Sigurnost Računalnih Mreža 3/3

Sigurnost raunalnih mrea
Lada Sartori
3. Sigurnost operacijskih sustava i
aplikacija
Sadraj
1. Sigurnost Windows operacijskog sustava
2. Sigurnost Unix/Linux operacijskih sustava
3. Web sigurnost
4. Sigurnost sustava elektronike pote
5. Sigurnost DNS sustava
3.1. Sigurnost Windows operacijskog
sustava
Sadraj
1. Ojaavanje "out-of-box" sustava
2. Instalacija aplikacija
3. Postavljanje radne stanice na mreu
4. Sigurno koritenje Windows radne stanice
5. Nadogradnje i zakrpe
6. Odravanje i testiranje sigurnosti
7. Napadi na Windows radne stanice
8. Zakljuak
3. 1. Sigurnost Windows operacijskog
sustava
sigurnost raunala s instaliranim Windows
operacijskim sustavom ini veoma vanu
komponentu u sveukupnoj sigurnosti mree i
sustava
u tzv. dubinskog obrani sustava radne
stanice ine vanu kariku
sustava
dubinska obrana je opa metodologija iji je
cilj usporiti i onemoguiti napadaa
koritenjem slojevite zatite
ne ovisi o samo jednoj toki na kojoj se
implementira sigurnost
daje administratoru vremena da otkrije napad i
da reagira na njega

sustava
dubinska obrana
UPRAVLJANJE
KORISNICIMA
OJAAVANJE
RAUNALA
ODVAJANJE
VLAN-OVA
ODVAJANJE
POSLUITELJA
ODVAJANJE
WAN-A
ODVAJANJE
KLIJENATA
PERIMETAR
INTERNETA

sustava
upravljanje korisnicima
praenje i obuka korisnika je preduvjet za uspjeno
provoenje ostalih nivoa sigurnosti
ojaavanje raunala
osnovne instalacije operacijskih sustava su prve toke
napada
uvijek su na ljestvici Top 10
odvajanje VLAN-ova
vjeruj, ali odvoji
npr. nitko osim djelatnika raunovodstva ne smije imati
pristup raunalima za obradu plaa
sustava
odvajanje posluitelja
posluitelji moraju biti u prostoru poveane sigurnosti
WAN odvajanje
uspostaviti pristupne liste tko smije pristupati
posluiteljima
odvajanje korisnika
pretpostaviti da su svaki korisnik i svako raunalo izvan
organizacije nesigurni
Internet perimetar
Internet ugroava, ali najvei broj napada dolazi iznutra
sustava
veina napadaa:
ide linijom manjeg otpora
vidi ranjivost i istrauje
najee nastavlja dok ne naie na otpor
ukoliko je otpor slab, dobije poticaj za nastavak
dubinska sigurnost
smanjuje broj uspjenih napada
napada mora biti puno vjetiji
eliminacija script kiddies napadaa koji samo znaju pokretati
skripte, ali ne i izraditi nove

sustava
raunala s Windows operacijskim sustavom
predstavljaju veinu korisnika
Windowsi pruaju korisniku ono to mu treba
lako se instaliraju
novije verzije ne zahtijevaju gotovo nikakvo
tehniko znanje korisnika
negativna strana:
proizvodi skinuti s police sadre i usluge ili
aplikacije koje korisniku ne trebaju
sustava
napadai uzmu istu instalaciju i pokuavaju
nai ranjivost
ukoliko uspiju imaju milijune potencijalnih
rtvi
oslanjaju se na injenicu da e korisnici
ostaviti svoje Windows raunalo s kupljenom
instalacijom, koja ukljuuje sve dodatke
sustava
radna stanica spojena na Internet predstavlja toku
ulaska
razlozi za brigu:
podaci s kreditnih kartica mogu se ukrasti
osobni podaci mogu se ukrasti
privatna elektronika pota se moe itati
pornografski sadraj moe se ubaciti na raunalo kod kue
ili na poslu
virusi i crvi mogu ugroziti poslovanje
Windows raunalo se moe iskoristiti za daljnje napade,
inei vlasnika odgovornim

sustava
preporuke Microsofta:
koristiti vatrozid
redovito preuzimati i instalirati zakrpe
koristiti auriran antivirusni sustav
nikad ne koristiti instalaciju out-of-box
uvijek iskljuiti sve to nije potrebno
nikad ne staviti raunalo koje je bilo na nesigurnoj
mrei unutar sigurne mree bez prethodne ponovne
instalacije
sustava
iskljuiti sve nepotrebne servise i prikljune toke
ne pokretati servise (FTP, mail, web) na radnim
stanicama ukoliko posao to izriito ne zahtijeva
ne koristiti servise koji se ne koriste sigurnim protokolima
(telnet ssh, ftp sftp)
koristiti vrste lozinke
ne pokretati programe za koje niste sigurni to su
ne otvarati elektronike poruke od nepoznatih (pogotovo
priloge)
pratiti performanse sustava, ukoliko izau iz prosjeka -
istraiti
3.1.1. Ojaavanje out-of-box sustava
out-of-box instalacija je prvi cilj napada
moe biti kompromitirana u nekoliko minuta ili ak
sekundi nakon stavljanja na mreu
ukoliko se radi reinstalacija poeljno je:
napraviti kopije podataka
tip video kartice
tip mrene kartice i TCP/IP postavke
kod beine mree SSID i enkripcijske kljueve
postavke tampaa
ostalo
generalni postupak ojaavanja sustava:
ustanoviti svrhu radne stanice
tko je koristi
u koju svrhu
gdje e stanica biti postavljena
instalirati istu verziju operacijskog sustava
dokumentirati promjene i napraviti sliku sustava
ukloniti sve nepotrebne servise
ponovo dokumentirati promjene i napraviti sliku sustava

naredbe kojima se moe provjeriti stanje
sustava:
netstat an
provjera uspostavljenih veza
net share
prikaz dijeljenih resursa
net start
pokrenute aplikacije i usluge
tipino otvorene prikljune toke na out-of-box
instalaciji Windows 2003 operacijskog sustava
(nmap ili nessus):

prikljuna toka usluga
135/tcp loc-srv
137/udp netbios-ns
139/tcp netbios-ssn
445/tcp microsoft-ds
1025/tcp NFS-or-IIS
1026/tcp LSA-of-nterm
port 135/tcp local-srv/epmap
Microsoft DCE Locator servis end-point mapper
udaljeno upravljanje uslugama
usluge koje se koriste prikljunom tokom 135
end-point mappera:
DHCP
DNS
WINS
moe se iskoristiti za napad (primjer: MSBlast crv)
port 137/tcp NetBIOS session (TCP)
Windows File and Print Sharing
Server Message Block (SMB) posluitelj koristi
ovu prikljunu toku
najopasnija prikljuna toka
10% svih korisnika na Internetu ostavljaju svoje
diskove otvorene ovoj prikljunoj toki
napadai prvo pokuavaju pristupiti ovoj toki
port 139/udp NetBIOS session (UDP)
verzija NetBT name servisa
napada moe poslati poseban paket ovoj usluzi, a
odgovor e sadravati sluajno odabrane podatke
iz memorije napadnutog raunala
podaci mogu biti s web stranice koju korisnik
trenutno gleda ili neto vanije: npr. lozinka za
pristup poti
napada moe kontinuirano slati pakete i dobivati
podatke iz memorije
port 445/udp NetBIOS session (UDP)
Microsoft je napravio novi prijenos za SMB preko
TCP i UDP na prikljunoj toki 445
zamjenjuje stare implementacije na prikljunim
tokama 137, 138 i 139
Common Internet File System (CIFS) koristi ovu
toku
postojala je mogunost logiranja koritenjem
NULL sesije gost pristup
port 1025
prva dinamiki dodjeljiva prikljuna toka
bilo koja program moe zatraiti ovu prikljunu
toku
u primjeru: DCE usluga
port 1026
dinamika pristupna toka
primjer: ili Local Security Authority (LSA)
posluitelj ili nterm aplikacija je koristi
to poduzeti za ojaati radnu stanicu:
uz NFS ukljuiti i ugraeni Encripting File System
(EFS)
onemoguiti uporabu NetBIOSa preko TCP/IP
ukoliko radna stanica ima dosta memorije iskljuiti
Windows swapfile
osjetljivi podaci se nee biljeiti na disk
postaviti prava pristupa na pojedine pretince
postaviti maksimalni broj korisnika koji mogu
pristupati pretinicima
ukoliko postoji mogunost enkripcije sadraja
pretinca, ukljuiti je (npr. kod XP Professional
verzije)
zatititi registar od anonimnog pristupa
prije logiranja korisnika prikazati pravila
dozvoljenog koritenja
postaviti brisanje datoteke stranienja (pagging)
nametnuti uporabu jakih lozinki
odrediti postavke zakljuavanja korisnikih rauna
ne koristiti AutoRun opciju
neprovjereni kod se moe pokrenuti s CD-a
izmijeniti predefinirane postavke dozvola na
datotekama
Windowsi predefinirano ne primjenjuju posebna
ogranienja na lokalne pretince ili datoteke
grupa Everyone ima puna prava na gotovo cijelom disku
ova grupa treba biti uklonjena i napravljene grupe koje
odgovaraju stvarnim potrebama organizacije
registar
iako se promjene rade preko GUI suelja, stvarno se
biljee u registru
veina funkcija registra ne moe se postavljati preko
GUI suelja
mnoge ranjivosti mogu se popraviti intervencijom u
registru
FAT sigurnost
out-of-box instalacija dolazi i sa sigurnosnim
postavkama, ali zbog velikog broja mrenih scenarija su
neaktivne
osnovna je New Technology File System (NTFS) koji
omoguava postavljanje dozvola pristupa na datoteni
sustav
mnogi administratori ne ukljuuju ovu opciju:
ini disk nedostupan iz DOSa
oporavak sustava ini teim
prava korisnikih grupa
Windowsi imaju ugraenu logiku koja prava pojedini
korisnici trebaju imati
standardne grupe su:
Users
Domain Administrators
Power Users
Backup Operators
preporuka je da se korisnici ne smjetaju u predefiniranu
grupu ve kreirati nove grupe prema potrebama
popis lokalnih grupa mogu se dobiti naredbom:
net localgroup
kod kreiranja korisniki rauna treba paziti na
postavke lozinki:
korisnik na raunalo moe ui samo upotrebom
korisnikog imena i lozinka
odreeno maksimalno trajanje lozinke (90 do 180 dana)
odreeno minimalno trajanje lozinke (0 do 15 dana)
minimalna duljina lozinke (8 do 14 znakova)
ukljuena opcija da lozinka mora imati odreenu
kompleksnost
pohrana lozinki koritenjem reverzibilne enkripcije
mora biti iskljuena
postavljeno zakljuavanje korisnikog rauna nakon 3
neuspjena pokuaja
postaviti vrijeme nakon kojeg se korisnik ponovo moe
pokuati logirati na 15 minuta
ukljuiti zapisivanje o uspjenim i neuspjenim
pristupima na korisnike raune
ukljuiti zapisivanje o pristupima na sustav
ukljuiti zapisivanje sistemskih dogaaja
podaci o postavkama mogu se dobiti naredbom
net accounts
pravila dobre lozinke:
dovoljno duga (preporuka 14 znakova) upotreba
passphrase-a
nikad ne koristiti istu lozinku na dva razliita sustava
ne koristiti lozinku koju napada moe lako
pretpostaviti
3.1.2. Instalacija aplikacija
nakon ojaavanja sustava, instaliraju se aplikacije
prvo to treba instalirati je antivirusna aplikacija
ukoliko se raunalo zarazi, moe ga biti vrlo teko, a
ponekad i nemogue oistiti
antivirusna zatita treba se temeljiti na:
koritenju antivirusne aplikacije
ukljuen redoviti dohvat nadogradnji
pravilnim postavkama operacijskog sustava
iskljuiti sve nepotrebne servise koji mogu omoguiti virusu dostup
do raunala
obuci korisnika
korisnici vlastitom panjom mogu sami zaustaviti veinu virusa, crvi i
trojanskih konja
primjeri irenja virusa:
boot-abilnim disketama koje se prenose s raunala na raunalo
danas veoma rijetko
koritenjem dijeljenih pretinaca
primjer: virus W32NetSky koji se duplicira na brojnim datotekama u
svakom otvorenom dijeljenom pretincu
kao prilozi elektronikoj poti
otvaranjem priloga, virus se pokree i iri aljui svoj kod na sve
adrese koje pronae u raunalu
skidanjem datoteka s Interneta
neprovjerene datoteke mogu sadravati zloudni kod
iskoritavanjem ranjivosti aplikacije
primjer: virus Slammer koji se iri s raunala na raunalo
iskoritavajui ranjivost SQL baze podataka
instalacija osobnog vatrozida
osobni vatrozidi blokiraju dolazni i odlazni promet
s raunala
pravilna postavka bi bila blokirati sve to dolazi i
odlazi s raunala
nakon toga, paljivo birati koji promet propustiti
instalacija Secure Shell (SSH)
program koji omoguava spajanje na udaljeno raunalo
osigurava veze uspostavljene preko mree enkriptirajui
sav promet (podatke i lozinke)
podrava RSA baziranu metodu autentikacije
enkripcija i dekripcija obavlja se koritenjem odvojenih kljueva
nije mogue izvesti jedan klju iz drugog
svaki korisnik kreira javni/privatni par kljueva
server zna javni, a korisnik privatni klju
podrava prosljeivanje prikljunih toaka ime mu se
znatno proiruje uporaba
tipini primjer je primjena u enkripciji e-mail prometa
instalacija Secure FTP (sFTP)
klijent za prijenos datoteka izmeu radne stanice i
FTP posluitelja
koristi iste enkripcijske i autentikacijske metode
kao i SSH implementacija FTP-a preko SSH
osim prijenosa omoguava i:
brisanje datoteka
promjenu imena
stvaranje i brisanje pretinaca
promjenu prava pristupa korisnika
3.1.3. Postavljanje radne stanice na
mreu
dobro ojaanu radnu stanicu na mreu je
potrebno staviti u sigurni segment
ovo podrazumijeva da je mrea ve dizajnirana
i konstruirana na siguran nain
pojedini dijelovi mree su sigurniji od drugih
raunalo se treba postaviti u najsigurniji dio
koji mu i dalje omoguava obavljati sve
funkcije za koje je namijenjen
mreu
tipian primjer arhitekture mree:

mreu
najmanje siguran dio je DMZ (demilitarizirana
zona)
raunala u ovom dijelu moraju biti posebno ovrsnuta
ne smiju sadravati nikakve osobne ili osjetljive podatke
ukoliko mora pruati takve informacije, one se moraju
dohvaati iz sigurnijeg dijela mree u zadnji as (po zahtjevu)
imati instalirano minimum potrebnih aplikacija
sljedei je intranet poduzea
najsigurniji dio je privatni segment (koji sadri
osobne i osjetljive podatke)
3.1.4. Sigurno koritenje Windows
radne stanice
nakon to je radna stanica ispravno instalirana
i postavljena u mreu, moe se koristiti
pri tome je bitno koristiti je na siguran nain
ukoliko je korisnik koristi na nesiguran nain,
moe napraviti sustav ranjivim
radne stanice
fizika sigurnost
radne stanice koje se ne koriste treba osigurati
preporuuje se iskljuivanje radnih stanica van radnog
vremena
ukoliko radna stanica treba ostati ukljuena, preporuuje
se odspojiti je s mree:
odspojiti je na vatrozidu uklanjajui mrene konekcije
dodati pravila na vatrozidu koja onemoguavaju promet nakon
radnog vremena
odspojiti kabel ili onemoguiti mreno suelje
ne dozvoliti pristup strancima
radne stanice
konfiguracija radne stanice
antivirusna aplikacija
osim same instalacije i konfiguracije potrebno je:
povremeno runo pokrenuti pretraivanje
namjestiti aplikaciju da provjerava sve nove datoteke
namjestiti aplikaciju da provjerava svaku izvrnu datoteku
redovito je aurirati
upravljanje korisnikim raunima
sigurnost radne stanice ovisi o odgovornom ponaanju korisnika
potrebno je povremeno provjeravati prava korisnika
postoje li korisnici jo u organizaciji ukoliko ne pobrisati korisniki
raun
da li su promijenili ulogu dodijeliti im nova prava
radne stanice
provjera aplikacija na sustavu
ukoliko je instalirana aplikacija potencijalno opasna
ukloniti je s radne stanice
ukoliko je aplikacija potrebna redovito provjeravati
zakrpe
upotrebljavati sigurnije verzije aplikacije
radne stanice
operativne tehnike
provoditi sigurnosnu politiku
minimizirati uporaba administratorskog korisnikog rauna
nametnuti sigurno koritenje podataka
ukoliko je raunalo na Internetu ne smije imati na sebi osobne ili
osjetljive podatke
MS Word dokumenti sadre skrivene podatke o osobi koja je
kreirala dokument, te ga mijenjala
dobro je dokument spremiti u RFT formatu koji ne sadri
metapodatke
otvoriti novi dokument i stari kopirati bit e kopirani samo podaci,
ali ne i metapodaci
snimiti dokument sa Save as
definirati stupanj povjerljivosti podataka
radne stanice
izbjegavati viruse, crve, trojance
iskljuiti Preview mogunosti koje klijent posjeduje
ovo moe omoguiti automatsko izvravanje zloudnog koda
ne otvarati poruke od nepoznatih poiljatelja
priloge otvarati samo ako se oekuju
ne slijediti nikakve linkove u porukama tipa: pogledaj
ovo
ukoliko se poruka mora otvoriti, koristiti mail klijent
koji nije toliko osjetljiv na viruse
iskljuiti mogunost koritenja makroa u tekstualnim i
tablinim dokumentima
radne stanice
lozinke ispravno upotrebljavati
lozinku treba znati samo korisnik
ukoliko se lozinka sustavno dodjeljuje, obavezno je
promijeniti
promijeniti sve predefinirane lozinke
sustav ne smije dozvoliti da lozinka ne postoji
lozinka se ne smije nigdje pojaviti napisana
ukoliko se sprema u digitalnom obliku mora biti
enkriptirana
ukoliko se lozinka mora nekom rei, mora se
promijeniti im ta potreba proe

radne stanice
lozinka mora biti pravilno postavljena
minimum 8 znakova
moraju biti mijeana slova, brojevi i specijalni znakovi
ne smije sadravati:
korisniko ime
vlastito ime ili prezime
telefonski broj
jmbg / broj osobne iskaznice
adresu
datum roenja
akronim organizacije ili radne grupe
rije (pogotovo engleskog govornog podruja)
vie od 4 istovrsna znaka zaredom (4 slova, 4 brojke)
vie od 3 ista karaktera zaredom (aaa, 222.)
ne smije se moi ponovo upotrebiti
radne stanice
ograniiti upotrebu NetBIOS-a
koristi se za konvencionalno dijeljenje resursa
ranjivosti NetBIOS-a ine Windows radnu stanicu
laganim ciljem
izbjegavati NULL veze
veza uspostavljena bez autentikacije
primjer:
net use <mount point> \\<host>\<path>
/user:" "
ukoliko napada moe doi do informacija o raunalu,
moe lake ui na njega
mogu se koristiti za pristupanje sistemski dijeljenim
resursima

radne stanice
provoditi redovitu izradu zatitni kopija
glavni razlog: kvar sklopovlja
kada izraditi zatitnu kopiju:
nakon instalacije i ojaavanja izraditi sliku cijelog sustava
prije primjene zakrpi i nadogradnji svih podataka
prije prijenosa radne stanice svih podataka
periodino svih podataka
ee kritinih podataka
dobra aplikacija za izradu zatitne kopije e pohraniti promjene u
operacijskom sustavu, promijenjenim datotekama, u Security
Accounts Manager-u i registrima
kopija se ne smije smatrati napravljenom ukoliko nije provjerena
3.1.5. Nadogradnje i zakrpe
podruje sigurnosti stalno se mijenja
napadai stalno pronalaze nove naine napada
tehnologija se stalno mijenja
sve to uzrokuje da su radne stanice izloene
sve veoj opasnosti
pozitivno: proizvoai postaju sve svjesniji
3.1.5. Nadogradnje i zakrpe
biti u toku s Microsoft zakrpama i nadogradnjama
MS dijeli zakrpe prema riziku na:
kritine
ranjivosti ije iskoritavanje omoguuje irenje crva bez korisnikovog
znanja
vane
ranjivosti ije iskoritavanje moe rezultirati kompromitiranjem
povjerljivosti, integriteta ili dostupnosti korisniki podataka ili usluga
srednjeg rizika
ovise o konfiguraciji korisnika
niskog rizika
ranjivosti koje je izuzetno teko iskoristiti ili iji je utjecaj minimalan

3.1.6. Odravanje i testiranje sigurnosti
prijetnje kojima su Windows radne stanice
izloene su stalno mijenjaju i poboljavaju
sve vie napadaa eksperimentiraju s alatima
za napad
dostupnost do alata danas je vea no ikad
sve to ini da administratori moraju stalno biti
na strai
skenirati u potrazi za ranjivostima
izvoditi periodino
ispitivati upitne aplikacije
ukoliko se ne zna porijeklo aplikacije, treba je
smatrati upitnom i testirati
trebalo bi imati dodatnu radnu stanicu na kojoj se
obavlja testiranje
privatno, moe se napraviti slika sustava i tek
nakon toga instalirati aplikaciju
biti osjetljiv na performanse sustava
napadi esto rezultiraju iskoritavanjem sustava koje se
moe detektirati:
uestalom aktivnosti diska
uestalim i neplanskim koritenjem mree
estim padovima sustava
neobinim ponaanjem aplikacija
napadai su svjesni da svojim aktivnostima pobuuju
sumnju administratora, te to pokuavaju ograniiti
administrator mora biti jo osjetljiviji
zamijeniti stare Windows sustave
Windowsi u svaku novu verziju implementiraju
poboljane sigurnosne postavke
najvei problem su bile slabe lozinke u LANMAN
tehnologiji
Win9x jo uvijek koriste tu tehnologiju i ona na
tim sustavima ne moe biti zamijenjena
uvijek instalirati zadnje sigurne verzije sustava
imati na umu da proe izmeu 6 i 12 mjeseci dok se
nova verzija operacijskog sustava dovoljno ne testira
svako koliko ponovo provjeriti sigurnost
sustava:
kada se korisnik dodaje ili brie sa sustava
kad se dodaju vee zakrpe ili nadogradnje
za vrijeme uobiajeno mirnih razdoblja (zadnji
tjedan u godini)
nadgledanje
sustav se mora kontinuirano nadgledati da bi se uoile
napadi na sustav kao i loe ponaanje korisnika
pratiti se treba sljedee:
sistemski dnevnici (logovi)
dnevnici sustava elektronike pote
neuspjeli pokuaji pristupa
greke koje dojavljuju aplikacije
promjenu kritinih datoteka
prava na kritinim datotekama
testovi performansi sustava
iskoritenost diska
zapisi u dnevnike
administrator bi treba ukljuiti to je mogue vie
opcija biljeenja zapisa, a da to ne utjee na
performanse sustava
potrebno je raditi zapise podizanja sustava
zapise treba redovito pratiti
uestalost ovisi o poloaju radne stanice unutar mree
ukoliko je stanica u DMZ dnevno
unutar mree, iza vatrozida tjedno
u nedostupnom privatnom dijelu - mjeseno
provoditi ienje sustava
proi kroz Add/Remove Programs i ukloniti sve
programe koji se ne koriste
arhivirati i ukloniti stare projekte smanjuje se
opasnost od gubitaka podataka
povremeno pokretati programe za ienje diskova
ovo e obrisati privremene datoteke, cache-irane
informacije s Interneta u kojima se mogu nai osobni
podaci korisnika
provoditi ienje sustava
proi kroz Add/Remove Programs i ukloniti sve
programe koji se ne koriste
arhivirati i ukloniti stare projekte smanjuje se
opasnost od gubitaka podataka
povremeno pokretati programe za ienje diskova
ovo e obrisati privremene datoteke, cache-irane
informacije s Interneta u kojima se mogu nai osobni
podaci korisnika
3.1.7. Napadi na Windows radne
stanice
popisi Windows ranjivosti mogu se nai na
stranicama
NTBugTraq
SecurityFocus
liste ranjivosti svakodnevno rastu
stanice
virusi
virus je dio koda koji se ubacuje u aplikaciju
kao i bioloki virus, ne moe se sam iriti, ve treba aplikaciju ili
datoteku koja e ga dalje rasprostirati
prvobitne verzije virusa zarazile bi boot sektor diskete irile su se
dijeljenjem disketa danas diskete vie nisu praktine
neki se virusi mogu zakaiti na korisnike datoteke, npr. tekstualne ili
tabline
iskoritavaju mogunost pokretanja skripti unutar datoteka
jedan od prvih iroko rasprostranjenih virusa je bio Melissa
irio se zaraavajui Word dokumente
inficirao bi Normal.dot datoteku nakon ega bi svaka snimljena datoteka
bila zaraena
MS sada ima zatitu nazvanu Macro Virus Protection koja onemoguava
pokretanje makroa
stanice
kod virusa ima ista prava kao i aplikacija koja ga udomljuje
e-mail virusi se ire od raunala do raunala kao dijelovi
poruke
mogu biti prilozi koji se moraju otvoriti ili
skripte koje se same mogu pokrenuti
ILOVEYOU je bio virus koji se aktivirao u proljee 2000. i
koji se automatski slao na sve adrese u addressbook-u
zaraenog raunala
iskljuujui mogunost pokretanja VisualBasic skripti,
onemoguuje se i aktiviranje ovakvih virusa
stanice
crvi
crv je kod koji ima mogunost razmnoavanja i irenja na
druga raunala
osim toga, moe sadravati i kod koji moe biti
destruktivan
mora iskoristiti ranjivost na raunalu da bi se pokrenuo
najbolja zatita je redovito odravanje sustava instalacijom
zakrpi i nadogradnji i minimiziranje broja usluga na
raunalu (npr. ako radna stanica ne treba pruat uslugu web
stranica, potrebno je ukloniti IIS)

stanice
trojanski konji
program koji se maskira kao jedna aplikacija, a skriveno
obavlja drugu funkciju
korisnici vjeruju da pokreu stvarnu aplikaciju, npr.
screensaver, aplikacija se zaista pokree, ali u pozadini
moe obavljati cijeli niz funkcija
ne mogu se sami razmnoavati
oslanjaju se na korisnike koji pristaju pokretati izvrne
programe iz nepouzdanih izvora
time to postaje vie problem socijalnog inenjeringa
kako navesti korisnika da pokrene aplikaciju
stanice
spyware i adware
spyware je grupa aplikacija koje skupljaju informacije o
radnim stanicama i korisnicima
informacije se alju natrag onom tko je razvio aplikaciju s
ciljem pripreme reklama ili redizajniranje marketinkih
kampanja
spyware predstavlja jo veu prijetnju jer podaci sadre
informacije o osobi, npr.
e-mail adresa za slanje spama
broj telefona za anketiranje
ne zna se kome idu informacije, a mogu se iskoristiti za
krau identiteta
stanice
Windows radne stanice pohranjuju podatke na razna mjesta
koja su dostupna aplikacijama
primjer: dostup informacijama u cookie-jima
cookie-ji mogu sadravati bilo koju informaciju koja se u bilo kojem
trenu unosila na web stranicu, npr.
ime i adresu
broj telefona, e-mail adresu
JMBG, broj tekueg rauna, PIN bankovne kartice
imena djece, djevojako ime, ime kunog ljubimca
poslodavac, plaa
broj automobilske tablice, tip i model auta
web posluitelj odluuje koliko je vrijeme trajanja cookie-ja
mogu se iskljuiti, ali to nije praktino, ili traiti dozvolu za slanje
stanice
izraz spyware takoer se odnosi i na skup aplikacija koje su
namijenjene nadzoru korisnike aktivnosti u prikrivenom
obliku
informacije koje se mogu prenijeti:
tipke koje je korisnik pritisnuo
hvatanje lozinke
drugih osjetljivih podataka
kopije poruka
kopije instant messenger poruka
slike ekrana
ostale informacije
vremena logiranja
koritene aplikacije
posjeene web stranice
stanice
dio komercijalnih proizvoda tvrdi da moe
detektirati spyware
ovi proizvodi odravaju bazu poznatog spyware-a
ne treba se pouzdavati da mogu detektirati sve postojee
spyware aplikacije
stanice
fiziki napadi
ukoliko se moe fiziki doi do radne stanice,
moe je se i napasti
ukoliko napada moe boot-ati sustav s diskete ili cd-a,
moe doi do lozinki na sustavu ili ih ukloniti
programi za praenje pritisnutih tipki se mogu ubaciti na
sustav
moe se pratiti mreni promet
stanice
TEMPEST napadi
Transient Electromagnetic Pulse Emanation
Standard TEMPEST
sastoji se od hvatanja elektromagnetskog zraenja
iz elektronike opreme
najee se koriste analizirajui elektromagnetsko
zraenje monitora
mogu se izvoditi s udaljenosti od vie desetaka
metara
stanice
zatita
raditi sa sustavima koji podlijeu ogranienjima
zraenja definiranim standardima
obradu vrlo osjetljivih podataka izvoditi samo na
sustavima koji su TEMPEST certificirani
uvijek biti svjestan okoline
ukoliko se sumnja, pretraiti okolinu u potrazi za
TEMPEST zraenjem
stanice
stranja vrata (backdoor)
stranja vrata osiguravaju napadau mogunost
povratka na sustav
najee su prikrivena i teko se otkrivaju
ukoliko je Windows radna stanica bila vie dana na
Internetu nezatiena, vjerojatno je probijena i
instalirana su stranja vrata
ukoliko se i detektiraju, korisnik ne moe biti
siguran da nikakve promjene nisu napravljene
najbolje je sustav reinstalirati
stanice
napadi uskraivanjem usluge (Denial of
Service, DoS)
DoS napade je teko sprijeiti
svako raunalo ima ograniene mogunosti
sprijeiti ga se moe:
instalacijom osobnog vatrozida
koritenjem mrenog vatrozida
ograniavanjem aplikacija instaliranih na raunalu
stanice
ekstenzije datoteka
Windows sustavi imaju mogunost skrivanja
ekstenzije datoteke od korisnika, to bi trebalo
sustav napraviti ugodnijim i prijateljskijim
ugodnost uvijek dolazi sa cijenom
korisnik moe misliti da se radi o jednom tipu
datoteke, a prava ekstenzija je ostala skrivena
preporuka je iskljuiti skrivanje ekstenzije
stanice
praenje paketa
Windows radne stanice su podlone praenju prometa
prije se to radilo samo u okruenju u kojem su se koristila
zvjezdita
danas se aplikacijama, kao npr. ethercap, moe pratiti
promet i u prospojenom okruenju
u prospojenom okruenju koriste se alati koji postave
"man-in-the-middle" napad, preusmjeravaju cijeli promet
preko napadakog raunala
na ovaj nain moe se pratiti cijeli promet
zatita
koristiti enkripciju gdje je to god mogue
stanice
otimanje veze (hijacking) i ponovo putanje sesije
(session replay)
otimanje veze
nastaje kad se TCP/IP veza prati i hvata
veza ima izvor i odredite
napada hvata promet od izvora
modificira uhvaeni promet na nain da sam napada izgleda kao
odredite
time se postie da sav budui promet ide napadau
ponovo putanje veze
veza se uhvati, snimi i zatim ponovo puta, po potrebi modificirana
stanice
socijalno inenjerstvo
metoda kojoj se dobiju vrijedne informacije o sustavu od
strane osoblja
napada koristi malo unutranjih informacija da bi zadobio
povjerenje rtve
na taj nain od rtve dobije sve daljnje potrebne
informacije
primjer
uz malo autoritativnog stava, moe se nazvati helpdesk, lano
predstaviti i traiti hitnu promjenu zaboravljene lozinke
stanice
uvijek se treba pretpostaviti da e napada uvije
eljeti koristiti socijalni inenjering
socijalni inenjering je napad od kojeg je najtee
obraniti se
unato najboljoj obuci, ljudi e, u elji da posao
to bolje naprave, otkriti povjerljive informacije
3.1.8. Zakljuak
Windows radna stanica je vjerojatno najnesigurniji
dio organizacije
razlozi:
tipini korisnik nije dobro obuen u pogledu sigurnosti, a
akcije koje moe provesti znatno utjeu na sigurnost
dizajnirana je kao opa platforma to ostavlja dosta mjesta
napadaima
operacijski sustav je napravljen da odgovara to veem
broju korisnika
veina posla u organizaciji obavlja se na radnim stanicama
3.1.8. Zakljuak
radna stanica se moe osigurati
najbitnije stavke:
ovrsnuti operacijski sustav
instalirati sigurnosne aplikacije (kao to je
antivirusna aplikacija)
pripremiti mreu u kojoj e se radna stanica
nalaziti

Sigurnost Računalnih Mreža 3/3

Uploaded by

Copyright:

Available Formats

You might also like

Sigurnost Računalnih Mreža 3/3

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Sigurnost Računalnih Mreža 3/3

Uploaded by

Copyright:

Available Formats

Sigurnost raunalnih mrea

You might also like