Hakeri. Sajber kriminal. Zaštita i bezbednost informacija Predavanje br. 12 Bezbednost na Internetu PRIMERI

Transcription

1 Zaštita i bezbednost informacija Predavanje br. 12 Bezbednost na Internetu dr Ana Kovačević kana@rcub.bg.ac.rs Hakeri Hakeri mogu da nađu puno privatnih informacija o vama na Internetu. 2 Sajber kriminal PRIMERI Internet Crime Complaint Center (IC3) : : žalbi vezano za Internet kriminal. Najčešće kategorije žalbi: FBI prevare Krađa identiteta Ne aukcija/ ne isporuka robe Advance fee fraud (naknada prevare). Žalbe koje se ne odnose na prevaru: Upad u računar Dečja pornografija Ucena. 3 4 Internet Crime Complaint Center (IC3) Internet Crime Report The Internet Crime Complaint Center (IC3), ( FBI and the National White Collar Crime Center NW3C), su kreirali godišnji izveštaj o sajber kriminalu, najčešće žalbe on-line prevare 2009: online žalbi, ( 20% više nego ) Online prevare postaju ne samo učestale, već mnogo kompleksne, prema Donaldu Brackmanu, direktoru NWC3. Kriminalci u su razvili sofisticirane prevare bezazlenih potrošača- Internet kriminal evoluira na način na koji nije moglo ni da se pretpostavi pre 5 godina Internet Crime Complaint Center (IC3) Internet Crime Report

2 Internet Crime Complaint Center (IC3) Internet Crime Report 2011 Bežični ruteri Prema istraživanju "etičkog hakera" Džejsona Harta, skoro polovina bežičnih rutera može biti hakovana za manje od pet sekundi. Hart koji je svoj eksperiment izveo u šest britanskih gradova tvrdi da približno bežičnih rutera izlaže lične podatke hiljada korisnika velikom riziku. Hart je koristeći osnovnu 'wardriving' opremu pokušao da identifikuje signale bežičnih rutera, pri čemu nije pokušavao da se poveže ni na jednu od identifikovanih mreža ili da krekuje lozinke za pristup. Prema njegovim saznanjima, približno četvrtina bežičnih rutera u privatnom vlasništvu uopšte nije zaštićeno lozinkom, što je suprotno ubeđenju 82% Britanaca koji veruju da su njihovi ruteri bezbedni. Čak i mreže koje su zaštićene lozinkom nisu bezbedne jer su lozinke kojima ih korisnici navodno štite takve da mogu biti hakovane za svega nekoliko sekundi. 7 8 RIOT i FINSPY 10/software-tracks-social-media-defence Kccjnpico FinSpy Kako piše Njujork Tajms, a prenose Naše novine, Srbija je jedna od 25 zemalja u svetu čije vlasti koriste softver FinSpy (FinFisher) za špijuniranje svojih građana. Kada je reč o Srbiji, ovaj program je najverovatnije u vlasništvu nekih od obaveštajnih službi, s obzirom da proizvođač tvrdi da se softver prodaje isključivo državnim vladinim agencijama za potrebe kriminalnih istraga. To je navodno i osnovna namena programa FinSpy - praćenje kriminalaca, i to najčešće pedofila, terorista, pripadnika organizovanih kriminalnih grupa, otmičara i trgovaca ljudima FinSpy U nekim od državama koje se nalaze na spisku klijenata kompanije ne postoje zakoni kojima se jasno definišu pravila upotrebe ovakvih programa, tako da nije nemoguće da se umesto za praćenje otmičara ili dilera koristi i u druge svrhe. FinSpy je prvi put primenjen u Bahreinu. Softver je sličan trojanskim programima a u računar dospeva putem zaraženog a. On snima ekran, razgovore na Skype-u, beleži aktivnosti na tastaturi, krade fotografije i dokumente sa računara i smart telefona i sve to naravno bez znanja vlasnika o tome. Generalni sekretar Interpola žrtva sajber-kriminala Ukraden je identitet Ronalda K. Nobla, generalnog sekretara Interpola, i kasnije iskorišćen za kreiranje dva Facebook profila. Jedan od tih profila je iskorišćen za dobijanje podataka o beguncima za kojima Interpol traga zbog presuda za ozbiljna krivična dela, uključujući silovanje i ubistvo. Skoro dve trećine svih punoletnih korisnika interneta u svetu je na neki način bilo žrtva sajber-kriminala. Najviše oštećenih je u Kini, čak 83% internet korisnika ove zemlje, a za njima slede Indija i Brazil sa 76% i SAD sa 73% korisnika interneta. Istraživanjem je obuhvaćeno 7000 korisnika interneta, od kojih 80% ispitanika veruje da počinioci krivičnih dela nikad neće biti uhvaćeni i kažnjeni. Nešto manje od polovine ispitanih, upravo iz ovih razloga, uopšte i ne prijavljuje slučaj policiji. (Izvor: )

3 Obmana Poruka na FB "...NE OTVARAJTE LINK"BARAK OBAMA CLINTON SCANDAL"!!! AKO VAM SMART GIRL POSALJE ZAHTJEV ZAPRIJATELJSTVO,NE PRIHVATAJTE!!!TO JE VIRUS!!!KOPIRAJTE OVO NA ZID!!!..." hoax i spam ZLONAMERNI SOFTVER Zlonamerni softver Zlonamerni programi Zlonamerni softver (eng. malware, malicious sofrware) jeste svaki program napravljen u nameri da na bilo koji način ošteti računar i/ili oteža ili onemogući njegovo korišćenje (Pleskonjić i dr., 2007). Nekada i dobri programi mogu biti zlonamerni teža identifikacija. Različite posledice: narušavanje performansi sistema neobično ponašanje sistema preusmeravanje zahteva za otvaranje Web stranica praćenje aktivnosti i uznemiranjanje korisnika krađa ili uništavanje poverljivih informacija izvršavanje DoS napada na određeni server isključivanje sigurnosnih aplikacija menjanje podataka u bazi Registry oštećenje hardvera i dr Trojanski konji (trojanci) By Dragan Pleskonjić, Trojanci su zlonamerni programi koji se maskiraju i reklamiraju kao korisni programi kako bi se korisnici prevarili, tj. natereli da se program pokrene. Trojanac najčešće koristi zaraženi sistem da bi: krao poverljive informacije slao crva u el. pošti radi izvršenja DoS napada korišćenje resursa računarskog sistema (procesorskog vremena)

4 Primer: Trojanac Ne mogu precizno svrstati u određene kategorije; Trojanac koji otvara zadnja vrata, program omogućava udaljenom korisniku da pristupa inficiranom računaru i to najčešće kada vlasnik računara nije ni svestan posledica. Nakon inficiranja napadač može da koristi resurse inficiranog računara, npr. lozinke. (BO2K)2 (Back Orifice 2K): sa udaljenog računara na računaru na kome se nalazi BO2K server prate pritisnuti tasteri, prenose datotetke, upravlja deljenim direktorijumima, modifikuje baza Registry... Back Orifice je napravljen za udaljenu administraciju. 19 Primer: Trojanac PSW (password) trojanac pretražuje računar radi otkrivanja lozinki, ključeva (privatnih i javnih), sertifikata i/ili podataka s kreditinih kartica. Nakon sakupljanja korisnih informacija, PSW trojanac će proslediti podatke svom tvorcu. Slično rade i trojanski špijuni (trojan spy) ili obaveštajci (trojan notifiers). Npr. špijun miruje na inficiranom računaru i beleži pritisnute tastere (keylogging), snima ekrane, ili na neki drugi način omogućava napadaču da prati rad korisnika. Trojanac obaveštajac svom autoru šalje informacije kao što su IP adrese, adrese elektronske pošte i status portova (često se koristi kao deo zlonamernog softverskog paketa koji obaveštava autora o uspešnoj instalaciji crva ili zadnjih vrata trojanaca). 20 Primer: Trojanac Nosioci softvera (downloader) su obično realizovani u vidu trojanskih konja. Obično miruje na računaru i pokušava da preuzme sa Interneta i instalira drugi zlonamerni softver. Primer: Trojanac Trojanski proksi server (engl. proxy server) pokušaće da pretvori inficirani računar u proksi server, i na taj način udaljeni korisnici mogu da pristupe anonimno Internetu preko udaljenog računara. Na taj način inficirani računar postaje zombi (slepo sluša naredbe) i može se iskoristiti za slanje neželjenih poruka (spama) ili učestvovanje u DoS napadu Trojanac koji ucenjuje korisnike Rešenje: Isključiti računar iz struje ransomware (ran som, engl. - otkup, ucena), kodira fajlove na zaraženom računaru pre nego zatraži otkup za ključ kojim žrtva može da dekodira fajlove 23 Logičke bombe Logička bomba zlonameran kod ugrađen u neki koristan program, i aktivira se kada se ispune određeni uslovi; akcija koju izvršava mora biti nepoželjna i nepoznata korisniku (do momenta izvršenja). Jedna od najstarijih vrsta zlonamernog koda. Kada se aktivira logička bomba najčešće se ponaša destruktivno; Mikelanđelo (6 marta se aktivira). Virusi i crvi često sadrže logičke bombe, da bi se neprimetno proširili na druge sisteme, koji će se okinuti kada se ispuni neku uslov (vreme ili...): npr. virus briše datoteke 1. aprila. Logička bomba pomaže i u distribuiranom DoS napadu. 24 4

5 Crvi Samostalni programi koji se šire sa jednog računara na drugi. Često sa upotrebom elektronske pošte i Internet servisa (HTTP, FTP). Mogu koristi više različitih metoda širenja, često metode društvenog inženjeringa. Crvi se mogu klasifikovati prema metodama širenja, načinu instaliranja i pokretanja i prema karakteristikama. Primer: crv Na osnovu prenošenja mogu biti crvi, IM crvi, P2P crvi. (Netsky, MyDoom, Sasser.a i dr.) šire se preko a kao prilozi ili hiperveze. Ako se širi preko hiperveza korisniku se šalje udica koja se nakon pokretanja otvara u Web čitaču inficiranu Web lokaciju koja će se instalirati crva na žrtvu. Koriste se metode društvenog inženjeringa da bi korisnik pokrenuo program u prilogu ili da pritisne odgovarajuću hipervezu: an important thing about you, critical windows update. Crv se širi tako što svoje kopije šalje na e-adrese koji pribavlja iz resursa inficiranog računara, čita adrese iz Adress Booka, a potom pretražuje sadržaj datoteka sa odgovarajućom oznakom tipa (traži niz znakova koji odgovara e-adresama) ili odgovara na svu poštu u poštanskom sandučetu Crvi 2: Internet crvi Internet crvi traže računare koji nemaju instalirane sigurnosne zakrpe, mrežnu barijeru, ili računare koji imaju otvorene portove što može da se iskoristi (dovoljno je samo da je korisnik priključen na internet). I onda: Kopiranje crva na mrežne resurse, crv koristi usluge operativnih sistema kako bi na mreži pronašao direktorijume koji su otvoreni za čitanje i pisanje. Iskorišćava slabosti OS, crv na Internetu traži računare koji su pogodni za eksploataciju- obično oni nemaju najnoviju sigurnosnu zakrpu. Crv šalje paket koji instalira ili celog crva ili samo jedan njegov deo udicu (hook). Nakon instaliranja, udica preuzima i instalira celog crva. Korišćenje javnih mreža: crv napada HTTP i FTP servere, npr. statičke web stranice, a zatim čeka da klijenti pristupe inficiranim datotekama i napada klijenteske računare. Piggy-backing: korišćenje drugog zlonamernog softvera kao nosioca: Crv prvo identifikuje trojanskog konja ili drugog crva koji instalira zadnja vrata na žrtvi. Ova funkcionalnost dozvoljava crvu da šalje komande žrtvi. Autorun crvi Autorun crvi su maliciozni programi koji koriste prednost Windows AutoRun opcije. Izvršaju se automatski kada se uređaj na kome se nalaze priključi za računar. Autorun crvi se obično distribuiraju preko USB drajvova. AutoPlay je slično kao Autorun, i nalaze se na prenosnom medijumu, pita korisnike da slušaju muziku sa default plejerom ili da otvore Windows Explorer; crv Conficker Crv Stuxnet Stuxnet koji je instalian u elektronske delove uređaja, pogodio postrojenja za obogaćivanje uranijuma u Iranu, Stuxnet je otkriven u junu 2010: prvi maliciozni program napravljen da napadne industrijske sisteme kao što su elektrane i nuklearni reaktori. Crv je napravljen sa ciljem da usporava i ubrzava centrifuge koje su veoma osetljivi uređaji, i ukoliko se pojavi problem u kontroli frekvenicje - uništenje uređaja i katastrofa. Izvor: Primer crva MyDoom MyDomm.A ( crv + P2P ) napada Windows 95, XP, Efekti MyDoom-a su sledeći: pokušaj izvođenja DoS napada na Web lokaciju kompanije SCO čudno ponašanje, npr. otvaranje Notepad-a sa gomilom besmislenih znakova. modifikacija baze Registry. omogućava daljinski pristup računaru

6 MyDoom Zašto je MyDoom izazvao epidemiju? MyDoom koristio metode društvenog inženjeringa, i poruke sa tehničkim prizvukom: The message contains Unicode characters and has been sent as a binary attachment. Crv se širio kada je najveći protok pošte. MyDoom Ideja: crv šalje poruke na adrese sastavljene od korisničkih imena i imena domena nađenih na računaru. Pošto su uglavnom nepostojeće, poruka o neispravnoj el. pošti. sa koje se širi. MyDoom generiše poruke sa naslovom kao: Mail Transaction Failed, a telo sadrži jedan od sledećih tekstova: Mail transaction failed... Crv se šalje u attachu sa nazivima readme, doc, text, file... Kada se pokrene crv otvara Notepad sa slucajno izgenerisanim znakovima. U sistemskom direktorijumu smešta se izvršna datoteka crva (taskmon.exe), i datoteka shimgapi.dll, čiji je cilj osluškivanje dolazećih veza na TCP portovima (i na taj način neovlašćeni korisnik može da ubaci dodatne izvršne datoteke u sistem i da ih pokrene, ili da inficirani sistem upotrebi kao TCP proksi server). Pored širenja poruka i ostavljanja ulaza u sistem, MyDoom.A je programiran da 1.2. u pokrene DDos napad na Aktivnost crva prestaje ali i dalje ostaju zadnja vrata (velika problem). Zaštita: ukloniti MyDoom sa sistema, ali i analiza sistema; najbolje reinstalacija OS Virusi Virusi Virusi su zlonamerni kompjuterski programi koje se šire repliciranjem, najčešće bez znanja korisnika računara (mreže). Najopasiniji; Efekti mogu biti: brisanje važnih datoteka sistem ne može normalno da funkcioniše Ne koriste mrežne resurse za širenje, ali se mogu širiti kao deo nekog crva. Virusi se šire tako što korisnik nesvesno pošalje zaraženi attach (datotetku) uz ili preko aplikacije koja je zaražena virusom. Klasifikacija prema okruženju, metodama infekcije. npr. virusi koji napadaju sistemske datoteke i makro virusi. Virusi koji napadaju sistemske datoteke (Pleskonjić i dr.,2007): prepisujući virusi (overwritting) zamenjuje deo koda datoteke svojim kodom, i onda je datoteka neupotrebljiva; lako otkrivaju, teško čiste. parazitske viruse, dodaju kod u datoteku tako da ona ostaje delimično ili potpuno funkcionalna. pridružujuće viruse, ne menjaju sadržaj originalne datoteke, već samo njeno ime, i prave novu datoteku pod originalnim imenom koja sadrži virus. Umesto zdrave datoteke, prvo se izvršava virus, pa zdrava datoteka. viruse startnog zapisa (boot-sector) Melisa, makro virus Špijunski programi Melissa prenosi preko a, sarži MS Word dokument. Poruka: naslov: Important Message From: tekst: Here is the document you asked for... attach: datoteka sa linkovima ka pornografskim sadržajima i makro virus. Virus se izvršava kad se otvori Word dokument, ako su dozvoljeni makroi (VBA kod). Kad se izvrši virus, obara se nivo sigurnosti, i ostali makroi mogu slobodno da se izvršavaju. Virus šalje zaraženu poruku om preko Outlook-a. Virusom se inficira template MS Word-a, i u svaki dokument će se upisivati tekst: Twenty-two points, plus triple-world-score... Ako se zabrane makroi, dokument će se normalno otvarati. Špijunski programi (engl. spyware) neželjeni program, instaliran na sistemu bez znanja korisnika, koji prikuplja informacije o aktivnostima korisnika (softver, web strane...), lozinke i finansijske informacije (Pleskonjić i dr., 2007). Kradu informacije ali i resurse. Najčešće ugrađen u freeware ili shareware software; EULA (End User Licence Agrement) Primer: e-donkey, BearShare Instaliranje programa kao plug-in za Web (Active X kontrola). Adware podgrupa, reklamni špijunski programi

7 Primer BearShare Otkrivanje spyware programa Uklanjanje tracking cookeis najlkaše. Uklanjanje keyloggera je mnogo teže, jer se čuva na nekoliko lokacija, upisuje u Registry, reinstalira se Cookies Keylogging Cookies su fajlovi koji se nalaze na kompjuteru i koji omogućavaju websajtovima da zapamte detalje. Prilikom posete websajta, može da postavi fajl koji se zove cookies na računar. čime se omogućava websajtu da zapamti detalje i prati posete. Cookeis mogu da budu pretnja bezbednosti, ali ne i podacima. Ideja kreiranja Cookies je da budu korisni. Npr. ako se prosledi ID kada poseti se web sajt, cookies pamti ove podatke tako da nije potrebno da se ponovo unose sledećeg puta. Cookies imaju prednosit za web mastere, pošto pokazuju koje web strane su dobro korišćene, obezbeđujući korisne informacija kada se planira redizajn sajta. Cookies su mali tekstualni fajlovi i oni ne mogu da ugroze računar. Ipak, oni mogu da da ugroze privatnost. Cookies mogu da se čuvaju na vašem kompjuteru bez znanja ili saglasnosti, i sadrže informacija o pojedincu u formi kojoj ne može da se jednostavno pristupi. I ako se ponovo poseti isti web sajt, ovi podaci se šalju web serveru, ponovo bez znanja. Web sajt postepeno kreiera profil vaših navika pretraživanja i interesa. Ove informacije mogu se prodati ili podeliti sa drugim sajtovima, omogućiti oglašivačima da upare reklame sa vašim interesima, obezbeđujući da uzastopne reklame se prikazuju kako pregledaš različite sajtove i pratiti kada se vidi reklama. Da bi korisnik ostao anoniman, podeisti na Internet browser da se onemogućavaju cookies. Keylogging je kada se tastatura tajno snima neautorizovanom trećem licu. Ovo je korisno za zlonamerne programe, jer je to efikasan način da se ukradu korisnička imena, passwords, detalji kreditne kartice i druge osetljivi podaci Špijuski program ROOTKIT Simptomi infekcije špijusnkim programom: pop-up prozori promene izgleda Web browsera (toolbar, home page). računar radi sporije i nestabilno. web zahtevi su preusmereni, i veza sa Internetom je znatno sporija. Rootkit- najviši nivo pristupa i potpune kontrole kompromitovanog sistema. Windows rootkit otežan pristup OS i postoji zaštita datoteka, u odnosu na Linux. Otkrivanja rootkit alata: RootkitRevealer razlika u rezultatima skeniranja sistema na najvišem (Windows API) i najnižem nivou (sadržaj na disku ili baza Registry)

8 DRM softver Problem piraterije DRM Digital Rights Management skup tehnologija koje izdavači i vlasnici autorskih prava koriste kako bi ograničili pirateriju. Kompanija SonyBMG rešenje: DRM softver, tzv.xcp (extended Copy Protection) tehnologija; prodato 15 mil. diskova. XCP radi na Windowsu, dozvoljava reprodukciju muzike na računaru samo iz pratećeg plejera i sprečava pravljenje više od par kopija originalnog diska. XCP pravi skriveni dir., instalira skrivene drajvere i pokreće skrivenu aplikaciju. Mark Russinovich: Sony, Rootkits and Digital Rights Management Gone Too Far, DRM softver se može koristiti i za skrivanje virusa. Afera: bezbednije je skinuti piratski softver nego kupiti licencirani Sony disk u prodavnici. Sudski proces Kupci: Sony, završen u korist kupaca. DOS Denial-of-Service (DoS) napad koji onemogućava korisniku da pristupi kompjuteru ili websajtu. Npr. u DoS napadu, napadač preopterećuje ili obara servis tako da legitimni korisnik ne može više da mu pristupi. Uobičajni DoS napad je na web server i ima za cilj da napravi sajt nedostupnim. Podaci nisu ukradeni ni kompromitovani, ali interpretacija servisa može biti skupa za kompaniju. Najuobičajeni tip DoS napada je slanje više saobraćaja nego što kompjuter može da prihvati. Postoje brojne metode za DoS napade, ali najjednsotavnije i najuobičajenije je da bude botnet poplava zahteva na web serveru (DDoS) Bot mreža Komanda i kontrolni centar Botnet je skup inficiranih računara koje udaljeno kontroliše haker (preko interneta) Kompjuter inficiran sa BOTom: ZOMBI, izvršava naredbe hakera, a korisnik u potpunosti nesvestan Mreža zombija BOTNET. Haker može da deli ili prodaje pristup kontroli BOTNETova, čineći da drugi mogu da ih koriste u zlonamerne svrhe. Npr. spamer može da koristi botnet radi slanja spamova mailom, i tako se 99% spamova distribira ( Na ova način spameri izbegavaju detekciju i crne liste primenjene na njihove servere. Hakeri mogu da koriste zombije da bi izveli DoS (DDoS) napad. Organizuju da 1000 kompjutera pokušavaju da napadnu isti web sajt simultano, tako da je web server nemoćan da odgovori na sve zahteve. Na taj način web sajt postaje nedostupan. Komandni i kontrolni centar je kompjuter koji kontroliše botnet (tj. mrežu kompromitovanih ili zombi kompjutera). Komandni i kontrolni centri se često koriste da izvrše distribuirane DoS napade pošto mogu da instruišu veliki broj kompjutera da izvrše istu akciju u isto vreme Odavanje informacija (data leakage) Odavanje informacija je neautorizovano kretanje informacija, najčešće van organizacije. Može biti: namerno (krađa informacija, data theft) ili slučajno (gubitak informacija). Prevencija odavanja informacija je glavna briga organizacije, čiji skandali često pune novine. Mnoge korporacije i vladine organizacije nisu uspele da zaštite svoje poverljive informacija, uključujući identitete svoje radne snage, svojih kupaca i javnosti. Korisnici rutinski koriste i dele podatke bez dodatnog razmišljanja o poverljivosti i zahtevima za regularnosti. Brojne tehnike se mogu koristiti za prevenciju curenja podataka. To uključuje AV softver, šifriranje, firewalls, kontrola pristupa, pisane politika i obučavanje korisnika. 47 Browser hijackers (otmičar) Otmičar browser menja default home page u Internet browseru i ne dozvoljava da se promeni. Neki otmičari ažuriraju Windows registry tako da hijacked podešavanja se obnavljaju svaki put kada se restartuje vaš kompjuter. Ostale uklanjaju opcije iz browser-ovog menija alatki, tako da ne može da se restartuje početna strana. Browser hijacking za povećanje ranga strane u rezultatima pretrage. Browser hijacking mogu biti veoma uporni. Neki se automatski uklanjaju sa soft. za zaštitu. Neki moraju da se ručno uklone. U nekim slučajevima, jednostavnije je povratiti kompjuter u ranije stanje ili reinstalirati operativni sistem. 48 8

9 Primer CWS (CoolWebSearc) jedan od najzloglašenijih HIJACKERS. CWS karakteristike: rezidentan, napada zaštitni softver, instalira drugi softver, povezuje se na Internet i prikazuje reklame, menja parametre IE. ima više varijanti, stranice pretrage na pretraživačima preusmerava ka reklamama koje generiše stranica unipages.cc. UKLANJANJE: SpyBot. Chain letters (chain letters) Chain letters su ovi koji preporučuju da proslede kopije drugim ljudima. Chain letters, kao i virus hoaxes, njihovo širenje više zavise od korisnika, nego od kompjuterskog koda. Osnovni tipovi su: Hoaxes o terorističkim napadima, krađe na bankomatima i dr. Lažne izjave da kompanije nude besplatne letove, besplatne mobilne telefone ili nagrade ako proslediš mail Poruke koje tvrde da su iz agencija kao što je CIA ili FBI, koji upozoravaju na opasnog kriminalca u tvojoj oblasti.... Chain letters ne prete sigurnosti, ali mogu da izgube vreme, prošire dezinformacija i odvrate korisnika od pravog a. Oni takođe mogu da kreiraju nepotreban saobraćaj i usporavaju mail servere. U nekim slučajevima, chain letters podstrekuju ljude da pošalju na određenu adresu sa neželjenim mailom. Rešenje je jednostavno: Ne treba prosleđivati takve mailove Hoaxes (obmana) Obmane su izvešaji o nepostojećim virusima ili pretnjama. Obmane su najčešće u formi va, kao npr.: Upozoravaju vas da postoji neotkriven, veoma destruktivan novi zlonamerni program. Izjavljuju da je upozorenje poslala glavna softverska kompanija, internet provajder ili vladina agencija. Mnogi korisnici prosleđuju ove hoax ove, što rezultuje preplavljivanjem ova, koji zatrpavaju servere. Hoax poruke mogu da odvuku pažnju od realnih opasnosti zlonamernih programa. Pošto hoaxes nisu zlonamerni programi, AV softver ih ne detektuje. ZAŠTITA od ZLONAMERNOG SOFTVERA Problem: zlonamerni programi koji prikrivaju svoje komponente. Zaštita Instalacija softvera koji nije sumljiv ( EULAlyzer) pritiskanje mišem po banerima ili iskačućim prozorima (instalacija ActiveX). HELP: Korisiti GoogleChrome, Firefox (dodaci NoScript, Adblock (adblock.mozdev.org)) ANTIVIRUSNI SOFTVER (ažuriran; klasičan skener i rezidentan skener) Free: Comodo, Avast, AVG... Komercijalni: NOD32, Kasperski, ANTIŠPIJUNSKI (restriktivan): free Spybot Search&Destroy. crna lista antišpijuskih programa: spywarewarrior.com/rogue_ antispyware.com Regualran ažuriranje OS Antispam AV SOFTVER Firewall AV softver može da zaštiti od virusa i drugih malicioznih pretnji uključujući Trojance, crve i spyware. AV softver skenira da identifikuje programe koji su ili mogu biti maliciozni. Skeniranjem se može otkriti: Poznati virusi: skeniranje se upoređuju fajlovi na računaru sa bibliotekom poznatih virusa. Ako se upare, šalje se obaveštenje (alert) i blokira pristup fajlu. Prethodno nepoznati virusu: Skener analizira verovatno ponašanje programa. Ako ima sve karakteristike virusa, blokiran je pristup, iako fajl se ne uparuje sa poznatim virusima. Sumljivi fajlovi: Skener analizira verovatno ponašanje sistema. Ako je to ponašanje znatno nepoželjno, skener upozorava da to može biti virus. Detekcija poznatih virusa zavisi od frekventnosti ažuriranja o novim virusima Postoje on-access ili on-demand skeniranja, i najčešće su prisutna oba. On-access skeneri su aktivni na kompjuteru kad god se koristi. Oni automatski proveravaju fajlove kad korisnik pokušava da ih otvori i izvrši, i sprečavaju pristupanja inficiranih fajlovima. On-demand omogućava skeniranje specifičnih fajlova ili drajvera. Firewall sprečava neautorizovani pristup kompjuteru ili mreži, kao barijera između mreže ili dela mreže, blokirajući maliciozni saobraćaj ili sprečavajući napade hakera. Network firewall je instaliran kao granica između dve mreže. Ovo je najčešće između Interneta i kompanijske mreže. Može biti softver ili hardver koji se izvršava na kompjuteru koji se ponaša kao kopija za kompanijske mreže. Client firewall je softver koji se izvršava na korisnikovom kompjuteru, štiteći samo taj kompjuteri. Pri tome firewall proverava sav saobraćaj, i ulazni i izlazni, da vidi da li su zadovoljeni određeni kriterijumi. Ako jesu, onda dozvoljava, a ako nisu, firewall blokira ih. Firewall može da filtira saobraćaj na bazi: Izvora, izlazne adrese i broja porta (adresirano filtering) Tip mrežnog saobraćaja Atributa ili stanja paketa poslatih informacija. Klijentov firewall može da upozori korisnika svaki put kada program pokušava da napravi konekciju, i proverava (pita) da li konekcija treba da bude odobrena ili blokirana. Može da uči iz korisnikovih odgovara, da bi znao koja tip saobraćaja korisnik dozvoljava

10 Kako radi Firewall Primer korišćenja FireWall-a Anti spam Klijent Firewall Web Server Malice Otvori :80 Povratno :1220 Dodaj pravilo: :1220 otvoren za Otvori :80 Povratno :1220 Otvori :1220 Provera: Da li je :1220 otvoren za ? ACCEPT Otvori :1220 Otvori :1220 Povratno :1220 Provera: Da li je :1220 otvoren za ? DROP By D. Pleskonjić Anti-spam programi mogu da detektuju neželjeni i ne dozvoljavaju da pristupi korisnikovom inboxu. Ovi programi koriste kombinaciju metoda da odluče da li će biti spam. Mogu da: Blokiraju mailove koje dolaze od kompjutera sa listama za blokiranje, ili lokalne liste kompjuterskih adresa koje su vam slale ranije spam. Blokira koji uključuje određene web adrese. Proverava da li dolazi od pravog imena domena ili web adrese. Spameri često uzimaju fake adrese da bi izbegli anti-spam programe. Traže reči ili fraze koje se pojavljuju u spamu (kao kreditna kartica) Traže nepotreban HTML kod korišćen u u, (spameri često koriste ovo da bi prikrili njihove poruke i zbunili antispam programe. Program kombinuje sve informacije koje nađe da bi procenio da li je spam. Ako je verovatnoća veoma visoka, može da blokira ili da ga obriše, u zavisnosti kako je podešeno. Anti-spam softver zahteva često ažuriranje novih pravila koji omogućavaju da se prepozna poslednja tehnika koju koriste spameri Literatura D. Pleskonjić, N. Maček, B. Đorđević, M. Carić:Sigurnost računarskih mreža i sistema, Mikroknjiga 2007??????????????????????????