jelena brakmic ii-86-09 diplomski rad.doc

MALICIOZNI SOFTVERI I ZAŠTITA SISTEMA

-Diplomski rad-

Mentor: Student:Prof: dr Veinović Mladen Jelena Brakmić

Br. indeksa: II – 86/2009

Bijeljina, 2014. godina

Jelena Brakmić Diplomski rad

FAKULTET ZA RAČUNARSTVO I INFORMATIKU

UNIVERZITET SINERGIJAFAKULTET ZA RAČUNARSTVO I INFORMATIKUBijeljina, Raje Baničića bb

Kandidat: Brakmić Jelena Diplomski rad broj:____________Broj indeksa: II-86/2009Smjer: Poslovna informatika

Tema: Maliciozni softveri i zaštita sistema

Teze:1. Pretnje i rizici za informacioni sistem2. Maliciozni programi3. Maliciozni napadači4. Udruženje napadača – Botnet mafija5. Razvoj alata za zaštitu od virusa – Antivirusa6. Zaključak

Datum odobrenja rada:

Bijeljina, __.__._____god.

MENTOR:

_______________________Prof.dr Mladen Veinović

, 2


APSTRAKT

Cilj ovog rada jeste da ukaže na štetne posledice virusa i zlonamernih kodova (programa) i napade ljudskog faktora - hakera, krakera, vandala i kompjuterskih terorista, koji su u današnje vreme veoma rasprostranjeni na Internet mreži sa kojima se većina korisnika susreće svakodnevno. Zatim, maliciozne namere, uključujući i krađu osetljivih informacija, špijunažu i namerna oštećenja informacija, aplikacija i sistema.

Takođe, jedan od ciljeva jeste i taj da se skrene korisnikova pažnja i da se sam korisnik upozna sa nekim od osnovnih tipova virusa i napada koji vrebaju sa Internet mreže. Kao i to da se razvije korisnička svest o tome koliko štete može doprineti krađa ličnih podataka (PIN kodovi, lozinke, bankovni računi, itd.) Korisnik treba da se upozna sa načinima odbrane od raznih tipova napada, pa se preporučuje višeslojna antivirusna zaštita, šifrovanje, digitalni potpis kojim se omogućava neporecljivost dokumenata, korišćenje smart kartica, kriptografski i biometrijski parametari. Najvažniji elemenat antivirusne zaštite je obezbediti najnovije zakrpe za operativni sistem koji se koristi, a zatim redovno ažurirati antivirusnu bazu i koristiti dobro konfigurisani firewall.

Ključne reči: virus, haker, Internet, špijunaža, informacija, lozinka, antivirusna zaštita, firewall.

ABSTRACT

The purpose of this paper is to show the harmful effects of viruses and malicious codes (programs) and attacks the human factor - hackers, crackers, computer vandals and computer terrorists, who are nowadays very widespread in the Internet network that most users encounter daily. Then, the malicious intent, including the theft of sensitive information, espionage and deliberate damage of information, applications and systems.

Also, one of the purpose and that is to draw user attention to the user familiar with some of the basic types of viruses and attacks that prey on the Internet. As well as to develop customer awareness of how much damage can contribute to the theft of personal information (PIN codes, passwords, bank accounts, etc.). The user should be familiar with ways to defend against various types of attacks, so it is recommended multilevels anti-virus protection, encryption a digital signature to enable undeniable documents, used smart cards, cryptographic and biometric parameters. The most important element of anti-virus protection to ensure the latest patches for the operating system used, and then regularly update the antivirus database and use the well-configured firewall.

Keywords: viruses, hackers, Internet, espionage, information, password, antivirus protection, firewall.

, 3


SADRŽAJ1. PRETNJE I RIZICI ZA INFORMACIONI SISTEM...........................................................................................7

1.1. HAKERSKI NAPADI I ALATI............................................................................................................................71.2. RIZIK I PRETNJE.............................................................................................................................................81.3. TAKSONOMIJA PRETNJI I NAPADA.................................................................................................................81.4. VRSTE NAPADA I PROCENJENA ŠTETA.........................................................................................................11

2. MALICIOZNI PROGRAMI.............................................................................................................................15

2.1. VIRUSI.........................................................................................................................................................152.1.1. Istorija računarskih virusa.....................................................................................................................152.1.2. Definicije pojma virus............................................................................................................................17

2.2. TAKSONOMIJA VIRUSA................................................................................................................................192.3. MEHANIZAM ŠIRENJA VIRUSA..................................................................................................................202.4. TROJANCI....................................................................................................................................................22

2.4.1. Crvi (Worms).........................................................................................................................................232.4.2. Rootkits....................................................................................................................................................232.4.3. Spyware...................................................................................................................................................242.4.4. Adware....................................................................................................................................................282.4.5. Adware/Spyware....................................................................................................................................282.4.6. Scareware.................................................................................................................................................322.4.7. Ransomware.............................................................................................................................................332.4.8. Mobilni (aktivni) kodovi.........................................................................................................................352.4.9. Kombinovani napad (Blended Attack)...................................................................................................35

3. MALICIOZNI NAPADAČI..............................................................................................................................36

Ko su napadači?...................................................................................................................................................363.1. IZVORI I VRSTE MALICIOZNIH NAPADA.......................................................................................................36

3.1.1. Profil malicioznih napadača - hakera...................................................................................................37

4. UDRUŽENJE NAPADAČA - BOTNET MAFIJA........................................................................................40

4.1. BOTNET......................................................................................................................................................404.2. MEHANIZAM RADA......................................................................................................................................40

4.2.1. SPAM i Phishing....................................................................................................................................404.2.2. SPAM EVOLUCIJA U FEBRUARU 2010.............................................................................................41

PHISHING NAPADI.......................................................................................................................................................42MALWARE U E-MAIL SAOBRAĆAJU...............................................................................................................................444.3. PHISHING..................................................................................................................................................47

4.3.1. Najčešći oblici phishinga.......................................................................................................................474.3.2. Kako prepoznati phishing poruku?........................................................................................................474.3.3. Motivi napadača....................................................................................................................................48

4.4. SPOOFING.................................................................................................................................................484.4.1. Šta je to spoofing?..................................................................................................................................484.4.2. Kako se zaštititi od spoofinga?..............................................................................................................50

4.5. EFEKTI......................................................................................................................................................514.6. KAKO DA IZBEGNETE BOTNET MAFIJU.....................................................................................................51OBEZBEDITE SE!.........................................................................................................................................................52

4.6.1. Mere zaštite i oporavak sistema od malicioznih programa...................................................................53

5. RAZVOJ ALATA ZA ZAŠTITU OD VIRUSA – ANTIVIRUSI..................................................................56

5.1. KONCEPT I NAČINI PRIKRIVANJA ZLONAMJERNOG KODA...........................................................................565.2. NAČINI PREPOZNAVANJA VIRUSA.............................................................................................................575.3. ANTIVIRUSI, PODJELA.................................................................................................................................58

6. ZAKLJUČAK..........................................................................................................................................................59

, 4

Jelena Brakmić Diplomski radLITERATURA..............................................................................................................................................................60

UVOD

Uporedo sa razvojem i implementacijom računarskih mreža u sistem globalne mreže - Interneta, rastu i potencijalne opasnosti od različitih napada sa Interneta, uključujući brojne maliciozne kodove (programe) i napade ljudskog faktora - hakera, krakera, vandala i kompjuterskih terorista. Dakle, računarske mreže Internet tipa nude brojne prednosti i omogućavaju izuzetno povećanje efikasnosti rada i smanjenje troškova, ali predstavljaju i kritičnu tačku bezbednosti, sa stanovišta rizika za raspoloživost, integritet i poverljivost informacija, servisa i aplikacija u sistemu. U svetu postoje brojni pregledi i analize rizika i pretnji za računarske mreže na bazi Internet tehnologija. Iako su ranijih godina napadi na računarske mreže Internet tipa bili pretežno eksterni, novije analize pokazuju da mnogo veće finansijske gubitke i drugu štetu nanosi širok spektar internih napada. Razlozi za to leže u samoj prirodi mreža Internet tipa u kojima interni učesnici nisu samo zaposleni u datoj korporaciji (za koje postoji određeni stepen poverenja), već i poslovni partneri, zaposleni u firmama podružnicama, kooperanti, dostavljači, itd., koji iz razloga jednostavnosti korišćenja i povećanja efikasnosti i produktivnosti rada imaju vrlo sličan, ako ne i isti, pristup korporacijskoj mreži kao i zaposleni u datoj korporaciji.

Pored finansijske dobiti registrovani su brojni motivi za razne vrste hakerskih i drugih napada na mreže državnih organa, među kojima su najčešće: izazov i potreba za samopotvrđivanjem, znatiželja da se savladaju visokotehnološki sistemi zaštite u ovim mrežama, zatim, maliciozne namere, uključujući i krađu osetljivih informacija, špijunažu i namerna oštećenja informacija, aplikacija i sistema.

U današnje vrijeme nemoguće je zamisiliti život bez računara. Računari su postali nezamjenjivi u svim sferama života i rada od komunikacije, industrije, medicine, sporta, zabave itd. Bilo da se radi ručnim uređajima kao što su pametni telefoni ili velikim serverskim sistemima, računari su tu da obave posao za nas brže,bolje, kvalitetnije i pouzdanije a samim tim što nam olakšavaju svakonedne potreba za informacijama postali su nepohodna i svakodnevna potreba.

Danas je lako poslati e-mail sa pametnog telefona ili tableta u bilo koje dio svijeta i to bez potrebe za fizičkom konekcijom jer neprekidna konekcija na globalnu mrežu omogućena je bežičnim vezama bilo da se radi o WLAN-u ili uslugom prenosa podataka koju pruža operater mobilne telefonije. Kada imamo ovakvu situaciju da je stvoren jedan potpuno novi virtuelni svijet informacija od kojih sve više postaje ovisan svakodnevni život i rad, pojavila je se potreba da se te informacije na neki zaštite dok je računare kao sredstva za razmjenu ovih informacija bilo potrebno opremiti adekvatnim sistemom koji će sačuvati informacije od mogućih zloupotreba.

U želji da se dođe do željenih informacija ili da se onemogući njihova razmjena između korisnika, pojavili su se programi (aplikacije) koji su imali zadatak da onesposobe računare, mreže ili da se neprimjetno instaliraju na željeni računar sa ciljem prikupljanja informacija i njihove kasnije zloupotrebe. U eri ekspanzije računarske komunkacije ovakav način pristupa informacijama može da bude jako opasan bilo da se radi o dobijanja informacija o e-mail adresama, podacima o kreditnim karticama, online novčanim transakcijam, šiframa za pristup do povjerljivih informacija u preduzećima, industiji ili vojsci. Neovlašteni pristup ovim informacijima ili rušenje sistema računarske komunkacije mogu da imaju nesagledive posledice kako po personalne korisnike tako i za velike korporativne, industrijske, bankarske ili vojne sisteme. S obzirom da se ove aplikacije imaju zadatak da napadnu računar ili mrežu, inficiraju je,

, 5


onsposobe njihov rad i po potrebi pruže napadaču informacije sa inficiranog računara ili mreže ove aplikcije dobile su ime RAČUNARSKI VIRUSI.

Mogući načini odbrane od navedenih napada su: višeslojna antivirusna zaštita, šifrovanje, procedure jake autentikacije i korišćenja smart kartica za generisanje digitalnog potpisa i bezbedno čuvanje ključeva i drugih kriptografskih parametara, primena tehnologije digitalnog sertifikata i potpisa, korišćenje jakih ključeva i česta izmena ključeva, zaštita adresa servera. Najbolje rezultate daju kombinovani sistemi zaštite koji uključuju sve navedene elemente zaštite, na bazi analize rizika i prihvatljivosti preostalog rizika.

Antivirusi najjednostavnije rečeno imaju zadatak da nadziru rad računara, razmjenu informacija u mreži a bilo kakvu sumljivu radnju kao što je neovlašteno instaliranje aplikacije ili razmjene podataka blokira i informiše korisnika sistema o ovakim situacijama.

Antivirusi mogu da budu jednostavni kao oni koji se koriste na pametnim telefonima ili personalim računarima i pružaju osnovni nivo zaštite pa do velikih i ozbiljnih sistema koji štite preduzeća, kompanije, informativne sisteme država i vojske a koji imaju jako visok nivo zaštite. Ono što je danas neophodno i svakodnevno prisutno je činjenica da danas nijedan računarski sistem nije bezbjedan bez adekvatne zaštite od virusa.

, 6


1. PRETNJE I RIZICI ZA INFORMACIONI SISTEM

Zbog ubrzanog razvoja i sve većeg značaja računarskih i komunikacionih tehnologija neophodnih za savremeno poslovanje, problemu sigurnosti mora se posvetiti posebna pažnja. Zahtevi koji se odnose na sigurnost informacija unutar neke organizacije značajno su se promenili u nekoliko poslednjih decenija. Pre nego što su se počeli masovno primenjivati uređaji za obradu podataka, podaci koji su smatrani značajnim za jednu organizaciju, štitili su se fizičkim i administrativnim merama.

Sa uvođenjem računara, pojavila se potreba i za novim i automatizovanim alatima za zaštitu datoteka i drugih informacija smeštenih na računar. To je posebno značajno za deljene sisteme, kao što su sistemi s deljenjem datoteka, kojima se pristupa preko javnih računarskih mreža. Važna promena koja je takođe uticala na sigurnost jeste pojava i širenje distribuiranih sistema, kao i širenje primene računarskih mreža i komunikacija. Opšte ime za skup alata, procedura, pravila i rešenja čija je namena da umreženi sistem odbrane od napada, glasi sigurnost računarskih mreža (engl. computer network security) [3].

1.1. Hakerski napadi i alati

Hakeri koriste trikove da pronađu prečicu za nedopušteni ulaz u računarski sistem. Mogu koristiti ovaj ulaz za ilegalne ili destruktivne svrhe, ili jednostavno mogu testirati vlastitu veštinu da vide jesu li sposobni za takav ulaz u sistem. Većini hakera je glavni motiv napada znatiželja i višak slobodnog vremena, pa je velika verovatnoća da će haker u jednom trenutku, nakon bezbrojnih pokušaja, pronaći naprednu metodu napada i ući i u najbolje čuvani sistem.

Ostali motivi su psihološka potreba, želja za učenjem, znatiželja, osveta, eksperimentisanje, nepoverenje u druge osobe, samopriznanje, želja da nekoga pobede ili zabava. Da bi se efikasno procenile sigurnosne potrebe neke organizacije i da bi se odabrali različiti sigurnosni proizvodi, pravila, procedure i rešenja, rukovodiocu u preduzeću koji je zadužen za sigurnost potreban je sistematičan način definisanja zahteva u pogledu sigurnosti i kategorizacije pristupa koji omogućuju da se ti zahtevi zadovolje. Jedan pristup je da se razmotre tri aspekta sigurnosti informacija:

napad na sigurnost (security attack) - bilo koja akcija koja ugrožava sigurnost informacija,

sigurnosni mehanizam (security service) – mehanizam koji treba da otkrije i preduhitri napad ili da sistem oporavi od napada,

sigurnosna usluga (security service) – usluga koja povećava sigurnost sistema za obradu i prenos podataka. Sigurnosna usluga podrazumeva upotrebu jednog ili više sigurnosnih mehanizama.

, 7


1.2. Rizik i pretnje

Rizik je, u kontekstu sigurnosti računarskih sistema i mreža, mera opasnosti, mogućnost da nastane oštećenje ili gubitak neke informacije, prestiža ili ugleda. Rizik treba definisati eksplicitno, na primer, „rizik od narušavanja integriteta baze klijenata“ ili „rizik odbijanja usluga od strane online portala banke“. Rizik se obično izražava u obliku jedinice rizika, gde je:

Rizik = Pretnja × Ranjivost × Vrednost imovine

Pretnja (threat) je haker, situacija ili splet okolnosti s mogućnošću ili namerama da istraži ranjivost sistema. Ova definicija pretnje stara je nekoliko decenija i jednaka je opisu terorista. Pretnja može biti strukturirana ili nestrukturirana. Strukturirane pretnje su protivnici s formalnom metodologijom, finansijskim sponzorom i jasno definisanim ciljem. Takve pretnje su karakteristične za ekonomsku špijunažu, organizovani kriminal, strane obaveštajne službe i takozvane „informatičke ratnike“ (cyber-warriors). Pretnje se dele na pasivne i aktivne.

Pasivne pretnje ne utiču neposredno na ponašanje sistema i njegovo funkcionisanje.U pasivne pretnje spadaju otkrivanje sadržaja poruka (na primer, prisluškivanje) i analiza prometa.

Aktivne pretnje mogu uticati na ponašanje i funkcionisanje sistema ili na sadržaj podataka. U aktivne pretnje spadaju: maskiranje, tj. pretvaranje, lažiranje (masquerade), reprodukcija, tj. ponavljanje mrežnog prometa (replay), izmena sadržaja poruke i odbijanje usluge.Ranjivost (vulnerability) predstavlja slabost u nekoj vrednosti, resursu ili imovini koja

može biti iskorišćena, tj. objavljena. Ranjivost su posledica lošeg projektovanja ili loše implementacije.

Loše projektovanje je greška projektanta sistema. Proizvođač koji piše loš kod – kod koji sadrži greške (bugs), kao što je prekoračenje menija (buffer) na dinamičkoj memoriji (heap memory) – pravi osetljiv proizvod koji se može lakše „razbiti“. Pametni hakeri/napadači će iskoristiti slabosti u arhitekturi programa.

Implementacija je odgovornost klijenta koji instalira proizvod. Iako proizvođači trebaju pripremiti dokumentaciju o sigurnom korišćenju svojih proizvoda, korisnik mora biti vrlo oprezan.Vrednost imovine je mera vremena i resursa potrebnih da se neka imovina zameni ili

vrati u prethodno stanje. Zato se kao ekvivalentan termin može koristiti i „cena zamene“ poslužitelj baze podataka na kome se čuvaju informacije o kreditnim karticama klijenata, podrazumevano je vredniji, tj. ima veću cenu zamene nego radna stanica za ispitivanje programskih proizvoda.

1.3. Taksonomija pretnji i napada

Postoje brojne taksonomije (principi klasifikacije na bazi definisanih kriterijuma) agenata pretnji u odnosu na različite kriterijume. Krajnji cilj svake taksonomije pretnji je da se

, 8


specijalistima zaštite i korisnicima obezbedi lakše definisanje i indentifikovanje različitih tipova, najčešće kombinovanih, dinamički promenljivih pretnji za IS.1

Taksonomija izvora pretnji, prema prirodi izvora, deli pretnje na slučajne-Sl i namerne-Na. U tom smislu pod slučajnim pretnjama u ovoj taksonomiji podrazumevaju se nenamerne ljudske greške u radu, otkazi hardvera i softvera, prirodni i vanredni događaji itd., koji se ne smatraju namernim napadima na sistem, ali su ozbiljni uzroci bezbednosnih incidenata. Za formalnu analizu rizika od interesa je procena svih pretnji koje izazivaju bezbednosne incidente. Namerne pretnje generišu ljudi, a rezultat su namerni (najčešće zlonamerni) napadi [4].

Taksonomija tipa pretnji, od mogućih brojnih taksonomija izvora napada na računarske sisteme, prihvatljiva je taksonomija koja obuhvata najveći broj izvora napada u 6 osnovnih grupa (Tabela 1.):

1. Maliciozne zloupotrebe ranjivosti IKT sistema: planirane su i realne, ako je sistem priključen na Internet; često sa probnim skeniranjem ranjivosti sistema.

2. Maliciozni kompjuterski kriminal: krađa, destrukcija, korupcija, incidenti izazvani izvana ili iznutra.

3. Nebriga: personalna, ne sprovođenje procedura, korišćenje prečica itd. Ove su pretnje istinska opasnost za organizacije.

4. Ljudska greška: slučajne, glavni su izvori bezbednosnih incidenata i ozbiljan signal za dodatnu obuku i reviziju procedura.

5. Pad sistema: iznenadan pad sistema i odbijanje izvršavanja servisa (DoS) može imati katastrofalne posledice za sam IS i poslovni sistem, koji se oslanja na njega.

6. Uticaj okruženja: uticaj vandrednih događaja; jedini način suprotstavljanja je izrada i verifikacija Plana za vanredne događaje i kontinuitet poslovanja.

Tip pretnje Ugroženi objekat Tip incidenta

Zloupotrebe Spisak kupaca, Projekat prizvoda

Ukraden spisak kupaca, krađa projektne dokumentacije i plana

Kompjuterski kriminal Projekat proizvoda Virus uništio podatke na umreženom PC

Nebriga Izveštaj organizacijeFinansijski izveštaji modifikovani neovlašćenim pristupom korisnika

Ljudska greška Projekat proizvodaDetalji projekta novog proizvoda greškom dati konkurentskoj organizaciji

Pad sistema Spisak kupaca i izveštaji organizacije

Primarni aplikacioni server nije sprečio pristup nalozima klijenata

Okruženje Sve elektronske informacijeOluja i kiša izazvale poplavu centra IS i uništen server

Tabela 1. Primeri ugroženih objekata i tipova incidenata za odredjene tipove pretnji

1 Milosavljević M., Grubor G. “Osnovi bezbednosti i zaštite informacionih sistema”, Univerzitet Singidunum, Beograd, 2006. god., str. 222

, 9


Realna pretnja prisutna, realizovana u IS naziva se napad. Napad može biti uspešan ili neuspešan, zavisno od jačine napada i otpornosti sistema zaštite.

Tаksonomija nаpаda (Slika 1.) objašnjava sledeće: nа nаjvišem nivou, nаpаdi mogu biti usmereni protiv određenih hostova, mrežnu infrаstrukturu, nаsumice ili u koliko je moguće prema hostovima. Nаpаdi usmereni nа određene hostove su: prisluškivanje, otmice sesijа, ispitivanje ranjivosti, nаpаdi probijanja lozinki, uskrаćivаnje uslugа (odbijanje servisa), kаo i društveni inženjering. Društveni inženjering, tаkođe, može dа se koristi u svrhe mаsovnog neselektivnog nаpаdа [2].

Ostаli tipovi mаsovnog neselektivnog nаpаdа su spаm (neželjene poruke) i slanje ili ubacivanje zlonаmernog kodа (inаče poznаtog kаo mаlwаre-а, u koji spadaju virusi, crvi i trojanci).

Slika 1. Taksonomija napada

Nаpаdi nа određene ciljeve često se obаvljаju kroz progresiju korаkа, аnаlogne korаke fizičkog nаpаdа (Slika 2.). Prvi korаk je prikupljanje informacija i izviđаnjа u pripremi zа nаpаd, zatim skeniranje i upoznavanje sistema i na kraju skeniranje ranjivosti sistema. Poznаvаnje sistemа i njegove ranjivosti mogu biti od kritičnog znаčаjа zа uspeh nаpаdа. Drugi korаk je dobijаnje pristupа, koji bi mogаo imаti rаzličite ciljeve kаo što su kontrolа, krаđe ili uništenjа podataka [2].

Tokom i nаkon nаpаdа, nаpаdаč može preduzeti mere prikrivanja u pokušаju dа izbegne detekciju (Intrusion detection system (IDS) – sistem za detekciju upada), kаo što je promenа sistemа prijаvljivаnjа i načina logovanja, ili instаlirаnjem virusа u rootkitu ili čаk ulаzаk putem tаjnih kаnаlа (otvorenih portova).

, 10


Slika 2. Osnovni koraci napada na specificne ciljeve

1.4. Vrste napada i procjenjena šteta

U svetu postoji veliki broj različitih pregleda i analiza pretnji za korišćenje računarskih mreža na bazi Internet tehnologija izrađenih od strane relevantnih institucija. Jedna takva analiza, ukazuje na tipove napada, u procentima prijavljenih napada (Slika 3.). Prema jednom sličnom pregledu američkog instituta za zaštitu računara (Computer Security Institute (CSI)’s 2010 Computer Crime and Security Survey) koji je obuhvatao velike korporacije, 70% razmatranih subjekata je prijavilo detektovane neautorizovane pristupe u svojim mrežama. Na slici su prikazani tipovi napada od 2005. do 2010. godine, s tim da su neki od napada dodati na listu kako su se pojavljivali, a anketa je radjena na 149 ispitanika. Procjenjena šteta 2010. godine bila je izaženija samo u dva slučaja od 77 ispitanih, jedna je procjenjena na 20 miliona dolara a druga na 25 miliona samo u kategoriji kradja ili gubitak laptopova ili mobilnih uredjaja.

Type of Attack 2005 2006 2007 2008 2009 2010

, 11

Jelena Brakmić Diplomski radMalware infection 74% 65% 52% 50% 64% 67%

Bots / zombies within the organization added in 2007 21% 20% 23% 29%

Being fraudulently represented as sender of phishing messages

added in 2007 26% 31% 34% 39%

Password sniffing added in 2007 10% 9% 17% 12%

Financial fraud 7% 9% 12% 12% 20% 9%

Denial of service 32% 25% 25% 21% 29% 17%

Extortion or blackmail associated with threat of attack or release of stolen data

option added in 2009 3% 1%

Web site defacement 5% 6% 10% 6% 14% 7%

Other exploit of public-facing Web site option altered in 2009 6% 7%

Exploit of wireless network 16% 14% 17% 14% 8% 7%

Exploit of DNS server added in 2007 6% 8% 7% 2%

Exploit of client Web browser option added in 2009 11 % 10%

Exploit of user's social network profile option added in 2009 7% 5%

Instant messaging abuse added in 2007 25% 21% 8% 5%

Insider abuse of Internet access or e-mail (i.e. pornography, pirated software, etc.)

48% 42% 59% 44% 30% 25%

Unauthorized access or privilege escalation by insider

option altered in 2009 15% 13%

System penetration by outsider option altered in 2009 14% 11%

Laptop or mobile hardware theft or loss 48% 47% 50% 42% 42% 34%

Theft of or unauthorized access to PII or PHI due to mobile device theft/loss

option added in 2008 8% 6% 5%

Theft of or unauthorized access to intellectual property due to mobile device theft/loss


Theft of or unauthorized access to PII or PHI due to all other causes


Theft of or unauthorized access to intellectual property due to all other causes


2010 CSI Computer Crime and Security Survey 2010: 149 Respondents

Slika 3. Tipovi prijavljenih napada na računarske mreže u procentima2

Ove analize potvrđuju sledeće trendove u korišćenju računarskih mreža Internet tipa:

2 2010 / 2011 CSI Computer Crime and Security Survey

, 12


razvoj sve šireg spektra mogućih napada, porast finansijskih i drugih gubitaka zbog napada na računarske mreže Internet tipa.

primena samo komercijalnih tehnologija zaštite informacija ne predstavlja pouzdano rešenje odbrane od potencijalnih napada, već se mora koncipirati i primeniti slojevita i sveobuhvatna politika zaštite koja će pored komercijalnih tehnologija zaštite obavezno uključiti i primenu sopstveno realizovanih mehanizama zaštite (kriptoloških, kontrole pristupa), kao i upravljačkih i organizacionih kontrola sistema zaštite date računarske mreže Internet tipa.Sa druge strane, SANS Institut je obavio istraživanja koja su rezultovala u definisanju tri liste

osnovnih grešaka koje omogućavaju različite vrste napada na mreže Internet tipa i pojedinačne radne stanice u mreži [4].Prva lista se odnosi na krajnje korisnike i definiše sledećih pet najvećih bezbednosnih grešaka:

1. otvaranje nezahtevanog e-mail priloga (attachment) dobijenog od nepoverljivog izvora,o propust da se instaliraju bezbednosni patch-evi (zakrpe) standardnih Internet programskih

paketa, kao i novih definicija (upgrade/update) antivirusnih programa,o instaliranje i download-ovanje screen saver-a i igara od nepoverljivih izvora,o nekreiranje i netestiranje operacija bekapovanja io korišćenje modema dok ste vezani u lokalnoj računarskoj mreži (LAN).

Druga lista se odnosi na upravne strukture (management) i definiše sledećih sedam najvećih bezbednosnih grešaka koje utiču na slabosti korporacijske računarske mreže:

o neobezbeđenje odgovarajućeg broja službenika koji treba da uspostave i održavaju sistem zaštite u okviru korporacije,

o primena samo organizacionih vidova zaštite bez primene (i bez prihvatanja neophodnosti primene) mehanizama zaštite informacija,

o rešavanje samo pojedinačnih bezbednosnih problema bez primene mera i stvaranja uslova za kreiranje kompletnog sistema zaštite koji bi osigurao rešenje najšireg spektra bezbednosnih problema,

o korišćenje samo mrežnih barijera (firewall) u korporacijskoj računarskoj mreži,o neshvatanje koliko vrede intelektualno vlasništvo i poslovna reputacija firme,o primena kratkotrajnih rešenja pojedinačnih situacija što dovodi do brzog umnožavanja

bezbednosnih problema io pretvaranje da će se bezbednosni problemi rešiti sami od sebe ako se ignorišu.

Treća lista se odnosi na informatičke profesionalce i definiše sledećih deset najvećih bezbednosnih grešaka:

o Priključivanje računarskog sistema na Internet bez prethodne primene svih neophodnih bezbedonosnih mera da se to učini,

o Priključivanje test i razvojnih sistema na Internet sa default lozinkama,o Propust da se sistem ažurira sa rešenjima nekih bezbedonosnih problema,o Korišćenje nekriptovanih protokola za upravljanje sistemima, ruterima, firewall-ovima i

PKI infrastrukturom,o Davanje korisnicima lozinki preko telefona i njihovo menjanje bez prethodne

autentifikacije osobe koja zahteva izmenu,o Propust pri održavanju i testiranju procedure backup-a sistema,o Korišćenje nepotrebnih Internet servisa,

, 13


o Primena mrežnih barijera sa pravilima koja ne osiguravaju bezbedno osetljivi dolazeći i odlazeći saobraćaj,

o Propust u implementaciji i ažuriranju softverskog paketa za detekciju virusa,o Propust u edukaciji korisnika u odnosu na to šta je potrebno učiniti kada se uoči

potencijalni bezbedonosni problem.

Imajući u vidu navedene tipične greške, najčešći vidovi potencijalnih napada na računarske mreže Internet/Intranet tipa su:

o virusni napadi – uništavanje podataka,o napad tipa ukidanja servisa (DoS-Denial-of-Service) – onemogućavanje funkcionisanja

mrežnih servisa i resursa,o ponavljanje poslatih poruka – neovlašćena kontrola komunikacije subjekata i ponavljanje,

izmena ili sprečavanje prenosa podataka,o pogađanje lozinke – neovlašćeni pristup podacima uz pomoć otkrivene lozinke,o napadi tipa Trojanskog konja – distribucija zlonamernih programa na radne stanice,o lažno predstavljanje – neautorizovani pristup podacima ili kreiranje neautorizovanih

podataka,o prisluškivanje – neovlašćeno pristupanje podacima u otvorenom obliku i lozinkama,o kriptoanaliza – otkrivanje tajnih ključeva – otkrivanje podataka u otvorenom obliku na

bazi šifrata i otkrivenog tajnog ključa.Iako pomenuti napadi nisu specifični samo za TCP/IP računarske mreže oni su tu najviše

ispoljeni, jer se daleko najveći broj računarskih mreža u svetu bazira na Internet tehnologijama.

Mogući načini odbrane od navedenih napada su primene sledećih metoda i tehnika:o višeslojna antivirusna zaštita – odbrana od napada virusa na serveru mreže i radnim

stanicama, o kriptološki mehanizmi zaštite (šifrovanje) – zaštita tajnosti podataka i lozinki,o primena tehnologije digitalnog potpisa – za proveru autentičnosti, zaštitu integriteta

podataka i obezbeđenje neporecivosti za sadržaj poslate poruke,o procedura jake (troslojne) autentifikacije – bezbedna međusobna autentifikacija strana u

komunikaciji,o korišćenje jakih ključeva i česta izmena ključeva – otežava i sprečava primenu metoda

kriptoanalize,o zaštita adresa servera – zaštita od DoS napada,o korišćenje digitalnih sertifikata – za obezbeđivanje jednoznačnih identifikacionih

parametara subjekata u komunikaciji,o korišćenje smart kartica - za generisanje digitalnog potpisa i bezbedno čuvanje ključeva i

drugih kriptografskih parametara.

U cilju odbrane od najčešće dinamičkih promenljivih pretnji sa Interneta i navedenih potencijalnih napada na mreže, najsvrsishodnije je primeniti kombinovane metode tzv. višeslojne zaštite koje obuhvataju većinu gore navedenih metoda i tehnika.

, 14


2. MALICIOZNI PROGRAMI

Maliciozni program je kod koji se tajno ubacuje u drugi program sa namerom da se unište podaci, pokrenu destruktivni programi ili na drugi način kompromituje bezbednost i naruši poverljivost, integritet ili raspoloživost podataka, aplikacija ili napadnutog sistema. Uvođenje malicioznih kodova u IKT sistem smatra se najznačajnijom pretnjom za sistem. Granice između raznih malicioznih kodova postaju sve slabije: logička bomba (zadnja vrata), zamka, trojanac, virusi, crvi i mobilni malware. Internet je preplavljen malicioznim kodovima. Najopasnija je sprega lažnih (hoaxes) virusa/trojanaca. Ova sprega ne inficira sistem, vremenski je uporna, teško se otklanja i može omogućiti distribuciju virusa i trojanaca.3

Uticaj infekcije malicioznim kodovima na IKT sistem može biti različit: preplavljivanje sistema, obaranje sistema, brisanje podataka, krađa podataka, transfer podataka itd. Maliciozni kodovi mogu uticati na jedan, ili sve bezbednosne aspekte: zaštite tajnosti, integriteta i raspoloživosti. Generalno, napadi sa malicioznim programima mogu se podeliti po sledećim kategorijama:

Virusi, Trojanci, Crvi, Rootkits, Spyware, Adware, Adware/Spyware, Scareware, Ransomware, Mobilni kodovi i Kombinovani napadi.

2.1. Virusi

2.1.1. Istorija računarskih virusa

Računarski virus je aplikacija koja ima za cilj da se instalira na računar sa ciljem promjene programskog koda instaliranih aplikacija radi daljeg širenja a koji može da ima zadatak blokade rada računarskog sistema ili neovlaštenog prikupljanja informacija.

Istorija računaskih virusa seže do početka druge polovine prošlog veka. U to vreme ozbiljniji računari su bili divovski uređaji čije dimenzije su iskazivane u metrima i tonama, smešteni u


, 15


zasebne klimatizovane prostorije u blizini kojih se obično nalazilo energetsko postrojenje koje je obezbeđivalo nephodno napajanje za radi tih istih računara. Korisnici su im pristupali putem terminala, a računarski resursi bili su večno oskudni te bi ih sistem administratori po određenim kriterijumima raspodjeljivali među korisnicima, odnosno njihovim aplikacijama. U ta sa kompjuterskog stanovišta davna vremena nastali su preci današnjih virusa. Bili su to programi koje su dovitljiviji korisnici pisali obično kako bi neovlašćeno nabavili sistemske resurse svojim aplikacijama, a neretko i da bi se našalili sa kolegama. Pravi procvat i masovnu pojavu virusi doživljavaju širenjem PC-a po kancelarijama i domaćinstvima, a potom razvojem Interneta, čime je stvorena ogromna baza korisnika - kako potencijalnih žrtava, tako i onih zlonamernih.

Prvi poznati virus je se pojavio 1971 na ARPANET mreži koja je bila preteča današnjeg Interneta. Virus bio poznat kao Creeper Virus a širio je se kroz mrežu tako što je na monitoru izbacivao poruku ” I'm the creeper, catch me if you can!. Prvi pravi predak današnjih virusa bio je Prevading animal koji je bio sposoban nadodavati se na druge programe na računarskom sistemu UNIVAC 1108. Prvi potvrđeni nalaz računarskog virusa je bio 1982. i zvao se Elk Cloner. Ovaj virus smatra se jednim od prvih ako ne i prvim virusom koji je zarazio više personalnih računara lociranih u domovima korisnika tj. van univerzitetskih i naučnih laboratorija. Virus Elk Cloner kreirao je tada 15-godišnji Rich Skrenta. Elk Cloner je inficirao operativni sistem Apple II računara i povremeno ispisivao poruku: “It will get on all your disks. It will infiltrate your chips. Yes it's Cloner!. . . ” Osim toga ovaj virus bio je u stanju da se sam iskopira na flopi diskove omogućavajući lako širenje. . Skrenta je najpre priređivao neslane šale svojim drugarima menjajući programski kod kopija piratskih igrica kako bi igrice prestale da rade posle nekog vremena. Kada su ga otkrili i zabranili dalji pristup njega i njegovih disketa njihovim računarima, Skrenta je došao na ideju da stvori virus koji će se automatski širiti i prenositi flopi diskom. Inficirao je školski računar i podesio da se virus kopira na svaki flopi disk koji se ubaci u njega.

IBM PC kompatibilni računari morali su da ‚čekaju’ 4 godine duže od Apple računara na pojavu prve slične epidemije. (c)Brain, takođe poznat pod imenom pakistanski grip, smatra se prvim virusom za računare kompatibilne sa IBM-ovim PC računarima, a pojavio se 1986. godine. Autori ovog virusa su braća Basit i Amjad Farooq Alvi iz Pakistana čija su imena, adresa i broj telefona bili vidljivi u poruci koju je ispisivao (c)Brain virus.

1988. je nastao virus Jerusalim koji je brisao sve pokrenute programe, a 1989. Datacrime koji je bio sposoban izvršiti low-lewel format nulte staze na disku. Iste godine u Bugarskoj je aktivirana prava fabrika virusa.

Tokom ranih 90-ih pojavio se virus Tequila, karakterističan po tome što je koristio tehniku polimorfizma (vidi sekciju Metode prikrivanja virusa) pomoću koje bi enkriptirao samog sebe kako bi ga bilo teže otkriti. Takođe bi prepisao sadržaj MBR-a (fizički prvi sektor diska ili Master Boot Record) sa svojom kopijom kako bi se pokretao zajedno s računarom. Jedan od poznatijih virusa je i virus Michelangelo koji je zapisivao podatke na prvih 256 traka tvdrog diska i kasnije onemogućio rad operativnog sistema.

Jedan od prvih virusa koji je pokrenuo epidemiju globalnh razmera (i zbog kojeg je kasnije uveden danas poznati termin "zlonamerni softver"), bio je virus Melissa koji se pojavio 1999. godine a širio se kao datoteka priložena uz poruku e-pošte, i samo u Severnoj Americi zarazio je više od milion računara.

2001 godine veliku popularnost je imao virus I LOVE YOU koji se širio preko e-mail poruka kao priloženi fajl čijim pokretanjem bi se inficirao računar koji bi kasnije sam slao email poruke sa porukom “I LOVE YOU” i priloženim inficiranim fajlom. Ovaj virus je se širio samo na Windows operativnim sistemima.

, 16


U godinama koje su dolazile pojavljivao je se sve veći broj virusa koje su se na različite načine pokušavale instalirati na računare sve do nivoa epidemija kroz globalno širenja virusa preko interneta. Najznačajnijih 25 virusa u 25 godina njihova postojanja:

1. Brain - 1986., Pakistan. Stupanj opasnosti (1-10): 12. Stoned - 1987., Novi Zeland. Stupanj opasnosti (1-10): 1

3. Form - 1990., Švicarska. Stupanj opasnosti (1-10): 6

4. Michelangelo - 1991., Novi Zeland. Stupanj opasnosti (1-10): 5

5. VCL - 1992., SAD. Stupanj opasnosti (1-10): 2

6. Monkey - 1994., Kanada. Stupanj opasnosti (1-10): 5

7. Concept - 1995., SAD. Stupanj opasnosti (1-10): 7

8. Happy99 - 1999., nepoznato. Stupanj opasnosti (1-10): 3

9. Melissa - 1999., SAD. Stupanj opasnosti (1-10): 4

10. Love Letter - 2000., Filipini. Stupanj opasnosti (1-10): 8

11. Code Red - 2001., nepoznato. Stupanj opasnosti (1-10): 6

12. Slammer - 2003., nepoznato. Stupanj opasnosti (1-10): 6

13. Sobig - 2003., nepoznato. Stupanj opasnosti (1-10): 7

14. Fizzer - 2003., nepoznato. Stupanj opasnosti (1-10): 6

15. Cabir - 2003., Filipini. Stupanj opasnosti (1-10): 3

16. MyDoom - 2004., Rusija. Stupanj opasnosti (1-10): 7

17. Sasser - 2004., Njemačka. Stupanj opasnosti (1-10): 7

18. SdBot - 2004., nepoznato. Stupanj opasnosti (1-10): 4

19. Haxdoor - 2005., nepoznato. Stupanj opasnosti (1-10): 4

20. Sony Rootkit - 2005., SAD/VB. Stupanj opasnosti (1-10): 1

21. Mebroot - 2007., nepoznato. Stupanj opasnosti (1-10): 3

22. Storm Worm - 2007., nepoznato. Stupanj opasnosti (1-10): 9

23. Conficker - 2008., nepoznato. Stupanj opasnosti (1-10): 5

, 17


24. 3D Antiterorist - nepoznato, nepoznato. Stupanj opasnosti (1-10): 2

25. Stuxnet - 2010., SAD/Izrael. Stupanj opasnosti (1-10): 5 [2]

2.1.2. Definicije pojma virus

Postoji veliki broj definicija pojma virus, od kojih je teško izdvojiti najbolju. Ipak, prva i najviše usvajana je definicija po kojoj je „kompjuterski virus program koji „inficira” ostale programe, modifikujući ih tako da uključuju njegovu naprednu kopiju. Sa inficiranog područja, virus se može širiti kroz kompjuterski sistem i mrežu, koristeći autorizaciju svakog korisnika da inficira njihove programe. Svaki program koji se inficira, takođe se ponaša kao virus pa se infekcija povećava”.

"Računarski virus je segment mašinskog koda, obično od 200-4000 bajta, koji će nakon aktivacije kopirati svoj kod na jedan ili više programa domaćina. Prilikom izvršavanja programa domaćina, "zaraženi" kod će biti izvršen i virus će nastaviti da se širi".4

NCSC (Nacionalni centar za bezbednost računara), SAD u rečniku računarsko-bezbednosnih termina definiše kompjuterski virus kao "samošireći trojanski konj, komponovan za određenu svrhu od okidačkih i samoširećih delova".

Dakle, kompjuterski virus je dizajniran da se replicira, pravi svoje kopije i distribuira ih u druge datoteke, programe ili računare.

Generisanje, prenos i lokacija virusa

Kompjuterski virusi, mali programi od nekoliko kilobajta, imaju isključivi cilj da naprave štetu na zaraženom kompjuteru. Razmnožavaju se uglavnom tako što sami sebe "ugnjezde" u druge datoteke, a štetu prave tako sto brišu ili menjaju datoteke na disku. U slučaju da se radi o informacionom/IKT sistemu, virus iz zaraženog računara može da potraži drugi računar u računarskoj mreži da bi na njemu izmenio ili oštetio datoteke [4].

Virusom, crvom i "trojancem" možete se zaraziti na više načina:

preko disketa, USB-a, narezanog CD, DVD i sl., prenoseći podatke sa kompjutera koji ima virus, slučajno ili zlonamerno,

preko datoteka koje stižu u prilogu e-mail poruke, preko datoteka koje se skidaju sa Interneta, posetom nekoj web lokaciji na kojoj je postavljen virus (takvi sajtovi su uglavnom

postavljeni na besplatnim serverima, imaju dugačke adrese tipa http://members.tripod.com/~ludnica/cool.html i sadrže skript koji generiše viruse ili trojance;


, 18


iskorišćavanjem ranjivosti sistema (bezbednosne rupe), odnosno bezbedonosnih propusta u samim programima i operativnom sistemu, čime se omogućava penetracija virusa, trojanca ili crva.

Virus generišu gotovo isključivo tehnički virtuozi. Postoji nekoliko mogućih uzroka pojave virusa:

zlonamerni hakeri, komercijalni razlog, tj. firme koje se bave proizvodnjom softvera za tržište lansiraju

viruse da bi na takav način odvratile pirate od neovlašćenog kopiranja i hakersko ratovanje, kao jedan od oblika informatičkog ratovanja.

Generalno, problematično je tvrditi da postoje maliciozni i benigni virusi, pošto i ovi poslednji zauzimaju resurse računara, iako nisu štetni, mogu se menjati i time omogućiti neželjene radnje.

U principu, kao prenosilac virusa može poslužiti bilo koji program. Ipak, da bi se virus efikasno širio, mora napasti program koji je u najvećoj meri zajednički i za druge aplikacije, iako je moguće, kojeg koristi veliki broj korisnika. Neki virusi su specifični jer napadaju samo određene programe, dok su drugi univerzalniji i napadaju širok spektar programa. Najčešći prenosioci virusa su:

Boot sektor; Master boot zapis; Izvršne datoteke (npr. sa .COM i .EXE ekstenzijama) i Datoteke koje sadrže izvršni kod (npr. dokumenti Word-a i Excel-a koji sadrže

samoizvršavajuće makroe).Takođe, moguće je napraviti viruse koji inficiraju drajvove. Virusi koji napadaju boot

sektor, verovatno su se prvi pojavili, jednostavni su za kreiranje, relativno dobro su sakriveni (ako ne prikazuju poruke na ekranu), ali se lako odstranjuju iz sistema.

Virusi koji inficiraju izvršne datoteke pojavili su se ubrzo za njima, a danas postoje višenamenski virusi koji inficiraju i programske datoteke i boot sektore. Neki od virusa imaju sposobnost premeštanja između boot sektora i programa. Ovo ih čini težim za analizu, jer je nemoguće napraviti test datoteke bez inficiranja hard diska.

Programski virusi koji koriste DOS-ove funkcije, da bi bili rezidentni smeštaju se na niže memorijske lokacije, dok ostali programi koriste memoriju iznad njih.

Virus koji modifikuje memorijski alokacioni lanac obično sebe pomera na vrh nominalne memorije, a pokazivač vrha setuje naniže. Virusi koji inficiraju boot sektor obično zauzimaju vrh memorije. Neki virusi se smeštaju na vrh memorije, ali pri tom ne rezervišu taj prostor da bi se zaštitili. Oni ne mogu biti otkriveni postupkom provere količine slobodne memorije, ali većina velikih programa srušiće sistem kad se prepišu preko virusa.

Određeni virus traga za slobodnom memorijom u sistemskoj zoni, a mnogi programi koriste ovu zonu i vrlo je verovatno da će ovaj tip virusa srušiti većinu sistema.

2.2. Taksonomija virusa

, 19


Ne samo što danas postoji veliki broj virusa, već se nažalost stalno pojavljuju novi koji napadaju najčešće datoteke ili programe. Njihovo nabrajanje je gotovo beskonačno, podele i svrstavanja brojne, pa je za pregled adekvatna taksonomija virusa prema sledećim kategorijama, data sa kratkim objašnjenjem svake kategorije virusa:5

Virusi BOOT sektora: Virusi boot sektora „kače“ se uz program master boot record (MBR) u boot sektoru čvrstog diska (HD) ili boot sektoru prenosnog medija. Boot sektor je zona na početku drajva ili diska, gde su uskladištene informacije o strukturi drajva/diska. Oni sadrže boot programe koji se sami pokreću kod startovanja hosta da aktiviraju operativni sistem. MBR na HD je jedinstvena lokacija na disku gde se osnovni ulazno/izlazni sistem (BIOS) računara može smestiti i lodovati boot program. Prenosni mediji kao što je flopi disketa ne treba da se butuje da bi inficirala sistem; ako je inficiran disk u drajvu kada se kompjuter butira virus se može aktivirati. Ovi virusi su najnezgodniji, jer se nalaze u najdubljem delu operativnog sistema (OS). Samim tim mogu preuzeti kontrolu i nadgledati apsolutno svaku operaciju na računaru. Nakon uključenja, prvi se aktiviraju, pre bilo kojeg dela OS. Jedini način detekcije i uklanjanja ovih virusa je reinstalacija OS sa originalnog (čistog) boot-abilnog CD-a, koji je zaštićen od snimanja, uz paralelnu upotrebu antivirusnog programa. Kad se jednom otkriju, ovi se virusi vrlo lako uklanjaju. Primeri ovih virusa su Michelangelo i Stoned [4].

Virusi komandnog procesora: Virusi komandnog procesora su slični prethodnim, osim što se učitavaju malo kasnije u procesu podizanja OS. Njihova moć nad OS je samim tim smanjena. Kada se otkriju, lako se uništavaju.

Univerzalni virusi (virusi infektori datoteka): Univerzalni virusi su najraširenija kategorija virusa. Uglavnom se lepe za određene tipove datoteka i nemaju veze sa sistemskim delom OS. Najčešći cilj su im .EXE i .COM datoteke. Nakon učitavanja prvog zaraženog programa, sele se u memoriju i čekaju svaki naredni izvršni program da bi ga zarazili. Drugi metod izvršavanja ovih virusa uključuje viruse koji modifikuju način na koji računar otvara neku datoteku, umesto modifikovanja aktuelnog programa koji aktivira datoteku. U ovom scenariju virus se aktivira prvi, a onda se aktivira program. Glavna strategija nastupa ovih virusa je, da od izvršne datoteke naprave Trojanskog konja. Najpoznatiji virusi iz ove kategorije su Jerusalem i Cascade.

Složeni virusi: Složeni virusi su veoma opasni jer kombinuju tehnike rasprostiranja, razmnožavanja i ugrožavanja, pa su vrlo fleksibilni. Vrhunac su tehnologije programiranja virusa.

Usmereni virusi: Usmereni virusi su strogo namenski programi za uništenje određenog broja tačno određenih tipova datoteka.

Makrovirusi: Makrovirusi su preovlađujući i najuspešniji tipovi virusa. Makrovirusi su u suštini programi napisani u makro jezicima. Za sada najčešći su makrovirusi za Microsoft Office Word, Microsoft Office Excel, Microsoft Office Access i dr. U ovim sistemima virusi preuzimaju kontrolu kada se otvori ili zatvori virusom inficirana datoteka.

Makrovirusi se sami zakače za dokument, a koriste makro programski jezik neke aplikacije za izvršavanje i propagaciju. Ima tendenciju brzog širenja jer korisnici često koriste aplikacije sa makro funkcijom. Prvo zahvataju standardne funkcije programa, a onda inficiraju


, 20


svaku narednu datoteku koja se otvori. Znaju oštetiti i sam sadržaj datoteke. Najpoznatiji makrovirusi su Concept, Marker i Melissa.

Lažni virusi: Kako ime implicira, ovi virusi daju lažna upozorenja virusnog napada. Lažni virus se obično opisuje sa alarmantnim upozorenjem da je računar napadnut razornim virusom i da se zahteva trenutna akcija za adekvatnu zaštitu računara. Česti su koliko i stvarni virusi. Obični izazivaju neznatne štete, ali troše operativno vreme. Neki maliciozni lažni virusi mogu usmeriti korisnika da izmeni podešavanja OS ili izbriše datoteke, što može izazvati bezbednosni problem. Dobri primeri ovih virusa su Good Times i Bud Frogs.

2.3. Mehanizam širenja virusa

Zajedno sa razvojem računara dolazi i do naglog razvoja virusa. Računarske mreže i umrežavanje najviše podstiču razvoj i širenje virusa. Naime, pre pojave umrežavanja računara virusi su imali mnogo manje šanse da se prošire (jedini način je bio da neko donese zaražen floppy disk ili nesto slično). Međutim, pojavom umrežavanja računara u mreže tipa Internet/Intranet, koje se baziraju na nebezbednim TCP/IP protokolima, virusi se mogu širiti neverovatnom brzinom i na mnogo sofisticiranije načine. Važno je uočiti da su se virusi pojavili i da apsolutne zaštite od novih i nepoznatih virusa nema. Najveći problem predstavlja sam operativni sistem koji je uglavnom nebezbedan, bez obzira na tip.6

Preterana agresivnost virusa u nastojanju da se proširi, može izazvati sumnju korisnika zbog povećanja aktivnosti procesora. S druge strane, ako je nastup virusa isuviše diskretan, neće uspeti da inficira veći broj datoteka. Tako su izdiferencirane dve glavne klase mehanizma infekcije virusom:

Direktni infektori: kod izvršavanja programa inficiranog virusom, virus aktivno traga za datotekom ili datotekama, koje će zaraziti. Pri tom, može se pretraživati tekući drajv ili direktorijum, ili selektovani direktorijumi, kao što su oni navedeni u PATH iskazu. Zatim, se učitava i izvršava inficirana datoteka. Direktni infektori ne ostaju u memoriji i nisu univerzalni, jer mehanizam inficiranja nije preterano efikasan, a očigledna je dodatna aktivnost diska, posebno kada su sve datoteke zaražene.

Indirektni infektori: pri pokretanju programa inficiranog virusom, virus se smešta u memoriju, obično redirektuje jedan ili više interaptova i potom izvršava originalni program. Većina ovakvih virusa inficira svaku datoteku, koja je učitana radi izvršavanja, dok neki inficiraju svaku izvršnu datoteku, koja je učitana, bez obzira na razlog učitavanja.

Sa aspekta efikasnosti virusa, postoji podela na brze i spore infektore:

Brzi infektori inficiraju ne samo datoteke koje se izvršavaju, nego i one kojima se pristupa iz bilo kojeg razloga. Ovaj tip infektora koristi čak i antivirusne programe koji ne


, 21


otkrivaju njegovo prisustvo u memoriji, da zarazi datoteke koje oni otvaraju zbog provere na virus.

Spori infektori inficiraju samo datoteke koje su u fazi kreiranja ili modifikovanja. Na taj način oni zaobilaze programe za kontrolu integriteta sistema, jer se kao ispravna beleži veličina datoteke sa ugrađenim virusom.Neki virusi sakrivaju svoj kod, ili čak inficiranu datoteku, šifrovanjem. Jedini tekst koji se

može videti unutar inficirane datoteke je procedura dešifrovanja. Virusi su najčešče šifrovani nekom jedinstvenom procedurom, kao što je XOR-ovanje svakog bajta slučajno izabranim ključem, za svaku novu kopiju. Detekcija ovih virusa zasniva se na pronalaženju procedure za dešifrovanje na početku virusnog koda.

Štetne posledice virusa

Štetne posledice virusa menjaju se iz godine u godinu i od jedne do druge statističke analize, zavisno od dinamičkih promena intenziteta generisanja i napada novih virusa i drugih malicioznih programa. Na Slici 4. ilustrovane su štetne posledice napada virusima na ukupni poslovni sistem neke organizacije, na bazi višegodišnjih statističkih analiza.

Slika 4. Štetne posledice virusa

2.4. Trojanci

Trojanac je prosta forma zlonamernog programa čija je spoljna manifestacija obično zabavna i interesantna prosečnim korisnicima. Ovaj program najčešće vrši prikazivanje poruka, brisanje

, 22


datoteka ili brisanje diskova. On ne inficira ostale izvršne datoteke, jer se ne umnožava (replicira).

Trojanci nisu virusi zato što se ne umnožavaju, već stoje i čekaju da budu pokrenuti, direktnim aktiviranjem, ili uz pomoć drugog programa koji ga pozove. Posledice ubačenih Trojanaca mogu biti katastrofalne - ko ubaci Trojanca u računarski sistem može uništiti sva dokumenta na disku, prebaciti ih na svoj računar, potrošiti Internet-vreme korisnika, ili iskoristiti računar za napad na neki server, radi zloupotrebe ili kompjuterskog kriminala, što se pripisuje vlasniku sistema.

Trojanci se najčešće ubacuju na dva načina:

1. Direktnim unosom, kada neovlašćeno lice sedne za računar i preko prenosnog medija ubaci Trojanca, ili

2. Indirektnim putem, preko Interneta, slanjem e-mail poruke koja sadrži datoteku (neku igru, sliku i slično, koja je u stvari Trojanac), sa instrukcijom kojom se korisnik moli da startuje dobijeni program. Ovo važi uopšte za sve programe koji služe za komunikaciju preko Interneta.

Trojanci se često teško detektuju jer izgledaju da izvršavaju korisne funkcije. Trojanci se svrstavaju u jednu od tri sledeća modela:

1. Nastavljajući da izvršavaju funkciju originalnog programa, dodatno izvršavaju odvojene maliciozne aktivnosti.

2. Nastavljajući da izvršavaju funkciju originalnog programa, ali modifikuju funkciju da bi izvršili malicioznu aktivnost (npr. verzija trojanca kao login programa koji skuplja lozinke) ili da maskira druge maliciozne aktivnosti (npr., verzija trojanaca kao programa za listiranje procesa koji ne prikazuje maliciozne programe).

3. Izvršavajući maliciozne funkcije koje kompletno zamenjuju funkcije operativnogprograma.

Cilj većine Trojanaca je da omogući udaljenom korisniku pristup i punu kontrolu nad napadnutim računarom. Da bi ovo postigao Trojanac se sastoji od klijentske i serverske komponente. Klijentska komponenta se nalazi na udaljenom računaru napadača i traži da uspostavi vezu sa serverskom komponentom, koja se nalazi na napadnutom host računaru. Kada je uspostavljena veza između klijentske i serverske komponente, udaljeni napadač može izvršavati komande na napadnutom računaru i preneti ili modifikovati podatke. Druga uobičajena namena Trojanaca je da deluju kao agenti distribuiranih DoS napada [4].

Drugi Trojanci ne obezbeđuju udaljeni pristup računaru žrtve. Većina Trojanaca postoji jednostavno da prikrije dokaz o kompjuterskom incidentu, kao što je potiskivanje imena malicioznih procesa sa liste procesa. Neki Trojanci skupljaju informacije kao što su lozinke; drugi su konfigurisani da dnevno šalju liste sa lozinkama e-poštom na poseban e-mail nalog.

Vremenske bombe su slične Trojancima, slično su programirane i imaju mogućnost da unište podatke. One su napravljene sa ugrađenim vremenskim tempiranim “trigerom” koja se aktivira u određeno vreme i napravi neko neželjeno dejstvo na računaru. Aktivira se u unapred isprogramiranom trenutku, a ne slučajnim i nesvesnim pokretanjem od strane korisnika.

, 23


2.2.1. Crvi (Worms)

Crvi su takođe programi koji menjaju ili uništavaju podatke. To su programi koji mogu da šire svoje kopije, ili njihove delove na druge računarske sisteme, obično preko mreža. Neki ih smatraju virusima i svrstavaju u mrežne “viruse”. Ipak, za razliku od virusa, ovi programi ne zahtevaju host programe i ne prilepljuju se uz glavne izvršne programe, već su samostalni programi sa malicioznim dejstvom. To su programi koji nastoje da se razmnožavaju u što više primeraka, što može izazvati zagušenje hard diska, mreže ili e-mail servera. Poznati crv Happy 99 exe prilikom pokretanja prikazuje vatromet, ali u pozadini kreira nekoliko datoteka, a menja još nekoliko. Crv umnožava svoje kopije i širi se putem priloga e-mail poruka. Primeri poznatih crva su Blaster worm i SQL Slammer worm [4].

2.2.2. Rootkits

Rootkits su posebna grupa mailicioznih programa ili, preciznije rečeno, to su programi čija je namena skrivanje drugih malicioznih programa (npr. virusa, spyware-a, trojanskih konja) od korisnika. Cilj rootkita najčešće je preuzimanje kontrole nad računarom uz istovremeno skrivanje datoteka, procesa, zapisa u registrima pomoću kojih se navedeno preuzimanje kontrole ostvaruje. Spomenutim tehnikama „skrivanja“ od korisnika, maliciozni programi na taj način ostaju nevidljivi i neuklonjivi antivirusnim programima, blokatorima spyware-a i sl. Iako pojam rootkit originalno potiče iz Unix sveta, danas postoje rootkits za sve vrste operativnih sistema uključujući Microsoft Windows sisteme, Linux, Solaris i druge. Naime, rootkits često funkcionišu na način da menjaju delove operativnih sistema ili se instaliraju kao drajveri.7

2.2.3. Spyware

Spyware je pojam kojim se označava vrlo široka kategorija malicioznog softvera čije je delovanje usmereno prema preuzimanju delimične kontrole nad korisnikovim računarom bez postavljanja upita i osiguravanja suglasnosti korisnika da mu se takav softver instalira na računar. Sam naziv „spyware“ u sebi uključuje reč „spy“ koja označava špijuniranje pa se može steći utisak kako je spyware namenjen špijuniranju ponašanja korisnika dok radi na računaru, no u poslednje vreme pojam spyware prima šire značenje i oslikava široku kategoriju softvera malicioznog delovanja, često na korist trećih strana.

Najjednostavnije govoreći – spyware možemo okarakterisati kao softver koji beleži šta korisnik radi na svom računaru i onda prikupljene informacije šalje Internetom. Reč je o vrlo različitom tipu informacija - od adresa web stranica koje posećujete do opasnijih koji pokušavaju presresti koje tipke pritišćete kako bi pokušali prikupiti vaše lozinke i druge poverljive informacije.

Da bi neki program smatrali spywareom on mora zadovoljiti nekoliko kriterijuma – mora prikupljati informacije bez saglasnosti korisnika i te prikupljene informacije mora slati e-mailom, ili na neki drugi način učiniti dostupnima zlonamernom korisniku [6].

Ko se služi spywareom?

7 Preuzeto sa adrese: http://sigurnost.tvz.hr/Rootkits/

, 24

http://sigurnost.tvz.hr/Rootkits/


Brojni su motivi zašto bi neko kreirao spyware – informacije o navikama i karakteristikama korisnika su vrlo cenjene, jer pružaju jasan uvid i omogućavaju specifično oglašavanje i čitav niz drugih personalnih elemenata. Globalno gledano, spywareom se kao sredstvom za prikupljanje informacija služe: online napadači često vezani uz organizovani kriminal, marketinške organizacije (firme, agencije) i „insajderi“. Ovi poslednji se često spywareom služe kako bi prikupili osetljive i zaštićene informacije o organizaciji u kojoj rade te ih kasnije prodavali na crnom tržištu, koristili za ucenu i na druge načine kako bi pokušali ostvariti finansijsku dobit.

Informacije koje prikupljaju spyware programi

Spyware programi prikupljaju vrlo različitu paletu informacija, a organizacije koje se bave pitanjima privatnosti korisnika Interneta ističu kako spyware značajno umanjuje privatnost korisnika. Spyware je s vremenom postao toliko sofisticiran da je u stanju prikupljati gotovo svaku informaciju vezanu za vaše navike i načine upotrebe računara – pregledanje datoteka na diskovima, screenshotove, beleženje pritisnutih tipki, itd. Ukratko – gotovo da nema podatka na vašem računaru kojeg spyware ne može prikupiti i poslati zlonamernom napadaču.Prema informacijama američkog CERT-a (United States Computer Emergency Readiness Team), spyware najčešće prikuplja podatke vezane uz8:

o aktivnost na Internetu (koje web stranice posećujete, koliko se na njima zadržavate),o elektronsku poštu i kontakte,o sadržaj međusadržaja (Clipboard),o pritisnute tipke na tastaturi (keylogging),o screenshotove io mrežni promet.

Načini na koje spyware dospeva na vaš računar

Za razliku od virusa koji imaju mogućnost samoreplikacije ili virusa, spyware se širi na drugačije načine i najčešće se sam spyware program ne prenosi s jednog računara na drugi. Umesto toga, spyware programi će pokušati prevariti korisnika koji će im omogućiti nesmetanu instalaciju na računar. Upravo je taj način i najrašireniji način prenosa spyware-a i njegovog širenja. Kako je s vremenom porasla i svesnost dela korisnika Interneta o opasnostima spywarea, autori spyware programa su postali još sofisticiraniji kako bi prevarili korisnike i naveli ih na instaliranje spywarea. U današnje vreme, spyware se često distribuira zajedno sa, naizgled, običnim i korisnim programima. Informacija o spywareu koji se na taj način instalira na korisnikov računar često nije navedena ili se nalazi pažljivo uključena u Licencni ugovor s krajnjim korisnikom, ponekad pisana vrlo sitnim slovima kao sasvim sporedna odredba koju velika većina korisnika nikada i ne pročita. Primer takvog načina distribucije spyware je iskoristio P2P (peer-to-peer) program za razmjenu datoteka Kazaa.U ovom kontekstu se mogu posmatrati i trojanski konji – programi koji u sebi imaju zlonamerne karakteristike, ali izgledom i samim opisom korisniku izgledaju kao poželjni i ispravni programi.

8 Preuzeto sa adrese: http://sigurnost.tvz.hr/Spyware/

, 25


Korisnik takve programe preuzima s Interneta i pokreće ih, dok oni u pozadini izvršavaju zlonamerne akcije. Još jedan od načina distribucije spywarea uključuje i postupke kojima se spyware distribuira zajedno sa shareware programima ili ostalim softverom koji se može preuzeti s Interneta. Ali, zabeleženi su slučajevi da se spyware distribuira i s muzičkim CD medijima. Korisnik instalira takav softver, a paralelno s njim se instalira i spyware.

Treći način distribucije spywarea uključuje pokušaje zlonamernih korisnika da svojim akcijama zaobiđu sigurnosne mere koje se nalaze uključene u web pretraživačima poput Microsoft Internet Explorera.

Kako je automatsko preuzimanje (download) softvera bez dozvole korisnika u pravilu onemogućeno, kako bi se softver instalirao, potrebno je izvesti neku akciju poput klika na link.

Zlonamerni korisnici tada često pokušavaju putem skočnih prozora (pop-up windows) korisnike navesti na akciju instalacije neželjenog spywarea. Pitanja mogu izgledati poput „Do you want to enhance your Internet Connection?“ (Želite li poboljšati svoju vezu na Internet?) s tasterima koji izgledaju kao „Yes“ i „No“ pa čak ako i korisnik klikne na „No“, (Slika 5.), preuzimanje spyware može započeti na korisnikov računar.9 Takođe, postoje razna obaveštenja koja sadrže spyware, kao npr. upozorenje koje obaveštava korisnika da podesi časovnik na računaru (Slika 6.).

Slika 5. Spyware u obliku instalacionog programa

9 Preuzeto sa adrese: http://sigurnost.tvz.hr/Spyware/

, 26


Slika 6. Spyware (obaveštava korisnika da podesi časovnik na računaru)

Novije verzije Internet Explorera imaju poboljšanja koja korisnicima pomažu u borbi protiv ovakvog načina „zaraze“ spywareom. Dodatno, spyware se na računar korisnika može instalirati tako da iskoristi sigurnosne propuste u web pretraživaču. Iz tih je razloga važno koristiti najnovije verzije web pretraživača poput Internet Explorera i redovno osvežavati svoj sistem s najnovijim dodacima i sigurnosnim podešavanjima. Prepoznavanje spywarea na računaru

“Nalazi li se na mom računaru instaliran spyware?” To je pitanje koje zanima brojne korisnike računara, odgovor na njega nije posve jednostavno dati. Naime, za razliku od klasičnih programa i aplikacija koje nam se predstavljaju svojim izgledom, neki spyware programi uopšte ne moraju biti vidljivi kao klasične aplikacije i stoga ih nije uvek lako prepoznati. Ali, ukoliko primetite kako se vaš računar ponaša neobično, te da je spor u radu, velika je verovatnoća da se na njemu nalazi instaliran spyware. Povećana aktivnost procesora, veliko zauzeće prostora na disku, neočekivani mrežni promet – sve su to simptomi koji upućuju na postojanje spywarea na računaru. Ponekad korisnici ove pojave ne povezuju s postojanjem spywarea već s neispravnim hardverom, upravljačkim programima (drajverima) i slično.

Ukoliko tokom rada na računaru primetite kako vam se pojavljuju skočni prozori s reklamama, pozivima za pristupe na stranice sa sadržajima za odrasle – onda sasvim sigurno na svom računaru imate instaliran spyware ili adware.

Pojava neočekivane početne web stranice (homepage) prilikom korištenja web pretraživača znak je da je spyware izmenio podešavanje bez dopuštenja. Dodatno, pojava alatnih traka (toolbars) u web pretraživaču takođe može (ali ne nužno) označavati da se na računaru nalazi spyware. Ukoliko je računar izuzetno „zaražen“ spywareom, postoji mogućnost da ga neće biti moguće jednostavno očistiti i vratiti u normalno stanje, nego će biti potrebna potpuno

, 27


formatiranje diska i ponovna instalacija celog sistema. Neki spyware programi idu toliko daleko da čak menjaju izvorne datoteke na sistemu kako bi se što bolje prikrili i otežali svoje uklanjanje. Uticaji spywarea na društvo i ekonomiju u celini

Uticaj spywarea na globalnu ekonomiju, društvo i na samog korisnika je dalekosežan i ne može biti jednostavno sagledan. Neka od područja na koja spyware izrazito utiče su navedena u nastavku:10

o Smanjena pouzdanost korisnika prema modelima online poslovnih transakcija (e-banking, kupovanje preko Interneta),

o Smanjena radna produktivnost,o Povećan rizik i izloženost sigurnosnim problemima,o Pitanje intelektualnih prava i zaštite istih,o Povećanje troškova službi za podršku korisnicima,o Gubitak poslovnog i društvenog ugleda,o Nanošenje štete određenom brendu.

Kako se zaštititi i boriti protiv spywarea

Uprkos velikoj raširenosti spywarea, adwarea i čitavog niza ostalih malicioznih programa, postoje kvalitetni načini zaštite i borbe protiv spywarea. Edukacija je ključan element zaštite i uz kombinaciju s tehnološkim rešenjima, pruža dobru polaznu tačku kako bi se uspešno branili od malicioznih programa.

Budite oprezni prilikom preuzimanja programa sa Interneta od nepouzdanih izvora. Velike i ugledne firme poput Microsofta svoje programe distribuiraju posebnim i pouzdanim kanalima, a redovno su i digitalno potpisani. Proučite Licencni ugovor – ukoliko niste sigurni da ste razumeli tačno sve što je navedeno u ugovoru, nemojte ga prihvatiti i odustanite od instalacije softvera. Posebnu pažnju obratite na tekst koji je pisan sitnijim slovima kako bi se učinio nebitnim.

Svoj operativni sistem držite uvek ažuriranim. Upotreba Microsoft Update sistema je izvrstan način da zaštitite svoj računar i omogućite da se ispravke i sigurnosti propusti brzo i uspešno reše.

2.2.4. Adware

Adware je softver koji na računaru prikazuje razne oglase ili reklame, na način da se neobjašnjivo aktiviraju razni skočni prozori (pop-up) ili linkovi koji vode na druge web stranice, čak i kada niste na Internetu. Oglašavanje, samo po sebi najčešće nije problem (neke kompanije čak nude „besplatan“ softver u zamenu za reklamiranje na vašem računaru te na taj način one zarađuju novac). Ljudi u zajednici su oduvek okruženi oglašavanjem i ono pruža važne usluge ako se provodi ispravno i odgovorno. Međutim, adware može poprimiti druga obeležja – ne pruža korisniku celokupnu obaveštenost ili kontrolu nad operativnim sistemom - što ga čini neželjenim softverom na računaru. Tih opasnosti korisnik treba biti svestan.10 Preuzeto sa adrese: http://sigurnost.tvz.hr/Spyware/

, 28


U počecima Internet oglašavanja, adware nije predstavljao problem korisniku budući da se radilo o jednostavnoj i bezopasnoj pojavi. Gotovo uvek se sastojao od nekoliko lako uklonjivih datoteka koje nisu bile pretnja funkcionalosti računara. Najraniji adware se čak pojavljivao u sklopu upravljačke ploče (Control Panel) pod opcijom dodavanja ili uklanjanja programa. Ali, s vremenom je ovaj softver postajao sve pametniji. Postepeno je počeo pokazivati neka svojstva spywarea te su žrtve napada često bile onemogućene vratiti stara podešavanja svog Internet pretraživača, nakon što bi ih adware izmenio.

Često bi bio onemogućen pristup celim grupama podešavanja. Danas adware prikuplja svojim tvorcima velike količine novčanih sredstava. Adware je softver integrisan s programom. Za tvorca adwarea, on predstavlja jedan od načina povrata dela finansijskih troškova nastalih samim razvojem programa, a zarada od reklamiranja dalje motiviše programera na nastavak pisanja koda, održavanja i nadograđivanja softverskog proizvoda.11

2.2.5. Adware/Spyware

Često se događa da ljudi zamene pojmove adwarea s pojmovima spywarea ili malwarea, uglavnom jer se ovi koncepti preklapaju. Sam adware može u određenim okolnostima postati spyware. Recimo da je jedan korisnik instalirao adware na svoj računar te je pristao na praćenje svojih aktivnosti. Ali, kada drugi korisnik poseti taj računar, adware će bez njegovog pristanka početi pratiti i njegov računar te zbog toga postaje spyware.

Adware ne smatramo spywareom kada on sakuplja i šalje podatke o aktivnostima korisnika ili korisnikovih ličnih informacija, ali samo ako je korisnik izričito pristao na takve radnje. Tvorci ovakvih adwarea tvrde kako nije reč o spywareu upravo zbog evidencije rada samog programa [6].

Delovanje na računar

Pritisnite na vašoj tastaturi istovremeno CTRL-ALT-DEL kako biste pozvali Windows Task Manager (Slika 7.). To je program koji grafički prikazuje trenutne performanse vašeg računara i veze na Internet. Kliknite na karticu Performance i prikazaće vam se prozor koji pokazuje sposobnost računara da brzo obrađuje informacije.12

11 Preuzeto sa adrese: http://sigurnost.tvz.hr/Adware/12 Preuzeto sa adrese: http://sigurnost.tvz.hr/Adware/

, 29


Slika 7. Task Manager (grafički prikaz trenutnih performansi računara)

Ova slika prikazuje primer nesposobnosti računara da brzo obrađuje podatke jer mu se previše procesa odvija u isto vreme. U navedenom primeru su i procesor i radna memorija gotovo u potpunosti iscrpljeni što rezultira izuzetno usporenim radom računara. Metode upada adwarea na računar

Najčešće se neovlašteni adware instalira potajno na računar tako da korisnik toga u početku nije ni svestan. Postoje dve najčešće metode pomoću kojih se takav napad ostvaruje. U jednom slučaju vas navodi da kliknete link na skočnom prozoru (pop-up) koji zatim instalira adware na vaš računar. Katkada su adware skočni prozori namerno zavaravajući. Otvoriće vam se prozor sličan standardnom Windows dijaloškom okviru, ali klikom na “NO” ili “CANCEL” ste zapravo kliknuli “YES” ili “INSTALL”. Čak postoje primeri lažnih tastera za zatvaranje prozora, čijim klikom započinjete instalaciju adwarea.

Posebni tip adwarea je nešto što je Microsoftov MVP Jim Eshelman nazvao „Betrayware“. Radi se o tome da se pred vama odjednom otvori dijaloški prozor koji upozorava da je računar zaražen ili bi mogao biti zaražen spywareom te vas upućuje na link koji trebate slediti kako biste besplatno pokrenuli skeniranje računara. Time ste zapravo instalirali adware ili spyware. Nažalost, Betrayware danas uspeva prevariti mnogo korisnika (Slika 8.).

, 30


Slika 8: Prikaz dijaloškog prozora “Betrayware”

Ovo je primer jednog dijaloškog prozora Betraywarea. Nemojte verovati svemu što na ovaj način pročitate.

Drugi način ubacivanja adwarea u vaš računar je instalacijom freewarea koji uključuje adware. Na primer, može se dogoditi da sa Interneta preuzimate besplatni program za deljenje datoteka, a koji u sebi potajno sadrži i adware. Moramo imati na umu da su programi za deljenje datoteka često nosioci raznih vrsta adwarea. Problemi s adwareom

Tehnički gledano, najozbiljniji problem s kojim se većina korisnika suočava nakon što je na njihovom računaru instaliran adware je nestabilnost računara. Teško „zaraženi“ sistemi rade vrlo usporeno, često se ruše, a ponekad se uopšte ne mogu pokrenuti. Na još problema korisnici nailaze kada žele očistiti svoj operativni sistem. Popularni anti-spyware alati često ne uspevaju boriti se sa problemom, jer se suoče s ogromnom količinom softvera kojeg treba ukloniti te se s tim teretom teško nose. Uspešno uklanjanje raznih adwarea i spywarea je samo po sebi dovoljno teško da bi prevencija trebala biti glavni prioritet.

Već smo spomenuli da adware može poprimiti obeležja spywarea kada počne izveštavati o tome gde idete na Internet, kada i koliko često te što najčešće upisujete u polja za pretragu ili na koje reklame reagujete. Ponekad je adware čak sposoban sam sebe dodati u spisak za propuštanje vašem blokatoru skočnih prozora (pop-up blocker) ili u spisak za firewall propuštanje.

Osim slanja ličnih informacija, adware sa obeležjima spywarea može i preuzimati oglase 24 sata na dan ili preuzeti kontrolu nad podešavanjima vašeg pretraživača kao što su početna stranica (home page) ili stranica pretraživanja (search page). Kada maliciozni softver preuzme kontrolu nad Internet pretraživačem na način da izmeni vašu početnu stranicu, možemo biti izloženi još većem riziku budući da stranice na koje vas tada vodi mogu instalirati dodatne maliciozne programe na vaš računar.

, 31


Reklamiranje preko skočnih prozora (pop-up) također može biti izraženo problematično. Ponekada se skočni prozori nameću web pretraživaću na način da preuzimaju celi okvir te ih je često vrlo teško ili nemoguće zatvoriti. U najgorim slučajevima, mnogo skočnih prozora se javlja uzastopno u kratkim rokovima, čineći računar praktično nekorisnim. Kako se zaštititi?

Kada se novi korisnik suoči s potrebom uklanjanja adwarea ili spywarea, to može biti vrlo zastrašujuće. Nažalost, čak i vrhunskim stručnjacima može biti izrazito teško rešiti se nekih od najgorih softvera.

Stariji antivirusni programi čak i ne sprečavaju ulazak adwarea budući da ih ne smatraju virusima ili crvima. Adware najčešće upada na računar tako što na prevaru dobije dopuštenje za instalaciju, a kako ne nanosi stvarnu štetu vašem računaru, osim smanjenja performansi, ne smatra se klasičnim virusom.

Međutim, najnoviji programi imaju ugrađenu i odbranu od adwarea, kao i od većine ostalih malicioznih programa. Kako bi dodatno zaštitili svoje korisnike, neki servisi za pružanje internet usluga (engl. Internet Service Providers, ISP) uvode zaštitu od adwarea i spywarea. Kada instalirate novi softver, budite sigurni da on ne sadrži adware. Imajte na umu da mnogi freeware programi uključuju adware jer na taj način ostvaruju finansijsku dobit. Ako niste sigurni sadržava li novi softver adware, pažljivo pročitajte licencni ugovor (engl. license agreement) koji možete otvoriti u nekom koraku tokom same instalacije. Ako možete, proverite i web stranicu izdavača.

Ako još uvek niste sigurni, možete potražiti na diskusionim grupama (newsgroups) ime programa zajedno s ključnim rečima adware ili spyware. Ako ne nađete nikakva upozorenja o programu, verovatno je u redu instalirati ga.13

Nemojte nesvesno instalirati softver. Recimo da kliknete link koji se čini bezazlen te se otvori dijaloški prozor (Slika 9.).

Slika 9. Instalacija Microsoft programa

13 Preuzeto sa adrese: http://sigurnost.tvz.hr/Adware/

, 32


Nemojte odmah kliknuti “Yes”. U ovom slučaju se nudi instalacija Microsoft-ovog programa pa nema opasnosti od neželjenog softvera, ali ako sumnjate, nemojte ići dalje od ovoga. Dijaloški prozor poput ovog na slici je poslednji korak gde još uvek možete odustati i nemojte instalirati programe koje niste sami odabrali.

Preporučuje se koristiti blokator skočnih prozora (pop-up blocker) kako biste sprečili otvaranje adware ili spyware prozora. Microsoft-ov Internet Explorer, dolazi sa ugrađenim blokatorom skočnih prozora. Poznati adware programi

123 Messenger, 180 Solutions, Battlefield 2142, Bonzi Buddy, BlockChecker, ClipGenie, CometCursor, Cydoor, Direct Revenue, Ebates MoneyMaker, Gator, PornDigger!, WinFixer, Hotbar, ErrorSafe, Smiley Central, StumbleUpon, WeatherBug i WhenU.

2.2.6. Scareware

Scareware je vrsta softvera isključivo stvorena zbog uznemiravanja korisnika čiji se računar napadne. Najčešće se radi o programima koji pokrenu dijaloški prozor koji korisniku upućuje uznemiravajuću poruku ili pitanje, a svi ponuđeni odgovori ili reakcije su naizgled neželjene. Primer je mali program koji u dijaloškom okviru korisniku postavi pitanje „Želite li formatirati tvrdi disk?“, a ponuđeni odgovori su „Da“ i „Da“ ili je na primer onemogućeno kliknuti na dugme „Ne“. Međutim, bez obzira koji odgovor odaberete, nikakva stvarna šteta se neće naneti vašem računaru, budući da je scareware samo softver zastrašivanja, ali koji ne deluje kao tipičan maliciozni softver [6].

Često se u praksi pojam scareware koristi kako bi se opisao skup softverskih proizvoda koji su posebni po tome što uz služenje svojoj osnovnoj svrsi, stvaraju mnoštvo neozbiljnih i alarmantnih upozorenja ili pretećih poruka. Korisnici koji se po prvi put susreću s ovakvom vrstom „problema“ često budu potpuno izbezumljeni, ne znajući kako „spasiti“ svoj računar. Ova grupa programa zapravo nastoji povećati svoju vrednost „bombardovanjem“ korisnika neprestanim porukama upozorenja. Osim što se korisnik sa scarewareom može suočiti zbog postojanja spornog softvera na njegovom tvrdom disku, treba naglasiti da i neke web stranice prikazuju skočne prozore (pop-up windows) sa reklamama ili natpisima koji sadrže uznemiravajuće poruke kao na primer: “Vaš računar je možda zaražen opasnim spyware programima te je što pre potrebno njihovo uklanjanje. Kako biste skenirali vaš tvrdi disk, kliknite “Da”.” Za proizvode koji se u svom reklamiranju služe ovakvim ili sličnim metodama, kažemo da spadaju u scareware.14

Kako se zaštititi od scarewarea?

Budući da scareware nije sam po sebi opasan po vaš računar, zaštita od scarewarea ne mora predstavljati apsolutni prioritet. Važno je naučiti prepoznavati ovakve programe i ne uznemiravati se porukama. Naravno, i dalje važi da je scareware nepoželjan softver jer smanjuje rad korisnika stalnim pojavljivanjem.14 Preuzeto sa adrese: http://sigurnost.tvz.hr/Scareware/

, 33

http://sigurnost.tvz.hr/Scareware/


2.2.7. Ransomware

Ransomware je vrsta malicioznog programa ili koda koji otima i šifrira datoteke žrtve, da bi zatim napadač iznuđivao novac u zamenu za ključ dešifrovanja koda. Dokumentovani slučajevi ovakvih napada su retki, ali u porastu. Jedan od prvih dokumentovanih slučajeva napada ransomwareom je zabeležen u maju 2005. godine. Sam program koji šifrira datoteke često nije jako težak za rešavanje, ali postoje i znatno kompleksniji programi koji rade hibridne metode na bazi vojnog šifrovanja. Takav program se naziva Cryptovirus, Cryptotrojan ili Cryptoworm. Područje koje se bavi proučavanjem ovakvih napada se naziva kriptovirologija. Kako napada ransomware?

Ucenjivački napad ransomwareom se izvodi, na primer, putem posebno izrađenih programa koji se šalju kao prilog elektronske pošte koja se pošalje žrtvi. Žrtva otvori ili aktivira prilog, program se pokrene i šifrira određeni broj datoteka (ili sve datoteke) na tvrdom disku računara. U elektronskoj pošti se nalazi i poruka koja kaže da će se uspešno dešifrovanje moći izvesti samo uz odgovarajući ključ dešifrovanja, koju će napadač (navodno) poslati žrtvi nakon što mu uplati određeni novčani iznos (Slika 10.).15

Slika 10. Ucenjivački napad ransomwareom u kome napadač traži novac

Korisnik čiji je računar napadnut često ima čitljiv samo dokument u kojem je „obavešten“ o napadu i dokument s instrukcijama kako će povratiti otete datoteke (Slika 11.). Međutim, kada se program oslanja isključivo na simetričnu kriptografiju, ključ za dešifriranje često je u samom programu i može se izvući i bez kontaktiranja napadača, što ukazuje na neiskustvo napadača.

15 Preuzeto sa adrese: http://sigurnost.tvz.hr/Ransomware/

, 34

http://sigurnost.tvz.hr/Ransomware/


Slika 11. Instrukcije koje je napadač poslao žrtvi

Ransome je opasan i za napadača

Od svih metoda koje napadač može odabrati, ransomware se smatra najrizičnijim za samog napadača. Naime, napadač mora prvo upasti u sistem, što nije lako neopaženo izvesti uz današnje mere sigurnosti. Zatim mora ostaviti maliciozni kod, obavestiti žrtvu, čekati odgovor te na kraju primiti isplatu. U svakom od ovih koraka napadač rizikuje razotkrivanje, posebno ako mu se novac uplaćuje preko bankovnih transakcija koje nije teško pratiti.

Često se događa da napadač upadne u računarski sistem samo kako bi dokazao da može, i onda bi iznuđivao novac da ne napadne. Međutim, ni ovaj način nije manje rizičan od standardnog napada ransomwareom.

Danas se većina „hakera” ne želi nepotrebno izlagati opasnostima koje napadi ransomwareom nose sa sobom. Ali, činjenica da su ovakvi napadi rizični, ne povlači za sobom da se učestalost napada neće povećavati i da oni neće postati sofisticiraniji. Neki analitičari smatraju da je „tehnika“ napada ransomwareom još u razvoju i da nas u budućnosti čeka borba s puno kompleksnijim paketima ransomwarea koje će biti izrazito teško dešifrovati [6].

Kako se zaštititi od ransomwarea?

Dobra vest je da ne treba koristiti posebne anti-ransomware programe kako biste se zaštitili. Višeslojni slojevi sigurnosti kakvi se danas tipično koriste – firewall, antivirusni i antispyware programi, detekcija upada u mrežu i slično će najverovatnije zaustaviti ransomware.

Takođe, dobro je imati blokator skočnih prozora (pop-up blocker) budući da se dio ransomwarea isporučuje i putem skočnih prozora.

2.2.8. Mobilni (aktivni) kodovi

Mobilni kod je aktivni program koji se prenosi sa udaljenog sistema na lokalni sistem, a zatim se izvršava na lokalnom sistemu bez eksplicitne instrukcije korisnika. Mobilni kod često služi kao mehanizam za prenos virusa i crva, ili trojanaca do radne stanice korisnika. U drugim slučajevima, mobilni kod koristi ranjivosti sistema da izvrši svoje akcije, kao što su neovlašćen pristup podacima ili kompromitacija ruta. Popularni prenosioci mobilnih kodova su Java applets, ActiveX, JavaScript, i VBScript.

2.2.9. Kombinovani napad (Blended Attack)

Kombinovani napad je slučaj malicioznog koda koji koristi višestruke metode za širenje. Vrlo poznati Nimda “crv” je u stvari, primer slepog napada. Za svoju distribuciju korist metode:16

o E-maila. Korisnik na ranjivom hostu otvori inficiran e-mail prilog; Nimda traži


, 35


e-mail adrese na hostu, a zatim šalje svoje kopije na te adrese. o Windows zajedničke datoteke. Nimda skenira hostove tražeći nezaštićenu zajedničku

(shares) Windows datoteku; zatim može koristiti NetBIOS kao prenosni mehanizam da inficira datoteke na tom hostu u nadi da će korisnik aktivirati neku inficiranu datoteku, koja će aktivirati Nimdu na tom hostu.

o Web serveri. Nimda skenira Web servere, tražeći poznate ranjivosti u Microsoft-ovim sistemima na Internetu. Ako pronađe ranjiv server pokuša da prenese svoju kopiju na server i inficira njega i datoteke.

o Web klijenti. Ako neki ranjivi Web klijent poseti neki Web server koji je već inficiran sa Nimda „virusom”, radna stanica klijenta će, takođe, biti inficirana.

Pored korišćenja ovih metoda, kombinovani napadi mogu se širiti kroz druge servise, kao što su slanje poruka i zajedničke datoteke u direktnoj arhitekturi sistema (peer-to-peer). Tendencija korisnika je da većinu kombinovanih napada svrstavaju u crve, kao što i Nimda napad svrstavaju u crve.Međutim, sa tehničkog aspekta Nimda ima karakteristike virusa, crva i mobilnog koda [4].

3. MALICIOZNI NAPADAČI

Ko su napadači? Da bismo se borili protiv njih, da ih bolje upoznamo.

3.1. Izvori i vrste malicioznih napada

Nažalost iza svih malicioznih napada stoje ljudi, a ne tehnologije. Ljudi, a ne računari izrađuju maliciozne programe (viruse, crve, trojance itd.) koji napadaju tuđe računarske sisteme. Ljudi, takođe, izvršavaju kriminalna dela i to uvek sa nekim razlogom. Različite vrste kriminala privlače različite tipove kriminalaca. Tako i oblast IKT privlači kompjuterske kriminalce. Otuda je profilisanje kompjuterskog kriminala i kompjuterskih kriminalaca izuzetno značajna aktivnost u borbi protiv kompjuterskog kriminala. Taksonomije napada su takođe brojne, a ključni tipovi napada mogu se svrstati u sledeće grupe napada hakera, krakera, vandala i kompjuterskih kriminalaca:

Destrukcije su dela, pre svega, lične vandalske prirode, mada iza ovakvih dela može da stoji i neka organizovana grupa. Izvode ga frustrirane ili iskompleksirane osobe. Pored toga što je izvesno izazivanje destrukcije (degradacije) nije bitan objekat (HW ili SW) niti obim štete. Sistem se privremeno ili trajno onesposobljava ili toliko dovoljno da se kompromituje kod korisnika.

Izmena podataka je aktivnost u kojoj napadač svesno, sa obezbeđenim pravom nedozvoljenog pristupa delovima sistema i koristeći neovlašćeno objekte sistema, pokušava da menja sadržaj važnih podataka. Jednostavan primer su WWW prezentacije čijom neovlašćenom izmenom sadržaja može da se nanese velika šteta sistemu, od gubitka ugleda pa do onemogućenog funkcionisanja zbog lažnih podataka.

, 36


Prekid servisa (DoS napad) dovodi do onesposobljavanja normalnog funkcionisanja servisa koji pružaju usluge legalnim korisnicima preko javne mreže. Ovi tipovi napada mogući su od trenutka kada napadač dobije pravo neovlašćenog pristupa pojedinim servisima, a time i mogućnost privremenog ili trajnog onesposobljavanja tih servisa. Ove napade nije lako prepoznati. Potrebno je znati koji napadi spadaju u ovu grupu, kako ih logovati i kako pratiti ko je i šta nelegalno pokušao da uradi na sistemu.

Špijunaža: skup aktivnosti proisteklih iz stečenih prava neovlašćenog pristupa i uvida u objekte i vitalne informacije sistema; napad se teško otkriva, jer obično nema vizuelne indikatore; efekti su teži i štete su veće (informacije koriste protiv žrtve napada, za sticanje dobiti, uništavanje konkurencije i dr.). Pored eksterne špijunaže napadom na sisteme i servise preko javne mreže, postoji i interna špijunaža, gde se zloupotrebljava slaba kontrola prava pristupa zaposlenih pojedinim servisima i objektima sistema. Štete su uvek značajne: odavanje tehnoloških tajni, uvid u stanja na računima u bankama i sl. Informacije dobijene špijunažom ne moraju se uvek upotrebiti protiv vlasnika informacija; nekada je dovoljno samo ih imati, pa se zato ovakva vrsta napada teško otkriva.

Neovlašćeno korišćenje: sve akcije u kojima napadač obezbedi pravo neovlašćenog pristupa značajnim objektima sistema i koristi ih sa ciljem nanošenja negativnih posledica po sam IKT sistem i/ili organizaciju. Zloupotrebe mogu biti i krađa informacija, rad sa privilegijama većim od dozvoljenih, i iskorišćavanje dobro poznatih grešaka u sistemskom softveru.

3.1.1. Profil malicioznih napadača - hakera

Profilisanje malicioznih napadača i kompjuterskih kriminalaca nije nimalo jednostavan zadatak. Veoma je brojna populacija koja raspolaže kapacitetima za maliciozne napade na druge računarske sisteme i mreže i progresivno se neprekidno povećava.Takođe, uzorci sankcionisanih kompjuterskih kriminalaca još uvek su nedovoljni, po broju i tipovima, da bi se statistički odredio profil malicioznih napadača za tipične vrste napada. Brojni autori definisali su profile kompjuterskih kriminalaca (1975, Parker B. D.; 1983, Bequai A.) na osnovu ispitivanja relativno malog statističkog uzorka. Struktura izvršilaca malicioznih napada sa štetnim posledicama razmatrana je sa različitih aspekata: starosne dobi, pola, stručnosti, kapaciteta za napad, motivacije itd. Rezultati analize trenda razvoja profila malicioznih napadača u periodu od 1980-2000 godine pokazuju da je sa tehnološkim progresom IKT sistema značajno opadala potreba za velikim znanjima za napad, a značajno su porasli kapaciteti i tehnologije za napad.

Iz pregleda raspoloživih, brojnih statističkih podataka o vrsti napadača uočljiva je relativno visoka zastupljenost (preko 45%) napadača koji nemaju profesionalno informatičko obrazovanje.

Približan profil savremenog malicioznog napadača moguće je definisati na osnovu raspoloživih statističkih podataka o istraženim i sankcionisanim slučajevima kompjuterskog kriminala u razvijenim informatičkim društvima. Kompjuterski kriminalac je uglavnom mlad, inteligentan, uzoran i odgovoran radnik na poslu, spreman na prekovremeni rad, visoko motivisan i istraživački orijentisan. Ima razvijeno logičko mišljenje, dobro poznaje mogućnosti računarskih sistema i načine korišćenja. Potencijalno, on je savršen kompjuterski kriminalac, samo je

, 37


potrebno da dobije jak motiv: postane pohlepan, razvije neprijateljski odnos sa nekim iz uprave organizacije i postane osvetoljubiv i sl.

Slično podeli u oblasti klasičnog kriminala, u opštem slučaju maliciozni napadači mogu biti: amateri ili profesionalni kriminalci.

Amateri su neprofesionalni korisnici računara, sa sasvim drugačijim profesionalnim zanimanjima, nehomogenom strukturom karakternih osobina i u opštem slučaju mogu se razvrstati u tri sledeće kategorije:

1. Pojedinci sa slabim karakterom, podložni uticaju;2. Pojedinci sa raznim porocima (kocka, alkoholizam, avanturizam, i sl.);3. Pojedinci frustrirani u socijalnom kontekstu (gubitak posla, bankrotstvo, i sl.).

Amateri se ne organizuju u grupe i tipično napadaju individualno.

Profesionalni kriminalci bave se kriminalom kao jedinom profesijom. Imaju bogato iskustvo i veliko znanje i specijalisti su u oblasti kompjuterskog kriminala. Vrlo su adaptivni novim tehnološkim promenama, što im omogućava efikasnije i efektivnije napade sa manjim rizikom. Profesionalci mogu napadati: individualno, u organizovanim grupama i u okviru kriminalne organizacije. Tajnost rada najznačajniji je faktor opstanka profesionalnih kriminalaca. Računare i druge IKT koriste kao sredstvo rada u kriminalnoj delatnosti kojom se bave (kocka, droga, oružje, trgovina ljudima i dr.), ili kao sredstvo za izvršavanje kriminalnog akta (napade na tuđe IKT sisteme radi pljačke, prevara, pronevera, krađe informacija i sl.).

Međutim, u IKT sistemima razvila se specifična grupa koja je prerasla u ogromnu svetsku armiju – hakera koji pripadaju jednoj i drugoj globalnoj grupi kompjuterskih kriminalaca.

Kategorizacija kompjuterskog kriminala i počinioca nije jednostavna, ali ima u njoj neke logike. Na primer, kompjuterski vandali su uglavnom nezadovoljni zaposleni ili uznemireni individualci koji žele nešto saopštiti, ali ne mogu naći socijalno prihvatljiv način za to. U WWW društvu danas treba dodati individue koje iz političkih i socijalnih razloga šire online grafite menjajući web stranice svojih protivnika. Vandali često misle da čine bezopasna dela. Na drugoj strani spektra su kompjuterski teroristi. FBI kategoriše kompjuterske kriminalce u tri različite kategorije: (hakere) krakere, kriminalce i vandale. Brojne su definicije pojma hakera, a najčešće citirana je: „znatiželjni mladi poznavalac računara, koji neovlašćeno čeprka po tuđim računarskim sistemima, uglavnom bez malicioznih namera, a u želji za sticanjem novih znanja.” Za kvalitetnu analizu rizika potrebno je izdvojiti vreme, obaveštajno istražiti kompjutersko podzemlje, skupiti informacije o profilu te populacije, izučiti i razumeti metode i alate koje koriste. Softverski alati za izradu malicioznih programa i sami maliciozni programi (virusi) najčešće nose znak svog tvorca, što olakšava njihovo otkrivanje.

U istrazi i dokazivanju svakog kriminala istražni organ nastoji da sazna motiv (zašto?), sredstvo (kako?) i priliku (kada?) i da ih logički poveže u čvrsti dokaz kriminalnog dela.

U slučaju visokotehnološkog (kompjuterskog) kriminala opšti motivi su znatiželja, novac, moć, osveta (nezadovoljni zaposleni i drugi). Pored opštih motiva, hakersku populaciju karakterišu posebni motivi, od kojih su presudni sledeći specifični motivacioni faktori :17


, 38


o intelektualni izazov,o radoznalost i avantiristički duh,o radi zabave,o osećaj svemoći,o potreba za trijumfom,o opijenost sopstvenim znanjem i veštinama, o kompenzacija osećaja manje vrednosti,o osećaj elitizma,o pritisak etičkog kodeksa hakerske organizacije,o borba za prestiž i dr.

Sredstva su nivo veštine i tehnološki kapaciteti sa kojima hakeri izvršavaju kriminal. Prilika za izvršavanje kompjuterskog kriminala ili zloupotrebe najteže se određuje zbog mogućnosti postavljanja raznih vrsta zamki: vremenskih tempiranih logičkih bombi, virusa, trojanaca itd.

Hakeri se prema kriterijumu namere koju imaju kada hakerišu tuđe računarske sisteme mogu podeliti na: kreativce, destruktivce i kriminalce. Najveći deo hakerske populacije pripada grupi kreativaca, koji u osnovi nisu maliciozni, ali svojim probojima sistema zaštite izazivaju velike ekonomske štete za vlasnike sistema. Smatraju sebe kreativcima za koje je sistem zaštite sportski izazov i da ga moraju savladati.

Drugu grupu destruktivaca čine frustrirani hakeri - krakeri koji su glavni proizvođači virusa i drugih malicioznih kodova za napade na IKT sisteme sa nekom destruktivnom namerom (krađom, npr.). Dakle, hakeri kreativci ometaju posed ulaskom u tuđi IKT sistem, a destruktivci krakeri čine provalnu krađu. Krakeri poseduju dovoljne veštine i znanja iz IKT za prodore u nesofisticiranije računarske sisteme.

Vandali su kao krakeri ali su manje vešti i ostavljaju trag. Vanadalizam je kriminal u SAD prema Computer Fraud and Abuse Act. Hakeri koji upadaju u IKT sisteme iz zadovoljstva, generalno se uklapaju u krakersku grupu. Oni napadaju zbog traganja za znanjem, zabave i sl.

Ipak su oni kiberpank kriminalci jer krše zakon upadajući u sisteme gde mogu nenamerno naneti štetu. Zato mnogi nemaju tolerancije prema krakerima kao ni prema kriminalcima i vandalima.

Treću grupu kriminalaca (profesionalnih krakera) čine pojedinci čiji je jedini motiv hakerisanja sticanje protivpravne dobiti (kradu pare ili za pare). Koriste različite tehnike (pogađanje lozinki, socijalni inženjering, mapiranje modema, virusi, postavljanje zamki (trap door), trojanci i druge).

Kriminalci rade sa ili bez računara – kradu tuđe industrijske i nacionalne tajne, kradu novac, uništavaju datoteke, OS ili menjaju podatke Web stranica ili baza podataka. Zavisno od tipa organizacije počinioci mogu biti špijuni, organizovani kriminalci ili male grupe krakera, samostalne ili povezane sa međunarodnim organizacijama. FBI istražuju i druge karakteristike: planiranje i izvršavanje kriminalnog akta, nivo eksperstske obučenosti izvršioca, postojanje podrške, minimalno potrebna oprema, lične karakteristike i drugo, što se može iskoristiti za kompromitaciju počinioca kriminala.

, 39


4. UDRUŽENJE NAPADAČA - BotNet mafija

4.1. BotNet

BotNet označava mrežu zaraženih računara na Internetu. Termin je nastao spajanjem reči BOT (od Robot) i NET, koja znači mreža. BotNet mrežu je moguće daljinski kontrolisati i najčešće se koristi za slanje SPAM pošte ili organizovanje DDoS napada. BotNet ili Zombi mreža, danas se može iznajmiti za stotinak dolara i smatra se da je od 5 do 12 miliona računara širom sveta uključeno u nekoj od BotNet mreža. Najčeće se radi o kućnim PC računarima, bez adekvatne Firewall i Anti-Virus zaštite.

4.2. Mehanizam rada

Zombi računar nastaje posle zaraze virusom koji otvara TCP komunikacioni port preko koga se u računar neovlašćeno ubacuje Trojan program.

Ovaj program se kasnije, prema potrebi aktivira za neki od zadataka kao što su slanje SPAM pošte, širenje drugih virusa ili DDoS napad na neki Web sajt ili DNS sistem. BotNet mreža se formira iz komercijalnih razloga, što može biti zarada od slanja SPAM pošte ili ometanje konkurencije. Najveći problem za organizatora ovakvih operacija je upravo komandna kontrola mreže. Osnovni cilj je da “kontrola” ostane nevidljiva za korisnika, zbog čega se često koristi komunikacija putem IRC (čet) kanala. To, na primer, znači da se Trojan komponenta povremeno priključuje na neki javni IRC kanal, sa koga dobija dalje instrukcije šta treba da “uradi”.

IRC BOT je nešto stariji termin i tehnologija, koja je našla svoje mesto u savremenim BotNet mrežama. Radi se o raznim programima koji su kompatibilni sa IRC specifikacijom (RFC 1459.) i koji pasionirani korisnici IRC sistema koriste za svoje (uglavnom normalne) potrebe. U kontekstu BotNet mreže, IRC BOT je zlonamerni program koji uspostvalja kontrolu nad Trojan komponentama koje su se prijavile na kontrolnom IRC kanalu.

Ova zloupotreba IRC-a je dovela do toga da većina konvencionalnih IRC sistema blokira pristup sa poznatih BotNet mreža, tako da “kontroleri” moraju da nađu nove ili čak formiraju sopstvene ilegalne IRC servere.

, 40


Zombi računar ne mora da obavezno koristi IRC sistem kontrole. To može biti i Web pristup preko kompromitovanog Web servera. Suština je da Trojan/BOT komponenta pokrene konekciju ka nekom uobičajenom servisu (kao što je Web ili IRC) i tako ostane neprimećena i odobrena od Firewall-a [3].

4.2.1. SPAM i Phishing

Prema novijim analizama, smatra se da je oko 200 pojedinaca ili grupa odgovorno za slanje 80% SPAM pošte širom sveta. Postoje top liste najnotornijih spamera na kojima se nalaze organizatori iz Ukrajine, Rusije, SAD i Kine.

SPAM pošta se efektivno filtrira primenom DNS “crnih listi” (RBL), Međutim, kako je SPAM pošta došla posredstvom neke “Zombi” mreže, ista mreža se može okrenuti protiv DNS sistema koji hostuje pojedinu crnu listu.

Slična situacija je i sa anti-Phishing sistemima. Zombi mreža se lako usmerava protiv DNS sistema koji obezbeđuje rad anti-Phishing sistema.

4.2.2. SPAM EVOLUCIJA U FEBRUARU 2010

U februaru količina spama u e-mail saobraćaju ostala je potpuno ista kao i u prethodnom mesecu, prosečno 86,1%.

Veza sa phishing lokacijama je pronađena u 0,87% svih e-poruka, što predstavlja povećanje od 0,06% u odnosu na januar 2010 godine.

Zlonamerni fajlovi se nalaze u 1,18% svih e-mail poruka, što predstavlja povećanje od 1,11% u odnosu na prethodni mesec.

Da bi zaobisli proces filtriranja, pošiljaoci neželjene pošte predstavljaju se u ime online prodavnice u toj vezi putem e-mail poruka služe se svojim starim trikovima [8].

Neželjena pošta u internet saobraćaju

Količina neželjene pošte otkrivene u Internet saobraćaju u proseku je 86,1% u februaru 2010. Niži nivo od 80,5% zabeležen je 15. februara, a visokorizični nivo od 90.8% 21. februara 2010 (Slika 12.).18

18 Preuzeto sa adrese: http://www.viruslist.com/en/analysis?pubid=204792108

, 41


Slika 12. Procenat neželjene e - pošte na internetu u februaru 2010

Izvori neželjene pošte

U februaru 2010, SAD-e zadržale su svoju poziciju na vrhu tabele, uprkos padu od 7% u odnosu na januar 2010. Indija je napredovala na drugo mesto što distribuira 8,8% svih neželjenih poruka, što je povećanje od 2,7% u odnosu na prethodni mesec (Slika 13.).

Najznačajniji događaj u februaru je smanjenje količine spama koji dolaze iz Brazila (-4.7%), Rusije (-2.5%) i Kine (-1.3%). Brazil je pao na dole sa druge na devetu poziciju.

Količina spama poreklom iz Koreje i Vijetnama je udvostručena, što ih čini trećim i četvrtim na tabeli TOP 20. (odnosno Koreja +3,9% i Vijetnam +2,5%). Zanimljivo je su u februaru Japan, Izrael, Tajland i Saudijska Arabija - države koje obično imaju manje od 1% svih spam poruka – ušle u prvih 20. Velika Britanija je dvanaesta, sa distribucijom 2.24% od ukupnog obima spam-a.

Slika 13. Izvori neželjene pošte

, 42


Phishing napadi

Linkovi ka phishing lokacijama su pronađeni u 0,87% svih e-mail poruka, što je povećanje od 0,06% u odnosu na januar 2010. U februaru su PayPal (sa 53.97%) i eBay ( sa 14.05%) ostali kao dve najpopularnije mete za phishing. HSBC (7,65%) i Facebook (6,05%) su takođe zauzeli treće i četvrto mesto (Slika 14.).19

Slika 14. Organizacije koje su bile mete phishing napada u februaru 2010

U februaru je zabeležen phishing napad koji je izvršen izuzetno nepažljivo. Poruka je poslata u ime PayPal-a, u kojoj je bilo potrebno da korisnici potvrde svoje lične podatke (Slika 15.). Međutim, prevaranti su zaboravili da uključe phishing vezu. Pored toga, logotip PayPal-a je ubačen nestručno – primaoci su mogli da vide samo plavu traku u gornjem levom uglu umesto slike.

Slika 15. Phishing napad (Poruka poslata u ime PayPal-a)

19 Preuzeto sa adrese: http://www.viruslist.com/en/analysis?pubid=204792108

, 43


Phishing napadi na ciljne korisnike Facebook-a izgledaju veoma profesionalno. Niko nije mogao da otkrije da je umesto originala falsifikat u HTML verziji poruke (Slika 16.). Međutim, web adresa je bila uuu.facebook.com .*********. com.pl, i kada korisnik klikne na nju vidi se da nema nikakve veze sa Facebook-om.

Slika 16. Phishing napad (Poruka poslata u ime Facebook-a)

Malware u e-mail saobraćajuZlonamerni fajlovi se nalaze u 1,18% svih e-poruka, što predstavlja povećanje od 1,11% u

odnosu na prethodni mesec.U februaru 2010, Facebook i HSBC su privukli pažnju prevaranata tj. hakera na

distribuciju zlonamernog programa. Prikazan je mail poslat od strane Facebook-a u kojoj su korisnici zamoljeni da potvrđuju svoju saglasnost za novu politiku bezbednosti, koja je navodno stupila na snagu od ove društvene mreže.

Ugovor je u prilogu e-mail poruke u obliku zip arhive. U stvari, umesto korisničkog ugovora zip arhiva sadrži zlonamerni Trojanski virus u okviru Downloader programa (Slika 17.).

, 44


Slika 17. Phishing napad (zip arhiva sadrži zlonamerni Trojanski virus)

Masovno slanje e-mail poruka se distribuira u ime HSBC i one ne sadrže nikakve priloge. Najbolji primer je poruka u kojoj se nalazi link koji je korisnik morao da klikne da bi potvrdio svoje online aktivnosti vezane za račun (Slika 18.). Veza korisnika dovodi do hsbc.exe fajla (Backdoor.IRC.Zapchast. zwrc) koja odmah pokušava da se izvrši preuzimanje na računar žrtve i samim tim zarazi računar.

Slika 18. Phishing napad (E-mail poruka koja se distribuira u ime HSBC)

Malware distributeri takođe su imali korisnike Amazon online prodavnica kao svoje ciljne grupe. Poruke se šalju u ime ove organizacije i one nude korisniku priliku da vidi svoj izveštaj o računu, detalji su navodno sadržani u prilogu zip arhive, koja je u stvari virus i izvršna datoteka “Trojan-Dropper.Win32.Agent.bqdn„ (Slika 19.).

, 45


Slika 19. E-mail poruka koja se distribuira u ime Amazon.com

U februaru su hakeri na tradicionalan način distribuirali zlonamerne programe - šalje se poruka sa senzacionalnim naslovima i tekstovima koja navodi korisnika da pokuša da vidi video snimak koji se nalazi u prilogu. Primer jedne takve poruke jeste slanje e-maila koji navodno sadrži skandalozne fotografije Britni Spirs.

Spam po kategorijama

Lekovi i zdravstvena roba i usluge su u kategoriji gde se putem oglašavanja mogu nabaviti Viagra tablete i tablete za mršavljenje, i zadržava vođstvo među neželjenom poštom na engleskom jeziku sa skoro 40% od ukupne zapremine od spama.

Kod oglašavanja i prodaje lekova za odrasle, pošiljaoci neželjene pošte su poslali najviše e-mail poruka uoči Dana zaljubljenih, navodeći da je noć ljubavi najbolji poklon koji ljudi mogu da daju jedni drugima za taj praznik. Lažni sajt je urađen u odgovarajućem stilu, kao i sajt kanadske apoteke (Slika 20.).

, 46


Slika 20. Lažni sajt Kanadske apoteke

Spam metode i trikovi

Nepoželjna pošta kao što je oglašavanje medicinskih proizvoda se pokazala najkreativnija kada se pronađe način da se zaobiđe filtriranje.

Linkovi ka sajtovima za oglašavanje tableta za mršavljenje i viagra tableta su poslate u grafičkim prilozima na e-mailove, slike su skrivene u pozadini koja ima zvučnu podlogu i proizvodi tzv. šum. Pored toga, u cilju distribucije Viagra tableta uoči Dana zaljubljenih, pošiljaoci neželjene pošte koriste metod koji je već pokazao kao uspešan - kreiranje pozadine koja proizvodi buku.

U februaru je najizraženiji događaj bio drastičan pad u broju linkova koji dolaze iz zlonamernog .cn domena. Ovo je uzrokovalo manje probleme oko imena domena i pravila registracije web sajtova u Kini. Sada mnogi nepoželjni mailovi za oglašavanje Viagra tableta ili pornografske lokacije sadrže veze ka domenima registrovanim u .ru regionu.

4.1. PHISHING

Phishing je jedan od oblika prevare koji podrazumeva skup aktivnosti kojima neovlašteni korisnici korištenjem lažnih poruka elektronske pošte i lažnih web stranica većinom finansijskih organizacija pokušavaju korisnika navesti na otkrivanje poverljivih ličnih podataka kao što su JMBG, korisnička imena i lozinke, PIN kodovi, brojevi kreditnih kartica i sl. Phishing je pokušaj krađe podataka o nečijem računu u banci, a Phishing poruke se šalju SPAM mrežom. Nažalost veliki broj korisnika nije upoznat s ovim tipom prevare. Jednom kad dođu do ovih informacija, zlonamjerni korisnici se ili sami njima koriste ili ih prodaju kako bi došli do podataka o drugim osobama. Elektronske poruke se obično oslanjaju na lažna web odredišta koja izgledom sasvim odgovaraju web odredištima legitimnih kompanija [7].

, 47


4.2.3. Najčešći oblici phishinga

U najčešće primere phishinga spadaju:20

o Lažna upozorenja banaka ili drugih finansijskih organizacija u kojima se od korisnika traži upisivanje ličnih podataka kako u suprotnom ne bi došlo do ukidanja računa.

o Prevare sa aukcijskim web stranicama (eBay), u kojima se korisnik nagovora na uplatu određene novčane svote kako bi se kupio neki proizvod, čime korisnik zapravo, misleći da kupuje proizvod, vrši uplatu na lažni račun.

o Lažne poruke od administratora u kojima se traže korisnički podaci kao što su lozinke.o Razna obaveštenja u kojima se pokušava iznuditi novac za lažne dobrotvorne akcije.o Poruke u kojima se korisnik pokušava namamiti da uplati određenu svotu novca na lažni

račun (npr. poruka o drastičnom smanjenju cene nekog proizvoda koji se može kupiti samo na Internetu).

o Poruke koje se pozivaju na sigurnost i zahtevaju od korisnika otkrivanje ličnih informacija (korisnički račun, lozinku itd.) ili zahtevaju instalaciju programa za koji setvrdi da je zakrpa za pronađeni sigurnosni propust.

o Poruke koje vas obaveštavaju da ste dobili na lutriji i da trebaju Vaše lične podatke kako bi mogli podići dobitak.

4.2.4. Kako prepoznati phishing poruku?

Prevaranti često kopiraju vizuelni izgled pravih e-mail poruka banaka i drugih kompanija. U poslednje vreme lažne poruke su u potpunosti identične s originalnim, međutim postoje određeni detalji koji odaju prevaru:21

o pravopisne i gramatičke pogreške u poruci,o zahtevaju se lični podaci,o zahteva se instalacija programa za koji se tvrdi da je zakrpa za pronađeni sigurnosni

propust,o lažni linkovi u poruci,o nekorištenje SSL i digitalnih certifikata,o telo poruke je zapravo HTML obrazac,o nerealna obećanja,o greške u zaglavlju elektronske poruke,o poruke zahtevaju hitan odgovor,o poruke ne glase na određenu osobu.

4.1.1. Motivi napadača

Kada prevaranti dođu do ličnih informacija korisnika, oni će ih koristiti na različite načine. Iako će se neki zadovoljiti samom činjenicom da su nasamarili korisnika, većina će iz ovih informacija pokušati izvući finansijsku korist. Ako se prevarant domogne informacija o brojevima kreditnih kartica ili bankovnih računa, može to sam iskoristiti ili prodati informacije

20 Preuzeto sa adrese: http://www.cert.hr/plainhtmlpage.php?lang=hr&id=70121 Preuzeto sa adrese: http://www.cert.hr/plainhtmlpage.php?lang=hr&id=701

, 48

http://www.cert.hr/plainhtmlpage.php?lang=hr&id=701

http://www.cert.hr/plainhtmlpage.php?lang=hr&id=701


drugima. Takođe, se i manje osetljive informacije (poput e-mailova, imena, JMBG broja), mogu iskoristiti i prodati zainteresovanim stranama, a opasno je kada zlonamerni korisnici dođu do informacija o korisničkim računima i lozinkama korisnika, jer se tada u ime prevarenih korisnika mogu činiti razne kriminalne aktivnosti na Internetu.

4.3. SPOOFING

Krađa i zloupotreba identiteta na Internetu predstavljaju veliku opasnost za sve korisnike Interneta i raznih servisa na njemu, posebno web-a, poruka u realnom vremenu (instant messaging) i e-maila. Opasnostima i riziku krađe i zloupotrebe identiteta su izloženi svi korisnici Interneta, posebno oni manje iskusni – početnici i deca. Ipak, uz razumne mere opreza, velika većina poteškoća i problema vezanih uz krađu identiteta i njegovu zloupotrebu može biti sprečena [1]. 4.3.1. Šta je to spoofing?

Pojam spoofinga u domenu računarske sigurnosti označava bilo kakvu pojavu u kojoj se korsnik pokušava prevariti, stvaranjem utiska da je neko pouzdana osoba koja time može dobiti pristup ličnim, finansijskim i drugim zaštićenim i poverljivim informacijama. Spoofing je toliko širok pojam da se pod spoofing aktivnostima smatraju phishing, hoaxing i čitav niz drugih pojmova zavisno o kontekstu. S obzirom na načine izvedbe, spoofing možemo podeliti u tri glavne kategorije:

E-mail spoofing, IP spoofing i URL spoofing

E-mail spoofing

U većini slučajeva e-mail spoofing je okarakterizovan po sledećem scenariju: korisnik prima poruku elektronske pošte za koju se čini kako je stigla od jednog pošiljaoca (kojem korisnik možda veruje), iako je u stvari poslata sa neke druge adrese elektronske pošte. Zlonamerni korisnici ovim žele prevariti naivnog korisnika, koji u uverenju da je dobio elektronsku poruku s adrese kojoj veruje, može odgovarajući na takvu poruku proslediti i svoje lične ili finansijske informacije (broj kreditne kartice, npr.).

Primera e-mail spoofinga ima mnogo i nije moguće na jednom mestu popisati sve moguće scenarije u kojima se e-mail spoofing pojavljuje. Neki od mogućih scenarija, navedenih na različitim izvorima koji se bave problematikom e-mail spoofinga, uključuju sledeće:

o Korisniku stiže poruka elektronske pošte koja izgleda kao da je poslata sa adrese računarskog administratora unutar firme ili slične ustanove, u kojoj se od korisnika traži da svoju lozinku za neki od mrežnih računa promene u niz znakova koji im je naveden u poruci. Ukoliko to ne učine, u poruci stoji, kako će njihov mrežni račun biti izbrisan.

o Korisnik dobija poruku u kojoj se pojedinac ili ustanova predstavljaju kao služba za korisničku podršku i korisnika mole za saradnju i potvrdu ličnih i drugih informacija, tražeći od njih da te informacije pošalju elektronskom poštom.

, 49


E-mail spoofing je u svojoj osnovi temeljen na izmeni izgleda zaglavlja (header) poruke elektronske pošte, kako bi se na korisnika ostavio utisak kako je poruka stigla iz nekog drugog izvora. Upotreba e-mail spoofinga je jedna od omiljenih metoda distributera spama (neželjene elektronske pošte). Oni se e-mail spoofingom koriste kako bi korisnika naveli da njihove poruke pročitaju ili čak i odgovore na njih.

Gledajući s tehničke strane, e-mail spoofing je moguć zahvaljujući činjenici da SMTP (Simple Mail Transfer Protocol – Glavni protokol koji se koristi za slanje poruka elektronske pošte) u sebi ne uključuje nikakav mehanizam autentifikacije. Iako je ugradnja sigurne komunikacije i upotrebe SMTP-a u tom pogledu moguća, to se, nažalost, u praksi primenjuje retko.

E-mail spoofing svake godine donosi velike finansijske gubitke njihovim primaocima, ali i kompanijama koje se „pojavljuju“ u takvim porukama. Mnoge su velike i ugledne kompanije postale žrtve e-mail spoofinga – između ostalih i Microsoft, eBay, The Bank of America, PayPal. IP spoofing

IP Spoofing (Internet Protocol Spoofing) se ubraja u jedan od najraširenijih oblika „online kamuflaže“. U akademskim je krugovima ideja IP spoofinga razmatrana još u 80-im godinama prošlog stoleća, a širenjem Interneta i njegove primene, IP spoofing je poprimio značajne razmere.

Cela se ideja sastoji u stvaranju IP paketa (IP packets) s lažnom izvorišnom IP adresom. Naime, u zaglavlju svakog IP paketa se nalazi njegova izvorišna adresa i obično je reč o adresi sa koje je IP paket i poslat. Zlonamerni korisnik može zloupotrebiti zaglavlje i time stvoriti utisak da je paket poslat sa drugog računara. Ovom se metodom učestalo koriste napadači koji žele steći neovlašteni pristup nad mrežnom infrastrukturom pokušavajući zavarati sisteme za autentifikaciju koji se temelje na IP adresama.

Treba znati kako je ovakav način napada ipak prilično složen i obično ga je nemoguće izvesti s računara na kojima se nalazi instaliran operativni sistem Microsoft Windows.

URL spoofing

URL spoofing se sastoji u pokušaju da se URL (Universal Resource Locator) neke zlonamerne stranice prikaže kao URL pouzdane stranice. Napadači koji se služe ovom tehnikom često iskorištavaju sigurnosne propuste u web pretraživačima.

Zbog ovih razloga je uvek dobro koristiti najnovije verzije web pretraživača koje, u pravilu, donose poboljšanja i ispavke sigurnosnih i drugih propusta.

Korisnik obično dobije link ili poruku elektronske pošte u kojoj se nalazi link koja deluje poznato, te korisnik klikne na nju verujući da odlazi na ispravno i valjano web – odredište.

4.3.2. Kako se zaštititi od spoofinga?

, 50


E-mail spoofing

Koristite sigurnosne programe za zaštitu sadržaja vaših poruka elektronske pošte. Upotreba digitalnih potpisa, sigurnosnih certifikata ili kriptografskih potpisa poput PGP-a (Pretty Good Privacy) su primeri dobre prakse. Naime, korištenjem gornjih elemenata, osiguravate primaocu vaše poruke elektronske pošte sigurnost da je poruka koju je primio stigla upravo od vas.

Zatražite od administratora vaše računarske infrastrukture (ukoliko to nije učinjeno) da osigura da vaš pristup vašem SMTP-u nije direktan i otvoren za svakoga kako zlonamerni korisnici ne bi iskoristili priliku i preko vašeg SMTP porta slali poruke. Dodatno, raspitajte se i predložite postavljanje i osiguravanje da se na infrastrukturi zaduženoj za upravljanje porukama elektronske pošte vrši dovoljno detaljno beleženje (logging) pristupa SMTP portu kako bi, u slučaju potrebe, mogli raspolagati informacijama koje će vam olakšati ulaženje u trag i sprečavanje napadača.

Redovno nadograđujte programe kojima čitate elektronsku poštu. U velikom broju slučajeva e-mail spoofing je povezan sa spamom (neželjenim porukama elektronske pošte). Napredni programi za čitanje i organizaciju elektronske pošte poput Microsoft Office Outlooka imaju mogućnost prepoznavanja spam poruka i njihovog izdvajanja i brisanja. Kako bi osigurali da vaš Outlook uvek ima najnovije definicije neželjene pošte, potrebno ga je nadograditi upotrebom Microsoft Update zakrpe. Time ćete uspešno izbeći većinu e-mail spoofing pokušaja.

IP Spoofing

Filtriranje IP paketa na routeru predstavlja jednu od mera borbe protiv IP spoofinga. Ukoliko ste i sami mrežni administrator ili ste u kontaktu s osobom koja se bavi mrežnom administracijom, raspitajte se o mogućnostima postavljanja ACL-a (Access Control List).

Uključivanjem mogućnosti poput enkripcije i autentifikacije, značajno ćete smanjiti mogućnosti za IP spoofing. U novoj verziji Internet protokola (IPv6) te su dve opcije moguće.

URL spoofing

Kako se URL spoofing dobrim delom veže na phishing, treba pogledati praktični vodič za zaštitu od phishinga korištenjem Phishing Filter zakrpe koja dolazi s novim Internet Explorerom.

4.4. EFEKTI

Ovakvih slučajeva ima sve više i više. Skorašnji primer (početkom decembra) je DDoS napad na EveryDNS radi obaranja PhishTank anti-Phishing sistema. Na vrhuncu napada, EveryDNS je zasut saobraćajem od preko 400 Mbps (miliona-bita-u-sekundi) po sistemu, na 4 lokacije širom sveta.

, 51


Možemo da pretpostavimo i procenimo da su za ovakav napad bile potrebne Zombi mreže sa ukupno 8.000 računara. Prema novijim podacima, na crnom tržištu Zombi sistem od 5.500 računara se može iznajmiti za samo 350 dolara nedeljno. Ovime dolazimo do budžeta manjeg od 1.000 dolara za napadača i neuporedivo većom štetom za napadnut sistem.

U ovakvim situacijama, zbog nesrazmerno velike snage DDoS napada, napadnuti (sistem) teško može da se odbrani. Problem je utoliko veći, što napad dolazi sa raznih strana sveta, tako da ne možete jednostavno da isključite pojedine regije ili opsege adresa i time umanjite efekat napada.

Tehnički gledano, u trenutku intenzivnog DDoS napada filtriranje saobraćaja ne daje rezultat, jer će ruta do filtera biti preopterećena.

EveryDNS se prema svom saopštenju “uspešno odbranio”. Svojim ISP provajderima zameraju što su im povremeno potpuno blokirali saobraćaj, umesto da samo “filtriraju” i time održe njihov sistem u radu.

4.5. Kako da izbegnete BotNET mafiju

Sve češći napadi u cyber-prostoru čine da Internet liči na mafijom krcate američke gradove iz dvadesetih godina dvadesetog veka. Spam, phishing, spoofing napadi i prevare u trgovini - sve su to načini kojima mrežni kriminalci zarađuju gomile novca putem Interneta, a oni ne vole da im neko kvari posao.

Posebno ilustrativan slučaj dogodio se 2011.god, kada su spameri iz osvete napali izraelsku anti-spam firmu po imenu Blue Security. Firma Blue Security je napravila mali program nazvan Blue Frog, koji služi da preokrene navalu spama ka onome ko se reklamira, čime se povećava cena slanja spama. Program šalje na web lokacije koje se reklamiraju spamom po jedan opt-out zahtev za svakog registrovanog korisnika koji dobije spam poruku. Blue Security služba je imala oko 500.000 pretplatnika, pa ako bi, recimo, navala spama pogodila 20% njihovih korisnika, web lokacije spamera bi dobile 100.000 opt-out zahteva. U znak osvete, jedan od spamera - navodno, kompanija po imenu PharmaMaster - napao je Blue Security i sve Internet službe vezane za njega. Napad je potrajao dve nedelje i ostavio je tako ozbiljne posledice da je Blue Security morao da zatvori svoja vrata.

Kriminalci koji traže načine da zarade preko Interneta su verovatno najveća bezbednosna pretnja za preduzeća. Mrežni prevaranti procenjuju snagu preduzeća na osnovu broja nebezbednih računara ili botova, koje mogu da kontrolišu kroz centralizovanu komandnu mrežu, poznatu pod imenom botnet. Oštrouman Internet kriminalac se više ne petlja s kućnim računarima, jer napad na njih daje mali broj botova, kao i zbog činjenice da računari u kućama uglavnom imaju slab propusni opseg. S druge strane, jedan server u nekoj kompaniji je veoma privlačna meta, jer kontroliše više sistema sa širokim propusnim opsegom.

Jedan sistem čija je bezbednost narušena znači da onaj ko ga kontroliše može da preuzme lične podatke, šalje spam i da napada druge mreže. Ali botnet koji se sastoji poglavito od servera može da posluži i za zaista masovne napade na propusni opseg kompanije, napade koji se mnogo teže zaustavljaju, jer se ka meti šalju skoro nezaustavljive lavine podataka (u pojedinim trenucima Blue Security se suočavao sa skoro 10 gigabita podataka u sekundi).

, 52

http://en.wikipedia.org/wiki/Blue_Frog

http://en.wikipedia.org/wiki/Blue_Security


Dvojnost mrežnih servera - koji su i potencijalne žrtve, ali i prva linija odbrane od Internet napada - bi trebalo da udvostruči podsticaj preduzećima i privatnim licima da zaključaju svoje sisteme. Sve više ljudi postavlja web lokacije za saradnju ili objavljivanje fotografija i blogova. Ali korišćenje softvera čiji kod nije prošao adekvatnu reviziju bezbednosnih problema je garantovan način da postanete neželjeni regrut u botnet armiji nekog kriminalca. Mala preduzeća bi uvek trebalo da postavljaju ozbiljna pitanja u vezi s bezbednošću nekog mrežnog proizvoda, kao što je učestalost revizije koda. Vaše IT odeljenje bi trebalo da stalno ima ažurirane zakrpe i bezbednosne dodatke za sav mrežni softver. Sva preduzeća će mirnije spavati posle redovnog bezbednosnog pregleda kakav pružaju ScanSafe ili Acunetix, a korišćenje firewalla za mrežne aplikacije će dodatno očvrsnuti servere.

Umreženost je neophodna za današnje poslovanje, ali više ne postoji mogućnost da prosto instalirate svoj mrežni softver i zaboravite na njega. Kao što su u mnogim vrstama poslovanja neophodne bezbednosne kamere, tako je i mrežnoj lokaciji potrebna povremena pažnja da bi njeni korisnici bili bezbedni.

Obezbedite se!1. Istražite bezbednosnu istoriju proizvoda Proverite da li se projekat aktivno održava,

pregledajte forume i čitajte postove o bezbednosnim pitanjima i proverite da li autori imaju transparentan bezbednosni proces.

2. Redovno ažurirajte softver Greške se događaju, a kada se dogode - ažurirajte softver na svom sajtu što je brže moguće.

3. Razmislite o skeniranju ranjivosti Ako vam vaši korisnici daju vredne informacije, služba koja skenira ranjivost vašeg sistema će vam skrenuti pažnju na najvažnija pitanja koja treba razrešiti.

4. Koristite firewall Mnoge greške prolaze neprimećene, sve dok ih napadač ne iskoristi. Firewall ume da vam skrene pažnju na čudnovato ponašanje, koje ukazuje na proboj u bezbednosti.

4.5.1. Mere zaštite i oporavak sistema od malicioznih programa

Svaka organizacija treba da razvije strategiju kontrole i oporavka od napada malicioznih kodova.

Primarne mere zaštite od malicioznih kodova su:

o Razvoj svesti o potrebi zaštite: Nabavljati programe samo od poverljivih proizvođačaprimati poruke samo od poverljivih izvora. Ne otvarati sumnjivu e-poštu, ne posećivati ne-prijateljske sajtove itd. Svest o potrebi zaštite, merama zaštite i oporavka sistema su značajne mere.

o Antivirusni skeneri: Korisni su alati, ako se stalno nadograđuju i međusobno kombinuju u skeniranju u raznim tačkama mreže - mrežnim kapijama, ruterima, barijerama ili hostu. Neki antivirusni skeneri sadrže skript za sprečavanje trojanaca.

, 53

http://www.acunetix.com/


o Kontroleri integriteta: kreiraju baze podataka čeksume datoteka za kontrolu nepromenjivosti sistema datoteka. Daju podatak o promeni svake datoteke. Detektuju ubacivanje logičkih bombi, trapdors-a i virusne infekcije.

o Nadzor kontrolnih informacija: vrši se pregledom kontrolnih log datoteka, uključujući logove barijera, a može detektovati abnormalne aktivnosti u sistemu.

o Pažljiva implementacija logičke AC i politike privilegija: za rad sa nekom aplikacijom, može se minimizirati uticaj malicioznih programa.

o Blokiranje aktivnog sadržaja: sa mrežnim filterskim kapijama ili podešavanjem zaštite na browseru klijenta može se sprečiti unošenje aktivnih malicioznih programa, ali se smanjuje funkcionalnost sistema. Digitalni potpis je alternativa za restrikciju aktivnog sadržaja prema poverljivim izvorima.

o Izolacija sa mrežnom kapijom: vrši se prema nepoverljivim mrežama (npr. Internetu), ali maliciozni kodovi mogu proći i kroz ove barijere. Mogu se uneti i preko instalacionih programa iz prenosnih medija, ili kapija sa ograničenim funkcijama. Barijere blokiraju pristup udaljenih programa nekim portovima sistema. Efikasne su u kombinciji sa kapijom za aktivan sadržaj.

1. Oporavak sistema i mere zaštite

Procedura oporavka sistema i mere zaštite moraju biti deo strategije borbe protiv malicioznih kodova. Glavni zahtevi ove strategije su osposobiti sistem i razviti procedure za:

izolaciju inficiranih sistema, uklanjanje malicioznog programa iz sistema, restauraciju (obično iz bekapa) integriteta sistema nakon napada i oporavak sistema.

Procedura za oporavak sistema mora biti jasno dokumentovana, regularno testirana i da sadrži proces za obavezno izveštavanje i delovanje korisnika u slučaju virusne infekcije. U borbi protiv virusa treba uključiti poverljive provajdere zaštite - distributere antivirusnih programa, zbog akumuliranja znanja o vrsti napada, odbrani i proceni štete (gubitku podataka) i resursa za oporavak sistema.

2. Izbor proizvoda za zaštitu

Ključni zahtevi za antivirusne skenere (programe) su:

Regularno ažuriranje virusnih potpisa (definicija). Što brže uključivanje definicija novih virusa. Sposobnost izolovanja malicioznih programa. Sposobnost rada sa velikim brojem načina za kompresiju datoteka. Pouzdana i stalna podrška svakom proizvodu.

, 54


Ključni zahtevi za kontrolere integriteta su:

Dobar algoritam za proces čeksume. Sposobnost zaštite baze podataka ček suma (držati je offline).

Ključni zahtevi za filter aktivnog sadržaja su:

Sposobnost za prepoznavanje sve većeg broja vrsta aktivnog sadržaja. Kontrolni log koji opisuje nađen aktivni sadržaj i preduzete mere.

3. Stepeni kontrole malicioznih programa

Procedura za kontrolu malicioznih programa treba da sadrži najmanje određeni skup aktivnosti (koraka). Intenzitet antivirusne zaštite i kontrole malicioznih programa može se rangirati u četiri stepena. Ovo rangiranje je pre uputstvo, nego egzaktna klasifikacija:

Stepen 1:1. Razviti strategiju antivirusne borbe razmatrajući sve moguće tačke ulaska virusa u IKT sistem organizacije.2. Instalirati antivirusne programe na radnim stanicama, mrežnim kapijama i serverima.3. Ažurirati virusne definicije sa proizvođačima. 4. Napraviti program za obuku korisnika.

Stepen 2: 1. Razviti strategiju antivirusne borbe razmatrajući sve moguće tačke ulaska virusa u IKT sistem organizacije.2. Razviti više od jednog tipa antivirusnih programa na radnim stanicama, mrežnim kapijama i serverima.3. Ažurirati virusne definicije sa proizvođačima. 4. Skenirati sve dodatke e-pošti i web stranicama kod transfera datoteka.5. Čekirati integritet sistema na svim kapijama i kritičnim sistemima.6. Butiranje sa prenosnih medija (CD-a, USB-a) onemogučiti na svim radnim stanicama.

Stepen 3:1. Razviti strategiju antivirusne borbe razmatrajući sve moguće tačke ulaska virusa u IKT sistem organizacije.2. Razviti više od jednog tipa antivirusnih programa na radnim stanicama, mrežnim kapijama i serverima.3. Ažurirati virusne definicije sa proizvođačima. 4. Skenirati sve dodatke e-pošte i web stranicama kod transfera datoteka.5. Aktivni sadržaj dozvoliti samo sa poverljivih sajtova. 6. Čekirati integritet sistema na svim kapijama i kritičnim sistemima.7. Butiranje sa prenosnih medija (CD-a, USB-a) onemogućiti na svim radnim stanicama. 8. Ograničiti transfer datoteka i korišćenje prenosnih medija.

, 55


Stepen 4:1. Razviti strategiju antivirusne borbe razmatrajući sve moguće tačke ulaska virusa u IKT sistem organizacije.2. Razviti više od jednog tipa antivirusnih programa na radnim stanicama, mrežnim kapijama i serverima.3. Ažurirati virusne definicije sa proizvođačima. 4. Ukloniti dodatke iz e-mailova i web stranica.5. Čekirati integritet sistema na svim kapijama i kritičnim sistemima.6. Flopi disk drajv onemogućiti na korisničkim radnim stanicama. Butiranje sa CD-a, USB-a, onemogućiti na radnim stanicama. 7. Aktivni sadržaj blokirati.

5. Razvoj alata za zaštitu od virusa – Antivirusi

Sa pojavom raznih načina za “infekciju” računarskih sistema pojavila se potreba za razvojem alata koji bi prepoznavali ovakve zlonamjerne programe i štitile računare od pokušaja instalacije virusa na računarski sistem.

Antivirusni softver ili antivirus je računarski program koji se koristi za zaštitu, identifikaciju i uklanjanje računarskih virusa, kao i drugog softvera koji može da ošteti ili nanese štetu računarskom sistemu.

Prvi antivirusni programi pojavili su se početkom 80-tih godina. Bernd Fiks je 1987. godine izvršio prvo uspješno sotversko uklanjanje računarskog virusa sa imenom Vienna virus. Dalji razvoj antivirusnih programa je se razvijao upoznavanjem strukture virusa I njihovog koncepta razvoja.

5.1. Koncept i načini prikrivanja zlonamjernog koda

, 56


Svaki računarski virus je koncepiran tako da se sastoji iz tri dijela: Prvi dio - omogućava razmožavanje i širenje virusa Drugi dio - nosiva komponenta Treći dio – funkcija za okidanje (trigger funkcija)Računarski virusi koriste razne metode za prikrivanje zlonamjernog koda tako da ih je teže

otkriti i eliminisati. Da bi se bolje upoznao način analize i otkrivanja računarskih virusa potrebno je prvo poznavati metode prikrivanja koje koriste virusi prilikom prikrivanja zlonamjernog koda. Najpoznatije metode prikrivanja virusa su:

Enkriptirani Virusi ;

Kripotovanje binarnog dijela koda se prevenstveno vrši da bi se virus teže pronalazio i detektovao. Enkriptirani virus se obično sastoji od enkriptovanog tijela virusa i drugog dijela koji sadrži kod za enkripciju. Po pokretanju inficiranog programa prvo se tijelo virusa dekriptuje u memoriji a onda se kontrola prebacuje na dekriptirano tijelo virusa. Dio za dekripciju je lako otkriti jer ostaje isti nakon svake infekcije.

Oligomorfni virusi

Oligomorfni virusi su enkriptirani virusi koji koriste više različitih kodova za dekripciju. Teže ih je otkriti nego viruse koji koriste samo jednu metodu dekripcije.

Polimorfni kod

Polimorfni virus inficira datoteke s kriptiranom kopijom sebe i modulom za dekriptiranje, taj modul se mijenja (mutira) kod svake infekcije. Dobro napisani polimorfni virusi nemaju dijelova koji ostaju isti nakon infekcije, što otežava otkrivanje virusa od antivirus programa koji koriste potpise kao metodu detekcije.

Metamorfni kod

Virus s metamorfnim kodom je onaj koji mijenja (mutira) cijelo tijelo virusa kod novih infekcija. Nije ih moguće otkriti uspoređivanjem s popisima virusnih "potpisa". Prednost nad polimorfnim virusima je što se tijelo virusa ne dekriptuje u memoriji pa ga je gotovo nemoguće presresti i analizirati.

Današnji antivirusi vrši kompletnu analizu svih metoda prikrivanja zlonamjernog koda i na osnovu ugrađenih algoritama mogu da prepoznaju strukturu programskog koda i samog načina kriptovanja podataka gdje samim tim upozoravaju na moguću infekciju računarskog sistema.

5.2. Načini prepoznavanja virusa

Svaki antivirus obično korisiti dvije tehnike za pronalažanje zlonamjernog koda:

Provjera (skeniranje) datoteka i upoređivanje sa bazom poznatih virusa;

, 57


Detektovanjem sumljivog ponašanja aplikacije (samostalna analiza podataka, monitoring portova, itd);

Provjera zlonamjernog koda upoređivanjem iz baze virusa je najzastupljenija metoda i na ovaj način antivirus provjerava kod upoređujući ga sa poznatim virusima iz baze. Kada se takav virus indetifikuje obično se zaraženi fajl pokuša popraviti ukljanjajući kod unutar fajla. Ukoliko ova procedura ne uspije, zaraženi fajl se obično stavlja u karantin da bi se sprečilo širenje na druge fajlove ili se ponudi opcija brisanja kompletnog fajla. Ovaj način ima svoju punu efikasnost ako se baza virusa redovno ažurira od strane proizvođača antivirusa (Slika 21.).

Slika 21. Ažuriranje baze virusa

Analiza sumnjivog ponašanja je druga metoda koja je zastupljena u antivirusnim programima a ova metoda prati sve procese i aplikacije pokrenute i instalirane na računaru. Ukoliko neka aplikacija pokušava da izmjeni neki izvršni fajl, antivirus će upozoriti korisnika računarskog sistema o ovoj akciji te tražiti od njega da odobri ili prekine proceduru (Slika 22.). Ovakav pristup je mnogo sigurniji jer nudi zaštitu i od novih virusa koji se još nisu našli u bazi virusa.

, 58


Skika 22. Blokada sumljivog ponašanja aplikacije

Poneki antivirus programi će pokušati emulirati početak koda svakog programa kojeg sistem pokrene prije prebacivanja kontrole tom programu. Ako program koristi samo-modifikujući kod ili na neki drugi način izgleda kao virus (ako npr. pokušava odmah da nađe druge programe), može se pretpostaviti da je virus inficirao taj program. Međutim, i ovaj metod za rezultat ima mnogo lažnih uzbuna.

5.3. Antivirusi, podjela

Danas na tržištu postoji jako velika ponuda antivirusnih programa. Bilo da se radi o besplatnim ili komercijalnim programima svi onim imaju istu svrhu a to je da zaštite računarski sistem od zlonamjernog koda. Osnovna razlika osim u cijeni odlikuje se i u brzini i načinu otkrivanja zlonamjernog koda, opterećenju rada računarskog sistema, ažurnosti baze virusa, mogućnosti centralizovanog upravljanja u velikim sistemima, itd.

Postoji više vrsta podjela antivirusnih programa ali uglavnom sve djelimo na besplatne i komercijalne. Besplatna zaštita od virusa je obično dostupna kućnim i nezahtjevnim korisnicima kojima je potreban osnovni nivo zaštite dok za sisteme gdje se traži ozbiljna zaštita sistema obavezno se korisiti neki od komericijalnih rješenja koja su danas u svijetu informacionih tehnologija neophodni u zaštiti podataka i sistema.

, 59


6. ZAKLJUČAK

Sa razvojem računarskih mreža i umrežavanja u sistem globalne mreže - Interneta, rastu i potencijalne opasnosti od različitih napada sa Interneta, uključujući brojne maliciozne programe i napade ljudskog faktora (hakera, krakera, vandala i kompjuterskih terorista). Računarske mreže Internet tipa omogućavaju izuzetno povećanje efikasnosti rada i smanjenje troškova, ali su kritični faktori rizika za raspoloživost, integritet i poverljivost informacija, servisa i aplikacija u sistemu.

Razvojem sve šireg spektra mogućih napada sa Interneta, rastu finansijski i drugi teže merljivi gubici, zbog napada na računarske mreže Internet tipa. Primena samo komercijalnih tehnologija zaštite ne predstavlja pouzdanu odbranu od potencijalnih napada, već se mora koncipirati i primeniti slojevita i sveobuhvatna politika zaštite koja će pored komercijalnih tehnologija zaštite obavezno uključiti i primenu sopstveno realizovanih mehanizama zaštite (kriptoloških, kontrole pristupa), kao i upravljačkih i organizacionih kontrola sistema zaštite date računarske mreže Internet tipa.

Prema nekim istraživanjima (SANS Institut) napade omogućavaju tipične greške korisnika i menadžera koji neadekvatno tretiraju pretnje sa Interneta. Imajući u vidu ove tipične greške, najčešći tipovi potencijalnih napada na računarske mreže Internet/Intranet tipa su: virusni napadi, napad tipa ukidanja servisa (DoS-Denial-of-Service), ponavljanje poslatih poruka, pogađanje lozinke, napadi tipa Trojanskog konja, lažno predstavljanje, prisluškivanje i kriptoanaliza.

Procedura oporavka sistema i mere zaštite moraju biti deo strategije borbe protiv malicioznih kodova. Postoji više načina zaštite od napada virusima. Najbolji način je da se instalira dobar antivirusni program i to više različitih antivirusnih programa, zato što nijedan antivirusni program nije savršen i ne može da detektuje sve viruse. Najvažniji elemenat antivirusne zaštite je obezbediti najnovije zakrpe za operativni sistem koji se koristi, a zatim redovno ažurirati antivirusnu bazu i koristiti dobro konfigurisani firewall. Važno je znati da loše konfigurisan firewall može doneti veće štete nego koristi. Očigledno, potrebna je višeslojna zaštita, tj. što ima više slojeva antivirusne zaštite i generalno drugih komponenti zaštite, to je manja šansa da sistem bude zaražen virusima ili uopšte uspešno napadnut.

, 60


LITERATURA

1. Dr. Mladen Radivojević, Menadžment informacioni sistem, Banja Luka, 2007. godina,2. Dr Mladen Radivojević i Radoja Radnić, Poslovna informatika, Banja Luka, 2007. godina,3. Hasan Hanić, , Marketing informacioni sistemi, Beograd, 20044. Stevica Krsmanović, Informacioni sistemi u mrežnom okruženju, Beograd 2001.5. Rade Stankić i Dr Branko Kremanović, Poslovna informatika, Bijeljina, 2005. godina,6. Dr Angelina Njeguš, Poslovni informacioni sistemi, Beograd, 2008. godina7. Bača Miroslav, “Uvod u računalnu sigurnost”, Zagreb, svibanj 2004. god.8. Krsmanović B., Stankić R., “Računarske mreže”, Bijeljina, 2008. god.9. M.Milosavljević, G.Grubor, “Osnovi bezbednosti i zaštite informacionih sistema”,

Univerzitet Singidunum, Fakultet za Poslovnu Informatiku, Beograd, 2006. god.10. Čerić, V., Varga, M., ur., Informacijska tehnologija u poslovanju, Sveučilište u Zagrebu,

Element, Zagreb, 2004. 11. Grbavac, V., Informatika, kompjutori i primjena, Školska knjiga, Zagreb, 1990.12. Majdandžić, N., Primjena računala, Sveučilište u Osijeku, Slavonski Brod, 1996.13. Srića, V., Spremić, M., Informacijskom tehnologijom do poslovnog uspjeha, Sinergija,

Zagreb, 2000.14. 2010 / 2011 CSI Computer Crime and Security Survey15. http://www.pcchip.hr/img/repository/2009/08/web_image/computervirus.jpg 16. http://www.hercegovina.info/vijesti/zanimljivo/racunala/racunalni-virusi-slave-25-godina-

procitajte-povijest-25-najopasnijih-i-najpoznatijih

, 61

http://www.hercegovina.info/vijesti/zanimljivo/racunala/racunalni-virusi-slave-25-godina-procitajte-povijest-25-najopasnijih-i-najpoznatijih

http://www.hercegovina.info/vijesti/zanimljivo/racunala/racunalni-virusi-slave-25-godina-procitajte-povijest-25-najopasnijih-i-najpoznatijih

http://www.pcchip.hr/img/repository/2009/08/web_image/computervirus.jpg

jelena brakmic ii-86-09 diplomski rad.doc

Documents