Professional Documents
Culture Documents
3-Lexion - Malware Dhe Back Up-1
3-Lexion - Malware Dhe Back Up-1
Nderhyresit
Hackerat
Kriminelet
parazitike
Programe qe nuk mund te ekzistojne te pavarur.
Pjese e disa aplikacioneve ose programeve te sistemeve
(host) disa shembuj:
Viruse, logic bombs, dhe backdoors
Te pavarur
Programe me “self-contained” qe mund te skedulohen dhe
ekzekutohen nga sistemi operativ, shembuj:
worms dhe bots
Trojan Horse
program i dobishëm që përmban kodin e fshehur; Kur thirret kryen disa funksion të
dëmshme
Mund të instalohet përmes shkarkimit te software, bashkëngjitur me postë
elektronike, faqet e internetit me përmbajtje të ekzekutueshme etj.
Trojan-lloj malware është në rritje, duke zënë një përqindje shumë të lartë të
malware globale.
E-mail Virus:
Viruset
Model virusi
Modelet Antivirus - (1) Zbulimi; (2) Identifikimi (3) Shkarkimi
Software antivirus jane zhvilluar dhe bere me kompleks; dy me te
sofistikuarit jane:
Generic Decryption dhe Digital Immune System
Mbrojtja Malware
Sistemi (DIS)
I zhvilluar nga IBM (i rishikuar nga Symantec) – qellimi pergjithshem
simulimi dhe detektimi i virusit te sistemit
Motivimi: rritja e rreziqeve nga perhapja e viruseve ne Internet
◦ Sisteme te Integruara te “mail systems” (si MS Outlook, Lotus Notes)
◦ Sistemet “Mobile-program” (si Java dhe ActiveX)
2.Enkriptimi i modelit
dhe forward ne VAM
3.Analize i modelit ne
mjedis te sigurte
permes simulimit
5-6.Percillet klientin e
infektuar si dhe PC-te
e tjera ne te njejtin
rrjet
7. Te gjithe klientet
marrin rregullisht
antivirus te
perditesuar
Worms
Shfaq karakteristika të ngjashme si një virus e-mail, por “worm” nuk ka nevojë te
prese për një program dhe nuk është pasiv, ajo në mënyrë aktive kërkon nga shumë
makina të - infektojnë me anë të:
-Postes elektronike: worm kopjon veten tek sistemet e tjera
-Ekzekutimi Remote: Një krimb
-shkrimet për një sistem të largët si përdorues dhe pastaj kopje veten nga një sistem
në tjetrin
Disa krimbat janë përdorur për të krijuar bots (zombies)
Perdorimi i Bots
DDoS (Distributed Denial of Service attacks), spamming, sniffing traffic mbi nje PC te
kompromentuar, keylogging, spreading new malware, manipulating online
polls/games/clicks for ads (cdo bot ka nje adres IP te vecante) , etj.
Kontrolli ne distance
A worm perhapet dhe aktivizohet vete, ndersa nje bot kontrollohet nga nje pajisje
qendrore
Me nje rruge komunikimi te krijuar, moduli I kontrolit mund te aktivizoje bots ne nje “host
PC”
Per nje fleksibilitet me te madh, moduli I kontrollit, mund te instruktoje bots te shkarkoje
Nga nje site ne internet dhe ta ekzekutoje ate. Ky lloj bot mund te perdoret nga lloje te
ndryshme sulmesh.
Ndertimi i rrjetit Attack
3 gjera jane te nevojshme: (1) attack software (2) nje numer I madh PC vulnerable
(3) vendodhja e tyre (skanimi ose fingerprinting).
Skanimi pergjithsisht kryhet ne menyre rekursive.
Strategjite e Skanimit:
Random – kontroll rastesor i adresave IP per vulnerabilitet
Hit list – nje liste e gjate paraprake e kompiluar. Gjeneron me pak trafik ne internet prandaj
e ben me te veshtire detektimin.
Topologjike – perdor informacion qe permban nje makine/pc te infektuar per te gjetur me
shume hoste per te skanuar
Local subnet – nese nje host mund te infektohet pas nje firewall, ky host mund te perdoret
per te infektuar te tjeret mbi te njejtin subnet (te gjitha pas te njejtit firewall).
BOTS
Rootkit
Malware qe konsiston ne nje bashkesi programesh te projektuara per te
marre kontrollin kryesor te nje sistemi kompjuterik dhe fsheh faktin qe
sistemi eshte I kompromentuar
Ne menyre tipike, rootkits veprojne per te fshehur prezencen ne nje
sistem permes evazionit ne mekanizmat e sigurise se OS.
Teknikat e perdorura per te permbushur kete mund te perfshijne proceset
e ekzekutimit te programit te monitorimit, ose fshehjen e fileve ose te
dhenave te sistemit nga OS
Rootkits mund te instalohet gjithashtu si nje "back door" ne nje sistem
duke zevendeduar mekanizmin e login (si /bin/login) me nje te
ekzekutueshem qe qendron ne nje kombinim I perdorur per aksesimin e
sistemit ilegalisht.
Me aksesin ne “root” nje sulmues mund te plotesoje kontrollin ne nje
sistem duke mos bere asgje
Instalimi i Rootkit
Zakonisht ndodh permes nje “Trojan horse”. Nje perdorues eshte i prirur
te ngarkoje nje “Trojan horse” me te cilin instalon dhe rootkit.
Nje mjed tjeter I instalimit te rootkit eshte permes aktivitetit te “hackers”
me te cilin kemi nje proces qe zgjat.
Rootkits
Njihet dhe si “buffer overrun”
host-based IDS
Monitoron karakteristikat e nje single host dhe ngjarjet e ndodhura
brenda ketij hosti per aktivitete te vecanta
network-based IDS
Monitoron trafikun e rrjetit per segmente te vecante te rrjetit ose
pajisje dhe analizon rrjetin, transportin dhe protokollet e aplikuara per te
identifikuar aktivitete te vecanta
Countermeasures
Supozimi: sjellja e nderhyresit ndryshon nga perdoruesi
legjitim.
Por kemi nje mbivendosje. Nje humbje ne interpretimin e
nderhyrjes mund te na coje nje nje “false positive” ; nga
ana tjeter ne nje interpretim te ngushte te “false negative
(shume e rrezikshme!)
Intrusion Detection
Komponentet IDS
User
Sensors Analyzers
interface
enables a user
receive input
responsible for from one or more
collecting data sensors or from To view output
other analyzer from the system
2)Vetem trafiku i
autorizuar, sic percaktohet Tradicionalisht nje firewall eshte
ne politikat lokale te sigurise nje “dedicated computer” qe
do te leojet te kaloje. vepron si nderfaqe me
kompjuterat jashte rrjetit dhe
mbron pjesen sensitive te
3) Firewall eshte i sigurte kompjuterave brenda rrjetit
kunder sulmeve
Aktualisht Firewalls personale ne
PC jane mjaft te perhapur
firewalls
Bazat per shumicen e tipeve te kontrollit te aksesit dhe
pergjegjshmerise
Identifikimi dhe Verifikimi:
prezanton nje identifikim permes nje sistemi te sigurte dhe
informacvion mbi autentifikimin e pergjithshem
Mjetet e autentifikimit
Dicka qe individi njeh– password, PIN, pergjigje per nje grup
pyetjesh
Dicka qe individi posedon – electronic keycards, smart
cards, keys
Dicka qe individi eshte (te dhena statike biometrike)
– fingerprint, retina, face
Dicka qe individi ben (te dhenat dinamike biometrike)
– voice pattern, handwriting, typing rhythm, etj.
Autentifikimi
Passwordet e gjeneruar nga kompjuteri
Perdoruesit kane veshtiresi per t’i kujtuar; kane nevoje ti
shkruajne; kane nje pranim te ulet te tyre
Zgjdhja e passwordit
Implementimi i nje politike sigurie qe specifikon kush ose
cfare mund te kete akses ne cdo burim dhe tipet e
aksesit qe jane te lejuar ne cdo nivel
Access Control
Kontrolli i Akesit Discretionary
access control (DAC)
◦ Bazohet ne kerkesen e ID -
Tradicionale.
Kontrolli i aksesit
Terminologjia e programeve
malware
Terminologjia e programeve malware
Instalimi i Sistemit Operativ:
Initial Setup dhe Patching
Llojin e
Kategorite e Si dhe ku jane
Privilegjet qe informacionit
perdoruesve te caktuar dhe
kane qe mund te
sistemit autentifikohen
aksesojne
Kryerjen
rregullisht te Patching dhe
backup-eve updating te softeve
Recover- kritik
Ne rast Monitorim dhe
kompromentimi Rishikim te
konfigurimit kur eshte e
nevojshme
Monitorimin
dhe analizen e
logeve