Bezbednost računarskih

sistema i mreža
Velimir Radlovački
velimir.radlovacki@teslavs.edu.rs

Agenda

• Istorijat [ne]sigurnosti računarskih sistema
• Ko danas ugrožava bezbednost računarskih sistema?
• Važne napomene!
• Metodologija napada
Ko, zašto, kako?

Istorijat [ne]sigurnosti računarskih mreža

Istorijat / kontroverzni pojam haker
• 1946, MIT, The Tech Model Railroad Club: Haker
je student koji izrađuje makete vozova i tehnički
ih osavremenjuje i unapređuje.

• Pre 40 godina: Haker suštinski razume kako
funkcionišu računari sistemi i računarske;
Haker je programer koji uživa u u intelektualnim
izazovima rešavanja problema i prevazilaženja ili
zaobilaženja ograničenja.

• Danas: Haker neovlašćeno pristupa računarskim
sistemima; ima anti-autoritarni pristup razvoju i
korišćenju softvera; inovativno koristi/modifikuje
hardver računarskih sistema.

MIT: prvi dokumentovan sigurnosni propust. • 1971. BBN Technologies: Bob Thomas napravio je prvi računarski virus Creeper kako bi testirao Von Nojmanovu teoriju samo- reproduktivnih automata. • Kasnije je napravljen Reaper koji briše virus Creeper. godinu dana kasnije virus Animal itd. . • 1974: nastao je virus Rabbit.Istorijat / sigurnosni propusti i malver • 1965.

• 1971 časopis Esquire: članak „Secrets of the Little Blue Box“ opisuje alat za neovlašćeno korišćenje javne telefonske mreže (besplatno telefoniranje). • Steve Wozniak i Steve Jobs. a osoba koja se time bavila phreaker (phone-freak).Istorijat / telekomunikacioni sistemi • Eksperimentisanje. eksploatacija i neovlašćeno korišćenje telekomunikacionih sistemima (javnih telefonskih mreža) nazvano je phreaking. osnivači kompanije Apple. pravili su i prodavali „Plave kutije“ u toku studiranja! .

Istorijat / uticaj medija • WarGames. • Neobaveštenost. iz svoje sobe mogu da lansiraju nuklearne projektile. . paranoja: hakeri. • Profesori računarstva u svojim predavanjima počinju da koriste izraz haker u negativnom kontekstu. • Američki kongres počinje sa saslušanjima na temu narušavanja sigurnosti računarskih sistema i mreža. 1983: prvi igrani film koji upoznaje širu javnost sa fenomenom hakera. tinejdžeri sa računarom i modemom. hladni rat.

• Agencija DARPA osniva CERT (Computer Emergency Response Team). • Osnovani su hakerski časopisi 2600 i Phrack i održan je Chaos Communication hakerski kongres u Nemačkoj. . • Pojavom IBM PC. Cult of the Dead Cow i dr. pojavio se i prvi virus za MS-DOS pod nazivom Brain. Masters of Deception. • FBI i tajna služba istražuju računarski kriminal. Legion of Doom. Malver je počeo da se širi u velikim razmerama. Istorijat / osamdesete • Osnovane su hakerske grupe Chaos Computer Club.

Ko danas ugrožava sigurnost računarskih mreža? .

Napadači / klasifikacija • Pojedinci: • White Hat (Ethical) Hackers • Gray Hat Hackers • Black Hat Hackers • Script Kiddies • Grupe: • Haktivisti • Organizovane kriminalne grupe • Državne službe .

• Ispitivanje podrazumeva aktivno testiranje sistema u cilju otkrivanja ranjivosti koje mogu biti posledica neodgovarajuće konfiguracije. • Potpisuju ugovor sa klijentom u kome je preciziran plan ispitivanja. • U izveštaju predstavljaju se: otkriveni sigurnostni propusti (rešenja za otklanjanje) i procena rizika (predlozi za smanjenje). .Napadači / White Hat (Ethical) Hackers • Profesionalci koji koriste alate i metodologiju specifičnu malicioznim hakerima sa ciljem ispitivanja mogućnosti proboja sistema klijenta. grešaka ili operativnih slabosti.

The International Information Systems Security Certification Consortium Global Information Assurance Certification . od IT profesionalaca sve češće se zahtevaju i dodatni sertifikati iz oblasti sigurnosti.Napadači / White Hat (Ethical) Hackers • Pored formalnog obrazovanja.

. Napadači / Gray Hat Hackers • Koriste alate i metodologiju ispitivanja mogućnosti proboja sistema specifičnu malicioznim hakerima. ali bez dozvole! • Otkrivene sigurnosne propuste obično prijavljuju vendorima kako bi ih ovi otklonili – ne koriste ih u maliciozne svrhe.

.Napadači / Black Hat Hackers • Ugrožavaju sigurnost sistema sa ciljem neovlašćenog pristupa. pribavljanja materijalne koristi i dr. • Krše pravila računarske etike i zakone koji se tiču računarskog kriminala. krađe informacija. nanošenja štete.

Napadači / Script Kiddies (Skiddies) • Izvršavaju napade koristeći tuđe alate. bez razumevanja procesa koji se dešava u pozadini. • Izraz se koristi kao uvreda za početnike odnosno osobe koje nemaju dovoljno znanja o računarskim sistemima i mrežama i ne znaju da programiraju. .

ideološka. • Neovlašćeno menjaju sadržaje web sajtova (defacement) ili ih obaraju. Objavljuju tajne/poverljive/personalne informacije.DoS).najčešće napadima odbijanja usluga (Denial of Service . . religijska i politička pitanja sprovode napadima na računarske sisteme i mreže .Napadači / Hacktivists • Borbu za socijalna.

ch. 2008. 1605. Anonymous kolektiv napadaju Sony i ruše Sony PlayStation Network. 2011.Napadači / Hacktivists • Nov. • Dec. Hakerska grupa Zippies pokrenula DDoS napad na vladu Velike Britanije (zbog noći Guy Fawkes-a Nov. MasterCard. zbog tužbe kompanije Sony protiv hakera „Geohotz-a“. Slede DDoS napadi korisnika 4chan. • Apr. Video Toma Kruza u crkvi „naukologije“ (Church of Scientology). • Sep.org]. Crkva “skida” video sa YouTube na osnovu povrede autorskih prava. gde su svi korisnici anonimni (anonymous).com jer su uskratili finansiranje WikiLeaksa. Christopher Poole (moot) registovano je portal 4chan. • Jan. Formira se grupa LulzSec od Anonymous članova koja hara godinu dana Internetom… .com i Visa. PayPal. 1994.net [danas 4chan.com. 2010. 2003.). Anonymous kolektiv napadaju postFinance.

iznude. krađa korisničkih informacija. ilegalna trgovina. • Globalni gubici od cyber kriminala procenjeni su na ≈ 500 milijardi dolara u 2014. • Bankarske prevare.Napadači / organizovane kriminalne grupe • Vrše kriminalne aktivnosti ugrožavajući sigurnost računarskih sistema i mreža sa ciljem ostvarivanja materijalne koristi. godini! . industrijska špijunaža i dr. krađa identiteta.

inficiranje malverom. sabotaže. napadi. • Izvode ih druge veće organizacije ili države koje imaju motiv i sredstva. nadzor. neovlašćen pristup.Napadači / državne službe • Napredne trajne pretnje (Advanced Persistent Threat – APT) • Skup sofisticiranih procesa koji ugrožavaju sigurnost računarskih sistema i mreža usmerenih ka nekoj većoj organizaciji ili državi. • Špijunaža. .

GOP) zbog sadržaja filma The Interview.000 Gmail korisnika u Iranu. • Novembar 2014: SONY Pictures hakovan od strane severno korejanskih hakera (Guardians of Peace .Napadači / državne službe • Septembar 2011: DigiNotar Certificate Authority u Holandiji hakovani od strane Iranskih hakera – mete su 300. Film nije dospeo u bioskope zbog pretnji o daljim napadima! .

• Meta: Windows + Step7 i WinCC + Siemens S7 PLC + precizno definisana konfiguracija = uništene centrifuge za obogaćivanje uranijuma u nuklearnom postrojenju Natanz u Iranu.Napadači / državne službe • Jun 2010: Otkriven crv Stuxnet koji napada PLC/SCADA kontrolere. .

VAŽNE NAPOMENE !!! .

provajdere internet usluga i/ili organe zakona.Napomene / VEOMA VAŽNO! • Nemojte „vežbati“ na internetu ili na tuđim resursima – napravite svoj lab. • Svaki napad ili skeniranje resursa na internetu ili tuđih resursa može alarmirati vlasnike resursa. . Softverske alate koje ćete videti u ovoj prezentaciji koristite oprezno – izolujte mrežne segmente i ne povezujte ih na internet.

org • Operativni sistemi • Kali Linux www.vmware.com/en-us/evalcenter/ .virtualbox.microsoft.com • Oracle VirtualBox www.Napomene / Lab Setup • Hipervizori • Microsoft Hyper-V • VMware Workstation www.org • Ostale Linux distribucije distrowatch.com • Windows (TechNet Evaluation Center) www.kali.

Metodologija napada .

Metodologija napada / faze napada 1. Održavanje pristupa Maintaining Access 5. Izviđanje Reconnaissance 2. Dobijanje pristupa Gaining Access 4. Prikrivanje tragova Covering Tracks . Skeniranje Scanning 3.

net • Socijalni inženjering: psihološka manipulaciju ljudima u cilju otkrivanja informacija: • pretexting. online imenika.rs • Pretrage registara domena i sličnih zapisa: • whois. iana.Metodologija napada / izviđanje • Pretrage weba. ripe. socijalnih mreža. shoulder surfing • Literatura na srpskom: Kevin Mitnik . phishing. baiting. registara preduzeća: • Google/Bing.Umetnost obmane i Umeće provale . robtex. quid pro quo. 11811.org. Facebook/LinkedIn . apr.com.com.gov.rs. shodanhq.

Metodologija napada / izviđanje • Odbrana je nemoguća u ovoj fazi jer informacije o meti (zaposlenima. poslovanju kompanije i klijentima. • Izbegavati nepotrebnu publikaciju imena. kompaniji. • Sakriti podatke o registrantima domena web sajta kompanije – postaviti generičke podatke. poslovanju) uvek dospeju na Internet. pozicija. . klijentima. email adresa. • Moguće je primeniti mere predostrožnosti edukacijom zaposlenih. podataka o kompaniji. personalnih podataka.

Traženje „živih“ sistema na mreži Traženje aktivnih portova Identifikacija servisa Identifikacija operativnih sistema i softvera Traženje sigurnosnih propusta .Metodologija napada / skeniranje • Kada napadač sakupi relevantne informacije o meti. započinje sa fazorm perifernog i internog skeniranja svih IKT resursa mete.

• Isključiti sve nepotrebne portove i servise • Redovno ažurirati operativni sistem i aplikacije sigurnosnim zakrpama. • Koristiti enkripciju na komunikacionim vezama .IPS). Firewall • Redovno ažurirati firmver (naročito u mrežnih uređajima).IDS). Google Chrome. Oracle Java Runtime Environment • Anti-malware software. Mozilla Firefox • Browser Add-ons: Adobe Flash Player.Metodologija napada / skeniranje • Skeniranje je moguće detektovati pomoću sistema za otkrivanje upada (Intrusion Detection System . • Windows Update (Important/Recommended/Optional) • Internet Browsers: Internet Explorer. odnosno sistema za prevenciju upada (Intrusion prevention system .

• Vrši se u cilju krađe. • Moguće aktivnosti napadača u ovoj fazi su: • Razbijanje lozinki • Reverzni inženjering • Eksploatacija sigurnosnih propusta sistema • Eksploatacija sigurnosnih propusta na webu • Napadi na bežične mreže i klijente … . izmene informacija. korišćenja resursa za druge napade ili radi korišćenja samih resursa u neke druge svrhe. uništavanja informacija.Metodologija napada / dobijanje pristupa • Dobijanje pristupa resursima mete je najvažnija i najkomplikovanija faza.

. word lists. • Brute-force razbijanje podrazumeva pokušaj dobijanja lozinke korišćenjem svih kombinacija karaktera prema zadatim kriterijumima. pattern checking smanjuju broj pokušaja. sužavajući izbor mogućih lozinki. • Dictionary attack.Metodologija napada / dobijanje pristupa • Razbijanje lozinki je proces dobijanja lozinki pomoću podataka uskladištenih u sistemu ili transmitovanih od strane sistema.

Metodologija napada / dobijanje pristupa • Reverzni inženjering predstavlja proces dobijanja informacija iz zatvorenih sistema koje je stvorio čovek (npr. • Razlozi i ciljevi za dobijanje takvih informacija mogu biti različiti: • reverzni inženjering malvera radi kreiranja zaštite • reverzni inženjering softvera radi razbijanja zaštite • reverzni inženjering firmvera uređaja radi otkrivanja sigurnosnih propusta ili razbijanja zaštite ili kreiranja kopije uređaja ili … .exe programa). dobijanje izvornog kôda programa iz izvršnog .

exploits.Metodologija napada / dobijanje pristupa • Eksploatacija sigurnosnih propusta sistema obično podrazumeva analizu i/ili remećenja mrežnog saobraćaja. razbijanje zaštite i upade itd. . • Često se koriste specijalizovana radna okruženja i gotove skripte. engl. u kojima su predefinisani sigurnosni propusti sistema. napade na mrežne resurse. Sigurnosni propusti koji su poznati samo napadaču nazivaju se 0-day exploits.

promeni sadržaj web stranice. neovlašćeno redirektuje korisnika itd. Metodologija napada / dobijanje pristupa • Sigurnosni propusti na webu koje napadači najčešće eksploatišu jesu SQL injection i cross site scripting (XSS) propusti. ukrade korisničku sesiju. LOGIN query = "SELECT * FROM Users WHERE user_id='' OR 1=1. . • XSS propusti obično se nalaze u web aplikacijama i omogućavajući napadaču da izvrši maliciozni kôd. /* AND password='*/--'". • SQL injection propusti omogućavaju napadaču da neautorizovano izvršava upite/komande na udaljenom računaru (web serveru). /* Password: */-. Username:arhimedes Password: Arhimed2015 LOGIN query = "SELECT * FROM Users WHERE user_id='arhimedes' AND password='Arhimed2015'". Username:' OR 1=1.

cowpatty itd. bolja zaštita (WPA/WPA2. bully.Metodologija napada / dobijanje pristupa • Napadi na bežične mreže i klijente • Medijum za prenos i paketi podataka javno su dostupni (vazduh/radio talasi) • Zastarele loše metode zaštite (skriveni SSID. WEP). TKIP/AES) • Softver za razbijanje zaštite: aircrack-ng. • Postavljanje lažnih pristupnih tačaka • WiFi Pineapple . kismet. MAC filteri.

dovoljno dugo da može da se realizuje cilj napada. • Održavanje pristupa realizuje se implementacijom backdoor-a na računarskim sistemima žrtve. sledeći korak je održavanje pristupa. • Backdoor malver • Rootkits. koji omogućavaju napadaču udaljeni pristup zaobilazeći proces autentifikacije i detekcije. trojan horses • Softver za udaljeni pristup • Tunneling .Metodologija napada / održavanje pristupa • Nakon dobijanja pristupa.

• Detekcija i prevencija nepoznatih mrežnih sesija. • Detekcija i prevencija mrežnih sesija sa velikim protokom.Metodologija napada / održavanje pristupa Odbrana u ovoj fazi podrazumeva sledeće: • Filtriranje prenosa fajlova. • Detekcija i prevencija čudnih događaja na serveru. • Dobra firewall konfiguracija i korišćenje IDS/IPS rešenja. • Detekcija i prevencija sesija za daljinski pristup (Telnet. Remote Desktop). mreži i mrežnim uređajima itd. • Detekcija i prevencija konekcija na neuobičajenim TCP/UDP portovima. .

• Log fajlovi prikazuju svaku neuspešnu ili uspešnu prijavu na sistem kao i druge događaje vezan za sigurnost sistema. History fajlovi prikazuju istorijat izvšavanja komandi ili kretanja kroz sistem. forenzičara ili organa zakona.Metodologija napada / prikrivanje tragova • Nakon realizacije cilja napada. . napadač prikriva tragove napada kako bi sakrio svoj identitet i lokaciju od sistem administratora. Njihovo uništavanje predstavlja završnu fazu napada.

• Brisanje Application logova događaja C:\wevtutil cl Application • Brisanje Security logova događaja C:\wevtutil cl Security • Brisanje Setup logova događaja C:\wevtutil cl Setup • Brisanje System logova događaja C:\wevtutil cl System . servisa i bezbednosti. Metodologija napada / prikrivanje tragova • Windows Event Viewer prikazuje logove događaja u vezi grešaka u radu sistema. aplikacija.

bash_history • Uništavanje istorije: shred -zu root/. Logovi se mogu editovati ili obrisati. Metodologija napada / prikrivanje tragova • Linux čuva logove u tekstualnim fajlovima u direktorijumu /var/log. • Prikaz istorije izvršenih komandi: more ~/.bash_history .

. • Bitne logove automatski prosleđivati elektronskom poštom i/ili ih automatski kopirati na nezavisnu lokaciju. • Relocirati bitne logove sa podrazumevanih lokacija.Metodologija napada / prikrivanje tragova • Voditi računa o konfiguraciji korisničkih grupa i privilegija. elektronska pošta…). • Koristiti IDS/IPS rešenja i automatski alarmirati administratora na kritične događaje (SMS poruka.

3. Testiranje sigurnosti računarskih sistema i mreža metodama i alatima specifičnim malicioznim napadačima znatno smanjuju sigurnosne rizike. Procesu testiranja sigurnosti računarskih sistema i mreža pomenutim metodama i alatima pristupa se krajnje odgovorno i oprezno! . U ICT svetu ne postoji potpuno siguran sistem. Iluzija o potpunoj sigurnosti ima kontra-efekat. 4. ali je jednako bitan i ljudski faktor. 2.Zaključak 1. Tehnički aspekt sigurnosti jeste bitan. kao i edukacija radi povećanja svesti o sigurnosti.

radlovacki@teslavs.rs .Hvala Vam na pažnji! Pitanja??? Velimir Radlovački velimir.edu.