UNIVERZITET U BEOGRADU SAOBRAAJNI FAKULTET Odsek za potanski i telekomunikacioni saobraaj Smer: Telekomunikacioni saobraaj i mree

ZAVRNI RAD: Bezbednost adresiranja raunara u okviru internet saobraaja

Mentor: Prof. dr. Andreja Samovi

Student: Marko Spasi

Beograd, mart 2012.

Rezime: Sistem imenovanja domena (DNS) je jedan od najveih servisa u poslovanju danas, koji opsluuje veoma raznovrsnu zajednicu host-ova, korisnika i mrea, i koristi jedinstvenu kombinaciju hijerarhija, keiranja, i datagram pristupa. Meutim, sam sistem nije projektovan da bude bezbedan, to danas predstavlja potencijalno veliku pretnju za bezbednost na mrei, uz pojedince i kriminalne grupe koje iskoriavaju njegove nedostatke. Ovaj rad izlae neka vana pitanja koja se odnose na problematiku bot mrea. Uinjen je pokuaj da se ukratko izloi razvojni put ovakvih mrea, kao i trenutno stanje u ovoj oblasti, kako po pitanju ciljeva i motiva tako i po pitanju alata, tehnologije i tehnika koje se danas koriste. Takoe, ukazuje se i na pretnje i rizike koji se odnose na potencijalne mete i rtve napada.

Abstract: The Domain Name System (DNS) is one of the largest name services in operation today, serves a highly diverse community of hosts, users, and networks, and uses a unique combination of hierarchies, caching, and datagram access. However, the system itself was not designed to be secure, which represents potentially significant threat to online security today, with individuals and criminal groups exploiting the systems shortcomings. This paper is aimed at bots and botnets related issues. It is an attempt to present a timeline of botnet evolution, today's state-of-the art botnet technology, attackers' actual motives, goals and tools of trade, as well as the accompanying threats and risks for potential targets and victims.

SADRAJ:
Spisak slika................................................................................................4 Spisak tabela..............................................................................................4 Spisak skraenica......................................................................................5 1. UVOD.....................................................................................................7 2. DOMAIN NAME SYSTEM...................................................................8
2.1 Istorijat problema i reenja......................................................................................8 2.2 Struktura DNS-a.....................................................................................................8 2.3 Struktura DNS podataka........................................................................................13 2.4 Konfiguracija DNS zona...14

3. BEZBEDNOSNI PROBLEMI DNS-A..............................................15

3.1 DNS spoof i lairanje sadraja...............................................................................17 3.2 Napad radi blokiranja servisa (DoS)......................................................................18 3.3 Bot mree...............................................................................................................20 3.3.1 Princip rada bot mrea.....................................................................................21 3.3.2 Namena bot mrea...........................................................................................23 3.3.3 Primeri zloupotrebe korienjem bot mrea....................................................26 3.3.4 Storm botnet.....28 3.4 Fast flux tehnika.....................................................................................................31 3.4.1 Phishing i pharming.........................................................................................31 3.4.2. Single-flux i double-flux tehnike.....................................................................33 3.4.3 Borba protiv fast-flux mrea............................................................................34

4. MEHANIZMI ZA OBEZBEENJE DNS-A....................................35

4.1 Funkcionisanje DNSsec-a.....................................................................................36 4.2 Posledice uvoenja DNSsec-a...............................................................................37 4.3 Mane DNSsec-a.....................................................................................................37

5. BUDUNOST INTERNETA I DNS-A..............................................39

5.1 ICANN..................................................................................................................39 5.2 Alternativni DNS root............................................................................................40 5.3 Razmere problema..........................................41 5.4 Stanje u domaem internetu...................................................................................41

6. ZAKLJUAK.................................................................................43 LITERATURA....................................................................................44
3

Spisak slika:

Slika 2.1. Stablo naziva domena9 Slika 2.2. Geografske lokacije svih root servera (mart 2007).10 Slika 2.3. Adresni prostor domena...11 Slika 2.4. Tipovi DNS zona...14 Slika 3.1. Generika taksonomija napada....16 Slika 3.2. DNS lairanje...17 Slika 3.3. Korienje bot mree za DDoS napad..21 Slika 3.4. Komandna soba bot mree na IRC serveru..........................................................22 Slika 3.5. Korienje bot mree za slanje neeljene elektronske pote23 Slika 3.6. Primer poruke zaraene Storm crvom..................................................................29 Slika 3.7. Primer web stranice dizajnirane za instaliranje virusa...29 Slika 3.8. Tipian ivotni ciklus koji potie od spam mree.................................................30 Slika 3.9. Komunikacija kod single-flux i double-flux mrea...............................................33

Spisak tabela:
Tabela 2.1. Tipovi resursnih zapisa.14 Tabela 3.1 Uporedne karakteristike nekih malicioznih programa..19 Tabela 3.2. Istorijska lista bot mrea...27 Tabela 3.3. Delimina lista IP adresa koje je napadao Storm crv..30 Tabela 5.1. Lista aktivnih i neaktivnih alternativnih DNS root servera servera.40

Spisak skraenica:
A ADSL - Asymmetric Digital Subscriber Line B BIND - Berkeley Internet Name Domain C .com commercial D DDoS - Distributed Denial of Service DHCP - Dynamic Host Configuration Protocol DNS - Domain Name System DNSsec - DNS Security Extensions DoS - Denial of Service F FTP - File Transfer Protocol FBI - Federal Bureau of Investigation H HTTP - Hypertext Transfer Protocol I ICANN - Internet Corporation for Assigned Names and Numbers IP - Internet Protocol IRC - Internet Relay Chat ISP - Internet Service Provider M MAC - Media Access Contro MItM - Man In the Middle Attack N .net network

O ORSN - Open Root Server Network R RRSet - Resource Record Set RRs - Resource Records S SMTP - Simple Mail Transfer Protocol T TCP - Transmission Control Protocol TTL - Time-to-Live TLD - Top-Level Domain UDP - User Datagram Protocol U URL - Universal Resource Locator

1. UVOD
6

Domain Name System (DNS) je sistem koji uva informacije vezane za imena domena u vidu distribuirane baze podataka na mreama (npr. internetu) a realizovan je kao klijent-server servis. Najvanija funkcionalnost DNS-a je prevoenje IP (Internet Protocol) adresa u ime domena i obrnuto. Trenutni (nebezbedni) DNS ne spreava napadae da modifikuju ili ubacuju DNS podatke, to im omoguava razliite vrste zloupotreba. Sajber-kriminal je danas jedna od ozbiljnih globalnih pretnji, koja donosi ogroman profit uz minimalni rizik za kriminalce, koji su motivisani da stalno unapreuju maliciozni softver. Moda najmonije oruje u rukama ovakvih pojedinaca ili grupa predstavljaju bot mree, grupe kompromitovanih raunara na kojima se izvravaju programi, instalirani najee preko crva ili trojanaca, pod zajednikom komandnom i kontrolnom infrastrukturom. Nova, sofisticirana tehnika rada ovakvih mrea, poznata kao fast-flux, se snano oslanja na DNS, konstantno menjajui javne zapise svojih adresa da bi se spreilo njihovo otkrivanje. Najee korieni izraz u ovom radu za ovakav tip mrea koje se koriste za zlonamerno, maliciozno umreavanje je botnets - grupu umreenih raunara koji su kompromitovani od strane istog napadaa i koji se nalaze pod njegovom kontrolom i upravljanjem. Ovakve mree danas predstavljaju veliku i stalno rastuu opasnost za sve raunare prisutne na internetu, posebno tamo gde je nivo informatike sigurnosti nizak. Logika i fizika organizacija ovakvih mrea, protokoli za upravljanje i kontrolu, skup komandi, ciljevi i efekti, kao i druge karakteristike ovakvih mrea mogu znaajno da variraju. Kratak pregled rada - Cilj ovog zavrnog rada je da se na sveobuhvatan ali koncizan nain prui pregled problematike koja je vezana za ovaj vid zloupotreba. Drugi deo rada baziran je na definiciji DNS-a, njegovoj strukturi i primeru korienja DNS servisa. U treem delu se govori o mehanizmima za sigurnost DNS-a (DNSsec) koji je projektovan da zatiti DNS od nekih pretnji ( trovanje kea, ali ne i DDoS). etvrti deo rada baziran je na bezbednosnim problemima DNS-a, njihovoj pretnji i ugroavanju od strane internet kriminalaca, u ijim rukama se nalazi najmonije oruije na internetu, bot mree. Ovaj deo govori i o nameni, principu rada bot mree, kao i nekim primerima zloupotrebe korienjem botnets-a. Zatim je tu i fast flux tehnika, i dve najee koriene tehnike, phishing i pharming. Poslednji deo rada usmeren je na administraciju DNS-a (ICANN), alternativni DNS, kao i stanje u domaem internetu.

2. DOMAIN NAME SYSTEM (DNS)

Sistem imenovanja domena, DNS je hijerarhijska, distributivna baza podataka koja sadri mapiranja DNS imena u razne tipove podataka, kao to su IP adrese. Zahvaljujui DNS-u IP adrese servera mogu da se menjaju, dok imena mogu ostati ista. Veina ostalih mrenih servisa (Web, E-mail, FTP (File Transfer Protocol) ...) koristi ili ima mogunost da koristi DNS servis. Na primer, jedna od funkcionalnosti DNS-a je i obezbeivanje informacije o tome koji serveri su zadueni za razmenu elektronske pote za odreeni domen. Bez ove funkcionalnosti DNS-a, servis za razmenu elektronske pote ne bi mogao da funkcionie. Glavne karakteristike DNS-a su: DNS je osnova za internet emu imenovanja; DNS podrava pristup resursima korienjem alfa-numerikih imena; DNS je osmiljen da razrei probleme koji su nastali sa porastom broja host-ova na internetu.

2.1. Istorijat problema i reenja

DNS se javio usled porasta veliine raunarskih mrea, porasta broja raunarskih mrea (i pojave interneta) kao i potrebe za jednostavnijim adresiranjem raunara na mrei. Pod jednostavnijim adresiranjem se u stvari podrazumeva prilagoavanje mrenog adresiranja osobini korisnika da lake pamte simbolika imena od brojeva (npr. lake je zapamtiti www.sf.bg.ac.rs od 147.91.232.6). Problem je u poetku bio reen putem hosts fajlova na svakom od raunara na mrei. Meutim, porastom broja raunara u raunarskim mreama, nedostaci ovakvog reenja su postali ozbiljan problem [4].

2.2. Struktura DNS-a

Struktura DNS-a je hijerarhijska i razgranata. DNS je globalna, hijerarhijska i distribuirana baza podataka. Ova baza podataka, koja se uva na serverima naziva, povezuje kanonika imena, koja koristimo kao nazive domena, sa odreenim podacima koji se nazivaju zapisi resursa (Resource Records RRs). Zapisi koji se odnose na naziv domena mogu biti razliitih tipova, ali je tip adresa najei. Skup zapisa resursa istog tipa se oznaava kao Resource Record Set (RRSet). Na Slici 2.1 je predstavljeno stablo naziva domena. Koren stabla (root server) se grana u top level domene (.com, .net, .rs), koji se dalje granaju u domene drugog nivoa (.ac.rs), itd.

.root . com
.

.net

.rs

.at

.gov

.org.rs

.gov.rs

.ac.rs

.co.rs

.net.rs

.bg.ac.rs

Slika 2.1. Stablo naziva domena Vrste domena Pored klasifikacije domena prema nivou (hijerarhijskoj strukturi), domeni se mogu razvrstati i na: Generike (internacionalne) domene: To su .com - commercial, .org - neprofitne organizacije, .net - network, .edu, .gov, .biz i mnoge druge. Dravne (nacionalne) domene: Svaka drava ima svoju dvoslovnu oznaku kojom se zavravaju web adrese internet prezentacija iz te zemlje, na primer .rs, .uk, .de... Infrastrukturni domen: jedini u ovoj grupi je .arpa domen [3]. Za razumevanje DNS sistema i naina njegovog funkcionisanja potrebno je razumeti strukturu naziva domena (eng. domain name). Naziv domena se sastoji od dva ili vie delova razdvojenih takom (takama). Uzmimo za primer domen sf.bg.ac.rs : Prva oznaka sa desne strane predstavlja top-level domen (u ovom sluaju: rs). Svaka naredna oznaka gledano sa desne strane predstavlja pod-domen (u ovom sluaju: ac, bg). Maksimalan broj potpodela je 127 a svaki od lanova moe imati maksimalnu duinu od 63 karaktera s tim da celokupna duina naziva (ukljuujui sve pod-domene i take kojim su razdvojeni) ne sme prei 255 karaktera. Domen moe imati jedan ili vie hostname -ova kojima su pridruene realne IP adrese. U naem sluaju, domen je sf.bg.ac.rs a hostname bi mogao da bude www.sf.bg.ac.rs sa odgovarajuom IP adresom 147.91.232.6. Kao to je reeno, DNS ine hijerarhijski povezani DNS serveri. Za svaku zonu postoje autoritativni serveri (serveri naziva) koji odgovaraju na upite vezane za nazive

domena u toj zoni. Serveri naziva mogu biti autoritativni i za vie zona. U korenu stabla postoje specijalni DNS serveri koji se zovu root serveri i oni su zadueni za top level domene, tj. domene na samom korenu stabla. Bez pomenutih root servera rad interneta ne bi bio mogu jer oni ine osnovu svakog domenskog imenovanja na njemu. Trenutno postoji 13 root servera i njihova imena su A-M root-servers.net [4]. Root serveri su od sutinskog znaaja za funkcionisanje DNS sistema. Postoji 13 razliitih root servera (Slika 2.2) koji su, uz viestruku replikaciju, razmeteni po celom svetu.

Slika 2.2. Geografske lokacije svih root servera (mart 2007)[21]

Uz njih, koriste se tehnike keiranja da bi se smanjio saobraaj i broj zahteva kao i ubrzao proces razreavanja. Kao posledica, svaki zapis resursa koji se dobije od DNS servera poseduje odreeni ivotni vek (Time-to-Live TTL) koji predstavlja vreme u kojem se taj zapis resursa moe keirati.

Adresni prostor domena predstavljen je na Slici 2.3. Klijentske komponente DNS sistema su resolver-i tj. komponente na klijentskoj strani koje se obraaju DNS serveru
10

da bi od njih dobili IP adresu odreenog domena. R e s o l v e r k o r i s t i s i s t e m s k e m r e n e parametre koji najee sadre IP adresu jednog ili dva DNS servera. Kada resolver primi upit, on ga prvo prosleuje jednom od root DNS servera koji opsluuju root domen. Kao odgovor, dobija se sledei server u nizu koji je blii autoritativnom serveru iz traenog upita.

Slika 2.3. Adresni prostor domena

Primer korienja DNS servisa: 1. Aplikacija (npr. web. browser) dobija URL (Universal Resource Locator) adresu: http://www.nastava.sf.bg.ac.rs/index.php i ralanjuje ga na: Protokol (http)

11

Hostname (www.nastava.sf.bg.ac.rs) Adresu dokumenta (/index.php) 2. Aplikacija se obraa resolveru za dobijanje IP adrese hosta www.nastava.sf.bg.ac.rs; 3. Resolver se obraa DNS serveru iz mrene konfiguracije raunara sa pitanjem: "Da li zna na kojoj je IP adresi www.nastava.sf.bg.ac.rs?"; 4. Ukoliko DNS kome se resolver obratio nije nadlean za domen nastava.sf.bg.ac.rs on se
obraa jednom od root servera sa pitanjem: "Koji je DNS server nadlean za .rs domen?";

5. Root server alje odgovor:" 89.216.1.30 "; 6. DNS server se obraa serveru 89.216.1.30 sa pitanjem: "Koji je DNS server nadlean za ac.rs domen?"; 7. Server 89.216.1.30 alje odgovor: " 89.216.1.30 "; 8. DNS server se obraa serveru 89.216.1.30 sa pitanjem: "Koji je DNS server nadlean za domen sf.bg.ac.rs?"; 9. Server 89.216.1.30 alje odgovor: " 147.91.232.1 " " 147.91.79.3 "; 10. DNS server se obraa serveru 147.91.232.1 sa pitanjem: "Koji je DNS server nadlean za domen nastava.sf.bg.ac.rs?"; 11. Server 147.91.232.1 alje odgovor: " 147.91.232.132 "; 12. DNS server se obraa serveru 147.91.232.132 sa pitanjem: "Koja je adresa hosta www. nastava.sf.bg.ac.rs?"; 13. Server 147.91.232.132 alje odgovor: " 147.91.232.6 "; 14. DNS server vraa odgovor raunaru iji mu se resolver obratio: "IP adresa hosta www.nastava.sf.bg.ac.rs je 147.91.232.6 "; 15. Na ovaj nain aplikacija sa klijentskog raunara dobija IP adresu HTTP (Hypertext Transfer Protocol) servera i putem te adrese prosleuje zahtev za Web stranicom /index.php. Ovaj primer objanjava rekurziju u radu DNS-a. Takoe, iz primera se moe videti da jedan DNS server moe uvati informacije o vie razliitih domena kao i da vie DNS servera moe uvati informaciju o jednom domenu (server 89.216.1.30 je nadlean za domene .rs i .ac.rs a server 147.91.232.1 je nadlean za domene sf.bg.ac.rs i nastava.sf.bg.ac.

2.3 Struktura DNS podataka

Da bi se razumeli bezbednosni problemi i rizici DNS-a, kao i mogua reenja, mora se poznavati nain funkcionisanja DNS protokola. Za to je potreban uvid u strukturu podataka koji se koriste u DNS-u. Svi zapisi resursa u DNS-u imaju isti osnovni format:
12

NAME TYPE CLASS TTL RDLENGHT RDATA

Ime vlasnika, tj. naziv vora na koji se odnosi zapis resursa Tip resursa zapisa ifra klase Vreme u sekundama za koje zapis resursa ostaje validan Duina RDATA polja Ostali podaci specifini za svaki zapis resursa

Sva komunikacija u okviru DNS protokola ima isti format koji nazivamo poruka: HEADER QUESTION ANSWER AUTHORITY ADDITIONAL Zaglavlje poruke Pitanje za server naziva Zapisi resursa koji odgovaraju na pitanje Zapisi resursa sa informacijama o autoritativnom serveru naziva Zapisi resursa koji sadre dodatne informacije

Deo za pitanje se koristi za prenos pitanja u veini upita, tj. parametara koji odreuju ta se pita. QNAME QTYPE QCLASS Ime domena predstavljeno nizom oznaka Kod koji odreuje tip upita Kod koji odreuje klasu upita, na primer IN za internet

2.4. Konfiguracija DNS zona

Resursni zapis (RR) je standardna struktura DNS baze koja sadri informacije o odreenom resursu (npr. server, mail server, host). U Tabeli 2.1 su prikazani tipovi RR resursnih zapisa i njihove funkcije: Tabela 2.1. Tipovi resursnih zapisa Tip zapisa Funkcija
13

A PTR SOA SRV NS MX CNAME

Razreava host ime u IP adresu Razreava IP adresu u host ime Prvi zapis u bilo kojoj zoni fajlova Razreava imena servera koji pruaju servise Indetifikuje DNS server za svaku zonu Mali server Razreava iz host imena u (drugo) host ime

Zona je porcija DNS baze koja sadri resursne zapise (RR record) koji pripadaju graninoj porciji DNS namespace-a. Zona moe da sadri RR-e za jedan ili vie dodirnih (graninih) domain imena, spojenih direktnom roditelj-dete (parent-child) vezom. Zona je fiziki predstavnik DNS domena ili vie domena. DNS omoguava DNS namespace-u da bude podeljen u zone. Za svaki domen prikljuen zoni, ta zona postaje autoritativan izvor za taj domen. Zonski fajlovi se uvaju na DNS serverima. Moe se konfigurisati jedan DNS server da host-uje nula, jednu ili vie zona [1]. DNS zona je: primarnog, sekundarnog ili stub tipa. Njihov opis je dat na Slici 2.4.

Slika 2.4. Tipovi DNS zona

3. BEZBEDNOSNI PROBLEMI DNS-A

DNS je javni sistem, to ga ini vrlo privlanim za zlonamerne korisnike interneta. Postoji vie aspekata kroz kojih se bezbednost DNS-a moe posmatrati, od relativno jednostavnih do veoma kompleksnih. Oni se sutinski mogu podeliti u etiri grupe:

14

1. Administrativna bezbednost: Tie se fizike bezbednosti, dozvola za pristup

fajlovima, konfiguracije servera, podeavanja DNS softvera (najee BIND-a (Berkeley Internet Name Domain) i sl. Predstavlja osnovu odbrane sistema.
2. Transfer zone: Predstavlja jedan od mehanizama koji administratorima omoguavaju

repliciranje baze podataka sa DNS podacima. Transferi zone imaju nekoliko potencijalnih bezbednosnih problema, ali se oni lako reavaju pravilnim podeavanjem DNS softvera.
3. Dinamiko auriranje: Izlae master fajl zone moguem oteenju, unitenju ili

trovanju. Predostronosti su: dobro projektovanje sistema, parametri DNS softvera (najee BIND-a), zatitne barijere (firewall) i autentifikacija.
4. Integritet zone: Ako je neophodno da podaci u zoni koju koristi DNS ili krajnji host

budu apsolutno ispravni (tj. da odgovori na upite nisu menjani i da podaci koji se vraaju zaista potiu od vlasnika zone), mora se koristiti DNSsec. Uporedo sa razvojem interneta, rastu i potencijalne pretnje spolja i iznutra. Pored finansijske dobiti, brojni su motivi za razne vrste namernih napada, meu kojima su najee izazov i potreba za samopotvrivanjem, znatielja i maliciozne namere - kraa i oteenja informacija, pijunaa informacija itd. Mogui naini odbrane od navedenih napada su: ifrovanje, procedure jake autentifikacije, korienje smart kartica za generisanje digitalnog potpisa, bezbedno uvanje kljueva kriptografskih parametara za jaku autentifikaciju, primena tehnologije digitalnog potpisa, korienje i esta izmena jakih kljueva, zatita IP adresa servera i dr.

Klasifikacija pretnji i napada Mogue su brojne taksonomije agenata pretnji. Taksonomija (taxonomy) su principi i teorija klasifikacije na bazi strogo definisanih kriterijuma. Krajnji cilj svake taksonomije pretnji je da specijalisti zatite i korisnici lake definiu i identifikuju razliite tipove promenljivih pretnji. Taksonomija izvora pretnji deli pretnje na sluajne i namerne. Sluajne

15

su nenamerne ljudske greke, otkazi hardvera i softvera, prirodni vanredni dogaaji, a namerne pretnje generiu ljudi. Na osnovu ove podele, pretnje se klasifikuju u est kategorija: (1) Maliciozne zloupotrebe; (2) Raunarski kriminal; (3) Nebriga; (4) Ljudska greka; (5) Pad sistema; (6) Uticaj okruenja. Na Slici 3.1 je predstavljena generika taksonomija napada, gde napadi mogu bti usmereni na odreene hostove (prislukivanje, otmica sesija, skeniranje ranjivosti, probijanje lozinki, odbijanje servisa i drutveni inenjering), infrastrukturu raunarske mree ili nasumice prema hostovima [1].

Slika 3.1. Generika taksonomija napada

3.1 DNS spoof i lairanje sadraja

DNS spoof napad svodi se na lairanje DNS zapisa, kako bi se korisnik preusmerio na eljeni sadraj koji se nalazi na drugom serveru. Najee se koristi u svrhu preusmerenja korisnika na drugi Web server, koji e zatim prikazati lanu Web stranicu i zabeleiti sve korisnikove unose, pa ih na taj nain ostaviti dostupne potencijalnom napadau.

16

Na taj nain mogue je prikupiti korisnikov autorizacijski korisniki raun za neki Web servis ili ak bankovne podatke. Sami tip podataka koje je mogue prikupiti zavisi od namene Web stranice koju je korisnik posetio, a napada lairao. Kako se lairanjem Web sadraja moe u potpunosti preuzeti identitet neke Web stranice, u skladu sa time postoji mala verovatnoa da korisnik primeti nepravilnosti pre nego unese svoje korisnike podatke, a tada je ve kasno. DNS spoof napad mogue je konfigurisati i tako da se on prekida po prihvatu prvih informacija, pri emu se korisnik preusmerava na izvornu Web stranicu, pa e time korisnik verovatno primetiti samo "refresh" stranice, i eventualno biti zbunjen injenicom da mora ponovno unositi informacije, koje je nekoliko trenutaka pre toga ve uneo i potvrdio. Detaljan prikaz DNS lairanja dat je na Slici 3.2. Napada moe da natera DNS server rtvinog provajdera da poalje zahtev za traenje adrese www.ibm.com. Zbog korienja UDP protokola, DNS server ne moe da potvrdi od koga je dobio odgovor. Napada to moe da iskoristi falsifikujui oekivani odgovor i da tako ubaci drugu IP adresu u ke DNS servera.

Slika 3.2. DNS lairanje Prvi korak je da se od rtvinog servera naziva trai adresa raunara bilosta.spoof.com (1), to e kao rezultat dovesti do slanja upita autoritativnom serveru naziva za .com i unoenja napadaevog DNS servera u ke, kao autoritativnog za taj domen. Napada zatim od servera naziva provajdera trai adresu www.spoof.com (2). Server naziva provajdera taj zahtev, naravno, alje napadaevom DNS serveru (3). Taj zahtev nosi redni broj koji je napadau potreban. Sledeeg trenutka, napada alje nov zahtev, ovaj put za www.ibm.com
17

(4) i istog trenutka odgovara na sopstveni zahtev, aljui serveru naziva falsifikovani odgovor (6) u ime servera autoritativnog za .com: www.ibm.com = 72.118.43.12. Taj falsifikovani odgovor nosi redni broj za jedan vei od broja koji je prethodno primljen. Iako je provajderov server naziva u meuvremenu poslao upit serveru naziva autoritativnog za .com (5), napadaev odgovor sa ispravnim rednim brojem e stii pre njegovog odgovora, i napadaev odgovor biva keiran, dok pravi odgovor biva odbaen (7) kao netraen. Na kraju, kada odabrana rtva ili bilo ko drugi ko u tom trenutku koristi server naziva istog provajdera zatrai adresu lokacije www.ibm.com (8), bie usmeren na napadaevu mainu, gde ih moe doekati lani Web server. Ova vrsta napada je naroito podmukla s obzirom na to da je napadau vrlo lako da isprovocira rtvu da poalje upit za odreeni naziv po napadaevom nahoenju. Sam napad je mogue izvesti na dva primarna naina, odnosno MItM (Man In the Middle Attack) napadom ili preuzimanjem DHCP (Dynamic Host Configuration Protocol) servisa. DNSsec obezbeuje dobru odbranu od veine varijacija ove klase napada. MItM napadom napada preusmerava sav korisnikov saobraaj kroz svoj raunar, i time menja DNS response za eljene domene. U veini sluajeva ova metoda e biti jednostavnija da se izvede, ali najee e izloiti napadaa puno veem riziku. DHCP exhaust metodom napada moe da zameni postojei DNS server vlastitim, i na taj nain da kompromituje DNS zapise koji e se prosleivati korisniku. Ovim postupkom se u veini sluajeva napada izlae manjem riziku, pa moe trajnije da odrava napad uz minimalne resurse [18].

3.2 Napad radi blokiranja servisa (DoS)

DoS (Denial of Service) odnosno napad uskraivanjem servisa je vrsta napada u kojem se obino namernim generisanjem velike koliine mrenog saobraaja nastoji da se zagui mrena oprema i korisnici. Iako se naini, motivi i mete za DoS napad mogu razlikovati, obino se sastoji od usklaenih i zlonamernih napora jedne osobe ili vie njih, da se neki internet sajt ili servis sprei da funkcionie efikasno ili da ne funkcionie uopte, privremeno ili trajno, tj da
legitimni korisnici ne mogu da koriste mrene usluge poput mail-a, Web-a i sl.

DoS napadi se ostvaruju na sledee naine: Prisiljavanjem raunara koji su meta da se restartuju ili da zauzmu sopstvene resurse u tolikoj meri da ne mogu da obezbede uslugu za koju su namenjeni, ili Ometanjem komunikacionog medijuma izmeu korisnika kojima je namenjen i rtve tako da nisu u stanju da adekvatno komuniciraju.

18

Kao i svaki mreni servis, DNS je podloan DoS napadima. DNSsec ne moe da bude od pomoi, ak moe i da pogora problem za resolvere koji proveravaju potpise. Kao to je reeno, DoS najee znai bombardovanje nekog servisa na Web host-u sa dosta velikim brojem posebno konstruisanih zahteva sve dok se host ne zagui i ne uspori do te mere da posetioci vie ne mogu otvoriti tu Web stranicu. Takav napad mogue je izvesti sa jednog jedinog raunara, ali on ne bi bio naroito efikasan jer ne bi mogao da poalje dovoljno zahteva da zagui Web host. Ali, ukoliko se takav napad izvede sa veeg broja raunara, onda se on zove DDoS (Distributed Denial of Service) i znatno je efikasniji. DDoS napadi su problematini jer se danas najee izvode putem tzv. botneta. To su DoS napadi koji se koriste u distributivnoj varijanti. To su mree raunara zaraenih nekim trojanskim konjem ili crvom koje je mogue kontrolisati i iskoristiti na nain da svi raunari istovremeno poalju veliki broj zahteva na neku IP adresu. Haker obino koristi jedan kompromitovani (zaraeni) raunar kao 'master' i koordinie napadom preko drugih, takozvanih 'zombi' raunara. I na master i na zombi raunaru trojanac se instalira tako to hakeri iskoriavaju ranjivost odreene aplikacije na raunaru, pa im tako uspeva da instaliraju trojanca ili neki drugi tetni kod [8]. tetni (maliciozni) kodovi se prema vrsti napada ili funkcionalnosti dele na viruse, crve, trojance, mobilne kodove i kombinovane napade. Ranije je ovakva podela bila mogua, ali su ovi programi evoluirali i esto kombinuju vie funkcionalnosti. U Tabeli 3.1. dati su osnovni kriterijumi klasine podele malicioznih programa: umnoavanje, samorazvoj i parazitnost. Tabela 3.1. Uporedne karakteristike nekih malicioznih programa Maliciozni kod Virus Crv Trojanac Backdoor Spyware Logika bomba Umnoavanje da da ne ne ne ne Samorazvoj da da ne ne ne ne Parazitnost da ne da mogue ne mogue

Najvei problem kod DDoS napada je to to ih je lake pokrenuti nego se odbraniti od njih. U praksi, tipian DDoS napad izgleda ovako: neko sa vikom slobodnog vremena pretrai odreenu grupu IP adresa dok ne nae dovoljno raunara koji su ranije zaraeni odreenim trojanskim konjem ili crvom, i onda ostvaruju napad.

3.3 Bot mree

19

Kriminal je na internetu prisutan gotovo od njegovog nastanka. Ciljevi i motivi su do danas ostali isti. Uprkos napredovanju tehnologije ozbiljni internet kriminalci su se jo bolje organizovali. Danas koriste sofisticirane metode za postizanje svojih ciljeva, uz veto prikrivanje sopstvenog identiteta, pa ih je praktino nemogue otkriti. Najmonije oruje na internetu, bot mree nalaze se u njihovim rukama. Bezbednost je oblast koja se dinamiki menja, to naroito vai za bezbednost raunara i raunarskih mrea. Autori zlonamernih programa najee su na korak ispred strunjaka koji se bave analizom bezbednosti mree, a na dva ili vie od dravnih slubi, iji je zadatak da spreavaju nelegalne aktivnosti. Bez obzira na to koliko dobro bio osmiljen zatitni program od zlonamernih softvera, velika je verovatnoa da nee dugo biti delotvoran. Zbog toga, najbolja odbrana od malicioznih programa i njihovih autora jeste ozbiljno shvatanje pretnje i dobro informisanje [10]. Potrebno je navesti nekolio osnovnih pojmova za razumevanje ove problematike: Bot (skraeno od robot), takoe i zombie je naziv softvera koji automatizovano obavlja odreeni zadatak. Zadaci mogu biti razliiti, ali botu je uvek omoguena puna kontrola nad raunarom. Zombie Net(work), Robot Net(work), Botnet, Zombie Army - nazivi za mree formirane od botova odnosno od zombija. Command & Control (C&C) - oznaava nain i sredstva kojima vlasnik upravlja i kontrolie svoju mreu botova. Ovo ukljuuje niz specifinosti: odgovarajuu topologiju i organizaciju mree, mrene i aplikativne protokole. Herding, Botherding - uzgajanje ili odravanje stada. Ovaj izraz oznaava skup postupaka i metoda kojima se jedna zlonamerno formirana mrea inicijalno uspostavlja (Deployment) i kasnije proiruje novim lanovima; to se takoe odnosi i na postupke i metode za ouvanje postojeeg lanstva kao i za iskljuenje postojeih lanova iz mree. Attack Traffic - saobraaj koji mrea zombija proizvodi sa ciljem napada na krajnju rtvu. Srodan je termin Attack Payload kojim se oznaava sadraj paketa koji se alju u toku napada. 3.3.1 Princip rada bot mrea Glavna prednost korienja DDoS napada za napadae je to veliki broj maina moe da stvori mnogo vie saobraaja od jedne maine, to je mnogo tee iskljuiti vei broj maina koje napadaju i to ponaanje svake maine moe biti prikrivenije, to je ini mnogo teom za lociranje i iskljuenje. Kupovina veeg propusnog opsega jednostavno ne funkcionie, jer napada moe lako da povea broj maina koje napadaju.

a)

b) c)

d)

e)

20

Najstariji primer DDoS softvera je Stacheldraht. Na Slici 3.3. je prikazana slojevita struktura u kojoj napada koristi klijentski program da bi se povezao sa gospodarima (hendlerima), koji su u stvari kompromitovani sistemi koji slue za izdavanje komandi robotima koji izvravaju DDoS napad. Roboti ili zombie agenti se kompromituju preko hendlera, korienjem automatizovanih rutera za iskoriavanje slabosti u programima koji se koriste na mainama rtava. Svaki gospodar moe da kontrolie do hiljadu robota, pa ukupan broj maina u slubi napadaa moe da dostigne stotine hiljada. Ovakvi skupovi kompromitovanih sistema poznati su pod imenom bot mree. Napada

Gospodar

Robot

Ciljani raunar

Slika 3.3. Korienje bot mree za DDoS napad

Koncept bot mree je prvobitno osmiljen za obavljanje relativno jednostavnih, ali i repetitivnih zadataka. Veliki broj botova takve zadatke obavlja mnogo bre nego ljudi. Bot softveri se najvie (legalno) primenjuju kod Web pretraivaa kao to je Google, gde slue za prikupljanje, analizu i skladitenje informacija sa Web servera. Koriste se i na berzama, aukcijama i on-line prodavnicama. Meutim, neko je vrlo brzo shvatio da se ovaj koncept moe iskoristiti i u nezakonite svrhe. Korienjem razliitih metoda, botovi omoguavaju zlonamernim korisnicima da kontroliu veliki broj raunara, najee preko interneta i da ih pretvore u tzv. zombie21

maine, formirajui bot mree koje ire viruse, alju spam poruke ili vre razliite vrste prevara. Broj raunara koji nisu pod kontrolom korisnika kree se od nekoliko stotina do vie miliona, u zavisnosti od namera, znanja, organizovanosti i motiva hakera. Korisnik najee i ne zna da je na njegovom raunaru instaliran bot. Jedino moe da primeti povremenu zauzetost procesora i sporiju internet vezu, onda kada bot obavlja postavljeni zadatak. Bot mree obino koriste besplatne DNS hosting servise kao to su DynDns.com, No- IP.com ili Afraid.org da bi usmerili svoj poddomen prema IRC (eng. Internet Relay Chat) serveru koji kontrolie botove. Dok ovi besplatni DNS servisi ne slue kao izvor napada, oni obezbeuju referentne take, esto trajno upisane u izvrni program bot mree. Uklanjanje ovakvih usluga obino onemoguava celokupnu bot mreu. U skorije vreme, navedene kompanije su preduzele mere za ienje od ovakvih poddomena, usmeravajui ovakve poddomene na nedostupne IP adrese. Slika 3.4 predstavlja komandnu sobu bot mree na IRC serveru.

Slika 3.4. Komandna soba bot mree na IRC serveru 3.3.2 Namena bot mrea Botovi mogu da se programiraju da obavljaju bilo koji zadatak na raunaru, a njihovi autori su najee zainteresovani za one na kojima mogu dobro da zarade. Botovi se koriste za [2]:

22

Slanje razliitih sadraja pre svega se misli na neeljenu elektronsku potu, tj. spam poruke (Slika 3.5). Takoe, ovde se svrstavaju i sve vrste zlonamernih programa kao to su virusi, trojanci i pijunski programi (spyware).

Slika 3.5. Korienje bot mree za slanje neeljene elektronske pote

Brojevi od 1 do 5 koji su oznaeni na Slici 4.5, predstavljaju sledee aktivnosti: 1. Napada alje viruse ili crve sa bot aplikacijom, koji inficiraju korisnike raunare. 2. Bot na korisnikom raunaru se povezuje na odreeni IRC server (ponekad i Web server). Ovakvi serveri se nazivaju serveri komande i kontrole. 3. Spamer kupuje pristup bot mrei od napadaa. 4. Spamer zatim alje instrukcije inficiranim raunarima preko komandnog IRC server nareujui im da alju neeljenu potu mail serverima (5).

Napad radi blokiranja servisa (Denial of Service, DoS) botovima se moe narediti da neprekidno, satima, najveom moguom brzinom, alju zahteve za pristup nekoj Web adresi. Imajui u vidu veliki broj raunara koji moe biti istovremeno u funkciji i brzinu kojom svaki raunar moe da alje zahteve, realizuje se izuzetno veliki broj lanih zahteva, koje Web sajt ne moe da razlikuje od legalnih. Ako ne moe da podnese optereenje i da ispuni sve zahteve, Web sajt e biti nedostupan svim
23

korisnicima koji budu eleli da mu pristupe. Za sve vreme trajanja napada, to se moe meriti i danima, Web sajt nee biti u funkciji, to za kompanije koje posluju preko interneta znai velike gubitke. Hakeri tada trae od rtve da plati odreenu sumu novca, kako bi napad prestao. Poznato je da se pojedine kompanije ponekad slue ovom neetinom metodom, da bi nanele tetu konkurentskim sajtovima. Takoe, ukoliko se ne ispune zahtevi hakera, oni koriste pretnju ovim napadom. Razlika je u tome to se rtvi saoptava namera o napadu, vremenu trajanja napada i teti koja e nastati zbog izgubljenog saobraaja. Krau podataka botovi mogu prikupljati line i privatne podatke i slati ih svom autoru. Prikupljaju se brojevi socijalnog osiguranja, brojevi kreditnih kartica, bankovni podaci i bilo koje druge line informacije, koje su rtvi dragocene. Platformu za prevare ovde se prvenstveno misli na pecanje (phishing) tj. simuliranje odreene Web lokacije (banke, prodavnice), da bi se od korisnika saznale poverljive informacije. Bot podie Web sajt koji je vizuelno identian sajtu koji se imitira i omoguava upisivanje korisnikih imena i lozinke, da bi se pristupilo bankovnom raunu, ili zahteva unos podataka sa kreditne kartice, da bi se platila roba koja je tu kupljena. U oba sluaja kao rezultat korisnik dobija samo poruku o greci, a unete informacije bivaju prosleene hakeru. Sniffing botovi mogu da imaju ugraenu funkciju prislukivanja i registrovanja mrenog saobraaja. Na mrenom segmentu u kojem su instalirani, ovi sniferi detektuju i registruju osetljive sadraje, kao to su korisnika imena i lozinke. U specijalnim sluajevima, kada je neki raunar kompromitovan vie od jednom (i tako postao lan vie botnet-ova u isto vreme), sniferska funkcija moe jednom napadau da otkrije osetljive delove komandno-kontrolnog saobraaja drugog napadaa. To prua mogunost za preotimanje i prisvajanje tuih botova, to je dosta est sluaj. Keylogging U sluaju da je komunikacija kriptovana, snimanje saobraaja ne moe biti efikasan nain za pribavljanje osetljivih informacija. U tom sluaju, botovi mogu da snimaju direktan ulaz sa tastature, klikove mia, sadraje ekrana, sadraj radne memorije ili lokalnih fajlova. Na primer, bot moe biti podeen tako da reaguje na neke kljune rei i da tek tada zapone registrovanje. irenje malicioznog koda U najeem sluaju, botovi slue za propagaciju novih botova. Ako korisnik poseduje malicioznu mreu, moe je upotrebiti za instalaciju neke potpuno nove mree ili bilo kojeg drugog malicioznog softvera. Napade na IRC mree Ovo je zapravo jo jedna vrsta DDoS napada, samo specifina za IRC protokol. Mrea botova dobija zadatak da se prikljue na neku IRC mreu, tako to e svaki od njih prikljuiti na hiljade klonova istovremeno. Izabrana IRC mrea tako dobija ogroman broj korisnika u ogromnom broju kanala, i to sve odjednom u takvom sluaju najei rezultat biva trenutni i potpuni otkaz servisa.
24

Manipulisanje raznih on-line igara i glasanja Botovi mogu biti upotrebljeni za automatsko odazivanje na razna glasanja u cilju sticanja izborne pobede u korist eljene strane. Slino je i sa popularnim igrama u kojima se igrai kandiduju za neku nagradu, gde se angaovanjem maliciozne mree napadau znaajno podiu anse za dobitak. Ilegalne servise, hostovanje ilegalnih podataka Ovo je ve dugo prisutan i rastui trend: kompromitovana maina postaje deo mree za razmenu ilegalnih podataka (piratizovani softver, filmovi, muzika, slike, pornografija itd.). Ustupanje propusnog opsega Botovi sa veoma brzim pristupom imaju veliki komunikacioni potencijal i veoma su atraktivni za razne hakerske potrebe. Vlasnik koji je spreman da ovakve botove stavi kolegama na raspolaganje moe da oekuje odgovarajuu, esto znaajnu, finansijsku nadoknadu. Korienjem bot-ova, internet kriminalci imaju dvostruku pogodnost: dobijaju moan sistem za sve svoje aktivnosti, a istovremeno su zatieni od otkrivanja. Sve zadatke obavljaju bot maine, dok njihov operater (ili operateri) komunicira samo prilikom davanja instrukcija ili nadogradnje samog bota.

3.3.3 Primeri zloupotrebe korienjem bot mrea Nekoliko velikih bot mrea je pronaeno i uklonjeno sa interneta. Norveki provajder Telenor je septembra 2004. rasformirao bot mreu od oko 10.000 maina, dok je holandska policija oktobra 2005. uhapsila kontrolere i pronala bot mreu sa preko 1,5 miliona raunara. Tokom proteklih godina, ak je i sam DNS sistem dva puta bio napadnut DDoS metodom. Meta napada su bili jedan ili vie od 13 root servera koji opsluuju celokupan DNS saobraaj na internetu. Prvi napad se dogodio 22. oktobra 2002., i trajao je oko jedan

25

sat. Za to vreme, devet root servera je onesposobljeno a preostala etiri su uspela da izdre napad. Drugi napad se dogodio 6. februara 2007. i trajao je oko pet asova. Iako nijedan od servera ovaj put nije bio oboren, dva root servera su prijavila vrlo otean rad, dok je kod ostalih dolo do izuzetno velikog poveanja saobraaja. Bot mrea koja je bila odgovorna za ovaj napad je locirana u Junoj Koreji [14]. Conficker bot mrea je nastala infekcijom raunara koji ima Windows operativni sistem, istoimenim crvom. Prema podacima kompanije FSecure, broj raunara zaraenih Conficker-om je u jednom trenutku dostigao broj od skoro 9 miliona, ukljuujui raunare vlade, vojske, privrede, kao i kunih raunara u vie od 200 zemalja. Ovako brzo i uspeno irenje nastalo je zahvaljujui kombinaciji naprednih tehnika na mrei, pa je veoma teko suprotstaviti joj se. U prvim pokuajima 2008. godine, ovaj crv se irio iskoriavanjem slabosti mrenog servisa Windows-a (MS08-067). Microsoft je davno zapoeo bitku protiv internet prevara, koristei se pravosudnim sistemom SAD, Microsoft je septembra 2010., uspeo da srui bot mreu pod nazivom Kelihos. Ovo je postignuto tako to je, na zahtev Microsoft-a, federalni sud amerike drave Virdinije naredio kompaniji Verisign gaenje dvadeset i jednog internet domena, koji su bili povezani sa serverima koji su inili mozak Kelihos botnet mree. Interesantan podatak je da Kelihos mrea nije napadala samo korisnike PC raunara, ve i korisnike MAC (Media Access Control) raunara. Pored napada MAC raunara, smatra se da je Kelihos bot mrea odgovorna za inficiranje vie od 40.000 PC raunara sa Windows operativnim sistemom. Kelihos je bio ogroman generator spama, sa 4 miliona poslatih neeljenih e-mail poruka dnevno korisnicima irom sveta. Microsoft je podneo odvojenu tubu, okrunom sudu Istone Virdinije, protiv Dominika Aleksandra Piatia, ekog dravljanina, za koga Microsoft tvrdi da stoji iza Kelihos bot mree. Prema ovoj tubi Piati je optuen za irenje Kelihos bot mree, koja je poznata jo i kao Waladac 2.0, i jo 20 povezanih domena. Microsoft je takoe naveo da je ova tuba prvi sluaj u kome je distributor bot mree identifikovan imenom u okviru civilne sudske procedure, to predstavlja veliki korak napred u odlunim naporima Microsoft-a da zatiti svoju platformu i korisnike od zloupotrebe, bez obzira na to ko i odakle vri zloupotrebu [11]. Bot mree, i njihove karakteristike (datum ruenja i kreiranja, procenjeni broj botova, kao i spam kapacitet) predstavljeni su u Tabeli 3.2 [16]. Tabela 3.2. Istorijska lista bot mrea

Datum kreiranja 2009 (maj)

Datum ruenja 2010 (oktobar)

Ime bot mree BredoLab

Procenjeni Spam kapacitet broj botova (milijarda/danu) 30.000.000 3,6

26

2008 (oko) ? 2010 (oko) ? 2007 (oko) 2008 (oko) ? ? ? 2007 (mart) ? 2004 (poetak) ? ? ? 2006 (oko) ? 2008 (kraj) ? ? ? ? ? 2008 (oko) ? 2010 (januar) ? 2009 (avgust) 2008 (oko) 2007

2009 (kraj)

Mariposa Conficker TDL4 Zeus Cutwail Sality Grum Mega-D Kraken Srizbi Lethic Bagle Bobax Torpig Storm Rustock Donbot Waladec Maazben Onewordsub Gheg ? Wopla Asprox Spamthru LowSec Xarvester Festi Gumblar Akbot

12.000.000 10.500.000 4.500.000 3.600.000 1.500.000 1.000.000 560.000 509.000 495.000 450.000 260.000 230.000 185.000 180.000 160.000 150.000 125.000 80.000 50.000 40.000 30.000 20.000 20.000 15.000 12.000 11.000 10.000 ? ? 1.300

? 10 ? n/a 74 ? 39,9 10 9 60 2 5,7 9 n/a 3 30 0,8 1,5 0,5 1,8 0,24 5 0,6 ? 0,35 0,5 0,15 2,25

3.3.4 Storm botnet Storm botnet je daljinski kontrolisana mrea "zombi" raunara koja je povezana sa Storm worm-om, trojanskim konjem koji se iri putem e-mail spam-a. Septembra 2007. godine, Storm botnet je pokrenut na oko 50 miliona raunarskih sistema. Storm bot mrea je koriena u mnotvu kriminalnih aktivnosti. Njeni kontroleri, kao i autori Storm crva, jo uvek nisu identifikovani. Storm bot mrea pokazuje odbrambeno ponaanje koje nagovetava da njeni kontroleri aktivno brane mreu od pokuaja da se ona prati i onesposobi. Mrea je napadala on-line segmente nekih kompanija koje se bave

27

mrenom bezbednou kao i istraivaa koji su pokuali da saznaju vie o njoj. Veina eksperata za bezbednost se slae da e ova bot mrea predstavljati veliki bezbednosni rizik i u budunosti a Ameriki FBI (Federal Bureau of Investigation) smatra ovu mreu znaajnim izvorom bankarskih prevara, kraa identiteta i drugih oblika sajber-kriminala. Raunarski strunjak za bezbednost Do Stjuart detaljno je objasnio proces kojim se raunari pridruuju botnet-u. Prikljuivanje botnet-u se vri u fazama, pokretanjem niza exe datoteka na raunaru. Obino, te datoteke se imenuju u nizu, od game0.exe do game5.exe, ili slino. One obino obavljaju sledee funkcije [16]: game0.exe Backdoor/downloader game1.exe SMTP (Simple Mail Transfer Protocol) prosleiva game2.exe Alat za krau e-mail adresa game3.exe Alat za irenje e-mail virusa game4.exe DDoS alat game5.exe Novu, auriranu kopiju Storm crva U svakoj fazi ugroen sistem e se povezati sa botnet-om. Fast fluks tehnika ini praenje ovog procesa izuzetno tekim. Kd bot mree se pokree iz %windir %\system32\wincom32.sys na Windows sistemu, preko kernel rootkit-a, i sve povratne konekcije na botnet-u se alju preko modifikovane verzije eDonkey / Overnet protokola. Izvrna datoteka game4.exe izvodi DDoS napad. Ona dobija IP adresu mete kao i tip napada preuzimajui konfiguracionu datoteku sa trajno upisane Web adrese u telu trojanca.

Link u ovoj poruci sadri numeriku IP adresu (64.171.kk). Ovakav sluaj je veoma redak i snano ukazuje na to da ova poruka pokuava da zarazi raunar. Poruke sline ovoj treba odmah obrisati [20].

28

Slika 3.6. Primer poruke zaraene Storm crvom

Snimak na Slici 3.7. predstavlja metod prevare korisnika kako bi instalirali viruse na svojim sistemima po principu skinuti potreban video koder. Kada se pokrene preuzimanje, udaljeni server skenira sistem korisnika. Ako korisnik pokua da pogleda video snimak i misli da e biti potrebni dodatni video kodeci, treba da poseti oficijalni sajt i tamo potrai odgovarajui dodatni koder.

Slika 3.7. Primer web stranice dizajnirane za instaliranje virusa Neke od IP adresa koje su bile meta DDoS komponente Storm crva januara 2007, obuhvatale su domeni pokazani u Tabeli 3.3. Tabela 3.3. Delimina lista IP adresa koje je napadao crv Storm IP adresa mete 67.15.52.145 63.251.19.36 216.118.117.38 208.66.194.155 66.246.246.69 69.72.215.236 208.66.72.202 66.246.252.206 Naziv domena stockpatrol.com spamnation.info esunhuitionkdefunhsadwa.com (Warezov virus) krovalidajop.com, traferreg.com (Warezov) shionkertunhedanse.com (Warezov) capitalcollect.com adesuikintandefunhandesun.com (Warezov) huirefunkionmdesa.com (Warezov)

29

Kako je u ovom trenutku praktino nemogue utvrditi odgovorne za ove napade, i da samim tim oni ne snose nikakve posledice, izgleda da je sve vie spamera voljno i sposobno da napadne bilo koga ko se pojavi kao pretnja njihovom profitu.

Slika 3.8. Tipini ivotni ciklus koji potie od spam mree: (1) Web sajt poiljalaca; (2) Spamer; (3) Spamware; (4) Zaraeni raunari; (5) Virus ili trojanac; (6) Mail server; (7) Korisnici; (8) Internet saobraaj.

3.4 Fast flux tehnika

Fast flux je tehnika koja se koristi za skrivanje sajtova za isporuku zlonamernih programa i phishing sajtova iza fluktuirajue mree kompromitovanih host-ova koji slue kao posrednici. Ona takoe moe da se odnosi na kombinaciju peer-to-peer naina rada, distribuirane komande i kontrole, balansiranje mrenog optereenja i proxy preusmeravanja, koja je nainila zaraene mree mnogo otpornijim za otkrivanje. Storm worm je jedan od poslednjih zlonamernih programa koji koriste ovu tehniku. Osnovna ideja fast flux tehnike je povezivanje vie IP adresa sa jednim nazivom domena, gde se IP adrese ubacuju i izbacuju veoma esto za svaki DNS zapis resursa. To je tehnika koju sajber-kriminalci i koriste da izbegnu identifikovanje i ometaju sprovoenje zakona i antikriminalne napore usmerene na lociranje i zatvaranje Web sajtova koristei ih u nezakonite svrhe. Dok su istraivai bezbednosti bili svesni postojanja ove tehnike od novembra 2006., ona je veu panju javnosti privukla tek jula 2007. godine. Matine maine (motherships) su kontrolni elemenat fast flux mrea i predstavljaju

30

ekvivalent serverima komande i kontrole koji obino postoje u konvencionalnim bot mreama.

3.4.1 Phishing i pharming Jedna od najpoznatijih oblika raunarskog kriminala je kraa identiteta, gde kriminalci koriste internet da bi ukrali personalne podatke od nekog drugog korisnika interneta. Dva najpoznatija naina da se to uini su phishing i pharming. Oba ova metoda varaju korisnike lanim Web sajtovima (kao da su pravi), tako to se od korisnika trai da unesu personalne podatke. To ukluuje login informacije, kao to su korisniko ime i lozinka, telefonske brojeve, adresu, broj kreditne kartice, broj bankovnog rauna i druge informacije koje kriminalci mogu da koriste da bi ukrali identitet neke osobe. Iz tog razloga je pametno uvek proveriti URL ili Web adresu sajta, da bi korisnici bili sigurni da je sajt legitiman, pre nego to unesu svoje line podatke. Kako raunarski kriminal pokriva veoma iroki opseg kriminalnih aktivnosti, gornji primeri su samo neki od vie hiljada kriminalnih aktivnosti koje spadaju pod raunarski kriminal. Zbog toga je pametno zatititi sebe korienjem antivirusnog i softvera za blokadu pijunae (spyware) i biti paljiv kod unosa (davanja) linih podataka [12].

Phishing (pecanje personalnih podataka) je slino pecanju na jezeru, ali umesto od pokuaja da se ulovi riba, phishner-i pokuavaju da ukradu personalne podatke. Oni alju email-ove tako da izgledaju da su doli sa nekog legitimnog Web sajta ako to su eBay, PayPal, ili neke druge bankarske institucije. Kada korisnik poseti e-mail-u njemu se tvrdi da njegove informacije treba da se auriraju ili provere, i trai se od korisnika da unese svoje korisniko ime i lozinku, nakon to je kliknuo na link koji se nalazi u mail-u. Neki e-mailovi e traiti i da se unese puno ime, adresa, broj telefona, kao i broj kreditne kartice. Dovoljno je samo to to je korisnik posetio lani Web sajt i uneo svoje korisniko ime i lozinku, pa da phishner moe da dobije pristup do vie informacija logujui se njegovim raunom. Na primer, ako korisnik poseti Web stranicu na eBay, poslednji deo imena domena bi trebalo da bude zavren sa http://www.ebay.com ili http://cgi3.ebay.com , koje su prave Web adrese, ali http://www.ebay.validate-info.com i http://ebay.login123.com koje su lane adrese, koje se moda koriste od phishnera. Ako URL sadri neku IP adresu, kao to je 12.30.229.107, umesto imena domena, korisnik moe biti prilino siguran da neko pokuava da ulovi njegove line podatke.

31

Mnogi legitimni e-mail-ovi se obraaju punim imenom korisnika na poetku poruke. Ukoliko postoji bilo kakva sumnja u to da je e-mail legitiman, treba biti pametan i ne unositi line podatke. Pharming je jo jedan nain kojim hakeri pokuavaju da manipuliu korisnicima na internetu. Dok phishing uzima line podatke od korisnika upuujui ga na lani Web sajt, pharming preusmerava korisnika na lani Web sajt a da on toga nije svestan. Na primer, umesto IP adrese 17.254.3.183 koja vodi na www.aple.com, ona moe biti promenjena tako da ukazuje na neki drugi Web sajt koji je odredio haker. Pharmers-i mogu da otruju i neke DNS servere, to znai da e bilo koji korisnik koji koristi taj server biti preusmeren na pogrean Web sajt. Obino veina DNS servera ima mere zatite kojima se tite od takvih napada i to ne znai da su oni 100% imuni, jer hakeri nastavljaju da nalaze naine da im pristupe. Ako korisnik poseti neki siguran Web sajt i ini mu se da se znaajno razlikuje od onog to oekuje, moda je rtva pharming-a. U tom sluaju treba restartovati raunar da bi se resetovali DNS ulazi, pustiti neki anti-virusni program u tom sluaju, pa onda ponovo probati povezivanje sa Web sajtom. Ako sajt i dalje izgleda udno, treba kontaktirati ISP-a (Internet Service Provider) i obavestiti ga da je njegov DNS server moda pharm-ovan.

3.4.2. Single-flux i double-flux Najjednostavniji oblik ove tehnike se naziva single-flux. Sastoji se od viestrukih individualnih vorova u okviru mree koji vrlo esto registruju i odjavljuju svoje IP adrese kao deo DNS A (adresne) liste zapisa za jedan DNS naziv. Ovo kombinuje: 1) round robin DNS mehanizme sa veoma kratkim vremenom (obino manje od pet minuta); 2) TTL vrednosti za kreiranje liste odredinih adresa za jedan DNS naziv. U poreenju sa normalnom komunikacijom sa Web serverom, komunikacija u single-flux mrei se prosleuje preko posrednika (kompromitovane zombi kune maine). Dok rtva misli da je na adresi (npr. www.example.com), njen internet pretraiva u stvari komunicira sa posrednikom fast flux mree koji usmerava zahtev na odredini sajt. Mrea menja DNS zapise IP adresa posrednika u periodima od ak 3-10 min. Sofisticiraniji tip fast flux tehnike je double-flux. Njega karakteriu viestruki vorovi unutar mree koji vrlo esto registruju i odjavljuju svoje IP adrese kao deo DNS NS liste zapisa za DNS zonu. Ovo obezbeuje dodatni nivo redundantnosti i otpornosti unutar mree.

32

Primer za ovakvu vrstu mrea moe biti phishing napad usmeren protiv popularnog sajta MySpace. Napada je kreirao lani sajt pod imenom login.mylspacee.com. Ovaj sajt vizuelno izgleda kao stvarni MySpace sajt ali umesto toga prikuplja podatke o MySpace korisnicima od svakog ko bude prevaren da se uloguje na lani sajt [13].

Slika 3.9. Komunikacija kod single-flux i double-flux mrea U single-flux mreama komunikacija se obavlja na sledei nain (Slika 3.9): 1) Klijent alje upit root serveru naziva za adresom servera autoritativnom za .com domen; 2) Klijent alje upit .com serveru naziva za domen example.com i dobija odgovor da treba da se obrati serveru naziva ns.example.com; 3) Klijent sada alje upit autoritativnom DNS serveru ns.example.com za adresu flux.example.com; 4) Server tada odgovara IP adresom sa kojom klijent pokuava da ostvari komunikaciju. U normalnim okolnostima ova IP adresa ostaje konstantna due vreme, dok se kod single-flux mrea ona menja iz minuta u minut. U double-flux mreama, klijent prvo vri upit za adresom flux.example.com: 1) Ponovo, prvi korak je upit ka root serveru naziva; 2) Klijent alje upit serveru naziva odgovornom za .com domen i trai autoritativni server naziva za domen example.com.;

33

3) Klijent alje upit autoritativnom serveru naziva ns.example.com za adresu flux.example.com. Meutim, ovaj autoritativni server naziva je u stvari i sam deo double-flux mehanizma, i njegova IP adresa se esto menja; 4) Kada dobije DNS upit za flux.example.com od klijenta, server prosleuje upite matinom serveru radi dobijanja potrebnih informacija; 5) Klijent tada moe da pokua da uspostavi direktnu komunikaciju sa traenim sistemom. Kao i za legitimne poslove, internet predstavlja plodno ekonomsko tle za kriminal, to znai da e tehnike kao to je fast flux nastaviti da se razvijaju. Naalost, esto su ovakve pretnje korak ispred profesionalaca koji se bave pitanjima bezbednosti na mrei.

3.4.3 Borba protiv fast-flux mrea Tehnologija bot mrea je promenila shvatanje hakerisanja. Umesto kontrole nad malim brojem maina i korienjem tih maina za pokretanje napada, zlonamerni pojedinci sada mogu da kontroliu stotine, hiljade pa i vie maina koje onda mogu koristiti za jo vei broj napada. Do skoro je bilo lako locirati i ukloniti lokacije gde je uvan zlonamerni softver kao i maliciozne Web sajtove. Bili su ili registrovani u DNS-u ili koristili svoje IP adrese. Sa pojavom bot mrea, sve se to promenilo. Maja 2008. dokumentom Double Flux Defense in DNS predloen je niz promena u DNS standardu, da bi se pretnja fast-flux mrea to vie ublaila. Promene koje se predlau ovim merama menjaju DNS protokol radi poboljanja bezbednosti u postojeim sistemima i one ne spreavaju zloupotrebu, ali mogu da uspore irenje malicioznih DNS promena, to teoretski poboljava bezbednost DNS servisa.

4. MEHANIZMI ZA OBEZBEENJE DNS-A

Internet komunikacija se zasniva na numerikim adresama (IP adrese). Meutim, IP adrese su brojevi koje je teko pamtiti, tako da nisu ba pogodni za korisnike. Kad god se ukuca neka adresa u Web ita, on mora da tu adresu pretvori u numeriku da bi mogao da zaista ostvari komunikaciju. Informacije te vrste daje DNS servis. Raunar e se obratiti DNS-u i od njega traiti koja IP adresa odgovara traenoj tekstualnoj adresi, kada dobije informaciju nastavlja komunikaciju sa traenim raunarom i onda korisniku prikazuje stranice sa eljenog sajta. DNS servis je meta napada zlonamernika i problem je upravo zbog njegovog vitalnog znaaja za funkcionisanje interneta. Postoje naini da se uzurpira DNS servis,

34

zatruje izmenjenim podacima i da se preko njega korisnici preusmere na server napadaa. Tada napada dobija zaista velike mogunosti zloupotrebe. Imajui u vidu ozbiljnost problema da je problem ozbiljan odluilo se da se pree na sigurniju varijantu DNS servisa, koja se naziva DNSsec (DNS Security Extensions). Uproeno, to je isti DNS servis samo proiren protokolom koji uvodi sigurnosne kljueve, tako da se obezbeuje provera da li su podaci koje DNS zona sadri ispravni, odnosno neovlaeno menjani [6]. DNSsec ini bezbednost DNS-a. DNSsec je projektovan da zatiti internet od trenutnih napada, kao to je ke trovanje. DNSsec je predloeni standard koji modifikuje zapise resursa i protokole DNS-a da bi se obezbedila sigurnost za transakcije izmeu resolvera i servera naziva. Uvoenjem podataka koji su kriptografski potpisani javnim kljuem u DNS uz pomo etiri nova zapisa resursa, DNSsec obezbeuje: Autentinost DNS podataka (resolver moe da odredi da li odgovor potie od autoritativnog servera naziva odreene zone). Verifikaciju podataka (resolver moe da odredi da li je odgovor menjan u toku prenosa). Autentino negiranje postojanja (resolver moe da potvrdi da je odreeni upit nerazreiv, ako ne postoji zapis resursa DNS-a na autoritativnom serveru naziva).

4.1 DNSsec funkcionisanje

DNSsec je osmiljen da zatiti resolvere od lairanih DNS podataka, kao to je sluaj pri trovanju DNS kea. Svi odgovori u DNSsec-u koji se alju su digitalno potpisani. Proverom digitalnih potpisa, resolver moe da proveri da li je primljena informacija identina (tana i kompletna) kao informacija na autoritativnom serveru naziva. Prelazak na DNSsec protokol moe da izazove ozbiljne probleme ne samo na sistemima koji ne podravaju ovaj protokol, ve i na ureajima koji posredno utiu na DNS servis, najpre ruterima. Naime, DNS servis je poznat kao servis koji troi malo resursa. On koristi UDP (User Datagram Protocol) protokol a njegovi paketi su veoma mali. Zbog toga mnogi ruteri namerno ograniavaju veliinu UDP paketa na 512 bajtova, a pakete koji su vei od toga, ne

35

proputaju. Na mnogim ruterima je ovo fabriki podeeno i ak i ne postoji mogunost da korisnik promeni to ogranienje. DNSsec protokol, zbog potrebe prenosa kljueva, prelazi ogranienje od 512 bajtova. Njegovi paketi su po pravilu vei od 1024 bajta. To znai da DNSsec upiti nee prolaziti kroz rutere koji ograniavaju duinu UDP paketa na 512 bajtova. Pored rutera, problem mogu da izazovu i razni servisi koji presreu DNS upite bez loih namera, recimo zbog keiranja, ili obezbeenja podrke u sluaju da upit nema rezultat (upuivanje na neki pretraiva ili slino). Ako oni nisu prilagoeni za DNSsec protokol, praktino e odsei od interneta svoje korisnike [5]. DNSsec uvodi etiri nova tipa zapisa resursa: Potpis zapisa resursa (Resource Record Signature - RRSIG); DNS javni klju (Domain Name System Key - DNSKEY); Potpisnik delegiranja (Delegation Signer - DS); Sledei bezbedan (Next Secure - NSEC).

Kada se koristi DNSsec, svaki odgovor na DNS lookup e sadrati RRSIG DNS zapis, pored tipa zapisa koji je zahtevan. RRSIG zapis je digitalni potpis za odgovore DNS skupu resursa zapisa. Digitalni potpis moe da bude verifikovan od strane ispravnog javnog kljua pronaenog u DNSKEY zapisu. DS zapis se koristi za autentifikaciju DNSKEY zapisa u lookup proceduri koristei lanac poverenja. NSEC zapis se koristi za pruanje snanog otpora protiv DNS spoof-a i lairanja sadraja.

4.2 Posledice uvoenja DNSsec-a

Najpre, uvoenje DNSsec protokola ne znai iskljuenje DNS protokola. Naprotiv, DNS serveri e i dalje odgovarati i na obine DNS upite na isti nain kao i do sada. Ko ne koristi DNSsec nee naii na probleme. Samo ako DNS upit zahteva DNSsec, dobie ga. Problem moe da se javi ako neki od rutera na putanji konekcije ograniava UDP na 512 bajtova i tako onemogui DNSsec pakete da stignu do odredita. Moe se desiti da i celi internet provajderi ostanu odseeni od interneta, to jest, sve e funkcionisati osim DNS servisa. Ipak, ne treba oekivati da takvih provajdera bude mnogo. Oni po pravilu koriste kvalitetnu opremu za umreavanje koja omoguava da se problem lako rei i ako neko od njih bude pogoen to e pre biti zbog neobavetenosti i nepravovremene pripreme, nego zbog ogranienja same opreme koju koriste.

36

Internet provajderi bi trebalo da su ve proverili svoju opremu i servise i usaglasili ih sa DNSsec protokolom. Korisnici mogu da izvre proveru svoje internet veze ve tada, pre nego to se problem pojavi. Moe se preuzeti drava program za testiranje, i pokrenuti ga na svom raunaru i istestirati rutere koji su bitni za internet vezu. Po pokretanju, program e sam utvrditi koji je najblii ruter tako da se on moe odmah ispitati, ali omoguava i da se ukuca adresa bilo kog drugog rutera tako da se moe proveriti bilo koji. Kako e saznati adrese rutera je na korisniku, poto to u mnogome zavisi od njegovog internet provajdera. Ako se ve doe u situaciju da DNS pone praviti probleme, uvek se moe raunar podesiti da koristi neki javni DNS servis dostupan preko interneta. Moe se upotrebiti GoogleDNS ili OpenDNS. Oni ne koriste DNSsec protokol te e tako sigurno paketi prolaziti kroz sve rutere [6].

4.3 Nedostaci DNSsec-a

DNSsec nosi sa sobom nekoliko slabosti i problema:

DNSsec je kompleksan za uvoenje i u nekim sluajevima na granicama zona zahteva vrlo paljiva podeavanja. Iskustva iz eksperimenata sugeriu da greke u konfigurisanju zone ili kljuevi koji su prestali da vae mogu izazvati ozbiljne probleme za DNSsec resolver. DNSsec znaajno poveava veliinu DNS paketa u odgovoru; izmeu drugih stvari, ovo ini DNSsec DNS servere jo efektivnijim kao DoS amplifikatore. Provera odgovora DNSsec-a poveava optereenje resolvera, jer DNSsec resolver treba da izvri validaciju potpisa i u nekim sluajevima treba da poalje dodatne upite. Ovo poveanje optereenja poveava i vreme potrebno da se poalje odgovor originalnom DNS klijentu, to u nekim sluajevima moe da dovede do timeout-a i ponovnog slanja upita. tavie, mnogi trenutni DNS klijenti su ve isuvie nestrpljivi i bez dodatnih kanjenja koje bi uveo DNSsec. Kao i sam DNS, model poverenja DNSsec-a je skoro potpuno hijerarhijski. Dok DNSsec dozvoljava resolverima da saznaju javne kljueve van grupe onih koji se odnose na root, root klju je onaj koji je zaista vaan. Stoga bi bilo kakav kompromis u bilo kojoj zoni izmeu root-a i odreenog naziva mogao da narui

37

sposobnost DNSsec-a da zatiti integritet podataka vlasnika naziva. Ovo nije nikakva promena, jer nebezbedni DNS koristi isti model.

Prelaz izmeu kljueva na root-u je vrlo teak. Ovaj problem do sada nije adekvatno reen. Ne obezbeuje tajnost podataka i ne titi od DDoS (Distributed Denial of Service) napada.

5. BUDUNOST INTERNETA I DNS-A

Iako je opte poznato da je internet decentralizovan i nehijerarhijski organizovan, u njegovoj osnovi je i dalje centralizovana hijerarhija, to se najbolje vidi posmatranjem DNSa. Potreba da se obezbedi jedinstvenost, tj. da se sprei korienje duplih naziva domena, stvorila je potrebu za nekom vrstom tela koje bi pratilo ili dodeljivalo imena. Meutim, kontrola nad DNS-om daje znaajnu mo nad internetom. Ko god kontrolie DNS, odluuje koji novi TLD (Top-Level Domain) nazivi mogu da se uvedu i kako e imena i IP adrese biti dodeljene Web sajtovima i drugim internet resursima.

38

5.1 ICANN sistem Ameriko Ministarstvo trgovine je juna 1998. kao odgovor na sve veu zabrinutost vezanu za DNS, donelo izjavu o politici privatizacije adresnog prostora na internetu, poznatu kao DNS White Paper. Ovaj dokument je pozvao na formiranje privatne neprofitne korporacije koja bi preuzela DNS i izvrila razliite reforme. Nedugo, meunarodna grupa je posle zatvorenog sastanka, objedinjena u ICANN (Internet Corporation for Assigned Names and Numbers), kao privatnu neprofitnu korporaciju sa seditem u Kaliforniji. Zatim, Ameriko Ministarstvo trgovine je prenelo na ICANN veinu svojih ovlaenja vezanih za upravljanje DNS-om. ICANN je odgovoran za koordinaciju sistema jedinstvenih identifikatora i, posebno, obezbeujui njegov siguran i bezbedan rad. Ovaj rad obuhvata koordinaciju adresnih prostora internet protokola (IPv4 i IPv6) i dodeljivanje adresa regionalnim internet registrima, radi odravanja identifikatora internet protokola, kao i za upravljanje top-level domenima, koji ukljuuje rad DNS root servera. Najvei deo rada ICANN-a se odnosi na DNS politiku razvoja za internacionalizaciju DNS sistema i uvoenje novih top-level domena [17]. Odreivanje najbolje budunosti za ICANN i administraciju DNS-a nije pitanje na koje se lako moe dati odgovor. Ali, u svakom sluaju, rasprave o ovoj temi su veoma vane i neophodno je da ih bude to vie. Kako sve vie ljudi u svetu postaje svesno interneta i ukljuuje internet u svoje svakodnevne ivote, kontrola koju ICANN ima nad DNS-om e imati sve vee implikacije.

5.2 Alternativni DNS

Uz postojeih 13 DNS root servera koji rade u dogovoru sa ICANN-om, nekoliko organizacija upravlja alternativnim DNS root serverima. Svaka od njih poseduje sopstvenu grupu root servera naziva i sopstveni skup top level domena. Alternativni root serveri najee obuhvataju adresiranje za sve TLD servere koje je odredio ICANN (generiki .com, .net, .org... kao i dravni .rs, .uk itd.), kao i za TLD servere za druge domene najvieg nivoa (kao to su .new, .web, .tech...) koje ICANN nije definisao, ve ih odravaju nezavisne organizacije. Alternativni DNS root se moe okarakterisati kroz tri grupe: One koji su nastali iz idealistikih ili ideolokih razloga;
39

One koji su nastali kao komercijalni projekti profitnih preduzea; One koji su pokrenuti kao projekti organizacija za sopstvene potrebe. Trenutno samo mali deo provajdera koristi usluge alternativnih root servera, dok se veina dri servera koje je naveo ICANN. Internet Architecture Board se u dokumentu RFC 2826 snano protivi postavljanju i korienju alternativnih root servera naziva. U Tabeli 5.1 predstavljeni su alternativni DNS root serveri i meu njima kao najozbiljniji projekat alternativnog sistema adresiranja na internetu predstavlja ORSN (Open Root Server Network), koji se koristi od 2002. Tabela 5.1. Lista aktivnih i neaktivnih alternativnih DNS root servera

Aktivni DNS root serveri Cesidian ROOT Global-Anycast Mobile TLD NameCoin P2P DNS Name.Space New.net Public-Root

Neaktivni DNS root serveri AlterNIC eDNS Iperdome Open Root Server Network Open RSC

5.3 Razmere problema

Danas je sasvim uobiajeno da se sreu maliciozne mree sastavljene od vie stotina hiljada raunara. Takoe, sasvim je uobiajeno da se na crnom tritu iznajme, uz finansijsku nadoknadu, itave armije zombija na odreeno vreme. Motivi za uzgajanje i odravanje malicioznih mrea vie nisu istraivaki duh ni intelektualna hakerska radoznalost. Maliciozne mree danas imaju snagu oruja u elektronskom ratovanju i ogroman komercijalni potencijal. Ciljevi njihovih organizatora i vlasnika sve ee su u stvaranju profita. Sledei statistiki podaci iz 2004. najbolje svedoe o razmerama problema [19]: Na internetu postoji preko 1.000.000 zombija; Broj malicioznih mrea je vei od 30.000;

40

 Procenjuje se da je preko 25% inficiranih raunara pod kontrolom hakera; irokopojasne mree su odgovorne za porast broja inficiranih raunara od 93% u 2004.; Na honeynet.org je registrovano 226.585 jedinstvenih IP adresa logovanih samo na jednom od IRC C&C kanala; Prosena veliina pojedine mree je oko 2.000 zombi raunara; Maksimalna veliina pojedine mree se moe samo naslutiti; holandska policija je u jednoj akciji 2005. godine razbila mreu od 100.000 zombi raunara.

5.4 Stanje u domaem internetu

Srbija se nalazi u fazi ubrzanog razvoja irokopojasnog interneta. Kablovski, beini i ADSL (Asymmetric Digital Subscriber Line) pristup je u poslednje vreme u velikoj ekspanziji. Tipini korisnici su sve ee mala i srednja preduzea i domainstva. To su upravo one korisnike kategorije kod kojih su prisutni praktino svi faktori koji stimuliu verovatnou i uspeh napada: nizak nivo zatite (bilo zbog nedostatka svesti i znanja, bilo zbog nedostatka sredstava), nekvalitetna infrastruktura, sve ei neprekidan rad itd. Sa druge strane, provajderi internet usluga najee pruaju veoma slabu ili nikakvu zatitu svojim korisnicima. Usluge pristupa, koje obino idu u paketu sa uslugom elektronske pote praktino su potpuno nezatiene od ovakvih napada. Jedina mera koja se standardno preduzima jeste antivirusna zatita elektronske pote, premda i to sa neujednaenim kvalitetom. Problem je u tome to je e-mail samo jedan od mnogobrojnih napadakih vektora. ta je sa ostalima? Korisnici dobijaju javne IP adrese. One se dodeljuju iz statikih, nepromenljivih adresnih opsega, koji se lako otkrivaju. ak i kada individualna adresa korisnika nije statika, uspeni napadi su i dalje realno mogui. Brzi uvid u nekoliko popularnih ADSL adresnih prostora otkrio je niz slabosti: nezatiene TCP (Transmission Control Protocol) i UDP portove, nekoriene aktivne servise (ukljuujui i file sharing) itd. Situacija sa beinim pristupom je jo mnogo gora neke domae mree prosto trae da budu inficirane botovima. Za domai internet se verovatno moe rei da je nedostatak svesti i znanja jo vei problem od nedostatka sredstava. Edukacija i konsultantske usluge u ovoj oblasti su jo uvek veoma nerazvijene. Verovatno najtei problem u ovoj oblasti lei u tome to trenutno u Srbiji praktino nema konsaltinga koji je tehnoloki nezavisan. Opti zakljuak bi bio da sa daljim razvojem irokopojasnog pristupa domai internet postaje veoma atraktivan kao poligon za maliciozno umreavanje. Ukoliko se na taj trend na vreme ne obrati dovoljna panja, mogu se oekivati veoma tetne posledice.

41

6. ZAKLJUAK
Obian korisnik interneta ne mora da zna mnogo o DNS-u, ali kad god se koristi internet koristi se i DNS. Svako slanje elektronske pote ili surfovanje Web-om oslanja se na Domain Name System. Zbog toga ova tema, a naroito bezbednost povezana sa njom, zasluuje posebnu analizu. Kriminal je na internetu prisutan gotovo od njegovog nastanka. Ciljevi i motivi su do danas ostali isti. Uprkos napredovanju tehnologije ozbiljni internet kriminalci su se jo bolje organizovali. Danas koriste sofisticirane metode za postizanje svojih ciljeva, uz veto prikrivanje sopstvenog identiteta, pa ih je praktino nemogue otkriti. Najmonije oruje na internetu, bot mree nalaze se u njihovim rukama.
42

Treba skrenuti panju na postojeu opasnost da mere i sredstva zatite u dovoljnoj meri ne prate razvoj jedne sloene i vrlo sofisticirane napadake tehnologije, kao i da je prisutan veliki rizik od rastueg zaostajanja u tom pogledu, posebno u domaim uslovima. Autori zlonamernih programa najee su na korak ispred strunjaka koji se bave analizom bezbednosti mree, a na dva ili vie od dravnih slubi, iji je zadatak da spreavaju nelegalne aktivnosti. Bezbednost je oblast koja se dinamiki menja, to naroito vai za bezbednost raunara i raunarskih mrea. Bezbednost sistema za adresiranje domena je velika tema, ovaj zavrni rad bi trebalo da predstavlja osnovno upoznavanje sa bezbednosnim pitanjima DNSa, dok bi detaljno predstavljanje svih aspekata bezbednosti ovog sistema zahtevalo mnogo vie panje i prostora.

LITERATURA
[1] Gojko Grubor, Milan Milosavljevi, Osnove zatite informacija , Univerzitet Singidunum, Beograd 2010. [2] Radule oki, CISSP Telekom Srbija a.d., Zlonamerno umreavanje kao oblik zloupotrebe informacionih tehnologija, 2010. [3] http://www.linkelearning.com/dlmaterijali/materijali/DL2277/SadrzajNJpdf/MA2_04.pdf [4] http://web.utic.ba/Default.aspx?tabid=110 [5] http://www.dnssec.net/ [6] Pea Supurovi, belenica DNSSEC novi smak Interneta

43

[7] http://www.velarava.com/hr/computer-tips/55-to-je-dos-napad.html [8] http://www.yugomania.com/scitech/recnik-kompjuterskih-internet-termina/sta-je-toddos-napad [9] http://www.verisigninc.com/en_US/products-and-services/network-intelligenceavailability/ddos/index.xhtml [10] http://www.pss-magazine.com/LinkResolver.action?request=280 [11] http://msacademic.rs/News.aspx?id=577 [12] http://techterms.com/ [13] http://whatis.techtarget.com/definition/fast-flux-dns.html [14] http://www.theregister.co.uk/2005/10/07/dutch_police_smash_zombie_network/ [15] http://www.networkworld.com/news/2007/020807-rsa-cyber-attacks.html [16] http://en.wikipedia.org/wiki/Botnet [17] http://www.icann.org/en/committees/security/sac025.pdf [18] http://www.it-sigurnost.com/Preuzimanje-identiteta/dns-spoof-laziranje-web sadrzaja.html [19] http://arachnid.homeip.net/papers/VB2005-Bots_and_Botnets-1.0.2.pdf [20] http://grok.lsu.edu/article.aspx?articleid=5564 [21] http://www.linux-france.org/prj/inetdoc/cours/admin.reseau.dns-dhcp/admin.reseau.dnsdhcp.single.html

44