napadi na windows sistem

FAKULTET ZA INFORMACIONE TEHNOLOGIJE

UNIVERZITET MEDITERAN

PROJEKAT

NAPADI NA WINDOWS SISTEM

Student: Mentor:

Ana Vujović 03/10 Doc. Dr Srđan Jovanovski

U Podgorici, 2013.

Napadi na Windows sistem Ana Vujović

2

Sadržaj UVOD ....................................................................................................................................................... 4

MICROSOFT WINDOWS ...................................................................................................................... 5

Kratak osvrt kroz vrijeme ..................................................................................................................... 5

TERMINOLOGIJA ................................................................................................................................ 13

HAKOVANJE - FAZE ....................................................................................................................... 15

1. Izviđanje ............................................................................................................................... 15

2. Skeniranje ............................................................................................................................. 15

3. Dobijanje pristupa ................................................................................................................. 16

4. Održavanje pristupa .............................................................................................................. 17

5. Prikrivanje tragova ................................................................................................................ 17

NAPADI I ZAŠTITA OD NAPADA ..................................................................................................... 18

1. IZVIĐANJE .................................................................................................................................... 18

FOOTPRINTING................................................................................................................................ 18

Prisluškivanje razmjene šifara na mreži (sniffing) ................................................................... 18

ZAŠTITA - Prisluškivanje razmjene šifara na mreži (sniffing) ............................................... 19

2. SKENIRANJE ................................................................................................................................ 19

Skeniranje portova .................................................................................................................... 19

ZAŠTITA – Skeniranje portova ............................................................................................... 21

Aktivna identifikacija operativnog sistema .............................................................................. 22

Pasivna identifikacija operativnog sistema .............................................................................. 24

ZAŠTITA – Aktivna / Pasivna Identifikacija operativnog sistema ......................................... 25

3. DOBIJANJE PRISTUPA ................................................................................................................ 25

Preuzimanje privilegija ................................................................................................................ 25

ZAŠTITA - Preuzimanje privilegija ........................................................................................... 26

Probijanje šifara ........................................................................................................................... 26

ZAŠTITA - Probijanje šifara ....................................................................................................... 28

DoS NAPADI ..................................................................................................................................... 28

Smurf napad ............................................................................................................................. 29

ZAŠTITA – Smurf napad ......................................................................................................... 29

Preplavljivanje mreže SYN paketima .......................................................................................... 30

ZAŠTITA - Preplavljivanje mreže SYN paketima ...................................................................... 31


3

4. ODRŽAVANJE PRISTUPA .......................................................................................................... 31

Daljinsko upravljanje i zadnja vrata(remote control, back doors) ............................................... 31

Komandno linijsko orjentisani alati za daljinsko upravljanje .................................................. 31

Grafičko daljinsko upravljanje ................................................................................................. 33

5. PRIKRIVANJE TRAGOVA .......................................................................................................... 34

Onesposobljavanje provjera ......................................................................................................... 34

Čišćenje Event Log-a ................................................................................................................... 34

Sakrivanje fajlova ........................................................................................................................ 35

Probijanje administratorske šifre uz pomoć CMD-a ............................................................................... 36

................................................................................................................................................................. 37

LITERATURA........................................................................................................................................ 39


4

UVOD

Iz dana u dan susrećemo se sa brzim razvojem tehnologija, ali u korak sa tim ide i razvoj interneta.

Obzirom na situaciju koja trenutno vlada na internetu, nailazimo na veliki broj virusa i malicioznih

programa. Kao što znamo, virusi kao i maliciozni programi, pisani su za sve vrste operativnih sistema,

kako za računare, tako i za mobilne telefone i tablete. Međutim, najveći broj njih, pisan je za računare na

kojima je instaliran Microsoft Windows operativni sistem.

Zašto napadanje na Microsoft-ov Windows operativni sistem ?

Prvi odgovor, i jedan od najrealnijih, jeste zbog toga što je Windows najzastupljeniji i najpopularniji

operativni sistem, i da pisanjem virusa za jedan ovakav sistem postoji velika mogućnost da se „zarazi“

veliki broj neiskusnih i nezaštićenih korisnika.

Drugi odgovor na ovo pitanje je kompleksnost samog sistema. Sa razvojem interneta i tehnologija,

razvijao se i Windows, i iz verzije u verziju povećavala se količina izvornog koda (engl. source code).

Promjene koje su nastajale u sistemu uticale su na to da se kroz svaku verziju provuče po neki propust,

što je sa većim napretkom, uzrokovalo više sitnijih propusta.

U nastavku ćemo se prisjetiti najpopularnijeg operativnog sistema, od nastanka do danas, i detaljnije ga

analizirati, počevši od njegovih slabosti, koje su uslovile česte napade, pa sve do ispravljanja istih i

prevencije od novih napada.


5

MICROSOFT WINDOWS

Microsoft Windows predstavlja porodicu operativnih sistema pisanih za personalne računare i servere,

kompanije Microsoft.

Kao odgovor na povećanje interesovanja za grafički korisnički interfejs (engl. graphical user interface),

Microsoft je 20.novembra.1985. godine predstavio svoju prvu verziju operativnog sistema - Windows

koji je imao grafički orjentisan operativni sistem.

Kratak osvrt kroz vrijeme

Windows 1.0

Jezgro prve verzije je činio MS-DOS - ov izvršni program. (engl. MS-DOS Executive). Komponente koje

su bile uključene su:

Digitron,

Kalendar,

Komponenta za upravljanje

informacijama

Komponenta za pregled ekrana

Sat,

Kontrolnu tabla,

Komponenta za crtanje,

Terminal,

2 programa za obradu teksta (engl.

Write, Notepad)

Slika 1. Windows 1.0, prva verzija - 1985.

Windows 3.0 i 3.1

Ovo je druga važna verzija koju je predstavio Microsoft 1990. godine.

Poboljšan je dizajn, najviše zbog virtuelne memorije i virtuelnih upravljačkih programa za uređaje, koji

su omogućavali proizvoljno dijeljenje uređaja između DOS aplikacija zasnovanih na multitaskingu.(engl.

multi - task – više aplikacija). Takođe, aplikacije ovog sistema su imale mogućnost rada u zaštićenom

modu (isti adresni prodtor, ali segmentirana memorija omogućava stepen bezbjednosti) , što je značilo


6

da mogu raspolagati sa određenim brojem megabajta iz memorije, bez ulaska u memorijsku šemu, koja

bi inače dijelila memoriju po potrebama aplikacija.

Slika 2. Windows 3.0 (1990)

Windows 3.1 je predstavljen 1992. godine, dok je 1993.godine d za potrebe radnih grupa - Workgroups,

sa integrisanim „svako sa svakim“ umrežavanjem ( engl. peer – to – peer networking - P2P )

Windows 9x

Sledeća verzija koja se razvijena je Windows 95 –

1995. godine. Windows 95 kao inovacije predstavlja

podršku za njihove 32-bitne aplikacije, “priključi i

pokreni” (engl. plug and play) hardver, preventivni

multitasking, duga imena fajlova, do 255 karaktera i

obezbjeđuje veću stabilnost u odnosu na svoje

prethodnike. Takođe, Windows 95 predstavlja

redizajniran, objektno – orjentisan korisnički

interfejs, koji zamjenjuje prethodnu aplikaciju za

upravljanje programima (engl. Program Manager)

sa Start meni-jem (engl. Start menu) i trakom

zadataka (engl. taskbar). Slika 3. Windows 95 (1995)


7

Verzija koja predstavlja nadogradnju Windows 95 je Windows 98 koji je predstavljen 1998. godine.

Windows 98 je uveo Windows Driver Model, podršku za USB kompozitne uređaje, podršku za ACPI

(engl. Advanced Configuration and Power Interface), hibernacije, podršku za multi- monitorsku

konfiguraciju. Takođe je uključio integraciju sa Internet Explorer-om 4 kroz Active Desktop i drugim

aspektima Windows Desktop Update-a (Niz poboljšanja u Explorer jezgru)

Windows 98 SE (engl. Second Edition) se pojavljuje 1999. godine i u ovoj verziji, pored ostalih

nadgradnji, dodat je i Internet Exolorer 5.0 i Windows Media Player 6.2.

Poslednja verzija koja se oslanjala na DOS je Windows ME (engl. Millenium Edition), koja je objavljena

2000.godine. Windows ME poprima grefički intefejs od Windows-a 2000, dok je sam operativni sistem

namjenjen širokom potrošačkom tržištu (radne grupe - Workgroups). Nove mogućnosti koje dolaze sa

ovim operativnim sistemom su:

Zaštita sistemskih fajlova

Podrška za ADSL i kablovske modeme

Dijeljenje internet konekcije

Podrška UPnP1 standardu

Internet Explorer 5.5

Windows Movie Maker

Windows Media Player 7

MSN Messanger

Automatsko ažuriranje

Poboljšana podrška novih uređaja

Automatsko prepoznavanje novih

uređaja priključenih preko USB sa

mogućnošću bezbjednog isključivanja

istih

Slika 4. Windows Millenium Edition

1 UPnP – Universal Plug and Play


8

Windows NT

Windows NT (engl. New Technologies) je zajedničko ime za porodicu operativnih sistema novih

tehnologija čija je prva verzija bila razvijena 1993.godine.

Operativni sistem je radio razvojni tim Microsoft-a u saradnji sa članovima Digital Equipment

Corporation-a. Razvili su sistem nazvan NT OS/2 , koji je nastao iz prerađene verzije IBM-a i Microsoft-

ovog operativnog sistema OS/2.

NT OS/2 je dizajniran da bude moćan i siguran sistem, zasnovan na jezicima visokog nivoa, nezavisan

od procesora, da podržava rad sa više procesora i istovremeno opslužuje proizvoljan broj korisnika, tj.

da bude dopuna svim Windows sistemima razvijenim do tada.

Nakon uspješnog izdanja Windows-a 3.0, NT razvojni sistem je odlučio da preradi projekat koristeći

32-bitni port Windows API2, poznat kao Win32 , umjesto portova OS/2. Win32 je omogućavao da

postojeće Windows aplikacije budu sprovedene na platformu, i podržavao je mogućnosti postojećeg NT

jezgra.

Windows NT je prva potpuno 32- bitna verzija Windows-a, dok su njegovi prethodnici, orjentisani na

kućne korisnike 3, 95, 98 bili 16-bitni ili 32-bitni hibridni sistem.

Prva verzija Windows-a koji je pripadao NT porodici pojavila se 1993. godine i to je bio Windows NT

3.1 ( Oslanjao se na verziju Windows 3.1), koji je bio dostupan za klijentske i serverske računare.

Sledeća verzija je Windows NT 3.5 koja se pojavila 1994.godine, sa poboljšanjem performansi i

podrškom za NetWare3. Windows NT 5.51 se javlja 1995. godine sa dodatnim poboljšanjima i podršku

za PowerPC4 arhitekturu.

Windows NT 4.0 se pojavljuje 1996. godine i predstavlja redizajniran interfejs Windows-a 95.

Windows 2000 se pojavljuje 2000. godine kao najuspješnija verzija Windows NT 4.0 verzije.

2 WinAPI - Application Programming Interface - Windows-ovo jezgro 3 NetWare – computer network operating system – podrška za umrežavanje 4 PowerPC – Performance Optimization With Enhanced RISC – Performance Computing


9

Windows XP (eXPerience)

Ovaj operativni sistem se pojavljuje 2001. godine. Postoje 2 glavna izdanja ovog operativnog sistema:

Home Edition - za kućne korisnike i Professional – za poslovne korisnike. Professional edicija nudi

neke povlastice koje se ne mogu naći kod Home edicije, kao što su Remote Desktop (omogućava

upravljanje drugim Windows XP računarom u LAN mreži) , podršku za više procesora, itd.

Poboljšanja koja donosi ova verzija operativnog sistema su:

Brže podizanje i hibernacija sistema

Mogućnost povratka hardverskih drajvera na starije verzije (Driver rollback)

Novi korisnički interfejs

Adresiranje do maksimalno 3,6 GB RAM-a, (Windows XP x64 adresira 128 GB RAM-a)

Grafički interfejs (engl. Graphical User Interface - GUI)

Grafički interfejs ovog operativnog sistema je nazvan Luna. Redizajniran je start meni i pretraga. Dodate

su nove vidljive promjene:

Poluprazni plavi kvadrat koji se pojavljuje pri

označavanju datoteka u Windows Explorer-u

Sjenke ispod ikona na radnoj površini

Traka na lijevoj stani Windows Explorer-a

Grupisanje istih prozora na taskbar5-u

Mogućnost zaključavanja taskbar-a

Označavanje novo instaliranih programa u

Start meniju

Slika 5. Windows XP

Servise Pack 1 (2002.) - podrška za USB 2.0 i Set Program Access and Defaults utility.

Service Pack 2 – podrška za Wi-Fi, Bluetooth i pop-up bloker za Internet Explorer.vOd programa su

dodati Windows SecurityCenter, Windows Update i novi Windows Firewall i Windows Movie Maker2

Service Pack 3 (2008) – donosi brojne sigurnosne nadogradnje

5 Taskbar – linije zadataka, tj. linija koja se nalazi u dnu prozora koja pokazuje sve otvorene aplikacije


10

Windows Vista, 7, 8

Windows Vista je izašla 2006. godine i predstavlja

liniju grafički orjentisanih operativnih sistema

namjenjenih za personalne računare (kućne,

profesionalne, tablet verzije).

U ovoj verziji nailazimo na mnoštvo novih

poboljšanja od kojih su najveća: grafički korisnički

interfejs (Windows Areo), novi multimedijalni alati

(Windows DVD Maker) i kompletan redizajn

mrežnih, audio, printerskih i grafičkih podsitema.

Vista pokušava povećati nivo komunikacije između

uređaja u kućnoj mreži koristeći peer-to-peer

tehnologiju, zatim lakšu razmjenu podataka između

računara i uređaja. Slika 6. Windows Vista

Poboljšanja u ovoj verziji:

Windows Aero

Windows Shell

Brza pretraga (Instant Search

Windows Sidebar

Windows Internet Explorer 7

Windows Media Player 11

Backup and Restore Center.

Windows Mail

Windows Calendar

Windows Photo Gallery

Windows DVD Maker

Windows Media Center

Igre i Games Explorer

Windows Mobility Center

Windows Meeting Space

Shadow Copy

Windows Update

Parental controls

Glasovno upravljanje (Speech

recognition)

Novi fontovi

Problem Reports and Solutions

Poboljšana kontrola zvuka

Podaci o performansama (System

Performance Assessment)

Windows Ultimate Extras

Ugrađeni alat za uravljanje particijama

(Built-in hard drive partition

management)

Windows 7 predstavlja znatno poboljšanu verziju od Viste, koji se pojavio 2009. godine. Windows 7 se

može naći u 2 verzije : 32-bitnoj i 64-bitnoj. (koje označavaju arhitekturu računara)

Noviteti koji se javljaju kod Win 7 su: unaprijeđeni sistemi za upravljanje dodirom i prepoznavanje

rukopisa, podrška za virtuelne hard diskove, poboljšanje performansi na višejezgarnim procesorima,

poboljšane performanse u dizajnu sistema, podrška za korišćenje više grafičkih kartica različitih

proizvođača. Takođe, novi su i Windows Media Center, Gadget za Windows Media Center, poboljšane

multimedijalne sposobnosti, XPS čitač, ugrađen Windows PowerShell, redizajnirani digitron sa novim

modovima Programer i Statistika, i sposobnost pretvaranja mjernih jedinica. Windows Security Center iz

ranijih verzija preimenovan je u Windows Action Center.

Slika 7. Windows 7

Window 7 posjeduje više podjela po edicijama operativnih sistema u zavisnosti od mogućnosti koje svaka

pruža, pa imamo:

Windows 7 Starter – omogućava najjednostavnije korišćenje računara, uz prisutnost samo

najjednostavnijih funkcija koje su potrebne za upravljanje sistemom.

Windows 7 Home Premium – omogućava kreiranje kućne mreže o dijeljenje omiljenih slika,

video-zapisa i muzike. Može se čak gledati, zaustavljati, premotavati i snimati televizijski

program.

Windows 7 Professional – pomaže u radu na poslu. Ima razvijene opcije za zaštitu podataka. Dosta

složeniji od prethodne dvije edicije.

Windows 7 Ultimate – najsnažnije izdanje Windows 7. Najnaprednija edicija, najsloženija. Laka

za upravljanje. Posjeduje najviše mogućnosti za rad na računaru, počevši od stvari za posao i

raznih mogućnosti za zaštitu i lakše obavljenje posla, do nekih jednostavnijih stvari, kao što je

slušanje muzike i pregled video zapisa.


12

Windows 8 se pojavio 2012. godine. Baziran na dizajnerskom jeziku Metro i predstavljen s novim

"Windows 8-style software". Windows 8 dolazi i sa novim početnim ekranom, Internet Explorerom 10,

podrškom za USB 3.0, novim antivirusnim programom Windows Defender, Windows To Go i podrškom

za UEFI SecureBoot.

Postoje 4 glavne edicije: Windows 8, Windows 8 Pro,

Windows 8 Enterprise i Windows RT. Prva tri imaju

skoro iste hardverske zahtjeve kao i Windows 7.

Poslijednji je namijenjen pokretanju na tablet uređajima.

Windows 8 Enterprise i Windows RT nisu dostupni u

slobodnoj prodaji na optičkom disku; Windows RT je

dostupan samo kao instaliran na tablet uređajima, koji se

mogu naći u slobodnoj prodaji.

Slika 8. Windows 8


13

TERMINOLOGIJA

Haker (engl. hacker) - informatički „zaljubljenik“, koji želi istražiti sve nove mogućnosti internet

tehnologije, pa zalazeći i u kriminalnu sferu. On upada u tuđe sisteme iz čiste želje da nauči nešto novo,

bez namjere da nanese štetu.

Hakovanje (engl. hacking) – vješto pisanje preciznih kompjuterskih programa, obično sa namjerom

dobijanja nezakonitog ili zlonamjernog pristupa.

Kraker (engl. cracker) je osoba koja ima visok stepen kompjuterskog znanja i koja se svjesno bavi

nelegalnim kompjuterskim aktivnostima, npr. upad u tuđi računar sa namjerom da mu se nanese šteta

(unos zloćudnih programa, neovlašćeno kopiranje, mijenjanje ili brisanje postojećih podataka), ili da se

izvuku lični podaci o kotisniku (brojevi računa i kreditnih kartica, matični broj,..) kako bi ih upotrijebio

za neke nezakonite radnje.

Krakeri se mogu podjeliti na 3 glavne grupe:

Bijele (engl. white hats) - osobe koje svojw znanja koriste u cilju poboljšanja programa

Crne (engl. black hats) - osobe koje namjerno uništavaju sisteme

Sive (engl. grey hats) – kombinacija bijelih i crnih - npr. špijuni

Etički haker (engl. ethical hacker) – osoba koja radi za određenu kompaniju, i “napada” sigurnosni

sistem kompanije sa namjerom da otkrije njegove slabosti koje bi mogli iskoristiti hakeri za maliciozne

napade.

Prijetnja (engl. threat)– radnja ili događaj koji može negativno da utiče na bezbjednost sistema. Prijetnje

su prioritet u procesu bezbjednosne analize.

Ranjivost (engl. vulnerability) – postojanje slabosti, ili implementacione greške, koja može neočekivano

dovesti sigurnost sistema u kompromitujuću situaciju.

Cilj evaluacije (engl. target of evaluation) – IT sistem, proizvod ili komponenta definisani kao oni koji

zahtjeva procjenu njihove bezbjednosti.


14

Principi zaštite sistema – C.A.I.A

C – engl. Confidentiality – Povjervljivost – štiti informacije i resurse od neovlašćenog pristupa.

A – engl. Authentication – Autentičnost – omogućava identifikacija i kontrola pristupa računarskim

sistemima.

I – engl. Integrity – Integritet – obezbjeđuje da podaci ili resursi ostaju nepromjenjeni od predajnog do

prijemnog računara.

A – engl. Availability – Raspoloživost – omogućava stalnu raspoloživost informacijama i resursima.

Tehnologije koje se koriste za hakovanje mreže ili sistema su sledeće:

Trojanci (engl. Trojans)

Sniferi (engl. Sniffers)

Prekoračeneje bafera (engl. Buffer overflows )

Backdoors

Rootkits

Exploits

SQL injection

Hakerski napadi su podjeljeni na: pasivne i aktivne, i isto tako postoje unutrašnji i spoljašnji napadi.

Pasivni napadi predstavljaju napad na povjerljivost, jer je njihov cilj samo dolaženje do informacija.

Aktivni napadi predstavljaju napad na raspoloživost, autentičnost i integritet sistema, sa namjerom da

naprave promjene na sistemu ili mreži.

Spoljašnji i unutrašnji napadi se vezuju za mjesto napada, tačnije, unutrašnji predstavljaju napade

izazvane od strane nekog od članova kompanije - insajder (engl. insider), dok spoljašnji predstavljaju

napade izazvane izvan granica kompanije.


15

HAKOVANJE - FAZE

1. Izviđanje (engl. Reconnaissance)

2. Skeniranje (engl. Scanning)

3. Dobijanje pristupa (engl. Gaining Access)

4. Održavanje pristupa (engl. Maintaining Access)

5. Prikrivanje tragova (engl. Covering Tracks)

1. Izviđanje

Ovo je pripremna faza koja se fokusira na prikupljanju informacija. U ovoj fazi se teži da se otkriju

slabosti sistema vezane za lakoću upada u sistem. Aktivnosti mogu biti spoljašnje i unutrašnje.

Spoljašnje metode izviđanja su:

Prismotra (engl. Suveillance)

Socijalni inženjering (engl, Social engineering)

Internet pretrage (engl. Internet searches)

Unutrašnje metode izviđanja su:

Snifovanje - (engl. Sniffing the network) – pasivna

“Ratting the doorknobs” – aktivna

Aktivne metode izviđanja omogućavaju da se detektuju:

Računari priključeni na mrežu

Otvorene portove

Lokacije rutera

Detalji o operativnom sistemu i servisima

2. Skeniranje

„Prednapadna“ faza u kojoj se mreža skenira upotrebom informacija dobijenih izviđanjem. U ovoj fazi

pokušavaju da se definišu “visoki” poslovni rizici.

Kada se utvrde slabosti sistema, visoke rizike predstavljaju pojedinačne tačke upada u sistem radi napada

i eksplatacije.


16

Primjena:

Birači (engl. Dialers)

Port skeneri (engl. Port scanners)

Mrežno mapiranje (engl. Network mapping)

Čišćenje (engl. Sweeping)

Skeneri ranjivosti (engl. Vulnerability scanners)

3. Dobijanje pristupa

Faza napda. Slabosti su iskorišćene. Namjena je: dobijanje pristupa ili „osvajanje“ sistema.

Vrste konekcije za eksploataciju sistema su:

Lokalna mreža (engl. Local Area Network - LAN)

Wireless konekcija (engl. Wireless Connection)

Direktan pristup računaru

Internet

Offline

Iskorišćavanje mrežnih servisa (engl. exploit) se može shvatiti kao prevara ili krađa, i uključuje:

Prekoračenje bafera (engl. buffer overloads)

Odbijanje servisa (engl. Denial of service - DoS)

Filtriranje pasvorda (engl. password filtering)

Otmice sesija (engl. Session hijacking)

Faktori koji mogu uticati na situaciju:

Arhitektura ciljnog sistema

Konfiguracija ciljnog sistema

Nivo vještina počinioca

Početni nivo dobijenog pristupa

Identifikacija “najvećih” poslovnih rizika

Najveći rizici predstavljaju neovlašćen pristup operativnom sistemu, aplikaciji ili mreži.


17

4. Održavanje pristupa

Fokusira se na zadržavanju “vlasništva” nad sistemom. Slabosti su iskorišćene i sistem može biti

izmjenjen i kompromitovan.

Siguran pristup sistemu je obezbjeđen upotrebom:

Backdoors

RootKits

Trojans

Trojans Horse Backdoors

Podaci, aplikacije i konfiguracije se mogu uploadovati, skidati i može se manipulisati njima.

“Osvojeni” sistemi se ponekad nazivaju “zombi” sistemima.

5. Prikrivanje tragova

Fokusira se na hakovanju bez mogućnosti otkrivanja.

Namjena prikrivanja:

Produžetak boravka u sistemu

Nastavak korišćenja resursa

Uklanjanje dokaza

Izbjegavanje kontra mjera

Izbjegavanje pravnog postupka

Metode za prikrivanje tragova:

Steganografija (engl. Steganography)

Tunelovanje (engl. Tunneling)

Izmjena u log fajlovima (engl. Alteration of log files)


18

NAPADI I ZAŠTITA OD NAPADA

1. IZVIĐANJE

FOOTPRINTING

Footprinting (engl. footprinting – praćenje tragova) predstavlja tehniku prikupljanja informacija o

računarskim sistemima (domenska imena, mrežni blokovi, pojedinačne IP adrese direkno povezane na

Internet,..) u cilju kreiranja cjelokupne sigurnosne slike o sistemu.

Pripada izviđajnoj fazi. Informacije se prikupljaju upotrebom skeniranja mreže bez autentifikacije.

Prisluškivanje razmjene šifara na mreži (sniffing)

Postoje tri vrste napada prisluškivanjem protiv Windows-a:

LM (engl. Lan Manager)

NTLM (engl. NT LAN Manager)

Kerberos

Napadi protiv LanManager-a (LM), koji je autentifikacioni protokol, koriste slabosti u Windows

zahtjev/odgovor implementaciji koja omogućava da se pogadja originalni LM hash credential (on je

ekvivalent šifre koja se može ponoviti ili krekovati da bi se otkrila prava šifra-plain text password). Alati

koji napadaju LM su Cain i L0pthcrack. Najsposobniji program je Cain, koji u sebi integriše

prisluškivanje šifara (sniffing) i krekovanje svih mogućih Windows dijalekata (uključujući LM, NTLM i

Kerberos) koristeći napade sirovom silom(brute force), napade rječnikom i Rainbow tehnike za

krekovanje (međutim za upotrebu ove tehnike se mora koristiti plaćeni nalog). Napadači mogu izvesti

razne vrste ARP spoofing tehnika za preusmjeravanje saobraćaja prema samom napadaču i tako sniffovati

cijeli saobraćaj. Takođe, napadači mogu i privući žrtve da se autentifikuju na njihovim lažnim serverima

i tako dobiti njihove šifre.U Cain programu je takodje uključen i MSKerb5-PreAuth sniffer paketa

Windows Kerberos autentifikacionog servera, snifovanje Kerberos paketa se odvija na sledeći način -

kada Kerberos pošalje preautentifikacioni paket koji sadrži poznati obični tekst (plaintext, timestamp)

koji je šifrovan sa ključem koji potiče iz šifre korisnika,napadom sirovom silom i rječnikom može se

dešifrovati taj paket i zatim otkriti struktura koja na kraju otkriva šifru korisnika.


19

ZAŠTITA - Prisluškivanje razmjene šifara na mreži (sniffing)

Jedna od ključnih stvari za suzbijanje LM napada je onemogućavanje LM autentifikacije. S obzirom da

je LM odgovor ključan za probijanje šifara korišćenjem Cain alata, ako se može spriječiti LM odgovor

kroz mrežu onda se ovakva vrsta napada može spriječiti u potpunosti. NTLM ne posjeduje nedostatke

LM i zbog toga ga je mnogo teže probiti i to ga čini nedostojnim za dalje pokušaje.Za napade na Kerberos

ne postoji prava protivmjera osim odabira snažnih šifara. Preduslov je da se šifra sastoji od najmanje 8

karaktera i da sadrži i mala i velika slova,takodje i brojeve i znakove.

Dodatne vrste protivmjera su korišćenje PKINIT autentifikacione metode koja koristi javne ključeve i

korišćenje Windows IPSec protokola za autentifikaciju i šifrovanje saobraćaja.

2. SKENIRANJE

Pripada drugoj fazi – Skeniranje – u procesu hakovanja na sistem, sa ciljem primjene prikupljenih

informacija i definisanja rizika.

Skeniranje portova

Skeniranje portova je proces povezivanja na TCP i UDP portove željenog sistema sa namjerom da se

otkrije koji su servisi aktivni ili su u stanju “OSLUŠKIVANJA” .( engl. LISTENING state).

Otkrivanje listening portova je ključno za otkrivanje operativnog sistema i aplikacija koje se koriste.

Aktivni servisi koji osluškuju mogu dozvoliti neovalšćenenom korisniku da pristupi sistemu koristeći

verziju softvera za koju zna da ima sigurnosnih propusta. Alatka koja se koristi za skeniranje portova je:

CurrPorts.

Postoje određeni ciljevi koji bi se trebali ispuniti:

Identifikacija TCP i UDP servisa koji se izvršavaju na željenom sistemu

Identifikacija tipa operativnog sistema na željenom sistemu

Identifikacija određene aplikcije ili verzije određenog servisa


20

Tabela 1. Portovi i servisi koji se izvršavaju na njima

Port Service

TCP 25 SMTP

TCP 21 FTP

TCP/UDP 53 DNS

TCP 80 WWW

TCP/UDP 88 Kerberos

TCP 135 RPC/DCE Endpoint mapper

UDP 137 NetBIOS Name Service

UDP 138 NetBIOS Datagram Service

TCP 139 NetBIOS Session Service

TCP/UDP 389 LDAP

TCP 443 HTTP over SSL/TLS

TCP/UDP 445 Microsoft SMB/CIFS

TCP/UDP 464 Kerberos kpasswd

UDP 500 Internet Key Exchange, IKE (IPSec)

TCP 593 HTTP RPC Endpoint mapper

TCP 636 LDAP over SSL/TLS

TCP 3268 AD Global Catalog

TCP 3269 AD Global Catalog over SSL

TCP 3389 Windows Terminal Server

Tipovi skeniranja:

Skeniranje uspostavljanja TCP konekcije (engl. TCP connection scan) – Ovaj tip skeniranja se

povezuje na željeni port i izvršava uspostavljanje TCP konekcije u 3 koraka (engl. three-way

handshake – SYN, SYN/ACK i ACK)

Slika 9. Uspostavljanje TCP konekcije u 3 koraka


21

Skeniranje TCP SYN (engl. TCP SYN scan) – naziva se još i polu-otvoreno skeniranje jer nije

ostvarena cjelokupna TCP konekcija. Tačnije, SYN paket je poslat na željeni port. Ako SYN/ACK

stigne na željeni port, možemo reći da je tada taj port u stanju osluškivanja (engl. LISTENING

state). Ako RST/ACK stigne, to obično najavljuje da port ne osluškuje. Ovaj paket će poslati

sistem skenirajući port, tako da nikada neće biti uspostavljena cijela TCP konekcija.

Skeniranje TCP FIN (engl. TCP FIN scan) – Ovom tehnikom se šalje FIN paket na željeni port.

Željeni sistem bi trebao da pošalje RST paket za sve zatvorene portove.

Skeniranje TCP Xmas Tree (engl. TCP Xmas Tree scan) – ovom tehnikom se šalju FIN, URG

i PUSH paketi na željeni port. Željeni sistem bi trebao da pošalje RST paket za sve zatvorene

portove.

Skeniranje TCP Null (engl. TCP Null scan) – Ovom tehnikom se gase svi flegovi za pakete.

Željeni sistem bi trebao da pošalje RST paket za sve zatvorene portove.

Skeniranje TCP ACK (engl. TCP ACK scan) – Ova tehnika se koristi za mapiranje pravila

fajervola (engl. filewall). To može pomoći da se odredi da li fajervol filtrira proste pakete

omogućavajući samo uspostavljenje konekcije (konekcija sa setom ACK bitova) ili unaprijed

obavlja filtriranje paketa.

Skeniranje Windows TCP (engl. TCP Windows scan) – Ovom tehnikom se detektuju otvoreni,

(ne)filtrirani portovi nekog sistema.

Skeniranje TCP RPC (engl. TCP RPC scan) – Ova tehnika je zastupljena kod UNIX sistma i

koristi se za detektovanje i identifikaciju RPC (engl. Remote Procedure Call) na portovima i njima

sličnih programa.

Skeniranje UDP (engl. UDP scan) – Ovom tehnikom se šalju UDP paketi na željeni port. Ukoliko

port odgovori sa porukom “ICMP port je nedostupan” (engl. ICMP port unreachable), znači da

je taj port zatvoren, a ukoliko ne dobijemo tu poruku, možemo zaključiti da je port otvoren.

ZAŠTITA – Skeniranje portova

Iako je teško spriječiti nekoga da pokrene skeniranje portova našeg sistema, možemo smanjiti svoju

izloženost isključivanjem svih nepotrebnih usluga. Novije verzije Windowsa sa sobom nose veći broj

funkcionalnosti. Možemo onemogućiti neke usluge unutar Control Panel / Services

Zaštita od skeniranja TCP portova upotrebom traceroute alata:

Konfigurisati rutere da ne odgovaraju na TTL EXPIRED poruke, paket čiji je TTL 0 ili 1

Konfigurisati mrežne barijere i granične rutere da ne odgovaraju na TTL istekle pakete


22

Aktivna identifikacija operativnog sistema

Da se podsjetimo. U prethodnom dijelu smo se fokusirali na skeniranje portova kako bismo došli do

listening TCP i UDP portova željenog sistema. Naš sledeći cilj jeste da se utvrdi tip operativnog sistema

koji smo skenirali. Specifične informacije operativnog sistema će biti korisne u fazi mapiranja ranjivosti

sistema. Važno je da se potrudimo da budemo što precizniji u određivanju slabosti željenog sistema.

Najjednostavniji način dobijanja informacija o operativnom sistemu i servisima koji su pokrenuti jeste

koristeći jednostavne tehnike za prikupljanje informacija, kao što su: FTP, telnet, SMTP, HTTP, POP i

drugi. Osim ovoga, postoji poseban alat, nmap, koji posjeduju stek fingerprinting mogućnosti.

Fingerprinting stek je izuzetno moćna tehnologija koja nam omogućava da sa velikom vjerovatnoćom i

izuzetno brzo utvrdimo operativni sistem svakog hosta. U suštini, postoje mnoge nijanse između IP steka

jednog proizvođača, u odnosu na drugog.

Pogledajmo vrste uzoraka koji se mogu poslati kako bismo razlikovali dva operativna sistema:

FIN uzorak (engl. FIN probe) – FIN paket se šalje otvorenom portu. Većina stek implementacija

će odgovoriti sa FIN/ACK paketom.

Uzorak sa lažnom oznakom (engl. Bogus Flag probe) – Nedefinisana TCP oznaka se postavlja

u TCP zaglavlje SYN paketa.

Uzorak sa početnim brojem sekvence (engl. Initial Sequence Number(ISN) sampling) – Osnovni

zadatak je da se pronađe model u početnoj sekvenci koji bira TCP pri reagovanju na zahtjev za

konekciju.

Praćenje “ne fragmentiraj bit” (engl. “Don’t fragment bit” monitoring) – Neki perativni sistemi

će postaviti “Don’t fragment bit” zbog poboljšanja performansi. Isto tako, ovaj bit se može pratiti

kako bi se utvrdilo kod kojih operativnih sistema se javlja problem.

TCP početna veličina prozora (engl. TCP initial window size) – inicijalna veličina prozora na

vraćenim paketima se prati. U nekim stek implementacijama, ova veličina je jedinstvena i može

u velikoj mjeri doprinjeti tačnosti fingerprinting mehanizma.

Vrijednost ACK (engl. ACK value) - IP stak razlikuje u sekvenci vrijednosti koje koristi za ACK

polje, tako da će neke stek implementacije vratiti broj sekvence koji smo poslali, a neki broj

sekvence + 1.


23

ICMP poruka o gešci gašenja (engl. ICMP error message quenching) – Operativni sistemi se

mogu voditi određenim RFC odlukama i ograničiti brzinu slanja poruka. Slanjem UDP paketa

nekim slučajnim visoko-numerisanim portovima, moguće je izračunati broj nedostižnih poruka

primljenih u određenom vremenskom periodu.

ICMP navodeća poruka (engl. ICMP message quoting) - Operativni sistemi kada naiđe na

ICMP grešku, u mnoštvu informacija razlikuje navodeću poruku. Ispitivanjem navedene poruke,

može se doći do neke pretpostavke o željenom operativnom sistemu.

ICMP eho poruka o grešci – sa integriterom (engl. ICMP error message – echoimg integrity)

– Neke stek implementacije imaju mogućnosti da prave izmjene unutar IP zaglavlja kada se šalju

ICMP poruke o greškama. Ispitivanjem promjena koje su napravljene u zaglavlju može se doči

do nekih informacija o željenom operativnom sistemu.

Tip servisa (engl. Type of service - TOS) – Za “ICMP port je nedostižan” poruke, TOS se ispituje.

Većina stek implementacija koristi 0, ali to može da varira.

Upravljanje fragmentacijom (engl. fragmentation handling) – Kod nekih stek implementacija,

stari podaci će se zamjeniti novima, dok su kod fragmenta sastavljeni. Razmatrajući načine na

koji su uzorci paketa sastavljeni, možemo doći do nekih zaključaka o željenom operativnom

sistemu.

TCP opcije (engl. TCP options) – Slanjem paketa na više opcija, kao što su set prestanka rada,

maksimalna veličina segmenta, i dr., moguće je izvući neke pretpostavke o željenom operativnom

sistemu.

Mogućnosti nmap alata:

1. Intence scan (nmap -T4 -A -v IP address)

2. Intence scan + UDP (nmap -sS -sU -T4 -A -v IP address )

3. Intence scan, all TCP ports (nmap -p 1-65535 -T4 -A -v IP address )

4. Intence scan, no ping (nmap -T4 -A -v -Pn IP address )

5. Ping scan (nmap -sn IP address)

6. Quick scan (nmap -T4 –F IP address)

7. Quick scan plus (nmap -sV -T4 -O -F --version-light IP address)

8. Quick traceroute (nmap -sn –traceroute IP address)

9. Regular scan (nmap IP address)

10. Show comprehensive scan (nmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389 -PU40125

-PY -g 53 --script "default or (discovery and safe)" IP address)


24

Slika 10. Upotreba nmap alata (nmap –O ipaddress)

Pasivna identifikacija operativnog sistema

Kada govorimo o pasivnoj identifikaciji, u stvari govorimo o pasivnom fingerprinting steku. Princip na

kome radi pasivni fingerprinting stek je sličan aktivnom, s tim da umjesto slanja paketa na željeni sistem,

napadač samo pasivno posmatra mrežni saobraćaj kako bi utvrdio o kom operativnom sistemu je riječ.

Tako, praćenjem mrežnog saobraćaja između različitih sistema, možemo utvrditi koji su operativni

sistemi na mreži.

PASIVNI POTPISI

Postoje razni potpisi koji se mogu iskoristiti za identifikaciju operativnog sistema, međutim, mićemo se

ograničiti na par atributa koji su u relaciji sa TCP/IP sesijom.

TTL (engl. Time-to-Live) – Šta operativni sistem postavlja za vrijednosti TTL-a na

izlaznim paketima?

Veličina prozora (engl. Windows Size) – Šta operativni sistem postavlja za veličinu

prozora?

DF (engl. Don't Fragment bit) - Da li operativni sistem postavlja DF?

TOS (engl. type of service) – Da li operativni sistem postavlja TOS? Ako da, šta

postavlja za tu vrijednost?


25

Pasivnom analizom svakog atributa i upoređivanjem rezultata sa vrijednostima iz dobro poznate baze

atributa, može se zaključiti o kom operativnom sistemu se radi. Ova metoda ne daje uvijek ispravne

odgovore, tako da se atributi kombinuju kako bi se došlo do pouzdanih rezultata.

ZAŠTITA – Aktivna / Pasivna Identifikacija operativnog sistema

Kada govorimo o zaštiti od ovakve vrste napada, nije jednostavno zaštititi se. Moguće je hakovati izvorni

kod operativnog sistema kako bi se promijenio jedinstveni fingerprinting stek karaktera. To može loše

uticati na funkcionalnosti operativnog sistema. Najbolja zaštita od ovakvih napada su dobri antivirusni i

sigurnosni alati i fajervoli.

3. DOBIJANJE PRISTUPA

Preuzimanje privilegija

Kada napadači zadobiju korisnički nalog na Windows sistemu, sledeći korak im je preuzimanje

Administrator ili SYSTEM privilegija. Jedan od najvećih hakova svih vremena u Windows-u je bio

takozvani getadmin exploit .Getadmin je bio prvi ozbiljni napad eskalacije privilegija protiv Windows

NT4 i iako je ovakva vrsta napada zakrpljena, tehnika preko koje radi(DLL injekcija) i dalje se veoma

efikasno koristi.

Moć getadmin-a je smanjena činjenicom da se mora izvršiti od strane interaktivnog korisnika ciljanog

sistema, kao što i mora svaki napad eskalacijom privilegija. Zato što većina korisnika ne može da se

loguje interaktivno na Windows Server po default-u, jedino je korisno skrivenim članovima raznih

Operator grupa (Account, Backup, Server itd.) i default-nom Internet server nalogu, IUSR_machinename,

i oni imaju ovu privilegiju. Pojavom Windows Terminal Servisa interaktivno logovanje se proširilo. Na

kraju treba napomenuti da preuzimanje Administrator naloga tehnički nije najveća moguća privilegija

koja se može dobiti na Windows sistemu.To je SYSTEM nalog (poznat i kao Local System, ili NT

AUTHORITY/SYSTEM nalog). Postoji nekoliko trikova preko kojih administratori mogu zadobiti

SYSTEM privilegije, jedan od njih je korišćenje command shell iz Windows Scheduler servisa:

C:\>at 14:53 /INTERACTIVE cmd.exe

Može se koristiti i besplatni alat psexec sa Sysinternals.com.


26

ZAŠTITA - Preuzimanje privilegija

Za sprječavanje eskalacije privilegija mogu se koristiti Security Policy pravila, koja se nalaze unutar

Local Policies/User Rights Assignment i zatim na Log On Locally iskoristiti pravilo Deny Logon Locally.

Probijanje šifara

Kada napadač dođe do hash-ova šifara njegov sledeći korak je naravno otkrivanje algoritma hash-ovanja

i probijanje same šifre. Kada se otkrije algoritam hash-ovanja, može se iskoristiti da se izračuna hash i da

se uporedi sa listom mogućih vrijednosti za šifre i zatim da se uporede rezultati sa hash-ovanom šifrom

koja je preuzeta sa alatom kao što je pwdump. Ako je rezultat dobar, može se reći da je šifra uspješno

"pogođena" ili krekovana. Ovaj proces se obično odvija offline tako da dok se šifra pogađa ne može se

desiti da dođe do zaključavanja naloga. Pogađanje šifara se uglavnom svodi na ciljanje slabih hash

algoritama, pametno pogađanje, na dobre alate i vrijeme procesuiranja.

Slabi hash algoritmi – LanManager (LM) hash algoritam se veoma lako i brzo krekuje: šifra se dijeli u

dvije polovine od 7 karaktera i sva slova se mijenjaju u velika i tako se smanjuje 284 mogućih alfa-

numeričkih šifara od 14 karaktera na samo 237 različitih hash-ova. LM hash se može krekovati u roku od

nekoliko sekundi i zato je Windows eliminisao LM hash algoritme iz upotrebe.

Noviji NTLM hash ne pati od slabosti LM i zbog toga ga je mnogo teže probiti. Ako se prate čvrste

selekcije šifara (tj.ako je minimalno dužina šifre prikladna i ako se koristi default-na polisa za

kompleksnost šifara) NTLM hash-ovi su praktično nemogući za probiti sa krekovanjem sirovom silom.

Svi Windows hash-ovi pate od jedne slabosti, a to je nedostatak salt-a. Svi ostali operativni sistemi dodaju

nasumičnu vrijednost koja se naziva salt šifri prije hash-ovanja. Salt se čuva zajedno sa hash-om, tako da

se šifra kasnije može verifikovati da je jednaka odgovarajućem hash-u. Zato što svaki sistem kreira

nasumični salt za svaku šifru, nemoguće je unaprijed izračunati hash tabele koje umnogome ubrzavaju

krekovanje. Windows nije izabrao ovakvu metodu za svoje hash algoritme, već je samo ojačao postojeće

algoritme.

Pametno pogađanje

Postoje dva načina da se krekuju šifre: napad rječnikom i sirovom silom.

Od skoro se unaprijed izračunavaju hash tabele da bi se dobilo na brzini i vremenu krekovanja.


27

Napad rječnikom je najjednostavniji pristup za krekovanje. Iz liste jezičkih termina se uzima jedan po

jedan se upoređuje sa vrijednostima iz pridobijenih hash-ova. Ovaj pristup je limitiran zato što može naći

samo one šifre koje se nalaze u rječniku koji napadač koristi. Međutim, može veoma brzo naći šifru ako

ona postoji u rječniku nebitno koliko je velik i jak hash-ing algoritam.

Napad sirovom silom je uglavnom pogađanje nasumičnih stringova koji se generišu iz odgovarajućeg

skupa karaktera. Može potrošiti mnogo vremena za krekovanje ako uzmemo u obzir veliki napor koji je

potreban da se hashiraju sve moguće nasumične vrijednosti unutar nekog određenog prostora karaktera

(npr. postoji preko 267 mogućih velikih engleskih alfabetičkih stringova od 7 ili manje karaktera ili preko

8 biliona hash-ova).

Najbolje rješenje se nalazi između napada sirovom silom i napada rječnikom gdje se dodaju slova i brojevi

riječima, uobičajena kombinacija šifre koju često biraju korisnici je npr. "password123". Popularni alat

L0pthcrack pruža kombinaciju ili takozvani hibrid rječnik/sirova sila.

Alati - U CMD okruženju postoje mnogo alata za krekovanje kao što su lmbf i ntbf, John the Ripper i

MDcrack. Primjer ntbf koji krekuje NTLM šifre u modu rječnika:

U GUI okruženju postoje alati LCP,Cain i Ophcrack. Cain može da izvršava sledeće pristupe krekovanja:

Napadi rječnikom i sirovom silom

LM hash-ovi

NTLM hash-ovi

Sniffovanje pošiljke/odziva (uključujući LM, NTLM i NTLM Session Security)

Rainbow krekovanje (preko Ophcrack-a, RainbowCrack-a ili winrtgen tabela)

D:\test>ntbf.exe hashes.txt cracked.txt dictionary.txt 14 ntbf v0.6.6, (C)2004 [email protected] -------------------------------------- input file: 5 lines read checking against ntbf.dat... finished trying empty password... not found trying password = username... 0 hashes found starting dictionary mode (# = 1000,000) 5 passwords tried. 1 hashes found D:\test>type cracked.txt Administrator:P@55w0rd


28

ZAŠTITA - Probijanje šifara

Sve moderne Windows verzije su default-no konfigurisane sa Security Policy. Ona zahtijeva da sve

korisničke šifre, kada se kreiraju ili mijenjaju, moraju da se pridržavaju određenih pravila:

Ne mogu da sadrže cijelo ime korisnika ili djelove imena korisnika koji prevazilaze dva

uzastopna karaktera

Moraju biti najmanje šest karaktera po dužini

Moraju sadržati karaktere iz tri od navedene četiri kategorije:

Engleska velika slova (od A do Z)

Engleska mala slova (od a do z)

Osnovnih 10 cifara (od 0 do 9)

Specijalne karaktere (npr. !,$,#,%)

Takođe se preporučuje povećanje minimalne dužine šifre sa 6 na 8 karaktera i postavljanje roka trajanja

šifara. I za kraj treba onemogućiti korišćenje slabog LM hash-a u Security Policy opcijom "Network

Security: Do Not Store LAN Manager Hash Value On Next Passwords Change", default-no je postavljeno

na "Enabled".

DoS NAPADI

DoS (engl. Denial of Serveces) – su obično uspješni napadi koji se izvode protiv pojedinačnih sistema ili

cijele mreže, i onemogućavaju pružanje usluge pravim korisnicima. Čini sistem neupotrebljivim ili

znatno usporenim.

Tipovi DoS napada:

DoS – jedan sistem upućuje napad jednom ciljnom sistemu.

DDoS (engl. Distributed Denial of Services) – više sistema upućuje napad jednom ciljnom sistemu

Napadi mogu da:

Preplave mrežu saobraćajem

Poremete konekciju između dva računara

Spriječe pojedinca da pristupi servisima

Poremete servise specifičnog sistema ili osobe


29

Smurf napad

Smurf6 predstavlja DoS-ov napad u kome se veliki broj

ICMP (engl. Internet Control Message Protocol) paketa sa

skrivenim izvorišnim IP namjenjen žrtvi šalje na pojačanu

računarsku mrežu7, koristeći IP broadcast adresu. Po default-

u na većini uređaja na mreži podešeno da odgovaraju na

ovakve pakete slanjem odgovora na izvorišnu IP adresu; i

ukoliko je broj računara na mreži koji su primili i odgovorili

na ovaj paket veoma veliki, računar žrtve će biti poplavljen

saobraćajem. Ovo može dovesti računar žrtve do

neupotrebljivosti. Slika 11. Prikaz Smurf napada

Fraggle napad

Fraggle napad je varijacija Smurf napada u kome napadač šalje veliki broj UDP paketa (umjesto ICMP)

na mrežu, tačnije na port 7 (echo). Svaki računar na mreži kome je echo omogućen će odgovoriti na paket,

šaljući odgovor na računar žrtve, čime će napraviti veliku količinu saobraćaja i onemogućiti rad tog

računara. U slučaju da port 7 nije omogućen, generisaće se ICMP poruke da je port nedostupan, čto će

takođe zauzeti opseg.

ZAŠTITA – Smurf napad

Konfigurisati ivične rutere da ne prosleđuju pakete upućene na broadcast adresu

Za Cisco rutere: Router(config-if)# no ip directed-broadcast

Konfigurisati pojedinačne hostove i rutere da ne odgovaraju na ICMP zahtjeve i broadcast-e

Koristiti mrežno ulazno filtriranje (engl. Network Ingress Filtering) kojim se odbacuju paketi

napadača na osnovu lažne izvorišne IP adrese

6 Smurf - ime potiče od fajla smurf.c koji predstavlja izvorni kod programa za napad 7 Pojačivač smurf napada (engl. Smurf amplifier) – pojačava smurf napad, generiše veliki br ICMP paketa


30

Preplavljivanje mreže SYN paketima

Ovaj napad takođe pripada grupi DoS napada, koji je prije pojavljivanja Smurf napada bio razarajući

napad. SYN flood8 je napad u kome napadač šalje više SYN paketa ciljnom sistemu sa namjerom da mu

zauzme toliko serverskih resursa kako bi onesposobio sistem za legitimni saobraćaj.

Uspostavljanje TCP konekcije (engl. Three-way handshake):

1. Klijent zahtjeva konekciju šaljući SYN (synchronize)

paket serveru

2. Server šalje potvrdu o uspostavljanju konekcije šaljući

SYN-ACK

3. Klijent odgovara šaljući ACK, nakon čega je konekcija

uspostavljena

Slika 12. Uspostavljanje TCP konekcije

Sada kada smo objasnili proces uspostavljanja konekcije, možemo objasniti na koji način se odvija napad

preplavljivanja mreže SYN paketima. Kao što smo naveli, da bi došlo do ostvarivanja konekcije,

klijentski računar mora poslati serveri ACK paket. Upravo to predstavlja suštinu ovog napada – ne slanje

ACK paketa.

Da objasnimo to po fazama:

Napadač šalje istovremeno više SYN paketa

Server odgovara na to, standardnim SYN –ACK paketom

Napadač NE šalje ACK paket, i na taj način zauzima resurse

servera i onemogućava usluge pravim korisnicima

Osim ovoga, može se izvršiti na još jedan način. Ukoliko korisnik sa

lažne IP adrese pošalje SYN paket serveru, i server odgovori SYN-

ACK paketom ka toj adresi, napadač je siguran da sa te adrese neće stići

ACK odgovor, pa je opet zadržavanje resursa servera i onemogućavanje

njegovog pravilnog rada uspješno. Slika 12. SYN flood napad

8 Preplavljivanje mreže SYN paketima – engl. SYN flood


31

ZAŠTITA - Preplavljivanje mreže SYN paketima

Da bismo utvrdili da li smo možda usred ovog napada, možemo unutar CMD-a kucati komandu netstat.

Ukoliko nam se kao rezultat pojavi puno konekcija sa naznačenim stanjem SYN_RECV, to može značiti

da je u toku napad preplavljivanja mreže SYN paketima.

Povećanje veličine reda konekcije – pošto se IP stek različitih proizvođača vrlo malo

razlikuju, moguće je podesiti veličinu reda konekcije kako bi se ublažili efekti SYN flood

napada. Korisno je, ali ne i optimalno rješenje jer koristi dodatne resurse sistema i može da

utiče na performanse.

Smanjenje timeout perioda za uspostavljanje konekcije – Ova mogućnost takođe može

uticati na smanjenje posljedica SYN flood napada, ali i dalje to nije optimalno rješenje.

Koristiti softverske pečeve proizvođača kako bi se detektovali i zaobišli potencijalni SYN

napadi

Koristiti zaštitni zid (engl. firewall) i proxy servere

Povećanje back-logova

4. ODRŽAVANJE PRISTUPA

Daljinsko upravljanje i zadnja vrata(remote control, back doors)

Komandno linijsko orjentisani alati za daljinsko upravljanje

Jedan od najjednostavnijih back door pristupa je korišćenje netcat. Netcat se može konfigurisati da sluša

određeni port i da lansira izvršni kod kada se daljinski sistem konektuje na taj port. Okidajući netcat

listener da lansira Windows command shell, shell se može prikazati i u daljinskom sistemu. Sintaksa za

pokretanje netcat-a da sluša port:

C:\TEMP\NC11Windows>nc –L –d –e cmd.exe –p 8080


32

-L omogućava da listener ostane perzistentan kroz mnoge prekide konekcije;

-d pokreće netcat u tajnom modu;

-e specificira program koji treba da se pokrene(u ovom slucaju,cmd.exe).I na kraju,

-p označava port koji se sluša. Ovaj kod će vratiti command shell svakom uljezu koji se konektuje

na port 8080.

U sledećoj sekvenci, koristi se netcat na daljinskom sistemu da se konektuje na listening port na mašini

IP adrese 192.168.202.44 i da primi daljinski command shell.:

D:\> nc 192.168.202.44 8080 Microsoft(R) Windows(TM) (C) Copyright 1985-1996 Microsoft Corp. C:\TEMP\NC11Windows> C:\TEMP\NC11Windows>ipconfig ipconfig Windows IP Configuration Ethernet adapter FEM5561: IP Address. . . . . .. . . : 192.168.202.44 Subnet Mask . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . : C:\TEMP\NC11Windows>exit

Kao što se može i vidjeti, daljinski korisnici sada mogu da izvršavaju komandu i da pokreću fajlove.

Limitirani su samo sa svojim znanjem Windows konzole.

Ako imate pristup SMB-u (TCP 139 ili 445) najbolji alat je psexec. Ovaj alat izvršava komandu na

daljinskoj mašini sledećom sintaksom:

C:\>psexec \\server-name-or-ip -u admin_username -p admin_password command

Primjer tipične komande:

C:\>psexec \\10.1.1.1 -u Administrator -p password -s cmd.exe


33

Grafičko daljinsko upravljanje

Ako imate pristup Terminal Services, možda imate i pristup najboljoj daljinskoj kontroli koju Windows

može da pruži. Ako nemate pristup TS, može se koristiti alat kao što je Virtual Network Computing

(VNC). Prvi korak u VNC instalaciji je da se iskopiraju svi izvršni i potrebni fajlovi

(WINVNC.EXE,VNCHooks.DLL i OMNITHREAD_RT.DLL) na ciljni server. Može u bilo koji

direktorijum, ali se najteže pronalazi u %systemroot%. Kada se WINVNC.EXE iskopira, mora se

namjestiti VNC šifra. Kada se WINVNC servis startuje, grafički dialog će zahtijevati da se unese šifra

prije propuštanja dolazećih konekcija. Takođe, moramo i da kažemo WINVNC da sluša dolazeće

konekcije, i to se može postići putem GUI-ja. Mora se kreirati fajl koji se zove WINVNC.INI i u njemu

unijeti specifične Registry promjene koje nam trebaju. One se unose direktno u daljinski Registry

korišćenjem regini.exe. Neke vrijednosti iz lokalne instalacije WINVNC unijete u text fajl korišćenjem

Resource Kit regdmp (Binarna šifra prikazana je "secret"):

HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3 SocketConnect = REG_DWORD 0x00000001 Password = REG_BINARY 0x00000008 0x57bf2d2e 0x9e6cb06e

Sledeći korak je da se ove vrijednosti unesu u daljinski Registry tako što ćemo regini alatu dati ime fajla

koji sadrži ove podatke (WINVNC.INI):

C:\> regini -m \\192.168.202.33 winvnc.ini HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3 SocketConnect = REG_DWORD 0x00000001 Password = REG_BINARY 0x00000008 0x57bf2d2e 0x9e6cb06e

I na kraju, WINVNC se instalira kao servis i startuje se. Sledeća sintaksa označava ovaj korak (napomena,

ovo je command shell na daljinskom sistemu):

C:\> winvnc -install C:\> net start winvnc The VNC Server service is starting. The VNC Server service was started successfully.

Sada možemo startovati vncviewer aplikaciju i konektovati se na ciljni sistem.


34

5. PRIKRIVANJE TRAGOVA

Onesposobljavanje provjera

Ova mogućnost se koristi zato što može znatno da uspori sistem na aktivnim serverima, posebno na

funkcijama kao što je User & Group Management, većina Windows administratora onesposobljava

provjera ili omogućava samo nekoliko provjera. Prva stvar koju će uljez uraditi kada dobije

administratorska prava je da provjeri status Audit polise na meti. Resource Kit auditpol alat omogućava

veoma lako onesposobljavanje provjera:

C:\> auditpol /disable Running ... Local audit information changed successfully ... New local audit policy ... (0) Audit Disabled AuditCategorySystem = No AuditCategoryLogon = Failure AuditCategoryObjectAccess = No

Čišćenje Event Log-a

Ako su aktivnosti uljeza ostavile traga u Windows Event Log-u,uljez će izbrisati logove pomoću Event

Viewer-a. Event Viewer na ciljnom sistemu može da otvara, čita i briše logove na udaljenom željenim

sistemu. Ovaj proces će izbrisati sve logove ali će ostaviti jedan trag koji kaže da je Event Log izbrisan

od strane napadača. Ovo će podići i možda veće alarme kod korisnika, ali ne postoji mnogo opcija i jedna

od njih je preuzimanje i mijenjanje log fajlova iz \winnt\system32 .Međutim, postoji i alat elsave koji se

koristi za čišćenje Event Log-a. Npr. sledeća sintaksa se koristi da se izbriše Security Log na udaljenom

serveru:

C:\>elsave -s \\joel -l "Security" -C


35

Sakrivanje fajlova

Jedan od korisnih alata za sakrivanje fajlova je stari DOS attrib alat:

attrib +h [directory]

Ova opcija sakriva fajlove i direktorijume od CMD9 alata, ali ne ako je opcija Show All Files uključena u

Windows Exploreru. Ako ciljani sistem koristi Windows File System(NTFS), alternativna tehnika za

sakrivanje fajlova postoji. NTFS omogućava podršku za brojne rijetke informacija unutar fajlova. U

sledećem primjeru ćemo stream-ovati netcat.exe iza generičkog fajla pronađenog unutar

winnt\system32\os2 direktorijuma koji se može iskoristiti i u narednim napadima na udaljene sisteme. Da

bi se stream-ovali fajlovi, napadač mora imati POSIX alat cp iz Resource Kit-a.

Sintaksa:

C:\>cp <file> oso001.009:<file>

Primjer:

C:\>cp nc.exe oso001.009:nc.exe

Ovaj kod sakriva nc.exe u nc.exe stream-u oso001.009. Način unstream-ovanja netcat-a:

C:\>cp oso001.009:nc.exe nc.exe

Datum modifikovanja na oso001.009 se mijenja ali ne i veličina, a to znači da je sakrivene stream-ovane

fajlove veoma teško pronaći. Brisanje stream-ovanog fajla znači kopiranje "prednjeg" fajla na FAT

particiju i zatim kopiranja nazad u NTFS. Stream-ovani fajlovi se mogu izvršavati iako se kriju iza svog

prednjeg fajla. Zbog cmd.exe ograničenja, stream-ovani fajlovi se ne mogu izvršiti direktno već

korišćenjem start komande za izvršavanje fajla:

start oso001.009:nc.exe

9 CMD – CoMmanD Prompt


36

Probijanje administratorske šifre uz pomoć CMD-a

1. Pokrećemo Windows operativni sistem

2. Prilikom pokretanja sistema, prisilno ga izgasimo (dug pritisak na dugme za paljenje)

(Ovaj korak je potreban kako bi nam se prilikom ponovnog pokretanja sistema pojavio određeni

meni)

3. Ponovo pokrećemo sistem. Sada nam se prikazuje poseban meni.

4. Biramo opciju Launch Startup Repair (recommended)

Slika 13. Recovery meni

Slika 14. Pokrenut Startup Repair


37

5. Čekamo da se učita program i pojavi prozor kao na slici. Klikamo na dugme Show problem details,

i skrolujemo do kraja, nakon čega biramo zadnju stavku naznačenu putanjom do fajla.

6. Kada se otvori notepad fajl, idemo na padajući meni, File > Open …

7. Uđemo u My Computer > Local Disc (D:) > Windows > System32

8. Podesimo unutar polja Files of type = All types

Slika 15. Otvaranje dodatnih detelja, otvaranje fajla

Slika 16. Otvaranje System32 i podešavanje tipa fajla


38

9. Sada tražimo fajl pod imenom sethc (application) i preimenujemo ga u sethc1

10. Zatim, tražimo fajl cmd, i kopiramo ga (cmd _copy). Kopiju preimenujemo u sethc

11. Nakon što smo ovo podesili, kliknemo na X, izađemo iz svega i kliknemo Finish. Nakon toga,

rečunar će se izgasiti.

12. Ponovo pokrećemo računar. Pojaviće nam se polje za unos šifre. Sada ćemo odraditi upravo ono

što će preskočiti korak unosa šifre. Potrebno je pritisnuti 5 puta dugme Shift, nakon čega će nam

se pokrenuti CMD.

13. U CMD-u kucamo:

net user (ova komanda nam prikazuje korisnike na sistemu)

net user Ana * (ova komanda nam pokreće podešavanja za tačno određenog korisnika)

Upotrebom ove komande, od nas se traži da unesemo šifru. Mogu biti 2 opcije:

ili da ukucamo neku šifru (čime mijenjamo već postojeću), ili samo da pritisnemo dugme

ENTER čime se šifra briše. Koja god od ove dvije opcije da se iskoristi, pristup sistemu je

zagarantovan!

Slika 17. Kopiranje cmd fajla, i preimenovanje kopije u sethc

Slika 18. Unos i izvršavanje naredbi


39

LITERATURA

1. Manning, William: „CEH : Certified Ethical Hacker Certification Exam Preparation“,

Australia, 2009

2. Stuart McClure, Joel Scambray i George Kurtz, "Hacking Exposed, 6th edition: Network

security secrets & solutions", New York ,2009

3. Wikipedia [http://en.wikipedia.org/wiki/Microsoft_Windows]

4. Wikipedia [http://en.wikipedia.org/wiki/Hacker_(computer_security)

http://en.wikipedia.org/wiki/Microsoft_Windows

http://en.wikipedia.org/wiki/Hacker_(computer_security)

napadi na windows sistem

Documents