senad sinanovic diplomski rad
DESCRIPTION
Ovo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa sa internetaOvo je tema mog diplomskog rada, na kome sam dosta radio, i dosta toga obuhvatio s ciljem da pokazem koliko su virusi zastupljeni i da li je dovoljna zastita koju mi imamo, da se zastitimo od virusa saTRANSCRIPT
Diplomski rad
Sadržaj:1. Uvod.........................................................................................................................................22. Sigurnost kompjuterskih sistema.............................................................................................4
2.1. Opšte napomene o bezbednosti.......................................................................................52.2. Tipovi i posledice narušavanja bezbednosti....................................................................52.3. Izvori narušavanja bezbednosti.......................................................................................6
2.3.1. Zaposleno osoblje............................................................................................72.3.2. Hakeri..............................................................................................................72.3.3. Kompjuterski virusi.........................................................................................8
2.4. Mere bezbednosti............................................................................................................92.4.1. Opšte bezbednosne polise i procedure............................................................92.4.2. Softver za zaštitu od virusa............................................................................112.4.3. Digitalni potpis..............................................................................................122.4.4. Šifrovanje.......................................................................................................122.4.5. Tajni i javni ključ...........................................................................................132.4.6. Prilično dobra privatnost..............................................................................142.4.7. Virtualna privatna mreža..............................................................................142.4.8. Zaštitni zidovi (firewall)................................................................................142.4.9. Proxy serveri.................................................................................................15
3. Tehnike za kreiranje sigurnih sistema..............................................................................174. Podela potencionalnih napadača usmerenih na narušavanje bezbednosti informacionih sistema.......................................................................................................................................20
4.1.Zaštita lokalne mreže od štetnog delovanja “napadača“................................................204.2.Zaštita od štetnog delovanja lokalnih korisnika.............................................................214.3.Administriranje..............................................................................................................22
5. Najveće pretnje računarskih sistema......................................................................................26Virusi, crvi i trojanski konji su zlonamerni programi koji mogu da izazovu štetu na vašem računaru i podacima koje imate na njemu. Oni takođe mogu da uspore Internet vezu, pa čak i da koriste vaš računar za dalje širenje na računare vaših prijatelja, porodice, kolega, kao i na ostatak Weba. Dobra vest je to što, uz malu prevencije i malo razmišljanja, postoji manje šansi da ćete postati žrtva ovih pretnji. Zamislite to kao zaključavanje ulaznih vrata na stanu.........26
5.1.Kompjuterski virusi........................................................................................................275.1.1.Boot sektor virusi............................................................................................315.1.2.Infektori datoteka............................................................................................315.1.3.Crvi.................................................................................................................325.1.4.Trojanski konj.................................................................................................33
5.2.Kako se crvi i drugi virusi šire?.....................................................................................346.Softveri za zaštitu od napada sa Interneta...............................................................................36
6.1.Norton antivirus.............................................................................................................366.2.Sophos antivirus.............................................................................................................366.3.Panda antivirus...............................................................................................................37
7.Metode rada softvera za zaštitu od napada sa Interneta..........................................................397.1.Antivirusne metode........................................................................................................39
7.1.1.Način pretrage uz pomoć rječnika virusa......................................................397.1.2.Heuristički skeneri..........................................................................................40
1
Diplomski rad
7.1.3.CRC skeneri....................................................................................................417.1.4.Blokeri događaja –Behaviour blockers..........................................................417.1.5.Imunizatori.....................................................................................................41
8. Softverska zaštita računarskih mreža primer Kaspersky antivirus........................................438.1. Načini ulaska virusa u IS...............................................................................................438.2. Predmet antivirusne zaštite...........................................................................................448.3. Nivoi antivirusne zaštite u lokalnoj mreži....................................................................448.4. Zaštita na nivou Firewall-a............................................................................................458.5. Zaštita mail servera.......................................................................................................468.6. Zaštita radnih stanica i srevera......................................................................................478.7. Zaštita web servera........................................................................................................488.8. Ažuriranje baza definicija virusa i prepoznavanje nopoznatih virusa...........................498.9. Nadzor nad informacionim sistemom...........................................................................498.10. Hijerarhijska struktura sistema distribuiranog upravljanja.........................................518.11. Još neke karakteristike Kasperski Internet Security 2010...........................................53
9.Zaključak................................................................................................................................54Literatura....................................................................................................................................56
2
Diplomski rad
1. Uvod
U ovom radu govoriću o kompjuterskoj sigurnosti, modelima kompjuterske sigurnosti, a
pokušaću da dokažem koliko su Internet kao najveći distribuirani sistem (distributed system –
jeste sistem sastavljen od više mašina koje su međusobno povezane u mrežu, najčešće
Internetom.)bankovni distribuirani sistemi, i drugi kompjuterski sistemi zapravo nesigurni.
Ovaj rad sastoji se od teorijskog dela (pisanog teksta) i praktičnog rada (softvera).
U poslednje vreme o informacionoj bezbednosti, u raznim varijantama, moguće je
pročitati gotovo u svim svetskim časopisima. Da li je to posledica modnog trenda ili realna
potreba? Da je zaštita informacija predmet interesovanja državnih i vojnih struktura, poznato
je od ranije. Međutim, i sve velike kompanije smatraju da je informaciona bezbednost jedan
od najvažnijih prioriteta u vođenju biznisa. U skladu sa tim evidentne su radikalne promene u
organizaciji službe informacione bezbednosti. Pitanja informacione bezbednosti i problem
zaštite informacija su sa, sve donedavno, krajnjih margina dospela u situaciju da budu
delokrug rada samog top - menadžmenta kompanija. Znači, interesovanje i pažnja koja se u
svetu posvećuje informacionoj bezbednosti nisu odraz pomodarskog trenda, već realnost
nadolazećeg informacionog društva. Zašto je potrebno štititi poslovne informacije? Različite
organizacije iz različitih razloga treba da štite informacije. Za banke je od presudnog značaja
integritet informacija, tj. neizmenljivost novčanih transakcija, zbog finansijskog poslovanja.
Za provajdere Internet - usluga najvažnije su raspoloživost i pouzdanost informacija u smislu
dostupnosti i pouzdanog rada ključnih elemenata sistema, zbog kontinuiteta pružanja usluga.
Za privrednike je pak najvažnija poverljivost informacija, zbog zahteva da informaciji pristupe
samo do ovlašćena lica, radi opstanka na tržištu i uspešnog poslovanja.
Kada je reč o pojmu informacija i informacionoj bezbednosti izuzetno je važno shvatiti i
prihvatiti sledeće činjenice:
1. Informacioni sistem nije isto što i kompjuterski sistem (informacioni sistem
kompjuterski sistem)
3
Diplomski rad
2. Kompjuterski sistem je podsistem ili podskup informacionog sistema.
Danas se u svetu ulažu bilionske cifre u sigurnost kompjuterskih sistema sve u cilju
poboljšavanja i održavanja sigurnosnih sistema. Kompjuterska sigurnost (en. Computer
Security – je oblast informatike koja se bavi kontrolom rizika koji su u vezi sa upotrebom
kompjutera). Od samog početka, pa do danas, kompjuterska sigurnost se svodi na kreiranje
sigurnosnih sistema u kojima će agenti (korisnici ili aplikacije) biti u mogućnosti da koriste
one aplikacije za čiju upotrebu imaju pravo.
IT bezbednost je jedna od najaktuelnijih i najvažnijih tema sa kojom se danas susreli
korisnici i provajderi informacione tehnologije. Sve do nedavno, mnogi korisnici nisu
bezbednost posmatrali dovoljno ozbiljno. Oni su verovali da je, ukoliko su njihovi serverski i
mainframe kompjuteri smešteni unutar zaštićenog objekta kome može pristupiti samo
ograničeni broj ovlašćenih korisnika, malo verovatno da će se oni ikada suočiti sa slomom,
odnosno narušavanje bezbednosti. Međutim, „najšira upotreba PC-ja, PDA i bežičnih uređaja,
potpomognuta velikim interesovanjem prema korišćenju Interneta i drugih kompjuterskih
mreža, dovela je do toga da slika kompjutera koji bezbedno rade na nekoj fizički zaštićenoj
lokaciji danas nije ni izbliza toliko realistična kao nekada.“ Otuda i velika zabrinutost izvršnih
rukovodilaca, menadžera i ostalih korisnika za što boljim obezbeđenjem informacione
tehnologije preduzeća.
4
Diplomski rad
2. Sigurnost kompjuterskih sistema
Kompjuterska sigurnost se može posmatrati iz više nivoa: fizička sigurnost, sigurnost
softvera i podataka. Moj pristup ovoj problematici je veoma specifičan, polazim od toga da su
kompjuterski sistemi nesigurni.
Osnovni cilj svih distribuiranih sistema jeste rešavanje jednog velikog problema, zadatka
segmentiranjem istog i distribuiranim procesiranjem problema. Postoje razni modeli
distribuiranih sistema, centralizovani i decentralizovani. Međutim u svetu kompjuterskih
tehnologija propisan je standard za kreiranje modela distribuiranih sistema. Dakle da
sumiramo postoje 5 modela distribuiranih sistema:[9,115] Client – server, three-tier, n-tier,
tighly coupled, peer to peer. Glavna osobenost ovih sistema je otvorenost u smislu lagane
proširivosti (bilo da lako možemo dodati nove nodove (u terminologiji distribuiranih sistema
nod predstavlja čvor u mreži, bilo da je to kompjuter ili neki drugi uređaj. Jedan kompjuter
može predstavljati više nodova u mreži) u mrežu ili im lako dodati neku novu funkciju). Druga
važna osobina jeste skalabilnost (load scalability, geografska skalabilnost i administrativna
skalabilnost).
Čisto da razjasnim neke nedoumice, distribuirani sistem i klaster (en. Cluster) se
razlikuju u mnogome, distribuirani sistem i grid sistem (en. Grid system, grid computing) su
takođe veoma različiti. Razlika je u tome što i klaster i grid sistemi su zatvorenog tipa, teško
su proširivi, relativno teško je pisati softver za njih, organizacija ovakvih sistema je po strogo
propisanim pravilima, vodi se računa o centralizaciji; to znači da imamo jednu centralnu
jedinicu – jedan centralni nod koji manipuliše nad grupom nodova potređenim njemu; opet taj
centralni nod je podređen nekom drugom nodu itd.
Još jedan bitan pojam važan za objasniti da mnogima ne bi ostalo nejasno ili da ne bi
pogrešno shvatili moj rad jeste parallel computing (parallel computing predstavlja rešavanje
jednog većeg problema razbijajući ga/segmentirajući na mnoštvo manjih problemčića, s tim
što se sve to izvodi na jednom kompjuterskom sistemu; sasvim nebitno da li je on
uniprocesorski ili multiprocesorski).
5
Diplomski rad
2.1. Opšte napomene o bezbednosti
Termin bezbednost (security) odnosi se na čuvanje i zaštitu IT dobara (assets) nekog
preduzeća. Bezbednost se deli na sledeće četiri glavne oblasti:[11,149]
Bezbednost lokacije ("sajta") Kompjuterski centri i prostorije u kojima se
odvijaju IT aktivnosti vezane za obradu podataka, odnosno u kojima su smešteni i
uskladišteni najrazličitiji IT resursi.
Bezbednost resursa Oprema i postrojenja, softverski programi i sistemi, kao i
baze podataka datog preduzeća.
Bezbednost mreže Komunikacijske mreže, uključujući lokalne (LAN) mreže,
WAN mreže, intranet i ekstranet mreže, kao i pristupne taćke ovih mreža ka Internetu.
Bezbednost servisa, garancija da će svi IT servisi nekog preduzeća biti uvek
raspoloživi i dostupni ovlašćenim korisnicima.
„Takozvani bezbednosni program opisuje polise i zaštitne mere koje će biti
primenjivane, odgovornosti pojedinaca zaduženih za očuvanje bezbednosti, kao i odgovornosti
onih koji bi trebalo da se pridržavaju definisanih bezbednosnih polisa.“
Nigde ne postoji potpuno bezbedno IT postrojenje. Uvek treba poći od pretpostavke da
će, ukoliko postoje osobe koje su čvrsto rešene da to uspe po bilo koju cenu, one verovatno
pronaći način da nadmaše bezbednost IT sistema nekog preduzeća. Stoga su bezbednosni
programi dizajnirani prvenstveno u cilju povećanja otpornosti (hardening) potencijalne IT
mete, pokušavajući da stepen naprezanja napadača učine većim od koristi koju oni mogu
ostvariti upadom u dati sistem, mrežu ili IT postrojenje.
2.2. Tipovi i posledice narušavanja bezbednosti
Definisanjem bezbednosnih programa, preduzeća nastoje da se zaštite od dva različita
oblika narušavanja bezbednosti. Zaštita protiv upada (intrusion usmerena je na odvraćanje
napada koji dolaze bilo spolja ili iz samog preduzeća, uključujući i zloupotrebu IT dobara od
strane zaposlenih u tom preduzeću. Ovde spadaju i mere i postupci za otkrivanje upada nakon
6
Diplomski rad
što se oni već dogode, kao i postupci analize njihovog negativnog uticaja (na primer, procena
stepena narušenosti integriteta podataka ili softvera).
Zaštita protiv presretanja (interception) usmerena je ka prevenciji slučajeva "hvatanja"
podataka i informacija za vreme njihovog prenošenja preko preduzetničke mreže ili nekih
drugih komunikacijskih linkova. Ona obuhvata zaštitu prenosa podataka putem fiksnih ili
bežičnih mreža, a teži da očuva bezbednost mrežnih aktivnosti koje se obavljaju uz pomoć
kompjutera, PDA uređaja i drugih tipova prenosivih računara.
Moguće posledice narušavanja bezbednosti, bilo da je do tog narušavanja došlo putem
upada ili presretanja, dele se na sledećih pet kategorija: [13,115]
Uništenje resursa. Oštećenje opreme i postrojenja; brisanje podataka i
softverskih programa.
Neispravnost podataka i aplikacija. Modifikacija softvera i IT aplikacija, tako
da prilikom njihove upotrebe dolazi do generisanja nekorektuih ili potpuno pogrešnih
rezultata; oštećenje uskladištenih podataka kako bi se oni učinili neupotrebljivim ili
nepouzdanim.
Odbijanje pružanja servisa (denial-of-services). Onemogućavanje preduzeća
ili zaposlenih u njemu (koje je najčešće namerno i privremeno po svojoj prirodi) da koriste
one servise koji su im, pod normalnim okolnostima, dostupni; ovakvim napadima su obično
izloženi mrežni servisi (poput elektronske pošte) ili odredene lokacije na mreži (na primer,
neki web sajt).
Krađa servisa. Korišćenje usluga koje neki provajder pruža na planu obrade
podataka, bez plaćanja novčane naknade za njihovo korišćenje.
Krađa resursa. Nelegalno kopiranje ili preuzimanje podataka, softvera,
muzike, filmova i drugih digitalnih sadržaja; direktna krada pomenutih sadržaja iz nekog IT
postrojenja.
2.3. Izvori narušavanja bezbednosti
7
Diplomski rad
Pokušaji narušavanja bezbednosti obično potiču iz sledeća četiri izvora: zaposleni u
datom preduzeću, hakeri, teroristi i kompjuterski virusi.
2.3.1. Zaposleno osoblje
Bivši ili trenutno zaposleni radnici u nekom preduzeću predstavljaju uobičajen izvor
narušavanja bezbednosti. Ozlojeđeni pojedinci, koji su nezadovoljni načinom na koji ih
njihovo preduzeće ili njihovi menadžeri tretiraju - možda zbog toga što nisu dobili
odgovarajući položaj, platu, unapređenje, titulu ili neki drugi tretman koji su, po njihovom
mišljenju, zaslužili - mogu doći na ideju da sa njima poravnaju račune tako što će napasti IT
imovinu svog poslodavca.
Primera radi, upad se može odigrati tako što će ozlojeđeni radnik izvršiti sabotažu na
kompjuterskoj opremi ili umetnuti destruktivne naredbe u neku kompjutersku aplikaciju.
Alternativno, zaposleni mogu iskoristiti svoju poziciju u preduzeću ili dobro
poznavanje neke aplikacije ili baze podataka kako bi izvršili presretanje informacija i njihovo
neovlašćeno korišćenje. Bez obzira da li se presretanje podataka vrši zbog toga što oni, sami
po sebi, imaju određenu vrednost (recimo, zato što omogućavaju dalje zloupotrebe) ili radi
njihove prodaje trećem licu, kao što je to ilustrovano u narednom odeljku, činjenica je da je
svako preduzeće podložno ovakvoj vrsti napada iznutra i da bi zbog toga ono trebalo da
preduzme odgovarajuće mere zaštite.[6,73]
U poslednje vreme sve učestalija krađa identiteta (identity theft) predstavlja veoma
ozbiljan problem, jer može dovesti do potpunog uništenja finansija, kreditne sposobnosti i
ličnog kredibiliteta pojedinaca.
2.3.2. Hakeri
8
Diplomski rad
Terminom haker (hacker) se označava osoba koja je u stanju da neovlašćeno pristupi
nekom kompjuterskom sistemu, obično putem mreže, mada hakeri ponekad uspevaju i da
fizički pristupe nekom kompjuteru ili mrežnom postrojenju.
Ima i ljudi koji sami sebe vole da nazivaju hakerima, ne misleći pritom na svoju
sposobnost neovlašćenog upada u kompjuterske i mrežne sisteme, već pre svega na svoje
izuzetne veštine u kompjuterskom programiranju i upotrebi kompjutera na inventivan i znatno
produktivniji način. „Zlonamerni hakeri, koji svesno vrše neovlašćeni pristup kompjuterskim
sistemima, takođe poseduju visoka tehnička znanja i veštine, s tom razlikom što oni te veštine
koriste na nepoželjan (i često nelegalan) način. Kada ovi kriminalci reše da "krenu u štetu",
posledice često mogu biti katastrofalne.
Broj hakera širom sveta je tokom protekle decenije značajno narastao, prvenstveno zbog
sve veće raspoloživosti moćnih kompjutera u školi, na radnom mestu i kod kuće. Sve veći broj
kompjutera, u kombinaciji sa lako dostupnim mrežama i komunikacijskim linijama
neminovno dovodi do povećanja broja hakera svih starosnih uzrasta.
2.3.3. Kompjuterski virusi
Ponekad se upadi ostvaruju putem softvera. Kompjuterski virus je skriveni program koji
bez znanja korisnika vrši određene izmene u načinu funkcionisanja kompjutera ili modifikuje
podatke i programe koji su na njemu uskladišteni. Virus se piše sa namerom da uzrokuje
oštećenje ili napravi haos u nekom sistemu. Nazivamo ga virusom zbog toga što ima
sposobnost samoreprodukcije, prelazeći sa kompjutera na kompjuter prilikom razmene
diskova ili fajlova sa jednog na drugi kompjuter.[11,75] Virus može ući u kompjuter i putem
e-mail poruke kada fajl za koji je virus prikačen korisnik preuzme sa nekog udaljenog
kompjutera preko neke komunikacijske mreže. Zaraženi fajl će zatim nastaviti da širi virus
prilikom svake njegove upotrebe.
Svaki virus se odlikuje sopstvenim karakteristikama ili, kako to kompjuterski stručnjaci
vole da kažu, svojim sopstvenim potpisom. Neki od njih nepovratno brišu podatke, tako što po
9
Diplomski rad
zaraženom disku pišu besmislice. Drugi preuzimaju kontrolu nad operativnim sistemom i
uzrokuju potpuni prestanak funkcionisanja kompjutera. Treći vrše umetanje raznoraznih
instrukcija u operativni sistem, nalažući mu da na ekranu prikazuje poruke maliciozne
sadržine. Ipak, oni najgori oblici virusa su znatno suptiliniji, jer prilikom kretanja kroz
kompjuter vrše izmene sitnih detalja u odabranim fajlovima na tako neprimetan način da ih je
izuzetno teško detektovati.
Sve vrste kompjutera su osetljive na viruse, ali je to naročito izraženo kod PC računara,
jer prilikom dizajniranja većine ovih uređaja njihovi konstruktori nisu mnogo razmišljali o
kompjuterskoj bezbednosti. Sledeća generacija PC računara razvija se sa mnogo većom
zabrinutošću po pitanju detekcije virusa i bezbednosti uopšte.
2.4. Mere bezbednosti
Radi povećanja IT bezbednosti preduzeća obično se primenjuje šest kategorija
bezbednosnih mera. Izbor mera zavisiće od potrebnog nivoa bezbednosti. U ovom odeljku
govorićemo o:[1,75]
(1) opštim bezbednosnim polisama i procedurama,
(2) softveru za zaštitu od virusa,
(3) digitalnim potpisima,
(4) šifrovanju,
(5) zaštitnim zidovima i
(6) proxy serverima.
2.4.1. Opšte bezbednosne polise i procedure
Opšte bezbednosne polise i procedure su prevencija različitih oblika narušavanja
bezbednosti, uključujuči neovlašćeni pristup kompjuterskim sistemima, zahteva pre svega
odlično fizičko obezbedenje, kao i kvalitetne bezbednosne polise i procedure. Očigledno je da
se prva mera sastoji u angažovanju poštenih i pouzdanih ljudi. Tu spadaju sledeće tehnike:
10
Diplomski rad
Česta promena pristupnih lozinki Od korisnika bi trebalo zahtevati da prilikom svakog
pokušaja pristupa sistemu u njega unose svoje lične identifikacione kodove i
pojedinačno dodeljene kodne reči. Prema lozinkama se treba odnositi kao prema
najstrože poverljivim informacijama.
Ograničavanje upotrebe sistema Korisnicima treba omogućiti pristup samo onim
neophodno potrebnim funkcijama sistema, a nikako im ne dozvoliti pun pristup
sistemu.
Ograničavanje pristupa podacma Korisnicima treba dozvoliti da pristupaju samo onim
podacima koji su im neophodni za izvršavanje poslova iz njihove nadležnosti.
Uspostavljanje odgovarajuće kontrole fizičkog pristupa Pristupne kartice i takozvani
biometrijski uređaji - koji prepoznaju glas, otiske prstiju ili dlanova, retinu oka ili
potpise - predstavljaju neke od najefiksnijih sistema za fizičko obezbeđenje. Ove
sisteme je veoma teško, gotovo nemoguće prevariti.
Podela odgovornosti Kritično važne funkcije, koje podrazumevaju visoki rizik ili
ogromnu vrednost podataka koji se obraduju, treba na odgovarajući način razdvojiti
kako bi u izvršavanje obrade podataka bilo uključeno više osoba. Mrežnim i
administratorima baze podataka treba dodeliti odvojene (ali važne) odgovornosti po
pitanju kontrole pristupa sistemu.
Šifrovanje (enkripcija) podataka Promenom izgleda podataka, putem njihovog
skremblovanja i kodiranja, biće znatno otežana njihova neovlašćena upotreba, čak i
ukoliko haker uspe da im pristupi.
Uspostavljanje proceduralne kontrole Ukoliko se korisnici i zaposleni u IT odeljenju
striktno pridržavaju jasno definisanih procedura, opasnost od narušavanja bezbednosti
biće znatno umanjena.
Provođenje edukativnih programa Ništa ne može zameniti dobro informisane članove
zaposlenog osoblja. U edukativnim programima iz oblasti bezbednosti treba naročito
istači opasnost od upada, objasniti metode i taktike koje koriste hakeri, te zaposlenima
pružiti uputstva o tome kako treba reagovati prilikom otkrivanja upada.
Inspekcija aktivnosti unutar sistema Tokom vršenja inspekcije (audit), nezavisni
stručnjaci detaljno pregledaju transakcije i aktivnosti vezane za kompjutersku obradu
11
Diplomski rad
podataka kako bi analizirali njihovo poreklo i uticaj na sistem i potvrdili da su sve ove
aktivnosti prethodno odobrene i da su izvršene od strane ovlašćenih lica.
Beleženje svih transakcija i aktivnosti korisnika Neophodno je stalno pratiti i beležiti
sve aktivnosti unutar sistema, kao i identitet osoba koje su te aktivnosti izvršavale.
Kao dodatak ovim tehnikama, neke kompanije primenjuju metod takozvanog
povratnog poziva (call-back). Evo kako ovaj metod funkcioniše. Kada pozivač okrene
odgovarajući broj za pristup sistemu, on dostavlja broj telefona sa kojeg vrši pozivanje.
(Većina savremenih sistema može ovaj broj automatski detektovati.) Pozivač zatim prekida
vezu da bi sistem, nakon što proveri da li je taj telefonski broj validan i ovlašćen, uputio
povratni poziv toj osobi. Metod povratnog poziva u kombinaciji sa maločas opisanih 10
tehnika pruža dragocenu dodatnu zaštitu bezbednosti.
Uprkos svim ovim preventivnim merama, neki hakeri ipak uspevaju da prodru čak i u
najbolje čuvane sisteme. Nakon što neki haker prodre u sistem, veoma je važno ustanoviti da li
je počinjena neka šteta ili krađa, te shvatiti da postoje neka tajna vrata (trapdoor) - do tada
neotkriveni način ulaska u sistem, koji uspešno zaobilazi sve primenjene mere bezbednosti.
Nešto ranije opisano Stollovo iskustvo sa uljezom, koji je u njegov sistem upao upravo preko
jednih ovakvih tajnih vrata, govori nam kako čak i najmanja odstupanja od uobičajenih
performansi sistema mogu predstavljati ključni trag za otkrivanje i lociranje uljeza.
2.4.2. Softver za zaštitu od virusa
Mada kompjuterski virusi predstavljaju relativno noviji fenomen, već je poznato na
hiljade različitih vrsta virusa, od kojih neki nose tako egzotična imena poput: Code Red,
Naked Wife, Melissa, Michelangelo ili Christmas Virus.
Da bi svoje sisteme zaštitile od virusa, poslovne kompanije su prinuđene na kupovinu
softvera za detekciju virusa, specijalnih programa koji vrše skeniranje kompjuterskih diskova
u potrazi za virusima. Postoje dva osnovna metoda za detekciju virusa: skeniranje i
presretanje.
12
Diplomski rad
Programi za skeniranje pretražuju memoriju računara radi pronalaženja virusa. Većina
programa ove vrste odgovarajućom porukom upozoravaju korisnika da je virus otkriven.
Nakon toga, korisnik može programu naložiti da uništi virus i, ukoliko je moguće, izvrši
popravku oštećenih podataka. Programi za detekciju rade u pozadini, prateći aktivnosti na
obradi podataka i signalizirajući korisniku u slučaju da otkriju virus koji pokušava da inficira
sistem.
2.4.3. Digitalni potpis
Relativno nova, ali sve popularnija tehnologija šifrovanja digitalnog potpisa (digital
signature encription) oslanja se na matematičku šemu kodiranja, koja je dizajnirana u cilju
sprečavanja virusa u njihovom pokušaju napada na podatke i programe. Lako prenosivi
digitalni potpisi mogu se koristiti za proveru identiteta pošiljaoca neke poruke ili potpisnika
nekog dokumenta.
Zakonski akt o elektronskim potpisima u globalnoj i nacionalnoj trgovini (često se još
naziva i zakonom o e-potpisima), koji je stupio na snagu 2000. godine, definiše da su digitalni
potpisi, u formalno-pravnom smislu, isto tako validni kao i klasični svojeručni potpisi
mastilom na papiru. Ovaj zakon ne definiše niti jednu konkretnu tehnologiju digitalnog
potpisivanja kao obaveznu.[13,142] Zbog toga IT proizvodači i provajderi usluga istražuju
alternativne metode za proveru pravnog identiteta pojedinaca, uključujuci i upotrebu tzv.
ličnih "pametnih" kartica, PDA uredaja za šifrovanje i biometrijske tehnike provere identiteta.
Očekuje se da će ovaj zakon, koji se odnosi isključivo na elektronske transakcije na
teritoriji Sjedinjenih Država, ohrabriti poslovne kompanije da definišu sopstvene procedure za
upotrebu e-potpisa. To će za posledicu imati znatno brže obavljanje rutinskih poslovnih
aktivnosti i eliminisanje troškova vezanih za štampanje i slanje papirnatih ugovora i drugih
trgovinskih i pravnih dokumenata.
2.4.4. Šifrovanje
Kada govorimo o zaštiti protiv presretanja podataka (na primer, prilikom njihovog
prenošenja preko komunikacijskih linkova), jedna od najefikasnijih mera bezbednosti sastoji
13
Diplomski rad
se u šifrovanju (enkripciji) podataka. Enkripcija se sastoji u upotrebi odgovarajućeg
matematičkog algoritma radi konverzije podataka u šifrovani oblik, koji se još naziva
cifarskim tekstom. Ovaj algoritam koristi takozvani ključ, odnosno neku promenljivu
vrednost, kako bi datu poruku preveo u prerušeni oblik cifarskog teksta. Složenost tog ključa
predstavlja determinišući faktor stepena bezbednosti koji će biti ugrađen u taj cifarski tekst.
Primera radi, ako dati kod samo vrši prevođenje svakog slova i broja u neko drugo slovo ili
broj (recimo, ako svako slovo "a" prevodi u slovo "b", a svaku cifru "2" prevodi u slovo "r"),
onda se ta poruka može relativno jednostavno dekodirati.
2.4.5. Tajni i javni ključ
Metod takozvane infrastrukture javnog ključa (public key infrastructure - PKI) sastoji se
u kreiranju dva ključa - jednog javnog i jednog privatnog - korišćenjem jednog istog
algoritma. Firma koja se bavi izdavanjem i održavanjem bezbednosnih ovlašćenja i javnih
ključeva za šifrovanje poruka naziva se sertifikacijskim autoritetom. Privatni ključ se daje
samo preduzeću koje ga je zatražilo i nikom drugom. Nasuprot tome, javni ključ se objavljuje
u javnom direktorijumu koji je dostupan za pretraživanje svim zainteresovanim stranama.
Kada pošiljalac poželi da nekome pošalje obezbedenu poruku, on najpre pretražuje
direktorijum digitalnih sertifikata, kako bi u njemu pronašao javni ključ primaoca pomoću
kojeg zatim vrši šifrovanje poruke. Kada primalac primi ovako šifrovanu poruku, on je
dešifruje pomoću svog privatnog ključa. Pored obezbedenja poruka putem šifrovanja,
pošiljalac može primaocu poslati dokaze o svojoj autentičnosti, kako bi ovaj znao ko mu je
zapravo poslao poruku. Pošiljalac ovo postiže uz pomoc svog privatnog ključa kojim vrši
enkripciju svog digitalnog sertifikata.
U oblasti pružanja finansijskih usluga nedavno je razvijen metod bezbedne elektronske
transakcije (secure electronic transaction - SET), koji predstavlja svojevrsnu adaptaciju
metode šifrovanja pomoču javnog ključa i metode digitalnog sertifikata (koji se ovde naziva
elektronskim novčanikom), a služi za bezbedno obavljanje finansijskih transakcija preko
Interneta. Među najaktivnijim učesnicima u razvoju SET projekta bile su i tako poznate
kompanije kao što su: MasterCard, Visa, Microsoft i Netscape. Svakom korisniku SET
programa dodeljuje se elektronski novčanik (to jest, digitalni sertifikat), nakon čega se
14
Diplomski rad
novčane transakcije obavljaju i verifikuju uz pomoć kombinacije digitalnih sertifikata i
digitalnih potpisa.
2.4.6. Prilično dobra privatnost
Pretty good privacy (PGP) je naziv popularnog programa koji služi za šifrovanje i
dešifrovanje e-mail poruka i šifrovanje digitalnih potpisa, kako bi primalac poruke mogao da
bude siguran da njen sadržaj nije tokom prenosa pretrpeo nikakve izmene.
Ukoliko želite da koristite PGP radi zaštite svoje elektronske pošte, potrebno je da se
mreže preuzmete besplatnu ili sharevvare verziju verziju ovog programa ili pak da kupite
relativno jeftinu "full" verziju i instalirate je na svom kompjuteru. Program sadrži korisnički
interfejs koji je kompatibilan sa većinom popularnih e-mail aplikacija. Javni ključ, koji
predstavlja sastavni deo PGP programa, mora biti registrovan na PGP serveru kako bi i drugi
korisnici sa kojima ćete razmenjivati poruke mogli na njemu da pronađu vaš javni ključ.
2.4.7. Virtualna privatna mreža
Virtualna privatna mreža (VPN) predstavlja jedan od načina za korišćenje javne
telekomunikacijske infrastrukture, kao što je Internet, radi ostvarenja bezbedne komunikacije
između pojedinaca ili klijent-kompjutera na udaljenim lokacijama i neke preduzetničke mreže.
VPN mreža funkcioniše tako što koristi zajedničku, javnu infrastrukturu, uz istovremeno
očuvanje privatnosti preko odgovarajućih bezbednosnih procedura i takozvanih tunelskih
(tunneling) protokola.[13,85] Šifrovanjem podataka na polaznoj tački i njihovim šifrovanjem
u tački prijema, pomoću ovih protokola se podaci (pa čak i mrežne adrese pošiljaoca i
primaoca ukoliko konkretno preduzeće tako odluči) šalju kroz takozvane tunele, u koje uopšte
ne mogu ni prodreti podaci koji nisu na odgovarajući način šifrovani.
2.4.8. Zaštitni zidovi (firewall)
15
Diplomski rad
Zaštitne ili protivpožarne (firewall) zidove mnogi smatraju suštinski važnim
mehanizmom zaštite od neovlašćenog pristupa preko komunikacijskih kanala, bilo žičanih ili
bežičnih. Terminom zaštitni zid (firewall) označavaju se softverski programi specijalne
namene, smešteni na serverskim računarima koji igraju ulogu mrežnog prolaza (gateway).
Ovaj softver je dizajniran radi zaštite korisnika neke privatne mreže, putem blokiranja svih
onih poruka koje dolaze od korisnika sa drugih mreža, a za koje se ustanovi da u sebi sadrže
potencijalno štetne programe ili podatke.
Radeći u kombinaciji sa nekim usmeravajućim programom, firewall softver vrši analizu
svih paketa koji pristižu na datu mrežu. On pritom analizira poreklo tog paketa, njegovo
odredište, namenu, sadržaj i eventualne priloge (attachments), kako bi ustanovio da li se taj
paket može bezbedno proslediti ka željenom odredištu. Veoma često će izvršni (executable)
programi, ili priloženi fajlovi većih dimenzija, biti zadržani na filtem zaštitnog zida, jer je
firewall softver ocenio da njihov sadržaj može štetno delovati na sistem koji taj firewall štiti.
Firewall pruža veoma dobm zaštitu, kako od upada spolja tako i od "insajdera" koji
pokušavaju da neovlašćeno pristupe sistemu preko interneta.
U prošlosti, zaštitni zidovi su predstavljali zasebne programe koje su korisnici i mrežni
menadžeri kupovali i instalirali na svojim sistemima. Danas se, međutim, ovi programi sve
češće ugrađuju u operativne sisteme (na primer, Microsoftov Windows ili Sunov Solaris), kao
i komunikacijske uređaje, poput rutera koji se koriste na lokalnim i WAN mrežama.
2.4.9. Proxy serveri
Proxy serveri se često koriste radi očuvanja bezbednosti Internet aplikacija. Proxy server
igra ulogu posrednika između nekog PC računara i Interneta, fizički razdvajajući
preduzetničku mrežu od neke spoljne mreže. On najčešće funkcioniše u kombinaciji sa nekim
zaštitnim zidom (firewall) i u sebi obično sadrži keš memoriju, u kojoj čuva nedavno posećene
web stranice kako bi im sledeći put korisnik mogao brže pristupiti.
Kada proxy server od nekog korisnika primi zahtev za pristup Internetu (na primer,
zahtev za pregledom neke web stranice), on najpre proverava da li je taj zahtev validan po
16
Diplomski rad
pitanju korisnika koji ga je postavio, da bi zatim pretražio sopstveni keš i proverio da li u
njemu već postoji prethodno preuzeta kopija tražene web stranice. Ukoliko traženu stranicu
pronade u kešu, on je odmah šalje korisniku, eliminišuci tako potrebu za prosleđivanjem
njegovog zahteva ka Internetu. Ako, pak, tražene web stranice nema u kešu, proxy server
ispostavlja zahtev za preuzimanjem te stranice sa Interneta da bi je, odmah po njenom
pristizanju, prosledio korisniku. Proxy server je potpuno nevidljiv sa stanovišta korisnika i ne
menja značajno brzinu preuzimanja web stranica. Funkcije proxyja, firewalla i keširanja web
stranica mogu biti poverene zasebnim serverskim progamima ili biti objedinjene u jednom
programu. Primera radi, neki proxy server može obitavati na istom kompjuteru na kome je
instaliran firewall program ili pak na odvojenom serverskom računaru pri čemu će sve zahteve
korisnika prosleđivati preko tog zaštitnog zida.
17
Diplomski rad
3. Tehnike za kreiranje sigurnih sistema
Kriptografske tehnike (kriptografija je posebna nauka koja se bavi kriptografskim
algoritmima i sistemima šifrovanja i dešifrovanja podataka) za zaštitu podataka. Tu su neki od
kriptografski algoritama vredni pomena (AES, DES, RSA, daleko poznati PGP). Tu su još
stenografski algoritmi vredni pomena (Steganografija je posebna oblast kriptografije koja se
bavi prikrivanjem podataka u slikama, audio fajlovima itd.) izuzetno jaki sistemi za
autentifikaciju. Izuzevši današnje šifre i korisnička imena koje su postale sa svim normalna i
uobičajena stvar, dodaćemo sisteme za autentifikaciju RFID čipovima, bionički sistemi za
autentifikaciju (otiskom prsta), sistemi prepoznavanja glasa, skeniranje očne rožnjače.
Autentifikacione kartice koje omogućavaju razničite nivoe fizičkog pristupa prostorijama,
računarima itd.
Softver koji sadrži “rupe” (en. Bugs) ne treba koristiti sve dok se isti ne ispravi ili ne
zameni ispravnim ili dok ne izađe popravka za taj softver.
BackUP sistemi. Potrebno je u zavisnosti od važnosti, količine podataka kao i tipa
kompjuterskog sistema s vremena na vreme ili stalno bekapovati podatke na neki od
medijuma. To mogu biti trake, data kasete, hard diskovi, dvd-jevi, cd-ovi. U zavisnosti od
infrastrukture sistema ovaj proces može biti automatizovan ili ne automatizovan.
Upotrebom antivirusnog softvera na kompjuterskim sistemima omogućujete neometani
rad nad svojim podacima, a što je najvažnije vaši podaci su sigurni. Kad kažem sigurni ne
mislim da su 100%, jer ništa nije 100% sigurno. Pogotovo ne na Windows operativnim
sistemima za koje postoji najviše virusa.[9,128] Tipovi virusa su različiti, pomenuću neke, tu
18
Diplomski rad
su daleko poznati trojanski konji (maliciozni tip programa koji omogućava zločestom
korisniku pristup zaraženom kompjuteru, izvršavanje različitih vrsta programa, brisanje,
modifikacija, upload i download podataka itd.), crvi (en. Worm), polimorfni virusi (kako sama
reč kaže to su virusi koji u nekom vremenskom intervalu menjaju svoj kod, svoje mesto na
disku / memoriji sve u cilju teže identifikacije, pronalaženja i čišćenja od strane
korisnika/softvera), tu su danas daleko rasprostranjeni VB script virusi itd. Ne želim reći da su
Unix i Linux bazirani operativni sistemi potpuno sigurni, postoje i za njih neke vrste virusa.
To nisu baš u pravom smislu reči virusi nalik ovim virusima sa Windows operativnih sistema.
U pitanju su daleko poznati rootkitovi koji su mnogo opasniji i nimalno bezazleni kompleksni
“virusi”, softverski paketi koji se sastoje iz mnoštva virusa. Većina trojanskih konja ima
sposobnost keylogginga, beleženja teksta koji korisnik otkuca, i slanje istog tog teksta osobi
koja je unela maliciozni program u taj kompjuterski sistem. Priča o virusima je daleko
komplikovanija i složenija, ovo bi bio samo jedan mali uvod u problematiku kompjuterskih
virusa, kao jednog od veoma važnih faktora kompjuterske sigurnosti. Danas su sve više u
modi virusi za mobilne telefone, najčešće virusi za Symbian operativni sistem. I ako je danas
jako teško poslati virus emailom (jer je email jedna od glavnih upotrebljavanih tehnologija za
širenje virusa) zbog email virus skenera, grupe koje šire viruse su se preselile na IRC (Internet
Relay Chat). Mnogi će se zapitati koji je motiv virusopisaca. Danas je osnovni motiv
virusopisaca novac, naime mnoge kompanije koje proizvode Antivirusni softver da bi
živele/da bi se njihov proizvod prodavao moraju i same da plaćaju programere da pišu viruse
za njih. Nekad je motiv virusopisaca bilo dokazivanje.
Firewall kompjuterski sistemi čija je osnovna namena zaštita kompjuterskih mreža.
Firewallovi danas igraju važnu ulogu u sigurnosti kompjuterskih sistema. Smešan ali krajnje
interesantan primer, pre par godina bio je u modi ATH++ string. Tom tehnikom veoma lako se
mogla prekinuti dialup konekcija bilo kom korisniku na bilo kom provajderu (ping -p
2b2b2b415448300d ip). Danas provajderi firewallovima blokiraju ping ovog tipa i prevencije
radi “ubijaju” konekciju korisnika koji to pokušava raditi. Naizgled smešan problem, ali ovaj
problemčić uz upotrebu “adekvatnog” softvera može se pretvoriti u veoma ozbiljan problem
po ISP. Poznato je da ISP-ovi (Internet Service Provajderi) vode ratove tako što “udaraju”
19
Diplomski rad
(žargonski) po svojim korisnicima, a uticajući na korisnika direktno se utiče na priliv novca u
provajder.
Intrusion Detection Systems – su sistemi za detekciju korisnika koji su na mreži/sistemu
a ne bi trebali biti ili rade ono što ne bi trebali, pr. Korisnik je pokušao 350 puta šifru da
pogodi.
I na samom kraju socijalni inženjering kom se mnogi podsmevaju i smatraju da nikada
oni ne mogu biti žrtve istog. Socijalni inženjering je posebna tehnika obmane i prevare ljudi
sve u cilju dobijanja željenih informacija. Socijalni inženjering se zasniva na lažnom
predstavljanju, prevari i obmani žrtava.
20
Diplomski rad
4. Podela potencionalnih napadača usmerenih na narušavanje
bezbednosti informacionih sistema
4.1.Zaštita lokalne mreže od štetnog delovanja “napadača“
Firewalli koji nemaju čvrste i stroge politike prema dolaznim paketima podložni
surazličitim vrstama napada.Ukoliko firewall ne podržava kreiranje virtualnih privatnih mreža,
a organizacijaželi omogućiti pristup sa određenih IP adresa lokalnoj mreži, moguće
jekonfigurirati firewall da propušta pakete sa točno određenim izvorišnim IPadresama. Ali
takav način postavljanja sadrži brojne nedostatke. Na primernapadač se može domoći
paketa ,te saznati logičku adresu sa kojom je dozvoljenospajanje na lokalnu mrežu. Nakon
toga napadač može kreirati pakete kojim kaoizvorišnu stavlja logičku adresu računara kojem
je dozvoljeno spajanje i takopomoću posebno prilagođenih paketa naneti štetu lokalnoj
mreži.Firewall je potrebno konfigurisati tako da onemogućava različite postojeće napade.
Većina današnjih proizvođača firewalla ponosno ističe na koje napade su
njihovifirewalli otporni, ali nove vrste napada se svakodnevno razvijaju i sve sukomplikovani
i kompleksniji. Ipak svaki firewall bi trebao biti otporan na poznate napade kao što su:
Address Spoofing napad omogućava da paket bude prosleđen sa nepoznatog okruženja
na neko od internih računara ukoliko napadač kao izvorišnu adresu uzme neku od adresa
unutar lokalne mreže. U tom slučaju firewall je možda konfigurisan da omogućava prolazak
paketa i time ciljni računar može primiti posebno prilagođeni paket. Da bi se ovakva vrsta
21
Diplomski rad
napada onemogućila potrebno je onemogućiti prosljeđivanje paketa koji kao izvorišnu adresu
imaju neku od lokalnih adresa, a kao ulazno okruženje ono okruženje koje je spojeno na
Internet.
Smurf napad spada u grupu napada koje imaju za cilj onemogućavanje rada pojedinih
servera i računara, tj. DoS napad (eng. Denial of Service). Napadač šilje ICMP echo request
paket na broadcast adresu cele lokalne mreže. Time su adresirani svi računari unutar lokalne
mreže. Kao odredište navodi se ciljni računar koji se želi onesposobiti velikim brojem
odgovora. Za odbranu od ovakve vrste napada dovoljno je u konfiguracijskoj datoteci
firewalla onemogućiti broadcast paket.
Syn-Flood napad zasniva se na napadačevom slanju velikog broja početnih konekcijskih
TCP paketa koji imaju postavljenu SYN zastavicu, ignoriranjem TCP odgovora sa
postavljenim SYN i ACK zastavicama. Time su resursi ciljanog računara zaokupljeni
odgovaranjem na pakete. Da bi se spriječio ovakav oblik napada potrebno je ograničiti na
firewallu broj dolazećih TCP paketa.
Port-Scanner napad zasniva se na otkrivanju otvorenih TCP i UDP portova slanjem SYN
ili FIN paketa na ciljane portove i čekanjem na RST odgovor. Potrebno je ograničiti broj
takvih ispitivanja.
Ping-of-Death napad može uzrokovati rušenje operativnog sistema, ukoliko se na
računar usmjeri veliki broj ICMP echo zahteva. Najbolje rješenje je onemogućavanje echo-
request paketa, a alternativo rješenje je ograničenje broja ICMP echo zahteva.
4.2.Zaštita od štetnog delovanja lokalnih korisnika
Prilikom konfigurisanja firewalla najveća se pažnja posvećuje obradi dolaznih paketa.
Danas sve više komercijalnih firewalla omogućava bolju kontrolu rada korisnika. Oni su
konfigurisani na način da ne dozvoljavaju lokalnim korisnicima pristup određenim
materijalima. To mogu biti porno web stranice, web stranice koje propagiraju mržnju, web
22
Diplomski rad
stranice za skidanje raznih video i audio zapisa itd... S obzirom na činjenicu da takve stranice
sve češće nastaju potrebno je osvežavati podatke unutar firewalla, tj. imati pretplatu kod
distributera takvih informacija. Organizacijama je danas veoma bitno da ograniče svojim
uposlenicima preveliku slobodu na Internetu kako zaposleni ne bi naneli štetu ugledu
organizacije posećivanjem određenih web stranica (npr. dečja pornografija), ali i
neobavljanjem posla za koji su zaduženi. Pri uvođenju restrikcija potrebno je paziti da se ne
pretera sa ograničenjima, što bi moglo imati kontraefekt kod korisnika . Korisnici bi u takvoj
situaciji bili u nemogućnosti da pristupe materijalima koji im pomažu pri radu, ili bi takav
tretman kod njih uzrokovao tj. pasivni otpor prema radu.
Prilikom konfiguracije firewalla moguće je primeniti različita pravila ograničenja
spajanja lokalnih korisnika na Internet. Prvi koncept bio bi da se prema svim korisnicima
lokalne mreže jednako odnosi, tj. da su svi u istom položaju. Isto tako moguće je lokalne
računare svrstaviti u klase zavisno po njihovim IP adresama. Na taj način moguće je samo
jednom sektoru unutar organizacije omogućiti nesmetani pristup Internetu, a ostalim ograničen
ili nikakav.
Firewall može biti konfigurisan na način da propušta sve pakete osim paketa koji su
usmjereni prema računarima sa određenim IP adresama u Internetu. Na tim se računarima
nalaze materijali koji nisu potrebni zaposlenima (porno materijali, audio zapisi, itd...). Moguće
je primeniti i drugači princip filtriranja paketa. Propuštaju se paketi koji su namenjeni samo
računarima koji imaju točno određene IP adrese, a svi ostali paketi koji dolaze sa lokalne
mreže ne prosleđuju se. Takav koncept mogu primijeniti organizacije koje svojim zaposlenima
dozvoljavaju pristup samo prema računarima na kojima se nalaze podaci bitni za rad.
4.3.Administriranje
Onog trenutka kada se poruka "Veryfing User Name and Password" ukloni sa ekrana i
počne da odbrojava naše vrieme na Internetu, naš provajder nam je dodielio jedinstvenu
adresu koju u tom trenutku imamo samo mi na Internetu i niko drugi-to je tzv. Ip adresa ili niz
od 4 broja izmedju 0 i 255 razdvojenih tačkom (npr. 213.240.4.100).
23
Diplomski rad
Postoji mnogo računara na Internetu koji su prikačeni 24h i imaju svoju IP adresu koja
se ne menja, ali većina nas, koji se prikačimo s vremena na vrijeme da razmenimo poštu ili
prosurfujemo Internetom dobijamo tzv. dinamicku IP adresu (svaki provajder ih ima nekoliko
i kada se neko prikači dobije prvu slobodnu). Ove adrese (odnosno brojevi) nam mogu pomoći
da identifikujemo sagovornika, jer se za one stalne tačno zna kome pripadaju dok se za
dinamičke vodi evidencija kod provajdera kome su bile dodeljene u odredjenom trenutku.
Kada želimo da pristupimo nekom računaru, sve što je potrebno je da otkucamo njegovu
adresu, ali da bi nam prekratili muke, uvedeni su tzv. DNS (Domain Name Server) računari
koji prevode adrese u IP adresu i obrnuto. Sama adresa nije dovoljna, jer je potrebno
obezbijediti posebne kanale za komunikaciju kako ne bi došlo do zabune.
Zbog toga su uvedeni portovi –zamislimo ih kao autoput na ulazu u grad sa 65536 traka
(pomisao na puževske brzine u domaćim uslovima ometa sliku autoputa) i dva računara se
uvek dogovoraju kojim će se trakama odvijati saobraćaj. Pošto je standardizacija uvek
poželjna, portovi sa brojevima manjim od 1024 su rezervisani i imaju specijalnu namenu
(znači samo za posebna "vozila") dok su oni preostali namenjeni korisnicima.
Tako npr. kada skidamo neke fajlove sa ftp servera, naš računar će dotičnom slati sve
komande samo na port 21, a dotični će ih samo tamo i očekivati; fajlovi će pristizati na neki
proizvoljni port na našem računaru (sa brojem većim od 1024) -ponekad i na više odjednom.
To objašnjava kako je moguće istovremeno surfovati na tri stranice, skidati nekoliko fajlova,
slati i primati poštu i čatovati. [18,125] Problem je što mi sa običnim Windowsom nemamo
nikakvu kontrolu nad saobraćajem preko portova -podaci ulaze i izlaze a mi nemate pojma ni
odakle su došli ni gdje idu…
Zato je potrebno administrirati i postaviti "naplatnu rampu" i "saobraćajce" - a to je
upravo firewall. Sve što stiže sa Interneta (ili lokalne mreze) ili odlazi sa našeg računara,
prolazi preko firewalla i dotični program odlučuje (uz našu pomoć) da li će to smeti da prođe
ili ne.
24
Diplomski rad
Nekima je opet najveća zabava u životu da takvim nepažljivim ljudima obrišu sve na
računaru ili urade neku sličnu podlost. A kako oni znaju da li su neka vrata otvorena i koja su
to od onih 65536? Jedan način je da u naš računar ubace virus ili trojanskog konja (preko e-
maila, pomoću programa u koje je zamaskiran uljez ili lično instalirajući program na našem
računaru) koji će otvoriti neki unapred odredjeni port. Sve što zatim preostaje dotičnom
hakeru je da krene da adresira sve računare kod nekog provajdera (rekli smo da svaki
provajder ima nekoliko IP adresa koje dodeljuje svojim korisnicima a hakeri znaju u kom se
opsegu kreću te adrese) i da uz pomoć odgovarajućeg softwarea proveri da li je taj port
otvoren.
To se naziva TCP Port Scaning i uglavnom nije štetno po naš računar (naravno -ako
nemamo trojanca i imamo firewall). Drugi način je da pokuša na silu da upadne kroz neki od
portova -to se naziva Denial of Service attack (skraceno DoS attack). Radi se o tome da je
neke programe moguće toliko zbuniti suviše velikim podatkom ili dovoljnim brojem
ponavljanja neke instrukcije da se on jednostavno sruši i sa sobom povuče ceo Windows, ili da
počne da izvršava neke instrukcije koje inače ne bi sproveo u "normalnom" stanju (poput
hipnotisanog čoveka).
U takve programe spadaju i naši browseri, programi za poštu, chat i mnogi drugi. I sam
Windows često neće odoleti napadima na neki port sa brojem ispod 1024 i tako će se naš
računar, hteli mi to ili ne, pretvoriti u ftp, POP3, telnet ili neki drugi server koji je u službi
dotičnog hakera.
Svaki dobar firewall će prepoznati bilo koji od opisanih napada i sprečiti napadača da
bilo šta preduzme (neće mu dozvoliti pristup preko odredjenog porta iako je ovaj otvoren).
Glavni problem prilikom korišćenja firewalla je prepoznati da li je dotična IP adresa
prijateljska ili ne, dali je port koji se upravo otvorio pod kontrolom nekog virusa ili to naš
browser uspostavlja komunikačiju sa HTTP serverom i sl.
Neki to odrade automatski i preduzmu odgovarajuće akcije ako se radi o napadu, a nama
pošalju odgovarajuće obaveštenje (Black ICE), dok drugi rade poluautomatski i odmah prijave
25
Diplomski rad
svaku sumnjivu stvar i od korisnika zahtevaju da odluči šta dalje (ATGuard). Nedostatak prvih
je što prijavljuju dosta lažnih uzbuna (čak i samog korisnika okarakterišu kao napadača), a
nedostatak drugih je što je korisnik glavni krivac kada bez razloga izblokira neki svoj program
ili stvori suviše filtera pa ne moze da uspostavi vezu sa nekim serverom.
Cela umešnost rada sa ovim programima se dakle sastoji u razlikovanju normalne
komunikacije od bezazlenih skeniranja portova, zaglupljivanja servera (kada pokušaju da nam
pošalju podatke na neki drugi port pored onog dogovorenog), pokušaja upada u naš računar
kada neki virus uspostavi vezu sa svojim gazdom i pokušaja nekog hakera da brutalnom silom
uleti u naš računar.
26
Diplomski rad
5. Najveće pretnje računarskih sistema
Virusi, crvi i trojanski konji su zlonamerni programi koji mogu da izazovu štetu na
vašem računaru i podacima koje imate na njemu. Oni takođe mogu da uspore Internet vezu, pa
čak i da koriste vaš računar za dalje širenje na računare vaših prijatelja, porodice, kolega, kao i
na ostatak Weba. Dobra vest je to što, uz malu prevencije i malo razmišljanja, postoji manje
šansi da ćete postati žrtva ovih pretnji. Zamislite to kao zaključavanje ulaznih vrata na stanu.
Stručnjak za viruse, Fred Cohen je kroz svoja istraživanja, doktorsku disartaciju i
različite publikacije praktički zasnovao novu znanost o virusima. On je razvio teoretski,
matematički model o ponašanju kompjuterskih virusa. Cohenova formalna definicija (model)
ne bi se mogla tako jednostavno prevesti iz matematičkog na obični jezik ljudi, ali njegova
skraćena definicija otprilike glasi: Kompjuterski virus je kompjuterski program koji može
inficirati druge kompjuterske programe modificirajući ih na taj način da to podrazumjeva
stvaranje stvaranje svoje vlastite kopije.[6,104]
Problem sa Cohenovom skraćenom definicijom je što ona ne obuhvaća mnogo
karakteristika koje daje njegov matematički model. No, na drugu stranu, koristeći Cohenov
formalni model, on neke stvari svrstava u viruse koje nitko ne bi smatrao virusom npr.
program DISKCOPY.
Većina od nas bi se složila sa ovakvom definicijom virusa: ''Kompjuterski virus je
program koji ima mogućnost razmnožavanja, a sadrži kod koji kopira sam sebe i tako može
''zaraziti'' druge programe modificirajući njih ili njihovu okolinu na taj način da poziv
inficiranog programa zapravo upućuje na izvršavanje moguće kopije virusa.''
27
Diplomski rad
Većina ljudi koji se bave računarima, koriste termin ''virus'' za svaku vrstu programa
koji pokušava sakriti svoju destruktivnu funkciju i / ili se pokušava razmnožiti na što je više
moguće računara, iako bi se neki od tih programa mogli nazvati ''crvima'' (worms) ili
''Trojanskim konjima'' (Trojan horses).
Ovi programi su zapravo veoma ozbiljna stvar, razmnožavaju se brže nego ih se
pronalazi i zaustavlja. Najbezazleniji virus može biti stvarna životna prijetnja. Npr. u slučaju
neke bolnice i kompjuterskog sistema koji održava i prati životne funkcije pacijenta, virus koji
bi ''jednostavno'' zaustavio računalo i nebi učinio ništa drugo osim pokazao bezazlenu poruku
na ekranu i čekao dok netko ne pritisne neku tipku zapravo bi mogao uzrokovati fatalan kraj
za pacijenta.
Oni koji razvijaju viruse ni sami ne mogu zaustaviti njihovo širenje pa čak ukoliko bi i
sami to željeli.
Kompjuterski virusi su zapravo poseban slučaj nečega poznatog pod nazivom ''bolesna
logika'' (malicious logic) ili malware.
5.1.Kompjuterski virusi
Kompjuterski virusi su oduvek izazivali strah kod ljudi. Sama reč "virus", priznaćete,
asocira na nešto što pravi štetu, uništava i zadaje velike muke. Isto kao i prirodni virusi,
kompjuterski virusi su sposobni da se razmnožavaju, uništavaju i skrivaju, samo što se svi ti
procesi odvijaju na kompjuteru. U ovom članku ćemo detaljno objasniti šta su to kompjuterski
virusi, kako funkcionišu i šta im je cilj. Kompjuterski virusi su mali programi, od svega
nekoliko kilobajta, koji imaju isključivo cilj da naprave štetu zaraženom kompjuteru. Dakle,
oni nemaju ničeg živog u sebi, ne prenose se putem vazduha ili dodirom disketa sa drugim
disketama. Pošto su oni samo programi, normalno je da nisu sami nastali. Viruse pišu hakeri -
iskusni programeri koji su ili stvarno zlobni ili žele da pokažu kako su Microsoftovi operativni
sistemi namerno nezaštićeni.
28
Diplomski rad
Da li ih treba kriviti ili ne je posebna priča u koju ovom prilikom ne želimo da
zalazimo. Naše mišljenje je da su obe strane krive, pa čak i Antivirusne kompanije koje
namerno neće da naprave univerzalni Antivirus (a dokazano je da je tako nešto moguće, a to
ćemo videti na kraju, kada detaljno upoznamo viruse). Vratimo se mi ipak virusima.
Razmnožavaju se uglavnom tako što sami sebe ugnjezde u druge fajlove a štetu prave tako što
brišu ili menjaju fajlove na disku.
Kada bi preveli program od koga se virus sastoji na našem jeziku, on bi izgledao
ovako:
- Učitaj sebe u memoriju (kako bi postao samostalan program koji će biti aktivan sve
dok ne isključite kompjuter)
- Čekaj dok se ne pokrene neki drugi program
- Dok čekaš, ometaj tastaturu (ovo je deo koji pravi štetu)
- Kada se novi program pokrene ubaci u njega ceo ovaj program
Ovako recimo izgleda virus KeyPress koji je na našim prostorima bio veoma aktivan,
sve dok se nije pojavio prvi Windows.
Naravno, postoje virusi koji ne čekaju da se neki programi pokrenu da bi ih zarazio,
već sami pretražuju disk kako bi pronašli neki EXE fajl (program) i zarazili ga (ubacili svoj
program u program koji su našli). Deo koji pravi štetu isto tako može biti drugačiji, umesto da
ometaju tastaturu, neki virusi brišu fajlove sa diska ili ometaju neke druge periferne delove
kompjutera kao što su štampač ili monitor.
Pogledajmo sada kako sve to funkcioniše. Uzećemo jedan običan primer:
Kompjuter od vašeg druga je zaražen nekim virusom. Taj drug vam je doneo novu
igricu na jednoj disketi. Igricu je naravno snimio sa svog kompjutera tako da ta igrica
najverovatnije u sebi nosi virus. Vi ste tu igru pokrenuli na vašem kompjuteru i virus je ušao u
memoriju vašeg PCa. Kada ste se izigrali, pokrenuli ste recimo "Windows Explorer" i virus je
29
Diplomski rad
ubacio svoj program u njega. Posle ste pokrenuli verovatno još neke programe tako da je virus
i njih zarazio.
Dovoljno je da se samo jedan program zarazi, jer će taj jedan, u slučaju da ste odmah
posle pokretanja Explorera isključili kompjuter, zaraziti druge programe kada ga pokrenete
sutradan. Virus će u roku od samo nekoliko dana zaraziti skoro sve programe na vašem
kompjuteru. Davanje bilo kakvog programa sa vašeg kompjutera nekom drugom vašem
priljatelju će rezultirati infekcijom ostalih kompjutera. I tako, dan po dan, bez Antivirusa,
jedan običan virus bi mogao zaraziti ceo komšiluk.
Kompjuterski virusi su mali programi koji imaju za cilj nanošenje štete tj. zloupotrebu.
Nazvani su tako jer imaju sposobnost razmnožavanja (sami sebe iskopiraju na više mesta na
disku ili disketi). Prvi virusi su bili programi koji koji su ispisivali zanimljive, propagandne ili
duhovite poruke na monitoru. Nisu bili destruktivni, tako da nije bilo potrebe razvijati neku
posebnu zaštitu. No, stvari su se ubrzo promenile.
Kasnih 80-tih, računarski virusi bili su dijelovi koda prikačeni na program kao što su
bile igre ili tekst procesori. Bili su dizajnirani tako da se izvršavaju kada se pokrene neki od tih
programa. Upisivali su se u memoriju i tražili pogodno tlo za širenje. Ukoliko bi pronašli ono
što traže, počeo bi njihov rad koji se može manifestovati na više načina.
Vremenom su tvorci virusa postajali kreativniji, jer su učili nove ''trikove''. Jedan od
boljih bila je mogućnost upisivanja virusa u memoriju, tako da bi ostajao onoliko dugo koliko
bi računar bio upaljen. To je virusu omogućavalo masovnije repliciranje. Drugi zanimljiv trik
bila je mogućnost inficiranja boot sektora floopy ili hard diska. To je dio diska koji sistem
prvo čita nakon paljenja računara.
Danas je širenje virusa po ovoj osnovi višestruko umanjeno, jer programi za zaštitu od
virusa čuvaju boot sektore, a i razmjena programa odvija se putem CD-a ili Interneta. CD ne
može biti modifikovan što značajno smanjuje mogućnost širenja virusa. Ipak, ukoliko se
podaci prije snimanja na CD ne provjere, postoji šansa da se i virus ''snimi'' s njim.
30
Diplomski rad
Svaki postupak u računaru provodi se izvršavanjem nekog programa. Savremeni
računari mogu izvršiti širok spektar programa za različite namjene i pri tome je moguće
odjednom pokrenuti i koristiti i više od jednog programa. Namjena nekog programa određena
je u trenutku njegova pisanja, što omogućava da se osim korisnih programa napišu i štetni,
odnosno opasni programi koji će zapravo uništavati podatke ili na neki drugi način oštetiti
informacije na računaru.
Korisnik pokreće ove programe nesvjesno i potpuno neprimjetno. Na ekranu se ne
pojavljuju nikakve informacije o tome da je program pokrenut niti će podatak o tome na bilo
koji način biti vidljiv korisniku. Korisnik će djelovanje ovog programa primetiti tek po
posljedicama, odnosno nakon što je šteta već počinjena.
Virus se ne mora odmah aktivirati, nego može biti tempitan na tačno određeni datum,
dan u sedmici, vrijeme ili kad se ispuni neki drugi uvjet. U novije vrijeme jako je porasla
upotreba Interneta pa su se razvili i novi postupci širenja virusa. Danas se u tu svrhu uglavnom
koriste različite slabosti i pogreške u sigurnosnim sustavima računara pa se virusi šire uz zapis
koji se prenosi Internetom kao dodaci uz elektroničku poštu i slično.
Bez obzira na način dopremanja zaraze, sam virus u pravilu će se ponašati na sličan
način. Obično će prvo zaraziti računar na koji je dospio i zatim ući u fazu razmnožavanja.
U tom periodu koristit će različite postupke prijenosa informacija kako bi sa zaraženog
računara dospio na druge. Za vrijeme tog perioda neće korisniku činiti nikakvu štetu kako bi
ostao neopažen. Tek nakon nekog vremena širenja program će postići punu funkcionalnost,
odnosno učiniti štetu.
Nakon godina evolucije i razvijanja alata za zaštitu od virusa, te sve više stečenog
znanja o njima od strane kompanija koje ih proizvode, virusi su podjeljeni u osnovne klase:
[6,75]
1. boot sektor virusi,
31
Diplomski rad
2. infektori datoteka (file infector),
3. makro virusi i
4. Internet virusi.
5.1.1.Boot sektor virusi
Boot sektor je dio diska koji sadrži kod za učitavanje operativnog sistema. Virus obriše
sadržaj tog sektora i umjesto programa za podizanje sistema snimi sebe. Ako se podigne
sistem sa tako zaraženog diska, virus se aktivira i učita se u RAM memoriju, odakle će zaraziti
svaku disketu koja se od tog trenutka bude koristila (osim diskete koja je zaštićena od
snimanja).
Slika 1: Jedina sigurna zaštita diskete od virusa
Boot sektor virusi inficiraju boot sektor floopy ili hard diska, a u mogućnosti
suinficirati i Master Boot Record (MBR) korisničkog hard diska. Najčešće mjenjajuorginalni
sadržaj MBR-a sadržajem virusnog koda da bi se virus učitao u memorijuprilikom paljenja
računara. Eliminisanje boot sektor virusa vrši se isključivo bootanjemračunara preko ''čiste''
sistemske diskete ili CD-a koji sadrži alat za uklanjanje virusa.
5.1.2.Infektori datoteka
Poznati i kao program virusi, generalno se prenose preko fajlova koji su ili izvršni ili
32
Diplomski rad
sadrže izvršne komponente fajlova i grupisani su prema klasama programa koje inficiraju.
Mogu biti izuzetno infektivni i mnogo teže ih je otkriti nego viruse koji napadaju boot sektor
zbog širokog obima potencijalnih meta. Mogu se podjeliti na parazitne, pridružene,
povezujuće i prepisujuće.
Svaki fajl virus može sadržati različite tehnike za poboljšanje brzine širenja ili za
izbegavanja otkrivanja. Parazitni virusi Čine većinu od svih fajl virusa i šire se tako što
modifikuju kod izvršnog programa. Oni se kače na izvršni fajl i mijenjaju njegov sadržaj tako
da se aktiviraju čim operativni sistem pokuša da izvrši inficirani program. Pridruženi virusi
koriste sistemske osobine DOS-a vezane za sekvencu učitavanja i izvršavanja programa. Oni
ne modifikuju inficirani program i obično prolaze kontrolu orginalnog EXE – fajla ali kada se
jednom detektuju laki su za čišćenje. Povezujući virusi inficiraju program tako što mijenjaju
informaciju u strukturi direktorijuma i modifikuju poentere fajlova, tako da se svaki inficirani
program startuje sa iste lokacije koja sadrži kod virusa.
5.1.3.Crvi
Worm je mali računarski program koji koristi računarsku mrežu i sigurnosne propuste
da se replicira sa računara na računar. Najčešći način širenja crva je putem e-maila ili IRC
kanala. Kao uslov replikacije neophodna je računarska mreža (obično Internet).
Koristeći se njom, program pretražuje mrežu i pronalazi računare sa specifičnim
sigurnosnim propustima. Dalje se sam kopira na drugu mašinu, sve dok ne bude otkriven i
uklonjen.
Postoje dve vrste crva: crv na domaćinskom računaru (HOST WORM) i mrežni crv
(NETWORK WORM). HOST WORM se celokupan nalazi i izvršava na domaćinskom
računaru, a vezu s mrežom koristi samo za svoje razmnožavanje na druge računare. Ovaj tip
crva nakon što pokrene svoju kopiju na novom inficiranom računaru samostalno uništava
svoju prvobitnu kopiju. [13,75] Na taj način u određenom trenutku negdje na mreži uvijek se
33
Diplomski rad
nalazi samo jedna kopija tog crva. Ovaj tip crva naziva se još i ''zec'' (RABBIT) upravo zato
što stalno bježi uokolo mrežom.
Mrežni crv (NETWORK WORM) sastoji se od više dijelova, segmenata, od kojih se
svaki pokreće na različitom računaru u mreži i najčešće svaki segment obavlja različitu
funkciju koristeći mrežu samo za određene komunikacijske svrhe. Mrežni crv koji ima jedan
glavni segment koji koordinira radom ostalih segmenata na mreži naziva se još i ''hobotnicom''
(OCTOPUS). 19. jula 2001 godine pojavio se worm Code Red koji se za nepunih devet sati
replicirao 250.000 puta.
Napao je Windows platformu, i to NT i 2000 servere na kojima su se ''vrtili'' Internet
Information Server-i. Karakteristika crva je da pored standardne replikacije, nanose dodatno
zlo. Code Red se replicirao prvih 20 dana u mesecu, menjao sadržaj web sajtova na
inficiranim serverima stranicom pod nazivom Hacked by Chinese. Code Red je usporavao
Internet saobraćaj kada bi se replicirao. Svaka kopija proverava da li WINDOWS NT ili
WINDOWS 2000 server ima instalisanu sigurnosnu zakrpu i ukoliko ustanovi da nema –
kopira se na njega. Ta nova kopija radi isto što i orginal, sve dok ne bude otkrivena i
uklonjena.
5.1.4.Trojanski konj
Trojanci su svoje ime dobili prema čuvenom epu o opsadi Troje, koju su grci
bezuspešno napadali 10 godina i na kraju se povukli ostavljajući pred njenim ulazom
ogromnog konja kao znak priznavanja poraza.Trojanski ratnici su oduševljeno konja uvukli
unutar grada i posvetili su se proslavljanju svoje velike pobjede. Međutim, kada su svi zaspali
pijani, na konju su se otvorila dobro skrivena vrata i iz njega je izašao odred grčkih ratnika
koji su otvorili vrata tvrđave, puštajući unutra ostale grke, koji su povlačenje iscenirali i čekali
na taj trenutak... Nakon toga Troju su veoma lako zauzeli.
Potpuno je pogrešno trojance zvati virusima, zato što su oni kompletne aplikacije i ne
šire se kao virusi. Trojanski konji se mogu ukloniti brisanjem njihovog fajla iz određenog
34
Diplomski rad
direktorijuma, za razliku od virusa koji su obično zakačeni za druge datoteke i ubacuju se u
memoriju. Većina njih nije sama po sebi destruktivna ali zato omogućuje bilo kome na
Internetu da upravlja vašim kompjuterom ili mu šalje vaše lozinke itd., tako da to kolika će
nam šteta biti nanjeta zavisi samo od onoga ko se domogao podataka.
Kompjuterski ''trojanski konj'' pod maskom stiže putem e-maila, news grupe ili
popularnih chat programa do lakovjernih i nedovoljno informisanih korisnika mreže, navodeći
ih da ga pokrenu i instaliraju na računar. Za razliku od virusa, trojanci su kompleksne klijent –
server aplikacije za pristup udaljenom računaru u mreži. Server se nalazi na računaru žrtve i to
je sam trojanac, dok je klijent program pomoću koga se njime upravlja.[13,95] Klijent se
nalazi na računaru osobe koja namjerava da dođe do bitnih informacija sa računara žrtve.
Zadatak trojanca je da pronalazi datoteke koje sadrže šifre potrebne za instaliranje na
računar, server ili konektovanje na Internet i distribuira ih udaljenom hakeru. Osoba koja
kontroliše trojanca na računaru žrtve u mogućnosti je potpuno preuzeti kontrolu nad njim. U
tom trenutku jedino rešenje je fizičko gašenje računara ili nasilni prekid Internet konekcije.
Trojanci su u mogućnosti dobro sakriti kod i iskoristiti mnoštvo sigurnosnih propusta u e-mail
klijentima.
Većina trojanaca instalira se u Start Up grupu Windows-a.Pregledanje tog foldera
može pospješiti zaštitu računara. Najefikasniji način zaštite od trojanaca je instaliranje firewall
sistema ili jednostavno ne otvaranje poruka od nepoznatih osoba.
Najpoznatiji trojanac je svakako Back Orifice, koga je samo za mjesec dana preuzelo i
koristilo skoro 100.000 ljudi na Internetu. On izgleda kao obična klijent – server aplikacija za
rad na udaljenom računaru sa izuzetkom što se server, tj. sam trojanac, instalira bez pitanja,
kao virus, kada startujete zaraženu aplikaciju i omogućava svakome ko dođe do vašeg IP broja
da preuzme kontrolu nad računarom. Pored BO-a poznati su još NetBus, Millenium itd.
5.2.Kako se crvi i drugi virusi šire?
35
Diplomski rad
Gotovo svi virusi i mnogi crvi ne mogu se širiti ukoliko ne otvorite ili ne pokrenete
zaraženi program.
Mnogi najopasniji virusi su se proširili pre svega preko priloga e-pošte – datoteka koje
su poslate uz e-poruku. Da vaša e-poruka ima prilog vidi se obično po ikoni sa spajalicom koja
predstavlja prilog i prikazuje njegovo ime. Fotografije, pisma napisana u programu Microsoft
Word, čak i Excelove tabele, sve su to samo neke od datoteka koje svakodnevno možete
dobijati putem e-pošte. Virus se pokreće kada otvorite datoteku iz priloga (obično dvostrukim
klikom na ikonu priloga).
Savet: Nikad ne otvarajte prilog e-pošte ako ga niste očekivali i ako ne znate tačan
sadržaj priložene datoteke.
Ukoliko primite e-poruku sa prilogom od nepoznate osobe, odmah je izbrišite.
Nažalost, više nije bezbedno ni otvarati priloge od ljudi koje poznajete. Virusi i crvi imaju
sposobnost da ukradu podatke iz programa za e-poštu i da pošalju sami sebe svima sa spiska u
adresaru. Tako, ako dobijete e-poštu od nekoga sa porukom koju ne razumete ili sa datotekom
koju niste očekivali, uvek se obratite osobi koja je poslala poruku da biste utvrdili sadržaj
priloga pre nego što ga otvorite.
Drugi virusi se mogu širiti pomoću programa koje ste preuzeli sa Interneta ili preko
zaraženih diskova koje ste pozajmili od prijatelja ili čak kupili u prodavnici. Primeri zaraze
ovim putem su ređi. Većina ljudi dobija viruse tako što otvori i pokrene nepoznati prilog e-
pošte.
36
Diplomski rad
6.Softveri za zaštitu od napada sa Interneta
Najpoznatiji i najčešće korišteni antivirusni programi su:
NORTON ANTIVIRUS,
SOPHOS ANTI-VIRUS,
NOD32,
PANDA ANTIVIRUS TITANIJUM,
AVG ANTI-VIRUS,
MCAFFEE,
6.1.Norton antivirus
Najpoznatija antivirusna kuća na svijetu Symantec, stekla je svjetsku slavu upravo po
proizvodu koji se jednostavno zove Norton AntiVirus, koji je ime dobio po osnivaču firme
Peteru Nortonu. „Sjever Antivirus 2010“ brani računar od virusa, robota, crva i to bez
usporavanja. Njegov način rada jeste identifikacija samo onih datoteka koje su u opasnosti.
Osigurava up-to-time zaštitu od najnovijih prijetnji. Plus za razliku od drugih vrsta antivirusa,
Northon antivirus na jedan jednostavan način za shvatiti obavještava o prijetnji i daje
informacije, tako da na taj način sprečava buduće infekcije i omogućava da računar radi brzo.
Ovaj antivirusni program posjeduje ogromnu bazu virusa koje može prepoznati i uz
mogućnost prepoznavanja novih virusa pomoću Bloodbound tehnologije. Viruse koje ne može
otkloniti otpremit će u karantin, gdje će čekati nove antivirus definicije ili nadogradnju
programa, kako bi se ponovo pokušalo sa popravkom.
37
Diplomski rad
6.2.Sophos antivirus
Sophos Antivirus već duže vrijeme čini favorita iz sjenke na sceni ''penicilin'' alata. Radi
se o multi-zaštiti od prijetnji. Štiti računar od virusa, Troajanaca, spayware-a, adwera,
sumnjivih datoteka, sumnjivog ponašanja i potencijalno neželjenih aplikacija (PUAs). Ovaj
program blokira viruse ili sumnjive sadržaje rije ulaska na računar, odnosno otkriva nove
prijetnje prije nego one one nastupe, dakle djeluje preventivno, kao i većina drugih antivirusa.
Jednostavan je za korištenje.
6.2.NOD 32
Jedini antivirusni program koji se jasno razlikuje od ostalih je NOD32. NOD32 se
pokazao najboljim programom sa jedva uočljivim narušavanjem performansi. Jedan od dokaza
kvaliteta ovog programa su i česte nagrade koje dobiva. NOD32 već je 17 puta dobio nagradu
100 % Virus Bulettina. NOD32, kažu stručnjaci Virus Bulettina, nikad nije propustio niti
jedan virus, dok se drugim alatima dogodilo da ih propuste. Za instalaciju ovog antivirusnog
programa potreban je mali prostor, tako da ostaje dovoljno prostora za ostale programe.
Antivirusni alat NOD32 odlikuje se preglednim grafičkim sučeljem. Za detekciju virusa
potrebno je tek odrediti područje skeniranja, definirati akciju koju će program izvršiti kada
pronađe virus i u Setup opcijama odrediti način rada.
6.3.Panda antivirus
Panda Titanijum je automatizirani i ne previše zahtjevni eliminator virusa, sa naglaskom
na praktičnost i jednostavnost upotrebe. Sadrži sve opcije neophodne za kvalitetnu protekciju
računara i elegantno podešavanje mogućnosti. Namijenjen je kućnim korisnicima i svima sa
slabijim konfiguracijama. Dovoljno je instalirati ga i zaboraviti o virusima, spyware, rootkits,
Hackers, online prevarama i krađama identiteta. Može se korisitit Chat, dijeliti fotografije i
videozapisi, kupovati online, čitati svoje omiljene blogove ili jednostavno surfati web, uz
38
Diplomski rad
potpunu bezbrižnost. A zahvaljujući poboljšanoj tehnologiji, rješenje je sada mnogo brže od
prethodneverzije.
6.4.AVG ANTI-virus
AVG Anti-Virus je antivirusni program napravljen od strane kompanije AVG
Technologies, koji ima besplatnu verziju za kućne korisnike. Postoje i profesionalne i server
verzije, za koju se mora dodatno nadoplatiti. Ovi programi mogu pronaći računarski virus, te
pokušati da „poprave“ grešku. Ako ova operacija ne uspije, postoji opcija, kojom se virus
izolira i potpuno odstranjuje iz radnog procesa računara.
6.5.MC afee
Uz hiljade novih virusa koji nastaju svaki dan, proizvođač Mc Afee je koristio novu
tehnologiju pri izradi nove verzije antivirusa. Za razliku od konkurencije, sada nova verzija
antivirusa odmah analizira blokove novih i nadolazećih prijetnji u milisekundi, tako da nema
praznina u svojoj zaštiti. Sa oficijelne stranice, proizvođača ovog antivirusa kažu da ova
verzija prednjači u odnosu na sve ostale kao i na proizvode konkurenata. Ona otkriva sve dosta
više prijetnji nego prije. Procesi otkrivanja neželjenih napada na računar su dosta kraći, a
samim tim ne zauzima se mnogo memorije pri korištenju ovog antivirusa.
39
Diplomski rad
7.Metode rada softvera za zaštitu od napada sa Interneta
7.1.Antivirusne metode
7.1.1.Način pretrage uz pomoć rječnika virusa
U ovom pristupu, antivirus program provjera datoteku upoređujući je sa rječnikom
poznatih virusa koje su tvorci antivirus programa identifikovali. Ako dio koda datoteka
odgovara virus identifikaciju u riječniku, takav antivirus program može poduzeti jednu od
sljedećih akcija:
1. pokušati popraviti datoteku uklanjajući virus unutar datoteke
2. staviti datoteku u kvarantin (tako da je datoteka nedostupna drugim programima i virus
se ne može dalje širiti)
3. obrisati inficiranu datoteku.
Da bi ovaj pristup bio efikasan u dužem i kraćem vremenskom periodu, rječnik virusa se
periodično (uglavnom online) preuzima za novim definicijama virusa. Antivirus programi
bazirani na rječniku virusa tipično analiziraju datoteku kada je operativni sistem računara
kreira, otvori, zatvori ili pošalje u vidu e-mail poruke. Na ovaj način moguće je detektovati
virus odmah po njegovom primanju. Da bi pronašao virus ili neki drugi maliciozni program,
softver uspoređuje sadržaj datoteke sa sadržajem kataloga uzorka virusa. Pošto virus može biti
ugniježden u samu datoteku, provjerava se i njezin sadržaj, kao i sadržaj svih njenih sastavnih
40
Diplomski rad
dijelova, ako se radi o složenoj ili komprimiranoj datoteci.[6,85] Paziti morate na činjenicu da
svaka antivirusna kompanija koristi drugi naziv.
Primjer, za crv Conficker D nazivi u razl. kompanijama su (preuzeto s VirusTotal-a):
Worm/Conficker.D.1 (Avira)
Win32:Trojan-gen {Ostalo} (avast!)
Worm/Generic.WLO (AVG)
Win32.Worm.Downadup.Gen (BitDefender)
Worm.Win32.Exploit.Conficker.c (Comodo)
Win32.Worm.Downadup.Gen (G Data)
Trojan-Downloader.Win32.Kido.a (Kaspersky)
W32/Conficker.worm.gen.c (McAfee)
Worm:Win32/Conficker.D (Security Essentials i OneCare)
varijanta Win32/Conficker.X (ESET)
W32/Confick-G (Sophos)
W32.Downadup.C (Norton)
Također treba napomenuti da je moguće odrediti vrijeme kada antivirus program treba
provjeriti (skenirati) sve datoteke na korisnikovom hard disku.
7.1.2.Heuristički skeneri
Heurističko skeniranje je analiza dijela instrukcija u kodu datoteka koje se provjeravaju,
za koje postoji mogućnost da je maliciozni kod. Na ovaj način pronalaze se još uvijek
neotkriveni virusi.
Skeneri se dijele u dvije kategorije: opći (general) i specijalni (special). Generalni
skeneri su dizajnirani da pronađu i onemoguće sve vrste virusa za određeni tip operativnog
sistema dok specijalni pronalaze ograničen broj virusa ili određene tipove virusa, recimo
makro viruse.
Skeneri se još dijele na rezidentne i nerezidentne (provjeravaju sistem samo ako se to traži od
njih). Rezidentni pružaju sistemu bolju zaštitu, jer reagiraju odmah po pojavi virusa, dok
nerezidentni detektiraju virus tek kad bude pokrenut.
41
Diplomski rad
Slabost ove metode je to što ona može znatno usporiti računalni sustav provjeravajući
veliki broj datoteka. Emulacija datoteka je metoda koja izvršava program u virtualnom
okruženju i bilježi sve akcije koje on izvrši. Analizom zabilježenih akcija može se utvrditi
može li program ugroziti računarski sustav. Ovaj pristup šalje puno upozorenja, i vremenom
korisnik postane indeferentan na silna upozorenja. Ako korisnik prihvati svako upozorenje
jasno da je da antivirus program ne nudi nikakve beneficije korisniku. Ovaj problem se
pogoršao od 1997, zbog činjenice da sve više ne malicioznih programa mijenja druge .exe
datoteka. S obzirom na rečeno, ovaj pristup u anti-virus programima se sve manje i manje
korisiti.
Tehnologija najčešće ima ime Heuristika (Heuristics), ali ESET je iznimka i svoju
tehnlogiju zove ThreatSense. Heuristiku ćete prepoznati po riječi Gen, skraćenici od
"Generic". Primjer:
BitDefender: Win32.Worm.Downadup.Gen
avast!: Win32:Trojan-gen
McAfee: W32/Conficker.worm.gen.c
Sophos: W32/Confick-G.
7.1.3.CRC skeneri
CRC skeneri djeluju tako što kalkuliraju sa CRC sumama za tekući disk, datoteku ili
sistem sektora. CRC sume sadrže bazu podataka sa podacima kao što su veličina datoteka,
datum i sl. Oni uspoređuju informaciju sa bazom i kontroliraju vrijednosti. Ako su podaci u
bazi različiti od onih koje je skener pronašao, ukazuje na mogućnost postojanja virusa na
računaru. CRC skeneri koriste moćne anti – stealth algoritme u borbi protiv virusa i često se
zna desiti da virusi mogu biti detektirani samo ovom metodom. Problem kod ove vrste skenera
je što ne mogu registrirani postojanje virusa u trenutku inficiranja sistema, jer još uvijek nisu
napravljene potrebne izmjene u sis datotekama. CRC skeneri ne mogu detektirati postojanje
virusa u pristiglim datotekama, kao što su e-mail, diskete, vraćene backup datoteke,
raspakovane arhive i sl., jer njihova baza nema podatke o njima.
7.1.4.Blokeri događaja –Behaviour blockers
42
Diplomski rad
Antivirus blokeri događaja su memorijski rezidentni programi koji ''osluškuju'' reakciju
virusa i obavještavaju o tome korisnika. Takve informacije mogu se dogoditi za vrijeme
pokretanja izvršnih datoteka, zapisivanje u Boot sektor diskova ... Dobra osobina blokera je
što zaustavljaju izvršavanje virusa u trenutku infekcije, a loša je što vrlo često griješe.
7.1.5.Imunizatori
Dijele se u dva tipa: one koji upozoravaju na infekciju i one što blokiraju pokušaj virusa
da uđe u sistem. Prvi tip se i sam ponaša kao virus, tako što se dodaje na kraj datoteke i pri
svakom njenom pokretanju provjerava izmjene. To uradi samo jedanput. Drugi tip ove metode
štiti sistem na način da mijenja datoteke i praktično uvjerava virus da su te datoteke zaražene.
Za zaštitu od rezidentnih virusa koristi se mali TRS (rezidentni) program koji je ubačen u
memoriju računara. On također nastoji uvjeriti virus (ako pokuša pristupiti memoriji), da je
memorija već zaražena. Ova metoda nije potpuno pouzdana, jer je nemoguće zaštititi sve
datoteke od svih mogućih virusa.
43
Diplomski rad
8. Softverska zaštita računarskih mreža primer Kaspersky
antivirus
Računarske komunikacije, bilo one u lokalu, bilo preko Interneta, predstavljaju idealnu
podlogu za širenje računarskih virusa. Veliki broj povezanih radnih stanica i servera, koji jedni
drugima daju posebne privilegije u međusobnoj razmeni podataka i korišćenja zajedničkih
resursa olakšavaju širenje virusa među mašinama i sve njihove destruktivne aktivnosti. Sa
druge strane umrežavanje računara otežava efikasno otkrivanje i uklanjanje virusa.
Antivirusna zaštita većeg broja umreženih mašina ima određene specifičnosti u odnosu
na zaštitu pojedinačnih stanica, tako da se ovoj problematici mora pristupiti sa znatno više
pažnje. Ovaj rad obrađuje tematiku organizovanja celovitog sistema antivirusne zaštite u
jednoj mreži, počevši od zaštite na nivou firewall-a i servera elektronske pošte, pa do radnih
stanica i centralizovanog upravljanja zaštitom. Kao referentni model korporativnog
antivirusnog softvera u ovom radu je korišćen KASPERSKY ANTIVIRUS.
8.1. Načini ulaska virusa u IS
Virusi i druge vrste zlonamernog koda u računarsku mrežu mogu dospeti na više načina,
u zavisnosti od mogućnosti razmene podataka sa okruženjem:
� Internet konekcije
� Elektronska pošta
44
Diplomski rad
� Prenos datoteka
� Zaraženi prenosni mediji (CD ili diskete)
� Instalacija piratskog softvera
� Razmena podataka sa lokalnim mrežama na udaljenim lokacijama i druge
Razvojem Internet komunikacija kao ubedljivo najznačajniji vid širenja virusa možemo
istaći elektronsku poštu (95%).
8.2. Predmet antivirusne zaštite
Antivirusna zaštita se odnosi na podatke i programe koji se nalaze na diskovima radnih
stanica i servera. Dakle, predmet zaštite su pre svega podaci, a samu zaštitu treba sprovoditi
tako da se maksimalno smanji verovatnoća događaja da bilo kakav zlonamerni kod dođe u
situaciju da tim podacima na bilo koji način pristupi. Čak i u slučajevima da virus uspe da
dođe u računar mora biti sprečen da se aktivira ili dalje proširi. Pored zaštite podataka,
antivirusna zaštita mora da obuhvati i sistemske i aplikativne fajlove. Naime, iako se ti fajlovi
mogu ponovo preinstalirati, njihovim oštećenjemdolazi do zastoja u radu velikog broja
računara, a samim tim i do gubitaka za preduzeće.
8.3. Nivoi antivirusne zaštite u lokalnoj mreži
Kao što je na slici 1. prikazano radi sprečavanja prodora virusa u mrežu zaštita se može
sprovesti na tri nivoa:
� Na nivou firewall-a
� Na nivou mail servera
� Na nivou radnih stanica, fajl i aplikativnih servera
Funkcija prva dva nivoa je da zaustave većinu virusa koji dolaze u mrežu, dok je
funkcija trećeg da štiti same mašine na kojima se nalaze podaci. Pritom treba naglasiti da je
zaštita radnih stanica i servera obavezna, dok se optimalno rešenje postiže kombinovanom
zaštitom na sva tri nivoa.
45
Diplomski rad
Slika 2. Nivoi antivirusne zaštite u računarskoj mreži
8.4. Zaštita na nivou Firewall-a
Kada se razmatra zaštita na nivou firewall-a radi se pre svega o mehanizmu presretanja
dolaznog saobraćaja i njegove provere na prisustvo virusa. Da bi uspešno mogao da vrši ovu
funkciju, antivirusni softver mora da ima mogućnost rada sa različitim protokolima viših
nivoa.
Kada se radi o fizičkoj realizaciji zaštite ona se može sprovesti na dva načina: direktnom
ugradnjom antivirusne zaštite u sam firewall ili rešenjem preko pomoćnog servera koji
komunicira sa firewall-om. Realizacijom na prvi način dobija se kompaktno rešenje, za koje je
potrebna samo jedna mašina, što je samo po sebi prednost. Sa druge strane, nedostatak ovog
rešenja je što se za rad antivirusnog softvera koriste ograničeni resursi samog firewall-a. Pored
toga, kod direktne implementacije antivirusne zaštite realizovane u vidu firmware-a koji se
ugrađuje u hardverske firewall-e, pored ograničenih resursa postoji i problem
nefleksibnilnosti, pošto se kod antivirusnog softvera, sa pojavom novih virusa moraju izvršiti i
odgovarjuće izmene u samom algoritmu.
Rešenje sa pomoćnim antivirusnim serverom zahteva postojanje još jedne mašine kojoj
firewall prosleđuje dolazni saobraćaj pre nego što ga propusti dalje u mrežu. Na pomoćnom
serveru se vrši detaljna provera na prisustvo virusa i tek nakon toga daje dozvola firewall-u da
pakete propusti dalje u mrežu. Za komunikaciju sa firewall-om se koriste odgovarjući
46
Diplomski rad
protokoli, kao što je CVP (Content Vectoring Protocol koji je razvio Check Point Software) i
koji je de fakto standard u ovoj oblasti.
Glavni doprinos zaštite na nivou firewall-a opštoj antivirusnoj zaštiti mreže leži u
činjenici da će najveći broj virusa koji dolaze spolja biti uočen i uklonjen već na samoj tački
pristupa mreži, što će znatno olakšati posao antivirusnim programima koji rade na donjim
nivoima zaštite. Sa druge strane, i pored pomenutih prednosti, zaštita na nivou firewall-a ima i
svoje suštinske nedostatke, koji se pre svega odnose na činjenicu da se na ovaj način ne mogu
otkriti baš svi virusi koji dolaze u mrežu. U zavisnosti od prirode i načina konfigurisanja
firewall-a određen broj zlonamernih programa neće biti prepoznat, naročito kad se radi o
sasvim novim virusima kojih možda još uvek nema u bazi. Osim toga arhivirani fajlovi sa
lozinkom ili šifrovani saobraćaj takođe neće moći da bude proveren, pošto samo krajnji
korisnik može da dobije pristup izvornom teksu fajla. Zaključak je dakle, da što se tiče zaštite
na nivou firewall-a ona je svakako poželjna, ali samo u kombinaciji sa druga dva nivoa.
Zasnovati zaštitu samo na firewall-ima je veoma opasno.
8.5. Zaštita mail servera
Statistike pokazuju da se u preko 95% slučajeva virusi u savremenim računarskim
mrežama šire putem elektronske pošte, bilo u vidu saobraćaja koji dolazi sa Interneta, bilo u
vidu internog saobraćaja unutar intraneta. Instalacijom antivirusnog softvera na mail server
stvaraju se uslovi da se elektronska pošta proverava pre nego što se isporuči mašini krajnjeg
korisnika. Imajući u vidu procenat učešća elektronske pošte u ukupnoj razmeni virusa, jasno je
da se na ovaj način eliminiše najveći broj opasnosti po resurse mreže. Način na koji antivirusni
softver postupa po otkrivanju virusa u nekoj poruci se definiše zadavanjem odgovarajuće
konfiguracije. Postupak može jednostavno da obriše celu poruku ili samo dodatak uz nju, da
izvrši dezinfekciju, da obavesti ili ne korisnika i sl.
S obzirom na izuzetan značaj zaštite na nivou mail servera za bezbednost cele mreže,
izboru kako antivirusnog softvera, tako i samog mail servera treba pristupiti veoma pažljivo.
47
Diplomski rad
Čak se može reći da prilikom odabira mail servera treba voditi računa o podršci koji taj
tip ima od strane većeg broja proizvođača antivirusnog softvera, što znači da se siguran izbor
svodi na Microsoft-ova rešenja (MS Exchange), Lotus Notes ili na neki od klasičnih mail
servera za Linux (Sendmail, Qmail ili Postfix). Izbor nekog egzotičnog, ili bar manje poznatog
mail servera znatno povećava šansu da mreža ostane bez zaštite na ovom važnom nivou.
8.6. Zaštita radnih stanica i srevera
Nivo zaštite koji se odnosi na radne stanice i servere je neizbežan, pošto se direktno
odnosi na sam predmet zaštite.
Kad se kaže da je ovaj nivo neizbežan, to znači da čak i kad se ne primeni zaštita na
nivou firewall-a ili mail servera (što se ne preporučuje) zaštita samih računara na kojima se
nalaze podaci i sa kojima rade krajnji korisnici se ne sme izostaviti.
Antivirusni programski paketi namenjeni radnim stanicama i serverima obično poseduju
veći broj komponenti, od kojih se posebno izdvajaju dve:
� monitorski program
� skener
Uloga monitorskog programa je da u realnom vremenu vrši proveru svakog
programskog koda i svih podataka koji se nađu u memoriji računara. Prevlačenje bilo kakvog
sadržaja sa čvrstog diska u memoriju relano dovodi do mogućnosti da se to u procesoru izvrši
kao destruktivan, zlonameran kod.
Stoga se monitorski program aktivira prilikom svake akcije programa ili korisnika,
analizira sadržaj memorije i prema tome preduzima ili ne odgovarajuće akcije (obaveštavanje
48
Diplomski rad
korisnika, dezinfekcija, brisanje fajla i sl.). U slučaju pokušaja virusa da se aktivira,
monitorski program će ga blokirati i sprečiti njegovo dalje izvršavanje. Radi efikasne zaštite
monitorski program treba da bude stalno aktivan.
Skener je program koji se aktivira po potrebi i koji vrši detaljnu proveru sadržaja čvrstog
diska. Provera može da obuhvati ceo disk, a može, u zavisnosti od konfiguracije i samo
određeni deo, particiju, direktorijume. Skenerski program vrši najdetaljniju proveru, i čišćenje
postojećih virusa na mašini.
8.7. Zaštita web servera
Zaštita web servera generalno gledano ne spada u ključne funkcije zaštite mreže od
virusa. Međutim, ukoliko bi sam web server na neki način bio zaražen, to bi moglo da
predstavlja prolaz virusima u mrežu, kao i mogući bezbednosni propust. Zaštitu web servera
uglavnom koriste organizacije kojima poslovanje veoma zavisi od web prezentacije, tako da je
jako važno da ta prezentacija stalno bude operativna, kao i da to ne predstavlja način širenja
virusa među posetiocima web sajta.
Server na kome se nalazi web prezentacija preduzeća je najčešće posebna mašina,
posvećena samo toj funkciji.
Drugim rečima, web server se retko koristi kao operativna mašina za neke druge
aplikacije. Kako je kod pristupa nekom web sajtu sa Interneta veoma važna brzina odziva,
odnosno učitavanja stranice, klasična primena antivirusne zaštite koja se koristi kod servera i
radnih stanica bi dovela do smanjenja te brzine. Prilikom svakog pokušaja očitavanja neke
web strane (a takvih pokušaja u jednoj sekundi može biti i nekoliko stotina) pokrenuo bi se
monitorski program, koji bineprekidno proveravao jedan isti skup fajlova, što bi se svakako
osetilo u brzini rada. Zbog toga se kod zaštite web sajtova koriste drugačije mere provere.
Umesto neprekidne provere svakog fajla na prisustvo virusa, prema svim podacima iz
baze definicija virusa ili prema odgovarajućim heurističkim pravilima, odgovarajući web
49
Diplomski rad
inspektorski program vrši proveru CRC (Cyclic Redundancy Check) polja svakog fajla.
Naravno, na samom početku rada je klasičnim metodama izvršeno skeniranje svih fajlova.
Proverom CRC polja se samo detektuju eventualne promene koje su se nakon poslednje
provere desile na fajlu i ukoliko su se dogodile aktivira se klasični mehanizam skeniranja.
Kako se u najvećem broju slučajeva promene dešavaju veoma retko, koristeći jednostavnu
CRC proveru postiže se znatno povećanje brzine rada mehanizma zaštite web servera.
8.8. Ažuriranje baza definicija virusa i prepoznavanje nopoznatih virusa
Za efikasan rad antivirusnih programa veoma je važno da baze definicija virusa uvek
budu ažurne. Iako vrhunski antivirusni programi imaju mogućnost da u velikom broju
slučajeva heurističkim metodama detektuju i viruse koje nemaju u bazi (KASPERSKY u 92%
slučajeva) uvek ostaje određen broj virusa koji se mogu otkriti jedino ukoliko program
poznaje njihove osobine.
Baze definicija virusa za svaki proizvod izrađuju i redovno ažuriraju proizvođači
softvera. Ove definicije oni stavljaju na raspolaganje svim korisnicima preko svojih FTP
servera, što znači da u optimalnom slučaju korisnik treba da ima vezu sa Internetom da bi
mogao da ažurira svoju bazu. Za pojedinačne korisnike ili za male mreže ova opcija ne
predstavlja problem, pošto se sam antivirusni program može podesiti da svoju bazu automatski
ažurira svaki put kada se uspostavi veza sa Internetom. U velikim mrežama, međutim,
ažuriranje baza može biti značajan problem, pošto istovremeni pokušaj većeg broja mašina da
sa FTP servera povuku baze može u velikoj meri da zaguši mrežu. Da stvar bude još gora, svi
korisnici zapravo u velikom broju paralelnih sesija povlače potpuno identične fajlove.
8.9. Nadzor nad informacionim sistemom
50
Diplomski rad
S obzirom da u velikim računarskim mrežama pored zaštite na nivou firewall-a i mail
servera mora postojati zaštita na svim radnim stanicama, upravljanje ovakvim sistemom
zaštite mora biti organizovano na poseban način da bi mrežni resursi trpeli što je moguće
manje štete u slučaju pojave virusa. Situacija je naročito kritična prilikom “epidemija”, kada
se virusi jave na većem broju mašina u mreži.
Antivirusni softver će recimo detektovati virus, ali kakovećina korisnika nije
osposobljena za poslove dezinfekcije, odnosno čišćenja računara od visrusa, taj posao će
morati da obave administratori. Dakle, iako sam virus nije u mogućnosti da načini neku štetu,
sama činjenica da veliki broj korisnika čeka na uvek nedovoljni broj administratora stvara
velike probleme u radu.
Slika 3.- Centralizovani nadzor antivirusnog softvera
Da bi se pomenute pojave izbegle, vodeći proizvođači antivirusnog softvera nude i
dodatne pakete za daljinsko, centralizovano upravljanje i administraciju antivirusnim
softverom na serverima i korisničkim mašinama. Ovim aplikacijama se preuzima kontrola nad
antivirusnom programima lokalnih mašina, čak uz mogućnost da se korisniku u potpunosti
onemogući promena parametara ili da korisnik sam preduzima neke akcije. Centralna
upravljačka aplikacija se tada smatra serverskom (bez obzira na vrstu operativnog sistema), a
one na radnim stanicama i serverima klijentskim.
51
Diplomski rad
Pored daljinskog upravljanja, ovakvo rešenje omogućava i daljinsko instaliranje
antivirusnog softvera, njegovu nadogradnju novim verzijama ili paketima za održavanje. U
slučaju detekcije virusa na lokalnoj mašini, administrator daljinski može da pokrene skeniranje
i čišćenje, bez potrebe da se oko toga angažuje korisnik. U slučaju epidemija većih razmera,
svi prethodno opisani postupci se mogu istovremeno pokrenuti na velikom broju mašina
U zavisnosti od podešavanja, prilikom otkrivanja virusa na nekoj od radnih stanica u
mreži, administrator može biti obavešten elektronskom poštom, a sam zaraženi fajl može biti
ili odmah obrisan, ili prosleđen na poseban računar u mreži specijalno zadužen da vrši
funkciju “karantina” do detaljne provere i odluke administratora šta da se radi sa fajlom.
8.10. Hijerarhijska struktura sistema distribuiranog upravljanja
Sistem daljinskog nadzora i administracije se u mrežama fizički skoncentrisanim na
jednoj lokaciji i u jednom broadcast domenu mogu jednostavno realizovati na način opisan u
prethodnom odeljku, korišćenjem samo jednog upravljačkog servera. Međutim, u situacijama
kada je mreža čijom antivirusnom zaštitom treba upravljati rasprostranjena na veći broj
lokacija ili ukoliko se radi o mreži na jednoj lokaciji, ali segmentiranoj na veći broj VLAN-
ova, radi efikasnijeg rada neophodno je primeniti nešto drugačija rešenja.
Generalno gledano, osnovni preduslov za uspostavljanje daljinskog upravljanja i
administracije je da postoji komunikaciona infrastruktura. Bez postojanja odgovarajućih
komunikacionih kanala i protokola nikakav daljinski rad nije moguć. S obzirom na apsolutnu
dominaciju TCP/IP skupa protokola u lokalnim mrežama, i pored mogućnosti rada sa
NetBIOS-om, rešenje treba bazirati na TCP/IP-u. IPX/SPX protokoli se u praksi veoma retko
koriste u sistemima mrežne antivirusne zaštite, čak i kad u mreži postoje serveri pod Novell
NetWare-om. Pitanje mrežnog protokola je posebno značajno kada se radi o nadzoru udaljenih
lokacija do kojih se dolazi preko rutera, firewall-a ili VPN-a (Virtual Private Networks).
Pored protokola trećeg i viših nivoa, za uspostavljanje sistema daljinskog,
centralizovanog upravljanja neophodno je obezbediti komunikaciju i na donja dva nivoa.
52
Diplomski rad
Pored čisto fizičke veze za komunikaciju između upravljačke serverske aplikacije i klijentskih
antivirusnih programa neophodno je razmatrati postojanje i konfiguraciju virtuelnih LAN-ova.
Ukoliko se na odgovarajući način ne uspostavi veza preko sviča trećeg nivoa sistem
daljinskog upravljanja antivirusnom zaštitom neće moći da bude uspostavljen između
različitih VLAN-ova.
Zbog svih prethodno navedenih komunikacionih problema, kao i zbog potrebe da se u
velikim mrežama rastereti primarni server za nadzor i upravljanje, ovakav sistem treba
organizovati distribuirano, kao što je prikazano na slici 3.
Slika 4: Logičko povezivanje servera i klijenata u sistemu daljinskog upravljanja
antivirusnom zaštitom
U tom slučaju se sistem mrežnog upravljanja antivirusnom zaštitom organizuje u
strukturi stabla, sa primarnim serverom u korenu i serverima nižih nivoa na pojedinačnim
lokacijama. Klijentske radne stanice i serveri se pridružuju logičkim grupama, od kojih je
svaka pod kontrolom jednog od upravljačkih servera. Primarni server je i dalje izvor svih
informacija, baza virusnih definicija, paketa za nadogradnju i održavanje, ali on sad ne
komunicira direktno sa klijentskim stanicama, već sa upravljačkim serverima nižih nivoa, koji
to dalje distribuiraju klijentima.
53
Diplomski rad
Slika 5:Povezivanje sa udaljenom lokacijom
Ukoliko sistem upravljanja obuhvata udaljene lokacije ka kojima komunikacije idu
sporim iznajmljenim vezama, da bi se sprečilo eventualno zagušenje linija, na udaljnoj lokaciji
teba postaviti server nižeg nivoa koji bi podržavao udaljeni segment mreže (slika 4 i 5).
Imajući u vidu da komunikacioni kanal u ovom slučaju ide preko rutera, neophodno je
obezbediti prolaz za ovakvu komunikaciju, odnosno podesiti pristupne liste na ruteru da
propuštaju saobraćaj odgovarajućih IP adresa servera, kao i TCP/UDP portova koje date
aplikacije koriste.
8.11. Još neke karakteristike Kasperski Internet Security 2010
Kaspersky Internet Security 2010 je dobio visoke ocene zahvaljujući uspešnom
otkrivanju štetnih programa, odličnim performansama i dobro dizajniranom interfejsu.
Interfejs: Kaspersky Internet Security 2010 je lak za korišćenje, sa dosta opcija ali
veoma pregledan.
Detekcija infekcija štetnim programima: na testu se Kaspersky Internet Security 2010
pokazao veoma dobro, detektovao je sve štetne programe i onesposobio 87 % tih programa.
54
Diplomski rad
Bihejvioralno skeniranje: i na ovom testu Kaspersky Internet Security 2010 je ostvario
natprosečan rezultat otkrivši 87% uzoraka malware-a, pri čemu je onesposobio 73%, i potpuno
uklonio 60%. Ovo je dobar indikator toga kako se AV program snalazi sa potpuno novim
štetnim programima za koje ne postoji virus signature fajl.
Standardna signature-based detekcija: Kaspersky Internet Security 2010 zabeležio je
impresivan rezultat od 97,4% stope detekcije.
PC sa instaliranim Kaspersky Internet Security 2010 podiže sistem za 43,4 sekundi u
proseku, što je znatno brže u odnosu na konkurente. Isto tako, Kaspersky ne utiče značajno na
performanse računara.
9.Zaključak
Naš svijet je u prošlim decenijama ušao u informaciono doba i sve duplje kroči u sfere
informatizacije svakodnevnih aktivnosti. Svjedoci smo da je današnji svijet nezamisljiv bez
informacionih sistema kako telefonskih mreža, mobitela tako i PC-a i Interneta. Na naš život
već danas značajan utjecaj imaju infomracije bilo da se radi o onima koje mi šaljemo u svijet
ili one koje primamo od okoline. Kao što čuvamo našu kuću i stvari u njoj tako moramo čuvati
i naše infrormacije i podatke. Što se tiče ovog diplomskog rada, pored principa zaštite, morali
smo obraditi i same pojave od kojih se treba štiti kako bi na što adekvatniji način objasnili
komplikovane poslove oko sigurnosti računara i podataka.
Značaj informacionih sistema uočljiv je u tome da je Američki Pentagon pored
tradicionalnih terena ratovanja tj. kopno, voda, zrak i svemir uveo i novi peti teren Internet.
Rat vođen putem interneta internacionalno je poznat pod nazivom Cyberwar. Prva pojava
Cyberwar-a je bila za vrijeme rata u Kosovu kada su Kineski hackeri uspjeli da obore stranicu
Bijele kuće za 3 dana. Prvi ozbiljni virtualni napad desio se 2007. godine u Estoniji koja je 3
sedmice bila izložena napadima hackera širom svijeta. Napadači su uspjeli da obore web
stranice banki, policije, bolnica, državnih organa, medija, ministarstava pa čak i telefonskih
55
Diplomski rad
linija policije. Napadi su bili toliko intenzivni da su građani Estonije mislili da došlo da pada
vlasti.
Prvi veliki štetni softver koji je 2000. godine širom svijeta izazvao štete u milijardskim
iznosima bio je crv „I LOVE YOU“ . Širio se e-mail porukama i aktivirao se otvaranjem
poruke koja je sa subjektom „I love you“ bila jako privlačna za otvaranje.
Kroz izloženo može se primjetiti da se anti-virusni softver i druge sigurnosne aplikacije
u večini slučajeva reaktivno priolagođavaju novim štetnim pojavama. Naime, programeri ne
mogu unaprijed znati na koji način će njihov softver biti napdnut ali pokušavaju u što večoj
mjeri otežati rad virusim, crvima, hackerima i dr. Programeri Anti-virusnih programa,
Firewall-a i sl. aplikacija u toku eksploatacije istih „krpe“ sigurnosne rube uzrokovane novim
virusima, crvima i td. pa je prema tome izuzetno važno vršiti redovno aktualiziranje
sigurnosnog softvera putem Interneta.
Osnovne mjere za stvaranje sigurnih sistema jesu kriptografija, jaka autentikacija,
provjereni softver i dr. Kriptografija je tehnika koja može biti korištena za
zaštitu podataka koji se prenose s jednog računara na drugi, smanjuje mogućnost da se
presretnu ili preprave. Jaka autentikacija koja osigurava da se tačno zna ko se prijavio na
neki računar ili mrežu. Provjereni softver je u biti softver koji je prošao sva ispitivanja i
provjere, osiguravajući da u sebi ne posjeduje štetan kod, obično to prati neka
licensa ili certifikat. Punomoćno ovlaštenje osigurava da su svi pristupi nekom sistemu
povučeni kada su ti pristupi i ukinuti. Kao primjer, brisanje nekog korisničkog računa bi
također trebalo da zaustavi sve procese koje su išle uz taj korisnički račun.
56
Diplomski rad
Literatura
[1]Balaban, N. et. Al., Principi informatike, Savremena administracija, Beograd, 1996.
[2]Ćamil Sukić, Enes Sukić, Informatika i računarstvo, knjiga, Grafikolor, Kraljevo, 2010
[3]Ćamil Sukić, Informatika i računarska tehnika, Novi Sad, 2007.
[4]Ćamil Sukić, Mensura Kudumovic, Informaticke tehnologije, Sejtarija, Sarajevo, 2009.
[5]Ćamil Sukić, Multimedijalni sistemi, univerzitetski udžbenik, INED Grafomedija d.o.o,
Novi Sad, 2008.
[6]Ćamil Sukić, Sigurnost računarskih sistema, Novi Pazar, 2012.
[7]Hanić H. et. al., Kibernetika, Novi svet, Beograd, 1994.
[8]Ilić, J., Sigurnost IT sektora, Beograd, 2011.
[9]Jovanović M., Osnovi projektovanja, I deo: teorija projektovanja, Tehnološki fakultet,
Leskovac, 1994.
[10]Klem Nikola, Perin Nikola, Praščević Nataša, Računarstvo i informatika.
[11]Krsmanović S., Informcioni sistemi u mrežnom okruženju, Beograd, 2004.
[12]Laudon K., Laudon J., Management information systems – managing the digital firm, 9th
edition, Prentice Hall, 2005.
[13]Mc Clure S., Scambrey J., Kurtz G., Sigurnost na mreži, Kompjuter biblioteka, 2001.
[14]Milovanović, H., Bezbednost u informacionim sistemima, Beograd, 2009.
[15]Pantić S., Računarske komunikacije, Kompjuter biblioteka, Čačak, 1996.
57
Diplomski rad
[16]Parker C., Thomas C., Management Information Siystems, Second Edition, Mitchell Mc
Graw – Hill, 1993.
[17]Petković D. Mali leksikon mikroračunarskih izraza, Savremena administracija, Beograd,
1990
[18]Seen A.J., Informaciona tehnologija, Komputer biblioteka, Čačak, 2007.
[19]Stojanović Miodrag “Računarstvo i informatika”, Zavod za udžbenike i nastavna sredstva,
Beograd, 2001.
[20]Velimir Sotirović, Ćamil Sukić, Računarski sistemi, INED Grafomedija d.o.o, Novi Sad,
2008.
58