www.MyCity.

rs

Mali renik zatite

Mart, 2011

www.MyCity.rs
Ranjivost (vulnerability) bezbednosne rupe u operativnom sistemu, ali i aplikativnom nivou (email aplikacija, chat klijent i slino).

Exploit kd koji iskoritava bezbednosne rupe u operativnom sistemu ili aplikacijama.

Zakrpa (patch) programski dodatak kojim se zatvaraju bezbednosne rupe.

Hotfix - termin koji se prvobitno odnosio na softverske zakrpe koje su se primenjivale na sisteme
koji su radili neprestano (still running systems) i koje nisu mogle biti distribuirane van
organizacije klijenta za koga su pravljene te zakrpe. Skorija upotreba termina se odnosi na jedan
softverski paket, kojim se reava problem (bug) u radu nekog softvera.
Hotfix moe obuhvatati i adresirati vie softverskih bugova kao i probleme u radu koji su pratei
efekti usled primene neke sofverske zakrpe (patch).
Posmatrano u kontekstu Windows operativnog sistema, hotfix predstavlja male zakrpe koje
otklanjaju specifine probleme oko Kernel Patch Protection, Multilingual User Interface (MUI) i
novootkrivenih sigurnosnih propusta u sistemu. Struktura hotfixa je najee u obliku SFX
datoteke i mogue ju je preuzeti preko servisa Windows Update.
Termin hotfix se razlikuje od termina patch u tome to se hotfix kreira za specifinu potrebu
kupca/krajnjeg korisnika i ne distribuira se u javnost.
Razumevanje razlika izmeu patcha i hotfixa je oteano jer se proizvoai softvera esto
odluuju za termin hotfix, a ne zakrpa, kako bi izbegli potencijalno nezadovoljstvo kupaca u
smislu da proizvod ima nedostatke ili kako bi ostavili pozitivan utisak da kontinuirano servisiraju
svoj softverski proizvod.

Service Pack - predstavlja kolekciju auriranih datoteka, softverskih ispravki odreenog

programa ili operativnog sistema koji treba istim da doprinese aurnosti i boljoj stabilnosti, i
isporuuje se u formi jedne instalacione datoteke. Mnoge kompanije formiraju service pack kada
se povea broj softverskih zakrpa i dostigne odreen limit (limit zavisi od konkretne kompanije).
Pogodnosti service packa se ogledaju u tome to je lake instalirati service pack nego sve izdate
softverske zakrpe pojedinano i u tome to je service pack strukturiran da na ureen nain
instalira zakrpe i ostali sadraj, to doprinosi boljoj stabilnosti programa/operativnog sistema.
Service packovi se numeriu i obino oznaavaju sa SP1, SP2, itd.

www.MyCity.rs
Neretko, service packovi mogu doneti i potpuno nove softverske mogunosti, na primer SP2 kod
operativnog sistema Windows XP.
Moemo ih podeliti na:
- inkrementalne: ukoliko ima sadraj koji nije sadran u nekom prethodnom service packu. Dakle
n-ti service pack zahteva da n-1 bude instaliran na sistemu.
- kumulativne: ukoliko tekui service pack u sebi sadri sve prethodne service packove i ne
zahteva postojanje prethodnih service packova za instaliranje.

IP adresa (Internet Protocol adress) - 32-bitni broj kojim se identifikuje i jednoznano odreuje
raunar koji razmenjuje podatke preko lokalne mree ili Interneta. Format IP adrese je sledei:
#.#.#.# , gde je "#" neki osmobitni broj (dakle, moe uzeti vrednost od 0 do 255).

Port - taka povezivanja koja moe biti hardverska (COM, USB, LPT portovi), gde slui za
povezivanje i komunikaciju sa odreenim hardverom, i softverska gde slui za prenos podataka
preko nekog protokola (TCP/IP, UDP).
U kontekstu zatite, IP adresu nekog raunara moemo simbolino shvatiti kao adresu neke kue,
dok port predstavlja vrata.
Napada e iskoristiti neku port scanning aplikaciju kako bi utvrdio koji portovi su otvoreni na
odreenoj IP adresi ili e skenirati deo mree u potrazi sa otvorenim portovima (tj. traie na
koja vrata moe nesmetano ui).
Ovo TCP skeniranje je vrlo efektivan metod u pronalaenju ranjivosti rtvinog raunara.
Portove moemo podeliti na:
a) otvorene (open ports)
b) zatvorene (closed ports)
c) skrivene (stealth ports)
Da bi napada "upao" na va raunar, prvo mora da nae otvorena vrata, tj. mora da nae
otvorene portove. Za napad se mogu koristiti samo otvoreni portovi.
Otvoreni portovi su u "stand by" nainu rada, dakle, ekaju tj. oslukuju (listening) dolazee
konekcije; kada se pojavi zahtev za konekcijom, otvoreni port odgovara tako to prihvata tu
konekciju. Po prihvatanju konekcije, mogue je razmeniti podatke izmeu udaljenog raunara
napadaa i raunara rtve. Raunar sa otvorenim portovima se ponaa kao server, dok je udaljena
maina koja alje zahtev za konekcijom - klijent.

www.MyCity.rs
Preporuuje se da se koristi firewall (najbolje je iskombinovati hardverski i softverski firewall)
kako bi se blokirali portovi. Takoe, preporuuje se da se na raunaru onemogue svi nepotrebni
servisi.
Napada ne moe koristiti zatvorene portove da bi se konektovao na neku udaljenu mainu.
Njegov port scanner e prikazati rezultat da je port zatvoren. Meutim, ovi portovi ipak daju
odreene informacije koje kasnije napada moe iskoristiti. Na primer, napada moe saznati
koje servise koristite jer postoji ustaljeni podrazumevani (default) ifarnik za neke portove (na
primer: 21: File Transfer Protocol (FTP), 22: Secure Shell (SSH), 23: Telnet remote login service, 25: Simple Mail Transfer Protocol (SMTP), itd.) Ako nita
drugo, moe imati uvid koje servise koristite na raunaru.
Na kraju, skriveni portovi su najbolje reenje po pitanju sigurnosti jer ne generiu nikakav odziv
(maina se ne odaziva ni na ping). Dakle, maina ne vraa nikakav odziv port scanneru
napadaa. Konfiguriite firewall da portove stavi u stealth mode jer je to najsigurnija
konfiguracija. Napada, na ovaj nain, nema informacije o pokrenutim servisima na udaljenoj
maini.

Malware (malicious software) opti pojam koji obuhvata sve neeljene programe. Ovde
spadaju raunarski virusi, crvi, trojanci, botovi, spyware, adware, maliciozni rootkitovi (rootkit
se po svojoj funkciji ne moe direktno svrstati u maliciozne programe). Ustaljeni izraz za celu
kategoriju malware-a je virus, to je neprecizno i pogreno jer virusi predstavljaju samo jedan
deo celokupnog malware-a.
[ dodatno itanje: ovde ]

Rogue software (ili scareware) maliciozni softver koji obmanjuje korisnika da je neka korisna
aplikacija, koji neretko zahteva plaanje kako bi se uklonili lano prikazani virusi (i druge
funkcionalnosti lanog softvera) ili omoguava instalaciju dodatnog malware-a na rtvin
raunar (primer: lana antivirus aplikacija ThinkPoint).

Honeypot program koji predstavlja mamac za malware, a koji je instaliran na raunar

neprestano povezan na Internet. Emulira ranjiv sistem i eka upade na raunar i pokuaje
inficiranja. Preteno se sakupe crvi i botovi. Zbog pomenutog ekanja, predstavlja pasivan
koncept (ne zahteva nikakvu interakciju).
[ dodatno itanje: ovde ]

Honeypot sensor raunar na kome je instaliran Honeypot. Senzori se esto grupiu u alijanse,
kao vid saradnje izmeu nezavisnih honeypotova ili mrea senzora, u cilju meusobne razmene
nahvatanih primeraka malware-a (napomena: termin alijansa se ne koristi kao ustaljeni izraz za
vie senzora istog vlasnika).

www.MyCity.rs

Honey client - interaktivan program koji poseuje sajtove i dozvoljava instalaciju svih aktivnih
komponenti sa tih sajtova u cilju sakupljanja malware-a. Ovaj proces traenja nevolje je
simuliran, tako da je krajnji rezultat sakupljen i arhiviran malware. Na ovaj nain se bre
uoavaju sigurnosne rupe u sistemu, to uslovljava i bru reakciju na iste.
[ dodatno itanje: ovde ]

Heuristika metod kojim antivirusni softver prouava program itajui njegove instrukcije i
pokuavajui da predvidi do ega te instrukcije mogu da dovedu, u cilju detektovanja novog
malware-a, i novih varijanti postojeeg malware-a.
[ dodatno itanje: ovde ]

Dezinfekcija - proces uklanjanja virusa iz programa tako da program bude u istom stanju kao pre
infekcije.

DoS napad (Denial of service) u optem sluaju, vrsta napada kojom se onemoguava
upotreba raunara ili nekog njegovog resursa korisnicima tog raunara. Najee se sastoji od
koncetrisanih napora pojedinca ili grupe da spree normalno funkcionsanje Internet sajta ili Web
servisa na odreen ili neodreen rok. Ukoliko veliki broj kompromitovanih raunara (botnet)
napada jedan, ciljani raunar, moemo govoriti o distribuiranom DoS napadu koji se naziva i
DDoS (Distributed Denial of Service).

Brute Force napad vrsta napada koja se koristi za nalaenje lozinke kod kriptovanih datoteka,
koja se sastoji u isprobavanju svih moguih lozinki redom. Mogue je zadati inicijalne
parametre, tako da se napad odnosi samo na brojeve, slova, specijalne znakove ili njihovu
kombinaciju.
Dictionary napad - vrsta napada koja se koristi za nalaenje lozinke kod kriptovanih datoteka,
koja se sastoji u isprobavanju svih lozinki (tj. rei, u ovom kontekstu) koji se nalaze u
odreenom reniku (dictionary base). Neke lozinke se koriste vrlo esto (videti da nije i vaa: ovde ) te je
mogue formirati odgovarajuu bazu lozinki, tj. renik. Napada kree od pretpostavke da je
vaa lozinka u bazi. Stoga se preporuuje upotreba jakih lozinki (strong passwords) koja
ukljuuje kombinaciju slova, brojeva i specijalnih karaktera.

www.MyCity.rs
Sandbox - virtuelno okruenje u kome program moe nesmetano da funkcionie, s tim da bilo
kakve promene koje napravi taj program stvarno ne utiu na operativni sistem. Predstavlja
sigurnosni mehanizam za odvajanje pokrenutih programa od promena na sistemu; sandbox
aplikacija pokree programe u izolovanom memorijskom prostoru, i time ih spreava da naprave
trajne promene nad drugim programima i podacima u raunaru.
Karakteristike:
- sandboxovi ne koriste virtualni hardver (kao virtualne maine); program u sandboxu vidi stanje
fizikog, stvarnog sistema.
- kada sandbox aplikacija prestane sa radom, briu se sve promene koje su napravili
sandboxovani programi.
Primena: programiranje, za proveru programskog kda; pokretanje programa u koje se nema
poverenja; zatita od malicioznih programa, produavanje trial limita kod probnih programa
(nelegitimna upotreba).
[ dodatno itanje: ovde ]

Virus - program kome je potreban neki drugi (legitimni) program koji e mu biti "domain"
(domain moe biti bilo koji program). Virus dodaje sebe na poetak programa domaina i time
se ugrauje u program koji je "ist" pre ugraivanja. Teoretski posmatrano, domain e pravilno
da funkcionie ak i ako je zaraen (u praksi to ne mora biti sluaj, zavisi od znanja programera).
Prilikom pokretanja programa domaina:
- prvo e se pokrenuti virus, koji e u tom momentu da zarazi jo neki program (inei ga time
svojim domainom),
- a nakon toga e virus prepustiti kontrolu izvravanja svom domainu (dakle, pokrenue se
aplikacija koja je prvobitno trebala biti pokrenuta).
Karakteristike:
- virus je jedini malware koji ima mogunost inficiranja (dakle, crv ne moe inficirati bota i
obrnuto, itd...).
- samo virus ima mogunost irenja sa programa na program.
- najstarija kategorija malware-a
- [nain inficiranja]: virus je po svom nainu razmnoavanja file-infector; da bi zarazio neku datoteku
B, potrebno je da se prethodno pokrene datoteka A, koja je ve zaraena. U momentu kada
pokrenete program koji je zaraen, prvo se pokree virus, koji na operativnom sistemu odmah
trai nezaraene datoteke, i kada ih nae on se doda na poetak tih datoteka, inei te datoteke

www.MyCity.rs
svojim domainom.
- teoretski postoje i naini da se raunar inficira bez korisnikove interakcije (tj. bez korisnikovog
eksplicitnog pokretanja zaraene datoteke).

Trojanac (Trojan Horse) - program koji je skriven na operativnom sistemu, i na njemu skriveno
vri odreene operacije koje mogu naneti tetu operativnom sistemu. Zvanina i old school
definicija trojanca je: program koji pored dokumentovanih mogunosti ima i skrivene,
nedokumentovane funkcije. Trojanci se dele na vie podgrupa:
- Trojan-downloader trojanac koji sa Interneta preuzima dodatne (maliciozne) datoteke na
raunar.
- Trojan-clicker trojanac koji se povezuje na odreene sajtove da bi na tim sajtovima kliknuo
neko dugme ili link, kako bi se poveala poseenost tih sajtova. Na taj nain malware
omoguava vlasniku sajta da zaradi vie novca od onih koji se kod njega reklamiraju (kod tih
sajtova se prostor za reklame naplauje zavisno od broja poseta).
- Trojan-dropper trojanac koji instalira neki malware u ciljani sistem (virus, backdoor, crv).
Neretko se koristi za ubacivanje crva u lokalnu mreu. Razlikujemo sledee droppere:
a) single stage droppers: maliciozni kd se nalazi u samom dropperu, kako bi se oteala njegova detekcija,
b) two stage droppers: maliciozni kd se, u prvoj etapi preuzima sa Interneta, a u drugoj aktivira.

- Trojan-PSW-stealer trojanac koji ita razne lozinke sauvane na operativnom sistemu

(lozinka za logovanje na sistem, za logovanje na sajtove itd.) i alje ih vlasniku trojanca.
- Trojan-keylogger trojanac koji "zapisuje svaki pritisak na taster i taj zapis uva u tekstualnoj
datoteci da ih neko preuzme, ili se ti podaci alju preko Interneta (vlasniku trojanca ili nekom
treem licu). Osim snimanja tastature, mogu se snimati i pokrenuti programi, poseene Web
stranice, itd.
[ ! ] Razlika izmeu trojanca i bota je ta to se bot (kao i crv), iri mreom, dok se trojanac mora
uvaliti runo, prevarom.
Kada se pokrene, trojanac se ponaa kao server - otvara odreeni port i oslukuje zahteve za
konektovanje njegovog vlasnika (klijenta), koji treba da zna IP adresu raunara na kom se nalazi
trojanac ili da skenira nizove IP adresa radi pronalaenja specifinog otvorenog porta (kojeg je
otvorio trojanac). Upad se ostvaruje formiranjem klijent-server veze.
[ dodatno itanje: ovde ]

Reverse connecting trojan - trojanac koji sm obavetava svog vlasnika na kojoj se IP adresi
nalazi, najee putem slanja elektronske pote ili slanjem poruke na ICQ, ili IRC kanal, kako bi
vlasnik imao sve parametre za upad na operativni sistem. Alternativan naziv je trojanac-bot
(trojanac sa botom). Njihov vlasnik, na ovaj nain, ima pogodnost jer ne mora da "peca" svoje
trojance skeniranjem portova, ve samo treba da pristupi odreenoj IRC sobi/kanalu i napravi
"prozivku" svojih botova. I veina obinih trojanaca se javljaju na ICQ/IRC/mail.

www.MyCity.rs

Ransomware - trojanac koji kriptuje datoteke korisnika sa lozinkom uz zahtev da taj korisnik
mora da plati izvesnu sumu novca kako bio dobio lozinku za dekriptovanje (primeri: Zippo,
Archiveus) ili koji onemoguava normalno startovanje Windowsa, traei odgovarajuu lozinku
(primer: WinLock, koji od korisnika zahteva da poalje SMS (cene oko $10) na neki broj kako bi
se dobila lozinka za otkljuavanje). Za sve varijacije ransomware-a je zajedniko da korisnik
mora platiti kako bi otkljuao onemoguene stavke na raunaru. Kod pojedinih verzija
ransomware-a plaanjem se samo privremeno reavate problema, jer zakljuavanje moe biti
privremeno (vremenski tempirano) ili trajno.
[ dodatno itanje: ovde i ovde ]

Crv (Worm) - maliciozan program koji se iri putem mree ili putem prenosivih diskova,
iskoritavanjem bezbednosnih propusta u nekom operativnom sistemu, ili programu.
Karakteristike:
- crv se samostalno i sluajno iri mreom, i nad njim ne postoji kontrola.
- crv sadri tovar (payload), razlog zbog ega se i iri; dakle, crv moe u sebi da nosi malware
(virus, trojanca ) ili da bude programiran za DDoS napad na neki server u unapred odreeno
vreme.
- [irenje net-worm-a]: networm pokuava nasumino da na Internetu (tj. mrei, u optem sluaju) nae
raunar iji Windows nije zakrpljen, i na kome postoji bezbednosna rupa. Networm e iskoristiti
tu rupu da bi se prekopirao i pokrenuo na tom raunaru. Od momenta kada se networm pokrene
na nekom raunaru, on nadalje vri funkcije:
1.) pokuava dalje da se proiri
2.) izvrie naredbu koja mu je isprogramirana onda kada je napravljen (pre nego to je puten
da se iri po mrei)
- net-worm (isto kao i bot) moe biti domain za virus.
- net-worm se sam inicira (startuje). Trojanci i programi inficirani virusom su neaktivni sve dok korisnik ne pokrene program koji ih sadri.
Osnovna podela crva je na binarne i macro crve.
a) Binarni crvi mogu zaraziti samo one operativne sisteme koji su identini operativnim
sistemima u kojima su kompajlirani (jer samo na njima mogu da se izvre).
b) Macro crvi mogu da zaraze vie operativnih sistema, bez obzira to su kompajlirani na nekom
konkretnom operativnom sistemu, pod uslovom da ti operativni sistemi sadre interpreter za

www.MyCity.rs
programski jezik u kome su pisani ti crvi. (primer: makro-crv pisan u programskom jeziku Perl e se bez razlike izvriti i na Linux-u, BSD-u, Solaris-u i
drugim operativnim sistemima na kojima je instaliran interpreter za programski jezik Perl).

[ ! ] Generalna zatita od crva su firewall-ovi i redovno auriranje operativnog sistema, kao i

programa koji su podloni napadima crva (mail-klijenti, instant messengeri..)
[ dodatno itanje: ovde ]

Bot malware koji se iri preko mree iskoritavanjem propusta u nekom operativnom sistemu,
ili programu u cilju kontrolisanja zaraenog raunara od strane vlasnika bota. Po funkcionalnosti
predstavlja kombinaciju crva i backdoora (jer se iri mreom kao i crv, a kada upadne u sistem ponaa se kao backdoor).
Karakteristike:
- bot se iri mreom u cilju pruanja kontrole (svom vlasniku) nad odreenim operativnim
sistemom.
- bot je program za sebe, i njemu nije potreban domain.
- ako je raunar zaraen botom, tada vlasnik bota moe da ga iskoristi da ubaci drugi malware na
sistem.
- esto postaje domain za viruse (bot moe da se zarazi virusom) i iste, na taj nain, prenosi
preko mree.
- esto se koriste za ugradnju spyware-a i adware-a
- postoje botovi koji komuniciraju ak i kroz rutere i switcheve
- antivirusne kompanije ih klasifikuju ili kao crve ili kao trojance (backdoor)
- [irenje bota]:bot pokuava da na Internetu (tj. mrei, u optem sluaju) nasumino nae raunar iji
Windows nije zakrpljen, i na kome postoji bezbednosna rupa. Bot e iskoristiti tu rupu da bi se
prekopirao i pokrenuo na tom raunaru. Od momenta kada se bot pokrene na raunaru, on
nadalje vri dve funkcije:
1.) pokuava dalje da se proiri
2.) eka na naredbe svog gazde (upload i download datoteka, pokretanje datoteka, DDoS napad
na neki server itd.)

Botnet (mrea botova) - svi raunari koje je zarazio jedan bot. Svi ti zaraeni raunari, dakle,
imaju samo jednog kontrolera (vlasnika) koji je konstruisao i plasirao bota. Svi raunari koje je
zarazio drugi bot predstavljaju drugu mreu botova.

www.MyCity.rs

Zombie computer (ili zombie) raunar, povezan na Internet, koji je napadnut, kompromitovan i
na taj nain upotrebljiv za izvravanje raznih zlonamernih zadataka, daljinskim upravljanjem i
manipulacijom. Zombi raunari su lanovi botnet grupacije i esto se koriste za irenje spam-a i
DDoS napada. Vlasnici zombie raunara nisu svesni da se ti raunari koriste za loe svrhe.

Adware program ija je uloga forsiranje reklamnog materijala u cilju zarade.

Spyware program koji sakuplja podatke o poseti korisnika Internet sajtovima i razne navike
korisnika tokom surfovanja Internetom. Za razliku od adware-a (koji po svojoj prirodi
intenzivno izbacuje reklame), spyware tei da ostane neotkriven.

Rootkit program (ili druga vrsta tehnologije), koji uspeno sakriva neku datoteku, kljueve u
registry bazi, programe ili druge parametre na operativnom sistemu. Po svojoj prirodi nisu nuno
maliciozni, jer se mogu koristiti i u dobre svrhe (na primer, antivirusni program sakriva svoje
datoteke da ne bi bili kompromitovani). U negativnom kontekstu, slue da sakriju malware od
korisnika, bilo sakrivanjem malicioznih datoteka, procesa ili drugih parametara ( promena
veliine datoteke, datum izmene datoteke i drugo).
Mogu se podeliti na kernel mode i user mode rootkitove.
a) Kernel mode rootkit: --> rade na nivou drivera
b) User mode rootkit: --> rade na nivou servisa

Backdoor program koji omoguava drugom licu da neovlateno upravlja tuim raunarom.
Iako po svojoj prirodi ovaj malware spada u klasine trojance, kategorija je izdvojena zasebno
jer danas postoji vie razliitih vrsta trojanaca. Zaobilazei normalne metode autentikacije,
koristi se najee u dva scenarija:
a) omoguavanje lakeg pristupa u budunosti, na drugom raunaru koji je ve kompromitovan.
b) malware moe da instalira backdoor za prvi upad napadaa za neovlateno korienje sistema.

Antivirus software - softver koji raunare moe odbraniti od razliitog malware-a, prvenstveno
virusa, trojanaca, botova i crva. Funkcionalnosti antivirusa zavise od proizvoaa istog, pa moe

www.MyCity.rs
detektovati i druge oblike malware-a (spyware, na primer).
Pored jednokratnog skeniranja operativnog sistema (on demand), antivirusi obino imaju i
mogunost on access skeniranja, gde se datoteke proveravaju automatski kada korisnik pokua
da ih pokrene. Vie parametara utiu na uspeno detektovanje malware-a, od ega treba
pomenuti dva: redovno aurirana baza definicija virusa i heuristika.
Antivirus moe da detektuje:
- ve postojee viruse, s tim da je stepen detekcije vei ako je baza definicija virusa aurirana.
- viruse koji su nepoznati antivirusu, uz upotrebu heuristike (termin heuristika je posebno objanjen).

Antimalware software - softver koji, kao i antivirus, raunar moe odbraniti od razliitog oblika
malware-a. Meutim, od antivirusa se razlikuje po tome to antivirus moe da dezinfikuje
datoteke od file infectora (virusa u pravom smislu rei), dok antimalware to ne radi. Pored
irokog spektra vrsta malware-a koje moe da detektuje (crvi, trojanci, rootkitovi, dialeri,
spyware, adware...), antimalware moe da sreuje i registar (registry bazu), to generalno ne
rade antivirusni programi. U zadnje vreme je tee podvui razlike izmeu ova dva softvera jer
danas veina antivirusnih programa sreuje i registry bazu, te moe detektovati vie tipova
malware-a.

Detekcija odnosi se na trenutak otkrivanja nekog malware-a od strane antivirusnog programa.

Kada se detektuje malware, deava se sledei scenario:
a) za detektovani virus, antivirusni program e pokuati dezinfekciju (da otkloni virus iz
legitimnog programa).
b) detektovani botovi, crvi i trojanci se briu.
c) prilikom detektovanja bota ili crva zaraenog virusom, antivirusni program prvo detektuje
virus (jer je on na poetku datoteke), pa pone dezinfekciju; kada zavri dezinfekciju, antivirusni
program detektuje da je upravo dezinfikovana datoteka takoe tetna (crv ili bot) pa ga obrie.

Softverski omot (softverska koverta, eng. software envelope) - predstavlja sloj (layer) koji paker
kreira oko ciljane datoteke. Kd ovoga sloja predstavlja vrlo vaan deo identifikacije pakera.
Postoje razliite tehnike implementacije omotavanja tako da se malware moe zakamuflirati, jer
se time reava heuristike koja, na taj nain, nee moi da prepozna maliciozan kd:
- EXE Packers: pakeri koji kompresuju izvrnu datoteku i formiraju novu izvrnu datoteku, po
pravilu manje veliine na disku, koja mora sadrati u sebi i deo kda za dekompresiju. Pre

www.MyCity.rs
izvravanja nove izvrne datoteke, dekompresioni kd regenerie originalni kd prvobitne
izvrne datoteke. U veini sluajeva je proces transparentan, tako da se pakovana izvrna
datoteka moe koristiti na isti nain kao njen original. EXE-paker va pakovani program
raspakuje u memoriji, i tamo ga odmah izvri, tj. startuje.
[ dodatno itanje: ovde ]

- EXE Cryptors: paker koji ukljuuje razliite tehnike enkripcije kda odreenog programa, s tim
da se na poetak rezultujue datoteke ugrauje programski deo koji e kriptovani program vratiti
u normalu. Na korisnikovom disku je itljiv samo programski deo za raspakivanje, dok
kriptovani program nije itljiv. Dekripcija programa, i nakon toga pokretanje dekriptovanog
programa se odvija u memoriji.
- EXE Protectors: programi koji imaju sposobnost detektovanja okruenja u kojem se pokree
dekriptor; ukoliko program proceni da su uslovi okruenja nepovoljni (program se pokree u
virtualnoj maini, ili nekom debuggeru, itd.) programi/datoteke se nee dekriptovati.
- Code Obfuscators: pakeri koji koriste tehnike koje kd namerno ine nejasnim i nerazumljivim,
te time oteavaju analizu omotane datoteke odreenim alatima i algoritmima za analiziranje
kda. Tehnike koriste junk code, to jest delove kda koji nemaju neku praktinu svrhu, sem
oamuivanja kda (tj. injenja kda nejasnim) .
- i drugi (Morph Engines, itd)

Packer - softver koji pravi softverski omot (softversku kovertu) oko nekog izvrnog objekta. Na
taj nain menja njegovu prirodnu izvrnu formu, ali zadrava originalnu, prvobitnu
funkcionalnost (dakle, pre omotavanja) u memoriji. Neki od pakera su UPX, Exe32Pack, i drugi.
Datoteke je mogue i viestruko pakovati te se time oteava posao antimalware aplikacijama.
Termin paker se upotrebljava u dva konteksta, u jednom za rezultat kompresor-arhivera, u drugom za EXE-pakere (ili run-time pakere).

[ ! ] Razlikovati ga od SFX.

Binder program koji iz sebe izbacuje neki maliciozan program (svoj tovar), snima ga na disk i
pokree, na nekom operativnom sistemu, s tim da postoji mogunost odabira koji tovar e se
ugraditi u taj program.

Dropper - program koji iz sebe izbacuje neki maliciozan program (svoj tovar), snima ga na disk i
pokree, na nekom operativnom sistemu, s tim da ne postoji mogunost odabira koji tovar e se
ugraditi u taj program, jer se njegov tovar ugrauje u fazi programiranja, tj. pre kompajliranja tog
programa.

www.MyCity.rs

Injector - binder ili dropper koji svoj tovar moe upisati direktno u memoriju i u memoriji ga
vezati za neki pokrenuti legitimni program. Tovar (tj. neki maliciozni program) je najee
sadran u nekom kriptovanom obliku koji antivirusni programi ne prepoznaju.

Joiner je program koji omoguava spajanje malware-a sa nekim legitimnim programom, tako da
e se prilikom pokretanja tog programa paralelno izvriti i legitimni program i njemu pridrueni
malware.

SFX (self extracting archive) raunarska aplikacija koja sadri arhivu kompresovanih
datoteka, kao i deo koji sadri informaciju kako izvui datoteke iz te arhive. Ovaj oblik je
pogodan jer ne zahteva dodatni program za arhiviranje kako bi se izvukle datoteke iz arhive.
[ ! ] SFX treba razlikovati od EXE packer-a. Iako su konceptualno isti baziraju se na
kompresovanju programa/datoteka i dodavanju programa za raspakivanje na poetak rezultujue
datoteke, razlika je u tome to e EXE packer spakovani program raspakovati te odmah izvriti u
memoriji, dok SFX podrazumeva raspakovanje na tvrdi disk.

Dialer - program koji se konektuje na nekog posebnog Internet provajdera koji, po pravilu, ima
visoku cenu pruanja usluge konekcije na Internet. Dialer sam po sebi nije maliciozan, jer
korisnik moe svesno da ga koristi kako bi pristupio vruim razgovorima za odrasle iji
provideri imaju visoke cene minuta razgovora.
Dialeri mogu biti i maliciozni ukoliko su ubaeni na sistem bez znanja korisnika u cilju
pribavljanja finansijskih sredstava tog korisnika kroz nepovoljan Internet provajding. Efekat
tog pribavljanja se ogleda kroz iznos telefonskog rauna korisnika-rtve.

Haker (hacker) - u svom izvornom znaenju opisuje osobu koja se bavi istraivanjem
mogunosti raunara i njihovoj pozitivnoj primeni u svakodnevnom ivotu.
[ dodatno itanje: ovde ]

Razbija ((zabranjeno)er) osoba koja koristi svoje znanje i otkria negativno primenjuje u cilju
nanoenja tete. Imaju dovoljno znanja da samostalno piu malware.

www.MyCity.rs

Lejmer (lamer) osoba koja nema mnogo znanja o raunarima ve koriste ve postojee
produkte razbijaa (trojance, viruse i sl. ) kako bi naneli tetu drugima.

Rescue disk - Live verzija nekog antivirusnog reenja koja je obino zasnovana na Linux
operativnom sistemu; Live verzija znai da prilikom skeniranja nije pokrenut zaraeni operativni
sistem, ve se uitava softver sa CD-a.
[ dodatno itanje: ovde ]

Firewall (vatrozid) - softverski paket ili hardverski ureaj koji kontrolie vanjski pristup
raunaru ili lokalnoj mrei i filtrira mreni saobraaj. Neovlateni pristup raunaru ili mrei se
blokira, a ovlateni odobrava. Mogue je kombinovati hardverski i softverski firewall. esto se
koriste za spreavanje pristupa neovlatenih korisnika sa Interneta ka privatnoj mrei/Intranetu.
Firewall je posrednik svoj komunikaciji izmeu Interneta i Intraneta, gde ispituje strukturu
poruka i blokira one koje ne ispunjavaju definisane kriterijume.
Razlikujemo sledee tehnike firewalla:
- Packet filter: svaki paket se analizira i filtrira (tj. odobrava ili blokira) zavisno od definisanih
pravila korisnika (tj. lokalne politike firme).
- Application gateway: podrazumeva specifine bezbednosne mehanizme za odreene aplikacije
ili servise.
- Circuit-level gateway: podrazumeva primenu bezbednosnih mehanizama prilikom kreiranja
TCP konekcije. Kada se kreira TCP konekcija, razmena paketa se vri bez dodatnih provera.
- Proxy server: podrazumeva presretanje svih poruka koje ulaze ili izlaze iz mree.
Primarna svrha personalnog firewalla je funkcionalnost packet filtera kako bi se kontrolisao
saobraaj koji dolazi na raunar i odlazi sa njega. Firewall ne mora da ima HIPS komponentu.
[ dodatno itanje: ovde ]

Intrusion Prevention Systems (IPS) - mrena bezbednosna reenja koja prate mrene aktivnosti
u cilju detekcije malicioznog ponaanja. Osnovne funkcionalnosti ovih sistema su identifikacija
malicioznog ponaanja, zapisivanje informacija o registrovanom ponaanju, pokuaj blokiranja
ili zaustavljanje malicioznog ponaanja i izvetavanje o ovim aktivnostima.

www.MyCity.rs
IPS se mogu podeliti u sledee 4 kategorije:
- Network-based Intrusion Prevention (NIPS): prati celokupan saobraaj na mrei s cljem
detekcije zlonamernog saobraaja, i to analiziranjem aktivnosti mrenog protokola.
- Wireless Intrusion Prevention Systems (WIPS): slian prethodnom, s tim da je usko vezan za
praenje saobraaja kod beinih mrea i analiziranje beinih protokola.
- Network Behavior Analysis (NBA): specijalizovan za analizu odreenih ponaanja na mrei kao
to su iznenadna optereenja mree i druga, kako bi se otkrio potencijalni napad na mreu
(DDoS, na primer), ali i odreene grupe malicioznih programa.
- Host-based Intrusion Prevention (HIPS): softverski paket instaliran na jedan raunar, koji prati
sumnjive aktivnosti procesa analizirajui dogaaje koji se deavaju na tom raunaru.
Firewall filtriranjem paketa ne moe da utvrdi potencijalne pretnje kao keyloggere niti moe da
sprei ulazak malicioznog softvera. Za ovo je zaduena komponenta HIPS. HIPS prati ponaanje
procesa unutar samog raunara.
Veina modernih firewallova predstavljaju simboizu dvaju komponenti packet filtera (za
kontrolu mrenog saobraaja) i HIPS-a koja je zaduena za detekciju i spreavanje svih vrsta
potencijalnog malicioznog ponaanja na raunaru.
HIPS kontrolie ta neka aplikacija na raunaru sme da radi, a ta ne sme. Prati ponaanje
procesa i spreava potencijalno maliciozne operacije (to je u skladu sa pravilima koje je
korisnik definisao).

Spoof - uopteno, termin se odnosi na tehnike obmane gde se imitira identitet nekog korisnika na
Internetu, softver, hardverski ureaj ili IP adresa, u cilju neovlatenog prolaska kroz odreene
bezbednosne mehanizme.
Razlikujemo sledee kategorije:
- IP spoofing: metod prolaska kroz bezbednosne procedure na mrei imitirajui drugu IP adresu.
Postoje sigurnosni mehanizmi koji nain autentikacije korisnika baziraju na osnovu njegove IP
adrese (ili specifinog opsega IP adresa).
- E-mail address spoofing - odnosi se na lairanje poiljaoca e-mail poruke. Moe se koristiti i za
zaobilaenje spam filtera na klijentu ciljanog raunara. Primaoc ove poruke percepira poruku kao
bezbednu jer mu je adresa poznata.
- Web page spoof - odnosi se na lanu Web stranicu, koja vizuelno izgleda identino kao i
originalna stranica, ali je hostovana na nekom drugom serveru (nevezanom za matine sajtove).
Cilj je da se, na ovaj nain, pribave privatni podaci korisnika (korisniko ime, lozinka ili neki
drugi podaci).

www.MyCity.rs

Phishing - usmerene zlonamerne aktivnosti osobe ili grupe u cilju pribavljanja informacija o
autentikaciji nekog korisnika, upotrebom posebno napravljenih e-mailova ili Web stranica.
Autentikacija korisnika moe biti vezana za banke, kreditne kartice, e-mail naloge, drutvene
mree (myspace, facebook) i drugo.
a) e-mail phishing - ove poruke su dizajnirane tako da zavaraju korisnika kao da su poslate od
sistem administratora ili drugog ovlatenog lica neke kompanije, gde se trae podaci o
autentikaciji ili koje sadre linkove ka lanim stranicama koje slue da prikupe podatke o
autentikaciji korisnika.
b) phishing preko Web stranica - podrazumeva kreiranje lane Web stranice koja je vizuelno
identina sa originalnom. Uneti podaci "upecanih korisnika" na toj stranici se prosleuju dalje
kreatoru lane (fake, spoof)Web stranice. Linkovi kao ovim lanim stranama mogu se proslediti
kroz e-mail poruke, chat aplikacije, forume i druge medijume.
Kako na lak nain utvrditi da li ste meta phishinga? Analizirajte strukturu e-maila ili linkova:
- analizirati e-mail adresu poiljaoca; Da li je njegov provider iz vae firme? Da li je adresa
uopte poznata?
- obratiti panju na nain oslovljavanja; phisihing e-mailovi se mogu slati na hiljade adresa pa se
mora koristiti opti pristup za oslovaljavanje tipa Potovani korisnie/Dear customer i slino. Da
je zahtev zvanian, kompanija/administrator bi vas oslovio po korisnikom (ili punom) imenu.
- obratiti panju na sintaksne/gramatike greke; nije velika mudrost napisati lani e-mail, pa u
velikom broju sluajeva se provuku neke oigledne greke.
- rokovi; phishing mailovi mogu da zahtevaju odgovor u roku od 24 asa ili krae kako bi
izazvali impulsivnu reakciju korisnika.
- analizirajte linkove; primera radi lani (fake) link bi bio http://fakeaddress.com/mycity , stoga
linkove uvek runo ukucavajte sa podacima za koje znate da funkcioniu: www.mycity.rs
- ako i dalje niste sigurni, direktno kontaktirajte kompaniju telefonom da proverite da li postoji
neki problem sa vaim nalogom.
Mogui mamci: istie nalog ili lozinka; nalog je hakovan, nalog je zastareo te ga potrebno
reaktivirati, problemi sa duplim nalogom, te aktivacija novog, i drugi.
Spear phishing - moemo ga definisati kao ciljno orijentisan phishing. "Obini" phishing je
zasnovan na masovnom i neorganizovanom slanju e-mail poruka, dok spear phishing nije
masovan, ve dobro organizovan i usmeren na jednog korisnika ili mali broj ljudi, obino u
jednom preduzeu. Napada se obino predstavlja kao korisnik slube koja ima ovlaenje da
zatrai neke poverljive podatke (IT ili kadrovsko odeljenje). Ovaj sofisticiraniji napad je mnogo
tee otkriti.

www.MyCity.rs

Spam - neeljena e-mail poruka (junk mail). Vie od 99% celokupnog spama dolazi od
inficiranih maina koje su deo botneta. Cilj spama je esto profit - milion elektronskih poruka
moe biti poslato u nekoj kampanji (za neki proizvod i sl. ), praktino bez ikakvog troka. Ako
od tih milion poslatih mailova 10000 korisnika obavi kupovinu, profit je oigledan.
Korisnici koji nemaju neki antispam softver moraju prvo identifikovati da su poruke neeljene te
brisati ove poruke "jednu po jednu", to oduzima dosta vremena. Dalje, panja se odvraa od
bitnih poruka, optereuje se Internet saobraaj korisnika (bandwidth). Online mail servisi obino
imaju integrisan antispam filter.

Digital signature (digitalni potpis) - metod kriptovanja podataka u cilju verifikacije identiteta
njihovog poiljaoca. Digitalni potpisi se esto koriste prilikom distribucije softvera, finansijskih
transakcija i raznim drugim sluajevima gde je bitan identitet poiljaoca kako bi se spreile
potencijalne prevare i druge zlonamerne aktivnosti.
U kontekstu Windowsa, digitalni potpis korisniku, koji instalira neki softver, prua informaciju
da li je taj softverski paket od legitimnog izdavaa (publisher), te mu prua sigurnost da moe
bezbedno instalirati softverski paket.
Administratorska privilegija se zahteva za instalaciju nepotpisanih kernel-mode komponenti. 64bitna verzija Windowsa 7, Viste i Servera 2008 ne dozvoljava instalaciju nepotpisanih drivera
(zahteva se KMCS - Kernel Mode Code Signing) .
Ogranienja postoje i u novim verzijama Internet Explorera - preuzeti instalacioni paketi i SFX
datoteke sa Interneta moraju biti digitalno potpisani kako bi se pokrenuli ili instalirali.

Document malware - odnosi se na maliciozne meta podatke (ugraene skripte u pojedine tipove
dokumenata) ili maliciozni makro sadraj u dokumentima. Makro sadraj je osmiljen da se u
legitimne svrhe izvri automatizacija nekih esto koritenih radnji. Kako se za to osmiljavanje
koristi neki programski jezik, mogue je napisati maliciozan kd. Zlonamerne makro skripte za
Microsoft Office dokumenta pojavila su se 90-ih godina. U zadnje vreme postoje razni oblici
malware-a koji se vezuju za PDF pa i AutoCAD dokumenta.

Cookies (kolaii) - tekstualne datoteke, koje se smetaju na raunar korisnika i omoguavaju

Web sajtovima da pamte odreene informacije (npr. praenje broja poseta, korisniko ime, itd.).
Prilikom sledee posete nekom sajtu, server moe da proita (bez znanja korisnika) podatke
unutar cookie-a, na primer moe prikae korisniko ime, tako da ostaje samo da unesete lozinku.
Cookies ne mogu da otete podatke na raunaru, budui da su tekstualne datoteke, ali mogu da

www.MyCity.rs
narue poverljivost registrovanih podataka. Web sajtovi mogu posetepeno da prave profil
korisnika koji je baziran na ponaanju tih korisnika prilikom pregledavanja Web sajta. Ove
sakupljene informacije kasnije mogu biti podeljene sa drugim Web sajtovima ili ak prodate. Na
kraju, reklamni sadraj na Web sajtu se moe prilagoditi konkretnom profilu korisnika.
Web browseri meu svojim opcijama imaju podeavanja vezana za "kolaie" (ili poseban tzv.
incognito mod surfovanja, kod pojedinih browsera), pa ako korisnik eli ostati anoniman moe
odabrati opciju da se isti ne uvaju (ili ui u incognito nain surfovanja).

Pharming - vrsta napada koja se bazira na kreiranju lanih Web sajtova u cilju pribavljanja
poverljivih informacija o korisniku. Od phishinga se razlikuje po tome to, u ovom sluaju, nema
nikakvog "mamca" u vidu e-mail poruke ili drugo, ve se itav saobraaj usmerava ka lanom
Web sajtu iako korisnik pravilno ukuca ime prvobitnog Web sajta koji eli da poseti. Ovo
usmeravanje saobraaja se moe ostvariti na sledee naine:
a) DNS cache poisoning
Napad na sistem imena na Internetu, koji omoguava korisnicima da unesu ime Web sajta u
razumljivom, simbolikom obliku (npr. www.mycity.rs) a ne u brojanom obliku (192.168.1.1).
Za ovo preslikavanje (simboliko u brojano) zaduen je DNS (Domain Name System) server.
Oigledno, napad (trovanje) se sastoji u promenama ovog preslikavanja adresa, tako da se
prilikom ukucavanja www.mycity.rs sav saobraaj usmerava na neku drugu (malicioznu) adresu
(npr. 78.46.103.200) .
b) promena HOSTS datoteke na raunaru korisnika
Iako je DNS cache poisoning pharming u pravom smislu te rei, jer "farmer" moe da na
globalnom nivou (firme, provajdera) "u jednom prolazu" sakupi veliki niz privatnih informacija
(tj. prinosa sa farme), postoji i lokalni napad, tj. lokalna promena preslikavanja simbolikih u
brojane adrese. Naime, prilikom surfovanja Internetom, Web browser koristi HOSTS datoteku u
kojoj se nalaze informacije o preslikavanju (prvo se pristupi hosts datoteci, pa se tek nakon toga
informacije prosledjuju DNS serveru).
Hosts datoteka je tekstualna datoteka, sledeeg formata:
Kod:
# Ova linija unutar hosts fajla je primer redirekcije facebook-a na malicioznu adresu
78.46.104.123 www.facebook.com

Encryption (kriptovanje podataka ili ifriranje) - proces kojim se vri izmena podataka tako da
se poruka, uini neitljivom za osobe koje ne posjeduju odreeni klju, tj. informaciju za
deifrovanje. Prva poznata metoda ifriranja datira iz vremena rimskog vojskovoe Julije Cezara,
po kojem je i dobila ime, a sastoji se u jednostavnoj supstituciji latininih slova poruke
pomicanjem za odreeni broj mjesta u abecedi. U orginalnoj verziji, pomakom za tri mjesta
unazad, ifra FDHVDU otkriva ime vlasnika Caesar.

www.MyCity.rs

================================================
Uputstvo za itanje poetnicima
================================================
Kao i veinu strunih stvari, renik treba itati iterativno-inkrementalno, tj. moda na "prvu
loptu" svi pojmovi nee biti najjasniji, ali u sledeim iteracijama itanja znanje e inkrementalno
da raste.

----------------------------AMF Tim
-----------------------------