresa, tako da se
prilikom ukucavanja www.mycity.rs sav saobraćaj usmerava na neku drugu (malicioznu) adresu
(npr. 78.46.103.200) .
b) promena HOSTS datoteke na računaru korisnika
Iako je DNS cache poisoning pharming u pravom smislu te reči, jer "farmer" može da na
globalnom nivou (firme, provajdera) "u jednom prolazu" sakupi veliki niz privatnih informacija
(tj. prinosa sa farme), postoji i lokalni napad, tj. lokalna promena preslikavanja simboličkih u
brojčane adrese. Naime, prilikom surfovanja Internetom, Web browser koristi HOSTS datoteku u
kojoj se nalaze informacije o preslikavanju (prvo se pristupi hosts datoteci, pa se tek nakon toga
informacije prosledjuju DNS serveru).
Hosts datoteka je tekstualna datoteka, sledećeg formata:
Kod:
# Ova linija unutar hosts fajla je primer redirekcije facebook-a na malicioznu adresu
78.46.104.123 www.facebook.com
Encryption (kriptovanje podataka ili šifriranje) - proces kojim se vrši izmena podataka tako da
se poruka, učini nečitljivom za osobe koje ne posjeduju odreĎeni ključ, tj. informaciju za
dešifrovanje. Prva poznata metoda šifriranja datira iz vremena rimskog vojskovoĎe Julije Cezara,
po kojem je i dobila ime, a sastoji se u jednostavnoj supstituciji latiničnih slova poruke
pomicanjem za odreĎeni broj mjesta u abecedi. U orginalnoj verziji, pomakom za tri mjesta
unazad, šifra FDHVDU otkriva ime vlasnika Caesar.
www.MyCity.rs
================================================
Uputstvo za čitanje početnicima
================================================
Kao i većinu stručnih stvari, rečnik treba čitati iterativno-inkrementalno, tj. možda na "prvu
loptu" svi pojmovi neće biti najjasniji, ali u sledećim iteracijama čitanja znanje će inkrementalno
da raste.
-----------------------------
AMF Tim
-----------------------------
