www.MyCity.

rs

Mali renik zatite

Mart, 2011

www.MyCity.rs
Ranjivost (vulnerability) bezbednosne rupe u operativnom sistemu, ali i aplikativnom nivou (email aplikacija, chat klijent i slino).

Exploit kd koji iskoritava bezbednosne rupe u operativnom sistemu ili aplikacijama.

Zakrpa (patch) programski dodatak kojim se zatvaraju bezbednosne rupe.

Hotfix - termin koji se prvobitno odnosio na softverske zakrpe koje su se primenjivale na sisteme koji su radili neprestano (still running systems) i koje nisu mogle biti distribuirane van organizacije klijenta za koga su pravljene te zakrpe. Skorija upotreba termina se odnosi na jedan softverski paket, kojim se reava problem (bug) u radu nekog softvera. Hotfix moe obuhvatati i adresirati vie softverskih bugova kao i probleme u radu koji su pratei efekti usled primene neke sofverske zakrpe (patch). Posmatrano u kontekstu Windows operativnog sistema, hotfix predstavlja male zakrpe koje otklanjaju specifine probleme oko Kernel Patch Protection, Multilingual User Interface (MUI) i novootkrivenih sigurnosnih propusta u sistemu. Struktura hotfixa je najee u obliku SFX datoteke i mogue ju je preuzeti preko servisa Windows Update. Termin hotfix se razlikuje od termina patch u tome to se hotfix kreira za specifinu potrebu kupca/krajnjeg korisnika i ne distribuira se u javnost. Razumevanje razlika izmeu patcha i hotfixa je oteano jer se proizvoai softvera esto odluuju za termin hotfix, a ne zakrpa, kako bi izbegli potencijalno nezadovoljstvo kupaca u smislu da proizvod ima nedostatke ili kako bi ostavili pozitivan utisak da kontinuirano servisiraju svoj softverski proizvod.

Service Pack - predstavlja kolekciju auriranih datoteka, softverskih ispravki odreenog programa ili operativnog sistema koji treba istim da doprinese aurnosti i boljoj stabilnosti, i isporuuje se u formi jedne instalacione datoteke. Mnoge kompanije formiraju service pack kada se povea broj softverskih zakrpa i dostigne odreen limit (limit zavisi od konkretne kompanije). Pogodnosti service packa se ogledaju u tome to je lake instalirati service pack nego sve izdate softverske zakrpe pojedinano i u tome to je service pack strukturiran da na ureen nain instalira zakrpe i ostali sadraj, to doprinosi boljoj stabilnosti programa/operativnog sistema. Service packovi se numeriu i obino oznaavaju sa SP1, SP2, itd.

www.MyCity.rs
Neretko, service packovi mogu doneti i potpuno nove softverske mogunosti, na primer SP2 kod operativnog sistema Windows XP. Moemo ih podeliti na: - inkrementalne: ukoliko ima sadraj koji nije sadran u nekom prethodnom service packu. Dakle n-ti service pack zahteva da n-1 bude instaliran na sistemu. - kumulativne: ukoliko tekui service pack u sebi sadri sve prethodne service packove i ne zahteva postojanje prethodnih service packova za instaliranje.

IP adresa (Internet Protocol adress) - 32-bitni broj kojim se identifikuje i jednoznano odreuje raunar koji razmenjuje podatke preko lokalne mree ili Interneta. Format IP adrese je sledei: #.#.#.# , gde je "#" neki osmobitni broj (dakle, moe uzeti vrednost od 0 do 255).

Port - taka povezivanja koja moe biti hardverska (COM, USB, LPT portovi), gde slui za povezivanje i komunikaciju sa odreenim hardverom, i softverska gde slui za prenos podataka preko nekog protokola (TCP/IP, UDP). U kontekstu zatite, IP adresu nekog raunara moemo simbolino shvatiti kao adresu neke kue, dok port predstavlja vrata. Napada e iskoristiti neku port scanning aplikaciju kako bi utvrdio koji portovi su otvoreni na odreenoj IP adresi ili e skenirati deo mree u potrazi sa otvorenim portovima (tj. traie na koja vrata moe nesmetano ui). Ovo TCP skeniranje je vrlo efektivan metod u pronalaenju ranjivosti rtvinog raunara. Portove moemo podeliti na: a) otvorene (open ports) b) zatvorene (closed ports) c) skrivene (stealth ports) Da bi napada "upao" na va raunar, prvo mora da nae otvorena vrata, tj. mora da nae otvorene portove. Za napad se mogu koristiti samo otvoreni portovi. Otvoreni portovi su u "stand by" nainu rada, dakle, ekaju tj. oslukuju (listening) dolazee konekcije; kada se pojavi zahtev za konekcijom, otvoreni port odgovara tako to prihvata tu konekciju. Po prihvatanju konekcije, mogue je razmeniti podatke izmeu udaljenog raunara napadaa i raunara rtve. Raunar sa otvorenim portovima se ponaa kao server, dok je udaljena maina koja alje zahtev za konekcijom - klijent.

www.MyCity.rs
Preporuuje se da se koristi firewall (najbolje je iskombinovati hardverski i softverski firewall) kako bi se blokirali portovi. Takoe, preporuuje se da se na raunaru onemogue svi nepotrebni servisi. Napada ne moe koristiti zatvorene portove da bi se konektovao na neku udaljenu mainu. Njegov port scanner e prikazati rezultat da je port zatvoren. Meutim, ovi portovi ipak daju odreene informacije koje kasnije napada moe iskoristiti. Na primer, napada moe saznati koje servise koristite jer postoji ustaljeni podrazumevani (default) ifarnik za neke portove (na primer: 21: File Transfer Protocol (FTP), 22: Secure Shell (SSH), 23: Telnet remote login service, 25: Simple Mail Transfer Protocol (SMTP), itd.) Ako nita drugo, moe imati uvid koje servise koristite na raunaru. Na kraju, skriveni portovi su najbolje reenje po pitanju sigurnosti jer ne generiu nikakav odziv (maina se ne odaziva ni na ping). Dakle, maina ne vraa nikakav odziv port scanneru napadaa. Konfiguriite firewall da portove stavi u stealth mode jer je to najsigurnija konfiguracija. Napada, na ovaj nain, nema informacije o pokrenutim servisima na udaljenoj maini.

Malware (malicious software) opti pojam koji obuhvata sve neeljene programe. Ovde spadaju raunarski virusi, crvi, trojanci, botovi, spyware, adware, maliciozni rootkitovi (rootkit se po svojoj funkciji ne moe direktno svrstati u maliciozne programe). Ustaljeni izraz za celu kategoriju malware-a je virus, to je neprecizno i pogreno jer virusi predstavljaju samo jedan deo celokupnog malware-a.
[ dodatno itanje: ovde ]

Rogue software (ili scareware) maliciozni softver koji obmanjuje korisnika da je neka korisna aplikacija, koji neretko zahteva plaanje kako bi se uklonili lano prikazani virusi (i druge funkcionalnosti lanog softvera) ili omoguava instalaciju dodatnog malware-a na rtvin raunar (primer: lana antivirus aplikacija ThinkPoint).

Honeypot program koji predstavlja mamac za malware, a koji je instaliran na raunar neprestano povezan na Internet. Emulira ranjiv sistem i eka upade na raunar i pokuaje inficiranja. Preteno se sakupe crvi i botovi. Zbog pomenutog ekanja, predstavlja pasivan koncept (ne zahteva nikakvu interakciju).
[ dodatno itanje: ovde ]

Honeypot sensor raunar na kome je instaliran Honeypot. Senzori se esto grupiu u alijanse, kao vid saradnje izmeu nezavisnih honeypotova ili mrea senzora, u cilju meusobne razmene nahvatanih primeraka malware-a (napomena: termin alijansa se ne koristi kao ustaljeni izraz za vie senzora istog vlasnika).

www.MyCity.rs

Honey client - interaktivan program koji poseuje sajtove i dozvoljava instalaciju svih aktivnih komponenti sa tih sajtova u cilju sakupljanja malware-a. Ovaj proces traenja nevolje je simuliran, tako da je krajnji rezultat sakupljen i arhiviran malware. Na ovaj nain se bre uoavaju sigurnosne rupe u sistemu, to uslovljava i bru reakciju na iste.
[ dodatno itanje: ovde ]

Heuristika metod kojim antivirusni softver prouava program itajui njegove instrukcije i pokuavajui da predvidi do ega te instrukcije mogu da dovedu, u cilju detektovanja novog malware-a, i novih varijanti postojeeg malware-a.
[ dodatno itanje: ovde ]

Dezinfekcija - proces uklanjanja virusa iz programa tako da program bude u istom stanju kao pre infekcije.

DoS napad (Denial of service) u optem sluaju, vrsta napada kojom se onemoguava upotreba raunara ili nekog njegovog resursa korisnicima tog raunara. Najee se sastoji od koncetrisanih napora pojedinca ili grupe da spree normalno funkcionsanje Internet sajta ili Web servisa na odreen ili neodreen rok. Ukoliko veliki broj kompromitovanih raunara (botnet) napada jedan, ciljani raunar, moemo govoriti o distribuiranom DoS napadu koji se naziva i DDoS (Distributed Denial of Service).

Brute Force napad vrsta napada koja se koristi za nalaenje lozinke kod kriptovanih datoteka, koja se sastoji u isprobavanju svih moguih lozinki redom. Mogue je zadati inicijalne parametre, tako da se napad odnosi samo na brojeve, slova, specijalne znakove ili njihovu kombinaciju. Dictionary napad - vrsta napada koja se koristi za nalaenje lozinke kod kriptovanih datoteka, koja se sastoji u isprobavanju svih lozinki (tj. rei, u ovom kontekstu) koji se nalaze u odreenom reniku (dictionary base). Neke lozinke se koriste vrlo esto (videti da nije i vaa: ovde ) te je mogue formirati odgovarajuu bazu lozinki, tj. renik. Napada kree od pretpostavke da je vaa lozinka u bazi. Stoga se preporuuje upotreba jakih lozinki (strong passwords) koja ukljuuje kombinaciju slova, brojeva i specijalnih karaktera.

www.MyCity.rs
Sandbox - virtuelno okruenje u kome program moe nesmetano da funkcionie, s tim da bilo kakve promene koje napravi taj program stvarno ne utiu na operativni sistem. Predstavlja sigurnosni mehanizam za odvajanje pokrenutih programa od promena na sistemu; sandbox aplikacija pokree programe u izolovanom memorijskom prostoru, i time ih spreava da naprave trajne promene nad drugim programima i podacima u raunaru. Karakteristike: - sandboxovi ne koriste virtualni hardver (kao virtualne maine); program u sandboxu vidi stanje fizikog, stvarnog sistema. - kada sandbox aplikacija prestane sa radom, briu se sve promene koje su napravili sandboxovani programi. Primena: programiranje, za proveru programskog kda; pokretanje programa u koje se nema poverenja; zatita od malicioznih programa, produavanje trial limita kod probnih programa (nelegitimna upotreba).
[ dodatno itanje: ovde ]

Virus - program kome je potreban neki drugi (legitimni) program koji e mu biti "domain" (domain moe biti bilo koji program). Virus dodaje sebe na poetak programa domaina i time se ugrauje u program koji je "ist" pre ugraivanja. Teoretski posmatrano, domain e pravilno da funkcionie ak i ako je zaraen (u praksi to ne mora biti sluaj, zavisi od znanja programera). Prilikom pokretanja programa domaina: - prvo e se pokrenuti virus, koji e u tom momentu da zarazi jo neki program (inei ga time svojim domainom), - a nakon toga e virus prepustiti kontrolu izvravanja svom domainu (dakle, pokrenue se aplikacija koja je prvobitno trebala biti pokrenuta). Karakteristike: - virus je jedini malware koji ima mogunost inficiranja (dakle, crv ne moe inficirati bota i obrnuto, itd...). - samo virus ima mogunost irenja sa programa na program. - najstarija kategorija malware-a - [nain inficiranja]: virus je po svom nainu razmnoavanja file-infector; da bi zarazio neku datoteku B, potrebno je da se prethodno pokrene datoteka A, koja je ve zaraena. U momentu kada pokrenete program koji je zaraen, prvo se pokree virus, koji na operativnom sistemu odmah trai nezaraene datoteke, i kada ih nae on se doda na poetak tih datoteka, inei te datoteke

www.MyCity.rs
svojim domainom. - teoretski postoje i naini da se raunar inficira bez korisnikove interakcije (tj. bez korisnikovog eksplicitnog pokretanja zaraene datoteke).

Trojanac (Trojan Horse) - program koji je skriven na operativnom sistemu, i na njemu skriveno vri odreene operacije koje mogu naneti tetu operativnom sistemu. Zvanina i old school definicija trojanca je: program koji pored dokumentovanih mogunosti ima i skrivene, nedokumentovane funkcije. Trojanci se dele na vie podgrupa: - Trojan-downloader trojanac koji sa Interneta preuzima dodatne (maliciozne) datoteke na raunar. - Trojan-clicker trojanac koji se povezuje na odreene sajtove da bi na tim sajtovima kliknuo neko dugme ili link, kako bi se poveala poseenost tih sajtova. Na taj nain malware omoguava vlasniku sajta da zaradi vie novca od onih koji se kod njega reklamiraju (kod tih sajtova se prostor za reklame naplauje zavisno od broja poseta). - Trojan-dropper trojanac koji instalira neki malware u ciljani sistem (virus, backdoor, crv). Neretko se koristi za ubacivanje crva u lokalnu mreu. Razlikujemo sledee droppere:
a) single stage droppers: maliciozni kd se nalazi u samom dropperu, kako bi se oteala njegova detekcija, b) two stage droppers: maliciozni kd se, u prvoj etapi preuzima sa Interneta, a u drugoj aktivira.

- Trojan-PSW-stealer trojanac koji ita razne lozinke sauvane na operativnom sistemu (lozinka za logovanje na sistem, za logovanje na sajtove itd.) i alje ih vlasniku trojanca. - Trojan-keylogger trojanac koji "zapisuje svaki pritisak na taster i taj zapis uva u tekstualnoj datoteci da ih neko preuzme, ili se ti podaci alju preko Interneta (vlasniku trojanca ili nekom treem licu). Osim snimanja tastature, mogu se snimati i pokrenuti programi, poseene Web stranice, itd. [ ! ] Razlika izmeu trojanca i bota je ta to se bot (kao i crv), iri mreom, dok se trojanac mora uvaliti runo, prevarom. Kada se pokrene, trojanac se ponaa kao server - otvara odreeni port i oslukuje zahteve za konektovanje njegovog vlasnika (klijenta), koji treba da zna IP adresu raunara na kom se nalazi trojanac ili da skenira nizove IP adresa radi pronalaenja specifinog otvorenog porta (kojeg je otvorio trojanac). Upad se ostvaruje formiranjem klijent-server veze.
[ dodatno itanje: ovde ]

Reverse connecting trojan - trojanac koji sm obavetava svog vlasnika na kojoj se IP adresi nalazi, najee putem slanja elektronske pote ili slanjem poruke na ICQ, ili IRC kanal, kako bi vlasnik imao sve parametre za upad na operativni sistem. Alternativan naziv je trojanac-bot (trojanac sa botom). Njihov vlasnik, na ovaj nain, ima pogodnost jer ne mora da "peca" svoje trojance skeniranjem portova, ve samo treba da pristupi odreenoj IRC sobi/kanalu i napravi "prozivku" svojih botova. I veina obinih trojanaca se javljaju na ICQ/IRC/mail.

www.MyCity.rs

Ransomware - trojanac koji kriptuje datoteke korisnika sa lozinkom uz zahtev da taj korisnik mora da plati izvesnu sumu novca kako bio dobio lozinku za dekriptovanje (primeri: Zippo, Archiveus) ili koji onemoguava normalno startovanje Windowsa, traei odgovarajuu lozinku (primer: WinLock, koji od korisnika zahteva da poalje SMS (cene oko $10) na neki broj kako bi se dobila lozinka za otkljuavanje). Za sve varijacije ransomware-a je zajedniko da korisnik mora platiti kako bi otkljuao onemoguene stavke na raunaru. Kod pojedinih verzija ransomware-a plaanjem se samo privremeno reavate problema, jer zakljuavanje moe biti privremeno (vremenski tempirano) ili trajno.
[ dodatno itanje: ovde i ovde ]

Crv (Worm) - maliciozan program koji se iri putem mree ili putem prenosivih diskova, iskoritavanjem bezbednosnih propusta u nekom operativnom sistemu, ili programu. Karakteristike: - crv se samostalno i sluajno iri mreom, i nad njim ne postoji kontrola. - crv sadri tovar (payload), razlog zbog ega se i iri; dakle, crv moe u sebi da nosi malware (virus, trojanca ) ili da bude programiran za DDoS napad na neki server u unapred odreeno vreme. - [irenje net-worm-a]: networm pokuava nasumino da na Internetu (tj. mrei, u optem sluaju) nae raunar iji Windows nije zakrpljen, i na kome postoji bezbednosna rupa. Networm e iskoristiti tu rupu da bi se prekopirao i pokrenuo na tom raunaru. Od momenta kada se networm pokrene na nekom raunaru, on nadalje vri funkcije: 1.) pokuava dalje da se proiri 2.) izvrie naredbu koja mu je isprogramirana onda kada je napravljen (pre nego to je puten da se iri po mrei) - net-worm (isto kao i bot) moe biti domain za virus. - net-worm se sam inicira (startuje). Trojanci i programi inficirani virusom su neaktivni sve dok korisnik ne pokrene program koji ih sadri. Osnovna podela crva je na binarne i macro crve. a) Binarni crvi mogu zaraziti samo one operativne sisteme koji su identini operativnim sistemima u kojima su kompajlirani (jer samo na njima mogu da se izvre). b) Macro crvi mogu da zaraze vie operativnih sistema, bez obzira to su kompajlirani na nekom konkretnom operativnom sistemu, pod uslovom da ti operativni sistemi sadre interpreter za

www.MyCity.rs
programski jezik u kome su pisani ti crvi. (primer: makro-crv pisan u programskom jeziku Perl e se bez razlike izvriti i na Linux-u, BSD-u, Solaris-u i
drugim operativnim sistemima na kojima je instaliran interpreter za programski jezik Perl).

[ ! ] Generalna zatita od crva su firewall-ovi i redovno auriranje operativnog sistema, kao i programa koji su podloni napadima crva (mail-klijenti, instant messengeri..)
[ dodatno itanje: ovde ]

Bot malware koji se iri preko mree iskoritavanjem propusta u nekom operativnom sistemu, ili programu u cilju kontrolisanja zaraenog raunara od strane vlasnika bota. Po funkcionalnosti predstavlja kombinaciju crva i backdoora (jer se iri mreom kao i crv, a kada upadne u sistem ponaa se kao backdoor). Karakteristike: - bot se iri mreom u cilju pruanja kontrole (svom vlasniku) nad odreenim operativnim sistemom. - bot je program za sebe, i njemu nije potreban domain. - ako je raunar zaraen botom, tada vlasnik bota moe da ga iskoristi da ubaci drugi malware na sistem. - esto postaje domain za viruse (bot moe da se zarazi virusom) i iste, na taj nain, prenosi preko mree. - esto se koriste za ugradnju spyware-a i adware-a - postoje botovi koji komuniciraju ak i kroz rutere i switcheve - antivirusne kompanije ih klasifikuju ili kao crve ili kao trojance (backdoor) - [irenje bota]:bot pokuava da na Internetu (tj. mrei, u optem sluaju) nasumino nae raunar iji Windows nije zakrpljen, i na kome postoji bezbednosna rupa. Bot e iskoristiti tu rupu da bi se prekopirao i pokrenuo na tom raunaru. Od momenta kada se bot pokrene na raunaru, on nadalje vri dve funkcije: 1.) pokuava dalje da se proiri 2.) eka na naredbe svog gazde (upload i download datoteka, pokretanje datoteka, DDoS napad na neki server itd.)

Botnet (mrea botova) - svi raunari koje je zarazio jedan bot. Svi ti zaraeni raunari, dakle, imaju samo jednog kontrolera (vlasnika) koji je konstruisao i plasirao bota. Svi raunari koje je zarazio drugi bot predstavljaju drugu mreu botova.

www.MyCity.rs

Zombie computer (ili zombie) raunar, povezan na Internet, koji je napadnut, kompromitovan i na taj nain upotrebljiv za izvravanje raznih zlonamernih zadataka, daljinskim upravljanjem i manipulacijom. Zombi raunari su lanovi botnet grupacije i esto se koriste za irenje spam-a i DDoS napada. Vlasnici zombie raunara nisu svesni da se ti raunari koriste za loe svrhe.

Adware program ija je uloga forsiranje reklamnog materijala u cilju zarade. Spyware program koji sakuplja podatke o poseti korisnika Internet sajtovima i razne navike korisnika tokom surfovanja Internetom. Za razliku od adware-a (koji po svojoj prirodi intenzivno izbacuje reklame), spyware tei da ostane neotkriven.

Rootkit program (ili druga vrsta tehnologije), koji uspeno sakriva neku datoteku, kljueve u registry bazi, programe ili druge parametre na operativnom sistemu. Po svojoj prirodi nisu nuno maliciozni, jer se mogu koristiti i u dobre svrhe (na primer, antivirusni program sakriva svoje datoteke da ne bi bili kompromitovani). U negativnom kontekstu, slue da sakriju malware od korisnika, bilo sakrivanjem malicioznih datoteka, procesa ili drugih parametara ( promena veliine datoteke, datum izmene datoteke i drugo). Mogu se podeliti na kernel mode i user mode rootkitove. a) Kernel mode rootkit: --> rade na nivou drivera b) User mode rootkit: --> rade na nivou servisa

Backdoor program koji omoguava drugom licu da neovlateno upravlja tuim raunarom. Iako po svojoj prirodi ovaj malware spada u klasine trojance, kategorija je izdvojena zasebno jer danas postoji vie razliitih vrsta trojanaca. Zaobilazei normalne metode autentikacije, koristi se najee u dva scenarija: a) omoguavanje lakeg pristupa u budunosti, na drugom raunaru koji je ve kompromitovan. b) malware moe da instalira backdoor za prvi upad napadaa za neovlateno korienje sistema.

Antivirus software - softver koji raunare moe odbraniti od razliitog malware-a, prvenstveno virusa, trojanaca, botova i crva. Funkcionalnosti antivirusa zavise od proizvoaa istog, pa moe

www.MyCity.rs
detektovati i druge oblike malware-a (spyware, na primer). Pored jednokratnog skeniranja operativnog sistema (on demand), antivirusi obino imaju i mogunost on access skeniranja, gde se datoteke proveravaju automatski kada korisnik pokua da ih pokrene. Vie parametara utiu na uspeno detektovanje malware-a, od ega treba pomenuti dva: redovno aurirana baza definicija virusa i heuristika. Antivirus moe da detektuje: - ve postojee viruse, s tim da je stepen detekcije vei ako je baza definicija virusa aurirana. - viruse koji su nepoznati antivirusu, uz upotrebu heuristike (termin heuristika je posebno objanjen).

Antimalware software - softver koji, kao i antivirus, raunar moe odbraniti od razliitog oblika malware-a. Meutim, od antivirusa se razlikuje po tome to antivirus moe da dezinfikuje datoteke od file infectora (virusa u pravom smislu rei), dok antimalware to ne radi. Pored irokog spektra vrsta malware-a koje moe da detektuje (crvi, trojanci, rootkitovi, dialeri, spyware, adware...), antimalware moe da sreuje i registar (registry bazu), to generalno ne rade antivirusni programi. U zadnje vreme je tee podvui razlike izmeu ova dva softvera jer danas veina antivirusnih programa sreuje i registry bazu, te moe detektovati vie tipova malware-a.

Detekcija odnosi se na trenutak otkrivanja nekog malware-a od strane antivirusnog programa. Kada se detektuje malware, deava se sledei scenario: a) za detektovani virus, antivirusni program e pokuati dezinfekciju (da otkloni virus iz legitimnog programa). b) detektovani botovi, crvi i trojanci se briu. c) prilikom detektovanja bota ili crva zaraenog virusom, antivirusni program prvo detektuje virus (jer je on na poetku datoteke), pa pone dezinfekciju; kada zavri dezinfekciju, antivirusni program detektuje da je upravo dezinfikovana datoteka takoe tetna (crv ili bot) pa ga obrie.

Softverski omot (softverska koverta, eng. software envelope) - predstavlja sloj (layer) koji paker kreira oko ciljane datoteke. Kd ovoga sloja predstavlja vrlo vaan deo identifikacije pakera. Postoje razliite tehnike implementacije omotavanja tako da se malware moe zakamuflirati, jer se time reava heuristike koja, na taj nain, nee moi da prepozna maliciozan kd: - EXE Packers: pakeri koji kompresuju izvrnu datoteku i formiraju novu izvrnu datoteku, po pravilu manje veliine na disku, koja mora sadrati u sebi i deo kda za dekompresiju. Pre

www.MyCity.rs
izvravanja nove izvrne datoteke, dekompresioni kd regenerie originalni kd prvobitne izvrne datoteke. U veini sluajeva je proces transparentan, tako da se pakovana izvrna datoteka moe koristiti na isti nain kao njen original. EXE-paker va pakovani program raspakuje u memoriji, i tamo ga odmah izvri, tj. startuje.
[ dodatno itanje: ovde ]

- EXE Cryptors: paker koji ukljuuje razliite tehnike enkripcije kda odreenog programa, s tim da se na poetak rezultujue datoteke ugrauje programski deo koji e kriptovani program vratiti u normalu. Na korisnikovom disku je itljiv samo programski deo za raspakivanje, dok kriptovani program nije itljiv. Dekripcija programa, i nakon toga pokretanje dekriptovanog programa se odvija u memoriji. - EXE Protectors: programi koji imaju sposobnost detektovanja okruenja u kojem se pokree dekriptor; ukoliko program proceni da su uslovi okruenja nepovoljni (program se pokree u virtualnoj maini, ili nekom debuggeru, itd.) programi/datoteke se nee dekriptovati. - Code Obfuscators: pakeri koji koriste tehnike koje kd namerno ine nejasnim i nerazumljivim, te time oteavaju analizu omotane datoteke odreenim alatima i algoritmima za analiziranje kda. Tehnike koriste junk code, to jest delove kda koji nemaju neku praktinu svrhu, sem oamuivanja kda (tj. injenja kda nejasnim) . - i drugi (Morph Engines, itd)

Packer - softver koji pravi softverski omot (softversku kovertu) oko nekog izvrnog objekta. Na taj nain menja njegovu prirodnu izvrnu formu, ali zadrava originalnu, prvobitnu funkcionalnost (dakle, pre omotavanja) u memoriji. Neki od pakera su UPX, Exe32Pack, i drugi. Datoteke je mogue i viestruko pakovati te se time oteava posao antimalware aplikacijama.
Termin paker se upotrebljava u dva konteksta, u jednom za rezultat kompresor -arhivera, u drugom za EXE-pakere (ili run-time pakere).

[ ! ] Razlikovati ga od SFX.

Binder program koji iz sebe izbacuje neki maliciozan program (svoj tovar), snima ga na disk i pokree, na nekom operativnom sistemu, s tim da postoji mogunost odabira koji tovar e se ugraditi u taj program.

Dropper - program koji iz sebe izbacuje neki maliciozan program (svoj tovar), snima ga na disk i pokree, na nekom operativnom sistemu, s tim da ne postoji mogunost odabira koji tovar e se ugraditi u taj program, jer se njegov tovar ugrauje u fazi programiranja, tj. pre kompajliranja tog programa.

www.MyCity.rs

Injector - binder ili dropper koji svoj tovar moe upisati direktno u memoriju i u memoriji ga vezati za neki pokrenuti legitimni program. Tovar (tj. neki maliciozni program) je najee sadran u nekom kriptovanom obliku koji antivirusni programi ne prepoznaju.

Joiner je program koji omoguava spajanje malware-a sa nekim legitimnim programom, tako da e se prilikom pokretanja tog programa paralelno izvriti i legitimni program i njemu pridrueni malware.

SFX (self extracting archive) raunarska aplikacija koja sadri arhivu kompresovanih datoteka, kao i deo koji sadri informaciju kako izvui datoteke iz te arhive. Ovaj oblik je pogodan jer ne zahteva dodatni program za arhiviranje kako bi se izvukle datoteke iz arhive. [ ! ] SFX treba razlikovati od EXE packer-a. Iako su konceptualno isti baziraju se na kompresovanju programa/datoteka i dodavanju programa za raspakivanje na poetak rezultujue datoteke, razlika je u tome to e EXE packer spakovani program raspakovati te odmah izvriti u memoriji, dok SFX podrazumeva raspakovanje na tvrdi disk.

Dialer - program koji se konektuje na nekog posebnog Internet provajdera koji, po pravilu, ima visoku cenu pruanja usluge konekcije na Internet. Dialer sam po sebi nije maliciozan, jer korisnik moe svesno da ga koristi kako bi pristupio vruim razgovorima za odrasle iji provideri imaju visoke cene minuta razgovora. Dialeri mogu biti i maliciozni ukoliko su ubaeni na sistem bez znanja korisnika u cilju pribavljanja finansijskih sredstava tog korisnika kroz nepovoljan Internet provajding. Efekat tog pribavljanja se ogleda kroz iznos telefonskog rauna korisnika-rtve.

Haker (hacker) - u svom izvornom znaenju opisuje osobu koja se bavi istraivanjem mogunosti raunara i njihovoj pozitivnoj primeni u svakodnevnom ivotu.
[ dodatno itanje: ovde ]

Razbija ((zabranjeno)er) osoba koja koristi svoje znanje i otkria negativno primenjuje u cilju nanoenja tete. Imaju dovoljno znanja da samostalno piu malware.

www.MyCity.rs

Lejmer (lamer) osoba koja nema mnogo znanja o raunarima ve koriste ve postojee produkte razbijaa (trojance, viruse i sl. ) kako bi naneli tetu drugima.

Rescue disk - Live verzija nekog antivirusnog reenja koja je obino zasnovana na Linux operativnom sistemu; Live verzija znai da prilikom skeniranja nije pokrenut zaraeni operativni sistem, ve se uitava softver sa CD-a.
[ dodatno itanje: ovde ]

Firewall (vatrozid) - softverski paket ili hardverski ureaj koji kontrolie vanjski pristup raunaru ili lokalnoj mrei i filtrira mreni saobraaj. Neovlateni pristup raunaru ili mrei se blokira, a ovlateni odobrava. Mogue je kombinovati hardverski i softverski firewall. esto se koriste za spreavanje pristupa neovlatenih korisnika sa Interneta ka privatnoj mrei/Intranetu. Firewall je posrednik svoj komunikaciji izmeu Interneta i Intraneta, gde ispituje strukturu poruka i blokira one koje ne ispunjavaju definisane kriterijume. Razlikujemo sledee tehnike firewalla: - Packet filter: svaki paket se analizira i filtrira (tj. odobrava ili blokira) zavisno od definisanih pravila korisnika (tj. lokalne politike firme). - Application gateway: podrazumeva specifine bezbednosne mehanizme za odreene aplikacije ili servise. - Circuit-level gateway: podrazumeva primenu bezbednosnih mehanizama prilikom kreiranja TCP konekcije. Kada se kreira TCP konekcija, razmena paketa se vri bez dodatnih provera. - Proxy server: podrazumeva presretanje svih poruka koje ulaze ili izlaze iz mree. Primarna svrha personalnog firewalla je funkcionalnost packet filtera kako bi se kontrolisao saobraaj koji dolazi na raunar i odlazi sa njega. Firewall ne mora da ima HIPS komponentu.
[ dodatno itanje: ovde ]

Intrusion Prevention Systems (IPS) - mrena bezbednosna reenja koja prate mrene aktivnosti u cilju detekcije malicioznog ponaanja. Osnovne funkcionalnosti ovih sistema su identifikacija malicioznog ponaanja, zapisivanje informacija o registrovanom ponaanju, pokuaj blokiranja ili zaustavljanje malicioznog ponaanja i izvetavanje o ovim aktivnostima.

www.MyCity.rs
IPS se mogu podeliti u sledee 4 kategorije: - Network-based Intrusion Prevention (NIPS): prati celokupan saobraaj na mrei s cljem detekcije zlonamernog saobraaja, i to analiziranjem aktivnosti mrenog protokola. - Wireless Intrusion Prevention Systems (WIPS): slian prethodnom, s tim da je usko vezan za praenje saobraaja kod beinih mrea i analiziranje beinih protokola. - Network Behavior Analysis (NBA): specijalizovan za analizu odreenih ponaanja na mrei kao to su iznenadna optereenja mree i druga, kako bi se otkrio potencijalni napad na mreu (DDoS, na primer), ali i odreene grupe malicioznih programa. - Host-based Intrusion Prevention (HIPS): softverski paket instaliran na jedan raunar, koji prati sumnjive aktivnosti procesa analizirajui dogaaje koji se deavaju na tom raunaru. Firewall filtriranjem paketa ne moe da utvrdi potencijalne pretnje kao keyloggere niti moe da sprei ulazak malicioznog softvera. Za ovo je zaduena komponenta HIPS. HIPS prati ponaanje procesa unutar samog raunara. Veina modernih firewallova predstavljaju simboizu dvaju komponenti packet filtera (za kontrolu mrenog saobraaja) i HIPS-a koja je zaduena za detekciju i spreavanje svih vrsta potencijalnog malicioznog ponaanja na raunaru. HIPS kontrolie ta neka aplikacija na raunaru sme da radi, a ta ne sme. Prati ponaanje procesa i spreava potencijalno maliciozne operacije (to je u skladu sa pravilima koje je korisnik definisao).

Spoof - uopteno, termin se odnosi na tehnike obmane gde se imitira identitet nekog korisnika na Internetu, softver, hardverski ureaj ili IP adresa, u cilju neovlatenog prolaska kroz odreene bezbednosne mehanizme. Razlikujemo sledee kategorije: - IP spoofing: metod prolaska kroz bezbednosne procedure na mrei imitirajui drugu IP adresu. Postoje sigurnosni mehanizmi koji nain autentikacije korisnika baziraju na osnovu njegove IP adrese (ili specifinog opsega IP adresa). - E-mail address spoofing - odnosi se na lairanje poiljaoca e-mail poruke. Moe se koristiti i za zaobilaenje spam filtera na klijentu ciljanog raunara. Primaoc ove poruke percepira poruku kao bezbednu jer mu je adresa poznata. - Web page spoof - odnosi se na lanu Web stranicu, koja vizuelno izgleda identino kao i originalna stranica, ali je hostovana na nekom drugom serveru (nevezanom za matine sajtove). Cilj je da se, na ovaj nain, pribave privatni podaci korisnika (korisniko ime, lozinka ili neki drugi podaci).

www.MyCity.rs

Phishing - usmerene zlonamerne aktivnosti osobe ili grupe u cilju pribavljanja informacija o autentikaciji nekog korisnika, upotrebom posebno napravljenih e-mailova ili Web stranica. Autentikacija korisnika moe biti vezana za banke, kreditne kartice, e-mail naloge, drutvene mree (myspace, facebook) i drugo. a) e-mail phishing - ove poruke su dizajnirane tako da zavaraju korisnika kao da su poslate od sistem administratora ili drugog ovlatenog lica neke kompanije, gde se trae podaci o autentikaciji ili koje sadre linkove ka lanim stranicama koje slue da prikupe podatke o autentikaciji korisnika. b) phishing preko Web stranica - podrazumeva kreiranje lane Web stranice koja je vizuelno identina sa originalnom. Uneti podaci "upecanih korisnika" na toj stranici se prosleuju dalje kreatoru lane (fake, spoof)Web stranice. Linkovi kao ovim lanim stranama mogu se proslediti kroz e-mail poruke, chat aplikacije, forume i druge medijume. Kako na lak nain utvrditi da li ste meta phishinga? Analizirajte strukturu e-maila ili linkova: - analizirati e-mail adresu poiljaoca; Da li je njegov provider iz vae firme? Da li je adresa uopte poznata? - obratiti panju na nain oslovljavanja; phisihing e-mailovi se mogu slati na hiljade adresa pa se mora koristiti opti pristup za oslovaljavanje tipa Potovani korisnie/Dear customer i slino. Da je zahtev zvanian, kompanija/administrator bi vas oslovio po korisnikom (ili punom) imenu. - obratiti panju na sintaksne/gramatike greke; nije velika mudrost napisati lani e-mail, pa u velikom broju sluajeva se provuku neke oigledne greke. - rokovi; phishing mailovi mogu da zahtevaju odgovor u roku od 24 asa ili krae kako bi izazvali impulsivnu reakciju korisnika. - analizirajte linkove; primera radi lani (fake) link bi bio http://fakeaddress.com/mycity , stoga linkove uvek runo ukucavajte sa podacima za koje znate da funkcioniu: www.mycity.rs - ako i dalje niste sigurni, direktno kontaktirajte kompaniju telefonom da proverite da li postoji neki problem sa vaim nalogom. Mogui mamci: istie nalog ili lozinka; nalog je hakovan, nalog je zastareo te ga potrebno reaktivirati, problemi sa duplim nalogom, te aktivacija novog, i drugi. Spear phishing - moemo ga definisati kao ciljno orijentisan phishing. "Obini" phishing je zasnovan na masovnom i neorganizovanom slanju e-mail poruka, dok spear phishing nije masovan, ve dobro organizovan i usmeren na jednog korisnika ili mali broj ljudi, obino u jednom preduzeu. Napada se obino predstavlja kao korisnik slube koja ima ovlaenje da zatrai neke poverljive podatke (IT ili kadrovsko odeljenje). Ovaj sofisticiraniji napad je mnogo tee otkriti.

www.MyCity.rs

Spam - neeljena e-mail poruka (junk mail). Vie od 99% celokupnog spama dolazi od inficiranih maina koje su deo botneta. Cilj spama je esto profit - milion elektronskih poruka moe biti poslato u nekoj kampanji (za neki proizvod i sl. ), praktino bez ikakvog troka. Ako od tih milion poslatih mailova 10000 korisnika obavi kupovinu, profit je oigledan. Korisnici koji nemaju neki antispam softver moraju prvo identifikovati da su poruke neeljene te brisati ove poruke "jednu po jednu", to oduzima dosta vremena. Dalje, panja se odvraa od bitnih poruka, optereuje se Internet saobraaj korisnika (bandwidth). Online mail servisi obino imaju integrisan antispam filter.

Digital signature (digitalni potpis) - metod kriptovanja podataka u cilju verifikacije identiteta njihovog poiljaoca. Digitalni potpisi se esto koriste prilikom distribucije softvera, finansijskih transakcija i raznim drugim sluajevima gde je bitan identitet poiljaoca kako bi se spreile potencijalne prevare i druge zlonamerne aktivnosti. U kontekstu Windowsa, digitalni potpis korisniku, koji instalira neki softver, prua informaciju da li je taj softverski paket od legitimnog izdavaa (publisher), te mu prua sigurnost da moe bezbedno instalirati softverski paket. Administratorska privilegija se zahteva za instalaciju nepotpisanih kernel-mode komponenti. 64bitna verzija Windowsa 7, Viste i Servera 2008 ne dozvoljava instalaciju nepotpisanih drivera (zahteva se KMCS - Kernel Mode Code Signing) . Ogranienja postoje i u novim verzijama Internet Explorera - preuzeti instalacioni paketi i SFX datoteke sa Interneta moraju biti digitalno potpisani kako bi se pokrenuli ili instalirali.

Document malware - odnosi se na maliciozne meta podatke (ugraene skripte u pojedine tipove dokumenata) ili maliciozni makro sadraj u dokumentima. Makro sadraj je osmiljen da se u legitimne svrhe izvri automatizacija nekih esto koritenih radnji. Kako se za to osmiljavanje koristi neki programski jezik, mogue je napisati maliciozan kd. Zlonamerne makro skripte za Microsoft Office dokumenta pojavila su se 90-ih godina. U zadnje vreme postoje razni oblici malware-a koji se vezuju za PDF pa i AutoCAD dokumenta.

Cookies (kolaii) - tekstualne datoteke, koje se smetaju na raunar korisnika i omoguavaju Web sajtovima da pamte odreene informacije (npr. praenje broja poseta, korisniko ime, itd.). Prilikom sledee posete nekom sajtu, server moe da proita (bez znanja korisnika) podatke unutar cookie-a, na primer moe prikae korisniko ime, tako da ostaje samo da unesete lozinku. Cookies ne mogu da otete podatke na raunaru, budui da su tekstualne datoteke, ali mogu da

www.MyCity.rs
narue poverljivost registrovanih podataka. Web sajtovi mogu posetepeno da prave profil korisnika koji je baziran na ponaanju tih korisnika prilikom pregledavanja Web sajta. Ove sakupljene informacije kasnije mogu biti podeljene sa drugim Web sajtovima ili ak prodate. Na kraju, reklamni sadraj na Web sajtu se moe prilagoditi konkretnom profilu korisnika. Web browseri meu svojim opcijama imaju podeavanja vezana za "kolaie" (ili poseban tzv. incognito mod surfovanja, kod pojedinih browsera), pa ako korisnik eli ostati anoniman moe odabrati opciju da se isti ne uvaju (ili ui u incognito nain surfovanja).

Pharming - vrsta napada koja se bazira na kreiranju lanih Web sajtova u cilju pribavljanja poverljivih informacija o korisniku. Od phishinga se razlikuje po tome to, u ovom sluaju, nema nikakvog "mamca" u vidu e-mail poruke ili drugo, ve se itav saobraaj usmerava ka lanom Web sajtu iako korisnik pravilno ukuca ime prvobitnog Web sajta koji eli da poseti. Ovo usmeravanje saobraaja se moe ostvariti na sledee naine: a) DNS cache poisoning Napad na sistem imena na Internetu, koji omoguava korisnicima da unesu ime Web sajta u razumljivom, simbolikom obliku (npr. www.mycity.rs) a ne u brojanom obliku (192.168.1.1). Za ovo preslikavanje (simboliko u brojano) zaduen je DNS (Domain Name System) server. Oigledno, napad (trovanje) se sastoji u promenama ovog preslikavanja adresa, tako da se prilikom ukucavanja www.mycity.rs sav saobraaj usmerava na neku drugu (malicioznu) adresu (npr. 78.46.103.200) . b) promena HOSTS datoteke na raunaru korisnika Iako je DNS cache poisoning pharming u pravom smislu te rei, jer "farmer" moe da na globalnom nivou (firme, provajdera) "u jednom prolazu" sakupi veliki niz privatnih informacija (tj. prinosa sa farme), postoji i lokalni napad, tj. lokalna promena preslikavanja simbolikih u brojane adrese. Naime, prilikom surfovanja Internetom, Web browser koristi HOSTS datoteku u kojoj se nalaze informacije o preslikavanju (prvo se pristupi hosts datoteci, pa se tek nakon toga informacije prosledjuju DNS serveru). Hosts datoteka je tekstualna datoteka, sledeeg formata: Kod: # Ova linija unutar hosts fajla je primer redirekcije facebook-a na malicioznu adresu 78.46.104.123 www.facebook.com

Encryption (kriptovanje podataka ili ifriranje) - proces kojim se vri izmena podataka tako da se poruka, uini neitljivom za osobe koje ne posjeduju odreeni klju, tj. informaciju za deifrovanje. Prva poznata metoda ifriranja datira iz vremena rimskog vojskovoe Julije Cezara, po kojem je i dobila ime, a sastoji se u jednostavnoj supstituciji latininih slova poruke pomicanjem za odreeni broj mjesta u abecedi. U orginalnoj verziji, pomakom za tri mjesta unazad, ifra FDHVDU otkriva ime vlasnika Caesar.

www.MyCity.rs

================================================ Uputstvo za itanje poetnicima ================================================ Kao i veinu strunih stvari, renik treba itati iterativno-inkrementalno, tj. moda na "prvu loptu" svi pojmovi nee biti najjasniji, ali u sledeim iteracijama itanja znanje e inkrementalno da raste.

----------------------------AMF Tim -----------------------------