1. Na kom portu radi SSH servis? Na 22

2. Na kom portu se pristupa SSL zatienoj web stranici?

3. Na kojoj strani mrene barijere (ka unutranjoj mrei ili ka internetu) se ne moe nai IP adresa 192.168.1.1?

To je eth1 i ka internetu ne moze jer on koristi 66.10.1.1 (to je eth0)

4. Na osnovu kojih parametara se filtriraju paketi? - IP

- IP

- (Source Port)

-

- Flag (SYN, ACK, .)

-

5. Da li se prilikom filtriranja paketa analizira sadraj ili samo zaglavlje paketa?

Samo zaglavlje paketa

6.U emu je razlika izmeu klasinog paket filtra i proxy servera? Paket filter radi na mreznom sloju TCP/IP , . web.

Proxy . Proxy . . . . proxy . Proxy . tateful

packet filter - .

7.U emu je razlika izmeu stateless i statefull paket filtara? Postoje dve vrste filtara paketa: mrene barijere bez uspostavljanja stanja (engl. stateless firewall) i mrene barijere sa uspostavljanjem stanja (engl. Statefull firewall). - Stateless firewall odbacuje paket ukoliko nema dovoljno informacija ta bi s njim trebalo da uradi. Veina mrenih barijera ovog tipa ostavlja portove vee od 1024 otvorene, kako bi omoguila slanje odgovora raunaru koji je poslao zahtev. Trojanski konji mogu da iskoriste ove portove i to predstavlja ozbiljan sigurnosni propust.

- Statefull firewall prati stanje na mrenom sloju (pamte zahteve za uspostavljanjem veze) i to koriste prilikom donoenja odluka. Karakterie ih postojanje tabele stanja, tj. tabele u kojoj mrena barijera vodi evidenciju o trenutnim stanjima veza. Barijere ovog tipa dozvoljavaju slanje odgovora ka raunarima koji su uspostavili vezu, a potencijalne rupe ostaju otvorene samo onoliko dugo koliko je potrebno.

8. ta se alje kao odgovor na ICMP echo paket? ping kojim se proverava da li je udaljeni raunar dostupanNa ICMP echo-request paket se odgovara sa ICMP echo-reply paketom.iptables A INPUT p icmp icmp-type echo-request j ACCEPT

iptables A OUTPUT p icmp icmp-type echo-reply j ACCEPT

9. Da li Windows XP SP2 firewall filtrira odlazee zahteve za uspostavljanjem konekcije? Ne filtrira

10. Da li Windows XP SP2 firewall moe da omogui kontrolu pristupa programima sa vaeg raunara koji se ponaaju kao mreni servisi? Moze

11. Da li Comodo Personal firewall filtrira odlazee zahteve za uspostavljanjem konekcije? Filtrira

12. Da li Windows XP SP2 firewall moe da zabrani aplikaciji koja eli da pristupi mrei da pristupi mrei? Ne moze da zabrani

13. Da li Comodo Personal firewall moe da zabrani aplikaciji koja eli da pristupi mrei da pristupi mrei? Moze

14. ta je zona od poverenja (trusted zone) na Comodo Personal Firewall-u?

To je zona koju definisemo i u nju ubacujemo IP adresu ili rang adresa kao host kome verujemo. Tako definisemo mrezne zone kojima verujemo, a takodje mozemo i definisati zone kojima ne verujemo

15. emu slue Input, Output i Forward lanci na iptables mrenoj barijeri? Netfilter koristi tri filtra (INPUT, OUTPUT i FORWARD), realizovanih u formi lanaca pravila (engl. chains). Svaki lanac sadri pravila (engl. rules) koja se primenjuju jedno za drugim na svaki paket koji prolazi kroz lanac. Ako paket zadovolji neko pravilo, izvrava se akcija, poput prihvatanja paketa ili odbacivanja paketa. Ako paket ne zadovolji pravilo, prosleuje se dalje kroz lanac, tj. proverava se da li e zadovoljiti sledee pravilo u lancu. Na kraju lanca nalazi se polisa koja odreuje ta treba da se uradi sa paketima koji ne zadovoljavaju nijedno pravilo. Kada paket stigne u jezgro operativnog sistema, Netfilter najpre analizira odredinu adresu paketa:

-Paket namenjen procesu na lokalnom raunaru prosleuje se INPUT lancu. Ako pravila lanca prihvate paket, on se prosleuje procesu koji ga oekuje. Ova situacija je tipina za raunare na kojima je instaliran neki mreni servis (na primer, Apache Web Server), koji je zatien mrenom barijerom.

-Dolazei paket koji nije namenjen lokalnim procesima predaje se FORWARD lancu. Ako u jezgru nije ukljuena podrka za prosleivanje IP paketa, ili ako na osnovu tabele rutiranja Netfilter ne moe da odredi kako da prosledi paket, paket se odbacuje. Ukoliko je paket prihvaen pravilima FORWARD lanca, prosleuje se interfejsu, prethodno odreenom na osnovu tabele rutiranja.

-Odlazei paket koji potie od lokalnog procesa predaje se OUTPUT lancu. Ako pravila lanca prihvate paket, paket se alje na interfejs, koji je odreen tabelom rutiranja.

Filterski lanci konfiguriu se pomou iptables alata.

16. ta se deava sa paketom na iptables mrenoj barijeri ukoliko ne zadovolji ni jedno pravilo u

lancu? Na kraju lanca nalazi se polisa koja odreuje ta treba da se uradi sa paketima koji ne zadovoljavaju nijedno pravilo.

17. Ukoliko paket zadovoljava 2 pravila u lancu, pri emu ga prvo odbija a drugo dozvoljava, ta se deava sa paketom? Ako paket ne zadovolji pravilo, prosleuje se dalje kroz lanac, tj. proverava se da li e zadovoljiti sledee pravilo u lancu.

18. emu slui komanda? iptables A FORWARD d 172.16.32.2 --dport http j ACCEPT Za konfiguraciju forward lanca i dozvolu http zahteva ka odgovarajuim serverima (proverava se odredini port i odredina adresa)

19. emu slui komanda? iptables F OUTPUT Brisanje OUTPUT lanca

20. ta dozvoljava sledea komanda? iptables A OUTPUT p icmp icmp-type echo-reply j ACCEPT dodavanjem pravila u OUTPUT lanac koji ce dozvoliti slanje ICMP echo-reply paketa. dodaje se po

jedno pravilo koje proverava protokol i tip ICMP poruke.

21. Kako se definie podrazumevana polisa na kraju INPUT lanca? iptables P INPUT DROP

iptables P OUTPUT DROP

iptables P FORWARD REJECT

22. Da li e raunar odgovarati na PING ukoliko su zadata sledea dva pravila u INPUT i OUTPUT lance?

iptables A INPUT p icmp icmp-type echo-request j ACCEPT

iptables A INPUT p icmp icmp-type echo-reply j ACCEPT

iptables A OUTPUT p icmp icmp-type echo-request j ACCEPT

iptables A OUTPUT p icmp icmp-type echo-reply j ACCEPT Hoce

23. Da li e raunar moi da alje PING i primi odgovor ukoliko su zadata sledea dva pravila u

INPUT i OUTPUT lance?

iptables A INPUT p icmp icmp-type echo-request j ACCEPT

iptables A INPUT p icmp icmp-type echo-reply j ACCEPT

iptables A OUTPUT p icmp icmp-type echo-request j ACCEPT

iptables A OUTPUT p icmp icmp-type echo-reply j DROP Nece zbog komande DROP koja odbacuje paket

24. Kakvu vrstu napada spreavamo komadom?

iptables A FORWARD p tcp -syn -dport 21 m limit limit 2/minute j ACCEPT (syn limit tj syn flood block)Pravilo kojim se otvaranje FTP veze ka FTP serveru ograniava na svakih 15 sekundi. Najvie etiri puta u minutu dozvoljava prosleivanje TCP SYN paketa usmerenih na port 2 (SYN paketi su paketi koji uspostavljaju TCP vezu. U ovom sluaju kontroliemo uspostavljanje FTP veze, pa zato ograniavamo uestalost prosleivanja paketa ka portu 21).

25. Koju vrstu napada spreavamo komandom?

iptables A FORWARD p tcp --tcp-flags SYN,ACK,FIN,RST -i public_interface -m limit -limit 1/s j ACCEPT (Port scan block)Skeniranje portova (engl. port scanning). Ovaj pasivan napad slui za identifikaciju otvorenih portova i obino prethodi nekom aktivnom napadu. Napada alje SYN ili FIN pakete opsegu portova i oekuje SYN+ACK pakete za otvorene i RST pakete za zatvorene portove. Od ovog napada se ne moete potpuno zatititi, ali moete smoriti napadaa tako to ete dozvoliti prijem ogranienog broja SYN i FIN paketa u jedinici vremena

26. Koju vrstu napada spreavamo komandom?

iptables A FORWARD p icmp -icmp-type echo-request -i public_interface m limit -limit 1/s j ACCEPT (Ping-of-death block)Ping-of-Death napad je slanje velikog broja ICMP echo-request paketa rtvi. U najgorem sluaju, ovo moe ubiti neke operativne sisteme. Zatita od ovog napada svodi se na dozvoljavanje ogranienog broja ICMP echo-request paketa u jedinici vremena.

27. ta su SNAT i DNAT? SNAT- Izvorino prevoenje (engl. source NAT, SNAT) slui za promenu izvorine adrese paketa. Obavlja se posle rutiranja, to znai da se SNAT pravilo dodaje u POSTROUTING lanac. SNAT je pogodan za sakrivanje informacija o lokalnoj mrei ili o demilitarizovanoj zoni. Na primer, posmatrajte mrenu barijeru sa poznatom javnom IP adresom. Pomou SNAT-a, mrena barijera e prevesti izvorine adrese paketa (koje pripadaju opsegu privatnih adresa) u javne IP adrese i time omoguiti vezu raunara na lokalnoj mrei sa Internetom. DNAT- Odredino prevoenje (engl. destination NAT, DNAT) slui za promenu odredine adrese paketa, tj. za preusmeravanje veze sa mrene barijere na drugo odredite. Obavlja se pre rutiranja, to znai da se DNAT pravilo dodaje u PREROUTING lanac. Na primer, pomou DNAT-a se paket moe preusmeriti sa mrene barije sa javnom IP adresom na neki server u demilitarizovanoj zoni.

28. Od kojih se lanaca pravila sastoji NAT tabela iptables mrene barijere? Sastoji se od:

-PREROUTING (izmena paketa pre odluke o rutiranju),

-POSTROUTING (izmena paketa nakon odluke o rutiranju),

-OUTPUT (izmena paketa pre slanja).

29. Kada se primenjuje PREROUTING a kada POSTROUTING (na primeru web servera zatienog zasebnim raunarom na kome radi iptables servis)? Paket namenjen procesu (aplikaciji), koji se izvrava na raunaru na kom funkcionie i iptables, prolazi kroz sledee korake pre nego to se isporui aplikaciji:

paket ulazi u interfejs mangle prerouting nat prerouting odluka o rutiranju mangle input filter input paket se alje pravoj aplikaciji ili drugom raunaru.

Paket sa lokalnog raunara, to jest sa raunara na kom funkcionie i iptables, prolazi kroz sledee korake pre nego to se poalje na mreu:

lokalni proces generie paket odluka o rutiranju mangle output nat output filter output mangle postrouting nat postrouting paket se alje na mreni interfejs.

Paket koji dolazi sa mree, a koji je namenjen drugom raunaru na mrei, prolazi

kroz sledee korake:

paket ulazi u mreni interfejs mangle prerouting nat prerouting odluka o rutiranju mangle forward filter forward mangle postrouting nat postrouting paket se alje na odredini mreni interfejs.

30. ta je skeniranje portova? Najee koriene tehnike napada na umreene raunare jesu skeniranje portova (engl. port scanning) i analiza mrenog saobraaja. Skeniranje portova je tehnika slanja ispravnih ili neispravnih (loe formatiranih) ICMP, UDP i TCP paketa raunaru iju sigurnost ispitujemo. Na osnovu odgovora raunara na te pakete mogu se odrediti otvoreni portovi, dostupni mreni servisi i vrsta operativnog sistema. Pomou ove tehnike moete proveriti da li ste mrenu barijeru ispravno konfigurisali, tj. da li su na njoj zatvoreni svi portovi osim onih koji moraju biti otvoreni.

31. ta je NMAP stealth skeniranje?

32. ta je fingerprinting raunara pomou programa NMAP?

Za skeniranje se esto koriste i neki loi ili drugaije formatirani TCP paketi. Na primer, napada moe poslati ACK paket rtvi pre nego to se uspostavi TCP veza. Razliiti operativni sistemi razliito reaguju na ovakve, loe formatirane pakete, pa se ova metoda koristi za odreivanje tipa operativnog sistema na raunaru koji je meta napada. Ovaj postupak se naziva i popisivanje (engl. fingerprinting). Opisana metoda je korisna potencijalnom napadau jer, u zavisnosti od tipa operativnog sistema, moe upotrebiti i odgovarajuu tehniku ili iskoristiti postojei sigurnosni propust.

33. Da li snort evidentira sve pakete u log datoteci u NIDS reimu rada? Ne

34. U emu je razlika izmeu reima rada sniffer (evidentiranje paketa) i NIDS? U reimu evidentiranja paketa, Snort hvata pakete sa mree i podatke o njima prikazuje na standardnom izlazu ili ih evidentira u dnevniku datoteku koja kasnije moe da se pregleda. U ovom reimu Snort ne otkriva upade. Za pokretanje Snorta u ovom reimu nije potrebna konfiguraciona datoteka. Za ovaj reim rada znaajne su sledee dve opcije:

-d (Snort prikazuje/evidentira i neke informacije o protokolima aplikacionog sloja) i

-e (Snort prikazuje/evidentira i informacije o zaglavlju Ethernet okvira). U NIDS reimu rada (Network IDS) Snort ne evidentira svaki paket u dnevnikoj datoteci kao to to radi u network sniffer reimu. Umesto toga, Snort primenjuje pravila na svaki paket. Ukoliko paket odgovara nekom pravilu, Snort evidentira paket ili generie upozorenje. Ako paket ne odgovara nijednom pravilu, paket se ignorie (Snort ga ne evidentira i ne generie upozorenje). Za pokretanje

Snorta u ovom reimu potrebna je konfiguraciona datoteka koja sadri Snort pravila.

35. U kom reimu rada snort generie upozorenja (alerts)? Kada se generie upozorenje? Snort pokrenut u NIDS reimu generie upozorenja (engl. alerts) kada uhvati paket koji se poklapa s nekim pravilom.

36. emu slui My Blocked Files lista na Defense + IDS-u? Ova opcija omoguuje da potpuno ukinete sva pristupna prava nad datotekama i direktorijumima tako da ni aplikacije ni korisnici ne mogu da ih menjaju. Ako je datoteka izvrnog tipa, to bi znailo da program koji radi tako to se pokree ta datoteka, ne bi ni radio.

37. emu slui My Own Safe Files lista na Defense + IDS-u? U nju moemo naknadno ubacivati proverene datoteke za koje ste sigurni da nisu maliciozni i da

je bezbedno pokretati ih

38. emu slui My Protected Registry Keys lista na Defense + IDS-u? Opcija My Protected Registry Keys vam prikazuje listu zatienih registry kljueva koju, naravno moete dopuniti novim kljuevima. Ova lista se automatski formira jer Comodo prepoznaje kritine reg kljueve i ulanjuje ih u ovu listu.

39. ta je Training Mode na Comodo Firewall-u i Comodo Defense + IDS-u?

40. U emu je razlika izmeu administratorskog naloga i obinog korisnika na Windows XP-u? Administrator raunara (engl. Computer Administrator). Nalozi ovog tipa su lanovi lokalne grupe Administrators i imaju potpunu kontrolu nad raunarom. Instaliranje softvera, preuzimanje vlasnitva nad datotekama ili pravljenje drugih korisnikih naloga moe se obaviti samo s nalogom ovog tipa. Korisniki nalozi namenjeni su krajnjim korisnicima i ne obezbeuju prava potrebna za instaliranje softvera i administriranje drugih naloga.

41. Da li obian korisnik moe da napravi novog korisnika na Windows XP-u? Ne moze

42. lanovi kojih korisnikih grupa imaju podrazumevano dodeljeno pravo Take Ownership of Files or Other Objects na Windows XP-u? Administrators

43. Kada se primenjuje Computer Configuration a kada User Configuration deo grupne polise na Windows operativnim sistemima? Computer Configuration - deo koji odreuje konfiguraciju raunara i primenjuje se kada se raunar pokreneUser Configuration - deo koji odreuje okruenje korisnika i primenjuje se kada se korisnik prijavi na mreu ili lokalni raunar

44. Ukoliko je korisnik Windows sistema George kome je dato pravo upisa u direktorijum C:\1 lan grupe CannibalCorpse kojoj je zabranjen upis u taj direktorijum, da li korisnik moe da upie fajl u u taj direktorijum? Vezba 8- str.12

45. U emu je razlika izmeu standardnih NTFS dozvola Write i Modify? Write dozvola za upis novog sadraja u objekat; izmena sadraja objekta je mogua ukoliko je korisniku pored ove dozvole data i dozvola Read, koja omoguava korisniku pregledanje sadraja; Modify unija standardnih dozvola Read and Execute i Write proirena atomarnom dozvolom za brisanje objekta;

46. Da li korisnik koji pristupa deljenom direktorijumu na serveru moe da upie neto u taj

direktorijum ukoliko je dobio Share dozvolu Full Control, na serveru NTFS dozvolu Read & Execute, a grupa kojoj pripada NTFS dozvolu Full Control?

47. Da li korisnik koji pristupa deljenom direktorijumu na serveru moe da upie neto u taj

direktorijum ukoliko je dobio Share dozvolu Full Control, a na serveru NTFS dozvolu Read &

Execute?

48. Koju kategorija praenja dogaaja obezbeuje praenje neuspenog pristupa direktorijumu na

NTFS fajl sistemu na Windows XP operativnom sistemu? Da li je osim omoguavamka ove kategorije

potrebno jo neto uraditi da bi se pratio pristup konkretnom direktorijumu?

49. emu slue datoteke /etc/passwd i /etc/shadow? Gde se uvaju lozinke korisnika? Datoteka /etc/passwd(password file) jeste baza podataka koja opisuje sve korisnike naloge Linux sistema. Svaki korisnik je opisan pomou jednog reda u datoteci, sastavljenog od sedam polja razdvojenih dvotakom: korisniko ime, lozinka, UID, GID, opis, lini direktorijum i komandni interpreter.

Datoteka /etc/shadow(shadow file) titi lozinke korisnika jakom kriptografskom zatitom. Datoteka sadri he vrednosti lozinki svih korisnika sistema i informacije o vremenskim ogranienjima.

50. Da li je nalog root sistemski ili korisniki? Sistemski

51. Koji jedini sistemski nalog na Linux OS ima prava prijavljivanja na sistem? root

52. emu slui komanda chattr +i /etc/passwd? Uvodi se kao dodatna mera zatite da se postave bitovi nepromenljivosti (eng imutability flag) kako niko ne bi mogao da ih edituje.

53. emu slui komanda sudo -u wcoyote jed /hom e/wcoyote/.bash_profile? pokree editor jed sa privilegijama korisnika wcoyote

54. emu slui komanda sudo cat /etc/shadow? korisnik zadaje komandu za prikazivanje sadraja shadow datoteke (zahteva root privilegije)

55. Da li korisnik moe da bude vlasnik datoteke i istovremeno pripada vlasnikoj kategoriji others? Ne moze

56. emu slui komanda chmod u=rx,go-w my_file? chmod je komanda za postavljanje bita, u se odnasi na vlasnicku kategoriju tj. Na vlasnika, = je operator dodele tacno odredjenih prava nekoj vlasnickoj kategoriji, rx su prava (citanje, izvrsavanje), go su takodje vlasnicke kategorije (grupa i ostali), - ukidanje prava w(pisanje) nad fajlom my_file

57. emu slui komanda chmod -R o-rwx /root? Svim regularnim korisnicima koji ne pripadaju grupi root mogu se ukinuti sva prava nad direktorijumom /root i njegovim sadrajem

58. ta je SUID? emu slui komanda chmod a-s /bin/rm? Prilikom izvravanja nekih programa postoji potreba za privremenim prisvajanjem identiteta drugog vlasnika ili grupe. To se na UNIX sistemima realizuje postavljanjem korisnikog bita (SUID) . A ovom komandom uklanjamo s bit za rm komandu (ciji je vlasnik root) tako bi svaki korisnik mogao da obrie svaku datoteku, jer komandu izvrava pod root identitetom. Da bi to sprecili koristimo tu komandu da sklonimo s bit sa programa kojima to nije potrebno.

59. emu slui komanda chage -m 20 -M 60 -W 40 -I 7 nosferatu? Neprivilegovanim korisnicima kao to je korisnik "nosferatu", ograniiti vaenje lozinke

60. ta je umask promenljiva i emu slui? Inicijalna prava pristupa dodeljuju se na osnovu vrednosti promenljive umask Svaki korisnik ima svoju promenljivu um ask koja se postavlja prilikom prijavljivanja na sistem, a moe se videti i promeniti pomou istoimene komande.

61. emu slui komanda chown korisnik /media/data? Vlasniki odnosi se menjaju komandom chown (CHange OWNer).Kako bi ste obezbedili da ovu particiju moe samo root da mountuje a odreeni korisnik da pie i ita

nje, jednostavno samo promenite vlasnika direktorijuma na koji se mountuje ova particija to je /media/data sledeom kmandom: #chown korisnik /media/data

62. ta je NFS? emu slui komanda mount -t nfs fileserver1://share/doc /doc?

NFS oznacava pristup mrenom sistemu datoteka .Svaki sistem iji je deo aktivnog stabla dostupan na mrei, predstavlja NFS server. Na NFS serveru se definie koji su direktorijumi dostupni na mrei (export-points) i sa kojih se raunara moe tim direktorijumima pristupiti. Jednostavno reeno, definie se sadraj NFS sistema datoteka, tj. deljeni direktorijumi i kontrola pristupa. Komandom se NFS se sa udaljenih raunara (klijenata) aktivira kao i svaki drugi sistem datoteka montiranjem na mount-point direktorijume .

63. ta je chroot jail? Najekstremnija sigurnosna mera podrazumeva smetanje Apachea u takozvani chroot zatvor (engl. chroot jail). Time se ograniava podruje sistema datoteka koje je dostupno Apache Web serveru. Ovim premetanjem se pravi nova struktura direktorijuma koja sadri samo Apache, njemu potrebne datoteke i minimalan broj drugih programa. Bilo kakav sigurnosni propust u samom Apacheu moe da ugrozi samo ovu strukturu, bez naroitog uticaja na ostatak sistema.

64. emu slui syslog? To je centralizovan sistem za praenje dogaaja.slui za praenje svih dogaaja u sistemu, odnosno onih dogaaja za koje ga konfiguriete da prati.

65. emu slui komanda /etc/init.d/networking stop? Za iskljucenje mreznih adaptera

66. Na ta se odnose parametri emerg, crit i alert u syslog-u? error, crit poruke o grekama i kritinim grekama,

alert poruke o stanju koje zahteva hitnu intervenciju administratora, emerg poruke o greama koje e dovesti do kraha sistema. (emerg- Sve poruke s prioritetom emerg prikazuju se svim korisnicima pomou komande wall (Write ALL) Sve poruke s prioritetom alert ili emerg prikazuju se na terminalima s kojih su prijavljeni korisnici crit- Sve poruke s prioritetom crit (kritine greke), osim kritinih greaka jezgra, uvaju se u datoteci /var/adm/critical . Poruke jezgra s prioritetom crit ili viim prikazuju se na konzoli, smetaju u datoteku /var/adm/kernel-critical i alju udaljenom raunaru logserver. )

67. U emu je razlika izmeu virusa i crva? Crvi su samostalni programi koji se ire s jednog raunara na drugi. Uobiajene metode prenoenja na rtvu jesu upotreba elektronske pote, weba i instant messengera. Crv (engl. worm) eksploatie ranjivost rtve ili koristi metode prevare i obmanjivanja, poznate kao drutveni inenjering, kako bi naterao korisnika da ga pokrene. Virusi ne koriste mrene resurse za irenje, ali se mogu iriti preko mree kao deo nekog crva. Virusi se ire oslanjajui se na injenicu da korisnik ne zna da je poslao inficiranu datoteku kao prilog e-poruke ili da je prijatelju poklonio CD na kome se nalazi aplikacija zaraena virusom. Virusi se klasifikuju prema okruenju u kome virus moe da inficira druge objekte, i prema metodama infekcije, tj. tehnikama za umetanje virusa u neki objekat. Virusi se mogu nai u sistemima datoteka i okruenjima za izvrenje makroa i skriptova (engl. script host).

68. Koji se malware replicira a koji ne? Repliciraju se virusi i crvi, a ne repliciraju trojanski konji i logicke bombe

69. Koji malware zahteva nosioca a koji ne? Nosioca zahtevaju trojanski konji i virusi, a ne zahtevaju crvi i spijunski programi

70. ta je rootkit? Naziv Rootkit je sloenica od engleskih rei root, koja se odnosi na korisnika sa najviim nivoom pristupa u UNIX i Linux okruenju, i rei kit, koja predstavlja alat ili skup alata. Rootkit je skup alata koji koji skriva prisustvo napadaa (rootkit je nevidljiv za admin-e i korisnike) i obezbeuje mu potpunu kontrolu nad kompromitovanim sistemom.

71. U emu je razlika izmeu aplikacionog i LKM rootkita na Linux OS? Aplikacioni kao i sve ostale aplikacije - rade u neprivilegovanom (korisnikom) reimu (engl. user

mode) . Rad aplikacionih rootkit alata zasniva se na zameni legitimnih aplikacija zlonamernim datotekama. Ubaene datoteke omoguavaju napadau da prikrije svoje prisustvo i da obavi eljene aktivnosti na sistemu (na primer, alat moe da obezbedi zadnja vrata koja napada moe da iskoristi). LKM - koji se integriu u samo jezgro i rade u kernel modu. Rootkit ovde menja funkcionalnosti

sistemskih poziva (koje aplikacije koriste) i na taj nain vara sve programe koji koriste te sistemske pozive. Nakon instaliranja LKM rootkit alata, korisnik se normalno obraa jezgru preko sistemskih poziva; meutim, poto je LKM rootkit modifikovao neke sistemske pozive, prosleivanje odreenih parametara imae za posledicu to da trojanski sistemski poziv obavlja neke akcije u korist napadaa.

72. Kako se detektuje rootkit na Windows OS? Jedan od tragova koji rootkit alati ostavljaju za sobom je razlika u slici sistema, tj. U rezultatima skeniranja sistema na najviem nivou (Windows API) i rezultatima skeniranja na najniem nivou (sirov sadraj sistema datoteka ili baze Registry na disku). Zato se rootkit alati (aplikacioni ili alati jezgra) koji manipuliu API-jem da bi sesakrili, mogu otkriti na osnovu razlike izmeu informacija pribavljenih od API-ja i informacija dobijenih pri skeniranju strukture sistema datoteka. Rootkit Revealer otkriva rootkit alate na taj nain.

73. Da li Ubuntu linux distribucija ima root nalog? Ima

74. ta je DLL injection? Tehnika DLL injection, tj. ubacivanja zlonamerne DLL biblioteke u memorijski prostor aktivnog procesa, izvodi se u nekoliko faza. Najpre se unutar procesa rezervie prostor za umetanje DLL koda i parametrea koji su neophodni za ubacivanje DLL koda. Zatim se DLL kd upisuje u memoriju dodeljenu procesu i stvara se nit u okviru procesa koja e pokrenuti umetnuti kd. Kada se kd izvri, oslobaaju se svi prethodno zauzeti resursi.

75. ta je SSH? To je tcp port. Secure Shell ili SSH je mrezni protokol koji dozvoljava podacima da budu razmenjeni koristeci sigurni kanal izmedju dva umrezena uredjaja. SSH je servis koji, poput Telnet-a, omoguava da se preko mree poveete na udaljeni raunar i radite na njemu. Za razliku od Telnet-a, SSH obezbeuje sigurnu komunikaciju izmeu dva raunara.

76. Definisati pojam autorizacije i autentifikacije : ?

-

-

-

: ?

- , ?

- o

77. Definsati pojam Access control list (ACL) i Capability list (C liste). Koja je osnovna razlika? :

- (Access Control Lists-CL)

- ( Capabililities C lists) ACL: -: CL

C : ACL

-

-

-

-

-

- /

-

-

, L

78. Namena matrica kontrole pristupa? : ()

: ()

(ccess Control-C )?

1000 , 1000 . C 1,000,000 . .

, . (ACL) . . . (C ) . . .

79. ta su modeli sigurnosti sa vie nivoa (MLS)?. Navesti primer. MLS /

MLS . / MLS . /

: :

-

-

-

-

(Firewall)

-

, , . MLS . . . , . MLS

80. Komentarisati praktine probleme kod odreivanja stepena sigurnosti. - ( )

- - ( , )

-

81. Definisati BLP model sigurnosti i navesti njegove slabosti. BLP MLS

BLP . Slabosti:McLean: BLP , McLeanov Z , ? BLP, BLP . ( ) . BLP , . BLP .

82. Definisati Biba model sigurnosti i navesti njegove slabosti. Biba je . Biba . Biba ( ) BLP . Low water mark .

I(O) I(S ) S . Biba : : S ( ) O I(O) I(S) .

iba : S I(S) I(O) . . . . Biba :

Low Water Mark :

- S , I(S) = min(I(S), I(O))

-

83. Definisati pojam tajnog kanala i navesti primere. : :

- TOP SECRET , CONFIDENTIAL

-

- FileXYzW 1 , 0

-

- FileXYzW , 0

- FileXYzW , 1

- TOP SECRET !

84. Koji su preduslovi za postojanje tajnog kanala.

1.

2.

3.

85. Koje su metode borbe protiv tajnih kanala.

. .

. DoD : 1 / . DoD ! TCP reserved covert_TCP, (Sequence number , ACK number ).

86. Definisati pojam kontrole zakljuivanja, navesti primere i metode odbrane.

! , ,

? ? . N-, k% . k% N . : . N k . ; . - . . ? : , . ? : ...

87. ta je CAPTCHA? Koja je praktina primena? ( ) . () , . . CAPTCHA Completely Automated Public Turing test to tell Computers and Humans Apart - . Automated . Public . Turing ... , . ...CAPTCHA

... . ,

! CAPTCHA j . CAPTCHA .; : web

(MIT, CMU) . email w email . Yahoo mail .

88. Namena Firewall-a i tipovi u odnosu na sloj na kom su implementirani i njihove osnovne

karakteristike.

Firewall / . () . : 80% . . firewalla:

- Packet filter - ( TCP/IP p, () )

- Stateful packet filter - ( , () , , TCP flag , UDP (., DNS ) )

- Application proxy - (Proxy . Application Proxy . )

- firewall - .

89. Namena Firewalk-a, primeri upotrebe.

firewall . TCP ACK scan

L-(time to live) IP .

. TTL 0,

, ICMP (time exceeded).

90. Koje su dve osnovne metode za detekciju upada (IDS), opis?

- IDS ( IDS N . N , IDS )

- IDS

: ? ? ! .

91. Host based IDS i Network based IDS: opis i primena.

Host based - : , . , : Buffer overflow , () . .Network based - . . . : DoS (Denial of Service) , Network probes , . .

92. IDS detekcija potpisa: objanjenje i primer.

. . . , N . . . , . .Primer: . IDS N . N , IDS . . . ( ) . IDS N . N . . N , : N-1 ! , , .

93. IDS detekcija anomalija: objanjenje i primer.

: ? ? ! . IDS .

. ! . .

94. Na emu moe da se zasniva autentifikacija?

- (. )

- (. )

- (. )

95. Zbog ega lozinke imaju veliku primenu u autentifikaciji. Koje su im loe strane?

: . . : / . a, .

96. Kako treba birati dobru lozinku?

- - - Passphrase- , !

97. Koji su problemi kod odbrane od napada uzastopne pretrage lozinki?

Vreme logovanja izmedju pogresnih lozinki.

- 5 ( )

- 5 ( DoS )

98. Kako treba uvati podatak o lozinkama na disku?

Kao hesh vrednost lozinke a ne samu lozinku

99. Koja je prednost uvanja he vrednost lozinke i sluajne vrednosti u odnosu na samo he vrednost lozinke. . , . x je y = h(x) . , !

100. Lozinke: Definisati napadad pomou renika.

. h(x) x

. . : . . , ?

101. ta je Keyboard logger?

HW . 50$ . 10 . .

102. Primena biometrike u autentifikaciji, primeri?

: , () , , , , . . . : , , , . , , j

103. Prednosti i mane biometrike u odnosu na laozinke.

Schneier. .

104. Opisati dve faze biometrike u procesu autentifikacije.

( . . . . .

( . . )

105. Prednosti i mane upotrebe otiska prsta u autentifikaciji.

e . , ,

106. Prednosti i mane upotrebe geometrije dlana u autentifikaciji.

. . . : , 1 , 5 , ( )

: , .

107. Prednosti i mane upotrebe karakteristika irisa u autentifikaciji.

( ) .

. . Skeniranjem se d 256 (2048), :

108. Definisati pojmove verovatnoe pogrenog prihvatanja i verovatnoe pogrenog odbacivanja u autentifikaciji. Koji uzajamni odnos ove dve veliine se koristi kod poreenja metoda biometrijske autentifikacije?

, , . : == . . o . . Equal error rate (EER): == . R 5% , : R 10-3 , , R 10 na -6 .

109. ta je vie-fakltorska autentifikacija?

2 3

-

-

-

:

- : PIN

- :

- : PIN

- /PIN

110. Autentifikacija, Single Sign On: definisati pojam i primenu

. . . .

. .

: : , , IT , ... : (Smart Card-SC) (, SC u , SC ), OneTime Password- OTP (2- ).

111. ta je sigurnosni protokol?

() . : SSL, IPSec, Kerberos, .

112. Koji su zahtevi idealnih sigurnosnih protokola?

. . : ( . . ), : ( "". . ), , ,... !

113. Zato nije bezbedno slati lozinku preko mree prilikom autentifikacije? Navesti reenje?

. . ( , , , ...). !, jos bolje je slanjem hesha sifre.

114. Opisati princip challenge-response modela autentifikacije.

: "challenge-response"

. (Challenge) . (response) . Challenge . ? ( ) ... Challenge: (nonce). , .

115. Opisati uzajamnu autentifikaciju primenom simetrinog kljua. Kako se spreava napad tipa ovek u sredini?

KAB. KAB . (

). ? . .

116. Opisati uzajamnu autentifikaciju primenom asimetrinog kljua. Ogranienja?

. . ? . ! "" . "" , . ! : . .

117. ta je sesijski klju i kako se moe preneti u okviru protokola za autentifikaciju?

, () . . Prenosi se koriscenjem K slucajne vrednosti i digitalnog potpisivanja. Ostvaruje se uzajamna autentifikacija i sigurna razmena ssijskog kljuca.

119. ta je vremenska oznaka (Timestamp) i koji su razlozi njene primene? imestamp T . (Kerberos, .) . , . , , .

120. Opisati protokol autentifikacije sa asimetrinim kljuem i Timestam-om. timestamp je bezbedan. ! ( : . . )

121. Da li je TCP protokol namenjen autentifikaciji. Koje mane moe da ima? . TCP,

. , IP TCP . IPSec IP . .

122. Navesti tri realna protokola za autentifikaciju, njihove osnovne karakteristike i mesta primene.

- SSL - Web- (SSL , . SSL . SSL Web HTTP TCP . Koristi se u elektronskoj trgovini (Amazon...))

- IPSec - IP (IPSec: . IPSec . IPSec . . . : . . : IPSec IKE: Internet Key Exchange ( , , SSL session/connection . ESP/AH ( ESP: Encapsulating Security Payload / IP , AH: Authentication Header ))

- Kerberos - ( , Kerberos . MIT . Needham Schroeder . (TTP) , Kerberos N N . TTP . : PKI )

123. Koji su osnovni problemi kod zatite memorije (Memory pretection)?

/ . . . / . : , /.

124. Zatita memorije: opisati model Granine adrese.

. . . . a a se . base/bounds , , / .

125. Zatita memorije:Prednosti i nedostaci tagging pristupa.

(tagging). Tagging- : + . - .

- , .

126. Zatita memorije: Objasniti princip segmentacije.

: , . . . . O .

127. Preko kojih vrednosti operativni sistem upravlja raspodelom memorije kod segmentacije?

O < segment, offset > segment . offset .

128. Koje su prednosti i nedostaci segmentacije?

Prednosti: . .

.

. Nedostaci: < segment,offset > ? (segment size) / .

(. ).

O .

.

.

.

.

129. Zatita memorije: Objasniti princip paging-a.

. . pages : , frames : . , .

130. Preko kojih vrednosti operativni sistem upravlja raspodelom memorije kod paging-a?

< page,offset > page . offset . (page table) . .

131. Koje su prednosti i nedostaci paging-a?

+ .

+ O .

- .

- .

132. ta predstavlja operativni sistem od poverenja? Trusted Operating System :

-

-

-

- A

. , . . . , . !

133. Objasniti razliku izmeu obavezne kontrole pristupa (MAC) i diskrecione kontrole pristupa

(DAC). Ko ima prednost?

Mandatory Access Control (MAC)

- .

- : TOP SECRET .

TOP SECRET .

Discretionary Access Control (DAC)

- .

- : UNIX/Windows ( read,

write, execute).

DAC MAC, MAC .

134. Definisati kernel i ulogu security kernel-a.

(Kernel)

-

-

-

- (interrupt handling)

(ecurity kernel) .

135. Zato je security kernel idealno mesto za kontrolu pristupa?

Zato sto . - .

- .

- .

. .

136. ta predstavlja baza poverqivog raunarskog sistema (TCB)?

Trusted Computing Base TCB . ( ) . , TCB "", ( ). TCB :

,

I/O , ....

137. Da li je bolje implementirati sigurnosne funkcije na jednom mestu unutar operativnog sistema ili ih distriburati na razliita mesta? Zato?

(: , , ). Ako s . .

138. ta je NGSCB (Next Generation Secure Computing Base ) i kakva je njgova veza sa TCG

(Trusted Computing Group)

Next Generation Secure Computing Base NGSCB . Microsoft-

. TCG (Trusted Computing Group). , RNG, , ,...

NGSCB Windows- TCG . TCG/NGSCB TCPA/Palladium.

139. Navesti neke od osobina TCG hardvera.

TCG . . ( ) ! TCG . TCG , PC (OS ) OS TCG . NGSCB Microsoft- OS.

140. Koja je uloga softverskih komponenti NGSCB: Nexus i Nexus Computing Agents (NCA)?

:

- Nexus, security kernel . () NGSCB.

- Nexus Computing Agents (NCA), NGSCB. Nexus-

141. ta predstavlja prepunjavanje bafera i koje posledice moe da izazove?

: , , . , . : . , !

142. Kako je mogue zloupotrebiti propust prepunjavanja bafera?

Web . (, , ,.... )

Web N (). , . . . ,

. Takodje moze da se desi:

- .

- M .

- .

- . - ! . . (F , )! (flag) !

143. Navesti primer nepotpune kontrole (incoplete medijation).

: strcpy(buffer, argv[1]) . :

len(buffer) < len(argv[1])

argv[1] . : (incomplete mediation).

144. Malver: ta je trojanski konj, navesti primer.

: . , .

. Primer: . Mac

. freeMusic.mp3: ( mp3 )

: iTunes . . ... freeMusic.mp3... - iTunes ().

- Wild Laugh ( ).

- Message box ( ). freeMusic.mp3 ? mp3 ! , ... , ( , , ,... )

145. Malver navesti osnovne karakteristike Code Red Worm-a i SQL slammer.

Code Red Worm- Microsoft IIS. 80 . 1. 19. : . 20. 27. : DDoS , www.whitehouse.gov . ( ) . au y . SQL slammer- . . . 376 UDP . Firewall- , . . . Slammer "".

146. Koje su metode detekcije malvera i njihov osnovni opis?

:

- ( . . :

0x23956a58bd910345 . . , ? , . , : na 64. , . )

- ( . , (). ? . . , . ?)

- ( -. ?

- .

- ...

- ...

- ...

" " ()! IDS . . )

147. ta je polimorfini malver?

. . ( XOR), . . . . , m ...

148. ta je metamorfini malver?

. . . . , . , . . a . . . . , .

149. Definisati Salami attack.

() , . , , . . , .

150. Navesti i opisati ulogu 3 osnovna alata za reverzni inenjering.

Disassembler

- (exe) .

- () . . .

- , , , exe .

Debugger

- ( , ,...).

- .

Hex Editor

- exe (patch)

151. Koje su osnovne tehnike za borbu protiv reverznog inenjeringa?

, . .

Anti-disassembly- .

Anti-debugging techniques -

Tamper-resistance - , ...

( ) - . .

152. ta predstavlja maskiranje koda?

: . ! : spaghetti code. .

:

int x,y

:

if((xy)(xy) > (xx2xy+yy)){...}

if() . . .

! "" . , ! .

153. Kako se metamorfizam moe primeniti kod zatite od reverznog inenjeringa? Koji su nedostaci?

: . ( ) . .

. N ... "" N . N ,

N , ... , , N N .

154. ta je Digital Right Management, navesti cilj primene?

. DRM . . ? . . , 1 ! . . , ,...

155. Na emu se zasnivaju aktuelni mehanizmi za DRM?

: . /. . .....

156. Da li je mogue koristiti kriptografiju za DRM, zato?

: . . , . . () .

157. ta je najozbiljnija pretnja za DRM?

DRM .

158. ta su algoritmi za skremblovanje i da li imaju kriptoloku vrednost?

, . . ! "" . : , . : , . : , .

159. Da li je softver koji se redovno aurira (preuzimanje "zakrpa") siguran, zato?

da nije. "" .

160. Postoji li prednost otovrenog koda nad zatvorenim kodom u pogledu sigurnosti?

, , ! .

!

161. ta je kompromitujue elektromagnetno zraenje (KEMZ)?

162. Kako nastaje elektromagnetno zraenje i zbog ega je nepoeljno?

163. Koji su putevi neeljenog prenosa podataka nastalih EM zraenjem? Kako se mogu detektovati ovi signali?

164. Da li LCD monitori emituju KEMZ?

165. Definisati i opisati postupke odbrane od KEMZ-a.

166. Definisati i opisati metode napada na Smart kartice