PANEVROPSKI UNIVERZITET

APEIRON

POTENCIJALNE PRETNJE I NAPADI

NA INFORMACIONE SISTEME I
MOGUĆI NAČINI ODBRANE

Prof. Dr Milan Marković

milan.z.markovic@apeiron-edu.eu
Sadržaj
 Uvod
 Pregled savremenih ranjivosti i pretnji na informacione
sisteme
 Pregled mogućih napada na informacione sisteme
 Ranjivosti sistema elektronske pošte i mogući napadi
 Pregled mehanizama odbrane od razmatranih pretnji i
napada
 Zaključna razmatranja
Primeri bezbednosnih incidenata

 Krađa velikog broja finansijskih zapisa klijenata;

 Krađa velikog broja podataka klijenata putem
krađe administratorskih kredencijala;
 Insajderska krađa poslovnih podataka;
 Špijunske aktivnosti velikih razmera.
Primeri bezbednosnih incidenata
Razvoj bezbednosnih pretnji

 Kada se posmatra razvoj pretnji informacione

bezbednosti, može se zaključiti da su se iste
razvijale od čiste znatiželje i samodokazivanja pa
sve do današnjih pretnji koje mogu biti rezultat i
sprovođenje nacionalnih interesa određenih
zemalja
Bezbednosna statistika u 2014
• Novi malver povećan 71%.
• 106 download-ovanja nepoznatog malvera se događa po satu
• 86% organizacija pristupale malicioznom sajtu.
• 83% organizacija imalo postojeće bot zaraze.
• 42% kompanja je imalo incidente mobilne bezbednosi koji su
koštali preko $250,000 za popravku.
• 96% organizacija koristilo najmanje jednu aplikaciju visokog
rizika
• 81% organizacija je imalo incident gubitka podataka.
• Gubitak privatnih informacija je povećan 71% u odnosu na
prethodne tri godine.
Bezbednosna statistika u 2014
• Takođe, prema odgovarajućim studijama, prikazani su
bezbednosni incidenti u 2014. godini, sumirani po tipu
napada i najčešće napadanim industrijama.
• Prema rezultatima navedene studije može se uočiti da su
najčešće napadane industrije: računarski servisi (28.7 %),
maloprodaja (13.0 %) i javna administracija (10.7 %), a da
su najčešće prijavljeni tipovi napada (pored neotkrivenih
(40.2 %)): malver (17.2 %), distribuirani DoS (DDoS) (17.2
%) i SQL injection (SQLi) (8.4 %).
Bezbednosni incidenti
Bezbednosna statistika u 2014
• Pored toga, studije (kao što su rezultati PWC studije na bazi
9700 odgovora na odgovarajući upitnik za period od 2009.
do 2014.) pokazuju konstantni porast prijavljenih
bezbednosnih incidenata.
• Iz navedenih rezultata, jedna stvar se sa sigurnošću može
zaključiti: postojeći sistemi informacione bezbednosti većine
organizacija ne mogu parirati motivisanosti, veštinama i
tehnološkom znanju današnjih sajber kriminalaca.
Insajderi
• Studije takođe pokazuju značaj bezbednosnih incidenata koji
su prouzrokovani od strane zaposlenih u kompaniji
(insajderi).
• Tako je prikazano da je u jednoj studiji 32 % upitanih
odgovorilo da su troškovi prouzrokovani bezbednosnim
incidentima prouzrokovanim od strane insajdera veći nego
šteta prouzrokovana od strane eksternih napadača.
Bezbednosni incidenti i tipovi
internih korisnika
• Sa druge strane, statistike pokazuju da postoje
odgovarajuće razlike u bezbednosnim incidentima
prouzrokovanim od strane različitih tipova internih korisnika
(insajdera), i to da:
• 84 % bezbednosnih incidenata koji potiču od internih
zaposlenih (insajderi) uključuju poslovne korisnike koji
nemaju administrativna prava;
• 62 % bezbednosnih incidenata prouzrokovanih od strane
administratora potiču od ljudske greške;
• Bezbednosni incidenti koji uključuju eksterne
saradnike/ugovarače postaju značajno ozbiljniji i
prouzrokuju značajno veće gubitke podataka.
Statistika u odnosu na tipove korisnika
Troškovi sajber kriminala
• Studije takođe pokazuju povećanje troškova sajber kriminala
iz godine u godinu i to sa sledećih aspekata: 
• Godišnji troškovi za organizacije u periodu 2010-2012;
• Uspešnih napada po sedmici u periodu 2010-2012;
• Prosečno vreme za razrešavanje incidenta za godine u
periodu 2010-2012;
• Povećanje troškova za najčešće forme napada u periodu
2012-2012.
Troškovi sajber kriminala
Troškovi sajber kriminala
Troškovi sajber kriminala
Troškovi sajber kriminala
Aspekti primene mobilnih uređaja
• Jedan od danas najvećih izvora rizika informacione bezbednosti je u
korišćenju mobilnih uređaja za poslovne potrebe, kako službenih tako i
privatnih.
• Naime, u organizacijama se najčešće omogućuje poslovnim korisnicima
korišćenje službenih i/ili privatnih mobilnih uređaja (laptopova, tableta,
smart mobilnih telefona) za poslovne i/ili privatne potrebe.
• Korišćenje privatnih uređaja u organizaciji za poslovne svrhe je
pokriveno nedavno usvojenom skraćenicom BYOD (Bring Your Own
Device).
• Rezultati odgovarajućih istraživanja pretnji informacione bezbednosti na
osnovu korišćenja mobilnih uređaja pokazuju da su najveći rizici
informacione bezbednosti u korišćenju poslovnih podataka u formi
poruka elektronske pošte, korišćenju drugih vrsta poruka, eventualnom
logovanju tipkanja po tastaturi od strane odgovarajućeg malicioznog
softvera, nezaštićenim pozivima, prikazu lokacija, itd. 
Izazovi korišćenja BYOD uređaja
• Sa druge strane, istraživanja pokazuju da su najveći izazovi
korišćenja BYOD uređaja u sledećem: 
• Zaštita korporativnih informacija;
• Upravljanje privatnim uređajima koji sadrže kako
poslovne tako i privatne informacije;
• Praćenje i kontrola pristupa korporativnoj i privatnim
mrežama;
• Održavanje ažurnim operativnog sistema uređaja i
odgovarajućih aplikacija;
• Pronalaženje odgovarajućih bezbednosnih rešenja koja će
pokrivati što veći broj različitih operativnih sistema.
• Izazovi korišćenja BYOD uređaja
Ranjivosti i krajnje tačke
• Prikazane su najznačajnije prijavljene ranjivosti i loše
konfiguracije krajnjih tačaka u procentima :
• Radne stanice koje imaju barem jedan Bluetooth uređaj
instaliran (54 %);
• Krajnje tačke na kojima nisu podignuti softverski desktop
firewall sistemi (20 %);
• Krajnje tačke na kojima korisnici imaju lokalna
administrativna prava (35 %);
• Krajnje tačke koje nemaju ažurirane antivirus potpise (25
%);
• Krajnje tačke koje nemaju ažurirane verzije softvera (25
%);
• Krajnje tačke koje nemaju instalirane poslednje servis
pekove operativnog sistema (10 %).
Tipovi podataka koji se najčešće
šalju van organizacije

• Prikazani tipovi podataka koje zaposleni šalju van

organizacije, prijavljeni na godišnjem nivou u
periodu 2012-2014
Osvrt na najnovije pretnje,
ranjivosti i napade

 Internet je uveo revoluciju u način na koji

kompanije posluju s obzirom da je to izuzetno
efikasan, jeftin i fleksibilan protokol.
 Međutim, postojeće metode koje se koriste za
rutiranje paketa u mreži čine ih ranjivim u odnosu
na veliki opseg bezbednosnih rizika/pretnji, kao što
su: spoofing, sniffing, phishing, session hijacking,
napredne pretnje (APT – Advanced Persistent
Threats), itd.
 Takođe, TCP/IP protokol ne obezbeđuje nikakvu
formu zaštite i neporecivosti za ugovorne i
finansijske transakcije.
Osvrt na najnovije pretnje,
ranjivosti i napade
 Pored toga što moraju da obezbede interno
okruženje, organizacije moraju da obezbede i
komunikaciju između udaljenih kancelarija,
poslovnih partnera, korisnika i zaposlenih koji
putuju ili rade sa udaljenog mesta.
 Prenošenje poruka putem Interneta ili Intraneta do
tih različitih entiteta predstavlja jedan veliki
bezbednosni rizik, imajući u vidu nedostatak
zaštite u postojećoj Internet mreži.
 Kontrola i upravljanje bezbednošću i pristupom
pomenutih entiteta u poslovnom okruženju
kompanije je od izuzetnog značaja.
Osvrt na najnovije pretnje,
ranjivosti i napade
 Bez primene bezbednosnih mehanizama, i javne i
privatne mreže su ranjive na neovlašćeno
nadgledanje i pristup.
 Interni napadi mogu biti rezultat minimalne ili
nepostojeće Intranet bezbednosti.
 Rizici koji dolaze spolja u jednoj privatnoj mreži
potiču od konekcija na Internet i ekstranet.
 Kontrola pristupa korisnika samo na bazi
password-a ne može da zaštiti podatke koji se
prenose kroz mrežu.
Osvrt na najnovije pretnje,
ranjivosti i napade
 Bez primene kontrola i mera bezbednosti, vaši
podaci i sistemi mogu biti predmet napada.
 Neki napadi su pasivni u kojima se informacije
samo monitorišu.
 Drugi napadi su aktivni i informacije se menjaju sa
ciljem menjanja ili uništenja samih podataka ili
same mreže putem koje se vrši prenos podataka.
 Vaše mreže i podaci su ranjivi na bilo koji od pretnji
i tipova napada koji su navedeni u nastavku
ukoliko niste primenili odgovarajuće bezbednosne
mere.
Tipovi pretnji koji najviše zabrinjavaju
Malware
 Malware - softverski kod koji je dizajniran da načini
određenu štetu na računarskom sistemu bez znanja
vlasnika.
 Nastao je od engleskih pojmova "malicious" i
"software".
 Uključuje viruse, worms, trojan horses, spyware,
adware i druge nepoželjne i maliciozne softvere.
 Pisanje malware-a: minimalno znanje – dosta alatki
se nalazi već na Internetu
Malware – sve opasniji a sve lakši
za korišćenje
Internet
Packet Forging/ Worms
High Spoofing
Stealth Diagnostics
DDOS
Back Sweepers
Doors
Sniffers
Exploiting Known
Vulnerabilities

Disabling
Audits
Self Replicating
Code
Password Technical
Cracking
Knowledge
Password
Required
Guessing

Low 1980 1990 2000

Računarski virusi
 Računarski virus je program koji može da se
samostalno kopira i prenosi na druge
nezaštićene računare bez znanja korisnika.
 Može da se modifikuje i prenosi se preko
prenosnih medija ili računarske mreže.
 Imaju mogućnost da nanose štetu programima,
brišu fajlove ili formatiraju diskove.
Računarski crv - worm

 Računarski crv - softverski program koji se

samostalno širi na druge sisteme.
 Indirektno stvara štetu npr. zauzimajući resurse.
 Cryptovirology - Ransomware
 Crypto locker
Trojan horse
 Trojanci je softverski kod koji sadrži maliciozne
programe (izgleda primamljivo ali nakon njegovog
izvršenja dolazi do štete na sistemima).
 Trojanci se generalno šire nekom formom socijalnog
inženjerstva.
 Iako njihov informacioni sadržaj može biti bilo šta,
mnoge moderne forme trojanaca igraju ulogu tajnih
vrata (backdoor), koje u određenom trenutku (pod
kontrolom napadača) kontaktiraju svoje servere
kontrolere (Command and Control station) koji zatim
mogu imati neovlašćen pristup napadnutom
računaru.
 Za razliku od računarskih virusa i crva, Trojanci
generalno ne pokušavaju da se ubace u druge
fajlove ili da se propagiraju na drugi način
Botnet
 Botnet je mreža jednog broja računara
konektovanih na Internet koji komuniciraju sa
drugim sličnim mašinama u pokušaju da se
kompletiraju neki repetitivni zadaci i ciljevi.
 Navedena komunikacija može biti neka od
svakodnevnih komunikacija, kao što je održavanje
kontrole jednog IRC (Internet Relay Chat) kanala, ili
se mreža može koristiti da se šalju spam emailovi na
kontakte preuzete sa određenog napadnutog
računara ili da ista participira u DoS napadima.
 Reč botnet je kombinacija reči robot i mreže
(networks).
 Izraz se uobičajeno koristi sa negativnom ili
malicioznom konotacijom.
Root kit
 Rootkit je skup računarskog softvera, tiplično
malicioznog, koji je kreiran da omogući pristup
računaru ili određenom softveru na istom koji inače ne
bi bili dozvoljeni (na primer neovlašćenom korisniku)
maskirajući u isto vreme svoje postojanje ili
postojanje drugog sličnog softvera.
 Izraz rootkit je spoj reči „root“ (tradicionalno ime
privilegovanog naloga na Unix-like operativnim
sistemima) i reči „kit“ (koja se odnosi na softverske
komponente koje implementiraju neki alat).
 Izraz rootkit ima negativnu konotaciju putem
povezivanja istog sa malverom.
 Instalacija rootkit-a može biti automatska ili napadač
može isti instalirati nakon dobijanja root ili
administrativnog pristupa na datom računaru.
Primeri napada na savremene
računarske mreže
 Krađa identiteta - phishing
 Prisluškivanje
 Modifikacija podataka
 Spoofing identiteta (IP address spoofing)
 Napadi na lozinke
 Denial-of-service (DoS) napad
 Man-in-the-middle napad
 Napad kompromitacije ključa
 Sniffer napad
 Napad na aplikativnom nivou
Krađa identiteta - phishing
 To je jedan od danas najpopularnijih napada. U najkraćem,
napad se ogleda u pretvaranju da se radi o validnom web
sajtu određene organizacije, kao i da se radi o validnoj
aktivnosti (resetovanje lozinki, neke administrativne
aktivnosti, itd.) u vezi korisničkih tajnih parametara pristupa
sistemu (credentials). U tom smislu, napadač traži od
korisnika da dostavi napadaču svoje tajne parametre
(kredencijale, brojeve kartica ili bilo šta drugo).
 Drugim rečima, phishing predstavlja simuliranje pravog
bankarskog web sajta ili email adrese u cilju jednostavnog
sakupljanja tajnih parametara krajnjih korisnika koji se zatim
koriste za eventualnu krađu novca sa realnog web sajta.
 Phishing predstavlja jednu novu vrstu Internet napada koji
pre svega cilja korisnike bankarskih servisa. Phishing je
jedan od prvih bezbednosnih napada koji omogućuje
jednostavnu masovnu zloupotrebu, koja privlači organizovan
kriminal.
Phishing
 Koristi tzv. Social Engineering
 Pokušava da prevari korisnike da dostave
poverljive podatke.
 Najčešće putem emaila.
 Poznate fraze “your account will be closed”,
“update your data”
 Linkovi do web saržaja koji ne odgovaraju
pravoj adresi.
Pharming
 Pharming  je sajber napad namenjen da redirektuje saobraćaj sa jednog
Web sajta na drugi – lažni sajt.
 Pharming se može sprovesti bilo izmenom hosts fajla na računaru žrtve ili
iskorišćenjem ranjivosti softvera DNS servera.
 DNS serveri su računari odgovorni za razrešavanje Internet imena u njihove
realne IP adrese.
 Kompromitovani DNS serveri se ponekad nazivaju “zatrovanim” (poisoned).
 Pharming koristi nezaštićen pristup ka ciljanom računaru, kao što je
menjanje klijentskog kućnog računara, pre nego što se cilja poslovni server
neke organizacije.
 Izraz “pharming” je neologizam baziran na rečima “farming” i “phishing”.
 U poslednje vreme, i pharming i phishing su korišćeni da se dobiju
informacije za krađu online identiteta.
 Pharming je postao glavna briga kompanija koje hostuje e-commerce i
online banking Web sajtove.
 Sofisticirane mere poznate kao anti-pharming se zahtevaju u cilju zaštite u
odnosu na ovu ozbiljnu pretnju.
 Antivirusni softver i softver za uklanjanje spajvera ne mogu da zaštite sistem
u odnosu na pharming.
Pharming

 “automatski” Phishing
 DNS Cache Poisoning
 DNS Server Hacks
 “realne” adrese se redirektuju na pogrešne
adrese
Denial of Service napad
 Denial-of-Service (DoS) napad sprečava normalno korišćenje
računara ili računarske mreže od strane validnih korisnika.
 Napadač može realizovati neku od sledećih aktivnosti:
 Da šalje nevalidne podatke aplikacijama ili mrežnim
servisima, prouzrokujući na taj način da se prekine rad
aplikacija ili servisa ili da isti ne rade na uobičajen način;
 Da šalje veliku gomilu saobraćaja sve dok se ne prekine
rad računara ili čitava mreže;
 Da blokira saobraćaj što rezultuje u nemogućnosti pristupa
mrežnim resursima od strane autorizovanih korisnika;
 Da prevari zaposlene informacionog sistema tako da oni
nisu u mogućnosti da odmah detektuju napad. Na taj
način, napadač ima mogućnost da kreira dodatne napade.
DDoS napadi aplikativnog nivoa

• Distributed Denial of Service (DDoS) napadi su jedni od

najstarijih tipova bezbednosnih pretnji, ali su se međutim
razvili u prethodnoj dekadi da ciljaju servise aplikativnog
nivoa.
• Široko skalirani masivni napadi još uvek prisvajaju velike
glavne vesti. Međutim, najbrže rastuća kategorija ovih
napada su događaji na nivou 7 koji samo koriste nekoliko
mega bitova paketa da naprave isto toliko štete kao i raniji
napad u stotinama giga bitova.
Man-in-the-middle napad
 Kao što i samo ime kaže, man-in-the-middle napad  se
ostvaruje kada neko neovlašćeno, postavljen između dva
validna korisnika (ili klijenta i servera) koji komuniciraju, vrši
aktivno monitorisanje, prihvatanje i kontrolu komunikacije i to
bez znanja ovlašćenih korisnika.
 Na primer, ukoliko se radi o šifrovanoj komunikaciji (npr.
SSL/TLS protokol) napadač može da dogovori/uspostavi
ključeve za šifrovanje sa oba ovlašćena korisnika. Svaki
korisnik tada šalje šifrovane podatke napadaču koji može da
dešifruje podatke bez znanja legitimnih korisnika.
 Kada računari komuniciraju na niskim nivoima mrežnog sloja,
računari mogu da ne budu u mogućnosti da odrede sa kojim
računarima u mreži oni u stvari razmenjuju podatke.
 Naješće su predmet ovog napada klijent-server komunikacije
koje su zaštićene putem SSL/TLS protokola.
Napadi na Web aplikacije
• U Verizonovom Data Breach Investigations Report (Mart
2014) je publikovano da je preko 35% od svih proboja
podataka koje su oni posmatrali bilo ciljano na ranjivosti
aplikacija.
• The Open Web Application Security Project (OWASP) je
konzistentno izveštavao od 2010 da je skoro svaka web
bazirana aplikacija imala jednu ili više ranjivosti izlistanu na
njihovoj 2013 Top 10 listi aplikativnih bezbednosnih rizika.
• Oni su takođe izvestili da je 95% od svih web sajtova bilo
pogođeno jednim ili više cross-site scripting (XSS) ili SQL
injection napadaom u protekloj godini.
• Gartner je izjavio u njihovom 2014 Web Application Firewall
Magic Quadrant da oni očekuju da će preko 80% kompanija
implementirati WAF oko 2018 u cilju zaštite u odnosu na
napade na web aplikacije (do 60% u 2014).
Cross Site Scripting
• Cross-Site Scripting (XSS) napad je tip injekcije malicioznih skriptova u web
aplikacije/web sajtove.
• Napadač putem XSS napada koristi web aplikaciju da pošalje maliciozni kod,
generalno u formi skripte, drugom krajnjem korisniku.
• Nedostaci koji omogućuju uspešnost ovih napada su prilično široko
rasprostranjeni i pojavljuju se svuda gde web aplikacija koristi ulazne
podatke jednog korisnika u okviru generisanih izlaznih podataka a bez
validacije istih.
• Drugim rečima, napadač može koristiti XSS da pošalje maliciozni skript
drugom korisniku. Pretraživač žrtve nema mogućnosti da prepozna da skript
ne potiče o poverljivog izvora i izvršiće isti.
• Pošto pretraživač smatra da dolazi od poverljivog izvora, maliciozni skript
može pristupiti bilo kojim kukijima, sesijskim tokenima ili drugim osetljivim
informacijama koje se čuvaju od strane pretraživača i koriste sa navedenim
sajtom. Ovi skriptovi mogu čak da izmene sadržaj HTML stranice.
• Koristeći XSS, napadač ne cilja žrtvu direktno. Umesto toga, napadač će
iskoristiti slabost web aplikacije koju žrtva posećuje koristeći tako ranjivi
web sajt kao sredstvo za isporuku malicioznog skripta žrtvinom pretraživaču.
SQL Injection
• SQLi (SQL injection) je proces "injektovanja" posebnog koda u bazu
podataka, što hakerima obično omogućava pristup administratorskom
panelu i difejsovanje sajta.
• Obično su mete neosigurani sajtovi sa MySQL bazama podataka, koja ima
sigurnosni propust.
• Sve je više takvih napada, a administratori se trude da poprave greške u
sistemima. Uprkos tome hakeri i dalje pronalaze nove nedostatke sistema i
svakog dana se hakuje mnoštvo sajtova.[
• SQL injection predstavlja umetanje malicioznog koda u SQL naredbe putem
ulaznih podataka na web stranici.
• SQL injection se obično koriisti kada aplikacija zahteva od korisnika neke
ulazne podatke (kredencijali, itd.) a umesto kredencijala, napadač umeće
SQL naredbu koju aplikacija neznajući izvršava na svojoj bazi podataka.
• Uspešni SQL injection napad može čitati osetljive podatke iz baze podataka,
modifikovati bazu (Insert/Update/Delete), izvršiti administrativne operacije
na bazi (npr. shutdown), povratiti sadržaj datog fajla koji je prisutan na
DBMS fajl sistemu i u nekim slučajevima može izvrštiti komande
operativnom sistemu.
Advanced Persistent Threats (APT)
• APT (Advanced Persistent Threat)  je jedan skup tajnih i
kontinualnih procesa hakovanja računara, koji su često
orkestrirani od strane ljudi koji ciljaju jedan specifični entitet.
• APT često ciljaju organizacije i/ili nacije iz poslovnih ili
političkih motiva.
• APT procesi zahtevaju visok nivo prikrivenosti tokom dugog
perioda vremena.
• “Napredni” (Advanced) proces označava sofisticirane tehnike
korišćenja malvera za iskorišćenje ranjivosti u sistemima.
• “Uporan” (Persistent) proces sugeriše da eksterni CnC
(Command and Control) sistem kontinualno nadzire i
ekstrahuje podatke sa specifičnog cilja.
• “Pretnja” (Threat) proces indicira ljudsko učešće u
orkestriranju napada.
Advanced Persistent Threats (APT)

• Advanced Persistent Threats su kastomizovano

razvijene pretnje koje omogućuju ciljane napade.
• Iste mogu da izbegnu direktnu detekciju, koristeći
prethodno neidentifikovani (ili „zero-day“) malver,
da iskoriste ranjivosti (nezakrpljene bezbednosne
rupe) kao i da dođu sa potpuno novih ili naizgled
nevinih hosting URL-ova i IP adresa.
• Njihov cilj je da kompromituju ciljani sistem sa
tehnikama naprednog koda koji pokušava da
prevaziđe bezbednosne barijere i da ostane ispod
radara koliko god je moguće.
Tradicionalne tehnike više ne
rešavaju probleme na efikasan način
Tradicionalne tehnike više ne rešavaju
probleme na efikasan način
• Naime, čak iako je organizacija primenila napredna firewall i
IPS rešenja u svojoj mreži, ta rešenja ne mogu zaštititi vašu
mrežu i sistem od današnjih najnovijih pretnji. Napadači su se
adaptirali da iskoriste ranjivosti za koje navedeni sistemi nisu
dizajnirani da detektuju, kao na primer:
• Email slabosti – korisnici se ciljaju putem phishing-a i spam-a da bi
se zadobio pristup internoj mreži;
• DdoS napadi na nivou 7 – tradicionalna zaštita se zaobilazi sa
događajima malog volumena koji ciljaju servise na aplikativnom nivou;
• Napredni malver – napadi visokog tehnološkog nivoa koji koriste
višestruke tehnike da „preskoče“ firewall i IPS uređaje;
• Aplikativne ranjivosti – primenjena makar i napredna firewall i IPS
rešenja ostavljaju aplikacije otvorene za napade tipa Cross-Site
Scripting (XSS) i SQL injection (SQLi);
• Preopterećenje SSL – brz razvoj bezbednih aplikacija zatrpava
servere.
Tradicionalne tehnike više ne
rešavaju probleme na efikasan način
Postojeći trendovi
Najveći cilj napada danas - aplikacije
Najnoviji napadi

• 2014
• Hearbleed
• Shellshock
• POODLE
• 2015
• Ghost
• Freak
Heartbleed
• HeartBleed  greška je ozbiljna slabost popularne OpenSSL
kriptografske softverske biblioteke.
• Navedena slabost omogućava krađu informacija koje su pod
normalnim uslovima zaštićene SSL/TLS protokolom za
zaštitu Internet komunikacija.
• SSL/TLS protokol omogućava bezbednost i privatnost
komunikacija putem Interneta za aplikacije kao što su Web,
email, instant messaging, kao i određene virtuelne private
mreže (VPN).
• HeartBleed greška omogućava bilo kome na Internetu da
čita memoriju sistema zaštićenih ranjivim verzijama
OpenSSL softvera.
• Na ovaj način se mogu kompromitovati tajni ključevi
korišćeni za identifikaciju servis provajdera (asimetrični
privatni ključ) i za šifrovanje saobraćaja (simetrični tajni
ključ), imena i lozinke korisnika, kao i aktuelni sadržaj.
Heartbleed
• Ova greška omogućava napadačima da prisluškuju komunikacije, kradu
podatke direktno od servisa i korisnika, kao i da lažiraju identitete
servisa i korisnika.
• Testovi pokazuju da napadači mogu, bez korišćenja bilo kojih
privilegovanih informacija ili kredencijala, da ukradu asimetrični privatni
ključ servera, simetrične sesijske tajne ključeve, korisnička imena i
lozinke, instant poruke, email poruke i poslovno kritične dokumente i
komunikaciju.
• Sve dok se koristi ranjiva verzija OpenSSL biblioteke, moguće ju je
zloupotrebiti.
• U cilju eliminisanja navedenog bug-a kreirana je zakrpa koja se mora
primeniti.
• Proizvođači i distributeri operativnih sistema, proizvođači appliance
uređaja i nezavisni softverski proizvođači moraju da usvoje ovu zakrpu i
da obaveste svoje korisnike.
• Servis provajderi i korisnici moraju da instaliraju ovu zakrpu kada
postane raspoloživa za operativne sisteme, mrežne appliance uređaje i
softver koji oni koriste.
Shellshock
• Shellshock , takođe poznat kao Bashdoor, predstavlja familiju bezbednosnih
greški (bug-ova) u široko korišćenom Unix Bash shell alatu. Prva takva
greška je otkrivena 24.09.2014. godine.
• Mnogi servisi dostupni sa Interneta, kao što su neke Web serverske
aplikacije, koriste Bash da procesiraju izvesne zahteve, omogućavajući
napadaču da iskoriste ranjive verzije Bash alata u cilju izvršenja proizvoljnih
komandi.
• Navedena ranjivost može omogućiti napadaču da dobije neovlašćeni pristup
računarskom sistemu. Prva greška prouzrokuje da Bash nenamerno izvršava
komande kada su komande dodate na kraj definicija funkcija koje se čuvaju
u vrednostima promenljivih okruženja.
• Napadači iskorišćuju Shellshock u periodu od nekoliko sati od inicijalnog
otkrivanja za kreiranje bot mreže kompromitovanih računara u cilju izvršenja
DDoS napada i skeniranja ranjivosti.
• Bezbednosne kompanije su zabeležile milione napada i pokušaja npada koji
se odnose na datu grešku u danima od otkrivanja istog.
• Potencijalno, Shellshock može kompromitovati milione nepečovanih servera i
drugih sistema. Stoga, upoređen je sa Heatbleed greškom po svojoj
ozbiljnosti.  referenca
POODLE
• POODLE  ("Padding Oracle On Downgraded Legacy Encryption")
ranjivost je nova ranjivost SSL 3.0 protokola koja omogućava “man-in-
the-middle” napad, kao što je maliciozni Wi-Fi access point ili
kompromitovan Internet provajder, u cilju ekstrakcije osetljivih
podataka iz “bezbednih” HTTPS konekcija.
• Napad se zasniva na činjenici da većina web servera i web pretraživača
omogućavaju i dalje korišćenje starog SSL v3.0 protokola u cilju zaštite
komunikacije. Iako je SSL zamenjen sa TLS protokolom, i dalje se to
zahteva u cilju kompatibilnosti sa IE6.
• SSLv3.0, za razliku od TLSv1.0 ili novijeg, ne sprovodi validaciju
određenih delova podataka koji prate svaku poruku. Napadači mogu
da iskoriste tu slabost u cilju dešifrovanja individualnog bajta u jednom
trenutku, tako da se može ekstrahovati otvoreni tekst poruke
dešifrovanjem bajt po bajt.
• TLSv1.0 i novije verzije sprovode robusniju validaciju dešifrovanih
podataka i kao takve nisu osetljive na isti problem. Ali za SSLv3.0
verziju nema rešenja problema.
• Konačno rešenje je da se disable-uje SSLv3.0 kako na serverskoj strani
tako i u klijentskim pretraživačima.
Ghost ranjivost
• Jedna visoko kritična ranjivost je pronađena u GNU C (glibc)
biblioteci, jednoj široko korišćenoj komponenti većine Linux
distribucija, koja bi mogla da omogući napadačima da izvrše
maliciozni kod na serverima i zadobiju udaljenu kontrolu nad
Linux mašinama.
• Ova ranjivost, nazvana “GHOST” (“DUH”)  je uočena i
otkrivena od strane istraživača bezbednosti iz firme Qualys.
GHOST ranjivost se smatra kritičnom zato što hakeri mogu da
iskoriste istu da tiho zadobiju kompletnu kontrolu nad
ciljanim Linux sistemom bez potrebe za prethodnim znanjem
sistemskih kredencijala (tj. administrativnih lozinki).
• Ova mana predstavlja ogromnu Internet pretnju, na određeni
način sličnu prethodnim ranjivostima kao što su Heartbleed,
Shellshock i Poodle.
FREAK
 FREAK ("Factoring RSA Export Keys") napad predstavlja iskorišćenje kriptografske
slabosti u SSL/TLS protokolu koja je uvedena mnogo ranije u cilju saglasnosti sa
kriptografskim izvoznim regulativana SAD.
 Ove regulative su uključivale ograničenja u izvozu softvera samo na isti koji koristi
kratke asimetrične ključeve, tj. RSA modulus od 512 bita ili manje (takozvani RSA
izvozni ključevi), sa namerom da je moguće iste lako probiti od strane NSA, ali ne i
od strane drugih organizacija sa manjim računarskim resursima.
 Međutim, u ranim 2010-tim godinama, povećanje računarske snage je značilo da
RSA algoritam sa navedenim kratkim ključevima može biti probijen od strane bilo
koga sa posedovanjem relativno skromnih računarskih resursa i korišćenjem dobro
poznatog Number Field Sieve algoritma, i uz to koristeći cloud računarske servise za
ne više od 100 dolara.
 Kombinovanje mogućnosti man-in-the-middle napada u cilju manipulisanja inicijalnim
dogovaranjem u vezi kriptografskih algoritama koji će se koristiti za sesiju (cipher
suite) između krajnjih tačaka u konekciji i činjenice da krajnja heš vrednost zavisi
samo od master tajnog ključa, znači da man-in-the-middle, samo sa skromnim
računarskim resursima, može probiti bezbednost bilo kog Web sajta koji omogućava
korišćenje RSA ključeva od 512 bita.
 Iako je slabost otkrivena u 2015, osnovne ranjivosti RSA algoritma sa kratkim
ključevima postoje već mnogo godina, još iz doba 90-tih godina prošlog veka.
Ciljanje krajnjih korisnika
• Za sajber kriminalce, korporativni korisnički kredencijali
predstavljaju put najmanje odbrane kada oni pokušavaju da
zadobiju pristup korporativnim mrežama i podacima.
• Tako da nije iznenađenje da je krađa kredencijala zaposlenih
(username/password) postao primarni fokus za napadače.
• U stvari, istraživanja postojećih proboja otkrivaju da gubitak ili
krađa korporativnih kredencija igra značajnu ulogu u
omogućavanju uspeha naprednih pretnji, sa procenom od
76% mrežnih proboja usled gubitka ili krađe kredencijala.
• To uključuje kako autentikacione kredencijale, kao što su
username/password, tako i lične identifikacione informacije
(imena, adrese, telefonski brojevi, brojevi osiguranja, itd.) koji
se često koriste u bezbednosnim challenge-response
upitnicima.
Danas najčešći napadi na
korisničke kredencijale
• Danas, sajber kriminalci najčešće kradu korisničke
kredencijale (username/password) na jedan od
sledećih načina:
• Malver (maliciozni kod)
• Phishing i Spear phishing
• Proboji trećih strana (Third Party breaches)
Malware
• Napadači koriste različite tehnike da kompromituju korisničke
mašine sa malverom – od drive-by downloads preko
watering hole napada pa do infected USB drives i drugih.
• Key-logging obeležja koja snimaju korisničko tipkanje po
tastaturi za vreme logovanja i slanje informacija napadaču se
nalaze u skoro svim današnjim familijama malicioznog koda.
• Dok postoji shvatanje da su ovi napadi usmereni ka najširoj
mreži, realnost je da su oni često deo APT pretnji koje ciljaju
specifične kompanije ili industrije.
• Istraživanja skorašnjih krađa kredencijala su razotkrila da u
svakom slučaju – bez obzira da li je korisnik poslao
„naoružan“ prilog sa odgovarajućim exploit-om ili je posetio
kompromitovan sajt – taj događaj je bio deo jednog
planiranog i usmerenog napada na organizaciju.
Drive-by downloads
• Drive-by download označava dve stvari, a svaka se tiče
neželjenog download-a računarskog softvera sa Interneta:
• Download-ovanje za koje je lice ovlašćeno ali ne razume posledice
(na primer: download-ovanje koje instalira npoznat ili falsifikovan
izvršni program, ActiveX komponentu ili JAVA aplet).
• Bilo koje download-ovanje koje se dešava bez znanja lica, često u
obliku računarskog virusa, spyware, malware ili crimeware
• Drive-by downloads se može desiti kada se posećuje
određeni web sajt, kada se pregleda email poruka ili kada se
klikne na prevarni pop-up prozor;
• Drive-by install (ili installation) je sličan događaj. Odnosi
se na instalaciju pre nego na download (iako se ponekad ta
dva termina koriste naizmenično).
Watering hole napad
• Watering Hole predstavlja strategiju računarskog napada
koja je identifikovana 2012. od strane RSA Security, i u kome
je žrtva jedna posebna grupa (organizacija, industrija, ili
region).
• U ovom napadu, napadač pogađa ili ispituje koje web sajtove
grupa često koristi i inficira jedan ili više njih sa malverom.
• Eventualno, neki član ciljane grupe će se i zaraziti.
• Oslanjajući se na web sajtove kojima grupa veruje čini ovu
strategiju efikasnom, čak i kada su grupe otporne na spear
phishing i druge forme phishing-a.
Infected USB drive
• Kreatori virusa i malvera su veom kreativni.
• Popularnost USB memorija daje autorima takvih softvera
jednu divnu novu mogućnost.
• USB memorije mogu biti zaražene jednostavnim
insertovanjem iste u zaraženu radnu stanicu.
• Koristeći Windows obeležje poznatu kao Autorun inficirani
USB će preneti malver na bilo koju mašinu na koju se
priključi.
• Najpoznatiji primer ovog tipa napasti je malver poznat kao
Conficker ali postoji i puno drugih.
Phishing
• Phishing predstavlja pokušaj da se dođe do osetljivih
informacija kao što su korisnička imena, lozinke i detalji
kreditnih kartica (a ponekad indirektno i novac), često iz
malicioznih razloga, putem maskiranja u poverljive entitete u
elektronskoj komunikaciji.
• Phishing email poruke mogu sadržati linkove ka web sajtovima
koji su zaraženi sa malverom.
• Phishing se tipično sprovodi putem email prevara ili obmana u
instant messaging sistemima, a često usmerava korisnike da
unesu detalje na lažnim web sajtovima koji liče skoro identično
na legitimne sajtove.
• Phishing je jedan primer tehnika socijalnog inženjeringa koji se
koristi da se prevare korisnici, i iskoristi (ekploatiše)
osiromašena korisnost postojećih web bezbednosnih
tehnologija.
Spear Phishing

• Spear phishing je jedan pokušaj email prevarne

pronevere koji cilja specifičnu organizaciju, pokušavajući
da se dođe do neovlašćenog pristupa poverljivim
podacima.
• Spear phishing pokušaji nisu tipično inicirani od strane
slučajnih hakera ("random hackers„) već se mnogo
verovatnije sprovode od strane zločinaca za dolaženje do
finansijske zarade, trgovinskih tajni ili vojnih informacija.
Proboji trećih strana
• Kako se zahtevana kompleksnost lozinki povećava, zaposleni su
u situaciji da verovatno ponovo iskoriste njihova korisnička
imena i lozinke na sajtovima elektronske trgovine, pretplatničkim
sajtovima, kao i na sajtovima društvenih mreža, uprkos
korporativnim politikama koje to izričito zabranjuju.
• Iz navedenih razloga, sajber kriminalci su promenili njihov fokus
na popularne Web sajtove u cilju dobijanja korisničkih
informacija, znajući da postoji velika verovatnoća da se isti
kredencijali, pored korporativnih aplikacija, mogu takođe koristiti
i za logovanje na druge sisteme.
• Udarne svetske vesti su pune informacija o visoko opsežnim
probojima na vodeće Web sajtove, u nekima od njih su stotine
miliona korisničkih naloga kompromitovani.
• Značajne nove ranjivosti, kao što je Heartbleed greška, ističu
rizik kojima su kompanije izložene iz razloga ponovnog
korišćenja lozinke.
Proboji trećih strana – primer sa gmail
adrese poznatog korisnika
Nadam se da ce ovo stici na vreme. Ja sam putovanje za
Pariz, Francuska i imala sam torbu koju su mi ukrali na
autobuskoj stanici sa sve moje lične stvari:telefon,novac i
pasoš. Pokusala sam da resim to,zbog toga vas molim da mi
pozajmite 1,500 eura kako bih resila na problem. novac cu
vam vratiti cim se vratim iz Francuska. Western uniona je
najbolji i najbrzi nacin da primim novac. Mogu vam poslati
informacije o tome kako da mi posaljete novac.
 
Nadam se da se uskoro cuti.
 
S poštovanjem,
Tradicionalna zaštita
korisničkih kredencijala
• Tradicionalno, kompanije štite korporativne kredencijale na tri
načina:
• Stroge politike i rešenja upravljanja identitetom i pristupom koji vode ka
bezbednijem kreiranju i korišćenju lozinki
• Intenzivna edukacija i program za podizanje svesti zaposlenih u
odnosu na rizike i odgovornosti korisnika
• Anti-malver i tehnologije detekcije pretnji
• Iako je svaki od navedenih načina kritičan za održavanje jakog
bezbednosnog položaja kompanije, isti nisu više dovoljni za
sprečavanje krađe kredencijala u današnjoj situaciji
• U stvari, u mnogim veoma publikovanim probojima, svaka
kompanija koja je bila napadnuta je imala implementirane
tradicionalne tehnologije i programe, a ipak je izgubila
korporativne kredencijale tokom napada.
Tradicionalna zaštita
korisničkih kredencijala
• Razlog: ljudsko ponašanje.
• Napadači znaju da je samo stvar vremena pre nego što
zaposleni uradi jednu od sledećih aktivnosti:
• Greškom klikne na link u email poruci i unese kredencijale u nešto što
se čini da je poverljivi web sajt.
• Ponovo koristi njegove ili njene korporativne kredencijale na
sajtovima trećih strana, pošto je lakše zapamtiti jednu lozinku umesto
šest ili više lozinki.
• Neznajući postanu žrtve napada drive-by download, watering hole ili
infected USB drive.
• Kao rezultat, jedan od najvećih izazova sa kojima se
kompanije suočavaju u zaštiti korporativnih kredencijala je u
sprovođenju postojećih polisa i sprečavanje kriminalaca da
iskoriste ljudsko ponašanje.
 Povećana kompleksnost lozinke
povečava verovatnoću ponovnog
korišćenja iste
• Uobičajeno je danas za korporativne bezbednosne polise da se
zahteva od zaposlenih da kreiraju lozinke sa 8 ili više karaktera
koji uključuju mala i velika slova, cifre i simbole.
• Međutim, što je kompleksnija lozinka to je teže za zaposlenog
da je zapamti i to kreira jednu nenamernu posledicu. Povećava
se verovatnoća da se ponovo koristi ista lozinka, ili deo iste,
kako na korporativnih tako i na nekorporativnim aplikacijama
• Jedna studija pokazuje da do 51% korisnika ponovo koriste
njihove kredencijale na različitim sajtovima kreirajući rizik za
kompanije.
• Čak i sa edukacijom da se pomogne korisnicima da kreiraju
bezbedne ali zapamtljive lozinke, ponovo korišćenje ostaje
visoko procentno.
Edukacija zaposlenih ne može da
spreči ljudsku grešku
• U cilju pomoći da se sprovode politike lozinki, ICT i
bezbednosni sektori isporučuju security awareness programe
koji uče zaposlene u vezi rizika ponovnog korišćenja lozinke i
kako štititi korporativne kredencijale.
• Međutim, većina kompanija nema načina da sprovodi ove
politike, čak niti da zna da li zaposleni poštuju iste ili ne.
• Kao što je rečeno ranije, industrijska statistika govori da 50$
svih zaposlenih ne poštuje te direktive.
• Čak i kada su zaposleni marljivi u sprovođenju polisa, sajber
kriminalci znaju da jedan dobro osmišljen spear phishing
email, koristeći informacije dobijene taktikom socijalnog
inženjeringa, može ponekad uveriti i prevariti čak i zrelog
bezbednosnog eksperta.
 Anti-malver softver pruža lažni osećaj
bezbednosti
• Kompanije takođe koriste anti-malver softver da pomognu u
detekciji i sprečavanju malver baziranih pretnji ali ovaj pristup
ne sprečava krađu kredencijala iz dva osnovna razloga.
• Prvo, sajber kriminalci kontinualno kreiraju novi malver i,
povremeno, ove nove varijante izbegavaju detekciju. U stvari, u
jednom publikovanom napadu, spear phishing email je
implementirao napredni malver na sistem zaposlenog koji je
zaobišao korporativni antimalver softver. Kriminalci su dobili
pristup korisničkoj mašini, skinuli njegove kredencijale i
pristupili korporativnim sistemima i aplikacijama kao rezultat.
• Drugo, sajber kriminalci ne koriste uvek malver da ukradu
kredencijale zaposlenog. Oni samo treba da prevare korisnike
da unesu njihove kredencijale na phishing sajt i rezultat je isti.
Sprečavanje krađe korisničkih
kredencijala – današnji odgovor
• Danas, efektivno sprečavanje krađe korporativnih
kredencijala od naprednih pretnji zahteva sledeće tri
suštinske sposobnosti:
• Sprečavanje malvera da kompromituje korisnički sistem a, u
slučajevima kada malver izbegava detekciju, pomoć u sprečavanju
malvera da pošalje napolje izložene korporativne kredencijale. To
sprečava malver komunikaciju da šalje ukradeno tipkanje po tastaturi
ka sajber kriminalcu.
• Validacija da se korporativni kredencijali koriste samo za logovanje na
odobrene korporativne aplikacije – bilo da su aplikacije hostovane
interno, ili isporučene od strane SaaS vendora ili poslovnog partnera,
ili putem cloud-a.
• Automatsko sprečavanje da se korporativni kredencijali šalju ka
neovlašćenim sajtovima. To može da pomogne da spreći korisnike da
šalju njihove kredencijale ka phishing sajtovima, kao i da pomogne da
se zaustavi ponovo korišćenje korporativnih kredencijala na
neovlašćenim sajtovima trećih strana, kao što su društvene mreže.
Sprečavanje krađe korisničkih
kredencijala – današnji odgovor

• Fokusirajući se kako na korišćenje tako i na prenos

samih kredencijala, kompanije mogu postići veći
uspeh u sprovođenju bezbednosnih polisa i
sprečavanju krađe kredencijala.
Sprečavanje krađe korisničkih
kredencijala
Email ranjivosti
• Posedujući čak implementirane i najnaprednije bezbednosne frewall
sisteme, sve što treba da se uradi je jedan klik korisnika na
odgovarajući link u malicioznoj email poruci da se preskoči vaša
pažljivo osmišljena mrežna zaštita.
• Mnoge spam i phishing email poruke koje napadači šalju mogu da
prevare čak i najopreznije korisnike sa „nevinom“ komunikacijom
koja izgleda kao da stiže iz pouzdanih izvora ili čak od vašeg
sopstvenog IT sektora.
• Email sistem je takođe jedan od ključnih vektora napada za socijalni
inženjering.
• Pametni napadači mogu danas lako da pristupe konekcijama na
Facebook-u, LinkedIn-u i drugim sajtovima društvenih mreža i da
lako dobiju kontaktne informacije.
• Zatim oni oblikuju email poruke da izgledaju kao da su poslate od
legitiminh prijatelja i kolega u pokušaju da prevare korisnike da
download-uju maliciozne priloge ili da ih usmere ka web sajtovima
gde malver može biti instaliran.
Email ostaje najviši cilj

• Čak i sofisticirani korisnici samo mogu da priželjkuju da ne

budu predmet napada naprednih phishing šema
• Oticanje podataka osetljivih materijala je glavni rizik za
organizacije
• Email poruke sa linkovima ka web sajtovima lako kreiraju
bezbednosne pretnje za vašu mrežu
• Firewall uređaji ne mogu da zaustave korisnike da čine
greške
• Potrebno je rešenje koje može da skenira poruke na
spam, phishing i sumnjive linkove i da tako spreči
korisnike i organizacije da budu napadnuti
Email rizici
• Email je kritičan poslovni servis bez koga organizacije ne
mogu da prežive, ali je isti u isto vreme jedna od najvećih
bezbednosnih ranjivosti
• Postao je primarni cilj koji kriminalci koriste da bi zadobili
prednost nad neefektivnim bezbednosnim polisama i
nesofisticiranim korisnicima.
• Email pretnje dolaze u dve primarne forme, dolazeće i
odlazeće:
• Dolazeće su tradicionalne pretnje kao što su spam i phishing napadi,
koji pokušavaju da namame korisnike da dostave/otkriju osetljive
informadije kao što su login kredencijali i informacije o kreditnim
karticama.
• Odlazeće pretnje nisu stvarni napadi, već su pre rizici za osetljive
informacije vaše organizacije.
• Zaposleni, ugovorci i konsultanti imaju mogućnost da pošalju
privatne informacije vaše organizacije bilo kome i bilo gde.
• Nekada se to čini greškom a nekada namerno.
Kako napadači kradu vaše podatke
Kako napadači kradu vaše podatke
Sedam faza naprednih pretnji

• Napredne pretnje se pojavlju u „ubitačnim lancima“

(kill chains) koji imaju do sedam faza.
• Ne zahtevaju sve pretnje korišćenje svih sedam faza,
omogućujući sajber kriminalcima stotine ili čak hiljade
načina da kreiraju i izvrše napade krađe podataka.
• Izraz „ubitačni lanac“ se odnosi na mogućnost da se
zaustavi neki napad u bilo kojoj od navedenih faza –
ukoliko se primene pravi mehanizmi odbrane.
Sedam faza naprednih pretnji
Sedam faza naprednih pretnji -
Recon
• STAGE 01: RECON
• U RECON fazi, sajber kriminalci istražuju njihove
žrtve korišćenjem personanih i poslovnih web
sajtova, kao i sajtova društvenih mreža.
• Oni traže informacije koje će im pomoći da kreiraju
naizgled poverljive „mamce“ (lure) koji sadrže
linkove do kompromitovanih web sajtova pod
njihovom kontrolom. Neki mamci koriste skorašnje
katastrofe, društvene drame ili smrt poznatih ličnosti
da zainteresuju potencijalne žrtve.
Sedam faza naprednih pretnji -
Lure
• STAGE 02: LURE
• Korišćenjem informacija sakupljenih u RECON
fazi, sajber kriminalci kreiraju „mamce“
bezopasnog izgleda koji mogu da prevare
korisnike da kliknu na linkove ka
kompromitovanim web sajtovima.
• Mamci su okačeni u email porukama, postovima
društvenih mreža ili drugom sadržaju koji izgleda
kao da stiže od poverljivih izvora.
Sedam faza naprednih pretnji -
Redirect

• STAGE 03: REDIRECT

• U njihovim mamcima, sajber kriminalci mgu da
koriste linkove koji upućuju korisnike na sajtove
bezbednog izgleda ili skrivene web stranice koje
onda „redirektuju“ korisnike na sajtove koji
sadrže exploit kits, exploit code, obfuscated
scripts ili drugi maliciozni sadržaj.
Sedam faza naprednih pretnji
– Exploit Kit

• STAGE 04: EXPLOIT KIT

• Kada korisnik klikne na link ka kompromitovanom
web sajtu, softver poznat kao exploit kit skenira
sistem žrtve u cilju pronalaženja otvorenih
ranjvosti ili zeroday pretnje.
• Ove slabosti mogu postati otvorena vrata za
isporuku malvera, key logger-a ili drugih
naprednih alata koji omogućuju sajber
kriminalcima da se dalje infiltiraju u mreže žrtve.
Sedam faza naprednih pretnji –
Dropper file
• STAGE 05: DROPPER FILE
• Kada exploit kit pronađe put za isporuku malvera,
sajber kriminalci isporuče “dropper file”, tipično sa
drugog kompromitovanog servera, u cilju zaraze
sistema žrtve.
• Dropper file može sadržati softver koji se izvršava na
sistemu žrtve u cilju pokretanja procesa pronalaženja i
ekstrakcije vrednih podataka.
• Neki dropper file-ovi ostaju skriveni („uspavani“) u
jednom unapred definisanom periodu vremena u cilju
izbegavanja detekcije, a mogu da uključuju dodatne
izvršne programe u cilju isporuke malvera u
budućnosti.
Sedam faza naprednih pretnji
– Call home
• STAGE 06: CALL HOME
• Kada dropper file zarazi ciljni sistem, on šalje poziv
(“calls home”) ka komandnom i kontrolnom
serveru da bi download-ovao dodatne programe,
alate ili instrukcije.
• Ovo je prva tačka (faza) kada se uspostavlja
direktna veza između napadača i zaraženog
sistema.
Sedam faza naprednih pretnji
– Data theft
• STAGE 07: DATA THEFT
• Kao kraj igre najmodernijih sajber napada, faza
krađe podataka kompletira datu pretnju ubitačnog
lanca.
• Sajber kriminalci kradu intelektualnu svojinu, lične
identifikacione informacije ili druge vredne podatke
za finansijsku korist ili za korišćenje u drugim
napadima.
Načini napada
Odbrana koja se zahteva za primenu
• Napadi sajber kriminalaca koji prate navedeni model faznog
napada uspešno prevazilaze tradicionalne odbrambene
mehanizme i kradu podatke.
• Ovi napredni napadi se dešavaju previše često da bi
odgovarajući potpisi bili razvijeni, čineći tradicionalne
pojedinačne odbrane u nemogućnosti da odgovore (da se
odbrane).
• Organizacije treba da ispune tri ključna zahteva u cilju
odbrane od navedenog faznih naprednih napada:
• Mehanizme odbrane u realnom vremenu koji mogu da
identifikuju zero-day pretnje i iste bez potpisa, kao i APT
• Integrisana web i email rešenja, kao i rešenja bezbednosti
podataka, osnaženih inteligencijom u realnom vremenu
• Napredne odbrane suzbijanja odlivanja podataka u cilju
zaštite od krađe i gubitka podataka.
Informaciona bezbednost
• Svedoci smo da je pitanje informacione
bezbednosti postalo goruće pitanje za mnoge
organizacije, bez obzira da li su internacionalne
kompanije, domaća velika preduzeća, državni
organi, javna preduzeća, banke ili mala i srednja
preduzeća.
Informaciona bezbednost
• Naime, ugrožavanjem informacione bezbednosti
navedenih organizacija može doći do različitih
incidenata koji mogu da prouzrokuju između
ostalog:
• Trajni gubitak podataka
• Upad hakera u računarsku mrežu organizacije
• Otkrivanje osetljivih podataka organizacije
neovlašćenim trećim licima
• Krađu podataka koji predstavljaju poslovnu tajnu
kompanije
• Krađu podataka koji predstavljaju privatne podatke
klijenata ili zaposlenih
• Gubitak podataka zbog otkazivanja opreme i
nepostojanja odgovarajućeg bekapa
Informaciona bezbednost
• Posledice gore navedenih incidenata – gubitka
podataka, mogu biti veoma teške ili čak
katastrofalne po organizaciju, a između ostalih:
• Prekid poslovanja, privremeno ili trajno
• Gubitak image-a organizacije
• Regulatorne kaznene mere od strane odgovarajućeg
regulatora ukoliko su otkriveni privatni podaci klijenata
• Iz gore navedenog se može zaključiti da je
sprovođenje kontinualne bezbednosne risk
analize, kao i uvođenje i primena bezbednosnih
kontrola informacione bezbednosti od izuzetnog i
suštinskg značaja za svaku organizaciju.
Informaciona bezbednost
• Međutim, postojeća iskustva govore da nije tako i
da organizacije uglavnom veoma neozbiljno
shvataju problem održavanja informacione
bezbednosti u kompaniji.
• Naime, za razliku možda od banaka i telekom
operatera i eventualno nekih drugih organizacija,
velika većina organizacija (uključujući pre svega
državne organe, neka javna preduzeća, a
pogotovo mala i srednja preduzeća) poklanja
veoma malo ili nimalo pažnje na kontinualnu
bezbednosnu risk analizu i na primenu kontrola
informacione bezbednosti.
Informaciona bezbednost
• Ovaj zaključak se pre svega protkrepljuje
činjenicom da mnoge organizacije (uključujući
državne organe, neka javna preduzeća, a
pogotovo mala i srednja preduzeća) imaju malo ili
nemaju uopšte zaposlenih u oblasti informacionih i
komunikacionih tehnologija.
• Takve organizacije se uzdaju u ad hoc rešenja
povremenog i privremenog angažovanja
određenih ICT kadrova koji nisu stalno zaposleni u
datoj organizaciji ili se opredeljuju za kompletni
outsourcing ICT usluga.
Tehničke (nekriptografske)
kontrole
 IAM (Identity and Access Management) sistem
 BCM (Business Continuity Management)
 NAC (Network Admission Control)
 SMTP proxy
 Web application firewall
 IPS/IDS sistemi
 Web Content filtering
 SIEM (Security Information and Event Monitoring)
 End Point Security sistem
 Security Awareness program
Теhnоlоgiје zаštitе
(kriptografske)
• Оsnоvni kriptоgrаfski аspеkti sаvrеmеnih
rаčunаrskih TCP/IP mrеžа:
• Теhnоlоgiја digitаlnоg pоtpisа bаzirаnа nа
аsimеtričnim šifаrskim sistеmimа
• Zаštitа tајnоsti pоdаtаkа primеnоm simеtričnih
šifаrskih sistеmа
• Infrаstrukturа sistеmа sа јаvnim klјučеvimа
(PKI – Public Key Infrastructure)
 Bаnkа kојој
ABC pripаdа ABC
ISPLATI XYZ ISPLATI XYZ ISPLATI XYZ
100 din. 100 din. 100 din.
ABC ABC ABC

Prisluškivаnjе kоmunikаciја – оtkrivаnjе lоzinki i PIN

brојеvа
Remote transactions require
PRIVACY

…to preserve confidentiality

 Bаnkа kојој
ABC pripаdа ABC
ISPLATI XYZ kоmunikаciја ISPLATI XYZ
100 din. 100 din.
ABC ABC

XYZ

NАPАDАČ SЕ LАŽNО PRЕDSТАVLjА KАО LЕGАLNI

PОSLОVNI PАRТNЕR
ABC komunikacija
ISPLATI XYZ Bаnkа kојој
100 din.
ABC ?? pripаdа ABC

ISPLATI XYZ ISPLATI XYZ ISPLATI XYZ

100 din. 100 din. 100 din.
ABC ABC ABC

ISPLATI XYZ
100 din.
XYZ ABC

UNIŠТЕNјЕ VАLIDNЕ PОRUKЕ ILI NјЕNО RЕPLICIRАNјЕ

Remote transactions require
AUTHENTICATION

…to palliate the lack of visual /

physical exchange
> prevent impersonation !
 Bаnkа kојој
ABC pripаdа ABC
ISPLATI XYZ kоmunikаciја ISPLATI XYZ
100 din. 1000 din.
ABC ABC

ISPLATI XYZ
1000 ДИН.
ABC 1000

XYZ

NЕLЕGАLNА МОDIFIKАCIЈА SАDRŽАЈА PОRUKЕ – PRОMЕNА

PОRUKЕ U TRАNZITU
Remote transactions require INTEGRITY

…to prevent data corruption

 ABC Bаnkа kојој
pripаdа ABC
ISPLATI XYZ
10000 din.
ABC

ЈЕDАN ОD PАRТNЕRА PОRIČЕ ОDGОVОRNОSТ ZА IZDАТU /

PRIМLjЕNU PОSLОVNU PОRUKU
Remote transactions require
NON REPUDIATION

…to prevent fake transactions

Help bridge the gap
between real life...
Trust based on physical contact
… and virtual life

Internet
Extranet
Intranet

Trust based on securely stored

- Keys
- PIN-s
- Certificates
Zaključna razmatranja
 Sve veći i veći broj pretnji, ranjivosti i incidenata
informacione bezbednosti
 APT kao nerešiva enigma
 Tradicionalne tehnike zaštite uglavnom
prevaziđene
 Primena tehničkih kontrola/mehanizama
bezbednosti (kriptografskih i nekriptografskih)
 Elektronska pošta kao nebezbedan kanal
komunikacije i mogući mehanizmi zaštite
 Primena višeslojne arhitekture zaštite
 Prevencija APT i Security Awareness
HVАLА NА PАŽNJI