VIII Međunarodna konferencija E-trgovina 2008 Srbija, Palić, 16.-18. april 2008.
Sigurnost kompjuterskih sistema
Dušanka Lečić i Ivana Berković VIII Međunarodna konferencija E-trgovina 2008 Srbija, Palić, 16.-18. april 2008. Sigurnosni modeli. Prvi model je model koji pokazuje Sadržaj - U ovom radu govoriću o kompjuterskoj protok informacija između dva učesnika preko nesigurnog sigurnosti, modelima kompjuterske sigurnosti, a pokušaću da komunikacionog kanala uz prisustvo potencijalnih dokažem koliko su Internet kao najveći distribuirani sistem, napadača, dok se drugi model odnosi na kontrolisani bankovni distribuirani sistemi i drugi kompjuterski sistemi zapravo nesigurni. pristup podacima uz prisustvo potencijalnih napadača. Ovde postoji zaštitni mehanizam, koji kontroliše pristup Ključne reči - sigurnost, napadi, tehnike kreiranja sigurnih sistemu spolja. sistema III. NAPADI
I. UVOD Postoje tri aspekta sigurnosti informacija i to su: napad
na sigurnost (bilo kakva akcija koja ugrožava sigurnost D ANAS se u svetu ulažu bilionske cifre u sigurnost sistema), sigurnosni mehanizam (mehanizam koji treba da detektuje i predupredi napad ili da oporavi sistem od kompjuterskih sistema sve u cilju poboljšavanja i napada) i sigurnosna usluga (usluga koja povećava održavanja sigurnosnih sistema. Kompjuterska sigurnost je sigurnost za obradu i prenos podataka). oblast informatike koja se bavi kontrolom rizika koji su u vezi sa korišćenjem računara. Od samog početka, pa do Napadi su akcije, koje su usmerene na ugrožavanje danas, kompjuterska sigurnost se svodi na kreiranje sigurnosti informacija, računarskih sistema i mreža. sigurnosnih sistema u kojima će agenti biti u mogućnosti Postoji nekoliko vrsta napada: da koriste one aplikacije za čiju upotrebu imaju pravo. - presecanje - napad gde se prekida tok informacija i Kompjuterska sigurnost se može posmatrati iz više nivoa: onemogućava pružanje usluge, što ovaj napad čini fizička sigurnost, sigurnost softvera i podataka. aktivnim; Osnovni cilj svih distribuiranih sistema jeste rešavanje - presretanje - napad koji je zapravo napad na poverljivost, jednog velikog problema segmentiranjem istog i odnosno prisluškivanje saobraćaja. Kako je napad pasivan distribuiranim procesiranjem problema. Postoje pet teže se otkriva. modela distribuiranih sistema: Client – server, three-tier, - izmena - napa na integritet, koji se može obaviti unutar n-tier, tighly coupled, peer to peer. Glavna osobenost ovih računarskog sistema. Napad je aktivan. sistema je otvorenost u smislu lagane proširivosti. Druga - fabrikovanje - napad na autentičnost, na taj način što se važna osobina jeste skalabilnost. generišu lažni podaci. Napad je takođe aktivan. Osnovni koraci napadačeve metodologije su: ispitaj i II. POJAM SIGURNOSTI proceni (istraživanje potencijalne mete, procena Sigurnost je proces održavanja prihvatljivog rizika. To karakteristika, plan za početni napad), eksploatiši i prodri je proces, a ne završeno stanje. Osnovni postulati o (napadač najlakše ulazi u sistem kroz ulaznu tačku koju sigurnosti su: koristi i korisnik), povećaj privilegije (kada uđe u sistem - sigurnost ima četiri koraka: procena ( tehnička procena povećava svoja prava), održi pristup (prekriva tragove i stanja sigurnosti ), zaštita ( primena protivmera ), bira što lakši put za sledeći ulazak), odbij uslugu (ako ne otkrivanje ( identifikacija upada, povreda sigurnosti ), može da uđe u sistem napraviće oštećenja kako ni drugi ne odgovor ( proces oporavka od upada ). bi ulazili). Sigurnosni ciljevi. Poverljivost - pokušaj da se spreči otkrivanje poruka. Celovitost obezbeđuje da podatke ne može bilo kod da menja, da ovlašćena lica ne mogu obavljati ne ovlašćene promene, da su podaci konsistentni. Raspoloživost obezbeđuje da odgovarajuće osoblje može da pristupi podacima. Slojevita zaštita. Slojevita zaštita se zasniva na formiranju zaštitnih slojeva. Može se predstaviti pomoću Slika 3. Osnovni koraci metodologije napada prstena, gde je spoljašnji sloj granica između sistema i spoljašnjeg sveta (Internet). IV. TEHNIKE KREIRANJA SIGURNIH SISTEMA D. Lečić, Bio-ekološki centar, Petra Drapšina 15, Zrenjanin, Srbija (telefon: 061/15-777-02; e-mail: lecicd@sbb.co.yu). Tehnike kreiranja sigurnih sistema su: I.Berković, Tehnički fakultet "Mihajlo Pupin", Đure Đakovića bb, - Kriptografske tehnike za zaštitu podataka - kriptografija Zrenjanin, Srbija (telefon: 023/550-515; e-mail: berkovic@tf.zr.ac.yu). je nauka koja se bavi kriptografskim algoritmima i sistemima šifrovanja i dešifrovanja podataka. Sem Naredni sloj štiti sistem u kome je infrastruktura javnih kriptografskih tehnika možemo govoriti i o ključeva, virtuelne privatne mreže i mrežne barijere. steganografskim metodama. Steganografija je posebna Sledeći sloj koristi mehanizme, koji su na radnim oblast kriptografije koja se bavi prikrivanjem podataka u stanicama na nivou operativnog sistema i unutrašnji sloj slikama, audio fajlovima itd. štiti same informacije, koje se čuvaju u sistemu. - Sistemi za autentifikaciju - gde govorimo o sistemima za autentifikaciju otiskom prsta, sistemi prepoznavanja glasa, VIII Međunarodna konferencija E-trgovina 2008 Srbija, Palić, 16.-18. april 2008. skeniranja očne rožnjače i slično. Takođe postoje i kartice korisnicima, a uticajući na korisnika direktno se utiče na za autentifikaciju koje omogućavaju različite nivoe priliv novca u provajder. fizičkog pristupa prostorijama, računarima itd. - Intrusion Detection Systems – sistemi za detekciju - BackUP sistemi - u zavisnosti od važnosti, količine korisnika koji su na mreži, a ne bi trebali biti ili rade ono podataka kao i tipa kompjuterskog sistema s vremena na što ne bi trebali. (npr. korisnik je pokušao 350 puta da vreme ili stalno treba bekapovati podatke na neki od pogodi šifru) medijuma (trake, data kasete, hard diskovi, dvd-jevi, cd- - socijalni inženjering - tehnika obmane i prevare ljudi sve ovi). u cilju dobijanja željenih informacija. Socijalni inženjering - Antivirusni softver - upotrebom antivirusnog softvera se zasniva na lažnom predstavljanju, prevari i obmani na kompjuterskim sistemima omogućujete neometani rad žrtava. nad svojim podacima, a što je najvažnije vaši podaci su Danas postoje različite tehnike za delimičan ili potpun sigurni. Kad kažemo sigurni ne mislimo da su 100%, jer pristup podacima sigurnosnih sistema. Možemo pomenuti ništa nije 100% sigurno. Pogotovo ne na Windows neke od njih: operativnim sistemima za koje postoji najviše virusa. - prisluškivanje mreže i ekstrakcija željenih podataka - Tipovi virusa su različiti, pomenućemo neke, tu su daleko sniffovanje podataka je pojam koji se odnosi na poznati trojanski konji (maliciozni tip programa koji prisluškivanje najčešće kompjuterskih mreža i obično omogućava zločestom korisniku pristup zaraženom ekstrakciju podataka. Prisluškivanje mreže na Linux kompjuteru, izvršavanje različitih vrsta programa, brisanje, operativnim sistemima se jako lagano obavlja uz pomoć modifikacija, upload i download podataka itd.), crvi (en. komande tcpdump -i eth0. Ekstrakcija privatnih poruka na Worm), polimorfni virusi (kako sama reč kaže to su IRC-u se jako lagano i elegantno vrši uz pomoć perl virusi koji u nekom vremenskom intervalu menjaju svoj skripte koja plasira pakete uz pomoć regularnih izraza i kod, svoje mesto na disku / memoriji sve u cilju teže softverskog paketa ethereal. Ethereal “razume” oko 700 identifikacije, pronalaženja i čišćenja od strane različitih protokola. Sattelite offline download je danas korisnika/softvera), tu su danas daleko rasprostranjeni VB veoma popularna tehnika sniffovanja podataka. Neki od script virusi itd. Ne možemo reći da su Unix i Linux najpoznatijih softvera za prepoznavanje i čitanje streama bazirani operativni sistemi potpuno sigurni, postoje i za koji ide sa satelita su ruski SkyNet i Manna. Prisluškivanje njih neke vrste virusa. To nisu baš u pravom smislu reči podataka sa satelita nije legalno u mnogim zemljama. virusi nalik ovim virusima sa Windows operativnih sistema. U pitanju su daleko poznati rootkitovi koji su mnogo opasniji i nimalno bezazleni kompleksni “virusi”, softverski paketi koji se sastoje iz mnoštva virusa. Većina trojanskih konja ima sposobnost keylogginga, beleženja teksta koji korisnik otkuca, i slanje istog tog teksta osobi koja je unela maliciozni program u taj kompjuterski sistem. Priča o virusima je daleko komplikovanija i složenija, ovo bi bio samo jedan mali uvod u problematiku kompjuterskih virusa, kao jednog od veoma važnih faktora kompjuterske sigurnosti. Danas su sve više u modi virusi za mobilne telefone, najčešće virusi za Symbian operativni sistem. I ako je danas jako teško poslati virus emailom (jer je email jedna od glavnih upotrebljavanih tehnologija za širenje virusa) zbog email virus skenera, grupe koje šire viruse su se preselile na IRC (Internet Relay Chat). Mnogi će se zapitati koji je motiv virusopisaca. Danas je osnovni Slika 1. Izgled ekrana SkyNet-a motiv virusopisaca novac, naime mnoge kompanije koje proizvode antivirusni softver da bi živele/da bi se njihov - kriptografija - podaci se štite kriptujući ih kriptografskim proizvod prodavao moraju i same da plaćaju programere algoritmima, jakim ključevima, dugačkim šiframa. Do da pišu viruse za njih. Nekad je motiv virusopisaca bilo juče daleko popularan i široko korišćen jednosmerni dokazivanje. - Firewall kompjuterski sistemi - osnovna namena je algoritam za kreiranje HASH suma MD5HASH algoritam, zaštita kompjuterskih mreža. Firewallovi danas igraju razbijen je i dokazano je da postoje dve različite vrednosti važnu ulogu u sigurnosti kompjuterskih sistema. Smešan koje kad unesemo u funkciju, daju istu vrednost md5 ali krajnje interesantan primer je od pre par godina kada se sume. To bi značilo da korisnik i ne mora da zna tačnu jednom tehnikom veoma lako mogla prekinuti dialup šifru. Može posebnim tehnikama da uđe u sistem uz konekcija bilo kom korisniku na bilo kom provajderu pomoć svoje novogenerisane šifre. Što se tiče razbijanja (ping -p2b2b2b415448300d ip). Danas provajderi kriptografskih algoritama tu je distributed.net, veliki firewallovima blokiraju ping ovog tipa i prevencije radi distribuirani sistem koji se bavim razbijanjem “ubijaju” konekciju korisnika koji to pokušava raditi. kriptografksih algoritama koristeći preko 200000 mašina Naizgled smešan problem, ali ovaj problemčić uz upotrebu sa klijent softverom na sebi. “adekvatnog” softvera može se pretvoriti u veoma ozbiljan - steganografija - posebna oblast kriptografije. problem po ISP. Poznato je da ISP-ovi (Internet Servis Steganografija se bavi “skrivanjem” podataka i Provajderi) vode ratove tako što “udaraju” po svojim informacija unutar slika, video zapisa, zvuka, izvršnih VIII Međunarodna konferencija E-trgovina 2008 Srbija, Palić, 16.-18. april 2008. programa itd. Postoje i steganografski fajl sistemi. Bitno je dodati da slika, video zapis, zvuk i izvršni programi izgledaju kao oni koji ne sadrže nikakve podatke u sebi, slike su naizgled nepromenjene, zvuk potpuno isti i sl. Npr. danas digitalna satelitska televizija i upotreba steganografije i kriptografije omogućava mnogim terorističkim organizacijama laku i neometanu komunikaciju i saradnju širom zemaljske kugle. Upotreba digitalne televizije ovde je neophodna, jer se radi o preciznim podacima, a samo digitalna televizija može omogućiti takve podatke. Kriptovani podaci se steganografski ubacuju u video stream i zatim se kao takav emituje na satelit, prima na drugom mestu i pomoć posebnih alata steganografski podaci se ekstrakuju iz streama i potom dekriptuju. - sigurnost mobilnih telefona - danas je izuzetno rasprostranjeno kloniranje GSM kartica za mobilne telefone, što je danas veliki problem operaterima u našoj zemlji. U mnogo manjoj meri je rasprostranjeno Slika 2. Slika distribuiranog sistema predstavljenog kao prisluškivanje mobilnih telefona zbog skupe opreme koja graf (crveni čvor je centralni čvor) se koristi u te svrhe. Danas je mobilni telefon svakodnevno sredstvo komunikacije među ljudima. Takođe ovim putem Zlonamerni korisnik bi mogao upotrebom kloniranih obavljaju se vrlo često veoma važni razgovori i dogovori, kreditnih kartica uz pomoć još par ljudi da podigne isto kao što i većina nas na telefonu ima neke veoma bitne nelimitiranu sumu sa svog ili tuđeg računa. U praksi nije podatke tipa šifri. nemoguće napraviti 100% siguran sistem, ali onda bismo imali situaciju da kada želite podići svoj novac sa bankomata da morate čekati 10 minuta i više. Zato su se banke i stručnjaci za kompjuterske nauke odlučili za V. SIGURNOST DISTRIBUIRANIH SISTEMA kompromisno rešenje limitiranjem sume koja se diže. Distribuiran sistem je sistem sastavljen od više mašina međusobno povezanih u mrežu, najčešće putem Interneta. VI. ZAKLJUČAK Stručnjaci za kompjutersku sigurnost nalaze kompromisna Ukoliko bi primenili tehnike koje smo pomenuli došli bi rešenja pri kreiranju kompjuterskih sistema, jer cilj do zaključka da ne postoji 100% siguran kompjuterski kompjuterskih sistema je efikasnost, pouzdanost, sistem koji transparentno radi u realnom vremenu. Takođe dostupnost, brzina pristupa podacima i sigurnost. Tipičan možemo zaključiti da je problem sigurnosti sistema veliki primer nesigurnosti velikih distribuiranih sistema je PTT i teško rešiv. Danas postoje softveri koji napade sistema ISP. Poznato je da je na PTT-u prethodnih godina bilo mogu učiniti gotovo nemogućim. moguće uneti 200 sati interneta za samo 200 dinara. Neznanjem i nespretnim implementiranjem softvera došlo LITERATURA je do toga. [1] http://en.wikipedia.org Danas smo takođe svedoci da je veoma teško rešiti [2] http://skynet.moy.su zaštitu bankovnih sistema. Što se tiče ovakvih sistema najčešće za njihovu zaštitu se moraju koristiti kompromisna rešenja. Recimo vidovi zaštite što se tiče bankovnih sistema, a koji su uglavnom poznati mnogim ABSTRACT korisnicima je limitiranje iznosa novca za podizanje, In this paper I will talk about computer security, about onemogućavanje transfera novca sa računa na račun. Kod model of computer security and I will try to establish velikih bankovnih sistema imamo distribuirane baze howmuch are Internet as the biggest distribution podataka, što znači da se one s vremena na vreme moraju system, bank distribution system and other computer sinhronizovati. Naime, neke filijale nemaju ili imaju loše system actually unsecured. konekcije na centralnu banku. Pritom kada kažemo loše ne mislimo da je mrežna infrastruktura loša nego je loš Security of Computers System implementacioni način cele priče o sigurnosti. Distribuirani sistem možemo predstaviti kao graf, i sada Keywords: security, attacks, technique of creating ako uzmemo najudaljeniji čvor grafa, odnosno ukoliko secured sistems uzmemo periferne čvorove grafa i pristupamo njima, tada ćemo mnogo lakše izvršiti prevaru u banci kada su u Names of authors: Dušanka Lečić, Ivana Berković pitanju bankovne transakcije nego pristupajući čvorovima bližim “centru” grafa, odnosno centralnom čvoru, čvoru koji je približno jednako udaljen od svih grafova.