sigurnost inf. sustava.pdf

autori: 1. Poglavlje – Bojan Ždrnja, dipl.ing. 2. Poglavlje – Ivan Pakšić, struč.spec.crim. ; Alen Vugrek,

struč.spec.crim. ; mr.sc. Josip Pavliček ; dr.sc. Krunoslav Antoliš, prof. 3. Poglavlje – Ivana Marijanović, dipl.ing. 4. Poglavlje – Ivana Marijanović, dipl.ing. 5. Poglavlje – Ivana Marijanović, dipl.ing. 6. Poglavlje – Saša Jušić, dipl.ing. 7. Poglavlje – Hrvoje Šegudović, dipl.ing. 8. Poglavlje – Ivana Marijanović, dipl.ing. 9. Poglavlje – Bojan Ždrnja, dipl.ing. ; dr.sc. Krunoslav Antoliš, prof.10. Poglavlje – Saša Jušić, dipl.ing. 11. Poglavlje – Saša Jušić, dipl.ing. 12. Poglavlje – Bojan Ždrnja, dipl.ing. 13. Poglavlje – Bojan Ždrnja, dipl.ing. 14. Poglavlje – Bojan Ždrnja, dipl.ing. 15. Poglavlje – Bojan Ždrnja, dipl.ing. 16. Poglavlje – Ivana Marijanović, dipl.ing.

urednica: Silvija Jurak, prof. naslov: Sigurnost informacijskih sustava stručni recezent: dr.sc. Krunoslav Antoliš, prof. lektorica: Anka Munić grafički urednici: Krešimir Pletikosa, ACE Goran Obrovac, ACE nakladnik: Algebra d.o.o., 2010. za nakladnika: mr.sc. Mislav Balković mjesto i godina izdavanja: Zagreb, 2010. Sva prava pridržana. Niti jedan dio ove knjige ne smije se reproducirati ili prenositi u bilo kojem obliku, niti na koji način. Zabranjeno je svako kopiranje, citiranje te upotreba knjige u javnim i privatnim edukacijskim organizacijama u svrhu organiziranih školovanja, a bez pisanog odobrenja nositelja autorskih prava. Copyright © Algebra d.o.o. CIP zapis dostupan u računalnom katalogu Nacionalne i sveučilišne knjižnice u Zagrebu pod brojem 732904 ISBN 978-953-7390-92-1

Sadrţaj: 1. Poglavlje: .......... Uvod u informacijsku sigurnost .......................................................................................................................... 5

1.1 Uvod ................................................................................................................................................................................ 6

2. Poglavlje: .......... Digitalni dokazi ..................................................................................................................................................... 9 2.1 Uvod .............................................................................................................................................................................. 10 2.2 Povijesni pregled digitalnih dokaza ................................................................................................................................. 10 2.3 Što su digitalni dokazi ..................................................................................................................................................... 11 2.4 Kazneno pravni aspekti .................................................................................................................................................. 12 2.5 Kaznenopravni (materijalni) okviri ................................................................................................................................... 13 2.6 Kazneno-procesni okviri ................................................................................................................................................. 15

2.6.1 Dokazne radnje ......................................................................................................................................................... 15 2.6.2 Elektronički (digitalni) dokaz ...................................................................................................................................... 16 2.6.3 Dokaz snimkom ......................................................................................................................................................... 16 2.6.4 Očevid i pretraga stana, drugih prostora i pretraga osobe .......................................................................................... 16 2.6.5 Privremeno oduzimanje predmeta ............................................................................................................................. 16 2.6.6 Pretraga pokretnih stvari............................................................................................................................................ 17 2.6.7 Vještačenja ................................................................................................................................................................ 17 2.6.8 Posebne dokazne radnje ........................................................................................................................................... 18

2.7 Vrste i potencijalni digitalni dokazi .................................................................................................................................. 18 2.7.1 Računalni sustavi ...................................................................................................................................................... 18 2.7.2 Podatci kreirani od korisnika ...................................................................................................................................... 19

2.8 Računalne komponente.................................................................................................................................................. 20 2.8.1 Centralni procesor (engl. CPU) .................................................................................................................................. 20 2.8.2 Radna memorija (engl. RAM) .................................................................................................................................... 20 2.8.3 Tvrdi disk (engl. hard disk) ......................................................................................................................................... 20 2.8.4 Memorijske kartice .................................................................................................................................................... 22 2.8.5 CD i DVD kao izvori forenzičkih dokaza ..................................................................................................................... 23 2.8.6 Mreţni ureĎaji ............................................................................................................................................................ 23 2.8.7 Printeri i skeneri ......................................................................................................................................................... 25 2.8.8 Ručna računala, mobilni i telefonski ureĎaji ............................................................................................................... 26 2.8.9 Digitalni aparati i kamere ........................................................................................................................................... 27 2.8.10 Global positioning system (GPS) ............................................................................................................................... 28 2.8.11 Ostali elektronički ureĎaji kao potencijalni digitalni dokazi .......................................................................................... 29

2.9 Posebnosti u vezi s digitalnim dokazima......................................................................................................................... 29 2.10 Postupanje policijskih sluţbenika na duţnosti................................................................................................................. 30

2.10.1 Osiguranje mjesta dogaĎaja ...................................................................................................................................... 31 2.10.2 ProvoĎenje dokaznih radnji tijekom kriminalističkog istraţivanja ................................................................................ 32 2.10.3 Priprema i planiranje dokaznih radnji ......................................................................................................................... 33 2.10.4 Formiranje tima ......................................................................................................................................................... 33 2.10.5 Oprema za izuzimanje računalne tehnologije ............................................................................................................ 34 2.10.6 Faze istraţivanja mjesta dogaĎaja ............................................................................................................................. 35 2.10.7 Dokumentiranje stanja na mjestu dogaĎaja ............................................................................................................... 35 2.10.8 Postupanje s CD/DVD medijima ................................................................................................................................ 37

2.11 Pakiranje, prijevoz i pohrana digitalnih dokaza ............................................................................................................... 38 2.11.1 Pakiranje ................................................................................................................................................................... 38 2.11.2 Prijevoz ..................................................................................................................................................................... 39 2.11.3 Pohrana .................................................................................................................................................................... 39

2.12 Pretraga nositelja digitalnih dokaza ................................................................................................................................ 41 2.12.1 Programsko izuzimanje dokaza ................................................................................................................................. 41

2.13 Postupak izuzimanja dokaza – opća pravila ................................................................................................................... 42 Računalo pokreće DOS, Windows ili MAC operativni sustav ...................................................................................................... 43 Računalo pokreće Windows NT ................................................................................................................................................. 43 Izuzimanje dokaza ako nam je potreban sadrţaj cijelog tvrdog diska ......................................................................................... 43 Izuzimanje dokaza ako nam je potreban dio sadrţaja računala .................................................................................................. 44 Rekonstrukcija ........................................................................................................................................................................... 44

2.14 Forenzički alati za pronalazak digitalnih dokaza ............................................................................................................. 44 2.14.1 Forenzički program - Encase ..................................................................................................................................... 44 2.14.2 Forenzički program za mobilne ureĎaje - Oxygen forensic suite ................................................................................ 46

2.15 Digitalni dokazi na mreţi................................................................................................................................................. 48 2.16 Cilj pretraţivanja računalne mreţe.................................................................................................................................. 49 2.17 Prikupljanje dokaznog materijala s CD/DVD medija ........................................................................................................ 50 2.18 Internet i terorizam ......................................................................................................................................................... 50

2.18.1 Tehnički i pravni preduvjeti borbe protiv zlouporabe interneta .................................................................................... 51 2.18.2 Računalni kriminal i nacionalno zakonodavstvo ......................................................................................................... 53 2.18.3 Internetska forenzika ................................................................................................................................................. 54 2.18.4 Terorizam jučer, danas, sutra .................................................................................................................................... 54 2.18.5 Nestabilne zemlje i terorizam ..................................................................................................................................... 55 2.18.6 Internet kao promidţbena, edukativna i regrutna infrastruktura terorizama ................................................................ 55

2.19 Zaključak ........................................................................................................................................................................ 57

3. Poglavlje: .......... ISO/IEC 27001:2005 norma ................................................................................................................................. 59 3.1 ISO 27001 serija standarda ............................................................................................................................................ 60

3.1.1 Povijest ISO 27000 serije standarda .......................................................................................................................... 61 3.2 ISO/IEC 27001 norma - općenito .................................................................................................................................... 62

3.2.1 Procesni pristup ......................................................................................................................................................... 62 3.3 Uspostava ISMS sustava (Plan faza) ............................................................................................................................. 63 3.4 Implementacija i rad ISMS sustava (Do faza) ................................................................................................................. 67 3.5 Nadzor i revizija ISMS sustava (Check faza) .................................................................................................................. 69 3.6 Odrţavanje i poboljšanje ISMS sustava (Act faza).......................................................................................................... 71

4. Poglavlje: .......... Upravljanje rizikom ............................................................................................................................................. 73 4.1 Pregled procesa upravljanja rizikom ............................................................................................................................... 74 4.2 Postupak procjene rizika ................................................................................................................................................ 75 4.3 Identifikacija resursa ....................................................................................................................................................... 75 4.4 Identifikacija ranjivosti .................................................................................................................................................... 76 4.5 Identifikacija prijetnji ....................................................................................................................................................... 77 4.6 Identifikacija i analiza postojećih sigurnosnih kontrola .................................................................................................... 78 4.7 Procjena vjerojatnosti (engl. probability) ......................................................................................................................... 79 4.8 Procjena štete (engl. impact) .......................................................................................................................................... 80 4.9 Izračun rizika .................................................................................................................................................................. 81

4.9.1 Kvantitativni pristup ................................................................................................................................................... 81 4.9.2 Kvalitativni pristup ..................................................................................................................................................... 82 4.9.3 Primjer metode za procjenu rizika .............................................................................................................................. 82

4.10 Prijedlog kontrola za umanjivanje rizika .......................................................................................................................... 84 4.11 Tretiranje rizika ............................................................................................................................................................... 84 4.12 Evaluacija i nadzor rizika ................................................................................................................................................ 85

5. Poglavlje: .......... Sigurnosna politika ............................................................................................................................................ 87 5.1 Uvod .............................................................................................................................................................................. 88 5.2 Svrha sigurnosnih politika ............................................................................................................................................... 88

5.2.1 UsklaĎivanje sa zakonskim i regulatornim zahtjevima ................................................................................................ 88 5.2.2 Sigurnosna politika kao pokretač promjena ............................................................................................................... 89 5.2.3 Sigurnosna politika kao odraz stvarnog stanja ........................................................................................................... 89

5.3 Korisnici sigurnosnih politika .......................................................................................................................................... 90 5.4 Tipovi sigurnosnih politika .............................................................................................................................................. 91

5.4.1 Hijerarhija sigurnosnih politika ................................................................................................................................... 91 5.4.2 Politika informacijske sigurnosti ................................................................................................................................. 91 5.4.3 Ostale politike na području informacijske sigurnosti ................................................................................................... 94 5.4.4 Pravilnici .................................................................................................................................................................... 95 5.4.5 Procedure.................................................................................................................................................................. 95 5.4.6 Upute ........................................................................................................................................................................ 95

5.5 Izrada sigurnosnih politika .............................................................................................................................................. 95

6. Poglavlje: .......... Organizacija informacijske sigurnosti............................................................................................................... 97 6.1 Uvod .............................................................................................................................................................................. 98 6.2 Interna organizacija informacijske sigurnosti................................................................................................................... 98

6.2.1 Odgovornost uprave .................................................................................................................................................. 98 6.2.2 Koordinacija aktivnosti vezanih uz informacijsku sigurnost ........................................................................................ 99 6.2.3 Uloge i odgovornosti za informacijsku sigurnost ...................................................................................................... 100 6.2.4 Izjava o povjerljivosti ................................................................................................................................................ 101 6.2.5 Kontakti s vanjskim sluţbama .................................................................................................................................. 101 6.2.6 Kontakti s interesnim grupama ................................................................................................................................ 101 6.2.7 Revizija sigurnosti informacijskog sustava ............................................................................................................... 102

6.3 Vanjski partneri ............................................................................................................................................................ 102

7. Poglavlje: .......... Fizička sigurnost .............................................................................................................................................. 105 7.1 Uvod ............................................................................................................................................................................ 106

7.1.1 Prijetnje fizičkoj sigurnosti ........................................................................................................................................ 106 7.2 Uspostave fizičke zaštite informacijskog sustava .......................................................................................................... 107

7.2.1 Uloge i odgovornosti ................................................................................................................................................ 107 7.2.2 Integracija informacijske i fizičke sigurnosti .............................................................................................................. 108

7.3 Fizička zaštita informacijskih resursa ............................................................................................................................ 111 7.3.1 GraĎevine i okoliš .................................................................................................................................................... 111 7.3.2 Prostorije ................................................................................................................................................................. 115 7.3.3 Računalna i mreţna oprema .................................................................................................................................... 122 7.3.4 Papirnati i elektronički mediji ................................................................................................................................... 125

8. Poglavlje: .......... Klasifikacija informacija ................................................................................................................................... 129 8.1 Uvod ............................................................................................................................................................................ 130 8.2 Osnovni koncepti .......................................................................................................................................................... 130

8.2.1 Vlasnik informacije .................................................................................................................................................. 130 8.2.2 Kategorije klasifikacije ............................................................................................................................................. 130 8.2.3 Ključna pitanja ......................................................................................................................................................... 131

8.3 Proces klasifikacije informacija ..................................................................................................................................... 131 8.3.1 Identifikacija informacija .......................................................................................................................................... 131 8.3.2 Definiranje klasifikacijskih razina ............................................................................................................................. 132 8.3.3 Definiranje kontrola za pojedine klasifikacijske razine .............................................................................................. 132 8.3.4 Klasificiranje informacija .......................................................................................................................................... 134

9. Poglavlje: .......... Kriptografija ...................................................................................................................................................... 135 9.1 Uvod ............................................................................................................................................................................ 136 9.2 Simetrični kriptografski algoritmi ................................................................................................................................... 136

9.2.1 Supstitucijski i transpozicijski načini enkriptiranja ..................................................................................................... 137 9.2.2 DES i 3-DES ........................................................................................................................................................... 140 9.2.3 AES ......................................................................................................................................................................... 144 9.2.4 RC4 ......................................................................................................................................................................... 145

9.3 Asimetrični kriptografski algoritmi ................................................................................................................................. 146 9.3.1 RSA......................................................................................................................................................................... 146

9.4 Algoritmi saţimanja (hashing) ....................................................................................................................................... 148 9.4.1 Merkle-Damgard konstrukcija .................................................................................................................................. 149 9.4.2 CRC32 .................................................................................................................................................................... 150 9.4.3 MD5 ........................................................................................................................................................................ 151 9.4.4 SHA......................................................................................................................................................................... 156 9.4.5 MAC i HMAC ........................................................................................................................................................... 157

9.5 Kriptoanaliza ................................................................................................................................................................ 158 9.6 Digitalni potpis .............................................................................................................................................................. 161

10. Poglavlje: ........ Infrastruktura javnog ključa ............................................................................................................................. 165 10.1 Uvod u PKI ................................................................................................................................................................... 166 10.2 Komponente PKI sustava ............................................................................................................................................. 167

10.2.1 Certifikacijski centar................................................................................................................................................. 167 10.2.2 Registracijski centar ................................................................................................................................................ 168 10.2.3 Krajnji korisnik ......................................................................................................................................................... 168

10.3 Kros-certifikacija ........................................................................................................................................................... 170 10.4 Digitalni certifikati ......................................................................................................................................................... 170

10.4.1 Tipovi digitalnih certifikata ........................................................................................................................................ 172 10.5 Arhitekture PKI sustava ................................................................................................................................................ 173

10.5.1 Jednoslojna PKI arhitektura ..................................................................................................................................... 173 10.5.2 Hijerarhijska PKI arhitektura .................................................................................................................................... 173 10.5.3 Mreţna (mješovita) PKI arhitektura .......................................................................................................................... 174

11. Poglavlje: ........ Upravljanje informacijskim ranjivostima ......................................................................................................... 177 11.1 Upravljanje ranjivostima informacijskih sustava ............................................................................................................ 178 11.2 Ţivotni ciklus ranjivosti .................................................................................................................................................. 179 11.3 Proces upravljanja ranjivostima .................................................................................................................................... 181

11.3.1 Identifikacija i prioritizacija informacijskih resursa .................................................................................................... 182 11.3.2 Otkrivanje i analiza ranjivosti ................................................................................................................................... 183 11.3.3 Uklanjanje ranjivosti................................................................................................................................................. 184 11.3.4 Kontinuirani nadzor i praćenje ................................................................................................................................. 186

11.4 Penetracijsko testiranje ................................................................................................................................................ 187 11.4.1 Podjela prema opsegu ............................................................................................................................................. 187 11.4.2 Podjela prema načinu provoĎenja ........................................................................................................................... 188 11.4.3 Postupak provoĎenja penetracijskog testa ............................................................................................................... 188

12. Poglavlje: ........ Upravljanje log zapisima .................................................................................................................................. 203 12.1 Što su log zapisi ........................................................................................................................................................... 204

12.1.1 Sustav upravljanja operativnim i sistemskim zapisima ............................................................................................. 204 12.2 Tipovi log zapisa .......................................................................................................................................................... 206 12.3 Syslog .......................................................................................................................................................................... 210

12.3.1 Syslog protokol ........................................................................................................................................................ 210 12.3.2 Prednosti i nedostatci Syslog protokola ................................................................................................................... 214

12.4 SIEM sustavi ................................................................................................................................................................ 215 12.4.1 Vizualizacija log zapisa ............................................................................................................................................ 216

13. Poglavlje: ........ Maliciozni programi .......................................................................................................................................... 221 13.1 Povijest malicioznih programa ...................................................................................................................................... 222 13.2 Vrste malicioznih programa .......................................................................................................................................... 222

13.2.1 Virusi ....................................................................................................................................................................... 223 13.2.2 Crvi.......................................................................................................................................................................... 224 13.2.3 Trojanski konji ......................................................................................................................................................... 225 13.2.4 Spyware i adware programi ..................................................................................................................................... 226

13.3 Napredne mogućnosti malicioznih programa ................................................................................................................ 226 13.4 Mreţe malicioznih programa......................................................................................................................................... 228 13.5 Antivirusni programi ...................................................................................................................................................... 231

14. Poglavlje: ........ Zaštita od neovlaštenih aktivnosti................................................................................................................... 233 14.1 Sustavi za detekciju i prevenciju neovlaštenih aktivnosti............................................................................................... 234

14.1.1 Metode detekcije IDS/IPS sustava ........................................................................................................................... 237 14.2 Komponente IDS/IPS sustava ...................................................................................................................................... 240

14.2.1 Komponente IDS/IPS sustava ................................................................................................................................. 240 14.3 Mreţni IDS/IPS sustavi ................................................................................................................................................. 242

14.3.1 Mogućnosti i ograničenja mreţnih IDS/IPS sustava ................................................................................................. 244 14.4 Posluţiteljski IDS/IPS sustavi ....................................................................................................................................... 247

14.4.1 Mogućnosti i ograničenja posluţiteljskih IDS/IPS sustava ........................................................................................ 248 14.4.2 Ograničenja i nedostaci posluţiteljskih IDS/IPS sustava .......................................................................................... 249

15. Poglavlje: ........ Mreţna sigurnost .............................................................................................................................................. 251 15.1 Sustavi za implementaciju sigurnosnih kontrola na računalnim mreţama ..................................................................... 252

15.1.1 Načini rada vatrozida ............................................................................................................................................... 253 15.1.2 Paketni filtri .............................................................................................................................................................. 253

15.1.3 Detaljna analiza mreţnih protokola (engl. stateful inspection) .................................................................................. 255 15.1.4 Proxy ili circuit vatrozidi ........................................................................................................................................... 256 15.1.5 Aplikacijski vatrozidi................................................................................................................................................. 257 15.1.6 Osobni vatrozidi ....................................................................................................................................................... 257 15.1.7 Virtualni vatrozidi ..................................................................................................................................................... 258

15.2 Prepisivanje adresa (NAT) ........................................................................................................................................... 259 15.3 Implementacije vatrozida .............................................................................................................................................. 261

15.3.1 Implementacija s dva vatrozida spojena u seriju ...................................................................................................... 261 15.3.2 Three-leg implementacija s jednim vatrozidom ........................................................................................................ 263 15.3.3 Implementacija s dva vatrozida s DMZ mreţom izmeĎu vatrozida ........................................................................... 264

15.4 VPN posluţitelji ............................................................................................................................................................ 266 15.5 Kontrola pristupa mreţi (engl. Network Access Control) ............................................................................................... 268

16. Poglavlje: ........ Odrţavanje poslovanja u kriznim situacijama ................................................................................................ 269 16.1 Uvod ............................................................................................................................................................................ 270 16.2 Planiranje kontinuiteta poslovanja ................................................................................................................................ 270 16.3 Procjena rizika .............................................................................................................................................................. 271 16.4 Analiza utjecaja na poslovanje (engl. Business Impact Analysis, BIA) .......................................................................... 272

16.4.1 Identifikacija poslovnih procesa i aktivnosti .............................................................................................................. 274 16.4.2 Procjena financijskih i operativnih posljedica ........................................................................................................... 275 16.4.3 Identifikacija kritičnih procesa .................................................................................................................................. 276 16.4.4 Identifikacija maksimalnog vremena prekida i prioritizacija kritičnih procesa ............................................................ 276 16.4.5 Identifikacija kritičnih resursa ................................................................................................................................... 277 16.4.6 OdreĎivanje RTO parametra ................................................................................................................................... 278 16.4.7 OdreĎivanje RPO parametara ................................................................................................................................. 278 16.4.8 Priprema izvještaja .................................................................................................................................................. 278

16.5 Razvoj strategije kontinuiteta poslovanja ...................................................................................................................... 278 16.6 Razvoj planova kontinuiteta poslovanja ........................................................................................................................ 279

16.6.1 Sadrţaj plana kontinuiteta poslovanja ...................................................................................................................... 279 16.6.2 Izvršavanje BCP plana ............................................................................................................................................ 280

16.7 Testiranje planova kontinuiteta poslovanja ................................................................................................................... 282 16.8 Odrţavanje planova kontinuiteta poslovanja ................................................................................................................. 282 16.9 Ključni izlazi iz svih faza planiranja kontinuiteta poslovanja .......................................................................................... 283 16.10 Ţivotni ciklus upravljanja kontinuitetom poslovanja ....................................................................................................... 283 16.11 Program upravljanja kontinuitetom poslovanja .............................................................................................................. 284 16.12 Politika kontinuiteta poslovanja ..................................................................................................................................... 285 16.13 Zaključak ...................................................................................................................................................................... 286

U ovom poglavlju naučit ćete:

Što su maliciozni programi

Metode funkcioniranja malicioznih programa

Kako rade antivirusni programi

13. Poglavlje: Maliciozni programi

Str.222§

§SIGURNOST INFORMACIJSKIH SUSTAVA

tel: 01 2222 182, e-mail: [email protected]

§www.racunarstvo.hr §

13.1 Povijest malicioznih programa

Pod malicioznim programima smatraju se bilo koji programi koji mogu narušiti jedan od ključnih elemenata sigurnosti: povjerljivost, integritet ili dostupnost. Iako je tek u zadnjih nekoliko godina zabiljeţen velik rast broja malicioznih programa, isti postoje već čitav niz godina, praktički od samih početaka izrada programa. Sama ideja programa koji se sami reproduciraju, što je jedna od karakteristika virusa, potiče još od John von Neumanna koji je 1940. razmatrao ideju samoreproduktivnih programa. Prvim malicioznim programom koji je bio napravljen pod kontroliranim uvjetima smatra se program koji je 1962. godine napisalo nekoliko zaposlenika Bell laboratorija, meĎu kojima je i Robert Morris, otac autora poznatog crva. Ovi znanstvenici napisali su program pod nazivom "Darwin" čiji je cilj bio automatski se reproducirati i pronalaziti druge programe u memoriji te ih brisati. Maliciozni programi bili su ipak relativno rijetki sve do pojave kućnih računala. Ipak, iz prethodnog razdoblja moţe se izdvojiti virus pod imenom Creeper, koji je inficirao računala spojena na ARPANET računalnu mreţu američke vojske početkom sedamdesetih godina prošlog stoljeća. Ovaj virus inficirao je računala s operacijskim sustavom Tenex koji je bio popularan u to vrijeme te se automatski kopirao na druga računala putem modemske veze. Na inficiranim računalima virus je ostavio poruku "I'M THE CREEPER: CATCH ME IF YOU CAN". Ovaj virus vaţan je i po tome što je prvi put bio napisan legitimni program s karakteristikama virusa – cilj programa pod imenom Reaper bilo je automatsko širenje te brisanje virusa Creeper. Ujedno je i ovaj dogaĎaj prvi pokazao da izrada programa za automatsko brisanje virusa, koji dijele karakteristike virusa nema dobar učinak, budući da je i Reaper izazvao probleme na ARPANET računalnoj mreţi. Početkom osamdesetih godina prošlog stoljeća kućna računala postajala su sve popularnijima. Prvi virus zabiljeţen za kućna računala je Elk Cloner, virus za Apple II računala koji se širio preko disketa. Virus je modificirao ključne sektore na disketama kako bi se pokrenuo prilikom pokretanja računala s diskete, budući da su Apple II računala podizala i operacijski sustav s disketa. Elk Cloner tako je bio memorijski rezidentan virus, što znači da je bio aktivan tijekom rada računala te je inficirao sve druge diskete koje bi bile umetnute u računalo tijekom njegova rada. Prvi virus za IBM (PC) računala otkriven je 1986. godine. Riječ je o virusu pod imenom Brain koji je, poput Elk Cloner virusa inficirao početne sektore disketa. Virus Brain nije imao nikakvu funkcionalnost, već je samo bio aktivan u memoriji i inficirao druge diskete koje su bile umetnute u računalo. Jedna od značajnih mogućnosti Braina bilo je skrivanje inficiranih sektora na disketi. Prilikom pregledavanja sektora u kojima je bio pohranjen Brain, a ako je virus bio aktivan u memoriji, korisnik je vidio izvorne sektore te na taj način nije mogao otkriti prisustvo virusa. Kasnije te godine napisan je i prvi virus koji je bio u stanju inficirati druge datoteke. Riječ je o virusu pod imenom Virdem koji je mogao inficirati COM datoteke DOS operacijskog sustava.

13.2 Vrste malicioznih programa

Od 1990. godine nadalje biljeţi se strelovit rast malicioznih programa i pojava novih tipova malicioznih programa s proširenim mogućnostima. Iako ne postoji točna definicija svakog od tipova malicioznih programa navedenih u nastavku, antivirusni stručnjaci općenito se slaţu oko definicija koje se koriste u okviru ovog kolegija. Budući da današnji maliciozni programi koriste različite metode širenja i sprječavanja detekcije i analize, u velikom broju slučaja dolazi do preklapanja različitih tipova malicioznih programa tako da u nekim slučajevima, kao što je opisano u nastavku, nije moguće jednoznačno odrediti o kojem se tipu malicioznog programa radi.

Str.223§

§13. POGLAVLJE: MALICIOZNI PROGRAMI

Zagreb – Ilica 242

§

V i s o k a š k o l a z a p r i m i j e n j e n o r a č u n a r s t v o §

13.2.1 Virusi

Virusi su bili prva vrsta malicioznih programa. Glavna karakteristika virusa je to da se kompletno tijelo malicioznog programa "priljepljuje" na legitimni program, bilo da je riječ o drugom programu ili fizičkim sektorima na nekom mediju (npr. tvrdom disku ili disketi). Drugim riječima, virus je u stanju identificirati početnu/ulaznu adresu programa koji se inficira, dodati svoje tijelo na kraj (ili na neku drugu lokaciju, gdje ima dovoljno prostora) tog programa te promijeniti početnu/ulaznu adresu programa tako da pokazuje na tijelo virusa, kao što je pokazano na priloţenoj slici.

Na ovaj način legitimni je program inficiran te će prilikom pokretanja istoga biti prvo pokrenut virus. Nakon uspješnog pokretanja virusa, on vraća kontrolu natrag legitimnom programu, što znači da krajnji korisnik u većini slučajeva neće primijetiti nikakvu promjenu u funkcionalnosti programa. Prema načinu inficiranja datoteka odnosno sektora, mogu se navesti sljedeće kategorije virusa:

a) Virusi koji inficiraju datoteke (engl. File infector viruses). Virusi koji spadaju u ovu kategoriju inficiraju izvršne datoteke (npr. EXE, COM). Metoda inficiranja jednaka je gore opisanoj, što znači da virus mijenja početnu/ulaznu adresu programa koji se inficira kako bi pokazivala na njegov programski kod. Virusi koji inficiraju datoteke teoretski mogu postojati za bilo koji operacijski sustav, budući da su osnove rada operacijskih sustava jednake. U stvarnom su svijetu najčešće otkriveni virusi za Windows operacijske sustave, no treba spomenuti da postoje i virusi za druge, manje popularne operacijske sustave poput Mac OS X-a ili Linuxa. Kod svih navedenih slučajeva metoda inficiranja izvršnih datoteka je jednaka, no autori malicioznih programa moraju se prilagoditi specifičnostima formata pojedinih izvršnih datoteka budući da Windows operacijski sustavi koriste format pod imenom PE (Portable Executable format), dok npr. Linux operacijski sustavi koriste format pod imenom ELF (Executable and Linkable format). Iako su formati slični (datoteke se dijele u sekcije s izvršnim kodom odnosno podatkovnim sekcijama), nisu meĎusobno kompatibilni.

b) Boot sektor virusi. Boot sektor virusi inficiraju boot sektor medija, bilo da je riječ o tvrdom disku ili disketi. Prilikom podizanja računala, BIOS računala prvo pročita boot sektor medija s kojeg se računalo podiţe. Boot sektor sadrţi kratak program koji omogućava podizanje ostatka operacijskog sustava.

Str.224§




Boot sektor virusi bili su vrlo popularni tijekom devedesetih godina, budući da su korisnici razmjenjivali programe disketama te nerijetko podizali operacijski sustav s disketa. Uporabom tvrdih diskova i pojavom Windows operacijskih sustava boot sektor virusi postali su manje popularni sve do 2008. kada su mogućnosti ovih virusa opet privukle paţnju autora. Budući da se program u boot sektor virusu pokreće prije samog operacijskog sustava, virusi mogu iskoristiti ovu činjenicu i preuzeti kontrolu nad operacijskim sustavom. MeĎutim, pisanje ovakvih malicioznih programa vrlo je kompleksno zbog toga što virus mora upravljati strukturama koje koristi kernel operacijskog sustava. Primjer ovakvog virusa je MebRoot, vrlo napredan virus koji se pohranjuje u boot sector tvrdog diska, a u stanju je inficirati čak i Windows 7 operacijske sustave.

c) Makro virusi. Makro virusi postali su popularni u devedesetim godinama pojavom uredskih aplikacija koje su omogućavale proširivanje funkcionalnosti korištenjem tzv. makro jezika. Najpopularnije aplikacije za koje postoji i najveći broj makro virusa svakako su one iz Microsoft Office uredskog paketa, poimenice Microsoft Word, Excel i Power Point. Navedene aplikacije omogućavaju pisanje programa u njihovu makro jeziku, koji se zatim pohranjuje zajedno s dokumentom. Prilikom budućeg otvaranja dokumenta moguće je postaviti automatsko pokretanje makro programa, što će omogućiti pokretanje virusa i eventualnu infekciju drugih dokumenata. Zbog izrazite velike raširenosti ovog tipa virusa (u jednom trenutku to su bili najrašireniji virusi u svijetu), Microsoft je promijenio Office aplikacije te onemogućio automatsko pokretanje makro programa pohranjenog s dokumentom koji se otvara. Nove inačice Microsoft Office uredskog paketa tako prilikom pokretanja makro programa upozoravaju korisnika o mogućim posljedicama. Makro virusi nisu ograničeni samo na Microsoft Office aplikacije, već i na bilo koju drugu aplikaciju koja omogućava pisanje i pohranjivanje makro programa. Tako su pronaĎeni makro virusi čak i za Autocad aplikaciju.

Gore navedene kategorije virusa autori vrlo često kombiniraju, tako da se mogu naći virusi koji su u stanju inficirati druge datoteke, ali i boot sektor. Na ovaj način autori virusa povećavaju vjerojatnost infekcije ciljnog sustava, ali i oteţavaju uklanjanje virusa s inficiranog računala. Naime, ako korisnik npr. ukloni virus iz svih inficiranih izvršnih datoteka, ali ga ne ukloni iz boot sektora, prilikom sljedećeg pokretanja računala sve će izvršne datoteke opet biti inficirane. Ovakvi se virusi nazivaju multi-partite virusi.

13.2.2 Crvi

Crvi predstavljaju specijalnu kategoriju malicioznih programa čija je glavna karakteristika da se šire putem računalnih mreţa, ali ne inficiraju druge datoteke, bilo da je riječ o izvršnim datotekama ili boot sektoru tvrdih diskova, odnosno disketa. Budući da ne inficiraju druge datoteke, crvi su zapravo samostalni programi te se najčešće nalaze u vidu jedne izvršne datoteke. Kako bi se širili putem računalnih mreţa, crvi danas najčešće iskorištavaju sigurnosne ranjivosti u mreţnim servisima, operacijskim sustavima ili aplikacijama. Budući da crvi ne inficiraju druge datoteke, šire se kopiranjem cijelog tijela crva, odnosno cijelog programa. Prema kategoriji sigurnosne ranjivosti koju iskorištavaju, crve moţemo podijeliti u sljedeće skupine:

a) Crve koji iskorištavaju sigurnosne ranjivosti u implementiranim sigurnosnim kontrolama. Implementirane sigurnosne kontrole često dozvoljavaju jednostavne korisničke zaporke ili nepravilno konfigurirana prava pristupa datotekama operacijskog

Str.225§



§


sustava. Crvi mogu iskoristiti ove sigurnosne ranjivosti kako bi se kopirali na ciljno računalo te zatim pokrenuli. Primjer crva koji iskorištava ovakve ranjivosti je SDBot, crv koji pokušava probiti slabu zaporku administratorskog korisničkog računa nakon čega se kopira na udaljeno Windows računalo te pokreće.

b) Crve koji iskorištavaju sigurnosne ranjivosti u mreţnim servisima. U ovom slučaju riječ je o iskorištavanju mreţnih ranjivosti u programskom kodu mreţnih servisa. Primjer crva koji spada u ovu kategoriju je SQL Slammer, crv koji iskorištava sigurnosnu ranjivost prepisivanja podataka na stogu u Microsoft SQL Server programskom paketu. Ovaj crv napisan je 2003. godine kada je uzrokovao velike probleme u pristupu posluţiteljima na Internetu zbog količine prometa koju su generirali inficirani posluţitelji. Crv je takoĎer bio vrlo optimiziran te je kompletan kod crva bio napisan u 376 okteta. Crvi u ovoj kategoriji mogu iskorištavati bilo koju sigurnosnu ranjivost u nekom mreţnom servisu dostupnom preko Interneta ili lokalnih računalnih mreţa. Sadmind crv, napisan 2001. godine jedan je od rijetkih malicioznih programa koji je u stanju inficirati i Solaris i Windows operacijske sustave, dakle različite arhitekture računala. Crv se zapravo sastoji od dva programa te nakon ustanovljavanja inačice servisa na posluţitelju koji napada pokreće dio namijenjen iskorištavanju sigurnosne ranjivosti na ciljnom operacijskom sustavu. Crv je iskorištavao sigurnosne ranjivosti u Microsoft IIS posluţitelju, odnosno sadmind servisu (Solstice AdminSuite) na Solaris operacijskim sustavima, prema kojem je i dobio ime.

c) Crve koji iskorištavaju sigurnosne ranjivosti u aplikacijama. U ovu skupinu spadaju crvi koji napadaju aplikacije instalirane na klijentskim računalima. Klasičan primjer crva koji pripada ovoj skupini je Klez, koji iskorištava sigurnosnu ranjivost u Microsoft Outlook Express aplikaciji za elektroničku poštu. Klez se širi slanjem poruka elektroničke pošte koje sadrţe maliciozni kod. Ovaj kod se izvršava prilikom otvaranja poruke u ranjivoj inačici Microsoft Outlook Express aplikacije te automatski inficira računalo. Nakon infekcije crv se dalje automatski šalje u vidu poruka elektroničke pošte na sve adrese koje je našao na novo inficiranom računalu.

d) Crve koji iskorištavaju mehanizme socijalnog inţenjeringa, odnosno ovise o aktivnosti korisnika. U ovu skupinu spadaju crvi koji se šire isključivo zahvaljujući aktivnostima korisnika koje se na razne načine navodi na provoĎenje istih. Klasičan primjer crva iz ove kategorije je web crv koji napada popularne mreţne društvene servise poput Facebooka ili MySpacea gdje korisnici, da bi omogućili širenje crva, trebaju posjetiti odreĎenu web stranicu u isto vrijeme kada su prijavljeni na društveni servis. Crvi iz ove kategorije nerijetko iskorištavaju sigurnosne ranjivosti u web aplikacijama, poput CSRF-a (engl. Cross Site Request Forgery).

13.2.3 Trojanski konji

Osnovna karakteristika trojanskih konja je da su maliciozni programi koji se nisu u stanju sami širiti. Dakle, za razliku od virusa i crva, trojanski konji sami po sebi ne mogu inficirati nova računala, već se za širenje istih često koriste upravo virusi ili crvi. Trojanski konji kao kategorija malicioznih programa dobili su ime upravo prema povijesnom dogaĎaju u Troji, kada su grčki ratnici napravili drvenog trojanskog konja, kojeg su stanovnici Troje prihvatili kao poklon u zalog mira. No, u trojanskom konju bili su skriveni grčki ratnici koji su po noći, nakon što je konj unesen unutar zidina Troje, otvorili ulazna vrata te omogućili napad.

Str.226§




Računalni trojanski konji slični su onom povijesnom u smislu da obično zavaravaju korisnika predstavljajući se kao legitimni programi. Korisnik, ne znajući o čemu je zbilja riječ, često i sam, dobrovoljno, instalira trojanske konje na svoje računalo, a oni nakon toga poduzimaju odreĎene maliciozne aktivnosti. Danas se trojanski konji najčešće koriste za kraĎu osobnih informacija s inficiranih računala, a nerijetko napadačima omogućavaju i udaljenu kontrolu. Mehanizmi za udaljenu kontrolu nazivaju se straţnjim vratima (engl. backdoor), budući da napadačima omogućavaju neometanu i neograničenu kontrolu inficiranih računala. U slučaju kontrole velikog broja inficiranih računala napadači nerijetko koriste napredne mehanizme za kontrolu opisane u poglavlju 13.8.

13.2.4 Spyware i adware programi

Spyware i adware posebna su kategorija malicioznih programa. Kao što je riječ i o virusima, niti ovdje ne postoji jasna definicija ove kategorije malicioznih programa. Općenito prihvaćena definicija spywarea obuhvaća sve maliciozne programe kojima je cilj narušiti privatnost ili dohvatiti osobne informacije korisnika. Metode širenja spywarea te same izvedbe ovih aplikacija nisu bitne budući da se u stvarnom svijetu moţe naći širok spektar malicioznih programa koji spadaju u ovu grupu. Osim zasebnih aplikacija čiji je cilj kraĎa osobnih informacija korisnika, spyware maliciozni programi najčešće se distribuiraju u vidu specijalnih dodataka za web preglednike, kao što su Browser Helper Object dodaci za Internet Explorer. Ovi dodaci omogućavaju presretanje i modificiranje svih zahtjeva koje web preglednik šalje, odnosno odgovora koje dobiva od udaljenog posluţitelja na temelju čega napadač moţe ukrasti povjerljive informacije. Uz specijalne aplikacije, za praćenje aktivnosti korisnika nerijetko se koriste i kolačići web preglednika. Kolačići su zapravo obične tekstualne datoteke koje web preglednik pohranjuje ovisno o web stranici koju korisnik posjećuje. Kolačići su potpuno legitimna funkcija HTTP protokola bez koje zapravo veliki broj web stranica ne bi niti mogao ispravno funkcionirati, budući da se koriste za praćenje stanja sesije korisnika (engl. session tracking). Ovo je potrebno zbog toga što HTTP protokol nema nikakvu oznaku stanja, već da se svaki upit na posluţitelj obraĎuje zasebno; kolačići zato predstavljaju vrijednost koja web posluţitelju, odnosno web aplikaciji omogućuje identifikaciju pojedinog korisnika. Jednom pohranjeni kolačić web posluţitelju se šalje prilikom svakog budućeg posjećivanja. Ograničenje kolačića je to da pojedina web aplikacija moţe pristupiti samo kolačićima u svojoj domeni, a ne i onim drugima. Npr. kolačić koji je postavila domena racunarstvo.com ne moţe pročitati niti jedna druga stranica osim one u toj domeni. Kolačići se koriste za praćenje aktivnosti korisnika posebno putem reklama koje se nalaze na stranicama. Kako se reklame obično učitavaju s izdvojenih posluţitelja, moguće je da dvije web stranice u različitim domenama (npr. racunarstvo.com i algebra.hr) prikazuju istu reklamu, s nekog trećeg posluţitelja. Ovaj treći posluţitelj moţe identificirati pojedinog korisnika i njegove aktivnosti te točno ustanoviti je li navedeni korisnik pristupio na obje web stranice ili samo jednu te kada. Konačno, posebnu kategoriju malicioznih programa predstavljaju i adware programi. Cilj ovih malicioznih programa je prikazivanje oglasa na bilo koji način. Oglasi se najčešće korisniku inficiranog računala prikazuju prilikom pregledavanja web stranica, a nerijetko adware programi i presreću aktivnosti korisnika, kako bi napadač generirao zaradu posjećivanjem odreĎenih web stranica, koje korisnik moţda inicijalno nije niti ţelio posjetiti.

13.3 Napredne mogućnosti malicioznih programa

Prilikom širenja novog malicioznog programa, glavnina infekcija dogaĎa se još dok antivirusni proizvoĎači nisu izdali nove definicije koje omogućavaju detekciju tog programa (način rada antivirusnih programa detaljnije je opisan u poglavlju 13.9). Ovo vrijeme naziva se prozor

Str.227§



§


mogućnosti (engl. window of opportunity) i autori malicioznih programa nastoje ga što je moguće više povećati. U svrhu oteţavanja detekcije antivirusnih programa autori malicioznih programa koriste različite metode koje su navedene u nastavku ovog poglavlja:

a) Polimorfizam malicioznih programa. Polimorfizam predstavlja promjenu tijela programa uz zadrţavanje jednake funkcionalnosti. Osnovna svrha polimorfizma je oteţavanje detekcije od strane antivirusnih programa koji detekciju temelje na potpisima. Budući da je potpis vezan uz samo tijelo malicioznog programa (slijed okteta koji predstavljaju maliciozni program), promjenom tijela navedeni potpis više neće vrijediti te će proizvoĎač antivirusnog programa morati izdati novi potpis. Polimorfizam se najčešće implementira tako da se glavni dio malicioznog programa enkriptira ili komprimira korištenjem specijalnih programa pisanih u tu svrhu koji se nazivaju engl. packer. Nakon što je glavni program enkriptiran, vidljiv je samo kod packer programa. Prilikom pokretanja malicioznog programa, packer će u memoriji računala dekriptirati, odnosno dekomprimirati izvorni maliciozni programa te ga nakon toga pokrenuti. Polimorfizam se sada moţe implementirati promjenom enkripcijskog ključa, što će rezultirati i promjernom enkriptiranog tijela malicioznog programa. Iako antivirusni programi mogu temeljiti detekciju i na samom packeru, to u nekim slučajevima nije moguće, budući da se isti packer program moţe koristiti i u legitimne svrhe (npr. za zaštitu legitimnih programa od analize). Danas antivirusni programi najčešće uključuju i metode heuristike odnosno pokretanja u izoliranom okruţenju, čime se rješava problem polimorfizma, budući da aktivnosti malicioznog programa ostaju nepromijenjene.

b) Rootkit tehnologija. Rootkit tehnologija omogućava integriranje malicioznih programa s ključnim funkcijama i strukturama jezgre operacijskog sustava. Ova napredna metoda skrivanja postala je vrlo popularna 2007. godine nakon čega se sve češće pronalaze maliciozni programi koji imaju rootkit komponentu. Rootkit komponenta obično koristi metode presretanja poziva jezgri operacijskog sustava. Npr. kada bilo koja aktivna aplikacija na računalu ţeli otvoriti neku datoteku ili direktorij, ta aktivnost se obavlja pozivom odreĎenoj funkciji jezgre operacijskog sustava. Jezgra operacijskog sustava zatim rukuje svim ostalim pozivima niske razine (npr. izravna komunikacija s hardverom računala), a aplikaciji koja je poslala izvorni zahtjev vraćaju se samo konačni rezultati. Korištenjem metoda presretanja poziva jezgri operacijskog sustava (engl. function hooking), maliciozni program moţe tako funkciju za otvaranje datoteka usmjeriti na svoj programski kod, koji se u ovom slučaju naziva rootkit. Ovaj programski kod će prilikom svakog poziva prvo provjeriti ime datoteke koja se ţeli otvoriti i usporediti to ime s listom zabranjenih imena (npr. ime datoteke samog malicioznog programa). Ako korisnik (odnosno aplikacija na računalu) ţeli otvoriti maliciozni program, rootkit komponenta će vratiti laţnu poruku da ta datoteka ne postoji. U protivnom, poziv se usmjeruje legitimnoj funkciji jezgre operacijskog sustava te aplikacija dobiva prave podatke, kao da rootkit niti ne postoji. Na ovaj način svim aplikacijama pokrenutim na inficiranom računalu onemogućava se pristup malicioznom programu, koji je u potpunosti skriven, naravno ovisno o implementaciji same rootkit komponente. Osim datoteka i direktorija, rootkit komponente mogu sakriti ili modificirati bilo koji dio operacijskog sustava, pa se vrlo često skrivaju i otvoreni portovi ili drugi parametri mreţnih komunikacijskih veza kako bi se korisniku inficiranog računala, ali i antivirusnim programima što je više moguće oteţala detekcija. Zbog kompleksnosti detekcije malicioznih programa koji koriste rootkit komponente, u svrhu uklanjanja malicioznog programa danas se uvijek preporučuje kompletna

Str.228§




reinstalacija računala, a ako to nije moguće, pregledavanje antivirusnim programom pokrenutim sa samostalnog medija poput CD-ROM-a, kako bi se eliminirala mogućnost modificiranja rezultata od strane rootkita.

c) Oteţavanje analize umetanjem nekorisnog koda. Svrha ovog koraka je isključivo oteţavanje analize koju obavljaju antivirusni stručnjaci, iako se nekada ove metode koriste i za promjenu potpisa malicioznog programa, čime se pokušava izbjeći detekcija od strane antivirusnih programa. Umetanje nekorisnog programskog koda obično se provodi na najniţoj razini, u strojnom jeziku. Autori malicioznih programa tako mogu ubacivati kompleksne funkcije u program koje ne provode nikakve korisne aktivnosti, već je cilj samo učiniti ručnu analizu programa duţom i kompleksnijom, pogotovo kada se uzme u obzir da je riječ o analizi strojnog koda, koja je sama po sebi već vrlo kompleksna. Umetanje nekorisnog programskog koda moţe imati i legitimne svrhe te se vrlo često koristi za izradu "vodenog ţiga" (engl. watermark), čime proizvoĎači aplikacija stvaraju jedinstveni potpis svake aplikacije, što im omogućava identifikaciju u slučaju nelegitimnih aktivnosti (npr. objava aplikacije na Internetu).

d) Emulacija korištenjem virtualnih strojeva. Konačno, još jedna česta metoda zaštite malicioznih programa predstavlja korištenje virtualnih strojeva. U ovom slučaju riječ je o još jednoj inačici packer programa opisanih u prethodnom tekstu. Aktivnosti koje packer program provodi ovaj put se temelje u prevoĎenju malicioznog programa iz strojnog koda u kod koji koristi virtualni stroj (engl. bytecode). Virtualni strojevi zapravo su zasebni emulatori, a temelje se na istim principima na kojima radi i npr. virtualni stroj za programski jezik Java (engl. JVM – Java Virtual Machine). Korištenje emulacije virtualnih strojeva dodatno oteţava detekciju i analizu malicioznog programa budući da je često riječ o vrlo kompleksnim programima, što znači da je potrebno prvo analizirati funkcionalnost virtualnog stroja da bi se mogao analizirati sam maliciozni program. Zbog ovakvih oteţavajućih okolnosti, antivirusne tvrtke vrlo često ne analiziraju maliciozne programe ručno, već se analize temelje isključivo na analizama ponašanja programa. Virtualni strojevi imaju i svoje nedostatke, od kojih je najveći smanjenje performansi programa, budući da je sama emulacija vrlo kompleksna. Osim toga, neizbjeţno dolazi i do povećanja fizičke veličine programa, upravo zbog dodataka virtualnog emulatora.

Navedene metode zaštite malicioznih programa samo su primjer različitih metoda koje autori ovih programa danas upotrebljavaju. Vrlo često maliciozni programi koriste kombinacije navedenih metoda kako bi se analiza i detekcija koju obavljaju antivirusni programi što više oteţala i prolongirala.

13.4 Mreţe malicioznih programa

Nakon inicijalne infekcije računala, autori malicioznih programa nastoje što je duţe moguće ova računala i kontrolirati. Kako je u često riječ o velikom broju računala, autori malicioznih programa kontrolu provode kroz specijaliziranu infrastrukturu, odnosno posluţitelje koji se nazivaju C&C (engl. Command And Control) posluţitelji. C&C posluţitelji zapravo su vrlo često obični posluţitelji na Internetu, na kojima je pokrenuta specijalna aplikacija. Inficirana računala komuniciraju s C&C posluţiteljima i od njih dobivaju naredbe o svojim budućim aktivnostima ili im jednostavno šalju prikupljene podatke. Tako se C&C

Str.229§



§


posluţitelji, osim za izdavanje naredbi inficiranim računalima, koriste i za prikupljanje ukradenih informacija s inficiranih računala. Aplikacije koje su pokrenute na C&C posluţiteljima mogu biti bilo kakve, a danas se najčešće koriste web aplikacije koje se mogu naći i na crnom trţištu po vrlo niskim cijenama. Prikaz jedne takve popularne aplikacije (mPack) dan je na sljedećoj slici:

Inficirani strojevi kojima se upravlja preko C&C posluţitelja nazivaju se botnetima. Karakteristika botneta je da inficirani strojevi kontaktiraju jedan ili više C&C posluţitelja od kojih dobivaju naredbe o budućim aktivnostima koje trebaju provesti. Ovdje se moţe vidjeti da upravljanje inficiranim računalima ovisi o jednom posluţitelju, što olakšava identifikaciju i uklanjanje istog. Da bi svoju mreţu napravili što je moguće otpornijom na uklanjanje, autori malicioznih programa koriste tehnike brzog mijenjanja IP adrese posluţitelja koje se nazivaju Fast Flux (FF), odnosno Double Flux (DF). Fast flux tehnika temelji se na brzom i konstantnom mijenjanju A zapisa DNS imena. A zapisi definiraju IP adrese pojedinih DNS imena. Drugim riječima, kada se inficirano računalo iz botneta pokušava spojiti na C&C posluţitelj, ono se pokušava spojiti na odreĎeno DNS ime, koje je unaprijed definirano. Ako ovo DNS ime pokazuje samo na jedan A zapis (samo na jednu IP adresu), uklanjanje C&C posluţitelja vrlo je jednostavno budući da je potrebno samo onemogućiti pristup identificiranoj IP adresi. U svrhu oteţavanja ovog postupka, autori malicioznih programa definiraju velik broj prve razine posluţitelja (obično samo web posluţitelji), čije se IP adrese redovito mijenjaju. Ovi posluţitelji često su takoĎer inficirana računala koja samo sluţe za prikrivanje pravog C&C posluţitelja, kao što je prikazano na sljedećoj slici:

Str.230§




Budući da se DNS zapisi konstantno mijenjaju, moţe se vidjeti da više nije moguće locirati C&C posluţitelj te jednako tako blokiranje pristupa pojedinoj IP adresi neće spriječiti komunikaciju inficiranih računala s C&C posluţiteljem, jer će botnet automatski probati kontaktirati sljedeću IP adresu, pa ako niti to ne uspije, onu iza nje itd. Sljedeća tablica prikazuje jednu malicioznu domenu s A zapisima i pripadajućim parametrima. TTL parametar (engl. Time To Live), opisuje koliko dugo se pojedini zapis smije zadrţati u meĎuspremniku lokalnog DNS posluţitelja – vrijednost 0 znači da se zapis uopće ne smije pohranjivati u meĎuspremnik, odnosno da svaki novi upit za ovim imenom uzrokuje i kompletno razlučivanje.

Inicijalni DNS upit:

www.send-safe.com TTL = 300, IN A 68.61.82.45








Drugi upit nakon 300 sekundi:




Str.231§



§







Kao što se moţe vidjeti iz opisanog, slaba točka je još uvijek DNS ime, odnosno DNS posluţitelji za domenu koju autori malicioznih programa upotrebljavaju (NS zapisi DNS sustava). Ovaj problem autori malicioznih programa rješavaju na način da se domena koju koriste registrira kod registra koji su ili spori u rješavanju zahtjeva antivirusnih tvrtki ili na njih uopće ne odgovaraju. Tipični primjeri ovakvih registra su domene u drţavama trećeg svijeta ili nekih malih otočnih drţava, poput npr. domena .cc (Cocos (Keeling) otoci), .kz (Kazahstan) i slične. Da bi se otpornost još više povećala, danas autori malicioznih programa koriste i tzv. double flux tehnologije. Poput fast flux tehnologije, double flux mijenja A zapise konačnih imena, ali jednako tako brzo mijenja i NS zapise, što znači da više nije moguće niti blokirati mreţni promet prema DNS posluţiteljima zaduţenim za malicioznu domenu. Opisanim metodama autori malicioznih programa stvaraju vrlo otpornu infrastrukturu koja im omogućava provoĎenje kriminalnih i drugih ilegalnih aktivnosti. Ovakva infrastruktura obično se naziva neprobojnom (engl. bulletproof).

13.5 Antivirusni programi

Antivirusni programi predstavljaju osnovnu i neizostavnu liniju zaštite od malicioznih programa. Standardi za informacijsku sigurnost propisuju obaveznu instalaciju antivirusnih programa na svako računalo, bilo da je riječ o klijentskom ili posluţiteljskom računalu, kako bi se osigurala minimalna razina zaštite od malicioznih programa. Antivirusni programi integriraju se s operacijskim sustavom u svrhu identifikacije malicioznih programa. Tako se definiraju dva načina rada antivirusnih programa:

c) Detekcija u stvarnom vremenu (engl. real time detection). Ovo je najčešći način rada antivirusnih programa koji omogućava i najvišu razinu zaštite. Integracija s operacijskim sustavom omogućava provjeru svih datoteka koje korisnik ili bilo koja aplikacija pokrenuta na računalu pokušava otvoriti ili pokrenuti. Na ovaj način omogućava se detekcija i sprječavanje pokretanja malicioznih programa, čime se automatski sprječava i infekcija, odnosno širenje. Detekcija u stvarnom vremenu vrlo je bitna jer, kao što se moţe vidjeti iz ostatka poglavlja, nakon što je računalo jednom inficirano, čišćenje i uklanjanje malicioznog programa moţe biti vrlo komplicirano, ako ne i nemoguće. Problem detekcije u stvarnom vremenu je utjecaj na performanse sustava budući da se pokretanje aplikacija i otvaranje datoteka usporava za vrijeme koje je potrebno antivirusnom programu za pregledavanje. Zbog toga je jedan od ključnih zahtjeva koji se postavlja pred antivirusne programe upravo njihova brzina.

d) Detekcija na zahtjev (engl. on demand detection). Ovaj način rada obično se koristi na posluţiteljima i to u odreĎenim vremenskim intervalima (npr. po noći), uz detekciju u stvarnom vremenu. Cilj detekcije na zahtjev je otkrivanje malicioznih programa koji prethodno nisu bili detektirani. Npr. moguće je da prilikom pohranjivanja malicioznog programa na

Str.232§




posluţitelj antivirusni program još nije bio u stanju detektirati isti, no nakon što je antivirusni proizvoĎač izdao potpise za detekciju, i nakon što su potpisi bili osvjeţeni na posluţitelju, navedeni je maliciozni program moguće detektirati.

Sam postupak detekcije malicioznih programa takoĎer je manje ili više standardiziran, s tim da, naravno, svaki antivirusni proizvoĎač ima specifičnosti vezane uz svoj proizvod. MeĎutim, općeniti rad antivirusnih programa, odnosno postupak detekcije, temelji se na sljedećim metodama:

a) Detekcija potpisima (engl. signature detection). Detekcija potpisima klasičan je način rada antivirusnih programa koji je u upotrebi od samih početaka razvoja antivirusnih programa. Prilikom pojavljivanja novog malicioznog programa, antivirusni proizvoĎači ga analiziraju te pišu specijalni potpis koji njihovu proizvodu omogućava detekciju ovog malicioznog programa. Kao što se moţe vidjeti, osnovni problem detekcije potpisima je to što se radi o reaktivnom procesu, odnosno što antivirusni proizvoĎači moraju prvo analizirati maliciozni program da bi ga mogli detektirati. U pojedinim slučajima antivirusni proizvoĎači mogu napraviti tzv. generičke potpise koji mogu detektirati cijele obitelji malicioznih programa, pod uvjetom da iste imaju neke zajedničke uzorke koje dijele. Autori malicioznih programa najčešće pokušavaju zaobići detekciju potpisima visokim stupnjem polimorfizma ili korištenjem virtualnih emulatora, kao što je opisano u poglavlju 13.7.

b) Detekcija aktivnosti (ponašanja) malicioznih programa (engl. behavioral detection). Detekcija aktivnosti svodi se na praktično pokretanje programa koji se antivirusni program analizira u izoliranoj okolini. Antivirusni program na ovaj način pregledava sve aktivnosti programa te je u stanju detektirati maliciozne aktivnosti (npr. brisanje datoteka ili komunikacija s C&C posluţiteljem). Problem detekcije aktivnosti malicioznih programa su veliki zahtjevi za resursima, što znači i usporavanje rada računala korisnika. TakoĎer, implementacija izolirane okoline vrlo je kompleksna, što autori malicioznih programa nekad pokušavaju iskoristiti te detektirati sam antivirusni program ili u potpunosti onemogućiti izvoĎenje u izoliranoj okolini pozivanjem funkcija sustava koje antivirusni programi moţda nisu implementirali.

Gotovo svi današnji antivirusni programi koriste obje navedene metode detekcije kako bi što više povećali šansu detekcije novih malicioznih programa. Najnoviji razvoj ide i u smjeru oblačnog računarstva (engl. cloud computing), gdje su se prvi antivirusni programi koji koriste ovakav način rada već pojavili na trţištu.

sigurnost inf. sustava.pdf

Documents