offline
- Fil
- Legendarni građanin
- Pridružio: 11 Jun 2009
- Poruke: 16586
|
- 59Ovo se svidja korisnicima: magna86, diarno, argus, p2all, higuy, NIx Car, Brano, SSpin, Tanatos, Kentaurus, NoOneEver Dreams, Simke, Dr SiGn, SlobaBgd, Kerber, FarscapeFan, oblak, dijica, dr_Bora, goran9888, Rogi, mcrule, juba, Ričard, dedak, browser, gordan84, Bogdan-Tc, suza 12, mpman, Srki94, mihajlo994, A.L., Brok, TwinHeadedEagle, super-deka, guta89, djolew, angelika, Hristina Lazic, vasa.93, Black Code, Jimmy4, code381, Sass Drake, TheDelliRus, ilovephp, Dusan.cz, mfifa, gsb, DzoniB, ifix, E.L.I.T.E., magija, PegazHosting, 11neco11, eleutheros, Rocky I, Pakito93
Registruj se da bi pohvalio/la poruku!
Mali rečnik zaštite
Ranjivost (vulnerability) – bezbednosne rupe u operativnom sistemu, ali i aplikativnom nivou (e-mail aplikacija, chat klijent i slično).
Exploit – kôd koji iskorištava bezbednosne rupe u operativnom sistemu ili aplikacijama.
Zakrpa (patch) – programski dodatak kojim se zatvaraju bezbednosne rupe.
Hotfix - termin koji se prvobitno odnosio na softverske zakrpe koje su se primenjivale na sisteme koji su radili neprestano (still running systems) i koje nisu mogle biti distribuirane van organizacije klijenta za koga su pravljene te zakrpe. Skorija upotreba termina se odnosi na jedan softverski paket, kojim se rešava problem (bug) u radu nekog softvera.
Hotfix može obuhvatati i adresirati više softverskih bugova kao i probleme u radu koji su prateći efekti usled primene neke sofverske zakrpe (patch).
Posmatrano u kontekstu Windows operativnog sistema, hotfix predstavlja male zakrpe koje otklanjaju specifične probleme oko Kernel Patch Protection, Multilingual User Interface (MUI) i novootkrivenih sigurnosnih propusta u sistemu. Struktura hotfixa je najčešće u obliku SFX datoteke i moguće ju je preuzeti preko servisa Windows Update.
Termin hotfix se razlikuje od termina patch u tome što se hotfix kreira za specifičnu potrebu kupca/krajnjeg korisnika i ne distribuira se u javnost.
Razumevanje razlika između patcha i hotfixa je otežano jer se proizvođači softvera često odlučuju za termin hotfix, a ne zakrpa, kako bi izbegli potencijalno nezadovoljstvo kupaca u smislu da proizvod ima nedostatke ili kako bi ostavili pozitivan utisak da kontinuirano servisiraju svoj softverski proizvod.
Service Pack - predstavlja kolekciju ažuriranih datoteka, softverskih ispravki određenog programa ili operativnog sistema koji treba istim da doprinese ažurnosti i boljoj stabilnosti, i isporučuje se u formi jedne instalacione datoteke. Mnoge kompanije formiraju service pack kada se poveća broj softverskih zakrpa i dostigne određen limit (limit zavisi od konkretne kompanije). Pogodnosti service packa se ogledaju u tome što je lakše instalirati service pack nego sve izdate softverske zakrpe pojedinačno i u tome što je service pack strukturiran da na uređen način instalira zakrpe i ostali sadržaj, što doprinosi boljoj stabilnosti programa/operativnog sistema. Service packovi se numerišu i obično označavaju sa SP1, SP2, itd.
Neretko, service packovi mogu doneti i potpuno nove softverske mogućnosti, na primer SP2 kod operativnog sistema Windows XP.
Možemo ih podeliti na:
- inkrementalne: ukoliko ima sadržaj koji nije sadržan u nekom prethodnom service packu. Dakle n-ti service pack zahteva da n-1 bude instaliran na sistemu.
- kumulativne: ukoliko tekući service pack u sebi sadrži sve prethodne service packove i ne zahteva postojanje prethodnih service packova za instaliranje.
IP adresa (Internet Protocol adress) - 32-bitni broj kojim se identifikuje i jednoznačno određuje računar koji razmenjuje podatke preko lokalne mreže ili Interneta. Format IP adrese je sledeći: #.#.#.# , gde je "#" neki osmobitni broj (dakle, može uzeti vrednost od 0 do 255).
Port - tačka povezivanja koja može biti hardverska (COM, USB, LPT portovi), gde služi za povezivanje i komunikaciju sa određenim hardverom, i softverska gde služi za prenos podataka preko nekog protokola (TCP/IP, UDP).
U kontekstu zaštite, IP adresu nekog računara možemo simbolično shvatiti kao adresu neke kuće, dok port predstavlja vrata.
Napadač će iskoristiti neku port scanning aplikaciju kako bi utvrdio koji portovi su otvoreni na određenoj IP adresi ili će skenirati deo mreže u potrazi sa otvorenim portovima (tj. tražiće na koja vrata može nesmetano ući).
Ovo TCP skeniranje je vrlo efektivan metod u pronalaženju ranjivosti žrtvinog računara.
Portove možemo podeliti na:
a) otvorene (open ports)
b) zatvorene (closed ports)
c) skrivene (stealth ports)
Da bi napadač "upao" na vaš računar, prvo mora da nađe otvorena vrata, tj. mora da nađe otvorene portove. Za napad se mogu koristiti samo otvoreni portovi.
Otvoreni portovi su u "stand by" načinu rada, dakle, čekaju tj. osluškuju (listening) dolazeće konekcije; kada se pojavi zahtev za konekcijom, otvoreni port odgovara tako što prihvata tu konekciju. Po prihvatanju konekcije, moguće je razmeniti podatke između udaljenog računara napadača i računara žrtve. Računar sa otvorenim portovima se ponaša kao server, dok je udaljena mašina koja šalje zahtev za konekcijom - klijent.
Preporučuje se da se koristi firewall (najbolje je iskombinovati hardverski i softverski firewall) kako bi se blokirali portovi. Takođe, preporučuje se da se na računaru onemoguće svi nepotrebni servisi.
Napadač ne može koristiti zatvorene portove da bi se konektovao na neku udaljenu mašinu. Njegov port scanner će prikazati rezultat da je port zatvoren. Međutim, ovi portovi ipak daju određene informacije koje kasnije napadač može iskoristiti. Na primer, napadač može saznati koje servise koristite jer postoji ustaljeni podrazumevani (default) šifarnik za neke portove (na primer: 21: File Transfer Protocol (FTP), 22: Secure Shell (SSH), 23: Telnet remote login service, 25: Simple Mail Transfer Protocol (SMTP), itd.) Ako ništa drugo, može imati uvid koje servise koristite na računaru.
Na kraju, skriveni portovi su najbolje rešenje po pitanju sigurnosti jer ne generišu nikakav odziv (mašina se ne odaziva ni na ping). Dakle, mašina ne vraća nikakav odziv port scanneru napadača. Konfigurišite firewall da portove stavi u stealth mode jer je to najsigurnija konfiguracija. Napadač, na ovaj način, nema informacije o pokrenutim servisima na udaljenoj mašini.
Malware (malicious software) – opšti pojam koji obuhvata sve neželjene programe. Ovde spadaju računarski virusi, crvi, trojanci, botovi, spyware, adware, maliciozni rootkitovi (rootkit se po svojoj funkciji ne može direktno svrstati u maliciozne programe). Ustaljeni izraz za celu kategoriju malware-a je “virus”, što je neprecizno i pogrešno jer virusi predstavljaju samo jedan deo celokupnog malware-a.
[ dodatno čitanje: ovde ]
Rogue software (ili scareware) – maliciozni softver koji obmanjuje korisnika da je neka korisna aplikacija, koji neretko zahteva plaćanje kako bi se uklonili lažno prikazani virusi (i druge “funkcionalnosti” lažnog softvera) ili omogućava instalaciju dodatnog malware-a na žrtvin računar (primer: lažna antivirus aplikacija ThinkPoint).
Honeypot – program koji predstavlja mamac za malware, a koji je instaliran na računar neprestano povezan na Internet. Emulira ranjiv sistem i čeka upade na računar i pokušaje inficiranja. Pretežno se sakupe crvi i botovi. Zbog pomenutog čekanja, predstavlja pasivan koncept (ne zahteva nikakvu interakciju).
[ dodatno čitanje: ovde ]
Honeypot sensor – računar na kome je instaliran Honeypot. Senzori se često grupišu u alijanse, kao vid saradnje između nezavisnih honeypotova ili mreža senzora, u cilju međusobne razmene nahvatanih primeraka malware-a (napomena: termin alijansa se ne koristi kao ustaljeni izraz za više senzora istog vlasnika).
Honey client - interaktivan program koji posećuje sajtove i dozvoljava instalaciju svih aktivnih komponenti sa tih sajtova u cilju sakupljanja malware-a. Ovaj proces “traženja nevolje” je simuliran, tako da je krajnji rezultat sakupljen i arhiviran malware. Na ovaj način se brže uočavaju sigurnosne rupe u sistemu, što uslovljava i bržu reakciju na iste.
[ dodatno čitanje: ovde ]
Heuristika – metod kojim antivirusni softver proučava program čitajući njegove instrukcije i pokušavajući da predvidi do čega te instrukcije mogu da dovedu, u cilju detektovanja novog malware-a, i novih varijanti postojećeg malware-a.
[ dodatno čitanje: ovde ]
Dezinfekcija - proces uklanjanja virusa iz programa tako da program bude u istom stanju kao pre infekcije.
DoS napad (Denial of service) – u opštem slučaju, vrsta napada kojom se onemogućava upotreba računara ili nekog njegovog resursa korisnicima tog računara. Najčešće se sastoji od koncetrisanih napora pojedinca ili grupe da spreče normalno funkcionsanje Internet sajta ili Web servisa na određen ili neodređen rok. Ukoliko veliki broj kompromitovanih računara (botnet) napada jedan, ciljani računar, možemo govoriti o distribuiranom DoS napadu koji se naziva i DDoS (Distributed Denial of Service).
Brute Force napad – vrsta napada koja se koristi za nalaženje lozinke kod kriptovanih datoteka, koja se sastoji u isprobavanju svih mogućih lozinki redom. Moguće je zadati inicijalne parametre, tako da se napad odnosi samo na brojeve, slova, specijalne znakove ili njihovu kombinaciju.
Dictionary napad - vrsta napada koja se koristi za nalaženje lozinke kod kriptovanih datoteka, koja se sastoji u isprobavanju svih lozinki (tj. reči, u ovom kontekstu) koji se nalaze u određenom rečniku (dictionary base). Neke lozinke se koriste vrlo često (videti da nije i vaša: ovde ) te je moguće formirati odgovarajuću bazu lozinki, tj. rečnik. Napadač kreće od pretpostavke da je vaša lozinka u bazi. Stoga se preporučuje upotreba jakih lozinki (strong passwords) koja uključuje kombinaciju slova, brojeva i specijalnih karaktera.
Sandbox - virtuelno okruženje u kome program može nesmetano da funkcioniše, s tim da bilo kakve promene koje napravi taj program stvarno ne utiču na operativni sistem. Predstavlja sigurnosni mehanizam za odvajanje pokrenutih programa od promena na sistemu; sandbox aplikacija pokreće programe u izolovanom memorijskom prostoru, i time ih sprečava da naprave trajne promene nad drugim programima i podacima u računaru.
Karakteristike:
- sandboxovi ne koriste virtualni hardver (kao virtualne mašine); program u sandboxu vidi stanje fizičkog, stvarnog sistema.
- kada sandbox aplikacija prestane sa radom, brišu se sve promene koje su napravili “sandboxovani” programi.
Primena: programiranje, za proveru programskog kôda; pokretanje programa u koje se nema poverenja; zaštita od malicioznih programa, produžavanje trial limita kod probnih programa (nelegitimna upotreba).
[ dodatno čitanje: ovde ]
Virus - program kome je potreban neki drugi (legitimni) program koji će mu biti "domaćin" (domaćin može biti bilo koji program). Virus dodaje sebe na početak programa domaćina i time se ugrađuje u program koji je "čist" pre ugrađivanja. Teoretski posmatrano, domaćin će pravilno da funkcioniše čak i ako je zaražen (u praksi to ne mora biti slučaj, zavisi od znanja programera). Prilikom pokretanja programa domaćina:
- prvo će se pokrenuti virus, koji će u tom momentu da zarazi još neki program (čineći ga time svojim domaćinom),
- a nakon toga će virus prepustiti kontrolu izvršavanja svom domaćinu (dakle, pokrenuće se aplikacija koja je prvobitno trebala biti pokrenuta).
Karakteristike:
- virus je jedini malware koji ima mogućnost inficiranja (dakle, crv ne može inficirati bota i obrnuto, itd...).
- samo virus ima mogućnost širenja sa programa na program.
- najstarija kategorija malware-a
- [način inficiranja]: virus je po svom načinu razmnožavanja file-infector; da bi zarazio neku datoteku B, potrebno je da se prethodno pokrene datoteka A, koja je već zaražena. U momentu kada pokrenete program koji je zaražen, prvo se pokreće virus, koji na operativnom sistemu odmah traži nezaražene datoteke, i kada ih nađe on se doda na početak tih datoteka, čineći te datoteke svojim domaćinom.
- teoretski postoje i načini da se računar inficira bez korisnikove interakcije (tj. bez korisnikovog eksplicitnog pokretanja zaražene datoteke).
Trojanac (Trojan Horse) - program koji je skriven na operativnom sistemu, i na njemu skriveno vrši određene operacije koje mogu naneti štetu operativnom sistemu. Zvanična i “old school” definicija trojanca je: program koji pored dokumentovanih mogućnosti ima i skrivene, nedokumentovane funkcije. Trojanci se dele na više podgrupa:
- Trojan-downloader – trojanac koji sa Interneta preuzima dodatne (maliciozne) datoteke na računar.
- Trojan-clicker – trojanac koji se povezuje na određene sajtove da bi na tim sajtovima kliknuo neko dugme ili link, kako bi se povećala posećenost tih sajtova. Na taj način malware omogućava vlasniku sajta da zaradi više novca od onih koji se kod njega reklamiraju (kod tih sajtova se prostor za reklame naplaćuje zavisno od broja poseta).
- Trojan-dropper – trojanac koji instalira neki malware u ciljani sistem (virus, backdoor, crv). Neretko se koristi za ubacivanje crva u lokalnu mrežu. Razlikujemo sledeće droppere:
a) single stage droppers: maliciozni kôd se nalazi u samom dropperu, kako bi se otežala njegova detekcija,
b) two stage droppers: maliciozni kôd se, u prvoj etapi preuzima sa Interneta, a u drugoj aktivira.
- Trojan-PSW-stealer – trojanac koji čita razne lozinke sačuvane na operativnom sistemu (lozinka za logovanje na sistem, za logovanje na sajtove itd.) i šalje ih vlasniku trojanca.
- Trojan-keylogger – trojanac koji "zapisuje“ svaki pritisak na taster i taj zapis čuva u tekstualnoj datoteci da ih neko preuzme, ili se ti podaci šalju preko Interneta (vlasniku trojanca ili nekom trećem licu). Osim snimanja tastature, mogu se snimati i pokrenuti programi, posećene Web stranice, itd.
[ ! ] Razlika između trojanca i bota je ta što se bot (kao i crv), širi mrežom, dok se trojanac mora “uvaliti” ručno, prevarom.
Kada se pokrene, trojanac se ponaša kao server - otvara određeni port i “osluškuje” zahteve za konektovanje njegovog vlasnika (klijenta), koji treba da zna IP adresu računara na kom se nalazi trojanac ili da skenira nizove IP adresa radi pronalaženja specifičnog otvorenog porta (kojeg je otvorio trojanac). Upad se ostvaruje formiranjem klijent-server veze.
[ dodatno čitanje: ovde ]
Reverse connecting trojan - trojanac koji sâm obaveštava svog vlasnika na kojoj se IP adresi nalazi, najčešće putem slanja elektronske pošte ili slanjem poruke na ICQ, ili IRC kanal, kako bi vlasnik imao sve parametre za upad na operativni sistem. Alternativan naziv je trojanac-bot (trojanac sa botom). Njihov vlasnik, na ovaj način, ima pogodnost jer ne mora da "peca" svoje trojance skeniranjem portova, već samo treba da pristupi određenoj IRC sobi/kanalu i napravi "prozivku" svojih botova. I većina običnih trojanaca se javljaju na ICQ/IRC/mail.
Ransomware - trojanac koji kriptuje datoteke korisnika sa lozinkom uz zahtev da taj korisnik mora da plati izvesnu sumu novca kako bio dobio lozinku za dekriptovanje (primeri: Zippo, Archiveus) ili koji onemogućava normalno startovanje Windowsa, tražeći odgovarajuću lozinku (primer: WinLock, koji od korisnika zahteva da pošalje SMS (cene oko $10) na neki broj kako bi se dobila lozinka za otključavanje). Za sve varijacije ransomware-a je zajedničko da korisnik mora platiti kako bi otključao onemogućene stavke na računaru. Kod pojedinih verzija ransomware-a plaćanjem se samo privremeno rešavate problema, jer zaključavanje može biti privremeno (vremenski tempirano) ili trajno.
[ dodatno čitanje: ovde i ovde ]
Crv (Worm) - maliciozan program koji se širi putem mreže ili putem prenosivih diskova, iskorištavanjem bezbednosnih propusta u nekom operativnom sistemu, ili programu.
Karakteristike:
- crv se samostalno i slučajno širi mrežom, i nad njim ne postoji kontrola.
- crv sadrži “tovar” (payload), razlog zbog čega se i širi; dakle, crv može u sebi da nosi malware (virus, trojanca… ) ili da bude programiran za DDoS napad na neki server u unapred određeno vreme.
- [širenje net-worm-a]: networm pokušava nasumično da na Internetu (tj. mreži, u opštem slučaju) nađe računar čiji Windows nije zakrpljen, i na kome postoji bezbednosna rupa. Networm će iskoristiti tu rupu da bi se prekopirao i pokrenuo na tom računaru. Od momenta kada se networm pokrene na nekom računaru, on nadalje vrši funkcije:
1.) pokušava dalje da se proširi
2.) izvršiće naredbu koja mu je isprogramirana onda kada je napravljen (pre nego što je pušten da se širi po mreži)
- net-worm (isto kao i bot) može biti domaćin za virus.
- net-worm se sam inicira (startuje). Trojanci i programi inficirani virusom su neaktivni sve dok korisnik ne pokrene program koji ih sadrži.
Osnovna podela crva je na binarne i macro crve.
a) Binarni crvi mogu zaraziti samo one operativne sisteme koji su identični operativnim sistemima u kojima su kompajlirani (jer samo na njima mogu da se izvrše).
b) Macro crvi mogu da zaraze više operativnih sistema, bez obzira što su kompajlirani na nekom konkretnom operativnom sistemu, pod uslovom da ti operativni sistemi sadrže interpreter za programski jezik u kome su pisani ti crvi. (primer: makro-crv pisan u programskom jeziku Perl će se bez razlike izvršiti i na Linux-u, BSD-u, Solaris-u i drugim operativnim sistemima na kojima je instaliran interpreter za programski jezik Perl).
[ ! ] Generalna zaštita od crva su firewall-ovi i redovno ažuriranje operativnog sistema, kao i programa koji su podložni napadima crva (mail-klijenti, instant messengeri..)
[ dodatno čitanje: ovde ]
Bot – malware koji se širi preko mreže iskorištavanjem propusta u nekom operativnom sistemu, ili programu u cilju kontrolisanja zaraženog računara od strane vlasnika bota. Po funkcionalnosti predstavlja kombinaciju crva i backdoora (jer se širi mrežom kao i crv, a kada upadne u sistem ponaša se kao backdoor).
Karakteristike:
- bot se širi mrežom u cilju pružanja kontrole (svom vlasniku) nad određenim operativnim sistemom.
- bot je program za sebe, i njemu nije potreban domaćin.
- ako je računar zaražen botom, tada vlasnik bota može da ga iskoristi da ubaci drugi malware na sistem.
- često postaje domaćin za viruse (bot može da se zarazi virusom) i iste, na taj način, prenosi preko mreže.
- često se koriste za ugradnju spyware-a i adware-a
- postoje botovi koji komuniciraju čak i kroz rutere i switcheve
- antivirusne kompanije ih klasifikuju ili kao crve ili kao trojance (backdoor)
- [širenje bota]:bot pokušava da na Internetu (tj. mreži, u opštem slučaju) nasumično nađe računar čiji Windows nije zakrpljen, i na kome postoji bezbednosna rupa. Bot će iskoristiti tu rupu da bi se prekopirao i pokrenuo na tom računaru. Od momenta kada se bot pokrene na računaru, on nadalje vrši dve funkcije:
1.) pokušava dalje da se proširi
2.) čeka na naredbe svog gazde (upload i download datoteka, pokretanje datoteka, DDoS napad na neki server itd.)
Botnet (mreža botova) - svi računari koje je zarazio jedan bot. Svi ti zaraženi računari, dakle, imaju samo jednog kontrolera (vlasnika) koji je konstruisao i plasirao bota. Svi računari koje je zarazio drugi bot predstavljaju drugu mrežu botova.
Zombie computer (ili zombie) – računar, povezan na Internet, koji je napadnut, kompromitovan i na taj način upotrebljiv za izvršavanje raznih zlonamernih zadataka, daljinskim upravljanjem i manipulacijom. Zombi računari su članovi botnet grupacije i često se koriste za širenje spam-a i DDoS napada. Vlasnici zombie računara nisu svesni da se ti računari koriste za loše svrhe.
Adware – program čija je uloga forsiranje reklamnog materijala u cilju zarade.
Spyware – program koji sakuplja podatke o poseti korisnika Internet sajtovima i razne navike korisnika tokom surfovanja Internetom. Za razliku od adware-a (koji po svojoj “prirodi” intenzivno izbacuje reklame), spyware teži da ostane neotkriven.
Rootkit – program (ili druga vrsta tehnologije), koji uspešno sakriva neku datoteku, ključeve u registry bazi, programe ili druge parametre na operativnom sistemu. Po svojoj prirodi nisu nužno maliciozni, jer se mogu koristiti i u dobre svrhe (na primer, antivirusni program sakriva svoje datoteke da ne bi bili kompromitovani). U negativnom kontekstu, služe da sakriju malware od korisnika, bilo sakrivanjem malicioznih datoteka, procesa ili drugih parametara ( promena veličine datoteke, datum izmene datoteke i drugo).
Mogu se podeliti na kernel mode i user mode rootkitove.
a) Kernel mode rootkit: --> rade na nivou drivera
b) User mode rootkit: --> rade na nivou servisa
Backdoor – program koji omogućava drugom licu da neovlašteno upravlja tuđim računarom. Iako po svojoj prirodi ovaj malware spada u klasične trojance, kategorija je izdvojena zasebno jer danas postoji više različitih vrsta trojanaca. Zaobilazeći normalne metode autentikacije, koristi se najčešće u dva scenarija:
a) omogućavanje lakšeg pristupa u budućnosti, na drugom računaru koji je već kompromitovan.
b) malware može da instalira backdoor za prvi upad napadača za neovlašteno korišćenje sistema.
Antivirus software - softver koji računare može odbraniti od različitog malware-a, prvenstveno virusa, trojanaca, botova i crva. Funkcionalnosti antivirusa zavise od proizvođača istog, pa može detektovati i druge oblike malware-a (spyware, na primer).
Pored jednokratnog skeniranja operativnog sistema (on demand), antivirusi obično imaju i mogućnost on access skeniranja, gde se datoteke proveravaju automatski kada korisnik pokuša da ih pokrene. Više parametara utiču na uspešno detektovanje malware-a, od čega treba pomenuti dva: redovno ažurirana baza definicija virusa i heuristika.
Antivirus može da detektuje:
- već postojeće viruse, s tim da je stepen detekcije veći ako je baza definicija virusa ažurirana.
- viruse koji su nepoznati antivirusu, uz upotrebu heuristike (termin heuristika je posebno objašnjen).
Antimalware software - softver koji, kao i antivirus, računar može odbraniti od različitog oblika malware-a. Međutim, od antivirusa se razlikuje po tome što antivirus može da dezinfikuje datoteke od file infectora (virusa u pravom smislu reči), dok antimalware to ne radi. Pored širokog spektra vrsta malware-a koje može da detektuje (crvi, trojanci, rootkitovi, dialeri, spyware, adware...), antimalware može da sređuje i registar (registry bazu), što generalno ne rade antivirusni programi. U zadnje vreme je teže podvući razlike između ova dva softvera jer danas većina antivirusnih programa sređuje i registry bazu, te može detektovati više tipova malware-a.
Detekcija – odnosi se na trenutak otkrivanja nekog malware-a od strane antivirusnog programa. Kada se detektuje malware, dešava se sledeći scenario:
a) za detektovani virus, antivirusni program će pokušati dezinfekciju (da otkloni virus iz legitimnog programa).
b) detektovani botovi, crvi i trojanci se brišu.
c) prilikom detektovanja bota ili crva zaraženog virusom, antivirusni program prvo detektuje virus (jer je on na početku datoteke), pa počne dezinfekciju; kada završi dezinfekciju, antivirusni program detektuje da je upravo dezinfikovana datoteka takođe štetna (crv ili bot) pa ga obriše.
Softverski omot (softverska koverta, eng. software envelope) - predstavlja sloj (layer) koji paker kreira oko ciljane datoteke. Kôd ovoga sloja predstavlja vrlo važan deo identifikacije pakera. Postoje različite tehnike implementacije omotavanja tako da se malware može zakamuflirati, jer se time rešava heuristike koja, na taj način, neće moći da “prepozna” maliciozan kôd:
- EXE Packers: pakeri koji kompresuju izvršnu datoteku i formiraju novu izvršnu datoteku, po pravilu manje veličine na disku, koja mora sadržati u sebi i deo kôda za dekompresiju. Pre izvršavanja “nove” izvršne datoteke, dekompresioni kôd regeneriše originalni kôd prvobitne izvršne datoteke. U većini slučajeva je proces transparentan, tako da se pakovana izvršna datoteka može koristiti na isti način kao njen original. EXE-paker vaš pakovani program raspakuje u memoriji, i tamo ga odmah izvrši, tj. startuje.
[ dodatno čitanje: ovde ]
- EXE Cryptors: paker koji uključuje različite tehnike enkripcije kôda određenog programa, s tim da se na početak rezultujuće datoteke ugrađuje programski deo koji će kriptovani program vratiti u normalu. Na korisnikovom disku je čitljiv samo programski deo za raspakivanje, dok kriptovani program nije čitljiv. Dekripcija programa, i nakon toga pokretanje dekriptovanog programa se odvija u memoriji.
- EXE Protectors: programi koji imaju sposobnost detektovanja okruženja u kojem se pokreće dekriptor; ukoliko program “proceni” da su uslovi okruženja nepovoljni (program se pokreće u virtualnoj mašini, ili nekom debuggeru, itd.) programi/datoteke se neće dekriptovati.
- Code Obfuscators: pakeri koji koriste tehnike koje kôd namerno čine nejasnim i nerazumljivim, te time otežavaju analizu omotane datoteke određenim alatima i algoritmima za analiziranje kôda. Tehnike koriste junk code, to jest delove kôda koji nemaju neku praktičnu svrhu, sem “ošamućivanja” kôda (tj. činjenja kôda nejasnim) .
- i drugi (Morph Engines, itd…)
Packer - softver koji pravi softverski omot (softversku kovertu) oko nekog izvršnog objekta. Na taj način menja njegovu prirodnu izvršnu formu, ali zadržava originalnu, prvobitnu funkcionalnost (dakle, pre omotavanja) u memoriji. Neki od pakera su UPX, Exe32Pack, i drugi. Datoteke je moguće i višestruko pakovati te se time otežava posao antimalware aplikacijama.
Termin “paker” se upotrebljava u dva konteksta, u jednom za rezultat kompresor-arhivera, u drugom za EXE-pakere (ili run-time pakere).
[ ! ] Razlikovati ga od SFX.
Binder – program koji iz sebe izbacuje neki maliciozan program (svoj tovar), snima ga na disk i pokreće, na nekom operativnom sistemu, s tim da postoji mogućnost odabira koji tovar će se ugraditi u taj program.
Dropper - program koji iz sebe izbacuje neki maliciozan program (svoj tovar), snima ga na disk i pokreće, na nekom operativnom sistemu, s tim da ne postoji mogućnost odabira koji tovar će se ugraditi u taj program, jer se njegov tovar ugrađuje u fazi programiranja, tj. pre kompajliranja tog programa.
Injector - binder ili dropper koji svoj tovar može upisati direktno u memoriju i u memoriji ga vezati za neki pokrenuti legitimni program. Tovar (tj. neki maliciozni program) je najčešće sadržan u nekom kriptovanom obliku koji antivirusni programi ne prepoznaju.
Joiner je program koji omogućava spajanje malware-a sa nekim legitimnim programom, tako da će se prilikom pokretanja tog programa paralelno izvršiti i legitimni program i njemu pridruženi malware.
SFX (self extracting archive) – računarska aplikacija koja sadrži arhivu kompresovanih datoteka, kao i deo koji sadrži informaciju kako izvući datoteke iz te arhive. Ovaj oblik je pogodan jer ne zahteva dodatni program za arhiviranje kako bi se izvukle datoteke iz arhive.
[ ! ] SFX treba razlikovati od EXE packer-a. Iako su konceptualno isti – baziraju se na kompresovanju programa/datoteka i dodavanju programa za raspakivanje na početak rezultujuće datoteke, razlika je u tome što će EXE packer spakovani program raspakovati te odmah izvršiti u memoriji, dok SFX podrazumeva raspakovanje na tvrdi disk.
Dialer - program koji se konektuje na nekog posebnog Internet provajdera koji, po pravilu, ima visoku cenu pružanja usluge konekcije na Internet. Dialer sam po sebi nije maliciozan, jer korisnik može svesno da ga koristi kako bi pristupio “vrućim razgovorima za odrasle” čiji provideri imaju visoke cene minuta razgovora.
Dialeri mogu biti i maliciozni ukoliko su ubačeni na sistem bez znanja korisnika u cilju pribavljanja finansijskih sredstava tog korisnika kroz nepovoljan “Internet provajding”. Efekat tog pribavljanja se ogleda kroz iznos telefonskog računa korisnika-žrtve.
Haker (hacker) - u svom izvornom značenju opisuje osobu koja se bavi istraživanjem mogućnosti računara i njihovoj pozitivnoj primeni u svakodnevnom životu.
[ dodatno čitanje: ovde ]
Razbijač ((zabranjeno)er) – osoba koja koristi svoje znanje i otkrića negativno primenjuje u cilju nanošenja štete. Imaju dovoljno znanja da samostalno pišu malware.
Lejmer (lamer) – osoba koja nema mnogo znanja o računarima već koriste već “postojeće produkte” razbijača (trojance, viruse i sl. ) kako bi naneli štetu drugima.
Script kiddy - termin koji se vezuje za *nix operativne sisteme koji je najsrodniji terminu "lejmer" jer se odnosi na amatera koji koristi alate i skripte drugih ljudi bez poznavanja logike skripte i skriptnog jezika i to u maliciozne svrhe (razni port scanneri, autorooteri i drugo)
Rescue disk - Live verzija nekog antivirusnog rešenja koja je obično zasnovana na Linux operativnom sistemu; Live verzija znači da prilikom skeniranja nije pokrenut zaraženi operativni sistem, već se učitava softver sa CD-a.
[ dodatno čitanje: ovde ]
Firewall (vatrozid) - softverski paket ili hardverski uređaj koji kontroliše vanjski pristup računaru ili lokalnoj mreži i filtrira mrežni saobraćaj. Neovlašteni pristup računaru ili mreži se blokira, a ovlašteni odobrava. Moguće je kombinovati hardverski i softverski firewall. Često se koriste za sprečavanje pristupa neovlaštenih korisnika sa Interneta ka privatnoj mreži/Intranetu. Firewall je posrednik svoj komunikaciji između Interneta i Intraneta, gde ispituje strukturu poruka i blokira one koje ne ispunjavaju definisane kriterijume.
Razlikujemo sledeće tehnike firewalla:
- Packet filter: svaki paket se analizira i filtrira (tj. odobrava ili blokira) zavisno od definisanih pravila korisnika (tj. lokalne politike firme).
- Application gateway: podrazumeva specifične bezbednosne mehanizme za određene aplikacije ili servise.
- Circuit-level gateway: podrazumeva primenu bezbednosnih mehanizama prilikom kreiranja TCP konekcije. Kada se kreira TCP konekcija, razmena paketa se vrši bez dodatnih provera.
- Proxy server: podrazumeva presretanje svih poruka koje ulaze ili izlaze iz mreže.
Primarna svrha personalnog firewalla je funkcionalnost packet filtera kako bi se kontrolisao saobraćaj koji dolazi na računar i odlazi sa njega. Firewall ne mora da ima HIPS komponentu.
[ dodatno čitanje: ovde ]
Intrusion Prevention Systems (IPS) - mrežna bezbednosna rešenja koja prate mrežne aktivnosti u cilju detekcije malicioznog ponašanja. Osnovne funkcionalnosti ovih sistema su identifikacija malicioznog ponašanja, zapisivanje informacija o registrovanom ponašanju, pokušaj blokiranja ili zaustavljanje malicioznog ponašanja i izveštavanje o ovim aktivnostima.
IPS se mogu podeliti u sledeće 4 kategorije:
- Network-based Intrusion Prevention (NIPS): prati celokupan saobraćaj na mreži s cljem detekcije zlonamernog saobraćaja, i to analiziranjem aktivnosti mrežnog protokola.
- Wireless Intrusion Prevention Systems (WIPS): sličan prethodnom, s tim da je usko vezan za praćenje saobraćaja kod bežičnih mreža i analiziranje bežičnih protokola.
- Network Behavior Analysis (NBA): specijalizovan za analizu određenih ponašanja na mreži kao što su iznenadna opterećenja mreže i druga, kako bi se otkrio potencijalni napad na mrežu (DDoS, na primer), ali i određene grupe malicioznih programa.
- Host-based Intrusion Prevention (HIPS): softverski paket instaliran na jedan računar, koji prati sumnjive aktivnosti procesa analizirajući događaje koji se dešavaju na tom računaru.
Firewall filtriranjem paketa ne može da utvrdi potencijalne pretnje kao keyloggere niti može da spreči ulazak malicioznog softvera. Za ovo je zadužena komponenta HIPS. HIPS prati ponašanje procesa unutar samog računara.
Većina modernih firewallova predstavljaju simboizu dvaju komponenti packet filtera (za kontrolu mrežnog saobraćaja) i HIPS-a koja je zadužena za detekciju i sprečavanje svih vrsta potencijalnog malicioznog ponašanja na računaru.
HIPS kontroliše šta neka aplikacija na računaru sme da radi, a šta ne sme. Prati ponašanje procesa i sprečava potencijalno maliciozne operacije (što je u skladu sa pravilima koje je korisnik definisao).
Spoof - uopšteno, termin se odnosi na tehnike obmane gde se imitira identitet nekog korisnika na Internetu, softver, hardverski uređaj ili IP adresa, u cilju neovlaštenog prolaska kroz određene bezbednosne mehanizme.
Razlikujemo sledeće kategorije:
- IP spoofing: metod prolaska kroz bezbednosne procedure na mreži imitirajući drugu IP adresu. Postoje sigurnosni mehanizmi koji način autentikacije korisnika baziraju na osnovu njegove IP adrese (ili specifičnog opsega IP adresa).
- E-mail address spoofing - odnosi se na lažiranje pošiljaoca e-mail poruke. Može se koristiti i za zaobilaženje spam filtera na klijentu ciljanog računara. Primaoc ove poruke percepira poruku kao bezbednu jer mu je adresa poznata.
- Web page spoof - odnosi se na lažnu Web stranicu, koja vizuelno izgleda identično kao i originalna stranica, ali je hostovana na nekom drugom serveru (nevezanom za matične sajtove). Cilj je da se, na ovaj način, pribave privatni podaci korisnika (korisničko ime, lozinka ili neki drugi podaci).
Phishing - usmerene zlonamerne aktivnosti osobe ili grupe u cilju pribavljanja informacija o autentikaciji nekog korisnika, upotrebom posebno napravljenih e-mailova ili Web stranica. Autentikacija korisnika može biti vezana za banke, kreditne kartice, e-mail naloge, društvene mreže (myspace, facebook) i drugo.
a) e-mail phishing - ove poruke su dizajnirane tako da zavaraju korisnika kao da su poslate od sistem administratora ili drugog ovlaštenog lica neke kompanije, gde se traže podaci o autentikaciji ili koje sadrže linkove ka lažnim stranicama koje služe da prikupe podatke o autentikaciji korisnika.
b) phishing preko Web stranica - podrazumeva kreiranje lažne Web stranice koja je vizuelno identična sa originalnom. Uneti podaci "upecanih korisnika" na toj stranici se prosleđuju dalje kreatoru lažne (fake, spoof)Web stranice. Linkovi kao ovim lažnim stranama mogu se proslediti kroz e-mail poruke, chat aplikacije, forume i druge medijume.
Kako na lak način utvrditi da li ste meta phishinga? Analizirajte strukturu e-maila ili linkova:
- analizirati e-mail adresu pošiljaoca; Da li je njegov provider iz vaše firme? Da li je adresa uopšte poznata?
- obratiti pažnju na način oslovljavanja; phisihing e-mailovi se mogu slati na hiljade adresa pa se mora koristiti opšti pristup za oslovaljavanje tipa Poštovani korisniče/Dear customer i slično. Da je zahtev zvaničan, kompanija/administrator bi vas oslovio po korisničkom (ili punom) imenu.
- obratiti pažnju na sintaksne/gramatičke greške; nije velika mudrost napisati lažni e-mail, pa u velikom broju slučajeva se provuku neke očigledne greške.
- rokovi; phishing mailovi mogu da zahtevaju odgovor u roku od 24 časa ili kraće kako bi izazvali impulsivnu reakciju korisnika.
- analizirajte linkove; primera radi lažni (fake) link bi bio http://fakeaddress.com/mycity , stoga linkove uvek ručno ukucavajte sa podacima za koje znate da funkcionišu: www.mycity.rs
- ako i dalje niste sigurni, direktno kontaktirajte kompaniju telefonom da proverite da li postoji neki problem sa vašim nalogom.
Mogući mamci: ističe nalog ili lozinka; nalog je hakovan, nalog je zastareo te ga potrebno reaktivirati, problemi sa duplim nalogom, te aktivacija novog, i drugi.
Spear phishing - možemo ga definisati kao ciljno orijentisan phishing. "Obični" phishing je zasnovan na masovnom i neorganizovanom slanju e-mail poruka, dok spear phishing nije masovan, već dobro organizovan i usmeren na jednog korisnika ili mali broj ljudi, obično u jednom preduzeću. Napadač se obično predstavlja kao korisnik službe koja ima ovlašćenje da zatraži neke poverljive podatke (IT ili kadrovsko odeljenje). Ovaj sofisticiraniji napad je mnogo teže otkriti.
Spam - neželjena e-mail poruka (junk mail). Više od 99% celokupnog spama dolazi od inficiranih mašina koje su deo botneta. Cilj spama je često profit - milion elektronskih poruka može biti poslato u nekoj kampanji (za neki proizvod i sl. ), praktično bez ikakvog troška. Ako od tih milion poslatih mailova 10000 korisnika obavi kupovinu, profit je očigledan.
Korisnici koji nemaju neki antispam softver moraju prvo identifikovati da su poruke neželjene te brisati ove poruke "jednu po jednu", što oduzima dosta vremena. Dalje, pažnja se odvraća od bitnih poruka, opterećuje se Internet saobraćaj korisnika (bandwidth). Online mail servisi obično imaju integrisan antispam filter.
Digital signature (digitalni potpis) - metod kriptovanja podataka u cilju verifikacije identiteta njihovog pošiljaoca. Digitalni potpisi se često koriste prilikom distribucije softvera, finansijskih transakcija i raznim drugim slučajevima gde je bitan identitet pošiljaoca kako bi se sprečile potencijalne prevare i druge zlonamerne aktivnosti.
U kontekstu Windowsa, digitalni potpis korisniku, koji instalira neki softver, pruža informaciju da li je taj softverski paket od legitimnog izdavača (publisher), te mu pruža sigurnost da može bezbedno instalirati softverski paket.
Administratorska privilegija se zahteva za instalaciju nepotpisanih kernel-mode komponenti. 64-bitna verzija Windowsa 7, Viste i Servera 2008 ne dozvoljava instalaciju nepotpisanih drivera (zahteva se KMCS - Kernel Mode Code Signing) .
Ograničenja postoje i u novim verzijama Internet Explorera - preuzeti instalacioni paketi i SFX datoteke sa Interneta moraju biti digitalno potpisani kako bi se pokrenuli ili instalirali.
Document malware - odnosi se na maliciozne meta podatke (ugrađene skripte u pojedine tipove dokumenata) ili maliciozni makro sadržaj u dokumentima. Makro sadržaj je osmišljen da se u legitimne svrhe izvrši automatizacija nekih često korištenih radnji. Kako se za to osmišljavanje koristi neki programski jezik, moguće je napisati maliciozan kôd. Zlonamerne makro skripte za Microsoft Office dokumenta pojavila su se 90-ih godina. U zadnje vreme postoje razni oblici malware-a koji se vezuju za PDF pa i AutoCAD dokumenta.
Cookies (kolačići) - tekstualne datoteke, koje se smeštaju na računar korisnika i omogućavaju Web sajtovima da pamte određene informacije (npr. praćenje broja poseta, korisničko ime, itd.). Prilikom sledeće posete nekom sajtu, server može da pročita (bez znanja korisnika) podatke unutar cookie-a, na primer može prikaže korisničko ime, tako da ostaje samo da unesete lozinku. Cookies ne mogu da oštete podatke na računaru, budući da su tekstualne datoteke, ali mogu da naruše poverljivost registrovanih podataka. Web sajtovi mogu posetepeno da prave profil korisnika koji je baziran na ponašanju tih korisnika prilikom pregledavanja Web sajta. Ove sakupljene informacije kasnije mogu biti podeljene sa drugim Web sajtovima ili čak prodate. Na kraju, reklamni sadržaj na Web sajtu se može prilagoditi konkretnom profilu korisnika.
Web browseri među svojim opcijama imaju podešavanja vezana za "kolačiće" (ili poseban tzv. incognito mod surfovanja, kod pojedinih browsera), pa ako korisnik želi ostati anoniman može odabrati opciju da se isti ne čuvaju (ili ući u incognito način surfovanja).
Pharming - vrsta napada koja se bazira na kreiranju lažnih Web sajtova u cilju pribavljanja poverljivih informacija o korisniku. Od phishinga se razlikuje po tome što, u ovom slučaju, nema nikakvog "mamca" u vidu e-mail poruke ili drugo, već se čitav saobraćaj usmerava ka lažnom Web sajtu iako korisnik pravilno ukuca ime prvobitnog Web sajta koji želi da poseti. Ovo usmeravanje saobraćaja se može ostvariti na sledeće načine:
a) DNS cache poisoning
Napad na sistem imena na Internetu, koji omogućava korisnicima da unesu ime Web sajta u razumljivom, simboličkom obliku (npr. www.mycity.rs) a ne u brojčanom obliku (192.168.1.1). Za ovo preslikavanje (simboličko u brojčano) zadužen je DNS (Domain Name System) server. Očigledno, napad (trovanje) se sastoji u promenama ovog preslikavanja adresa, tako da se prilikom ukucavanja www.mycity.rs sav saobraćaj usmerava na neku drugu (malicioznu) adresu (npr. 78.46.103.200) .
b) promena HOSTS datoteke na računaru korisnika
Iako je DNS cache poisoning pharming u pravom smislu te reči, jer "farmer" može da na globalnom nivou (firme, provajdera) "u jednom prolazu" sakupi veliki niz privatnih informacija (tj. prinosa sa farme), postoji i lokalni napad, tj. lokalna promena preslikavanja simboličkih u brojčane adrese. Naime, prilikom surfovanja Internetom, Web browser koristi HOSTS datoteku u kojoj se nalaze informacije o preslikavanju (prvo se pristupi hosts datoteci, pa se tek nakon toga informacije prosledjuju DNS serveru).
Hosts datoteka je tekstualna datoteka, sledećeg formata:
# Ova linija unutar hosts fajla je primer redirekcije facebook-a na malicioznu adresu
78.46.104.123 www.facebook.com
Encryption (kriptovanje podataka ili šifriranje) - proces kojim se vrši izmena podataka tako da se poruka, učini nečitljivom za osobe koje ne posjeduju određeni ključ, tj. informaciju za dešifrovanje. Prva poznata metoda šifriranja datira iz vremena rimskog vojskovođe Julije Cezara, po kojem je i dobila ime, a sastoji se u jednostavnoj supstituciji latiničnih slova poruke pomicanjem za određeni broj mjesta u abecedi. U orginalnoj verziji, pomakom za tri mjesta unazad, šifra FDHVDU otkriva ime vlasnika Caesar.
Autorooter - termin koji se vezuje za *nix operativne sisteme, i predstavlja alat koji automatski skenira ranjive domaćine u cilju nalaženja njihovih ranjivosti. Predstavlja kombinaciju scanner modula i exploit modula.
Fork Bomb - napad na *nix operativne sisteme koji se ogleda u kreiranju ogromnog broja programskih niti (threadova) ili procesa, sve dok se ne popuni limit broja procesa/threadova koje kernel može da kreira. Time se blokira rad gotovo svih aplikacija na računaru. (Fork je isto što i Thread kod Windowsa).
ZIP bomb - predstavlja posebno osmišljenu ZIP datoteku (veličine svega par kB) kome je struktura direktorijuma tako napravljena da se vrti u krug, usled čega antivirus bude beskonačno dugo zaposlen skeniranjem te arhive. Za Linuks postoji TAR.GZ bomba. Postoje i druge bombe za antiviruse, tipa RAR bomb i sl.
PDF verzija teksta
================================================
Uputstvo za čitanje početnicima
================================================
Kao i većinu stručnih stvari, rečnik treba čitati iterativno-inkrementalno, tj. možda na "prvu loptu" svi pojmovi neće biti najjasniji, ali u sledećim iteracijama čitanja znanje će inkrementalno da raste. 
-----------------------------
AMF Tim
-----------------------------
|
To znanje je u tragovima ostavljeno i po drugim temama (u clanku videti "dodatno citanje" ili linkovane reci). Dok sam citao i ucio o svim ovim stvarima, mislio sam da je dobra ideja napraviti jedan recnik koji bi bio precizan i koji moze biti dobar temelj za dalje razumevanje materije. 
