BANJA LUKA COLLEGE BANJA LUKA Miloa Obilia 30.

SEMINARSKI RAD IZ ZATITA INFORMACIONIH SISTEMA

MALICIOZNI SOFTVER DETEKCIJA I ODBRANA

Predmetni nastavnik: Doc.dr Milica Tepi

Student:

Banja Luka, jun 2011.god.

SADRAJ

1.0. Uvod....................................................................................3 2.0. Istorija raunarskih virusa...................................................3 3.0. Vrste malicioznog softvera.................................................4 4.0. Virusi..................................................................................5 4.1. Podjela virusa prema nainu funkcionisanja....................5 4.1.1. Boot sektor i Master Boot Record Infektori................5 4.1.2. Parazitski virusi...........................................................6 4.1.3. Svestrani virusi............................................................6 4.1.4. Virusi pratioc...............................................................6 4.1.5. Link virusi....................................................................6 4.1.6. ANSI bomba.................................................................6 4.1.7. Tunelirajuci virusi........................................................7 4.1.8. Kernel virusi.................................................................7 4.1.9. Makro virusi.................................................................7 4.2. Podjela virusa prema mjestu u memoriji............................7 4.2.1. Virusi koji su u rezidentnoj memoriji..........................7 4.2.2. Virusi koji nisu u rezidentnoj memoriji.......................7 5.0. Crvi (worms).......................................................................7 6.0. Trojanski konj (trojan horse)...............................................8 6.1. Vrste trojanskih konja.......................................................9 7.0. Spyware...............................................................................9 8.0. Exploiti....9 9.0. Rootkit.10 10.0. Phishing.10 11.0. Zatita od malicioznog softvera.........10 11.1. Antivirusni programi........................................................11 11.1.1. ta je antivirusni program...........................................11 11.1.2. Nain pronalaska virusa..............................................11 11.1.3. Neki antivirusni programi...........................................12 11.2. Firewall sistemi................................................................12 11.3. E-mail klijenti i serveri naprednih karakteristika.............13 12.0. Zakljuak............................................................................14

1.0. UVOD

Dananji ivot ne moe se zamisliti bez informatiko-komunikacionih tehnologija (IKT) koje su ovjeku olakale nain ivota, ali isto tako ga izmijenile iz temelja. Informatiko-komunikacione tehnologije nam omoguavaju donoenje brzih, pravovremenih, potpunih i sveobuhvatnih odluka, to je zapravo karakteristika i zahtjev dananjeg doba. Da bi smo bili u stanju da to sve ostvarimo, pored mogunosti koju nam pruaju IKT, potrebno je ispuniti odgovarajue preduslove za efikasno funkcionisanje informaciono-komunikacionog sistema. Osnovni preduslov jeste njegova funkcionalnost i pouzdanost. Upravo nad pitanjem pouzdanosti ovih sistema nadvio se jedan taman i opasan oblak maliciozni softver (eng. malware). Pojam malware (malicious software) je termin koji se koristi za sve vidove programa koji nanose tetu, bilo da se ona odnosi na sigurnost podataka na raunaru ili na tetu nanjetu korisnikovoj privatnosti. Malware programi se klasifikuju prema tome ta ine, kako se izvravaju i prema nainu na koji se umnoavaju. Zajedniko za sve vrste malware programa je to da se ire uglavnom bez obzira na volju korisnika, osim ukoliko sam korisnik ne eli da zarazi odreeni sistem, i na taj nain ga ugrozi. Motivi za ovakvo ponaanje nekih korisnika mogu biti razliiti: - edukativni, - dokazivanje u hakerskom svijetu, - finansijska korist istraivanjem ponaanja korisnika kako bi se svrstali u odreenu ciljnu grupu, a potom servirale odreene reklame, - industrijska pijunaa, - kraa novca elektronskim putem, - prenoenje raznih drugih poruka (politikih, linih, pa ak i totalno besmislenih poruka) itd. Zbog postojanja ove vrste opasnosti, razvila se posebna proizvodno-softverska grana iji je posao i krajnji cilj uklanjanje ili bar smanjenje te opasnosti. Maliciozni softver ne predstavlja samo pretnju klasinim personalnim raunarima nego i mnogo irim oblastima bankarstvu, industriji, trgovini.

2.0. ISTORIJA RAUNARSKIH VIRUSA

ezdesetih i sedamdesetih godina, jo u vrijeme velikih mainframe raunara, postojao je fenomen zvan zec (rabbit). Zec je najece nastajao sluajem ili grekom kada je pomahnitali kompjuterski program poeo sam sebe kopirati po sistemu, izazivajui usporenje ili pad sistema. No nisu svi zeevi nastali sluajno. Prvi pravi predak dananjih virusa bio je Prevading animal koji je bio sposoban da se nadodaje na druge programe na UNIVAC 1108 raunarskom sistemu. Program koji se smatra prvim pravim virusom nastao je daleke 1981. godine. Prvi kompjuterski virus se zvao Elk Cloner i bio je napisan za Apple II raunar. Termin kompjuterski virus je dao Fred Cohen, 1983. godine dok je eksperimentisao sa DEC VAX raunarima u okviru nauno-istraivakog rada. Tada je on klasifikovao viruse na istraivake i viruse u divljini. 1986. godine kreiran je prvi virus za PC raunar po imenu Brain. To je bio boot-sektor virus napisan u Pakistanu i inficirao je iskljuivo boot sektor disketa formatiranih na 360 KB. Nanosio je tetu tako to je popunjavao preostali prostor na disketi i na taj nain onemoguavao dalje korienje. To je bio i prvi stealth virus, to znai da je pokuavao da se sakrije od detekcije. Kada bi korisnik kompjutera htio da vidi inficirani boot sektor, prikazivao bi mu se lani (neinficirani) boot sektor. U novembru 1987. godine napravljen je prvi virus po imenu Lehigh virus koji je inficirao rezidentni dio memorije tako to je napadao i mijenjao svaki izvrni fajl koji je bio pokrenut. U decembru iste godine, napravljen je Jerusalem virus koji je u sebi imao bug, zbog koga je inficirao ve inficirane fajlove. U martu 1988. godine kreiran je prvi anti-virusni program. Detektovao je i popravljao tetu koju je inio Brain virus. Meutim, iste te godine napravljen je virus po imenu Cascade, koji je znaajan je po tome to je bio kodiran. 1990. godine pojavljuju se virusi koji imaju napredne karakteristike, kao to su polimorfizam (enkriptovani virusi, gde je kod za dekodiranje promenljiv), oklopljavanje (armoring tj. onemoguavanje disasembliranja virusa) i multipartite (virusi koji inficiraju i boot sektor i programe). 1991. godine pojavljuje se virus koji kombinuje sve tri napredne osobine. On je polimorfan, oklopljen i multipartitan. Iste godine nastaje i anti-virusni program Norton Antivirus. 1993. godine pojavljuje se virus poznat kao Cruncher koji je, uslovno reeno, istorijski oznaen kao dobar. Isti je inficirane izvrne fajlove kompresovao i na taj nain tedio korisnicima prostor na disku. Krajem 1995. godine pojavili su se Microsoft Word makro virusi. Ubrzo potom, u toku 1996. godine, virus Word.Concept postaje najraireniji Word macro virus. Iste godine, za tada novi operativni sistem Windows 95, nastaje prvi virus po imenu Boza. 1999. godine pojavio se Melissa virus koji se irio preko Microsoft Outlooka i Outlook Express e-mail klijenata. 2000. godina ostae zapamena po virusu I Love You koji se irio nekontrolisano putem e-mail komunikacije tako to se automatski slao svima iz address book-a e-mail klijenta.

Od 2000. godine do danas, slobodno se moe rei da je nastala prava industrija u razvoju malicioznog softvera. Vie to nisu samo klasini virusi, ve su to programi koji se ponaaju kao i virusi koje poznajemo iz realnog ivota. Znai, sve vie dolazi do mutacije i nekih novih hibridnih proizvoda malicioznog softvera. U novijoj istoriji, pojavljuje se sve vie i vie novih virusa koji se uglavnom zasnivaju na iskorienju greaka u operativnim sistema i raznim programima koji komuniciraju sa Internetom, a posebno P2P filesharing mreama. Naroito je ugroen Windows, a u mnogoj manjoj meri ostali operativni sistemi koji se danas koriste. Malware programe je jednostavno nemogue iskoreniti, jer e uvek biti novih varijanti koje iskoriavaju nove propuste. injenica je i da sa napretkom softvera, operativnih sistema, email klijenata... nestaju stari bagovi, a postojei operativni sistemi i programi jednostavno postaju tehnoloki zastareli, pa se povlae iz upotrebe i zbog toga malware programi vremenom postaju nefunkcionalni.

3.0. VRSTE MALICIOZNOG SOFTVERA

Postoji nekoliko osnovnih vrsta malware programa, meu kojima su: - virusi - crvi (worms) - trojanski konj - spyware/adware - exploiti - rootkit-ovi - phishing Osobine razliitih vrsta malware programa se u velikom broju kombinuju, tako da je ponekad veoma teko odrediti kojoj vrsti malware-a neki maliciozni softver pripada.

4.0. VIRUSI
Kompjuterski virus je program koji se integrie u samu strukturu drugog programa i sadri kod pomou kojeg sam sebe kopira tako da moe zaraziti druge programe, modifikujui ih na nain da se prilikom pokretanja programa prvo aktivira virus ( maliciozni kod ) pa tek onda (sad ve zaraeni) program.

4.1. PODJELA VIRUSA PREMA NAINU FUNKCIONISANJA

4.1.1. Boot sektor i Master Boot Record Infektori Sistemski (SYSTEM) ili boot-sektor (BOOT-RECORD ili BOOT-SECTOR) virusi. Ovi virusi napadaju Master BOOT sektor, DOS BOOT sektor ili BOOT sektor floppy disketa, odnosno program koji se u njima nalazi. BOOT sektor je idealan objekt za infekciju, budui da sadri prvi program koji se izvrava na kompjuteru, iji se sadraj moe mijenjati. Kada 5

jednom kompjuter bude ukljucen, program u ROM-u (BIOS) ce bez pitanja uitati sadraj Master BOOT sektor u memoriju i izvriti ga. Ako se u njemu nalazi virus, on ce postati aktivan. 4.1.2. Parazitski virusi Najceca vrsta virusa su upravo parazitski virusi. Ovi su virusi sposobni zaraziti izvrne datoteke na kompjuterskom sistemu dodavanjem svog sadraja u samu strukturu programa, mijenjajuci tok inficiranog programa tako da se virusni kod izvri prvi. Poznati kompjuterski virusi sposobni su zaraziti .COM, .EXE, .SYS, .OVL i druge datoteke. 4.1.3. Svestrani virusi Dobre osobine boot sektor i parazitskih virusa ujedinjene su kod svestranih (multipartite) virusa. Ovi virusi sposobni su zaraziti i BOOT sektore i izvrne programe, povecavajuci tako mogucnost irenja. Poput boot sektor virusa i ovi su virusi iznimno efikasni u irenju. 4.1.4. Virusi pratioci Najjednostavniji oblik kompjuterskih virusa su upravo virusi pratioci. Oni koriste prioritet kojim se izvravaju programi s istim imenom pod DOS-om. .COM datoteke se uvijek izvravaju prije .EXE datoteka, programi iz direktorija koji su na pocetku PATH niza izvravaju se prije onih sa kraja. Virus pratilac obicno stvori .COM datoteku koristeci ime vec postojeceg .EXE programa i ugradi u nju svoj kod. Princip je jednostavan - kada program bude pozvan, umjesto originala s .EXE ekstenzijom, prvo ce se izvriti podmetnuti .COM program s virusnim kodom. Kada izvravanje virusnog koda bude zavreno, virus ce kontrolu vratiti kontrolu programu s .EXE ekstenzijom. Da bi prikrio prisustvo, virus pratilac ce postaviti skriveni atribut za .COM program u koji je stavio svoj sadraj. Ova vrsta ne mijenja napadnuti program, a zbog nespretnog nacina irenja ne predstavlja vecu opasnost. 4.1.5. Link virusi Najinfektivnija vrsta virusa su link virusi koji jednom pokrenuti, u trenu inficiraju napadnuti kompjutorski sistem. Poput virusa pratioca ovi virusi ne mijenjaju napadnute programe vec mijenjaju pokazivace u strukturi direktorija na takav nacin da ih preusmjere na klaster na disku gdje je prethodno sakriven virusni kod. Na svu srecu, ova izrazito infektivna i neugodna vrsta virusa, koja zbog samog nacina razmnoavanja moe izazvati pravi haos na disku, ima trenutno samo dva predstavnika i ukupno cetiri varijante. 4.1.6. ANSI bomba ANSI bomba je sekvenca karaktera, obicno umetnuta u tekstualnu datoteku, koji reprogramira razlicite funkcije tipaka na racunalima s ANSI terminalskim driverima. Teoretski, specijalna sekvenca karaktera moe biti ukljucena u neku poruku kako bi reprogramirali tipku ENTER da izvri komandu format c: (s return karakterom na kraju).

4.1.7. Tunelirajuci virusi Ovo su virusi koji pronalaze originalni prekidni potprogram (interrupt handler) u DOS-u i BIOS-u i pozivaju ih direktno tako zaobilazeci bilo koju aktivnost programa za nadgledanje. Takav program za nadzor od infekcije moe biti ucitan i presretnut u svom pokuaju da detektira aktivnost virusa. I obratno, neki antivirusni programi koriste tehniku tuneliranja u pokuaju da zaobi_u neki nepoznati ili ne detektirani virus koji moe biti aktivan dok se ovaj program izvodi. 4.1.8. Kernel virusi Kernel virusi su oni virusi koji ciljaju na specificne osobine i funkcije programa koji koriste ljusku (kernel ili core) operativnog sistema. Npr. 3APA3A je DOS-kernel virus, ali istovremeno spada i u skupinu multipartitnih virusa. 4.1.9. Makro virusi Virusi koji su napisani viim programskim makro jezikom imaju mogucnost da sami sebe kopiraju, briu i mijenjaju dokumente.

4.2.PODJELA VIRUSA PREMA MJESTU U MEMORIJI

4.2.1. Virusi koji su u rezidentnoj memoriji Rezidentni virusi se prilikom njihovog izvrenja uitaju u memoriju i njihov kod ostaje u memoriji cijelo vrijeme rada raunara. Rezidentni virusi koriste tehnike TSR (terminate and stay resident) i manipulaciju memorijskim blokovima (MBC) kako bi se zadrali cijelo vrijeme u memoriji raunara. Maliciozni kod rezidentnih virusa koristi mehanizme operativnog sustava za svoje aktiviranje, na primjer, pokretanje koda pri svakom pokretanju bilo koje aplikacije. Na taj nacin se postie efekt zaraze i nad novim instaliranim aplikacijama. 4.2.2. Virusi koji nisu u rezidentnoj memoriji Nerezidentni virusi se nalaze u RAM memoriji samo u vrijeme njihovog izvrenja, odnosno od njihovog pokretanja pa do zavretka rada. Njihovo irenje se svodi na princip da dio njihovog koda pronalazi datoteke koje mogu biti zaraene na sistemu (npr. .exe., .doc I slicno), a drugi dio koda kopira virusni kod u pronadjenu datoteku.

5.0. CRVI (WORMS)

Za razliku od virusa, crvi nisu dio drugih programa, ve su to zasebni programi koji se prenose i izvravaju koristei slabosti operativanog sistema, a posebno programa za transmisiju podataka na Internetu. 7

Prvi crv se pojavio 1978. godine, a stvorila su ga dva istraivaa u Xerox PARC istraivakom centru. Prvi koji je pridobio veu panju je Morris crv, koji se pojavio 1988. godine i vrlo brzo zarazio puno kompjutera, a koristio je greke u Unix operativnom sistemu. Pored umnoavanja, crvi mogu biti dizajnirani i da rade druge radnje, kao to je brisanje podataka, instaliranje backdoor programa, slanje e-mailova... a takva fukcija kod crva se naziva payload. Samo po sebi, irenje crva moe predstavljati prilian problem kod performansi mrenih resursa, a primjer za to je globalno usporavanje Interneta pri maksimalnom irenju jednog od najpoznatijih i najrairenijih virusa dananjice MyDoom crva. Najuobiajeniji payload crva je backdoor program koji moe da ima razliite funkcije, ali je najea ona kada se instalira SMTP server i raunar tada slui kao taka sa koje se alju neeljene e-mail poruke (SPAM), najee komercijalne prirode. Ima sluajeva da su kompjuteri na koji su instalirani backdoor programi, uz pomo crva sluili kao potencijalne take sa kojih se izvode DDOS napadi (eng. Distributed Denial of Service nedostupnost komjuterskih resursa korisniku), pa je bilo pokuaja ucena velikih kompanija uz pomo pretnji napadom. Postoje i crvi koji koriste backdoorove instalirane od drugih crva, kao to je Doomjuice, koji koristi backdoor MyDoom crva. Ukratko, DDOS napad predstavlja pokuaj obaranja bilo koje vrste serverskog sistema na Internetu, uz pomo neprekidnog slanja velikog broja klijentskih zahteva, u nadi da e sistem pasti kada dostigne potpuno iskorienje svojih resursa (ovo se obino odnosina iskorienost memorije i broj procesa).

6.0. TROJANSKI KONJ (TROJAN HORSE)

Trojanski konj ili krae trojanac je maliciozni raunarski program koji se lano predstavlja kao neki drugi program s korisnim ili poeljnim funkcijama. Vecina trojanaca ima nazive vrlo slicne ili uobicajenim korisnickim programima ili posebno primamljivim aplikacijama. Za razliku od virusa i crva, trojanski konj ne moe sam sebe umnoavati. Naziv trojanski konj nastao je po poznatoj prici o osvajanju grada Troje zloupotrebom povjerenja. Na slian se nacin virtualni trojanski konj moe predstaviti kao igra ili zanimljiv sadraj koji se alje u e-mail poruci. Kada se pokrene, na raunar se npr. instalira aplikacija za udaljenu kontrolu. Moe izvoditi razne aktivnosti poput kradje korisnikih lozinki, brojeva kreditne kartice, PINa i drugih osjetljivih informacija koje potom alje nekoj drugoj osobi ili moe nepotrebno zauzimati resurse raunara usporavajui ga na taj nacin. Vrlo cesto moderniji trojanski konji pristupaju razlicitim internetskim stranicama kako bi preuzeli neku, obicno inficiranu, datoteku ili vie njih. Nakon preuzimanja ih pokrecu te tako instaliraju dodatan maliciozni softver na zaraenom raunaru. Mogu se takodje spajati na odredjene IRC kanale kako bi primali naredbe od zlonamjernog korisnika. Osim u e-mail porukama, trojanski konji mogu se pojaviti u obliku datoteka na Internetu ili mreama za razmjenu datoteka (P2P programi - Kazaa, WinMX, Limewire itd.). Mogucnosti su neograniene jer je metoda irenja korisnikovo povjerenje. Jedan od "simptoma" koji pokazuje raunar na kojem se nalazi trojanski konj je pokuaj podizanja servera na korisnikovom raunaru koji ocekuje naredjenja autora. Uz instaliran i aktivan firewall, ovaj pokuaj bit ce evidentiran i moguce ga je zaustaviti.

6.1. Vrste trojanskih konja - Dropper - slui za naseljavanje pravog racunalnog virusa u napadnuto raunar. Dropper igra ulogu rtve, namjerno omogucujuci virusu da se naseli u raunar. - Backdoor ("stranja vrata") naziv za razlicite postupke ili programe koji omogucuju drugom korisniku da se slui rtvinim raunarm dok je spojena na Internet, a da ona to ne zna. Opcenito, stranja vrata iskoritavaju sigurnosne propuste (rupe) u raunarskom sistemu. Nerijetko se trojanac i backdoor koriste zajedno: rtva pokrene program za koji misli da je koristan (npr. download manager ili igra) i dok ga koristi, trojanac ubaci backdoor u raunar. - Downloader - trojanski konj koji pristupa razlicitim internetskim stranicama kako bi s njih skinuo, obicno maliciozne, datoteke te ih na koncu i pokrenuo .

7.0. SPYWARE
Spyware je iroka kategorija malicioznog softwarea sa namjenom da presree ili preuzima djelomicno kontrolu rada na raunaru bez znanja ili dozvole korisnika. Dok sam naziv sugerie da je rijec o programima koji nadgledaju rad korisnika, ovaj naziv danas oznacava iroku paletu programa koji iskoritavaju korisnicko raunar za stjecanje koristi za neku trecu osobu. Pojam spyware prvi put se spominje 16. septembra 1995. na Usenetu. Spyware se razlikuje od virusa i crva u tome to se obicno ne replicira. Kao mnogi novi virusi, spyware je dizajniran da iskoritava zaraena raunara za komercijalnu dobit. Tipicne taktike su prikazivanje ne zahtjevanih pop-up reklama; kradja linih informacija (ukljucujuci i financijske informacije kao to su brojevi kreditnih kartica i lozinke); praenje aktivnosti na internetu za marketinke svrhe; ili preusmjeravanje HTTP zahtjeva na reklamne stranice. U nekim slucajevima, spyware se koristi za verifikaciju pridravanja uslova licence za koritenje programa. Distributeri spywarea obicno predstavljaju program kao koristan usluni program ili softwerski agent. U spyware programe ubrajaju se CoolWebSearch, Internet Optimizer (DyFuCa), HuntBar, Movieland (Moviepass.tv, Popcorn.net) i Zlob trojan. Postoje mnogi antispyware programi koji mogu ukloniti ili blokirati spyware (Ad-Aware, Windows Defender, SpywareBlaster)

8.0. EXPLOITI
Exploiti su programi koji iskoritavaju odreenu slabost nekog programa, oni najee sami po sebi ne nanose tetu i postoje samo da bi se demonstrirala slabost nekog programa, ali njihove usluge esto vrlo rado koriste wormovi, virusi, spyware i sl. U kombinaciji sa metodoma socijalnog inenjeringa Exploits napadom na klijentsku aplikaciju dolazi do interakcije sa korisnikom. To je hakerski nain za ulazak u raunare i web sajtove. 9

9.0. ROOTKIT

Rootkit je softver koji se ubacuje na kompjuter poto je napada dobio kontrolu sistema, a namena mu je da olaka remote kontrolu i da sakrije tragove upada brisanjem log fajlova ili sakrivanjem procesa koji su pod kontrolom napadaa. esto rootkitovi sadre i backdoorove, omoguavajui olakani naknadni upad ili exploit programe za napade na druge sisteme. Vano je primetiti da se ciljani napadi obino izvode sa sistema, koji su takoe prethodno bili ugroeni, da bi se sa njih lako mogli ukloniti dokazi o identitetu napadaa. Tom prilikom sam napada dobija mogunost da ukloni dokaze. Rootkitovi se vrlo esto vezuju za kernel nivo, pa ih je teko otkriti, a kada se jednom otkriju vrlo je bitno da se kompletno reinstalira sistem, kako bi se sigurno uklonili svi tragovi rootkita.

10.0. PHISHING

Phishing je kriminalna aktivnost koja koristi tehnike socijalnog inenjeringa kako bi se steklo poverenje korisnika i pomou trikova otkrile osetljive informacije (npr. lozinke za e-banking). Napada pokuava da imitira poznate sajtove kao to su online prodavnice ili banke. Na primer, eBay i PayPal su u SAD dva najomiljeniji entiteta koja se koriste u tehnici phishing napada. Online Banking portali su, kao to je ve pomenuto, postali popularni za napadae, jer uspean phishing daje potpun pristup neovlaenim licima raunu korisnika. Phishing kampanja se obino sprovodi korienjem softvera za askanje ili putem neeljenih e-mailova (SPAM). Napadai postavljaju klon ciljanog sajta na neki besplatni web server, komponuju e-mail poruke koje izgledaju legitimno i neoprezne korisnike preusmeravaju na falsifikovani sajt. Neoprezni korisnik popunjava polja sa svojim do tada tajnim podacima (user name, password, PIN) i na taj nain direktno ih predaje napadau. Posledice ovakvog ina veoma je lako zamisliti.

11.0. ZATITA OD MALICIOZNOG SOFTVERA

Zatita od malware programa je jedna velika grana kompjuterske industrije, a svakako i jedna od najznaajnijih. U poslednje vreme zaista nije lako zatiti sistem, a naroito Windows operativni sistem od napada koji vrebaju na svakom koraku. Da bi se korisnik uspijeno zatitio od virusa i crva potreban je odreen nivo znanja i discipline u korienju kompjutera, to u sluaju spyware i trojanaca esto nikad nije dovoljno. Borba protiv malware programa se vodi na nekoliko frontova. Najvanije je 10

da korisnik bude svestan bar veine naina na koje malware programi mogu zaraziti raunar i da postigne nivo discipline kako bi uspeno primenio to znanje. Osnovni tipovi zatite su: 1. Anti-virusni programi 2. Firewall sistemi 3. E-mail klijenti i serveri naprednih karakteristika sa prepoznavanjem virusa i SPAM-a

11.1. ANTIVIRUSNI PROGRAMI

Antivirus software je poseban software dizajniran tako da zatiti raunare i njihove diskove od prisustva raznih kompjuterskih virusa. esto je antivirus program u mogunosti eliminirati virus iz inficirane datoteke. Medjutim, veina antivirus programa e kasno eliminisati samo one viruse koji su ve postojali u vrijeme kad je program napisan. Da bi prevazili ovaj problem, firme koje prodaju antivirus programe omoguavaju update novim antivirusnim programima putem interneta, ili tako to klijentima redovno dostavljaju update na CD medijima. Prema tome, da bi sistem uspjeno titio od virusa, mora se stalno voditi rauna o tome da li ima adekvatan i pouzdan antivirus softverski paket i svakodnevno praviti update antivirusa protiv najnovijih virusa. Nema sumnje da je antivirusni program potreban i nezamjenjiv u svojoj ulozi. Medjutim, ima mnogo vanih stvari koje mogu biti preventivno uinjene da bi se umanjio rizik od infekcije kao i smanjile posljedice virusnog djelovanja. U tu svrhu slue, prije svega, preventivne mjere koje e u sprezi s dobrim antivirusnim programom dati daleko sigurnije i pouzdanije rezultate kod antivirusne implementacije. 11.1.1. ta je antivirusni program ANTI-VIRUS PROGRAM-je program koji se sastoji od nekoliko odredjenih raunarskih programa koji pokuavaju otkriti,sprijeiti i ukloniti raunalne viruse i ostali maliciozni software. Antivirusni programi: - Provjeravaju(skeniraju) datoteke traei poznate viruse provjerom definicija u rjeniku virusa - Trae infekcije i napade od bilo kojih stranica od internetskog porta do analize podataka raunara Anti-virusni program kad pronadje viruse on uklanja virus i isti cijelu datoteku(ponekad i cijeli kompjutor) od mogue daljnje infekcije 11.1.2. Nain pronalaska virusa Naini pronalaska uz pomo rijenika virusa: U ovom prostupu anti-virus program provjerava datoteku usporedjujui je sa rijenikom poznatih virusa koji je kompanija za izradu tog programa identifikovala.Ako dio koda virusa odgovara virusovoj identifikaciji u rijeniku,takav anti-virus program moe poduzeti jednu od sljedeih opcija: - pokuati popraviti datoteku uklanjajui virus unutar datoteke

11

- staviti datoteku u karantenu(tako da je datoteka nedostupna drugim programima i virus se nemoe dalje iriti) - obrisati inficiranu datoteku Da bi ovaj pristup bio efikasan u duem i kraem vremenskom periodu,rjenik virusa se periodino(uglavnom online) obnavlja novim definicijama(kodovima) virusa. 11.1.3. Neki antivirusni programi U cijelom kompjuterskom sistemu anti-virus programa postoji puno vrsta. Neki od njih su: 1. NOD anti-virus program,rijetko se mora updaeati i efikasno se rijeava virusa 2. AVG anti-virus,dobro se slae sa firewallom SUNBELT KERIO 3. AVAST home antivirus,ima ga za skinuti sa svih stranica i jako je efikasan 4 4. AD AWARE najvie se koristi skoro u svakoj kui i vrlo se dobro rjesava slabijih virusa

11.2. FIREWALL SISTEMI

Firewall moe predstavljati hardver ili softver koji onemoguava odreeni tip TCP/IP komunikacije izmeu dve take u mrei. Tako se kontrolie saobraaj i onemoguava konekcija koja se uspostavlja da bi se kompjuter zarazio. U sluaju ve zaraenog kompjutera firewall moe da onemogui rad backdoor-a. Filtracija TCP/IP paketa se moe vriti po nekoliko kriterijuma. Moe se ispitivati njihov sadraj, njihov izvor i destinacija u smislu IP adrese, kao i porta. Pri tom se za kune korisnike najee koriste personalni softverski firewall sistemi koji filtriraju pakete po izvoru, destinaciji i portu. Za tu vrstu korisnika, a pogotovo one koji koriste Internet sa fiksnom IP adresom, znaajna su softverska firewall reenja, a jedno od njih je Kerio Personal Firewall (http://www.kerio.com). Kerio Personal Firewall je namenjen za kunu upotrebu, mada se mora rei da je namenjen neto naprednijim korisnicima zbog svojih veoma detaljnih mogunosti podeavanja. Za poetnike e sasvim dovoljan biti i fabriki firewall koji se ugrauje u sam Windows XP operativni sistem. Princip rada personalnog firewalla je da svaki program koji hoe da uspostavi Internet komunikaciju bude presretnut od strane firewalla, pri emu korisnik moe da odobri ili zabrani konekciju. Recimo, ako smo instalirali neki Internet server na operativni sistem, kao to je recimo FTP server, firewall e pri prvom pokuaju komunikacije spoljnjeg klijenta sa serverom upitati korisnika da li taj tip komunikacije dozvoljava ili ne, samo jednom ili permanentno. Na taj nain mogu se onemoguiti mnogi backdoor programi koji otvaraju listening port za dolazei saobraaj. Pri svakom pokuaju programa instaliranog na sistemu da uspostavi komunikaciju sa nekim Internet serverom, firewall e takoe upitati korisnika za dozvolu. Postoje jo dve bitne funkcije Kerio Personal Firewall-a, jedna je da svaka aplikacija koja eli da pokrene neku drugu aplikaciju mora dobiti odobrenje korisnika. Druga je da Kerio detektuje kada je neki program promenjen i upoznaje korisnika sa tim, nudei mu da ne omogui njegovo izvravanje. Takoe, firewall moe spreiti skeniranje kompjutera, na taj nain to blokira ICMP (Internet Control Messageing Protocol) preko kojih napadai uglavnom saznaju za postojanje kompjutera na mrei. Kerio ima dobar sistem logovanja paketa, kao i zatitu od reklama i pop-up prozora preko kojih najee i ulaze maliciozni skriptovi u sistem. Takoe podrava i automatski selfupdate. 12

Lini Firewall spada u osnovne naine zatite od malicioznih programa, i nita manje nije vaan od anti-virus i anti-spyware programa. Kompanije, institucije i sve druge organizacije koje brinu o sigurnosti svojih podataka koriste hardverske firewall sisteme, ili u novije vreme Intrusion Prevention Systems (IPS) takoe poznate kao i Intrusion Detection and Prevention Systems (IDPS), sistemi za detekciju i prevenciju od upada. Firewall je znaajan faktor zatite u firmama i o izboru firewall-a treba voditi rauna. Prilikom putanja u rad firewall-a, kako to kau sistem inenjeri, sve je zatvoreno, to znai da je odgovornost na oveku kako e konfigurisati fierewall ili pak koji e port biti puten. Dananji firewall-ovi su obino kombinacija rutera i firewall-a.

11.3. E-MAIL KLIJENTI I SERVERI NAPREDNIH KARAKTERISTIKA

Trei u nizu vrsta programa koje treba koristiti pri zatiti su e-mail klijenti sa mogunou prepoznavanja i brisanja virusa na samom e-mail serveru, pre nego to jeMailwasher (http://www.mailwasher.com), koji pored toga to uglavnom moe da prepozna virus u poruci, prepoznaje i SPAM poruke uz pomo javnih servisa kao to su Spamcop (http://www.spamcop.net) ili ORDB (http://www.ordb.org). Pored te vrste zatite na klijentskim sistemima, na administratorima je i da ugrade odgovarajue antivirus programe na serverskoj strani, a meu kojima je najpoznatiji za Spamasassin za Linux operativni sistem (http://spamassassin.apache.org). Naravno, velike kompanije ili organizacije koje se bave javnom ili dravnom bezbednou koriste napredne servere kao to je npr. Lotus Domino i njegov prirodni e-mail klijent Lotus Notes. Lotus Dominu u kombinaciji sa Symantec Mail Security for Domino obezbeuje zatitu u realnom vremenu od virusa, spam, spyware, phishing, I drugih napada. Symantec Mail Security for Domino je dizajniran kao integrisana Lotus Domino aplikacija i optimizovan za visoke performanse, ukljuujui 64 bitnu podrku za Windows i AIX okruenja. Uz Premium Antispam dodatak zaustavlja 99 odsto SPAM-a pravei manje od jedne greka na milion poruka. IBM je za mala i srednja preduzea napravio Lotus Foundations Start,objedinjeno softversko reenje koje omoguava kompanijama da se usredsrede na poslovanje, a ne na upravljanje IT sistemima. Lotus Foundations Start obuhvata e-potu, bezbednost, pravljenje rezervnih kopija i oporavak, i predstavlja idealno reenje za preduzea koja imaju vrlo malu ili nikakvu IT podrku.

13

12.0. ZAKLJUAK
Cjelokupna problematika malicioznog softvera nalae da je to realan i konstantan problem raunarskih tehnologija, a struktura i perspektiva je da on verovatno nikada nee biti iskorenjen. Jedino to ostaje je edukacija nedovoljno obrazovanih korisnika. Poseban problem ova vrsta napasti e praviti onim korisnicima koji jednostavno nisu u prilici da steknu ni minimalna saznanja u ovoj oblasti. Kako je 21.vek epoha kada je Internet relativno zamenio sva ostala sredstva obavetavanja, komunikacije i informisanja i postao neizostavni dio ljudskih ivota, sve e ee i ee biti ugroena bezbednost istih korisnika. Malware za sada nekim korisnicima ne priinjava ni malo brigu. Sa napretkom tehnologije, internet kupovine i transakcija, bude li imalo ugroena finansijska situacija korisnika direktnim putem (npr.platne kartice) moglo bi da doe do osveenja tog dela korisnika, te shvatanja koliku tetu moe da naini maliciozni kod na raunarima. Kao trenutno najugroeniji nalaze se korisnici Windows platformi, iako istorijat kae da su velike tete pretrpeli i korisnici drugih platformi. Razlog je jasan, oni koji kreiraju ovu vrstu softvera, kreiraju je za operativni sistem koji je trenutno najzastuljeniji. Meutim reenje nikako ne treba traiti u promenioperativnog sistema, pod pretpostavkomda i taj, takve osobe nee zloupotrebiti.

14

15