Qeverisja dhe auditimi IT

Kontrollet kunder malware dhe back-ups

 Siguria kompjuterike: Mbrojtja e nje sistemi te informacionit me
qellim permbushjen e objektivave /politikave te aplikuara per
sigurimin e integritetit, availability dhe konfidencialitetit te
burimeve te sistemit te informacionit ( hardware, software, firmware,
informacion/data)

 Integriteti - Asetet mund të modifikohet vetem nga pala e

autorizuar

Disponueshmëria - Asetet jane në dispozicion për palët e

autorizuara

 Konfidencialiteti - Kërkon informacion në një sistem kompjuterik të

jetë i arritshëm vetëm nga pala e autorizuar.
Kerkesa shtese:
 Autentifikimi – kerkon qe nje sistem kompjuteri te jete I afte te
verifikoje identitetin e nje perdoruesi
 Accountability – kerkon qe detektimi dhe gjurmimi i nje thyerje te
sigurise te kete nje pale pergjegjese.

Koncepte te Sigurise kompjuterike

Kercenimet dhe Asetet
 Rreziqet e
Aksesit te Softwar
Sistemit Ndërhyrje e te
bien ne dy keqinj
kategori

Kercenimet e Aksesit ne Sistem

 Masquerader Misfeasor Clandestine user

një përdorues një individ që merr

një individ qe nuk legjitim per akses
është i autorizuar kontrollin
të te dhënave,
për të përdorur programeve, apo mbikëqyrës të
PC por depërton burimeve/ sipas sistemit dhe e
kontrollet e percaktimeve nuk përdor këtë
aksesit duke është i autorizuar kontroll për të
shfrytëzuar ne nivele te shmangur të
caktuara, ose që auditimit ose për
llogarinë e
është i autorizuar të penguar
përdoruesit por keqpërdor
legjitim auditimin
privilegjet e tij

Nderhyresit
 Hackerat

 Kriminelet

Menyra te sjelljes se nderhyresit

 5. Visit Web sites that cater to disgruntled employees
6. Perform Large downloads and file copying
7. Access the network during off hours

Menyra te sjelljes se nderhyresit

 Programe qe shfrytezojne dobesi te sistemit kompjuterik
 Te njohura si malware

 Malware ndahen ne dy kategori:

 parazitike
 Programe qe nuk mund te ekzistojne te pavarur.
Pjese e disa aplikacioneve ose programeve te sistemeve
(host) disa shembuj:
 Viruse, logic bombs, dhe backdoors

 Te pavarur
 Programe me “self-contained” qe mund te skedulohen dhe
ekzekutohen nga sistemi operativ, shembuj:
 worms dhe bots

Software te keqinj “Malicious”

Backdoor (Trapdoor)
 Pika e hyrjes në një program lejon dikë që është i vetëdijshëm për dhenien e aksesit
 përdoret nga programuesit për të bere te mundur “debug” dhe testuar programet
duke lënë mënjanë një konfigurim te gjatë / procesin e autentifikimit gjatë zhvillimit
Shmang konfigurimin e nevojshme dhe autentifikimin
Logic Bomb
 Kodi i përfshirë në një program i ligjshëm që është vendosur “to explode", kur
plotësohen disa kushte
Prania ose mungesa e disa fileve, ne ditë të veçanta të javës, ne vecanti ne
ekzekutimin e aplikimeve te perdoruesit
 Një nga llojet më të vjetra të kërcënimeve të programit, i paraprin viruseve dhe
worms

Trojan Horse
 program i dobishëm që përmban kodin e fshehur; Kur thirret kryen disa funksion të
dëmshme
Mund të instalohet përmes shkarkimit te software, bashkëngjitur me postë
elektronike, faqet e internetit me përmbajtje të ekzekutueshme etj.
 Trojan-lloj malware është në rritje, duke zënë një përqindje shumë të lartë të
malware globale.

Software te keqinj “Malicious”

Virus:

Program që mund të "infektojnë" programet e tjera duke

modifikuar ato në një mënyrë të tillë që programi i infektuar
mund të infektojnë programe të tjera

E-mail Virus:

- Aktivizohet kur marrësi hap shtojcë e-mail;

- Dërgon vetë për të gjithë në listën e postimeve të
përdoruesit të infektuar

Viruset
Model virusi
Modelet Antivirus - (1) Zbulimi; (2) Identifikimi (3) Shkarkimi
Software antivirus jane zhvilluar dhe bere me kompleks; dy me te
sofistikuarit jane:
Generic Decryption dhe Digital Immune System

Generic Decryption (GD)

Permban tre pjese kryesore:
• CPU emulator
– Udhëzime në një skedë të ekzekutueshme të interpretuar nga emulatori me shume se procesor në një
mjedis të kontrolluar. Nëse kodi përfshin një dekriptim rutine, ajo interpretohet gjithashtu dhe virusi
është i ekspozuar. Vetë Virus bën dekriptimin për programin antivirus (GD)

• Skanimi (Virus signature scanner)

– Behet Skanimi per viruse te njohura

• Moduli i kontrollit (Emulation control module)

– Kontrollon zbatimin e kodit të synuar. Periodikisht, ajo ndërpret interpretim të skanoni kodin synuar për
nënshkrimet virus

Mbrojtja Malware
 Sistemi (DIS)
 I zhvilluar nga IBM (i rishikuar nga Symantec) – qellimi pergjithshem
simulimi dhe detektimi i virusit te sistemit
 Motivimi: rritja e rreziqeve nga perhapja e viruseve ne Internet
◦ Sisteme te Integruara te “mail systems” (si MS Outlook, Lotus Notes)
◦ Sistemet “Mobile-program” (si Java dhe ActiveX)

1.Cdo PC ekzekuton nje

program monitorimi
per te detektuar
sjellje jo normale

2.Enkriptimi i modelit
dhe forward ne VAM

3.Analize i modelit ne
mjedis te sigurte
permes simulimit

4.PC dergon back ne

Adm.Machine

5-6.Percillet klientin e
infektuar si dhe PC-te
e tjera ne te njejtin
rrjet

7. Te gjithe klientet
marrin rregullisht
antivirus te
perditesuar
Worms
Shfaq karakteristika të ngjashme si një virus e-mail, por “worm” nuk ka nevojë te
prese për një program dhe nuk është pasiv, ajo në mënyrë aktive kërkon nga shumë
makina të - infektojnë me anë të:
-Postes elektronike: worm kopjon veten tek sistemet e tjera
-Ekzekutimi Remote: Një krimb
-shkrimet për një sistem të largët si përdorues dhe pastaj kopje veten nga një sistem
në tjetrin
Disa krimbat janë përdorur për të krijuar bots (zombies)

Bots (Zombie ose drone)

 Programe që fshehtas nga një kompjuter të lidhur ne internet dhe e përdorin atë për
të nisur sulme që janë të vështirë për t’i gjetur krijuesit e bots
duke e cuar në qindra kompjuterë që u përkasin palëve të treta që nuk dyshon dhe
përdoren pastaj për të trullos një faqe synuar Web duke nisur një sulm te madh te
trafikut të internetit
Mbledhja e bots që veprojnë në mënyrë të koordinuar quhet “botnet”

Perdorimi i Bots
 DDoS (Distributed Denial of Service attacks), spamming, sniffing traffic mbi nje PC te
kompromentuar, keylogging, spreading new malware, manipulating online
polls/games/clicks for ads (cdo bot ka nje adres IP te vecante) , etj.

Malicious Software (cont.)

Bots (Zombie ose drone)
 Program qe ne menyre sekrete merr nga nje PC tjeter e lidhur ne Internet dhe e perdor ate
per te filluar sulmin qe eshte I veshtire per te gjetur krijuesin e bots

Kontrolli ne distance
 A worm perhapet dhe aktivizohet vete, ndersa nje bot kontrollohet nga nje pajisje
qendrore
 Me nje rruge komunikimi te krijuar, moduli I kontrolit mund te aktivizoje bots ne nje “host
PC”
 Per nje fleksibilitet me te madh, moduli I kontrollit, mund te instruktoje bots te shkarkoje
 Nga nje site ne internet dhe ta ekzekutoje ate. Ky lloj bot mund te perdoret nga lloje te
ndryshme sulmesh.
Ndertimi i rrjetit Attack
3 gjera jane te nevojshme: (1) attack software (2) nje numer I madh PC vulnerable
(3) vendodhja e tyre (skanimi ose fingerprinting).
Skanimi pergjithsisht kryhet ne menyre rekursive.
Strategjite e Skanimit:
 Random – kontroll rastesor i adresave IP per vulnerabilitet
 Hit list – nje liste e gjate paraprake e kompiluar. Gjeneron me pak trafik ne internet prandaj
e ben me te veshtire detektimin.
 Topologjike – perdor informacion qe permban nje makine/pc te infektuar per te gjetur me
shume hoste per te skanuar
 Local subnet – nese nje host mund te infektohet pas nje firewall, ky host mund te perdoret
per te infektuar te tjeret mbi te njejtin subnet (te gjitha pas te njejtit firewall).

BOTS
Rootkit
 Malware qe konsiston ne nje bashkesi programesh te projektuara per te
marre kontrollin kryesor te nje sistemi kompjuterik dhe fsheh faktin qe
sistemi eshte I kompromentuar
 Ne menyre tipike, rootkits veprojne per te fshehur prezencen ne nje
sistem permes evazionit ne mekanizmat e sigurise se OS.
 Teknikat e perdorura per te permbushur kete mund te perfshijne proceset
e ekzekutimit te programit te monitorimit, ose fshehjen e fileve ose te
dhenave te sistemit nga OS
 Rootkits mund te instalohet gjithashtu si nje "back door" ne nje sistem
duke zevendeduar mekanizmin e login (si /bin/login) me nje te
ekzekutueshem qe qendron ne nje kombinim I perdorur per aksesimin e
sistemit ilegalisht.
 Me aksesin ne “root” nje sulmues mund te plotesoje kontrollin ne nje
sistem duke mos bere asgje
Instalimi i Rootkit
 Zakonisht ndodh permes nje “Trojan horse”. Nje perdorues eshte i prirur
te ngarkoje nje “Trojan horse” me te cilin instalon dhe rootkit.
 Nje mjed tjeter I instalimit te rootkit eshte permes aktivitetit te “hackers”
me te cilin kemi nje proces qe zgjat.

Rootkits
 Njihet dhe si “buffer overrun”

 Perben nje nga rastet me te rrezikshme te sulmeve te

sigurise

 Gjuhet moderne sigurojne kufij te kotrollit ne kohen e

ekzekutimitModern Languages provide bound per te
parandaluar “buffer overflow”.

 Prandaj duhet te kemi sisteme me “robust” kunder te

tilla sulmeve.

Buffer Overflow Attacks

 Nje sistem detektimi i nderhyrjes

 Intrusion Detection System (IDS) eshte nje sherbim sigurie qe
monitoron dhe analizon ngjarjet e sistemeve per qellime te gjetjes
dhe paralajmerimit ne kohe reale te perpjekjeve te aksesit ne
burimet e sistemit ne menyre te paautorizuar

 Intrusion detection systems (IDSs) mund te klasifikohet si:

 host-based IDS
 Monitoron karakteristikat e nje single host dhe ngjarjet e ndodhura
brenda ketij hosti per aktivitete te vecanta

 network-based IDS
 Monitoron trafikun e rrjetit per segmente te vecante te rrjetit ose
pajisje dhe analizon rrjetin, transportin dhe protokollet e aplikuara per te
identifikuar aktivitete te vecanta

Countermeasures
 Supozimi: sjellja e nderhyresit ndryshon nga perdoruesi
legjitim.
 Por kemi nje mbivendosje. Nje humbje ne interpretimin e
nderhyrjes mund te na coje nje nje “false positive” ; nga
ana tjeter ne nje interpretim te ngushte te “false negative
(shume e rrezikshme!)

Intrusion Detection
Komponentet IDS

User
Sensors Analyzers
interface
enables a user
receive input
responsible for from one or more
collecting data sensors or from To view output
other analyzer from the system

the input for a or

sensor may be
responsible for
any part of a
determining if an
system that To control the
intrusion has
could contain behavior of the
occurred
evidence of an system
intrusion
types of input
to a sensor may provide
include network guidance about
packets, log what actions to
files, and take as a result
system call of the intrusion
traces
Objektivat e projektimit:
1) Firewall vepron si nje pike
kontrolli, keshtu qe i gjithe
trafiku hyres dhe trafiku
dales duhet te kaloje
permes firewall
2)Vetem trafiku i
autorizuar, sic percaktohet
ne politikat lokale te sigurise
do te leojet te kaloje.
3) Firewall eshte i sigurte
kunder sulmeve
firewalls
 Mbrojtja efektive ne nje
sistem nga kercecimet e
sigurise bazuar ne rrjet
 duke pasur nje akses te
perballueshem permes
Internet
 Tradicionalisht nje firewall eshte
nje “dedicated computer” qe
vepron si nderfaqe me
kompjuterat jashte rrjetit dhe
mbron pjesen sensitive te
kompjuterave brenda rrjetit
 Aktualisht Firewalls personale ne
PC jane mjaft te perhapur
 Bazat per shumicen e tipeve te kontrollit te aksesit dhe
pergjegjshmerise
Identifikimi dhe Verifikimi:
prezanton nje identifikim permes nje sistemi te sigurte dhe
informacvion mbi autentifikimin e pergjithshem

Mjetet e autentifikimit
 Dicka qe individi njeh– password, PIN, pergjigje per nje grup
pyetjesh
 Dicka qe individi posedon – electronic keycards, smart
cards, keys
 Dicka qe individi eshte (te dhena statike biometrike)
– fingerprint, retina, face
 Dicka qe individi ben (te dhenat dinamike biometrike)
– voice pattern, handwriting, typing rhythm, etj.

Autentifikimi
Passwordet e gjeneruar nga kompjuteri
 Perdoruesit kane veshtiresi per t’i kujtuar; kane nevoje ti
shkruajne; kane nje pranim te ulet te tyre

Passwordet Reactive – strategjia e kontrollit

Sistemi ekzekuton periodikisht passwordin e tij/ gjen

pasworde miqesore, kancelon passworde qe supozohet jane
njoftuar perdoruesit

Kontrolli i paswordit Proactive

Sistemi kontrollon ne kohen e zgjedhjes password nese
eshte I lejuar
Me udhezimin nga sistemi perdoruesit mund te zgjedhin
passworde qe mbahen mend qe veshtire te zbulohen

Mbrojtja e Password permes Salt dhe Hashing

(UNIX/Linux)

Zgjdhja e passwordit
 Implementimi i nje politike sigurie qe specifikon kush ose
cfare mund te kete akses ne cdo burim dhe tipet e
aksesit qe jane te lejuar ne cdo nivel

 Ndermjeteson midis nje perdoruesi dhe burimeve te sistemit

(aplikacionet, OS, firewalls, routers, files, dhe databazat)

 Administratori i sigurise mban autorizimin e databazes qe

specifikon cdo tip aksesi ne te cilin burimet e lejuara per
perdoruesit
◦ Funksioni i kontrollit te aksesit konsultojne kete databaze
per te percaktuar nese eshte dhene aksesi

 Nje funksion auditimi monitoron dhe ruan loget e aksesit te

perdoruesit ne burimet e sistemit

Access Control
 Kontrolli i Akesit Discretionary
access control (DAC)
◦ Bazohet ne kerkesen e ID -
Tradicionale.

 Kontrolli: Mandatory access control

(MAC)
◦ Krahason nivelet e sigurise me
“security clearances” te
perdoruesit.
◦ Perdoru ne ushtri –hierarkike. Ndersa
tek DAC, nje entitet qe “clearance” ne
akses te nje burimi mund te aftesoje
nje entitet te aksesoje ate burim.

 Role-based access control

(RBAC)
◦ Bazohet ne rolet dhe perdoruesit kane
brenda sistemit. Kane rregulla qe
qendrojne per aksesin qe lejohet ne
perdoruesit ne rolet e tyre dhe
perdoret gjeresisht.

Kontrolli i aksesit
Terminologjia e programeve
malware
Terminologjia e programeve malware
Instalimi i Sistemit Operativ:
Initial Setup dhe Patching

Siguria e Sistemit fillon me instalimin e SO

Idealisht sistemet e reja duhet te ndertohen mbi nje

rrjet te mbrojtur

Instalimi fillestar perbehet nga minimumet e

nevojshme per sistemin e deshiruar me paketen
shtese te software qe perfshihen vetem ne se
kerkohen per funksionimin e sistemit

Procesi i përgjithshëm boot gjithashtu duhet të

sigurohet

Kujdesi duhet dhe ne zgjedhjen dhe instalimin e

cdo pajisje shtese e lidhur kjo me ekzekutimin e
privilegjeve ne nivelet e kernel (por qe mund te
jete e ofruar nga plae te treta)
Konfigurimi i Perdoruesve,
Grupeve dhe Autentifikimi
 Procesi i planifikimit te sistemit duhet te konsideroje:

Llojin e
Kategorite e Si dhe ku jane
Privilegjet qe informacionit
perdoruesve te caktuar dhe
kane qe mund te
sistemit autentifikohen
aksesojne

 Kufizimi i privilegjeve vetem tek perdoruesit qe I kerkojne/lejohen

 Ne kete stad cdo llogari e perfshire si pjese e instalimit te sistemit duhet te sigurohet
 Llogarite qe nuk jane me te kerkuara duhet te fshihen te behen disabled
 Llogarite e Sistemit qe menaxhojne sherbimet duhet te vendosen ne ate menyre qe
nuk perdoren per logime “interactive logins”
 Cdo password i instaluar by default duhet te ndryshohet me sigurine e duhur
Konfigurimi i Burimeve te
Kontrollit

 Me percaktimin e perdoruesve dhe grupeve shoqerues te tyre, duhen

percaktohen lejet e duhura mbi burimet dhe te dhenat sipas
politikes se specifikuar;

 Kjo behet për të kufizuar/caktuar se cilet përdorues mund të

ekzekutojë disa programe apo për të kufizuar përdoruesit qe mund
të lexojnë ose të shkruajnë të dhëna

 Ne shume raste kemi percaktimin e listes se rekomanduar te

ndryshimeve me qellim përmirësimin e sigurisë
Instalimi i kontrolleve shtese te sigurise
 Permiresime te metejshme te
sigurise mund te arrihen me
instalimin e
instrumentave/softe shtese te
sigurise si: antivirus
software, host-based
firewall, IDS or IPS
(Intrusion Prevention
System) software.
 Disa mund te jene pjese e
instalimit te sistemeve
operative, por qe nuk jane
konfiguruar ose aktivizuar “by
default”
 Duke pasur parasysh
përhapjen e gjere malware,
eshte e nevojshme “antivirus”
i përshtatshem si një
komponent kritik i sigurisë
 Softet IDS dhe IPS mund të
përfshijnë mekanizma të tjera
të tilla si monitorimi i trafikut
apo integritetin e fotografise,
kontrollin për të identifikuar
dhe madje përgjigjet për disa
lloje të sulmit
Backup i te dhenave dhe Arkivimi

 Kryerja e backup-eve periodike te te dhenave ne nje sistem te

rendesishem dhe kritik

 Percaktimin e politikave te backup-it dhe arkivimit qe ne stadin

e planifikimit te sistemit
◦ Vendimet kryesore:
 Per ruajtjen e kopjeve online apo offline?
 Kopjet do ruhen lokalisht apo transferohen ne nje site
remote

 Arkiva: kopjet e mbajtura ne periudhen kohore (muaj/vite) sipas

kerkesave ligjore, operacionale etj.
Mirembajtja e Sigurise
 Procesi i mirembajtjes
se sigurise perfshin
hapat e meposhtem:
Testimin
rregullisht te
sigurise se
sistemit

Kryerjen
rregullisht te Patching dhe
backup-eve updating te softeve
Recover- kritik
Ne rast Monitorim dhe
kompromentimi Rishikim te
konfigurimit kur eshte e
nevojshme

Monitorimin
dhe analizen e
logeve