Professional Documents
Culture Documents
DIPLOMSKI RAD
Mesto i datum:
Novi Sad, septembar 2019.
Spisak korišćenih skraćenica
1
SADRŽAJ
1. Uvod.............................................................................................................3
1.1 Principi cloud tehnologije....................................................................3
1.2 Servisni modeli cloud-a : SaaS, PaaS, IaaS..........................................5
1.3 Modeli prema klasifikaciji: public, private, community, hybrid........7
2. Tipovi propusta i pretnji cloud sistemima...................................................9
3. Opis osnovnih tipova napada na cloud......................................................13
3.1 DDoS napad.........................................................................................13
3.2 Cloud Malware Injection.....................................................................22
3.3 Side Channel Attacks...........................................................................23
3.4 Tip napada Man-In-The-Middle (MitM).............................................24
3.5 Man-In-The-Cloud napadi (MitC)......................................................24
4. Metodološka zaštita / sprečavanje propusta...............................................26
4.1 Najbolje prakse za minimiziranje zastoja u oblaku.............................27
4.2 Sigurnost i privatnost...........................................................................27
4.3 Neki principi za minimiziranje sigurnosnih rizika..............................28
4.4 Šifrovanje.............................................................................................28
4.5 Ranjivost za napad...............................................................................29
5. Zaštita od namernih napada na cloud........................................................30
6. Perspektive daljeg razvoja zaštite cloud - sistema.....................................33
7. Zaključak...................................................................................................35
Literatura........................................................................................................36
Biografija.......................................................................................................37
Key words documentation.............................................................................39
2
1. Uvod
3
Cloud computing je sveobuhvatno rešenje koje pruža IT uslugu. To je
računarsko rešenje zasnovano na Internetu, gde se obezbeđuju deljeni resursi
poput električne energije distribuirane na električnoj mreži. Računari u
oblaku su konfigurisani da rade zajedno, a različite aplikacije koriste
kolektivnu računarsku snagu kao da rade na jednom sistemu.
4
1.2 Servisni modeli cloud-a : SaaS, PaaS, IaaS
IaaS
Slika 2. IaaS
Ključne karakteristike
PaaS
5
Slika 3. PaaS
Ključne karakteristike
SaaS
Slika 4. SaaS
6
Ključne karakteristike
Public Cloud
Private Cloud
7
U privatnom oblaku organizacije će imati prednosti nad javnim
oblakom jer im on omogućava veću fleksibilnost u kontroli nad oblacima.
Community cloud
Hibridni oblak
8
2. Tipovi propusta i pretnji cloud sistemima
9
Meltdown i Spectre iskorištavaju kritične ranjivosti u savremenim
procesorima. Ove hardverske ranjivosti omogućavaju programima da kradu
podatke koji se trenutno obrađuju na računaru. Iako programima obično nije
dozvoljeno čitanje podataka iz drugih programa, zlonamerni program može
iskoristiti Meltdown i Spectre da bi došao do tajni sačuvanih u memoriji
drugih pokrenutih programa. To može da uključuje privatne i korporativne
lozinke smeštene u menadžeru lozinki ili browser-u, lične fotografije, e-
poruke, pa čak i dokumente koji su kritični za poslovanje.
Meltdown
Spectre
10
Slika 5. Broj incidenata na velikim cloud sistemima tokom 2014. g.[10]
Statistika napada:
1
Phishing elektronska pošta se gotovo ne razlikuje od originalne pošte. Sadrži realne potpise
i kontakt informacije ustanove za koju se lažno predstavlja.
12
3. Opis osnovnih tipova napada na cloud
DDoS napad nije upad u sam sistem, već nastojanje da se izvana učini
cloud sistem neupotrebljivim. Ovaj tip napad baziran na korisničkim
uslugama koje se sasvim legitimne, ali svojom masovnošću remete normalan
rad servera i mreže uopšte. [14]
13
industrije. Kada IoT padne pod kontrolu hakerskog napada to može za kratko
vreme zagušiti sav saobraćaj u cloud okruženju.
14
Slika 7. Mrežni / komunikacioni slojevi
15
Slika 8. Primer napada na nivou aplikacije
HTTP Flood
Napadi protokola
Cilj napada:
16
Slika 9. Napad na bazi protokol sloja
SYN Flood
Volumetric Attacks
Cilj napada:
17
DNS Amplification
18
Pokušaji ublažavanja napada na bazi odbijanja ili ograničavanja
saobraćaja na neselektivan način mogu sprečiti i dobar saobraćaj, a da onaj
loš uopšte ne bude eliminisan.
19
Zaštitni zid web aplikacija (serverski, host ili cloud firewall)
20
Dobar primer primene ove tehnike je Cloudflare implementacija
distribuirane mreže Anycast od 25 Tbps što je za nekoliko redova veličine
veći protok od svakog do sada zabeleženog DDoS napada.
21
napadači koriste lažirane i fiktivne adrese izvornih lokacija da bi žrtvi poslali
velike količine NTP serverskih poruka.
2
Neki aktuelni DDOS napadi su opisani na adresi https://securelist.com/ddos-report-q1-
2019/90792/
22
3.3 Side Channel Attacks
23
Slika 13. Šema MitM napada
24
MitC ne zahteva neki poseban zlonamerni kod u početnoj fazi
„infekcije“, što ga čini veoma teškim za detektovanje i eliminisanje. Dalje,
upotreba dobro poznatih protokola sinhronizacije otežava ili čak potpuno
onemogućava razlikovanje zlonamernog saobraćaja od uobičajenog i
regularnog. Čak i kada se sumnja na ugrožavanje bezbednosti, njihovo
otkrivanje i analiza će biti otežani. U napadima MitC-a, napadač dobija
pristup žrtvinom nalogu bez ugrožavanja korisničkog imena ili lozinke. Kao
što pokazujemo u ovom izveštaju, ovu vrstu ugrožavanja je veoma teško
otkriti (suprotno napadima koji uključuju detektovanje lozinki). Kao posebno
značajno ističe se da oporavak napadnutog naloga od ove vrste ugrožavanja
nije uvek izvodljiv
25
pristup nalogu čak i nakon što korisnici promene lozinku. Na primer, u
slučaju Dropbox-a, tokeni se ne osvežavaju ili opozivaju čak i ako se
promeni lozinka. Google Drive je bezbedniji jer promena lozinke vrši opoziv
za sve tokene i zahteva od korisnika da ponove proveru autentičnosi svakog
uređaja upotrebom korisnikovih kredencijala. [21]
26
4.1 Najbolje prakse za minimiziranje zastoja u oblaku
27
Iako su nedavna kršenja podataka o kreditnim karticama i
akreditivima za prijavu korisnika još uvijek sveži u javnosti, preduzeti su
koraci da se osigura sigurnost podataka.
4.4 Šifrovanje
28
4.5 Ranjivost za napad
29
5. Zaštita od namernih napada na cloud
Razdvajanje korisnika:
Operativna sigurnost:
30
Bezbednost osoblja:
Siguran razvoj:
Identitet i autentifikacija:
31
Sigurna administracija usluga
32
6. Perspektive daljeg razvoja zaštite cloud - sistema
Povećana automatizacija
33
Pojedini eksperti predviđaju skoro uspostavljanje globalnog sistema
nadgledanja pretnji koristeći povezane podatke i programe korporacija i
korisnika širom sveta. Ova vrsta podataka omogućila bi stvaranje
sofisticiranih sistema predviđanja pretnji.
34
7. Zaključak
35
Literatura
1. J.W. Rittinghouse, J.F Ransomeloud, Computing Implementation,
Management and Security,CRC Press, New york, 2010
2. S.Jajodia,K.Kant,P.Samarati,A.Singhal,V.Swarup,C.Wang, Secure Cloud
Computing, Springer, Berlin,2014
3. Meltdownattack, “meltown”, www.meltdownattack.com
4. Gdatasoftware,“spectre,meltownd”, www.gdatasoftware.com
5. US-cert, “NTP-amplification” www.us-cert.gov
6. Developer, “Cloud intro”, www.developer.ibm.com
7. Quora, “public,hybrid, community,private cloud”, www.quora.com
8. Incapsula, “Cloud security concern”, www.incapsula.com
9. Eforensicmag, “Cyber Security statistic”, www.eforensicsmag.com
10. Academia, “Attacks in cloud” , www.academia.edu
11. Insights, “Risk, threats” , www.Insights.sei.cmu.edu
12. Wikipedia, “Denial-of service_attack”, www.en.wikipedia.org
13. Github, “Ddos incident report”, www.github.blog
14. CloudFlare, “DDos attack” , www.cloudflare.com
15. Wikipedia, “Osi model” www.en.wikipedia.org
16. Instart, “ddos attacks”, www.instart.com
17. Wired, “Github ddos memcached”, www.wired.com
18. Ijircce, “Cloud malware injection”, www.ijircce.com
19. Sciencedirect “Side channel attack”, www.sciencedirect.com
20. Imperva, “man in the middle attack”, www.imperva.com
21. Rapid7, “Man in the middle attack”, www.rapid7.com
22. Zdnet, “hammertoss, github”, www.zdnet.com
23. Symantec, “Cloud security threat”, www.symantec.com
24. Nova context, “saas security best practices” , www.novacontext.com
25. Nexor, “Cloud security principles”, www.nexor.com
26. Linktek, “Cloud threats” , www.linktek.com
27. Blackstratus, “future of cloud”, www.blackstratus.com
36
Biografija
37
Ključna dokumentacijska informacija
Redni broj, RBR:
Identifikacioni broj, IBR:
Tip dokumentacije, TD: monografska publikacija
Tip zapisa, TZ: tekstualni štampani dokument/CD
Vrsta rada, VR: Završni-bachelor rad
Autor, AU: Luka Bosanac
Mentor, MN: Prof. Dr Imre Lendak
Naslov rada, NR: Najčešći napadi u cloud sistemu
Jezik publikacije, JP: srpski
Jezik izvoda, JI: srpski / engleski
Zemlja publikovanja, ZP: Srbija
Uže geografsko područje, Vojvodina
UGP:
Godina, GO: 2008
Izdavač, IZ: autorski reprint
Mesto i adresa, MA: Novi Sad, Fakultet tehničkih nauka,
Trg Dositeja Obradovića 6
Fizički opis rada, FO: br. poglavlja / stranica / citata / tabela / slika /
grafikona / priloga
Naučna oblast, NO: Elektrotehničko i računarsko inženjerstvo
Naučna disciplina, ND: Primenjene računarske nauke i informatika
Predmetna odrednica /
ključne reči, PO:
UDK
Čuva se, ČU: Biblioteka Fakulteta tehničkih nauka, Trg Dositeja
Obradovića 6, Novi Sad
Važna napomena, VN:
Izvod, IZ: rezime rada u nekoliko rečenica
38
Key words documentation
Accession number, ANO:
Identification number, INO:
Document type, DT: monographic publication
Type of record, TR: textual material
Contents code, CC: MSc thesis
Author, AU: Luka Bosanac
Mentor, MN: Prof. Dr Imre Lendak
Title, TI: Well known attacks in cloud based systems
Language of text, LT: serbian
Language of abstract, LA: serbian / english
Country of publication, CP: Serbia
Locality of publication, LP: Vojvodina
Publication year, PY: 2008
Publisher, PB: author’s reprint
Publication place, PP: Novi Sad, Faculty of Technical Sciences,
Trg Dositeja Obradovića 6
Physical description, PD: br. poglavlja / stranica / citata / tabela / slika /
grafikona / priloga
Scientific field, SF: Computer science
Scientific discipline, ND: Net-centric computing
Subject / Keywords, S/KW:
UDC
Holding data, HD: Library of the Faculty of Technical Sciences,
Trg Dositeja Obradovića 6, Novi Sad
Note, N:
Abstract, AB: prevod izvoda na srpskom jeziku
39